为避免骇客透过网站伺服器的漏洞入侵，企业除了将网站伺服器与内部资料库分开外，更应评估建立系统备援机制。

随着Web 2.0的兴起，将有更多应用程式与系统走向Web化，但是，根据科技犯罪防治中心调查，骇客透过网站伺服器的漏洞进行入侵的案件，就占了整体受骇案件的1/3。

根据今年上半年刑事局所破获的各种网路犯罪的案件中，以妨害电脑使用的比例最高。内政部警政署刑事局科技犯罪防治中心主任李相臣表示，其中高达1/3的受骇案件，骇客是利用网站伺服器的漏洞进行入侵，最常见的攻击手法，仍是利用SQL Injection的漏洞攻击。

李相臣指出，这些受骇网站包含电子商务网站以及网路银行网站，很多企业的IT人员都为了省事，网站伺服器和会员资料库，都安装在同一套主机，并没有区隔。因而骇客一旦透过网站伺服器成功入侵，马上就能够进一步入侵会员资料库以取得相关资料。此外，许多企业网站成为骇客恐吓、勒赎的标的。李相臣指出，有许多企业遭到骇客恐吓，要胁不付钱就将系统断线或瘫痪电脑，此类案件数量比去年同期多出数倍，其中，许多骇客的IP都来自中国大陆，也造成刑事局在侦办时的困难。

针对骇客利用网站伺服器的漏洞入侵，藉此恐吓勒赎，李相臣建议，建立系统基本的断线和备援机制，才是企业主对抗这些恶意威胁与攻击的好方法。网站伺服器与内部资料库分开已是基本防护措施，不可贪图方便而忘了安全，企业更应评估建立系统备援机制。

李相臣指出，不论是修补漏洞，或是设置各种防御设备，都只是增加攻击难度、延长骇客入侵得逞的时间，进而留下骇客入侵的追查线索。但是，如果企业察觉骇客已经入侵，再怎么阻挡也来不及了，此时，立即将系统断线，另外启动未遭入侵的备援系统，才是最佳的防御方式。

来源: http://www.ithome.com.tw/it...php?c=39760