关于建立Web安全的看法
来源:互联网 发布:项目管理强矩阵 编辑:程序博客网 时间:2024/04/27 21:30
做了一年多小型web网站服务器维护,没有硬件防火墙,没有IPS,没有IDS,就一台PC级服务器,server 2003+iis+sql server 2005+asp.net的环境。曾遭遇入侵事件,对web安全有一些自己的看法。 做好web安全,我认为主要是以下3个层次 第一:入口层次 入口层级即控制服务器与网络相连接的所有接口。 1、web页面,应该尽量消除所有SQL注入点,可以将所有页面都使用静态页。 2、不要直接暴露后台路径,使用安全的后台账号密码并从程序上对其进行加密,尤其防止被社工。 3、严格对所有上传点进行过滤,防止上传木马。 4、服务器应做好IPSEC、修改3389的端口、使用强密码等措施。 第二:行为控制层次 行为控制即设置好各种权限,控制各种账号的行为。 1、服务器账号权限最小化,尤其需要控制好IIS账号与asp.net账号权限。 2、纯图片、附件等文件夹在IIS上设置权限为无。 3、数据库的sa账号勿乱用,程序连接数据库的时候新建账号而不要直接使用sa 4、服务器上切勿装过多软件,避免软件本身的漏洞导致服务器被入侵。 第三:响应层次 响应即万一被入侵之后采取的措施。 1、对服务器的各种事件都生成定期日志,并放在隐蔽位置加以权限控制,防止被恶意修改或删除。入侵后对日志进行分析,获取攻击源、行为等信息。 2、对各种数据进行定期备份,最好采用双机热备。 3、对每次时间的处理留下技术文档,供后面使用。 无论是一个小型web站点还是大型企业,我认为构筑一个安全的系统,最关键是建立一个完善的安全体系,其中应包括有规章条例、规范化文档、技术文档等。总之,安全之基,还是在于人。
- 关于建立Web安全的看法
- 关于建立Web安全的看法
- 关于Web标准化的看法
- 关于信息安全专业学习的一些看法
- 关于WEB站点的安全
- 第一篇,随便说说个人关于web的看法。
- 关于页面放在Web-inf下的看法
- 淘宝安全团队高手关于信息安全发展的看法,很有启迪!
- 淘宝安全团队高手关于信息安全发展的看法,很有启迪!
- 对信息安全的看法
- 关于创新的看法
- 关于中国文化的看法
- 关于hibernate的看法
- 关于楼市的看法
- 关于出国的看法
- 关于“鸡脚神”的看法
- 关于IT的看法
- 关于营销的看法
- Display Custom Fields in a Content By Query Web Part
- Linux C语言 如何判断该进程是否还存在
- Offline Sample相关
- SP2-0618: 无法找到会话标识符
- 为什么
- 关于建立Web安全的看法
- Java解决乱码的终极方法
- effective C++ 条款25 swap
- 关总,你为什么不留下do
- JAVA操作EXCEL解决方案
- linux信号处理、killall、SIGALRM、sigaction函数和结构体、向进程发送信号
- Failed to save the updated manifest to the file
- web.xml配置详解
- 工具栏编程