黔东南权威新闻门户
新闻热线：
[行业资讯]
WEB时代如何构建一个安全的网站
在线投稿 投稿信箱:&&新闻热线:8222000&&投稿QQ:449315时间: 16:19:59&&来源:淮安新闻网&&
　　如今，人们的生活已经跟网站密切相关，获取知识、浏览新闻、游戏娱乐、在线购物甚至网上炒股(基金、期货)等，网络生活已成为人们现实生活的一部分。与此同时，越来越多的网站也因安全隐患而频繁遭到各种攻击，导致网站敏感数据丢失、网页被篡改，甚至成为传播木马的傀儡，最终令更多访问者中招，给访问者带来严重损失。如何构建一个安全的网站，已经成为网站管理者们所必须面对的问题。
　　网站生命周期各阶段所存在的安全问题：
　　网站也有自己的生命周期，从规划设计到上线运行，至少需要经历下图中的五个阶段。由于网站管理者在安全意识上的薄弱以及安全知识上的匮乏，导致每个阶段中缺少相应的安全措施，最终将给网站带来严重的安全隐患。
　　图 1：网站生命周期各阶段所存在的安全问题
　　网站生命周期前三个阶段的主要工作为系统设计开发。在此过程中，大多数网站设计者更多的是考虑满足用户应用，如何实现业务。很少考虑网站应用开发过程中所存在的漏洞。这些漏洞在不关注安全代码设计的人员眼里几乎不可见。多数网站设计开发者、网站维护人员对网站攻防技术的了解甚少，并未引起足够重视。
　　开发、测试完成后，网站将正式上线。这时，有些网站管理者认为系统中已经部署了防火墙或入侵防御等传统安全产品，就可以对网站进行很好的保护。实则不然。目前，大多数传统访问控制，入侵防御设备，保护网站抵御黑客攻击的效果不佳。比如对S Q L 注入、X S S这些基于WEB应用构建的攻击，防火墙束手无策，甚至是基于特征匹配技术的入侵防御产品，也由于这类攻击特征不具有惟一性，不能精确阻断攻击。导致目前有很多黑客将S Q L 注入、X S S 攻击作为入侵网站的首选攻击技术。
　　网站运行期间，维护人员将对服务器状态的监控以及网站内容的更新作为主要工作，却往往忽视对网站安全的管理及维护。由于他们对安全态势的关注度不高，不能及时更新服务器操作系统及软件的漏洞补丁。在网站被攻击后，系统也没有很好机制将被篡改或丢失的内容及时恢复，对网站的声誉造成很大影响。另外，对于WEB应用程序的漏洞，网站开发人员也很难针对网站具体的漏洞原理对源代码进行改造，导致网站漏洞被黑客反复利用。
　　安全网站建设的&五要素&
　　目前很多网站的管理者在意识到安全问题的重要性后，都会从后两个阶段(部署阶段及运行阶段)开始投入人力物力去弥补相应的缺失，而前三个阶段却往往被忽视。实际上，如果想要构建一个相对安全的网站，五个阶段都需要采取相应的安全措施。可以总结为安全网站建设的&五要素&。
　　要素一：安全规划是首要
　　网站规划设计阶段，管理人员应该充分考虑安全因素。将安全规划作为网站建设整体规划中的重点。安全规划需要贯穿网站生命周期的每个阶段。增设安全培训，培养相关人员的安全意识及素质。以上对于网站上线运行后的安全性十分关键。下图为SDLC(安全开发生命周期)流程，这套流程是微软公司通过多年来在应用安全领域的实践经验所总结出来的。对于网站建设前期的整体安全规划有指导性作用。
　　图 2：安全开发生命周期流程
　　要素二：代码安全是基础
　　网站开发阶段，开发人员须严格控制自己的编码行为。设计环节引入安全开发框架，系统权限设计遵从最小化原则。编码环节严格遵从编码规范。最后增加代码核查环节。尽量避免由于开发时的考虑不周，造成编码漏洞，给后面的网站带来安全隐患。下图示为：WEB代码安全检测系统处理流程。程序员可以使用自动化源码检测工具软件或者自行编写程序进行代码的核查。
　　图 3：WEB代码安全检测系统处理流程
