1.通过SSL加密验证登录
在用户身份识别之后才使用SSL加密的网站(采用https:URL方案)应该停止这种做法。加密应该在登录之后发生,但是,更要关注没有加密登录的情况。坏人能够制作访问同样资源和隐私数据的登录方式。
2.强制执行服务器方面的数据验证
你在某些网站格式中能够发现JavaScript数据验证。恶意黑客如果发现这种验证中包含改善安全的方法,他就能够创建一种不需要验证的特殊方式访问网页另一端的资源。
此外,通过关闭浏览器中的JavaScript或者使用一种不支持JavaScript的浏览器,就可以轻松避开这种JavaScript方式的验证。确保你的网站不要成为客户端数据验证的受害者:最终用户能够看到网页资源或者修改这个表格。应该优先选择在服务器方进行验证。
3.不要使用明文协议管理你的服务器
仅使用SSH等加密的协议访问安全资源和使用OpenSSH等安全工具。永远不要在网站或者网络服务器管理中使用没有加密的FTP或者HTTP协议。
4.使用强大的加密技术
SSL(安全套接层)不再是下一代网站加密技术的代表。欢迎TLS(传输层安全)吧。但是,无论你选择什么技术,不要像专有的具体平台技术那样限制你的用户群。在后台管理方面,你要使用SSH等跨平台兼容的强大的加密技术,而不要一种具体的平台,如软弱的微软“Windows远程桌面”。
5.从安全的网络连接
不要从安全特征不明或者不确定的网络进行连接。如果你有必要使用一个不安全的网络,你要使用一个保密的代理服务器,使用一个OpenSSH或者一个PuTTY安全服务器。
6.保守登录证书的秘密
这个原则适用于网站站长、网络服务器管理员和客户。你可以发现你的登录证书被公开地与你不认识的人或者你不想认识的人共享,并且很难建立一个审计线索和找到问题的根源。由于这个原因,参与这个行动的人数会扩大,
7.在口令身份识别的基础上使用基于密钥的身份识别
前者是首先的选择,因为把密钥拷贝到预先定义的、授权的系统,你将拥有一个很难破解的、强大的身份识别证书。
8.维护一个安全的工作站
在不能保证客户系统安全的情况下连接到一个保密的资源能够发现你是“受到监督”的。尽管有所有的网络保护措施,恶意黑客仍然能够找到访问敏感数据的方法。如果你要你的工作站不被黑客攻破,建议进行完整性审计。
9.使用冗余技术保护网站
采用备份和服务器容错技术以便最大限度地保持运行时间。由于服务器崩溃或者服务器关机,容错系统能够减少中断。最重要的功能是这些重复的服务器能够保持服务器设置的最新复制。这样,你的个人数据就能够保存并且还能保证其安全。要定期检查这些设备。
10.采用适用于所有系统的安全策略
安全策略要适用于所有的系统,而不仅仅是具体的网络安全系统。安全是一个正在进行中的过程,应该包括这个网络过程中的所有的系统。