网站安全防护必不可少

　　脱库就是指网站的数据库被人盗窃得手。日前爆发的最为严重的是CSDN网站的数据库，以用户名密码都明文显示。涉及的还有人人网，多玩(YY)，7k7k、以及婚恋网站等。

　　事件回放

　　2011年12月21日消息 21日下午有网友向DoNews爆料称国内最大的开发者社区CSDN.NET的安全系统遭到黑客攻击，CSDN数据库中的600万用户的登录名及密码遭到泄漏。

　　据了解，被黑客泄漏出来的600万用户信息包含登录名、密码及邮箱，泄漏出来的文件格式是.sql文件，得到该泄漏文件的用户只需要用文本编辑软件打开即可查看所有用户的信息，且密码都是明文保存，并没有进行任何加密操作。

　　据知情人士表示，此次泄漏出来的用户数量巨大，但还不是CSDN所有的数据，该文件仅仅是2009年的一次备份数据，也就是说2009年以后在CSDN网站注册的用户并不再此次泄漏范围之内。

　　网站之忧

　　随着Web 应用及服务在功能和性能上不断的完善和提高，Web 越来越多地承载了核心业务，譬如：电子政务、电子商务、运营商的增值业务等。但是现在网站的安全不容乐观，主要体现为：一方面SQL注入漏洞、XSS 跨站脚本漏洞等Web 应用安全隐患极其严峻;另一方面传统安全漏洞扫描设备由于设计目标不同，在针对Web 系统应用层进行扫描时却往往力不从心。

　　国内领先的web应用安全产品与解决方案提供商—北京国舜科技有限公司副总裁汤志刚指出：在的安全防护中，主要的攻击其实都来自于网络应用层的攻击，但是我们的投资、安全的成本90%以上却是花在了网路上，只花了10%的安全去防护75%的攻击，这就是我们目前网站应用安全薄弱之所在。

　　也就是说，现实当中，大多数的政府、企事业单位将大量的投资花费在基础网络和服务器的安全建设上，却没有从真正意义上保证Web业务本身的安全。

　　专家提醒

　　日前，国内领先的web应用安全产品与解决方案提供商国舜科技的专家提醒所有CSDN用户尽快修改自己的常用密码，以确保自己的账号及隐私安全。

　　汤总称：以前的网页防篡改主要以静态的防篡改为主，保证网页不被篡改，但其对防止数据的泄漏是有局限性的。现在网页防篡改有了进一步的发展，出现了“动态防护”，最大的作用就是防止数据泄漏，所以现在再来考虑网站安全的时候，不光考虑不被篡改，同时要把动态防护一起加上，防止数据泄漏。同时，网站漏洞是数据泄露的关键，采用专门的网站漏洞扫描工具来坚持对网站的体检也对防止数据泄露起重要作用。

　　前一段时间，CSDN网站官方通过微博进行了正面回应称：“对于CSDN用户账号密码数据库被泄露一事，经过初步分析，该库系2009年CSDN作为备份所用，由于未查明原因被泄露，特向所有因此而受到影响的用户致以深深歉意。目前CSDN已向公安机关报案，公安机关也正在调查相关线索。CSDN现有2000万注册用户的账号密码数据库已经全部采取了密文保护和备份。 ”

　　“魔高一尺，道高一丈”。汤总称国舜科技去年推出了网站安全综合监控平台，这个平台将国舜科技以往的网页防篡改，网站漏洞扫描系统等领先技术融合在一起，是一个实时监控网站性能、状态、安全漏洞等的综合监控平台，该平台的推出对网站的安全有巨大的促进作用。所以，希望业界不要惊慌害怕!