◆都 标

（阜阳技师学院 安徽 236000）

浅谈网站的安全和防范措施

◆都 标

（阜阳技师学院 安徽 236000）

近年来，伴随着各行业信息化建设的需求，互联网得到了突飞猛进的发展，人们在享受互联网便捷的同时，也在承受着网络安全所带来的困扰。据统计，大约每20秒就有一次网络入侵事件，每年全球网络安全造成的损失高达数百万美元。在我国，90%以上的网站存在着安全漏洞，很多网站都遭受过黑客的攻击和计算机病毒的侵害，对我们的国家、企事业单位及个人造成了极大的危害。本文首先介绍了网站存在的安全隐患，之后将详细介绍网站的安全防范措施。

网站；安全；防范

0 前言

在网络高速发达的今天，网络上各式各样的网站随处可见，大到国家政府部门，小到企业、公司、个人都会拥有自己的网站，网站已经成为了宣传、交流、沟通的一张网络名片，人们的生活、工作、学习越来越依赖于网站的信息资源，但在丰富而精彩的网络世界背后，却暗流涌动，网站攻击入侵事件层出不穷，造成的损失已无法估量，网络及网站安全问题也已成为世界性的研究课题。

网站安全是指为防止外来入侵，对网站资源数据进行保护的技术措施，从而确保信息数据的完整性和机密性。网站安全现在已经受到越来越多人的重视和关注，目前已发展成为一个跨学科的综合性学科，它包括通信技术、网站技术、网络技术、密码学、网站安全等，它是在攻击和防范这一对矛盾相互作用中发展起来的。

1 网站常见漏洞和安全隐患

无论是Windows Server系列操作系统、Linux操作系统，还是其他的各种服务程序，都存在着漏洞和不足，因此，了解网站的常见漏洞和安全隐患，对网站后期维护和安全防范有着重要的作用。

1.1 SQL脚本注入攻击

对于和后台数据库产生交互的网页，如果没有对用户输入数据的合法性进行全面的判断，就会使应用程序存在安全隐患。用户可以在可以提交正常数据的URL或者表单输入框中提交一段精心构造的数据库查询代码，使后台应用执行攻击着的SQL代码，攻击者根据程序返回的结果，获得某些他想得知的敏感数据，如管理员密码，保密商业资料等。出现SQL脚本注入攻击的原因，主要是一些网页程序员在编写代码的时候，没有对用户输入数据的合法性进行判断，从而使网页应用程序存在安全隐患。

1.2 文件上传漏洞攻击

网站的上传漏洞是由于网页代码中的上传文件路径变量过滤不严造成的，利用这个上传漏洞就可以任意上传加.asp的网页木马，然后连接上传的网页即可控制网站系统。

1.3 数据库入侵

数据库入侵包括利用默认数据库下载和暴库下载，在数据库里面插入代码等通过网站程序数据库进行的攻击。默认数据库漏洞，是指许多网站在使用一些开源代码网站程序时，未对数据库路径和文件名进行修改，导致攻击者可以之间下载或操作数据库文件进行攻击。暴库是指利用%5c之类的编码转换，让网站显示出数据库文件名。从而进行攻击。

1.4 跨站脚本攻击与木马网页

跨站脚本攻击是指，攻击者在远程WEB页面的HTML代码中插入有危害性的代码语句。通过盗取Cookie或欺骗打开木马网页等取得重要资料，也可以直接写入脚本代码，在网站挂上木马网页等。

1.5 其他脚本攻击

网站服务器的漏洞主要集中在各种网页上面，由于网页程序编写的不严谨，因而出现了各种不同的脚本漏洞，有一些专门针对某类网站的脚本程序漏洞，最常见的有用户输入数据过滤不严，网站源代码暴露等。

1.6 DNS攻击

黑客使用常见的洪水攻击，阻击DNS服务器，导致DNS服务器无法正常工作，从而达到域名解析失败，造成网站无法访问。

1.7 计算机病毒攻击

计算机病毒对计算机数据信息的直接破坏作用，给用户造成重大损失，占用系统资源并影响运行速度，产生其他不可预见的危害，给用户造成严重的心理压力。

2 网站安全检测的方法

2.1 对网站漏洞进行扫描检测

现在很多网站都存在SQL漏洞，上传漏洞等等漏洞，而黑客可以利用这些漏洞进行网站攻击。所以网站漏洞检测很有必要。网上有一些在线的网站漏洞检测工具，可以免费为网站漏洞扫描和安全检测。对于发现的网站漏洞要及时修补。

