新闻动态

News

深信服,让IT更简单、更安全、更有价值

由“12306事件”谈网站安全如何加固

/ 2015-07-22

20141225日,当人们沉浸在欢乐的圣诞节日气氛中时,互联网上却传出13万的12306用户数据遭遇泄露,数以万计的网民个人隐私安全面临威胁。

相关安全专家已经证实,此次12306用户数据泄露是由“撞库”攻击导致的,“撞库”是指黑客通过收集互联网已泄露的用户名和密码信息,生成庞大的密码库,到12306等网站尝试批量登录,然后得到一系列可以登录的用户名和密码。


12306用户泄露信息的邮箱、明文密码、姓名和身份证号码

近年来个人隐私泄露事件接连不断,如“CSDN网站600万用户数据外泄”“知名连锁酒店2000万个人开房隐私泄露”,以及互联网社交平台上各种有关研究生、公务员考生、建造师和造价员的个人信息倒卖层出不穷。


互联网上出售的各种考生个人信息

个人隐私为何频遭泄露?承载网民个人信息的网站安全防护因何屡存缺失?


部分重大的网站个人隐私泄露事件

深信服安全专家回看几次重大的网站个人隐私泄露事件,发现导致网站用户信息泄露的原因主要是由于网站平台自身的安全防护不到位,以及开放的第三方程序/接口安全防护不足。此外,个人信息存储方式设计不当(明文)进一步增加了用户隐私受威胁影响的等级。

黑客每天都会利用扫描工具对各大网站进行疯狂地扫描,若网站存在SQL注入等漏洞或Web服务器本身含有漏洞,则黑客可轻易挖掘出这些漏洞,并利用其进行数据窃取。为有效保障网站用户的信息安全,深信服安全专家建议您采取以下措施提升网站的安全防护水平:

1. 定期升级网站系统补丁、安装并及时更新杀毒软件;

2. 严格设置网站目录权限,禁止上传目录脚本执行权限;

3. 部署具备优秀的Web防护能力的下一代防火墙产品,建议选用获得国际权威机构如NSS Labs最高评价“推荐”或OWASP Web防护测评4星及以上的产品。

4. 网站需采用非明文方式存储用户信息,关键数据信息需定期进行备份。

5. 采用二次身份验证机制进行网站登录。

而在日常的工作和生活中,个人应该如何提高密码安全意识,才不会给黑客留下可乘之机呢?深信服安全专家建议您:

1. 切忌一套密码到处用,不同的网站应设置单独的账号和密码;

2. 密码设置尽量使用“字母+数字+特殊字符”形式的高强度密码,且长度至少为8位;

3. 需要定期对各套密码进行更换,我们建议每两个月更换一次密码。

深信服下一代防火墙NGAF作为国内首台下一代防火墙,在产品推出伊始便添加了Web攻击防护功能,能有效防护SQL 注入攻击、XSS跨站脚本攻击等OWASP组织提出的10Web安全威胁。NGAF专业的Web防护功能得到了国际权威机构的共同认可,20131月获得OWASP Web防护测评4星认证(国内唯一),20149月通过全球著名的独立安全评测机构NSS Labs Web应用防护测试,并获得最高评价“推荐”,成为国内第一台在Web攻击防护领域获此认证的下一代防火墙。


关注我们:

©2000-2016    深圳市深信服电子科技有限公司版权所有   |  粤ICP备08126214号   |  法律声明   |  隐私保护   |  廉洁&反舞弊举报