企業(yè)網(wǎng)站常見(jiàn)的安全問(wèn)題以及解決辦法

時(shí)間：2020-05-12 13:33:02

關(guān)鍵字：黑客數(shù)據(jù)包 DDOS攻擊 ADM

手機(jī)看文章

掃描二維碼
隨時(shí)隨地手機(jī)看文章

[導(dǎo)讀] （文章來(lái)源：墨者安全科技）隨著互聯(lián)網(wǎng)的普及，大多數(shù)企業(yè)都會(huì)做自己的網(wǎng)站來(lái)宣傳、推廣企業(yè)業(yè)務(wù)。企業(yè)網(wǎng)站給企業(yè)帶來(lái)更好的宣傳推廣同時(shí)，但同時(shí)也帶來(lái)不少安全風(fēng)險(xiǎn)。企業(yè)網(wǎng)站常見(jiàn)的安全

（文章來(lái)源：墨者安全科技）

隨著互聯(lián)網(wǎng)的普及，大多數(shù)企業(yè)都會(huì)做自己的網(wǎng)站來(lái)宣傳、推廣企業(yè)業(yè)務(wù)。企業(yè)網(wǎng)站給企業(yè)帶來(lái)更好的宣傳推廣同時(shí)，但同時(shí)也帶來(lái)不少安全風(fēng)險(xiǎn)。

企業(yè)網(wǎng)站常見(jiàn)的安全問(wèn)題：1.數(shù)據(jù)泄露，網(wǎng)站是企業(yè)對(duì)外開(kāi)放的門(mén)戶，因此會(huì)成為黑客利用獲取數(shù)據(jù)的主要手段，黑客竊取企業(yè)重要數(shù)據(jù)，用來(lái)攻擊企業(yè)網(wǎng)站或勒索企業(yè)，給企業(yè)帶來(lái)經(jīng)濟(jì)損失。.2.網(wǎng)頁(yè)篡改，企業(yè)網(wǎng)頁(yè)被篡改，不僅會(huì)降低網(wǎng)站瀏覽用戶的體驗(yàn)感，還會(huì)導(dǎo)致網(wǎng)站面臨運(yùn)營(yíng)風(fēng)險(xiǎn)。所以企業(yè)一定要重點(diǎn)關(guān)注，保證網(wǎng)頁(yè)不被篡改。

3.服務(wù)器系統(tǒng)漏洞，利用服務(wù)器系統(tǒng)漏洞是網(wǎng)站遭受攻擊的常見(jiàn)方式，網(wǎng)站基于計(jì)算機(jī)網(wǎng)絡(luò)，而計(jì)算機(jī)運(yùn)行少不了操作系統(tǒng)。操作系統(tǒng)漏洞會(huì)直接影響網(wǎng)站安全，一個(gè)小小的系統(tǒng)漏洞可致系統(tǒng)癱瘓，比如緩沖區(qū)溢出漏洞、IIS漏洞、第三方軟件漏洞等。

4.DDoS攻擊，瀏覽網(wǎng)站是需要啟動(dòng)TCP連接的，服務(wù)器一旦接收到第一個(gè)數(shù)據(jù)包，就會(huì)返回一個(gè)響應(yīng)。然后，設(shè)置最終的ACK數(shù)據(jù)包并關(guān)閉連接。當(dāng)您使用計(jì)算機(jī)訪問(wèn)網(wǎng)站時(shí)，此過(guò)程在后臺(tái)進(jìn)行。而DDoS攻擊利用TCP協(xié)議，通過(guò)大量虛假I(mǎi)P向服務(wù)器發(fā)送數(shù)據(jù)包，然后在目標(biāo)服務(wù)器以開(kāi)放連接響應(yīng)時(shí)不響應(yīng)。攻擊者將大量流量重定向到網(wǎng)站，導(dǎo)致無(wú)數(shù)連接超時(shí)，最終導(dǎo)致服務(wù)器性能崩潰。

企業(yè)如何維護(hù)網(wǎng)站安全？1.加強(qiáng)訪問(wèn)控制，創(chuàng)建強(qiáng)密碼、限制認(rèn)證時(shí)間和嘗試登陸次數(shù)。2.保持web更新，確保你的web應(yīng)用打了最新補(bǔ)丁，并時(shí)常更新。保持更新主要是為了減小基于腳本的SQLi 和 XSS攻擊所造成的傷害。3.安裝web應(yīng)用防火墻WAF，WAF檢查web流量，從而找出可疑活動(dòng)、封鎖非法流量（垃圾郵件發(fā)送者、惡意機(jī)器人）以及阻止黑客攻擊（XSS 攻擊 and SQL注入）。

4.滲透測(cè)試，可以聘請(qǐng)白帽子，他們能在黑客利用漏洞前便發(fā)現(xiàn)漏洞。這是保證網(wǎng)站安全的必要做法，每年至少進(jìn)行一次。5.數(shù)據(jù)備份，按月或周對(duì)整個(gè)網(wǎng)站的數(shù)據(jù)進(jìn)行備案。根據(jù)數(shù)據(jù)存儲(chǔ)容量、更新頻率以及日常網(wǎng)站流量來(lái)制定備份計(jì)劃。你可以將網(wǎng)站數(shù)據(jù)手動(dòng)備份到一部單獨(dú)本地計(jì)算機(jī)或云上。也可以使用自動(dòng)備份工具。

6.搜索引擎檢索中隱藏Admin頁(yè)面，沒(méi)有索引的Admin頁(yè)面，攻擊者就很難通過(guò)基本web搜索找到公司網(wǎng)站。7.使用SSL，安全套接層（SSL）安全協(xié)議利用加密來(lái)確保web瀏覽器和服務(wù)器之間的通訊安全，將http網(wǎng)站轉(zhuǎn)換成https網(wǎng)站。

8.接入高防服務(wù)，DDoS攻擊破壞性強(qiáng)，難以防御，需要接入高防服務(wù)才能防得住。企業(yè)可以選擇墨者盾高防，其防御能力強(qiáng)，能輕松防住攻擊力極強(qiáng)的DDoS，保證企業(yè)網(wǎng)站的正常運(yùn)行。企業(yè)網(wǎng)站的安全對(duì)于企業(yè)的正常運(yùn)行非常重要，企業(yè)一定要做好日常防護(hù)并接入高防服務(wù)作為輔助，來(lái)對(duì)抗網(wǎng)絡(luò)安全問(wèn)題，避免其給企業(yè)帶來(lái)的不必要損失。