淺析低成本條件下的小型網(wǎng)站安全策略

蘇志鵬 黎展榮

摘 要：許多中小型公司和各類事業(yè)單位在互聯(lián)網(wǎng)中建設(shè)有自己的小型網(wǎng)站，因財(cái)力、物力的投入有限，對(duì)網(wǎng)站的更新和維護(hù)比較少，安全防護(hù)更是匱乏。本文結(jié)合筆者工作實(shí)際，在財(cái)力和物力有限的情況下，對(duì)小型網(wǎng)站的網(wǎng)絡(luò)安全防御進(jìn)行總結(jié)。

關(guān)鍵詞：小型網(wǎng)站；網(wǎng)站安全；成本；策略

中圖分類號(hào)： TP393.08 文獻(xiàn)標(biāo)識(shí)碼： A 文章編號(hào)： 1673-1069（2016）24-173-2

0 引言

隨著中國(guó)經(jīng)濟(jì)的發(fā)展，許多中小型公司在蓬勃發(fā)展和壯大。當(dāng)今的互聯(lián)網(wǎng)時(shí)代，許多中小型公司以及事業(yè)單位紛紛將自己的公司和業(yè)務(wù)搬上互聯(lián)網(wǎng)，創(chuàng)建自己公司或單位的網(wǎng)站，這些公司網(wǎng)站因財(cái)力和物力投入有限的因素，創(chuàng)建的往往是小型網(wǎng)站。

目前，中國(guó)黑客的地下黑色產(chǎn)業(yè)鏈已形成，黑客已不是為“好玩”而是為了金錢利益而去入侵網(wǎng)站，有的竊取商業(yè)機(jī)密；有的使網(wǎng)站服務(wù)器成為“肉雞”為其攻擊他人服務(wù)器做準(zhǔn)備；甚至有的黑客使得公司商業(yè)網(wǎng)站服務(wù)器癱瘓進(jìn)而敲詐勒索。

而目前國(guó)內(nèi)的小型網(wǎng)站，因?yàn)樨?cái)力和物力有限，公司很難以高成本來保證其公司網(wǎng)站的安全性，即使網(wǎng)站是被黑客入侵成功并且成功獲取服務(wù)器權(quán)限成為“肉雞”，其網(wǎng)站管理者仍無法察覺。正因?yàn)閲?guó)內(nèi)的小型網(wǎng)站因經(jīng)濟(jì)成本原因?qū)S護(hù)和安全方面投入不足而導(dǎo)致其網(wǎng)站容易被黑客入侵，所以，國(guó)內(nèi)的小型網(wǎng)站成為了黑客的首要攻擊目標(biāo)。

那么，如何在財(cái)力和物力有限的情況下，對(duì)小型網(wǎng)站做好安全防御呢？筆者就廣西物資學(xué)校的小型招生網(wǎng)站的安全防御進(jìn)行實(shí)踐和總結(jié)。

1 網(wǎng)站主機(jī)空間服務(wù)提供商的選擇策略

隨著近年的計(jì)算機(jī)硬件不斷降價(jià)，新計(jì)算機(jī)硬件更強(qiáng)更好，一些公司和事業(yè)單位往往認(rèn)為，投入10萬元購(gòu)買相應(yīng)設(shè)備、帶寬以及相應(yīng)軟件就可以輕松搭建小型網(wǎng)站，然而網(wǎng)站建站成功后，就會(huì)發(fā)現(xiàn)維護(hù)網(wǎng)站服務(wù)器才是真正的成本。除了維護(hù)人員的工資，還要給ISP每個(gè)月上萬元的寬帶費(fèi)用，為服務(wù)器機(jī)房提供良好的維護(hù)環(huán)境等，這還不包括網(wǎng)站服務(wù)器的安全維護(hù)成本。所以，在低成本條件下，選擇網(wǎng)站主機(jī)空間服務(wù)提供商來搭建公司小型網(wǎng)站才是經(jīng)濟(jì)的做法。

