隨著氣溫的逐漸下降，中國(guó)最隆重、最熱鬧的傳統(tǒng)節(jié)日——春節(jié)也一天天臨近。每年的春運(yùn)都是輿論和公眾關(guān)注的焦點(diǎn)。網(wǎng)民為了搶到一張寶貴的車(chē)票施展了渾身解數(shù)，當(dāng)然最為廣泛的方法是下載第三方的搶票軟件，但是網(wǎng)民往往忽略一個(gè)非常嚴(yán)重的問(wèn)題：信息的泄露。在去年的12月份，12306網(wǎng)站爆出了信息泄露事件，導(dǎo)致超過(guò)13萬(wàn)條的用戶(hù)個(gè)人信息被公開(kāi)、數(shù)據(jù)安全防護(hù)再度成為熱門(mén)話(huà)題。

相關(guān)安全專(zhuān)家已經(jīng)證實(shí)，此次12306用戶(hù)數(shù)據(jù)泄露是由“撞庫(kù)”攻擊導(dǎo)致的。“撞庫(kù)”是指黑客通過(guò)收集互聯(lián)網(wǎng)已泄露的用戶(hù)名和密碼信息，生成龐大的密碼庫(kù)，到12306等網(wǎng)站嘗試批量登錄，然后得到一系列可以登錄的用戶(hù)名和密碼。

近年來(lái)個(gè)人隱私泄露事件接連不斷，如“CSDN網(wǎng)站600萬(wàn)用戶(hù)數(shù)據(jù)外泄”、“知名連鎖酒店2000萬(wàn)個(gè)人開(kāi)房隱私泄露”，以及互聯(lián)網(wǎng)社交平臺(tái)上各種有關(guān)研究生、公務(wù)員考生、建造師和造價(jià)員的個(gè)人信息倒賣(mài)層出不窮

個(gè)人隱私為何頻遭泄露？承載網(wǎng)民個(gè)人信息的網(wǎng)站安全防護(hù)因何屢存缺失？

天融信安全專(zhuān)家回看幾次重大的網(wǎng)站個(gè)人隱私泄露事件發(fā)現(xiàn)導(dǎo)致網(wǎng)站用戶(hù)信息泄露的原因主要是由于網(wǎng)站平臺(tái)自身的安全防護(hù)不到位，以及開(kāi)放的第三方程序/接口安全防護(hù)不足。此外，個(gè)人信息存儲(chǔ)方式設(shè)計(jì)不當(dāng)(明文)進(jìn)一步增加了用戶(hù)隱私受威脅影響的等級(jí)。

黑客每天都會(huì)利用掃描工具對(duì)各大網(wǎng)站進(jìn)行瘋狂地掃描，若網(wǎng)站存在SQL注入等漏洞或Web服務(wù)器本身含有漏洞，則黑客可輕易挖掘出這些漏洞，并利用其進(jìn)行數(shù)據(jù)竊取。為有效保障網(wǎng)站用戶(hù)的信息安全，天融信安全專(zhuān)家建議您采取以下措施提升網(wǎng)站的安全防護(hù)水平：

一、網(wǎng)站用戶(hù)的身份認(rèn)證

一般可以采用用戶(hù)名+密碼驗(yàn)證，確認(rèn)用戶(hù)登錄身份并根據(jù)數(shù)據(jù)庫(kù)中預(yù)設(shè)的權(quán)限，向用戶(hù)展示相應(yīng)的界面。對(duì)于重要的網(wǎng)站應(yīng)用，需要根據(jù)PKI機(jī)制驗(yàn)證用戶(hù)提供的證書(shū)，從而對(duì)用戶(hù)身份認(rèn)證，并確保交易的不可抵賴(lài)性。證書(shū)的提供可以采用兩種方式文件：證書(shū)或是USB設(shè)備存儲(chǔ)的證書(shū)。文件證書(shū)保存在用戶(hù)磁盤(pán)和文件系統(tǒng)上，有一定的安全風(fēng)險(xiǎn)，但是可以免費(fèi)；USB證書(shū)安全性高，但是一般需要向用戶(hù)收費(fèi)。

