互联网公司建网站最应该注意什么风险

网站是互联网时代的一张名片。对于互联网公司来说，没有网站是不可想象的。所以，互联网公司成立之初，首先要做的就是建立自己的官网。

那么，互联网公司应该建一个什么样的官网呢？换句话说，官网这种互联网公司应该具备什么特征？

公司在互联网上建网站之前，需要想清楚建站的目标。因为这个目标和网站类型有关。比如想做企业展示站、产品推广站、网上商城站或者门户资讯站，就需要提前想好。

网站类型按性质分类:展示类、资讯类、服务类、交易类、政府类、资源类等。

按功能分，有品牌网站、展示网站、营销网站、电子商务网站、门户网站。

1.品牌网站:

顾名思义，这类网站旨在树立品牌形象，所以看起来很高端。其特点是首页会突出企业品牌的设计和展示，通常会有一些华丽精致的大图和动态flash动画，互动性很强。

这类网站一般采用半定制或全定制，对网站要求高，成本高。适合中大型企业、上市公司等有高端品牌建设需求的企业。

2.显示网站:

主要是展示产品和服务。这类网站的主要目的是介绍企业、产品类别和相关服务案例。比如产品规格型号，方便潜在客户随时查看产品信息。

这类网站的特点是简单、朴素，没有华丽的外表。这是一个简单的网站，展示企业的产品和服务。

3.营销网站:

近年来企业不断追捧的一类网站。通常网站布局体现产品用户体验+搜索引擎优化规则的合理性，称为营销型网站建设。关于营销网站，我在其他文章中也写过。如果你有兴趣，你可以在我的帐户中查看它们。

建立营销网站的目的是直接获取销售线索或转化为订单，承担销售员的角色，解决用户决策时的心理障碍。提示目标客户留下销售线索或直接下单。这是营销网站的优势，也是企业偏爱的原因。

4.电子商务网站(网上商城):

电子商务网站是面向电子商务企业的，具有相应的网上订购功能，主要用于企业产品的网上销售。

这类网站会有详细的产品介绍和服务信息。通常网站上会有很多照片，还有购物车和支付方式，主要是为了方便用户完成购买产品。

5.门户网站:

相对而言，门户网站侧重于向访问者和用户展示信息，分享企业信息动态。门户企业的网站建设与电商企业的网站建设有很大不同。

门户企业网站通常是为特定客户而建的，为他们提供一个信息交流的平台。通常这类企业网站上有大量的企业资源和服务信息，可以很好的与其他类型的企业网站区分开来。

知道了建站的目标后，就可以根据目标选择相应的建网类型。但这就结束了吗？当然不是。

想想互联网企业和传统企业最大的区别。它高度数字化。这种数字化体现在营销、商品、门店、供应链的数字化。

数字化是指你的客户大部分来自线上或者全部来自线上，用户是数据的碎片，而不是像传统企业用户那样是看得见的人。产品呈现在网上，也是一个数据。只有包裹送到家打开，你才能感受到它的重量。

既然是数据，就必须是安全的。因此，网站安全是互联网公司建设网站时首要考虑和必须解决的问题。

仅2018年，脸书就发生了三起大规模用户数据泄露事件，一度成为互联网行业的焦点，数百亿美元市值瞬间蒸发。

说实话，这个价格足够养活地球上任何一个大型的精英安全团队，甚至直接收购几家大型安全公司都绰绰有余。

目前全球互联网公司的趋势是越来越重视隐私，尤其是在网站安全领域，已经提升到一个新的高度。

互联网公司当前面临的安全威胁和挑战，以及互联网公司的安全需求和目标，都是互联网公司在制定自己的网站安全计划时需要重点考虑的问题。

从外部环境看，互联网整体安全形势仍存在风险和挑战。企业的网站每天都面临着来自四面八方的安全威胁，网络攻击、木马病毒、安全漏洞等事件时有发生。敏感信息和数据的泄露总是威胁着企业的生存和发展。

这种网站安全事件一旦发生，将对企业的正常运营和业务发展造成极大的负面影响。此外，近年来一些重大网络安全事件的频繁发生，经媒体曝光后影响了整个互联网行业的发展，使得越来越多的互联网公司意识到网站安全的重要性，进而对网站安全进行保护和升级。

那么，互联网公司面临的主要安全威胁和挑战是什么？换句话说，常见的攻击网站的方式有哪些？

常见的有:网络黑客、外部黑客、竞争对手、安全漏洞、网络攻击、数据泄露、敏感信息泄露等。

以黑客为例。攻击网站的方式有很多种，黑客常用的方式有以下几种:

1.阻挡攻击

通过抢占网站服务器中storage 空之间的资源，导致网站服务器崩溃或资源耗尽，从而无法向外界提供服务。这种攻击手段就是拒绝服务(DOS)，即一个或多个人使用网络协议套件的一些工具来拒绝合法用户对目标系统的攻击或信息访问。

攻击成功后，目标系统崩溃，端口处于停顿状态。还可以发乱七八糟的信息，改文件名，删除关键程序文件等。从而扭曲了系统的资源状态，降低了系统的处理速度。

2.文件上传漏洞攻击

在网页上传文件的过程中，由于对上传路径变量的过滤不严，以某种形式存在一些易受攻击的链接，称为网站上传漏洞。利用该上传漏洞可以随意上传网页木马(如ASP木马)，通过连接上传的网页可以控制整个网站系统。

