网站生命周期各阶段所存在哪些安全问题

墨叶忧郁

　　如今，人们的生活已经跟网站密切相关，获取知识、浏览新闻、游戏娱乐、在线购物甚至网上炒股(基金、期货)等，网络生活已成为人们现实生活的一部分。与此同时，越来越多的网站也因安全隐患而频繁遭到各种攻击，导致网站敏感数据丢失、网页被篡改，甚至成为传播木马的傀儡，最终令更多访问者中招，给访问者带来严重损失。如何构建一个安全的网站，已经成为网站管理者们所必须面对的问题。
　　网站生命周期各阶段所存在的安全问题：
　　网站也有自己的生命周期，从规划设计到上线运行，至少需要经历下图中的五个阶段。由于网站管理者在安全意识上的薄弱以及安全知识上的匮乏，导致每个阶段中缺少相应的安全措施，最终将给网站带来严重的安全隐患。
　　网站生命周期前三个阶段的主要工作为系统设计开发。在此过程中，大多数网站设计者更多的是考虑满足用户应用，如何实现业务。很少考虑网站应用开发过程中所存在的漏洞。这些漏洞在不关注安全代码设计的人员眼里几乎不可见。多数网站设计开发者、网站维护人员对网站攻防技术的了解甚少，并未引起足够重视。
　　开发、测试完成后，网站将正式上线。这时，有些网站管理者认为系统中已经部署了防火墙或入侵防御等传统安全产品，就可以对网站进行很好的保护。实则不然。目前，大多数传统访问控制，入侵防御设备，保护网站抵御黑客攻击的效果不佳。比如对S Q L 注入、X S S这些基于WEB应用构建的攻击，防火墙束手无策，甚至是基于特征匹配技术的入侵防御产品，也由于这类攻击特征不具有惟一性，不能精确阻断攻击。导致目前有很多黑客将S Q L 注入、X S S 攻击作为入侵网站的首选攻击技术。
　　网站运行期间，维护人员将对服务器状态的监控以及网站内容的更新作为主要工作，却往往忽视对网站安全的管理及维护。由于他们对安全态势的关注度不高，不能及时更新服务器操作系统及软件的漏洞补丁。在网站被攻击后，系统也没有很好机制将被篡改或丢失的内容及时恢复，对网站的声誉造成很大影响。另外，对于WEB应用程序的漏洞，网站开发人员也很难针对网站具体的漏洞原理对源代码进行改造，导致网站漏洞被黑客反复利用。
相关文章推荐
婚庆类网站安全解决方案http://www.huyoukeji.cn/jiejuefangan/147.html
zf网站被攻击解决方案http://www.huyoukeji.cn/jiejuefangan/137.html