企業要做好網站安全建設�,一般要注意這些網站安全防護要求:安全管理制度Web應用安全���、中間件����、數據庫安全、主機安全和網絡安全���。
首先���,讓我們了解一些與網站安全相關的術語概念��,以便以后了解網站安全防護要求的具體內容��。
什么是安全漏洞��?
一般漏洞:系統、軟件����、組件或框架產品本身的漏洞����,影響所有產品的應用�����,如weblogic、mysql����、jdk等;
事件漏洞:應用產品本身的設計或配置�;
什么是安全基線����?
主機、數據庫��、中間件等重要軟件(openssh��、ftp等);
安全管理制度
配置范圍:賬戶策略��、日志策略、敏感文件權限�����、防火墻策略等安全策略����;
上線前要求:
資產備案(開放端口、防火墻策略��、重要軟件版本���、補丁等)�;
應用安全和主機安全掃描;
安全基線配置等安全措施;
選擇較新版本的軟件并確定補?。?/p>
上線后要求:
管理員密碼定期修改��;
及時更新后續系統��、中間件�����、數據庫、重要軟件漏洞的發布;
使用服務器時有安全意識:
不安裝����、操作來源不明的軟件��;
不做無關操作(如瀏覽網頁或查看郵件);
不使用USB等外部設備;
如何做好Web應用安全
web修復漏洞��;
設置強密碼:至少8位����,由數字、密碼、特殊字符組成�����;避免簡單短語�,如admin、PassW0rd、Test��、aisino等;
網站后臺管理頁面設置訪問權限:只允許內網管理員ip訪問;
第三方組件及時升級:struts2;
網站備份不能放在網站備份上web應用部署目錄�;
安裝web防火墻的應用:如安全狗�;
數據庫軟件中間件安全
中間件安全要求:
強密碼�;
關閉或限制后臺管理頁面;
及時升級無漏版;
使用非root用戶啟動;
安全基線;
數據庫安全要求:
強密碼�;修改默認用戶名和密碼;
訪問限制數據庫連接端口和數據庫管理頁面;
不能使用連接數據庫的帳戶DBA權限;
及時升級無漏版��;
安全基線;
主機安全
不必要的軟件停止運行�����;
設置強密碼,禁止使用Guest賬戶;
主機安全基線;
關閉危險端口���;只打開必要的端口���;
如windows需關閉135、137�����、139、445端口;
對于不需要向外網公開的端口或服務IP訪問限制:
例如:例如ssh(22)�����、rpd(3389);
方式:系統自帶防火墻、網絡防火墻或路由�����;
及時升級系統補丁和重要軟件補?���?���;
安裝殺毒軟件:上傳終端掃描文件目錄;
網絡安全
強密碼:重要網絡設備如路由器����、防火墻等;
訪問控制:在網絡防火墻層面設置ip�����、禁止數據庫服務器訪問端口的權限ip數據庫端口對外網開放;
Web內部網絡分離�����;
IPS���、IDS設備;
網站安全不僅是網站背景管理系統的安全建設����,還涉及一些網絡訪問權限設置、網絡部署管理和日常網站安全監控�。希望以上內容能幫助網站安全防護建設�����。
http://www.49330.com.cn
