一 目标。

二 类型
1.公布在线使用说明信息 (无法提供重要信息；乏味的介绍；不能响应网站产生的反馈；网站信息过时；无法获知网站的成功之处。)
2. 接收产品或服务的订单 (没有回答的问题；信任；易用性；兼容。)
3.提供服务和数字产品
4.为货物或服务增值
5.减少成本

三 理解风险和威胁
1.网络黑客 (备份数据；雇佣政策；软件防范措施；培训职员以识别攻击目标和系统弱点；使用日志侦查侵入。)
2. 不能招揽足够的生意
3.计算机硬件故障
4.电力、通信、网络或运输故障 (电源；服务商；线路。)
5.对派送服务的依赖
6. 广泛的竞争
7.软件错误
8.不断变化的政府政策和税收
9.系统容量限制

四 选择一个策略 (策略必须确定一种商业模式。)

五 信息的重要程度

六 安全威胁
1.机密数据的泄漏
2.数据丢失和数据损坏 (廉价冗余磁盘阵列RAID；备份。)
3.数据修改 (Tripwire)
4.拒绝服务 (DoS，DDoS)
5.软件错误 (低质量的设计说明书；开发人员做出的假设；不充分的测试。)
6. 否认 (签名信息；加密信息；身份证明。)

七 易用性、性能、成本和安全性(SSL)

八 建立一套安全政策
1.公司的一般安全要求
2.安全保护对象—-软件、硬件、数据
3.负责这些项目的人
4. 安全标准及其度量标准

九 身份验证远侧

十 加密技术基础（普通文本–>加密–>密文–>解密–>普通文本）
1.私有密钥加密
2.共有密 钥加密
3.数字签名 (哈希函数 MD5和SHA)

十一 数字证书 (第三方验证成为认证授权CA)

十二 安全的web服务器 (web服务器：apache、iis；签发请求证书：CSR)

十三 设计与日志记录

十四 防火墙

十五 备份数据
1.备份常规文件
2.备份与回复MySQL数据库

十六 自然环境的安全性

十七 处理安全性问题的策略
1.以正确心态为开始
2.安全性和可用性之间的平衡
3.安全监视
4.基本方法 (自上而下的方法；自下而上的方法。)

十八 识别所面临的威胁
1.访问或修改敏感数据
2.数据丢失或破坏
3.拒绝服务攻击(DoS)，分布式拒绝服务攻击 (DDoS)
4.恶意代码注入 (XSS)
5.服务器被攻破

十九 理解与我们“打交道”的用户
1.破解人员
2.受影响的未知情用户
3.对公司不满的员工
4.硬件被盗
5. 我们自身 (测试验并验证系统的安全性)

二十 代码的安全性
1.过滤用户输入
2.转义输出
3.代码组织
4.代码自身问题
5.文件系统因素
6. 代码稳定性和缺陷
7.执行引号和exec

二十一 web服务器和php的安全性
1.保持软件的更新
2.查看php.ini文件
3.web服务器配置 (apache,iis)
4.web应用的商业主机服务

二十二 数据库服务器的安全性
1.用户和权限系统 (测试数据库用户连接)
2.发送数据至服务器 (尝试提交数据，查找漏洞)
3. 连接服务器
4.运行服务器

二十三 保护网站
1.安装防火墙
2.使用隔离区域 (DMZ)
3.应对Dos和DDoS攻击

二十四 计算机和操作系统的安全性
1.保持操作系统的更新
2.只运行必须的软件
3.服务器的物理安全性

二十五 灾难计划