二、網(wǎng)站數(shù)據(jù)的加密傳輸

對(duì)于使用Web瀏覽器的網(wǎng)上系統(tǒng)應(yīng)用，采用SSL+數(shù)字證書(shū)結(jié)合的方式，（即HTTPS協(xié)議），保證通信數(shù)據(jù)的加密傳輸，同時(shí)也保證了用戶(hù)端對(duì)服務(wù)器端的認(rèn)證，避免用戶(hù)被冒充合法網(wǎng)站的“釣魚(yú)網(wǎng)站”欺騙，從而泄露機(jī)密信息（用戶(hù)名和密碼等），造成不可挽回的經(jīng)濟(jì)損失。

三、用戶(hù)賬號(hào)使用行為的日志記錄及其審計(jì)

系統(tǒng)服務(wù)器側(cè)應(yīng)根據(jù)賬號(hào)，對(duì)用戶(hù)的使用行為進(jìn)行詳細(xì)的日志記錄和審計(jì)，通過(guò)上述因素的日志記錄，進(jìn)行階段性的審計(jì)（時(shí)間間隔應(yīng)該比較�。�從而做到發(fā)現(xiàn)用戶(hù)賬號(hào)的盜用、惡意使用等問(wèn)題，盡早進(jìn)行處理。

四、惡意用戶(hù)流量的檢測(cè)、過(guò)濾及阻斷

系統(tǒng)服務(wù)器側(cè)應(yīng)部署IDS入侵檢測(cè)系統(tǒng)、IPS入侵防護(hù)系統(tǒng)、防火墻等設(shè)備或者部署目前高效、流行的UTM設(shè)備，對(duì)惡意用戶(hù)采用的各種攻擊手段進(jìn)行檢測(cè)和防護(hù)，重點(diǎn)過(guò)濾惡意流量、突發(fā)流量等。

五、對(duì)非正常應(yīng)用請(qǐng)求的過(guò)濾和處理

系統(tǒng)的服務(wù)器端，尤其是數(shù)據(jù)庫(kù)服務(wù)器端，應(yīng)該通過(guò)配置和增加對(duì)用戶(hù)非常應(yīng)用請(qǐng)求的過(guò)濾和處理模塊，以避免由于數(shù)據(jù)庫(kù)的自身漏洞未及時(shí)打上補(bǔ)丁而遭受目前流行的SQL注入攻擊等。

六、合理的子網(wǎng)劃分及流量分割

系統(tǒng)服務(wù)器側(cè)包括大量的服務(wù)器類(lèi)型，包括數(shù)據(jù)庫(kù)服務(wù)器、Web服務(wù)器、FTP服務(wù)器、郵件服務(wù)器等，為了避免由于惡意流量造成的某種服務(wù)器崩潰，而引起的攻擊后果擴(kuò)散，并最終導(dǎo)致其他服務(wù)器也發(fā)生“雪崩效應(yīng)”，則需要通過(guò)子網(wǎng)隔離（比如VLAN劃分）、DMZ區(qū)域的設(shè)定等方式來(lái)將這些服務(wù)器放置在不同的安全域當(dāng)中，做到流量和數(shù)據(jù)的安全隔離，從而將服務(wù)器端在遭受攻擊后對(duì)整個(gè)業(yè)務(wù)系統(tǒng)及其他內(nèi)網(wǎng)資源和數(shù)據(jù)造成的影響盡量控制在最低的范圍內(nèi)。

七、負(fù)載均衡及負(fù)載保護(hù)機(jī)制

系統(tǒng)面臨著巨大的服務(wù)量，服務(wù)器端的設(shè)備基本上都需要有多臺(tái)服務(wù)器進(jìn)行業(yè)務(wù)分擔(dān)，這樣才能提高性能，避免處理瓶頸的出現(xiàn)，因此需要采用合理的負(fù)載均衡和負(fù)載保護(hù)機(jī)制。

◆對(duì)各服務(wù)器的業(yè)務(wù)流量進(jìn)行有效地分擔(dān)，可按照Round Robin、LRU等方式來(lái)進(jìn)行負(fù)載均衡。

