当今网站如牛毛一抓一大把,自然安全也就像电子商务一样随波越来越显的重要起来,网络、网站领域一向道高一尺,魔高一丈,没有绝对安全的计算机与网络、网站。就算装了防火墙、杀毒软件、定期有安全专家做安全检测、评估并修复也不能说是安全的,一个网站,安全问题从多方面而来。光是任何一方面,都不可能保证绝对的安全。一个安全的网站,必须要各方面配合才能打造出来。首先有计算机的地方首先都应该遵守一定的内部计算机相关使用规则的前提下,相对而言可以做好以下五个方面确保其安全性:
1、域名管理权限:
最重要,至今中国已经有不少大网络公司因为前期创业时域名注册信息这些不重视,结果摊子做大了后闹矛盾。网站做大后域名的拥有者就拥有一切话语权。域名解析一般为:自己确定需要宣传的那个域名绑定服务器IP地址,对外宣传;所有的域名都解析到自己需要宣传的那个域名上去,一定要把顶级与www二级域名捆绑等操作,因为在中国内地普通网民对网址/域名的认识不到位,多统一认为www.chinaz.com这样叫域名、网址,其实技术人员或学校书本出身的学生和非大陆人都认定xxx.com才是顶级域的。
2、网站数据备份:
网站数据量大了最好一天一备份,谁也不保证未来下一秒发生什么事。而且最好是有几个备份存储地,网络数据安全性问题就如汶川地震一样,没什么预兆,包括技术性的、人为的、战争等非可抗性灾害造成的等等。
3、服务器管理权限:
首当其冲的是服务器的安全,服务器本身如果被人入侵了,网站系统再安全,那也没有任何作用。这重点是技术性跟服务器托管商交涉;
其次是FTP或远程桌面管理、网站系统顶级管理等的帐号安全,如果人家破解了你的FTP或远程管理权限,那也就等于窗户开给人家爬,那家里的东西自然是随便拿了。
再次主要是服务器管理员需要操作的很多技术性工作,网上都有相关文章的,自己管理服务器的站长,可以多查阅一些关于NTFS权限管理、IIS权限管理的资料。可以让技术全权负责脚本程序、服务器安全的维护,尽最大可能确保数据365*24完整上线服务、页面展开顺利、服务器不宕机等。万一发生任何问题确保第一时间能联系上技术并第一时间找到问题出地并维护好,现在一般发生最多最可能的是洪水攻击,相关信息可以baidu查询了解,这个问题至今没人能从技术上解决,什么防火墙都没实质意义,顶多分散部分攻击流,唯一有效解决办法是:联系服务器托管商更换服务器IP地址并查询攻击源给予警告,严重的报案。但网络取证也是难点,所以一有什么问题首先应该保存好界面;
最后服务器上设置一般都应该设置404错误指向;即打开一个网站,之前有的内容页,现在打开那个地址没有东西了。不存在了。这时间404错误就起作用可以设置主动跳转到一个自己设置的404指向页面,比如跳往首页等。器端运行的脚本代码,比如动易系统、动网论坛都属此类。脚本代码的安全问题最主要最集中的问题出在两个方面:SQL注入和FSO权限。
互动网站大多有数据库,代码通过SQL语句对数据库进行管理,而SQL语句中的一些变量是通过用户提交的表单获取,如果对表单提交的数据没有做好过滤,攻击者就可以通过构造一些特殊的URL提交给你的系统,或者在表单中提交特别构造的字符串,造成SQL语句没有按预期的目的执行,所以,开发人员结束开发检查时应该加大表单数据的检验和过滤, 最好是让所有通过表单提交的数据,分字符型和数字型,分别用一个专门的函数进行处理,当然也应该多考虑程序的教好容错性,当然如果需要提供下载等可以考虑封装在DLL组件中。
其次是上传漏洞,一旦上传了漏洞,攻击者就获得了站长的权限,甚至超过站长的权限(对整个服务器构成安全威胁)。这几年来,众多网站系统,都曾经出现过上传漏洞的问题(尤其是06年的upload.inc上传.cer等类型文件的漏洞)。但是为什么每次发现这种大规模存在的漏洞之后,都只有一部分网站被黑呢?当然不是攻击者手软或者良心发现,而是一些网站通过服务器设置,防止了这些漏洞导致的损失。