阅读: 3814

中国乃至全球网站的安全问题十分严重也是最受大家关注的事情。网站存在的安全问题包括：

l 网页内容被篡改-发布反动或色情信息，影响网站声誉甚至会受到上级批评；

l 网站被植入木马（网页挂马）-访问网站的终端客户被木马侵入，终端可能会被黑客控制。网站不再受客户信任；

l 网站服务器被黑客控制-成为黑客攻击别人的工具（肉鸡）；

l 网站内容被窃取-为企业带来重要资料的泄密；

l 网站被DDOS攻击-网站访问速度慢，甚至不能访问；

l 网站被国家安全部门加入黑名单-如果网站被黑客控制，成为攻击别人的工具，服务器IP就被国家安全部门或运营商封闭，使得访问者无法访问。

l 网站仿冒（网络钓鱼）-用户信用卡密码被窃取，账户资金被转移；用户终端被植入木马；

网站被攻击案例回放及统计

2007年5月11日，北京联众公司向北京市网监处报案：联众网站自4月26日以来，在上海、石家庄IDC托管的13台服务器，遭受到大流量的DDoS攻击，一直持续到5月5日，攻击最高流量可以达到700M/S。攻击造成服务全部不能对外提供服务，在其服务上经营的网络游戏被迫停止服务。据估计，由于网络游戏停止运营造成的经济损失大概有3460万元。最后，经过CNCERT/CC和网监处的努力下，一举抓获了4名犯罪嫌疑人。

2007年6月，澳大利亚应急相应组织向CNCERT/CC投诉，一个有3400台主机的僵尸网络，正在从http://faf*4c4c.com/se***.exe  中下载恶意代码。同时，攻击者还通过一个国际著名交友网站上以网页挂马的方式传播此恶意代码。CNCERT/CC核实后，立即通知域名运营机构，按照国家有关规定关闭了该恶意域名。

2007年6月14日，国家应急响应中心收到报告，国内某著名门户网站首页于6月14日凌晨被“挂马-页面被嵌入恶意代码”数小时。挂马网站将用户访问跳转到6688.89111.cn/m42.htm 。

下图为2003-2007年我国大陆网页被篡改的情况统计

网站安全防护解决办法

如果要想彻底解决网站存在的安全隐患，是一个系统的过程，需要从多方面入手。从网络数据传输加密防止密码被窃听，到服务器安全加固、操作系统漏洞修补，再到网页制作时注意程序安全隐患，最后还可以借助防火墙、防病毒软件、数字证书等工具的防护。

1、  传输安全

现在各种网络审计及网络流量分析软件比比皆是，如果黑客可以通过网络获取你登陆服务器或网站管理后台的密码，那么一切安全保护工具都不重要了。攻击者可以随时进出你的网站，就像拿着钥匙进自己的家一样。

HTTP 传输，信息是透明的，就像你在大马路上裸奔。如果你想穿上衣服，最简单最低成本的解决办法就是在服务器上安装全球服务器证书，VeriSign、EnTrust、GeoTrust、Thawte 都可以提供全球服务器证书。证书安装成功后，你可以通过 HTTPS 建立SSL加密隧道，传输密码信息，这时密码在传输过程中是加密的了，即时数据被攻击者获取也无法破解。同时，安装全球服务器证书还可以解决“网络钓鱼”问题。

2、  服务器安全

服务器是网站生存的载体，就像人类生活在地球上。如果地球上的生态环境受到了破环，人类也会受到威胁，比如：污染、沙尘暴。保障服务器安全，需要服务器安全加固-设置复杂的密码、设置安全的本地策略、卸载不必要的组件、关闭不必要的服务、关闭共享、及时对操作系统数据库软件进行补丁升级、安全防病毒软件、开启事件审计功能。当然，进行服务器安全加固之前，可以利用漏洞扫描工具，对服务器的安全性进行一个评估，然后有针对性地进行服务器安全加固。

3、  网站程序开发加强安全意识

软件开发者每天需要开发大量的程序代码，很忙很压力。并且对于程序员的考核目标也是软件功能是否可以实现，是否易用美观。“对于安全问题，那是安全从业人员需要靠虑的问题，跟我们程序员根本没有关系。”“增加一台防火墙不就解决了吗？”很多软件开发者都会这让人为。

