網站安全風險分析及對策定義：

網站平安性分析即指，分析者論述威逼網站平安的緣由，提出在建立網站時應考慮的平安性目標以及防范手段。網站平安分析：

1.登錄頁面必需加密

在登錄之后實施加密有可能有用，這就像把大門關上以防止馬兒跑出去一樣，不過他們并沒有對登錄會話加密，這就有點兒像在你鎖上大門時卻將鑰匙放在了鎖眼里一樣。即使你的登錄會話被傳輸到了一個加密的資源，在很多狀況下，這仍有可能被一個惡意的黑客攻克，他會細心地偽造一個登錄表單，借以訪問同樣的資源，并訪問敏感數據。

2.實行專業工具幫助

在市面目前有很多針對于網站平安的檢測平臺，不過這些大多數是收費的，而目前標榜免費就只有億思網站平安檢測平臺（iiscan）。通過這些網站平安檢測平臺能夠快速找到網站的平安隱患，而且這些平臺都會供應針對其隱患做出相應措施。

3.通過加密連接管理你的站點

使用不加密的連接(或僅使用輕度加密的連接)，如使用不加密的FTP或HTTP用于Web站點或Web服務器的管理，就會將自己的大門向“中間人”攻擊和登錄/口令的嗅探等手段放開大門。因此請務必使用加密的協議，如SSH等來訪問平安資源，要使用經證明的一些平安工具如OpenSSH等。否則，一旦某人截獲了你的登錄和口令信息，他就可以執行你可做的一切操作。

4.使用強健的、跨平臺的兼容性加密依據目前的進展狀況，SSL已經不再是Web網站加密的最先進技術。可

以考慮TLS，即傳輸層平安，它是平安套接字層加密的繼承者。要保證你所選擇的任何加密方案不會限制你的用戶基礎。同樣的原則也適用于后端的管理，在這里SSH等跨平臺的強加密方案要比微軟的Windows遠程桌面等較弱的加密工具要更可取、更有優越性。

5.從一個平安有保障的網絡連接

避開從平安特性不行知或不確定的網絡連接，也不要從平安性差勁的一些網絡連接，如一些開放的無線訪問點等。無論何時，只要你必需登錄到服務器或Web站點實施管理，或訪問其它的平安資源時，這一點尤其重要。假如你連接到一個沒有平安保障的網絡時，還必需訪問Web站點或Web服務器，就必需使用一個平安代理，這樣你到平安資源的連接就會來自于一個有平安保障的網絡代理。

6.不要共享登錄的機要信息

共享登錄機要信息會引起諸多平安問題。這不但適用于網站管理員或Web服務器管理員，還適用于在網站擁有登錄憑證的人員，客戶也不應當共享其登錄憑證。登錄憑證共享得越多，就越可能更公開地共享，甚至對不應當訪問系統的人員也是如此;登錄機要信息共享得越多，要建立一個跟蹤索引借以跟蹤、追查問題的源頭就越困難，而且假如平安性受到損害或威逼因而需要轉變登錄信息時，就會有更多的人受到影響。

.7采納基于密鑰的認證而不是口令認證

口令認證要比基于密鑰的認證更簡單被攻破。設置口令的目的是在需要訪

問一個平安的資源時能夠更簡單地記住登錄信息。不過假如使用基于密鑰的認證，并僅將密鑰復制到預定義的、授權的系統(或復制到一個與授權的系統相分別的獨立介質中，直接需要它時才取回。)，你將會得到并使用一個更強健的難于破解的認證憑證。

網站平安問題的緣由何在

1.大多數網站設計，只考慮正常用戶穩定使用

但在黑客對漏洞敏銳的發覺和充分利用的動力下，網站存在的這些漏洞就被挖掘出來，且