快看 保障您網站安全的十點技巧

　　香港娛樂圈“艷照門事件沸沸揚揚，究其原因無關道德，實在是電腦不安全，照片和錄象被洩密了。

　　只有掌握了信息安全技術，才不會擔心你的信息的丟失，不擔心你上網會被盜竊銀行密碼和QQ密碼郵箱密碼，我們才不會出現陳冠希一樣的尴尬。

　　春節前後，網上炒的最沸騰的就是“艷照門了，這在信息安全這個小小的圈子裡也一個不大不小的熱點。一時間眾說紛纭，社交工程、信息銷毀、道德法律等字眼都進入眼簾。

　　我就想不到那麼復雜的東東，我覺得就是兩個小的細節沒有做好。

　　1.送修前沒有將硬盤卸除或者徹底銷毀關鍵數據：由於種種的不方便，似乎很少人這麼做。

　　2.沒有在維修時進行全程維修陪同監控：由於沒有這方面的意識，似乎很少人這麼做。

　　如果這兩個小動作做了，那麼就可以避免此次安全事件的發生。

　　對於網站的站長來說，安全應該怎麼做呢？

　　目前很多人都采用動網、LEADBBS、動易系統等程序做網站，由於源碼公開，因此程序漏洞暴露明顯，很容易被黑，安全專家陳十三哥建議大家參考以下部分安全建議，做好自身安全：

　　(1)仔細查看安裝說明，切記修改默認數據庫名，並且一定要把擴展名改為asp或者asa，因為不經處理的數據庫可以直接下載，根本無安全可言，另外可以把數據庫所在目錄改名。

　　(2)盡量不采用無組件上傳，使用其他組件上傳方式（比如Fileup或LyfUpload），部分無組件上傳帶有嚴重漏洞，一般可通過修改upfile.asp文件選擇上傳方式。

　　(3)經常訪問相關官方網站，關注程序安全漏洞和更新版本，及時給自己程序升級或打上補丁。

　　(4)盡量不采用修改版和插件版的程序，因為修改後的程序會使漏洞更多，而且補丁也不一定完全適用。

　　(5)設置相對復雜的FTP密碼和網站管理密碼並經常修改，同時考慮修改網站後台管理的文件名稱。

　　(6)經常檢查網站內文件，發現可疑文件後及時處理，並分析可能的原因。

　　(7)對於SQL數據庫，您可以用企業管理器連接，然後把重要數據表設置為只讀權限，如動網的DV_Admin表修改為只讀以後，可以防止任何方式添加管理員。

　　(8)二次開發時切記做好對特殊符號的過慮，防止注入漏洞。

　　(9)經常備份自己的網站數據，因為網站安全的第一要求就是備份，防止被黑以後數據丟失。

　　(10)如果有服務器管理權限建議把論壇上傳圖片目錄設置權限最低。

　　在網絡攻擊成倍增長的今天，網絡反黑客保安全已經成為每個計算機用戶的必備課程。欲成為成功的信息安全專業人士，不僅需要不斷更新最尖端的安全知識，還需要對商務過程和風險管理有深刻認識。就現在許多IT公司的現狀來看，基本上每一個公司都有一名或多名（部門）專職的人員負責著公司內網、外網、服務器的網絡安全維護。而隨著網絡應用的不斷普及與信息安全服務需求市場的不斷成熟，逐漸出現了一些專業的以信息安全服務為主要業務的團隊、公司。

　　大多數公司的網管僅僅是程序人員和網頁設計人員，對安全涉獵有限。而且，網絡是否安全，有時並不是網絡所有者自己完全清楚的。所以，許多公司要請第三方評估機構或專家來完成對網絡安全的評估。這樣做的好處是：能對自己所處的環境有個更加清醒的認識，把未來可能的風險降到最小。目前網絡安全評估的中介機構，國外已經開始將網絡的安全評估作為一個新的服務項目向社會推出。作為一種新興的業務，其影響是否能象會計師事務所、審計師事務所之類的中介機構那樣重要，尚需拭目以待。但有一點可以肯定，那就是網絡上的商機同樣也與風險同存。要想獲得利潤，就必須將安全問題解決。

　　作者：Jack

　　【賽迪網-IT技術報道】在上周四(3月27日)的“PWN 2 OWN”2008年全球黑客大賽上，黑客謝恩?麥考萊(Shane Macaulay)一舉攻破微軟Vista系統，並因此獲得5000美元獎金和一台作為獎品的筆記本。