如果投入財(cái)力無法達(dá)到上述策略要求，則需要選擇綜合硬件和帶寬實(shí)力比較強(qiáng)的網(wǎng)站服務(wù)提供商了，例如萬網(wǎng)。萬網(wǎng)給小型網(wǎng)站提供了云服務(wù)器建設(shè)方案，每年只要花費(fèi)一定的費(fèi)用就能享受到云服務(wù)器以及百兆帶寬的硬件保證。許多公司和企業(yè)并沒有資金給網(wǎng)站服務(wù)器配備專業(yè)的機(jī)房，也不愿意在網(wǎng)站服務(wù)器投入過多的人力，所以，選擇合適的網(wǎng)站主機(jī)空間服務(wù)提供商很重要。

網(wǎng)站主機(jī)空間服務(wù)提供商不僅提供網(wǎng)站服務(wù)器的使用權(quán)，而且還提供網(wǎng)站服務(wù)器的網(wǎng)絡(luò)安全服務(wù)，也不必考慮服務(wù)器所在的機(jī)房環(huán)境，公司和事業(yè)單位也不用再支付網(wǎng)站服務(wù)器維護(hù)人員費(fèi)用，僅僅需要支付給網(wǎng)站主機(jī)空間服務(wù)提供商一定的費(fèi)用以及小型網(wǎng)站維護(hù)人員和網(wǎng)站內(nèi)容編輯員的工資即可。國(guó)內(nèi)比較好的主機(jī)空間服務(wù)提供商是萬網(wǎng)，而國(guó)外比較好的主機(jī)空間服務(wù)提供商是Bluehost和Hostmonster，它們還有免費(fèi)主機(jī)空間提供，對(duì)空間要求不大的網(wǎng)站可以選擇免費(fèi)主機(jī)空間。萬網(wǎng)、Bluehost和Hostmonster它們都有大量專業(yè)的網(wǎng)站主機(jī)服務(wù)器維護(hù)人員，并配備有硬件和軟件防火墻等安全設(shè)備，有比較大的帶寬接入從而對(duì)DDOS有一定的抵抗性。所以，在人力、財(cái)力投入不夠的公司搭建網(wǎng)站，選擇網(wǎng)站主機(jī)空間服務(wù)提供商是明智之舉！

2 網(wǎng)站的程序的選擇策略

動(dòng)態(tài)網(wǎng)站易于更新，方便、簡(jiǎn)單、快捷已經(jīng)成為建站的選擇。中小型公司和事業(yè)單位小型網(wǎng)站因財(cái)力有限而不會(huì)自己開發(fā)網(wǎng)站程序，更不用說投入人力、物力檢查網(wǎng)站程序漏洞所在。這時(shí)，就應(yīng)選擇一個(gè)穩(wěn)定而又安全可靠的網(wǎng)站程序，只需要付出一點(diǎn)費(fèi)用，就能大幅提高網(wǎng)站程序安全。

小型網(wǎng)站的網(wǎng)站程序選擇應(yīng)遵照兩個(gè)原則：首先，從網(wǎng)站程序的語言選擇。ASP.NET、PHP和JSP，三者選其一，但是不要選擇安全性比較差的ASP網(wǎng)站程序。其次，選擇一個(gè)強(qiáng)大而穩(wěn)定并有定期更新的網(wǎng)站程序。不論是付費(fèi)還是開源的網(wǎng)站程序，都可能會(huì)有網(wǎng)站程序漏洞出現(xiàn)，所以，在發(fā)現(xiàn)網(wǎng)站程序漏洞時(shí)，開發(fā)該網(wǎng)站程序的所有者能不能及時(shí)打補(bǔ)丁補(bǔ)救是考慮的關(guān)鍵。還需要考慮到動(dòng)態(tài)網(wǎng)站程序是否能得到網(wǎng)站開發(fā)者的版本更新，如果網(wǎng)站程序開發(fā)者僅僅是開發(fā)出一套網(wǎng)站程序，而很少更新版本也不提供網(wǎng)站程序，那么這套網(wǎng)站程序則不要考慮。

