淺析網(wǎng)站建設(shè)中網(wǎng)頁設(shè)計(jì)的安全缺陷分析及解決措施

引言：隨著網(wǎng)絡(luò)化電子商務(wù)的興起，國內(nèi)許多企業(yè)都已建立屬于自己的商務(wù)網(wǎng)站，在網(wǎng)站建設(shè)中，考慮到網(wǎng)絡(luò)安全等問題，對(duì)其安全方面的投入相對(duì)較大，如使用防火墻、入侵檢測、企業(yè)防病毒等安全產(chǎn)品，但動(dòng)態(tài)網(wǎng)頁還是有被攻擊甚至完全被控制的可能。本文就網(wǎng)站建設(shè)中網(wǎng)頁設(shè)計(jì)的安全缺陷展開分析和論述，指出了常見的網(wǎng)頁設(shè)計(jì)缺陷，并提出了有效的解決對(duì)策。

隨著我國科學(xué)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)技術(shù)的快速更新和完善，促進(jìn)了我國電子商務(wù)技術(shù)的發(fā)展，目前，電子商務(wù)技術(shù)應(yīng)該成為企業(yè)經(jīng)濟(jì)進(jìn)步的重要手段。商務(wù)網(wǎng)站，是電子商務(wù)的主要應(yīng)用途徑，以網(wǎng)頁的形式展示企業(yè)的形象和產(chǎn)品，從而幫助用戶對(duì)企業(yè)做以全方位的了解，促進(jìn)貿(mào)易合作的達(dá)成，可見，網(wǎng)站建設(shè)的好壞，將直接影響到企業(yè)的經(jīng)濟(jì)效益。網(wǎng)頁設(shè)計(jì)作為網(wǎng)站建設(shè)的關(guān)鍵工作，目前越來越受到企業(yè)的重視，如果網(wǎng)頁設(shè)計(jì)工作出現(xiàn)問題，將會(huì)導(dǎo)致企業(yè)網(wǎng)站的運(yùn)行問題，從而為企業(yè)帶來巨大損失。

一、網(wǎng)站建設(shè)中網(wǎng)頁設(shè)計(jì)的安全缺陷

目前，在網(wǎng)頁的程序設(shè)計(jì)當(dāng)中主要存在以下幾個(gè)方面的安全漏洞和缺陷。具體體現(xiàn)在：

1、網(wǎng)頁登陸驗(yàn)證中出現(xiàn)的安全漏洞

網(wǎng)頁的登錄驗(yàn)證是目前很多網(wǎng)站登錄時(shí)所要做的第一步，特別是像一些會(huì)員制的聊天室、貼吧、論壇等帶有交互性質(zhì)的網(wǎng)站或網(wǎng)頁，網(wǎng)頁登錄驗(yàn)證更是必須要完成的。雖然，登陸驗(yàn)證只是網(wǎng)站整體運(yùn)行中的一個(gè)很小的部分，但它卻肩負(fù)著整個(gè)網(wǎng)站安全的第一道關(guān)口。然而，在實(shí)際的設(shè)計(jì)編程過程中，網(wǎng)頁的設(shè)計(jì)人員卻常常忽視登錄驗(yàn)證在整個(gè)網(wǎng)站運(yùn)行安全中的重要性，疏忽了對(duì)它在程序嚴(yán)謹(jǐn)性上的設(shè)計(jì)，使得驗(yàn)證程序的安全關(guān)口不嚴(yán)密，給網(wǎng)絡(luò)攻擊行為造成可乘之機(jī)，（如 有些用戶因?yàn)橹榔渚W(wǎng)頁的相關(guān)設(shè)計(jì)的路徑和文件名，使得其在登錄網(wǎng)站時(shí)，不用進(jìn)行身份驗(yàn)證而直接進(jìn)入頁面，繞過了網(wǎng)頁登陸的相關(guān)界面，從而給那些欲意破壞的行為造成了可乘之機(jī) ）進(jìn)而導(dǎo)致網(wǎng)站或企業(yè)的一些不必要的經(jīng)濟(jì)利益損失和名譽(yù)損失。目前，我國的大部分網(wǎng)站的登錄驗(yàn)證都存在或多或少的安全漏洞，給網(wǎng)站的運(yùn)行帶來了很大的安全隱患，是值得設(shè)計(jì)人員在進(jìn)行編程設(shè)計(jì)時(shí)關(guān)注和重視的。

2、有些網(wǎng)站缺乏授權(quán)

