首页
位置:首页>新闻动态 > 网络营销 >

网站运维中网站安全需要注意哪些方面?

栏目

网站运维中网站安全需要注意哪些方面?

网站信息安全的定义

事实上信息安全的定义非常广泛:确保信息内容可于正确的时机取用正确的内容。
这跟大家想听的网站安全不太一样,大众认为的网站安全都只有在防护的部分,其实只要网站当机、资料上架错误、备份不完全,都算是信息安全的范畴。 但当机和上架错误比较好理解。
 

常见的网站信息安全漏洞有哪些?

网络上常见的攻击手法很多,但因为网站安全漏洞导致有感损失的,可以大致归类为以下几种:
1别讲一下「钓鱼」,这不是网站本身的漏洞,而是网站管理员被诈骗后,间接提供黑客管理帐号密码导致入侵。 钓鱼诈骗的手法不外乎是透过信件、免费软件下载、奇怪的中奖网页等。 只要是网站页面上需要你填写账号密码的,一律都要小心是不是有必要,且网站来源都是正当无误的。
 

网站安全防护是一场军备竞赛

我们先从一个问题开始思考:你找室内设计师帮你设计一个美丽的家而且生活功能都帮你想好,接下来设计师询问了预算给了几个选择,帮你配了一个大门。 当有一日家里被闯了空门,门被破坏了,这样会是谁的问题?
我想不是你的问题,也不是设计师的问题,也不是小偷的问题,是的问题。

那么要怎么防盗防止被偷?
装内外铜门、防火 + 好几道厉害的锁 + 防盗窗(最好防霾透气)、装监视器、保险箱、请保全,试想这一个月须要花多少钱做防盗?
回归基本需求面,你的网站里面有没有值钱的东西,值得你花这么多钱做保护呢?

7-3

网站保护应该要保护那些网站资料?

这个答案很简单:值钱的数据

黑客要来攻击你的网站也需要耗费时间成本,如果你的网站没有值钱的数据,自然不会成为主要的目标。 当然有些黑客也专挑知名企业,攻破防护系统,赢得一份成就感。
因此只要是知名企业的网站,或是网站内有消费个资、证件资料、订单等,都应该针对这些站台内的数据作加强防护。
 

网站要做哪些信息安全防护?

网站资安可以涵盖的范围很广,粗略可分为三个面向做防护的思考点:
  1. 程序防护
  2. 主机环境防护
  3. 人员防护
 
内容 说明

程序防护

程序是直接面对了黑客与消费者,其运作逻辑可视为第一道防线。
工程师必须在开发过程就有黑客思维,针对机敏数据模拟可能被盗取的路径,并且加以防范。
常见的方式是定期将自己写的程序送第三方资安单位作弱点扫描、渗透测试等。 确保作品没有高风险漏洞存在。
除此之外,若是有后台数据库的网站,可以考虑将数据库储存的内容加密,也同时加强后台的权限管理机制、防暴力破解帐密等功能,不然就算程式码没问题,帐密或权限被猜到,也是功亏一篑。

主机环境

主机环境是信息安全最重要的一个环节,访客透过与程序的互动,会进入主机读取对应数据。 骇客也同样是透过此路径进入窃取资料,因此建议需要添购主机常见的资安设备,如WAF、IPS等工具来过滤、纪录访客行为。
另外也要选择拥有ISO27001资安证照的机房与主机管理员,确保主机管理环境的基本安全。

人员管理

网站管理人员是信息安全议题内最容易遗漏的环节,就算程序与主机环境防护再怎么严密,只要管理人员稍不注意,如被钓鱼窃取系统帐密、将导出的个资随处放置(桌面、USB等),骇客即可透过正常渠道取得敏感信息。
因此管理人员的道德操守与资安知识也相当重要,建议业主应加强资安宣导,向内部管理员说明资安常见漏洞与骇客攻击手法,提高警觉。
 

常见的信息安全产品

防护范围 资安产品

资料传输

  1. SSL凭证

    将传送资料切割成数个封包,每个封包都经过加密,就算被监听拦截也难以破解内容

网页程序

  1. 代码检测 (SonarQube)

    将网页代码放入扫描软件内后,扫描软件会逐行检视是否有语法错误,如拼错字、使用到没有效率的写法。
    缺点:源码检测并非模拟黑客,无法正确发现网站是否有被入侵的可能性,比较像是文法检查工具。
  2. 网站弱点扫描(Acunetix、Rapid7、OWASP ZAP)

    使用软件自动针对网站内所有的URL内容,模拟黑客攻击手法测试网站是否可被破解。
    缺点:软件机器检测难免有误判状况。
  3. WAF主动式防火墙

    因网页不可能每天都做扫描,会影响存取效能,费用也极高,因此搭配加装WAF可即时过滤访客行为,若侦测到是黑客行为,会立即封锁。
    缺点:WAF提供商良莠不齐,没有经过调教或定期更新规则,则无法正确发挥WAF效果,一般会搭配弱点扫描结果做规格调整,建议选可出每月报告的厂商。

主机环境

  1. 一般防火墙

    限制进入Port与封锁IP用
  2. 主机弱点扫描(Nessus)

    透过软件针对主机整体环境做问题扫描,如Port、SSL加密版本、操作系统版本等
  3. 防毒与事件监测分析 (趋势科技DS)

    整合防毒软件与LOG分析工具,判断隐藏的攻击行为
  4. 端点防御 (Sophos)

    预防黑客加密勒索,加强电脑端点防护

综合

  1. 渗透测试

    组合弱点扫描与主机弱点扫描内容,以黑客思维采用人工方式找出网站漏洞
  2. 红队演练

    资安专家到场实际查看人员使用信息的状况,并设计对抗与防守方式,补足传统渗透测试容易忽略之边界防御,以及基于人为疏失之布署盲点,利用公开信息、社交网络、暗网等搜集目标情资、结合信息安全专家之专业知识、攻防技术及黑客工具数据库,对于双方所约定之攻击目标与组织,采取无所不用其极的方法进行入侵演练,同时可验证防守方(蓝队)的侦测与回应能力。
 

没有100%的网站安全

网站安全防护是一件永无止仅的工作,网络是由各种交错复杂的系统组织而成,只要其中一个供应商、软件、线路、工程团队出了问题,风险就接踵而来。 原本A、B、C系统逻辑独立都没有问题,但只要透过网络串连整合,就有可能会出现未知的漏洞。
而且黑客的技术更是日新月异,许多组织都拥有大量自动化的工具作系统的破解,寻找未知的网络漏洞。 因此并非把设备买齐就可以有100%的网站安全,但可着实增加被破解的难度。
 

常见名词解释

OWASP:国际非营利组织,会不定期整理公布目前全球最多网站被攻击的手法排名,常听到的OWASP TOP10,10项高风险也是由此而来,许多风险的分级评估也会以OWASP为参考依据。

上一篇:常用的linux命令速查表

下一篇:没有了