近期的 NAGW（National Association of Government Web Professionals）會議讓筆者收獲頗深。該會議旨在通過聚集來自聯邦/州/地方市政府網絡專家來探討可能存在的領域內機構、教育以及合作。而通過本次會議，筆者不僅了解到了政府在相關方面的動作，整個行業內網絡安全所面對的一些挑戰同樣被重新定義。

網站安全中的兩個關鍵挑戰

不管行業現狀如何，在談論網站安全問題時人們總會反復提起以下幾點：

• 所有權不明晰

• 理解和知識的匱乏

• 事后影響認識不足

網絡安全威脅定義

有趣的是，對網站安全最大的威脅卻和技術、攻擊演變、服務器環境、開發習慣、開源等或任何介于這之間的因素都沒太大關系。真正的威脅更多地來自網絡的思維方式，這不僅僅指的是網絡用戶，還有那些部署和管理這些環境的人。

就筆者來看，問題圍繞在簡單卻又異常復雜的兩點：

• 教育和認識

• 站點管理員，或缺少管理員

教育和認識

最大的挑戰來自于基本的教育和認識，這也是最令人頭疼的。

讓人驚訝的是，你可能會認為這對非技術人員來說是顯而易見的，但事實并非如此。作為技術人員，我們常常開玩笑不管自己取得了多大成就，對于家人來說我們總是一個 IT 小子。有趣的是，即使是技術人員，我們同樣也會對彼此抱有刻板印象。

“哦，你是干開發的？太好了，你能幫我修一下我的服務器嗎？”

“哦，你是做設計的？太好了，你能幫我搭建一個網站嗎？”

“哦，你是一個系統管理員？酷！你能幫我設計一個網站嗎？”

將這些放在我們常常對那些不懂技術工作人員的抱怨中，你馬上就能找到相似點。搞笑的是，這對系統安全環境一隅同樣適用。

“哦，你是負責安全的？酷，你能看看我的代碼里面有什么漏洞嗎？”

最讓人悲傷的便是，人們在某些權衡中總是會做出錯誤的決定，而這樣產生的影響往往會重度影響到用戶。雖然我討厭這個比喻，但是它的反復出現真的讓我的整個靈魂很受傷。

“我不需要汽車保險。倒霉，我剛撞上了車禍。”

然而我并不能對這種心態感到太過沮喪，因為我自己曾對很多事情抱有甚至可能仍然抱有同樣的觀念：“我應該考慮到”但是很少…

因此，最大的挑戰也就現身了，你該如何去做培養？對一個迅速惡化的問題你又該如何提高認識呢？

最近谷歌發布了被入侵網站現狀。

2015 年迄今為止被入侵的網站數量增加了 180%。雖然由于術語“入侵（ hacked ）”定義繁多，讓該增長百分比顯得有一點含糊，也許對該術語分類處理后結果（例如：惡意軟件分配、搜索引擎優化垃圾、網絡釣魚等等）會更多，但這仍然是一個很有意思的數據。

網站安全知識匱乏可以理解，但更讓人擔憂的是憂患意識和所有權意識的缺乏。

“嘿，內容/網站經理，你是怎樣管理網絡安全的？”“不知道，這不屬于我的部門業務，IT團隊處理這些問題?！?/p>

“好，我能理解這種情緒。那讓我和IT組的同學聊一聊..”

“嘿，IT組的同學們，你們是怎么管理網站安全的？ 這不是我們的業務，你去找找網站/內容團隊吧?！?/p>

這聽起來是不是有點耳熟？應該是的，因為在幾乎所有的行業中我一次又一次地聽到。這也是為什么糟糕演員會不停獲勝的原因?？杀氖聦嵤牵杏蛎M織都面臨著資源短缺的問題，這既體現在技術方面也體現在資金方面。雖然對組織來說線上呈現很重要，但對于該線上資產的安全性卻并沒有多少關注，至少在問題出現前是如此。

站點管理員，或是沒有站點管理員…

我仍然覺得僅次于教育和認識最大的問題存在于網站管理這塊短板上，這同時被我的客戶和不同的讀者每天證實著?？杀氖?，同樣的問題困擾著所有的行業，從小型企業到大型企業再到聯邦和州立組織莫不是如此。

我的一些朋友取笑我使用網址管理員（網管）這一術語。他們說這很像 1990，而網站擁有者并不是這樣。我認為不論他們觀點如何，他們并不將自己視為站點管理員，而與他們打交道你必須知道他們對自己的身份認識。

“如果它走起路來和說起話來都像一只鴨子，那么有可能它就是一只鴨子。”

從市場和銷售的視角，我能明白這個觀點和背后的情緒，但這并不意味著我不覺得這讓人很生氣。正是這種觀念讓網站最終倒閉。它不斷地宣傳自身的行為和行動最終在某個折衷之后不得不面對上門道歉。我很同情組織機構不得不面對的掙扎。

每天都有新的事情需要去做，作為組織他們必須不斷工作以便能在不斷進化的行業中保持領先優勢。這時你發現沒人愿意擔事兒，并在卸掉某個責任后長舒一口氣。但是，我們不能忘記的這么做并不意味這我們就撇開了所有權，我們必須裝備它要求的技能，尤其是知識，來保護它。尤其是在你管理的這些東西可能會直接代表你的受眾和品牌，并對它們有可能產生負面影響的時候。

如果你是那個挺身而出的可憐人，我贊揚你，但是你必須明白類似“那不是我的責任”的回答是不可接受的。如果你接受了這個職位，那么（網站）所有權就是你的，不管你愿意與否。每天我都看見這一點對全世界網站擁有者的毀滅性的影響。沒有比必須獨立承擔起機構利益損失和品牌損害更糟的感覺了，最糟的是由于你的網站遭木馬入侵導致別人財務憑證被盜而失去了一生的積蓄。

網站所有者責任重大

一個人管理網站很容易讓人想到的僅僅是推送內容、更新設計或是其他任何相關的單調工作。相信我，我知道這里面的痛苦。直到現在，我和我的合伙人仍舊是最后檢查推送到我們財產上的代碼的兩個人。的確，我們的工作被簡化了，因為我們已經擁有了一個很好的安全文化，這使得事情對于我們容易多了，但這正意味著在該過程很重要。

除了網站的實際管理外，真正的重擔應該更多地放在我們的網站對整體互聯網的影響。網站仍是各種惡意軟件的主要攻擊對象，雖然有人可能會說桌面和手機應用正開始迅速地占領網站的主導地位。

網站面對的受眾是所有的人，從國家總統，到政府官員和家庭，到在遍布世界的企業單位工作的每個人。生活在一個不斷進化的互聯世界，我們和它打著交道，因此使這份體驗盡可能地安全是每個人義不容辭的責任。

原文地址：http://perezbox.com/2015/09/two-critical-challenges-facing-website-security/

如今，多樣化的攻擊手段層出不窮，傳統安全解決方案越來越難以應對網絡安全攻擊。OneRASP 實時應用自我保護技術,可以為軟件產品提供精準的實時保護，使其免受漏洞所累。想閱讀更多技術文章，請訪問 OneAPM 官方技術博客。

本文轉自 OneAPM 官方博客