栏目
- 网站信息安全的定义
- 常见的网站信息安全漏洞有哪些?
- 网站安全防护是一场军备竞赛
- 网站安全防护要保护那些网站资料?
- 网站要做哪些信息安全防护?
- 常见的信息安全产品
- 没有100%的网站安全
- 常见名词解释
网站信息安全的定义
事实上信息安全的定义非常广泛:确保信息内容可于正确的时机取用正确的内容。
这跟大家想听的
网站安全不太一样,大众认为的
网站安全都只有在防护的部分,其实只要网站当机、资料上架错误、备份不完全,都算是信息安全的范畴。 但当机和上架错误比较好理解。
常见的网站信息安全漏洞有哪些?
网络上常见的攻击手法很多,但因为
网站安全漏洞导致有感损失的,可以大致归类为以下几种:
别讲一下
「钓鱼」,这不是网站本身的漏洞,而是网站管理员被诈骗后,间接提供黑客管理帐号密码导致入侵。 钓鱼诈骗的手法不外乎是透过信件、免费软件下载、奇怪的中奖网页等。 只要是网站页面上需要你填写账号密码的,一律都要小心是不是有必要,且网站来源都是正当无误的。
网站安全防护是一场军备竞赛
我们先从一个问题开始思考:你找室内设计师帮你设计一个美丽的家而且生活功能都帮你想好,接下来设计师询问了预算给了几个选择,帮你配了一个大门。 当有一日家里被闯了空门,门被破坏了,这样会是谁的问题?
我想不是你的问题,也不是设计师的问题,也不是小偷的问题,是钱的问题。
那么要怎么防盗防止被偷?
装内外铜门、防火 + 好几道厉害的锁 + 防盗窗(最好防霾透气)、装监视器、保险箱、请保全,试想这一个月须要花多少钱做防盗?
回归基本需求面,你的网站里面有没有值钱的东西,值得你花这么多钱做保护呢?
网站保护应该要保护那些网站资料?
这个答案很简单:
值钱的数据。
黑客要来攻击你的网站也需要耗费时间成本,如果你的网站没有值钱的数据,自然不会成为主要的目标。 当然有些黑客也专挑知名企业,攻破防护系统,赢得一份成就感。
因此只要是知名企业的网站,或是网站内有消费个资、证件资料、订单等,都应该针对这些站台内的数据作加强防护。
网站要做哪些信息安全防护?
网站资安可以涵盖的范围很广,粗略可分为三个面向做防护的思考点:
- 程序防护
- 主机环境防护
- 人员防护
| 内容 |
说明 |
程序防护 |
程序是直接面对了黑客与消费者,其运作逻辑可视为第一道防线。
工程师必须在开发过程就有黑客思维,针对机敏数据模拟可能被盗取的路径,并且加以防范。
常见的方式是定期将自己写的程序送第三方资安单位作弱点扫描、渗透测试等。 确保作品没有高风险漏洞存在。
除此之外,若是有后台数据库的网站,可以考虑将数据库储存的内容加密,也同时加强后台的权限管理机制、防暴力破解帐密等功能,不然就算程式码没问题,帐密或权限被猜到,也是功亏一篑。 |
主机环境 |
主机环境是信息安全最重要的一个环节,访客透过与程序的互动,会进入主机读取对应数据。 骇客也同样是透过此路径进入窃取资料,因此建议需要添购主机常见的资安设备,如WAF、IPS等工具来过滤、纪录访客行为。
另外也要选择拥有ISO27001资安证照的机房与主机管理员,确保主机管理环境的基本安全。 |
人员管理 |
网站管理人员是信息安全议题内最容易遗漏的环节,就算程序与主机环境防护再怎么严密,只要管理人员稍不注意,如被钓鱼窃取系统帐密、将导出的个资随处放置(桌面、USB等),骇客即可透过正常渠道取得敏感信息。
因此管理人员的道德操守与资安知识也相当重要,建议业主应加强资安宣导,向内部管理员说明资安常见漏洞与骇客攻击手法,提高警觉。 |
常见的信息安全产品
| 防护范围 |
资安产品 |
资料传输 |
-
将传送资料切割成数个封包,每个封包都经过加密,就算被监听拦截也难以破解内容
|
网页程序 |
-
代码检测 (SonarQube)
将网页代码放入扫描软件内后,扫描软件会逐行检视是否有语法错误,如拼错字、使用到没有效率的写法。
缺点:源码检测并非模拟黑客,无法正确发现网站是否有被入侵的可能性,比较像是文法检查工具。
-
网站弱点扫描(Acunetix、Rapid7、OWASP ZAP)
使用软件自动针对网站内所有的URL内容,模拟黑客攻击手法测试网站是否可被破解。
缺点:软件机器检测难免有误判状况。
-
WAF主动式防火墙
因网页不可能每天都做扫描,会影响存取效能,费用也极高,因此搭配加装WAF可即时过滤访客行为,若侦测到是黑客行为,会立即封锁。
缺点:WAF提供商良莠不齐,没有经过调教或定期更新规则,则无法正确发挥WAF效果,一般会搭配弱点扫描结果做规格调整,建议选可出每月报告的厂商。
|
主机环境 |
-
一般防火墙
限制进入Port与封锁IP用
-
主机弱点扫描(Nessus)
透过软件针对主机整体环境做问题扫描,如Port、SSL加密版本、操作系统版本等
-
防毒与事件监测分析 (趋势科技DS)
整合防毒软件与LOG分析工具,判断隐藏的攻击行为
-
端点防御 (Sophos)
预防黑客加密勒索,加强电脑端点防护
|
综合 |
-
渗透测试
组合弱点扫描与主机弱点扫描内容,以黑客思维采用人工方式找出网站漏洞
-
红队演练
资安专家到场实际查看人员使用信息的状况,并设计对抗与防守方式,补足传统渗透测试容易忽略之边界防御,以及基于人为疏失之布署盲点,利用公开信息、社交网络、暗网等搜集目标情资、结合信息安全专家之专业知识、攻防技术及黑客工具数据库,对于双方所约定之攻击目标与组织,采取无所不用其极的方法进行入侵演练,同时可验证防守方(蓝队)的侦测与回应能力。
|
网站安全防护是一件永无止仅的工作,网络是由各种交错复杂的系统组织而成,只要其中一个供应商、软件、线路、工程团队出了问题,风险就接踵而来。 原本A、B、C系统逻辑独立都没有问题,但只要透过网络串连整合,就有可能会出现未知的漏洞。
而且黑客的技术更是日新月异,许多组织都拥有大量自动化的工具作系统的破解,寻找未知的网络漏洞。 因此并非把设备买齐就可以有100%的
网站安全,但可着实增加被破解的难度。
常见名词解释
OWASP:国际非营利组织,会不定期整理公布目前全球最多网站被攻击的手法排名,常听到的OWASP TOP10,10项高风险也是由此而来,许多风险的分级评估也会以OWASP为参考依据。
巨优网络网站建设为怀柔区企业提供网站建设服务,是一家从事怀柔网站建设、怀柔网站制作、怀柔网站优化公司,为怀柔区各单位提供完善的网站建设解决方案,推动怀柔网站建设服务业务的发展!怀柔做网站,怀柔做网站公司,选巨优网络!咨询热线:010-69632027
