@不喜丶不悲
2年前 提问
1个回答

指定web安全方案可以从哪些方面入手

安全侠
2年前

指定web安全方案可以从以下方面入手:

  • Web系统用户的身份认证和鉴权机制:采用用户名+密码验证,确认登录用户身份,并根据数据库中预设的权限向用户展示相应的视图和表单。对于重要的Web系统应用,需要根据PKI机制验证用户提供的证书,从而对用户身份认证(服务器对客户端认证),并确保交易的不可抵赖性。

  • Web系统数据的加密传输和用户对Web系统服务器的验证:对于使用Web浏览器的网上系统应用,采用SSL+数字证书的方式(即HTTPS协议),保证通信数据的加密传输,同时也保证了用户端对服务器端的认证,避免用户被冒充合法网站的“钓鱼网站”欺骗,从而泄露机密信息(用户名和密码等),造成不可挽回的经济损失。

  • 基于用户账号的使用行为的日志记录及其审计:系统服务器侧应根据账号对用户的使用行为进行详细的日志记录和审计,通过上述因素的日志记录进行阶段性的审计(时间间隔应该比较小),从而做到发现用户账号的盗用、恶意使用等问题时能尽早地进行处理。

  • 恶意用户流量的检测、过滤及阻断:系统服务器侧应部署IDS(入侵检测系统)、IPS(入侵防护系统)、防火墙等设备,或者部署目前高效、流行的UTM(统一威胁管理)设备,对恶意用户采用的各种攻击手段进行检测和防护,重点过滤恶意流量和突发流量等。

  • 对用户的非正常应用请求的过滤和处理:系统的服务器端,尤其是数据库服务器端,应该通过配置和增加对用户非正常应用请求的过滤和处理模块,以避免由于数据库的自身漏洞未及时打上补丁,而遭受目前流行的SQL 注入攻击等。

  • Web系统服务器侧的合理子网划分及流量分割:系统服务器侧包括大量的服务器类型,包括数据库服务器、Web服务器、FTP服务器和邮件服务器等。为了避免由于恶意流量造成的某种服务器崩溃,而使攻击后果扩散,并最终导致其他服务器也发生“雪崩效应”,则需要通过子网隔离(如VLAN划分)、DMZ的设定等方式来将这些服务器放置在不同的安全域当中,做到流量和数据的安全隔离,从而将服务器端在遭受攻击后对整个业务系统及其他内网资源和数据造成的影响尽量控制在最小的范围内。

  • Web系统服务器的安全管理:格划分管理人员的角色及其对应的权限,避免一权独揽,从而引起安全隐患。做好服务器机房的物理条件管理,避免由于静电等引起的故障。应做好服务器管理员的账号/口令管理,要求使用强口令,避免内部人员盗用。做好服务器系统软件、应用软件的日志管理和补丁管理工作,以便于审计,以及避免由于安全漏洞而遭受内部人员的攻击。