web网站安全策略 如何写

第一部分 web的安全需求
11 Web安全的体系结构，包括主机安全，网络安全和应用安全;
12 Web浏览器和服务器的安全需求;
在已知的web服务器(包括软硬件)漏洞中，针对该类型web服务器的攻击最少;
对服务器的管理 *** 作只能由授权用户执行;
拒绝通过web访问web服务器上不公开发布的内容;
禁止内嵌在OS或者 web server软件中的不必要的网络服务;
有能力控制对各种形式的exe程序的访问;
能够对web *** 作进行日志记录，以便于进行入侵检测和入侵企图分析;
具有适当的容错功能;
13 Web传输的安全需求
Web服务器必须和内部网络隔离：
有四种实现方式，应选择使用高性能的cisco防火墙实现隔离
Web服务器必须和数据库隔离;
维护一份web站点的安全拷贝：来自开发人员最终发布的版本(内容安全);
其次，存储的地点是安全的(另一台独立的位于防火墙之后的内网的主机);
还有，定期备份应该使用磁带，可擦写光盘等媒介;
14 Web面临的威胁：信息泄露，拒绝服务，系统崩溃，跳板。
第二部分 web服务器的安全策略
主机 *** 作系统是web的直接支撑着，必须合理配置主机系统，为WEB 服务器提供安全支持：
只提供必要的服务;
某种服务被攻击不影响其它服务;
使用运行在其它主机上的辅助工具并启动安全日志;
设置web服务器访问控制规则：
通过IP,子网，域名来控制;
通过口令控制;
使用公用密钥加密算法;
设置web服务器目录权限;
关闭安全性脆弱的web服务器功能例如：自动目录列表功能;符号连接等
谨慎组织web服务器的内容：
链接检查;
CGI程序检测(如果采用此技术);
定期对web服务器进行安全检查;
辅助工具：SSH;
文件系统完整性检测工具;
入侵检测工具;
日志审计工具;
第三部分 web攻击与反攻击
入侵检测方法：
物理检查;
紧急检查;
追捕入侵者;
攻击的类型：
拒绝服务;
第四部分 源代码的安全及约束规则
不能留有后门程序和漏洞，包括系统架构是否合理，是否符合安全需求汇编反汇编、病毒反病毒。
最后，至于 cookies的安全、加密技术、web浏览器的安全、web服务器的安全每个公司设置的规则都不一样，因人而异。

