每個(gè)企業(yè)網(wǎng)站都以客戶信息的形式包含敏感數(shù)據(jù)，并且每個(gè)企業(yè)所有者都有法律義務(wù)，通過(guò)防止安全漏洞來(lái)保護(hù)這些數(shù)據(jù)。如果您的企業(yè)網(wǎng)站根本不值得黑客努力，那么您應(yīng)該知道，數(shù)據(jù)盜竊并不是黑客的唯一想法。由于破壞的嚴(yán)重性，有許多黑客，以及那些僅僅使用您的服務(wù)器來(lái)挖掘比特幣或作為垃圾郵件的電子郵件中的黑客。那么商業(yè)網(wǎng)站如何確保網(wǎng)站安全無(wú)虞？

在線威脅和黑客攻擊造成的損害永遠(yuǎn)無(wú)法完全消除，但是有一些保護(hù)方法可以使網(wǎng)絡(luò)犯罪分子知道您的網(wǎng)站不容易被選擇。

　　方法一：保持更新和補(bǔ)丁

互聯(lián)網(wǎng)在不斷發(fā)展，這意味著安全漏洞經(jīng)常出現(xiàn)。這就是為什么軟件更新和補(bǔ)丁是第一道防線的原因。大多數(shù)黑客攻擊都是通過(guò)自動(dòng)腳本在Internet上爬網(wǎng)來(lái)完成的，以尋找可以輕松利用的軟件安全漏洞。雖然有針對(duì)性的精心挑選的攻擊通常會(huì)帶來(lái)更大的收益，但自動(dòng)攻擊由于其易于訪問和覆蓋范圍廣而為黑客提供了更多的機(jī)會(huì)。這意味著大多數(shù)網(wǎng)站由于不安全，過(guò)時(shí)的軟件而受到破壞。

您永遠(yuǎn)無(wú)法知道某個(gè)更新是否包含漏洞補(bǔ)丁程序或安全性增強(qiáng)功能，因此在所有更新發(fā)布時(shí)立即安裝它們非常重要。黑客每小時(shí)可以掃描成千上萬(wàn)個(gè)站點(diǎn)，因此延遲更新時(shí)，您的機(jī)器人程序有機(jī)會(huì)在安全漏洞發(fā)布之前發(fā)現(xiàn)漏洞。

　　方法二：訪問控制

您企業(yè)網(wǎng)站的管理員級(jí)別就像是一個(gè)漏斗，可用來(lái)隱藏所有您想對(duì)黑客隱藏的信息。這就是為什么您要防止搜索引擎將您的管理頁(yè)面編入索引，這會(huì)使黑客更難找到它們。為此，您只需要使用robots.txt文件。

下一步是有關(guān)員工的訪問控制。如果他們將某些設(shè)備插入網(wǎng)絡(luò)，則每次連接時(shí)都需要對(duì)每個(gè)設(shè)備進(jìn)行惡意軟件掃描。即使短時(shí)間不活動(dòng)后，登錄也應(yīng)設(shè)置為過(guò)期，即使在重設(shè)密碼的情況下，登錄嘗試的次數(shù)也應(yīng)限制在一定時(shí)間內(nèi)。請(qǐng)記住，電子郵件帳戶也可能被黑，因此登錄詳細(xì)信息絕不能以這種方式發(fā)送。

　　方法三：認(rèn)真對(duì)待密碼

盡管看起來(lái)很明顯，但是此問題在訪問控制中值得特別提及。人們通常都知道一些基本的知識(shí)：永遠(yuǎn)不要寫下密碼，而應(yīng)該經(jīng)常更改密碼。但是事實(shí)是，有80%的黑客是由于弱密碼而發(fā)生的，而且超過(guò)一半的互聯(lián)網(wǎng)用戶仍然會(huì)使用一個(gè)密碼進(jìn)行多次(即使不是全部)登錄。黑客僅用一張價(jià)值300美元的圖形卡就可以每分鐘運(yùn)行4200億個(gè)簡(jiǎn)單密碼組合，這意味著擁有8個(gè)字符的小寫密碼實(shí)際上與完全沒有密碼相同。

