网站运维中网站安全需要注意哪些方面?
栏目
- 网站信息安全的定义
- 常见的网站信息安全漏洞有哪些?
- 网站安全防护是一场军备竞赛
- 网站安全防护要保护那些网站资料?
- 网站要做哪些信息安全防护?
- 常见的信息安全产品
- 没有100%的网站安全
- 常见名词解释
网站信息安全的定义
事实上信息安全的定义非常广泛:确保信息内容可于正确的时机取用正确的内容。这跟大家想听的网站安全不太一样,大众认为的网站安全都只有在防护的部分,其实只要网站当机、资料上架错误、备份不完全,都算是信息安全的范畴。 但当机和上架错误比较好理解。
常见的网站信息安全漏洞有哪些?
网络上常见的攻击手法很多,但因为网站安全漏洞导致有感损失的,可以大致归类为以下几种:
别讲一下「钓鱼」,这不是网站本身的漏洞,而是网站管理员被诈骗后,间接提供黑客管理帐号密码导致入侵。 钓鱼诈骗的手法不外乎是透过信件、免费软件下载、奇怪的中奖网页等。 只要是网站页面上需要你填写账号密码的,一律都要小心是不是有必要,且网站来源都是正当无误的。网站安全防护是一场军备竞赛
我们先从一个问题开始思考:你找室内设计师帮你设计一个美丽的家而且生活功能都帮你想好,接下来设计师询问了预算给了几个选择,帮你配了一个大门。 当有一日家里被闯了空门,门被破坏了,这样会是谁的问题?我想不是你的问题,也不是设计师的问题,也不是小偷的问题,是钱的问题。
那么要怎么防盗防止被偷?
装内外铜门、防火 + 好几道厉害的锁 + 防盗窗(最好防霾透气)、装监视器、保险箱、请保全,试想这一个月须要花多少钱做防盗?
回归基本需求面,你的网站里面有没有值钱的东西,值得你花这么多钱做保护呢?
网站保护应该要保护那些网站资料?
这个答案很简单:值钱的数据。黑客要来攻击你的网站也需要耗费时间成本,如果你的网站没有值钱的数据,自然不会成为主要的目标。 当然有些黑客也专挑知名企业,攻破防护系统,赢得一份成就感。
因此只要是知名企业的网站,或是网站内有消费个资、证件资料、订单等,都应该针对这些站台内的数据作加强防护。
网站要做哪些信息安全防护?
网站资安可以涵盖的范围很广,粗略可分为三个面向做防护的思考点:- 程序防护
- 主机环境防护
- 人员防护
| 内容 | 说明 |
程序防护 |
程序是直接面对了黑客与消费者,其运作逻辑可视为第一道防线。 工程师必须在开发过程就有黑客思维,针对机敏数据模拟可能被盗取的路径,并且加以防范。 常见的方式是定期将自己写的程序送第三方资安单位作弱点扫描、渗透测试等。 确保作品没有高风险漏洞存在。 除此之外,若是有后台数据库的网站,可以考虑将数据库储存的内容加密,也同时加强后台的权限管理机制、防暴力破解帐密等功能,不然就算程式码没问题,帐密或权限被猜到,也是功亏一篑。 |
主机环境 |
主机环境是信息安全最重要的一个环节,访客透过与程序的互动,会进入主机读取对应数据。 骇客也同样是透过此路径进入窃取资料,因此建议需要添购主机常见的资安设备,如WAF、IPS等工具来过滤、纪录访客行为。 另外也要选择拥有ISO27001资安证照的机房与主机管理员,确保主机管理环境的基本安全。 |
人员管理 |
网站管理人员是信息安全议题内最容易遗漏的环节,就算程序与主机环境防护再怎么严密,只要管理人员稍不注意,如被钓鱼窃取系统帐密、将导出的个资随处放置(桌面、USB等),骇客即可透过正常渠道取得敏感信息。 因此管理人员的道德操守与资安知识也相当重要,建议业主应加强资安宣导,向内部管理员说明资安常见漏洞与骇客攻击手法,提高警觉。 |
常见的信息安全产品
| 防护范围 | 资安产品 |
资料传输 |
|
网页程序 |
|
主机环境 |
|
综合 |
|
没有100%的网站安全
网站安全防护是一件永无止仅的工作,网络是由各种交错复杂的系统组织而成,只要其中一个供应商、软件、线路、工程团队出了问题,风险就接踵而来。 原本A、B、C系统逻辑独立都没有问题,但只要透过网络串连整合,就有可能会出现未知的漏洞。而且黑客的技术更是日新月异,许多组织都拥有大量自动化的工具作系统的破解,寻找未知的网络漏洞。 因此并非把设备买齐就可以有100%的网站安全,但可着实增加被破解的难度。
