網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0
項(xiàng)目背景
確定縣融媒體中心內(nèi)設(shè)機(jī)構(gòu)�、融合戰(zhàn)略發(fā)展目標(biāo)和發(fā)展路徑����,通過(guò)整合廣播、電視����、網(wǎng)站��、微信公眾平臺(tái)等新媒體的新聞資源�����,成立縣級(jí)“融媒體中心”�,區(qū)縣平臺(tái)提供技術(shù)支撐,以縣廣播電視臺(tái)為主體�����,圍繞“統(tǒng)籌策劃����、一次采集、多元生成、多渠道傳播”模式�����,開(kāi)展媒體服務(wù)���、黨建服務(wù)�����、政務(wù)服務(wù)���、公共服務(wù)、增值服務(wù)�����,業(yè)務(wù)融合等��,整合優(yōu)化了“采��、編�、發(fā)”流程, 切實(shí)將縣融媒體中心建成全縣主流輿論傳播平臺(tái)��、綜合服務(wù)平臺(tái)和信息樞紐。針對(duì)融媒體新聞網(wǎng)門戶網(wǎng)站所承載的各類應(yīng)用的特點(diǎn)����,目前容易遭受網(wǎng)絡(luò)黑客的各種攻擊中,比較典型的攻擊總結(jié)如下:
SQL 注入
SQL 注入是攻擊者通過(guò)輸入惡意的請(qǐng)求直接操作數(shù)據(jù)庫(kù)服務(wù)器的攻擊技巧���。SQL 注入式應(yīng)用系統(tǒng)中最常見(jiàn)���,同時(shí)也是危害最大的一類弱點(diǎn)。導(dǎo)致 SQL 注入的基本原因是由于應(yīng)用程序?qū)τ脩舻妮斎霙](méi)有進(jìn)行安全性檢查��,從而使得用戶可以自行輸入 SQL 查詢語(yǔ)句���,對(duì)數(shù)據(jù)庫(kù)中的信息進(jìn)行瀏覽、查詢��、更新����。基于 SQL 注入的攻擊方法多種多樣����,而且有很多變形���,這也是傳統(tǒng)工具難以發(fā)現(xiàn)和定位的。
SQL 注入的危害:利用SQL 注入漏洞可以構(gòu)成對(duì) Web 服務(wù)器的直接攻擊����,還可能用于網(wǎng)頁(yè)掛馬,導(dǎo)致機(jī)密數(shù)據(jù)泄漏���;服務(wù)器被控制�����; 后臺(tái)數(shù)據(jù)庫(kù)執(zhí)行非授權(quán)的查詢�、修改����、刪除;泄露認(rèn)證相關(guān)的敏感信息�,導(dǎo)致攻擊者控制Web 應(yīng)用;網(wǎng)站數(shù)據(jù)的惡意破壞���。
DDOS 攻擊
DDoS(Distributed Denial of Service)攻擊則是一種可以造成大規(guī)模破壞的黑客武器���,它通過(guò)制造偽造的流量��,使得被攻擊的服務(wù)器����、網(wǎng)絡(luò)鏈路或是網(wǎng)絡(luò)設(shè)備(如防火墻���、路由器等)負(fù)載過(guò)高��,從而最終導(dǎo)致系統(tǒng)崩潰����,無(wú)法提供正常的服務(wù)�����。
隨著各種業(yè)務(wù)對(duì)Internet 依賴程度的日益加強(qiáng)�����,DDoS 攻擊所帶來(lái)的損失也愈加嚴(yán)重��。包括教育�����、運(yùn)營(yíng)商�、企業(yè)及政府機(jī)構(gòu)的各種用戶時(shí)刻都受到了DDoS 攻擊的威脅,而未來(lái)更加強(qiáng)大的攻擊工具的出現(xiàn)�����,為日后發(fā)動(dòng)數(shù)量更多���、破壞力更強(qiáng)的DDoS 攻擊帶來(lái)可能�。
跨站腳本
跨站腳本漏洞的特點(diǎn)在于對(duì)存在漏洞的網(wǎng)站本身并不構(gòu)成威脅�, 但會(huì)使網(wǎng)站成為攻擊者攻擊第三方的媒介。
跨站腳本的危害:攻擊者可以利用XSS 漏洞借助存在漏洞的Web 網(wǎng)站轉(zhuǎn)發(fā)攻擊其他瀏覽相關(guān)網(wǎng)頁(yè)的用戶����,竊取用戶瀏覽會(huì)話中諸如用戶名和口令(可能包含在 Cookie 里)的敏感信息、通過(guò)插入掛馬代碼對(duì)用戶執(zhí)行掛馬攻擊����。
整體安全建設(shè)方案
信息系統(tǒng)安全保障建設(shè)的基本思路是:以保護(hù)信息系統(tǒng)為核心, 嚴(yán)格參考等級(jí)保護(hù)的思路和標(biāo)準(zhǔn)��,從多個(gè)層面進(jìn)行建設(shè)��,滿足信息系統(tǒng)在物理層面�����、網(wǎng)絡(luò)層面、主機(jī)層面��、應(yīng)用層面和管理層面的安全需求�,建成后的保障體系將充分符合國(guó)家標(biāo)準(zhǔn),能夠?yàn)闃I(yè)務(wù)的開(kāi)展提供有力保障����。
產(chǎn)品案例
臨澤縣融媒體中心 
阿克塞縣融媒體中心
