香港娱乐圈“艳照门事件沸沸扬扬，究其原因无关道德，实在是电脑不安全，照片和录象被泄密了。

　　只有掌握了信息安全技术，才不会担心你的信息的丢失，不担心你上网会被盗窃银行密码和QQ密码邮箱密码，我们才不会出现陈冠希一样的尴尬。

　　春节前后，网上炒的最沸腾的就是“艳照门了，这在信息安全这个小小的圈子里也一个不大不小的热点。一时间众说纷纭，社交工程、信息销毁、道德法律等字眼都进入眼帘。

　　我就想不到那么复杂的东东，我觉得就是两个小的细节没有做好。

　　1.送修前没有将硬盘卸除或者彻底销毁关键数据：由于种种的不方便，似乎很少人这么做。

　　2.没有在维修时进行全程维修陪同监控：由于没有这方面的意识，似乎很少人这么做。

　　如果这两个小动作做了，那么就可以避免此次安全事件的发生。

　　对于网站的站长来说，安全应该怎么做呢？

　　目前很多人都采用动网、LEADBBS、动易系统等程序做网站，由于源码公开，因此程序漏洞暴露明显，很容易被黑，安全专家陈十三哥建议大家参考以下部分安全建议，做好自身安全：

　　(1)仔细查看安装说明，切记修改默认数据库名，并且一定要把扩展名改为asp或者asa，因为不经处理的数据库可以直接下载，根本无安全可言，另外可以把数据库所在目录改名。

　　(2)尽量不采用无组件上传，使用其他组件上传方式（比如Fileup或LyfUpload），部分无组件上传带有严重漏洞，一般可通过修改upfile.asp文件选择上传方式。

　　(3)经常访问相关官方网站，关注程序安全漏洞和更新版本，及时给自己程序升级或打上补丁。

　　(4)尽量不采用修改版和插件版的程序，因为修改后的程序会使漏洞更多，而且补丁也不一定完全适用。

　　(5)设置相对复杂的FTP密码和网站管理密码并经常修改，同时考虑修改网站后台管理的文件名称。

　　(6)经常检查网站内文件，发现可疑文件后及时处理，并分析可能的原因。

　　(7)对于SQL数据库，您可以用企业管理器连接，然后把重要数据表设置为只读权限，如动网的DV_Admin表修改为只读以后，可以防止任何方式添加管理员。

　　(8)二次开发时切记做好对特殊符号的过虑，防止注入漏洞。

　　(9)经常备份自己的网站数据，因为网站安全的第一要求就是备份，防止被黑以后数据丢失。

　　(10)如果有服务器管理权限建议把论坛上传图片目录设置权限最低。

　　在网络攻击成倍增长的今天，网络反黑客保安全已经成为每个计算机用户的必备课程。欲成为成功的信息安全专业人士，不仅需要不断更新最尖端的安全知识，还需要对商务过程和风险管理有深刻认识。就现在许多IT公司的现状来看，基本上每一个公司都有一名或多名（部门）专职的人员负责着公司内网、外网、服务器的网络安全维护。而随着网络应用的不断普及与信息安全服务需求市场的不断成熟，逐渐出现了一些专业的以信息安全服务为主要业务的团队、公司。

　　大多数公司的网管仅仅是程序人员和网页设计人员，对安全涉猎有限。而且，网络是否安全，有时并不是网络所有者自己完全清楚的。所以，许多公司要请第三方评估机构或专家来完成对网络安全的评估。这样做的好处是：能对自己所处的环境有个更加清醒的认识，把未来可能的风险降到最小。目前网络安全评估的中介机构，国外已经开始将网络的安全评估作为一个新的服务项目向社会推出。作为一种新兴的业务，其影响是否能象会计师事务所、审计师事务所之类的中介机构那样重要，尚需拭目以待。但有一点可以肯定，那就是网络上的商机同样也与风险同存。要想获得利润，就必须将安全问题解决。

　　作者：Jack

　　【赛迪网-IT技术报道】在上周四(3月27日)的“PWN 2 OWN”2008年全球黑客大赛上，黑客谢恩?麦考莱(Shane Macaulay)一举攻破微软Vista系统，并因此获得5000美元奖金和一台作为奖品的笔记本。

