网站作为互联网核心,通过数据驱动(用户产生业务,业务产生数据),我们想要提高网站安全性,先要明白有那些因素会影响到网站的安全问题。清楚网站的安全性三要素变得非常重要:1. 机密性、2. 完整性、3. 可用性如:Dos攻击会降低可用性。网站管理除了服务器防火墙,在做好网站防护的时候,要对数据重要性做安全等级划分。
网站数据安全评估过程:
1.资产等级划分、确定所需保护的目标、最重要的资产、最重要的数据、客户数据;员工资料;...信任域/信任边界:DB--WebServer--Internet
2.威胁分析
威胁(Threat):可能造成危害的来源、伪装(Spoofing):冒充他人身份---认证、篡改(Tampering):修改数据or代码---完整性、抵赖(Repudiation):否认做过的事情---不可抵赖性、信息泄露(InformationDisclosure):机密信息泄露---机密性、拒绝服务(Denial of Service):拒绝服务---可用性、提升权限(Privilege Escalation):未经授权获得许可---授权。
一、网站模板程序不够安全
大多数网站喜欢下载模板后直接使用,这样的网站程序存在漏洞是不可避免的,所以想要提高网站安全性,想要确保网站后台cms系统安全性,网站后台开发外包给专业团队还是很有必要的。就算是前期使用公共平台模板,也要注意以下两点:
①不要选择知名度不高的网站程序源码,这类源码一般无人去进行程序的开发和维护,网站极易出现漏洞,被入侵的可能性大大增加。所以在选择的时候,尽量选择知名度较高的开源程序。
②选择知名的建站CMS系统,如:DEDECMS、动易CMS 、ECSHOP 等免费开源程序,由于此类开源程序使用者较多,网站很容易出现新的漏洞,我们要根据后台提示,及时的进行更新,避免黑客对网站进行攻击。
二 、网站的空间/服务器
上面说完网站程序会影响到网站的安全性,其实网站在选择空间时,也需要注意,网上有很多不知名的空间商给出的网站空间价格很低,部分用户觉着便宜使用了,但往往这种便宜的空间,安全性极差。因为空间/服务器需要专门的人员去进行维护的,需要对服务器进行配置,设置服务器文件的权限等等。
三、网站后台路径以及账号密码设置
借助小编的亲身经历,以前帮一个客户维护他的网站,发现他网站后台路径是/admin 账号是admin 密码是admin,这种网站即使后台程序和空间再好,被入侵也是迟早的事,网站后台的路径不能直接大众式的后台路径,账号和密码也尽量要用字母+数字+符号,所以提醒大家以后要在这方面多加注意。
做这么多网站的安全防护措施都是为了防止黑客借助网站程序漏洞和服务器防御不足,让他获取用户数据泄露用户的登录信息和密码。那如果黑客都得到了用户数据表了,那么是不是也能得到其他信息呢?黑客想登陆到你的帐户获取你的数据或者更改数据,那么数据库本身的安全是不是比用户密码存储方式的设计更重要呢。通过以上几点可以看出,做好网站的安全防护并不是做好两三点就足够的,还有很多细节需要更深入地探讨。
