你是不是經常有這樣的疑惑：“網站剛才還好好的，怎么突然登不上去了？”“為什么我每天訪問的公司網站，一夜之間就被亂碼取代了？”每當出現(xiàn)這些情況，網速和網站技術維護人員都成了默默的“背鍋俠”。
其實，這也不能全怪他們，真正的幕后黑手，可能是網絡黑客。
我們都知道，企業(yè)網站目前是企業(yè)信息系統(tǒng)建設的重要組成部分，然而企業(yè)網站除了能帶來更好的推廣宣傳效果，也伴隨著許多安全風險，如黑客攻擊、網頁纂改等問題，會嚴重影響企業(yè)的業(yè)務開展和企業(yè)形象，造成極壞的社會影響及聲譽影響。
一、網站的安全威脅
目前較為常見的Web應用安全威脅主要有以下幾種：
1、DDOS攻擊
DDoS分布式拒絕服務是最常見的網絡攻擊之一。攻擊者控制大量主機對互聯(lián)網上的目標進行攻擊，占用服務器資源，導致業(yè)務中斷，造成客戶直接經濟損失同時也對企業(yè)的聲譽造成不同程度的影響。而多數客戶經驗不足，對DDoS攻擊威脅無計可施。
2、Web漏洞利用
由于網站應用開發(fā)的不規(guī)范性及開發(fā)者水平所限，任何網站應用都會存在漏洞。攻擊者利用Web應用存在的漏洞缺陷，避開網站系統(tǒng)的身份驗證，并將惡意程序傳遞給執(zhí)行服務終端，使服務器執(zhí)行錯誤命令，或誘導用戶對上傳的文件進行瀏覽與下載，導致Web網頁篡改、掛馬，甚至網站后臺服務及數據庫被控制，造成敏感數據泄露或托庫。
3、SQL注入
SQL注入漏洞攻擊是OWASP TOP10中發(fā)生頻率非常高的漏洞利用攻擊，該攻擊主要是指攻擊者在 Web表單遞交查詢字符串或者頁面請求查詢字符串或者輸入域名查詢字符串中插入SQL命令，以欺騙應用服務器的方式進行惡意SQL命令執(zhí)行，給網站應用造成敏感數據泄露，數據庫數據丟失或托庫等嚴重影響。
4、XSS-跨站腳本攻擊
XSS攻擊也是OWASP TOP10中發(fā)生頻率非常高的一種攻擊行為。通常情況下，攻擊者利用web應用存在的XSS漏洞將惡意代碼置入到其他用戶所使用的頁面中，使用戶在進行網頁瀏覽時會點擊到插入其中的連接，從而為攻擊者提供信息盜取契機。
5、CSRF-跨站請求偽造攻擊
CSRF攻擊又被稱之為“one-click attack”或者是“session riding”。攻擊者通過偽裝收信人用戶請求對網站進行惡意利用，使用戶在已登錄頁面中執(zhí)行非自主意愿的操作。相對于跨站腳本攻擊而言，其危險性更強，也更難防范。
6網頁篡改與掛馬
Web網頁篡改掛馬攻擊通常是利用網站存在的漏洞，對網站應用后臺進行提權操作，然后對Web頁面內容進行篡改或植入木馬暗鏈。一旦木馬程序運行，將可能完全控制網站后臺服務，從而獲得敏感數據，甚至對網站進行破壞，或利用已被控制的網站應用為跳板對其它網站，業(yè)務系統(tǒng)或服務器進行攻擊。
二、網站安全威脅的防護措施
那么，該如何解決企業(yè)網站安全防護問題呢？采取什么措施才適合網站安全防護建設需要呢？
1、事前分析預防階段
這個階段主要是針對待上線的網站Web應用，進行全面的安全評估，參照OWASP TOP10對網站Web應用進行全面檢測，可以使企業(yè)管理人員充分了解Web應用存在的安全隱患，建立安全可靠的Web應用服務，改善并提升網站應用對抗各類Web應用攻擊的能力。安全評估的內容主要包括漏洞掃描、配置核查、滲透測試、源代碼審計等。
2、事中監(jiān)測防護階段
這個階段主要是采取有效的安全防護措施，針對網站的各類攻擊行為及異常訪問行為進行實時的監(jiān)測和防護，對于發(fā)現(xiàn)攻擊實時阻斷，并通過告警通知企業(yè)安全管理員，以便于快速處理安全事件。這一階段的防護措施可以分為網絡層安全防護和應用層安全防護兩個部分。
3、事后優(yōu)化階段
在網站安全防護的事后階段，通過安全設備日志及告警信息，對攻擊源進行定位，分析攻擊路徑，找出引發(fā)攻擊的網站脆弱點，有針對性的對網站安全防護策略進行優(yōu)化，改善安全防護措施，加固企業(yè)網站系統(tǒng)。
最后，針對網站安全防護措施的優(yōu)化和完善提供以下建議：
① 企業(yè)應定期對網站進行全面的安全評估，并且針對安全評估結果對網站實施安全加固；
② 建立和完善可落地的網站安全管理制度，規(guī)范企業(yè)網站的日常運維管理和操作。
③ 建立和完善有效的應急響應預案和流程，并定期進行應急演練，做到當發(fā)生異常狀況時能夠及時有效的進行處置和恢復，避免網站業(yè)務中斷給企業(yè)帶來損失。
④ 定期對相關管理人員和技術人員進行安全培訓，提高安全技術能力和實際操作能力。