互联网公司建网站时最应该注意什么?

用户头像
姜奋斗
关注
发布于: 2020 年 08 月 21 日
互联网公司建网站时最应该注意什么?



网站,是互联网时代的企业名片。对于互联网公司来说,没有网站是一件无法想象的事情。也因此,互联网公司在成立之初,首先需要做的事情就是搭建自己的官网。

 

那么,互联网公司应该搭建什么样的官网?换句话说,互联网企业官网应该具备哪些特点?

 

互联网公司搭建网站之前,需要想清楚建站目标。因为这个目标关系到网站的类型。比如,是想做企业展示站、产品推广站、网络商城站还是门户资讯站,需要提前想好。

 

网站类型按性质划分:有展示类、资讯类、服务类、交易类、政府类、资源类等。

 

按功能划分有:品牌型网站,展示型网站,营销型网站,电商型网站,门户型网站。

 

1.品牌型网站:

 

顾名思义,这种类型的网站目的就是为树立品牌形象,因此看上去很高端大气。特点是首页会突出设计展示企业品牌,通常会用一些华丽精美的大图和动感十足的flash动图为主,具有较强的互动性。

 

这类网站一般采用半定制或全定制,网站要求高,费用也高。适合中大型企业,上市公司等有高端品牌建设需求的企业。

 

2.展示型网站:

 

以展示产品、服务为主。这类网站的主要目的是放企业介绍、产品种类、相关服务案例等。比如,产品规格和型号方便潜在客户随时查看产品信息。

 

这类网站的特点是简单、朴实,没有多么华丽的外观,就是一个展示企业产品服务的简单网站。

 

3.营销型网站:

 

近年来企业不断追求和推崇的一类网站。通常将网站布局体现产品用户体验+搜索引擎优化规则的合理性,称为营销型网站建设。关于营销型网站,我其他文章中专门写过,感兴趣可以去我账号查看。

 

营销型网站建站的目的是直接获取销售线索或转化为订单,承担业务员角色,解决用户决策时的心理障碍。顺利促使目标客户留下销售线索或直接下单。这是营销型网站的优点,也是企业偏爱的原因。

 

4.电商型网站(网络商城):

 

电商网站是针对做电商的企业而言的,带有相对应的在线下单功能,主要用来进行企业产品的在线销售。

 

这类网站中会有详细的产品介绍和服务信息。通常网站上会有大量的照片,还会有购物车和付款方式,主要是为了方便用户完成产品的购买。

 

5.门户型网站:

 

门户型网站相对来讲是专注以资讯来展示给访客用户的,分享企业资讯动态。门户型企业网站建设与电子商务型企业网站大不相同。





门户型企业网站通常是为特定的客户搭建的,为他们提供一个资讯交流的平台。通常这类企业网站上会有大量企业资源和企业服务信息,可以很好地将其与其他类型企业网站区别开。

 

想清楚建站目标以后,就可以根据目标去选择相对应的网络建站类型。但这就完了吗?当然不是。

 

想想互联网企业相对于传统企业来说,最大的不同是什么,是高度的数字化。这个数字化体现在营销数字化、商品数字化、门店数字化、供应链数字化等。

 

数字化意味着你的客户大部分来自线上或全部来自线上,用户是一条条数据,而不是像传统企业用户,是一个个看得见的人。产品呈现在线上,也是一条条数据,只有快递到家打开包裹,才能感受到它的重量。

 

既然是数据,就必须保障安全性。因此,网站安全才是互联网公司在建站时,首要考虑和必须解决的问题。

 

Facebook仅在2018年就发生了3次大规模用户数据泄露事件,一度成为互联网行业的焦点,几百亿美元市值因此瞬间蒸发。

 

老实说,这个代价都足以在地球上养活任何一支庞大精锐的安全团队,甚至直接收购几家规模比较大的安全公司都绰绰有余了。

 

目前全球互联网公司的趋势是越来越重视隐私,尤其网站安全领域,也重新被提升到了一个新的高度。

 

互联网企业目前面临的安全威胁和安全挑战,互联网公司的安全需求和安全目标,这些都是互联网企业在制定契合自身业务特性的网站安全规划时,需要重点考虑的问题。

 

