10大網(wǎng)站安全防護措施解讀

1、網(wǎng)站安全問題可以說是現(xiàn)在最引人關(guān)注的問題，有關(guān)服務(wù)器安全、用戶隱私安全、企業(yè)數(shù)據(jù)安全的文 章和爭論從來沒有停息過。系統(tǒng)管理員作為網(wǎng)站安全的第一道哨崗，既要確保網(wǎng)站服務(wù)器系統(tǒng)的安全，也 要考慮到網(wǎng)站應(yīng)用的一些基本安全防護。這篇總結(jié)對于服務(wù)器端的安全防護思路介紹的相當(dāng)詳細。但是要 保護網(wǎng)站的安全運作，僅僅針對服務(wù)器系統(tǒng)本身的防護是不夠的，還需要有一個更全局的視角和防范思路。 本文中介紹的十條措施雖然涉及到用戶身份驗證、數(shù)據(jù)加密傳輸、子網(wǎng)劃分、災(zāi)難備份等多個方面的內(nèi)容， 但所有這些其實都是維護網(wǎng)站安全最低限度需要做到的事情。文章并沒有深入的介紹每一個方面應(yīng)如何實 施，主要是給大家提供思路，為廣大運維

2、人員提供參考。措施1：網(wǎng)站用戶的身份認證一般可以采用用戶名+密碼驗證，確認用戶登錄身份，并根據(jù)數(shù)據(jù)庫中預(yù)設(shè)的權(quán)限，向用戶展示相應(yīng)的界面。 對于重要的網(wǎng)站應(yīng)用，需要根據(jù)PKI機制，驗證用戶提供的證書，從而對用戶身份認證（服務(wù)器對客戶端 認證），并確保交易的不可抵賴性。證書的提供可以采用兩種方式：文件證書或是USB設(shè)備存儲的證書。文件證書保存在用戶磁盤和文件系統(tǒng)上，有一定的安全風(fēng)險，但是可以免費；USB證書安全性高，但是一 般需要向用戶收費。有關(guān)身份認證的具體操作，編輯推薦讀者們關(guān)注51CTO安全頻道的身份認證技術(shù)專題措施2：網(wǎng)站數(shù)據(jù)的加密傳輸對于使用Web瀏覽器的網(wǎng)上系統(tǒng)應(yīng)用，采用SSL+數(shù)字證

3、書結(jié)合的方式（即HTTPS協(xié)議），保證通信數(shù)據(jù) 的加密傳輸，同時也保證了用戶端對服務(wù)器端的認證，避免用戶被冒充合法網(wǎng)站的“釣魚網(wǎng)站”欺騙，從而 泄露機密信息（用戶名和密碼等），造成不可挽回的經(jīng)濟損失。如何建立SSL（HTTPS）網(wǎng)站？鳥哥的私房菜里面有一章進行了簡單的介紹措施3：用戶賬號使用行為的日志記錄及其審計系統(tǒng)服務(wù)器側(cè)應(yīng)根據(jù)賬號，對用戶的使用行為進行詳細的日志記錄和審計，通過上述因素的日志記錄，進 行階段性的審計（時間間隔應(yīng)該比較?。?，從而做到發(fā)現(xiàn)用戶賬號的盜用、惡意使用等問題，盡早進行處理。措施4：惡意用戶流量的檢測、過濾及阻斷系統(tǒng)服務(wù)器側(cè)應(yīng)部署IDS入侵檢測系統(tǒng)、IPS入侵防護系統(tǒng)、

4、防火墻等設(shè)備，或者部署目前高效、流行的UTM （統(tǒng)一威脅管理）設(shè)備，對惡意用戶采用的各種攻擊手段進行檢測和防護，重點過濾惡意流量、突發(fā) 流量等。措施5：對非正常應(yīng)用請求的過濾和處理 系統(tǒng)的服務(wù)器端，尤其是數(shù)據(jù)庫服務(wù)器端，應(yīng)該通過配置和增加對用戶非常長應(yīng)用請求的過濾和處理模塊， 以避免由于數(shù)據(jù)庫的自身漏洞未及時打上補丁而遭受目前流行的SQI注.入攻擊等。措施6：合理的子網(wǎng)劃分及流量分割系統(tǒng)服務(wù)器側(cè)包括大量的服務(wù)器類型，包括數(shù)據(jù)庫服務(wù)器、Web服務(wù)器、FTP服務(wù)器、郵件服務(wù)器等，為 了避免由于惡意流量造成的某種服務(wù)器崩潰，而引起的攻擊后果擴散，并最終導(dǎo)致其他服務(wù)器也發(fā)生“雪崩 效應(yīng)”，則需要通過子

5、網(wǎng)隔離（比如VLAN劃分）、DMZ區(qū)域的設(shè)定等方式來將這些服務(wù)器放置在不同的安 全域當(dāng)中，做到流量和數(shù)據(jù)的安全隔離，從而將服務(wù)器端在遭受攻擊后對整個業(yè)務(wù)系統(tǒng)及其他內(nèi)網(wǎng)資源和 數(shù)據(jù)造成的影響盡量控制在最低的范圍內(nèi)。參考閱讀：VLAN的劃分方法措施7：負載均衡及負載保護機制系統(tǒng)面臨著巨大的服務(wù)量，服務(wù)器端的設(shè)備基本上都需要有多臺服務(wù)器進行業(yè)務(wù)分擔(dān)，這樣才能提高性能， 避免處理瓶頸的出現(xiàn)，因此，需要采用合理的負載均衡和負載保護機制：對各服務(wù)器的業(yè)務(wù)流量進行有效地分擔(dān)，可按照Round Robin、LRU等方式來進行負載均衡（學(xué)習(xí)電腦）負載保護機制需要實時地對每臺服務(wù)器的CPU資源、內(nèi)存資源等進行評估，如果一旦超過設(shè)定的閾值（80%或者以上），將馬上進行過載保護，從而保證服務(wù)器自身的安全措施8：災(zāi)難備份及恢復(fù)任何系統(tǒng)都不能說100%的安全，都需要考慮在遭受攻擊或者是經(jīng)受自然災(zāi)害后的備份恢復(fù)工作，需要著重考慮如下幾點：選擇合適的備份策略，做好提前備份，包括全備份、差分備份、增量備份等等選擇合適的備份介質(zhì)，包括磁帶、光盤、RAID磁盤陣列等選擇合適的備份地點，包括本地備份、遠程備份等等（電腦自動關(guān)機）選擇合適的備份技術(shù)，包括NAS、SAN、DAS等等作好備份的后期維護和安全審計跟蹤措施9：管理規(guī)范化系統(tǒng)功能復(fù)雜，業(yè)務(wù)數(shù)據(jù)敏感，保密級別比