网站的组成,基本上可以划分为三个部分,server端、服务器、用户clients,在建设网站时,应该兼顾这三个部分,每部分都有明确的规则,才可以打造一个相对比较安全的网站。毕竟,网站的安全有木桶效应,一个部分优化不够,这个网站就是一个不够安全的网站。
一、对Server端的管控:
开发团队必须要有基本的网站安全开发常识,比如0day,sql-injection、XSS、CSRF、恶意上传(脚本语言的网站尤其要注意)等。对于用户的敏感信息需要加密保存(salt-hash);
测试团队的渗透测试要到位,也可与第三方的安全团队进行合作,采用定制化的安全方案。
运维团队要妥善保管各个主机及软件的账号密码,维护主机的日常健康检查,和日常更新。
二、选择可靠的云空间:
网站在选择空间时需要注意,网上有很多不知名的空间商给出的网站空间价格很低,往往这种便宜的空间,安全性极差,因为空间/服务器需要专门的人员去进行维护,需要对服务器进行配置,设置服务器文件的权限等等。
某些主机如果只是内部人员访问的,应该增设ip访问权限(VPN网络的管理也要加强),可以避免被nmap等工具扫描。如果是自建机房,建议由经验丰富的运维人员来管理维护。
另外建议可以选择一款高效的web应用防火墙,开放式Web应用程序安全项目(OWASP)是一个侧重于促进应用软件安全发展的开发式非营利性组织,OWASP建议在选择Web应用防火墙时应该考量以下标准:很少出现误报(例如,不应该拒绝授权请求等);默认防御的强度;容易操作模式;;可以预防的漏洞类型;能够限制个人用户只能在当前对话中所看到的内容;配置预防特定问题的能力,如紧急补丁等。
三、用户client:
控制访问网络权限、强化数据加密和智能终端加固也是保障信息安全的有效手段。
对于一些涉及支付交易的网站,给出明确的提示如(不可以在公共场所的电脑登录,并妥善保管密码),或强制用户使用强密码登录。
加强终端控制:由于部分终端可能是以APP的形式存在,那么业务开发的时候也要考虑到终端版本,强制用户升级或者推热修复补丁,强烈建议留push通道,不要只留pull通道,这样可以大大提高推新版本的覆盖率,便于实施安全手段。
随着人们的隐私保护意识越来越高,未来的网络安全与隐私保护将成为新的机遇。完善大数据时代的隐私保护机制,建立完备的数据保护体系,未来还需要政府、社会和企业、用户共同努力,这也是大安全时代最需要关注的新课题。
