淺析網站建設中網頁設計的安全缺陷分析及解決措施

引言：隨著網絡化電子商務的興起，國內許多企業都已建立屬于自己的商務網站，在網站建設中，考慮到網絡安全等問題，對其安全方面的投入相對較大，如使用防火墻、入侵檢測、企業防病毒等安全產品，但動態網頁還是有被攻擊甚至完全被控制的可能。本文就網站建設中網頁設計的安全缺陷展開分析和論述，指出了常見的網頁設計缺陷，并提出了有效的解決對策。

隨著我國科學技術的不斷發展，網絡技術的快速更新和完善，促進了我國電子商務技術的發展，目前，電子商務技術應該成為企業經濟進步的重要手段。商務網站，是電子商務的主要應用途徑，以網頁的形式展示企業的形象和產品，從而幫助用戶對企業做以全方位的了解，促進貿易合作的達成，可見，網站建設的好壞，將直接影響到企業的經濟效益。網頁設計作為網站建設的關鍵工作，目前越來越受到企業的重視，如果網頁設計工作出現問題，將會導致企業網站的運行問題，從而為企業帶來巨大損失。

一、網站建設中網頁設計的安全缺陷

目前，在網頁的程序設計當中主要存在以下幾個方面的安全漏洞和缺陷。具體體現在：

1、網頁登陸驗證中出現的安全漏洞

網頁的登錄驗證是目前很多網站登錄時所要做的第一步，特別是像一些會員制的聊天室、貼吧、論壇等帶有交互性質的網站或網頁，網頁登錄驗證更是必須要完成的。雖然，登陸驗證只是網站整體運行中的一個很小的部分，但它卻肩負著整個網站安全的第一道關口。然而，在實際的設計編程過程中，網頁的設計人員卻常常忽視登錄驗證在整個網站運行安全中的重要性，疏忽了對它在程序嚴謹性上的設計，使得驗證程序的安全關口不嚴密，給網絡攻擊行為造成可乘之機，（如 有些用戶因為知道其網頁的相關設計的路徑和文件名，使得其在登錄網站時，不用進行身份驗證而直接進入頁面，繞過了網頁登陸的相關界面，從而給那些欲意破壞的行為造成了可乘之機 ）進而導致網站或企業的一些不必要的經濟利益損失和名譽損失。目前，我國的大部分網站的登錄驗證都存在或多或少的安全漏洞，給網站的運行帶來了很大的安全隱患，是值得設計人員在進行編程設計時關注和重視的。

2、有些網站缺乏授權

有些網站在進行網頁編程設計的過程中，其程序設計人員由于常常使用較為繁瑣的哇網絡安全配置，使得網站往往缺乏授權，這就造成了網絡服務在其應用運行中出現非常巨大的網絡運行安全缺陷，使得網絡黑客能夠很容易的對網站的網絡服務器進行遠程的入侵和破壞，給網站的安全和企業的經濟利益帶來了巨大的威脅和危害。同時，由于網站在進行系統設計時，運用的應用軟件存在密碼過于簡單、防火墻性能低等安全缺陷，也使得網絡黑客和網絡病毒能夠非常容易的對網站造成侵入和破壞。

3、網絡病毒的快速傳播

網絡病毒是人們故意制造設計的具有強自治性、感染性、傳播性和破壞性的計算機應用程序。在當前計算機網絡規模日益擴大的社會形勢下，其網絡病的數量和類型也在不斷地發展和增加，網絡病毒的傳播途徑、渠道、范圍和速度也在不斷的擴大和提高。這就給互聯網和用戶的終端計算機的安全問題造成了巨大的威脅，嚴重的甚至能夠造成整個網站運行的癱瘓。

三、解決網頁設計安全缺陷的對策

針對上述文章中提到的在目前網站建設的網頁設計中存在的安全問題和缺陷，網頁設計人員在實際的編程設計過程中，可以采取下面幾個方面的措施，來加強網站設計的安全性和可靠性。

1、重視對網頁安全因素的設計

影響網站運行安全的因素有很多，主要包括兩個方面，即管理策略和技術策略。網頁設計人員在對網頁進行安全設計時，要充分的綜合考慮這些影響因素，重視對他們的安全設計，尤其是技術策略的安全設計。

（1）要定期的進行網站系統的備份、日志更新和恢復。設計人員在進行網頁設計時，要注重對系統數據和信息在記錄、備份、恢復等方面的重視，使網站后臺能夠對所發生運行的各種事件進行快速、及時、有效的記錄和備份，加強對網站系統日志的管理和訪問，并使網站在受到網絡黑客或者網絡病毒惡意入侵破壞后，能夠很快的進行系統數據和信息恢復。

（2）加強系統安全漏洞的檢測設計。設計人員要加強網站全部網頁系統漏洞的定期掃描設計，使得網站能夠及時的發現系統存在的安全問題，并及時的進行修補。

（3）加強對用戶訪問和認證的設計。設計人員要對網站關鍵部分網頁的訪問路徑進行用戶名和密碼的加密，并加強會員身份的驗證手段和程序，加強游客對目錄、文件和各種設備進行訪問和操作的限制。

2、加強對文件上傳時的安全控制

目前，大部分的網站都具備文件、圖片、視頻上傳等多種功能，尤其是像校園網、郵箱系統、論壇、讀書網等這些用戶量非常大的網站。但是，用戶在上傳不同文件的同時也有可能對網站系統安全造成漏洞，進而影響到網站運行的安全。因此，網站的網頁程序設計人員在進行編程設計時，要充分考慮到上傳文件安全性的問題，加強對用戶所上傳提交的文件參數及數據的過濾程度和管理控制，盡力避免因用戶上傳文件而導致的網站系統的安全問題，減少相關數據庫因網絡病毒或黑客而造成的破壞。

3、加強對源代碼的保密

網頁的程序設計人員要對設計的源代碼進行加密處理，以減少其泄漏的幾率。例如，設計人員可以對ASP加密或者運用組件技術在ADLL中對編程邏輯進行密封等等。在進行加密處理時，可以采用微軟的Script Encoder進行操作，以減少網站源代碼的泄漏。

4、加強對登陸驗證的安全設計

由于登錄設計是用戶進入網站的必備步驟，因此，網頁的設計人員在進行網站登錄設計時，可以采取相關的程序設計，使系統更夠在生成SQL語句之前對用戶的相關信息進行驗證，在對一些比較重要、敏感的網頁進行設計時，可以設計二次登錄驗證，以加強網頁登錄的可靠性和安全性。

總之，隨著向信息化社會邁進的步伐不斷加快，信息網絡已成為新世紀時代的“金鑰匙”。當一個，對外網站完全建成后，其應用程序會有很多，尤其是網頁設計的特殊性，會增加服務器與用戶之間的交互程序，因此，交互程序的漏洞也會增多，給網站的安全帶來不可估量的危害。通過本文中介紹的對策，將網絡安全理念貫穿于整個網站的建設、網頁設計中，可以有效的彌補網站、網頁的系統安全漏洞，從而全面增強網絡的安全性。

參看文獻

[1]吳道義，卜令鋒網頁設計[M]安徽：合肥工業大學出版社，2006.

[2]劉勁松，胡軼.王東方濺談網站安全技術[J]，網絡安全技術與應用，2006（7）.

[3]符鳳平Web網站安全技術分析[J]計算機系統應用，2008（12）.

（作者單位：烏海市海勃灣城市供水有限公司）