- 1、本文档共55页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
网站安全策略解决方案
web 安全策略解决方案
第一部分 web 的安全需求
1.1 Web 安全的体系结构,包括主机安全,网络安全和应用安全 ;
1.2 Web 浏览器和服务器的安全需求 ;
在已知的 web 服务器 (包括软硬件 )漏洞中,针对该类型 web 服务器的攻击最少 ;
对服务器的管理操作只能由授权用户执行 ;
拒绝通过 web 访问 web 服务器上不公开发布的内容 ;
禁止内嵌在 OS 或者 web server 软件中的不必要的网络服务 ;
有能力控制对各种形式的 .exe 程序的访问 ;
能够对 web 操作进行日志记录,以便于进行入侵检测和入侵企图分析 ;
具有适当的容错功能 ;
1.3 Web 传输的安全需求
Web 服务器必须和内部网络隔离:
有四种实现方式,应选择使用高性能的 cisco 防火墙实现隔离
Web 服务器必须和数据库隔离 ;
维护一份 web 站点的安全拷贝:来自开发人员最终发布的版本 ( 内容安全 );
其次,存储的地点是安全的 (另一台独立的位于防火墙之后的内网的主机 );
还有,定期备份应该使用磁带,可擦写光盘等媒介 ;
1.4 Web 面临的威胁:信息泄露,拒绝服务,系统崩溃,跳板。
第二部分 web 服务器的安全策略
主机操作系统是 web 的直接支撑着,必须合理配置主机系统,为 WEB 服务器提供
安全支持:
只提供必要的服务 ;
某种服务被攻击不影响其它服务 ;
使用运行在其它主机上的辅助工具并启动安全日志 ;
设置 web 服务器访问控制规则:
通过 IP,子网,域名来控制 ;
通过口令控制 ;
使用公用密钥加密算法 ;
设置 web 服务器目录权限 ;
关闭安全性脆弱的 web 服务器功能例如:自动目录列表功能 ;符号连接等
谨慎组织 web 服务器的内容:
链接检查 ;
CGI程序检测 (如果采用此技术 );
定期对 web 服务器进行安全检查 ;
辅助工具: SSH;
文件系统完整性检测工具 ;
入侵检测工具 ;
日志审计工具 ;
第三部分 web 攻击与反攻击
入侵检测方法:
物理检查 ;
紧急检查 ;
追捕入侵者 ;
攻击的类型:
拒绝服务 ;
第四部分 源代码的安全及约束规则
不能留有后门程序和漏洞, 包括系统架构是否合理, 是否符合安全需求汇编反汇编、
病毒反病毒。
最后,至于 cookies 的安全、加密技术、 web 浏览器的安全、 web 服务器的安全每
个公司设置的规则都不一样,因人而异。
网站安全解决方案 : 防止 SQL注入攻击五种有效方法
在近半年来的 SQL注入攻击中,这一点尤其明显,在其中,后端数据库可能被恶意代码
感染。清理这种攻击的后遗症是很痛苦的,有许多案例证明,清理数据库之后,几小时
后会再次遭受攻击。最佳的方法是预防,从一开始就想方设法避免遭受攻击。
在此,笔者只是总结几条技巧,站点
文档评论(0)