筆者的學(xué)校招生網(wǎng)站用的是織夢(mèng)CMS，使用的語言是PHP，數(shù)據(jù)庫(kù)使用的是MySQL。該網(wǎng)站軟件在版本的更新頻繁以及漏洞補(bǔ)丁應(yīng)對(duì)比較及時(shí)，因其是開源系統(tǒng)，所以該網(wǎng)站程序安全性高而成本低，所以采用了這套網(wǎng)站程序，筆者的招生網(wǎng)站從開始運(yùn)行到現(xiàn)在，網(wǎng)站一直很穩(wěn)定。

3 網(wǎng)站不必要的信息進(jìn)行刪除和更改策略

建立起小型網(wǎng)站的公司和事業(yè)單位，很少會(huì)高薪聘請(qǐng)專業(yè)的網(wǎng)站安全技術(shù)人員來維護(hù)網(wǎng)站的運(yùn)行，網(wǎng)站的維護(hù)者往往是計(jì)算機(jī)維護(hù)人員或網(wǎng)絡(luò)維護(hù)人員，他們對(duì)小型網(wǎng)站的有一定的網(wǎng)站安全基礎(chǔ)。在這種情況下，還能維護(hù)好網(wǎng)站安全嗎？答案是可以的！

首先，小型網(wǎng)站的維護(hù)人員在安裝好網(wǎng)站程序并調(diào)試好后，可以刪除掉“/install”文件夾的所有內(nèi)容。這個(gè)文件夾是網(wǎng)站安裝的相關(guān)文件，許多小型網(wǎng)站維護(hù)管理人員因?qū)I(yè)性不夠往往忘記刪除，結(jié)果導(dǎo)致網(wǎng)站輕而易舉的被黑客重置。

其次，管理員賬戶名不使用admin。網(wǎng)站程序在默認(rèn)安裝時(shí)，網(wǎng)站管理員賬戶名默認(rèn)為admin，密碼是admin。許多小型網(wǎng)站沒有經(jīng)驗(yàn)和相關(guān)專業(yè)知識(shí)的網(wǎng)站維護(hù)者其管理員賬戶名是admin，甚至有一些小型網(wǎng)站其管理員密碼也是admin。所以，為了防范出現(xiàn)這種低級(jí)網(wǎng)絡(luò)安全問題，網(wǎng)站管理員賬戶名不應(yīng)該是admin，其密碼也應(yīng)是大小寫字母加數(shù)字的組合，密碼長(zhǎng)度應(yīng)為14位以上。

4 使用登錄驗(yàn)證碼策略

小型網(wǎng)站無需多少成本即可實(shí)現(xiàn)管理員及普通用戶登錄網(wǎng)站前，需要輸入圖片中的字母和數(shù)字的組合來進(jìn)行驗(yàn)證，防止非人類試圖登錄嘗試暴力破解。驗(yàn)證碼圖片中的數(shù)字和字母應(yīng)采用不同的字體，圖片中的驗(yàn)證碼不僅要傾斜一定角度，而且還要適當(dāng)貼在一起并增加噪點(diǎn)，使得計(jì)算機(jī)自動(dòng)識(shí)別難度加大。如果有必要，驗(yàn)證碼還可以更復(fù)雜，采取中文文字或者數(shù)字加減結(jié)果來代替數(shù)字和字母的驗(yàn)證碼。

如果網(wǎng)站的維護(hù)人員有一定的網(wǎng)站程序編寫和調(diào)試能力，可以采取人物圖像驗(yàn)證碼。例如，列舉六張照片，選擇其中三張劉翔的照片來通過提交驗(yàn)證。這樣，可以很好的防止計(jì)算機(jī)程序暴力破解。在2016年春節(jié)前的網(wǎng)上鐵路購(gòu)票系統(tǒng)里，就采取了這種驗(yàn)證機(jī)制，成功阻止了黃牛使用刷票軟件搶票。

