找回密码
 注册
【阿里云】2核2G云新老同享 99元/年,续费同价华为云精选云产品特惠做网站就用糖果主机Jtti,新加坡服务器,美国服务器,香港服务器
查看: 261|回复: 0

web安全策略解决方案

[复制链接]
发表于 2012 年 7 月 27 日 22:30:21 | 显示全部楼层 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有账号?注册

×
  第一部分 web的安全需求
  1.1 Web安全的体系结构,包括主机安全,网络安全和应用安全;
  1.2 Web浏览器和服务器的安全需求;
  在已知的web服务器(包括软硬件)漏洞中,针对该类型web服务器的攻击最少;
  对服务器的管理操作只能由授权用户执行;
  拒绝通过web访问web服务器上不公开发布的内容;
  禁止内嵌在OS或者 web server软件中的不必要的网络服务;
  有能力控制对各种形式的.exe程序的访问;
  能够对web操作进行日志记录,以便于进行入侵检测和入侵企图分析;
  具有适当的容错功能;
  1.3 Web传输的安全需求
  Web服务器必须和内部网络隔离:
  有四种实现方式,应选择使用高性能的cisco防火墙实现隔离
  Web服务器必须和数据库隔离;
  维护一份web站点的安全拷贝:来自开发人员最终发布的版本(内容安全);
  其次,存储的地点是安全的(另一台,独立的位于防火墙之后的内网的主机);
  还有,定期备份应该使用磁带,可擦写光盘等媒介;
  1.4 Web面临的威胁:信息泄露,拒绝服务,系统崩溃,跳板。
  第二部分 web服务器的安全策略
  主机操作系统是web的直接支撑着,必须合理配置主机系统,为WEB 服务器提供安全支持:
  只提供必要的服务;
  某种服务被攻击不影响其它服务;
  使用运行在其它主机上的辅助工具并启动安全日志;
  设置web服务器访问控制规则:
  通过IP,子网,域名来控制;
  通过口令控制;
  使用公用密钥加密算法;
  设置web服务器目录权限;
  关闭安全性脆弱的web服务器功能例如:自动目录列表功能;符号连接等
  谨慎组织web服务器的内容:
  链接检查;
  CGI程序检测(如果采用此技术);
  定期对web服务器进行安全检查;
  辅助工具:SSH;
  文件系统完整性检测工具;
  入侵检测工具;
  日志审计工具;
  第三部分 web攻击与反,攻击
  入侵检测方法:
  物理检查;
  紧急检查;
  追捕入侵者;
  攻击的类型:
  拒绝服务;
  第四部分 源代码的安全及约束规则
  不能留有后门程序和漏洞,包括系统架构是否合理,是否符合安全需求汇编反汇编、病毒反病毒。
  最后,至于 cookies的安全、加密技术、web浏览器的安全、web服务器的安全每个公司设置的规则都不一样,因人而异。
Jgwy.Com - Free Web Hosting Guide & Directory In China since 2001! Jgwy.Net-Jglt.Net
您需要登录后才可以回帖 登录 | 注册

本版积分规则

Archiver|手机版|小黑屋|金光论坛

GMT+8, 2024 年 11 月 17 日 02:50 , Processed in 0.018997 second(s), 21 queries .

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表