摘要：作为一名电子政务工作人员，平时主要工作就是负责行政权力阳光运行系统的管理与维护，有一次因休探亲假，离开了工作岗位10天左右，原以为系统能够安全、稳定地运行，可事实竟然事与愿违。

第1页:后台受到攻击 第2页:保护网站安全

 
　　
　　保护网站安全
　　
　　其实，无论是什么类型的网站服务器，除了依赖于局域网共有的防火墙软件和防病毒软件保护外，还要做好自身的一些安全防范措施：
　　
　　1、使用复杂账号
　　
　　登录网站后台的账号信息一定不能使用默认的数值，特别是不要轻易使用人人皆知的admin用户名，如果执意要使用这样的登录账号，必须使用足够复杂的登录密码，例如密码信息最好同时包含大小写字母、数字、符号等。
　　
　　2、堵住注入漏洞
　　
　　不少网站都存在注入式漏洞，这种类型的漏洞往往是由于网站设计不当引起的，例如攻击者可以通过cookie方式手工注入，实现窃取系统管理员权限的账号信息，也可以使用专业的注入工具注入登录账号信息。要堵住这样的安全漏洞，我们可以到网上搜索专业的漏洞修补代码。当然也有比较简单的方法，那就是将IIS服务器设置成不管出什么错误，只给出一种错误提示信息，也就是http500错误，那么非法攻击者就没办法根据IIS给出的错误提示信息进行非法入侵了。
　　
　　3、管理好数据库
　　
　　首先要记得修改网站数据库的默认名称，注意要将其扩展名调整为asp或者asa，否则网站数据库直接可以从网站中下载下来，那样一来就非常不安全了。其次要将网站数据库所在目录名称修改一下，该目录名称也尽量复杂一点。第三数据库地址也要修改一下，不能为了图方便，使用简单的地址信息。
　　
　　4、控制上传方式
　　
　　尽量不采用无组件上传，使用其他组件上传方式(比如Fileup或LyfUpload)，部分无组件上传带有严重漏洞，一般可通过修改upfile.asp文件选择上传方式。此外，上传文件的权限，不能授予系统管理员权限之外的用户，否则的话容易被非法攻击者利用。
　　
　　5、注意站点绑定
　　
　　倘若我们自己没有独立的服务器主机，而是将站点放到其他用户那里进行托管时，那要注意对网站IP地址的绑定，因为非法攻击者可能会通过旁注方式对网站进行非法入侵。比如，要是非法攻击者无法在自己的网站中找到攻击漏洞时，那么他可能会利用同一主机中的其他网站漏洞实施间接攻击。所以，我们日后一定要选择信誉好的正规公司进行服务器绑定操作。
　　
　　责任编辑:Honey