运维人员应该时刻谨记的十大安全法则

　　网站安全问题可以说是现在最引人关注的问题。本文介绍了十条措施维护网站安全最低限度需要做到的事情，主要是给大家提供思路，为广大运维人员提供参考。这十条措施涉及到用户身份验证、数据加密传输、子网划分、灾难备份等多个方面的内容。

　　网站前端防护

　　措施1：网站用户的身份认证

　　一般可以采用用户名+密码验证，确认用户登录身份，并根据数据库中预设的权限，向用户展示相应的界面。
　　对于重要的网站应用，需要根据PKI机制，验证用户提供的证书，从而对用户身份认证(服务器对客户端认证)，并确保交易的不可抵赖性。证书的提供可以采用两种方式：文件证书或是USB设备存储的证书。文件证书保存在用户磁盘和文件系统上，有一定的安全风险，但是可以免费;USB证书安全性高，但是一般需要向用户收费。


　　措施2：网站数据的加密传输

　　对于使用Web浏览器的网上系统应用，采用SSL+数字证书结合的方式(即HTTPS协议)，保证通信数据的加密传输，同时也保证了用户端对服务器端的认证，避免用户被冒充合法网站的“钓鱼网站”欺骗，从而泄露机密信息(用户名和密码等)，造成不可挽回的经济损失。

　　如何建立SSL(HTTPS)网站？鸟哥的私房菜里面有一章进行了简单的介绍。

　　措施3：用户账号使用行为的日志记录及其审计

　　系统服务器侧应根据账号，对用户的使用行为进行详细的日志记录和审计，通过上述因素的日志记录，进行阶段性的审计(时间间隔应该比较小)，从而做到发现用户账号的盗用、恶意使用等问题，尽早进行处理。

　　措施4：恶意用户流量的检测、过滤及阻断

　　系统服务器侧应部署IDS入侵检测系统、IPS入侵防护系统、防火墙等设备，或者部署目前高效、流行的UTM(统一威胁管理)设备，对恶意用户采用的各种攻击手段进行检测和防护，重点过滤恶意流量、突发流量等。

　　措施5：对非正常应用请求的过滤和处理

　　系统的服务器端，尤其是数据库服务器端，应该通过配置和增加对用户非常长应用请求的过滤和处理模块，以避免由于数据库的自身漏洞未及时打上补丁而遭受目前流行的SQL注入攻击等。