Web安全問答（1）

問：如何保障網站管理員密碼安全

答：攻擊者獲取到網站管理員密碼可能有幾種途徑：1.通過暴力猜解 2.通過漏洞攻擊獲取權限后更改管理員密碼 3.通過社會工程獲得。對于暴力猜解，在構建網站時，需要選擇強度較高的加密算法，選擇密碼時，應該選擇復雜密碼，采用大小寫、數字、特殊字符混合的密碼，并定期更換密碼。在網站認證頁面的也應該有抗暴力猜解的設計。對于通過漏洞獲取權限的，需要定期檢查服務器是否存在操作系統(tǒng)、服務、應用是否存在漏洞，及時安裝補丁包，檢測安全配置。對于通過社會工程泄露的，需要制定并執(zhí)行安全準則，來控制密碼的保存和傳遞的范圍與流程。

Web安全問答（2）

問：如何應對DOS/DDOS攻擊

答：從目前現有的技術角度來講，還沒有一項解決辦法針對DoS非常有效。所以，防止DoS攻擊的最佳手段就是防患于未然。也就是說，首先要保證一般的外圍主機和服務器的安全，使攻擊者無法獲得大量的無關主機，從而無法發(fā)動有效攻擊。一旦單位內部的主機或臨近網絡的主機被黑客侵入，那么其他的主機被侵入的危險會變得很大。同時，如果網絡內部或鄰近的主機被用來對本機進行DoS攻擊，攻擊的效果會更明顯。所以，必須保證這些外圍主機和網絡的安全。尤其是那些擁有高帶寬和高性能服務器的網絡，往往是黑客的首選目標。保護這些主機最好的辦法就是及時了解有關本操作系統(tǒng)的安全漏洞以及相應的安全措施，及時安裝補丁程序并注意定期升級系統(tǒng)軟件，以免給黑客以可乘之機。另外，網管人員要加強對網絡流量的管理，對網絡資源的使用情況和帶寬分配進行限制或控制， 通過流量過濾產品進行限流，同時配合網絡審計產品，可以對攻擊進行審計和記錄，溯源的同時可用于事后取證，必要時向ISP進行舉報。

問：什么叫網絡釣魚

答：網絡釣魚（Phishing，又名釣魚法或釣魚式攻擊）是通過傳播聲稱來自于銀行或其他知名機構的欺騙信息，意圖引誘受害者給出敏感信息（如用戶名、口令、帳號 ID 、 ATM PIN 碼或信用卡詳細信息）的一種攻擊方式。最典型的網絡釣魚攻擊將受害者引誘到一個通過精心設計與目標組織的網站非常相似的釣魚網站上，并獲取受害者在此網站上輸入的個人敏感信息，通常這個攻擊過程不會讓受害者警覺。它是“社會工程攻擊”的一種形式。

問：能否提供一些網站安全管理制度方面的建議

答：不同的機構對網站安全的要求不一樣，因此也不會有通用的安全管理制度，這里列舉一些重點需要考慮的方面供參考：數據備份制度--應當對重要文件、數據、操作系統(tǒng)及應用系統(tǒng)作定期備份，以便應急恢復。特別重要的部門還應當對重要文件和數據進行異地備份?？诹罟芾碇贫?-應該選擇復雜密碼，采用大小寫、數字、特殊字符混合的密碼，并定期更換密碼。不應該把密碼以紙質或電子的形式記錄下來，防止丟失。物理安全制度--應當建立嚴格的門禁制度和日常管理制度，機房及機房內所有設備都應當由專人負責管理，每日應有機房值班記錄、出入人員記錄和各主要設備運行情況的記錄。外來的系統(tǒng)維護人員進入機房，應當由值班人員陪同并對其工作內容做詳細記錄。系統(tǒng)運行期間的定期檢測和升級制度--鑒于網絡安全建設動態(tài)發(fā)展和不斷更新的特點，應當對系統(tǒng)漏洞和弱點進行定期檢測，并根據檢測的結果采取相應的措施。要及時對操作系統(tǒng)、數據庫等系統(tǒng)軟件進行補丁包升級或者版本升級，關閉不必要的服務和端口，以防黑客利用系統(tǒng)漏洞和弱點非法入侵。審計制度--定期對各系統(tǒng)日志進行分析審計，便于發(fā)現是否存在異常的訪問行為。應急響應制度--應當充分估計各種突發(fā)事件的可能性，做好應急響應方案，進行定期演練。同時，要與崗位責任制度相結合，保證應急響應方案的及時實施，將損失降到最低程度。