企业网站哪些安全知识必须懂的_企业网站有什么安全知识
作为公司的运维人员,特别是中大型企业,网站被攻击,网站打不开是一件再平常不过的事情了。下面由学习啦小编为大家整理的企业网站的安全知识,希望大家喜欢!
企业网站的安全知识
第一:网络安全法规定
2017年6月1日正式实施的网络安全法中明确要求:第三十三条,至第三十八条针对关键信息基础设施运营者所做的规定(如关键信息基础设施运营商应当自行或委托网络安全服务机构对其网络安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门),具有相当的强制性——在法律责任部分明确提到若不履行这些规定,则由有关主管部门责令整改、给予警告;
拒不改正或导致危害网络安全等后果的,处十万元以上一百万元以下罚款,而且还对直接负责的主管人员除以一万元以上、十万元以下罚款。
值得关注的是,在信息安全风险评估中,渗透测试是一种常用且非常重要的手段。
第二:渗透测试助力PCI DSS合规建设
在PCI DSS(Payment Card Industry Security Standards Council支付卡行业安全标准委员会)第 11.3中有这样的要求:至少每年或者在基础架构或应用程序有任何重大升级或修改后(例如操作系统升级、环境中添加子网络或环境中添加网络服务器)都需要执行内部和外部基于应用层和网络层的渗透测试。
第三:ISO27001认证的基线要求
ISO27001 附录“A12信息系统开发、获取和维护”的要求,建立了软件安全开发周期,并且特别提出应在上线前参照例如OWASP标准进行额外的渗透测试 。目前北京安普诺信息公司已经获得ISO27001的认证。
第四:银监会多项监管指引中要求
依据银监会颁发的多项监管指引中明确要求,对银行的安全策略、内控制度、风险管理、系统安全等方面需要进行的渗透测试和管控能力的考察与评价。
第五:最大限度减少业务损失
除了满足政策的合规性要求、提高客户的操作安全性或满足业务合作伙伴的要求。最终的目标应该是最大限度地减小业务风险。
企业需要尽可能多地进行渗透测试,以保持安全风险在可控制的范围内。
网站开发过程中,会发生很多难以控制、难以发现的隐形安全问题,当这些大量的瑕疵暴露于外部网络环境中的时候,就产生了信息安全威胁。
这个问题,企业可以通过定期的渗透测试进行有效防范,早发现、早解决。经过专业渗透人员测试加固后的系统会变得更加稳定、安全,测试后的报告可以帮助管理人员进行更好的项目决策,同时证明增加安全预算的必要性,并将安全问题传达到高级管理层。
企业网站普遍的流程
1、信息收集
1.1/ Whois信息--注册人、电话、邮箱、DNS、地址
1.2/ Googlehack--敏感目录、敏感文件、更多信息收集
1.3/ 服务器IP--Nmap扫描、端口对应的服务、C段
1.4/ 旁注--Bing查询、脚本工具
1.5/ 如果遇到CDN--Cloudflare(绕过)、从子域入手(mail,postfix)、DNS传送域漏洞
1.6/ 服务器、组件(指纹)--操作系统、web server(apache,nginx,iis)、脚本语言
1.7/ More...
通过信息收集阶段,攻击者基本上已经能够获取到网站的绝大部分信息,当然信息收集作为网站入侵的第一步,决定着后续入侵的成功。
2、漏洞挖掘
2.1/ 探测Web应用指纹--Discuz、PHPwind、Dedecms、Ecshop...
2.2/ XSS、CSRF、XSIO、SQLinjection、权限绕过、任意文件读取、文件包含...
2.3/ 上传漏洞--截断、修改、解析漏洞
2.4/ 有无验证码--进行暴力解除
2.5/ More...