数据库安全性问题一直是围绕着数据库管理员的恶梦 数据库数据的丢失以及数据库被非法用户的侵入使得数据库管理员身心疲惫不堪 本文围绕数据库的安全性问题提出了一些安全性策略 希望对数据库管理员有所帮助 不再夜夜恶梦 数据库安全性问题应包括两个部分 一 数据库数据的安全它应能确保当数据库系统DownTime时 当数据库数据存储媒体被破坏时以及当数据库用户误 *** 作时 数据库数据信息不至于丢失 二 数据库系统不被非法用户侵入它应尽可能地堵住潜在的各种漏洞 防止非法用户利用它们侵入数据库系统 对于数据库数据的安全问题 数据库管理员可以参考有关系统双机热备份功能以及数据库的备份和恢复的资料 以下就数据库系统不被非法用户侵入这个问题作进一步的阐述 组和安全性在 *** 作系统下建立用户组也是保证数据库安全性的一种有效方法 Oracle程序为了安全性目的一般分为两类 一类所有的用户都可执行 另一类只DBA可执行 在Unix环境下组设置的配置文件是/etc/group 关于这个文件如何配置 请参阅Unix的有关手册 以下是保证安全性的几种方法 ( ) 在安装Oracle Server前 创建数据库管理员组(DBA)而且分配root和Oracle软件拥有者的用户ID给这个组 DBA能执行的程序只有 权限 在安装过程中SQLDBA系统权限命令被自动分配给DBA组 ( ) 允许一部分Unix用户有限制地访问Oracle服务器系统 增加一个由授权用户组成的Oracle组 确保给Oracle服务器实用例程Oracle组ID 公用的可执行程序 比如SQLPlus SQLForms等 应该可被这组执行 然后该这个实用例程的权限为 它将允许同组的用户执行 而其他用户不能 ( ) 改那些不会影响数据库安全性的程序的权限为 注 在我们的系统中为了安装和调试的方便 Oracle数据库中的两个具有DBA权限的用户Sys和System的缺省密码是manager 为了您数据库系统的安全 我们强烈建议您该掉这两个用户的密码 具体 *** 作如下 在SQLDBA下键入 alter user sys indentified by password;alter user system indentified by password;其中password为您为用户设置的密码 Oracle服务器实用例程的安全性以下是保护Oracle服务器不被非法用户使用的几条建议 ( ) 确保$ORACLE_HOME/bin目录下的所有程序的拥有权归Oracle软件拥有者所有 ( ) 给所有用户实用便程(sqiplus sqiforms exp imp等) 权限 使服务器上所有的用户都可访问Oracle服务器 ( ) 给所有的DBA实用例程(比如SQLDBA) 权限 Oracle服务器和Unix组当访问本地的服务器时 您可以通过在 *** 作系统下把Oracle服务器的角色映射到Unix的组的方式来使用Unix管理服务器的安全性 这种方法适应于本地访问 在Unix中指定Oracle服务器角色的格式如下 ora_sid_role[_dla]其中sid 是您Oracle数据库的oracle_sid role是Oracle服务器中角色的名字 d(可选)表示这个角色是缺省值 a(可选)表示这个角色带有WITH ADMIN选项 您只可以把这个角色 授予其他角色 不能是其他用户 以下是在/etc/group文件中设置的例子 ora_test_osoper_d:NONE: :jim narry scottora_test_osdba_a:NONE: :patora_test_role :NONE: :bob jane tom mary jimbin:NONE: :root oracle dbaroot:NONE: :root词组 ora_test_osoper_d 表示组的名字 词组 NONE 表示这个组的密码 数字 表示这个组的ID 接下来的是这个组的成员 前两行是Oracle服务器角色的例子 使用test作为sid osoper和osdba作为Oracle服务器角色的名字 osoper是分配给用户的缺省角色 osdba带有WITH ADMIN选项 为了使这些数据库角色起作用 您必须shutdown您的数据库系统 设置Oracle数据库参数文件initORACLE_SID ora中os_roles参数为True 然后重新启动您的数据库 如果您想让这些角色有connect internal权限 运行orapwd为这些角色设置密码 当您尝试connect internal时 您键入的密码表示了角色所对应的权限 SQLDBA命令的安全性如果您没有SQLPLUS应用程序 您也可以使用SQLDBA作SQL查权限相关的命令只能分配给Oracle软件拥有者和DBA组的用户 因为这些命令被授予了特殊的系统权限 ( ) startup( ) shutdown( ) connect internal数据库文件的安全性Oracle软件的拥有者应该这些数据库文件($ORACLE_HOME/dbs/ dbf)设置这些文件的使用权限为 文件的拥有者可读可写 