从外部环境看,目前互联网整体的安全态势依然存在风险和挑战。企业网站每天都面临着来自各方面的安全威胁,网络攻击、木马病毒、安全漏洞等事件时有发生。企业敏感信息、数据泄露时刻威胁着企业的生存与发展。

 

一旦发生此类网站安全事件,会对企业正常运营、业务发展造成很大不良影响。加上近年来一些重大网络安全事件的频发,被媒体曝光后影响到了整个互联网行业的发展,使得越来越多的互联网企业意识到网站安全的重要性,进而对网站的安全性进行防护和升级。

 

那么,互联网企业面临的安全威胁和挑战主要有哪些?换句话说,常见的网站攻击方式有哪些?

 

比较常见的有:网络黑产、外部黑客、竞争对手、安全漏洞、网络攻击、数据泄露、敏感信息泄露等。

 

以黑客攻击为例。网站攻击的手段有很多,黑客惯用的手段有几下几种:

 

1.阻塞攻击

 

通过强占网站服务器中的存储空间资源,使网站服务器崩溃或资源耗尽,从而无法对外提供服务。这类攻击手段用的方法是拒绝服务攻击(Denial of Service,DOS),该方法是个人或多人利用网络协议组的某些工具,拒绝合法用户对目标系统或信息访问的攻击。

 

攻击成功后的结果是目标系统死机,端口处于停顿状态等。还可以在网站服务器中发送杂乱信息、改变文件名称、删除关键的程序文件等,进而扭曲系统的资源状态,使系统的处理速度降低。

 

2.文件上传漏洞攻击

 

网页代码中文件在上传过程中,由于上传路径变量过滤不严格,产生一些以某种形式存在的安全方面的脆弱环节,被称为网站上传漏洞。利用这个上传漏洞可以随意上传网页木马(如ASP木马网页),连接上传的网页就可以控制整个网站系统。

 

上传漏洞攻击方式对网站安全威胁极大,攻击者可以直接上传就ASP木马文件而得到一个WEBSHELL,进而控制整个网站服务器。

 

3.跨站脚本攻击

 

黑客在远程站点页面HTML代码中插入具有恶意目的的代码,当用户下载该页面,嵌入其中的恶意脚本就被解释执行。跨站脚本攻击方式最常见的有:通过窃取cookie、欺骗打开木马网页,或者直接在存在跨站脚本漏洞的网站中写入注入脚本代码,在网站挂上木马网页等。





4.弱密码的入侵攻击

 

这类攻击首先需要用扫描器探测到SQL账号和密码信息,进而获取预留密码,然后用SQLEXEC等攻击工具通过1433端口连接网站服务器,再开设一个系统账号,通过3389端口登录。

 

这种攻击还会配合WEBSHELL来使用。一般的ASP+MSSQL网站通常会把MSSQL连接密码写到一个配置文件当中,可以用WEBSHELL读取配置文件里面的预留密码,然后上传一个SQL木马来获取系统的控制权限。

 

5.网站旁注入侵

 

这种技术通过IP绑定域名查询的功能查出服务器上有多少网站,再挑选一些防护薄弱的网站实施入侵,拿到权限之后转而控制同一服务器上的其它网站。

 

6.其他脚本攻击

 

网站服务器的漏洞主要集中在各种网页中。由于网页程序编写不严谨,因此出现了各种脚本漏洞,如动图文件上传漏洞、cookie欺骗漏洞等都属于脚本漏洞。

 

除了这几种常见脚本漏洞外,还有一些专门针对某些网站程序出现的脚本程序漏洞,最常见的有用户对输入的数据过滤不严、网站源代码暴露以及远程文件包含漏洞等。

 

这些网站安全问题最直接的会导致用户流失、经济损失、声誉受损、公信力下降等糟糕后果。那么,该如何保障互联网公司网站的安全性呢?

