(1)在Unix OS中，以非特權用戶而不是Root身份運行Web服務器。(如Nobody、www、Daemon)
　　(2)設置Web服務器訪問控制。通過IP地址控制、子網域名來控制，未被允許的IP地址、IP子網域發來的請求將被拒絕；
　　(3)通過用戶名和口令限制。只有當遠程用戶輸入正確的用戶名和口令的時候，訪問才能被正確響應。
　　(4)用公用密鑰加密方法。對文件的訪問請求和文件本身都將加密，以便只有預計的用戶才能讀取文件內容。

　　3、設置Web服務器有關目錄的權限

　　為了安全起見，管理員應對“文檔根目錄”(HTML文件存放的位置)和“服務器根目錄”(日志文件和配置文件存放的位置)做嚴格的訪問權限控制；

　　(1)服務器根目錄下存放日志文件、配置文件等敏感信息，它們對系統的安全至關重要，不能讓用戶隨意讀取或刪改；
　　(2)服務器根目錄下存放CGI腳本程序，用戶對這些程序有執行權限，惡意用戶有可能利用其中的漏洞進行越權操作，比如，增、刪、改；
　　(3)服務器根目錄下的某些文件需要由Root來寫或者執行，如Web服務器需要Root來啟動，如果其他用戶對Web服務器的執行程序有寫權限，則該用戶可以用其他代碼替換掉Web服務器的執行程序，當Root 再次執行這個程序時，用戶設定的代碼將以Root身份運行。

　　4、謹慎組織Web服務器的內容

　　5、安全管理Web服務器

　　Web服務器的日常管理、維護工作包括Web服務器的內容更新，日志文件的審計，安裝一些新的工具、軟件，更改服務器配置，對Web進行安全檢查等。主要注意以下幾點：

　　(1)以安全的方式更新Web服務器(盡量在服務器本地操作)；
　　(2)經常審查有關日志記錄；
　　(3)進行必要的數據備份；
　　(4)定期對Web服務器進行安全檢查；
　　(5)冷靜處理意外事件。

　　五、Web網站的安全管理

　　1、建立安全的Web網站，首先要全盤考慮Web服務器的安全設計和實施。無論是政府網站，還是企業、商業機構或是社會團體，各自都有其特殊的安全要求，所以，根據本單位的實際情況出發，周密制定安全政策是實現系統安全的前提。

　　2、對Web系統進行安全評估，也就是說，權衡考慮各類安全資源的價值和對它們實施保護所需要的費用。這個當中不能只考慮看得見的資源實體，應該綜合考慮資源帶來的效益，資源發生不安全情況的幾率，資源的安全保護被突然破壞時將可能帶來的損失。

　　3、制定安全策略的基本原則和管理規定，即指明各類資源的基本安全要求以及為了達到這種安全要求應該實施的事項。安全管理是由個人或組織針對為了達到特定的安全水平而制定的一整套要求有關部門人員必須遵守的規則和違規罰則。對于Web服務提供者來說，安全管理的一個重要的組成是哪個人可以訪問哪些Web文擋，獲權訪問Web文檔和使用這些訪問的人的有關部門權利和責任，有關人員對設備、系統的管理權限和維護守則，失職處罰等。

　　4、對員工的安全培訓，培養員工主動學習安全知識的意識和能力。一個網站的安全政策必須被每一個工作人員所理解，這樣才可能讓每一個員工自覺遵守、維護它。

　　盡管如此，Web網站的安全是相對的，沒有絕對的安全，我們只能把遭受攻擊的可能性降到最低。更重要的是，必須做到“有法必依”，把安全政策體現到設備的選購、網絡結構的設計、人員的配置、管理及每一個人的日常的工作中。

　　本文所用到的英漢縮略說明：

　　Web 是 World Wide Web 的簡稱
　　HTTP(Hyper Text Transfer Protocol) 超文本傳輸協議
　　IIS (Internet Information Server) Internet 信息服務器
　　CGI(Common Gateway Interface) 公共網關接口
　　LAN(Local Area Network) 局域網
　　RPC(Remote Procedure Call) 遠程過程調用
　　TCP(Transmission Control Protocol) 傳輸控制協議
　　IP(Internet Protocol) 網際協議
　　FTP(File Transfer Protocol) 文件傳輸協議
　　SMTP(Simple Mail Transfer Protocol) 簡單郵件傳送協議
　　PC(Personal Computer) 個人計算機
　　OS(Operating System) 操作系統