談起網(wǎng)站安全這個問題,我真的有點十分感觸��,在國內(nèi)做網(wǎng)站建設(shè)的站長朋友���,只要網(wǎng)站有流量的���,有發(fā)展?jié)摿Φ摹>W(wǎng)站多多少少都遇過網(wǎng)站安全的問題��,諸如虛擬主機訪問延遲���、服務(wù)器被入侵���、網(wǎng)站被黑客掛馬等等的網(wǎng)站安全問題。這次我以網(wǎng)站安全問題為話題�����,談一談網(wǎng)站建設(shè)中需要注意的網(wǎng)站安全��。
目前����,黑客攻擊網(wǎng)站已成為一個很嚴重的網(wǎng)絡(luò)網(wǎng)站安全問題。許多黑客甚至可以突破SSL加密和各種防火墻�����,攻入Web網(wǎng)站的內(nèi)部�,竊取信息。黑客可以僅憑借瀏覽器和幾個技巧���,即套取Web網(wǎng)站的客戶信用卡資料和其它保密信息�。嚴重威脅著網(wǎng)站安全����。
隨著防火墻和補丁管理已逐漸走向規(guī)范化,各類網(wǎng)絡(luò)設(shè)施應(yīng)該是比以往更完全�。但不幸的是,道高一尺��,魔高一丈,黑客們已開始直接在應(yīng)用層面對Web網(wǎng)站下手�。要增強Web網(wǎng)站的安全性,首先要澄清關(guān)于網(wǎng)站安全的五個誤解�。
一、網(wǎng)站安全的誤區(qū)之“Web網(wǎng)站使用了SSL加密���,所以很安全”
網(wǎng)站建設(shè)單靠SSL加密無法保障網(wǎng)站的安全����。網(wǎng)站啟用SSL加密后����,表明該網(wǎng)站發(fā)送和接收的信息都經(jīng)過了加密處理,但是SSL無法保障存儲在網(wǎng)站里的信息的安全���。許多網(wǎng)站采用了128位SSL加密���,但還是被黑客攻破。此外�,SSL也無法保護網(wǎng)站訪問者的隱私信息。這些隱私信息直接存在網(wǎng)站服務(wù)器里面�����,這是SSL所無法保護的。
二���、網(wǎng)站安全的誤區(qū)之“Web網(wǎng)站使用了防火墻�����,所以很安全”
防火墻有訪問過濾機制,但還是無法應(yīng)對許多惡意行為���。許多網(wǎng)上商店����、拍賣網(wǎng)站和BBS都安裝了防火墻����,但依然脆弱。防火墻通過設(shè)置“訪客名單”�����,可以把惡意訪問排除在外��,只允許善意的訪問者進來��。但是,如何鑒別善意訪問和惡意訪問是一個問題��。訪問一旦被允許�����,后續(xù)的安全問題就不是防火墻能應(yīng)對了����。
三、網(wǎng)站安全的誤區(qū)之“漏洞掃描工具沒發(fā)現(xiàn)任何問題��,所以很安全”
自1990年代初以來���,漏洞掃描工具已經(jīng)被廣泛使用����,以查找一些明顯的網(wǎng)絡(luò)安全漏洞�����。但是�����,這種工具無法對網(wǎng)站應(yīng)用程序進行檢測,無法查找程序中的漏洞���。
漏洞掃描工具生成一些特殊的訪問請求�,發(fā)送給Web網(wǎng)站��,在獲取網(wǎng)站的響應(yīng)信息后進行分析����。該工具將響應(yīng)信息與一些漏洞進行對比����,一旦發(fā)現(xiàn)可疑之處即報出安全漏洞。目前�����,新版本的漏洞掃描工具一般能發(fā)現(xiàn)網(wǎng)站90%以上的常見安全問題���,但這種工具對網(wǎng)站應(yīng)用程序也有很多無能為力的地方����。
四�����、網(wǎng)站安全的誤區(qū)之“網(wǎng)站應(yīng)用程序的安全問題是程序員造成的”
程序員確實造成了一些問題,但有些問題程序員無法掌控���。
比如說��,應(yīng)用程序的源代碼可能最初從其它地方獲得�����,這是公司內(nèi)部程序開發(fā)人員所不能控制的���������;蛘���,公司可能會請一些離岸的開發(fā)商作一些定制開發(fā)���,與原有程序整合,這其中也可能會出現(xiàn)問題��。或者��,一些程序員會拿來一些免費代碼做修改����,這也隱藏著安全問題。再舉一個極端的例子���,可能有兩個程序員來共同開發(fā)一個程序項目��,他們分別開發(fā)的代碼都沒有問題���,安全性很好���,但整合在一起則可能出現(xiàn)安全漏洞��。
很現(xiàn)實地講�����,軟件總是有漏洞的�����,這種事每天都在發(fā)生���。安全漏洞只是眾多漏洞中的一種����。加強員工的培訓(xùn)����,確實可以在一定程度上改進代碼的質(zhì)量。但需要注意����,任何人都會犯錯誤,漏洞無可避免�����。有些漏洞可能要經(jīng)過許多年后才會被發(fā)現(xiàn)��。
五�、網(wǎng)站安全的誤區(qū)之“我們每年會對Web網(wǎng)站進行安全評估,所以很安全”
一般而言�,網(wǎng)站應(yīng)用程序的代碼變動很快。對Web網(wǎng)站進行一年一度的安全評估非常必要���,但評估時的情況可能與當(dāng)前情況有很大不同�。網(wǎng)站應(yīng)用程序只要有任何改動,都會出現(xiàn)安全問題的隱患���。
網(wǎng)站喜歡選在節(jié)假日對應(yīng)用程序進行升級���,圣誕節(jié)就是很典型的一個旺季。網(wǎng)站往往會增加許多新功能���,但卻忽略了安全上的考慮����。如果網(wǎng)站不增加新功能����,這又會對經(jīng)營業(yè)績產(chǎn)生影響���。網(wǎng)站應(yīng)該在程序開發(fā)的各個階段都安排專業(yè)的安全人員�����。
微信關(guān)注
網(wǎng)站導(dǎo)航