　　本周一，麦考莱将其奖品笔记本在eBay上拍卖，起价为0.01美元，并模棱两可的暗示这台机器可能仍含有可攻击Vista的执行代码。由于周一是欧美国家盛行的愚人节，有人怀疑麦考莱是在恶作剧。但麦考莱当天表示，这台富士通笔记本已归他个人所有，他本人有权对其随意处置。

　　当晚美国太平洋时间11点，eBay网站删除了麦考莱上述拍卖信息，并称他的这种做法不利于广大计算机用户安全。eBay一位发言人表示：“麦考莱的拍卖信息上故意添加了含有Vista攻击代码等字样，这已经引起了网络安全专家们的注意。”

　　“PWN 2 OWN”2008年全球黑客大赛于上周三进行，大赛举办方提供了三部运行不同操作系统的笔记本电脑，以供各参赛黑客小组实施攻击，这些操作系统分别为微软Vista、苹果Mac OS X及Ubuntu Linux。周三当天，所有参赛小组都没能成功攻破任何一台笔记本。

　　上周四大赛举办方改变了攻击规则，当天以查理?米勒(CharlIE Miller)为主的参赛小组在不到2分钟时间内攻破了苹果MacBook Air超薄笔记本，并为此获得了1万美元奖金。周五是大赛的最后一天。当天参赛黑客谢恩?麦考莱(Shane Macaulay)一举攻破了微软Vista系统，所获奖金为5000美元。到周五为止，只有运行Ubuntu系统的笔记本没有被攻破。

　　业界人士称，如果麦考莱上述拍卖行为不是开愚人节玩笑，他就有可能违反了PWN 2 OWN大赛的相应规则。此前大赛举办方规定，任何参赛人员发现相应漏洞后，不得对外公布他们所发现的产品漏洞和相应攻击方式，以便相应厂商能及时修补漏洞。

　　(责任编辑：李磊)

　　黑客技术的发展似乎是一个个轮回，从最早开始的Dos洪水攻击，到后来黑客们更钟情的漏洞入侵，直到现阶段DoS攻击再现。这种看似原始但直到现在也没有完备方案解决的攻击方式，让叱诧风云的Yahoo、CNN、eBay也深受其害。DoS攻击有何德何能？当企业面对DoS攻击时，又有哪些策略可以减小损失呢？

　　一、了解DoS本质

　　对于安全界来说，DoS攻击原理极为简单，早已为人们所熟知。但目前全球每周所遭遇的DoS攻击依然达到4000多次，正是因为简单、顽固的原因，让DoS攻击如野草般烧之不尽，DoS攻击最早可追述到1996年，在2000年发展到极致，这期间不知有多少知名网站遭受到它的骚扰。

　　所谓DoS，全称为Denial of Service——拒绝服务。它通过协议方式，或抓住系统漏洞，集中对目标进行网络攻击，直到对方网络瘫痪，大家常听说的洪水攻击，疯狂Ping攻击都属于此类。由于这种攻击技术门槛较低，并且效果明显，防范起来比较棘手，所以其一度成为准黑客们的必杀武器，进而出现的DDoS（Distubuted Denial of Service分布式拒绝服务）攻击，更是让网络安全管理员感到头痛。

　　不过我们应该看到，DoS攻击仅仅是破坏对方网络访问状态，不会进行实质性的入侵，对服务器和网络设备不构成致命伤害，但对于提供Web服务的企业来说，该攻击方式仍然会造成比较大的损失。虽然目前业界没有提供统一标准的防护方式，但我们仍然可以从一些操作习惯和设备环境部署上减小DoS攻击带来的危害。

　　二、防御DoS攻击措施

　　在应对常见的DoS攻击时，路由器本身的配置信息非常重要，管理员可以通过以下几个方面，来防止不同类型的DoS攻击。

　　扩展访问列表是防止DoS攻击的有效工具，其中Show IP access-list命令可以显示匹配数据包，数据包的类型反映了DoS攻击的种类，由于DoS攻击大多是利用了TCP协议的弱点，所以网络中如果出现大量建立TCP连接的请求，说明洪水攻击来了。此时管理员可以适时的改变访问列表的配置内容，从而达到阻止攻击源的目的。