　　本周一，麥考萊將其獎品筆記本在eBay上拍賣，起價為0.01美元，並模稜兩可的暗示這台機器可能仍含有可攻擊Vista的執行代碼。由於周一是歐美國家盛行的愚人節，有人懷疑麥考萊是在惡作劇。但麥考萊當天表示，這台富士通筆記本已歸他個人所有，他本人有權對其隨意處置。

　　當晚美國太平洋時間11點，eBay網站刪除了麥考萊上述拍賣信息，並稱他的這種做法不利於廣大計算機用戶安全。eBay一位發言人表示：“麥考萊的拍賣信息上故意添加了含有Vista攻擊代碼等字樣，這已經引起了網絡安全專家們的注意。”

　　“PWN 2 OWN”2008年全球黑客大賽於上周三進行，大賽舉辦方提供了三部運行不同操作系統的筆記本電腦，以供各參賽黑客小組實施攻擊，這些操作系統分別為微軟Vista、蘋果Mac OS X及Ubuntu Linux。周三當天，所有參賽小組都沒能成功攻破任何一台筆記本。

　　上周四大賽舉辦方改變了攻擊規則，當天以查理?米勒(CharlIE Miller)為主的參賽小組在不到2分鐘時間內攻破了蘋果MacBook Air超薄筆記本，並為此獲得了1萬美元獎金。周五是大賽的最後一天。當天參賽黑客謝恩?麥考萊(Shane Macaulay)一舉攻破了微軟Vista系統，所獲獎金為5000美元。到周五為止，只有運行Ubuntu系統的筆記本沒有被攻破。

　　業界人士稱，如果麥考萊上述拍賣行為不是開愚人節玩笑，他就有可能違反了PWN 2 OWN大賽的相應規則。此前大賽舉辦方規定，任何參賽人員發現相應漏洞後，不得對外公布他們所發現的產品漏洞和相應攻擊方式，以便相應廠商能及時修補漏洞。

　　(責任編輯：李磊)

　　黑客技術的發展似乎是一個個輪回，從最早開始的Dos洪水攻擊，到後來黑客們更鐘情的漏洞入侵，直到現階段DoS攻擊再現。這種看似原始但直到現在也沒有完備方案解決的攻擊方式，讓叱詫風雲的Yahoo、CNN、eBay也深受其害。DoS攻擊有何德何能？當企業面對DoS攻擊時，又有哪些策略可以減小損失呢？

　　一、了解DoS本質

　　對於安全界來說，DoS攻擊原理極為簡單，早已為人們所熟知。但目前全球每周所遭遇的DoS攻擊依然達到4000多次，正是因為簡單、頑固的原因，讓DoS攻擊如野草般燒之不盡，DoS攻擊最早可追述到1996年，在2000年發展到極致，這期間不知有多少知名網站遭受到它的騷擾。

　　所謂DoS，全稱為Denial of Service——拒絕服務。它通過協議方式，或抓住系統漏洞，集中對目標進行網絡攻擊，直到對方網絡癱瘓，大家常聽說的洪水攻擊，瘋狂Ping攻擊都屬於此類。由於這種攻擊技術門檻較低，並且效果明顯，防范起來比較棘手，所以其一度成為准黑客們的必殺武器，進而出現的DDoS（Distubuted Denial of Service分布式拒絕服務）攻擊，更是讓網絡安全管理員感到頭痛。

　　不過我們應該看到，DoS攻擊僅僅是破壞對方網絡訪問狀態，不會進行實質性的入侵，對服務器和網絡設備不構成致命傷害，但對於提供Web服務的企業來說，該攻擊方式仍然會造成比較大的損失。雖然目前業界沒有提供統一標准的防護方式，但我們仍然可以從一些操作習慣和設備環境部署上減小DoS攻擊帶來的危害。

　　二、防御DoS攻擊措施

　　在應對常見的DoS攻擊時，路由器本身的配置信息非常重要，管理員可以通過以下幾個方面，來防止不同類型的DoS攻擊。

　　擴展訪問列表是防止DoS攻擊的有效工具，其中Show IP access-list命令可以顯示匹配數據包，數據包的類型反映了DoS攻擊的種類，由於DoS攻擊大多是利用了TCP協議的弱點，所以網絡中如果出現大量建立TCP連接的請求，說明洪水攻擊來了。此時管理員可以適時的改變訪問列表的配置內容，從而達到阻止攻擊源的目的。