• 當前位置：創(chuàng)新互聯(lián) >> 常見問題 >> 服務器租用 >> web服務器 >> 如何增強Web網(wǎng)站的安全性？先澄清五個誤解

如何增強Web網(wǎng)站的安全性？先澄清五個誤解

• 作者：創(chuàng)新互聯(lián) 文章來源：網(wǎng)站制造部 點擊數(shù)： 更新時間：2015-02-06
• 　　目前，黑客攻擊已成為一個很嚴重的網(wǎng)絡問題。許多黑客甚至可以突破SSL加密和各種防火墻，攻入Web網(wǎng)站的內(nèi)部，竊取信息。黑客可以僅憑借瀏覽器和幾個技巧，即套取Web網(wǎng)站的客戶信用卡資料和其它保密信息。如何增強Web網(wǎng)站的安全性呢？
  
  　　 隨著防火墻和補丁管理已逐漸走向規(guī)范化，各類網(wǎng)絡設施應該是比以往更完全。但不幸的是，道高一尺，魔高一丈，黑客們已開始直接在應用層面對Web網(wǎng)站下手。市場研究公司Gartner的分析師指出，目前有70%的黑客襲擊事件都發(fā)生在應用程序方面。要增強Web網(wǎng)站的安全性，首先要澄清五個誤解。
  
  　　 一、“Web網(wǎng)站使用了SSL加密，所以很安全”
  
  　　 單靠SSL加密無法保障網(wǎng)站的安全。網(wǎng)站啟用SSL加密后，表明該網(wǎng)站發(fā)送和接收的信息都經(jīng)過了加密處理，但是SSL無法保障存儲在網(wǎng)站里的信息的安全。許多網(wǎng)站采用了128位SSL加密，但還是被黑客攻破。此外，SSL也無法保護網(wǎng)站訪問者的隱私信息。這些隱私信息直接存在網(wǎng)站服務器里面，這是SSL所無法保護的。
  
  　　 二、“Web網(wǎng)站使用了防火墻，所以很安全”
  
  　　 防火墻有訪問過濾機制，但還是無法應對許多惡意行為。許多網(wǎng)上商店、拍賣網(wǎng)站和BBS都安裝了防火墻，但依然脆弱。防火墻通過設置“訪客名單”，可以把惡意訪問排除在外，只允許善意的訪問者進來。但是，如何鑒別善意訪問和惡意訪問是一個問題。訪問一旦被允許，后續(xù)的安全問題就不是防火墻能應對了。
  
  　　 三、“漏洞掃描工具沒發(fā)現(xiàn)任何問題，所以很安全”
  
  　　 自1990年代初以來，漏洞掃描工具已經(jīng)被廣泛使用，以查找一些明顯的網(wǎng)絡安全漏洞。但是，這種工具無法對網(wǎng)站應用程序進行檢測，無法查找程序中的漏洞。
  
  　　 漏洞掃描工具生成一些特殊的訪問請求，發(fā)送給Web網(wǎng)站，在獲取網(wǎng)站的響應信息后進行分析。該工具將響應信息與一些漏洞進行對比，一旦發(fā)現(xiàn)可疑之處即報出安全漏洞。目前，新版本的漏洞掃描工具一般能發(fā)現(xiàn)網(wǎng)站90%以上的常見安全問題，但這種工具對網(wǎng)站應用程序也有很多無能為力的地方。
  
  　　 四、“網(wǎng)站應用程序的安全問題是程序員造成的”
  
  　　 程序員確實造成了一些問題，但有些問題程序員無法掌控。
  
  　　 比如說，應用程序的源代碼可能最初從其它地方獲得，這是公司內(nèi)部程序開發(fā)人員所不能控制的�；蛘�，公司可能會請一些離岸的開發(fā)商作一些定制開發(fā)，與原有程序整合，這其中也可能會出現(xiàn)問題�；蛘�，一些程序員會拿來一些免費代碼做修改，這也隱藏著安全問題。再舉一個極端的例子，可能有兩個程序員來共同開發(fā)一個程序項目，他們分別開發(fā)的代碼都沒有問題，安全性很好，但整合在一起則可能出現(xiàn)安全漏洞。
  
  　　 很現(xiàn)實地講，軟件總是有漏洞的，這種事每天都在發(fā)生。安全漏洞只是眾多漏洞中的一種。加強員工的培訓，確實可以在一定程度上改進代碼的質量。但需要注意，任何人都會犯錯誤，漏洞無可避免。有些漏洞可能要經(jīng)過許多年后才會被發(fā)現(xiàn)。
  
  　　 五、“我們每年會對Web網(wǎng)站進行安全評估，所以很安全”
  
  　　 一般而言，網(wǎng)站應用程序的代碼變動很快。對Web網(wǎng)站進行一年一度的安全評估非常必要，但評估時的情況可能與當前情況有很大不同。網(wǎng)站應用程序只要有任何改動，都會出現(xiàn)安全問題的隱患。
  
  　　 網(wǎng)站喜歡選在節(jié)假日對應用程序進行升級，圣誕節(jié)就是很典型的一個旺季。網(wǎng)站往往會增加許多新功能，但卻忽略了安全上的考慮。如果網(wǎng)站不增加新功能，這又會對經(jīng)營業(yè)績產(chǎn)生影響。網(wǎng)站應該在程序開發(fā)的各個階段都安排專業(yè)的安全人員。
• Windows 2003系統(tǒng)下如何利用IIS建站 :上一篇
  服務器被訪問的速度由哪些因素決定 :下一篇