Web安全問(wèn)答（1）

問(wèn)：如何保障網(wǎng)站管理員密碼安全

答：攻擊者獲取到網(wǎng)站管理員密碼可能有幾種途徑：1.通過(guò)暴力猜解 2.通過(guò)漏洞攻擊獲取權(quán)限后更改管理員密碼 3.通過(guò)社會(huì)工程獲得。對(duì)于暴力猜解，在構(gòu)建網(wǎng)站時(shí)，需要選擇強(qiáng)度較高的加密算法，選擇密碼時(shí)，應(yīng)該選擇復(fù)雜密碼，采用大小寫(xiě)、數(shù)字、特殊字符混合的密碼，并定期更換密碼。在網(wǎng)站認(rèn)證頁(yè)面的也應(yīng)該有抗暴力猜解的設(shè)計(jì)。對(duì)于通過(guò)漏洞獲取權(quán)限的，需要定期檢查服務(wù)器是否存在操作系統(tǒng)、服務(wù)、應(yīng)用是否存在漏洞，及時(shí)安裝補(bǔ)丁包，檢測(cè)安全配置。對(duì)于通過(guò)社會(huì)工程泄露的，需要制定并執(zhí)行安全準(zhǔn)則，來(lái)控制密碼的保存和傳遞的范圍與流程。

Web安全問(wèn)答（2）

問(wèn)：如何應(yīng)對(duì)DOS/DDOS攻擊

答：從目前現(xiàn)有的技術(shù)角度來(lái)講，還沒(méi)有一項(xiàng)解決辦法針對(duì)DoS非常有效。所以，防止DoS攻擊的最佳手段就是防患于未然。也就是說(shuō)，首先要保證一般的外圍主機(jī)和服務(wù)器的安全，使攻擊者無(wú)法獲得大量的無(wú)關(guān)主機(jī)，從而無(wú)法發(fā)動(dòng)有效攻擊。一旦單位內(nèi)部的主機(jī)或臨近網(wǎng)絡(luò)的主機(jī)被黑客侵入，那么其他的主機(jī)被侵入的危險(xiǎn)會(huì)變得很大。同時(shí)，如果網(wǎng)絡(luò)內(nèi)部或鄰近的主機(jī)被用來(lái)對(duì)本機(jī)進(jìn)行DoS攻擊，攻擊的效果會(huì)更明顯。所以，必須保證這些外圍主機(jī)和網(wǎng)絡(luò)的安全。尤其是那些擁有高帶寬和高性能服務(wù)器的網(wǎng)絡(luò)，往往是黑客的首選目標(biāo)。保護(hù)這些主機(jī)最好的辦法就是及時(shí)了解有關(guān)本操作系統(tǒng)的安全漏洞以及相應(yīng)的安全措施，及時(shí)安裝補(bǔ)丁程序并注意定期升級(jí)系統(tǒng)軟件，以免給黑客以可乘之機(jī)。另外，網(wǎng)管人員要加強(qiáng)對(duì)網(wǎng)絡(luò)流量的管理，對(duì)網(wǎng)絡(luò)資源的使用情況和帶寬分配進(jìn)行限制或控制， 通過(guò)流量過(guò)濾產(chǎn)品進(jìn)行限流，同時(shí)配合網(wǎng)絡(luò)審計(jì)產(chǎn)品，可以對(duì)攻擊進(jìn)行審計(jì)和記錄，溯源的同時(shí)可用于事后取證，必要時(shí)向ISP進(jìn)行舉報(bào)。

問(wèn)：什么叫網(wǎng)絡(luò)釣魚(yú)

答：網(wǎng)絡(luò)釣魚(yú)（Phishing，又名釣魚(yú)法或釣魚(yú)式攻擊）是通過(guò)傳播聲稱來(lái)自于銀行或其他知名機(jī)構(gòu)的欺騙信息，意圖引誘受害者給出敏感信息（如用戶名、口令、帳號(hào) ID 、 ATM PIN 碼或信用卡詳細(xì)信息）的一種攻擊方式。最典型的網(wǎng)絡(luò)釣魚(yú)攻擊將受害者引誘到一個(gè)通過(guò)精心設(shè)計(jì)與目標(biāo)組織的網(wǎng)站非常相似的釣魚(yú)網(wǎng)站上，并獲取受害者在此網(wǎng)站上輸入的個(gè)人敏感信息，通常這個(gè)攻擊過(guò)程不會(huì)讓受害者警覺(jué)。它是“社會(huì)工程攻擊”的一種形式。

問(wèn)：能否提供一些網(wǎng)站安全管理制度方面的建議

答：不同的機(jī)構(gòu)對(duì)網(wǎng)站安全的要求不一樣，因此也不會(huì)有通用的安全管理制度，這里列舉一些重點(diǎn)需要考慮的方面供參考：數(shù)據(jù)備份制度--應(yīng)當(dāng)對(duì)重要文件、數(shù)據(jù)、操作系統(tǒng)及應(yīng)用系統(tǒng)作定期備份，以便應(yīng)急恢復(fù)。特別重要的部門還應(yīng)當(dāng)對(duì)重要文件和數(shù)據(jù)進(jìn)行異地備份?？诹罟芾碇贫?-應(yīng)該選擇復(fù)雜密碼，采用大小寫(xiě)、數(shù)字、特殊字符混合的密碼，并定期更換密碼。不應(yīng)該把密碼以紙質(zhì)或電子的形式記錄下來(lái)，防止丟失。物理安全制度--應(yīng)當(dāng)建立嚴(yán)格的門禁制度和日常管理制度，機(jī)房及機(jī)房?jī)?nèi)所有設(shè)備都應(yīng)當(dāng)由專人負(fù)責(zé)管理，每日應(yīng)有機(jī)房值班記錄、出入人員記錄和各主要設(shè)備運(yùn)行情況的記錄。外來(lái)的系統(tǒng)維護(hù)人員進(jìn)入機(jī)房，應(yīng)當(dāng)由值班人員陪同并對(duì)其工作內(nèi)容做詳細(xì)記錄。系統(tǒng)運(yùn)行期間的定期檢測(cè)和升級(jí)制度--鑒于網(wǎng)絡(luò)安全建設(shè)動(dòng)態(tài)發(fā)展和不斷更新的特點(diǎn)，應(yīng)當(dāng)對(duì)系統(tǒng)漏洞和弱點(diǎn)進(jìn)行定期檢測(cè)，并根據(jù)檢測(cè)的結(jié)果采取相應(yīng)的措施。要及時(shí)對(duì)操作系統(tǒng)、數(shù)據(jù)庫(kù)等系統(tǒng)軟件進(jìn)行補(bǔ)丁包升級(jí)或者版本升級(jí)，關(guān)閉不必要的服務(wù)和端口，以防黑客利用系統(tǒng)漏洞和弱點(diǎn)非法入侵。審計(jì)制度--定期對(duì)各系統(tǒng)日志進(jìn)行分析審計(jì)，便于發(fā)現(xiàn)是否存在異常的訪問(wèn)行為。應(yīng)急響應(yīng)制度--應(yīng)當(dāng)充分估計(jì)各種突發(fā)事件的可能性，做好應(yīng)急響應(yīng)方案，進(jìn)行定期演練。同時(shí)，要與崗位責(zé)任制度相結(jié)合，保證應(yīng)急響應(yīng)方案的及時(shí)實(shí)施，將損失降到最低程度。