网站安全策略

vennie

网站的组成，基本上可以划分为三部分，server端、机房switch/router、用户clients，一个网站的安全策略，应该覆盖这三部分，每部分都有明确的规则，才可以打造一个相对比较安全的网站。毕竟，网站的安全有木桶效应，一个部分被hack，这个网站就是一个不安全的网站。

一、Server端

网站安全最重要的部分是对server端进行管控。

1、开发团队必须要有基本的网站安全开发常识，比如0day，sql-injection、XSS、CSRF、恶意上传（脚本语言的网站尤其要注意）等。对于用户的敏感信息需要加密保存（salt-hash）；

2、测试团队的渗透测试要到位，也可与第三方的安全团队进行合作，采用定制化的安全方案。

3、运维团队要妥善保管各个主机及软件的账号密码，维护主机的日常健康检查，和日常更新。

二、机房switch/router：

网站在选择空间时需要注意，网上有很多不知名的空间商给出的网站空间价格很低，往往这种便宜的空间，安全性极差，因为空间/服务器需要专门的人员去进行维护，需要对服务器进行配置，设置服务器文件的权限等等。建议可以选择一款高效的web应用防火墙，Imperva的防火墙和CDN都是不错的。

如果是自建机房，建议由经验丰富的运维人员来管理维护。

某些主机如果只是内部人员访问的，应该增设ip访问权限（VPN网络的管理也要加强）。可以避免被nmap等工具扫描

对于阿里云这类云主机，可以很方便地设置switch/router/安全规则，尽量重视。

三、用户client：

对于一些涉及支付交易的网站，给出明确的提示如（不可以在公共场所的电脑登录，并妥善保管密码）。或强制用户使用强密码登录

加强终端控制。由于部分终端可能是以APP的形式存在，那么业务开发的时候也要考虑到终端版本，强制用户升级或者推热修复补丁，强烈建议留push通道，不要只留pull通道，这样可以大大提高推新版本的覆盖率，便于实施安全手段。