有些網(wǎng)站在進(jìn)行網(wǎng)頁編程設(shè)計(jì)的過程中，其程序設(shè)計(jì)人員由于常常使用較為繁瑣的哇網(wǎng)絡(luò)安全配置，使得網(wǎng)站往往缺乏授權(quán)，這就造成了網(wǎng)絡(luò)服務(wù)在其應(yīng)用運(yùn)行中出現(xiàn)非常巨大的網(wǎng)絡(luò)運(yùn)行安全缺陷，使得網(wǎng)絡(luò)黑客能夠很容易的對(duì)網(wǎng)站的網(wǎng)絡(luò)服務(wù)器進(jìn)行遠(yuǎn)程的入侵和破壞，給網(wǎng)站的安全和企業(yè)的經(jīng)濟(jì)利益帶來了巨大的威脅和危害。同時(shí)，由于網(wǎng)站在進(jìn)行系統(tǒng)設(shè)計(jì)時(shí)，運(yùn)用的應(yīng)用軟件存在密碼過于簡單、防火墻性能低等安全缺陷，也使得網(wǎng)絡(luò)黑客和網(wǎng)絡(luò)病毒能夠非常容易的對(duì)網(wǎng)站造成侵入和破壞。

3、網(wǎng)絡(luò)病毒的快速傳播

網(wǎng)絡(luò)病毒是人們故意制造設(shè)計(jì)的具有強(qiáng)自治性、感染性、傳播性和破壞性的計(jì)算機(jī)應(yīng)用程序。在當(dāng)前計(jì)算機(jī)網(wǎng)絡(luò)規(guī)模日益擴(kuò)大的社會(huì)形勢下，其網(wǎng)絡(luò)病的數(shù)量和類型也在不斷地發(fā)展和增加，網(wǎng)絡(luò)病毒的傳播途徑、渠道、范圍和速度也在不斷的擴(kuò)大和提高。這就給互聯(lián)網(wǎng)和用戶的終端計(jì)算機(jī)的安全問題造成了巨大的威脅，嚴(yán)重的甚至能夠造成整個(gè)網(wǎng)站運(yùn)行的癱瘓。

三、解決網(wǎng)頁設(shè)計(jì)安全缺陷的對(duì)策

針對(duì)上述文章中提到的在目前網(wǎng)站建設(shè)的網(wǎng)頁設(shè)計(jì)中存在的安全問題和缺陷，網(wǎng)頁設(shè)計(jì)人員在實(shí)際的編程設(shè)計(jì)過程中，可以采取下面幾個(gè)方面的措施，來加強(qiáng)網(wǎng)站設(shè)計(jì)的安全性和可靠性。

1、重視對(duì)網(wǎng)頁安全因素的設(shè)計(jì)

影響網(wǎng)站運(yùn)行安全的因素有很多，主要包括兩個(gè)方面，即管理策略和技術(shù)策略。網(wǎng)頁設(shè)計(jì)人員在對(duì)網(wǎng)頁進(jìn)行安全設(shè)計(jì)時(shí)，要充分的綜合考慮這些影響因素，重視對(duì)他們的安全設(shè)計(jì)，尤其是技術(shù)策略的安全設(shè)計(jì)。

（1）要定期的進(jìn)行網(wǎng)站系統(tǒng)的備份、日志更新和恢復(fù)。設(shè)計(jì)人員在進(jìn)行網(wǎng)頁設(shè)計(jì)時(shí)，要注重對(duì)系統(tǒng)數(shù)據(jù)和信息在記錄、備份、恢復(fù)等方面的重視，使網(wǎng)站后臺(tái)能夠?qū)λl(fā)生運(yùn)行的各種事件進(jìn)行快速、及時(shí)、有效的記錄和備份，加強(qiáng)對(duì)網(wǎng)站系統(tǒng)日志的管理和訪問，并使網(wǎng)站在受到網(wǎng)絡(luò)黑客或者網(wǎng)絡(luò)病毒惡意入侵破壞后，能夠很快的進(jìn)行系統(tǒng)數(shù)據(jù)和信息恢復(fù)。

（2）加強(qiáng)系統(tǒng)安全漏洞的檢測設(shè)計(jì)。設(shè)計(jì)人員要加強(qiáng)網(wǎng)站全部網(wǎng)頁系統(tǒng)漏洞的定期掃描設(shè)計(jì)，使得網(wǎng)站能夠及時(shí)的發(fā)現(xiàn)系統(tǒng)存在的安全問題，并及時(shí)的進(jìn)行修補(bǔ)。

