Skip to main content
 Web开发网 » 站长学院 » 浏览器插件

智安网络丨网站安全防护需要关注哪些问题?

2021年11月18日5990百度已收录

智安网络丨网站安全防护需要关注哪些问题?  网站防护 第1张

企业要做好网站安全建设工作,一般需要注意这些网站安全防护要求:安全管理制度、Web应用安全、中间件、数据库安全、主机安全和网络安全。

首先我们来了解一些网站安全相关的一些名词概念,便于之后了解网站安全防护要求的具体内容。

什么是“安全漏洞”?

通用型漏洞:系统、软件、组件或框架产品本身的漏洞,影响所有依赖于该产品的应用,如weblogic、mysql、jdk等;

事件型漏洞:应用产品本身因设计或配置导致的漏洞;

什么是“安全基线”?

涉及产品:主机、数据库、中间件及其它重要软件(openssh、ftp等);

安全管理制度

配置范围:账户策略、日志策略、敏感文件权限、防火墙策略等安全策略;

上线前要求:

资产备案(开放端口情况、防火墙策略、重要软件版本及补丁情况等);

应用安全测试及主机安全扫描;

安全基线配置及其它安全措施;

选用最新版本软件并确定打补丁方式;

上线后要求:

定时修改管理员密码;

跟进系统、中间件、数据库、重要软件漏洞发布情况,及时更新;

使用服务器时具备安全意识:

不安装、运行来历不明的软件;

不在做无关操作(如浏览网页或查看邮件);

不使用USB等外部设备;

 如何做好Web应用安全

web应用漏洞修复;

设置强密码:至少8位,由数字、密码、特殊字符组成;避免出现简单词组,如admin、PassW0rd、Test、aisino等;

网站后台管理页面设访问权限:仅允许内网中管理员ip访问;

第三方组件及时升级:如struts2;

网站备份不可放在web应用部署目录中;

安装web应用防火墙:如安全狗;

中间件及数据库软件安全

中间件安全要求:

强密码;

后台管理页面关闭或做访问限制;

使用无漏洞版本,及时升级;

使用非root用户启动;

安全基线;

数据库安全要求:

强密码;修改默认用户名、密码;

为数据库连接端口、数据库管理页面做访问限制;

应用连接数据库的账户不可使用DBA权限;

使用无漏洞版本,及时升级;

安全基线;

 主机安全

停止运行不必要的软件;

设置强密码;禁用Guest账户;

主机安全基线;

关闭危险端口;仅开放必要端口;

如windows需关闭135、137、139、445端口;

对不需要对外网公开的端口或服务加IP访问限制:

举例:如ssh(22)、rpd(3389);

途径:系统自带防火墙、网络防火墙或路由;

及时升级系统补丁及重要软件补丁;

安装杀毒软件:终端扫描文件上传目录;

网络安全

强密码:重要网络设备如路由器、防火墙等;

访问控制:在网络防火墙层面设置ip、端口的访问权限,禁止数据库服务器ip及数据库端口对外网开放;

Web服务器与公司内部网络分离;

IPS、IDS设备;

网站安全不仅仅就是做好网站后台管理系统安全建设就可以了,还涉及一些网络访问权限设置、网络部署管理,还有就是日常网站安全监测的问题。希望上述内容,能够帮助做网站安全防护建设

评论列表暂无评论
发表评论
微信