同组的和其他组的用户没有写的权限 Oracle软件的拥有者应该拥有包含数据库文件的目录 为了增加安全性 建议收回同组和其他组用户对这些文件的可读权限 网络安全性当处理网络安全性时 以下是额外要考虑的几个问题 ( ) 在网络上使用密码在网上的远端用户可以通过加密或不加密方式键入密码 当您用不加密方式键入密码时 您的密码很有可能被非法用户截获 导致破坏了系统的安全性 ( ) 网络上的DBA权限控制您可以通过下列两种方式对网络上的DBA权限进行控制 A 设置成拒绝远程DBA访问 B 通过orapwd给DBA设置特殊的密码 建立安全性策略系统安全性策略( ) 管理数据库用户数据库用户是访问Oracle数据库信息的途径 因此 应该很好地维护管理数据库用户的安全性 按照数据库系统的大小和管理数据库用户所需的工作量 数据库安全性管理者可能只是拥有create alter 或drop数据库用户的一个特殊用户 或者是拥有这些权限的一组用户 应注意的是 只有那些值得信任的个人才应该有管理数据库用户的权限 ( ) 用户身份确认数据库用户可以通过 *** 作系统 网络服务 或数据库进行身份确认 通过主机 *** 作系统进行用户身份认证的优点有 A 用户能更快 更方便地联入数据库 B 通过 *** 作系统对用户身份确认进行集中控制 如果 *** 作系统与数据库用户信息一致 那么Oracle无须存储和管理用户名以及密码 C 用户进入数据库和 *** 作系统审计信息一致 ( ) *** 作系统安全性A 数据库管理员必须有create和delete文件的 *** 作系统权限 B 一般数据库用户不应该有create或delete与数据库相关文件的 *** 作系统权限 C 如果 *** 作系统能为数据库用户分配角色 那么安全性管理者必须有修改 *** 作系统帐户安全性区域的 *** 作系统权限 数据的安全性策略数据的生考虑应基于数据的重要性 如果数据不是很重要 那么数据的安全性策略可以稍稍放松一些 然而 如果数据很重要 那么应该有一谨慎的安全性策略 用它来维护对数据对象访问的有效控制 用户安全性策略( ) 一般用户的安全性A 密码的安全性如果用户是通过数据库进行用户身份的确认 那么建议使用密码加密的方式与数据库进行连接 这种方式的设置方法如下 在客户端的oracle ini文件中设置ora_encrypt_login数为true 在服务器端的initORACLE_SID ora文件中设置dbling_encypt_login参数为true B 权限管理对于那些用户很多 应用程序和数据对象很丰富的数据库 应充分利用 角色 这个机制所带的方便性对权限进行有效管理 对于复杂的系统环境 角色 能大大地简化权限的管理 ( ) 终端用户的安全性您必须针对终端用户制定安全性策略 例如 对于一个有很多用户的大规模数据库 安全性管理者可以决定用户组分类 为这些用户组创建用户角色 把所需的权限和应用程序角色授予每一个用户角色 以及为用户分配相应的用户角色 当处理特殊的应用要求时 安全性管理者也必须明确地把一些特定的权限要求授予给用户 您可以使用 角色 对终端用户进行权限管理 数据库管理者安全性策略( ) 保护作为sys和system用户的连接当数据库创建好以后 立即更改有管理权限的sys和system用户的密码 防止非法用户访问数据库 当作为sys和system用户连入数据库后 用户有强大的权限用各种方式对数据库进行改动 改动sys和system用户的密码的方法 可参看前面的相关部分 ( ) 保护管理者与数据库的连接应该只有数据库管理者能用管理权限连入数据库 当以sysdba或startup shutdown 和recover或数据库对象(例如create drop 和delete等)进行没有任何限制的 *** 作 ( ) 使用角色对管理者权限进行管理应用程序开发者的安全性策略( ) 应用程序开发者和他们的权限数据库应用程序开发者是唯一一类需要特殊权限组完成自己工作的数据库用户 开发者需要诸如create table create procedure等系统权限 然而 为了限制开发者对数据库的 *** 作 只应该把一些特定的系统权限授予开发者 ( ) 应用程序开发者的环境A 程序开发者不应与终端用户竞争数据库资源 B 用程序开发者不能损害数据库其他应用产品 ( ) free和controlled应用程序开发应用程序开发者有一下两种权限 A free development应用程序开发者允许创建新的模式对象 包括table index procedure package等 它允许应用程序开发者开发独立于其他对象的应用程序 B controlled development应用程序开发者不允许创建新的模式对象 所有需要table indes procedure等都由数据库管理者创建 它保证了数据库管理者能完全控制数据空间的使用以及访问数据库信息的途径 但有时应用程序开发者也需这两种权限的混和 ( ) 应用程序开发者的角色和权限 lishixinzhi/Article/program/Oracle/201311/16746

