网站安全评估

网站安全评估文档（一）

二十一世纪是网络的时代，网络已跟我们的生活息息相关。而网站通过网络这个枢纽密切的联系着人们的日常生活，人们也通过各种各样的网站获取所需要的信息。因此，网站的安全也越来越被人们所重视。然而网络存在着各种各样的安全隐患，比如：COOKIE中毒，应用程序缓冲溢出，跨站脚本攻击，已知安全漏洞，强行浏览问题，参数篡改攻击等等，无时无刻不让使用者提心吊胆。

也许有的人说，我的系统是有防火墙保护的。防火墙是有访问过滤机制，但是还是无法应对许多恶意行为。虽然它可以设置访客名单，可以把恶意访问排除在外，但是如何鉴别恶意还是善意访问还是个问题。访问如果一旦被允许，后面的安全问题就不是防火墙能够解决的了。又比如，人们往往认为，网站使用了SSL加密就很安全了，网站起用SSL加密后，表明网站发送和接受的信息都经过了加密处理，但是SSL无法保障存储在网站里面的信息的安全。还有就是认为漏洞扫描工具没有发现任何问题网站就很安全。漏洞工具生成一些特殊的访问请求，发送给网站，在获取网站的响应信息后进行分析。但是它能够查找一些明显的网络安全漏洞，但是却没有办法对网站的应用程序进行检测，更别说查找程序中的漏洞了。因此，要使网站安全并不是只做表面的保护就可以高枕无忧了。国内的网站一般都采用ASP+ACCESS或者SQL的数据库后台，所以SQL注入就成了网站攻击最常见的一种方法。SQL注入是从正常的WWW端口访问，表面上看和一般的WEB页面访问没什么区别，所以防火墙都不会对SQL注入发出警报，如果管理员没有看IIS日志的习惯，可能被入侵了还不会发觉。在判断出可以SQL注入后，就可以通过工具（比如啊D SQLTOOLS）猜他的数据库名之类的信息了。当然，也可以用抓包的方法来获取网站的相关信息。

现在，许多黑客甚至可以突破SSL加密和各种防火墙，攻入WEB网站的内部获取信息。他们可以仅借浏览器和几个技巧，既套取WEB网站的保密信息。一旦你的网站遭受了恶意攻击，那连哭都来不及。

因此提高网站的安全性，已成为迫在眉睫的问题了。下面就从三个方面来分析相关的安全问题。

一、硬件环节。
从硬件的角度来提高网站的安全性有很多中办法，例如：不允许局域网内部私自介入外网，采用隔离网闸和放火墙，不允许接入层交换机直接连接到核心服务器等手段，都是从硬件的角度来提高网络的安全性的。在很长一段时间内，一提到网络安全人们所想到的都是软件漏洞。但随着技术和市场的发展，硬件安全正逐渐走入人们的视野。 以硬件为主的安全系统将比采用安全防护软件更不容易受到黑客入侵。若软件和硬件安全系统同使用，将使电脑使用者的资料获得更好的保护。在圈内，微软近日除了炫耀Longhorn操作系统之外，还首次展示了受到密切关注的新一代安全计算基准(NGSCB)的安全技术代码，这一技术先前被称为“Palladium”。NGSCB是在一台PC内 部创建第二种操作环境的硬件和软件的总合，这一环境旨在保护系统免遭恶意代码入侵。作为这一保护的一部分，NGSCB可以提供应用程序、附带硬件、内存以 及存储器之间安全的连接。在Palladium构想中，把用于认证和加密的密钥基本信息作为硬件预先嵌入个人电脑。购买支持Palladium的个人电脑 时，个人电脑独有的加密密钥就会被写入到这枚硬件芯片上。通过这个加密密钥，支持Palladium的OS可对运行于其上的程序进行认证， 并加密保存机密 数据。具体而言，也就是说支持Palladium的OS将会设置一个只有已经得到认证的程序才可以访问的保护区域。而保存在保护区域中的数据都是经过加密 的，即使被拷贝到其他电脑上，也无法还原。据称微软Palladium的第一个版本将仅供编写特定的商务应用程序而非消费软件。从上面的分析可以看出，Palladium的应用必须得到第三方的支持。在硬件方面，微软早于2002年9月份就开始分别与英特尔和AMD联合制定支持Palladium的硬件规格，此次AMD和英特尔推出支持Palladium的新产品正是合作的结果。预计，在今后的几年中，硬件安全的问题会越来越受到人们的重视。

二、操作系统漏洞来考虑
操作系统是计算机的灵魂，没有它的存在，我们现在可能还在不停的在烦人0101二进制编码中受苦。它给了我们友好的用户界面，让我们更容易的和计算机沟通。但是它也有很多缺陷。目前比较流行的操作系统，windows，linux，solaris等，都或多或少的存在着安全问题。

本文来源于：网站安全评估-变化吧门户
特别声明：以上文章内容仅代表作者本人观点，不代表变化吧门户观点或立场。如有关于作品内容、版权或其它问题请于作品发表后的30日内与变化吧联系。