网站的安全性从系统和程序方面要注意些什么?[讨论]
前两天偶去面试,面试的题目不是很复杂,都是比较简单的问题,但是有个问题还真把我给问住了,“网站的安全性从系统和程序方面要注意些什么?”
这个貌似很简单的问题,却把偶给难住了,想来想去,没有啥好办法,就只能胡乱写了点,就.net的安全机制和数据库的权限等稍微作了下讨论。回来后,想想觉得回答的不是很妥当,于是问了两个朋友
By Ken :系统方面--服务器配置,权限问题,防火墙配置。
程序方面,主要是防止SQL注入,还有就是如果有交互的话,最好控制发言权,比如说加验证码之类的。另外就是加密相关内容,数据及时备份。
By Jimmy:硬件安全(指机房/服务器综合硬件环境+管理制度,不能出现因环境问题或管理问题导致的硬件损坏或人为失误) + 容错/备份机制 + 代码安全(合理的安全逻辑设计,防止cookie窃取,非法信息访问/获取) + 软件环境安全(指操作系统以及文件系统权限配置,数据库安全等)
具体答案到底是否正确,我还没有研究过,但是我想这两个回答,应该是八九不离十了。
这个貌似很简单的问题,却把偶给难住了,想来想去,没有啥好办法,就只能胡乱写了点,就.net的安全机制和数据库的权限等稍微作了下讨论。回来后,想想觉得回答的不是很妥当,于是问了两个朋友
By Ken :系统方面--服务器配置,权限问题,防火墙配置。
程序方面,主要是防止SQL注入,还有就是如果有交互的话,最好控制发言权,比如说加验证码之类的。另外就是加密相关内容,数据及时备份。
By Jimmy:硬件安全(指机房/服务器综合硬件环境+管理制度,不能出现因环境问题或管理问题导致的硬件损坏或人为失误) + 容错/备份机制 + 代码安全(合理的安全逻辑设计,防止cookie窃取,非法信息访问/获取) + 软件环境安全(指操作系统以及文件系统权限配置,数据库安全等)
最后还一个非技术因素,就是人员管理,包括开发人员和维护人员等跟系统接触的人,就算其它都做得很好,人为的信息外流是不能从技术层面控制的
具体答案到底是否正确,我还没有研究过,但是我想这两个回答,应该是八九不离十了。
浙公网安备 33010602011771号