【拯救赵明】网页防篡改 关注安全评估

对于一些大型网站来说，通常拥有一整套已经执行了的 WEB 站点安全防范解决方案，但是，为什么一些网站还是会被攻击者挂载木马 ? 其中一个最主要的原因是已经实施的 WEB 站点安全解决方案只能够应对已经出现的安全漏洞和威胁。而攻击者总是在通过各种手段来分析网站中可能会存在的弱点或漏洞，以便能够成功绕过网站当前的安全防范措施来实施挂马攻击。针对这样的一种 WEB 站点安全现状，最好的方式就是在部署相应的安全防范安全解决方案的同时，还必需采取与攻击者相同的手段，也就是在网站的运营过程中，不断对它进行安全评估，以此来找到网站中可能存在的弱点和漏洞。赵明的网站所遇到也正是类似的问题。

 

对 WEB 站点进行安全评估是 WEB 安全防范处理过程中非常重要的一个环节，它应当贯穿站点的整个生命周期。对 WEB 站点实施安全评估的目的就是指安全评估人员，使用相应的评估工具和技术，经过一系列恰当的方法，对 WEB 服务器本身、服务器系统、后台数据库系统及网络中已经实施的安全机制，进行全面的检测和评估，以此来检测整个 WEB 系统是否还存在弱点，以及验证实施的安全机制是否有效。并根据最后的评估分析结果，对现有的安全策略进行修订，对实施的安全机制进行补充。

 

制定 WEB 站点安全评估方案

 

对 WEB 站点进行安全评估，为了能够达到最终的效果，事先先制定一个切合实际的安全评估方案是十分有意义的。当然，对于一些个人网站，或者只进行一次 WEB 站点弱点检测来说，也可以跳过制定安全评估方案这个环节，直接使用系统或 WEB 弱点检测工具对 WEB 站点所在的系统和其本身进行详细的弱点检测即可。

 

WEB 站点安全评估方案应当根据实际的网络环境，以及站点的具体内容和功能，经过详细的调查和分析后，再由安全评估参与人员共同完成。当然，一个实际的 WEB 站点安全评估方案，所包括的内容可能比上述所列出的内容要多得多，也详细得多，在这里只是对它们做了一个简单的说明，具体的内容还需要大家根据实际情况做具体的补充。

 

WEB 站点安全评估的具体实施方式

 

WEB 站点安全评估的具体实施涉及到四个最关键的因素，它们是安全评估人员、评估工具、评估方法和评估对象。

 

1 、安全评估人员

 

安全评估人员，应当包括 WEB 站点所有者、管理员及安全评估实施人员。安全评估实施人员的技术和经验，以及工作态度在一定程度上决定了评估的效果和可信性。

 

2 、安全评估工具

 

安全评估工具需要根据所要评估的具体对象来选择，不同的评估对象，所使用的评估工具是不相同的。这是由于有些安全评估工具只是针对某种服务或软件，有些是针对整个主机或网络的 ; 有些安全评估工具只能在某种操作系统平台下运行，而有些安全评估工具却能在许多流行的操作系统平台下运行 ; 一些安全评估工具是软件方式的，还有一些是以独立的硬件方式存的 ; 有些安全软件是免费的，而有一些是商业的。由此，要找到一款合适的安全评估工具还真的不是随便选择几样这么简单。并且，一些其他人认为非常好用的安全评估工具，对于我们自己来说并不见得会很喜欢，因此，有时我们不得不经过不断的试用才会知道哪几款评估软件才是最适合我们自己的。

 

3 、安全评估方法

 

安全评估方法就是具体的安全评估实施方式，它主要涉及到下列五个具体的方面：由外向内测试、由内向外测试、模拟攻击测试、真实攻击测试、社会工程攻击测试。

 

4 、评估对象

 

评估对象就是指评估过程中具体的评估实施目标，包括 WEB 服务器主机操作系统、 WEB 应用程序框架、数据库系统及网络基础设施等。