网站安全防护需要关注那些问题

企业要做好网站安全建设，一般要注意这些网站安全防护要求：安全管理制度Web应用安全、中间件、数据库安全、主机安全和网络安全。

首先，让我们了解一些与网站安全相关的术语概念，以便以后了解网站安全防护要求的具体内容。

什么是安全漏洞？

一般漏洞：系统、软件、组件或框架产品本身的漏洞，影响所有产品的应用，如weblogic、mysql、jdk等;

事件漏洞：应用产品本身的设计或配置；

什么是安全基线？

主机、数据库、中间件等重要软件(openssh、ftp等);

安全管理制度

配置范围：账户策略、日志策略、敏感文件权限、防火墙策略等安全策略；

上线前要求:

资产备案(开放端口、防火墙策略、重要软件版本、补丁等)；

应用安全和主机安全扫描；

安全基线配置等安全措施；

选择较新版本的软件并确定补丁；

上线后要求:

管理员密码定期修改；

及时更新后续系统、中间件、数据库、重要软件漏洞的发布；

使用服务器时有安全意识：

不安装、操作来源不明的软件；

不做无关操作(如浏览网页或查看邮件)；

不使用USB等外部设备；

如何做好Web应用安全

web修复漏洞；

设置强密码：至少8位，由数字、密码、特殊字符组成；避免简单短语，如admin、PassW0rd、Test、aisino等;

网站后台管理页面设置访问权限：只允许内网管理员ip访问;

第三方组件及时升级：struts2;

网站备份不能放在网站备份上web应用部署目录；

安装web防火墙的应用：如安全狗；

数据库软件中间件安全

中间件安全要求：

强密码；

关闭或限制后台管理页面；

及时升级无漏版；

使用非root用户启动;

安全基线；

数据库安全要求：

强密码；修改默认用户名和密码；

访问限制数据库连接端口和数据库管理页面；

不能使用连接数据库的帐户DBA权限;

及时升级无漏版；

安全基线；

主机安全

不必要的软件停止运行；

设置强密码，禁止使用Guest账户;

主机安全基线；

关闭危险端口；只打开必要的端口；

如windows需关闭135、137、139、445端口;

对于不需要向外网公开的端口或服务IP访问限制：

例如：例如ssh(22)、rpd(3389);

方式：系统自带防火墙、网络防火墙或路由；

及时升级系统补丁和重要软件补丁；

安装杀毒软件：上传终端扫描文件目录；

网络安全

强密码：重要网络设备如路由器、防火墙等;

访问控制：在网络防火墙层面设置ip、禁止数据库服务器访问端口的权限ip数据库端口对外网开放；

Web内部网络分离；

IPS、IDS设备;

网站安全不仅是网站背景管理系统的安全建设，还涉及一些网络访问权限设置、网络部署管理和日常网站安全监控。希望以上内容能帮助网站安全防护建设。