5 采取動(dòng)態(tài)網(wǎng)站轉(zhuǎn)靜態(tài)網(wǎng)站策略

小型網(wǎng)站往往因?yàn)橘Y金投入不足，是無法花錢購(gòu)買DDOS硬件防火墻的，所以可以采取措施是將網(wǎng)站由動(dòng)態(tài)轉(zhuǎn)換為靜態(tài)。這樣的好處是，首先，有利于搜索引擎的抓取和收錄；其次，有利于網(wǎng)絡(luò)訪問者能比較快地打開網(wǎng)頁，打開靜態(tài)網(wǎng)頁的速度是快于動(dòng)態(tài)網(wǎng)頁的；最后，是有利于防范黑客發(fā)動(dòng)DDOS進(jìn)攻。當(dāng)動(dòng)態(tài)網(wǎng)站轉(zhuǎn)換為靜態(tài)網(wǎng)站時(shí)，因CPU的占用率降低，導(dǎo)致其進(jìn)攻效果大為降低。需要注意的是，不應(yīng)直接采用程序把網(wǎng)站所有界面直接轉(zhuǎn)換為靜態(tài)，應(yīng)該按照動(dòng)靜結(jié)合的原則：將網(wǎng)站上的有比較豐富的關(guān)鍵詞頁面、用戶信息頁面、網(wǎng)站地圖頁面，應(yīng)使用靜態(tài)網(wǎng)頁，而對(duì)于網(wǎng)站的大量更新板塊，則應(yīng)該通過動(dòng)靜轉(zhuǎn)化程序來進(jìn)行。轉(zhuǎn)換動(dòng)態(tài)頁面到靜態(tài)頁面的程序比較多，使用插件最為普遍，例如：IIS Rewrite、ISAPI_REWIRITE、Apache HTTP服務(wù)器的MOD_Rewrite等。

6 為小型網(wǎng)站使用鏡像網(wǎng)站的策略

為了在大量網(wǎng)民的點(diǎn)擊下保證網(wǎng)站的正常運(yùn)行，為了防御DDOS分布式拒絕服務(wù)攻擊，國(guó)內(nèi)許多大型公司的網(wǎng)站服務(wù)器可以多達(dá)幾十臺(tái)，甚至上百臺(tái)服務(wù)器。例如網(wǎng)絡(luò)視頻公司優(yōu)酷，除了在北京的幾十臺(tái)服務(wù)器外，在國(guó)內(nèi)的各個(gè)省內(nèi)的多個(gè)城市，都有其服務(wù)器，因此大幅地提高了瀏覽者瀏覽視頻的網(wǎng)絡(luò)速度。可是小型公司在其網(wǎng)絡(luò)業(yè)務(wù)穩(wěn)步發(fā)展時(shí)，是不可能馬上做到像大公司對(duì)其網(wǎng)站服務(wù)器的大筆經(jīng)濟(jì)投入的，所以，小型網(wǎng)站公司可以采取成本比較低的策略：使用鏡像網(wǎng)站策略。

當(dāng)小型網(wǎng)站規(guī)模訪問量不斷擴(kuò)大時(shí)，可以考慮鏡像網(wǎng)站作為主網(wǎng)站的一種備份策略。為做鏡像網(wǎng)站成本很低，而帶來的效果卻很好。首先，做鏡像網(wǎng)站可以提高不同的寬帶運(yùn)營(yíng)公司（例如，電信、移動(dòng)、聯(lián)通和廣電等）的寬帶用戶訪問體驗(yàn)。其次，采用鏡像網(wǎng)站可以在主網(wǎng)站因某種原因無法訪問時(shí)，只需修改域名解析，指向鏡像網(wǎng)站的IP地址，就保證訪問者能夠正常瀏覽網(wǎng)站。

7 采取過濾訪問者每一次遞交的策略

網(wǎng)站建設(shè)與維護(hù)者應(yīng)秉持一個(gè)原則：凡是網(wǎng)絡(luò)訪問者的每一次提交都是不可信的。針對(duì)這一原則，無論是網(wǎng)站的匿名訪問者、用戶訪問者和管理員訪問者，其每一次對(duì)網(wǎng)站的提交（包括post和get）均應(yīng)經(jīng)過過濾。為了防止SQL注入，必須過濾掉以下字符：<、＼、/、>、、*、^、|、”，同時(shí)還要過濾掉：and、exec、insert、select、delete、update、count等這些能夠進(jìn)行SQL查詢的語句。小型網(wǎng)站因網(wǎng)站內(nèi)容并不是很多，還可以對(duì)用戶提交的地址進(jìn)行限制長(zhǎng)。

