企业如何网站平台的安全防护

前两天，A站收到黑客攻击，近千万条用户数据外泄，其中包含用户ID、用户昵称、加密存储的密码等信息。事件发生后，A站第一时间做出回应并证实了数据泄露事件，同时也透露的事件的原因是由于没有把网站做得足够安全。在事发后，已在第一时间联合内部和外部的技术专家成立了安全专项组，排查问题并升级了系统安全等级。

数据泄露事件近年来不断上升，而这些数据泄露原因大部分都是因为网站安全防护不到位而导致的。如芬兰通信管理局一网站遭遇了匿名黑客的攻击，大约有13万用户的账户用户名和密码被窃取；美国功能性运动品牌 Under Armour （安德玛）旗下饮食和营养管理应用程式及网站MyFitnessPal 遭遇大规模的数据泄露，多达1.5亿用户的信息被盗。；年初一加官方网站遭到恶意攻击，支付页面被植入脚本，4 万消费者的信用卡信息被窃取……

为了保护用户的信息安全，各大网络平台应该要提升安全防护，尤其是需要与用户进行信息交换的平台，更需要加强网站的安全防护。

企业如何提升网站平台的安全防护？下面信息安全服务商数安时代（GDCA）为您支招：

负载均衡及负载保护机制

系统面临着巨大的服务量，服务器端的设备基本上都需要有多台服务器进行业务分担，这样才能提高性能，避免处理瓶颈的出现，因此，需要采用合理的负载均衡和负载保护机制：

备份及恢复

任何系统都不能说100%的安全，都需要考虑在遭受攻击或者是经受自然灾害后的备份恢复工作，需要着重考虑如下几点：

选择合适的备份策略，做好提前备份，包括全备份、差分备份、增量备份等等；

选择合适的备份介质，包括磁带、光盘、RAID磁盘阵列等；

选择合适的备份地点，包括本地备份、远程备份等等；

选择合适的备份技术，包括NAS、SAN、DAS等等；

作好备份的后期维护和安全审计跟踪；

用户账号使用行为的日志记录及其审计。

数据加密传输

目前，HTTPS正在逐步取代HTTP的主流位置。因为互联网的安全越来越关注，而加密传输协议HTTPS要比明文协议HTTP更加安全，更加有包保障。HTTPS可保证通信数据的加密传输，同时也保证了用户端对服务器端的认证，避免用户被冒充合法网站的“钓鱼网站”欺骗。

如何建立HTTPS网站? SSL证书是HTTPS加密设置的常见方法，SSL证书就是遵守 SSL协议，由受信任的数字证书颁发机构CA(如GDCA)，在验证服务器身份后颁发，具有服务器身份验证和数据传输加密功能。

恶意用户流量的检测、过滤及阻断

系统服务器侧应部署IDS入侵检测系统、IPS入侵防护系统、防火墙等设备，或者部署目前高效、流行的UTM（统一威胁管理）设备，对恶意用户采用的各种攻击手段进行检测和防护，重点过滤恶意流量、突发流量等。

管理规范化

系统功能复杂，业务数据敏感，保密级别比较高，并且对不同管理人员的权限、角色要求都不尽相同，为了保证安全管理，避免内部管理中出现安全问题，建议作如下要求：严格划分管理人员的角色及其对应的权限，避免一权独揽，引起安全隐患。

近年来，黑客攻击的次数日益增长，而网站安全是互联网构成的重要部分，各大企业应提前为自主平台提升安全防范，保护用户隐私，避免发生信息泄露事件。

出处CSDN