24小时技术QQ:3003634090

资讯中心

服务器建站 不得不知的—网络信息安全防护
2019-07-23 00:00:00
阅读()
来源:互联数据
摘要:     2017年5月12日,WannaCry蠕虫病毒、勒索软件在全球爆发,2019年4月末又发生过一次服务器网站被被篡改

2017年5月12日,WannaCry蠕虫病毒、勒索软件在全球爆发,2019年4月末又发生过一次服务器网站被被篡改为泰国人妖之类的。据介绍,2018年,国家互联网应急中心共协调处置网络信息安全事件10.6万起,安全漏洞、恶意程序、网页篡改、网站后门、DDoS攻击等。网站面临数据无法恢复,客户投诉。总结经验教训,网络病毒、黑客无时无处不在,我们要保持警惕,防患于未然,制定好服务器防范措施,才能保证网络信息平稳安全。

2017年网络信息安全事件


一、服务器管理层面的两类预防操作:


保证网络信息安全,服务器开发过程中,规范Web开发的安全标准。


1、防止sql注入:采用预处理进行sql操作,绝对不能使用sql语句的拼接。预编译语句,绑定变量;使用存储过程,调用存在数据库里的函数;检查数据类型,如果输入是数字,就用integer做检验,如果是邮箱则正则表达式去做校验等;使用定义好的安全函数来转义;设置数据库用户的最小权限。


2、用户密码验证:保障网络信息安全,密码验证是必须的,储存密码不能使明文,最好多重加密验证。普通应用要求长度为6位以上,重要应用要求长度为8位以上,并考虑双因素认证,密码区分大小写字母,密码为大写字母,小写字幕、数字、特殊符号中两种以上的组合。


3、文件上传限制:文件上传一定要类型限制,上传后把文件名格式化。(上传文件是病毒,木马文件,用以诱惑用户或者管理员下载执行,上传文件是钓鱼图片或为包含脚本的图片,在某些版本浏览器中会被作为脚本执行,被用于钓鱼和欺诈)


4、过滤可执行脚本:对用户提交的网络信息数据进行转义,防止用户提交含有js脚本的信息输出到页面上直接被浏览器执行。Seesion在登陆完成后,重写SessionId,避免SessionFixation攻击,服务器设置固定时间强制销毁Session,因为客户端可以修改用户的存活时间,定时拿seesionId去请求,降低SSO的风险。


5、日志系统:网络信息会在服务器中产生访问日志,记录ip,参数等, 对后台操作记录日志,方便查找服务器被篡改或攻击导致的安全问题。


6、WEB容器配置:web容器存在一些配置漏洞。如tomcat后台管理,默认用户及密码登录后直接获取war文件。


7、数据库设置:提高服务器网络信息安全,可以针对前后台操作建立不同的数据库操作用户,切不可用root级别链接数据库。


8、优化服务器性能的方式:将使用频率高的数据放到服务器中,将数据库的压力转移到内存中,此外及时释放资源。在针对每个客户端做一个请求频率的限制,在网络架构上做好优化,善于利用负载均衡,避免用户流量集中在单台服务器上,同时可以充分利用好CDN和镜像站点的分流作用,缓解主站的压力。

保护网络信息安全的步骤


二、服务器层面的监控,运维过程中,对Web服务器进行持续的网络信息安全监控


控制服务器的访问端口:


1.设置“僚机服务器”,故意开后门让攻击者来攻击僚机服务器, 管理着我就能获取攻击者的攻击手段,并在真正服务器上做相应的安全措施应对。


2.设置“诱饵服务器”,让攻击者真假难以区分,这个上面叙述十分相似。


3.垂直权限管理:现在应用广泛的一种方法是基于角色的范围控制:RBAC,Java中的Spring Security 权限管理,就是RBAC模型的一个实现


4.水平权限管理,RBAC只能验证用户A属于角色RoleX,但不会判断用户A是否能访问只属于用户B的数据B,发生了越权访问,这种问题一般是具体问题具体解决,至今仍是一个难题,它难以发现,设计方案时,都应该满足“最小权限原则”。


网络信息安全问题大家平时遇到的不多,只有遇到服务器染上病毒或被入侵攻击时才意识到严重性,那是补救可能会费事很多,或者无法补救,只能认倒霉了。如过在网站运行前或者在服务器遭受攻击后选择防御计划,是完全可以保证服务器安全的。笔者认为,最好的防御就是进攻,Web服务器安全更是如此。服务器防御系统练就IDC界的“金钟罩铁布衫”,只是最基础的防御方式。

网络信息安全解决方案


0

上一篇:三个步骤,教你怎么创建自己的博客网站!
下一篇:高防服务器出现堵塞的原因和解决方法
旗下产品均支持24小时免费测试
互联数据香港机房产品均支持24小时免费测试,先测试后付款让业务不熟更放心
在线咨询
免费试用
免费试用
旗下产品均支持24小时免费测试
24小时免费电话
400-8715-668