系統安全方案

2022-07-26 03:15:10 字數 1443 閱讀 6625

一、 md5加密使用者密碼

本系統使用者密碼採用安全性非常高md5加密演算法,它被廣泛應用於檔案驗證,銀行密碼加密等領域,由於這種加密的不可逆性,在使用10位以上大小寫字母加數字組成的隨機密碼時,幾乎沒有破解的可能性。

注:建議使用簡訊驗證登入替代使用者名稱密碼登入。

二、 cookies加密

本系統儲存cookies時,對儲存於cookies中的資料採用了以md5加密為基礎,加入隨機加密因子的改進型專用加密演算法。由於使用的不是標準md5 加密,因此本系統cookies中儲存的資料不可能被解密。因此,黑客試圖用偽造cookies攻擊系統變得完全不可能,系統使用者資料變得非常安全。

三、 sql注入防護

系統在防sql注入方面,設定了四道安全防護:

第一、 系統級sql防注入檢測,系統會遍歷檢測所有用get、post、cookies提交到伺服器上的資料,如發現有可能用於構造可注入sql的異常**,系統將終止程式執行,並記錄日誌。這一道安全防護加在連線資料庫之前,能在連線資料庫前擋處幾乎所有的sql注入和危害**安全的資料提交。  

第二、 程式級安全仿sql注入系統,在應用程式中,在構建sql查詢語句前,系統將對由外部獲取資料,並帶入組裝為sql的變數進行安全性合法性驗證,過濾可能構成注入的字元。

第三、 禁止外部提交表單,系統禁止從本網域名稱之外的其它網域名稱提交表單,防止從外部跳轉傳輸攻擊性**。

第四、資料庫操作使用儲存過程  系統所有的重要資料操作,均使用儲存過程作引數查詢,避免組裝sql字串,令即使通過了層層sql注入過濾的攻擊性字元仍然無法發揮作用。

四、完善的日誌管理措施

1.使用者登入日誌管理和審計

記錄使用者登入狀態,登入時間,登入ip位址,

2.檔案訪問日誌的查詢和管理

記錄使用者在本系統中的操作日誌

3.完善的日誌查詢方法。

五、 使用https網路協議。

替代 http協議。(ssl加密。可進行加密傳輸、身份認證)

1)自簽名證書

2)需要乙個已認證的網域名稱ssl,可在內網的 dns 伺服器上將此網域名稱解析到內網 ip 上即可

六.許可權控制

系統設定了嚴格有效的許可權控制系統,和人可以看那個檔案,可以操作管理那個目錄,都有嚴格的許可權訪問控制

七、木馬和病毒防護

1.上傳檔案檢測。其中檢測內容包括檔案大小。型別。副檔名等。不是系統允許的檔案禁止上傳。

2. 底層的檔案型別檢測 系統對檔案型別作了底層級檢測,由於不僅檢測副檔名,而是對檔案的實際型別進行檢測,所以無法通過改副檔名方式逃過安全性驗證。

八、識別客戶端ip驗證

資料使用者表,資料使用者識別客戶端ip驗證。

根據客戶端ip查詢資料庫是否存在ip,如果不存在則拒絕訪問

九、表單提交內容合法性驗證

惡意使用者通過輸入超長的內容,導致沒有對輸入長度進行檢查的**造成緩衝區溢位,從而造成安全問題,可能被攻擊者用來執行其惡意**,解決辦法:嚴格驗證使用者表單輸入的資料合法性即可

系統安全防護方案

更改系統盤所有者為administrators 所有盤根目錄只保留administrators和system許可權。系統盤加上users 讀取許可權 僅當前目錄 c windows c windows system32 c windows syswow64 只保留administrators和sys...

系統安全管理

1 禁止root使用者登陸,使用普通使用者登陸再切換root使用者 2 更改ssh連線埠 3 定期更改系統密碼,或使用金鑰的方式連線 4 使用堡壘機管理伺服器 5 編寫指令碼防止ssh暴力破解 1 shell指令碼 bin bash denyhosts shell scripts if d root...

系統安全 Firewall

netfilter iptables是與最新的2.6.x版本linux核心整合的ip資訊包過濾系統。如果linux系統連線到網際網路或lan 伺服器或連線lan和網際網路的 伺服器,則該系統有理由在linux系統上更好的控制ip資訊包過濾和防火牆配置。雖然netfilter iptablesip資訊...