网络安全 频道

网站安全开发手册 解读安全开发标准

  【IT168 资讯】据有关媒体报道:奥运会信息网络安全保障专家何公道日前表示,仅北京奥运会开幕后8天内发现的新病毒就达3204种,而奥运会核心网络与信息系统运行正常,未发生大规模的病毒传播、网络攻击情况。另据北京奥运会网络安全应急小组介绍:“奥运期间,每天分析采集病毒样本在几十万左右,查杀阻截新病毒两千左右。”

  “每天查杀阻截病毒达到数千个左右,到目前为止,我们还没有找到更加有效的方法来截断病毒传播的路径,还只能依靠大量的人力、物力来监控,查杀病毒。”业内人士向记者介绍说,通过网站进行病毒、木马的传播已经成为黑客攻击的重要手段,网站安全现已经成为我国病毒防范的重中之重,但如何实现更有效的防范仍是亟待解决的问题。

  而从政府网站评估指标加重“网站安全”的比重也凸显了这一点。随着互联网的不断发展与技术深入,形成一套标准且全面的网站安全防范标准是目前国内网站的运营所最迫切需要的。

  广大中小型网站 安全才是硬道理

  大型网站拥有大量的人力物力资源,在网站安全防范方面具有较大的优势,往往受系统安全问题影响较小。但对于占绝对数量比的中小型网站来说,由于没有自己的开发力量,只有采用中小型CMS,而目前大部分中小型CMS的开发商只关注了了功能实现,对安全问题和性能问题没有足够重视,导致这些系统漏洞百出。又或者有个别网站有自己的开发人员,但限于经验及技术能力,往往也只关注了功能实现,对安全问题和性能问题没有足够重视,导致所开发的功能中存在大量的安全漏洞。这样的现状使得“木马攻击、网页倒挂、SQL注入、跨站脚本攻击”等等安全问题就像幽魂一样长期黏附在广大的中小型网站之上,使其长期处于遭受黑客攻击的被动挨打局面中,无法解脱。

  “安全才是硬道理”,这已经成为网站经营者的共识,尤其是中小型网站,在没有足够的技术资金投入的情况下,该如何保障网站安全运行,保障切身利益?日前,国内知名网站系统开发商动易网络面向整个行业与其软件用户发布了其《网站系统安全开发手册》,便为基于微软.Net 2.0平台下的网站系统平台的开发和维护,提供了一套可参考的安全标准范本,并将有效地缓解广大中小型网站现在所面临的安全问题。

  《网站系统安全开发手册》 促进国内CMS产品安全开发标准的建立

  记者了解到,这本《网站系统安全开发手册》是国内首本在网站系统安全开发规范方面的应用手册,由动易软件安全工程师们耗时近6个月精心编制而成。而在这之前,国内网站系统的开发并无任何可参考的安全规范和标准,这也是众多网站系统安全性良莠不齐的重要原因。该《安全开发手册》的内容涉及到网站安全开发的方方面面,并结合了众多实例对各种攻击手段和防范措施设立了安全开发规范标准,一经公布仅数小时,下载及浏览量已逾万次,受到好评如潮。

  据动易网络有关人员介绍,此次发布的网站系统《安全开发手册》共有十三大项,30个小项,主要介绍了输入验证、输出编码、SQL注入、跨站脚本攻击、跨站请求伪造、越权操作、IO操作安全、缓存泄漏、系统加密、信息批漏、日志和监测、Web.config的安全配置等方面的内容,并列明具体的防御手段和方法,从而为网站安全开发人员提供了一本极具实操性的工具书。自从2006年起与安全检测服务组织合作以来,动易经过长时间的积极探索与尝试,极大的提升了自己在系统安全设计方面的经验和能力,如今动易产品的开发完全遵守发布的安全标准进行开发,并且随着技术的不断发展,安全开发标准也将不断进行更新,配以完善的动易产品安全开发管理规范,将确保动易产品能随时拥有出色的安全性能。

  但随着网站安全受到越来越广泛的重视,越来越多的人开始关注系统开发的安全问题,但却由于经验和相关标准的缺少,不知道在开发过程中应该如何做才能保证系统的安全性。“动易的开发工程师在这上面就走了不少弯路,使得动易以前的产品中就曾存在不少的安全隐患。也正是出于指导与实用的目的,我们希望将在这方面的经验共享出来,希望这本《安全开发手册》能为广大的开发者提供一个全面的可参考范例,也希望作为内容管理系统开发领域领头羊的动易,能为建立网站安全开发标准起到带头和促进作用,提升整个行业在安全开发方面的水平。”动易技术总监魏壮志先生介绍说:“例如在防范SQL注入方面,我们的手册就从什么是SQL注入、SQL注入的种类、SQL注入产生的原因、如何防止SQL注入、应用举例等五个方面详细阐述了SQL注入的形成和具体的防御手段和措施,让手册用户能够将相关知识、经验迅速地应用到系统开发与维护管理中去。”

  据悉,从去年开始,动易便在为建立网站安全标准而进行了大量的努力,并呼吁行业与国家有关部门能尽早建立网站安全标准,只有实施标准战略才能切实有效地提升国内网站安全的综合水平。而此次动易网络发布的《网站系统安全开发手册》,无疑已经成为了打响网站安全标准的第一枪。

  《网站系统安全开发手册》在线下载: http://download.csdn.net/source/599604 。

0
相关文章