網(wǎng)站對企業(yè)越來越重要����,但網(wǎng)站的安全卻很少重視����,那么咋么來維護(hù)網(wǎng)站的安全呢?
一���、網(wǎng)站安全是指出于防止網(wǎng)站受到外來電腦入侵者對其網(wǎng)站進(jìn)行掛馬��,篡改網(wǎng)頁等行為而做出一系列的防御工作����。由于一個網(wǎng)站設(shè)計者更多地考慮滿足用戶應(yīng)用�,如何實現(xiàn)業(yè)務(wù)。很少考慮網(wǎng)站應(yīng)用開發(fā)過程中所存在的漏洞���,這些漏洞在不關(guān)注安全代碼設(shè)計的人員眼里幾乎不可見���,大多數(shù)網(wǎng)站設(shè)計開發(fā)者、網(wǎng)站維護(hù)人員對網(wǎng)站攻防技術(shù)的了解甚少�;在正常使用過程中,即便存在安全漏洞�,正常的使用者并不會察覺。
二��、登錄頁面必須加密
在登錄之后實施加密有可能有用�����,這就像把大門關(guān)上以防止馬兒跑出去一樣,不過他們并沒有對登錄會話加密���,這就有點兒像在你鎖上大門時卻將鑰匙放在了鎖眼里一樣��。即使你的登錄會話被傳輸?shù)搅艘粋€加密的資源����,在許多情況下�����,這仍有可能被一個惡意的黑客攻克��,他會精心地偽造一個登錄表單����,借以訪問同樣的資源�,并訪問敏感數(shù)據(jù)。通常加密方式有MD5加密�、數(shù)據(jù)庫加密等。
三����、 采取專業(yè)工具輔助
在市面目 前有許多針對于網(wǎng)站安全漏洞的檢測監(jiān)測系統(tǒng)����,比如MDCSOFT-IPS��,MDCSOFT SCAN���, 不過這些大多數(shù)是收費的�,網(wǎng)站安全檢測平臺能夠迅速找到網(wǎng)站的安全隱患���,而且這些平臺都會提供針對其隱患做出相應(yīng)措施�����。
四�、通過加密連接管理你的站點
使用不加密的連接(或僅使用輕度加密的連接)����,如使用不加密的FTP或HTTP用于Web站點或Web服務(wù)器的管理,就會將自己的大門向“中間人”攻擊和登錄/口令的嗅探等手段敞開大門��。因此請務(wù)必使用加密的協(xié)議����,如SSH等來訪問安全資源���,要使用經(jīng)證實的一些安全工具如某人截獲了你的登錄和口令信息,他就可以執(zhí)行你可做的一切操作����。
五、使用強健的��、跨平臺的兼容性加密
根據(jù)目 前的發(fā)展情況��,SSL已經(jīng)不再是Web網(wǎng)站加密的先進(jìn)技術(shù)�����?���?梢钥紤]TLS�,即傳輸層安全,它是安全套接字層加密的繼承者�。要保證你所選擇的任何加密方案不會限制你的用戶基礎(chǔ)。同樣的原則也適用于后端的管理�����,在這里HSS等跨平臺的強加密方案要比微軟的Windows遠(yuǎn)程桌面等較弱的加密工具要更可取、更有優(yōu)越性�����。
六�、 只連接安全有保障的網(wǎng)絡(luò)
避免連接安全特性不可知或不確定的網(wǎng)絡(luò),也不要連接一些安全性差勁的網(wǎng)絡(luò)���,如一些未知的開放的無線訪問點等���。無論何時,只要你必須登錄到服務(wù)器或Web站點實施管理�����,或訪問其它的安全資源時����,這一點尤其重要。如果你連接到一個沒有安全保障的網(wǎng)絡(luò)時�,還必須訪問Web站點或Web服務(wù)器,就必須使用一個安全代理�����,這樣你到安全資源的連接就會來自于一個有安全保障的網(wǎng)絡(luò)代理。
七����、 不要共享登錄的機要信息
共享登錄機要信息會引起諸多安全問題。這不但適用于網(wǎng)站管理員或Web服務(wù)器管理員��,還適用于在網(wǎng)站擁有登錄憑證的人員�����,客戶也不應(yīng)當(dāng)共享其登錄憑證����。登錄憑證共享得越多,就越可能更公開地共享�,甚至對不應(yīng)當(dāng)訪問系統(tǒng)的人員也是如此;登錄機要信息共享得越多����,要建立一個跟蹤索引借以跟蹤�����、追查問題的源頭就越困難,而且如果安全性受到損害或威脅因而需要改變登錄信息時���,就會有更多的人受到影響�。
八�、采用基于密鑰的認(rèn)證而不是口令認(rèn)證
口令認(rèn)證要比基于密鑰的認(rèn)證更容易被攻破。設(shè)置口令的目的是在需要訪問一個安全的資源時能夠更容易地記住登錄信息��。不過如果使用基于密鑰的認(rèn)證��,并僅將密鑰復(fù)制到預(yù)定義的���、授權(quán)的系統(tǒng)(或復(fù)制到一個與授權(quán)的系統(tǒng)相分離的獨立介質(zhì)中��,直接需要它時才取回)�����,你將會得到并使用一個更強健的難于破解的認(rèn)證憑證����。
九����、 維護(hù)一個安全的工作站
如果你從一個客戶端系統(tǒng)連接到一個安全的資源站點�����,而你又不能完全保證其安全性����,你就不能保證某人并沒有在監(jiān)聽你所做的一切�。因此鍵盤記錄器、受到惡意損害的網(wǎng)絡(luò)加密客戶以及黑客們的其它一些破壞安全性的伎倆都會準(zhǔn)許某個未得到授權(quán)的個人訪問敏感數(shù)據(jù)���,而不管網(wǎng)絡(luò)是否有安全措施���,是否采用加密通信,也不管你是否部署了其它的網(wǎng)絡(luò)保護(hù)��。因此保障工作站的安全性是至關(guān)重要的�。
十、 運用冗余性保護(hù)網(wǎng)站
備份和服務(wù)器的失效轉(zhuǎn)移可有助于維持長的正常運行時間���。雖然失效轉(zhuǎn)移可以極大地減少服務(wù)器的宕機時間���,但這并不是冗余性的唯一價值。用于失效轉(zhuǎn)移計劃中的備份服務(wù)器可以保持服務(wù)器配置的新����,這樣在發(fā)生災(zāi)難時你就不必從頭開始重新構(gòu)建你的服務(wù)器。備份可以確?����?蛻舳藬?shù)據(jù)不會丟失�����,而且如果你擔(dān)心受到損害系統(tǒng)上的數(shù)據(jù)落于不法之徒手中�,就會毫不猶豫地刪除這種數(shù)據(jù)。當(dāng)然��,你還必須保障失效轉(zhuǎn)移和備份方案的安全��,并定期地檢查以確保在需要這些方案時不至于使你無所適從����。
十一、 確保對所有的系統(tǒng)都實施強健的安全措施����,而不僅運用特定的Web安全措施
在這方面,可以采用一些通用的手段,如采用強口令�,采用強健的外圍防御系統(tǒng),及時更新軟件和為系統(tǒng)打補丁�����,關(guān)閉不使用的服務(wù)���,使用數(shù)據(jù)加密等手段保證系統(tǒng)的安全等��。
