企业要做好网站安全建设工作,一般需要注意这些网站安全防护要求:安全管理制度、Web应用安全、中间件、数据库安全、主机安全和网络安全 。
首先我们来了解一些网站安全相关的一些名词概念,便于之后了解网站安全防护要求的具体内容 。
什么是“安全漏洞”?
通用型漏洞:系统、软件、组件或框架产品本身的漏洞,影响所有依赖于该产品的应用,如weblogic、mysql、jdk等;
事件型漏洞:应用产品本身因设计或配置导致的漏洞;
什么是“安全基线”?
涉及产品:主机、数据库、中间件及其它重要软件(openssh、ftp等);
安全管理制度
配置范围:账户策略、日志策略、敏感文件权限、防火墙策略等安全策略;
上线前要求:
资产备案(开放端口情况、防火墙策略、重要软件版本及补丁情况等);
应用安全测试及主机安全扫描;
安全基线配置及其它安全措施;
选用最新版本软件并确定打补丁方式;
上线后要求:
【xp防火墙设置 Xp防火墙设置ip访问权限】定时修改管理员密码;
跟进系统、中间件、数据库、重要软件漏洞发布情况,及时更新;
使用服务器时具备安全意识:
不安装、运行来历不明的软件;
不在做无关操作(如浏览网页或查看邮件);
不使用USB等外部设备;
如何做好Web应用安全
web应用漏洞修复;
设置强密码:至少8位,由数字、密码、特殊字符组成;避免出现简单词组,如admin、PassW0rd、Test、aisino等;
网站后台管理页面设访问权限:仅允许内网中管理员ip访问;
第三方组件及时升级:如struts2;
网站备份不可放在web应用部署目录中;
安装web应用防火墙:如安全狗;
中间件及数据库软件安全
中间件安全要求:
强密码;
后台管理页面关闭或做访问限制;
使用无漏洞版本,及时升级;
使用非root用户启动;
安全基线;
数据库安全要求:
强密码;修改默认用户名、密码;
为数据库连接端口、数据库管理页面做访问限制;
应用连接数据库的账户不可使用DBA权限;
使用无漏洞版本,及时升级;
安全基线;
主机安全
停止运行不必要的软件;
设置强密码;禁用Guest账户;
主机安全基线;
关闭危险端口;仅开放必要端口;
如windows需关闭135、137、139、445端口;
对不需要对外网公开的端口或服务加IP访问限制:
举例:如ssh(22)、rpd(3389);
途径:系统自带防火墙、网络防火墙或路由;
及时升级系统补丁及重要软件补丁;
安装杀毒软件:终端扫描文件上传目录;
网络安全
强密码:重要网络设备如路由器、防火墙等;
访问控制:在网络防火墙层面设置ip、端口的访问权限,禁止数据库服务器ip及数据库端口对外网开放;
Web服务器与公司内部网络分离;
IPS、IDS设备;
网站安全不仅仅就是做好网站后台管理系统安全建设就可以了,还涉及一些网络访问权限设置、网络部署管理,还有就是日常网站安全监测的问题 。希望上述内容,能够帮助做网站安全防护建设
推荐阅读
- 烧带鱼的做法 烧带鱼的做法烧带鱼的家常做法
- 智能马桶有什么优点
- 韩国最红女子组合明星 韩国最红女子组合
- aminoacid氨基酸洗面奶成分表 aminoacid氨基酸洗面奶成分分析
- 云顶之奕怎么换
- 湖南科技职业学院排名多少?在湖南排第几位?怎么样好不好?
- 宿迁学院2021年录取分数线是多少?文理科最低分及位次
- 南京信息职业技术学院排名多少?在江苏排第几位?怎么样好不好?
- 台州学院值得上吗?算好二本吗?是什么档次的大学?