Web安全问答（1）

问：如何保障网站管理员密码安全

答：攻击者获取到网站管理员密码可能有几种途径：1.通过暴力猜解 2.通过漏洞攻击获取权限后更改管理员密码 3.通过社会工程获得。对于暴力猜解，在构建网站时，需要选择强度较高的加密算法，选择密码时，应该选择复杂密码，采用大小写、数字、特殊字符混合的密码，并定期更换密码。在网站认证页面的也应该有抗暴力猜解的设计。对于通过漏洞获取权限的，需要定期检查服务器是否存在操作系统、服务、应用是否存在漏洞，及时安装补丁包，检测安全配置。对于通过社会工程泄露的，需要制定并执行安全准则，来控制密码的保存和传递的范围与流程。

Web安全问答（2）

问：如何应对DOS/DDOS攻击

答：从目前现有的技术角度来讲，还没有一项解决办法针对DoS非常有效。所以，防止DoS攻击的最佳手段就是防患于未然。也就是说，首先要保证一般的外围主机和服务器的安全，使攻击者无法获得大量的无关主机，从而无法发动有效攻击。一旦单位内部的主机或临近网络的主机被黑客侵入，那么其他的主机被侵入的危险会变得很大。同时，如果网络内部或邻近的主机被用来对本机进行DoS攻击，攻击的效果会更明显。所以，必须保证这些外围主机和网络的安全。尤其是那些拥有高带宽和高性能服务器的网络，往往是黑客的首选目标。保护这些主机最好的办法就是及时了解有关本操作系统的安全漏洞以及相应的安全措施，及时安装补丁程序并注意定期升级系统软件，以免给黑客以可乘之机。另外，网管人员要加强对网络流量的管理，对网络资源的使用情况和带宽分配进行限制或控制， 通过流量过滤产品进行限流，同时配合网络审计产品，可以对攻击进行审计和记录，溯源的同时可用于事后取证，必要时向ISP进行举报。

问：什么叫网络钓鱼

答：网络钓鱼（Phishing，又名钓鱼法或钓鱼式攻击）是通过传播声称来自于银行或其他知名机构的欺骗信息，意图引诱受害者给出敏感信息（如用户名、口令、帐号 ID 、 ATM PIN 码或信用卡详细信息）的一种攻击方式。最典型的网络钓鱼攻击将受害者引诱到一个通过精心设计与目标组织的网站非常相似的钓鱼网站上，并获取受害者在此网站上输入的个人敏感信息，通常这个攻击过程不会让受害者警觉。它是“社会工程攻击”的一种形式。

问：能否提供一些网站安全管理制度方面的建议

答：不同的机构对网站安全的要求不一样，因此也不会有通用的安全管理制度，这里列举一些重点需要考虑的方面供参考：数据备份制度--应当对重要文件、数据、操作系统及应用系统作定期备份，以便应急恢复。特别重要的部门还应当对重要文件和数据进行异地备份。口令管理制度--应该选择复杂密码，采用大小写、数字、特殊字符混合的密码，并定期更换密码。不应该把密码以纸质或电子的形式记录下来，防止丢失。物理安全制度--应当建立严格的门禁制度和日常管理制度，机房及机房内所有设备都应当由专人负责管理，每日应有机房值班记录、出入人员记录和各主要设备运行情况的记录。外来的系统维护人员进入机房，应当由值班人员陪同并对其工作内容做详细记录。系统运行期间的定期检测和升级制度--鉴于网络安全建设动态发展和不断更新的特点，应当对系统漏洞和弱点进行定期检测，并根据检测的结果采取相应的措施。要及时对操作系统、数据库等系统软件进行补丁包升级或者版本升级，关闭不必要的服务和端口，以防黑客利用系统漏洞和弱点非法入侵。审计制度--定期对各系统日志进行分析审计，便于发现是否存在异常的访问行为。应急响应制度--应当充分估计各种突发事件的可能性，做好应急响应方案，进行定期演练。同时，要与岗位责任制度相结合，保证应急响应方案的及时实施，将损失降到最低程度。