网站安全策略解决方案.pdf

网站安全策略解决方案 web 安全策略解决方案 第一部分 web 的安全需求 1.1 Web 安全的体系结构，包括主机安全，网络安全和应用安全 ; 1.2 Web 浏览器和服务器的安全需求 ; 在已知的 web 服务器 (包括软硬件 )漏洞中，针对该类型 web 服务器的攻击最少 ; 对服务器的管理操作只能由授权用户执行 ; 拒绝通过 web 访问 web 服务器上不公开发布的内容 ; 禁止内嵌在 OS 或者 web server 软件中的不必要的网络服务 ; 有能力控制对各种形式的 .exe 程序的访问 ; 能够对 web 操作进行日志记录，以便于进行入侵检测和入侵企图分析 ; 具有适当的容错功能 ; 1.3 Web 传输的安全需求 Web 服务器必须和内部网络隔离： 有四种实现方式，应选择使用高性能的 cisco 防火墙实现隔离 Web 服务器必须和数据库隔离 ; 维护一份 web 站点的安全拷贝：来自开发人员最终发布的版本 ( 内容安全 ); 其次，存储的地点是安全的 (另一台独立的位于防火墙之后的内网的主机 ); 还有，定期备份应该使用磁带，可擦写光盘等媒介 ; 1.4 Web 面临的威胁：信息泄露，拒绝服务，系统崩溃，跳板。 第二部分 web 服务器的安全策略 主机操作系统是 web 的直接支撑着，必须合理配置主机系统，为 WEB 服务器提供 安全支持： 只提供必要的服务 ; 某种服务被攻击不影响其它服务 ; 使用运行在其它主机上的辅助工具并启动安全日志 ; 设置 web 服务器访问控制规则： 通过 IP,子网，域名来控制 ; 通过口令控制 ; 使用公用密钥加密算法 ; 设置 web 服务器目录权限 ; 关闭安全性脆弱的 web 服务器功能例如：自动目录列表功能 ;符号连接等 谨慎组织 web 服务器的内容： 链接检查 ; CGI程序检测 (如果采用此技术 ); 定期对 web 服务器进行安全检查 ; 辅助工具： SSH; 文件系统完整性检测工具 ; 入侵检测工具 ; 日志审计工具 ; 第三部分 web 攻击与反攻击 入侵检测方法： 物理检查 ; 紧急检查 ; 追捕入侵者 ; 攻击的类型： 拒绝服务 ; 第四部分 源代码的安全及约束规则 不能留有后门程序和漏洞， 包括系统架构是否合理， 是否符合安全需求汇编反汇编、 病毒反病毒。 最后，至于 cookies 的安全、加密技术、 web 浏览器的安全、 web 服务器的安全每 个公司设置的规则都不一样，因人而异。 网站安全解决方案 : 防止 SQL注入攻击五种有效方法 在近半年来的 SQL注入攻击中，这一点尤其明显，在其中，后端数据库可能被恶意代码 感染。清理这种攻击的后遗症是很痛苦的，有许多案例证明，清理数据库之后，几小时 后会再次遭受攻击。最佳的方法是预防，从一开始就想方设法避免遭受攻击。 在此，笔者只是总结几条技巧，站点