网站安全问题可能是计算机中最易发生的问题,因为网站暴露在外部,供外界进行访问,网上有精通各种专业知识的人,有各种爱好的人,所以出现安全问题不可避免。最好的办法是提高自己的安全意识和抗攻击能力。下面是对实践中容易出现疏漏的地方所提出的建议,遵循这些规则会对提高网站安全管理水平有所帮助。
1、用户密码复杂性检验
在用户注册时,要对密码的复杂性提出要求,并在注册成功前进行复杂性检验,不合要求的不能通过注册,保证最基本的认证安全。
许多网站都有权限不等的管理员、版主等,他们分布在各地,难以管理,但却有着比一般用户多的权利,至少有更改主页、管理留言的职责,如果他们的密码泄露,也会影响网站安全,所以这些人员的密码应除了复杂性要求外,还要经常更换,以防密码泄露。
2、限制探测次数
用户有时可能会由于操作错误输错密码,当然可以重新输入,但要限定重输的次数,防止攻击者猜测口令。
限制口令有效期,对于长期不用的口令要及时清除,尽可能地缩小被侵入的目标,同时也能够节省系统资源,促使用户养成良好的用网习惯。
3、提高网管人员安全意识
网管人员掌握许多保密信息,一旦出现问题,后果不堪设想,对于重要的财务、安全数据要设置多重密码保护,即通过第一层验证后对机要信息还要通过更进一步的验证,或者是多个网管人员间密码有牵制作用,只有在多人同时在场时才能进入系统,进行更改。网管人员的疏漏往往是产生重大安全问题的主要原因,也是非法分子关注的核心。
4、注意最新病毒消息
几乎每隔一段时间就有新的、能产生较大影响的病毒出现,病毒在网络上传播的速度十分惊人,可能昨天新闻报到的美国发现一种新的邮件病毒,第二天就会影响世界上的各个角落,所以要在第一时间采取有效手段,毕竟传播比防范要容易得多。
好的具有实时监控功能的杀毒软件是任何一个在网上的计算机应该设置的一道屏障。种种迹象表明,杀毒软件并不可靠,但没有杀毒软件更是难以想像的,而且安装后的杀毒软件应随时注意厂家的更新或升级信息,及时更新或升级。
安全日志记录了许多不成功的访问信息,要注意造成各种失败的原因,看是否有非法用户试图进入系统,用户是否越权访问等,一些成功侵入系统的黑客可能会修改日志信息,但对于那些尚未成功入侵的非法用户,网管人员则可以提前想出防范措施。
许多攻击都是从获得合法用户的权利开始的,所以用户自身的防范意识也是很重要的,用户应该明确,所有的保护网站安全的措施,归根到底都是为用户自己提供更好的服务,在日常用网时养成好习惯,可以避免很多不必要的损失。如在使用邮件系统时要用退出选项而不是强行关闭,每次登录时不要让系统保存密码,根据页面优化原则在注册过后要清除输入栏中的密码等。
