商务网站安全性需要注意哪些问题?

商务网站安全性需要注意哪些问题?

这是一个用户权限最小化问题和一个数据信息安全管理问题。 ①权限管理要从目标客户的商业定位着手,要清晰地进行分类 […]

2013-10-12

这是一个用户权限最小化问题和一个数据信息安全管理问题。

①权限管理要从目标客户的商业定位着手,要清晰地进行分类;然后要满足业务系统中的功能权限,还要做到功能可扩展;严格管制用户的使用资格,加强对不同类别用户的相应帐号的跟踪;对权限的改变和对其自身的修改进行审计;要理清权限管理模块元素与元素之间、层级与层级之间的关系。

②如何防止任何信息的泄露?
网络没有绝对的安全,即使是有足够的防范措施,有良好的安全管理,还是会有漏洞,比如安全账户管理数据库就可以被备份操作员、服务器操作员或特权操作员复制带走。不过,安全工作还是必须加强。刚
a. 从概要设计阶段就要细心查漏补缺了;
b. 需求确认之后交由开发进行网站建设,这时候,程序编写注意漏洞防御,做好过滤;
c. 服务器做好防御;
d. 安全证明:漏洞扫描、设计合理;
e. 补丁管理:一旦系统出现bug,咋整;
f. 关键区域堡垒技术,防止恶意攻击、恶意窥探;
g. 帐号定期审查管理;
h. 历史数据定期管理(删除时必须特别注意)。
当然,密码传输必须加密,不可采用明文传输,不然难免会出现类似于如家酒店网站用户信息泄露的问题啦。如果通过抓包发现网站的密码竟然是明文传递的,而且又不需要验证码,很容易通过字典攻击获取某个用户的密码。