服务器安全这问题，很重要，之前服务器被黑，管理员账号也被篡改，远程端口也登陆不了了。，在网上搜索了一些服务器安全设置以及防黑的文章，对着文章，我一个一个的设置起来，费了好几天的时间才设置完，原以为会防止服务器再次被黑，没想到服务器竟然瘫痪了，网站都打不开了，无奈对服务器安全也是一窍不通，损失真的很大，数据库都损坏了，我哪个后悔啊。娘个咪的。最后还是让机房把系统重装了。找了几个做网站服务器方面的朋友，咨询了关于服务器被黑的解决办法，他们建议找国内最有名的服务器安全的安全公司来给做安全维护，推荐了sinesafe，服务器被黑的问题，才得以解决。
一路的走来，才知道，服务器安全问题可不能小看了。经历了才知道，服务器安全了给自己带来的也是长远的利益。 希望我的经历能帮到楼主，帮助别人也是在帮助我自己。
下面是一些关于安全方面的建议！
建站一段时间后总能听得到什么什么网站被挂马，什么网站被黑。好像入侵挂马似乎是件很简单的事情。其实，入侵不简单，简单的是你的网站的必要安全措施并未做好。
一：挂马预防措施：
1、建议用户通过ftp来上传、维护网页，尽量不安装asp的上传程序。
2、定期对网站进行安全的检测，具体可以利用网上一些工具，如sinesafe网站挂马检测工具！
序，只要可以上传文件的asp都要进行身份认证!
3、asp程序管理员的用户名和密码要有一定复杂性，不能过于简单，还要注意定期更换。
4、到正规网站下载asp程序，下载后要对其数据库名称和存放路径进行修改，数据库文件名称也要有一定复杂性。
5、要尽量保持程序是最新版本。
6、不要在网页上加注后台管理程序登陆页面的链接。
7、为防止程序有未知漏洞，可以在维护后删除后台管理程序的登陆页面，下次维护时再通过ftp上传即可。
8、要时常备份数据库等重要文件。
9、日常要多维护，并注意空间中是否有来历不明的asp文件。记住：一分汗水，换一分安全!
10、一旦发现被入侵，除非自己能识别出所有木马文件，否则要删除所有文件。
11、对asp上传程序的调用一定要进行身份认证，并只允许信任的人使用上传程序。这其中包括各种新闻发布、商城及论坛程
二：挂马恢复措施：
1修改帐号密码
不管是商业或不是，初始密码多半都是admin。因此你接到网站程序第一件事情就是“修改帐号密码”。帐号
密码就不要在使用以前你习惯的，换点特别的。尽量将字母数字及符号一起。此外密码最好超过15位。尚若你使用
SQL的话应该使用特别点的帐号密码，不要在使用什么什么admin之类，否则很容易被入侵。
2创建一个robotstxt
Robots能够有效的防范利用搜索引擎窃取信息的骇客。
3修改后台文件
第一步：修改后台里的验证文件的名称。
第二步：修改connasp，防止非法下载，也可对数据库加密后在修改connasp。
第三步：修改ACESS数据库名称，越复杂越好，可以的话将数据所在目录的换一下。
4限制登陆后台IP
此方法是最有效的，每位虚拟主机用户应该都有个功能。你的IP不固定的话就麻烦点每次改一下咯，安全第一嘛。
5自定义404页面及自定义传送ASP错误信息
404能够让骇客批量查找你的后台一些重要文件及检查网页是否存在注入漏洞。
ASP错误嘛，可能会向不明来意者传送对方想要的信息。
6慎重选择网站程序
注意一下网站程序是否本身存在漏洞，好坏你我心里该有把秤。
7谨慎上传漏洞
据悉，上传漏洞往往是最简单也是最严重的，能够让黑客或骇客们轻松控制你的网站。
可以禁止上传或着限制上传的文件类型。不懂的话可以找专业做网站安全的sinesafe公司。
8 cookie 保护
登陆时尽量不要去访问其他站点，以防止 cookie 泄密。切记退出时要点退出在关闭所有浏览器。
9目录权限
请管理员设置好一些重要的目录权限，防止非正常的访问。如不要给上传目录执行脚本权限及不要给非上传目录给于写入权。
10自我测试
如今在网上黑客工具一箩筐，不防找一些来测试下你的网站是否OK。
11例行维护
a定期备份数据。最好每日备份一次，下载了备份文件后应该及时删除主机上的备份文件。
b定期更改数据库的名字及管理员帐密。
c借WEB或FTP管理，查看所有目录体积，最后修改时间以及文件数，检查是文件是否有异常，以及查看是否有异常的账号。

