基于網(wǎng)站建設(shè)中網(wǎng)頁設(shè)計的安全缺陷及對策分析

摘要：近幾年，隨著我國經(jīng)濟(jì)水平的不斷提升，計算機網(wǎng)絡(luò)技術(shù)日益普及，并在各行各業(yè)發(fā)揮出巨大的作用。在這一網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大下，電子商務(wù)的作用也日益提高，在促進(jìn)國民經(jīng)濟(jì)又好又快發(fā)展上發(fā)揮出巨大的作用。作為電子商務(wù)的主體和主要內(nèi)容，網(wǎng)站建設(shè)以及網(wǎng)頁設(shè)計的安全問題受到了各方的關(guān)注。本文從網(wǎng)站建設(shè)出發(fā)，對于其中的網(wǎng)頁設(shè)計安全問題進(jìn)行全面的分析，并為之提出了一些針對性的策略，希望為相關(guān)單位提供一個有價值的參考。

關(guān)鍵詞：網(wǎng)站建設(shè)；網(wǎng)頁設(shè)計；安全缺陷；對策

引言：

近幾年，隨著網(wǎng)頁設(shè)計以及網(wǎng)站建設(shè)開始作為一個專業(yè)開始出現(xiàn)在大眾的面前，基于此而興起的計算機網(wǎng)絡(luò)電子商務(wù)在促進(jìn)社會進(jìn)步以及國民經(jīng)濟(jì)又好又快發(fā)展上發(fā)揮出巨大的作用。但是網(wǎng)站在建設(shè)的過程中，相關(guān)單位沒有注意到網(wǎng)站的安全問題，使得企業(yè)被病毒侵入、防火墻的設(shè)置等問題相繼出現(xiàn)，不僅制約了企業(yè)本身的發(fā)展，而且對于社會造成了很大的經(jīng)濟(jì)損失。因此對于網(wǎng)站建設(shè)當(dāng)中的網(wǎng)絡(luò)安全問題進(jìn)行全面的研究應(yīng)該是一項具有普遍現(xiàn)實意義的工作。

一、網(wǎng)頁設(shè)計安全概述

網(wǎng)頁設(shè)計的安全問題除了來自網(wǎng)絡(luò)設(shè)計階段，同時也來自相關(guān)的設(shè)計開發(fā)階段，在一般的設(shè)計階段，相關(guān)部門都是通過對服務(wù)器終端進(jìn)行腳本語言的更改，從而達(dá)到高效管理和統(tǒng)籌規(guī)劃的作用。但是在安全管理的過程中，由于相關(guān)部門在交流互動當(dāng)中缺乏經(jīng)驗，使得信息錄入等問題經(jīng)常出現(xiàn)，不僅讓網(wǎng)站安全受到了不同程度的威脅，而且網(wǎng)站數(shù)據(jù)庫等都會出現(xiàn)漏洞。因此網(wǎng)站受到攻擊以及被有關(guān)各方控制等事件經(jīng)常發(fā)生。網(wǎng)站建設(shè)以及網(wǎng)頁設(shè)計本身的復(fù)雜性使得這項工作具有很大的困難，因此在開展相關(guān)工作的時候網(wǎng)站設(shè)計人員應(yīng)該將這些漏洞稱之為網(wǎng)頁漏洞以及網(wǎng)站漏洞。

二、網(wǎng)站建設(shè)中網(wǎng)頁設(shè)計的安全缺陷

目前，在網(wǎng)頁程序設(shè)計的過程中經(jīng)常出現(xiàn)的漏洞和缺陷主要表現(xiàn)在以下幾個方面：

（一）繞過驗證直接進(jìn)入到頁面當(dāng)中

目前，很多的網(wǎng)站在進(jìn)行頁面設(shè)計的時候，需要經(jīng)過各種身份驗證才能進(jìn)入，從而使得網(wǎng)站面臨著安全性的威脅。但是，有些用戶因為知道其網(wǎng)頁的相關(guān)設(shè)計的路徑和文件名，使得其在登錄網(wǎng)站時，不用進(jìn)行身份驗證而直接進(jìn)入頁面，繞過了網(wǎng)頁登陸的相關(guān)界面，從而給那些欲意破壞的行為造成了可乘之機，進(jìn)而導(dǎo)致網(wǎng)站及企業(yè)的經(jīng)濟(jì)損失和名譽損失。這就要求我們的網(wǎng)頁設(shè)計人員在對相關(guān)敏感、重要頁面進(jìn)行設(shè)計時，要尤其加強對用戶身份的登錄驗證設(shè)計，加強對登錄程序的設(shè)計，從而提高網(wǎng)站頁面的可靠度和安全度。

