网站安全问题及防护策略研究

吴振鹏

摘要：当前，网站已经成为党政、医疗、教育、电子商务等行业共享信息、提供服务的重要载体，随着互联网技术的推进，网站安全问题越来越凸显，成为威胁网站的重要隐患。文章总结了当前网站建设、运行的概况，对网站常见的安全问题进行分析研究，并针对性地提出安全防护策略，为网站稳定、可靠地运行提供借鉴。

关键词：网站；安全；研究

随着Internet的普及与发展，人们对网络的依赖度越来越高，网站的应用已经深入到生活中的方方面面，给人们带来了极大的便利。但是近几年以来，网站攻击事件层出不穷，网站正面临着极大的安全威胁。前段时间，某平台网站存在安全漏洞，遭受不明攻击，几百万账户信息被泄露，导致其他平台如12306购票网站大量用户密码遭“撞库”破解，购票订单被恶意取消。因此，在网站的建设以及维护过程中，必须要掌握并采取完善的安全策略，提高网站的抗攻击能力，从而保证网站的安全运行。

1网站建设、运行概况

计算机网络的迅猛发展使得Internet急剧扩大，并且Web网站迅速增加。运行在互联网上的网站形形色色，从种类上来说，有门户网站、行业网站、娱乐网站、电商网站等。网站的来源一般是两种，一种是没有专门的技术人员，请专业的开发公司来制作；另一种是有专业的开发团队，负责网站的开发与维护。网站所采用的开发语言有PHP、JSP、ASP、ASP.NET等，常见的数据库有Mysql、SQLServer、Oracle、Access等，部署的服务器有Windows和Linux。网站的性能方面，有的网站侧重于提供高带宽流量服务，比如视频网站，有的侧重于提供高并发服务，比如抢票、购物网站。从网站后续维护来看，多数网站开发完毕后，基本没有技术上的保障，只是内容上的更新，网站如果被攻击，没有处理的能力。总体来说，大部分网站总会存在一些安全问题，网站在互联网上正常运行，并不能说明网站就没有安全问题，而是网站没有可供不法份子觊觎的内容。党政机关门户网站、电商网站等，往往是攻击份子为达到不良目的活跃的重点区域。

2网站常见的安全问题以及解决策略

当前计算机犯罪手段比比皆是，而且网络病毒、木马等犯罪技术也随着互联网技术的发展显著提高。现在人们很容易从网上下载到各种攻击工具，通过这些工具不需要有专业的技术就可以对网站造成破坏，网站受到的安全威胁越来越大，所以对开发维护人员提出的要求也越来越高。

2.1网络安全问题及策略

网站运行于网络之上，没有稳定、安全的网络环境，网站也就谈不上发挥效能，只能算是单机版的应用。DDoS攻击是常见的攻击方式之一，它通过大量合法的请求来占用大量网络资源，从而达到瘫痪网络的目的。它通过网络超载来阻挠干扰正常的网络通讯，通过大量请求服务器，造成服务器超荷，从而阻断某服务与用户的正常通讯，干扰用户正常的服务器访问。因为网站的实现是基于TCP/IP网络协议，DDos攻击就是针对这一协议的缺陷展开的攻击，攻击者通过伪造TCP连接请求，使网站服务器消耗大量的资源来维护庞大的连接列表，从而难以响应正常客户的请求，最终导致服务器的崩溃。此外，ARP欺骗攻击也是常用的网络攻击方式，在被控制的主机内植入ARP攻击软件，通过欺骗攻击，截获网段内部主机的敏感数据，获取有价值的数据包，造成被访问网站用户信息的泄露。

针对以上攻击，网站可以设立过滤器或者侦测器来检测可疑的访问行动，在攻击信息抵达网站服务器之前进行阻挡，保持服务器正常对外连接。还可以增加必要的网络安全设备作为访问控制设备，比如防火墙，通过启用防火墙的防DDoS的属性或者设置访问策略，避免服务攻击。另外，可以通过设置路由器SYN数据包流量速率来降低DDos攻击风险。个人电脑也要进行相关的安全设置，开启防火墙，及时修复漏洞，网络维护人员要加强对网络的监控，有不稳定的突发大数据流量要及时查看原因，进行处置。总之，无论是服务器端还是个人端所处的网络环境，其稳定性、安全性决定着网站运行的可靠性以及用户数据的保密性，网络维护人员以及用户，都要提高网络安全防护意识，为网站的正常运行，用户的正常访问，提供良好的温床。

