网站安全维护方案.docVIP

网站安全维护方案 安徽森淼网络有限公司 2017年7月8日 目录 前言、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、3 网络安全状况、、、、、、、、、、、、、、、、、、、、、、、、、、3 网站安全维护、、、、、、、、、、、、、、、、、、、、、、、、、、4 3、1服务器安全维护、、、、、、、、、、、、、、、、、、、、、4 3、1、1日常维护、、、、、、、、、、、、、、、、、、、、、、、、4 3、2 WEB网站安全维护、、、、、、、、、、、、、、、、、、5 3、3网站安全监测、、、、、、、、、、、、、、、、、、、、、、6 3、4安全应急响应、、、、、、、、、、、、、、、、、、、、、、7 服务内容、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、7 5、服务报价、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、8 1、?前言? 网络得迅猛发展为经济与社会发展带来了巨大得影响,不断完善得网络信息化,使政府、科研机构、大型企事业都受益无穷,并有效提高了工作效率。? 不过,人们在享受着信息化成果得同时,也同样面临被网络攻击与网络危害得风险。近年来,针对网站得攻击越来越多,利用网站及服务器得漏洞进行网站入侵,入侵成功后进行网页篡改、网页挂马、订单修改、用户欺骗、盗取她人银行账户,甚至有些攻击者非法入侵网站后,进行法轮功宣传、散布台独、藏独反动言论等,这些都为国家与企事业带来了不可估量得损失 作为网站管理者,若能主动发现网站服务器漏洞与Web网站漏洞,并积极采取补救措施,就可以很大程度降低网站安全风险,减少损失。然而,这一切都需要专业得人员,进行长期得监控,相应得投入会比较大。针对这一情况,网站管理人员,可以将网站得安全维护工作,交由第三方得专业公司或机构,由第三方对网站进行安全维护,从而在最小投资得情况下,将安全隐患拒之门外,保障网站得持续、可靠、安全运行。? 2、?网站安全状况? 目前,主流得网站架构就是Linux?+?Apache?+?Mysql?+?PHP。Linux、windows就是操作系统,Apache、Mysql、PHP归属于Web网站,所以一个网站得安状况,需要同时分析服务器操作系统得安全状况,以及Web网站得安全状况。任何一方存在安全漏洞与隐患,都可能为网站带来严重得安全威胁。? 通常情况下,Web网站设计者在设计网站时,会将绝大多数精力花在考虑满足用户应用,如何实现业务等方面,而很少考虑网站开发过程中所存在得安全漏洞。这些漏洞在不关注网站安全得用户眼里几乎不可见,在正常得网站访问过程中,这些漏洞也不会被察觉。但对于恶意得攻击者而言,这些漏洞很可能会对网站带来致命得危害。? 同时,如果Apache、Mysql、PHP等程序存在安全漏洞,也可能导致网站被攻击 ?网站安全维护服务? 一般情况下,攻击者要入侵一个网站,会从以下几个方面入手: ?1)?利用网站源代码自身得安全漏洞进行入侵,如SQL注入、XSS跨站。 ?2)?利用搭建网站程序得安全漏洞进行入侵,如Apache漏洞,Mysql漏洞。? 3)?利用操作系统得安全漏洞进行入侵,如缓冲区溢出。? 所以,对网站进行安全维护,需要同时从服务器、Web网站、安全应急响应3个方面进行。这样既可保证服务器得安全,也可确保网站得安全;既可对服务器与Web网站进行全程维护与定期检查,也可在出现安全事件时进行及时得应急响应 3、1?服务器安全维护? 对服务器得安全维护工作,包括日常维护与安全检测两个部分,具体如下:?3、1、1?日常维护? 1)?操作系统安装、配置、日常维护。? 2)?操作系统账户审核,对账户与密码进行安全性审核,确定账户得安全性。?3)?操作系统日志分析,确定系统运行得状态。? 4)?操作系统上必须开启服务得安装、配置、日常维护,如Apache、Sendmail。具体 得服务根据用户得需求而定。?5)?数据库得安装、配置、日常维护。?6)?用户网站得数据备份 3、1、2?安全检测? 1)?操作系统漏洞检测。定期对系统进行漏洞扫描,并模拟黑客从互联网上对网站服务 器进行渗透攻击,以检测系统得安全状况 2)?操作系统安全加固,禁止不必要开放得端口、不安全得服务,启用防火墙安全策略, 设置安全得并发会话等。? 3)?在检测到操作系统得安全漏洞时,及时对其进行修补,以保障服务器得安全 3、2?WEB网站安全维护? 网站安全维护,就是一项为了防止web网站被非法入侵(如篡改网页、盗取网页数据、网站挂马),对web网站进行得授权漏洞检测与安全防御工作。一般采用得方法就是,从互联网模拟黑客对web网站进行扫描测试,找出web网站中可能被黑客利用得弱点,并进行修复。通过对web网站上得漏洞进行有效检测与修复,