網(wǎng)站對(duì)企業(yè)越來(lái)越重要,但網(wǎng)站的安全卻很少重視�,那么咋么來(lái)維護(hù)網(wǎng)站的安全呢����?
一、網(wǎng)站安全是指出于防止網(wǎng)站受到外來(lái)電腦入侵者對(duì)其網(wǎng)站進(jìn)行掛馬����,篡改網(wǎng)頁(yè)等行為而做出一系列的防御工作��。由于一個(gè)網(wǎng)站設(shè)計(jì)者更多地考慮滿(mǎn)足用戶(hù)應(yīng)用���,如何實(shí)現(xiàn)業(yè)務(wù)�����。很少考慮網(wǎng)站應(yīng)用開(kāi)發(fā)過(guò)程中所存在的漏洞����,這些漏洞在不關(guān)注安全代碼設(shè)計(jì)的人員眼里幾乎不可見(jiàn)�����,大多數(shù)網(wǎng)站設(shè)計(jì)開(kāi)發(fā)者����、網(wǎng)站維護(hù)人員對(duì)網(wǎng)站攻防技術(shù)的了解甚少;在正常使用過(guò)程中��,即便存在安全漏洞,正常的使用者并不會(huì)察覺(jué)�。
二、登錄頁(yè)面必須加密
在登錄之后實(shí)施加密有可能有用�,這就像把大門(mén)關(guān)上以防止馬兒跑出去一樣,不過(guò)他們并沒(méi)有對(duì)登錄會(huì)話(huà)加密�����,這就有點(diǎn)兒像在你鎖上大門(mén)時(shí)卻將鑰匙放在了鎖眼里一樣��。即使你的登錄會(huì)話(huà)被傳輸?shù)搅艘粋€(gè)加密的資源����,在許多情況下,這仍有可能被一個(gè)惡意的黑客攻克�����,他會(huì)精心地偽造一個(gè)登錄表單��,借以訪(fǎng)問(wèn)同樣的資源�,并訪(fǎng)問(wèn)敏感數(shù)據(jù)。通常加密方式有MD5加密��、數(shù)據(jù)庫(kù)加密等��。
三、 采取專(zhuān)業(yè)工具輔助
在市面目 前有許多針對(duì)于網(wǎng)站安全漏洞的檢測(cè)監(jiān)測(cè)系統(tǒng)���,比如MDCSOFT-IPS�����,MDCSOFT SCAN����, 不過(guò)這些大多數(shù)是收費(fèi)的�,網(wǎng)站安全檢測(cè)平臺(tái)能夠迅速找到網(wǎng)站的安全隱患���,而且這些平臺(tái)都會(huì)提供針對(duì)其隱患做出相應(yīng)措施�����。
四���、通過(guò)加密連接管理你的站點(diǎn)
使用不加密的連接(或僅使用輕度加密的連接),如使用不加密的FTP或HTTP用于Web站點(diǎn)或Web服務(wù)器的管理�,就會(huì)將自己的大門(mén)向“中間人”攻擊和登錄/口令的嗅探等手段敞開(kāi)大門(mén)。因此請(qǐng)務(wù)必使用加密的協(xié)議����,如SSH等來(lái)訪(fǎng)問(wèn)安全資源���,要使用經(jīng)證實(shí)的一些安全工具如某人截獲了你的登錄和口令信息,他就可以執(zhí)行你可做的一切操作�����。
五��、使用強(qiáng)健的���、跨平臺(tái)的兼容性加密
根據(jù)目 前的發(fā)展情況����,SSL已經(jīng)不再是Web網(wǎng)站加密的先進(jìn)技術(shù)��?���?梢钥紤]TLS,即傳輸層安全�,它是安全套接字層加密的繼承者。要保證你所選擇的任何加密方案不會(huì)限制你的用戶(hù)基礎(chǔ)��。同樣的原則也適用于后端的管理,在這里HSS等跨平臺(tái)的強(qiáng)加密方案要比微軟的Windows遠(yuǎn)程桌面等較弱的加密工具要更可取����、更有優(yōu)越性。
六��、 只連接安全有保障的網(wǎng)絡(luò)
避免連接安全特性不可知或不確定的網(wǎng)絡(luò)�,也不要連接一些安全性差勁的網(wǎng)絡(luò),如一些未知的開(kāi)放的無(wú)線(xiàn)訪(fǎng)問(wèn)點(diǎn)等���。無(wú)論何時(shí)���,只要你必須登錄到服務(wù)器或Web站點(diǎn)實(shí)施管理��,或訪(fǎng)問(wèn)其它的安全資源時(shí)�����,這一點(diǎn)尤其重要����。如果你連接到一個(gè)沒(méi)有安全保障的網(wǎng)絡(luò)時(shí),還必須訪(fǎng)問(wèn)Web站點(diǎn)或Web服務(wù)器����,就必須使用一個(gè)安全代理�,這樣你到安全資源的連接就會(huì)來(lái)自于一個(gè)有安全保障的網(wǎng)絡(luò)代理����。