 

仔细观察会发现,上述六种最常见的网站攻击方式中,大部分都与服务器直接相关或间接相关。因此,首先从服务器层面来说说,如何确保互联网企业网站安全。

 

针对服务器,存在两种情况,一种是租别人的服务器,一种是购买的大厂商的服务器(比如阿里云)。

 

一、租用不知名厂商服务器的情况下,网站管理员只能在网站开发方面多下功夫

 

1.一般的攻击主要是针对网站数据库,所以需要在数据库连接文件中添加相应的防攻击代码。比如,在检查网站程序时打开那些含有数据库操作的ASP文件,这些文件是需要防护的页面。在其头部加上相关的防注入代码,最后再把它们都上传到服务器上。

 

2.堵住数据库下载漏洞。换句话说就是不让别人下载数据库文件,并且数据库文件的命名最好复杂并隐藏起来,让别人认不出来。

 

3.网站中最好不要有上传和论坛程序,因为这样极易产生上传文件漏洞以及其他网站漏洞。

 

4.对于后台管理程序的要求,首先不要在网页上显示后台管理程序的入口链接,防止黑客攻击。其次是用户名和密码不能过于简单,而且需要定期更换。

 

5.需要定期查杀网站上的木马,使用专门查杀木马的工具,或使用网站程序集成的检测工具,定期检查网站上是否存在木马。以上除了数据库文件以外,还可以把网站上的文件都改成只读的属性,防止文件被篡改。

 

看到这里,有人就说了,又是加代码,又是堵漏洞,还要定期更换和检查。本来建网站就已经够累了!能不能让我省点心?有没有什么一劳永逸的操作?有,就是上面介绍的第二种,购买阿里云服务器。





二、如果是购买的阿里云服务器,安全问题则无需担心

 

早在2014年,阿里云就曾帮助部署在阿里云上的一家知名游戏公司,成功抵御全球互联网史上最大的一次DDOS攻击。攻击时间长达14个小时,攻击峰值流量达到每秒453.8Gb。

 

现如今,阿里云保护着中国超过40%的网站,防护全国50%的大流量DDOS攻击。每天成功抵挡50亿次攻击,全年帮助用户修复超过833万个高危漏洞。

 

阿里云服务器其他方面的性能优势就不多说了,仅安全可靠这方面就有其他服务商无可比拟的优势。我随便说两点,大家自行感受下:

 

1.提供虚拟防火墙、角色权限控制、内网隔离、防病毒攻击及流量监控等多重安全方案。免费提供 DDoS 防护、木马查杀、防暴力破解等服务,通过多方国际安全认证,ECS云盘支持数据加密功能等。

 

2.同地域多可用区(机房)可为用户提供超高的容灾能力。单实例可用性达99.975%,多可用区多实例可用性达99.995%,云盘可靠性达99.9999999%。可实现自动宕机迁移、快照备份,进一步保障企业服务和数据安全。

 

不管是在网站开发方面下功夫,还是花钱升级服务器,或多或少都存在一些瑕疵。前者对网站开发人员是一个不小的考验,时间上投入的也会比较多。后者会存在一笔额外的支出,对中小企业来说可能会是压力。





其实还有更简便的方法,就是直接找靠谱建站服务商搭建网站。比如,阿里云心选建站主打产品-云速成美站。不仅不需要自己建网站,就连买服务器的钱都省了。价格也不贵,基础版500元/年,标准版998元/年,企业版1998元/年。最关键的是网站很安全稳定。



 https://ac.aliyun.com/application/webdesign/sumei



想想自己建网站,光是招开发人员和设计人员,就得好几万,还不算其他成本。网站建成以后,租或者买服务器是一笔费用。网站推广又是另外一笔开销。这还不算后期为网站运营维护而付出的人力、时间成本。最关键的,建成的网站安全问题不一定能得到保障。

 

使用阿里云速成美站,不需要购买服务器,服务器是包含在建站费用里的。阿里云服务器(ECS)、负载匀衡(SLB)、云数据库(RDS)、云存储(OSS)、网络加速(CDN)等云计算资源集群,以SaaS的方式提供给客户,让每一个网页都能秒开,同时确保互联网公司网站安全与稳定。

 

投入最少,却能收获最大,我实在想不出比这更好的方法了。(配图来源于网络,侵删~)



发布于: 2020 年 08 月 21 日 阅读数: 924
用户头像

姜奋斗

关注

科技创造未来 2020.08.05 加入

芝加哥大学心理学硕士/阿里云建站产品运营

评论

发布
暂无评论
互联网公司建网站时最应该注意什么?