網(wǎng)頁掛馬?服務(wù)器被攻擊?會員資料泄密?網(wǎng)站被封?任何一個(gè)環(huán)節(jié)的疏忽�����,都可能帶來巨大的損失�����,網(wǎng)站的安全管理是網(wǎng)站運(yùn)營維過程中的重要工作之一。
網(wǎng)站的安全范圍
網(wǎng)站服務(wù)器安全
防止服務(wù)器被黑客入侵。首先要選擇比較好的托管商����,托管的機(jī)房很重要?��,F(xiàn)在很多服務(wù)商都在說硬件防火墻防CC攻擊����,其實(shí)一般小托管商很少具備這些配置。機(jī) 房其他電腦的安全也是很重要的,例如現(xiàn)在很多攻擊方法是通過嗅探的方法得到你的管理密碼的��,或者ARP欺騙���,這種最大的危害就是你根本找不到服務(wù)器的漏洞 的����,有點(diǎn)莫名其妙的就被黑了�����。其次�,服務(wù)器本身����,各種安全補(bǔ)丁一定要及時(shí)更新,把那些用不到的端口全部關(guān)閉掉��,越少的服務(wù)等于越大的安全。
網(wǎng)站程序安全
程序漏洞是造成安全隱患的一大途徑。網(wǎng)站開發(fā)人員應(yīng)該在開發(fā)網(wǎng)站的過程中注意網(wǎng)站程序各方面的安全性測試��。包括防止SQL注入、密碼加密、數(shù)據(jù)備份����、使用驗(yàn)證碼等方面加強(qiáng)安全保護(hù)措施。
網(wǎng)站信息安全
信息安全有多層含義�����。首先最基本的是網(wǎng)站內(nèi)容的合法性,網(wǎng)絡(luò)的普及也使得犯罪分子利用網(wǎng)絡(luò)傳播快捷的特性而常常發(fā)布違法�����、違規(guī)的信息�����。避免網(wǎng)站上出現(xiàn)各種 色情內(nèi)容��、走私販毒����、種族歧視及政治性錯(cuò)誤傾向的言論��。其次防止網(wǎng)站信息被篡改�,對于大型網(wǎng)站來說,所發(fā)布的信息影響面大���,如果被不法分子篡改���,引起的負(fù) 面效應(yīng)惡劣����。輕者收到網(wǎng)監(jiān)的警告,重點(diǎn)服務(wù)器被帶走��。
網(wǎng)站數(shù)據(jù)安全
說到一個(gè)網(wǎng)站的命脈,非數(shù)據(jù)庫莫屬��,網(wǎng)站數(shù)據(jù)庫里面通常包含了整個(gè)網(wǎng)站的新聞��、文章、注冊用戶�����、密碼等信息���,對于一些商業(yè)�、政府類型的網(wǎng)站��,里面甚至包含 了重要的商業(yè)資料,網(wǎng)站之間的競爭越來越激烈�����,就出現(xiàn)了有部分經(jīng)營者不正當(dāng)競爭,通過黑客手段竊取數(shù)據(jù)����,進(jìn)行推廣���,更有黑客直接把“拿站”當(dāng)作一項(xiàng)謀利的 業(yè)務(wù)�。所以加強(qiáng)一個(gè)網(wǎng)站的安全性�����,最根本的就是保護(hù)數(shù)據(jù)庫不要被攻擊剽竊掉。
網(wǎng)站安全管理的有效手段
網(wǎng)站在建設(shè)和運(yùn)行中�,要加強(qiáng)安全措施�����,制訂完善的安全管理制度�,增強(qiáng)安全技術(shù)手段�。保證網(wǎng)站每天24小時(shí)正常開通運(yùn)轉(zhuǎn)�,以方便公眾訪問。
網(wǎng)站備案��。對于新上線的網(wǎng)站�����,按照工信部的規(guī)定及時(shí)完成備案工作��。杜絕因網(wǎng)站未備案被關(guān)停的事件發(fā)生���。
專人負(fù)責(zé),明確責(zé)任�。各部門應(yīng)明確分管負(fù)責(zé)人���、承辦部門和具體責(zé)任人員��,負(fù)責(zé)本部門網(wǎng)站日常維護(hù)工作,并建立相應(yīng)的工作制度。
定期備份制度�����。網(wǎng)站應(yīng)當(dāng)對重要文件、數(shù)據(jù)�、操作系統(tǒng)及應(yīng)用系統(tǒng)作定期備份����,以便應(yīng)急恢復(fù)�����。特別重要的部門還應(yīng)當(dāng)對重要文件和數(shù)據(jù)進(jìn)行異地備份�����。
口令管理制度。網(wǎng)站應(yīng)當(dāng)設(shè)置網(wǎng)站后臺管理及上傳的登錄口令�����?����?诹畹奈粩?shù)不應(yīng)少于12位�,且不應(yīng)與管理者個(gè)人信息、單位信息�����、設(shè)備(系統(tǒng))信息等相關(guān)聯(lián)����。嚴(yán)禁將各個(gè)人登錄帳號和密碼泄露給他人使用。
服務(wù)器和網(wǎng)站定期檢測制度�����。網(wǎng)站應(yīng)及時(shí)對網(wǎng)站管理及服務(wù)器系統(tǒng)漏洞進(jìn)行定期檢測,并根據(jù)檢測結(jié)果采取相應(yīng)的措施�����。要及時(shí)對操作系統(tǒng)����、數(shù)據(jù)庫等系統(tǒng)軟件進(jìn)行補(bǔ)丁包升級或者版本升級,以防黑客利用系統(tǒng)漏洞和弱點(diǎn)非法入侵���。
客戶端或錄入電腦安全防范制度��。網(wǎng)站負(fù)責(zé)人�、技術(shù)開發(fā)人員和信息采編人員所用電腦必須加強(qiáng)病毒、黑客安全防范措施���,必須有相應(yīng)的安全軟件實(shí)施保護(hù),確保電腦內(nèi)的資料和帳號���、密碼的安全��、可靠。
應(yīng)急響應(yīng)制度。網(wǎng)站應(yīng)當(dāng)充分估計(jì)各種突發(fā)事件的可能性��,做好應(yīng)急響應(yīng)方案。同時(shí)��,要與崗位責(zé)任制度相結(jié)合,保證應(yīng)急響應(yīng)方案的及時(shí)實(shí)施���,將損失降到最低程度���。
安全事件報(bào)告及處理制度�����。網(wǎng)站在發(fā)生安全突發(fā)事件后����,除在第一時(shí)間組織人員進(jìn)行解決外����,應(yīng)當(dāng)及時(shí)向上級報(bào)告��。
人員管理制度����。網(wǎng)站應(yīng)當(dāng)制定詳細(xì)的工作人員管理制度���,明確工作人員的職責(zé)和權(quán)限��。要通過定期開展業(yè)務(wù)培訓(xùn)����,提高人員素質(zhì),重點(diǎn)加強(qiáng)負(fù)責(zé)系統(tǒng)操作和維護(hù)工作的人員的培訓(xùn)考核工作��。同時(shí),規(guī)范人員調(diào)離制度��,做好保密義務(wù)承諾、資料退還�����、系統(tǒng)口令更換等必要的安全保密工作。