对登陆到计算机上的账号定义一些安全设置，在没有活动目录集中管理的情况下，本地管理员必须为计算机进行设置以确保其安全。例如，限制用户如何设置密码、通过账户策略设置账户安全性、通过锁定账户策略避免他人登陆计算机、指派用户权限等。这些安全设置分组管理，就组成了的本地安全策略！
各项说明：
用户权限分配
拒绝本地登录：计算机共享了一个文档用户从网络访问的情况需要输入用户名密码，而这一用户是没办法远程登录计算机,或者本地直接用该账号登录此计算机。
安全项：计算机登录界面提示信息。
软件限制策略：
a、使用组策略来限制本机的软件运行：开始--运行—gpeditmsc，如果用户更改了软件名，还是可以照常运行。
b、使用本地安全策略限制本机的软件运行：开始--运行—secpolmsc，如果用户更改了软件的路径，还是可以运行。

服务器维护规划
对服务器的初步了解做出以下几点维护规划，局提供体现为三部分
硬件部分，系统安全部分，及WEB站点安全部分，详细工作规划如下：
1、 硬件部分
经过实地勘察，发现服务器为X此款机器，已有至少有四年以上的使用时间，必须对服务器硬件进行全面的硬件检查，需向系统内安装IBM专用的硬件检查专用软件及RAID和硬盘预分析软件（需客户同意），防止突发硬件问题影响到数据安全。
DSA 软件
具体工作如下
对系统错误进行分析，及时进行现场维修、更换（需客户配合并同意，维修、更换硬件的费用另算）；
对系统板卡、设备的微代码进行升级，采取系统检测判断（需客户配合并同意）；
对设备实行定期预防性维护，提前发现硬件问题防止因为硬件而照成的损失；
提供设备维护、维修记录和报告；
2、 软件部分
服务器安全策略：
1、 系统帐号安全检查及加固：
2、 密码与用户策略：（定期更改及密码策略）
3、 Windows防火墙：（开启防火墙及对端口检查，无用端口的关闭，防黑及木马）
4、 本地策略（安全选项和审核策略启用和更改）
5、 关闭无用的服务
6、 修改端口号（更改远程端口，禁用和更改常用端口号）
以下是服务器日常维护策略：
系统帐号密码一个月更换一次满足复杂性；
每星期清理一次系统日志文件，并查看做记录；
每半个月全面杀毒一次，杀毒软件打开自动更新并半个月手动更新一次；
系统更新设置为自动，并半个月检查更新一次；
服务器硬件状况每月检查一次，CPU、内存、硬盘使用率每月做一次统计；
安装补丁、安装杀毒软件。
3、WEB站点部分（检测软件部分为自选）
首先要做的就是做入侵检测的工作，需植入软件
1、Snort（通过协议分析、内容查找和各种各样的预处理程序，Snort可以检测成千上万的蠕虫、漏洞利用企图、端口扫描和各种可疑行为）（需客户同意）、
2、OSSEC HIDS（执行日志分析、完整性检查、Windows注册表监视、rootkit检测、实时警告以及动态的适时响应）（都是开源免费的）（需客户同意）、
3、360安全卫士（为系统打补丁，及监测网络，系统进程）（需客户同意）
系统安全管理应当包括下列所示的内容：
(1) *** 作系统漏洞补丁管理。为系统打补丁是一件非常重要的工作，
(2)网络应用程序版本更新。
(3)杀毒软件病毒库和防火墙规则审查。虽然杀毒软件都可以通过自动更新方式更新病毒库，我还是建议你养成按时手动更新病毒库的习惯，并且，在每次手动杀毒前进行手动更新病毒库一次。同时，对于防火墙规则，尤其是应用程序规则，我们要经常检查是否添加了不明规则，以便及时取消。
(4)定期检查系统审核日志。经常检查这些审核产生的日志，能及时发现系统是否已经被入侵，或者已经受到过某种入侵行为的侵扰。
(5)在使用计算机过程中，要养成查看系统运行进程的习惯。
(6)要经常查看目前的网络连接情况。

