網絡安全跟隨著網絡的高速發展其重要性越來越高， 人們的日常生活已經與網絡安全息息相關。 近年來， 網絡安全被披露越來越多的安全隱患。 為了加強網絡安全防護， 首先要清楚目前的網絡安全隱患有哪些， 本文將為大家一一列出。

　　1、暴露站點統計信息

　　哪些人正在訪問我的站點？這個問題大家都想知道， 網絡上也并不缺少這樣的程序 。 有商業版的日志分析軟件， 也有日益流行、甚至一些商業網站也在采用的開源分析軟件， 因為它們能提供很花哨的功能， 選擇面也多， 令人不解的是為何有些站點的管理員不去管好它！比如， 流行的統計程序AWStats 和 Webalizer存在許多安全漏洞， 使用這些程序相當于自暴其丑。 此外， 訪客在你的站點的活動記錄應屬于機密信息， 有何理由公之于眾？

　　2、被遺忘的備份文件

　　在開發個人網站時， 許多人沒有使用完整的開發環境或版本控制軟件， 這可以理解。 但如果用在商業網站的開發中， 問題就來了：有些人為了圖方便， 將舊的網頁改個名字， 再上傳一個新的版本， 如果有問題， 再重新改回原來的舊版本。 一般在這些文件的名字加上.bak 或 .old, 如果忘記刪除這些舊文件， 那些頗有心計的攻擊者的機會就來了。 服務器當然不知道”.bak” 或”.old”是什么類型的文件， 會乖乖地把你的源代碼拱手送出！

　　3、你的站點入選了“惡人榜”

　　存在跨站點腳本漏洞的網站實在數不勝數， 黑客們對此已經麻木了。 已經出現了“惡人榜”(Wall of Shame)之類的站點， 專供過路者隨手張貼發現的漏洞站點， 這種游街示眾的做法好像有點不太厚道， 但似乎只有這樣才能引起他們對安全問題的重視。 大名鼎鼎的Dell, HP, MySpace, Photobucket, F5, and Acunetix都曾經入選過 sla.ckers.org 的“惡人榜”。

　　4、目錄遍歷

　　如果連自己的服務器都管不好， 網站的安全性就無從談起。 盡管有些目錄是有意允許遍歷的， 但通常都是服務器管理不當的癥狀。

　　5、過期的SSL證書

　　如果一個網站連更新SSL證書的錢都舍不得出， 你還信得過他們嗎？如果你不打算更新證書， 當客戶準備交易時看到瀏覽器給出的錯誤消息顯示連接有問題， 肯定會攥緊自己的錢包。

　　6 第三方軟件的漏洞

　　別誤會， 我很贊成代碼重用， 既然有很好的開源代碼， 為什么還要重新發明輪子？但是， 千萬不要過分信賴別人的代碼。 如果你要在項目中使用這些代碼， 就要用同樣的安全標準審查這些代碼， 而且還要對它的缺陷進行跟蹤。 至少要定期訂閱免費的缺陷發布網站的缺陷列表， 檢查這些共享代碼有沒有問題。

　　6、詳細的錯誤消息

　　詳細的錯誤消息對開發者很有用， 但對用戶來說等于“紅色警報”。 即使你不是安全專家， 也能看出網頁中包含的錯誤消息意味著網站有潛在的漏洞。 各種網站中像瘟疫一樣流行的SQL注入就是 最常見的安全漏洞， 而那些錯誤信息就像是地雷的導火索。 不要自作聰明， 關閉錯誤顯示并不能消除漏洞， 只不過增加了發現的難度而已。

　　7、源代碼中的注釋

　　注釋可以用來標記需要進一步檢視的代碼， 特別是團隊中的多名程序員共同完成的代碼。 在代碼進入發布階段前， 要確保提到的問題已經解決， 并且刪除與此相關的注釋。 使用 Google代碼搜索 可找到隱藏在許多庫文件中有趣的注釋。 別讓這些注釋成為指向漏洞的地圖。