2.2 对网站木马进行检测

网站被挂马是非常普遍的事情，同时也是最难根除的事情。所以网站安全检测的一个重要指标，就是网站是否被挂马。可以利用一些杀毒软件的在线安全中心，提交URL就可以进行木马检测。

2.3 对网站环境进行检测

网站环境包括网站服务器的安全环境和网站维护者的工作安全环境。很多黑客直接通过攻击服务器来入侵网站，窃取用户资料和一些重要数据。所以一定要选择有保证的服务商，这不仅对网站的安全，而且对网站的优化都有很大的帮助。

2.4 对其它方面进行检测

黑链检测，由于现在黑链的利润很高，故现在很多黑客入侵网站目的就是为挂链接，而被挂黑链会严重影响SEO的优化。可以利用一些小工具查看PR比较低而且又比较陌生的链接，这些链接可能是黑链，将黑链删除就可以了。

2.5 对远程连接进行检测

打开宽带连接，进行宽带的检测和IP地址的检测。以防止恶意的窃取用户资料。

3 网站安全防范措施

3.1 对登录页面进行加密

这样可以大大增加网站的安全性，通常加密方式有MD5加密、数据库加密等。

3.2 使用专业工具进行辅助

目前，有许多针对于网站安全漏洞的检测系统，利用他们能够迅速找到网站的安全隐患，同时也会给出相应的防范措施。

3.3 使用加密连接管理站点

使用不加密的FTP或HTTP来管理站点，会给网站造成很大的安全隐患。因此请务必使用加密的协议，来保障网站的安全性。

3.4 兼容性加密

目前，可以使用SSL Web网站加密的技术。也可以使用加密技术更好的TLS技术。

3.5 连接安全网络

尽量不要连接安全特性不可知或不确定的网络，如果你连接到一个没有安全保障的网络时，就必须使用一个安全代理，这样你到安全资源的连接就会来自于一个有安全保障的网络代理。

3.6 不共享登录信息

共享登录机要信息会引起诸多安全问题。登录凭证共享得越多，就越可能更公开地共享，甚至对不应当访问系统的人员也是如此。

3.7 采用基于密钥的认证而不是口令认证

口令认证要比基于密钥的认证更容易被攻破。设置口令的目的是在需要访问一个安全的资源时能够更容易地记住登录信息。使用基于密钥的认证，并仅将密钥复制到预定义的、授权的系统，将会得到并使用一个更强健的难于破解的认证凭证。

3.8 维护一个安全的工作站

一个不安全的工作站，可能为黑客监听、攻击、盗取数据、恶意损害提供了便利的条件。因此保障工作站的安全性是至关重要的。

3.9 运用冗余性保护网站

备份和服务器的失效转移是发生灾难后重构服务器的最佳手段。当然，为保障万无一失，还必须确保失效转移和备份方案的安全性。

3.10 对所有的系统都实施强健的安全措施

可以采用一些通用的手段，如采用强口令，采用强健的外围防御系统，及时更新软件和为系统打补丁，关闭不使用的服务，使用数据加密等手段保证系统的安全等。

3.11 利用防火墙防护网站安全

防火墙可以是一种硬件、固件或者软件，例如专用防火墙设备、就是硬件形式的防火墙，包过滤路由器是嵌有防火墙固件的路由器，而代理服务器等软件就是软件形式的防火墙。使用防火墙监控所有的数据包，从而确保网站的安全。

3.12 运用网站监控措施

网站监控是通过软件或者网站监控服务提供商对网站进行监控以及数据的获取，从而达到网站的排错和数据的分析。

4 结束语

总之，网站安全防护对于网站来说，相当重要。特别是一些企业对于网站安全认识不足，造成网站打不开或者挂马，给客户访问带来了不必要的麻烦，也给网站本身造成了负面影响。所以，了解网站存在的安全隐患，时刻关注新的管理技术与安全防御技术。对于已经出现的安全问题应该用最快、最有效的方法加以解决，对于目前还未出现的安全问题要有预见性，这样才能保障网站运行的可靠性。

[1]丁士峰．网页制作与网站建设大全[M]．北京：清华大学出版社，2013．

[2]赵江．网站管理与维护手册[M]．北京：人民邮电出版社，2007．

[3]肖遥．网站入侵与脚本攻防修炼[M]．北京：电子工业出版社，2008．