网站时B/S架构
    网络基本构成:网络通信、操作系统(OS)、数据库(DB)、web服务(Web Server)、web应用(Web Application)、浏览 器(Browser)、DNS、技术(HTML、XML、SSL、WebServices等协议)、防护硬软件(WAF、漏扫、网 页防篡改)

    四个特性:CIA+可控性

    网页面临的威胁:非授权、网络篡改、数据泄露、恶意代码、仿冒、DDOS、后台等

    Apache加固(以下有些是错的,没依据版本,apache2.4配置文件目录变了):
    1.httpd.conf(主配置文件):端口、属性、执行身份等
    2.conf/srm.conf:数据库配置文件,目录浏览设置(找不到页面自动展示目录)
    3.conf/access.conf:设置目录读取权限
    4.conf/mime.conf 设置能识别mime格式
    威胁:软件包、配置错误、不够安全、web应用弱点(cms)、侦听、内容篡改、DDOS

    IIS安全加固:
    IIS处理请求过程:
    IIS安全机制:IIS认证机制、IIS访问控制、IIS日志审计
    Web漏洞来源于两个方面: 技术 逻辑

    保护机制:
    身份鉴别
    访问控制
    网站内容安全: 内容合乎当地法律法规,避免挂黑页
    网站数据安全:保护数据
    安全防护:对SQLi、XSS等攻击的防御
    审计与监控:保留日志
    应急响应:针对网站意外事故、提供应急响应服务
    合规管理:符合规定(等保要求、备案、防伪等)
    安全测评: 发现、预防、漏洞
    安全管理机制: 落实责任

    政务:等保要求原则不低于二级,三级每年测评一次,二级每两年测评一次。

    层面防护:网络层、数据层、主机层、网络层、物理层
    整体:运行支持、攻击防范、安全监控、应急响应