网站安全规范
网站安全是非常重要的,确保网站的安全性可以避免用户数据泄露和恶意攻击等安全问题。在网站安全方面,我们也做了很多相关的努力,以下是一些关于我们所符合的网站安全规范,可以确保网站的安全性:
密码安全
- 我们在服务器后台和网站后台所使用的所有密码均为强密码。
- 包括字母、数字、符号和大小写字母。
- 密码应该至少包含16个字符。
- 使用加密算法存储密码。
数据库安全
- 双机热备。
- 每天全量备份数据库表。
- 数据库IP白名单,仅限授权的服务器连接数据库。
- 仅限授权用户可以访问数据库。
- 仅限授权用户可以执行数据库操作。
网络安全
- 使用SSL/TLS协议加密用户数据传输。
- 防止跨站脚本攻击(XSS),使用输入验证和过滤器。
- 防止跨站请求伪造(CSRF),使用随机令牌。
- 定期检查服务器和软件更新,确保安全漏洞已得到修复。
应用程序安全
- 使用最新的安全技术和防护措施,如防火墙、入侵检测系统等。
- 开发和测试应用程序时,应采用最佳实践,如输入验证、代码审查等。
- 定期进行漏洞扫描和安全评估,及时发现和修复漏洞。
- 禁止使用不安全的应用程序或插件。
服务器安全
- 每天进行服务器硬盘全量备份。
- 在服务器中使用强密码。
- 服务器登陆进行实时监控,从非常用地登陆全及时通知。
- 服务器防火墙,对不需要用到的网络端口进行管控。
- 定时升级服务器及各项组件,及时修复漏洞。
阿里云WAF
- 自动防护漏洞:0day web应用漏洞小时级自动防御,无需人工打补丁。
- 多重动态防御:自研规则+AI深度学习+主动防御,搭配不断更新的全网威胁情报,扫除防御死角。
- 防扫描及探测:根据扫描及探测的特征和行为,配合全网威胁情报、深度学习算法进行自动拦截,避免黑客发现可利用的系统弱点。
- 防护规则可自定义:可根据业务实际需求,灵活自定义防护规则。
日志安全
- 记录所有用户和管理员活动,包括登陆、退出、更改设置、操作等。
- 确保日志数据安全,并加密存储。
- 定期监控日志活动,及时检测异常行为。
用户账号安全
- 禁止共享账号和密码。
- 使用强密码。
- 定期监控账户活动,及时检测异常行为。
另外也需要客户的配合,做到自己账号的安全,使用强密码,不要共享账号,与我们共同维护网站的安全。
