网站安全策略解决方案.docVIP

网站安全策略解决方案 web安全策略解决方案 　　第一部分 web的安全需求 　　1.1 Web安全的体系结构，包括主机安全，网络安全和应用安全; 　　1.2 Web浏览器和服务器的安全需求; 　　在已知的web服务器(包括软硬件)漏洞中，针对该类型web服务器的攻击最少; 　　对服务器的管理操作只能由授权用户执行; 　　拒绝通过web访问web服务器上不公开发布的内容; 　　禁止内嵌在OS或者 web server软件中的不必要的网络服务; 　　有能力控制对各种形式的.exe程序的访问; 　　能够对web操作进行日志记录，以便于进行入侵检测和入侵企图分析; 　　具有适当的容错功能; 　　1.3 Web传输的安全需求 　　Web服务器必须和内部网络隔离： 　　有四种实现方式，应选择使用高性能的cisco防火墙实现隔离 　　Web服务器必须和数据库隔离; 　　维护一份web站点的安全拷贝：来自开发人员最终发布的版本(内容安全); 　　其次，存储的地点是安全的(另一台独立的位于防火墙之后的内网的主机); 　　还有，定期备份应该使用磁带，可擦写光盘等媒介; 　　1.4 Web面临的威胁：信息泄露，拒绝服务，系统崩溃，跳板。 　　第二部分 web服务器的安全策略 　　主机操作系统是web的直接支撑着，必须合理配置主机系统，为WEB 服务器提供安全支持： 　　只提供必要的服务; 　　某种服务被攻击不影响其它服务; 　　使用运行在其它主机上的辅助工具并启动安全日志; 　　设置web服务器访问控制规则： 　　通过IP,子网，域名来控制; 　　通过口令控制; 　　使用公用密钥加密算法; 　　设置web服务器目录权限; 　　关闭安全性脆弱的web服务器功能例如：自动目录列表功能;符号连接等 　　谨慎组织web服务器的内容： 　　链接检查; 　　CGI程序检测(如果采用此技术); 　　定期对web服务器进行安全检查; 　　辅助工具：SSH; 　　文件系统完整性检测工具; 　　入侵检测工具; 　　日志审计工具; 　　第三部分 web攻击与反攻击 　　入侵检测方法： 　　物理检查; 　　紧急检查; 　　追捕入侵者; 　　攻击的类型： 　　拒绝服务; 　　第四部分 源代码的安全及约束规则 　　不能留有后门程序和漏洞，包括系统架构是否合理，是否符合安全需求汇编反汇编、病毒反病毒。 　　最后，至于 cookies的安全、加密技术、web浏览器的安全、web服务器的安全每个公司设置的规则都不一样，因人而异。 网站安全解决方案:防止SQL注入攻击五种有效方法 在近半年来的SQL注入攻击中，这一点尤其明显，在其中，后端数据库可能被恶意代码感染。清理这种攻击的后遗症是很痛苦的，有许多案例证明，清理数据库之后，几小时后会再次遭受攻击。最佳的方法是预防，从一开始就想方设法避免遭受攻击。 ???? ????在此，笔者只是总结几条技巧，站点所有者和管理员可以遵循之，便可以将遭受攻击的机会最小化。 ???? ????制定最佳方法 ???? ????SQL注入攻击并不是新东西，攻击者们掌握这项技巧已经有许多年了。近些日子，许多网站发表了一些文章提供了一些资源，帮助开发人员编写安全代码。安全管理人员应当制定一些通用的安全方法，下面给出三点建议。一、建立参数化的存储进程，二、最少特权连接，三、仅对所有的存储进程授权“运行”许可，四、仅对应用程序域组授予许可。 ???? ????除了一开始就注意安全地开发应用程序，对现有的应用程序实施评估是很重要的，这包括对第三方的应用程序。可以利用惠普发布的Scrawlr来帮助开发人员查找包含漏洞的页面。此外，谷歌提供的ratproxy也是不错的选择。 ???? ????尽可能少的特权 ???? ????开发人员应当确保Web应用程序以最少的特权运行，千万不要使用管理员账户运行，如避免使用db_owner 或 sysadmin等账号运行。 ???? ????服务器日志 ???? ????跟踪日志对于诊断攻击是很有用的。近半年以来的SQL注入攻击都是通过恶意的HTTP请求发生的。对服务器中的URI查询串进行检查可有助于确认攻击，并可成为日后调查的起始点。 ???? ????第三方厂商 ???? ????如果单位使用第三方开发的软件，要确保其遵循最佳的方法。要特别关注其程序的测试，要关注其开发力量和软件升级能力。 ???? ????保护Web应用程序 ???? ????现在的市场上，有各种各样的产品可以强化Web应用程序的安全，防御一些攻击。但这些不能成为代替开发安全程序的最佳方法和技巧。例如，Web应用程序防火墙中，现在有大量的商业产品可以选择。有的防火墙，如IPS方案可有助于保护Web服务器免受攻击