返回
网站安全策略初探

网站安全策略初探

ID:31375676

大小:115.50 KB

页数:12页

时间:2019-01-09

网站安全策略初探_第1页
网站安全策略初探_第2页
网站安全策略初探_第3页
网站安全策略初探_第4页
网站安全策略初探_第5页
资源描述:

《网站安全策略初探》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、网站安全策略初探  摘要:当前网络安全形势严峻,网站被攻击、数据被窃取事件频发,因此成立了以习近平总书记为组长的中央网络安全和信息化领导小组。对此对网站密码的安全使用,关闭系统不用的端口和服务,使用杀毒软件,扫描漏洞、打上安全补丁,查杀病毒和木马进行策略探讨。  关键词:网站安全;口令;端口;漏洞;补丁  中图分类号:TP393文献标识码:A文章编号:1009-3044(2016)14-0024-03  2015年的互联网世界,可谓多事之秋。2月,美国第二大医疗保险公司Anthem受到攻击,丢失8000万个人信息。7月,全球最臭名昭著的黑客公司HackingTeam至少400G的文件被窃取。8

2、月,全球最大婚外情网站AshleyMadison被黑,10G用户数据被窃取和公布。9月,苹果公司的AppStore,被上传了携带XcodeGhost病毒的APP,并被数亿人下载使用,甚至iCloud帐号密码的安全遭到威胁。10月,英国宽带服务提供商TalkTalk的400多万用户的隐私数据被泄露。12  国内同样鸡犬不宁,社保等系统的高危漏洞就涉及数据5279.4万条。网易用户数据库疑似泄露,影响数据总共数亿条。国家旅游局漏洞致6套系统沦陷,涉及全国6000万客户、6万多旅行社账号密码、上百万导游信息。草榴社区遭到攻击导致数据库外泄。机锋论坛2300万用户数据泄露,涉及数据总数多达4亿多条。三

3、星输入法漏洞,影响全球超过6亿的三星手机用户。  面对入侵者们日益猖獗的进攻态势,我们就黑客入侵方法和我们平时使用习惯、软件防护和硬件防护几个方面来探讨网站防黑、防盗的安全策略。  1口令、密码篇  1.1设置复杂口令,让试图暴力破解者无计可施  口令是在看不清楚的时候用来识别敌我的口头暗号,也被称为密码或者密钥。在银行取钱或者转账时,只有输对密码,才能正常交易。所以入侵者一定会想方设法窃取你的口令。入侵者使用一个包含用户名和口令的字典数据库程序,不断地尝试登录系统,直到成功进入。这个庞大的数据库中,光包含大小写的4字符的口令部分就有50万个组合,想想我们平时为了贪图好记、方便,就使用诸如12

4、3456、888888、abcd等纯数字或者纯字母作为密码,这些非常容易被别人猜到或被破解工具轻而易举快速破解的密码(也叫弱口令)是多么危险。因此,赶紧把弱口令改为安全口令吧。12  怎样的口令才比较安全呢?1个包含大小写且标点符号的7个字符的口令大约有10万亿个组合,对于一般的计算机需要花费大约几个月的时间才能全部试验一遍,真正是一两拨千斤啊。所以安全口令长度应该不小于8个字符,由大写字母(A-Z)、小写字母(a-z)、数字(0-9)和特殊字符组合而成,4种字符每一种都要有,如果某一种字符只有一个,那么不应为第一个字符或最后一个字符。口令中不应包含本人、父母、子女和配偶的姓名和出生日期、纪念

5、日期、登录名、E-mail地址等等与本人有关的信息,以及字典中的单词。安全密码让使用动态字典,包含了所有可能的字符组合的暴力攻击者也头痛不已。因此,要启用密码复杂度校验。  1.2设置验证码登录,限定登陆失败尝试次数  现在的计算机太过强大,暴力破解一个6位纯数字或纯字母的密码,几乎是眨眼之间的事情,我们的密码再复杂也终有被破解的一天。为了防止黑客程序反复尝试登录,我们可以使用验证码,使得每次登录都必须手工输入验证码,不让暴力破解程序顺利运行,让入侵者品尝验证码的厉害。  看到这里,你是否突然想起了的自己的银行密码,那么重要的银行密码只有6位,而且还是纯数字的,从000000到999999,这

6、不是太容易被攻击了吗?不用害怕,由于银行设置了登陆失败尝试次数的限制,当输入密码错误达到一定次数,ATM机吞卡没商量,网银会在一段时间里拒绝服务,甚至锁住账号,要求持卡人带着身份证到银行解锁,这样就很好地保护了存款的安全性。所以,为了你的网站更加安全,不妨使用验证码,并设置登陆失败尝试次数限制,建议为6-10次。但是与此同时,你还要设置账户锁定时间,以便你可以登录,建议为30分钟。以上的账户锁定设置,可以有效地避免自动破解工具的攻击,同时对于手动尝试者的耐心和信心也可造成很大的打击。锁定账户常常会造成一些不便,但系统的安全有时更为重要。  密码复杂度校验的具体设置如下:按Windows图标键+

7、R键,打开运行窗口→输入GPEDIT.MSC并按回车键→Windows配置→安全设置→账户策略→密码策略→设置密码必须符合复杂性要求为已启用→设置密码长度最小值为8→设置密码最短使用期限为0天→12设置密码最长使用期限为99天(在99天以内最少更新一次密码,使旧的口令失效)。  登录失败次数限制的具体设置如下:在账户策略里→账户锁定策略→设置账户锁定阈值为9次无效登录→设置账户锁定时间为30分钟→

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。