web安全方案.docVIP

WEB网站安全前期设置 一．Web用户帐号 强制web用户管理口令的强度，如8位以上的数字、字母以及特殊字符的组合； 在web登陆页面添加校验码，以防止攻击者使用攻击进行口令猜测； WEB系统添加用户登陆出错次数限制，以防止攻击者猜测口令； 删除不需要的帐号，如测试时添加的帐号。 二．web程序漏洞 1. 防范SQL注入，对参数进行过滤，比如过滤SQL中常用的关键字（例如and、or、select、exec等），过滤一些特殊字符（例如’、--等） 2.跨站脚本的防范，校验用户输入的内容，过滤html使用的特殊字符（如、、、#等） 注：SQL注入和跨站脚本都是目前流行的web攻击方式，可以获得网站权限从而删除、修改网站数据，甚至获得服务器权限。 三．信息泄露 1.自定义出错页面，避免泄露系统信息。 2.删除测试页面及bak文件，防止泄露web源代码。 3关闭web目录浏览，防止泄露页面目录信息。 四．安装防病毒软件和防火墙 1．安装防病毒软件NOD32，并自动更新至最新。NOD32防病毒软件系统，能够针对各种已知或未知病毒、间谍软件（spyware）、rootkits和其他恶意软件为计算机系统提供实时保护BlackICE集成有非常强大的检测和分析引擎，可以识别 200 多种入侵技巧，给你全面的网络检测以及系统防护，它还能即时监测网络端口和协议，拦截所有可疑的网络入侵 WEB网站发生安全事故后处理方案 关闭WEB服务器的业务应用。迅速发出紧急警报，进行事故分析，确定处理方案 分析网络，确定事故源。使用各种网络管理工具，迅速确定事故源，按相关程序进行处理。 事故源处理完成后，逐步恢复业务运行，监控事故源是否依然存在。 针对此次事故，进一步确定相关安全措施、总结经验，加强防范。