重视网站系统安全，严防第一道锁

申请免费试用、咨询电话：400-8352-114

　近日，国内发生了多宗政府网站被黑事件。辽宁省食品安全网被黑，黑客留言提醒管理公司OA办公软件员修补服务器；安徽省淮北市烈山区政府网站被黑，公开信中发现了诸如减肥、除粉刺等小广告链接。据了解，该政府网站遭遇“挂马”并非个案，类似通过“黑”政府网站牟利的行为已构成一个产业链，政府网站因其在搜索引擎中排名靠前、能给广告所属网站带来更多流量而备受黑客青睐。来自工信部的统计信息显示：去年1月4日至10日，一周内境内被篡改的政府网站数量为178个。

　　黑客永远是安全界的天敌，相反只有黑客技术才能推进网络安全的发展，两者是相辅相成的。然而面对现在众多的网络黑客，政府网站到底该做哪些东西才能将安全进行到底呢?这是很现实的问题。我们在谴责黑客的同时，也在思考另一个问题，怎么样来保障我们的政府网站安全运行？政府网站建设的时候又要注意什么？为此，记者走访了网站安全防范专家。

　　专家支招一：重视网站系统安全，严防第一道锁

　　构建安全服务器的环境，只是从外围进行阻击“黑客”的攻击，但更重要的还是要保障网站系统安全，防止黑客利用系统漏洞进行攻击，从而威胁网站安全。

　　据管理公司OA软件网络安全专家介绍：根据OWASP 组织发布的 Web 应用程序脆弱性10大排名的统计结果表明，跨站脚本、注入漏洞、跨站请求伪造、信息泄露等方面的问题仍然是目前黑客流行的攻击方式，而其中尤以SQL注入攻击和跨站脚本攻击为重，所谓的SQL注入攻击就是利用程序员在编写代码时没有对用户输入数据的合法性进行判断，导致入侵者可以通过插入并执行恶意SQL命令，获得数据读取和修改的权限；而跨站脚本攻击则是通过在网页中加入恶意代码，当访问者浏览网页时，恶意代码会被执行或者通过给管理公司OA办公软件员发信息的方式诱使成都管理公司OA办公软件员浏览，从而获得管理公司OA办公软件员权限，控制整个网站。

　　那么，对这种黑客攻击方式有没有有效的安全手段进行阻击呢?据悉，在SmartGov 政府网站管理公司OA办公软件系统开发中，针对各种攻击方式都制定了相应完整的防御方案，并且借助 ASP.NET 的特性和功能，可以有效的抵制恶意用户对网站进行的攻击，提高网站的安全性，但就针对目前SQL注入攻击和跨站脚本攻击，其更加有效的阻击手段是什么呢？动易网络安全专家向我们介绍了一些安全手段：

　　(一)对于SQL注入攻击：动易系统采用对SQL查询语句中的查询参数进行过滤；使用类型安全的SQL参数化查询方式，从根本上解决SQL注入的问题;URL参数类型、数量、范围限制功能，解决恶意用户通过地址栏恶意攻击的问题等，这些手段是控制SQL注入的，还包括其它的一些过滤处理，和其它的对用户输入数据的验证来防止SQL注入攻击。

　　(二)：对于跨站脚本攻击：在对于不支持HTML的内容直接实行编码处理的办法，来从根本上解决跨站问题。而对于支持HTML的内容，管理公司OA软件有专门的过滤函数，会对数据进行安全处理(依据XSS攻击库的攻击实例)，虽然这种方式目前是安全的，但不代表以后也一定是安全的，因为攻击手段会不断翻新，管理公司OA软件的过滤函数库也会不断更新。

　　另外对于外站访问和直接访问我们也做了判断，从一定程度上也可以避免跨站攻击。即使出现了跨站攻击，我们也会将攻击的影响减到最小：一、对于后台一些会显示HTML内容的地方，通过frame的安全属性security="restricted"来阻止脚本的运行(IE有效);二、使用Cookie的HttpOnly属性来防止Cookie通过脚本泄密(IE6 SP1以上、Firefox 3);三、身份验证票据都是加密过的;四、推荐使用更高版本的IE或者FF。