◆都 標(biāo)

（阜陽技師學(xué)院 安徽 236000）

淺談網(wǎng)站的安全和防范措施

◆都 標(biāo)

（阜陽技師學(xué)院 安徽 236000）

近年來，伴隨著各行業(yè)信息化建設(shè)的需求，互聯(lián)網(wǎng)得到了突飛猛進(jìn)的發(fā)展，人們?cè)谙硎芑ヂ?lián)網(wǎng)便捷的同時(shí)，也在承受著網(wǎng)絡(luò)安全所帶來的困擾。據(jù)統(tǒng)計(jì)，大約每20秒就有一次網(wǎng)絡(luò)入侵事件，每年全球網(wǎng)絡(luò)安全造成的損失高達(dá)數(shù)百萬美元。在我國(guó)，90%以上的網(wǎng)站存在著安全漏洞，很多網(wǎng)站都遭受過黑客的攻擊和計(jì)算機(jī)病毒的侵害，對(duì)我們的國(guó)家、企事業(yè)單位及個(gè)人造成了極大的危害。本文首先介紹了網(wǎng)站存在的安全隱患，之后將詳細(xì)介紹網(wǎng)站的安全防范措施。

網(wǎng)站；安全；防范

0 前言

在網(wǎng)絡(luò)高速發(fā)達(dá)的今天，網(wǎng)絡(luò)上各式各樣的網(wǎng)站隨處可見，大到國(guó)家政府部門，小到企業(yè)、公司、個(gè)人都會(huì)擁有自己的網(wǎng)站，網(wǎng)站已經(jīng)成為了宣傳、交流、溝通的一張網(wǎng)絡(luò)名片，人們的生活、工作、學(xué)習(xí)越來越依賴于網(wǎng)站的信息資源，但在豐富而精彩的網(wǎng)絡(luò)世界背后，卻暗流涌動(dòng)，網(wǎng)站攻擊入侵事件層出不窮，造成的損失已無法估量，網(wǎng)絡(luò)及網(wǎng)站安全問題也已成為世界性的研究課題。

網(wǎng)站安全是指為防止外來入侵，對(duì)網(wǎng)站資源數(shù)據(jù)進(jìn)行保護(hù)的技術(shù)措施，從而確保信息數(shù)據(jù)的完整性和機(jī)密性。網(wǎng)站安全現(xiàn)在已經(jīng)受到越來越多人的重視和關(guān)注，目前已發(fā)展成為一個(gè)跨學(xué)科的綜合性學(xué)科，它包括通信技術(shù)、網(wǎng)站技術(shù)、網(wǎng)絡(luò)技術(shù)、密碼學(xué)、網(wǎng)站安全等，它是在攻擊和防范這一對(duì)矛盾相互作用中發(fā)展起來的。

1 網(wǎng)站常見漏洞和安全隱患

無論是Windows Server系列操作系統(tǒng)、Linux操作系統(tǒng)，還是其他的各種服務(wù)程序，都存在著漏洞和不足，因此，了解網(wǎng)站的常見漏洞和安全隱患，對(duì)網(wǎng)站后期維護(hù)和安全防范有著重要的作用。

1.1 SQL腳本注入攻擊

對(duì)于和后臺(tái)數(shù)據(jù)庫產(chǎn)生交互的網(wǎng)頁，如果沒有對(duì)用戶輸入數(shù)據(jù)的合法性進(jìn)行全面的判斷，就會(huì)使應(yīng)用程序存在安全隱患。用戶可以在可以提交正常數(shù)據(jù)的URL或者表單輸入框中提交一段精心構(gòu)造的數(shù)據(jù)庫查詢代碼，使后臺(tái)應(yīng)用執(zhí)行攻擊著的SQL代碼，攻擊者根據(jù)程序返回的結(jié)果，獲得某些他想得知的敏感數(shù)據(jù)，如管理員密碼，保密商業(yè)資料等。出現(xiàn)SQL腳本注入攻擊的原因，主要是一些網(wǎng)頁程序員在編寫代碼的時(shí)候，沒有對(duì)用戶輸入數(shù)據(jù)的合法性進(jìn)行判斷，從而使網(wǎng)頁應(yīng)用程序存在安全隱患。

1.2 文件上傳漏洞攻擊

網(wǎng)站的上傳漏洞是由于網(wǎng)頁代碼中的上傳文件路徑變量過濾不嚴(yán)造成的，利用這個(gè)上傳漏洞就可以任意上傳加.asp的網(wǎng)頁木馬，然后連接上傳的網(wǎng)頁即可控制網(wǎng)站系統(tǒng)。

