大网站安全防护措施解读【转】

网站安全问题可以说是现在最引人关注的问题，有关服务器安全、用户隐私安全、企业数据安全的文

章和争论从来没有停息过。系统管理员作为网站安全的第一道哨岗，既要确保网站服务器系统的安全，也

要考虑到网站应用的一些基本安全防护。这篇总结对于服务器端的安全防护思路介绍的相当详细。但是要

保护网站的安全运作，

仅仅针对服务器系统本身的防护是不够的，

还需要有一个更全局的视角和防范思路。

本文中介绍的十条措施虽然涉及到用户身份验证、

数据加密传输、

子网划分、

灾难备份等多个方面的内容，

但所有这些其实都是维护网站安全最低限度

需要做到的事情。文章并没有深入的介绍每一个方面应如何实

施，主要是给大家提供思路，为广大运维人员提供参考。

措施

1

：网站用户的身份认证

一般可以采用用户名

+

密码验证，

确认用户登录身份，

并根据数据库中预设的权限，

向用户展示相应的界面。

对于重要的网站应用，需要根据

PKI

机制，验证用户提供的证书，从而对用户身份认证（服务器对客户端

认证）

，并确保交易的不可抵赖性。证书的提供可以采用两种方式：文件证书或是

USB

设备存储的证书。

文件证书保存在用户磁盘和文件系统上，有一定的安全风险，但是可以免费；

USB

证书安全性高，但是一

般需要向用户收费。

有关身份认证的具体操作，编辑推荐读者们关注

51CTO

安全频道的

身份认证技术专题

。

措施

2

：网站数据的加密传输

对于使用

Web

浏览器的网上系统应用，

采用

SSL+

数字证书结合的方式

（即

HTTPS

协议）

，

保证通信数据

的加密传输，同时也保证了用户端对服务器端的认证，避免用户被冒充合法网站的

“

钓鱼网站

”

欺骗，从而

泄露机密信息（用户名和密码等）

，造成不可挽回的经济损失。

如何建立

SSL

（

HTTPS

）网站？

鸟哥的私房菜

里面有一章进行了

简单的介绍

。

措施

3

：用户账号使用行为的日志记录及其审计

系统服务器侧应根据账号，对用户的使用行为进行详细的日志记录和审计，通过上述因素的日志记录，进

行阶段性的审计

（时间间隔应该比较小）

，

从而做到发现用户账号的盗用、

恶意使用等问题，

尽早进行处理。

措施

4

：恶意用户流量的检测、过滤及阻断

系统服务器侧应部署

IDS

入侵检测系统、

IPS

入侵防护系统、防火墙等设备，或者部署目前高效、流行的

UTM

（统一威胁管理）设备，对恶意用户采用的各种攻击手段进行检测和防护，重点过滤恶意流量、突发

流量等。

措施

5

：对非正常应用请求的过滤和处理