面对网络威胁，企业如何保护网站安全

如果认为企业网站的安全防护只是浪费时间，那只是你还不曾意识到当中的重要性。

公司的网站，就是该公司展现给潜在客户、投资者和商业伙伴的业务名片。没有人愿意将一张字迹模糊、印满错字且满是墨迹的名片递给客户，使得客户满手墨渍。那为什么企业却对网站这张名片置之不理，让网站访问者面临潜在网络威胁呢？

非电商网站之所以不注重信息安全，是因为没有意识到这其中存在的商业风险。通常情况下，企业决策者认为他们的资产并不会引起网络罪犯的兴趣，没能看到网站安全和企业成功之间的关联。

• 勒索软件攻击导致网站崩溃。这是危害最小但仍旧会带来损害的攻击。网络罪犯可能会为了自身利益导致网站崩溃，或通过加密网站内容，以此索要赎金。
• 对访问者造成安全风险。黑客可以通过盗取访问者个人认证信息（比如信用卡数据、登陆/密码凭证等）来挖掘网站漏洞。
• 对其他企业、公众和政府网站造成安全风险。被攻击网站可以成为攻击其商业伙伴网站的平台。最典型的例子就是2013年的“水坑式”攻击，受影响企业包括Facebook、 Twitter、Microsoft 和 Apple。这类攻击的特性就是有指定攻击目标（2013年的“水坑式”攻击的目标就是移动APP开发商）。这类攻击中，黑客会向目标组织频繁访问的网站注入恶意软件。很快，一些受害者便会遭受感染。

  有时候，一个感染了恶意软件的小型企业网站便是遭受僵尸网络感染的数千部计算机之一，这些感染机器联合起来，能对国家基础设施造成攻击。

• 打入搜索引擎黑名单。当某一企业网站成为了僵尸网络一部分，或存在恶意内容，以此来进行钓鱼诈骗等攻击，那么搜索引擎，比如百度、谷歌，会把该企业网站列入黑名单，导致网站失去数千位访问者，从而失去潜在客户。
• 名誉损害。大概这是企业网站注重安全保护的主要原因了。通常网络访问者比网站所有者更具备安全意识。他们能意识到网站存在的潜在风险。一旦网站被黑，要想再次恢复网站无恶意程序的名声，可谓任重道远。

网站通过软件保护和访问控制来保证其安全，所以主要网站漏洞来自于这些软件和访问控制中。

据OWASP称，SQLi 会造成重大安全威胁。通过SQL 注入漏洞，黑客提供的并非网站预期的数据，而是网站（后端）解读的的SQL语句，然后是数据库。利用SQL命令，攻击者创建代码串，这些代码串可以输入到URL、搜索框以及登录表单中。通过SQLi，网络罪犯可以获得登陆网站数据库的权限。从而造成更多威胁：读取敏感数据（用户名、密码）、修改数据库以及进行admin级别的操作。

XSS允许攻击者在受害者浏览器中执行恶意脚本。浏览器不会对恶意脚本生疑，会执行恶意脚本。这样一来，攻击者便有权限获取敏感信息，比如会话缓存，从而更改网站内容，甚至渗入受害者计算机并在计算机上运行恶意软件。

包含漏洞有两种：本地文件包含（LFI）和远程文件包含（RFI）。LFI意味着黑客可以往受害服务器上传本地执行的恶意脚本。RFI则允许攻击者在web服务器中输入远程文件。LFI 和 RFI 允许攻击者对敏感信息越权访问、暴露敏感信息以及在目标服务器上执行恶意代码。

企业网站的管理界面和网站内容管理系统（WCMS）是蛮力攻击的首要目标。通过持续尝试输入不同密码来获取越权访问。如果登陆成功，那么攻击者将能够查看、改变或删除网站内容，以及执行管理功能。

公司网站的安全性是公司客户评判公司是否可靠的指标。以下是WE安全提供的一些防范方法：

• 加强访问控制。这是最佳方法。创建强密码、限制认证时间和尝试登陆次数。
• 保持更新。为了防止入侵，要确保你的web应用打了最新补丁，并时常更新。保持更新主要是为了减小基于脚本的SQLi 和 XSS攻击所造成的伤害。
• 渗透测试。可以聘请白帽子，他们能在黑客利用漏洞前便发现漏洞。这是保证网站安全的必要做法，每年至少进行一次。
• 安装web应用防火墙（WAF）。WAF检查web流量，从而找出可疑活动、封锁非法流量（垃圾邮件发送者、恶意机器人）以及阻止黑客攻击（XSS 攻击 and SQL注入）。
• 将企业网站同 SIEM 系统进行连接。合适的SIEM 系统是非常有力的安全工具，帮助企业加强对企业网站的监控及其安全性。

除了以上方法，也不要忽视了以下方面：

• 搜索引擎检索中隐藏Admin页面。没有索引的Admin页面，攻击者就很难通过基本web搜索找到公司网站。
• 使用SSL。安全套接层（SSL）安全协议利用加密来确保web浏览器和服务器之间的通讯安全。实现http网站转换成https网站。
• 有备份计划。按月、周或者日来对整个网站的数据进行备案。根据数据存储容量、更新频率以及日常网站流量来制定备份计划。你可以将网站数据手动备份到一部单独本地计算机或云上。也可以使用自动备份工具。

谨记，如果你的网站能为你带来价值，并能吸引客户的兴趣。那么黑客也会找到价值所在。攻击者只需要一个漏洞，便能入侵网站。因此，企业要谨慎为上，认真做好安全防护，防范于未然。