安全方案实例:网站安全防护实际操作方案

导读:作为一个良好运行的网站,安全防护工作应该是放在第一位的,如果一个网站的安全不能够得到保证,那么一切内容都是建立在空中楼阁之中,数据安全得不到保障,这会对网站的形象和运行带来极大的困扰,下面是PC捍卫者整理自网络的安全方案实例,从大的方向宏观掌控网站安全,并具备一定的实际操作的可行性,供网站管理员朋友参考.

网站安全现状

Web应用是当前业务系统使用最为广泛的形式。根据Gartner的调查，信息安全攻击有 75% 都是发生在 Web应用层而非网络层面上。同时，数据也显示，2/3的WEB网站都相当脆弱，易受攻击。据美国国防部统计，每1000行Web代码中存在5~15个漏洞，而修补一个漏洞通常需要2~9小时。

根据CNCERT的最新统计数据，2007年CNCERT共接到网络安全事件报告4390件。2007年我国大陆被篡改网站总数达到了61228个，同比增长1.5倍；其中ZF网站（.gov.cn）被篡改3407个，占大陆被篡改网站的7%。CNCERT统计显示，大陆地区约有4.3万个IP地址主机被植入木马，约有362万个IP地址主机被植入僵尸程序。从以上数据可以看出，提高业务网站的安全防护，是保障业务正常进行的必然前提。

因此，对于影响力强和受众多的门户网站，需要专门的网页（主页）防篡改系统来保护网页和保障网站内容的安全。

网站的潜在风险

网站因需要被公众访问而暴露于因特网上，容易成为黑客的攻击目标。其中，黑客和不法分子对网站的网页（主页）内容的篡改是时常发生的，而这类事件对公众产生的负面影响又是非常严重的，即：ZF形象受损、信息传达失准，甚至可能引发信息泄密等安全事件。。网页篡改者利用操作系统的漏洞和管理的缺陷进行攻击，而目前大量的安全措施（如安装防火墙、入侵检测）集中在网络层上，它们无法有效阻止网页篡改事件发生。目前，网站常因以下安全漏洞及配置问题，而引发网页信息被篡改、入侵等安全事件：

1.网站数据库账号管理不规范，如：使用默认管理帐号（admin，root，manager等）、弱口令等；

2.门户网站程序设计存在的安全问题，网站程序设计者在编写时，对相关的安全问题没有做适当的处理，存在安全隐患，如SQL注入，上传漏洞，脚本跨站执行等；

3.WEB服务器配置不当，系统本身安全策略设置存在缺陷，可导致门户网站被入侵的问题；

4.WEB应用服务权限设置导致系统被入侵的问题；

5.WEB服务器系统和应用服务的补丁未升级导致门户网站可能被入侵的安全问题等。

网站安全防护解决方案

根据目前网站可能存在的安全隐患及风险，冠群金辰公司给网站提出如下安全防护解决方案： (具体内容见下页)

转截请注明:文章来自 pc捍卫者 http://www.pchwz.com 本站发布此文为传递更多信息之目的,不表明pc捍卫者赞同其观点