網(wǎng)站安全策略初探

劉文炎

摘要：當前網(wǎng)絡安全形勢嚴峻，網(wǎng)站被攻擊、數(shù)據(jù)被竊取事件頻發(fā)，因此成立了以習近平總書記為組長的中央網(wǎng)絡安全和信息化領導小組。對此對網(wǎng)站密碼的安全使用，關閉系統(tǒng)不用的端口和服務，使用殺毒軟件，掃描漏洞、打上安全補丁，查殺病毒和木馬進行策略探討。

關鍵詞：網(wǎng)站安全；口令；端口；漏洞；補丁

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2016）14-0024-03

2015年的互聯(lián)網(wǎng)世界，可謂多事之秋。2月，美國第二大醫(yī)療保險公司Anthem受到攻擊，丟失8000萬個人信息。7月，全球最臭名昭著的黑客公司Hacking Team至少400G的文件被竊取。8月，全球最大婚外情網(wǎng)站Ashley Madison被黑，10G用戶數(shù)據(jù)被竊取和公布。9月，蘋果公司的App Store，被上傳了攜帶XcodeGhost病毒的APP，并被數(shù)億人下載使用，甚至iCloud帳號密碼的安全遭到威脅。10月，英國寬帶服務提供商TalkTalk的400多萬用戶的隱私數(shù)據(jù)被泄露。

國內同樣雞犬不寧，社保等系統(tǒng)的高危漏洞就涉及數(shù)據(jù)5279.4萬條。網(wǎng)易用戶數(shù)據(jù)庫疑似泄露，影響數(shù)據(jù)總共數(shù)億條。國家旅游局漏洞致6套系統(tǒng)淪陷，涉及全國6000萬客戶、6萬多旅行社賬號密碼、上百萬導游信息。草榴社區(qū)遭到攻擊導致數(shù)據(jù)庫外泄。機鋒論壇2300萬用戶數(shù)據(jù)泄露，涉及數(shù)據(jù)總數(shù)多達4億多條。三星輸入法漏洞，影響全球超過6億的三星手機用戶。

面對入侵者們日益猖獗的進攻態(tài)勢，我們就黑客入侵方法和我們平時使用習慣、軟件防護和硬件防護幾個方面來探討網(wǎng)站防黑、防盜的安全策略。

1 口令、密碼篇

1.1 設置復雜口令，讓試圖暴力破解者無計可施

口令是在看不清楚的時候用來識別敵我的口頭暗號，也被稱為密碼或者密鑰。在銀行取錢或者轉賬時，只有輸對密碼，才能正常交易。所以入侵者一定會想方設法竊取你的口令。入侵者使用一個包含用戶名和口令的字典數(shù)據(jù)庫程序，不斷地嘗試登錄系統(tǒng)，直到成功進入。這個龐大的數(shù)據(jù)庫中，光包含大小寫的4字符的口令部分就有50萬個組合，想想我們平時為了貪圖好記、方便，就使用諸如123456、888888、abcd等純數(shù)字或者純字母作為密碼，這些非常容易被別人猜到或被破解工具輕而易舉快速破解的密碼（也叫弱口令）是多么危險。因此，趕緊把弱口令改為安全口令吧。

怎樣的口令才比較安全呢？1個包含大小寫且標點符號的7個字符的口令大約有10萬億個組合，對于一般的計算機需要花費大約幾個月的時間才能全部試驗一遍，真正是一兩撥千斤啊。所以安全口令長度應該不小于8個字符，由大寫字母（A-Z）、小寫字母（a-z）、數(shù)字（0-9）和特殊字符組合而成，4種字符每一種都要有，如果某一種字符只有一個，那么不應為第一個字符或最后一個字符。口令中不應包含本人、父母、子女和配偶的姓名和出生日期、紀念日期、登錄名、E-mail地址等等與本人有關的信息，以及字典中的單詞。安全密碼讓使用動態(tài)字典，包含了所有可能的字符組合的暴力攻擊者也頭痛不已。因此，要啟用密碼復雜度校驗。

1.2 設置驗證碼登錄，限定登陸失敗嘗試次數(shù)

現(xiàn)在的計算機太過強大，暴力破解一個6位純數(shù)字或純字母的密碼，幾乎是眨眼之間的事情，我們的密碼再復雜也終有被破解的一天。為了防止黑客程序反復嘗試登錄，我們可以使用驗證碼，使得每次登錄都必須手工輸入驗證碼，不讓暴力破解程序順利運行，讓入侵者品嘗驗證碼的厲害。

