安全侠
2
等保中级测评师
CICSA
安全侠2
等保中级测评师
CICSA
对外开放服务除www服务外,其他无需对公众提供的服务均应采用非标准端口。
对敏感服务采取高位端口,服务对外开放采取端口映射方式,置于防火墙后,文件共享服务器可放置于DMZ区域,也不可掉以轻心,建立完善的权限管理。
对于服务器远程访问可采取远程接入的方式,仅对内网开放,采用非标准端口。
公网访问内网应可使用SSL VPN。及时打补丁,关闭无关端口。
日志记录应详尽,不论任何行为均详细记录。
在对外提供服务时,应强制采取SSL方式加密通信,对于调用的API应做好鉴权。
如果是APP可采取ssl-pinning技术,不信任系统证书,只信任自己颁发的证书,通信过程采取双向加密通信,防止中间人攻击和对APP的抓包。
在部署服务后建立的测试用户应及时禁用或降低权限,防止测试用户被攻破后攻击者利用低权限提权从而获取服务器控制权。
上官雨宝
2
CISM-WSE
中级信息安全等级测评师
上官雨宝2
CISM-WSE
中级信息安全等级测评师
网站对外开放服务时需要注意以下这些:
对外开放服务除www服务外,其他无需对公众提供的服务均应采用非标准端口。
对敏感服务采取高位端口,服务对外开放采取端口映射方式,置于防火墙后,文件共享服务器可放置于DMZ区域,也不可掉以轻心,建立完善的权限管理。
对于服务器远程访问可采取远程接入的方式,仅对内网开放,采用非标准端口。
公网访问内网应可使用SSL VPN。及时打补丁,关闭无关端口。
日志记录应详尽,不论任何行为均详细记录。
在对外提供服务时,应强制采取SSL方式加密通信,对于调用的API应做好鉴权。
如果是APP可采取ssl-pinning技术,不信任系统证书,只信任自己颁发的证书,通信过程采取双向加密通信,防止中间人攻击和对APP的抓包。
在部署服务后建立的测试用户应及时禁用或降低权限,防止测试用户被攻破后攻击者利用低权限提权从而获取服务器控制权。
推荐文章
