網絡安全法背景下網站安全管理與防護對策建議

◆孫斌 王金民 裴建廷 于謙 周偉

網絡安全法背景下網站安全管理與防護對策建議

◆孫斌 王金民 裴建廷 于謙 周偉

（濰坊醫學院 山東 261053）

網站是一個單位對外宣傳、展示形象和提供服務的重要窗口，一旦網站信息被惡意篡改，將直接影響到一個單位的形象、信譽，嚴重的會造成經濟損失甚至產生不利的社會影響。本文從研究網站建設的主要技術與運行機制出發，分析網站被惡意攻擊的主要途徑，提出有針對性地加強網站管理、預防網站被篡改等安全問題的對策建議，為網站建設與管理單位提供參考。

網站；攻擊；篡改；防篡改

網站是一個單位對外宣傳、展示形象和提供服務的重要窗口，一旦網站信息被惡意篡改，將直接影響到一個單位的形象、信譽，嚴重的會造成經濟損失甚至產生不利的社會影響，尤其是政府機關、企事業單位的網站。2017年6月1日起《中華人民共和國網絡安全法》正式施行，該法明確了作為網絡運營者應當履行安全保護義務，防止網絡數據泄露或者被竊取、篡改等相關要求，那么網站作為網絡運行中的一類載體，保障網站安全、防止出現網站信息被篡改等安全問題已經成了網站建設與管理單位的重要責任和義務。

1 網站的主要分類及其特點

從建站的技術角度分類，網站主要分為靜態網站和動態網站。

靜態網站是指沒有數據庫作為支撐，網站內容全部以非結構化文件形式存在，每個網頁都是一個底層為HTML語言代碼格式的獨立文件，網站的所有信息內容都包含在網頁文件中。靜態網站的交互性較差，在制作和維護方面工作量也較大，但是網頁信息內容穩定且不易被篡改，訪問效率高，也易被檢索查詢。

動態網站是以數據庫技術為基礎，運用Asp、Jsp、Php、Python等各類動態網頁開發語言編寫，網站內容可根據不同情況動態變更的網站。動態網站的每個網頁文件不是獨立文件，除了圖片、音頻、視頻等非結構化文件外，網頁內容都以結構化文件形式存儲在后臺數據庫中，當用戶通過客戶端訪問網站服務器時，在客戶端返回一個完整的網頁。動態網站具有良好的交互性，開發技術豐富，應用廣泛，管理簡單，但是訪問效率與靜態網站相比較低，且如果開發技術人員在安全性方面考慮不周全會導致網站存在安全隱患。

2 網站的部署及運行機制

靜態網站的部署及運行原理較為簡單，在Web服務器上配置好IIS或者Nginx等支持靜態網站的運行環境，然后將制作好的網站內容放到服務器指定的文件目錄下，直接通過網站域名訪問即可。動態網站的部署配置較靜態網站稍微復雜一些，需要在Web服務器配置網站web應用程序相關組件，并安裝配置數據庫。

雖然部署方式不同，但不管哪類網站，運行機制是一樣的。客戶端（Client）通過瀏覽器以URL的形式向服務器（WebServer）發出Request，Web服務器（WebServer）接受客戶端的Request并做出響應（Response），根據URL查找相應的文件。若URL指向靜態頁面（Static Web Page），則服務器將找到的靜態頁面（Static Web Page）通過http協議傳輸到客戶端瀏覽器，由瀏覽器引擎解析后顯示在瀏覽器中。若URL的內容為動態頁面，需要Web服務器執行相關程序代碼并從數據庫中讀取相關數據，動態生成網頁文件并通過http協議傳輸到客戶端瀏覽器，由瀏覽器引擎解析后顯示在瀏覽器中。

3 造成網站被惡意攻擊的主要途徑

通過了解網站部署方式及運行機制，我們知道網站的運行主要依托web服務器、網站應用程序及相關組件和數據庫系統（主要涉及動態網站）三個方面，任何一方面出現問題都會影響網站安全。再加之如果網站管理不善，存在管理上的安全風險，都會有被不法者掃描到網站漏洞的可能，從而對網站進行入侵乃至篡改網站數據信息。

