長沙網站建設的安全性設計
2014-11-12 20:05

對于長沙網站建設的安全可以從運行環境與網站程序兩個方面來分析：

其一，網站運行環境的安全主要包括物理的安全和網站運行支撐軟件本身的安全。

物理安全是指系統機器及其外設不遭受各種物理破壞，如被盜、遭火災、水災等；支撐軟件本身的安全是指網絡操作系統、web服務器系統及數據庫系統本身的安全，此類安全用戶是無能為力的，只有及時安裝廠家發布的安全補丁程序。

其二，對于網站程序自身的安全，應該從以下幾個方面考慮。

（1）網站建設不信任原則

對網站程序來講，訪問網站的用戶都是不被信任的，他們當中就隱藏著攻擊者。所有用戶的輸入都應該檢查。合法的輸入才可以進入流程，這樣就可以最大限度的保證程序的安全。

（2）網站建設輸入檢查原則

從目前的網站程序來看，用戶的輸入分為文本型和二進制型。對于文本型輸入，如果要進行檢查，就得根據字段本身的性質進行，如郵編必須限制為六位數字，身份證號碼必須符合身份證號碼的編碼規則等。

需要說明的是，為了進一步提高網站的安全性，應該采用前后數據檢查相結合的方法來完成程序對輸入數據的檢查，避免用以前采用的只在前臺通過客戶端腳本完成數據檢查的做法，因為原來的做法攻擊者和容易繞過檢查程序 ，如SQL注入攻擊等。

（3）用戶最小權限原則

訪問網站的用戶有什么樣的權限，要根據網站的性質和需要客戶做什么來決定，但是有一個基本的原則，就是服務器的安全性。對于訪問網站的用戶，盡量規范他們可以輸入的內容，限制并過濾輸入的非法信息，尤其是要嚴禁上傳非法文件。

（4）網站建設程序運行最小權限原則

網頁有靜態與動態之分，對于沒有服務器端程序的頁面應該保存為靜態頁面，這樣可以減少程序的執行時間，有利于提高服務器效率。同時可以保證程序的安全性。

網站程序跟服務器應當盡可能的減少耦合，杜絕網站中使用絕對路勁等情況。另外，對于目錄的權限也應該做出規定，比如存放上傳文件的目錄，在絕大多數情況下式不應該有執行權限的。

（5）網站建設組件安全性原則

要使用網站功能強大，必然要使用組件，組件在帶來強大的功能的同時也帶來了安全隱患。對于內置組件的使用，應當有明確的使用范圍；對于自己注冊的組件，必須認真考慮組件的效率和是否有溢出漏洞。

（6）網站建設程序錯誤處理原則

從嚴格意義上講，測試是不可能發現所有問題的。在設計階段，出錯設計就是保證程序安全性的一個重要環節。如果一個程序能處理所有錯誤，那么它就有非常高的安全性。

上一篇：長沙網站建設初期的目錄規劃 下一篇：長沙網站建設要注意些什么