百度搜索 与你聊聊互联网安全那些事儿

主页（http://www.kuwanit.com）：百度搜索 与你聊聊互联网安全那些事儿

　　在互联网的时代，网站安全成为保障我们在互联网浪潮中自由冲浪的重要因素。随着全球网络安全态势的日益复杂严峻，WEB安全也成为业界重点关注的热点。近日，百度搜索安全大讲堂北京站开启，百度站长平台联合百度相关安全部门与数位站长汇聚一堂，对有关互联网安全的那些事儿进行了畅聊。

　　百度资深安全工程师马哲超首先为大家分享了当前WEB安全的现状。根据《2016年中国网站安全报告》的调查显示，目前WEB安全态势呈现漏洞多、攻击多、攻击手法多样的态势，形势不容乐观。该报告根据对四十万个网站所进行的观测，共发现九千万个漏洞，数量惊人;而这四十万个网站面临的攻击，则来自124个国家共计17亿次;攻击的手法也是多种多样：SQL注入、HTTP访问控制、服务器的信息泄露、内容的篡改等，都是主流的攻击手法。作为站长，跨站脚本攻击、WEB后门等也同样是其可能面临的常见web安全问题。

　　一般而言，黑客攻击网站往往是为了获取利益，而当一个网站被攻击挂马、页面中插入非法链接后，搜索引擎也会随之做出风险提示。对于网站而言这意味着流量损失、甚至是搜索排位的降权等，对站长和网站本身而言，其利益损失更大。

　　在网站面临如此严峻的安全态势之下，通过对网站https的改造以提升安全系数成为一条重要的WEB安全提升可行之路。对此，百度也提供了HTTPS站点全流程支持的解决方案。

　　BaiduSpider高级工程师吕明指出：HTTPS是基于tls和ssl加密的http协议，网络传输是加密的，因此其安全也是显而易见的，具有防窃听、防篡改、反劫持等优势。

　　据了解，百度已在站长平台增加了全站HTTPS配置功能，方便站长快速地从HTTP模式切换到HTTPS模式。而在完成切换后，百度站长平台也会对HTTPS链接是否可抓取、HTTPS证书是否合法、是否过期、是否与域名一致等进行验证。

　　而针对一些站长对网站进行HTTPS改造后的疑惑，吕明也进行了答疑与解释。他表示：经过百度的验证，站长升级HTTPS不会影响爬虫抓取、对索引量也不会有影响，升级HTTPS后也同样不会影响网站的排名和点击流量，同时，升级HTTPS也不会影响移动适配、不会影响站长平台工具的使用等。

　　而更重要的是，使用HTTPS也是与传统WEB安全防护互补的有力方案。使用HTTPS，对于网站安全所面临的网络流量劫持、搜索返回劫持等安全问题也有很大的应对作用。使用HTTPS，可以解决针对网络通道的劫持和恶意内容插入;网站和搜索厂商都支持HTTPS，则对于加强WEB安全生态和协作建设，打击主动作恶者也有着重要意义。

　　针对对网站进行HTTPS改造的路径，百度云加速高级工程师姜和平也提出了网站安全风险及应对的两大主流方案的建议：一是网站选择主机防护产品并部署、自主进行HTTPS改造;一是使用云WAF防止网站被黑、使用云平台进行网站HTTPS改造。

　　同时，姜和平也指出了两种方案的利弊之处：自主进行主机防护，需要对市面上的主机防护相关技术及产品类别、特点有比较清楚的了解，并且还需要对各家产品进行系统化的搭配组合才能有较好的效果。实施起来费时耗力，复杂度也高，升级维护麻烦，对服务器资源也有消耗。而使用云WAF产品部署简单方便，升级维护不需关心，且防御效果好，对服务器资源无消耗。

　　而云化的HTTPS服务，通过百度云加速等第三方云平台就可以轻松实现。以百度云加速为例：网站使用百度云加速可以简单快速开启HTTPS服务、可以免费使用云WAF和网站加速服务;百度云加速HTTPS平台还对爬虫进行了兼容处理，HTTPS服务相关保障项也可以由百度云加速来处理。

　　相较而言，使用云平台进行网站HTTPS化和云WAF部署和运维简化，对技术能力要求低，可以复用整个云平台的相关能力，有问题时可得到云平台的技术和服务团队支持。

　　网站安全防护绝非一日之功，而是需要长期进行关注和时时予以应对的。对此，百度也将持续通过百度学院、百度站长平台等公众号不断传播相关网站安全的教育文章，引导业界对WEB安全的关注与实践。