如何在低成本的情況下保護(hù)自己的網(wǎng)站安全?一般來說,很多安全專家都會(huì)告訴你沒有絕對(duì)的安全,如果黑客一定要長(zhǎng)期盯著你的公司有針對(duì)性的滲透,很少有可以幸免的。這么說難免令人沮喪,盡管如此,我們?nèi)匀徊荒茏源龜馈>退闼泄径急缓诳秃诘袅耍覀円蚕M约耗苁亲詈蟊缓诘舻哪且粋€(gè)。同時(shí),如果采取的措施恰當(dāng),是有可能將損失降至最低的。
最常見的是:
1、缺乏必要的策略和流程,以至于產(chǎn)生SVN權(quán)限亂給、離職員工還能有權(quán)限、員工隨意在服務(wù)器上開端口暴露出去等諸多問題;2、測(cè)試環(huán)境、生產(chǎn)環(huán)境混亂,程序員、測(cè)試、運(yùn)維可能都有服務(wù)器的權(quán)限;3、代碼更新頻繁且快速,增加安全檢查是一種額外的負(fù)擔(dān)。以上問題都給安全工作帶來了很多困難,而且創(chuàng)業(yè)團(tuán)隊(duì)一般來說是沒有全職的安全工程師崗位的。
一般公司對(duì)安全的重視程度,與這家公司是否出過安全事件有著極大的關(guān)系。如果一家公司以前從沒有遇到過安全問題,那么也不會(huì)有什么決心在安全方面有所投入;相對(duì)的是,如果一家公司遭遇過黑客攻擊,并且造成了一定損失,那么對(duì)安全問題的態(tài)度就會(huì)來個(gè)一百八十度的轉(zhuǎn)彎。
安全工作需要自頂向下展開。無數(shù)次教訓(xùn)告訴我們,自底向上展開安全工作,是注定要失敗的。所以如何有效的開展安全工作?最重要的前提,就是公司的管理層能夠從戰(zhàn)略上重視安全問題。如果最高管理層本身具有很強(qiáng)的安全意識(shí),甚至懂很多攻擊或防御的技術(shù)知識(shí),那么安全工作往往會(huì)很有成效,而且能夠省很多錢。
對(duì)于創(chuàng)業(yè)團(tuán)隊(duì)來說,如何開展安全工作我有如下建議:
1、考慮使用開源或商業(yè)的WAF(Web應(yīng)用防火墻),或者是IPS(入侵防御系統(tǒng))
使用WAF的好處是可以盡量少的改動(dòng)代碼,同時(shí)為打補(bǔ)丁贏得時(shí)間。因?yàn)橛袝r(shí)候改代碼是很麻煩的一件事情,而有些第三方程序的代碼改起來就更麻煩了。
2、合理收緊各種權(quán)限
包括數(shù)據(jù)庫、服務(wù)器、應(yīng)用后臺(tái)、SVN等權(quán)限,只把權(quán)限開放給需要使用的人。
3、定期請(qǐng)第三方安全公司做安全評(píng)估
這樣你可以減少人力成本的投入,同時(shí)讓更專業(yè)的人做專業(yè)的事情。
4、給員工做一些安全培訓(xùn)
基本的安全意識(shí)還是要有的。經(jīng)常有黑客會(huì)打客服電話或者發(fā)郵件過來搞搞詐騙。同時(shí)還要杜絕弱口令,很多管理后臺(tái)都是因?yàn)槿蹩诹畋缓诘舻摹3绦騿T也需要具備一些基本的素質(zhì),杜絕常見的不安全代碼的寫法。
5、妥善保管好所有的日志
包括各種應(yīng)用的日志、Web日志、服務(wù)器日志等。需要實(shí)時(shí)的遠(yuǎn)程收集起來,遠(yuǎn)程收集的原因是有的黑客入侵后的第一件事情就是篡改日志。
6、考慮找一套比較合理與靠譜的安全解決方案
解決方案一般考慮三個(gè)方面:代碼安全如何實(shí)現(xiàn)、網(wǎng)絡(luò)安全策略如何制定、操作系統(tǒng)如何加固。
如果想把整套安全體系跑起來的話,你還需要制定一個(gè)安全運(yùn)營(yíng)的策略,比如定期掃描網(wǎng)站、審計(jì)日志和代碼,以及制定應(yīng)急響應(yīng)的流程。
以上幾點(diǎn)都有不花錢的方式,定期的安全評(píng)估可以用定期的掃描替代,不過效果要差上一些。還有取巧的方式是向安全社區(qū)公開征集漏洞,并有獎(jiǎng)答謝,成本也不會(huì)很高,但效果卻出奇的好。