每個(gè)帳戶不僅需要具有唯一的密碼，而且還必須具有真正的安全性。僅插入特殊字符是不夠的–您需要以“亂碼”為目標(biāo)。原因是可以在詞典中找到或經(jīng)常在網(wǎng)上使用的單詞很容易成為攻擊對(duì)象。密碼破解程序僅需幾分鐘即可猜出由這些單詞組成的數(shù)百萬(wàn)個(gè)密碼。這就是為什么您的措詞需要隨機(jī)的原因。換句話說(shuō)，如果您可以輕松地發(fā)音，則密碼不夠安全。

密碼管理器確實(shí)很有幫助，可以在線和離線使用。使用這些工具，您所有的密碼都將以加密格式存儲(chǔ)，并且您只需單擊一下按鈕就可以生成隨機(jī)密碼。您可以通過(guò)“設(shè)置密碼”來(lái)進(jìn)一步增強(qiáng)加密功能。

請(qǐng)記住，如果您啟用了表單自動(dòng)填充功能，那么這一切都將毫無(wú)意義。一旦有人的電話或計(jì)算機(jī)被盜，這將使您的企業(yè)網(wǎng)站容易受到攻擊。

　　方法四：交通管制

現(xiàn)在您已經(jīng)建立了訪問控制，是時(shí)候建立流量控制了。這是Web應(yīng)用程序防火墻(WAF)出現(xiàn)的地方。WAF可以基于硬件或軟件，但是由于它們的訂閱費(fèi)和即插即用服務(wù)價(jià)格適中，因此當(dāng)今最受歡迎的是基于云的產(chǎn)品。安裝后，WAF將成為所有傳入流量的網(wǎng)關(guān)，在數(shù)據(jù)連接和服務(wù)器之間設(shè)置，讀取傳遞的所有數(shù)據(jù)。它不僅會(huì)阻止黑客嘗試，而且還會(huì)過(guò)濾掉各種有害流量，例如惡意僵尸程序和垃圾郵件發(fā)送者。

除了保護(hù)您的網(wǎng)站免受損壞的數(shù)據(jù)外，您還需要保護(hù)用戶和客戶的個(gè)人信息的隱私。可以在數(shù)據(jù)庫(kù)和網(wǎng)站之間的傳輸過(guò)程中讀取此信息，因此您需要使用加密的SSL協(xié)議，該協(xié)議將防止所有未經(jīng)授權(quán)的訪問。

　　方法五：嘗試避免文件上傳

這可能是最被忽視的防線，因?yàn)槲募蟼骺赡馨瑦阂饽_本，這些腳本甚至可以通過(guò)最徹底的系統(tǒng)檢查來(lái)獲取。如果該腳本在您的服務(wù)器上執(zhí)行，您的網(wǎng)站將完全向黑客開放。每次上傳都是很大的風(fēng)險(xiǎn)，甚至只是化身的簡(jiǎn)單更改。

如果您的業(yè)務(wù)性質(zhì)要求您具有文件上載表格，則需要對(duì)每個(gè)上載有所懷疑。重命名上載的每個(gè)文件，以確保其擴(kuò)展名正確。最好使用腳本將所有文件存儲(chǔ)在根目錄之外，以防止訪問。這樣，用戶將無(wú)法執(zhí)行他們上載的文件。

如果可能的話，理想的解決方案是不使用您自己的Web服務(wù)器來(lái)運(yùn)行數(shù)據(jù)庫(kù)，而是使用其他服務(wù)器。這將阻止外界直接訪問數(shù)據(jù)庫(kù)服務(wù)器，因此暴露數(shù)據(jù)的風(fēng)險(xiǎn)變得最小。

互聯(lián)網(wǎng)是一個(gè)不斷發(fā)展的格局，因此網(wǎng)站安全同樣復(fù)雜并且易于更改。上面的步驟代表了關(guān)鍵安全原則的框架，但不是您可以簡(jiǎn)單設(shè)置和忘記的解決方案。關(guān)鍵是將它們結(jié)合起來(lái)以創(chuàng)建系統(tǒng)的方法，并將其視為持續(xù)不斷的持續(xù)風(fēng)險(xiǎn)評(píng)估過(guò)程。關(guān)于商業(yè)網(wǎng)站如何確保網(wǎng)站安全無(wú)虞的介紹到這里就結(jié)束了，想了解更多關(guān)于信息安全的信息，請(qǐng)繼續(xù)關(guān)注中培偉業(yè)。