亿企网
IPO 香港上市 企业上市培训
股票投资 比较对比 A股与港股比较
香港上市优势 香港上市条件 香港上市流程
香港上市时间 香港上市费用 香港上市模式
香港上市规则 香港上市融资 香港上市市盈率
企业资产评估 香港上市财务 香港上市税务
香港上市律所 上市保荐人 香港上市策划
主板上市公司 创业板上市公司 股票开户交易
赴港上市IPO A股与港股比较 香港上市优势
香港上市条件 香港上市流程 香港上市时间
香港上市费用 香港上市模式 香港上市规则
香港上市融资 香港上市市盈率 企业资产评估
香港上市财务 香港上市税务 香港上市律所
上市保荐人 香港上市策划 主板上市公司
创业板上市公司 股票开户交易
当前位置: 首页 » 行业资讯 » 网站建设 » 正文

浅谈政府门户网站的安全问题

放大字体  缩小字体 发布日期:2011-11-30  来源:b2b网站大全  浏览次数:1410

自网络诞生以来,安全就成为一个重要话题。政府网站又因其公信力高、影响力大,成为黑客重要的攻击目标,尤其是含有政治攻击色彩的篡改,会对政府形象造成严重损害。统计数据显示,2008年1~10月,我国大陆地区政府网站被篡改数量达3220个。

而据统计调查, 现阶段政府网站系统的安全措施还多数仅限于购置防火墙等对病毒的防护,但是现行的各类攻击行为大多是利用操作系统以及网站程序自身的漏洞和缺陷进行攻击,而政府机构原有的安全措施(如安装防火墙、入侵检测)则主要集中在网络层上,无法对此类攻击事件形成有效的监控和防护。在前不久召开的全省信息安全等级保护工作会议上更是爆出,全省201个重要政府网站中有141个网站存在跨站漏洞、注入漏洞和网马漏洞等各类安全漏洞,占总数的70%。

从网站安全防护的专业角度大致分析,目前常见的安全漏洞主要有以下几种:

SQL注入漏洞

跨站脚本漏洞

逻辑错误漏洞

Cookie欺骗漏洞

信息泄露漏洞

拒绝服务漏洞

访问控制错误漏洞

其中又以SQL注入和跨站脚本漏洞最为常见。纵观这些安全漏洞问题,对于任何一家专业的网站建设公司应该都不存在太高的技术难度。而政府网站之所以会出现如此大面积的安全隐患,笔者认为主要有两方面的因素。

首先是长期以来,各级政府单位对网站安全缺乏足够认识,许多政府网站的安全体系十分脆弱,应急响应能力也不强,面对漏洞信息的分析处理缺乏必要的认识和判别。虽然国家制定的《信息安全等级保护管理办法》已经正式实施两年多了,但是落实情况不容乐观。有关主管部门和运营使用单位对信息安全建设不够重视,经费投入不够,“重形式、轻安全”的问题严重。

其次是混乱无序的市场竞争,导致政府网站建设的质量没有保障。网络泡沫经济和较低的技术门槛催生了大批的网站建设公司,相互之间的惨烈竞争早已将网站建设的价格砍杀到了“白菜价”。面对鱼龙混杂的市场,由于专业知识的缺乏,用户在选择服务商时很难准确分辨,只能根据价格因素和主观直觉来下决定。而构建一个功能完善、安全、可靠的政府门户网站其实涉及到具体业务、美工设计、人机互动、程序开发、数据库、网络营销、信息安全、基础网络等多个方面,是一个复杂的系统工程,而且相关规范和标准还非常缺乏。

由此可见出现如此大面积的网站安全漏洞问题不足为怪。

因此各级政府网站主管部门一方面要认真学习和落实《信息安全等级保护管理办法》,不断强化信息化安全意识,另一方面也要转变自身对网站建设的认识,选择有长期技术积累真正专业的开发商。

在此次安全检查中,阜阳市政府网站和巢湖市政府网站都没有发现安全漏洞,除了主管部门安全意识较强,很重要的一点是因为这两家政府网站都采用了一套成熟、安全、可靠的网站基础管理平台ezSITE4.0。

ezSITE产品是由我省最早从事门户网站开发的亿企网络公司自主研发的门户网站管理软件,该产品经过多年的不断完善和改进,为各级政府单位提供了全方位的网站群管理功能,特别针对当前日趋恶劣的网络环境,产品采用了多项安全防范措施。大致包括以下几类:

1.安全过滤器对用户输入数据进行安全消毒

对用户提交内容进行可靠的输入验证。这些提交内容包括URL、查询关键字、http头、POST数据等。只接受规定长度范围内、规定格式、规定字符内容。阻塞、过滤SQL语句关键词语和相关特殊词语,以及其它的非法内容。

2.关闭数据库和WEB服务器的错误信息提示功能

服务器错误提示信息中可能会包含重要的服务器、程序和数据库信息。关闭服务器出错提示功能,防止恶意用户人为制造程序错误并从错误提示中获取相关信息,增加攻击的难度。

3.HTTP动作限制

我们访问服务器,一般有GET、HEAD、POST常见的HTTP动作,也有一些其他的动作,比如:PUT、DELETE、OPTIONS、TRACE、CONNECT等,有些HTTP动作具备一定的危险性。作为一般主机使用,只允许GET、HEAD、POST 三个动作即可。对其他动作几乎很少使用进行限制,从而保证服务器被攻击的可能。

4.用户密码加密

对登陆用户的密码进行加密,以防止数据库被攻入后获取用户登陆密码,造成进一步的破坏。

5.最小化数据库用户权限

对数据库用户设置最小化权限,如对数据库用户仅设置对必要数据表的查询、更新或删除权限,禁止调用系统存储过程等。

除以上介绍的安全编程、WEB程序级别过滤等措施以外,亿企网络同时还根据《信息安全等级保护管理办法》的要求,帮助用户定期进行网站信息安全检查,制定《网站安全维护管理制度》和进行WEB攻击检测分析,从而建立较为完善的网站安全防范体系,确保政府网站安全运行。

 
 
 
推荐图文
 
 
关于我们 | 防骗指南 | 法律声明 | 咨询举报 | 联系亿企 | 手机浏览 | RSS订阅 | 网站地图 | 友情链接