3.1 利用Web服務器操作系統自身安全漏洞

Web服務器使用的操作系統主要有Windows、Linux、Unix等，操作系統在設計時本身都會存在一定的技術缺陷，雖然服務商也不斷地發布系統補丁，但是如果這種缺陷沒有及時修復而被不法者利用，通過植入計算機病毒、木馬程序等方式就可能控制整個服務器，從而篡改服務器上的數據，包括在服務器上運行的網站數據信息。例如Windows系統的RDP遠程桌面漏洞，不法者可以利用該漏洞向目標Windows服務器構造惡意請求，并在目標Windows服務器操作系統上執行任意程序代碼，從而破壞或篡改數據信息。

3.2 利用web應用程序漏洞

這里的web應用程序指安裝在web服務器上為網站提供運行環境的程序及相關組件，如.Net Framework、Tomcat、JDK、Eclipse、PHP等，這些程序自身也存在技術缺陷并在使用過程中不斷的更新版本來彌補漏洞并拓展功能，如果使用了存在漏洞的應用程序而沒有更新補丁或者使用時配置不當都會造成網站安全問題。例如典型的框架式漏洞Struts2遠程代碼執行漏洞，利用該漏洞可以在目標服務器上植入后門，然后獲取目標系統的權限從而對目標系統進行控制。

3.3 利用數據庫系統漏洞

目前大部分網站都依托Mysql作為數據庫支撐，因此針對MySQL數據庫的滲透攻擊非常多，經常有Mysql數據庫被攻擊，導致數據庫被刪除或者篡改。最有威脅的當屬SQL注入，該漏洞可以使不法者將SQL語句注入到數據庫中，實現無賬號登錄，進而讀取、修改數據庫相關數據，執行各種管理操作等。不法攻擊者可以通過獲取到的數據庫數據，得到網站后臺管理密碼，進而對網頁信息內容進行惡意篡改。

3.4 利用系統配置及管理漏洞

沒有對服務器操作系統、應用程序、數據庫及網站后臺進行有效的安全配置，比如設置了弱密碼、在服務器上運行了含有病毒、木馬的文件、鏈接了惡意網頁、開啟了非必要的共享等，導致不法者獲取網站或者服務器權限，進而篡改網站數據信息。比較常見的就是網站后臺密碼過于簡單而直接被不法者暴力破解，取得網站管理員口令，然后以網站管理員身份進行網頁篡改。

4 網站安全管理及防護對策建議

要從根本上解決網站的安全問題，就是要消除操作系統、應用程序、數據庫系統及網站管理上的所有安全漏洞。所以，需要針對網站的類型及其特點并從可能造成網站安全問題的原因入手，采取有針對性的網站保護措施，形成一體化的網站管理與防護方案，力求防患于未然。

4.1 及時發現并修復各類系統自身漏洞

密切關注網站服務器操作系統、應用程序、數據庫系統服務商及國家有關安全漏洞通報平臺發布的漏洞信息，及時對與本網站有關的漏洞進行修復。需要注意的是，對于操作系統漏洞的修復，要在安裝補丁前做好數據備份，如果是虛擬服務器可以提前做快照，以免出現藍屏或者其他影響系統啟動的情形。對于應用程序的升級也需要進行兼容性測試，防止出現無法運行的情況。

如果無法進行自身漏洞修復，可以通過部署具有虛擬補丁功能的安全防護系統，在一定程度上解決漏洞問題。目前已有成熟的虛擬補丁防護產品，通過漏洞防護規則，在網站服務器不重啟，不進行補丁更新的情況下防護漏洞，阻止漏洞被利用。

