正如同自古正邪不分家，黑客是互聯網安全的天敵，但同時也是互聯網安全技術進步的推動力。那么面對互聯網眾多的黑客，企業安全到底如何進行呢？

企業安全專家支招一：構建安全服務器環境，嚴防第一道鎖

據陜西地震局一位負責網站維護的技術人員告訴記者，陜西地震網遭受到了黑客攻擊，首頁顯示的“網站出現重大安全漏洞”的信息屬黑客發布的虛假信息，而目前網站運行安全，并未出現技術漏洞。我們在譴責“地震黑客”的同時，也在思考另一個問題，怎么樣來保障我們的網站安全運行?對此問題，記者走訪了國內中小型網站企業安全防范問題專家。

據介紹：構建安全服務器環境，構筑黑客攻擊第一鏈條。但構建安全的服務器環境來抵御“黑客”攻擊，其涉及面相當廣，但就中小型網站而言，大致可從三個方面來進行：

(一)：技術層面：采用軟硬件防火墻、殺毒軟件、頁面防篡改系統來建立一個結構上較完善的Web服務器環境；

(二)：服務方面，進行網絡拓撲分析、建立中心機房管理制度、建立操作系統以及防病毒軟件定期升級機制、對重要服務器的訪問日志進行備份，通過這些服務，增強網絡的抗干擾性，盡可能的保證企業安全；

(三)：支持方面，要求服務商提供故障排除服務，以提高網絡的可靠性。

但目前大多數中小型網站都是以虛擬主機的形式托管的，要提高企業安全性，降低黑客攻擊風險，網站管理員就應及時給自己的網站程序打上最新的補丁，在開發的時候應加強安全意識，注意防止注入漏洞、上傳漏洞等問題，同時把網站托管在技術實力強、安全系數高、能主動幫客戶解決安全的服務商處，以確保網站安全運行環境的安全。

企業安全專家支招二：重視網站系統安全，布控第二把鎖

構建安全服務器的環境，只是從外圍進行阻擊“黑客”的攻擊，但更重要的還是要保障網站系統安全，防止黑客利用系統漏洞進行攻擊，從而威脅企業安全。

據動易公司網絡安全專家介紹：根據2007年 OWASP 組織發布的 Web 應用程序脆弱性10大排名的統計結果表明，跨站腳本、注入漏洞、跨站請求偽造、信息泄露等方面的問題仍然是目前黑客流行的攻擊方式，而其中尤以SQL注入攻擊和跨站腳本攻擊為重，所謂的SQL注入攻擊就是利用程序員在編寫代碼時沒有對用戶輸入數據的合法性進行判斷，導致入侵者可以通過插入并執行惡意SQL命令，獲得數據讀取和修改的權限;而跨站腳本攻擊則是通過在網頁中加入惡意代碼，當訪問者瀏覽網頁時，惡意代碼會被執行或者通過給管理員發信息的方式誘使管理員瀏覽，從而獲得管理員權限，控制整個網站。

那么，對這種黑客攻擊方式有沒有有效的安全手段進行阻擊呢?據悉，在SiteFactory™ 內容管理系統開發中，針對各種攻擊方式都制定了相應完整的防御方案，并且借助ASP.NET 的特性和功能，可以有效的抵制惡意用戶對網站進行的攻擊，提高企業安全性，但就針對目前SQL注入攻擊和跨站腳本攻擊，其更加有效的阻擊手段是什么呢?為此，我們向動易網絡安全專家了解，他向我們介紹了一些安全手段：

(一)對于SQL注入攻擊：動易系統采用對SQL查詢語句中的查詢參數進行過濾;使用類型安全的SQL參數化查詢方式，從根本上解決SQL注入的問題;URL參數類型、數量、范圍限制功能，解決惡意用戶通過地址欄惡意攻擊的問題等，這些手段是控制SQL注入的，還包括其它的一些過濾處理，和其它的對用戶輸入數據的驗證來防止SQL注入攻擊。

(二)：對于跨站腳本攻擊：在對于不支持HTML的內容直接實行編碼處理的辦法，來從根本上解決跨站問題。而對于支持Html的內容，我們有專門的過濾函數，會對數據進行安全處理(依據XSS攻擊庫的攻擊實例)，雖然這種方式目前是安全的，但不代表以后也一定是安全的，因為攻擊手段會不斷翻新，我們的過濾函數庫也會不斷更新。

另外對于外站訪問和直接訪問我們也做了判斷，從一定程度上也可以避免跨站攻擊。即使出現了了跨站攻擊，我們也會將攻擊的影響減到最?。阂?、對于后臺一些會顯示HTML內容的地方，通過frame的安全屬性security="restricted"來阻止腳本的運行(IE有效);二、使用Cookie的HttpOnly屬性來防止Cookie通過腳本泄密(IE6 SP1以上、Firefox 3);三、身份驗證票據都是加密過的;四、推薦使用更高版本的IE或者FF。

企業安全網友支招三：呼吁站長和政府關注網站安全，動員第三把鎖

2008年4月29日，國務院辦公廳發布了“國務院辦公廳關于施行《中華人民共和國政府信息公開條例》若干問題的意見”(國辦發(2008〕36號)，)，文中充分體現了政務公開的決心，而政務公開的組要信息渠道是傳統的紙媒和政府網站，但據CNCERT/CC監測到中國大陸被篡改網站總數累積達61228個，比去年增加了1.5倍。中國大陸政府網站被篡改數量達3407個。而2007年中國大陸政府網站被篡改各月累計達4234個。

一系列的數字和事實證明，我們在網站安全方面存在著重大的隱患，而其中網站站長和政府在安全方面扮演著重要的角色，一方面我們呼吁網站站長關注網站安全，構筑網站安全的基本防護能力，降低被“黑客”攻擊的風險，另一方面我們呼吁政府關注，積極打擊網絡黑客犯罪，加強互聯網犯罪立法，從制度上保障企業安全。
 

【編輯推薦】

1. 黑客攻擊 致命八槍
2. Web木馬防護工具選擇五大標準
3. 識破黑客的八種社會工程學偽裝
4. Anchiva Web應用安全網關
5. 黑客使用Web攻擊的八條原因