18143453325 在线咨询 在线咨询
18143453325 在线咨询
所在位置: 首页 > 营销资讯 > 网站运营 > 网站安全策略

网站安全策略

时间:2023-04-19 09:00:02 | 来源:网站运营

时间:2023-04-19 09:00:02 来源:网站运营

网站安全策略:网站的组成,基本上可以划分为三部分,server端、机房switch/router、用户clients,一个网站的安全策略,应该覆盖这三部分,每部分都有明确的规则,才可以打造一个相对比较安全的网站。毕竟,网站的安全有木桶效应,一个部分被hack,这个网站就是一个不安全的网站。

一、Server端

网站安全最重要的部分是对server端进行管控。

1、开发团队必须要有基本的网站安全开发常识,比如0day,sql-injection、XSS、CSRF、恶意上传(脚本语言的网站尤其要注意)等。对于用户的敏感信息需要加密保存(salt-hash);

2、测试团队的渗透测试要到位,也可与第三方的安全团队进行合作,采用定制化的安全方案。

3、运维团队要妥善保管各个主机及软件的账号密码,维护主机的日常健康检查,和日常更新。

二、机房switch/router:

网站在选择空间时需要注意,网上有很多不知名的空间商给出的网站空间价格很低,往往这种便宜的空间,安全性极差,因为空间/服务器需要专门的人员去进行维护,需要对服务器进行配置,设置服务器文件的权限等等。建议可以选择一款高效的web应用防火墙,Imperva的防火墙和CDN都是不错的。

如果是自建机房,建议由经验丰富的运维人员来管理维护。

某些主机如果只是内部人员访问的,应该增设ip访问权限(VPN网络的管理也要加强)。可以避免被nmap等工具扫描

对于阿里云这类云主机,可以很方便地设置switch/router/安全规则,尽量重视。

三、用户client:

对于一些涉及支付交易的网站,给出明确的提示如(不可以在公共场所的电脑登录,并妥善保管密码)。或强制用户使用强密码登录

加强终端控制。由于部分终端可能是以APP的形式存在,那么业务开发的时候也要考虑到终端版本,强制用户升级或者推热修复补丁,强烈建议留push通道,不要只留pull通道,这样可以大大提高推新版本的覆盖率,便于实施安全手段。

关键词:策略,安全

74
73
25
news

版权所有© 亿企邦 1997-2025 保留一切法律许可权利。

为了最佳展示效果,本站不支持IE9及以下版本的浏览器,建议您使用谷歌Chrome浏览器。 点击下载Chrome浏览器
关闭