關於建立Web安全的看法

做了一年多小型web網站服務器維護，沒有硬件防火牆，沒有IPS，沒有IDS，就一臺PC級服務器，server 2003+iis+sql server 2005+asp.net的環境。曾遭遇入侵事件，對web安全有一些自己的看法。 做好web安全，我認爲主要是以下3個層次 第一：入口層次 入口層級即控制服務器與網絡相連接的所有接口。 1、web頁面，應該儘量消除所有SQL注入點，可以將所有頁面都使用靜態頁。 2、不要直接暴露後臺路徑，使用安全的後臺賬號密碼並從程序上對其進行加密，尤其防止被社工。 3、嚴格對所有上傳點進行過濾，防止上傳木馬。 4、服務器應做好IPSEC、修改3389的端口、使用強密碼等措施。 第二：行爲控制層次 行爲控制即設置好各種權限，控制各種賬號的行爲。 1、服務器賬號權限最小化，尤其需要控制好IIS賬號與asp.net賬號權限。 2、純圖片、附件等文件夾在IIS上設置權限爲無。 3、數據庫的sa賬號勿亂用，程序連接數據庫的時候新建賬號而不要直接使用sa 4、服務器上切勿裝過多軟件，避免軟件本身的漏洞導致服務器被入侵。 第三：響應層次 響應即萬一被入侵之後採取的措施。 1、對服務器的各種事件都生成定期日誌，並放在隱蔽位置加以權限控制，防止被惡意修改或刪除。入侵後對日誌進行分析，獲取攻擊源、行爲等信息。 2、對各種數據進行定期備份，最好採用雙機熱備。 3、對每次時間的處理留下技術文檔，供後面使用。 無論是一個小型web站點還是大型企業，我認爲構築一個安全的系統，最關鍵是建立一個完善的安全體系，其中應包括有規章條例、規範化文檔、技術文檔等。總之，安全之基，還是在於人。