10大网站安全防护措施解读.pdfVIP

网站安全问题可以说是现在最引人关注的问题，有关服务器安全、用户隐私安全、企业数据安全的文 章和争论从来没有停息过。系统管理员作为网站安全的第一道哨岗，既要确保网站服务器系统的安全，也 要考虑到网站应用的一些基本安全防护。这篇总结对于服务器端的安全防护思路介绍的相当详细。但是要 保护网站的安全运作， 仅仅针对服务器系统本身的防护是不够的， 还需要有一个更全局的视角和防范思路。 本文中介绍的十条措施虽然涉及到用户身份验证、 数据加密传输、 子网划分、 灾难备份等多个方面的内容， 但所有这些其实都是维护网站安全最低限度 需要做到的事情。文章并没有深入的介绍每一个方面应如何实 施，主要是给大家提供思路，为广大运维人员提供参考。 措施 1：网站用户的身份认证 一般可以采用用户名 + 密码验证， 确认用户登录身份， 并根据数据库中预设的权限， 向用户展示相应的界面。 对于重要的网站应用，需要根据 PKI 机制，验证用户提供的证书，从而对用户身份认证（服务器对客户端 认证），并确保交易的不可抵赖性。证书的提供可以采用两种方式：文件证书或是 USB 设备存储的证书。 文件证书保存在用户磁盘和文件系统上，有一定的安全风险，但是可以免费； USB 证书安全性高，但是一 般需要向用户收费。 有关身份认证的具体操作，编辑推荐读者们关注 51CTO 安全频道的 身份认证技术专题 。 措施 2 ：网站数据的加密传输 对于使用 Web 浏览器的网上系统应用， 采用 SSL+ 数字证书结合的方式 （即HTTPS 协议），保证通信数据 的加密传输，同时也保证了用户端对服务器端的认证，避免用户被冒充合法网站的 钓鱼网站“ ”欺骗，从而 泄露机密信息（用户名和密码等） ，造成不可挽回的经济损失。 如何建立 SSL （HTTPS ）网站？ 鸟哥的私房菜 里面有一章进行了 简单的介绍 。 措施 3 ：用户账号使用行为的日志记录及其审计 系统服务器侧应根据账号，对用户的使用行为进行详细的日志记录和审计，通过上述因素的日志记录，进 行阶段性的审计 （时间间隔应该比较小） ，从而做到发现用户账号的盗用、 恶意使用等问题， 尽早进行处理。 措施 4 ：恶意用户流量的检测、过滤及阻断 系统服务器侧应部署 IDS 入侵检测系统、 IPS 入侵防护系统、防火墙等设备，或者部署目前高效、流行的 UTM （统一威胁管理）设备，对恶意用户采用的各种攻击手段进行检测和防护，重点过滤恶意流量、突发 流量等。 措施 5 ：对非正常应用请求的过滤和处理 系统的服务器端， 尤其是数据库服务器端， 应该通过配置和增加对用户非常长应用请求的过滤和处理模块， 以避免由于数据库的自身漏洞未及时打上补丁而遭受目前流行的 SQL 注入攻击 等。 措施 6 ：合理的子网划分及流量分割 系统服务器侧包括大量的服务器类型，包括数据库服务器、 Web 服务器、 FTP 服务器、邮件服务器等，为 了避免由于恶意流量造成的某种服务器崩溃， 而引起的攻击后果扩散， 并最终导致其他服务器也发生 “雪崩 效应 ”，则需要通过子网隔离（比如 VLAN 划分）、DMZ 区域 的设定等方式来将这些服务器放置在不同的安 全域当中，做到流量和数据的安全隔离，从而将服务器端在遭受攻击后对整个业务系统及其他内网资源和 数据造成的影响尽量控制在最低的范围内。 参考阅读： VLAN 的划分方法 措施 7 ：负载均衡及负载保护机制 系统面临着巨大的服务量， 服务器端的设备基本上都需要有多台服务器进行业务分担， 这样才能提高性能， 避免处理瓶颈的出现，因此，需要采用合理的负载均衡和负载保护机制： ◆对各服务器的业务流量进行有效地分担， 可按照 Round Robin 、LRU 等方式来进行负载均衡 （学习电脑） ◆负载保护机制需要实时地对每台服