2.2系统环境安全问题及策略

Windows和Linux系统是网站部署常见的系统，Windows以Server版本為主，Linux以Ubuntu和CentOS为主，每个系统版本都有各自的特性，开发人员可以根据网站的特点选择合适的系统进行部署。Windows系统简明的操作界面极大方便普通用户的使用，但与此同时，针对Windows系统的恶意攻击也多，各种漏洞备受诟病，2017年席卷全球的“勒索病毒”，就是利用了Windows的漏洞，造成大量用户遭受损失。Linux系统相比较Windows系统，安全性和稳定性有很大的提高，但是文件目录的权限设置过高容易造成普通用户文件访问越权，管理员权限分配不准确也容易为攻击人员留下入口。

如果网站部署于Windows系统，要及时更新安装最新的补丁，修复漏洞，防火墙要打开，设置完善的安全策略。网站部署到Linux系统，网站目录权限要根据实际需求准确设置访问权限，权限不能过高也不能过低。Linux系统要关闭Telnet服务，关闭root用户的远程登录，关闭SSH登录端口，只为管理员IP设置登录端口的访问权限。两种系统的管理员用户密码复杂度要提高，一般是大小写字母加特殊字符。端口访问权限，只开放有用的端口即可，比如80端口，其他无用端口都要关闭，不给不法分子留下可乘之机。

2.3网站系统安全问题及策略

无论是网络还是系统环境，只能算是外部的环境，外部环境安全系数再高，网站本身如果存在安全漏洞，也是极大的安全威胁。

2.3.1数据库攻击

SQL注入是数据库攻击常见的手段，所谓SQL注入，指的是通过把SQL命令插入到Web表单中提交或者页面请求的查询字符串，欺骗服务器执行恶意SQL命令。SQL注入是通过构建特殊的字符串作为参数传递到服务器，这些字符串是SQL语句的组合，如果网站程序没有对用户输入的参数进行过滤检查，SQL注入的实施就非常简单了。数据库的攻击应该是所有威胁网站安全最严重的问题之一，数据库存储了网站所有的信息，一旦发生数据库攻击，会造成数据泄露，严重的会造成数据库丢失，后果无法想象。

其实，解决SQL注入的方式也比较简单，即永远不要相信前台用户的输入内容，对所有的信息都要进行校验，对所有需要传递到服务器数据库进行查询、操作的参数进行过滤检查即可。除了开发过程中注意加强数据的检查，还可以使用一些检测工具，比如SQLMap，对网址进行检查，找出存在SQL注入的页面进行修复。

2.3.2跨站脚本攻击

跨站脚本攻击指攻击者利用网站没有对用户提交的数据进行安全过滤，进而添加代码，嵌入网站页面，其他用户在访问该页面时，都会执行嵌入的代码。该攻击危害较大，可以盗取用户账号信息、操作用户数据、网站挂马、控制用户电脑向其它网站进行攻击。

该攻击发生的原因也是对客户端提交的数据没有进行安全过滤，开发人员只需要完善数据的检查即可，也可以采用跨站脚本攻击检测工具比如XSSDetect进行检测。

2.3.3密码存储

涉及到用户登录的网站，在存储用户登录密码时，有的数据库设计不够严谨，以明文方式存储密码，比如登录密码为“ABC123”，该密码在数据库中直接存储为“ABC123”，一旦发生数据库丢失，用户密码直接暴露，如果该用户在其他系统网站中使用同样的密码，对该用户造成的损失是不可估量的。

为了避免发生以上问题，网站的开发存储用户密码时，必须采取加密算法，密码经过加密后，再存储到数据库中，用户的登录验证部分，也要采取相应的计算算法进行比对。

2.3.4文件上传

网站如果提供文件上传的功能，比如云盘，用户将病毒、木马文件上传到服务器，将威胁服务器以及其他用户的安全。在选用一些文件上传的插件时，也要谨慎，文件上传插件如果存在漏洞，也会对整个网站系统造成影响，Fckeditor这款编辑器，之前的一个版本就被曝存在目录遍历的漏洞。

网站要对用户上传的文件类型、格式、大小等进行检查，比如用户注册上传头像，图片的大小、像素、后缀等都要作为重点内容进行过滤检测。

3結束语

总之，随着互联网技术的发展以及信息化技术的推进，网站面临的安全威胁会越来越多，这给网站开发以及维护人员带来极大的挑战。网站的安全是一个综合性、系统性的问题，涉及内容多，开发人员技术提升的同时，不法分子入侵的手段也会不断提高，因此，网站的安全防范是个永久性的课题。

参考文献：

[1] 文志华，周序生.多方位WEB网站安全防御系统研究[J].网络安全技术与应用，2014（12）.

[2] 李皓.让黑客无隙可乘——企业级Web网站安全解决方案揭秘[J]. 计算机与网络，2017（8）.

[3] 马超祥. 基于对多方位WEB网站安全防御系统的研究[J].电脑迷，2017（6）.

[4] 李超，刘瀚，卢灿举.试分析网站安全管理的技术性内容[J].无线互联科技，2014（11）.