目前，黑(hēi)客攻擊已成為(wèi)一(yī)個(gè)很(hěn)嚴重的(de)網絡問(wèn)題。許多(duō)黑(hēi)客甚至可(kě)以突破SSL加密和(∑hé)各種防火(huǒ)牆，攻入Web網站(zhàn)的(de)內(nèi)部，竊取信息。黑(hēi)客可(kě)以僅憑借浏覽器(qì)和(hé)幾個(gè)技(jì)巧，即套δ取Web網站(zhàn)的(de)客戶信用(yòng)卡資料和(hé)其它保密信息。

　　随著(zhe)防火(huǒ)牆和(hé)補丁管理(lǐ)已逐漸走向規範化(huà)，各類網絡設施應該是(shì)比以往更完全。但(dàn)不(bù)幸的(de)是(₽shì)，道(dào)高(gāo)一(yī)尺，魔高(gāo)一(yī)丈，黑(hēi)客們已開(kāi)始直接在應用(yòng)層面對(duì)Web✘網站(zhàn)下(xià)手。要(yào)增強Web網站(zhàn)的(de)安全性，首先要(yào)澄清五個(gè)誤解。

　　一(yī)、“Web網站(zhàn)使用(yòng)了(le)SSL加密，所以很(hěn)安全”

　　單靠SSL加密無法保障網站(zhàn)的(de)安全。網站(zhàn)啓用(yòng)SSL加密後，表明(míng)該✔網站(zhàn)發送和(hé)接收的(de)信息都(dōu)經過了(le)加密處理(lǐ)，但(dàn)是(shì)SSL無法保障存儲在網站(zhàn)裡(lǐ)的(de)信息的(de)安全。‍許多(duō)網站(zhàn)采用(yòng)了(le)128位SSL加密，但(dàn)還(hái)是(shì)被黑(hēi)客攻破。此外(wài)，SSL也(yě)無法保護網 站(zhàn)訪問(wèn)者的(de)隐私信息。這(zhè)些(xiē)隐私信息直接存在網站(zhàn)服務器(q€ì)裡(lǐ)面，這(zhè)是(shì)SSL所無法保護的(de)。

　　二、“Web網站(zhàn)使用(yòng)了(le)防火(huǒ)牆，所以很(hěn)安全”

　　防火(huǒ)牆有(yǒu)訪問(wèn)過濾機(jī)制(zhì)，但(dàn)還(hái)是(shì)無法應對(duì)許多(duō)惡意行(xíng)為(wèi)。許多(duō)網上(s★hàng)商店(diàn)、拍(pāi)賣網站(zhàn)和(hé)BBS都(dōu)安裝了(le)防火(huǒ)牆，但(dàn')依然脆弱。防火(huǒ)牆通(tōng)過設置“訪客名單”，可(kě)以把惡意訪問(wèn)排除在外(w≤ài)，隻允許善意的(de)訪問(wèn)者進來(lái)。但(dàn)是(shì)，如(rú)何鑒别善意訪問(wèn)和(hé)惡意訪問(wèn)是(shì)一(yī)個(gè≈)問(wèn)題。訪問(wèn)一(yī)旦被允許，後續的(de)安全問(wèn)題就(jiù)不(bù)是(shì)防≥火(huǒ)牆能(néng)應對(duì)了(le)。

　　三、“漏洞掃描工(gōng)具沒發現(xiàn)任何問(wèn)題，所以很(hěn)安全”

　　自(zì)1990年(nián)代初以來(lái)，漏洞掃描工(gōng)具已經被廣泛使用(yòng)，以查找>一(yī)些(xiē)明(míng)顯的(de)網絡安全漏洞。但(dàn)是(shì)，這(zhè)種工(gō∏ng)具無法對(duì)網站(zhàn)應用(yòng)程序進行(xíng)檢測，無法查找程序中的(de)漏洞。

　　漏洞掃描工(gōng)具生(shēng)成一(yī)些(xiē)特殊的(de)訪問(wèn)請(qǐng)求，發送給We≤b網站(zhàn)，在獲取網站(zhàn)的(de)響應信息後進行(xíng)分(fēn)析。該工(gōng)具将α響應信息與一(yī)些(xiē)漏洞進行(xíng)對(duì)比，一(yī)旦發現(xiàn)可(kě)疑之處即報(bào)出安全漏洞。目前，新版本的(de)漏洞£掃描工(gōng)具一(yī)般能(néng)發現(xiàn)網站(zhàn)90%以上(shàng)的(de)常見(jiàn)安全問(wèn)題，但(dàn)這(zhè)種工(gōng)具對 (duì)網站(zhàn)應用(yòng)程序也(yě)有(yǒu)很(hěn)多(duō)無能(néng)為(wèi)力的(de)地(dì)方。