（二）網(wǎng)頁登陸驗證中出現(xiàn)的安全漏洞

網(wǎng)頁的登錄驗證是目前很多網(wǎng)站登錄時所要做的第一步，特別是像一些會員制的聊天室、貼吧、論壇等帶有交互性質(zhì)的網(wǎng)站或網(wǎng)頁，網(wǎng)頁登錄驗證更是必須要完成的。雖然，登陸驗證只是網(wǎng)站整體運行中的一個很小的部分，但它卻肩負(fù)著整個網(wǎng)站安全的第一道關(guān)口。然而，在實際的設(shè)計編程過程中，網(wǎng)頁的設(shè)計人員卻常常忽視登錄驗證在整個網(wǎng)站運行安全中的重要性，疏忽了對它在程序嚴(yán)謹(jǐn)性上的設(shè)計，使得驗證程序的安全關(guān)口不嚴(yán)密，給網(wǎng)絡(luò)攻擊行為造成可乘之機，進(jìn)而導(dǎo)致網(wǎng)站或企業(yè)的一些不必要的經(jīng)濟(jì)利益損失。目前，我國的大部分網(wǎng)站的登錄驗證都存在或多或少的安全漏洞，給網(wǎng)站的運行帶來了很大的安全隱患，是值得設(shè)計人員在進(jìn)行編程設(shè)計時關(guān)注和重視的。

（三）有些網(wǎng)站缺乏授權(quán)

有些網(wǎng)站在進(jìn)行網(wǎng)頁編程設(shè)計的過程中，其程序設(shè)計人員由于常常使用較為繁瑣的哇網(wǎng)絡(luò)安全配置，使得網(wǎng)站往往缺乏授權(quán)，這就造成了網(wǎng)絡(luò)服務(wù)在其應(yīng)用運行中出現(xiàn)非常巨大的網(wǎng)絡(luò)運行安全缺陷，使得網(wǎng)絡(luò)黑客能夠很容易的對網(wǎng)站的網(wǎng)絡(luò)服務(wù)器進(jìn)行遠(yuǎn)程的入侵和破壞，給網(wǎng)站的安全和企業(yè)的經(jīng)濟(jì)利益帶來了巨大的威脅和危害。同時，由于網(wǎng)站在進(jìn)行系統(tǒng)設(shè)計時，運用的應(yīng)用軟件存在密碼過于簡單、防火墻性能低等安全缺陷，也使得網(wǎng)絡(luò)黑客和網(wǎng)絡(luò)病毒能夠非常容易的對網(wǎng)站造成侵入和破壞[1]。

（四）網(wǎng)絡(luò)病毒的快速傳播

網(wǎng)絡(luò)病毒是人們故意制造設(shè)計的具有強自治性、感染性、傳播性和破壞性的計算機應(yīng)用程序。在當(dāng)前計算機網(wǎng)絡(luò)規(guī)模日益擴(kuò)大的社會形勢下，其網(wǎng)絡(luò)病的數(shù)量和類型也在不斷地發(fā)展和增加，網(wǎng)絡(luò)病毒的傳播途徑、渠道、范圍和速度也在不斷的擴(kuò)大和提高。這就給互聯(lián)網(wǎng)和用戶的終端計算機的安全問題造成了巨大的威脅，嚴(yán)重的甚至能夠造成整個網(wǎng)站運行的癱瘓。

三、解決網(wǎng)頁設(shè)計安全缺陷的對策

針對上述文章中提到的在目前網(wǎng)站建設(shè)的網(wǎng)頁設(shè)計中存在的安全問題和缺陷，網(wǎng)頁設(shè)計人員在實際的編程設(shè)計過程中，可以采取下面幾個方面的措施，來加強網(wǎng)站設(shè)計的安全性和可靠性。

（一）重視對網(wǎng)頁安全因素的設(shè)計

影響網(wǎng)站運行安全的因素有很多，主要包括兩個方面，即管理策略和技術(shù)策略。網(wǎng)頁設(shè)計人員在對網(wǎng)頁進(jìn)行安全設(shè)計時，要充分的綜合考慮這些影響因素，重視對他們的安全設(shè)計，尤其是技術(shù)策略的安全設(shè)計。

1.要定期的進(jìn)行網(wǎng)站系統(tǒng)的備份、日志更新和恢復(fù)。設(shè)計人員在進(jìn)行網(wǎng)頁設(shè)計時，要注重對系統(tǒng)數(shù)據(jù)和信息在記錄、備份、恢復(fù)等方面的重視，使網(wǎng)站后臺能夠?qū)λl(fā)生運行的各種事件進(jìn)行快速、及時、有效的記錄和備份，加強對網(wǎng)站系統(tǒng)日志的管理和訪問，并使網(wǎng)站在受到網(wǎng)絡(luò)黑客或者網(wǎng)絡(luò)病毒惡意入侵破壞后，能夠很快的進(jìn)行系統(tǒng)數(shù)據(jù)和信息恢復(fù)。