4.2 啟用嚴格的訪問控制策略

依據最小權限原則進行訪問控制策略的配置。不論網站服務器操作系統、應用程序、數據庫還是管理后臺都授予相應的用戶以最小權限。同時，明確用戶、角色、權限、資源之間的對應關系，針對各類管理用戶進行嚴格的分角色、分權限設置。刪除無關賬戶，禁用或者限制各類默認賬戶權限，修改默認口令。對服務器管理、網站管理后臺管理登錄IP進行限制。對操作系統和數據庫系統特權用戶進行權限分離。在Web應用程序中不要用管理員賬號連接數據庫。限制非管理賬戶訪問網站及有關目錄文件，禁止非管理賬戶訪問目錄的文件列表。建議隱藏網站后臺管理地址。

4.3 加強用戶身份鑒別

對操作系統、數據庫系統用戶訪問時進行身份鑒別，用戶口令采用至少10位以上包括數字、大小寫字母、特殊字符的綜合性口令，推薦設置16位以上動態口令技術生成的無規律綜合性口令，口令需定期更換。重要的網站建議進行Session校驗，防止未授權人員非法登錄頁面。啟用認證失敗處理功能，如鎖定賬戶、結束會話、限制非法登錄次數等。

4.4 最小化原則

操作系統遵循最小安裝原則，僅安裝需要使用的組件和應用程序，最大程度上確保系統安全。遵循最小服務原則，啟用Web服務器自身防火墻，關閉不必要的服務，僅開啟需要的端口和服務。配置各類用戶以最小權限。如果是Windows系統，建議關閉所有驅動器的自動播放功能和非必要的磁盤共享。針對web應用程序，禁用非法Http方法的使用。

4.5 提高網站代碼編寫質量

網站開發人員應規范編寫代碼，網站上線前對網站代碼進行安全審查，清除不安全的代碼。同時還應注意以下幾點：一是對一些特殊字符、編碼及SQL語句關鍵詞進行過濾，限制各項輸入字段的長度預防SQL注入和跨站攻擊；二是對跨站腳本關鍵詞進行過濾；三是對Html頁面文件和腳本源文件進行MD5校驗；四是所有用戶的密碼都采用MD5加密后再存入數據庫；五是對上傳頁面的格式進行限制，防止上傳后門腳本等。

4.6 合理采用安全設備和軟件保護網站安全

采用防火墻、態勢感知系統、IPS、Waf、防病毒系統甚至專業的防篡改工具等專業安全設備及軟件進行防護，保障網站安全也是非常必要的。但是安全設備和軟件也不能濫用，不能毫無選擇的進行安全設備疊加，而應根據網站實際運行情況，科學選擇、合理配置，以免顧此失彼，影響網站的正常運行。

4.7 優化網頁發布機制

可以采用動靜結合方式提高動態網站的安全性，將動態網站的所有網頁內容以靜態網頁的形式發布出來。具體可采用“后臺動態制作與管理維護服務器＋靜態頁面發布服務器”的部署方式。為了進一步提高網站訪問速度和安全性，可建立多臺靜態頁面發布服務器，在靜態頁面發布服務器前端部署負載均衡，可通過負載均衡建立網站的虛擬IP（VIP），隱藏所有內部服務器使用的真實IP，保證服務器的安全性。

5 小結

應對網站篡改攻擊、保障網站安全不是僅僅采用某種或者幾種防篡改技術就能解決的，本文僅是給出了一些網站防篡改方面的思路性建議，具體還需要根據網站自身使用的操作系統、應用程序及數據庫等方面并結合網絡架構和運行管理，因地制宜，細化配置策略，形成制作建設、環境部署、運行維護等全方位的防護方案。

[1]呂淑艷等.高校門戶網站建設研究[J].網絡與信息安全，2020.

[2]呂美敬等.高校網站的網頁防篡改問題研究與分析[J].網絡空間安全，2018.

[3]金建明等，淺談全媒體網站安全防護體系建設[J].中國報業，2017.

[4]劉翔.淺談應對網站篡改技術手段[J].網絡安全技術與應用，2016.

[5]韓雙旺.動態網站與靜態網站的比較研究[J].自動化與儀器儀表，2011.

[6]陳學平，動態網站環境搭建及數據庫連接[J].科技創新導報，2010.

濰坊醫學院：醫學類教學資源平臺整合機制的研究與實踐（項目編號：2016Z0303）