◆都 標(biāo)

（阜陽技師學(xué)院 安徽 236000）

淺談網(wǎng)站的安全和防范措施

◆都 標(biāo)

（阜陽技師學(xué)院 安徽 236000）

近年來，伴隨著各行業(yè)信息化建設(shè)的需求，互聯(lián)網(wǎng)得到了突飛猛進(jìn)的發(fā)展，人們在享受互聯(lián)網(wǎng)便捷的同時，也在承受著網(wǎng)絡(luò)安全所帶來的困擾。據(jù)統(tǒng)計，大約每20秒就有一次網(wǎng)絡(luò)入侵事件，每年全球網(wǎng)絡(luò)安全造成的損失高達(dá)數(shù)百萬美元。在我國，90%以上的網(wǎng)站存在著安全漏洞，很多網(wǎng)站都遭受過黑客的攻擊和計算機(jī)病毒的侵害，對我們的國家、企事業(yè)單位及個人造成了極大的危害。本文首先介紹了網(wǎng)站存在的安全隱患，之后將詳細(xì)介紹網(wǎng)站的安全防范措施。

網(wǎng)站；安全；防范

0 前言

在網(wǎng)絡(luò)高速發(fā)達(dá)的今天，網(wǎng)絡(luò)上各式各樣的網(wǎng)站隨處可見，大到國家政府部門，小到企業(yè)、公司、個人都會擁有自己的網(wǎng)站，網(wǎng)站已經(jīng)成為了宣傳、交流、溝通的一張網(wǎng)絡(luò)名片，人們的生活、工作、學(xué)習(xí)越來越依賴于網(wǎng)站的信息資源，但在豐富而精彩的網(wǎng)絡(luò)世界背后，卻暗流涌動，網(wǎng)站攻擊入侵事件層出不窮，造成的損失已無法估量，網(wǎng)絡(luò)及網(wǎng)站安全問題也已成為世界性的研究課題。

網(wǎng)站安全是指為防止外來入侵，對網(wǎng)站資源數(shù)據(jù)進(jìn)行保護(hù)的技術(shù)措施，從而確保信息數(shù)據(jù)的完整性和機(jī)密性。網(wǎng)站安全現(xiàn)在已經(jīng)受到越來越多人的重視和關(guān)注，目前已發(fā)展成為一個跨學(xué)科的綜合性學(xué)科，它包括通信技術(shù)、網(wǎng)站技術(shù)、網(wǎng)絡(luò)技術(shù)、密碼學(xué)、網(wǎng)站安全等，它是在攻擊和防范這一對矛盾相互作用中發(fā)展起來的。

1 網(wǎng)站常見漏洞和安全隱患

無論是Windows Server系列操作系統(tǒng)、Linux操作系統(tǒng)，還是其他的各種服務(wù)程序，都存在著漏洞和不足，因此，了解網(wǎng)站的常見漏洞和安全隱患，對網(wǎng)站后期維護(hù)和安全防范有著重要的作用。

1.1 SQL腳本注入攻擊

對于和后臺數(shù)據(jù)庫產(chǎn)生交互的網(wǎng)頁，如果沒有對用戶輸入數(shù)據(jù)的合法性進(jìn)行全面的判斷，就會使應(yīng)用程序存在安全隱患。用戶可以在可以提交正常數(shù)據(jù)的URL或者表單輸入框中提交一段精心構(gòu)造的數(shù)據(jù)庫查詢代碼，使后臺應(yīng)用執(zhí)行攻擊著的SQL代碼，攻擊者根據(jù)程序返回的結(jié)果，獲得某些他想得知的敏感數(shù)據(jù)，如管理員密碼，保密商業(yè)資料等。出現(xiàn)SQL腳本注入攻擊的原因，主要是一些網(wǎng)頁程序員在編寫代碼的時候，沒有對用戶輸入數(shù)據(jù)的合法性進(jìn)行判斷，從而使網(wǎng)頁應(yīng)用程序存在安全隱患。

1.2 文件上傳漏洞攻擊

網(wǎng)站的上傳漏洞是由于網(wǎng)頁代碼中的上傳文件路徑變量過濾不嚴(yán)造成的，利用這個上傳漏洞就可以任意上傳加.asp的網(wǎng)頁木馬，然后連接上傳的網(wǎng)頁即可控制網(wǎng)站系統(tǒng)。