看到這里，你是否突然想起了的自己的銀行密碼，那么重要的銀行密碼只有6位，而且還是純數(shù)字的，從000000到999999，這不是太容易被攻擊了嗎？不用害怕，由于銀行設置了登陸失敗嘗試次數(shù)的限制，當輸入密碼錯誤達到一定次數(shù)，ATM機吞卡沒商量，網(wǎng)銀會在一段時間里拒絕服務，甚至鎖住賬號，要求持卡人帶著身份證到銀行解鎖，這樣就很好地保護了存款的安全性。所以，為了你的網(wǎng)站更加安全，不妨使用驗證碼，并設置登陸失敗嘗試次數(shù)限制，建議為6-10次。但是與此同時，你還要設置賬戶鎖定時間，以便你可以登錄，建議為30分鐘。以上的賬戶鎖定設置，可以有效地避免自動破解工具的攻擊，同時對于手動嘗試者的耐心和信心也可造成很大的打擊。鎖定賬戶常常會造成一些不便，但系統(tǒng)的安全有時更為重要。

密碼復雜度校驗的具體設置如下：按Windows圖標鍵+R鍵，打開運行窗口→輸入GPEDIT.MSC并按回車鍵→Windows配置→安全設置→賬戶策略→密碼策略→設置密碼必須符合復雜性要求為已啟用→設置密碼長度最小值為8→設置密碼最短使用期限為0天→設置密碼最長使用期限為99天（在99天以內最少更新一次密碼，使舊的口令失效）。

登錄失敗次數(shù)限制的具體設置如下：在賬戶策略里→賬戶鎖定策略→設置賬戶鎖定閾值為9次無效登錄→設置賬戶鎖定時間為30分鐘→設置復位賬戶鎖定計數(shù)器為30分鐘之后；

1.3 其他注意事項

1） 避免口令被他人偷窺。不在筆記本或其他地方記錄口令；不向他人透露口令，不在e-mail或即時通訊工具中透露口令。

2） 每一個系統(tǒng)，都使用自己獨有的口令。現(xiàn)在的網(wǎng)站服務器有操作系統(tǒng)，有數(shù)據(jù)庫，還有中間件，不同的帳戶使用不同的口令，猶如每一道門，都有一把自己獨立的鑰匙，避免被入侵者一網(wǎng)打盡。

3） 對網(wǎng)站后臺管理系統(tǒng)的接口和地址進行隱藏，不在網(wǎng)站上提供鏈接，讓入侵者找不到大門。

以上策略，并不需要高深的技術，只要我們稍加重視，就可以讓多數(shù)的入侵者望而卻步。

2 服務、端口篇

服務是指執(zhí)行指定系統(tǒng)功能的程序、例程或進程。支持其他程序，尤其是底層（接近硬件）程序的稱為系統(tǒng)服務（system services），電腦的各種功能需要各種的服務支持。

一臺擁有一個IP地址的主機可以提供許多服務，如Web、FTP、SMTP等，通過“IP地址+端口號”來區(qū)分。端口可以認為是設備與外界通訊交流的出口。如果把服務器比作房子，那么端口就猶如一個個窗口，負責對外交流，入侵者通常會用掃描器對目標主機的端口進行掃描，以確定哪些端口是開放的，從開放的端口，入侵者可以知道目標主機大致提供了哪些服務，進而猜測可能存在的漏洞。因此，關閉不使用的端口也是重要的防黑安全策略之一。

關閉網(wǎng)絡端口的步驟如下：

步驟一：開始→設置→控制面板→管理工具→本地安全策略→IP 安全策略，在本地計算機→操作→創(chuàng)建 IP 安全策略（彈出“IP安全策略向導”對話框）→下一步→IP 安全策略→在“名稱框”輸入“關閉端口”→下一步→去除“激活默認相應規(guī)則”的勾→下一步→去除“編輯屬性”的勾→完成

步驟二：雙擊關閉端口（彈出“關閉端口 屬性”對話框）→去除“使用‘添加向導”的勾→添加（彈出“新規(guī)則 屬性”對話框）→添加（彈出“IP 篩選器 列表”對話框）→去除“使用‘添加向導”的勾→添加（彈出“篩選器 屬性”對話框）→源地址選“任何 IP 地址”→目標地址選“我的 IP 地址”→協(xié)議→選擇協(xié)議類型為“TCP”→“從此端口”和“到此端口”都輸入“135”→確定（就添加好了一條關于TCP135端口的策略并回到“IP 篩選器 列表”對話框）

