浅析低成本条件下的小型网站安全策略

苏志鹏 黎展荣

摘 要：许多中小型公司和各类事业单位在互联网中建设有自己的小型网站，因财力、物力的投入有限，对网站的更新和维护比较少，安全防护更是匮乏。本文结合笔者工作实际，在财力和物力有限的情况下，对小型网站的网络安全防御进行总结。

关键词：小型网站；网站安全；成本；策略

中图分类号： TP393.08 文献标识码： A 文章编号： 1673-1069（2016）24-173-2

0 引言

随着中国经济的发展，许多中小型公司在蓬勃发展和壮大。当今的互联网时代，许多中小型公司以及事业单位纷纷将自己的公司和业务搬上互联网，创建自己公司或单位的网站，这些公司网站因财力和物力投入有限的因素，创建的往往是小型网站。

目前，中国黑客的地下黑色产业链已形成，黑客已不是为“好玩”而是为了金钱利益而去入侵网站，有的窃取商业机密；有的使网站服务器成为“肉鸡”为其攻击他人服务器做准备；甚至有的黑客使得公司商业网站服务器瘫痪进而敲诈勒索。

而目前国内的小型网站，因为财力和物力有限，公司很难以高成本来保证其公司网站的安全性，即使网站是被黑客入侵成功并且成功获取服务器权限成为“肉鸡”，其网站管理者仍无法察觉。正因为国内的小型网站因经济成本原因对维护和安全方面投入不足而导致其网站容易被黑客入侵，所以，国内的小型网站成为了黑客的首要攻击目标。

那么，如何在财力和物力有限的情况下，对小型网站做好安全防御呢？笔者就广西物资学校的小型招生网站的安全防御进行实践和总结。

1 网站主机空间服务提供商的选择策略

随着近年的计算机硬件不断降价，新计算机硬件更强更好，一些公司和事业单位往往认为，投入10万元购买相应设备、带宽以及相应软件就可以轻松搭建小型网站，然而网站建站成功后，就会发现维护网站服务器才是真正的成本。除了维护人员的工资，还要给ISP每个月上万元的宽带费用，为服务器机房提供良好的维护环境等，这还不包括网站服务器的安全维护成本。所以，在低成本条件下，选择网站主机空间服务提供商来搭建公司小型网站才是经济的做法。

如果投入财力无法达到上述策略要求，则需要选择综合硬件和带宽实力比较强的网站服务提供商了，例如万网。万网给小型网站提供了云服务器建设方案，每年只要花费一定的费用就能享受到云服务器以及百兆带宽的硬件保证。许多公司和企业并没有资金给网站服务器配备专业的机房，也不愿意在网站服务器投入过多的人力，所以，选择合适的网站主机空间服务提供商很重要。

网站主机空间服务提供商不仅提供网站服务器的使用权，而且还提供网站服务器的网络安全服务，也不必考虑服务器所在的机房环境，公司和事业单位也不用再支付网站服务器维护人员费用，仅仅需要支付给网站主机空间服务提供商一定的费用以及小型网站维护人员和网站内容编辑员的工资即可。国内比较好的主机空间服务提供商是万网，而国外比较好的主机空间服务提供商是Bluehost和Hostmonster，它们还有免费主机空间提供，对空间要求不大的网站可以选择免费主机空间。万网、Bluehost和Hostmonster它们都有大量专业的网站主机服务器维护人员，并配备有硬件和软件防火墙等安全设备，有比较大的带宽接入从而对DDOS有一定的抵抗性。所以，在人力、财力投入不够的公司搭建网站，选择网站主机空间服务提供商是明智之举！

2 网站的程序的选择策略

动态网站易于更新，方便、简单、快捷已经成为建站的选择。中小型公司和事业单位小型网站因财力有限而不会自己开发网站程序，更不用说投入人力、物力检查网站程序漏洞所在。这时，就应选择一个稳定而又安全可靠的网站程序，只需要付出一点费用，就能大幅提高网站程序安全。

小型网站的网站程序选择应遵照两个原则：首先，从网站程序的语言选择。ASP.NET、PHP和JSP，三者选其一，但是不要选择安全性比较差的ASP网站程序。其次，选择一个强大而稳定并有定期更新的网站程序。不论是付费还是开源的网站程序，都可能会有网站程序漏洞出现，所以，在发现网站程序漏洞时，开发该网站程序的所有者能不能及时打补丁补救是考虑的关键。还需要考虑到动态网站程序是否能得到网站开发者的版本更新，如果网站程序开发者仅仅是开发出一套网站程序，而很少更新版本也不提供网站程序，那么这套网站程序则不要考虑。

笔者的学校招生网站用的是织梦CMS，使用的语言是PHP，数据库使用的是MySQL。该网站软件在版本的更新频繁以及漏洞补丁应对比较及时，因其是开源系统，所以该网站程序安全性高而成本低，所以采用了这套网站程序，笔者的招生网站从开始运行到现在，网站一直很稳定。

3 网站不必要的信息进行删除和更改策略

建立起小型网站的公司和事业单位，很少会高薪聘请专业的网站安全技术人员来维护网站的运行，网站的维护者往往是计算机维护人员或网络维护人员，他们对小型网站的有一定的网站安全基础。在这种情况下，还能维护好网站安全吗？答案是可以的！

首先，小型网站的维护人员在安装好网站程序并调试好后，可以删除掉“/install”文件夹的所有内容。这个文件夹是网站安装的相关文件，许多小型网站维护管理人员因专业性不够往往忘记删除，结果导致网站轻而易举的被黑客重置。

