专家支招：中小型网站的安全防范问题

“网站黑客”、“奥运黑客”，似乎较近成为了互联网安全方面的一个热话题，从Google上搜索“奥运黑客”一词，竟达646,000多项，可见所受的关注度之  高，而普通网站也在较近频频传出被黑客攻击的消息，据有关数据显示：今年1到5月,全国有3万多个网站遭到“黑客”入侵！

　　专家支招一：构建安全服务器环境，严防先进道锁 

　　据陕西地震局一位负责网站维护的技术人员告诉记者，陕西地震网遭受到了黑客攻击，*页显示的“网站出现重大安全漏洞”的信息属黑客发布的虚假信息，而目前网站运行安全，并未出现技术漏洞。我们在谴责“地震黑客”的同时，也在思考另一个问题，怎么样来保障我们的网站安全运行？对此问题，记者走访了国内中小型网站安全防范问题专家。 

　　据介绍：构建安全服务器环境，构筑黑客攻击先进链条。但构建安全的服务器环境来抵御“黑客”攻击，其涉及面相当广，但就中小型网站而言，大致可从三个方面来进行：（一）技术层面：采用软硬件防火墙、杀毒软件、页面防篡改系统来建立一个结构上较完善的Web服务器环境；（二）服务方面，进行网络拓扑分析、建立中心机房管理制度、建立操作系统以及防病毒软件定期升级机制、对重要服务器的访问日志进行备份，通过这些服务，增强网络的抗干扰性；（三）支持方面，要求服务商提供故障排除服务，以提高网络的性。 

　　但目前大多数中小型网站都是以虚拟主机的形式托管的，要提高网站安全性，降0黑客攻击风险，网站管理员就应及时给自己的网站程序打上较新的补丁，在开发的时候应加强安全意识，注意防止注入漏洞、上传漏洞等问题，同时把网站托管在技术实力强、安全系数高、能主动帮客户解决安全的服务商处，以网站安全运行环境的安全。 

　　专家支招二：重视网站系统安全，布控第二把锁 

　　构建安全服务器的环境，只是从外围进行阻击“黑客”的攻击，但更重要的还是要保障网站系统安全，防止黑客利用系统漏洞进行攻击，从而威胁网站安全。 

　　据动易公司网络安全专家介绍：根据2007年 OWASP 组织发布的 Web 应用程序脆弱性10大排名的统计结果表明，跨站脚本、注入漏洞、跨站请求伪造、信息泄露等方面的问题仍然是目前黑客流行的攻击方式，而其中尤以SQL注入攻击和跨站脚本攻击为重，所谓的SQL注入攻击就是利用程序员在编写代码时没有对用户输入数据的合法性进行判断，导致入侵者可以通过插入并执行恶意SQL命令，获得数据读取和修改的权限；而跨站脚本攻击则是通过在网页中加入恶意代码，当访问者浏览网页时，恶意代码会被执行或者通过给管理员发信息的方式诱使管理员浏览，从而获得管理员权限，控制整个网站。 

　　那么，对这种黑客攻击方式有没有有效的安全手段进行阻击呢？据悉，在SiteFactory? 内容管理系统开发中，针对各种攻击方式都制定了相应完整的防御方案，并且借助 ASP.NET 的特性和功能，可以有效的抵制恶意用户对网站进行的攻击，提高网站的安全性，但就针对目前SQL注入攻击和跨站脚本攻击，其更加有效的阻击手段是什么呢？为此，我们向动易网络安全专家了解，他向我们介绍了一些安全手段： 

　　（一）对于SQL注入攻击：动易系统采用对SQL查询语句中的查询参数进行过滤；使用类型安全的SQL参数化查询方式，从根本上解决SQL注入的问题；URL参数类型、数量、范围限制功能，解决恶意用户通过地址栏恶意攻击的问题等，这些手段是控制SQL注入的，还包括其它的一些过滤处理，和其它的对用户输入数据的验证来防止SQL注入攻击。 

　　（二）：对于跨站脚本攻击：在对于不支持HTML的内容直接实行编码处理的办法，来从根本上解决跨站问题。而对于支持Html的内容，我们有专门的过滤函数，会对数据进行安全处理（依据XSS攻击库的攻击实例），虽然这种方式目前是安全的，但不代表以后也一定是安全的，因为攻击手段会不断翻新，我们的过滤函数库也会不断更新。 