1.3 數(shù)據(jù)庫入侵

數(shù)據(jù)庫入侵包括利用默認(rèn)數(shù)據(jù)庫下載和暴庫下載，在數(shù)據(jù)庫里面插入代碼等通過網(wǎng)站程序數(shù)據(jù)庫進(jìn)行的攻擊。默認(rèn)數(shù)據(jù)庫漏洞，是指許多網(wǎng)站在使用一些開源代碼網(wǎng)站程序時，未對數(shù)據(jù)庫路徑和文件名進(jìn)行修改，導(dǎo)致攻擊者可以之間下載或操作數(shù)據(jù)庫文件進(jìn)行攻擊。暴庫是指利用%5c之類的編碼轉(zhuǎn)換，讓網(wǎng)站顯示出數(shù)據(jù)庫文件名。從而進(jìn)行攻擊。

1.4 跨站腳本攻擊與木馬網(wǎng)頁

跨站腳本攻擊是指，攻擊者在遠(yuǎn)程WEB頁面的HTML代碼中插入有危害性的代碼語句。通過盜取Cookie或欺騙打開木馬網(wǎng)頁等取得重要資料，也可以直接寫入腳本代碼，在網(wǎng)站掛上木馬網(wǎng)頁等。

1.5 其他腳本攻擊

網(wǎng)站服務(wù)器的漏洞主要集中在各種網(wǎng)頁上面，由于網(wǎng)頁程序編寫的不嚴(yán)謹(jǐn)，因而出現(xiàn)了各種不同的腳本漏洞，有一些專門針對某類網(wǎng)站的腳本程序漏洞，最常見的有用戶輸入數(shù)據(jù)過濾不嚴(yán)，網(wǎng)站源代碼暴露等。

1.6 DNS攻擊

黑客使用常見的洪水攻擊，阻擊DNS服務(wù)器，導(dǎo)致DNS服務(wù)器無法正常工作，從而達(dá)到域名解析失敗，造成網(wǎng)站無法訪問。

1.7 計算機(jī)病毒攻擊

計算機(jī)病毒對計算機(jī)數(shù)據(jù)信息的直接破壞作用，給用戶造成重大損失，占用系統(tǒng)資源并影響運(yùn)行速度，產(chǎn)生其他不可預(yù)見的危害，給用戶造成嚴(yán)重的心理壓力。

2 網(wǎng)站安全檢測的方法

2.1 對網(wǎng)站漏洞進(jìn)行掃描檢測

現(xiàn)在很多網(wǎng)站都存在SQL漏洞，上傳漏洞等等漏洞，而黑客可以利用這些漏洞進(jìn)行網(wǎng)站攻擊。所以網(wǎng)站漏洞檢測很有必要。網(wǎng)上有一些在線的網(wǎng)站漏洞檢測工具，可以免費(fèi)為網(wǎng)站漏洞掃描和安全檢測。對于發(fā)現(xiàn)的網(wǎng)站漏洞要及時修補(bǔ)。

2.2 對網(wǎng)站木馬進(jìn)行檢測

網(wǎng)站被掛馬是非常普遍的事情，同時也是最難根除的事情。所以網(wǎng)站安全檢測的一個重要指標(biāo)，就是網(wǎng)站是否被掛馬。可以利用一些殺毒軟件的在線安全中心，提交URL就可以進(jìn)行木馬檢測。

2.3 對網(wǎng)站環(huán)境進(jìn)行檢測

網(wǎng)站環(huán)境包括網(wǎng)站服務(wù)器的安全環(huán)境和網(wǎng)站維護(hù)者的工作安全環(huán)境。很多黑客直接通過攻擊服務(wù)器來入侵網(wǎng)站，竊取用戶資料和一些重要數(shù)據(jù)。所以一定要選擇有保證的服務(wù)商，這不僅對網(wǎng)站的安全，而且對網(wǎng)站的優(yōu)化都有很大的幫助。

2.4 對其它方面進(jìn)行檢測

黑鏈檢測，由于現(xiàn)在黑鏈的利潤很高，故現(xiàn)在很多黑客入侵網(wǎng)站目的就是為掛鏈接，而被掛黑鏈會嚴(yán)重影響SEO的優(yōu)化?？梢岳靡恍┬」ぞ卟榭碢R比較低而且又比較陌生的鏈接，這些鏈接可能是黑鏈，將黑鏈刪除就可以了。

2.5 對遠(yuǎn)程連接進(jìn)行檢測

打開寬帶連接，進(jìn)行寬帶的檢測和IP地址的檢測。以防止惡意的竊取用戶資料。

3 網(wǎng)站安全防范措施

3.1 對登錄頁面進(jìn)行加密

這樣可以大大增加網(wǎng)站的安全性，通常加密方式有MD5加密、數(shù)據(jù)庫加密等。

3.2 使用專業(yè)工具進(jìn)行輔助

目前，有許多針對于網(wǎng)站安全漏洞的檢測系統(tǒng)，利用他們能夠迅速找到網(wǎng)站的安全隱患，同時也會給出相應(yīng)的防范措施。

3.3 使用加密連接管理站點(diǎn)

