淺析低成本條件下的小型網站安全策略

蘇志鵬 黎展榮

摘 要：許多中小型公司和各類事業單位在互聯網中建設有自己的小型網站，因財力、物力的投入有限，對網站的更新和維護比較少，安全防護更是匱乏。本文結合筆者工作實際，在財力和物力有限的情況下，對小型網站的網絡安全防御進行總結。

關鍵詞：小型網站；網站安全；成本；策略

中圖分類號： TP393.08 文獻標識碼： A 文章編號： 1673-1069（2016）24-173-2

0 引言

隨著中國經濟的發展，許多中小型公司在蓬勃發展和壯大。當今的互聯網時代，許多中小型公司以及事業單位紛紛將自己的公司和業務搬上互聯網，創建自己公司或單位的網站，這些公司網站因財力和物力投入有限的因素，創建的往往是小型網站。

目前，中國黑客的地下黑色產業鏈已形成，黑客已不是為“好玩”而是為了金錢利益而去入侵網站，有的竊取商業機密；有的使網站服務器成為“肉雞”為其攻擊他人服務器做準備；甚至有的黑客使得公司商業網站服務器癱瘓進而敲詐勒索。

而目前國內的小型網站，因為財力和物力有限，公司很難以高成本來保證其公司網站的安全性，即使網站是被黑客入侵成功并且成功獲取服務器權限成為“肉雞”，其網站管理者仍無法察覺。正因為國內的小型網站因經濟成本原因對維護和安全方面投入不足而導致其網站容易被黑客入侵，所以，國內的小型網站成為了黑客的首要攻擊目標。

那么，如何在財力和物力有限的情況下，對小型網站做好安全防御呢？筆者就廣西物資學校的小型招生網站的安全防御進行實踐和總結。

1 網站主機空間服務提供商的選擇策略

隨著近年的計算機硬件不斷降價，新計算機硬件更強更好，一些公司和事業單位往往認為，投入10萬元購買相應設備、帶寬以及相應軟件就可以輕松搭建小型網站，然而網站建站成功后，就會發現維護網站服務器才是真正的成本。除了維護人員的工資，還要給ISP每個月上萬元的寬帶費用，為服務器機房提供良好的維護環境等，這還不包括網站服務器的安全維護成本。所以，在低成本條件下，選擇網站主機空間服務提供商來搭建公司小型網站才是經濟的做法。

如果投入財力無法達到上述策略要求，則需要選擇綜合硬件和帶寬實力比較強的網站服務提供商了，例如萬網。萬網給小型網站提供了云服務器建設方案，每年只要花費一定的費用就能享受到云服務器以及百兆帶寬的硬件保證。許多公司和企業并沒有資金給網站服務器配備專業的機房，也不愿意在網站服務器投入過多的人力，所以，選擇合適的網站主機空間服務提供商很重要。

網站主機空間服務提供商不僅提供網站服務器的使用權，而且還提供網站服務器的網絡安全服務，也不必考慮服務器所在的機房環境，公司和事業單位也不用再支付網站服務器維護人員費用，僅僅需要支付給網站主機空間服務提供商一定的費用以及小型網站維護人員和網站內容編輯員的工資即可。國內比較好的主機空間服務提供商是萬網，而國外比較好的主機空間服務提供商是Bluehost和Hostmonster，它們還有免費主機空間提供，對空間要求不大的網站可以選擇免費主機空間。萬網、Bluehost和Hostmonster它們都有大量專業的網站主機服務器維護人員，并配備有硬件和軟件防火墻等安全設備，有比較大的帶寬接入從而對DDOS有一定的抵抗性。所以，在人力、財力投入不夠的公司搭建網站，選擇網站主機空間服務提供商是明智之舉！

2 網站的程序的選擇策略

動態網站易于更新，方便、簡單、快捷已經成為建站的選擇。中小型公司和事業單位小型網站因財力有限而不會自己開發網站程序，更不用說投入人力、物力檢查網站程序漏洞所在。這時，就應選擇一個穩定而又安全可靠的網站程序，只需要付出一點費用，就能大幅提高網站程序安全。

