吳振鵬

摘要：當前，網(wǎng)站已經(jīng)成為黨政、醫(yī)療、教育、電子商務等行業(yè)共享信息、提供服務的重要載體，隨著互聯(lián)網(wǎng)技術的推進，網(wǎng)站安全問題越來越凸顯，成為威脅網(wǎng)站的重要隱患。文章總結了當前網(wǎng)站建設、運行的概況，對網(wǎng)站常見的安全問題進行分析研究，并針對性地提出安全防護策略，為網(wǎng)站穩(wěn)定、可靠地運行提供借鑒。

關鍵詞：網(wǎng)站；安全；研究

隨著Internet的普及與發(fā)展，人們對網(wǎng)絡的依賴度越來越高，網(wǎng)站的應用已經(jīng)深入到生活中的方方面面，給人們帶來了極大的便利。但是近幾年以來，網(wǎng)站攻擊事件層出不窮，網(wǎng)站正面臨著極大的安全威脅。前段時間，某平臺網(wǎng)站存在安全漏洞，遭受不明攻擊，幾百萬賬戶信息被泄露，導致其他平臺如12306購票網(wǎng)站大量用戶密碼遭“撞庫”破解，購票訂單被惡意取消。因此，在網(wǎng)站的建設以及維護過程中，必須要掌握并采取完善的安全策略，提高網(wǎng)站的抗攻擊能力，從而保證網(wǎng)站的安全運行。

1網(wǎng)站建設、運行概況

計算機網(wǎng)絡的迅猛發(fā)展使得Internet急劇擴大，并且Web網(wǎng)站迅速增加。運行在互聯(lián)網(wǎng)上的網(wǎng)站形形色色，從種類上來說，有門戶網(wǎng)站、行業(yè)網(wǎng)站、娛樂網(wǎng)站、電商網(wǎng)站等。網(wǎng)站的來源一般是兩種，一種是沒有專門的技術人員，請專業(yè)的開發(fā)公司來制作；另一種是有專業(yè)的開發(fā)團隊，負責網(wǎng)站的開發(fā)與維護。網(wǎng)站所采用的開發(fā)語言有PHP、JSP、ASP、ASP.NET等，常見的數(shù)據(jù)庫有Mysql、SQLServer、Oracle、Access等，部署的服務器有Windows和Linux。網(wǎng)站的性能方面，有的網(wǎng)站側重于提供高帶寬流量服務，比如視頻網(wǎng)站，有的側重于提供高并發(fā)服務，比如搶票、購物網(wǎng)站。從網(wǎng)站后續(xù)維護來看，多數(shù)網(wǎng)站開發(fā)完畢后，基本沒有技術上的保障，只是內容上的更新，網(wǎng)站如果被攻擊，沒有處理的能力?？傮w來說，大部分網(wǎng)站總會存在一些安全問題，網(wǎng)站在互聯(lián)網(wǎng)上正常運行，并不能說明網(wǎng)站就沒有安全問題，而是網(wǎng)站沒有可供不法份子覬覦的內容。黨政機關門戶網(wǎng)站、電商網(wǎng)站等，往往是攻擊份子為達到不良目的活躍的重點區(qū)域。

2網(wǎng)站常見的安全問題以及解決策略

當前計算機犯罪手段比比皆是，而且網(wǎng)絡病毒、木馬等犯罪技術也隨著互聯(lián)網(wǎng)技術的發(fā)展顯著提高?，F(xiàn)在人們很容易從網(wǎng)上下載到各種攻擊工具，通過這些工具不需要有專業(yè)的技術就可以對網(wǎng)站造成破壞，網(wǎng)站受到的安全威脅越來越大，所以對開發(fā)維護人員提出的要求也越來越高。

