网站安全防护方案

关于互联网站漏洞防护和安全

习总书记说，“网络安全和信息化是相辅相成的。安全是发展的前提，发展是安全的保障，安全和发展要同步推进。”，他特别指出，“网络安全是动态的而不是静态的。信息技术变化越来越快，过去分散独立的网络变得高度关联、相互依赖，网络安全的威胁来源和攻击手段不断变化，那种依靠装几个安全设备和安全软件就想永保安全的想法已不合时宜，需要树立动态、综合的防护理念。”

网站工作人员需要配合安全专员，从顶层设计上解决网络安全、平台安全和信息安全的问题，集中调度资源解决网络安全保障问题。

1、网页挂马与外链检测

每天定时检查自己的网站是否有JavaScript挂马，及时做好网站漏洞的修复，及时更新网站内容。

2、实时监测网站是否被篡改

3、敏感关键词检测

对网站所有网站页面，检测可疑关键字词。关键词模版和个性化关键词及时查找更换，

4、典型漏洞

对网站日志进行监查是否有SQL注入、SQL盲注、XSS(跨站脚本)，并做详尽的记录报告。以便后期修改做准备。

5、WEB应用状态监控

定时访问网站，分析返回页面，检测错误信息，及时发现网站访问异常。当网站不可用或不稳定时管理员及时修复，本地修复不了的及时跟服务器商联系修复。

6、服务能力和性能监测

应用各大站长工具，定时检测网站访问延时，对网站访问响应时间进行监测，访问延时波动历史和趋势做统计。当访问延时超过指定时间，及时检查网站是否有超大图片，如果不是图片问题就要检查是否是js代码问题。

7、关于已知威胁漏洞

及时了解脚本、数据库等信息，针对常见WEB服务器软件(Apache、IIS、Tomcat 等)漏洞通告，及时升级或更新软件，采取应对措施规避风险。

8、网站优化

网站内容优化，关键字密度分析，提高引擎友好度。页面标题栏(Title)的内容优化。添加并优化网站各页面的keywords及description信息(META)。分析网站代码，精简结构，减少冗余，使网站性能更优，加载更流畅。全站诊断，改进各流程操作的交互体验，

有针对性的进行体验优化，降低用户操作成本，提高用户友好度。优化网站静态资源，减少带宽及服务器请求数节约带宽成本、提高服务器性能。