　　要素三：安全测试是常规
　　网站测试阶段，除了正常的功能、性能测试以外，须加入相关的安全性测试。对网站进行全面&体检&。可以请专业的安全团队对网站进行代码安全审计以及渗透性测试，或使用自动化漏洞扫描工具。网站的安全测试工作需要定期的进行，从而及时掌握网站的安全状况。
　　要素四：安全产品是必须
　　网站的部署阶段，安全产品的选用必不可少。WAF(WEB应用防火墙)是专门针对网站威胁防护所设计的安全产品。部署WAF，可以对网站的所有流量进行过滤及清洗，弥补传火墙及入侵防御产品对于WEB应用攻击防护的不足。WAF采用HTTP反向代理机制。与传统的安全产品不同，WAF设备会代替网站接受所有HTTP请求，让网站攻击者认为WAF系统就是被攻击的目标，从而达到网站替身防护的效果。对于已经被攻击的网站，需要部署网页防篡改和自动恢复系统用于被攻击后的修复工作。
　　图 4：WAF区别于传统安全产品
　　要素五：安全维护是保障
　　网站运行阶段，安全维护工作应及时进行。需要网站维护人员随时关注操作系统及软件漏洞补丁方面的信息，及时将版本做相应的更新。除了更新系统漏洞以外，还应该及时升级安全防护设备的威胁规则库，保证设备可以防护最新的安全漏洞。面对W e b 应用程序漏洞和已经造成的危害，需要确立专业支持团队的外援保障，解决及时响应问题，在网站安全问题被验证后，能确保对网站进行木马清除以及针对Web 漏洞的安全代码审核修补等工作。当网站内容被篡改后，应该及时通过自动化系统或人工的方式恢复网站内容，保证网站业务正常运行。
　　构建一个相对安全的网站，需要在网站生命周期的每个阶段都采取相应的安全措施。严格做到：事前主动发现，事中实时防护，事后及时修复。 建议网站的管理者与专业的安全厂商合作，由安全厂商提供有针对性的产品及服务。从而建立整套网站安全防护体系。以下为天融信公司为网站建设量身打造的全生命周期安全方案，希望可以帮助广大网站管理者解决困扰已久的安全问题。
　　天融信公司的网站安全总体方案
　　关于天融信
　　天融信(TOPSEC)是中国领先的信息安全产品与服务解决方案提供商。基于创新的 &可信安全架构&以及业界领先的信息安全产品与服务，天融信致力于改善用户网络与应用的可视性、可用性、可控性和安全性，构建安全能力，提升业务价值。
责任编辑：tangyunfang当前位置: >
如何做一个好的网页设计师？
阅读工具：字体：
　　之前写的一篇文章&一个网页设计需求方眼中的网页设计 &，没想到收到了这么热烈的反应，这让我很感动。不过，我看到不少人在帖子的回复里写到自己在迷茫是否该把这条路走下去，这也让我很感慨：当年，我离开这行的时候也考虑了很久，至今仍然让我有一些遗憾，如果当年，有人能指导一下的话，或许我今天仍然在设计这条路上继续前行。想了许久，我决定结合我自己的经历把我所知道的关于设计师的发展方向和遇到的问题和大家说一说。当然，现在说起来我已经算是一个外行了，有些我经历了，而有些我是看着别人经历的，不一定都对，是对是错，就看各位自己心中如何判断了。
　　最初入行(包括平面设计以及相关的设计行当)，90%的人是为了兴趣。10%为了生计所迫的人很少有能坚持下来的。我记得我开始接触网页制作(那时尚且不能说是设计)是在高一那年，那时侯flash4刚刚流行，当时机缘巧合，学校里需要一个&会弄计算机&的学生去参加网站设计比赛，作为那时侯学校里为数不多的家里有计算机的学生，我被选上了。从最初的完成任务到后来的兴趣盎然时间并不长。接下来的时间就是大量用来研究各种网站技术。那时侯网站还是个稀罕玩意，会用JS、会用FLASH做一些简单的效果，一个页面就能卖个1000多，记得后来学校的比赛我拿了个上海市2等奖。然后靠着这个名头私下又接了个小单&&一个房地产网站。一共7个页面，花了一个礼拜，赚了7000多&&在那个年头，7000多已经是巨款了，相当我父母两个人一个月的的工资加奖金还多。那次对我的触动很大，但是话说回来，7000多固然是金钱上的刺激，如果没有兴趣，以我当时的性格，是绝对无法坚持这条路一直走下去的。
