如何利用阿里云安全产品加强你的网站防护能力

网站安全问题

大多数网站设计，只考虑正常用户稳定使用

在黑客对漏洞敏锐的发觉和充分利用的动力下，网站存在的这些漏洞就被挖掘出来，且成为黑客们直接或间接获取利益的机会。对于Web应用程序的SQL注入漏洞，有试验表明，通过搜寻1000个网站取样测试，检测到有15%的网站存在SQL注入漏洞。

网站防御措施过于落后，甚至没有真正的防御

大多数防御传统的基于特征识别的入侵防御技术或内容过滤技术，对保护网站抵御黑客攻击的效果不佳。比如对SQL注入、跨站脚本这种特征不唯一的网站攻击，基于特征匹配技术防御攻击，不能精确阻断攻击。因为黑客们可以通过构建任意表达式来绕过防御设备固化的特征库，比如：and 1=1 和 and 2=2是一类数据库语句，但可以人为任意构造数字构成同类语句的不同特征。而and、=等这些标识在WEB提交数据库应用中又是普遍存在的表达符号，不能作为攻击的唯一特征。因此，这就很难基于特征标识来构建一个精确阻断SQL注入攻击的防御系统。导致目前有很多黑客将SQL注入成为入侵网站的首选攻击技术之一。基于应用层构建的攻击，防火墙更是束手无策。

网站防御不佳还有另一个原因，有很多网站管理员对网站的价值认识仅仅是一台服务器或者是网站的建设成本，为了这个服务器而增加超出其成本的安全防护措施认为得不偿失。而实际网站遭受攻击之后，带来的间接损失往往不能用一个服务器或者是网站建设成本来衡量，很多信息资产在遭受攻击之后造成无形价值的流失。不幸的是，很多网站负责的单位、人员，只有在网站遭受攻击后，造成的损失远超过网站本身造价之后才意识就这一点。

黑客入侵后，未被及时发现

有些黑客通过篡改网页来传播一些非法信息或炫耀自己的水平，但篡改网页之前，黑客肯定基于对漏洞的利用，获得了网站控制权限。这不是最可怕的，因为黑客在获取权限后没有想要隐蔽自己，反而是通过篡改网页暴露自己，这虽然对网站造成很多负面影响，但黑客本身未获得直接利益。更可怕的是，黑客在获取网站的控制权限之后，并不暴露自己，而是利用所控制网站产生直接利益;网页挂马就是一种利用网站，将浏览网站的人种植其木马的一种非常隐蔽且直接获取利益的主要方式之一。访问网站而被种植木马的人通常也不知情，导致一些用户的机密信被窃取。网站成了黑客散布木马的一个渠道。网站本身虽然能够提供正常服务，但访问网站的人却遭受着木马程序的危害。这种方式下，黑客们通常不会暴露自己，反而会尽量隐蔽，正好比暗箭难防，所以很多网站被挂木马数月仍然未被察觉。由于挂马原理是木马本身并非在网站本地，而是通过网页中加载一个能够让浏览者自动建立另外的下载连接完成木马下载，而这一切动作是可以很隐蔽的完成，各个用户不可见，因此这种情况下网站本地的病毒软件也无法发现这个挂马实体。

发现安全问题不能彻底解决

网站技术发展较快、安全问题日益突出，但由于关注重点不同，绝大多数的网站开发与设计公司，网站安全代码设计方面了解甚少，发现网站安全存在问题和漏洞，其修补方式只能停留在页面修复，很难针对网站具体的漏洞原理对源代码进行改造。这些也是为什么有些网站安装网页防止篡改、网站恢复软件后仍然遭受攻击。我们在一次网站安全检查过程中，曾经戏剧化的发现，网站的网页防篡改系统将早期植入的恶意代码也保护了起来。这说明很少有人能够准确的了解网站安全漏洞解决的问题是否彻底。

