Cómo redactar una política de seguridad de un sitio web
1.1 Arquitectura de seguridad web, incluida la seguridad del host, la seguridad de la red y la seguridad de las aplicaciones;
1.2 Requisitos de seguridad para navegadores y servidores web;
Contra este tipo de ataque a servidores web, las vulnerabilidades conocidas en los servidores web (incluidos hardware y software) son mínimas;
Las operaciones de administración en el servidor sólo pueden ser realizadas por usuarios autorizados;
p>
Denegar el acceso web a contenido no publicado en el servidor web
Prohibir la incorporación de servicios web innecesarios en el sistema operativo o el software del servidor web
Capacidad de controlar el acceso; a varias formas de programa .exe.
Tolerancia a fallos adecuada;
1.3 Requisitos de seguridad para la transmisión web
El servidor web debe estar aislado de la red interna:
Allí Hay cuatro implementaciones Método, debe optar por utilizar un firewall de Cisco de alto rendimiento para lograr el aislamiento
El servidor web debe estar aislado de la base de datos:
El servidor web debe estar aislado de la Red interna:
Hay cuatro. Una forma de lograr este objetivo es utilizar un firewall Cisco de alto rendimiento para lograr el aislamiento.
El servidor web debe estar aislado de la base de datos;
p>
Mantener una copia segura del sitio web: desde el inicio de la versión del desarrollador (seguridad del contenido);
En segundo lugar, la ubicación de almacenamiento es segura (otro host independiente en la intranet detrás del firewall);
Además, cintas borrables. Copia de seguridad periódica de CD y otros soportes.
El servidor de red debe estar aislado de la intranet.
1.4 Amenazas a la red: fuga de información, denegación de servicio, caída del sistema, trampolín.
Parte 2 Estrategia de seguridad del servidor web
El sistema operativo host admite directamente la Web y el sistema host debe configurarse para brindar soporte de seguridad para el servidor WEB:
Solo están disponibles los servicios necesarios;
Un ataque a un determinado servicio no afectará a otros servicios;
Utilice herramientas auxiliares que se ejecutan en otros hosts e inicie registros de seguridad;
Utilice servidores web que se ejecuten en otros hosts e inicien registros de seguridad;
Política de seguridad del servidor web. Utilice herramientas auxiliares que se ejecuten en otros hosts e inicie registros de seguridad;
Establezca reglas de control de acceso al servidor web:
Control por IP, subred, nombre de dominio;
Control a través de contraseñas
Utilice algoritmos de cifrado de clave pública
Establezca permisos de directorio del servidor web
Deshabilite las funciones del servidor web con seguridad débil; Por ejemplo: función de listado automático de directorios; conexión simbólica, etc.
Organizar cuidadosamente el contenido del servidor web:
Comprobación de enlaces;
Detección de programas CGI (si se utiliza esta tecnología); Comprobación periódica Comprobación de seguridad del servidor de red;
Herramientas auxiliares: SSH;
Herramienta de comprobación de la integridad del sistema de archivos
Herramienta de detección de intrusiones; Herramientas de auditoría de registros;
Parte 3 Ataques y contraataques web
Métodos de detección de intrusiones:
Denegación de servicio;
Parte 4 Código fuente reglas de seguridad y restricciones
No se deben permitir programas de puerta trasera ni lagunas, incluido si la arquitectura del sistema es razonable, si cumple con los requisitos de seguridad, desmontaje y descompilación, antivirus, etc.
Finalmente, en cuanto a la seguridad de las cookies, la tecnología de cifrado, la seguridad del navegador web y la seguridad del servidor web, las reglas marcadas por cada empresa son diferentes y varían de persona a persona.