网站安全策略
时间:2023-04-19 09:00:02 | 来源:网站运营
时间:2023-04-19 09:00:02 来源:网站运营
网站安全策略:网站的组成,基本上可以划分为三部分,server端、机房switch/router、用户clients,一个网站的安全策略,应该覆盖这三部分,每部分都有明确的规则,才可以打造一个相对比较安全的网站。毕竟,网站的安全有木桶效应,一个部分被hack,这个网站就是一个不安全的网站。
一、Server端
网站安全最重要的部分是对server端进行管控。
1、开发团队必须要有基本的网站安全开发常识,比如0day,sql-injection、XSS、CSRF、恶意上传(脚本语言的网站尤其要注意)等。对于用户的敏感信息需要加密保存(salt-hash);
2、测试团队的渗透测试要到位,也可与第三方的安全团队进行合作,采用定制化的安全方案。
3、运维团队要妥善保管各个主机及软件的账号密码,维护主机的日常健康检查,和日常更新。
二、机房switch/router:
网站在选择空间时需要注意,网上有很多不知名的空间商给出的网站空间价格很低,往往这种便宜的空间,安全性极差,因为空间/服务器需要专门的人员去进行维护,需要对服务器进行配置,设置服务器文件的权限等等。建议可以选择一款高效的web应用防火墙,Imperva的防火墙和CDN都是不错的。
如果是自建机房,建议由经验丰富的运维人员来管理维护。
某些主机如果只是内部人员访问的,应该增设ip访问权限(VPN网络的管理也要加强)。可以避免被nmap等工具扫描
对于阿里云这类云主机,可以很方便地设置switch/router/安全规则,尽量重视。
三、用户client:
对于一些涉及支付交易的网站,给出明确的提示如(不可以在公共场所的电脑登录,并妥善保管密码)。或强制用户使用强密码登录
加强终端控制。由于部分终端可能是以APP的形式存在,那么业务开发的时候也要考虑到终端版本,强制用户升级或者推热修复补丁,强烈建议留push通道,不要只留pull通道,这样可以大大提高推新版本的覆盖率,便于实施安全手段。
在线咨询
