網站安全問題及防護策略研究

吳振鵬

摘要：當前，網站已經成為黨政、醫療、教育、電子商務等行業共享信息、提供服務的重要載體，隨著互聯網技術的推進，網站安全問題越來越凸顯，成為威脅網站的重要隱患。文章總結了當前網站建設、運行的概況，對網站常見的安全問題進行分析研究，并針對性地提出安全防護策略，為網站穩定、可靠地運行提供借鑒。

關鍵詞：網站；安全；研究

隨著Internet的普及與發展，人們對網絡的依賴度越來越高，網站的應用已經深入到生活中的方方面面，給人們帶來了極大的便利。但是近幾年以來，網站攻擊事件層出不窮，網站正面臨著極大的安全威脅。前段時間，某平臺網站存在安全漏洞，遭受不明攻擊，幾百萬賬戶信息被泄露，導致其他平臺如12306購票網站大量用戶密碼遭“撞庫”破解，購票訂單被惡意取消。因此，在網站的建設以及維護過程中，必須要掌握并采取完善的安全策略，提高網站的抗攻擊能力，從而保證網站的安全運行。

1網站建設、運行概況

計算機網絡的迅猛發展使得Internet急劇擴大，并且Web網站迅速增加。運行在互聯網上的網站形形色色，從種類上來說，有門戶網站、行業網站、娛樂網站、電商網站等。網站的來源一般是兩種，一種是沒有專門的技術人員，請專業的開發公司來制作；另一種是有專業的開發團隊，負責網站的開發與維護。網站所采用的開發語言有PHP、JSP、ASP、ASP.NET等，常見的數據庫有Mysql、SQLServer、Oracle、Access等，部署的服務器有Windows和Linux。網站的性能方面，有的網站側重于提供高帶寬流量服務，比如視頻網站，有的側重于提供高并發服務，比如搶票、購物網站。從網站后續維護來看，多數網站開發完畢后，基本沒有技術上的保障，只是內容上的更新，網站如果被攻擊，沒有處理的能力。總體來說，大部分網站總會存在一些安全問題，網站在互聯網上正常運行，并不能說明網站就沒有安全問題，而是網站沒有可供不法份子覬覦的內容。黨政機關門戶網站、電商網站等，往往是攻擊份子為達到不良目的活躍的重點區域。

2網站常見的安全問題以及解決策略

當前計算機犯罪手段比比皆是，而且網絡病毒、木馬等犯罪技術也隨著互聯網技術的發展顯著提高。現在人們很容易從網上下載到各種攻擊工具，通過這些工具不需要有專業的技術就可以對網站造成破壞，網站受到的安全威脅越來越大，所以對開發維護人員提出的要求也越來越高。

2.1網絡安全問題及策略

網站運行于網絡之上，沒有穩定、安全的網絡環境，網站也就談不上發揮效能，只能算是單機版的應用。DDoS攻擊是常見的攻擊方式之一，它通過大量合法的請求來占用大量網絡資源，從而達到癱瘓網絡的目的。它通過網絡超載來阻撓干擾正常的網絡通訊，通過大量請求服務器，造成服務器超荷，從而阻斷某服務與用戶的正常通訊，干擾用戶正常的服務器訪問。因為網站的實現是基于TCP/IP網絡協議，DDos攻擊就是針對這一協議的缺陷展開的攻擊，攻擊者通過偽造TCP連接請求，使網站服務器消耗大量的資源來維護龐大的連接列表，從而難以響應正常客戶的請求，最終導致服務器的崩潰。此外，ARP欺騙攻擊也是常用的網絡攻擊方式，在被控制的主機內植入ARP攻擊軟件，通過欺騙攻擊，截獲網段內部主機的敏感數據，獲取有價值的數據包，造成被訪問網站用戶信息的泄露。

針對以上攻擊，網站可以設立過濾器或者偵測器來檢測可疑的訪問行動，在攻擊信息抵達網站服務器之前進行阻擋，保持服務器正常對外連接。還可以增加必要的網絡安全設備作為訪問控制設備，比如防火墻，通過啟用防火墻的防DDoS的屬性或者設置訪問策略，避免服務攻擊。另外，可以通過設置路由器SYN數據包流量速率來降低DDos攻擊風險。個人電腦也要進行相關的安全設置，開啟防火墻，及時修復漏洞，網絡維護人員要加強對網絡的監控，有不穩定的突發大數據流量要及時查看原因，進行處置。總之，無論是服務器端還是個人端所處的網絡環境，其穩定性、安全性決定著網站運行的可靠性以及用戶數據的保密性，網絡維護人員以及用戶，都要提高網絡安全防護意識，為網站的正常運行，用戶的正常訪問，提供良好的溫床。

2.2系統環境安全問題及策略

Windows和Linux系統是網站部署常見的系統，Windows以Server版本為主，Linux以Ubuntu和CentOS為主，每個系統版本都有各自的特性，開發人員可以根據網站的特點選擇合適的系統進行部署。Windows系統簡明的操作界面極大方便普通用戶的使用，但與此同時，針對Windows系統的惡意攻擊也多，各種漏洞備受詬病，2017年席卷全球的“勒索病毒”，就是利用了Windows的漏洞，造成大量用戶遭受損失。Linux系統相比較Windows系統，安全性和穩定性有很大的提高，但是文件目錄的權限設置過高容易造成普通用戶文件訪問越權，管理員權限分配不準確也容易為攻擊人員留下入口。

