|
|
|
|
|
|
|
|
當前位置:首頁 > 會展 > 維護知識
網站維護知識:網站維護之網站安全措施
網站安全是指出于防止網站受到外來電腦入侵者對其網站進行掛馬,篡改網頁等行為而做出一系列的防御工作。由于一個網站設計者更多地考慮滿足用戶應用,如何實現業務。很少考慮網站應用開發過程中所存在的漏洞,這些漏洞在不關注安全代碼設計的人員眼里幾乎不可見,大多數網站設計開發者、網站維護人員對網站攻防技術的了解甚少;在正常使用過程中,即便存在安全漏洞,正常的使用者并不會察覺。
1. 登錄頁面必須加密 在登錄之后實施加密有可能有用,這就像把大門關上以防止馬兒跑出去一樣,不過他們并沒有對登錄會話加密,這就有點兒像在你鎖上大門時卻將鑰匙放在了鎖眼里一樣。即使你的登錄會話被傳輸到了一個加密的資源,在許多情況下,這仍有可能被一個惡意的黑客攻克,他會精心地偽造一個登錄表單,借以訪問同樣的資源,并訪問敏感數據。通常加密方式有MD5加密、數據庫加密等。 2. 采取專業工具輔助 在市面目前有許多針對于網站安全的品聚社,不過這些大多數是收費的,而目前標榜免費就只有億思網站安全檢測平臺(iiscan)。通過這些網站安全檢測平臺能夠迅速找到網站的安全隱患,而且這些平臺都會提供針對其隱患做出相應措施。 3. 通過加密連接管理你的站點 使用不加密的連接(或僅使用輕度加密的連接),如使用不加密的FTP或HTTP用于Web站點或Web服務器的管理,就會將自己的大門向“中間人”攻擊和登錄/口令的嗅探等手段敞開大門。因此請務必使用加密的協議,如SSH等來訪問安全資源,要使用經證實的一些安全工具如某人截獲了你的登錄和口令信息,他就可以執行你可做的一切操作。 4. 使用強健的、跨平臺的兼容性加密 根據目前的發展情況,SSL已經不再是Web網站加密的最先進技術。可以考慮TLS,即傳輸層安全,它是安全套接字層加密的繼承者。要保證你所選擇的任何加密方案不會限制你的用戶基礎。同樣的原則也適用于后端的管理,在這里HSS等跨平臺的強加密方案要比微軟的Windows遠程桌面等較弱的加密工具要更可取、更有優越性。 5. 只連接安全有保障的網絡 避免連接安全特性不可知或不確定的網絡,也不要連接一些安全性差勁的網絡,如一些未知的開放的無線訪問點等。無論何時,只要你必須登錄到服務器或Web站點實施管理,或訪問其它的安全資源時,這一點尤其重要。如果你連接到一個沒有安全保障的網絡時,還必須訪問Web站點或Web服務器,就必須使用一個安全代理,這樣你到安全資源的連接就會來自于一個有安全保障的網絡代理。 6. 不要共享登錄的機要信息 共享登錄機要信息會引起諸多安全問題。這不但適用于網站管理員或Web服務器管理員,還適用于在網站擁有登錄憑證的人員,客戶也不應當共享其登錄憑證。登錄憑證共享得越多,就越可能更公開地共享,甚至對不應當訪問系統的人員也是如此;登錄機要信息共享得越多,要建立一個跟蹤索引借以跟蹤、追查問題的源頭就越困難,而且如果安全性受到損害或威脅因而需要改變登錄信息時,就會有更多的人受到影響。 7. 采用基于密鑰的認證而不是口令認證 口令認證要比基于密鑰的認證更容易被攻破。設置口令的目的是在需要訪問一個安全的資源時能夠更容易地記住登錄信息。不過如果使用基于密鑰的認證,并僅將密鑰復制到預定義的、授權的系統(或復制到一個與授權的系統相分離的獨立介質中,直接需要它時才取回),你將會得到并使用一個更強健的難于破解的認證憑證。 8. 維護一個安全的工作站 如果你從一個客戶端系統連接到一個安全的資源站點,而你又不能完全保證其安全性,你就不能保證某人并沒有在監聽你所做的一切。因此鍵盤記錄器、受到惡意損害的網絡加密客戶以及黑客們的其它一些破壞安全性的伎倆都會準許某個未得到授權的個人訪問敏感數據,而不管網絡是否有安全措施,是否采用加密通信,也不管你是否部署了其它的網絡保護。因此保障工作站的安全性是至關重要的。 9. 運用冗余性保護網站 備份和服務器的失效轉移可有助于維持最長的正常運行時間。雖然失效轉移可以極大地減少服務器的宕機時間,但這并不是冗余性的唯一價值。用于失效轉移計劃中的備份服務器可以保持服務器配置的最新,這樣在發生災難時你就不必從頭開始重新構建你的服務器。備份可以確保客戶端數據不會丟失,而且如果你擔心受到損害系統上的數據落于不法之徒手中,就會毫不猶豫地刪除這種數據。當然,你還必須保障失效轉移和備份方案的安全,并定期地檢查以確保在需要這些方案時不至于使你無所適從。 10. 確保對所有的系統都實施強健的安全措施,而不僅運用特定的Web安全措施 在這方面,可以采用一些通用的手段,如采用強口令,采用強健的外圍防御系統,及時更新軟件和為系統打補丁,關閉不使用的服務,使用數據加密等手段保證系統的安全等。 網站安全維護不是指對網站內容的修改,而是負責對網站安全的維護,網絡設備的安裝、管理及日常維護(包括防火墻、路由器、交換機、服務器等)。 ◆電話受理中心(用戶綜合窗口) 為了給廣大客戶提供更優質、快捷的網站維護服務,在中國業界率先設立了全天候服務式的電話受理中心,并始終堅持“快速”“準確”“親切”的服務理念。走過風雨兼程的10年,我們嘗盡酸甜苦辣,但是為客戶服務的心,卻一刻也不曾停歇,為了您的歡笑,我們仍將繼續前行。 ◆全國統一免費網站維護電話:400-670-5808(支持任何用戶撥打)郵箱:xieaijiao@cdsheji.com QQ:284888576 ◆營業時間:365天·24小時,年中無休。 ◆對應業務:與網站維護有關的任何商談和咨詢(網站維護、網站修改、網頁修改、網站安全、網站殺毒、網站中毒、網站備份、網站恢復、網站備案、網站建設、技術咨詢、網站域名、網站空間、企業郵箱等) 【 關閉窗口 】 |
會展
訪談對話
專題論述
專題活動
|
全 國:400-670-5808 電 話:17701755587 郵箱:cdsheji@cdsheji.com QQ: 1043818547
www.mugujie.com 網站維護 版權所有 All Rights Reserved Copyright © 2015-2025
技術支持:上海純點網絡 滬ICP備10218526號-7
www.mugujie.com 網站維護 版權所有 All Rights Reserved Copyright © 2015-2025
技術支持:上海純點網絡 滬ICP備10218526號-7