　　友情提示：最初的兴趣的确很重要，因为这不仅是一个开始，也是你以后成长当中，遇到挫折的时候让你坚持继续前进的动力。刚入行的朋友，先不要着急做项目，大量的阅读学习积累是必须要经过的过程。临摹和练习稿也很重要，很多人不喜欢临摹，这是一个误区，临摹能提高设计师的操作熟练度，同时，临摹也是一个思考的过程：&为什么这个地方要这么处理?&、&这个颜色搭配有什么道理?&这些东西光看是不可能完全吃透的。思考的透彻了，自己做页面的时候就可以少想一些，对提高效率好处很多。
　　从大公司起步还是从小公司起步?如果要我挑选，我会选择从小公司起步。很多设计师都很向往奥美这样的4A公司。可是实际上，这些4A公司都是流水线操作，一个萝卜一个坑。你在那里只能接触到很小的一块东西;在小公司，由于人少资源少，什么东西都要一个人当两个用，什么东西都要接触，不仅接触的面广，而且在接触中，也能找到属于自己的路。我之所以能走现在这条道路都拜当年在小公司打拼的经历所赐：由于高中里的经历，在大学里，我很容易就成了一家4A公司的FREELANCER。貌似走的顺风顺水，可实际上，我陷入了迷茫：作品一直得不到肯定、自己的理念与用户向背。..。.渐渐的，我就开始怀疑自己是否真的适合做这行了。后来，大学毕业了，开始找工作，最初的那家公司真的很小，只有5、6个人，其中做设计的就我一个，剩下的都是销售和文职。那段时间很紧张，经常加班到12点，但是在那里，由于人少，什么东西都要自己来，成长的非常快&&甚至有段时间兼职做过销售&&我与客户交流的能力也就是那时侯练出来的。虽然只在那里呆了三个月，但是却对后来的发展影响深刻。
　　友情提示：成长总是令人痛苦和纠结的。在这个时候，有一个老人带你是难能可贵的。如果没有，一切只能靠自己了，有问题可以问谷哥、百度两位大神，还有就是多上论坛(比如站酷)把自己的设计给人看&&不要怕丢脸&&被同行说，总比被客户和老板炒掉好很多吧!再者，出门在外，行走江湖，多个朋友多条路，多认识几个朋友，说不准他们就会成为你生命中的贵人。在小公司呆的时间不宜过长，在那里学东西是关键。等学完东西了还呆在那里，你自己的发展也就被限定死了&&客户决定设计的水平&&小公司很少能够接到大公司的定单&&除非这个公司的老板或者说领导有足够强的个人能力。
　　发展到一定程度的时候，你会遇到一个选择问题&&职业是需要规划的。任何职业都会有瓶颈期，到瓶颈期了，也就意味着你的能力积累到了一定程度，而下一个目标还有不少距离并且不知道该怎么走。这个时候就需要你对自己诚恳的分析了。我遇到这个问题的时候，是工作1年后的事情了。跳槽之后，到了新的公司，努力了一段时间，外加上自己与人沟通上的一些小技巧，做上了AD的位置。这样的生活过了两三个月，日子过的平平淡淡，好象没有什么需要拼搏努力的需要了，人也渐渐失去了激情，而设计一点进步也没有，反而渐渐开始退步了&&这种情况我自己也有察觉，却一点办法都没有。直到有一天，公司接了一个国外网站的整站设计制作的项目，正缺前台整体架构这样一个人。出于接触新事物的理由，我自高奋勇接下了这个CASE。这个过程中，我渐渐发现，我对于整个网站的架构的把握要远远好与我对设计的把握。而我对于程序方面的了解，也勉强能够应付与程序的沟通。于是，当我离开那家公司的时候，我收到了2张OFFER&&一张是一个比较著名的国外创意团队的，一张是现在这家公司的。我笑了笑，最后选择了现在的这家公司。
