专家支招 简单有效抵御网站威胁(1)

黑客入侵、挂马、网页篡改……网站安全存在的种种问题令人担忧，那么是否有方法能彻底地解决网站安全问题呢？如果所有网站在每个代码开发环节中，能做好充分的安全性代码检查工作，确定没有任何安全漏洞再上线使用，并做好安全维护工作，问题大概就能彻底解决。但这种方式对一个网站来说无疑是投入很大的，甚至让绝大多数的网站根本无法承受。有没有更简单有效的方式解决网站安全问题，成为网站安全的一个热点。

    一、 从360度视角看网站安全问题

    在信息安全建设从来不能以偏概全。同样，网站安全也不能从某一个方面考虑，需要从结构性安全的角度来全面思考网站安全。我们不妨用PDR模型作为一个视角，从防护（P）、检测（D）、响应（R）的角度来看待网站安全问题现状，一个安全结构的设计，如果Pt（防护时间）>Dt（检测时间）＋Rt（响应时间），那么我们认为这个结构就是安全的，很多安全设施的设计都参考这个理论模型。

    站在网站安全360的视角中，可以对目前网站安全现状做如下图的总结。

 
我们不难发现P、D、R都存在着一些问题。

    1. 网站防护脆弱：防不住SQL注入、XSS等网站常见的攻击。

    2. 网站缺乏对安全漏洞、恶意代码的发现机制：往往是网站发生损失和利用造成伤害后才发现被入侵。

    3. 响应对象不完整：由于缺乏有效的检测，很多网站有事故才响应，不知道有安全漏洞和入侵存在，自然没有及时响应，直至损失被发现才有响应，甚至响应也仅仅停留在恢复层面，而没有解决导致入侵存在的安全问题。

    根据这一视角，我们看到，如果因为网站复杂的应用导致总会出现防不住的恶意应用，那么缺乏网站安全检测机制就成为问题恶化的根源。没有网站安全检测时，一旦防御失效、用户管理者又毫无察觉，便陷入很大的安全危机；另一方面，用户自己对网站源代码的安全检查需要投入大量的人力物理和时间，使很多网站难以承担，造成大量网站处于这种不良的安全现状。因此，就需要一个不仅仅是简单，而且要完整的安全措施来对应上述这些问题。这一措施必须能够分别加强网站的防御、检测、响应的质量，一方面加强防御，提升有效防护的时间（Pt），一方面缩小Dt（检测的时间）和Rt（响应的时间）。分解了每部分的安全需求，就可以使用明确的安全措施来完善网站安全。

    1. 缩小检测时间（Dt），确保在网页植入恶意代码前就了解网站的安全漏洞，同时在网站被黑客植入恶意代码后能够及时准确的发现，并被披露，而不是黑客获取利益后或者网站造成伤害后才发现入侵。

    2. 延长防护时间（Pt），如果防护的种类越多，黑客需要尝试攻击入侵网站的时间就越长，很多网站没有入侵防护设施，或者入侵防护设施对常见的网站攻击更是无效。这时需要加强对一些WEB常见攻击的防护，比如SQL注入、XSS跨站脚本等利用语法变量实现攻击的入侵。

    3. 缩小响应时间（Rt），有了检测机制，一个网站存在安全漏洞或被攻击，都能做出及时响应，确立一个外援的响应团队和组织，当发生这些问题时，能够有效和彻底的解决存在的问题，避免被重复迫害。