網站安全防護需要關注那些問題

企業要做好網站安全建設，一般要注意這些網站安全防護要求：安全管理制度Web應用安全、中間件、數據庫安全、主機安全和網絡安全。

首先，讓我們了解一些與網站安全相關的術語概念，以便以后了解網站安全防護要求的具體內容。

什么是安全漏洞？

一般漏洞：系統、軟件、組件或框架產品本身的漏洞，影響所有產品的應用，如weblogic、mysql、jdk等;

事件漏洞：應用產品本身的設計或配置；

什么是安全基線？

主機、數據庫、中間件等重要軟件(openssh、ftp等);

安全管理制度

配置范圍：賬戶策略、日志策略、敏感文件權限、防火墻策略等安全策略；

上線前要求:

資產備案(開放端口、防火墻策略、重要軟件版本、補丁等)；

應用安全和主機安全掃描；

安全基線配置等安全措施；

選擇較新版本的軟件并確定補丁；

上線后要求:

管理員密碼定期修改；

及時更新后續系統、中間件、數據庫、重要軟件漏洞的發布；

使用服務器時有安全意識：

不安裝、操作來源不明的軟件；

不做無關操作(如瀏覽網頁或查看郵件)；

不使用USB等外部設備；

如何做好Web應用安全

web修復漏洞；

設置強密碼：至少8位，由數字、密碼、特殊字符組成；避免簡單短語，如admin、PassW0rd、Test、aisino等;

網站后臺管理頁面設置訪問權限：只允許內網管理員ip訪問;

第三方組件及時升級：struts2;

網站備份不能放在網站備份上web應用部署目錄；

安裝web防火墻的應用：如安全狗；

數據庫軟件中間件安全

中間件安全要求：

強密碼；

關閉或限制后臺管理頁面；

及時升級無漏版；

使用非root用戶啟動;

安全基線；

數據庫安全要求：

強密碼；修改默認用戶名和密碼；

訪問限制數據庫連接端口和數據庫管理頁面；

不能使用連接數據庫的帳戶DBA權限;

及時升級無漏版；

安全基線；

主機安全

不必要的軟件停止運行；

設置強密碼，禁止使用Guest賬戶;

主機安全基線；

關閉危險端口；只打開必要的端口；

如windows需關閉135、137、139、445端口;

對于不需要向外網公開的端口或服務IP訪問限制：

例如：例如ssh(22)、rpd(3389);

方式：系統自帶防火墻、網絡防火墻或路由；

及時升級系統補丁和重要軟件補丁；

安裝殺毒軟件：上傳終端掃描文件目錄；

網絡安全

強密碼：重要網絡設備如路由器、防火墻等;

訪問控制：在網絡防火墻層面設置ip、禁止數據庫服務器訪問端口的權限ip數據庫端口對外網開放；

Web內部網絡分離；

IPS、IDS設備;

網站安全不僅是網站背景管理系統的安全建設，還涉及一些網絡訪問權限設置、網絡部署管理和日常網站安全監控。希望以上內容能幫助網站安全防護建設。