服务器安全问题总体来说,从以下两个方面来叙述。
一、服务器管理层面的两类预防操作,保证网络信息安全,服务器开发过程中,规范Web开发的安全标准。
1、防止sql注入:采用预处理进行sql操作,绝对不能使用sql语句的拼接。预编译语句,绑定变量;使用存储过程,调用存在数据库里的函数;检查数据类型,如果输入是数字,就用integer做检验,如果是邮箱则正则表达式去做校验等;使用定义好的安全函数来转义;设置数据库用户的最小权限。
2、用户密码验证:保障网络信息安全,密码验证是必须的,储存密码不能使明文,最好多重加密验证。普通应用要求长度为6位以上,重要应用要求长度为8位以上,并考虑双因素认证,密码区分大小写字母,密码为大写字母,小写字幕、数字、特殊符号中两种以上的组合。
3、文件上传限制:文件上传一定要类型限制,上传后把文件名格式化。(上传文件是病毒,文件,用以诱惑用户或者管理员下载执行,上传文件是钓鱼图片或为包含脚本的图片,在某些版本浏览器中会被作为脚本执行,被用于钓鱼和欺诈)
4、过滤可执行脚本:对用户提交的网络信息数据进行转义,防止用户提交含有js脚本的信息输出到页面上直接被浏览器执行。Seesion在登陆完成后,重写SessionId,避免SessionFixation,服务器设置固定时间强制销毁Session,因为客户端可以修改用户的存活时间,定时拿seesionId去请求,降低SSO的风险。
5、日志系统:网络信息会在服务器中产生访问日志,记录ip,参数等, 对后台操作记录日志,方便查×××器被篡改或导致的安全问题。
6、WEB容器配置:web容器存在一些配置漏洞。如tomcat后台管理,默认用户及密码登录后直接获取war文件。
7、数据库设置:提高服务器网络信息安全,可以针对前后台操作建立不同的数据库操作用户,切不可用root级别链接数据库。
8、优化服务器性能的方式:将使用频率高的数据放到服务器中,将数据库的压力转移到内存中,此外及时释放资源。在针对每个客户端做一个请求频率的限制,在网络架构上做好优化,善于利用负载均衡,避免用户流量集中在单台服务器上,同时可以充分利用好CDN和镜像站点的分流作用,缓解主站的压力。
二、服务器层面的监控,运维过程中,对Web服务器进行持续的网络信息安全监控
控制服务器的访问端口:
1.设置“僚机服务器”,故意开后门让者来僚机服务器, 管理着我就能获取者的手段,并在真正服务器上做相应的安全措施应对。
2.设置“诱饵服务器”,让者真假难以区分,这个上面叙述十分相似。
3.垂直权限管理:现在应用广泛的一种方法是基于角色的范围控制:RBAC,Java中的Spring Security 权限管理,就是RBAC模型的一个实现
4.水平权限管理,RBAC只能验证用户A属于角色RoleX,但不会判断用户A是否能访问只属于用户B的数据B,发生了越权访问,这种问题一般是具体问题具体解决,至今仍是一个难题,它难以发现,设计方案时,都应该满足“最小权限原则”。
网络信息安全问题大家平时遇到的不多,只有遇到服务器染上病毒或被时才意识到严重性,那是补救可能会费事很多,或者无法补救,只能认倒霉了。如果在网站运行前或者在服务器遭受后选择防御计划,是完全可以保证服务器安全的。
关于服务器问题大家都可以咨询我。Q428202849
原文地址:https://blog.51cto.com/14462990/2422891
时间: 2024-07-30 00:39:30