2.加強系統(tǒng)安全漏洞的檢測設(shè)計。設(shè)計人員要加強網(wǎng)站全部網(wǎng)頁系統(tǒng)漏洞的定期掃描設(shè)計，使得網(wǎng)站能夠及時的發(fā)現(xiàn)系統(tǒng)存在的安全問題，并及時的進(jìn)行修補。

3.加強對用戶訪問和認(rèn)證的設(shè)計。設(shè)計人員要對網(wǎng)站關(guān)鍵部分網(wǎng)頁的訪問路徑進(jìn)行用戶名和密碼的加密，并加強會員身份的驗證手段和程序，加強游客對目錄、文件和各種設(shè)備進(jìn)行訪問和操作的限制。

（二）加強對文件上傳時的安全控制

目前，大部分的網(wǎng)站都具備文件、圖片、視頻上傳等多種功能，尤其是像校園網(wǎng)、郵箱系統(tǒng)、論壇、讀書網(wǎng)等這些用戶量非常大的網(wǎng)站。但是，用戶在上傳不同文件的同時也有可能對網(wǎng)站系統(tǒng)安全造成漏洞，進(jìn)而影響到網(wǎng)站運行的安全。因此，網(wǎng)站的網(wǎng)頁程序設(shè)計人員在進(jìn)行編程設(shè)計時，要充分考慮到上傳文件安全性的問題，加強對用戶所上傳提交的文件參數(shù)及數(shù)據(jù)的過濾程度和管理控制，盡力避免因用戶上傳文件而導(dǎo)致的網(wǎng)站系統(tǒng)的安全問題，減少相關(guān)數(shù)據(jù)庫因網(wǎng)絡(luò)病毒或黑客而造成的破壞[2]。

（三）加強對源代碼的保密

網(wǎng)頁的程序設(shè)計人員要對設(shè)計的源代碼進(jìn)行加密處理，以減少其泄漏的幾率。例如，設(shè)計人員可以對ASP加密或者運用組件技術(shù)在ADLL中對編程邏輯進(jìn)行密封等等。在進(jìn)行加密處理時，可以采用微軟的Script Encoder進(jìn)行操作，以減少網(wǎng)站源代碼的泄漏。

（四）加強對登陸驗證的安全設(shè)計

由于登錄設(shè)計是用戶進(jìn)入網(wǎng)站的必備步驟，因此，網(wǎng)頁的設(shè)計人員在進(jìn)行網(wǎng)站登錄設(shè)計時，可以采取相關(guān)的程序設(shè)計，使系統(tǒng)更夠在生成SQL語句之前對用戶的相關(guān)信息進(jìn)行驗證，在對一些比較重要、敏感的網(wǎng)頁進(jìn)行設(shè)計時，可以設(shè)計二次登錄驗證，以加強網(wǎng)頁登錄的可靠性和安全性[3]。

四、結(jié)語

當(dāng)今時代是信息網(wǎng)絡(luò)大爆炸的時代，隨著我國社會的信息化進(jìn)程不斷的加快，計算機網(wǎng)絡(luò)已經(jīng)深入到了社會發(fā)展的各個層面當(dāng)中，網(wǎng)站已經(jīng)成為人們工作、生活、交流的必備地之一，而網(wǎng)站中的網(wǎng)頁安全也就成為人們關(guān)注的重點問題。因此，網(wǎng)頁設(shè)計人員在進(jìn)行編程設(shè)計時，要充分了解和認(rèn)識到網(wǎng)頁設(shè)計中常出現(xiàn)的安全缺陷，并及時的加以修正和補救，從而提高網(wǎng)站的運行安全。

參考文獻(xiàn)：

[1]彭晶，王鵬，趙媛媛，梁亞東.網(wǎng)站建設(shè)中網(wǎng)頁設(shè)計的安全漏洞及解決對策[J].科技信息（學(xué)術(shù)版），2015（25）.

[2]張振東，張玉嵐.企業(yè)網(wǎng)站建設(shè)與網(wǎng)頁設(shè)計的探討[J].遼寧農(nóng)業(yè)職業(yè)技術(shù)學(xué)院學(xué)報，2014（11）.

[3]宋鎮(zhèn).基于網(wǎng)站建設(shè)中網(wǎng)頁設(shè)計的安全問題的思考[J].無線互聯(lián)科技，2013（04）.

個人簡介：江蘇省鹽城市鹽都區(qū)職工技術(shù)協(xié)作交流站.卞剛 副站長 職稱工程師學(xué)歷本科籍貫鹽城市研究方向網(wǎng)站開發(fā)與應(yīng)用，互聯(lián)網(wǎng)+在工會工作中的應(yīng)用