　　友情提示：瓶颈是任何职业都无法回避的一个问题，这个阶段有时候比成长还有让人纠结&&毕竟，这个过程意味着有些东西需要放下。但是不放下又能怎样呢?人需要理想，人也需要现实。超越自己能力的事情，不是像小日本，头上扎一根&奋斗&的头带就能实现的。对自己未来的规划一定要脚踏实地，一定要知道自己做过什么、能做什么、适合做什么。这些东西很关键。有不少人提出跳出这个圈子，我觉得未尝不可，只是这之前一定要有心理准备，看看自己合适不合适。当然，对于从美术跳出来做程序这样的选择，就我个人而言，我是不推荐的&&如果说男人和女人，一个是火星一个是水星，那设计和程序就是一个是银河系内，一个是银河系外了，如果真的要做这样的选择，就必须和练习了传说中的葵花宝典一样。..。..
　　网页设计师最有可能的发展方向就两个，一个是继续将设计之路走下去，另外一个就是朝着需求方的方向发展。无论选择哪条道路，其实到最后都是殊途同归的：当发展到一定程度，你的设计或者项目经验有了一定的水准且资历足够老了，这个时候你可以考虑更高的职位，跳槽是一个很好的方法，不过跳槽之前一定要考虑清楚，并且对这个公司有足够的了解。频繁的跳槽会让不少公司的HR对你产生不信任感。当你升级到AD或者PM这个级别的时候，很多事情就不只是设计这么简单了，首先，你需要足够多的设计经验。一个页面在你面前必须在几分钟甚至更短的时间内判断出这个页面的优缺点以及从技术层面是否可行，其次，你需要很强的沟通能力，要让设计师以及其他人很迅速的了解你的意思。最后，从这个时候开始，最关键的事情未必是做事情，而是做人了。从这个阶段开始，你开始接触到人的斗争，专业素养在这里有时候不如老板一句话。切记一定要冷静的分析&&只有冷静的分析，才可能一直站在&对&的一方。
　　友情提示：在这个阶段，资源是最重要的。会议室里唇枪舌剑，刀光剑影，弄的低气压、山雨欲来风满楼的，都在争什么?资源!什么是资源?人才是资源(别说做设计的一抓一大把，靠谱的好设计其实并不多，稀有程度就比熊猫好一些)，客户是资源(别说上海500强多，有消费力且&好对付&的客户的稀有程度要超过熊猫。)。这些资源一定要抓，这不仅是为自己的工作争取利益，更是为自己将来自己出来做老板搭班子做基础。只是，一定要认清公司里人与人之间的利益关系，冷静分析自己的位置。贸然抢人抢客户的风险太大，除非你本来就不想继续呆下去了，否则不建议这么做。有时候所谓的&拉帮结派&、&抱大腿&什么的是没有办法的，如果你想做好工作，有些手段还是要用的。当然，自己手里的客户一定好好好对待，尽量让他们感觉到&没你不行&，公司是赢利单位，最终还是要考虑收益的。
　　AD或者PM做到一定阶段了，可以考虑自己出来做。开个小公司什么的。但是前提是一定要有合适的人，且那个些个人愿意和你一起承担，另外一个就是要有至少一个稳定的大客户&&在没有这个确保的前提下，吃饭都是问题。开公司意味着更多的责任和风险&&之前公司老板抗着的东西，现在要你自己一人承担了。也意味着更多的自由和机会&&现在这里你最大，你可以完全掌控整个公司。我自己没有经历这个阶段&&我的资历不够，能力也不够&&但是我还是希望走到这一步的朋友一定要努力坚持下去，我一直很期待中国本土什么时候能出现一个像&奥美&、&李奥贝纳&这样的庞然大物。到那时侯，才真的说明中国有自己的设计了，中国的设计开始走向世界了。
　　本文由 飞翔的松江人原创，转载请保留此信息，多谢合作。
&(责任编辑：大宝库)
------分隔线----------------------------
在全球互联网上有上百万的博客，所以如何让你的博客设计得独特就成了一个巨大的挑战。...