步驟三：單擊添加按鈕，重復上述步驟，添加其他的TCP、UDP等端口策略。

步驟四：全部添加好了以后，單擊“IP 篩選器 列表”對話框的確定，在“新規(guī)則屬性”框中，給“新IP篩選器列表”左側的圓圈加點（激活），單擊篩選器操作，去除“使用添加向導”左邊的勾，點擊添加，在“新篩選器操作屬性”的“安全措施”中阻止，然后確定。

步驟五：回到“新規(guī)則屬性”框，激活“新篩選器操作”（左邊圓圈加黑點），點擊關閉。最后在“關閉端口屬性”框，勾選“新的IP篩選器列表”，按確定。

右擊新添加的“關閉端口”策略，選擇分配或指派（根據(jù)版本不同）。電腦重啟以后，不管是黑客還是病毒都無法利用上述已經關閉的端口攻擊你的電腦了。

3 漏洞、補丁篇

漏洞是指電腦的操作系統(tǒng)或者是一些應用軟件，在程序設計或者應用過程中，出現(xiàn)的一些失誤或者缺陷，有可能被黑客、病毒利用，對系統(tǒng)的安全構成潛在威脅。

補丁則是針對上述潛在的威脅，發(fā)布的修補漏洞的小程序。軟件是人編寫的，總會有疏漏的地方，程序不可能是十全十美的。一般在軟件的開發(fā)過程中，開始的時候總會有很多因素沒有考慮周全，但是隨著時間的推移，軟件所存在的漏洞會慢慢地被發(fā)現(xiàn)。這時候，為了提高系統(tǒng)的安全，軟件開發(fā)商會編制并發(fā)布一個小程序（即所謂的補丁），專門用于修復這些漏洞。

烏云網(wǎng)www.wooyun.org和補天網(wǎng)https：//butian.#是兩個安全問題反饋及發(fā)布平臺。安全研究者（白帽子）通過平臺提交網(wǎng)站的安全漏洞，幫助廠商做出快速響應，從而提高網(wǎng)站對黑客攻擊的防御能力，彌補自動掃描的缺點和不足，同時獲得廠商的現(xiàn)金獎勵。

漏洞修補方法很多，除了系統(tǒng)自動更新功能以外，還有很多的軟件也可以勝任這一工作，如360安全衛(wèi)士、金山安全衛(wèi)士、QQ電腦管家、魯大師等，安裝并運行漏洞掃描和修補功能即可。

4 病毒和木馬篇

4.1 認識病毒和木馬

計算機病毒是一段具有破壞作用的程序，不僅會干擾計算機的正常運行，還會破壞計算機里的軟件和數(shù)據(jù)，甚至能夠破壞計算機的硬件設備，病毒程序不但能夠自我復制，還會通過網(wǎng)絡、優(yōu)盤等數(shù)據(jù)交換時感染其他計算機。

病毒具有繁殖、破壞、傳染、潛伏、隱蔽、可觸發(fā)等特征。繁殖性是指計算機病毒能夠像生物病毒一樣進行自身復制，并傳染給其他文件或者計算機；破壞性是指計算機中毒后，可能會導致正常的程序無法運行，或者文件被破壞、被刪除；傳染性是指計算機病毒通過修改別的程序將自身的復制品或其變體傳染到其他無毒的對象上，這些對象可以是一個程序也可以是系統(tǒng)中的某一個部件；潛伏性是指計算機病毒可以依附于其他媒體寄生的能力，侵入后的病毒潛伏到條件成熟才發(fā)作，會使電腦變慢；隱蔽性是指計算機病毒大多通過病毒軟件才能檢查出來，少數(shù)隱蔽性計算機病毒時隱時現(xiàn)、變化無常，這類病毒處理起來非常困難；可觸發(fā)性是編制計算機病毒的人，一般都為病毒程序設定了一些觸發(fā)條件，例如，系統(tǒng)時鐘的某個時間或日期、系統(tǒng)運行了某些程序等。一旦條件滿足，計算機病毒就會“發(fā)作”，使系統(tǒng)遭到破壞。

