上鸿观点

网站安全介绍

Tags:

2013/4/11 11:19:56 by Michael

网站整体架构如下图所示,通过下面的层级结构图,我们会发现网站安全会涉及到在各个层面,包括服务器硬件、服务器操作系统、服务器上的软件、数据库等。必须在各个方面做好防护准备。

网站安全注意如下:
一、服务器安全
1、 服务器硬件
服务器硬件是网站运行的硬件基础。目前比较好的硬件是IBM的服务器。同时购买7*24小时编修服务。
2、 服务器操作系统
所有的软件和服务都是基于操作系统的。目前服务器上主要用的操作系统是windows和LINUX。但是服务器方面LINUX是主流。因为LINUX是开源的,大部分的安全漏洞可以及时被发现和修复,安全性比较高。
3、 服务器杀毒防火墙
如果服务器选用LINUX可以设置强口令,并选用一款合适的杀毒软件(如:Avira AntiVir Personal - FREE Antivirus)。
4、 服务器管理
服务器日常管理包括过一段时间修改口令,服务器系统的漏洞打补丁更新和软件的更新管理等。
二、网站安全
1、 程序语言选择
网站开发语言有多种,JAVA、ASP、.NET、PHP等。在这些语言中JAVA语言的安全性是最高的。所以本网站建议使用JAVA开发。
2、 程序安全
程序安全由多方面组成。在程序开发的过程中需要严格的单元测试,集成测试。
3、 管理员权限管理
(1)       权限管理
因为管理员有很高的权限,所以管理员的帐号安全和权限尤其需要注意。一般的网站采用通用权限,就是所有的管理员登录后的权限都是一样的,这样在一个比较大的系统是不安全和不合适的。我们可以对后台管理员的权限进行详细的配置,具体的可以分配到每一步操作。这样每个管理员的权限可能都不一样,只给每个管理员必须的权限,这样如果密码泄漏也能把损失降到最低。
(2)       登录加验证码
在登录的时候添加动态验证码,主要是为了防止暴力破解。
(3)       登录时验证客户端MAC地址
可以在管理员登录的时候验证客户端的MAC地址,这样的话如果同样的帐号在其它的电脑上也是没有办法登录的。
4、 页面动态生成静态
现在的动态网站都是网站程序直接访问数据库。如果在并发量比较大的情况,数据库的压力会比较大,访问速度也会比较慢。我们可以采用动态生成静态的技术,把网站的信息页面处理成静态页面。
5、 网站热备份
准备一台备用服务器,所有的操作和数据处理都同时在备用服务器上处理。当出现服务器硬件损坏,或者系统崩溃,受到攻击、中毒无法正常运行时候,可以启用备用服务器,把损失降到最低。
6、 负载均衡
网络负载平衡技术保证即使是在负载很重的情况下它们也能作出快速响应
7、 日常管理
包括数据库的自动备份,网站文件的备份。文件的备份可以采用差异备份。在每天的某个时间,把当天更新的文件做个备份。
 

      上面只是从技术角度上来阐述网站安全。下面谈一下非技术方面的原因。

      这是我真实的体会。去年11月的时候,我一个客户和我说服务器远程桌面的密码被行政改成了6个1,因为密码太过简单,存在很大的风险,我马上联系客户,让他们修改复杂一点的密码。结果服务器已经进不去了,密码已经被别人改掉。从这个事情上来说,网站或系统的安全很大一个程度在这管理人员或者使用者上。在我们的一些使用习惯上,很容易被别人攻破。设置密码时,最好是字母、数字、特殊字母,长度超过8位。希望看到这篇文章的朋友,如果有密码设置成6个1,或者123456的朋友,把密码设置得稍许复杂一点。



 
返回上鸿观点