网站安全风险分析及对策

1、网站安全风险分析及对策定义：网站安全性分析即指，分析者论述威胁网站安全的原因，提出在建立网站时应考虑的安全性目标以及防范手段。网站 安全分析：1. 登录页面必须加密在登录之后实施加密有可能有用，这就像把大门关上以防止马儿跑出去一样，不过他们并没有对登录会话加密，这就 有点儿像在你锁上大门时却将钥匙放在了锁眼里一样。即使你的登 录会话被传输到了一个加密的资源，在许多情况下，这仍有可能被 一个恶意的黑客攻克，他会精心地伪造一个登录表单，借以访问同 样的资源，并访问敏感数据。2. 采取专业工具辅助在市面目前有许多针对于网站安全的检测平台，不过这些大多数是收费的，而目前标榜免费就只有亿思网站安全检测

2、平台（ iiscan ）。通过这些网站安全检测平台能够迅速找到网站的安 全隐患，而且这些平台都会提供针对其隐患做出相应措施。3. 通过加密连接管理你的站点使用不加密的连接 （或仅使用轻度加密的连接 ） ，如使用不加密的FTP或HTTP用于Web站点或Web服务器的管理，就会 将自己的大门向“中间人”攻击和登录 / 口令的嗅探等手段敞开大门。因此请务必使用加密的协议，如 SSH等来访问安全资源，要使用经 证实的一些安全工具如 Open SS芾。否则，一旦某人截获了你的登 录和口令信息，他就可以执行你可做的一切操作。4. 使用强健的、跨平台的兼容性加密根据目前的发展情况，SSL已经不再是 Web网

3、站加密的最先进技术。可以考虑TLS,即传输层安全，它是安全套接字层加密的继承者。要保证你所选择的任何加密方案不会限制你的用户基础。同样的原则也适用于后端的管理，在这里 SSH等跨平台的强加密方案要比微软的 Windows远程桌面等较弱的加密工具要更可取、更有 优越性。5. 从一个安全有保障的网络连接避免从安全特性不可知或不确定的网络连接，也不要从安全性差劲的一些网络连接，如一些开放的无线访问点等。无 论何时，只要你必须登录到服务器或 Web站点实施管理，或访问其 它的安全资源时，这一点尤其重要。如果你连接到一个没有安全保 障的网络时，还必须访问 Web站点或Wet服务器，就必须使用一个安 全代

4、理，这样你到安全资源的连接就会来自于一个有安全保障的网 络代理。6. 不要共享登录的机要信息共享登录机要信息会引起诸多安全问题。这不但适用于网站管理员或Web服务器管理员，还适用于在网站拥有登录凭 证的人员，客户也不应当共享其登录凭证。登录凭证共享得越多，就越可能更公开地共享，甚至对不应当访问系统的人员也是如此; 登 录机要信息共享得越多，要建立一个跟踪索引借以跟踪、追查问题的源头就越困难，而且如果安全性受到损害或威胁因而需要改变登 录信息时，就会有更多的人受到影响。.7 采用基于密钥的认证而不是口令认证口令认证要比基于密钥的认证更容易被攻破。设置口令的目的是在需要访问一个安全的资源时能够更容易地记住登录信息。不过如果使用基于密钥的认证，并仅将密钥复制到预定义的、授权 的系统(或复制到一个与授权的系统相分离的独立介质中，直接需要 它时才取回。 ) ，你将会得到并使用一个更强健的难于破解的认证凭 证。网站安全问题的原因何在1. 大多数网站设计，只考虑正常用户稳定使用但在黑客对漏洞敏锐的发觉和充分利用的动力下，网站存在的这些漏洞就被挖掘出来，且成为黑客们直接或