2.1網(wǎng)絡安全問題及策略

網(wǎng)站運行于網(wǎng)絡之上，沒有穩(wěn)定、安全的網(wǎng)絡環(huán)境，網(wǎng)站也就談不上發(fā)揮效能，只能算是單機版的應用。DDoS攻擊是常見的攻擊方式之一，它通過大量合法的請求來占用大量網(wǎng)絡資源，從而達到癱瘓網(wǎng)絡的目的。它通過網(wǎng)絡超載來阻撓干擾正常的網(wǎng)絡通訊，通過大量請求服務器，造成服務器超荷，從而阻斷某服務與用戶的正常通訊，干擾用戶正常的服務器訪問。因為網(wǎng)站的實現(xiàn)是基于TCP/IP網(wǎng)絡協(xié)議，DDos攻擊就是針對這一協(xié)議的缺陷展開的攻擊，攻擊者通過偽造TCP連接請求，使網(wǎng)站服務器消耗大量的資源來維護龐大的連接列表，從而難以響應正常客戶的請求，最終導致服務器的崩潰。此外，ARP欺騙攻擊也是常用的網(wǎng)絡攻擊方式，在被控制的主機內植入ARP攻擊軟件，通過欺騙攻擊，截獲網(wǎng)段內部主機的敏感數(shù)據(jù)，獲取有價值的數(shù)據(jù)包，造成被訪問網(wǎng)站用戶信息的泄露。

針對以上攻擊，網(wǎng)站可以設立過濾器或者偵測器來檢測可疑的訪問行動，在攻擊信息抵達網(wǎng)站服務器之前進行阻擋，保持服務器正常對外連接。還可以增加必要的網(wǎng)絡安全設備作為訪問控制設備，比如防火墻，通過啟用防火墻的防DDoS的屬性或者設置訪問策略，避免服務攻擊。另外，可以通過設置路由器SYN數(shù)據(jù)包流量速率來降低DDos攻擊風險。個人電腦也要進行相關的安全設置，開啟防火墻，及時修復漏洞，網(wǎng)絡維護人員要加強對網(wǎng)絡的監(jiān)控，有不穩(wěn)定的突發(fā)大數(shù)據(jù)流量要及時查看原因，進行處置?？傊瑹o論是服務器端還是個人端所處的網(wǎng)絡環(huán)境，其穩(wěn)定性、安全性決定著網(wǎng)站運行的可靠性以及用戶數(shù)據(jù)的保密性，網(wǎng)絡維護人員以及用戶，都要提高網(wǎng)絡安全防護意識，為網(wǎng)站的正常運行，用戶的正常訪問，提供良好的溫床。

2.2系統(tǒng)環(huán)境安全問題及策略

Windows和Linux系統(tǒng)是網(wǎng)站部署常見的系統(tǒng)，Windows以Server版本為主，Linux以Ubuntu和CentOS為主，每個系統(tǒng)版本都有各自的特性，開發(fā)人員可以根據(jù)網(wǎng)站的特點選擇合適的系統(tǒng)進行部署。Windows系統(tǒng)簡明的操作界面極大方便普通用戶的使用，但與此同時，針對Windows系統(tǒng)的惡意攻擊也多，各種漏洞備受詬病，2017年席卷全球的“勒索病毒”，就是利用了Windows的漏洞，造成大量用戶遭受損失。Linux系統(tǒng)相比較Windows系統(tǒng)，安全性和穩(wěn)定性有很大的提高，但是文件目錄的權限設置過高容易造成普通用戶文件訪問越權，管理員權限分配不準確也容易為攻擊人員留下入口。

如果網(wǎng)站部署于Windows系統(tǒng)，要及時更新安裝最新的補丁，修復漏洞，防火墻要打開，設置完善的安全策略。網(wǎng)站部署到Linux系統(tǒng)，網(wǎng)站目錄權限要根據(jù)實際需求準確設置訪問權限，權限不能過高也不能過低。Linux系統(tǒng)要關閉Telnet服務，關閉root用戶的遠程登錄，關閉SSH登錄端口，只為管理員IP設置登錄端口的訪問權限。兩種系統(tǒng)的管理員用戶密碼復雜度要提高，一般是大小寫字母加特殊字符。端口訪問權限，只開放有用的端口即可，比如80端口，其他無用端口都要關閉，不給不法分子留下可乘之機。

2.3網(wǎng)站系統(tǒng)安全問題及策略

無論是網(wǎng)絡還是系統(tǒng)環(huán)境，只能算是外部的環(huán)境，外部環(huán)境安全系數(shù)再高，網(wǎng)站本身如果存在安全漏洞，也是極大的安全威脅。

2.3.1數(shù)據(jù)庫攻擊

SQL注入是數(shù)據(jù)庫攻擊常見的手段，所謂SQL注入，指的是通過把SQL命令插入到Web表單中提交或者頁面請求的查詢字符串，欺騙服務器執(zhí)行惡意SQL命令。SQL注入是通過構建特殊的字符串作為參數(shù)傳遞到服務器，這些字符串是SQL語句的組合，如果網(wǎng)站程序沒有對用戶輸入的參數(shù)進行過濾檢查，SQL注入的實施就非常簡單了。數(shù)據(jù)庫的攻擊應該是所有威脅網(wǎng)站安全最嚴重的問題之一，數(shù)據(jù)庫存儲了網(wǎng)站所有的信息，一旦發(fā)生數(shù)據(jù)庫攻擊，會造成數(shù)據(jù)泄露，嚴重的會造成數(shù)據(jù)庫丟失，后果無法想象。

