Web網(wǎng)站的安全問題及防護(hù)措施研究

孫淑麗

摘? ?要：互聯(lián)網(wǎng)的廣泛運(yùn)用為人們的生活、工作和學(xué)習(xí)帶來了巨大的便利，但相對而言，互聯(lián)網(wǎng)具有的開放性、便捷性等特點(diǎn)也極易引發(fā)網(wǎng)絡(luò)安全問題。一旦網(wǎng)絡(luò)受到了攻擊，會(huì)給人們帶來極大的危害，甚至?xí){到整個(gè)社會(huì)的和諧與穩(wěn)定。因此，文章重點(diǎn)對Web網(wǎng)站的安全問題及防護(hù)措施進(jìn)行了研究。

關(guān)鍵詞：Web網(wǎng)站;安全;攻擊手段;防護(hù)對策

1? ? Web網(wǎng)站

Web是一種基于超文本和超文本傳輸協(xié)議（Hyper Text Transport Protocol，HTTP）的、全球性的、動(dòng)態(tài)交互的、跨平臺(tái)的分布式圖形信息系統(tǒng)。網(wǎng)站則是在互聯(lián)網(wǎng)上，根據(jù)一定的規(guī)則，使用超文本編輯語言（Hyper Text Markup Language，HTML）等工具制作展示特定內(nèi)容的相關(guān)網(wǎng)頁的集合。從用途上講其是一種通信工具，可以將人們想要公開的資訊予以發(fā)表和分享或者獲取網(wǎng)絡(luò)服務(wù)的載體。但事物都具有兩面性，Web網(wǎng)站也不例外。因其是以網(wǎng)絡(luò)為依托的，而網(wǎng)絡(luò)又具有開放性特點(diǎn)，人們在利用Web網(wǎng)站的過程中不可避免地會(huì)受到各個(gè)方面的影響，為了更好地維護(hù)Web網(wǎng)站的安全，本文對其防護(hù)措施進(jìn)行了重點(diǎn)研究。

2? ? Web網(wǎng)站安全現(xiàn)狀分析

從整體上分析，引發(fā)安全隱患的因素并不完全取決于自然因素，其根源則在于人為因素。首先，自然環(huán)境方面。網(wǎng)站需要計(jì)算機(jī)以運(yùn)轉(zhuǎn)，但計(jì)算機(jī)并沒有任何抵御自然的能力。其次，人為因素。（1）網(wǎng)絡(luò)安全的維護(hù)不到位。很多管理人員在知識(shí)和技能的儲(chǔ)備方面較落后，無法滿足當(dāng)前管理工作的需求。（2）網(wǎng)絡(luò)本身具有開放性特點(diǎn)，很多犯罪分子、黑客往往會(huì)利用這一特點(diǎn)實(shí)施不法行為，惡意盜取、篡改計(jì)算機(jī)用戶的信息，尤其是黑客防不勝防，用戶并不具備專業(yè)而熟練的計(jì)算機(jī)技術(shù)，其無法預(yù)防、控制和防范黑客的惡意攻擊，包括數(shù)據(jù)的丟失、竊聽、篡改乃至病毒的植入。

3? ? Web網(wǎng)站攻擊手段和危害

3.1? 跨網(wǎng)站腳本攻擊

跨網(wǎng)站腳本攻擊是一種常見的攻擊手段。攻擊者在網(wǎng)頁上發(fā)布包含攻擊性代碼的數(shù)據(jù)。一旦用戶瀏覽該網(wǎng)頁，特定的腳本就會(huì)冒充用戶的身份和權(quán)限來執(zhí)行。它的危害在于用戶的數(shù)據(jù)、信息更容易被竊聽、盜取和篡改，控制用戶賬戶以及造成其他類型的攻擊。

3.2? 注入攻擊

注入攻擊以結(jié)構(gòu)化查詢語言（Structured Query Language，SQL）注入攻擊為主。其是利用服務(wù)器端代碼自身存在的漏洞進(jìn)行攻擊，在Web客戶端和服務(wù)器連接后，對數(shù)據(jù)庫后端進(jìn)行攻擊。這種攻擊與其他攻擊不同的地方在于，它能直接訪問用戶的數(shù)據(jù)庫而不受安全防護(hù)機(jī)制的限制和影響。該手段所呈現(xiàn)出來的方法靈活多樣。比如：get型注入，只存在于帶有參數(shù)的動(dòng)態(tài)網(wǎng)頁中;post型注入，其最大特點(diǎn)就是具有極強(qiáng)的隱蔽性，大多應(yīng)用于網(wǎng)站后臺(tái)的登錄框中，竊取管理員的賬戶信息和身份來實(shí)施非法管理行為。

3.3? 其他攻擊

比如任意執(zhí)行，這是通過在服務(wù)器上執(zhí)行來自于網(wǎng)站服務(wù)器外部的惡意文件所產(chǎn)生的攻擊;不安全對象引用，是用戶有權(quán)限去瀏覽此網(wǎng)站，但在更改訪問參數(shù)時(shí)訪問到了本來沒有訪問權(quán)限的網(wǎng)站;在用戶正常登錄系統(tǒng)以后，攻擊者誘使用戶訪問一些非法鏈接，以執(zhí)行一些非法操作，從而對網(wǎng)站進(jìn)行控制或攻擊，這是偽造跨站點(diǎn)請求的攻擊手段。