由于FTP服务器常被用来做文件上传与下载的工具，所以，其安全的重要性就不同一般。因为若其被不法攻击者攻破的话，不但FTP服务器上的文件可能被破坏或者窃取；更重要的是，若它们在这些文件上下病毒、木马，则会给全部的FTP用户带来潜在的威胁。所以，保护FTP服务器的安全已经迫在眉睫。
而要保护FTP服务器，就要从保护其口令的安全做起。这里就谈谈常见的FTP服务器具有的一些口令安全策略，帮助大家一起来提高FTP服务器的安全性。
策略一：口令的期限
有时候，FTP服务器不仅会给员工用，而且还会临时给一个账号给外部的合作伙伴使用。如销售部门经常会因为一些文件比较大，无法通过电子邮件发送，需要通过FTP 服务器把文件传递给客户。所以，在客户或者供应商需要一些大文件的时候，就得给他们一个FTP服务器的临时帐号与密码。
现在的做法就是，在FTP服务器设置一个账号，但是，其口令则是当天有效，第二天就自动失效。如此的话，当客户或者供应商需要使用FTP服务器的话，只需要更改一些密码即可。而不需要每次使用的时候，去创建一个用户；用完后再把它删除。同时，也可以避免因为没有及时注销临时帐户而给服务器带来安全上的隐患，因为口令会自动失效。
大多数FTP服务器，如微软 *** 作系统自带的FTP服务器软件，都具有口令期限管理的功能。一般来说，对于临时的帐户，就可以跟帐户与口令的期限管理一起，来提高临时帐户的安全性。而对于内部用户来说，也可以通过期限管理，来督促员工提高密码更改的频率。
策略二：口令必须符合复杂性规则
现在由不少银行，为了用户帐户的安全，进行了一些密码的复杂性认证。如诸如888888等形式的密码，已经不在被接受。从密码学上来说，这种形式的密码是非常危险的。因为他们可以通过一些密码破解工具，如密码电子字典等等，非常轻松的进行破解。
故为了提高口令本身的安全性，最简单的就是提高密码的复杂程度。在FTP服务器中，可以通过口令复杂性规则，强制用户采用一些安全级别比较高的口令。具体的来说，可以进行如下的复杂性规则设定。
1、不能以纯数字或者纯字符作为密码
若黑客想破解一个FTP服务器的帐号，其所用的时间直接跟密码的组成相关。如现在由一个八位数字的密码，一个是纯数字组成的，另外一个是数字与字符的结合。如分别为82372182与32dwl98s这两个密码看起来差不多，可是对与密码破解工具来说，就相差很大。前面这个纯数字的密码，通过一些先进的密码破解工具，可能只需要24个小时就可以破解；可是，对于后面这个字母与数字结合的密码，则其破解就需要2400个小时，甚至更多。其破解难度比原先那个起码增加了100倍。
可见，字符与数字结合的口令，其安全程度是相当高的。为此，我们可以在FTP服务器上进行设置，让其不接受纯数字或者纯字符的口令设置。
2、口令不能与用户名相同
其实，我们都知道，很多时候服务器被攻破都是因为管理不当所造成的。而用户名与口令相同，则是FTP服务器最不安全的因素之一。
很多用户，包括网络管理员，为了容易记忆与管理，他们喜欢把密码跟用户名设置为一样。这虽然方便了使用，但是，很明显这是一个非常不安全的 *** 作。根据密码攻击字典的设计思路，其首先会检查FTP服务器其帐户的密码是否为空；若不为空，则其会尝试利用用户名相同的口令来进行破解。若以上两个再不行的话，则其再尝试其他可能的密码构成。
所以，在黑客眼中，若口令跟用户名相同，则相当于没有设置口令。为此，在FTP服务器的口令安全策略中，也要把禁止口令与密码一致这个原则强制的进行实现。
3、密码长度的要求
虽然说口令的安全跟密码的长度不成正比，但是，一般来说，口令长总比短好。如对于随机密码来说，破解7位的口令要比破解5位的口令难度增加几十倍，虽然说，其口令长度只是增加了两位。
策略三：口令历史纪录
为了提高FTP服务器的安全，则为用户指定一个不能重复口令的时间间隔，这也是非常必要的。如FTP服务器中有一个文件夹，是专门用来存放客户的订单信息，这方便相关人员在出差的时候，可以及时的看到这方面的内容。这个文件夹中的资料是属于高度机密的。若这些内容泄露出去的话，则企业可能会失去大量的订单，从而给企业带来致命的影响。
所以，对于存放了这么敏感资料的FTP服务器，在安全性方面是不敢小视。为此，就启用了口令历史纪录功能。根据这个策略，用户必须每隔一个星期更改一次FTP服务器密码。同时，用户在60天之内，不能够重复使用这个密码。也就是说，启用了口令历史纪录功能之后，FTP服务器会纪录用户两个月内使用过的密码。若用户新设置的密码在两个月内用过的话，则服务器就会拒绝用户的密码更改申请。
可见，口令历史纪录功能可以在一定程度上提高FTP服务器口令的安全性。
策略四：账户锁定策略
从理论上来说，再复杂的密码，也有被电子字典攻破的可能。为此，我们除了要采用以上这些策略外，还需要启用“帐户锁定策略”。这个策略可以有效的避免不法之徒的密码攻击。
帐户锁定策略是指当一个用户超过了指定的失败登陆次数时，服务器就会自动的锁定这个帐号，并向管理员发出警告。通过这个策略，当不法人士试图尝试不同的口令登陆FTP服务器时，由于其最多只能够尝试三次（假如管理员设置失败的登陆次数最多为3），则这个帐号就会被锁定。这就会让他们的密码攻击无效。
在采用帐户锁定策略时，需要注意几个方面的内容。
一是采用手工解禁还是自动解禁。若采用手工解禁的话，则被锁住的账户必须有管理员手工解禁。而若设置为自动解禁的话，则当帐户锁住满一定期限的时候，服务器会自动帮这个帐号进行解锁。若对于服务器的安全性要求比较高的话，则建议采用手工解禁的方式比较好。
二是错误登陆的次数设置。若这个次数设置的太多，不能够起到保护的作用。若设置的太少的话，则用户可能因为疏忽密码输入错误，而触发帐户锁定，从而给服务器管理员凭空增加不少的工作量。为此，一般可以把这个次数设置为三到五次。这既可以保证安全性的需要，而且也给用户密码输入错误提供了一定的机会。
三是遇到帐户锁定情况时，要能够自动向服务器管理员发出警报。因为作为FTP服务器来说，其不能够辨别这是恶意攻击事件还是一个偶然事件。这需要服务器管理员根据经验来进行判断。FTP服务器只能够提供暂时的保护作用。所以，当出现帐户锁定的情况时，服务器要能够向管理员发出警报，让其判断是否存在恶意攻击。若存在的话，则就需采取相应的措施来避免这种情况的再次发生。
通过以上四种策略，基本上可以保障FTP服务器口令的安全。