上传漏洞攻击是网站安全的一大威胁。攻击者可以直接上传ASP木马文件，获得一个WEBSHELL，进而控制整个网站服务器。

3.跨站点脚本攻击

黑客将恶意代码插入远程站点页面的HTML代码中。当用户下载该页面时，嵌入其中的恶意脚本将被解释并执行。最常见的跨站脚本攻击方式有:窃取cookie、欺骗打开木马网页，或者直接将注入脚本代码写入有跨站脚本漏洞的网站，将木马网页挂在网站上等。

4.弱密码入侵攻击

这种攻击首先需要使用扫描器检测SQL账号和密码信息，然后获取预留密码。然后，使用SQLEXEC等攻击工具，通过1433端口连接网站服务器，再开通系统账号，通过3389端口登录。

这种攻击也将与WEBSHELL结合使用。一般ASP+MSSQL网站通常会将MSSQL连接密码写入一个配置文件中。可以利用WEBSHELL读取配置文件中预留的密码，然后上传一个SQL木马来获取系统的控制权限。

5.网站旁注入侵

该技术通过IP绑定域名查询的功能，找出服务器上有多少个网站，然后选择一些防护较弱的网站进行入侵，在获得权限后再转向控制同一服务器上的其他网站。

6.其他脚本攻击

网站的漏洞主要集中在各种网页中。由于网页编程不严谨，存在各种脚本漏洞，比如上传动画文件的漏洞，cookie欺骗的漏洞。

除了这些常见的脚本漏洞之外，还有一些特定于某些网站程序的脚本漏洞。最常见的有用户输入数据过滤不严、网站源代码暴露、远程文件漏洞等。

这些网站安全问题会直接导致用户流失、经济损失、信誉受损、信誉度下降等不良后果。那么，如何保证互联网公司网站的安全呢？

仔细观察发现，以上六种最常见的网站攻击，大部分都与服务器直接或间接相关。所以，首先从服务器层面，如何保证互联网企业网站的安全。

对于服务器来说，有两种情况，一种是租用别人的服务器，一种是购买大厂商的服务器(比如阿里云)。

第一，在租用不知名厂商服务器的情况下，网站管理员只能在网站开发上多下功夫。

1.一般的攻击主要是针对网站数据库，所以需要在数据库连接文件中添加相应的防攻击代码。比如在检查一个网站程序的时候，打开那些包含数据库操作的ASP文件，这些都是需要保护的页面。在头部添加相关的防注入代码，最后上传到服务器。

2.阻止数据库下载漏洞。也就是说，数据库文件不要被别人下载，数据库文件的命名要复杂，要隐藏，让别人认不出来。

3.网站中最好不要有上传和论坛程序，因为这样容易导致上传文件漏洞和其他网站漏洞。

4.对于后台管理程序的要求，首先，不要在网页上显示后台管理程序的门户链接，防止黑客攻击。其次，用户名和密码不能太简单，需要定期更换。

5.要定期查杀网站上的木马，使用专门的查杀木马工具，或者使用与网站程序集成的检测工具，定期检查网站上是否有木马。除了上述数据库文件，网站上的所有文件都可以改为只读属性，防止文件被篡改。

看到这里，有人说，就是加代码，堵漏洞，还要定期更换和检查。我做网站已经够累了！你能给我留点零食吗？有没有一劳永逸的操作？没错，就是上面介绍的第二种。买阿里云服务器。

第二，如果是购买的阿里云服务器，就不用担心安全问题。

早在2014年，阿里云就帮助一家部署在阿里云上的知名游戏公司成功抵御了全球互联网史上最大的DDOS攻击。攻击时间长达14小时，峰值流量达到每秒453.8Gb。

今天，阿里云保护了中国超过40%的网站，保护了全国50%的高流量DDOS攻击。成功抵御日均50亿次攻击，全年帮助用户修复高危漏洞833万余个。

阿里云其他方面的性能优势就不多说了。仅在安全性和可靠性方面，就有其他服务商无法比拟的优势。我随便说两件事，大家自己感受一下:

1.提供虚拟防火墙、角色权限控制、内网隔离、防病毒攻击、流量监控等多重安全方案。提供免费的DDoS防护、木马查杀、反暴力破解等服务。通过多方国际安全认证，ECS云盘支持数据加密等等。

2.同一区域多个可用区域(机房)可以为用户提供超高的容灾能力。单实例可用性99.975%，多可用区域多实例可用性99.995%，云盘可靠性99.99999%。可以实现自动停机迁移和快照备份，进一步保障企业服务和数据安全。

无论是网站开发多辛苦，还是花钱升级服务器，都或多或少存在一些瑕疵。前者对网站开发者是一个很大的考验，会耗费更多的时间。后者会有额外的支出，对中小企业来说可能是个压力。

其实还有一个更简单的办法，就是直接找靠谱的网站服务商建网站。比如，阿里云选择打造其主打产品——苏云快递美容站。你不仅不需要建立自己的网站，还可以节省购买服务器的费用。价格也不贵。基础版500元/年，标准版998元/年，企业版1998元/年。最重要的是网站安全稳定。

考虑建立自己的网站。光是招聘开发者和设计师就要好几万，还不算其他成本。网站建成后，租用或购买服务器是一项成本。网站推广是另一项开支。这还不算后期网站运营维护所付出的人力和时间成本。最重要的是，建成后的网站安全性可能得不到保障。

使用阿里云快递美颜站不需要买服务器。服务器包含在建站费用中。将阿里云(ECS)、负载均衡(SLB)、云数据库(RDS)、云存储(OSS)、网络加速(CDN)等云计算资源集群以SaaS的形式提供给客户，让每一个网页都能秒开，同时保证互联网公司网站的安全性和稳定性。

我想不出比这更好的方法来用最少的投资获得最大的收益。