其次，管理员账户名不使用admin。网站程序在默认安装时，网站管理员账户名默认为admin，密码是admin。许多小型网站没有经验和相关专业知识的网站维护者其管理员账户名是admin，甚至有一些小型网站其管理员密码也是admin。所以，为了防范出现这种低级网络安全问题，网站管理员账户名不应该是admin，其密码也应是大小写字母加数字的组合，密码长度应为14位以上。

4 使用登录验证码策略

小型网站无需多少成本即可实现管理员及普通用户登录网站前，需要输入图片中的字母和数字的组合来进行验证，防止非人类试图登录尝试暴力破解。验证码图片中的数字和字母应采用不同的字体，图片中的验证码不仅要倾斜一定角度，而且还要适当贴在一起并增加噪点，使得计算机自动识别难度加大。如果有必要，验证码还可以更复杂，采取中文文字或者数字加减结果来代替数字和字母的验证码。

如果网站的维护人员有一定的网站程序编写和调试能力，可以采取人物图像验证码。例如，列举六张照片，选择其中三张刘翔的照片来通过提交验证。这样，可以很好的防止计算机程序暴力破解。在2016年春节前的网上铁路购票系统里，就采取了这种验证机制，成功阻止了黄牛使用刷票软件抢票。

5 采取动态网站转静态网站策略

小型网站往往因为资金投入不足，是无法花钱购买DDOS硬件防火墙的，所以可以采取措施是将网站由动态转换为静态。这样的好处是，首先，有利于搜索引擎的抓取和收录；其次，有利于网络访问者能比较快地打开网页，打开静态网页的速度是快于动态网页的；最后，是有利于防范黑客发动DDOS进攻。当动态网站转换为静态网站时，因CPU的占用率降低，导致其进攻效果大为降低。需要注意的是，不应直接采用程序把网站所有界面直接转换为静态，应该按照动静结合的原则：将网站上的有比较丰富的关键词页面、用户信息页面、网站地图页面，应使用静态网页，而对于网站的大量更新板块，则应该通过动静转化程序来进行。转换动态页面到静态页面的程序比较多，使用插件最为普遍，例如：IIS Rewrite、ISAPI_REWIRITE、Apache HTTP服务器的MOD_Rewrite等。

6 为小型网站使用镜像网站的策略

为了在大量网民的点击下保证网站的正常运行，为了防御DDOS分布式拒绝服务攻击，国内许多大型公司的网站服务器可以多达几十台，甚至上百台服务器。例如网络视频公司优酷，除了在北京的几十台服务器外，在国内的各个省内的多个城市，都有其服务器，因此大幅地提高了浏览者浏览视频的网络速度。可是小型公司在其网络业务稳步发展时，是不可能马上做到像大公司对其网站服务器的大笔经济投入的，所以，小型网站公司可以采取成本比较低的策略：使用镜像网站策略。

当小型网站规模访问量不断扩大时，可以考虑镜像网站作为主网站的一种备份策略。为做镜像网站成本很低，而带来的效果却很好。首先，做镜像网站可以提高不同的宽带运营公司（例如，电信、移动、联通和广电等）的宽带用户访问体验。其次，采用镜像网站可以在主网站因某种原因无法访问时，只需修改域名解析，指向镜像网站的IP地址，就保证访问者能够正常浏览网站。

7 采取过滤访问者每一次递交的策略

网站建设与维护者应秉持一个原则：凡是网络访问者的每一次提交都是不可信的。针对这一原则，无论是网站的匿名访问者、用户访问者和管理员访问者，其每一次对网站的提交（包括post和get）均应经过过滤。为了防止SQL注入，必须过滤掉以下字符：<、＼、/、>、、*、^、|、”，同时还要过滤掉：and、exec、insert、select、delete、update、count等这些能够进行SQL查询的语句。小型网站因网站内容并不是很多，还可以对用户提交的地址进行限制长。

小型网站的功能若包含有用户注册功能，则应对其用户上传的头像做限制。注册用户的头像只允许上传截图，而不允许注册用户直接上传头像图片。同时，不允许用户上传包含动态语言程序扩展名和系统程序扩展名的文件。

8 日志定期检查以及数据库定期备份的策略

网站维护人员要定期检查网站的操作日志、登录日志和备份日志，及时发现问题，找到漏洞进行补漏。同时还要定期备份数据库，根据日志发现的问题的时间，可以将网站的数据恢复到被入侵或破坏前的时间点，如果网站一旦被入侵，还需要管理员检查黑客是否留下一句话木马作为以后入侵的后门，找到并删除。

9 付费请网络安全公司检测网站安全并加以改进的策略

小型网站因公司或事业单位因成本考量，对网站安全投入不大，而且也没有聘请专业的网站安全人员维护网站，则可以像公司员工或单位职工每年健康体检一样，采取付费的形式，每年或每两年请网络安全公司检测其小型网站的网络安全的策略，如果发现网站有安全漏洞或隐患，则由该网络安全公司加以修补和改进小型网站的安全机制。同时，还可以要求网络安全公司保证在其检测和维护网站的一段时间内保证网站不会出现被黑客入侵破坏，否则赔偿一定的金额。

所以，笔者认为在低成本条件下，公司和事业单位完全可以很好地保证小型网站的安全。笔者对在低成本低投入下的小型网站的安全运营充满信心，可是，当前国内的小型网站的安全形势依旧严峻，不仅仅是对网站安全的经济投入不够，而且更重要的是对网站安全的不重视，这就导致了目前国内小型网站轻而易举地被黑客攻破。希望本文能够帮助到小型网站的维护和管理人员，因为，网站安全任重道远！

参 考 文 献

[1] 司智勇.小型网站的安全策略[J].郑州铁路职业技术学院学报，2004（04）：59-61.

[2] 张继平.浅谈小型网站维护的技巧[J].科技致富向导，2012（27）：224.

[3] 陈洪娟.基于小型网站的网络安全策略[J].科技视界，2015（21）：68+150.