??????? 2.網站防御措施過于落后，甚至沒有真正的防御
??????? 大多數防御傳統的基于特征識別的入侵防御技術或內容過濾技術，對保護網站抵御黑客攻擊的效果不佳。比如對SQL注入、跨站腳本這種特征不唯一的網站攻擊，基于特征匹配技術防御攻擊，不能精確阻斷攻擊。因為黑客們可以通過構建任意表達式來繞過防御設備固化的特征庫，比如：and1=1和and2=2是一類數據庫語句，但可以人為任意構造數字構成同類語句的不同特征。而and、=等這些標識在WEB提交數據庫應用中又是普遍存在的表達符號，不能作為攻擊的唯一特征。因此，這就很難基于特征標識來構建一個精確阻斷SQL注入攻擊的防御系統。導致目前有很多黑客將SQL注入成為入侵網站的首選攻擊技術之一。基于應用層構建的攻擊，防火墻更是束手無策。
??????? 網站防御不佳還有另一個原因，有很多網站管理員對網站的價值認識僅僅是一臺服務器或者是網站的建設成本，為了這個服務器而增加超出其成本的安全防護措施認為得不償失。而實際網站遭受攻擊之后，帶來的間接損失往往不能用一個服務器或者是網站建設成本來衡量，很多信息資產在遭受攻擊之后造成無形價值的流失。不幸的是，很多網站負責的單位、人員，只有在網站遭受攻擊后，造成的損失遠超過網站本身造價之后才意識就這一點。
??????? 網站安全問題及其危害
??????? 常見的Web攻擊分為兩類：
??????? 一、利用Web服務器的漏洞進行攻擊。如CGI緩沖區溢出，目錄遍歷漏洞利用等攻擊；
??????? 二、利用網頁自身的安全漏洞進行攻擊。如SQL注入，跨站腳本攻擊等。常見的針對Web應用的攻擊有：
??????? 1、緩沖區溢出--攻擊者利用超出緩沖區大小的請求和構造的二進制代碼讓服務器執行溢出堆棧中的惡意指令
??????? 2、Cookie假冒--精心修改cookie數據進行用戶假冒3、認證逃避--攻擊者利用不安全的證書和身份管理
??????? 4、非法輸入--在動態網頁的輸入中使用各種非法數據，獲取服務器敏感數據
??????? 5、強制訪問--訪問未授權的網頁
??????? 6、隱藏變量篡改--對網頁中的隱藏變量進行修改，欺騙服務器程序
??????? 7、拒絕服務攻擊--構造大量的非法請求，使Web服務器不能相應正常用
??????? 戶的訪問
??????? 8、跨站腳本攻擊--提交非法腳本，其他用戶瀏覽時盜取用戶帳號等信息
??????? 9、SQL注入--構造SQL代碼讓服務器執行，獲取敏感數據
??????? 網絡與信息的安全不僅關系到正常工作的開展，還將影響到國家的安全、社會的穩定。國安廣告將認真開展網絡與信息安全工作，通過檢查進一步明確安全責任，建立健全的管理制度，落實技術防范措施，保證必要的經費和條件，對有毒有害的信息進行過濾、對用戶信息進行保密，確保網絡與信息安全。
??????? 網站運行安全保障措施
??????? 1、網站服務器和其他計算機之間設置防火墻，做好安全策略，拒絕外來的惡意程序攻擊，保障網站正常運行。
??????? 2、在網站的服務器及工作站上均安裝了相應的防病毒軟件，對計算機病毒、有害電子郵件有整套的防范措施，防止有害信息對網站系統的干擾和破壞。
??????? 3、做好訪問日志的留存。網站具有保存三個月以上的系統運行日志和用戶使用日志記錄功能，內容包括IP地址及使用情況，主頁維護者、對應的IP地址情況等。
??????? 4、交互式欄目具備有IP地址、身份登記和識別確認功能，對非法貼子或留言能做到及時刪除并進行重要信息向相關部門匯報。
??????? 5、網站信息服務系統建立多機備份機制，一旦主系統遇到故障或受到攻擊導致不能正常運行，可以在最短的時間內替換主系統提供服務。
??????? 6、關閉網站系統中暫不使用的服務功能，及相關端口，并及時用補丁修復系統漏洞，定期查殺病毒。
??????? 7、服務器平時處于鎖定狀態，并保管好登錄密碼；后臺管理界面設置超級用戶名及密碼，并綁定IP，以防他人登入。
??????? 8、網站提供集中式權限管理，針對不同的應用系統、終端、操作人員，由網站系統管理員設置共享數據庫信息的訪問權限，并設置相應的密碼及口令。不同的操作人員設定不同的用戶名，且定期更換，嚴禁操作人員泄漏自己的口令。對操作人員的權限嚴格按照崗位職責設定，并由網站系統管理員定期檢查操作人員權限。
??????? 9、公司機房按照電信機房標準建設，內有必備的獨立UPS不間斷電源，能定期進行電力、防火、防潮、防磁和防鼠檢查。
???????