讓你的系統更安全——安全策略相關設置

在社區發佈的第一篇小文：讓你的系統更安全——權限校驗 記錄了一下服務端權限校驗，本文收集了一些安全相關的設置策略，也能夠提升系統的安全性，歡迎你們來補充

系統安全保護策略

服務器

• 設置密碼使用期限策略
• 密碼複雜度：強制密碼長度6-24,字母數字大小寫必須
• 帳戶鎖定策略：密碼輸入N次鎖定M分鐘
• 禁止空密碼帳戶和guest帳戶
• 空閒會話斷開時間
• 禁止未登陸時關機 安全設置\本地策略\安全選項。將"關機:容許在未登陸時關閉系統"設置爲:已禁用
• 僅安裝必需的軟件
• Linux系統禁止直接root用戶登陸，建立其餘帳號並管理好權限 (防止刪庫到跑路狀況)

應用系統

網絡訪問

• 添加SSL證書,https訪問web站點
  • https能避免不少web會話安全問題（泄密，篡改）
• web應用目錄不能對外暴露 （如IIS目錄啓用問題）

身份校驗

• 密碼複雜度校驗：強制密碼長度6-24,字母數字大小寫必須
• 登陸作兩種以上的安全校驗:帳號密碼+驗證碼/令牌
• 登陸失敗鎖定帳號策略 （以上防止暴力破解）
• 登陸防止sql注入校驗
• 用戶密碼禁止明文存儲到數據庫
• 系統權限（頁面、操做）校驗：先後兩端必須都得校驗，後端若是不校驗，直接訪問api會致使非法用戶越權
• 限制同一用戶屢次登陸操做或清除資源（如登陸後返回令牌，再次登陸清除掉舊的令牌，以避免被隨機獲取）
• 關鍵性操做須要二次確認身份（如修改重要信息、支付 須要密碼或手機短信碼確認）

大部分系統漏洞都仍是偷懶形成的，服務端不要相信客戶端傳來的任何數據，要仔細檢查加判斷校驗

必定狀況下可啓用ip訪問限制，如數據庫只能經過內網

資源訪問

• 圖片/cdn啓用防盜鏈 防止cdn被其餘人濫用，流量大量損失
• 短信、郵件發送限制頻率