網站安全問題可能是計算機中最易發生的問題,因為網站暴露在外部,供外界進行訪問,網上有精通各種專業知識的人,有各種愛好的人,所以出現安全問題不可避免。最好的辦法是提高自己的安全意識和抗攻擊能力。下面是對實踐中容易出現疏漏的地方所提出的建議,遵循這些規則會對提高網站安全水平有所幫助。 (1)用戶密碼復雜性檢驗 在用戶注冊時,要對密碼的復雜性提出要求,并在注冊成功前進行復雜性檢驗,不合要求的不能通過注冊,保證最基本的認證安全。 (2)根密碼要經常更換 許多網站都有權限不等的管理員、版主等,他們分布在各地,難以管理,但卻有著比一般用戶多的權利,至少有更改主頁、管理留言的職責,如果他們的密碼泄露,也會影響網站安全,所以這些人員的密碼應除了復雜性要求外,還要經常更換,以防密碼泄露。 (3)限制探測次數 用戶有時可能會由于操作錯誤輸錯密碼,當然可以重新輸入,但要限定重輸的次數,防止攻擊者猜測口令。 (4)限制口令的有效期 限制口令有效期,對于長期不用的口令要及時清除,盡可能地縮小被侵入的目標,同時也能夠節省系統資源,促使用戶養成良好的用網習慣。 (5)提高網管人員安全意識 網管人員掌握許多保密信息,一旦出現問題,后果不堪設想,對于重要的財務、安全數據要設置多重密碼保護,即通過第一層驗證后對機要信息還要通過更進一步的驗證,或者是多個網管人員間密碼有牽制作用,只有在多人同時在場時才能進入系統,進行更改。網管人員的疏漏往往是產生重大安全問題的主要原因,也是非法分子關注的核心。 (6)注意最新病毒信息 幾乎每隔一段時間就有新的、能產生較大影響的病毒出現,病毒在網絡上傳播的速度十分驚人,可能昨天新聞報到的美國發現一種新的郵件病毒,第二天就會影響世界上的各個角落,所以要在第一時間采取有效手段,畢竟傳播比防范要容易得多。 (7)采用好的防病毒軟件 好的具有實時監控功能的殺毒軟件是任何一個在網上的計算機應該設置的一道屏障。種種跡象表明,殺毒軟件并不可靠,但沒有殺毒軟件更是難以想像的,而且安裝后的殺毒軟件應隨時注意廠家的更新或升級信息,及時更新或升級。 (8)采用具有安全特性的軟件對于前面所講的利用協議的安全性弱點進行攻擊的方法,應該采用具有安全性的軟件。如HTTP協議的安全性比較弱,則可以用安全超文本協議(S-HTTP),可以使用其他的帶有加密協議的軟件,這是電子商務網站所必不可少的。 (9)定期查看安全日志 安全日志記錄了許多不成功的訪問信息,要注意造成各種失敗的原因,看是否有非法用戶試圖進入系統,用戶是否越權訪問等,一些成功侵入系統的黑客可能會修改日志信息,但對于那些尚未成功入侵的非法用戶,網管人員則可以提前想出防范措施。 (10)教育用戶注意自己的安全 許多攻擊都是從獲得合法用戶的權利開始的,所以用戶自身的防范意識也是很重要的,用戶應該明確,所有的保護網站安全的措施,歸根到底都是為用戶自己提供更好的服務,在日常用網時養成好習慣,可以避免很多不必要的損失。如在使用郵件系統時要用退出選項而不是強行關閉,每次登錄時不要讓系統保存密碼,在注冊過后要清除輸入欄中的密碼等。 (11)安裝防火墻和代理服務器 防火墻是維護網站安全的必要設施,對非法訪問、屏蔽內部網絡結構、掩蓋安全弱點很有幫助。8.4.4節將專門介紹有關防火墻的知識。 |