（3）加強(qiáng)對(duì)用戶訪問和認(rèn)證的設(shè)計(jì)。設(shè)計(jì)人員要對(duì)網(wǎng)站關(guān)鍵部分網(wǎng)頁的訪問路徑進(jìn)行用戶名和密碼的加密，并加強(qiáng)會(huì)員身份的驗(yàn)證手段和程序，加強(qiáng)游客對(duì)目錄、文件和各種設(shè)備進(jìn)行訪問和操作的限制。

2、加強(qiáng)對(duì)文件上傳時(shí)的安全控制

目前，大部分的網(wǎng)站都具備文件、圖片、視頻上傳等多種功能，尤其是像校園網(wǎng)、郵箱系統(tǒng)、論壇、讀書網(wǎng)等這些用戶量非常大的網(wǎng)站。但是，用戶在上傳不同文件的同時(shí)也有可能對(duì)網(wǎng)站系統(tǒng)安全造成漏洞，進(jìn)而影響到網(wǎng)站運(yùn)行的安全。因此，網(wǎng)站的網(wǎng)頁程序設(shè)計(jì)人員在進(jìn)行編程設(shè)計(jì)時(shí)，要充分考慮到上傳文件安全性的問題，加強(qiáng)對(duì)用戶所上傳提交的文件參數(shù)及數(shù)據(jù)的過濾程度和管理控制，盡力避免因用戶上傳文件而導(dǎo)致的網(wǎng)站系統(tǒng)的安全問題，減少相關(guān)數(shù)據(jù)庫因網(wǎng)絡(luò)病毒或黑客而造成的破壞。

3、加強(qiáng)對(duì)源代碼的保密

網(wǎng)頁的程序設(shè)計(jì)人員要對(duì)設(shè)計(jì)的源代碼進(jìn)行加密處理，以減少其泄漏的幾率。例如，設(shè)計(jì)人員可以對(duì)ASP加密或者運(yùn)用組件技術(shù)在ADLL中對(duì)編程邏輯進(jìn)行密封等等。在進(jìn)行加密處理時(shí)，可以采用微軟的Script Encoder進(jìn)行操作，以減少網(wǎng)站源代碼的泄漏。

4、加強(qiáng)對(duì)登陸驗(yàn)證的安全設(shè)計(jì)

由于登錄設(shè)計(jì)是用戶進(jìn)入網(wǎng)站的必備步驟，因此，網(wǎng)頁的設(shè)計(jì)人員在進(jìn)行網(wǎng)站登錄設(shè)計(jì)時(shí)，可以采取相關(guān)的程序設(shè)計(jì)，使系統(tǒng)更夠在生成SQL語句之前對(duì)用戶的相關(guān)信息進(jìn)行驗(yàn)證，在對(duì)一些比較重要、敏感的網(wǎng)頁進(jìn)行設(shè)計(jì)時(shí)，可以設(shè)計(jì)二次登錄驗(yàn)證，以加強(qiáng)網(wǎng)頁登錄的可靠性和安全性。

總之，隨著向信息化社會(huì)邁進(jìn)的步伐不斷加快，信息網(wǎng)絡(luò)已成為新世紀(jì)時(shí)代的“金鑰匙”。當(dāng)一個(gè)，對(duì)外網(wǎng)站完全建成后，其應(yīng)用程序會(huì)有很多，尤其是網(wǎng)頁設(shè)計(jì)的特殊性，會(huì)增加服務(wù)器與用戶之間的交互程序，因此，交互程序的漏洞也會(huì)增多，給網(wǎng)站的安全帶來不可估量的危害。通過本文中介紹的對(duì)策，將網(wǎng)絡(luò)安全理念貫穿于整個(gè)網(wǎng)站的建設(shè)、網(wǎng)頁設(shè)計(jì)中，可以有效的彌補(bǔ)網(wǎng)站、網(wǎng)頁的系統(tǒng)安全漏洞，從而全面增強(qiáng)網(wǎng)絡(luò)的安全性。

參看文獻(xiàn)

[1]吳道義，卜令鋒網(wǎng)頁設(shè)計(jì)[M]安徽：合肥工業(yè)大學(xué)出版社，2006.

[2]劉勁松，胡軼.王東方濺談網(wǎng)站安全技術(shù)[J]，網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2006（7）.

[3]符鳳平Web網(wǎng)站安全技術(shù)分析[J]計(jì)算機(jī)系統(tǒng)應(yīng)用，2008（12）.

（作者單位：烏海市海勃灣城市供水有限公司）