如果網站部署于Windows系統，要及時更新安裝最新的補丁，修復漏洞，防火墻要打開，設置完善的安全策略。網站部署到Linux系統，網站目錄權限要根據實際需求準確設置訪問權限，權限不能過高也不能過低。Linux系統要關閉Telnet服務，關閉root用戶的遠程登錄，關閉SSH登錄端口，只為管理員IP設置登錄端口的訪問權限。兩種系統的管理員用戶密碼復雜度要提高，一般是大小寫字母加特殊字符。端口訪問權限，只開放有用的端口即可，比如80端口，其他無用端口都要關閉，不給不法分子留下可乘之機。

2.3網站系統安全問題及策略

無論是網絡還是系統環境，只能算是外部的環境，外部環境安全系數再高，網站本身如果存在安全漏洞，也是極大的安全威脅。

2.3.1數據庫攻擊

SQL注入是數據庫攻擊常見的手段，所謂SQL注入，指的是通過把SQL命令插入到Web表單中提交或者頁面請求的查詢字符串，欺騙服務器執行惡意SQL命令。SQL注入是通過構建特殊的字符串作為參數傳遞到服務器，這些字符串是SQL語句的組合，如果網站程序沒有對用戶輸入的參數進行過濾檢查，SQL注入的實施就非常簡單了。數據庫的攻擊應該是所有威脅網站安全最嚴重的問題之一，數據庫存儲了網站所有的信息，一旦發生數據庫攻擊，會造成數據泄露，嚴重的會造成數據庫丟失，后果無法想象。

其實，解決SQL注入的方式也比較簡單，即永遠不要相信前臺用戶的輸入內容，對所有的信息都要進行校驗，對所有需要傳遞到服務器數據庫進行查詢、操作的參數進行過濾檢查即可。除了開發過程中注意加強數據的檢查，還可以使用一些檢測工具，比如SQLMap，對網址進行檢查，找出存在SQL注入的頁面進行修復。

2.3.2跨站腳本攻擊

跨站腳本攻擊指攻擊者利用網站沒有對用戶提交的數據進行安全過濾，進而添加代碼，嵌入網站頁面，其他用戶在訪問該頁面時，都會執行嵌入的代碼。該攻擊危害較大，可以盜取用戶賬號信息、操作用戶數據、網站掛馬、控制用戶電腦向其它網站進行攻擊。

該攻擊發生的原因也是對客戶端提交的數據沒有進行安全過濾，開發人員只需要完善數據的檢查即可，也可以采用跨站腳本攻擊檢測工具比如XSSDetect進行檢測。

2.3.3密碼存儲

涉及到用戶登錄的網站，在存儲用戶登錄密碼時，有的數據庫設計不夠嚴謹，以明文方式存儲密碼，比如登錄密碼為“ABC123”，該密碼在數據庫中直接存儲為“ABC123”，一旦發生數據庫丟失，用戶密碼直接暴露，如果該用戶在其他系統網站中使用同樣的密碼，對該用戶造成的損失是不可估量的。

為了避免發生以上問題，網站的開發存儲用戶密碼時，必須采取加密算法，密碼經過加密后，再存儲到數據庫中，用戶的登錄驗證部分，也要采取相應的計算算法進行比對。

2.3.4文件上傳

網站如果提供文件上傳的功能，比如云盤，用戶將病毒、木馬文件上傳到服務器，將威脅服務器以及其他用戶的安全。在選用一些文件上傳的插件時，也要謹慎，文件上傳插件如果存在漏洞，也會對整個網站系統造成影響，Fckeditor這款編輯器，之前的一個版本就被曝存在目錄遍歷的漏洞。

網站要對用戶上傳的文件類型、格式、大小等進行檢查，比如用戶注冊上傳頭像，圖片的大小、像素、后綴等都要作為重點內容進行過濾檢測。

3結束語

總之，隨著互聯網技術的發展以及信息化技術的推進，網站面臨的安全威脅會越來越多，這給網站開發以及維護人員帶來極大的挑戰。網站的安全是一個綜合性、系統性的問題，涉及內容多，開發人員技術提升的同時，不法分子入侵的手段也會不斷提高，因此，網站的安全防范是個永久性的課題。

參考文獻：

[1] 文志華，周序生.多方位WEB網站安全防御系統研究[J].網絡安全技術與應用，2014（12）.

[2] 李皓.讓黑客無隙可乘——企業級Web網站安全解決方案揭秘[J]. 計算機與網絡，2017（8）.

[3] 馬超祥. 基于對多方位WEB網站安全防御系統的研究[J].電腦迷，2017（6）.

[4] 李超，劉瀚，盧燦舉.試分析網站安全管理的技術性內容[J].無線互聯科技，2014（11）.