信息中心
高校web應用及數據庫安全解決方案
1概述
1.1黑客攻擊由網絡層轉向應用層
隨著互聯網技術的迅猛發展,許多政府、企業及高校的關鍵業務活動越來越多地依賴于WEB應用,在向公眾及學生提供通過瀏覽器訪問高校信息功能的同時,高校所面臨的風險在不斷增加。主要表現在兩個層面:一是隨著Web應用程序的增多,這些Web應用程序所帶來的安全漏洞越來越多;二是隨著互聯網技術的發展,被用來進行攻擊的黑客工具越來越多、黑客活動越來越猖獗,組織性和經濟利益驅動非常明顯。
然而與之形成鮮明對比的卻是:現階段的安全解決方案無一例外的把重點放在網絡安全層面,致使面臨應用層攻擊(如:針對WEB應用的SQL注入攻擊、跨站腳本攻擊等)發生時,傳統的網絡防火墻、IDS/IPS等安全產品對網站攻擊幾乎不起作用,許多政府和企業門戶網站成為黑客組織成批傳播木馬的最有效途徑。
據統計75%的網絡攻擊和互聯網安全侵害源于應用軟件,網頁上的漏洞的根源還是來自程序開發者對網頁程序編制和檢測。未經過安全訓練的程序員缺乏相關的網頁安全知識;應用部門缺乏良好的編程規范和代碼檢測機制等等。解決此類問題必須在WEB應用軟件開發程序上整治,僅僅靠打補丁和安裝防火墻是遠遠不夠的。
2008年上半年,中國大陸被篡改網站的數量相比往年處于明顯上升趨勢。國家互聯網
應急中心(CNCERT)監測到中國大陸被篡改網站總數達到35113個,同比增加了23.7%。按月統計情況如圖所示:
2008年上半年中國被篡改網站數量
2008年1月至6月期間,中國大陸政府網站被篡改數量基本保持平穩,各月累計達2242個。與去年上半年同期監測情況相比,增加了41%。從中可以看出,每月被篡改的gov.cn域名網站約占整個大陸地區被篡改網站的7%,而gov.cn域名網站僅占.cn域名的2.3%,因此政府網站仍然是黑客攻擊的重要目標。具體比例如下圖:
文章作者:IT專家網
集成系統網絡情報信息數據庫
CIO頻道人物視窗
CIO頻道方案案例庫
大數據建設方案案例庫
電子政務建設方案案例庫
互聯集成系統構建方案案例庫
商務智能建設方案案例庫
系統集成類軟件信息研發企業名錄