取消（cancel，stop）和撤消（undo），看起来很像是同一回事，用起来似乎也差不多。但...
导航是一个网站的路标，优秀的导航是网站设计成功地第一步。导航必须是用户友好的，而...
导航是网页设计的重点，我们在设计一个网站的时候，常常从导航入手，不夸张的说，导航...
说到主机与服务器提供商(IDC)网站那都是以商业为主来设计，而网站的首页都希望能推荐...
静态网页： 虽然 ASP 技术在 1996 年就出现了，CGI 的历史更久远，但在 2000 年以前，...
赞助商链接
赞助商链接如何做好专业的本地生活服务网站
做好一个城市的图形化生活服务网站，听起来似乎很简单，把一个城市搬到地图上来便是了，听起名字来也很响亮，譬如安徽生活网在合肥找准方向后就以&打造合肥本地生活之城&为己任，但是真正操作起来，每个细节都要考虑的周周全全，笔者根据自己的一点切身体会，在这献丑与各位站长站同仁切磋下经验，如何才能办好专业的本地生活服务网站！
1、 找准定位：对于网站建设来说，找准定位就像是在茫茫大海中装备上最精确的定位系统，是做类似合肥租房网这样的提供搜索平台服务的网站还是做综合性的服务网站，在结合合肥已有的网站情况和综合分析了市场前景之后，安徽生活网在实际中完成了从定位为&安徽本地综合门户网站&到&安徽生活图形化网站&的转变，经过了一次又一次的改版，其中艰辛难以对外人道也，所以在想做本地服务网站的大虾们，在做站之始就要结合本地实际情况，分析市场，抓准市场空白点，这样建站就会更快的融入市场，也更容易看到收益！
2、 与主流结亲：为了达到准确的店铺信息，与移动12580合作是找到的出路之一，因为移动12580有强大的本地数据库，结合网站自身的商家数据，与主流结亲可以迅速的让用户再搜索网站的时候得到更多的信息，在最短的时间内赢得用户的好感度和忠诚度！
3、 实地勘测：力求网上地图精准： 在实际操作中，工作人员手执定位系统工具，一条街一条道的跑着，每一个有用店铺信息都按照经纬度精确记录下来，在输入电脑统计成本地电子地图的时候，底气才足，这样实际勘测获得的店铺位置编织成的本地电子地图将会是最准确的电子地图！
4、 线上推广：积极加入本地QQ群，尤其是那些年轻有活力的QQ群将会得到意想不到的好处，建立自己的QQ群，在本地论坛上发布相关网站信息，这样有针对性的网络推广可以提高网站在本地的宣传力度，更直接的增加网站的流量！
生活节奏日益加快的今天，一个快速权威的本地生活服务类垂直网站显得格外重要，从04年开始，服务类网站就犹如一夜春风，吹遍大江南北，做一个本地网站不难，但是做好一个专业的本地服务网站确实要投入大量的人力精力，以上就是我总结出来的一些建造专业本地服务网站的小经验，与大家共同交流！
本文由生活嗨皮（/）原创，转载请注明出处，谢谢！
注：相关网站建设技巧阅读请移步到频道。
看过本文的人还看过
最新图文推荐
最新专栏文章
大家感兴趣的内容
网友热评的文章