“若造桥工程师是用软件开发者得这种心态来搭桥，情况会怎样呢？”Oracle安全长Mary AnnDavidson说“会不会在高速公路开到一半，桥上出现蓝色死亡信号呢？”“若这个星球是由软件开发者建造出来的，一定没人想去住。”

所以程序员在网站开发或选择网站内容管理系统(CMS)时，一定要注意由于网站程序带来的安全漏洞。

就拿目前网站程序最常见的安全问题，SQL注入来说。这种攻击手段，都是由于没有妥善过滤由使用者传来的数据。只要我们在文件中过滤所有Post或者Get请求中的参数信息中的非法字符即可。这些字符比如：单引号、双引号，分号，逗号，冒号，连接号等。

4、  网络和应用层防火墙

通过服务器操作系统的安全策略关闭不必要服务毕竟并不是所有人都容易掌握的，且操作起来比较复杂。所以配备一台网络防火墙也是非常重要的。如果只对外提供Web服务应用，那么防火墙只要开放诸如：80、443等端口就可以了；另外可以针对特定IP开放21、3389等管理服务端口。

网络防火墙已经不能抵御目前最普遍的新型的针对应用层的攻击行为了。如：溢出攻击、SQL注入攻击、网络蠕虫攻击、数据库漏洞攻击、木马后门、跨站脚本攻击...等。Web应用防火墙是有效抵御这种针对应用层等深层攻击行为的有力武器。

5、  防DDoS

如果攻击者不能攻破你的服务器，也不能找到应用层漏洞侵入你的系统，那么它可能最后只有尝试通过DDoS来骚扰你了。就像小偷进不去你家偷不到东西，最后只好在你家门口撒上一泡尿一样无聊。我认为通过DDoS行为来攻击你的服务器以达到让你的服务器瘫痪的攻击者是最无聊的黑客。因为虽然网站拥有着受到了损失，但是攻击者确什么利益也获取不到，除非他是你的竞争者。所以如果有无聊者通过DDoS骚扰你，你可以在前端放置一台防DDoS攻击的设备来阻止。当然这不是万能的，当攻击者流量很大占用了你的大部分带宽时，你最好能经常跟你的运营商或国家安全应急响应部门保持联系，以便他们协助你来完成防范工作。

6、  网页防篡改系统

网页防篡改系统做为网站防护的最后一道防线，应该是近几年才出现的解决方案。从一些厂家的宣传资料看，网页防篡改也经历了几代的发展。不管是核心内嵌技术、事件触发技术还是文件过滤驱动技术，到底何种技术可以起到作用，哪种技术对系统的资源占用率低，效果好，客户还是可以通过测试比较一下。在资金允许的情况下，客户可以尝试一下这些系统的价值。你总是要在用户访问速度、网站管理时间成本增加和网站安全之间进行一些取舍和平衡的。

7、  对网络数据进行监测

在生活中，我们可以通过摄像头监视一切进出大楼的访问者，并跟踪其在大楼内的行踪和动作。通过对访问者的行踪和动作分析，识别那些对大楼存在危害的人。

通过网络入侵监测系统（IDS）我们也可以对进出网站的数据流进行分析，哪些是正常行为，哪些是可疑行为，我们都一目了然。IDS具有时时更新的事件库，IDS将获取的数据包跟事件库匹配，可以让管理人员更好的了解哪些行为存在威胁。

8、  企业重要机密数据尽量不要放到公开的服务器上

俗话说“道高一尺魔高一丈”，就算我们做了再多的工作，也不保证系统的绝对安全。所以那些对企业生死攸关的重要机密数据，尽量不要存储到公开对外发布的服务器上。就算服务器被控制，就算网页被篡改，就算网站不能被访问，我们的名誉受到一些影响，也可以能被主管部门批评教育，但是我们没有丢失最有价值的资料，我们还可以恢复。

9、  安全管理意识

很多时候的安全问题来自于管理意识的薄弱。比如：没有及时修改网站开发外包公司移交过来的网站后台管理密码；服务器登陆密码还是集成商设置的；所有安全产品的密码都是厂家出厂的默认密码；员工离职没有及时注销其帐户；退出设备时没有注销登录。

本文由晨光信通公司作者 MornComm 原创，请转载者保留此信息。
交流邮件：MornComm#139.com