◆負(fù)載保護(hù)機(jī)制需要實(shí)時(shí)地對(duì)每臺(tái)服務(wù)器的CPU資源、內(nèi)存資源等進(jìn)行評(píng)估，如果一旦超過(guò)設(shè)定的閾值。將馬上進(jìn)行過(guò)載保護(hù)從而保證服務(wù)器自身的安全。

八、災(zāi)難備份及恢復(fù)

任何系統(tǒng)都不能說(shuō)100%的安全，都需要考慮在遭受攻擊或者是經(jīng)受自然災(zāi)害后的備份恢復(fù)工作，需要著重考慮如下幾點(diǎn)：

1、選擇合適的備份策略做好提前備份包括全備份、差分備份、增量備份等等；

2、選擇合適的備份介質(zhì)包括磁帶、光盤(pán)、RAID磁盤(pán)陣列等；

3、選擇合適的備份地點(diǎn)包括本地備份、遠(yuǎn)程備份等等電腦自動(dòng)關(guān)機(jī)；

4、選擇合適的備份技術(shù)包括NAS、SAN、DAS等等；

5、作好備份的后期維護(hù)和安全審計(jì)跟蹤。

九、管理規(guī)范化

系統(tǒng)功能復(fù)雜業(yè)務(wù)數(shù)據(jù)敏感，保密級(jí)別比較高，并且對(duì)不同管理人員的權(quán)限、角色要求都不盡相同為了保證安全管理避免內(nèi)部管理中出現(xiàn)安全問(wèn)題建議作如下要求：

1、嚴(yán)格劃分管理人員的角色及其對(duì)應(yīng)的權(quán)限，避免一權(quán)獨(dú)攬，引起安全隱患；

2、作好服務(wù)器機(jī)房的物理?xiàng)l件管理，避免電子泄露、避免由于靜電等引起的故障；

3、應(yīng)作好服務(wù)器管理員的帳號(hào)/口令管理，要求使用強(qiáng)口令，避免內(nèi)部人員盜用；

4、作好服務(wù)器的端口最小化管理，避免內(nèi)部人員掃描得出服務(wù)器的不必要的開(kāi)放端口及其漏洞，實(shí)行內(nèi)部攻擊；

5、作好服務(wù)器系統(tǒng)軟件、應(yīng)用軟件的日志管理和補(bǔ)丁管理工作，便于審計(jì)和避免由于安全漏洞而遭受到內(nèi)部人員的攻擊；

6、根據(jù)業(yè)務(wù)和數(shù)據(jù)的機(jī)密等級(jí)需求，嚴(yán)格劃分服務(wù)器的安全域，避免信息泄露。

十、網(wǎng)站漏洞自我挖掘及防護(hù)

采用漏洞掃描和挖掘設(shè)備，對(duì)內(nèi)網(wǎng)各服務(wù)器進(jìn)行階段性的掃描，并根據(jù)掃描所得的風(fēng)險(xiǎn)和漏洞進(jìn)行及時(shí)地修補(bǔ)，以實(shí)現(xiàn)該漏洞為黑客使用之前進(jìn)行自行修復(fù)的目的。

而在日常的工作和生活中，個(gè)人應(yīng)該如何提高密碼安全意識(shí)，才不會(huì)給黑客留下可乘之機(jī)呢？天融信安全專(zhuān)家建議您：

1. 切忌一套密碼到處用，不同的網(wǎng)站應(yīng)設(shè)置單獨(dú)的賬號(hào)和密碼;

2. 密碼設(shè)置盡量使用“字母+數(shù)字+特殊字符”形式的高強(qiáng)度密碼，且長(zhǎng)度至少為8位;　

3. 需要定期對(duì)各套密碼進(jìn)行更換，我們建議每?jī)蓚�(gè)月更換一次密碼。

 

標(biāo)簽： ftp服務(wù)器 https ssl web服務(wù)器 安全 防火墻 服務(wù)器 服務(wù)器端 服務(wù)器管理 服務(wù)器機(jī)房 服務(wù)器系統(tǒng) 互聯(lián)網(wǎng) 機(jī)房 漏洞 權(quán)限 數(shù)據(jù)庫(kù) 通信 網(wǎng)站

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀(guān)點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請(qǐng)與原作者聯(lián)系。