4? ? Web網(wǎng)站的防護(hù)手段

4.1? 完善網(wǎng)站安全模式

首先，網(wǎng)站服務(wù)器所處的機(jī)房環(huán)境要安全。不僅要求硬件達(dá)標(biāo)，安全設(shè)備完善，管理人員也要擁有過硬的專業(yè)知識(shí)和技能以及強(qiáng)烈的責(zé)任心。其次，要及時(shí)打好補(bǔ)丁，堵上漏洞。在網(wǎng)站服務(wù)器上安裝正版防病毒軟件，每日要對殺毒軟件與木馬掃描軟件進(jìn)行升級，不在服務(wù)器上安裝與網(wǎng)站運(yùn)行無關(guān)的應(yīng)用軟件。最后，在開發(fā)網(wǎng)站程序時(shí)最好不要用網(wǎng)絡(luò)上已經(jīng)公開的測試程序代碼，而是要規(guī)范代碼的編寫流程，需要注意的是，網(wǎng)站在交付使用之前，要?jiǎng)h除后臺(tái)發(fā)布系統(tǒng)中不必要的功能代碼，尤其是一些論壇、博客類的功能代碼。

4.2? 升級網(wǎng)站加密方式

利用數(shù)據(jù)加密的相關(guān)技術(shù)可以有效地保護(hù)Web數(shù)據(jù)庫的安全。但是很多時(shí)候密碼技術(shù)并不完善，無法完全抵擋黑客的攻擊，或者黑客使用一些飽和攻擊等手段，強(qiáng)行獲取數(shù)據(jù)，這嚴(yán)重影響到Web數(shù)據(jù)庫的安全和正常使用。所以要制定一些可行性強(qiáng)的解決方案來處理這些問題。比如可以嚴(yán)格控制訪問權(quán)限，這就需要對訪問規(guī)則進(jìn)行嚴(yán)格控制，讓很多沒有訪問權(quán)限的非法用戶不能輕松地進(jìn)入，這需要對用戶密碼進(jìn)行多種方式混合加密。比如，直接將用戶名稱分成毫不相關(guān)的兩個(gè)分組，接著保存到數(shù)據(jù)庫中，這時(shí)就進(jìn)入了加密防守的階段。由于高級加密標(biāo)準(zhǔn)（Advanced Encryption Standard，AES）等加密算法的加密速度比較快，就算是數(shù)據(jù)庫里的數(shù)據(jù)有所泄漏，入侵者也需要花費(fèi)很多的時(shí)間來處理用戶名的解析問題，這樣才能進(jìn)行下一步攻擊網(wǎng)站的行動(dòng)，從而提高網(wǎng)站的安全性。

4.3? 創(chuàng)新安全技術(shù)模式

首先，設(shè)置Web專用防火墻。不同于普通防火墻技術(shù)，其所具有的功能更加全面和完備。如Web防護(hù)、網(wǎng)頁保護(hù)、應(yīng)用交付以及負(fù)載平衡等，防火墻對用戶的核心應(yīng)用起到良好的保護(hù)效果，可使相關(guān)業(yè)務(wù)穩(wěn)定、持續(xù)運(yùn)行。除了對網(wǎng)站進(jìn)行入侵防御系統(tǒng)（Intrusion Prevention System，IPS）漏洞防護(hù)之外，還可以防護(hù)一些木馬、后門等常見的病毒，更重要的是可以提供服務(wù)器防護(hù)功能，如暴力破解防護(hù)、Web服務(wù)和文件傳輸協(xié)議（File Transfer Protocol，F(xiàn)TP）隱藏、文件上傳過濾等。其次，提高安全技術(shù)的檢測水平。不僅要借助相應(yīng)的技術(shù)手段對網(wǎng)站進(jìn)行全面的漏洞掃描，還要請專業(yè)的網(wǎng)絡(luò)安全機(jī)構(gòu)，對網(wǎng)站的安全性進(jìn)行檢測，若是存在安全問題，可根據(jù)提示加以解決處理，從而為網(wǎng)站的安全作一個(gè)全面而系統(tǒng)的檢測。最后，在用戶操作的過程中也要注意細(xì)節(jié)，比如在瀏覽網(wǎng)站時(shí)最好使用“Https”進(jìn)行通信，使用安全傳輸層協(xié)議（Transport Layer Security，TLS）加密，而不是直接使用“http：”，或者可以登錄授權(quán)，生成唯一的sessionid/token進(jìn)行后續(xù)操作、接口訪問。

5? ? 結(jié)語

Web網(wǎng)站的安全管理問題刻不容緩，它不僅影響了用戶自身的利益，也直接影響了社會(huì)的和諧與穩(wěn)定，因此，在管理網(wǎng)站時(shí)必須要正確地分析所存在的安全隱患以及產(chǎn)生原因，并通過采用一些積極的舉措、更新管理理念來營造安全的網(wǎng)站環(huán)境。

[參考文獻(xiàn)]

[1]劉書昆.Web網(wǎng)站安全及關(guān)鍵技術(shù)[J].電子技術(shù)與軟件工程，2018（4）：216.

[2]李尚.Web網(wǎng)站的安全問題及防護(hù)策略[J].方法與應(yīng)用，2016（7）：13.

[3]孫愷.淺析網(wǎng)站安全防護(hù)[J].科技經(jīng)濟(jì)導(dǎo)刊，2018（15）：27-28.