　　四、“網站(zhàn)應用(yòng)程序的(de)安全問(wèn)題是(shì)程序員(yuán)造成的(de)”

　　程序員(yuán)确實造成了(le)一(yī)些(xiē)問(wèn)題，但(dàn)有(yǒu)些×(xiē)問(wèn)題程序員(yuán)無法掌控。

　　比如(rú)說(shuō)，應用(yòng)程序的(de)源代碼可(kě)能(néng)最初從(cóng)其它地(dì)方獲得(de)，這(♣zhè)是(shì)公司內(nèi)部程序開(kāi)發人(rén)員(yuán)所不(bù)能(néng)控制(zhì)的(de)。或者，公司可(kě)能(néng)會(huì)請(qǐng)一(yī)些(xiē)離(lí)↓岸的(de)開(kāi)發商作(zuò)一(yī)些(xiē)定制(zhì)開(kāi)發，與原有(yǒu)程序整合，這(zhè)其中也(yě)可(↕kě)能(néng)會(huì)出現(xiàn)問(wèn)題。或者，一(yī)些(xiē)程序員(yuán)會(huì)拿(ná)來(lái)一(yī)些(xiē)免費(fèi)代 碼做(zuò)修改，這(zhè)也(yě)隐藏著(zhe)安全問(wèn)題。再舉一(yī)個(gè)極端的(de)例子(zǐ)，可(kě)能(néng)有(yǒ<u)兩個(gè)程序員(yuán)來(lái)共同開(kāi)發一(yī)個(gè)程序項目，他(tā)們分(fēn)别開(kāi)發的(de)代碼都(dōu)沒有(‍yǒu)問(wèn)題，安全性很(hěn)好(hǎo)，但(dàn)整合在一(yī)起則可(kě)能(néng)出現(xi<àn)安全漏洞。

　　很(hěn)現(xiàn)實地(dì)講，軟件(jiàn)總是(shì)有(yǒu)漏洞的(de)，這(zhè)種事(shì)每天都(dōu)在發生(shēng)。安全漏洞隻是(s•hì)衆多(duō)漏洞中的(de)一(yī)種。加強員(yuán)工(gōng)的(de)培訓，确實可(kě)以在一£(yī)定程度上(shàng)改進代碼的(de)質量。但(dàn)需要(yào)注意，任何人(rén)都(dōu)會(huì)犯錯(cuò)誤，漏洞無可(kě)避免。有(yǒu)些(xiēπ)漏洞可(kě)能(néng)要(yào)經過許多(duō)年(nián)後才會(huì)被發現(xiàn)。

　　五、“我們每年(nián)會(huì)對(duì)Web網站(zhàn)進行(xíng)安全評估，所以很(hěn)安全”

　　一(yī)般而言，網站(zhàn)應用(yòng)程序的(de)代碼變動很(hěn)快(kuài)。對(duì)Web網站(z∞hàn)進行(xíng)一(yī)年(nián)一(yī)度的(de)安全評估非常必要(yào)，但(dàn)評估時(shí)的(deΩ)情況可(kě)能(néng)與當前情況有(yǒu)很(hěn)大(dà)不(bù)同。網站(zhàn)應用(yòng)程>序隻要(yào)有(yǒu)任何改動，都(dōu)會(huì)出現(xiàn)安全問(wèn)題的(de)隐患。

　　網站(zhàn)喜歡選在節假日(rì)對(duì)應用(yòng)程序進行(xíng)升級，聖誕節λ就(jiù)是(shì)很(hěn)典型的(de)一(yī)個(gè)旺季。網站(zhàn)往往會(huì$)增加許多(duō)新功能(néng)，但(dàn)卻忽略了(le)安全上(shàng)的(de)考慮。如(rú)果網站(zhàn)不(bù)增σ加新功能(néng)，這(zhè)又(yòu)會(huì)對(duì)經營業(yè)績産生(shēng)影(yǐng)響。網站(zh×àn)應該在程序開(kāi)發的(de)各個(gè)階段都(dōu)安排專業(yè)的(de)安全人(rén)員(yuán)。