　　8、BIND漏洞

　　位于十大之首的是BIND漏洞， 有些系統默認安裝運行了BIND， 這種系統即使不提供DNS服務， 很容易受到攻擊。

　　9、有漏洞的通用網關接口程序

　　位于十大脆弱性中第二位的是有漏洞的CGI程序和Web服務器上的擴展程序。 入侵者很容易利用CGI程序中的漏洞來修改網頁， 竊取信用卡信息， 甚至為下一次入侵建立后門。

　　10、病毒的侵襲

　　病毒的”毒性”不同， 輕者只會玩笑性地在受害機器上顯示幾個警告信息， 重則有可能破壞或危及個人計算機乃至整個企業網絡的安全。

　　11、黑客的非法闖入

　　黑客通過尋找未設防的路徑進入網絡或個人計算機， 一旦進入， 他們便能夠竊取數據、毀壞文件和應用、阻礙合法用戶使用網絡， 所有這些都會對企業造成危害。 黑客非法闖入將具備企業殺手的潛力， 企業不得不加以謹慎預防。

　　12、數據”竊聽”和攔截

　　直接或間接截獲網絡上的特定數據包并進行分析來獲取所需信息。 加密技術是保護傳輸數據免受外部竊聽的最好辦法， 其中SSL證書以及VPN是目前使用最多的加密技術載體。

　　13、拒絕服務

　　這類攻擊一般能使單個計算機或整個網絡癱瘓， 黑客使用這種攻擊方式的意圖很明顯， 就是要阻礙合法網絡用戶使用該服務或破壞正常的商務活動。

　　14、內部網絡安全

　　為特定文件或應用設定密碼保護能夠將訪問限制在授權用戶范圍內。

　　15、電子商務攻擊

　　從技術層次分析， 試圖非法入侵的黑客， 或者通過猜測程序對截獲的用戶賬號和口令進行破譯， 以便進入系統后做更進一步的操作；或者利用服務器對外提供的某些服務進程的漏洞， 獲取有用信息從而進入系統；或者利用網絡和系統本身存在的或設置錯誤引起的薄弱環節和安全漏洞實施電子引誘， 以獲取進一步的有用信息；或者通過系統應用程序的漏洞獲得用戶口令， 侵入系統。

　　還有如下網絡安全隱患：

　　惡意掃描：這種方式是利用掃描工具(軟件)對特定機器進行掃描， 發現漏洞進而發起相應攻擊。

　　密碼破解：這種方式是先設法獲取對方機器上的密碼文件， 然后再設法運用密碼破解工具獲得密碼。 除了密碼破解攻擊， 攻擊者也有可能通過猜測或網絡竊聽等方式獲取密碼。

　　數據篡改：這種方式是截獲并修改網絡上特定的數據包來破壞目標數據的完整性。

　　地址欺騙：這種方式是攻擊者將自身IP偽裝成目標機器信任機器的IP 地址， 以此來獲得對方的信任。

　　垃圾郵件 主要表現為黑客利用自己在網絡上所控制的計算機向企業的郵件服務器發送大量的垃圾郵件， 或者利用企業的郵件服務器把垃圾郵件發送到網絡上其他的服務器上。

　　基礎設施破壞：這種方式是破壞DNS或路由器等基礎設施， 使得目標機器無法正常使用網絡。

　　由上述諸多入侵方式可見， 企業可以做的是如何盡可能降低危害程度。 除了采用防火墻、數據加密以及借助公鑰密碼體制等手段以外， 對安全系數要求高的企業還可以充分利用網絡上專門機構公布的常見入侵行為特征數據-通過分析這些數據， 企業可以形成適合自身的安全性策略， 努力使風險降低到企業可以接受且可以管理的程度。

　　GDCA（數安時代）擁有國內自主簽發信鑒易 TrustAUTH SSL證書以及是國際多家知名品牌：GlobalSign、Symantec、GeoTrust SSL證書指定的國內代理商。 為了讓國內更多的網站升級到安全的https加密傳輸協議， 五一期間， GDCA推出多種國際知名SSL證書優惠活動， 實現HTTPS加密并展示網站真實身份信息。