一、数据对象级别的安全机制：

这个级别的安全性通过设置数据对象的访问权限进行控制。如果是使用图形界面管理工具，可以在表上点右键，选择属性|权限，然后在相应的权限项目上打勾就可以了。

二、服务器级别的安全机制：

这个级别的安全性主要通过登录帐户进行控制，要想访问一个数据库服务器，必须拥有一个登录帐户。登录帐户可以是Windows账户或组，也可以是SQL Server的登录账户。登录账户可以属于相应的服务器角色。至于角色，可以理解为权限的组合。

三、数据库级别的安全机制：

这个级别的安全性主要通过用户帐户进行控制，要想访问一个数据库，必须拥有该数据库的一个用户账户身份。用户账户是通过登录账户进行映射的，可以属于固定的数据库角色或自定义数据库角色。

扩展资料

安全性措施

1、外键管理

SQL Server 2008为加密和密钥管理提供了一个全面的解决方案。为了满足不断发展的对数据中心的信息的更强安全性的需求，公司投资给供应商来管理公司内的安全密钥。

2、数据加密

进行加密使公司可以满足遵守规范和及其关注数据隐私的要求。简单的数据加密的好处包括使用任何范围或模糊查询搜索加密的数据、加强数据安全性以防止未授权的用户访问。这些可以在不改变已有的应用程序的情况下进行。

3、增强审查

SQL Server 2008具有像服务器中加强的审查的配置和管理这样的功能，这使得公司可以满足各种规范需求。SQL Server 2008还可以定义每一个数据库的审查规范，所以审查配置可以为每一个数据库作单独的制定。为指定对象作审查配置使审查的执行性能更好，配置的灵活性也更高。

参考资料来源：百度百科-SqlServer

---