关于建立Web安全的看法

做了一年多小型web网站服务器维护，没有硬件防火墙，没有IPS，没有IDS，就一台PC级服务器，server 2003+iis+sql server 2005+asp.net的环境。曾遭遇入侵事件，对web安全有一些自己的看法。 做好web安全，我认为主要是以下3个层次 第一：入口层次 入口层级即控制服务器与网络相连接的所有接口。 1、web页面，应该尽量消除所有SQL注入点，可以将所有页面都使用静态页。 2、不要直接暴露后台路径，使用安全的后台账号密码并从程序上对其进行加密，尤其防止被社工。 3、严格对所有上传点进行过滤，防止上传木马。 4、服务器应做好IPSEC、修改3389的端口、使用强密码等措施。 第二：行为控制层次 行为控制即设置好各种权限，控制各种账号的行为。 1、服务器账号权限最小化，尤其需要控制好IIS账号与asp.net账号权限。 2、纯图片、附件等文件夹在IIS上设置权限为无。 3、数据库的sa账号勿乱用，程序连接数据库的时候新建账号而不要直接使用sa 4、服务器上切勿装过多软件，避免软件本身的漏洞导致服务器被入侵。 第三：响应层次 响应即万一被入侵之后采取的措施。 1、对服务器的各种事件都生成定期日志，并放在隐蔽位置加以权限控制，防止被恶意修改或删除。入侵后对日志进行分析，获取攻击源、行为等信息。 2、对各种数据进行定期备份，最好采用双机热备。 3、对每次时间的处理留下技术文档，供后面使用。 无论是一个小型web站点还是大型企业，我认为构筑一个安全的系统，最关键是建立一个完善的安全体系，其中应包括有规章条例、规范化文档、技术文档等。总之，安全之基，还是在于人。