企業(yè)網(wǎng)站哪些安全知識(shí)必須懂的_企業(yè)網(wǎng)站有什么安全知識(shí)
作為公司的運(yùn)維人員,特別是中大型企業(yè),網(wǎng)站被攻擊,網(wǎng)站打不開(kāi)是一件再平常不過(guò)的事情了。下面由學(xué)習(xí)啦小編為大家整理的企業(yè)網(wǎng)站的安全知識(shí),希望大家喜歡!
企業(yè)網(wǎng)站的安全知識(shí)
第一:網(wǎng)絡(luò)安全法規(guī)定
2017年6月1日正式實(shí)施的網(wǎng)絡(luò)安全法中明確要求:第三十三條,至第三十八條針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者所做的規(guī)定(如關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)商應(yīng)當(dāng)自行或委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)對(duì)其網(wǎng)絡(luò)安全性和可能存在的風(fēng)險(xiǎn)每年至少進(jìn)行一次檢測(cè)評(píng)估,并將檢測(cè)評(píng)估情況和改進(jìn)措施報(bào)送相關(guān)負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的部門),具有相當(dāng)?shù)膹?qiáng)制性——在法律責(zé)任部分明確提到若不履行這些規(guī)定,則由有關(guān)主管部門責(zé)令整改、給予警告;
拒不改正或?qū)е挛:W(wǎng)絡(luò)安全等后果的,處十萬(wàn)元以上一百萬(wàn)元以下罰款,而且還對(duì)直接負(fù)責(zé)的主管人員除以一萬(wàn)元以上、十萬(wàn)元以下罰款。
值得關(guān)注的是,在信息安全風(fēng)險(xiǎn)評(píng)估中,滲透測(cè)試是一種常用且非常重要的手段。
第二:滲透測(cè)試助力PCI DSS合規(guī)建設(shè)
在PCI DSS(Payment Card Industry Security Standards Council支付卡行業(yè)安全標(biāo)準(zhǔn)委員會(huì))第 11.3中有這樣的要求:至少每年或者在基礎(chǔ)架構(gòu)或應(yīng)用程序有任何重大升級(jí)或修改后(例如操作系統(tǒng)升級(jí)、環(huán)境中添加子網(wǎng)絡(luò)或環(huán)境中添加網(wǎng)絡(luò)服務(wù)器)都需要執(zhí)行內(nèi)部和外部基于應(yīng)用層和網(wǎng)絡(luò)層的滲透測(cè)試。
第三:ISO27001認(rèn)證的基線要求
ISO27001 附錄“A12信息系統(tǒng)開(kāi)發(fā)、獲取和維護(hù)”的要求,建立了軟件安全開(kāi)發(fā)周期,并且特別提出應(yīng)在上線前參照例如OWASP標(biāo)準(zhǔn)進(jìn)行額外的滲透測(cè)試 。目前北京安普諾信息公司已經(jīng)獲得ISO27001的認(rèn)證。
第四:銀監(jiān)會(huì)多項(xiàng)監(jiān)管指引中要求
依據(jù)銀監(jiān)會(huì)頒發(fā)的多項(xiàng)監(jiān)管指引中明確要求,對(duì)銀行的安全策略、內(nèi)控制度、風(fēng)險(xiǎn)管理、系統(tǒng)安全等方面需要進(jìn)行的滲透測(cè)試和管控能力的考察與評(píng)價(jià)。
第五:最大限度減少業(yè)務(wù)損失
除了滿足政策的合規(guī)性要求、提高客戶的操作安全性或滿足業(yè)務(wù)合作伙伴的要求。最終的目標(biāo)應(yīng)該是最大限度地減小業(yè)務(wù)風(fēng)險(xiǎn)。
企業(yè)需要盡可能多地進(jìn)行滲透測(cè)試,以保持安全風(fēng)險(xiǎn)在可控制的范圍內(nèi)。
網(wǎng)站開(kāi)發(fā)過(guò)程中,會(huì)發(fā)生很多難以控制、難以發(fā)現(xiàn)的隱形安全問(wèn)題,當(dāng)這些大量的瑕疵暴露于外部網(wǎng)絡(luò)環(huán)境中的時(shí)候,就產(chǎn)生了信息安全威脅。
這個(gè)問(wèn)題,企業(yè)可以通過(guò)定期的滲透測(cè)試進(jìn)行有效防范,早發(fā)現(xiàn)、早解決。經(jīng)過(guò)專業(yè)滲透人員測(cè)試加固后的系統(tǒng)會(huì)變得更加穩(wěn)定、安全,測(cè)試后的報(bào)告可以幫助管理人員進(jìn)行更好的項(xiàng)目決策,同時(shí)證明增加安全預(yù)算的必要性,并將安全問(wèn)題傳達(dá)到高級(jí)管理層。
企業(yè)網(wǎng)站普遍的流程
1、信息收集
1.1/ Whois信息--注冊(cè)人、電話、郵箱、DNS、地址
1.2/ Googlehack--敏感目錄、敏感文件、更多信息收集
1.3/ 服務(wù)器IP--Nmap掃描、端口對(duì)應(yīng)的服務(wù)、C段
1.4/ 旁注--Bing查詢、腳本工具
1.5/ 如果遇到CDN--Cloudflare(繞過(guò))、從子域入手(mail,postfix)、DNS傳送域漏洞
1.6/ 服務(wù)器、組件(指紋)--操作系統(tǒng)、web server(apache,nginx,iis)、腳本語(yǔ)言
1.7/ More...
