正如同自古正邪不分家，黑客是互聯(lián)網(wǎng)安全的天敵，但同時(shí)也是互聯(lián)網(wǎng)安全技術(shù)進(jìn)步的推動(dòng)力。那么面對(duì)互聯(lián)網(wǎng)眾多的黑客，企業(yè)安全到底如何進(jìn)行呢？

企業(yè)安全專家支招一：構(gòu)建安全服務(wù)器環(huán)境，嚴(yán)防第一道鎖

據(jù)陜西地震局一位負(fù)責(zé)網(wǎng)站維護(hù)的技術(shù)人員告訴記者，陜西地震網(wǎng)遭受到了黑客攻擊，首頁(yè)顯示的“網(wǎng)站出現(xiàn)重大安全漏洞”的信息屬黑客發(fā)布的虛假信息，而目前網(wǎng)站運(yùn)行安全，并未出現(xiàn)技術(shù)漏洞。我們?cè)谧l責(zé)“地震黑客”的同時(shí)，也在思考另一個(gè)問題，怎么樣來保障我們的網(wǎng)站安全運(yùn)行?對(duì)此問題，記者走訪了國(guó)內(nèi)中小型網(wǎng)站企業(yè)安全防范問題專家。

據(jù)介紹：構(gòu)建安全服務(wù)器環(huán)境，構(gòu)筑黑客攻擊第一鏈條。但構(gòu)建安全的服務(wù)器環(huán)境來抵御“黑客”攻擊，其涉及面相當(dāng)廣，但就中小型網(wǎng)站而言，大致可從三個(gè)方面來進(jìn)行：

(一)：技術(shù)層面：采用軟硬件防火墻、殺毒軟件、頁(yè)面防篡改系統(tǒng)來建立一個(gè)結(jié)構(gòu)上較完善的Web服務(wù)器環(huán)境；

(二)：服務(wù)方面，進(jìn)行網(wǎng)絡(luò)拓?fù)浞治�、建立中心機(jī)房管理制度、建立操作系統(tǒng)以及防病毒軟件定期升級(jí)機(jī)制、對(duì)重要服務(wù)器的訪問日志進(jìn)行備份，通過這些服務(wù)，增強(qiáng)網(wǎng)絡(luò)的抗干擾性，盡可能的保證企業(yè)安全；

(三)：支持方面，要求服務(wù)商提供故障排除服務(wù)，以提高網(wǎng)絡(luò)的可靠性。

但目前大多數(shù)中小型網(wǎng)站都是以虛擬主機(jī)的形式托管的，要提高企業(yè)安全性，降低黑客攻擊風(fēng)險(xiǎn)，網(wǎng)站管理員就應(yīng)及時(shí)給自己的網(wǎng)站程序打上最新的補(bǔ)丁，在開發(fā)的時(shí)候應(yīng)加強(qiáng)安全意識(shí)，注意防止注入漏洞、上傳漏洞等問題，同時(shí)把網(wǎng)站托管在技術(shù)實(shí)力強(qiáng)、安全系數(shù)高、能主動(dòng)幫客戶解決安全的服務(wù)商處，以確保網(wǎng)站安全運(yùn)行環(huán)境的安全。

企業(yè)安全專家支招二：重視網(wǎng)站系統(tǒng)安全，布控第二把鎖

構(gòu)建安全服務(wù)器的環(huán)境，只是從外圍進(jìn)行阻擊“黑客”的攻擊，但更重要的還是要保障網(wǎng)站系統(tǒng)安全，防止黑客利用系統(tǒng)漏洞進(jìn)行攻擊，從而威脅企業(yè)安全。

據(jù)動(dòng)易公司網(wǎng)絡(luò)安全專家介紹：根據(jù)2007年 OWASP 組織發(fā)布的 Web 應(yīng)用程序脆弱性10大排名的統(tǒng)計(jì)結(jié)果表明，跨站腳本、注入漏洞、跨站請(qǐng)求偽造、信息泄露等方面的問題仍然是目前黑客流行的攻擊方式，而其中尤以SQL注入攻擊和跨站腳本攻擊為重，所謂的SQL注入攻擊就是利用程序員在編寫代碼時(shí)沒有對(duì)用戶輸入數(shù)據(jù)的合法性進(jìn)行判斷，導(dǎo)致入侵者可以通過插入并執(zhí)行惡意SQL命令，獲得數(shù)據(jù)讀取和修改的權(quán)限;而跨站腳本攻擊則是通過在網(wǎng)頁(yè)中加入惡意代碼，當(dāng)訪問者瀏覽網(wǎng)頁(yè)時(shí)，惡意代碼會(huì)被執(zhí)行或者通過給管理員發(fā)信息的方式誘使管理員瀏覽，從而獲得管理員權(quán)限，控制整個(gè)網(wǎng)站。

那么，對(duì)這種黑客攻擊方式有沒有有效的安全手段進(jìn)行阻擊呢?據(jù)悉，在SiteFactory™ 內(nèi)容管理系統(tǒng)開發(fā)中，針對(duì)各種攻擊方式都制定了相應(yīng)完整的防御方案，并且借助ASP.NET 的特性和功能，可以有效的抵制惡意用戶對(duì)網(wǎng)站進(jìn)行的攻擊，提高企業(yè)安全性，但就針對(duì)目前SQL注入攻擊和跨站腳本攻擊，其更加有效的阻擊手段是什么呢?為此，我們向動(dòng)易網(wǎng)絡(luò)安全專家了解，他向我們介紹了一些安全手段：

(一)對(duì)于SQL注入攻擊：動(dòng)易系統(tǒng)采用對(duì)SQL查詢語(yǔ)句中的查詢參數(shù)進(jìn)行過濾;使用類型安全的SQL參數(shù)化查詢方式，從根本上解決SQL注入的問題;URL參數(shù)類型、數(shù)量、范圍限制功能，解決惡意用戶通過地址欄惡意攻擊的問題等，這些手段是控制SQL注入的，還包括其它的一些過濾處理，和其它的對(duì)用戶輸入數(shù)據(jù)的驗(yàn)證來防止SQL注入攻擊。

(二)：對(duì)于跨站腳本攻擊：在對(duì)于不支持HTML的內(nèi)容直接實(shí)行編碼處理的辦法，來從根本上解決跨站問題。而對(duì)于支持Html的內(nèi)容，我們有專門的過濾函數(shù)，會(huì)對(duì)數(shù)據(jù)進(jìn)行安全處理(依據(jù)XSS攻擊庫(kù)的攻擊實(shí)例)，雖然這種方式目前是安全的，但不代表以后也一定是安全的，因?yàn)楣�擊手段�?huì)不斷翻新，我們的過濾函數(shù)庫(kù)也會(huì)不斷更新。