企业如何网站平台的安全防护

前两天,A站收到黑客攻击,近千万条用户数据外泄,其中包含用户ID、用户昵称、加密存储的密码等信息。事件发生后,A站第一时间做出回应并证实了数据泄露事件,同时也透露的事件的原因是由于没有把网站做得足够安全。在事发后,已在第一时间联合内部和外部的技术专家成立了安全专项组,排查问题并升级了系统安全等级。

数据泄露事件近年来不断上升,而这些数据泄露原因大部分都是因为网站安全防护不到位而导致的。如芬兰通信管理局一网站遭遇了匿名黑客的攻击,大约有13万用户的账户用户名和密码被窃取;美国功能性运动品牌 Under Armour (安德玛)旗下饮食和营养管理应用程式及网站MyFitnessPal 遭遇大规模的数据泄露,多达1.5亿用户的信息被盗。;年初一加官方网站遭到恶意攻击,支付页面被植入脚本,4 万消费者的信用卡信息被窃取……

为了保护用户的信息安全,各大网络平台应该要提升安全防护,尤其是需要与用户进行信息交换的平台,更需要加强网站的安全防护。

企业如何提升网站平台的安全防护?下面信息安全服务商数安时代(GDCA)为您支招:

负载均衡及负载保护机制

系统面临着巨大的服务量,服务器端的设备基本上都需要有多台服务器进行业务分担,这样才能提高性能,避免处理瓶颈的出现,因此,需要采用合理的负载均衡和负载保护机制:

备份及恢复

任何系统都不能说100%的安全,都需要考虑在遭受攻击或者是经受自然灾害后的备份恢复工作,需要着重考虑如下几点:

选择合适的备份策略,做好提前备份,包括全备份、差分备份、增量备份等等;

选择合适的备份介质,包括磁带、光盘、RAID磁盘阵列等;

选择合适的备份地点,包括本地备份、远程备份等等;

选择合适的备份技术,包括NAS、SAN、DAS等等;

作好备份的后期维护和安全审计跟踪;

用户账号使用行为的日志记录及其审计。

数据加密传输

目前,HTTPS正在逐步取代HTTP的主流位置。因为互联网的安全越来越关注,而加密传输协议HTTPS要比明文协议HTTP更加安全,更加有包保障。HTTPS可保证通信数据的加密传输,同时也保证了用户端对服务器端的认证,避免用户被冒充合法网站的“钓鱼网站”欺骗。

如何建立HTTPS网站? SSL证书是HTTPS加密设置的常见方法,SSL证书就是遵守 SSL协议,由受信任的数字证书颁发机构CA(如GDCA),在验证服务器身份后颁发,具有服务器身份验证和数据传输加密功能。

恶意用户流量的检测、过滤及阻断

系统服务器侧应部署IDS入侵检测系统、IPS入侵防护系统、防火墙等设备,或者部署目前高效、流行的UTM(统一威胁管理)设备,对恶意用户采用的各种攻击手段进行检测和防护,重点过滤恶意流量、突发流量等。

管理规范化

系统功能复杂,业务数据敏感,保密级别比较高,并且对不同管理人员的权限、角色要求都不尽相同,为了保证安全管理,避免内部管理中出现安全问题,建议作如下要求:严格划分管理人员的角色及其对应的权限,避免一权独揽,引起安全隐患。

近年来,黑客攻击的次数日益增长,而网站安全是互联网构成的重要部分,各大企业应提前为自主平台提升安全防范,保护用户隐私,避免发生信息泄露事件。

出处CSDN

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

走进科学:如何正确的隐藏自己的行踪

大家好!我发现很多新人在讨论 “匿名”,所以我想我该写一篇清晰讲解它的教程,无论你是否能够隐藏自己。 我们也会讨论“隐藏自己”的方法及工具,但先集中注意力去理...

21960
来自专栏Timhbw博客

个人搭建博客中一些100%碰到的问题(附详细解决办法)

2016-09-2021:11:25 发表评论 322℃热度 鉴于许多人在这个途中碰到过问题,而且有一些问题是100%碰见,许多同学都问过我,每次回答大家效率...

31080
来自专栏FreeBuf

智能硬件设备八大安全问题分析

前言 目前,IoT 技术还处于起步阶段,与金融、电子商务等其他行业相比,安全性尚未得到充分理解和明确定义。 开发一款IoT 产品时,不论是像可穿戴设备这样的小型...

35850
来自专栏MixLab科技+设计实验室

万维网之父开源了去中心化平台,让用户掌控自己的社交数据,分布式社交协议栈Solid和内容分发网络IPFS

本文将介绍 solid 协议栈涉及到的各种概念,以及我们能如何用以太坊、IPFS 等新的分布式应用基础设施来实现 solid 应用,光复去中心化的民主互联网。

51220
来自专栏安恒信息

OpenSSL新漏洞预警公告:SSL/TLS中间人劫持漏洞"FREAK"

安全专家在OpenSSL中发现一种被称作FREAK(Factoring RSA Export Keys,分解RSA导出密钥)的攻击,漏洞编号为CVE-2015-...

34640
来自专栏FreeBuf

物联网究竟有多不安全?2016年IOT设备漏洞情况汇总

近年来,随着智能手机、可穿戴设备、活动追踪器、无线网络、智能汽车、智能家居等终端设备和网络设备的迅速发展和普及利用,针对IOT设备的网络攻击事件比例呈上升趋势,...

45270
来自专栏ytkah

微信公众平台系统升级致阅读数波动

昨天有位网友问ytkah:同一个订阅号发出,同一篇微信文章,在同一天的18:29查看阅读量时是8627,点赞量是62。为什么在20:32时查看阅读...

32060
来自专栏BestSDK

互联网人必备:深刻理解什么是API接口

API(ApplicationProgrammingInterface,应用程序编程接口)是一些预先定义的函数,目的是提供应用程序与开发人员基于某软件或硬件得以...

35560
来自专栏知晓程序

腾讯官方出品!网站崩溃,用它一键就能修好 | 亲儿子

19140
来自专栏我的安全视界观

【企业安全】企业安全项目-前端绕过专项整改

22650

扫码关注云+社区

领取腾讯云代金券