Web网站的安全问题及防护措施研究

孙淑丽

摘   要：互联网的广泛运用为人们的生活、工作和学习带来了巨大的便利，但相对而言，互联网具有的开放性、便捷性等特点也极易引发网络安全问题。一旦网络受到了攻击，会给人们带来极大的危害，甚至会威胁到整个社会的和谐与稳定。因此，文章重点对Web网站的安全问题及防护措施进行了研究。

关键词：Web网站;安全;攻击手段;防护对策

1    Web网站

Web是一种基于超文本和超文本传输协议（Hyper Text Transport Protocol，HTTP）的、全球性的、动态交互的、跨平台的分布式图形信息系统。网站则是在互联网上，根据一定的规则，使用超文本编辑语言（Hyper Text Markup Language，HTML）等工具制作展示特定内容的相关网页的集合。从用途上讲其是一种通信工具，可以将人们想要公开的资讯予以发表和分享或者获取网络服务的载体。但事物都具有两面性，Web网站也不例外。因其是以网络为依托的，而网络又具有开放性特点，人们在利用Web网站的过程中不可避免地会受到各个方面的影响，为了更好地维护Web网站的安全，本文对其防护措施进行了重点研究。

2    Web网站安全现状分析

从整体上分析，引发安全隐患的因素并不完全取决于自然因素，其根源则在于人为因素。首先，自然环境方面。网站需要计算机以运转，但计算机并没有任何抵御自然的能力。其次，人为因素。（1）网络安全的维护不到位。很多管理人員在知识和技能的储备方面较落后，无法满足当前管理工作的需求。（2）网络本身具有开放性特点，很多犯罪分子、黑客往往会利用这一特点实施不法行为，恶意盗取、篡改计算机用户的信息，尤其是黑客防不胜防，用户并不具备专业而熟练的计算机技术，其无法预防、控制和防范黑客的恶意攻击，包括数据的丢失、窃听、篡改乃至病毒的植入。

3    Web网站攻击手段和危害

3.1  跨网站脚本攻击

跨网站脚本攻击是一种常见的攻击手段。攻击者在网页上发布包含攻击性代码的数据。一旦用户浏览该网页，特定的脚本就会冒充用户的身份和权限来执行。它的危害在于用户的数据、信息更容易被窃听、盗取和篡改，控制用户账户以及造成其他类型的攻击。

3.2  注入攻击

注入攻击以结构化查询语言（Structured Query Language，SQL）注入攻击为主。其是利用服务器端代码自身存在的漏洞进行攻击，在Web客户端和服务器连接后，对数据库后端进行攻击。这种攻击与其他攻击不同的地方在于，它能直接访问用户的数据库而不受安全防护机制的限制和影响。该手段所呈现出来的方法灵活多样。比如：get型注入，只存在于带有参数的动态网页中;post型注入，其最大特点就是具有极强的隐蔽性，大多应用于网站后台的登录框中，窃取管理员的账户信息和身份来实施非法管理行为。

3.3  其他攻击

比如任意执行，这是通过在服务器上执行来自于网站服务器外部的恶意文件所产生的攻击;不安全对象引用，是用户有权限去浏览此网站，但在更改访问参数时访问到了本来没有访问权限的网站;在用户正常登录系统以后，攻击者诱使用户访问一些非法链接，以执行一些非法操作，从而对网站进行控制或攻击，这是伪造跨站点请求的攻击手段。

4    Web网站的防护手段

4.1  完善网站安全模式

首先，网站服务器所处的机房环境要安全。不仅要求硬件达标，安全设备完善，管理人员也要拥有过硬的专业知识和技能以及强烈的责任心。其次，要及时打好补丁，堵上漏洞。在网站服务器上安装正版防病毒软件，每日要对杀毒软件与木马扫描软件进行升级，不在服务器上安装与网站运行无关的应用软件。最后，在开发网站程序时最好不要用网络上已经公开的测试程序代码，而是要规范代码的编写流程，需要注意的是，网站在交付使用之前，要删除后台发布系统中不必要的功能代码，尤其是一些论坛、博客类的功能代码。

4.2  升级网站加密方式

利用数据加密的相关技术可以有效地保护Web数据库的安全。但是很多时候密码技术并不完善，无法完全抵挡黑客的攻击，或者黑客使用一些饱和攻击等手段，强行获取数据，这严重影响到Web数据库的安全和正常使用。所以要制定一些可行性强的解决方案来处理这些问题。比如可以严格控制访问权限，这就需要对访问规则进行严格控制，让很多没有访问权限的非法用户不能轻松地进入，这需要对用户密码进行多种方式混合加密。比如，直接将用户名称分成毫不相关的两个分组，接着保存到数据库中，这时就进入了加密防守的阶段。由于高级加密标准（Advanced Encryption Standard，AES）等加密算法的加密速度比较快，就算是数据库里的数据有所泄漏，入侵者也需要花费很多的时间来处理用户名的解析问题，这样才能进行下一步攻击网站的行动，从而提高网站的安全性。

4.3  创新安全技术模式

首先，设置Web专用防火墙。不同于普通防火墙技术，其所具有的功能更加全面和完备。如Web防护、网页保护、应用交付以及负载平衡等，防火墙对用户的核心应用起到良好的保护效果，可使相关业务稳定、持续运行。除了对网站进行入侵防御系统（Intrusion Prevention System，IPS）漏洞防护之外，还可以防护一些木马、后门等常见的病毒，更重要的是可以提供服务器防护功能，如暴力破解防护、Web服务和文件传输协议（File Transfer Protocol，FTP）隐藏、文件上传过滤等。其次，提高安全技术的检测水平。不仅要借助相应的技术手段对网站进行全面的漏洞扫描，还要请专业的网络安全机构，对网站的安全性进行检测，若是存在安全问题，可根据提示加以解决处理，从而为网站的安全作一个全面而系统的检测。最后，在用户操作的过程中也要注意细节，比如在浏览网站时最好使用“Https”进行通信，使用安全传输层协议（Transport Layer Security，TLS）加密，而不是直接使用“http：”，或者可以登录授权，生成唯一的sessionid/token进行后续操作、接口访问。

5    结语

Web网站的安全管理问题刻不容缓，它不仅影响了用户自身的利益，也直接影响了社会的和谐与稳定，因此，在管理网站时必须要正确地分析所存在的安全隐患以及产生原因，并通过采用一些积极的举措、更新管理理念来营造安全的网站环境。

[参考文献]

[1]刘书昆.Web网站安全及关键技术[J].电子技术与软件工程，2018（4）：216.

[2]李尚.Web网站的安全问题及防护策略[J].方法与应用，2016（7）：13.

[3]孙恺.浅析网站安全防护[J].科技经济导刊，2018（15）：27-28.