网站安全堪忧 完善检测机制才是唯一出路 （2）

二、网站安全问题的解决之道

目前网站安全状况令人堪忧，在如此多的问题之下，很多网站都处于安全风险很高的境界。由于网站的开放网络访问环境、各种各样的黑客工具，使黑客们获取利益效率快速提升，致使越来越多的网站正在遭受着这些攻击或面临着这些威胁。当前的网站安全状况，可以用下图做一个总结。

黑客们利用最常用的攻击方式入侵网站，获取到网站相关数据的读写权限，并根据自己的获取利益的目标层层递进，开始作案、直至获取利益。SQL注入攻击、网页挂马等都是当今最常见用的网站攻击。而就在黑客入侵这一时刻，对网站还没有造成敏感的经济损失，很多网站用户、网站的管理员在此期间并未察觉。直至网站造成明显伤害、黑客获取了利益之后才被网站用户或管理员发现，这时网站管理员才去找问题或解决问题，但已经造成损失，甚至还不易弥补。

在这种状态下可以看见网站安全的三个方面不足：

1.网站安全防护不足，目前的网站防护针对SQL注入、网页挂马防护措施相对薄弱，甚至可以说基本没有防护。

2.缺乏网站安全检测，目前的检测往往是发现造成伤害之后才有所察觉。绝大多数用户没有实时的对网站安全状态进行检测。网站有新漏洞、网页被挂马等状况，用户并不能及时察觉。而一些对安全问题敏感的网站，设有专门负责网站安全的开发维护人员，负责安全开发验证、安全运营实时监控，甚至灾难备份机制；但这种成本和代价太高，因此大多数网站无法效仿。

3.网站安全响应滞后，由于缺乏网站安全检测，用户的响应往往在造成损失之后，发现事故才能去响应；这种响应并无法有效阻止黑客获取利益，降低损失。

可见，如果要强化网站安全，也必须从这些几个视角入手解决才算有效：

1.强化网站安全防护，尤其是针对SQL注入等针对网站入侵防护需要加强。

2.引入网站检测体制，能够定期检查网站存在的安全漏洞，也能在黑客实施网页挂马后及时准确的发现挂马的网页；以保障黑客在获取利益前及时察觉。

3.根据网站的检测，扩展响应的内容，而不仅仅是有事故才响应，有漏洞、有木马也同样做出响应。

幸运的是，近期我们发现已经有不少专业的安全公司在关注网站安全尤其是检测问题，如启明星辰公司已经推出围绕网站安全的产品和服务，包括安星网站安全体检服务，针对网站SQL注入、跨站脚本等入侵防御的天清IPS产品，以及从源代码角度修补网站安全问题的应急服务和白盒测试服务等等。在当今网站安全问题越演越烈的情况下，专业安全厂家推出的一系列的安全措施，正在积极推动网站走向安全运行。