排列3走势图|买排列三
億企網
當前位置: 首頁 » 行業資訊 » 網站建設 » 正文

淺談政府門戶網站的安全問題

放大字體  縮小字體 發布日期:2011-11-30  來源:b2b網站大全  瀏覽次數:1510

自網絡誕生以來,安全就成為一個重要話題。政府網站又因其公信力高、影響力大,成為黑客重要的攻擊目標,尤其是含有政治攻擊色彩的篡改,會對政府形象造成嚴重損害。統計數據顯示,2008年1~10月,我國大陸地區政府網站被篡改數量達3220個。

而據統計調查, 現階段政府網站系統的安全措施還多數僅限于購置防火墻等對病毒的防護,但是現行的各類攻擊行為大多是利用操作系統以及網站程序自身的漏洞和缺陷進行攻擊,而政府機構原有的安全措施(如安裝防火墻、入侵檢測)則主要集中在網絡層上,無法對此類攻擊事件形成有效的監控和防護。在前不久召開的全省信息安全等級保護工作會議上更是爆出,全省201個重要政府網站中有141個網站存在跨站漏洞、注入漏洞和網馬漏洞等各類安全漏洞,占總數的70%。

從網站安全防護的專業角度大致分析,目前常見的安全漏洞主要有以下幾種:

SQL注入漏洞

跨站腳本漏洞

邏輯錯誤漏洞

Cookie欺騙漏洞

信息泄露漏洞

拒絕服務漏洞

訪問控制錯誤漏洞

其中又以SQL注入和跨站腳本漏洞最為常見。縱觀這些安全漏洞問題,對于任何一家專業的網站建設公司應該都不存在太高的技術難度。而政府網站之所以會出現如此大面積的安全隱患,筆者認為主要有兩方面的因素。

首先是長期以來,各級政府單位對網站安全缺乏足夠認識,許多政府網站的安全體系十分脆弱,應急響應能力也不強,面對漏洞信息的分析處理缺乏必要的認識和判別。雖然國家制定的《信息安全等級保護管理辦法》已經正式實施兩年多了,但是落實情況不容樂觀。有關主管部門和運營使用單位對信息安全建設不夠重視,經費投入不夠,“重形式、輕安全”的問題嚴重。

其次是混亂無序的市場競爭,導致政府網站建設的質量沒有保障。網絡泡沫經濟和較低的技術門檻催生了大批的網站建設公司,相互之間的慘烈競爭早已將網站建設的價格砍殺到了“白菜價”。面對魚龍混雜的市場,由于專業知識的缺乏,用戶在選擇服務商時很難準確分辨,只能根據價格因素和主觀直覺來下決定。而構建一個功能完善、安全、可靠的政府門戶網站其實涉及到具體業務、美工設計、人機互動、程序開發、數據庫、網絡營銷、信息安全、基礎網絡等多個方面,是一個復雜的系統工程,而且相關規范和標準還非常缺乏。

由此可見出現如此大面積的網站安全漏洞問題不足為怪。

因此各級政府網站主管部門一方面要認真學習和落實《信息安全等級保護管理辦法》,不斷強化信息化安全意識,另一方面也要轉變自身對網站建設的認識,選擇有長期技術積累真正專業的開發商。

在此次安全檢查中,阜陽市政府網站和巢湖市政府網站都沒有發現安全漏洞,除了主管部門安全意識較強,很重要的一點是因為這兩家政府網站都采用了一套成熟、安全、可靠的網站基礎管理平臺ezSITE4.0。

ezSITE產品是由我省最早從事門戶網站開發的億企網絡公司自主研發的門戶網站管理軟件,該產品經過多年的不斷完善和改進,為各級政府單位提供了全方位的網站群管理功能,特別針對當前日趨惡劣的網絡環境,產品采用了多項安全防范措施。大致包括以下幾類:

1.安全過濾器對用戶輸入數據進行安全消毒

對用戶提交內容進行可靠的輸入驗證。這些提交內容包括URL、查詢關鍵字、http頭、POST數據等。只接受規定長度范圍內、規定格式、規定字符內容。阻塞、過濾SQL語句關鍵詞語和相關特殊詞語,以及其它的非法內容。

2.關閉數據庫和WEB服務器的錯誤信息提示功能

服務器錯誤提示信息中可能會包含重要的服務器、程序和數據庫信息。關閉服務器出錯提示功能,防止惡意用戶人為制造程序錯誤并從錯誤提示中獲取相關信息,增加攻擊的難度。

3.HTTP動作限制

我們訪問服務器,一般有GET、HEAD、POST常見的HTTP動作,也有一些其他的動作,比如:PUT、DELETE、OPTIONS、TRACE、CONNECT等,有些HTTP動作具備一定的危險性。作為一般主機使用,只允許GET、HEAD、POST 三個動作即可。對其他動作幾乎很少使用進行限制,從而保證服務器被攻擊的可能。

4.用戶密碼加密

對登陸用戶的密碼進行加密,以防止數據庫被攻入后獲取用戶登陸密碼,造成進一步的破壞。

5.最小化數據庫用戶權限

對數據庫用戶設置最小化權限,如對數據庫用戶僅設置對必要數據表的查詢、更新或刪除權限,禁止調用系統存儲過程等。

除以上介紹的安全編程、WEB程序級別過濾等措施以外,億企網絡同時還根據《信息安全等級保護管理辦法》的要求,幫助用戶定期進行網站信息安全檢查,制定《網站安全維護管理制度》和進行WEB攻擊檢測分析,從而建立較為完善的網站安全防范體系,確保政府網站安全運行。

 
 
 
推薦圖文
 
 
關于我們 | 防騙指南 | 法律聲明 | 咨詢舉報 | 聯系億企 | 手機瀏覽 | RSS訂閱 | 網站地圖 | 友情鏈接
 
排列3走势图 出生年月日算幸运数字 凡人传说炼丹材料 中秋月光派对闯关 山西十一选五预测专家推荐 我叫mt4新职业 福建麻将作弊道具 11选5走势图表 广东十一选五走势图360 捕鱼大师游戏 黑龙江22选5中奖复式规则