指定 Web 安全方案可以從哪些方面入手

指定web安全方案可以從以下方面入手：

• Web系統用戶的身份認證和鑒權機制：采用用戶名+密碼驗證，確認登錄用戶身份，并根據數據庫中預設的權限向用戶展示相應的視圖和表單。對于重要的Web系統應用，需要根據PKI機制驗證用戶提供的證書，從而對用戶身份認證（服務器對客戶端認證），并確保交易的不可抵賴性。

• Web系統數據的加密傳輸和用戶對Web系統服務器的驗證：對于使用Web瀏覽器的網上系統應用，采用SSL+數字證書的方式（即HTTPS協議），保證通信數據的加密傳輸，同時也保證了用戶端對服務器端的認證，避免用戶被冒充合法網站的“釣魚網站”欺騙，從而泄露機密信息（用戶名和密碼等），造成不可挽回的經濟損失。

• 基于用戶賬號的使用行為的日志記錄及其審計：系統服務器側應根據賬號對用戶的使用行為進行詳細的日志記錄和審計，通過上述因素的日志記錄進行階段性的審計（時間間隔應該比較小），從而做到發現用戶賬號的盜用、惡意使用等問題時能盡早地進行處理。

• 惡意用戶流量的檢測、過濾及阻斷：系統服務器側應部署IDS（入侵檢測系統）、IPS（入侵防護系統）、防火墻等設備，或者部署目前高效、流行的UTM（統一威脅管理）設備，對惡意用戶采用的各種攻擊手段進行檢測和防護，重點過濾惡意流量和突發流量等。

• 對用戶的非正常應用請求的過濾和處理：系統的服務器端，尤其是數據庫服務器端，應該通過配置和增加對用戶非正常應用請求的過濾和處理模塊，以避免由于數據庫的自身漏洞未及時打上補丁，而遭受目前流行的SQL 注入攻擊等。

• Web系統服務器側的合理子網劃分及流量分割：系統服務器側包括大量的服務器類型，包括數據庫服務器、Web服務器、FTP服務器和郵件服務器等。為了避免由于惡意流量造成的某種服務器崩潰，而使攻擊后果擴散，并最終導致其他服務器也發生“雪崩效應”，則需要通過子網隔離（如VLAN劃分）、DMZ的設定等方式來將這些服務器放置在不同的安全域當中，做到流量和數據的安全隔離，從而將服務器端在遭受攻擊后對整個業務系統及其他內網資源和數據造成的影響盡量控制在最小的范圍內。

• Web系統服務器的安全管理：格劃分管理人員的角色及其對應的權限，避免一權獨攬，從而引起安全隱患。做好服務器機房的物理條件管理，避免由于靜電等引起的故障。應做好服務器管理員的賬號/口令管理，要求使用強口令，避免內部人員盜用。做好服務器系統軟件、應用軟件的日志管理和補丁管理工作，以便于審計，以及避免由于安全漏洞而遭受內部人員的攻擊。

回答所涉及的環境：聯想天逸510S、Windows 10。