使用不加密的FTP或HTTP來管理站點(diǎn)，會給網(wǎng)站造成很大的安全隱患。因此請務(wù)必使用加密的協(xié)議，來保障網(wǎng)站的安全性。

3.4 兼容性加密

目前，可以使用SSL Web網(wǎng)站加密的技術(shù)。也可以使用加密技術(shù)更好的TLS技術(shù)。

3.5 連接安全網(wǎng)絡(luò)

盡量不要連接安全特性不可知或不確定的網(wǎng)絡(luò)，如果你連接到一個沒有安全保障的網(wǎng)絡(luò)時，就必須使用一個安全代理，這樣你到安全資源的連接就會來自于一個有安全保障的網(wǎng)絡(luò)代理。

3.6 不共享登錄信息

共享登錄機(jī)要信息會引起諸多安全問題。登錄憑證共享得越多，就越可能更公開地共享，甚至對不應(yīng)當(dāng)訪問系統(tǒng)的人員也是如此。

3.7 采用基于密鑰的認(rèn)證而不是口令認(rèn)證

口令認(rèn)證要比基于密鑰的認(rèn)證更容易被攻破。設(shè)置口令的目的是在需要訪問一個安全的資源時能夠更容易地記住登錄信息。使用基于密鑰的認(rèn)證，并僅將密鑰復(fù)制到預(yù)定義的、授權(quán)的系統(tǒng)，將會得到并使用一個更強(qiáng)健的難于破解的認(rèn)證憑證。

3.8 維護(hù)一個安全的工作站

一個不安全的工作站，可能為黑客監(jiān)聽、攻擊、盜取數(shù)據(jù)、惡意損害提供了便利的條件。因此保障工作站的安全性是至關(guān)重要的。

3.9 運(yùn)用冗余性保護(hù)網(wǎng)站

備份和服務(wù)器的失效轉(zhuǎn)移是發(fā)生災(zāi)難后重構(gòu)服務(wù)器的最佳手段。當(dāng)然，為保障萬無一失，還必須確保失效轉(zhuǎn)移和備份方案的安全性。

3.10 對所有的系統(tǒng)都實施強(qiáng)健的安全措施

可以采用一些通用的手段，如采用強(qiáng)口令，采用強(qiáng)健的外圍防御系統(tǒng)，及時更新軟件和為系統(tǒng)打補(bǔ)丁，關(guān)閉不使用的服務(wù)，使用數(shù)據(jù)加密等手段保證系統(tǒng)的安全等。

3.11 利用防火墻防護(hù)網(wǎng)站安全

防火墻可以是一種硬件、固件或者軟件，例如專用防火墻設(shè)備、就是硬件形式的防火墻，包過濾路由器是嵌有防火墻固件的路由器，而代理服務(wù)器等軟件就是軟件形式的防火墻。使用防火墻監(jiān)控所有的數(shù)據(jù)包，從而確保網(wǎng)站的安全。

3.12 運(yùn)用網(wǎng)站監(jiān)控措施

網(wǎng)站監(jiān)控是通過軟件或者網(wǎng)站監(jiān)控服務(wù)提供商對網(wǎng)站進(jìn)行監(jiān)控以及數(shù)據(jù)的獲取，從而達(dá)到網(wǎng)站的排錯和數(shù)據(jù)的分析。

4 結(jié)束語

總之，網(wǎng)站安全防護(hù)對于網(wǎng)站來說，相當(dāng)重要。特別是一些企業(yè)對于網(wǎng)站安全認(rèn)識不足，造成網(wǎng)站打不開或者掛馬，給客戶訪問帶來了不必要的麻煩，也給網(wǎng)站本身造成了負(fù)面影響。所以，了解網(wǎng)站存在的安全隱患，時刻關(guān)注新的管理技術(shù)與安全防御技術(shù)。對于已經(jīng)出現(xiàn)的安全問題應(yīng)該用最快、最有效的方法加以解決，對于目前還未出現(xiàn)的安全問題要有預(yù)見性，這樣才能保障網(wǎng)站運(yùn)行的可靠性。

[1]丁士峰．網(wǎng)頁制作與網(wǎng)站建設(shè)大全[M]．北京：清華大學(xué)出版社，2013．

[2]趙江．網(wǎng)站管理與維護(hù)手冊[M]．北京：人民郵電出版社，2007．

[3]肖遙．網(wǎng)站入侵與腳本攻防修煉[M]．北京：電子工業(yè)出版社，2008．