由于建立网站的目的是为了用于进行电子商务，因此网站的安全就更加显得重要。为了设计和管理一个有效、可靠的网站商业服务，必须事先制定一套全面的网站服务安全策略。网站服务安全策略应覆盖所有相关的组织单元，这些单元计划从网站服务里面使用、开发、维护、修改或者获取信息。安全策略将应用于所有网站服务系统、数据库、内容、电脑平台、软件以及网络，它们的作用是处理、交互或者提供对服务的访问途径。

      服务器漏洞可以从以下几方面考虑：

      1.  在WEB服务器上存储的秘密文件、目录或重要数据遭到黑客窃取。 
      2.  从远程用户向服务器发送信息，特别是信用卡之类时，中途遭不法分子非法拦截。 
      3.  WEB服务器本身存在的一些漏洞，使得一些人能浸入到主机系统破坏一些重要的数据，甚至造成系统瘫痪。 
      4.  CGI（通过网关接口）安全方面的漏洞有两个，一是有意或无意在主机系统中遗漏（Bugs）给非法黑客创造条件；二是用CGI脚本编写的程序当涉及到远程用户从浏览器中输入表格（Form）并进行检索（Search Index）或Form-mail之类在主机上直接操作命令时，或许会给Web主机系统造成危险。 
      因此，从CGI角度Web的安全性，主要是在编制程序时应详细考虑到安全因素。尽量避免CGI程序中存在的漏洞。 

      针对上述情况，可以采用如下策略来保护网站免受攻击： 

      1．指定一名安全协调人协调和监控安全防护系统的实现。每年进行一次Web服务安全防护普查，并进行相应的培训。每年进行一次Web服务危险性与脆弱性分析。 
      2．划分出需要进行访问控制的Web服务系统；针对这些系统实现访问控制，并且每年对这些控制措施的有效性进行评估。这些访问控制包括： 
      ·限制CGI程序的使用，仅允许所有的CGI在指定目录如cgi-bin中使用； 
      ·关闭目录索引，并确保每个目录中有Index.html存在； 
      ·拒绝Spiders（自动搜索程序）的访问； 
      ·健全Web服务器的访问控制和授权； 
      ·编写更安全的CGI程序。 
      3．执行备份和恢复处理，保护Web服务。在危险性评估的基础上，针对灾难恢复的文档和测试计划；预防、侦测和响应恶毒软件攻击。