資源描述:
《網(wǎng)站安全策略初探》由會員上傳分享�,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在學(xué)術(shù)論文-天天文庫����。
1����、網(wǎng)站安全策略初探 摘要:當(dāng)前網(wǎng)絡(luò)安全形勢嚴(yán)峻����,網(wǎng)站被攻擊��、數(shù)據(jù)被竊取事件頻發(fā),因此成立了以習(xí)近平總書記為組長的中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組���。對此對網(wǎng)站密碼的安全使用,關(guān)閉系統(tǒng)不用的端口和服務(wù)��,使用殺毒軟件�,掃描漏洞、打上安全補(bǔ)丁��,查殺病毒和木馬進(jìn)行策略探討���?��! £P(guān)鍵詞:網(wǎng)站安全;口令�����;端口;漏洞�����;補(bǔ)丁 中圖分類號:TP393文獻(xiàn)標(biāo)識碼:A文章編號:1009-3044(2016)14-0024-03 2015年的互聯(lián)網(wǎng)世界�����,可謂多事之秋�����。2月����,美國第二大醫(yī)療保險公司Anthem受到攻擊,丟失8000萬個人信息����。7月,全球最臭名昭著的黑客公司HackingTeam至少400G的文件被竊取�����。8
2、月�����,全球最大婚外情網(wǎng)站AshleyMadison被黑�,10G用戶數(shù)據(jù)被竊取和公布。9月���,蘋果公司的AppStore����,被上傳了攜帶XcodeGhost病毒的APP�����,并被數(shù)億人下載使用�����,甚至iCloud帳號密碼的安全遭到威脅�。10月�,英國寬帶服務(wù)提供商TalkTalk的400多萬用戶的隱私數(shù)據(jù)被泄露。12 國內(nèi)同樣雞犬不寧,社保等系統(tǒng)的高危漏洞就涉及數(shù)據(jù)5279.4萬條���。網(wǎng)易用戶數(shù)據(jù)庫疑似泄露�,影響數(shù)據(jù)總共數(shù)億條��。國家旅游局漏洞致6套系統(tǒng)淪陷�����,涉及全國6000萬客戶����、6萬多旅行社賬號密碼、上百萬導(dǎo)游信息���。草榴社區(qū)遭到攻擊導(dǎo)致數(shù)據(jù)庫外泄��。機(jī)鋒論壇2300萬用戶數(shù)據(jù)泄露�,涉及數(shù)據(jù)總數(shù)多達(dá)4億多條���。三
3�、星輸入法漏洞����,影響全球超過6億的三星手機(jī)用戶�?�! ∶鎸θ肭终邆?nèi)找娌钡倪M(jìn)攻態(tài)勢�����,我們就黑客入侵方法和我們平時使用習(xí)慣��、軟件防護(hù)和硬件防護(hù)幾個方面來探討網(wǎng)站防黑����、防盜的安全策略?! ?口令、密碼篇 1.1設(shè)置復(fù)雜口令�����,讓試圖暴力破解者無計(jì)可施 口令是在看不清楚的時候用來識別敵我的口頭暗號��,也被稱為密碼或者密鑰�����。在銀行取錢或者轉(zhuǎn)賬時�,只有輸對密碼,才能正常交易����。所以入侵者一定會想方設(shè)法竊取你的口令。入侵者使用一個包含用戶名和口令的字典數(shù)據(jù)庫程序��,不斷地嘗試登錄系統(tǒng)�����,直到成功進(jìn)入�。這個龐大的數(shù)據(jù)庫中,光包含大小寫的4字符的口令部分就有50萬個組合��,想想我們平時為了貪圖好記�、方便,就使用諸如12
4��、3456��、888888�����、abcd等純數(shù)字或者純字母作為密碼,這些非常容易被別人猜到或被破解工具輕而易舉快速破解的密碼(也叫弱口令)是多么危險��。因此��,趕緊把弱口令改為安全口令吧�����。12 怎樣的口令才比較安全呢�����?1個包含大小寫且標(biāo)點(diǎn)符號的7個字符的口令大約有10萬億個組合����,對于一般的計(jì)算機(jī)需要花費(fèi)大約幾個月的時間才能全部試驗(yàn)一遍,真正是一兩撥千斤啊��。所以安全口令長度應(yīng)該不小于8個字符�,由大寫字母(A-Z)、小寫字母(a-z)���、數(shù)字(0-9)和特殊字符組合而成,4種字符每一種都要有��,如果某一種字符只有一個,那么不應(yīng)為第一個字符或最后一個字符����。口令中不應(yīng)包含本人���、父母���、子女和配偶的姓名和出生日期、紀(jì)念
5��、日期����、登錄名、E-mail地址等等與本人有關(guān)的信息��,以及字典中的單詞�����。安全密碼讓使用動態(tài)字典����,包含了所有可能的字符組合的暴力攻擊者也頭痛不已����。因此���,要啟用密碼復(fù)雜度校驗(yàn)?���! ?.2設(shè)置驗(yàn)證碼登錄�����,限定登陸失敗嘗試次數(shù) 現(xiàn)在的計(jì)算機(jī)太過強(qiáng)大�,暴力破解一個6位純數(shù)字或純字母的密碼�����,幾乎是眨眼之間的事情,我們的密碼再復(fù)雜也終有被破解的一天�����。為了防止黑客程序反復(fù)嘗試登錄�����,我們可以使用驗(yàn)證碼,使得每次登錄都必須手工輸入驗(yàn)證碼�����,不讓暴力破解程序順利運(yùn)行����,讓入侵者品嘗驗(yàn)證碼的厲害����?�! 】吹竭@里,你是否突然想起了的自己的銀行密碼���,那么重要的銀行密碼只有6位��,而且還是純數(shù)字的,從000000到999999���,這
6��、不是太容易被攻擊了嗎?不用害怕��,由于銀行設(shè)置了登陸失敗嘗試次數(shù)的限制��,當(dāng)輸入密碼錯誤達(dá)到一定次數(shù),ATM機(jī)吞卡沒商量���,網(wǎng)銀會在一段時間里拒絕服務(wù),甚至鎖住賬號�,要求持卡人帶著身份證到銀行解鎖�,這樣就很好地保護(hù)了存款的安全性。所以�,為了你的網(wǎng)站更加安全����,不妨使用驗(yàn)證碼���,并設(shè)置登陸失敗嘗試次數(shù)限制�����,建議為6-10次��。但是與此同時�����,你還要設(shè)置賬戶鎖定時間,以便你可以登錄��,建議為30分鐘���。以上的賬戶鎖定設(shè)置,可以有效地避免自動破解工具的攻擊�����,同時對于手動嘗試者的耐心和信心也可造成很大的打擊。鎖定賬戶常常會造成一些不便����,但系統(tǒng)的安全有時更為重要��?! ∶艽a復(fù)雜度校驗(yàn)的具體設(shè)置如下:按Windows圖標(biāo)鍵+
7��、R鍵����,打開運(yùn)行窗口→輸入GPEDIT.MSC并按回車鍵→Windows配置→安全設(shè)置→賬戶策略→密碼策略→設(shè)置密碼必須符合復(fù)雜性要求為已啟用→設(shè)置密碼長度最小值為8→設(shè)置密碼最短使用期限為0天→12設(shè)置密碼最長使用期限為99天(在99天以內(nèi)最少更新一次密碼,使舊的口令失效)���?! 〉卿浭〈螖?shù)限制的具體設(shè)置如下:在賬戶策略里→賬戶鎖定策略→設(shè)置賬戶鎖定閾值為9次無效登錄→設(shè)置賬戶鎖定時間為30分鐘→
