网站的组成，基本上可以划分为三个部分，server端、服务器、用户clients，在建设网站时，应该兼顾这三个部分，每部分都有明确的规则，才可以打造一个相对比较安全的网站。毕竟，网站的安全有木桶效应，一个部分优化不够，这个网站就是一个不够安全的网站。

一、对Server端的管控：

开发团队必须要有基本的网站安全开发常识，比如0day，sql-injection、XSS、CSRF、恶意上传（脚本语言的网站尤其要注意）等。对于用户的敏感信息需要加密保存（salt-hash）；

测试团队的渗透测试要到位，也可与第三方的安全团队进行合作，采用定制化的安全方案。

运维团队要妥善保管各个主机及软件的账号密码，维护主机的日常健康检查，和日常更新。

二、选择可靠的云空间：

网站在选择空间时需要注意，网上有很多不知名的空间商给出的网站空间价格很低，往往这种便宜的空间，安全性极差，因为空间/服务器需要专门的人员去进行维护，需要对服务器进行配置，设置服务器文件的权限等等。

如果是自建机房，建议由经验丰富的运维人员来管理维护。

某些主机如果只是内部人员访问的，应该增设ip访问权限（VPN网络的管理也要加强）。可以避免被nmap等工具扫描

另外建议可以选择一款高效的，开放式Web应用程序安全项目(OWASP)是一个侧重于促进应用软件安全发展的开发式非营利性组织，OWASP建议在选择Web应用防火墙时应该考量以下标准：很少出现误报(例如，不应该拒绝授权请求等)；默认防御的强度；容易操作模式；；可以预防的漏洞类型；能够限制个人用户只能在当前对话中所看到的内容；配置预防特定问题的能力，如紧急补丁等。
可以为您提供更多信息

三、用户client：

对于一些涉及支付交易的网站，给出明确的提示如（不可以在公共场所的电脑登录，并妥善保管密码）。或强制用户使用强密码登录

加强终端控制。由于部分终端可能是以APP的形式存在，那么业务开发的时候也要考虑到终端版本，强制用户升级或者推热修复补丁，强烈建议留push通道，不要只留pull通道，这样可以大大提高推新版本的覆盖率，便于实施安全手段。

控制访问网络权限、强化数据加密和智能终端加固也是保障信息安全的有效手段。

随着人们的隐私保护意识越来越高，未来的与隐私保护将成为新的机遇。完善大数据时代的隐私保护机制，建立完备的数据保护体系，未来还需要政府、社会和企业、用户共同努力，这也是大安全时代最需要关注的新课题。