通過(guò)信息收集階段,攻擊者基本上已經(jīng)能夠獲取到網(wǎng)站的絕大部分信息,當(dāng)然信息收集作為網(wǎng)站入侵的第一步,決定著后續(xù)入侵的成功。
2、漏洞挖掘
2.1/ 探測(cè)Web應(yīng)用指紋--Discuz、PHPwind、Dedecms、Ecshop...
2.2/ XSS、CSRF、XSIO、SQLinjection、權(quán)限繞過(guò)、任意文件讀取、文件包含...
2.3/ 上傳漏洞--截?cái)?、修改、解析漏?/p>
2.4/ 有無(wú)驗(yàn)證碼--進(jìn)行暴力解除
2.5/ More...
經(jīng)過(guò)漫長(zhǎng)的一天,攻擊者手里已經(jīng)掌握了你網(wǎng)站的大量信息以及不大不小的漏洞若干,下一步他們便會(huì)開(kāi)始利用這些漏洞獲取網(wǎng)站權(quán)限。
3、漏洞利用
3.1/ 思考目的性--達(dá)到什么樣的效果
3.2/ 隱藏,破壞性--根據(jù)探測(cè)到的應(yīng)用指紋尋找對(duì)應(yīng)的EXP攻擊載荷或者自己編寫
3.3/ 開(kāi)始漏洞攻擊,獲取相應(yīng)權(quán)限,根據(jù)場(chǎng)景不同變化思路拿到webshell
4、權(quán)限提升
4.1/ 根據(jù)服務(wù)器類型選擇不同的攻擊載荷進(jìn)行權(quán)限提升
4.2/ 無(wú)法進(jìn)行權(quán)限提升,結(jié)合獲取的資料開(kāi)始密碼猜解,回溯信息收集
5、植入后門
5.1/ 隱蔽性
5.2/ 定期查看并更新,保持周期性
6、日志清理
6.1/ 偽裝性,隱蔽性,避免激警他們通常選擇刪除指定日志
6.2/ 根據(jù)時(shí)間段,find相應(yīng)日志文件 太多太多。。。
企業(yè)網(wǎng)站的潛在價(jià)值
1.宣傳企業(yè)形象與品牌
企業(yè)文化往往是一個(gè)企業(yè)的靈魂,也是塑造一個(gè)企業(yè)形象與品牌的根本。通過(guò)互聯(lián)網(wǎng)這個(gè)窗口,可以得到更好的傳播與推廣,網(wǎng)站可以提高企業(yè)的知名度和品牌。經(jīng)過(guò)一段互聯(lián)網(wǎng)的熱潮,盡管很多人批評(píng)互聯(lián)網(wǎng)經(jīng)濟(jì)的不是,但是它在提高企業(yè)的知名度和品牌的作用是有目共睹的,例如搜狐、新浪、網(wǎng)易等,他們就是很好地借助互聯(lián)網(wǎng),把他們的品牌做到過(guò)億人民幣之巨。
2.時(shí)尚的標(biāo)志
好的企業(yè)網(wǎng)站會(huì)給客戶一個(gè)強(qiáng)烈的印象。如果一個(gè)大企業(yè)連網(wǎng)站都沒(méi)有或者做得很差,給客戶的印象是:這不是一個(gè)現(xiàn)代企業(yè),是一個(gè)跟不上形勢(shì)的企業(yè)。如果網(wǎng)站做得好,給客戶的感覺(jué)是:這企業(yè)領(lǐng)導(dǎo)意識(shí)先進(jìn),走在時(shí)代的前列,管理科學(xué)化智能化,顧客感覺(jué)完全不同,信任度也高很多。
3.產(chǎn)品在線推廣
通過(guò)網(wǎng)站全面展示企業(yè)經(jīng)營(yíng)的所有產(chǎn)品?;ヂ?lián)網(wǎng)足以令您的產(chǎn)品與品牌更加形象立體地呈現(xiàn)在用戶面前,比傳統(tǒng)的宣傳模式更加的豐富多彩、更加全面,更易于發(fā)布與傳播。
以前公司宣傳多做宣傳冊(cè),但一本宣傳冊(cè)充其量做到幾十頁(yè),可網(wǎng)站卻可以做到幾百上千頁(yè)。比如在介紹一個(gè)項(xiàng)目時(shí),我們?cè)谛麄鲀?cè)上最多放上一兩張照片,一段簡(jiǎn)短的文字介紹,但在網(wǎng)站上卻可以詳細(xì)介紹項(xiàng)目的背景、技術(shù)難度、施工情況等,這種效果顯然比宣傳冊(cè)好很多。