　　另外对于外站访问和直接访问我们也做了判断，从一定程度上也可以避免跨站攻击。即使出现了了跨站攻击，我们也会将攻击的影响减到较小：一、对于后台一些会显示HTML内容的地方，通过frame的安全属性security="restricted"来阻止脚本的运行（IE有效）；二、使用Cookie的HttpOnly属性来防止Cookie通过脚本泄密（IE6 SP1以上、Firefox 3）；三、身份验证票据都是加密过的；四、推荐使用更高版本的IE或者FF。 

昆明去巴厘岛旅游攻略，昆明去巴厘岛旅游攻略路线

    疫情结束后，你最想去哪里旅行？ 最想去武汉，看看疫情过后武汉的模样，感受一下重灾之后武汉人民的心情，也更真切地去了解一下疫情之时他们的真实经历，在自己的回忆中留下2020年春节前后，所谓的新控肺炎留给历史的记录。 昆明有哪些适合野餐露营的地方？ 谢谢。 以下几个，提供请参考一下。 【石林长湖】 石林长湖风景区，距离石林县城15公里左右。长湖是传说中阿诗玛的故乡，因湖的位置比较隐蔽，又被称作“藏...

       “网络推广”大赛 中文域名优势凸显 “网络推广” 大赛是A5举办的一次全国性的SEO大赛，大赛获得了广泛的关注，数千站长积极参与，对于促进国内SEO界的交流与提高起到了积极作用。记者联系了多名参赛站长及一些业内人士，大家都对这次大赛给予了高度评价。经过与这些站长的讨论以及对比赛的观察，记者发现今年的比赛和往年相比有很多新的特点，很多站长应用一些崭新的技术进行优化并取得了很好的成绩。 　　大赛的一个亮点就是使用中文域名进行SEO优化。...

       湖南全面启动光纤宽带网络建设 据报道，湖南省政府近日在长沙市举行宽带提速与光纤到户工程启动仪式。随着湖南省副省长黄兰香和有关单位负责人共同触摸启动球，宽带提速与光纤到户工程正式启动，也标志湖南省落实宽带中国、促进信息消费重点工程正式拉开序幕。 　　湖南省通信管理局局长熊四皓在启动仪式上介绍了工程情况，长沙市人民政府副市长何寄华就宽带在长沙市的发展作了介绍和要求，省经信委主任谢超英就宽带发展提了要求。 　　黄兰香致辞指出，要深刻...

       深圳福田光之谷照明和虎网科技签订网站建设事宜 光之谷是经深圳市福田区工商局审核的有资质公司，统一社会信用代码：914403000539761701。同时经国家工信部和广东省通信管理局审核通过ICP备案；备案号：粤ICP备11021573号。光之谷在深圳市福田区区益田路3013号南方国际B2115。光之谷选用虎网站定制型网站案例，此类网站主要是按客户要求和提供的风格案例或效果图纸来做，这种属于仿制和定制型网站，是根据功能开发的难易度来评估报价的...

       广州海珠摩可电子配件和虎网科技签订网站建设协议 摩可选用虎网站定制型网站案例，此类网站主要是按客户要求和提供的风格案例或效果图纸来做，这种属于仿制和定制型网站，是根据功能开发的难易度来评估报价的，价格相对较高，适合于大中型企业和有个性风格、个性功能需求的客户选用。摩可坐落于广州市海珠区宝岗大道润田街19号B座301。摩可是经广州市海珠区工商局审核的正规企业，统一社会信用代码：91440113583367567U。 　　摩可致力于打造全球高端保护...

       宝安艺佳LED屏同虎网科技签署网站建设合约 艺佳选用虎网站企业商务型网站案例，其功能具备实用型所有配置外、特别值得关注的是增设了SEO深度优化，不管是内页还是标题都能够独立和个性化设置关键词和长尾词，更适合进行全站seo优化。艺佳是经深圳市宝安区工商局审核的有资质公司，统一社会信用代码：91440300MA5DB6HM2Y。艺佳位于深圳市宝安区石岩街道料坑新村东一巷7栋705号。 　　深圳市艺佳光电科技有限公司是一家集科研、开发、生产、工程...