如何通过部署正确的网站安全来避免不必要的损失。
温馨提示:这篇文章已超过384天没有更新,请注意相关的内容是否还可用!
什么是网站安全?
网站安全是指保护个人和组织面向公众的网站免受网络攻击。
为什么要关心网站安全?
针对面向公众的网站(无论规模大小)的网络攻击很常见,可能会导致:
- 网站污损,
- 失去网站可用性或拒绝服务 (DoS) 条件,
- 泄露敏感的客户或组织数据,
- 攻击者控制受影响的网站,或
- 使用网站作为水坑攻击的中转站。
这些威胁会影响信息安全的所有方面——机密性、完整性和可用性——并可能严重损害网站及其所有者的声誉。例如,成为污损、DoS 或数据泄露受害者的组织和个人网站可能会因用户信任度下降或网站访问者减少而遭受经济损失。
可以采取哪些步骤来防止网站攻击?
安全专业人员应该采取多个步骤来正确保护他们的网站。注意:组织应与其网站托管提供商或托管服务提供商交谈,以讨论实施安全措施的角色和责任。
1. 保护域生态系统。
- 查看所有域的注册商和域名系统 (DNS) 记录。
- 更改您的域注册商和 DNS 提供的所有默认密码。
- 默认凭据并不安全——它们通常很容易在 Internet 上获得。更改默认用户名和密码将防止利用默认凭据的攻击。(有关创建强密码的信息,请参阅选择和保护密码。)
- 强制执行多重身份验证 (MFA)。(有关更多信息,请参阅补充密码)
- 监控证书透明度日志。
查看CISA 紧急指令 19-01和CISA Cyber Insights:Mitigate DNS Infrastructure Tampering了解更多信息。
2. 保护用户帐户。
- 对所有可访问 Internet 的帐户强制执行 MFA — 优先考虑具有特权访问权限的帐户。
- 执行最小权限原则,禁用不必要的账户和权限。
- 更改所有默认用户名和密码。
查看CISA Cyber Insights:增强电子邮件和网络安全以了解更多信息。
3. 持续扫描并修复关键和高漏洞。
- 分别在 15 天和 30 天内修补可访问互联网的系统上的所有关键漏洞和高漏洞。除了软件漏洞之外,请务必扫描配置漏洞。
- 尽可能启用自动更新。
替换不受支持的操作系统、应用程序和硬件。
- 查看CISA 紧急指令 19-01和CISA Cyber Insights:修复互联网可访问系统的漏洞以了解更多信息。
4. 保护传输中的数据。
- 禁用超文本传输协议 (HTTP);强制执行超文本传输协议安全 (HTTPS) 和 HTTP 严格传输安全 (HSTS)。
- 网站访问者希望他们的隐私得到保护。为确保网站和用户之间的通信是加密的,请始终强制使用 HTTPS,并在可能的情况下强制使用 HSTS。如需更多信息和指导,请参阅美国首席信息官 (CIO) 和联邦 CIO 委员会关于HTTPS-Only Standard的网页。如果可能,为所有域预加载 HSTS。
- 禁用弱密码(SSLv2、SSlv3、3DES、RC4)。
查看CISA Binding Operational Directive 18-01和CISA Cyber Insights:Enhanced Email and Web Security了解更多信息。
5. 备份数据。
- 采用备份解决方案,自动、持续地从您的网站备份关键数据和系统配置。
- 将您的备份媒体保存在安全且物理远程的环境中。
- 测试灾难恢复场景。
6. 保护网络应用程序。
- 识别并修复前 10 名最关键的 Web 应用程序安全风险;然后转向其他不太严重的漏洞。(有关最关键的 Web 应用程序安全风险的列表,请参阅OWASP Top 10。)
- 启用日志记录并定期审核网站日志以检测安全事件或不当访问。
- 将日志发送到集中式日志服务器。
- 为用户登录 Web 应用程序和底层网站基础设施实施 MFA。
7. 保护网络服务器。
- 使用安全检查表。
- 根据特定于系统上每个应用程序(例如,Apache、MySQL)的安全检查表审核和强化配置。
- 使用应用程序允许列出和禁用提供业务需求不需要的功能的模块或功能。
- 实施网络分段和隔离。
- 网络分段和隔离使攻击者更难在连接的网络中横向移动。例如,将 Web 服务器放置在正确配置的非军事区 (DMZ) 中会限制 DMZ 中的系统与内部公司网络中的系统之间允许的网络流量类型。
- 了解您的资产在哪里。
- 您必须知道您的资产在哪里才能保护它们。例如,如果您的数据不需要位于 Web 服务器上,请将其删除以防止公共访问。
