新闻动态
网站的安全性设计
https://www.sytm.net 发布日期:2013/10/8 16:07:38

对于网站的安全可以从运行环境与网站程序两个方面来分析:

其一,网站运行环境的安全主要包括物理的安全和网站运行支撑软件本身的安全。

物理安全是指系统机器及其外设不遭受各种物理破坏,如被盗、遭火灾、水灾等;支撑软件本身的安全是指网络操作系统、web服务器系统及数据库系统本身的安全,此类安全用户是无能为力的,只有及时安装厂家发布的安全补丁程序。

其二,对于网站程序自身的安全,应该从以下几个方面考虑。

(1)不信任原则

对网站程序来讲,访问网站的用户都是不被信任的,他们当中就隐藏着攻击者。所有用户的输入都应该检查。合法的输入才可以进入流程,这样就可以最大限度的保证程序的安全。

(2)输入检查原则

从目前的网站程序来看,用户的输入分为文本型和二进制型。对于文本型输入,如果要进行检查,就得根据字段本身的性质进行,如邮编必须限制为六位数字,身份证号码必须符合身份证号码的编码规则等。

需要说明的是,为了进一步提高网站的安全性,应该采用前后数据检查相结合的方法来完成程序对输入数据的检查,避免用以前采用的只在前台通过客户端脚本完成数据检查的做法,因为原来的做法攻击者和容易绕过检查程序 ,如SQL注入攻击等。

(3)用户最小权限原则

访问网站的用户有什么样的权限,要根据网站的性质和需要客户做什么来决定,但是有一个基本的原则,就是服务器的安全性。对于访问网站的用户,尽量规范他们可以输入的内容,限制并过滤输入的非法信息,尤其是要严禁上传非法文件。

(4)程序运行最小权限原则

网页有静态与动态之分,对于没有服务器端程序的页面应该保存为静态页面,这样可以减少程序的执行时间,有利于提高服务器效率。同时可以保证程序的安全性。

网站程序跟服务器应当尽可能的减少耦合,杜绝网站中使用绝对路劲等情况。另外,对于目录的权限也应该做出规定,比如存放上传文件的目录,在绝大多数情况下式不应该有执行权限的。

(5)组件安全性原则

要使用网站功能强大,必然要使用组件,组件在带来强大的功能的同时也带来了安全隐患。对于内置组件的使用,应当有明确的使用范围;对于自己注册的组件,必须认真考虑组件的效率和是否有溢出漏洞。

(6)程序错误处理原则

从严格意义上讲,测试是不可能发现所有问题的。在设计阶段,出错设计就是保证程序安全性的一个重要环节。如果一个程序能处理所有错误,那么它就有非常高的安全性。

更多阅读
返回列表
© 2010 TianMei Technology All rights reserved. ICP:辽B2-20150138辽公网安备 21010202000010号  目录概览