其實，解決SQL注入的方式也比較簡單，即永遠不要相信前臺用戶的輸入內容，對所有的信息都要進行校驗，對所有需要傳遞到服務器數(shù)據(jù)庫進行查詢、操作的參數(shù)進行過濾檢查即可。除了開發(fā)過程中注意加強數(shù)據(jù)的檢查，還可以使用一些檢測工具，比如SQLMap，對網(wǎng)址進行檢查，找出存在SQL注入的頁面進行修復。

2.3.2跨站腳本攻擊

跨站腳本攻擊指攻擊者利用網(wǎng)站沒有對用戶提交的數(shù)據(jù)進行安全過濾，進而添加代碼，嵌入網(wǎng)站頁面，其他用戶在訪問該頁面時，都會執(zhí)行嵌入的代碼。該攻擊危害較大，可以盜取用戶賬號信息、操作用戶數(shù)據(jù)、網(wǎng)站掛馬、控制用戶電腦向其它網(wǎng)站進行攻擊。

該攻擊發(fā)生的原因也是對客戶端提交的數(shù)據(jù)沒有進行安全過濾，開發(fā)人員只需要完善數(shù)據(jù)的檢查即可，也可以采用跨站腳本攻擊檢測工具比如XSSDetect進行檢測。

2.3.3密碼存儲

涉及到用戶登錄的網(wǎng)站，在存儲用戶登錄密碼時，有的數(shù)據(jù)庫設計不夠嚴謹，以明文方式存儲密碼，比如登錄密碼為“ABC123”，該密碼在數(shù)據(jù)庫中直接存儲為“ABC123”，一旦發(fā)生數(shù)據(jù)庫丟失，用戶密碼直接暴露，如果該用戶在其他系統(tǒng)網(wǎng)站中使用同樣的密碼，對該用戶造成的損失是不可估量的。

為了避免發(fā)生以上問題，網(wǎng)站的開發(fā)存儲用戶密碼時，必須采取加密算法，密碼經(jīng)過加密后，再存儲到數(shù)據(jù)庫中，用戶的登錄驗證部分，也要采取相應的計算算法進行比對。

2.3.4文件上傳

網(wǎng)站如果提供文件上傳的功能，比如云盤，用戶將病毒、木馬文件上傳到服務器，將威脅服務器以及其他用戶的安全。在選用一些文件上傳的插件時，也要謹慎，文件上傳插件如果存在漏洞，也會對整個網(wǎng)站系統(tǒng)造成影響，F(xiàn)ckeditor這款編輯器，之前的一個版本就被曝存在目錄遍歷的漏洞。

網(wǎng)站要對用戶上傳的文件類型、格式、大小等進行檢查，比如用戶注冊上傳頭像，圖片的大小、像素、后綴等都要作為重點內容進行過濾檢測。

3結束語

總之，隨著互聯(lián)網(wǎng)技術的發(fā)展以及信息化技術的推進，網(wǎng)站面臨的安全威脅會越來越多，這給網(wǎng)站開發(fā)以及維護人員帶來極大的挑戰(zhàn)。網(wǎng)站的安全是一個綜合性、系統(tǒng)性的問題，涉及內容多，開發(fā)人員技術提升的同時，不法分子入侵的手段也會不斷提高，因此，網(wǎng)站的安全防范是個永久性的課題。

參考文獻：

[1] 文志華，周序生.多方位WEB網(wǎng)站安全防御系統(tǒng)研究[J].網(wǎng)絡安全技術與應用，2014（12）.

[2] 李皓.讓黑客無隙可乘——企業(yè)級Web網(wǎng)站安全解決方案揭秘[J]. 計算機與網(wǎng)絡，2017（8）.

[3] 馬超祥. 基于對多方位WEB網(wǎng)站安全防御系統(tǒng)的研究[J].電腦迷，2017（6）.

[4] 李超，劉瀚，盧燦舉.試分析網(wǎng)站安全管理的技術性內容[J].無線互聯(lián)科技，2014（11）.