文档实现
- 确保您正确管理SSL/TLS证书
- 使用最新网站技术
- 通过良好的管理保证网站安全
您可以假设说不定什么时候,您的网站就会遭受攻击。攻击后果的严重性取决您的准备情况。
技术管理不当必然会导致漏洞。为避免发生无准备之仗,您需要知道自己网站技术的工作方式,技术的薄弱环节在哪里,以及如何避免这些薄弱环节。
不知道如何应对攻击行为,这本身就是漏洞,因此这篇文档将为您介绍如何利用适当的、基本的网站安全和维护措施,保护您的网站和企业。
管理SSL/TLS证书
并非所有证书颁发机构“生而平等”。恰当的SSL/TLS证书管理首先要选择恰当的合作伙伴。如果您追求的是价格最便宜,那么您只能获得最低的可靠性。
除此之外您还需要知道证书实施和维护的几个要点。下面各节将为您介绍可以采用的两个主要措施,这两项措施能够确保您的证书正常发挥作用,保证客户信息在传输期间的加密,以及让您的网站访客放心
续订SSL/TLS证书
作为保护网站访客信息的最简单方法之一,是确保您按时续订SSL/TLS证书。
当人们访问使用过期SSL/TLS证书的网站是,会看到一条警告信息,说明该网站已经不再安全。给客户的建议:如果有网站弹出该警告信息就不要访问该网站,因为您分享的任何数据都有可能遭到拦截
您不会想要潜在客户在访问您的网站时,看到这条警告信息。
好消息是续订SSL/TLS证书并不困难。您只需要一点点提前规划:续订证书可能需要一周到两周的时间,这取决您申请证书的等级,所以不要等到最后一刻才申请续订证书。
现在已有管理软件,能够在您SSL/TLS证书将要到期时,向您自动发送提醒,因此您在无理由忘记续订。
补丁与更新
补丁和更新程序是网站安全的生命线。当黑客发现可以利用的漏洞时,供应商将迅速发布补丁程序来限制损害。
只有安装和运行这些补丁和更新程序后,您的网站才可保证安全。否则,网络犯罪仍然能够利用相关漏洞
本条建议适用于服务器软件、内容管理系统以及SSL/TLS库---有助于网站运行的任何东西。
确保服务器的安全:防病毒软件和反间谍软件
您需要在所有设备上安装最新的防病毒软件,包括服务器。这能够帮助您减轻无补丁漏洞的风险(但不是说,您可以对除了零日漏洞之外的其他漏洞置之不理),并在恶意软件试图攻击您的设备时发出警报。
不过,恶意软件的设计往往使其不易检测。所以,当恶意软件蒙混过关时,您需要反间谍软件,帮助您监控服务器和收发数据。
有了反间谍软件,您能够监控网络流量,发现异常数据请求或者不明的敏感数据流出,并且能够在更短时间内,对网络攻击或者恶意软件感染迹象做出响应。
您应确保只从零售商店或者可信网络提供商哪里购买反间谍软件和防病毒产品。有些可供下载的程序实际上是伪装的恶意软件。
维护良好的管理实践
良好的安全性不只是技术;还涉及人员和流程。您需要明确的流程,并且您以及您的员工都需要遵守流程。以下各节为您介绍一些优良实践,您的企业可以采取这些办法,确保网络安全。
密码管理
良好的密码安全是显而易见的安全措施,然而人们仍然不能做到定期更新密码。事实上,根据赛门铁克公司《2015年网站安全威胁报告》,许多人将同一密码用于多个账户;该密码一旦被网络罪犯取得,就会变成实际上的“万能钥匙”良好的密码管理是关键。
电子邮件账户的密码管理不良是一回事,但是如果您没有针对SSL/TLS密钥(用于解密机密信息的数据子串)的严格的安全措施,那么这是一个更为严重的问题。如果黑客取得了访问这些钥匙的密码,那么他就可以访问您所有的加密数据。所以,您应当限制访问权限,并且考虑使用双因素验证以提高保护能力。
设定访问权限
为限制密码或密钥丢失的可能性,您应该牢记以下建议:
- 严格控制任何有访问权限的人员。通过建立授权分级以及仅需在“按需知密”的基础上提供访问权限,您能够控制风险
- 对于访问SSL/TLS密钥等安全性数据的行为,实验两步施证。这意味着用户在访问时,不仅需要密码,还需要额外的口令;该口令在用户尝试登陆时生成,并且通常发送到用户的电子邮件地址或手机。
- 考虑双因素认证。双因素验证比两步验证更进一步,需要您知道、拥有或与您不可分离的东西(列如指纹)中提取两个因素。
因此,发送到您手机上的文本与密码相比并无不同,这是因为文本也是您知道的东西--手机本身不能生成口令--所以电话本身不构成一个因素。口令生成器(列如有些银行提供的口令生成器)构成一个不同因素,他与密码共同构成双因素验证。
实施员工入职和离职程序
您的企业总有员工进出。不仅新员工的入职和良好的安全实践培训很重要,而且对于离职员工,做好善后工作也很重要。
当有人加入您的企业时,您应当进行背景检查---即使只是打电话给他们的推荐人,确保推荐人的真实性。如果您的网站收集敏感信息或个人信息,而您的新员工将有权限访问该数据,那么也应该对该员工进行犯罪记录检查或背景检查。
当员工离职时,您应当有一份现成的清单,列明员工有权访问的所有系统以及每个人有权访问的内容;这样,您就能收回访问权限和修改密码。无论员工离职时是否相安无事,您都不想让您的宝贵数据落入错误的人手里。