Time: 2019-11-14  百度网盘

安全测试培训PPT-网站安全防护

  网站安全防护要求

  3.1 安全管理制度

  3.2 Web应用安全

  3.3 中间件、数据库安全

  3.4 主机安全

  3.5 网络安全

  网站安全防护_名词解释

  什么是“安全漏洞”?

  通用型漏洞:系统、软件、组件或框架产品本身的漏洞,影响所有依赖于该产品的应用,如weblogic、mysql、jdk等;

  事件型漏洞:应用产品本身因设计或配置导致的漏洞;

  什么是“安全基线”?

  涉及产品:主机、数据库、中间件及其它重要软件(openssh、ftp等);

  配置范围:账户策略、日志策略、敏感文件权限、防火墙策略等安全策略;

等级保护资讯网

  3.1 安全管理制度

  上线前要求:

  资产备案(开放端口情况、防火墙策略、重要软件版本及补丁情况等);

  应用安全测试及主机安全扫描;

  安全基线配置及其它安全措施;

  选用最新版本软件并确定打补丁方式;

  上线后要求:

  定时修改管理员密码;

  跟进系统、中间件、数据库、重要软件漏洞发布情况,及时更新;

  使用服务器时具备安全意识:

  不安装、运行来历不明的软件;

  不在做无关操作(如浏览网页或查看邮件);

  不使用USB等外部设备;

  3.2 Web应用安全

  web应用漏洞修复;

  设置强密码:至少8位,由数字、密码、特殊字符组成;避免出现简单词组,如admin、PassW0rd、Test、aisino等;

  网站后台管理页面设访问权限:仅允许内网中管理员ip访问;

  第三方组件及时升级:如struts2;

  网站备份不可放在web应用部署目录中;

  安装web应用防火墙:如安全狗;

  3.2 中间件及数据库软件安全

  中间件安全要求:

  强密码;

  后台管理页面关闭或做访问限制;

  使用无漏洞版本,及时升级;

  使用非root用户启动;

  安全基线;

  数据库安全要求:

  强密码;修改默认用户名、密码;

  为数据库连接端口、数据库管理页面做访问限制;

  应用连接数据库的账户不可使用DBA权限;

  使用无漏洞版本,及时升级;

  安全基线;

  3.3 主机安全

  停止运行不必要的软件;

  设置强密码;禁用Guest账户;

  主机安全基线;

  关闭危险端口;仅开放必要端口;

  如windows需关闭135、137、139、445端口;

  对不需要对外网公开的端口或服务加IP访问限制:

  举例:如ssh(22)、rpd(3389);

  途径:系统自带防火墙、网络防火墙或路由;

  及时升级系统补丁及重要软件补丁;

  安装杀毒软件:终端扫描文件上传目录;

  3.4 网络安全

  强密码:重要网络设备如路由器、防火墙等;

  访问控制:在网络防火墙层面设置ip、端口的访问权限,禁止数据库服务器ip及数据库端口对外网开放;

  Web服务器与公司内部网络分离;

  IPS、IDS设备;


18933931888

工作时间:法定工作日,9:00~18:00

广州万方计算机科技有限公司 ©版权所有 2019-2020 粤ICP备08124637号

本站文章内容部分来源于网络转载,版权归作者所有。文章内容仅代表作者独立观点,不代表本站立场,转载目的在于传递更多信息。如有侵权,请联系删除。