1、网站安全威胁与需求分析
1.1、网站安全概念
网站安全主要是有关网站的机密性、完整性、可用性及可控性。
网站的机密性是指网站信息及相关数据不被授权查看或泄露。
网站的完整性是指网站的信息及数据不能非授权修改,网站服务不被劫持。
网站的可用性是指网站可以待续为相关用户提供不中断的服务的能力,满足用户的正常请求服务。
网站的可控性是指网站的责任主体及运营者对网站的管理及控制的能力,网站不能被恶意利用。
1.2、网站安全分析
非授权访问
网页篡改
数据泄露
恶意代码
网站假冒
拒绝服务
网站后台管理安全威胁
网站管理员身份及密码被窃取;
后台管理网页存在安全漏洞;
内部管理权限分配不合理。
1.3、网站安全需求
网站安全需求涉及多个方面,主要包括物理环境、网络通信、操作系统、数据库、应用服务器、Web 服务软件、Web 应用程序、数据等安全威胁防护。
2、Apache Web 安全分析与增强
Apache Httpd 是常用的构建网站服务器的软件,简称Apache Web。
2.1、Apache Web 概述
Apache Httpd 配置文件如下:
(1)httpd.conf
httpd.conf 是Apache 的主配置文件
