网站安全主要是指利用网站管理控制和技术措施保证在一个网站环境里,信息数据的机密性、完整性及可使用性受到保护。网站安全的主要目标是确保经网站传送的信息在达到目的地没有任何增加、改变、丢失或被非法读取。网站安全一般可分为网站系统安全和数据安全。网站系统安全问题是指网站系统遭到未经授权的非法攻击或破坏,数据安全问题则指机要、敏感数据被窃取并非法复制、使用等。服务器的安全管理要注意以下几点:
由于Web服务器本身存在一些漏洞,使得一些人能侵入到主机系统,破坏一些重要的数据,甚至造成系统瘫痪,因此要及时安装系统及软件的最新补丁。
对Web服务器上开的账户,在密码长度及定期更改方面做出要求,防止被盗用;对Web服务器上已有账户进行一定的限制,定期删除一些终端进程的用户;使用足够安全的密码,并正确设置用户的访问权限。
恰当地配置Web服务器,只保留必要的服务,删除和关闭无用的或不必要的服务。因为启动不必要的服务可能使他人获得系统信息,甚至获取密码文件。尽量使FTP、E-mail等服务与Web服务器分开,去掉无关的应用。
对服务器进行远程管理时,使用SSL等安全协议,防止数据被窃听、盗取。
定期查看服务中的日志文件,分析一切可疑事件。
使用防火墙对数据包进行过滤,禁止某些地址对服务器的某些服务的访问,并在外部网络和Web服务器中建立双层防护。防火墙是由软件或软件和硬件设备组合而成,它处于企业或网络群体计算机与外界通道之间,限制外界用户访问内部网络及管理内部用户访问外界网络的权限。利用防火墙,可进一步增强开放式网站服务器的安全性。
要防止密码的泄露和被破解,须注意以下几点:
(1)定时修改FTP密码。密码使用一段时间,应及时进行更改。
(2)密码必须符合复杂性要求。一个好的密码应当至少有7个数字,数学、标点符号、特殊字符混用。
(3)忌讳使用包含个人信息的密码。不要使用个人信息如姓名、生日、电话等,不要使用英文单词。
