程显峰：保障双11不掉“底裤”的5种安全武器

http://www.csdn.net/article/2015-11-09/2826162
allowtransparency=”true” frameborder=”0″ scrolling=”no” src=”http://hits.sinajs.cn/A1/weiboshare.htmlrl=http%3A%2F%2Fwww.csdn.net%2Farticle%2F2015-11-09%2F2826162&type=3&count=&appkey=&title=%E5%9C%A8%E5%BD%93%E4%BB%8A%E6%97%B6%E4%BB%A3%EF%BC%8CIT%E6%8A%80%E6%9C%AF%E6%9B%B4%E6%96%B0%E8%BF%AD%E4%BB%A3%E7%9A%84%E9%80%9F%E5%BA%A6%E5%BE%88%E5%BF%AB%EF%BC%8C%E6%94%BB%E5%87%BB%E7%9A%84%E6%96%B9%E5%BC%8F%E4%B9%9F%E5%8F%98%E5%BE%97%E8%B6%8A%E6%9D%A5%E8%B6%8A%E9%9A%90%E8%94%BD%E5%92%8C%E8%87%B4%E5%91%BD%EF%BC%8C%E7%B3%BB%E7%BB%9F%E7%9A%84%E5%AE%89%E5%85%A8%E9%97%AE%E9%A2%98%E8%A2%AB%E8%B6%8A%E6%9D%A5%E8%B6%8A%E5%A4%9A%E7%9A%84%E4%BC%81%E4%B8%9A%E6%89%80%E9%87%8D%E8%A7%86%E3%80%82%E5%A6%82%E6%9E%9C%E7%94%B5%E5%95%86%E7%BD%91%E7%AB%99%E2%80%9C%E5%8F%8C11%E2%80%9D%E5%BD%93%E5%A4%A9%E5%87%BA%E7%8E%B0%E5%AE%89%E5%85%A8%E9%97%AE%E9%A2%98%EF%BC%8C%E5%B0%B1%E4%BC%9A%E5%AF%BC%E8%87%B4%E5%89%8D%E6%9C%9F%E6%89%80%E6%9C%89%E7%9A%84%E8%B5%84%E9%87%91%E9%83%BD%E2%80%9C%E6%89%93%E6%B0%B4%E6%BC%82%E2%80%9D%E4%BA%86%E3%80%82&pic=&ralateUid=&language=zh_cn&rnd=1447169796688″ width=”22″ height=”16″> 摘要：在当今时代，IT技术更新迭代的速度很快，攻击的方式也变得越来越隐蔽和致命，系统的安全问题被越来越多的企业所重视。如果电商 站“双11”当天出现安全问题，就会导致前期所有的资金都“打水漂”了。

一年一度的“双11”即将到来了！各家电商 站已经使出“浑身解数”来刷屏做广告，不断刺激那些“剁手党”的脑神经。毕竟前期投入了巨额的资金，所以电商 站最怕 站因流量猛增导致宕机或者遭遇DDos攻击。如果系统存在安全漏洞，导致用户数据泄露，那就更要命了。

在当今时代，IT技术更新迭代的速度很快，攻击的方式也变得越来越隐蔽和致命，系统的安全问题被越来越多的企业所重视。如果电商 站“双11”当天出现安全问题，就会导致前期所有的资金都“打水漂”了。所以，我们需要给 站加上“保护盾”。以下列举了5种安全问题的解决策略：

1. 全站上SSL，并且做SSL安全检查

相信很多人都听说过SSL和HTTPS。SSL是目前最常用的的一种安全解决方案，是为 络通信提供安全及数据完整性的一种安全协议，其中HTTPS中的“S”指的就是SSL。但是SSL也分三六九等，不是所有的SSL都是安全的。

如果实施SSL来加强 站的安全性，可以首先访问 https://www.ssllabs.com，在线检查一下 站的安全等级。这也是国际上比较权威的一家认证机构，当然，不是所有的电商 站，都能够达到A的评级。读者感兴趣的话，可以自己去动手去查询一下，你可能会发现有几个非常知名电商 站的安全等级并不是很高。

RASP也是目前业界已知的对SQL注入防护最高的一种手段，而且识别率非常高，它能够有效地解决电商 站的数据安全和泄露问题。众所周知，对电商的而言，最重要的资产就是“数据”，如果数据篡改或者泄露，就会导致灾难性的后果。

由于RASP对技术的要求很高，目前国内外真正做这个方面的公司极少。国外的厂商有Waratek，国内也有一家公司OneASP在做此类的产品。他们主要提供了基于云的应用程序自我保护服务，能够为软件产品提供实时保护，使其免受安全漏洞所累。

4. 使用静态检查工具，在上线之前检查代码问题

静态检查工具就是在代码上线之前，进行充分的静态检查，也应该把静态检查成为系统持续集成的一部分。比如数组越界或者空指针问题都可以使用静态检查工具来搞定。商业级的静态检查工具包括惠普的Fortify、IBM Security AppScan Source Edition、BugScout、Insight、Contrast from Contrast Security、Parasoft Test、Seeker等等。也有一家新兴的公司Coverity，他们的产品能够解决影响源代码分析有效性的很多关键问题，诸如构建集成、编译兼容性、高误 率、有效的错误根源分析等等。

其实大多数商业产品的功能上也很类似，只是支持的语言有所差别。当然，这些产品有一个共同的特点就是“贵”，如果不想投入太多的话，也可以使用开源的产品。以下简单介绍几款比较知名的开源工具：

PMD：是一种开源分析Java代码错误的工具，它附带了许多可以直接使用的规则，利用这些规则可以找出源程序的许多问题。目前它支持 Java、JavaScript、PLSQL、Apache Velocity、XML、XSL等多种语言。

FindBugs：FindBugs是一个开源的静态代码分析工具，主要寻找java中的bug。它检查类或者 JAR 文件，将字节码与一组缺陷模式进行对比以发现可能的问题。FindBugs的当前版本是3.0.1，需要在JRE（或JDK）1.7.0或更高版本上才能运行。

SonarQube：是一个用于代码质量管理的开源平台，用于管理源代码的质量，可以从七个维度检测代码质量；通过插件形式，可以支持包括java、C#、C/C++、PL/SQL、Cobo、JavaScrip、Groovy等等二十几种编程语言的代码质量管理与检测。

一旦lynis开始扫描系统，它就会执行许多类别的审查工作：包括系统工具，内核，内存和进程，用户、用户组和验证，同时还有文件系统、存储、数据库、日志和文件等等。因为lynis有一个检查列表，所以它执行的非常详细，就像政府部门的审计工作一样，非常的细致。但是需要定期执行，并及时修补指出的问题，才能保证 站的高安全性。