小型網站的網站程序選擇應遵照兩個原則：首先，從網站程序的語言選擇。ASP.NET、PHP和JSP，三者選其一，但是不要選擇安全性比較差的ASP網站程序。其次，選擇一個強大而穩定并有定期更新的網站程序。不論是付費還是開源的網站程序，都可能會有網站程序漏洞出現，所以，在發現網站程序漏洞時，開發該網站程序的所有者能不能及時打補丁補救是考慮的關鍵。還需要考慮到動態網站程序是否能得到網站開發者的版本更新，如果網站程序開發者僅僅是開發出一套網站程序，而很少更新版本也不提供網站程序，那么這套網站程序則不要考慮。

筆者的學校招生網站用的是織夢CMS，使用的語言是PHP，數據庫使用的是MySQL。該網站軟件在版本的更新頻繁以及漏洞補丁應對比較及時，因其是開源系統，所以該網站程序安全性高而成本低，所以采用了這套網站程序，筆者的招生網站從開始運行到現在，網站一直很穩定。

3 網站不必要的信息進行刪除和更改策略

建立起小型網站的公司和事業單位，很少會高薪聘請專業的網站安全技術人員來維護網站的運行，網站的維護者往往是計算機維護人員或網絡維護人員，他們對小型網站的有一定的網站安全基礎。在這種情況下，還能維護好網站安全嗎？答案是可以的！

首先，小型網站的維護人員在安裝好網站程序并調試好后，可以刪除掉“/install”文件夾的所有內容。這個文件夾是網站安裝的相關文件，許多小型網站維護管理人員因專業性不夠往往忘記刪除，結果導致網站輕而易舉的被黑客重置。

其次，管理員賬戶名不使用admin。網站程序在默認安裝時，網站管理員賬戶名默認為admin，密碼是admin。許多小型網站沒有經驗和相關專業知識的網站維護者其管理員賬戶名是admin，甚至有一些小型網站其管理員密碼也是admin。所以，為了防范出現這種低級網絡安全問題，網站管理員賬戶名不應該是admin，其密碼也應是大小寫字母加數字的組合，密碼長度應為14位以上。

4 使用登錄驗證碼策略

小型網站無需多少成本即可實現管理員及普通用戶登錄網站前，需要輸入圖片中的字母和數字的組合來進行驗證，防止非人類試圖登錄嘗試暴力破解。驗證碼圖片中的數字和字母應采用不同的字體，圖片中的驗證碼不僅要傾斜一定角度，而且還要適當貼在一起并增加噪點，使得計算機自動識別難度加大。如果有必要，驗證碼還可以更復雜，采取中文文字或者數字加減結果來代替數字和字母的驗證碼。

如果網站的維護人員有一定的網站程序編寫和調試能力，可以采取人物圖像驗證碼。例如，列舉六張照片，選擇其中三張劉翔的照片來通過提交驗證。這樣，可以很好的防止計算機程序暴力破解。在2016年春節前的網上鐵路購票系統里，就采取了這種驗證機制，成功阻止了黃牛使用刷票軟件搶票。

5 采取動態網站轉靜態網站策略

小型網站往往因為資金投入不足，是無法花錢購買DDOS硬件防火墻的，所以可以采取措施是將網站由動態轉換為靜態。這樣的好處是，首先，有利于搜索引擎的抓取和收錄；其次，有利于網絡訪問者能比較快地打開網頁，打開靜態網頁的速度是快于動態網頁的；最后，是有利于防范黑客發動DDOS進攻。當動態網站轉換為靜態網站時，因CPU的占用率降低，導致其進攻效果大為降低。需要注意的是，不應直接采用程序把網站所有界面直接轉換為靜態，應該按照動靜結合的原則：將網站上的有比較豐富的關鍵詞頁面、用戶信息頁面、網站地圖頁面，應使用靜態網頁，而對于網站的大量更新板塊，則應該通過動靜轉化程序來進行。轉換動態頁面到靜態頁面的程序比較多，使用插件最為普遍，例如：IIS Rewrite、ISAPI_REWIRITE、Apache HTTP服務器的MOD_Rewrite等。

