企业要做好网站安全建设,一般要注意这些网站安全防护要求:安全管理制度Web应用安全、中间件、数据库安全、主机安全和网络安全。
首先,让我们了解一些与网站安全相关的术语概念,以便以后了解网站安全防护要求的具体内容。
什么是安全漏洞?
一般漏洞:系统、软件、组件或框架产品本身的漏洞,影响所有产品的应用,如weblogic、mysql、jdk等;
事件漏洞:应用产品本身的设计或配置;
什么是安全基线?
主机、数据库、中间件等重要软件(openssh、ftp等);
安全管理制度
配置范围:账户策略、日志策略、敏感文件权限、防火墙策略等安全策略;
上线前要求:
资产备案(开放端口、防火墙策略、重要软件版本、补丁等);
应用安全和主机安全扫描;
安全基线配置等安全措施;
选择最新版本的软件并确定补丁;
上线后要求:
管理员密码定期修改;
及时更新后续系统、中间件、数据库、重要软件漏洞的发布;
使用服务器时有安全意识:
不安装、操作来源不明的软件;
不做无关操作(如浏览网页或查看邮件);
不使用USB等外部设备;
如何做好Web应用安全
web修复漏洞;
设置强密码:至少8位,由数字、密码、特殊字符组成;避免简单短语,如admin、PassW0rd、Test、aisino等;
网站后台管理页面设置访问权限:只允许内网管理员ip访问;
第三方组件及时升级:struts2;
网站备份不能放在网站备份上web应用部署目录;
安装web防火墙的应用:如安全狗;
数据库软件中间件安全
中间件安全要求:
强密码;
关闭或限制后台管理页面;
及时升级无漏版;
使用非root用户启动;
安全基线;
数据库安全要求:
强密码;修改默认用户名和密码;
访问限制数据库连接端口和数据库管理页面;
不能使用连接数据库的帐户DBA权限;
及时升级无漏版;
安全基线;
主机安全
不必要的软件停止运行;
设置强密码,禁止使用Guest账户;
主机安全基线;
关闭危险端口;只打开必要的端口;
如windows需关闭135、137、139、445端口;
对于不需要向外网公开的端口或服务IP访问限制:
例如:例如ssh(22)、rpd(3389);
方式:系统自带防火墙、网络防火墙或路由;
及时升级系统补丁和重要软件补丁;
安装杀毒软件:上传终端扫描文件目录;
网络安全
强密码:重要网络设备如路由器、防火墙等;
访问控制:在网络防火墙层面设置ip、禁止数据库服务器访问端口的权限ip数据库端口对外网开放;
Web内部网络分离;
IPS、IDS设备;
网站安全不仅是网站背景管理系统的安全建设,还涉及一些网络访问权限设置、网络部署管理和日常网站安全监控。希望以上内容能帮助网站安全防护建设。
m.safe.b2b168.com