糾正網站建設中網站安全的誤區

仲介交易 HTTP://www.aliyun.com/zixun/aggregation/6858.html">SEO診斷 淘寶客 雲主機 技術大廳

談起網站安全這個問題，我真的有點十分感觸，在國內做網站建設的站長朋友，只要網站有流量的，有發展潛力的。 網站多多少少都遇過網站安全的問題，諸如虛擬主機訪問延遲、伺服器被入侵、網站被駭客掛馬等等的網站安全問題。 這次我以網站安全問題為話題，談一談網站建設中需要注意的網站安全。

目前，駭客攻擊網站已成為一個很嚴重的網路網站安全問題。 許多駭客甚至可以突破SSL加密和各種防火牆，攻入Web網站的內部，竊取資訊。 駭客可以僅憑藉瀏覽器和幾個技巧，即套取Web網站的客戶信用卡資料和其它保密資訊。 嚴重威脅著網站安全。

隨著防火牆和補丁管理已逐漸走向正常化，各類網路設施應該是比以往更完全。 但不幸的是，道高一尺，魔高一丈，駭客們已開始直接在應用層面對Web網站下手。 要增強Web網站的安全性，首先要澄清關於網站安全的五個誤解。

一、網站安全的誤區之「Web網站使用了SSL加密，所以很安全」

網站建設單靠SSL加密無法保障網站的安全。 網站啟用SSL加密後，表明該網站發送和接收的資訊都經過了加密處理，但是SSL無法保障存儲在網站裡的資訊的安全。 許多網站採用了128位SSL加密，但還是被駭客攻破。 此外，SSL也無法保護網站訪問者的隱私資訊。 這些隱私資訊直接存在網站伺服器裡面，這是SSL所無法保護的。

二、網站安全的誤區之「Web網站使用了防火牆，所以很安全」

防火牆有訪問過濾機制，但還是無法應對許多惡意行為。 許多網上商店、拍賣網站和BBS都安裝了防火牆，但依然脆弱。 防火牆通過設置「訪客名單」，可以把惡意訪問排除在外，只允許善意的訪問者進來。 但是，如何鑒別善意訪問和惡意訪問是一個問題。 訪問一旦被允許，後續的安全問題就不是防火牆能應對了。

三、網站安全的誤區之「漏洞掃描工具沒發現任何問題，所以很安全」

自1990年代初以來，漏洞掃描工具已經被廣泛使用，以查找一些明顯的網路安全性漏洞。 但是，這種工具無法對網站應用程式進行檢測，無法查找程式中的漏洞。

漏洞掃描工具生成一些特殊的訪問請求，發送給Web網站，在獲取網站的回應資訊後進行分析。 該工具將回應資訊與一些漏洞進行對比，一旦發現可疑之處即報出安全性漏洞。 目前，新版本的漏洞掃描工具一般能發現網站90%以上的常見安全問題，但這種工具對網站應用程式也有很多無能為力的地方。

四、網站安全的誤區之「網站應用程式的安全問題是程式師造成的」

程式師確實造成了一些問題，但有些問題程式師無法掌控。

比如說，應用程式的原始程式碼可能最初從其它地方獲得，這是公司內部程式開發人員所不能控制的。 或者，公司可能會請一些離岸的開發商作一些定制開發，與原有程式整合，這其中也可能會出現問題。 或者，一些程式師會拿來一些免費代碼做修改，這也隱藏著安全問題。 再舉一個極端的例子，可能有兩個程式師來共同開發一個程式專案，他們分別開發的代碼都沒有問題，安全性很好，但整合在一起則可能出現安全性漏洞。

很現實地講，軟體總是有漏洞的，這種事每天都在發生。 安全性漏洞只是眾多漏洞中的一種。 加強員工的培訓，確實可以在一定程度上改進代碼的品質。 但需要注意，任何人都會犯錯誤，漏洞無可避免。 有些漏洞可能要經過許多年後才會被發現。

五、網站安全的誤區之「我們每年會對Web網站進行安全評估，所以很安全」

一般而言，網站應用程式的代碼變動很快。 對Web網站進行一年一度的安全評估非常必要，但評估時的情況可能與當前情況有很大不同。 網站應用程式只要有任何改動，都會出現安全問題的隱患。

網站喜歡選在公休日對應用程式進行升級，耶誕節就是很典型的一個旺季。 網站往往會增加許多新功能，但卻忽略了安全上的考慮。 如果網站不增加新功能，這又會對經營業績產生影響。 網站應該在程式開發的各個階段都安排專業的安全人員。