七、 不要共享登錄的機(jī)要信息
共享登錄機(jī)要信息會(huì)引起諸多安全問(wèn)題�����。這不但適用于網(wǎng)站管理員或Web服務(wù)器管理員��,還適用于在網(wǎng)站擁有登錄憑證的人員����,客戶(hù)也不應(yīng)當(dāng)共享其登錄憑證。登錄憑證共享得越多����,就越可能更公開(kāi)地共享,甚至對(duì)不應(yīng)當(dāng)訪(fǎng)問(wèn)系統(tǒng)的人員也是如此���;登錄機(jī)要信息共享得越多��,要建立一個(gè)跟蹤索引借以跟蹤�、追查問(wèn)題的源頭就越困難,而且如果安全性受到損害或威脅因而需要改變登錄信息時(shí)���,就會(huì)有更多的人受到影響�����。
八�����、采用基于密鑰的認(rèn)證而不是口令認(rèn)證
口令認(rèn)證要比基于密鑰的認(rèn)證更容易被攻破�����。設(shè)置口令的目的是在需要訪(fǎng)問(wèn)一個(gè)安全的資源時(shí)能夠更容易地記住登錄信息�。不過(guò)如果使用基于密鑰的認(rèn)證�����,并僅將密鑰復(fù)制到預(yù)定義的�、授權(quán)的系統(tǒng)(或復(fù)制到一個(gè)與授權(quán)的系統(tǒng)相分離的獨(dú)立介質(zhì)中���,直接需要它時(shí)才取回)�����,你將會(huì)得到并使用一個(gè)更強(qiáng)健的難于破解的認(rèn)證憑證�����。
九��、 維護(hù)一個(gè)安全的工作站
如果你從一個(gè)客戶(hù)端系統(tǒng)連接到一個(gè)安全的資源站點(diǎn)��,而你又不能完全保證其安全性�����,你就不能保證某人并沒(méi)有在監(jiān)聽(tīng)你所做的一切��。因此鍵盤(pán)記錄器����、受到惡意損害的網(wǎng)絡(luò)加密客戶(hù)以及黑客們的其它一些破壞安全性的伎倆都會(huì)準(zhǔn)許某個(gè)未得到授權(quán)的個(gè)人訪(fǎng)問(wèn)敏感數(shù)據(jù),而不管網(wǎng)絡(luò)是否有安全措施�����,是否采用加密通信,也不管你是否部署了其它的網(wǎng)絡(luò)保護(hù)�����。因此保障工作站的安全性是至關(guān)重要的��。
十����、 運(yùn)用冗余性保護(hù)網(wǎng)站
備份和服務(wù)器的失效轉(zhuǎn)移可有助于維持長(zhǎng)的正常運(yùn)行時(shí)間。雖然失效轉(zhuǎn)移可以極大地減少服務(wù)器的宕機(jī)時(shí)間�����,但這并不是冗余性的唯一價(jià)值�。用于失效轉(zhuǎn)移計(jì)劃中的備份服務(wù)器可以保持服務(wù)器配置的新,這樣在發(fā)生災(zāi)難時(shí)你就不必從頭開(kāi)始重新構(gòu)建你的服務(wù)器�����。備份可以確??蛻?hù)端數(shù)據(jù)不會(huì)丟失,而且如果你擔(dān)心受到損害系統(tǒng)上的數(shù)據(jù)落于不法之徒手中���,就會(huì)毫不猶豫地刪除這種數(shù)據(jù)。當(dāng)然,你還必須保障失效轉(zhuǎn)移和備份方案的安全����,并定期地檢查以確保在需要這些方案時(shí)不至于使你無(wú)所適從。
十一��、 確保對(duì)所有的系統(tǒng)都實(shí)施強(qiáng)健的安全措施��,而不僅運(yùn)用特定的Web安全措施
在這方面�����,可以采用一些通用的手段��,如采用強(qiáng)口令�����,采用強(qiáng)健的外圍防御系統(tǒng)�,及時(shí)更新軟件和為系統(tǒng)打補(bǔ)丁,關(guān)閉不使用的服務(wù)�,使用數(shù)據(jù)加密等手段保證系統(tǒng)的安全等。
