黑客入侵、掛馬、網(wǎng)頁篡改……網(wǎng)站安全存在的種種問題令人擔(dān)憂，那么是否有方法能徹底地解決網(wǎng)站安全問題呢？如果所有網(wǎng)站在每個代碼開發(fā)環(huán)節(jié)中，能做好充分的安全性代碼檢查工作，確定沒有任何安全漏洞再上線使用，并做好安全維護(hù)工作，問題大概就能徹底解決。但這種方式對一個網(wǎng)站來說無疑是投入很大的，甚至讓絕大多數(shù)的網(wǎng)站根本無法承受。有沒有更簡單有效的方式解決網(wǎng)站安全問題，成為網(wǎng)站安全的一個熱點(diǎn)。

一、從360度視角看網(wǎng)站安全問題

在信息安全建設(shè)從來不能以偏概全。同樣，網(wǎng)站安全也不能從某一個方面考慮，需要從結(jié)構(gòu)性安全的角度來全面思考網(wǎng)站安全。我們不妨用PDR模型作為一個視角，從防護(hù)（P）、檢測（D）、響應(yīng)（R）的角度來看待網(wǎng)站安全問題現(xiàn)狀，一個安全結(jié)構(gòu)的設(shè)計，如果Pt（防護(hù)時間）>Dt（檢測時間）＋Rt（響應(yīng)時間），那么我們認(rèn)為這個結(jié)構(gòu)就是安全的，很多安全設(shè)施的設(shè)計都參考這個理論模型。

站在網(wǎng)站安全360的視角中，可以對目前網(wǎng)站安全現(xiàn)狀做如下圖的總結(jié)。

圖1

我們不難發(fā)現(xiàn)P、D、R都存在著一些問題。

1.網(wǎng)站防護(hù)脆弱：防不住SQL注入、XSS等網(wǎng)站常見的攻擊。

2.網(wǎng)站缺乏對安全漏洞、惡意代碼的發(fā)現(xiàn)機(jī)制：往往是網(wǎng)站發(fā)生損失和利用造成傷害后才發(fā)現(xiàn)被入侵。

3.響應(yīng)對象不完整：由于缺乏有效的檢測，很多網(wǎng)站有事故才響應(yīng)，不知道有安全漏洞和入侵存在，自然沒有及時響應(yīng)，直至損失被發(fā)現(xiàn)才有響應(yīng)，甚至響應(yīng)也僅僅停留在恢復(fù)層面，而沒有解決導(dǎo)致入侵存在的安全問題。

根據(jù)這一視角，我們看到，如果因?yàn)榫W(wǎng)站復(fù)雜的應(yīng)用導(dǎo)致總會出現(xiàn)防不住的惡意應(yīng)用，那么缺乏網(wǎng)站安全檢測機(jī)制就成為問題惡化的根源。沒有網(wǎng)站安全檢測時，一旦防御失效、用戶管理者又毫無察覺，便陷入很大的安全危機(jī)；另一方面，用戶自己對網(wǎng)站源代碼的安全檢查需要投入大量的人力物理和時間，使很多網(wǎng)站難以承擔(dān)，造成大量網(wǎng)站處于這種不良的安全現(xiàn)狀。因此，就需要一個不僅僅是簡單，而且要完整的安全措施來對應(yīng)上述這些問題。這一措施必須能夠分別加強(qiáng)網(wǎng)站的防御、檢測、響應(yīng)的質(zhì)量，一方面加強(qiáng)防御，提升有效防護(hù)的時間（Pt），一方面縮小Dt（檢測的時間）和Rt（響應(yīng)的時間）。分解了每部分的安全需求，就可以使用明確的安全措施來完善網(wǎng)站安全。

1.縮小檢測時間（Dt），確保在網(wǎng)頁植入惡意代碼前就了解網(wǎng)站的安全漏洞，同時在網(wǎng)站被黑客植入惡意代碼后能夠及時準(zhǔn)確的發(fā)現(xiàn)，并被披露，而不是黑客獲取利益后或者網(wǎng)站造成傷害后才發(fā)現(xiàn)入侵。

2.延長防護(hù)時間（Pt），如果防護(hù)的種類越多，黑客需要嘗試攻擊入侵網(wǎng)站的時間就越長，很多網(wǎng)站沒有入侵防護(hù)設(shè)施，或者入侵防護(hù)設(shè)施對常見的網(wǎng)站攻擊更是無效。這時需要加強(qiáng)對一些WEB常見攻擊的防護(hù)，比如SQL注入、XSS跨站腳本等利用語法變量實(shí)現(xiàn)攻擊的入侵。

3.縮小響應(yīng)時間（Rt），有了檢測機(jī)制，一個網(wǎng)站存在安全漏洞或被攻擊，都能做出及時響應(yīng)，確立一個外援的響應(yīng)團(tuán)隊(duì)和組織，當(dāng)發(fā)生這些問題時，能夠有效和徹底的解決存在的問題，避免被重復(fù)迫害。