网站安全实践：给IT运维人员的几点建议

　　【IT168 应用】无论你是资深IT专家还是电脑小白，进入2012年，相信大家对“黑客”这个词都不陌生。从2011年底的泄密门，到2012新年才刚刚过去的短短一个月时间里发生的所有和网络安全相关的热门事件，黑客带给了我们太多的震撼。当你打开百度新闻搜索“黑客”关键字时能看到什么?没错，有太多知名的网站被黑客攻破，有太多牛X的IT系统对黑客来说如入无人之境……

　　进入WEB2.0时代，我们的IT当真变得如此脆弱了吗?记得在一次有关安全的研讨会上，有专家谈到了这样的观点：互联网在设计之初，也没能预想到互联网会发展成现在的庞大规模，如果互联网依然只应用于教育网、科研网，就不会有这么多的问题，难道我们真得需要在重新织一张网?虽然这只是一种假设，也可能是未来创新的一个星星之火，但在现阶段，还是让我们收回思想的翅膀，来解决实际中的问题吧!

　　网站安全在经历了2011年底的泄密门之后，得到了各方面的重视，互联网企业开始重新审视自身的安全性、安全厂商开始更多的关注这方面的问题并推出了相应的解决方案、政府也在从法律法规方面对网站安全进行了相关的规定(未证实消息：中国的萨班斯法案在今年也将出台)。

　　近日，小编从国内知名的漏洞报告平台WooYun.org上得到了以下几张图，图中标注的是各企业网站所存在的漏洞类型和造成系统漏洞的主要原因：

▲点击图片查看大图

　　从上图我们可以不难找出企业网站存在安全风险的几个同共点：XSS跨站脚本攻击、SQL注入漏洞、后台弱口令、系统/服务运维配置不当以及系统/服务补丁不及时……下面我们就从这主要的几点开始和大家一起探讨：