1.3 數(shù)據(jù)庫入侵

數(shù)據(jù)庫入侵包括利用默認(rèn)數(shù)據(jù)庫下載和暴庫下載，在數(shù)據(jù)庫里面插入代碼等通過網(wǎng)站程序數(shù)據(jù)庫進(jìn)行的攻擊。默認(rèn)數(shù)據(jù)庫漏洞，是指許多網(wǎng)站在使用一些開源代碼網(wǎng)站程序時(shí)，未對(duì)數(shù)據(jù)庫路徑和文件名進(jìn)行修改，導(dǎo)致攻擊者可以之間下載或操作數(shù)據(jù)庫文件進(jìn)行攻擊。暴庫是指利用%5c之類的編碼轉(zhuǎn)換，讓網(wǎng)站顯示出數(shù)據(jù)庫文件名。從而進(jìn)行攻擊。

1.4 跨站腳本攻擊與木馬網(wǎng)頁

跨站腳本攻擊是指，攻擊者在遠(yuǎn)程WEB頁面的HTML代碼中插入有危害性的代碼語句。通過盜取Cookie或欺騙打開木馬網(wǎng)頁等取得重要資料，也可以直接寫入腳本代碼，在網(wǎng)站掛上木馬網(wǎng)頁等。

1.5 其他腳本攻擊

網(wǎng)站服務(wù)器的漏洞主要集中在各種網(wǎng)頁上面，由于網(wǎng)頁程序編寫的不嚴(yán)謹(jǐn)，因而出現(xiàn)了各種不同的腳本漏洞，有一些專門針對(duì)某類網(wǎng)站的腳本程序漏洞，最常見的有用戶輸入數(shù)據(jù)過濾不嚴(yán)，網(wǎng)站源代碼暴露等。

1.6 DNS攻擊

黑客使用常見的洪水攻擊，阻擊DNS服務(wù)器，導(dǎo)致DNS服務(wù)器無法正常工作，從而達(dá)到域名解析失敗，造成網(wǎng)站無法訪問。

1.7 計(jì)算機(jī)病毒攻擊

計(jì)算機(jī)病毒對(duì)計(jì)算機(jī)數(shù)據(jù)信息的直接破壞作用，給用戶造成重大損失，占用系統(tǒng)資源并影響運(yùn)行速度，產(chǎn)生其他不可預(yù)見的危害，給用戶造成嚴(yán)重的心理壓力。

2 網(wǎng)站安全檢測(cè)的方法

2.1 對(duì)網(wǎng)站漏洞進(jìn)行掃描檢測(cè)

現(xiàn)在很多網(wǎng)站都存在SQL漏洞，上傳漏洞等等漏洞，而黑客可以利用這些漏洞進(jìn)行網(wǎng)站攻擊。所以網(wǎng)站漏洞檢測(cè)很有必要。網(wǎng)上有一些在線的網(wǎng)站漏洞檢測(cè)工具，可以免費(fèi)為網(wǎng)站漏洞掃描和安全檢測(cè)。對(duì)于發(fā)現(xiàn)的網(wǎng)站漏洞要及時(shí)修補(bǔ)。

2.2 對(duì)網(wǎng)站木馬進(jìn)行檢測(cè)

網(wǎng)站被掛馬是非常普遍的事情，同時(shí)也是最難根除的事情。所以網(wǎng)站安全檢測(cè)的一個(gè)重要指標(biāo)，就是網(wǎng)站是否被掛馬?？梢岳靡恍⒍拒浖脑诰€安全中心，提交URL就可以進(jìn)行木馬檢測(cè)。

2.3 對(duì)網(wǎng)站環(huán)境進(jìn)行檢測(cè)

網(wǎng)站環(huán)境包括網(wǎng)站服務(wù)器的安全環(huán)境和網(wǎng)站維護(hù)者的工作安全環(huán)境。很多黑客直接通過攻擊服務(wù)器來入侵網(wǎng)站，竊取用戶資料和一些重要數(shù)據(jù)。所以一定要選擇有保證的服務(wù)商，這不僅對(duì)網(wǎng)站的安全，而且對(duì)網(wǎng)站的優(yōu)化都有很大的幫助。

2.4 對(duì)其它方面進(jìn)行檢測(cè)

黑鏈檢測(cè)，由于現(xiàn)在黑鏈的利潤(rùn)很高，故現(xiàn)在很多黑客入侵網(wǎng)站目的就是為掛鏈接，而被掛黑鏈會(huì)嚴(yán)重影響SEO的優(yōu)化?？梢岳靡恍┬」ぞ卟榭碢R比較低而且又比較陌生的鏈接，這些鏈接可能是黑鏈，將黑鏈刪除就可以了。

2.5 對(duì)遠(yuǎn)程連接進(jìn)行檢測(cè)

打開寬帶連接，進(jìn)行寬帶的檢測(cè)和IP地址的檢測(cè)。以防止惡意的竊取用戶資料。

3 網(wǎng)站安全防范措施

3.1 對(duì)登錄頁面進(jìn)行加密

這樣可以大大增加網(wǎng)站的安全性，通常加密方式有MD5加密、數(shù)據(jù)庫加密等。

3.2 使用專業(yè)工具進(jìn)行輔助

目前，有許多針對(duì)于網(wǎng)站安全漏洞的檢測(cè)系統(tǒng)，利用他們能夠迅速找到網(wǎng)站的安全隱患，同時(shí)也會(huì)給出相應(yīng)的防范措施。

