网站安全防护需要关注那些问题
公司企业要做好网站站点安全建设工作,一般需要注意这些网站站点安全防护要求:安全管理制度、Web应用安全、中间件、数值数据库安全、主机安全和互联网网络安全。
首先我们来了解一些网站站点安全同类相关的一些名词概念,便于之后了解网站站点安全防护要求的具体信息内容。
什么是“安全漏洞”?
通用型漏洞:系统、软件、组件或框架商品产品本身的漏洞,影响所有依赖于该商品产品的应用,如weblogic、mysql、jdk等;
事件型漏洞:应用商品产品本身因设计规划或配置导致的漏洞;
什么是“安全基线”?
涉及商品产品:主机、数值数据库、中间件及其它重要软件(openssh、ftp等);
安全管理制度
配置范围:账户策略、日志策略、敏感文件权限、防火墙策略等安全策略;
上线前要求:
资产备案(开放端口情况、防火墙策略、重要软件版本及补丁情况等);
应用安全测试及主机安全扫描;
安全基线配置及其它安全措施;
选用*新版本软件并确定打补丁方式;
上线后要求:
定时调整修改管理员密码;
跟进系统、中间件、数值数据库、重要软件漏洞发表发布情况,及时调整更新;
使用we服务器时具备安全意识:
不安装、运行来历不明的软件;
不在做无关操作(如查看浏览网页页面或查看邮件);
不使用USB等外部设备;
如何做好Web应用安全
web应用漏洞修复;
配置设置强密码:至少8位,由数字、密码、特殊字符组成;避免出现简单词组,如admin、PassW0rd、Test、aisino等;
网站站点后台管理网站页面设浏览访问权限:仅允许内网中管理员ip浏览访问;
第三方组件及时升级:如struts2;
网站站点备份不可放在web应用部署目录中;
安装web应用防火墙:如安全狗;
中间件及数值数据库软件安全
中间件安全要求:
强密码;
后台管理网站页面关闭或做浏览访问限制;
使用无漏洞版本,及时升级;
使用非root用户使用者启动;
安全基线;
数值数据库安全要求:
强密码;调整修改默认用户使用者名、密码;
为数值数据库连接端口、数值数据库管理网站页面做浏览访问限制;
应用连接数值数据库的账户不可使用DBA权限;
使用无漏洞版本,及时升级;
安全基线;
主机安全
停止运行不必要的软件;
配置设置强密码;禁用Guest账户;
主机安全基线;
关闭危险端口;仅开放必要端口;
如windows需关闭135、137、139、445端口;
对不需要对外网公开的端口或服务加IP浏览访问限制:
举例:如ssh(22)、rpd(3389);
途径:系统自带防火墙、互联网网络防火墙或路由;
及时升级系统补丁及重要软件补丁;
安装杀毒软件:终端扫描文件上传目录;
互联网网络安全
强密码:重要互联网网络设备如路由器、防火墙等;
浏览访问控制:在互联网网络防火墙层面配置设置ip、端口的浏览访问权限,禁止数值数据库we服务器ip及数值数据库端口对外网开放;
Webwe服务器与公司企业内部互联网网络分离;
IPS、IDS设备;
网站站点安全不仅仅就是做好网站站点后台管理系统安全建设就可以了,还涉及一些互联网网络浏览访问权限配置设置、互联网网络部署管理,还有就是日常网站站点安全监测的问题。希望上述信息内容,能够帮助做网站站点安全防护建设。
转载自:网站安全防护需要关注那些问题