8.接入安全防护产品。
安全加速SCDN(Secure Content Delivery Network)是一种结合了CDN和安全防护功能的服务,为网站提供更快速、稳定和安全的内容传输。下面是安全加速SCDN常见的功能:
-
CDN加速:SCDN利用分布式网络节点,在全球各地构建服务器集群,将用户请求的内容就近缓存,极大地减少了网络延迟,提供更快的内容传输速度和更好的用户体验。
-
DDoS防护:SCDN集成了强大的DDoS(分布式拒绝服务攻击)防护机制,能够识别和拦截恶意流量,保护网站免受DDoS攻击的影响。
-
Web应用防火墙(WAF):SCDN提供WAF功能,可以检测和拦截各种Web应用攻击,如SQL注入、XSS、CSRF等,保护网站免受此类攻击的威胁。
-
网站安全扫描:SCDN集成了网站安全扫描功能,可以定期扫描网站漏洞,并提供详细的漏洞报告和建议,帮助管理员及时修复漏洞,保障网站的安全。
-
数据加密和解密:SCDN支持将网站内容进行加密,确保数据在传输过程中的安全性,同时也支持对经过加密的内容进行解密,保证访问者能正常浏览和使用网站。
-
镜像站点备份:SCDN可以将网站的内容进行实时或定期的备份,当源站点出现宕机或故障时,可以快速切换到备份站点,确保网站的持续可用性。
-
反爬虫和恶意机器人拦截:SCDN可以识别并拦截恶意的爬虫和机器人,阻止他们对网站内容进行非法采集和恶意操作。
总的来说,安全加速SCDN综合了CDN的加速功能和安全防护功能,提供了更可靠、安全和高效的内容传输服务,保护网站免受各种网络攻击和恶意行为的威胁。
还有哪些额外的步骤可以防止网站攻击?
- 清理所有用户输入。在客户端和服务器端清理用户输入,例如特殊字符和空字符。当用户输入被合并到脚本或结构化查询语言语句中时,清理用户输入尤其重要。
- 提高资源可用性。配置网站缓存以优化资源可用性。优化网站的资源可用性会增加它在 DoS 攻击期间承受意外高流量的机会。
- 实施跨站点脚本 (XSS) 和跨站点请求伪造 (XSRF) 保护。通过实施 XSS 和 XSRF 保护来保护网站系统以及网站访问者。
- 实施内容安全策略 (CSP)。网站所有者还应考虑实施 CSP。实施 CSP 可以减少攻击者在最终用户机器上成功加载和运行恶意 JavaScript 的机会。
- 审计第三方代码。审核第三方服务(例如,广告、分析)以验证没有向最终用户提供意外代码。网站所有者应该权衡审查第三方代码并将其托管在 Web 服务器上(而不是从第三方加载代码)的利弊。
- 实施额外的安全措施。其他措施包括:
- 针对网站代码和系统运行静态和动态安全扫描,
- 部署 Web 应用程序防火墙,
- 利用内容交付网络来防范恶意网络流量,以及
- 针对大量流量提供负载平衡和弹性。
-
- 您必须知道您的资产在哪里才能保护它们。例如,如果您的数据不需要位于 Web 服务器上,请将其删除以防止公共访问。
- 了解您的资产在哪里。
- 网络分段和隔离使攻击者更难在连接的网络中横向移动。例如,将 Web 服务器放置在正确配置的非军事区 (DMZ) 中会限制 DMZ 中的系统与内部公司网络中的系统之间允许的网络流量类型。
- 根据特定于系统上每个应用程序(例如,Apache、MySQL)的安全检查表审核和强化配置。
- 使用安全检查表。
- 为用户登录 Web 应用程序和底层网站基础设施实施 MFA。
- 将日志发送到集中式日志服务器。
- 禁用弱密码(SSLv2、SSlv3、3DES、RC4)。
- 网站访问者希望他们的隐私得到保护。为确保网站和用户之间的通信是加密的,请始终强制使用 HTTPS,并在可能的情况下强制使用 HSTS。如需更多信息和指导,请参阅美国首席信息官 (CIO) 和联邦 CIO 委员会关于HTTPS-Only Standard的网页。如果可能,为所有域预加载 HSTS。
- 禁用超文本传输协议 (HTTP);强制执行超文本传输协议安全 (HTTPS) 和 HTTP 严格传输安全 (HSTS)。
- 查看CISA 紧急指令 19-01和CISA Cyber Insights:修复互联网可访问系统的漏洞以了解更多信息。
- 尽可能启用自动更新。
- 分别在 15 天和 30 天内修补可访问互联网的系统上的所有关键漏洞和高漏洞。除了软件漏洞之外,请务必扫描配置漏洞。
- 默认凭据并不安全——它们通常很容易在 Internet 上获得。更改默认用户名和密码将防止利用默认凭据的攻击。(有关创建强密码的信息,请参阅选择和保护密码。)