3.3 使用加密連接管理站點(diǎn)

使用不加密的FTP或HTTP來管理站點(diǎn)，會(huì)給網(wǎng)站造成很大的安全隱患。因此請(qǐng)務(wù)必使用加密的協(xié)議，來保障網(wǎng)站的安全性。

3.4 兼容性加密

目前，可以使用SSL Web網(wǎng)站加密的技術(shù)。也可以使用加密技術(shù)更好的TLS技術(shù)。

3.5 連接安全網(wǎng)絡(luò)

盡量不要連接安全特性不可知或不確定的網(wǎng)絡(luò)，如果你連接到一個(gè)沒有安全保障的網(wǎng)絡(luò)時(shí)，就必須使用一個(gè)安全代理，這樣你到安全資源的連接就會(huì)來自于一個(gè)有安全保障的網(wǎng)絡(luò)代理。

3.6 不共享登錄信息

共享登錄機(jī)要信息會(huì)引起諸多安全問題。登錄憑證共享得越多，就越可能更公開地共享，甚至對(duì)不應(yīng)當(dāng)訪問系統(tǒng)的人員也是如此。

3.7 采用基于密鑰的認(rèn)證而不是口令認(rèn)證

口令認(rèn)證要比基于密鑰的認(rèn)證更容易被攻破。設(shè)置口令的目的是在需要訪問一個(gè)安全的資源時(shí)能夠更容易地記住登錄信息。使用基于密鑰的認(rèn)證，并僅將密鑰復(fù)制到預(yù)定義的、授權(quán)的系統(tǒng)，將會(huì)得到并使用一個(gè)更強(qiáng)健的難于破解的認(rèn)證憑證。

3.8 維護(hù)一個(gè)安全的工作站

一個(gè)不安全的工作站，可能為黑客監(jiān)聽、攻擊、盜取數(shù)據(jù)、惡意損害提供了便利的條件。因此保障工作站的安全性是至關(guān)重要的。

3.9 運(yùn)用冗余性保護(hù)網(wǎng)站

備份和服務(wù)器的失效轉(zhuǎn)移是發(fā)生災(zāi)難后重構(gòu)服務(wù)器的最佳手段。當(dāng)然，為保障萬無一失，還必須確保失效轉(zhuǎn)移和備份方案的安全性。

3.10 對(duì)所有的系統(tǒng)都實(shí)施強(qiáng)健的安全措施

可以采用一些通用的手段，如采用強(qiáng)口令，采用強(qiáng)健的外圍防御系統(tǒng)，及時(shí)更新軟件和為系統(tǒng)打補(bǔ)丁，關(guān)閉不使用的服務(wù)，使用數(shù)據(jù)加密等手段保證系統(tǒng)的安全等。

3.11 利用防火墻防護(hù)網(wǎng)站安全

防火墻可以是一種硬件、固件或者軟件，例如專用防火墻設(shè)備、就是硬件形式的防火墻，包過濾路由器是嵌有防火墻固件的路由器，而代理服務(wù)器等軟件就是軟件形式的防火墻。使用防火墻監(jiān)控所有的數(shù)據(jù)包，從而確保網(wǎng)站的安全。

3.12 運(yùn)用網(wǎng)站監(jiān)控措施

網(wǎng)站監(jiān)控是通過軟件或者網(wǎng)站監(jiān)控服務(wù)提供商對(duì)網(wǎng)站進(jìn)行監(jiān)控以及數(shù)據(jù)的獲取，從而達(dá)到網(wǎng)站的排錯(cuò)和數(shù)據(jù)的分析。

4 結(jié)束語

總之，網(wǎng)站安全防護(hù)對(duì)于網(wǎng)站來說，相當(dāng)重要。特別是一些企業(yè)對(duì)于網(wǎng)站安全認(rèn)識(shí)不足，造成網(wǎng)站打不開或者掛馬，給客戶訪問帶來了不必要的麻煩，也給網(wǎng)站本身造成了負(fù)面影響。所以，了解網(wǎng)站存在的安全隱患，時(shí)刻關(guān)注新的管理技術(shù)與安全防御技術(shù)。對(duì)于已經(jīng)出現(xiàn)的安全問題應(yīng)該用最快、最有效的方法加以解決，對(duì)于目前還未出現(xiàn)的安全問題要有預(yù)見性，這樣才能保障網(wǎng)站運(yùn)行的可靠性。

[1]丁士峰．網(wǎng)頁制作與網(wǎng)站建設(shè)大全[M]．北京：清華大學(xué)出版社，2013．

[2]趙江．網(wǎng)站管理與維護(hù)手冊(cè)[M]．北京：人民郵電出版社，2007．

[3]肖遙．網(wǎng)站入侵與腳本攻防修煉[M]．北京：電子工業(yè)出版社，2008．