阿里云安全产品

1.DDoS高防IP
防御DDoS攻击和CC攻击的网络安全产品。参与双十一、双十二、G20、互联网大会等重大项目护航，经验十足的大流量克星。

主要功能：
· 海量DDoS清洗
1000G+的DDoS清洗能力，可以完美防御SYN/ACK/DNS/HTTP/CC攻击。

· 应用层防护
提供实时应用层抗DDoS攻击的能力，网站类CC和游戏类CC攻击均可防御。

2.Web应用防火墙
网站必备的一款安全防护产品。通过分析网站的访问请求、过滤异常攻击，保护网站业务可用及资产数据安全。

主要功能：
· 防御Web应用攻击
防御黑客发起的技术型高危攻击：SQL注入、命令执行等；保障网站核心数据安全。

· 缓解CC攻击
过滤海量恶意的访问请求、识别恶意Bot；保障网站业务可用性。

· 防撞库、防刷
强大人机识别能力、保障网站重点业务接口免遭机器脚本恶意爬取

3.云防火墙
云防火墙是一款云计算环境下的防火墙产品。云防火墙基于业务可视化、实现业务分区／分组，您可以清晰的甄别合法访问和非法访问，从而执行安全隔离策略。

主要功能：
· 业务有序保障
为您呈现业务细节，并提供各种业务梳理工具，保障业务的有序性。

· 云服务器保护
基于看得见的前提下，为您的云服务器部署基于角色的安全策略。

· 业务快速分组
拓扑化，让您可以通过鼠标，即可完成业务的分区／分组。

4.安骑士
轻量级的主机安全产品。集安全配置核查、漏洞管理、入侵防护于一体，让攻击无“门”，服务器稳定运转。

主要功能：
· 安全配置核查
检测服务器账号与口令、权限、访问控制、文件系统、异常服务、日志和审计，以达到企业级服务器安全准入标准。

· 主机漏洞管理
自研Web应用软件漏洞补丁，支持一键修复，同时共享云盾漏洞库，支持在控制台一键检测所有主机漏洞。

· 主机入侵防护
四层七层网络访问控制，实时拦截全网恶意IP攻击；敏感目录保护文件不被篡改；主动防御由各种漏洞入侵的行为等。

5.数据库审计
数据库审计服务，可针对数据库SQL注入、风险操作等数据库风险操作行为进行记录与告警。支持RDS云数据库、ECS自建数据库，为云上数据库提供安全诊断、维护、管理能力。

主要功能：
· 合规达成
满足外部审计对审计数据内容增量备份和存储时长要求，满足网络安全法对日志数据存储的要求

· 全量审计
支持对RDS云数据库、ECS自建数据库的审计，最大程度的满足云上用户数据库审计需求

· 快速识别
可实现99%+的应用关联审计、完整的SQL解析、精确的协议分析

6.加密服务
满足云上数据加密，密钥管理、加解密运算需求的数据安全解决方案。

主要功能：
· 密码算法支持
全面支持国产算法以及部分国际通用密码算法，满足用户各种加密的算法需求。

· 金融支付支持
符合中国人民银行标准和规范的金融行业定制加密需求，支持金融支付领域的加解密需求。

· 权限认证
密码机设备与敏感信息管理权限分隔，即使是阿里云的运维人员也无法接触到用户的个人密钥。

7.数据风控
凝聚阿里多年业务风控经验，专业、实时对抗垃圾注册、刷库撞库、活动作弊、论坛灌水等严重威胁互联网业务安全的风险。

主要功能：
· 风险识别
通过用户行为信息、软硬件环境信息、设备指纹、黑名单信息综合判定用户请求的风险程度。

· 滑动验证
通过生物特征判定操作计算机的是人还是机器，从而取代传统验证方式。

· 风险报告
提供准实时风险报告，及时分析展示风险运营情况。

8.内容安全
智能识别文本、图片、视频等多媒体的内容违规风险，如涉黄，暴恐，涉政等，省去90%人力成本。

主要功能：
· ECS站点检测
网站内容涉及违规信息时，会提前预警，并提供违规网页地址及快照查看功能。

· OSS图片鉴黄
实时检测，准确率高达99.5%以上，及时阻止黄图外露，提供人工审核平台执行删除、忽略等操作。

· 内容检测API
提供智能鉴黄、OCR图文识别、暴恐敏感图像识别、文本过滤等内容检测API接口服务。