电子商务网站安全设计及评估高等教育出版社-《电子商务安全实务》第二版web站点的安全设置(1)系统安全策略的配置Web站点管理的核心是web服务器系统和IIS安全的双重安全,保护IIS安全的第一步就是确保主机系统的安全。①限制匿名访问本机用户②限制远程用户的访问权限③限制用户对主机系统的操作权限web站点的安全设置(2)IIS安全策略的配置在web服务器建设及管理过程中,系统会有些默认设置,这些默认设置将大大降低we攻击的难度。使用IIS建立高安全性的Web服务器的配置方法:①建议IIS要与操作系统安装于不同分区②删除不必要的虚拟目录③停止默认web站点④分类设置站点资源访问权限⑤修改端口值⑥删除不必要的应用程序映射⑦日志策略的配置web服务器安全设置(1)防病毒系统常用的防病毒技术有:①反病毒扫描②完整性检查:通过识别文件和系统的改变来发现病毒③行为封锁:行为封锁的目的是防止病毒的破坏(2)启用安全认证系统(3)设置端口保护,并禁用不必要的服务数据库安全技术(1)数据库系统的安全策略①保证数据库的完整性。包括物理上的完整性、逻辑上的完整性、数据库中元素的完整性。②保证数据的可用性。包括数据本身的可用性和数据库应用接口的可用性③保证数据库的保密性。包括用户身份鉴别、访问控制、数据使用的可审计性等数据库安全技术(2)数据库系统需采取的安全措施数据库系统需采取的安全措施涉及安全等级、指定安全规划、利用操作系统的安全机制、限制可移动介质的访问等,通常包括:①数据存储的安全性②为保证数据库中数据的完整性,数据库管理系统或应用系统应具有良好的容错性和错误提示机制③防止推断性攻击④为保证数据库中数据语义的完整性,确保对数据在允许的范围之内修改。⑤充分利用视图实现对简单安全要求的控制。⑥审计功能数据库安全技术(3)数据文件安全商务网站服务器数据文件安全要注意以下几点:①电子商务网站服务器在提供Web服务的时候,一般是不做文件服务器使用的②Web服务器日志文件是管理员检查安全状态和查找信息的首选文件③定期对电子商务服务器的配置文件、数据库文件和程序文件做好备份④定期对服务器进行检查,包括操作系统中是否出现了可疑用户账号、可疑文件或文件夹、危险组件、木马图片、网页代码被修改、SQL注入漏洞和上传文件漏洞等。Web应用程序安全(1)Web常见的应用安全隐患①非法输入(InvalidatedInput)。②失效的访问控制(BrokenAccessControl)。③失效的账户和纯种管理(BrokenAuth...
