网站安全防护需要关注哪些问题？

企业要做好网站安全建设工作，一般需要注意这些网站安全防护要求:安全管理制度、Web应用安全、中间件、数据库安全、主机安全和网络安全。

首先我们来了解一些网站安全相关的一些名词概念，便于之后了解网站安全防护要求的具体内容。

什么是“安全漏洞”?

通用型漏洞：系统、软件、组件或框架产品本身的漏洞，影响所有依赖于该产品的应用，如weblogic、mysql、jdk等;

事件型漏洞：应用产品本身因设计或配置导致的漏洞;

什么是“安全基线”?

涉及产品：主机、数据库、中间件及其它重要软件(openssh、ftp等);

安全管理制度

配置范围：账户策略、日志策略、敏感文件权限、防火墙策略等安全策略;

上线前要求：

资产备案(开放端口情况、防火墙策略、重要软件版本及补丁情况等);

应用安全测试及主机安全扫描;

安全基线配置及其它安全措施;

选用最新版本软件并确定打补丁方式;

上线后要求：

定时修改管理员密码;

跟进系统、中间件、数据库、重要软件漏洞发布情况，及时更新;

使用服务器时具备安全意识：

不安装、运行来历不明的软件;

不在做无关操作(如浏览网页或查看邮件);

不使用USB等外部设备;

如何做好Web应用安全

web应用漏洞修复;

设置强密码：至少8位，由数字、密码、特殊字符组成;避免出现简单词组，如admin、PassW0rd、Test、aisino等;

网站后台管理页面设访问权限：仅允许内网中管理员ip访问;

第三方组件及时升级：如struts2;

网站备份不可放在web应用部署目录中;

安装web应用防火墙：如安全狗;

中间件及数据库软件安全

中间件安全要求：

强密码;

后台管理页面关闭或做访问限制;

使用无漏洞版本，及时升级;

使用非root用户启动;

安全基线;

数据库安全要求：

强密码;修改默认用户名、密码;

为数据库连接端口、数据库管理页面做访问限制;

应用连接数据库的账户不可使用DBA权限;

使用无漏洞版本，及时升级;

安全基线;

主机安全

停止运行不必要的软件;

设置强密码;禁用Guest账户;

主机安全基线;

关闭危险端口;仅开放必要端口;

如windows需关闭135、137、139、445端口;

对不需要对外网公开的端口或服务加IP访问限制：

举例：如ssh(22)、rpd(3389);

途径：系统自带防火墙、网络防火墙或路由;

及时升级系统补丁及重要软件补丁;

安装杀毒软件：终端扫描文件上传目录;

网络安全

强密码：重要网络设备如路由器、防火墙等;

访问控制：在网络防火墙层面设置ip、端口的访问权限，禁止数据库服务器ip及数据库端口对外网开放;

Web服务器与公司内部网络分离;

IPS、IDS设备;

网站安全不仅仅就是做好网站后台管理系统安全建设就可以了，还涉及一些网络访问权限设置、网络部署管理，还有就是日常网站安全监测的问题。希望上述内容，能够帮助做网站安全防护建设。