病毒發(fā)作時都會有一些征兆，比如屏幕上出現(xiàn)莫名其妙的特殊字符或圖像、字符無規(guī)則變換、脫落、靜止、滾動、雪花、跳動、小球亮點、莫名其妙的信息提示等；蜂鳴音發(fā)出尖叫或非正常奏樂；經常無故死機，隨機地發(fā)生重新啟動或無法正常啟動、運行速度明顯下降、內存空間變小、磁盤驅動器以及其他設備無緣無故地變成無效設備；磁盤標號被自動改寫、出現(xiàn)異常文件、出現(xiàn)固定的壞扇區(qū)、可用磁盤空間變小、文件無故變大、失蹤或被改亂、可執(zhí)行文件（exe）變得無法運行等；打印異常、打印速度明顯降低、不能打印、不能打印漢字與圖形或打印時出現(xiàn)亂碼；收到來歷不明的電子郵件、自動鏈接到陌生的網(wǎng)站、自動發(fā)送電子郵件等等。

與病毒的破壞性相比，悄無聲息的木馬危害性更不可小覷。什么是木馬？古希臘傳說，特洛伊王子在希臘皇宮作客后，拐跑了希臘皇后。于是希臘軍隊圍攻特洛伊城，但打了10年都未能攻下。最后希臘軍隊制作了一具巨大的木馬，并且假裝撤退，把內藏士兵的木馬留在特洛伊城下。特洛伊人以為木馬是戰(zhàn)利品，拖進城內。晚上，藏在木馬中的希臘士兵，乘著特洛伊人不防備，悄悄溜出來打開城門，放進了城外的希臘軍隊……

知道了特洛伊木馬故事，再來了解一下計算機中的木馬發(fā)展歷程。最早的木馬程序，是用電子郵件把竊得的密碼發(fā)送到指定的郵箱；為了躲避殺毒軟件的識別和查殺，出現(xiàn)了利用畸形報文傳遞數(shù)據(jù)的ICMP類型的木馬；以后出現(xiàn)的灰鴿子和蜜蜂大盜等DLL木馬，在進程方面達到了良好的隱藏效果。驅動級木馬不但深度隱藏，并能攻擊殺毒軟件和網(wǎng)絡防火墻。隨著UsbKey和主動防御的興起，以盜取和篡改用戶敏感信息為主的黏蟲和以動態(tài)口令和硬證書攻擊為主的暗黑蜘蛛俠等木馬興起。

現(xiàn)在的木馬程序不但容量十分輕小，而且非常善于隱藏，因此不使用殺毒軟件是難以發(fā)覺的。木馬運行時不會浪費太多資源，運行后，立刻把自己寫入系統(tǒng)的引導區(qū)，在Windows加載時悄悄運行；或者立刻改名換姓，甚至隱身；或者馬上復制到別的文件夾中；有的木馬一旦運行，其控制端就可以瀏覽、復制、刪除文件，給計算機增加口令，修改注冊表，更改計算機配置等。

網(wǎng)銀木馬“弼馬溫”能夠監(jiān)視用戶網(wǎng)絡交易，屏蔽余額支付和快捷支付，強制用戶使用網(wǎng)銀，毫無痕跡的修改支付界面，并借機篡改訂單，盜取財產。

4.2 防毒殺毒

首先，要養(yǎng)成良好的習慣，積極預防病毒和木馬的入侵，不使用來歷不明的程序或數(shù)據(jù)，不輕易打開來歷不明的電子郵件，下載的軟件先殺毒后使用，做好系統(tǒng)和數(shù)據(jù)備份，建立系統(tǒng)的應急計劃等都是很有必要的。數(shù)據(jù)要分類管理，特別是要安裝殺毒軟件。

殺毒軟件具有發(fā)現(xiàn)和消滅病毒、木馬程序的作用，大多集成了監(jiān)視內存、掃描識別清除病毒和自動升級的功能，部分還帶有數(shù)據(jù)恢復等功能，是網(wǎng)絡安全的重要組成部分。

國外常見的殺毒軟件有avast（艾維斯特）、Avira Free Antivirus（小紅傘）、BitDefender（比特梵德）、ClamWinAntivirus（開源殺毒）、Dr.WebCureIT（大蜘蛛）、NOD32（諾德）、Norton Antivirus（諾頓）、McAfeeVirusScan（麥咖啡）、MSE（微軟）、Kaspersky Anti-Virus（卡巴斯基）、pandacloudantivirus（熊貓云）、PC-cillin（趨勢科技） 、Symantec（賽門鐵克）等。