经过漫长的一天,攻击者手里已经掌握了你网站的大量信息以及不大不小的漏洞若干,下一步他们便会开始利用这些漏洞获取网站权限。
3、漏洞利用
3.1/ 思考目的性--达到什么样的效果
3.2/ 隐藏,破坏性--根据探测到的应用指纹寻找对应的EXP攻击载荷或者自己编写
3.3/ 开始漏洞攻击,获取相应权限,根据场景不同变化思路拿到webshell
4、权限提升
4.1/ 根据服务器类型选择不同的攻击载荷进行权限提升
4.2/ 无法进行权限提升,结合获取的资料开始密码猜解,回溯信息收集
5、植入后门
5.1/ 隐蔽性
5.2/ 定期查看并更新,保持周期性
6、日志清理
6.1/ 伪装性,隐蔽性,避免激警他们通常选择删除指定日志
6.2/ 根据时间段,find相应日志文件 太多太多。。。
企业网站的潜在价值
1.宣传企业形象与品牌
企业文化往往是一个企业的灵魂,也是塑造一个企业形象与品牌的根本。通过互联网这个窗口,可以得到更好的传播与推广,网站可以提高企业的知名度和品牌。经过一段互联网的热潮,尽管很多人批评互联网经济的不是,但是它在提高企业的知名度和品牌的作用是有目共睹的,例如搜狐、新浪、网易等,他们就是很好地借助互联网,把他们的品牌做到过亿人民币之巨。
2.时尚的标志
好的企业网站会给客户一个强烈的印象。如果一个大企业连网站都没有或者做得很差,给客户的印象是:这不是一个现代企业,是一个跟不上形势的企业。如果网站做得好,给客户的感觉是:这企业领导意识先进,走在时代的前列,管理科学化智能化,顾客感觉完全不同,信任度也高很多。
3.产品在线推广
通过网站全面展示企业经营的所有产品。互联网足以令您的产品与品牌更加形象立体地呈现在用户面前,比传统的宣传模式更加的丰富多彩、更加全面,更易于发布与传播。
以前公司宣传多做宣传册,但一本宣传册充其量做到几十页,可网站却可以做到几百上千页。比如在介绍一个项目时,我们在宣传册上最多放上一两张照片,一段简短的文字介绍,但在网站上却可以详细介绍项目的背景、技术难度、施工情况等,这种效果显然比宣传册好很多。
4.新的营销渠道
扩大产品的销售渠道,企业网站可以满足一部分客户网上查询产品信息与采购的需要,抓住互联网商机,开展电子商务。网络营销不但可以作为传统营销的补充,还可以拓展新的市场空间,接触更多潜在的消费群体。
5.大大降低推广成本
这是企业追求的目标。与传统销售行业相比,网络营销可以减少很多环节,建设企业网站不需要花费大额的金钱投资,也几乎没有任何风险性。产品通过网站由公司直接到达客户手中,省去了大中小批发商和零售商,以及中间过程中涉及到的广告宣传,物流与仓储等等,企业网站分担了这部份的人工,节省市场开发与业务销售及客户服务的成本,缩短销售体系的距离。最终大大减少了人力物力,节约了费用,降低了成本,还提高了营销效率。
6.信息的及时更新
网站内容可以随时更新,这点对于现代企业来说很重要。例如某企业新接到一个大型或有影响力的项目时,一般很少立刻重印宣传册,通常一年或更长时间才更换一次宣传册,许多人看到宣传册的时候,不仅客户多了,架构变了,甚至连地址、电话都变了,这不能不说令人遗憾,而网站却可以每天更新(甚至随时更新),可以反映你企业的最新情况。还可以发布招聘信息,代理加盟信息等等。
7.有利于改善售后服务
在线服务能够更加及时地掌握用户群体,通过网站的交互式服务实现售前、售后的全过程服务。互联网的特点在于突破地域限制,可以服务于全国各地的用户。同时,网站是一天24小时都一直呈现在顾客面前的。而不像公司的咨询热线,服务电话,只有上班时间才可以联系到。下班与节假日的时候,客户就无法取得联系,导致信息不能得到及时的反馈,也可能会错过网上订单。
8.增加客户的忠诚
企业建立网站,将信息咨询站开设到网上,专人值守,提供信息服务。可与外部建立实时的、专题的或个别的信息交流渠道。一些企业在网站上公开电子邮件地址,使客户能够通过电子邮件向企业发表意见。通过网站可以及时反馈顾客使用产品后的意见,发现问题,及时解决问题。加强与客户的沟通,建立与客户交流的便捷渠道,不但可以倾听顾客的意见,了解顾客的心声,还可以加强企业与顾客间的联系,建立良好的关系。