此文章主要講述的是運維人員在實際操作中應該時刻謹記的10條安全法則，網站安全問題可說是是目前人們最為關注的問題。本文介紹了十條措施維護網站安全最低限度需要做到的事情，主要是給大家提供思路，為廣大運維人員提供參考。

這十條措施涉及到用戶身份驗證、數據加密傳輸、子網劃分、災難備份等多個方面的內容。

網站前端防護

運維人員應該時刻謹記的十條安全法則措施1：網站用戶的身份認證

一般可以采用用戶名+密碼驗證，確認用戶登錄身份，并根據數據庫中預設的權限，向用戶展示相應的界面。

對于重要的網站應用，需要根據PKI機制，驗證用戶提供的證書，從而對用戶身份認證(服務器對客戶端認證)，并確保交易的不可抵賴性。證書的提供可以采用兩種方式：文件證書或是USB設備存儲的證書。文件證書保存在用戶磁盤和文件系統上，有一定的安全風險，但是可以免費;USB證書安全性高，但是一般需要向用戶收費。

有關身份認證的具體操作，編輯推薦讀者們關注51CTO安全頻道的身份認證技術專題。

運維人員應該時刻謹記的十條安全法則措施2：網站數據的加密傳輸

對于使用Web瀏覽器的網上系統應用，采用SSL+數字證書結合的方式(即HTTPS協議)，保證通信數據的加密傳輸，同時也保證了用戶端對服務器端的認證，避免用戶被冒充合法網站的“釣魚網站”欺騙，從而泄露機密信息(用戶名和密碼等)，造成不可挽回的經濟損失。

如何建立SSL(HTTPS)網站？鳥哥的私房菜里面有一章進行了簡單的介紹。

運維人員應該時刻謹記的十條安全法則措施3：用戶賬號使用行為的日志記錄及其審計

系統服務器側應根據賬號，對用戶的使用行為進行詳細的日志記錄和審計，通過上述因素的日志記錄，進行階段性的審計(時間間隔應該比較小)，從而做到發現用戶賬號的盜用、惡意使用等問題，盡早進行處理。

運維人員應該時刻謹記的十條安全法則措施4：惡意用戶流量的檢測、過濾及阻斷

系統服務器側應部署IDS入侵檢測系統、IPS入侵防護系統、防火墻等設備，或者部署目前高效、流行的UTM(統一威脅管理)設備，對惡意用戶采用的各種攻擊手段進行檢測和防護，重點過濾惡意流量、突發流量等。

運維人員應該時刻謹記的十條安全法則措施5：對非正常應用請求的過濾和處理

系統的服務器端，尤其是數據庫服務器端，應該通過配置和增加對用戶非常長應用請求的過濾和處理模塊，以避免由于數據庫的自身漏洞未及時打上補丁而遭受目前流行的SQL注入攻擊等。

網站服務器側

運維人員應該時刻謹記的十條安全法則措施6：合理的子網劃分及流量分割

系統服務器側包括大量的服務器類型，包括數據庫服務器、Web服務器、FTP服務器、郵件服務器等，為了避免由于惡意流量造成的某種服務器崩潰，而引起的攻擊后果擴散，并最終導致其他服務器也發生“雪崩效應”，則需要通過子網隔離(比如VLAN劃分)、DMZ區域的設定等方式來將這些服務器放置在不同的安全域當中，做到流量和數據的安全隔離，從而將服務器端在遭受攻擊后對整個業務系統及其他內網資源和數據造成的影響盡量控制在最低的范圍內。

運維人員應該時刻謹記的十條安全法則措施7：負載均衡及負載保護機制

系統面臨著巨大的服務量，服務器端的設備基本上都需要有多臺服務器進行業務分擔，這樣才能提高性能，避免處理瓶頸的出現，因此，需要采用合理的負載均衡和負載保護機制：

對各服務器的業務流量進行有效地分擔，可按照Round Robin、LRU等方式來進行負載均衡

負載保護機制需要實時地對每臺服務器的CPU資源、內存資源等進行評估，如果一旦超過設定的閾值(80%或者以上)，將馬上進行過載保護，從而保證服務器自身的安全

運維人員應該時刻謹記的十條安全法則措施8：災難備份及恢復

任何系統都不能說100%的安全，都需要考慮在遭受攻擊或者是經受自然災害后的備份恢復工作，需要著重考慮如下幾點：

選擇合適的備份策略，做好提前備份，包括全備份、差分備份、增量備份等等

選擇合適的備份介質，包括磁帶、光盤、RAID磁盤陣列等

選擇合適的備份地點，包括本地備份、遠程備份等等

選擇合適的備份技術，包括NAS、SAN、DAS等等

作好備份的后期維護和安全審計跟蹤

Linux系統的備份手段和工具可以參考51CTO系統頻道的Linux 系統備份——操作實踐與工具介紹專題。更多有關災難備份和恢復的信息可以在51CTO的存儲子站WatchStor.com獲取。

運維人員應該時刻謹記的十條安全法則措施9：管理規范化

系統功能復雜，業務數據敏感，保密級別比較高，并且對不同管理人員的權限、角色要求都不盡相同，為了保證安全管理，避免內部管理中出現安全問題，建議作如下要求：

嚴格劃分管理人員的角色及其對應的權限，避免一權獨攬，引起安全隱患;

作好服務器機房的物理條件管理，避免電子泄露、避免由于靜電等引起的故障;

應作好服務器管理員的帳號/口令管理，要求使用強口令，避免內部人員盜用;

作好服務器的端口最小化管理，避免內部人員掃描得出服務器的不必要的開放端口及其漏洞，實行內部攻擊;

作好服務器系統軟件、應用軟件的日志管理和補丁管理工作，便于審計和避免由于安全漏洞而遭受到內部人員的攻擊;

根據業務和數據的機密等級需求，嚴格劃分服務器的安全域，避免信息泄露。

運維人員應該時刻謹記的十條安全法則措施10：網站漏洞自我挖掘及防護

采用漏洞掃描和挖掘設備，對內網各服務器進行階段性的掃描，并根據掃描所得的風險和漏洞進行及時地修補，以實現該漏洞為黑客使用之前進行自行修復的目的。

這方面的工具服務很多，比如五大著名的免費SQL注入漏洞掃描工具，十大Web服務器漏洞掃描程序等等。

上面這十條，并不是做了就能夠保證網站安全，而是要“做好”，必須做好。正在閱讀這篇文章的運維人員們，上面這些，你都做到了嗎？