國內比較流行的有360、金山毒霸、百度殺毒、瑞星、江民等殺毒軟件。

使用時需要注意下列問題：一是不要同時打開兩個或這多個殺毒軟件，否則很容易造成內存競爭，引發(fā)死機；二是要經常升級更新病毒樣本庫和殺毒引擎，使用最新樣本比對，找出病毒；三是盡量開機時按F8鍵，進入安全模式，再進行殺毒。啟用安全啟動是不讓病毒有啟動的機會。

俗話說，道高一尺魔高一丈，病毒制造者為了對抗殺毒軟件，想方設法要用免殺技術逃避殺毒軟件的打擊。單從漢語“免殺”的字面意思來理解，可以將其看為一種能使病毒木馬免于被殺毒軟件查殺的技術。但是不得不客觀地說，免殺技術的涉獵面非常廣，您可以由此輕松轉型為反匯編、逆向工程甚至系統(tǒng)漏洞的發(fā)掘等其他頂級黑客技術，由此可見免殺并不簡單。給文檔加殼就可以輕易躲過殺毒軟件的病毒特征碼庫而免于被殺毒軟件查殺。

自我更新性是近年來病毒的又一新特征。病毒可以借助于網(wǎng)絡進行變種更新，得到最新的免殺版本的病毒并繼續(xù)在用戶感染的計算機上運行，比如熊貓燒香病毒的作者就創(chuàng)建了“病毒升級服務器”，在最勤時一天要對病毒升級8次，比有些殺毒軟件病毒庫的更新速度還快，所以就造成了殺毒軟件無法識別病毒。

除了自身免殺自我更新之外，很多病毒還具有了對抗它的“天敵”殺毒軟件和防火墻產品反病毒軟件的全新特征，只要病毒運行后，病毒會自動破壞中毒者計算機上安裝的殺毒軟件和防火墻產品，如病毒自身驅動級Rootkit保護強制檢測并退出殺毒軟件進程，可以對主流殺毒軟件“主動防御”和穿透軟、硬件還原的機器狗，自動修改系統(tǒng)時間導致一些殺毒軟件廠商的正版認證作廢以致殺毒軟件作廢，從而病毒生存能力更加強大。

免殺技術的泛濫使得同一種原型病毒理論上可以派生出近乎無窮無盡的變種，給依賴于特征碼技術檢測的殺毒軟件帶來很大困擾。近年來，國際反病毒行業(yè)普遍開展了各種前瞻性技術研究，試圖扭轉過分依賴特征碼所產生的不利局面。目前比較有代表性產品的是基于虛擬機技術的啟發(fā)式掃描軟件，代表廠商NOD32，Dr.Web，和基于行為分析技術的主動防御軟件，代表廠商中國的微點主動防御軟件等。

5 其他安全事項

1）使用網(wǎng)絡邊界安全防護設備：部署防火墻等訪問控制設備，并啟用嚴格訪問控制措施；部署入侵檢測設備；部署防病毒網(wǎng)關；部署Web應用防火墻。

2） 定期檢查網(wǎng)站內容：有專人定期（至少每天）檢查網(wǎng)站內容是否被篡改或者有自動工具及時監(jiān)測網(wǎng)站內容是否被篡改，并及時通知相關人員。

3） 網(wǎng)站前、后臺系統(tǒng)采用邏輯隔離。

4） 采用加密方式（如https、VPN等），遠程訪問、管理和維護網(wǎng)站。

5） 禁止外部訪問網(wǎng)站服務器中間件管理界面。

“沒有網(wǎng)絡安全，就沒有國家安全”，當我們從這一高度充分重視網(wǎng)站自身的安全問題，充分做好自我防護工作時，我想黑客也會見你繞道而行吧。

參考文獻：

[1] 卜英奇.網(wǎng)站安全技術的分析及應用[D].吉林大學，2007.

[2] 姜偉.網(wǎng)站的安全策略分析[J].經濟研究導刊，2011，20：210，234.

[3] 鐘文建.淺析網(wǎng)站安全隱患及應對策略[J].中小企業(yè)管理與科技（上旬刊），2015，2：314-316.

[4] 丁桂紅.淺析信息網(wǎng)站建設與管理的安全策略[J].華南金融電腦，2004，4：63-65.