小型網(wǎng)站的功能若包含有用戶注冊(cè)功能，則應(yīng)對(duì)其用戶上傳的頭像做限制。注冊(cè)用戶的頭像只允許上傳截圖，而不允許注冊(cè)用戶直接上傳頭像圖片。同時(shí)，不允許用戶上傳包含動(dòng)態(tài)語言程序擴(kuò)展名和系統(tǒng)程序擴(kuò)展名的文件。

8 日志定期檢查以及數(shù)據(jù)庫(kù)定期備份的策略

網(wǎng)站維護(hù)人員要定期檢查網(wǎng)站的操作日志、登錄日志和備份日志，及時(shí)發(fā)現(xiàn)問題，找到漏洞進(jìn)行補(bǔ)漏。同時(shí)還要定期備份數(shù)據(jù)庫(kù)，根據(jù)日志發(fā)現(xiàn)的問題的時(shí)間，可以將網(wǎng)站的數(shù)據(jù)恢復(fù)到被入侵或破壞前的時(shí)間點(diǎn)，如果網(wǎng)站一旦被入侵，還需要管理員檢查黑客是否留下一句話木馬作為以后入侵的后門，找到并刪除。

9 付費(fèi)請(qǐng)網(wǎng)絡(luò)安全公司檢測(cè)網(wǎng)站安全并加以改進(jìn)的策略

小型網(wǎng)站因公司或事業(yè)單位因成本考量，對(duì)網(wǎng)站安全投入不大，而且也沒有聘請(qǐng)專業(yè)的網(wǎng)站安全人員維護(hù)網(wǎng)站，則可以像公司員工或單位職工每年健康體檢一樣，采取付費(fèi)的形式，每年或每?jī)赡暾?qǐng)網(wǎng)絡(luò)安全公司檢測(cè)其小型網(wǎng)站的網(wǎng)絡(luò)安全的策略，如果發(fā)現(xiàn)網(wǎng)站有安全漏洞或隱患，則由該網(wǎng)絡(luò)安全公司加以修補(bǔ)和改進(jìn)小型網(wǎng)站的安全機(jī)制。同時(shí)，還可以要求網(wǎng)絡(luò)安全公司保證在其檢測(cè)和維護(hù)網(wǎng)站的一段時(shí)間內(nèi)保證網(wǎng)站不會(huì)出現(xiàn)被黑客入侵破壞，否則賠償一定的金額。

所以，筆者認(rèn)為在低成本條件下，公司和事業(yè)單位完全可以很好地保證小型網(wǎng)站的安全。筆者對(duì)在低成本低投入下的小型網(wǎng)站的安全運(yùn)營(yíng)充滿信心，可是，當(dāng)前國(guó)內(nèi)的小型網(wǎng)站的安全形勢(shì)依舊嚴(yán)峻，不僅僅是對(duì)網(wǎng)站安全的經(jīng)濟(jì)投入不夠，而且更重要的是對(duì)網(wǎng)站安全的不重視，這就導(dǎo)致了目前國(guó)內(nèi)小型網(wǎng)站輕而易舉地被黑客攻破。希望本文能夠幫助到小型網(wǎng)站的維護(hù)和管理人員，因?yàn)?，網(wǎng)站安全任重道遠(yuǎn)！

參 考 文 獻(xiàn)

[1] 司智勇.小型網(wǎng)站的安全策略[J].鄭州鐵路職業(yè)技術(shù)學(xué)院學(xué)報(bào)，2004（04）：59-61.

[2] 張繼平.淺談小型網(wǎng)站維護(hù)的技巧[J].科技致富向?qū)В?012（27）：224.

[3] 陳洪娟.基于小型網(wǎng)站的網(wǎng)絡(luò)安全策略[J].科技視界，2015（21）：68+150.