4.新的營(yíng)銷渠道
擴(kuò)大產(chǎn)品的銷售渠道,企業(yè)網(wǎng)站可以滿足一部分客戶網(wǎng)上查詢產(chǎn)品信息與采購(gòu)的需要,抓住互聯(lián)網(wǎng)商機(jī),開(kāi)展電子商務(wù)。網(wǎng)絡(luò)營(yíng)銷不但可以作為傳統(tǒng)營(yíng)銷的補(bǔ)充,還可以拓展新的市場(chǎng)空間,接觸更多潛在的消費(fèi)群體。
5.大大降低推廣成本
這是企業(yè)追求的目標(biāo)。與傳統(tǒng)銷售行業(yè)相比,網(wǎng)絡(luò)營(yíng)銷可以減少很多環(huán)節(jié),建設(shè)企業(yè)網(wǎng)站不需要花費(fèi)大額的金錢投資,也幾乎沒(méi)有任何風(fēng)險(xiǎn)性。產(chǎn)品通過(guò)網(wǎng)站由公司直接到達(dá)客戶手中,省去了大中小批發(fā)商和零售商,以及中間過(guò)程中涉及到的廣告宣傳,物流與倉(cāng)儲(chǔ)等等,企業(yè)網(wǎng)站分擔(dān)了這部份的人工,節(jié)省市場(chǎng)開(kāi)發(fā)與業(yè)務(wù)銷售及客戶服務(wù)的成本,縮短銷售體系的距離。最終大大減少了人力物力,節(jié)約了費(fèi)用,降低了成本,還提高了營(yíng)銷效率。
6.信息的及時(shí)更新
網(wǎng)站內(nèi)容可以隨時(shí)更新,這點(diǎn)對(duì)于現(xiàn)代企業(yè)來(lái)說(shuō)很重要。例如某企業(yè)新接到一個(gè)大型或有影響力的項(xiàng)目時(shí),一般很少立刻重印宣傳冊(cè),通常一年或更長(zhǎng)時(shí)間才更換一次宣傳冊(cè),許多人看到宣傳冊(cè)的時(shí)候,不僅客戶多了,架構(gòu)變了,甚至連地址、電話都變了,這不能不說(shuō)令人遺憾,而網(wǎng)站卻可以每天更新(甚至隨時(shí)更新),可以反映你企業(yè)的最新情況。還可以發(fā)布招聘信息,代理加盟信息等等。
7.有利于改善售后服務(wù)
在線服務(wù)能夠更加及時(shí)地掌握用戶群體,通過(guò)網(wǎng)站的交互式服務(wù)實(shí)現(xiàn)售前、售后的全過(guò)程服務(wù)?;ヂ?lián)網(wǎng)的特點(diǎn)在于突破地域限制,可以服務(wù)于全國(guó)各地的用戶。同時(shí),網(wǎng)站是一天24小時(shí)都一直呈現(xiàn)在顧客面前的。而不像公司的咨詢熱線,服務(wù)電話,只有上班時(shí)間才可以聯(lián)系到。下班與節(jié)假日的時(shí)候,客戶就無(wú)法取得聯(lián)系,導(dǎo)致信息不能得到及時(shí)的反饋,也可能會(huì)錯(cuò)過(guò)網(wǎng)上訂單。
8.增加客戶的忠誠(chéng)
企業(yè)建立網(wǎng)站,將信息咨詢站開(kāi)設(shè)到網(wǎng)上,專人值守,提供信息服務(wù)??膳c外部建立實(shí)時(shí)的、專題的或個(gè)別的信息交流渠道。一些企業(yè)在網(wǎng)站上公開(kāi)電子郵件地址,使客戶能夠通過(guò)電子郵件向企業(yè)發(fā)表意見(jiàn)。通過(guò)網(wǎng)站可以及時(shí)反饋顧客使用產(chǎn)品后的意見(jiàn),發(fā)現(xiàn)問(wèn)題,及時(shí)解決問(wèn)題。加強(qiáng)與客戶的溝通,建立與客戶交流的便捷渠道,不但可以傾聽(tīng)顧客的意見(jiàn),了解顧客的心聲,還可以加強(qiáng)企業(yè)與顧客間的聯(lián)系,建立良好的關(guān)系。