網(wǎng)絡上沒有絕對的安全可言��,跟著技術的發(fā)展��,總會有更多的安全漏洞被發(fā)現(xiàn)����,因此網(wǎng)站的安全治理也是一項長期的工作��。 “所幸的是��,在中國�,網(wǎng)絡還遠沒有達到控制一切的地步,任何攻擊都有拯救的可能�����。 目前最輕易受到攻擊的網(wǎng)站設計就是形形色色的商務網(wǎng)站�����,因為從主觀上對貿(mào)易秘要正視不夠���,因此防范意識較差���;從客觀上來講�����,我們的技術較落后�,大多應用軟件是從國外入口的�����,這就從一開始給網(wǎng)站安全蒙上了一層暗影��。
電子商務網(wǎng)站制作的安全題目也越來越受大眾的關注�,網(wǎng)站的安全題目是系統(tǒng)工程,需要綜合進行分析�����,以制定完整安全策略�。
2003年初爆發(fā)的SQL Slammer病毒的泛濫再次引起了人們對網(wǎng)站建設安全的正視,這個專門攻擊SQL Server數(shù)據(jù)庫漏洞的蠕蟲引發(fā)了一次全球范圍的網(wǎng)絡大塞車��,全球數(shù)以千計的WEB服務器被攻擊��,正常的訪問阻斷���,給企業(yè)和用戶帶來巨大的損失��。網(wǎng)絡安全是相對的�����,目前網(wǎng)絡上已經(jīng)沒有一塊凈土了���。
下面從操作系統(tǒng)、WWW等方面談談電子商務網(wǎng)站建設的安全問題����。
1、 WWW的安全性
www網(wǎng)站服務器的漏洞來自兩個方面:一個是WEB服務器本身���,另一個是它所帶的其他服務程序(如FTP\TELNET等)�����。一般WEB服務器可提供如下三種類型的訪問限制方法:
(1) 通過IP地址��,子網(wǎng)或域名來控制�����。
(2) 通過用戶名/口令限制�。
(3) 用公用網(wǎng)站建設的密鑰加密方法。
2�、 操作系統(tǒng)的安全
所有的操作系統(tǒng)都不是十全十美的,總存在很多的安全漏洞��。比如在Windows NT中���,安全賬戶管理(SAM)數(shù)據(jù)庫可以被以下用戶復制:Administrator賬戶���,Administrator組的所有成員,備份操作員���,服務器操作員����,以及所有具有備份特權的人員��。由于SAM數(shù)據(jù)庫的一個備份拷貝能夠被某些工具所利用來破解口令�����,NT在對用戶進行身份驗證時�����,只能達到加密RSA的水平。在這種情況下��,甚至沒有必須使用工具來猜測那些明文口令����,網(wǎng)站設計中能解碼SAM數(shù)據(jù)庫并能破解口令的工具有:PWDump和NTCrack。實際上��,另一個軟件包�����,PWAudit,它可以跟蹤由PWDump獲取到的任何東西的內(nèi)容�。只有嚴格限制Administrator組和備份組賬戶的成員資格��,加強對這些賬戶的跟蹤���,尤其是Administrator賬戶的登錄(Logon)失敗和注銷(Logoll)失敗�,對SAM進行任何權限改變和對其本身的修改進行審計�,并且設置發(fā)送一個警告給Administrator,告知有事件發(fā)生����。要改變?nèi)笔嘞拊O置來預防這個漏洞��。
