什么是网站平安?
网站平安是指爱护集体和组织面向公众的网站免受网络攻击。
为什么要关怀网站平安?
针对面向公众的网站 (无论规模大小) 的网络攻击很常见,可能会导致:
网站污损,
失去网站可用性或拒绝服务 (DoS) 条件,
泄露敏感的客户或组织数据,
攻击者管制受影响的网站,或
应用网站作为水坑攻打的中转站。
这些威逼会影响信息安全的所有方面——机密性、完整性和可用性——并可能重大侵害网站及其所有者的名誉。例如,成为污损、DoS 或数据泄露受害者的组织和集体网站可能会因用户信任度降落或网站访问者缩小而蒙受经济损失。
能够采取哪些步骤来避免网站攻打?
平安业余人员应该采取多个步骤来正确爱护他们的网站。留神:组织应与其网站托管提供商或托管服务提供商交谈,以探讨施行安全措施的角色和责任。
- 爱护域生态系统。
查看所有域的注册商和域名零碎 (DNS) 记录。
更改您的域注册商和 DNS 提供的所有默认明码。
默认凭据并不平安——它们通常很容易在 Internet 上取得。更改默认用户名和明码将避免利用默认凭据的攻打。(无关创立强明码的信息,请参阅抉择和爱护明码。)
强制执行多重身份验证 (MFA)。(无关更多信息,请参阅补充明码)
监控证书透明度日志。
查看 CISA 紧急指令 19-01 和 CISA Cyber Insights:Mitigate DNS Infrastructure Tampering 理解更多信息。 - 爱护用户帐户。
对所有可拜访 Internet 的帐户强制执行 MFA — 优先思考具备特权拜访权限的帐户。
执行最小权限准则,禁用不必要的账户和权限。
更改所有默认用户名和明码。
查看 CISA Cyber Insights:加强电子邮件和网络安全以理解更多信息。 - 继续扫描并修复要害和高破绽。
别离在 15 天和 30 天内修补可拜访互联网的零碎上的所有要害破绽和高破绽。除了软件破绽之外,请务必扫描配置破绽。
尽可能启用自动更新。
替换不受反对的操作系统、应用程序和硬件。
查看 CISA 紧急指令 19-01 和 CISA Cyber Insights:修复互联网可拜访零碎的破绽以理解更多信息。
- 爱护传输中的数据。
禁用超文本传输协定 (HTTP); 强制执行超文本传输协定平安 (HTTPS) 和 HTTP 严格传输平安 (HSTS)。
网站访问者心愿他们的隐衷失去爱护。为确保网站和用户之间的通信是加密的,请始终强制应用 HTTPS,并在可能的状况下强制应用 HSTS。如需更多信息和领导,请参阅美国首席信息官 (CIO) 和联邦 CIO 委员会对于 HTTPS-Only Standard 的网页。如果可能,为所有域预加载 HSTS。
禁用弱明码 (SSLv2、SSlv3、3DES、RC4)。
查看 CISA Binding Operational Directive 18-01 和 CISA Cyber Insights:Enhanced Email and Web Security 理解更多信息。 - 备份数据。
采纳备份解决方案,主动、继续地从您的网站备份要害数据和系统配置。
将您的备份媒体保留在平安且物理近程的环境中。
测试劫难复原场景。 - 爱护网络应用程序。
辨认并修复前 10 名最要害的 Web 应用程序平安危险; 而后转向其余不太重大的破绽。(无关最要害的 Web 应用程序平安危险的列表,请参阅 OWASP Top 10。)
启用日志记录并定期审核网站日志以检测安全事件或不当拜访。
将日志发送到集中式日志服务器。
为用户登录 Web 应用程序和底层网站基础设施施行 MFA。 - 爱护网络服务器。
应用安全检查表。
依据特定于零碎上每个应用程序 (例如,Apache、MySQL) 的安全检查表审核和强化配置。
应用应用程序容许列出和禁用提供业务需要不须要的性能的模块或性能。
施行网络分段和隔离。
网络分段和隔离使攻击者更难在连贯的网络中横向挪动。例如,将 Web 服务器搁置在正确配置的非军事区 (DMZ) 中会限度 DMZ 中的零碎与外部公司网络中的零碎之间容许的网络流量类型。
理解您的资产在哪里。
您必须晓得您的资产在哪里能力爱护它们。例如,如果您的数据不须要位于 Web 服务器上,请将其删除以避免公共拜访。
8. 接入平安防护产品。
平安减速 SCDN(Secure Content Delivery Network)是一种联合了 CDN 和平安防护性能的服务,为网站提供更疾速、稳固和平安的内容传输。上面是平安减速 SCDN 常见的性能:
CDN 减速:SCDN 利用分布式网络节点,在寰球各地构建服务器集群,将用户申请的内容就近缓存,极大地缩小了网络提早,提供更快的内容传输速度和更好的用户体验。
DDoS 防护:SCDN 集成了弱小的 DDoS(分布式拒绝服务攻打)防护机制,可能辨认和拦挡歹意流量,爱护网站免受 DDoS 攻打的影响。
Web 利用防火墙(WAF):SCDN 提供 WAF 性能,能够检测和拦挡各种 Web 利用攻打,如 SQL 注入、XSS、CSRF 等,爱护网站免受此类攻打的威逼。
网站平安扫描:SCDN 集成了网站平安扫描性能,能够定期扫描网站破绽,并提供具体的破绽报告和倡议,帮忙管理员及时修复破绽,保障网站的平安。
数据加密和解密:SCDN 反对将网站内容进行加密,确保数据在传输过程中的安全性,同时也反对对通过加密的内容进行解密,保障访问者能失常浏览和应用网站。
镜像站点备份:SCDN 能够将网站的内容进行实时或定期的备份,当源站点呈现宕机或故障时,能够疾速切换到备份站点,确保网站的继续可用性。
反爬虫和歹意机器人拦挡:SCDN 能够辨认并拦挡歹意的爬虫和机器人,阻止他们对网站内容进行非法采集和歹意操作。
总的来说,平安减速 SCDN 综合了 CDN 的减速性能和平安防护性能,提供了更牢靠、平安和高效的内容传输服务,爱护网站免受各种网络攻击和歹意行为的威逼。
还有哪些额定的步骤能够避免网站攻打?
清理所有用户输出。在客户端和服务器端清理用户输出,例如特殊字符和空字符。当用户输出被合并到脚本或结构化查询语言语句中时,清理用户输出尤其重要。
进步资源可用性。配置网站缓存以优化资源可用性。优化网站的资源可用性会减少它在 DoS 攻打期间接受意外高流量的机会。
施行跨站点脚本 (XSS) 和跨站点申请伪造 (XSRF) 爱护。通过施行 XSS 和 XSRF 爱护来爱护网站零碎以及网站访问者。
施行内容安全策略 (CSP)。网站所有者还应思考施行 CSP。施行 CSP 能够缩小攻击者在最终用户机器上胜利加载和运行歹意 JavaScript 的机会。
审计第三方代码。审核第三方服务 (例如,广告、剖析) 以验证没有向最终用户提供意外代码。网站所有者应该衡量审查第三方代码并将其托管在 Web 服务器上 (而不是从第三方加载代码) 的利弊。
施行额定的安全措施。其余措施包含:
针对网站代码和零碎运行动态和动静平安扫描,
部署 Web 应用程序防火墙,
利用内容交付网络来防备歹意网络流量,以及
针对大量流量提供负载平衡和弹性。