6 為小型網站使用鏡像網站的策略

為了在大量網民的點擊下保證網站的正常運行，為了防御DDOS分布式拒絕服務攻擊，國內許多大型公司的網站服務器可以多達幾十臺，甚至上百臺服務器。例如網絡視頻公司優酷，除了在北京的幾十臺服務器外，在國內的各個省內的多個城市，都有其服務器，因此大幅地提高了瀏覽者瀏覽視頻的網絡速度。可是小型公司在其網絡業務穩步發展時，是不可能馬上做到像大公司對其網站服務器的大筆經濟投入的，所以，小型網站公司可以采取成本比較低的策略：使用鏡像網站策略。

當小型網站規模訪問量不斷擴大時，可以考慮鏡像網站作為主網站的一種備份策略。為做鏡像網站成本很低，而帶來的效果卻很好。首先，做鏡像網站可以提高不同的寬帶運營公司（例如，電信、移動、聯通和廣電等）的寬帶用戶訪問體驗。其次，采用鏡像網站可以在主網站因某種原因無法訪問時，只需修改域名解析，指向鏡像網站的IP地址，就保證訪問者能夠正常瀏覽網站。

7 采取過濾訪問者每一次遞交的策略

網站建設與維護者應秉持一個原則：凡是網絡訪問者的每一次提交都是不可信的。針對這一原則，無論是網站的匿名訪問者、用戶訪問者和管理員訪問者，其每一次對網站的提交（包括post和get）均應經過過濾。為了防止SQL注入，必須過濾掉以下字符：<、＼、/、>、、*、^、|、”，同時還要過濾掉：and、exec、insert、select、delete、update、count等這些能夠進行SQL查詢的語句。小型網站因網站內容并不是很多，還可以對用戶提交的地址進行限制長。

小型網站的功能若包含有用戶注冊功能，則應對其用戶上傳的頭像做限制。注冊用戶的頭像只允許上傳截圖，而不允許注冊用戶直接上傳頭像圖片。同時，不允許用戶上傳包含動態語言程序擴展名和系統程序擴展名的文件。

8 日志定期檢查以及數據庫定期備份的策略

網站維護人員要定期檢查網站的操作日志、登錄日志和備份日志，及時發現問題，找到漏洞進行補漏。同時還要定期備份數據庫，根據日志發現的問題的時間，可以將網站的數據恢復到被入侵或破壞前的時間點，如果網站一旦被入侵，還需要管理員檢查黑客是否留下一句話木馬作為以后入侵的后門，找到并刪除。

9 付費請網絡安全公司檢測網站安全并加以改進的策略

小型網站因公司或事業單位因成本考量，對網站安全投入不大，而且也沒有聘請專業的網站安全人員維護網站，則可以像公司員工或單位職工每年健康體檢一樣，采取付費的形式，每年或每兩年請網絡安全公司檢測其小型網站的網絡安全的策略，如果發現網站有安全漏洞或隱患，則由該網絡安全公司加以修補和改進小型網站的安全機制。同時，還可以要求網絡安全公司保證在其檢測和維護網站的一段時間內保證網站不會出現被黑客入侵破壞，否則賠償一定的金額。

所以，筆者認為在低成本條件下，公司和事業單位完全可以很好地保證小型網站的安全。筆者對在低成本低投入下的小型網站的安全運營充滿信心，可是，當前國內的小型網站的安全形勢依舊嚴峻，不僅僅是對網站安全的經濟投入不夠，而且更重要的是對網站安全的不重視，這就導致了目前國內小型網站輕而易舉地被黑客攻破。希望本文能夠幫助到小型網站的維護和管理人員，因為，網站安全任重道遠！

參 考 文 獻

[1] 司智勇.小型網站的安全策略[J].鄭州鐵路職業技術學院學報，2004（04）：59-61.

[2] 張繼平.淺談小型網站維護的技巧[J].科技致富向導，2012（27）：224.

[3] 陳洪娟.基于小型網站的網絡安全策略[J].科技視界，2015（21）：68+150.