当前位置: 首页 -> 服务指南 -> 网站管理 -> 正文

网站安全保障措施

发布时间:2016年03月26日 来源: 作者:咸阳市中心医院 点击次数:

第一部分 web的安全需求

1.1 Web安全的体系结构,包括主机安全,网络安全和应用安全;

1.2 Web浏览器和服务器的安全需求;

在已知的web服务器(包括软硬件)漏洞中,针对该类型web服务器的攻击最少;

对服务器的管理操作只能由授权用户执行;

拒绝通过web访问web服务器上不公开发布的内容;

禁止内嵌在OS或者 web server软件中的不必要的网络服务;

有能力控制对各种形式的.exe程序的访问;

能够对web操作进行日志记录,以便于进行入侵检测和入侵企图分析;

具有适当的容错功能;

1.3 Web传输的安全需求

Web服务器必须和内部网络隔离:

有四种实现方式,应选择使用高性能的cisco防火墙实现隔离

Web服务器必须和数据库隔离;

维护一份web站点的安全拷贝:来自开发人员最终发布的版本(内容安全);

其次,存储的地点是安全的(另一台独立的位于防火墙之后的内网的主机);

还有,定期备份应该使用磁带,可擦写光盘等媒介;

1.4 Web面临的威胁:信息泄露,拒绝服务,系统崩溃,跳板。

第二部分 web服务器的安全策略

主机操作系统是web的直接支撑着,必须合理配置主机系统,为WEB 服务器提供安全支持:

只提供必要的服务;

某种服务被攻击不影响其它服务;

使用运行在其它主机上的辅助工具并启动安全日志;

设置web服务器访问控制规则:

通过IP,子网,域名来控制;

通过口令控制;

使用公用密钥加密算法;

设置web服务器目录权限;

关闭安全性脆弱的web服务器功能例如:自动目录列表功能;符号连接等

谨慎组织web服务器的内容:

链接检查;

CGI程序检测(如果采用此技术);

定期对web服务器进行安全检查;

辅助工具:SSH;

文件系统完整性检测工具;

入侵检测工具;

日志审计工具;

第三部分 web攻击与反攻击

入侵检测方法:

物理检查;

紧急检查;

追捕入侵者;

攻击的类型:

拒绝服务;

第四部分 源代码的安全及约束规则

不能留有后门程序和漏洞,包括系统架构是否合理,是否符合安全需求汇编反汇编、病毒反病毒。

最后,至于 cookies的安全、加密技术、web浏览器的安全、web服务器的安全每个公司设置的规则都不一样,因人而异。

站内搜索: