什么是網(wǎng)站安全?

網(wǎng)站安全是指保護(hù)個(gè)人和組織面向公眾的網(wǎng)站免受網(wǎng)絡(luò)攻擊。

為什么要關(guān)心網(wǎng)站安全?

針對(duì)面向公眾的網(wǎng)站(無(wú)論規(guī)模大小)的網(wǎng)絡(luò)攻擊很常見(jiàn)，可能會(huì)導(dǎo)致：

• 網(wǎng)站污損，
• 失去網(wǎng)站可用性或拒絕服務(wù) (DoS) 條件，
• 泄露敏感的客戶或組織數(shù)據(jù)，
• 攻擊者控制受影響的網(wǎng)站，或
• 使用網(wǎng)站作為水坑攻擊的中轉(zhuǎn)站。

這些威脅會(huì)影響信息安全的所有方面——機(jī)密性、完整性和可用性——并可能嚴(yán)重?fù)p害網(wǎng)站及其所有者的聲譽(yù)。例如，成為污損、DoS 或數(shù)據(jù)泄露受害者的組織和個(gè)人網(wǎng)站可能會(huì)因用戶信任度下降或網(wǎng)站訪問(wèn)者減少而遭受經(jīng)濟(jì)損失。

組織可以采取哪些步驟來(lái)防止網(wǎng)站攻擊?

組織和安全專業(yè)人員應(yīng)該采取多個(gè)步驟來(lái)正確保護(hù)他們的網(wǎng)站。注意：組織應(yīng)與其網(wǎng)站托管提供商或托管服務(wù)提供商交談，以討論實(shí)施安全措施的角色和責(zé)任。

1. 保護(hù)域生態(tài)系統(tǒng)。

• 查看所有域的注冊(cè)商和域名系統(tǒng) (DNS) 記錄。
• 更改您的域注冊(cè)商和 DNS 提供的所有默認(rèn)密碼。

• 默認(rèn)憑據(jù)并不安全——它們通常很容易在 Internet 上獲得。更改默認(rèn)用戶名和密碼將防止利用默認(rèn)憑據(jù)的攻擊。(有關(guān)創(chuàng)建強(qiáng)密碼的信息，請(qǐng)參閱選擇和保護(hù)密碼。)

• 強(qiáng)制執(zhí)行多重身份驗(yàn)證 (MFA)。(有關(guān)更多信息，請(qǐng)參閱補(bǔ)充密碼)
• 監(jiān)控證書(shū)透明度日志。

查看CISA 緊急指令 19-01和CISA Cyber Insights：Mitigate DNS Infrastructure Tampering了解更多信息。

2. 保護(hù)用戶帳戶。

• 對(duì)所有可訪問(wèn) Internet 的帳戶強(qiáng)制執(zhí)行 MFA — 優(yōu)先考慮具有特權(quán)訪問(wèn)權(quán)限的帳戶。
• 執(zhí)行最小權(quán)限原則，禁用不必要的賬戶和權(quán)限。
• 更改所有默認(rèn)用戶名和密碼。

查看CISA Cyber Insights：增強(qiáng)電子郵件和網(wǎng)絡(luò)安全以了解更多信息。

3. 持續(xù)掃描并修復(fù)關(guān)鍵和高漏洞。

• 分別在 15 天和 30 天內(nèi)修補(bǔ)可訪問(wèn)互聯(lián)網(wǎng)的系統(tǒng)上的所有關(guān)鍵漏洞和高漏洞。除了軟件漏洞之外，請(qǐng)務(wù)必掃描配置漏洞。

• 盡可能啟用自動(dòng)更新。

替換不受支持的操作系統(tǒng)、應(yīng)用程序和硬件。

• 查看CISA 緊急指令 19-01和CISA Cyber Insights：修復(fù)互聯(lián)網(wǎng)可訪問(wèn)系統(tǒng)的漏洞以了解更多信息。

4. 保護(hù)傳輸中的數(shù)據(jù)。

• 禁用超文本傳輸協(xié)議 (HTTP);強(qiáng)制執(zhí)行超文本傳輸協(xié)議安全 (HTTPS) 和 HTTP 嚴(yán)格傳輸安全 (HSTS)。

• 網(wǎng)站訪問(wèn)者希望他們的隱私得到保護(hù)。為確保網(wǎng)站和用戶之間的通信是加密的，請(qǐng)始終強(qiáng)制使用 HTTPS，并在可能的情況下強(qiáng)制使用 HSTS。如需更多信息和指導(dǎo)，請(qǐng)參閱美國(guó)首席信息官 (CIO) 和聯(lián)邦 CIO 委員會(huì)關(guān)于HTTPS-Only Standard的網(wǎng)頁(yè)。如果可能，為所有域預(yù)加載 HSTS。
  

• 禁用弱密碼(SSLv2、SSlv3、3DES、RC4)。

查看CISA Binding Operational Directive 18-01和CISA Cyber Insights：Enhanced Email and Web Security了解更多信息。

5. 備份數(shù)據(jù)。

• 采用備份解決方案，自動(dòng)、持續(xù)地從您的網(wǎng)站備份關(guān)鍵數(shù)據(jù)和系統(tǒng)配置。
• 將您的備份媒體保存在安全且物理遠(yuǎn)程的環(huán)境中。
• 測(cè)試災(zāi)難恢復(fù)場(chǎng)景。

6. 保護(hù)網(wǎng)絡(luò)應(yīng)用程序。

• 識(shí)別并修復(fù)前 10 名最關(guān)鍵的 Web 應(yīng)用程序安全風(fēng)險(xiǎn);然后轉(zhuǎn)向其他不太嚴(yán)重的漏洞。(有關(guān)最關(guān)鍵的 Web 應(yīng)用程序安全風(fēng)險(xiǎn)的列表，請(qǐng)參閱OWASP Top 10。)
• 啟用日志記錄并定期審核網(wǎng)站日志以檢測(cè)安全事件或不當(dāng)訪問(wèn)。

• 將日志發(fā)送到集中式日志服務(wù)器。

• 為用戶登錄 Web 應(yīng)用程序和底層網(wǎng)站基礎(chǔ)設(shè)施實(shí)施 MFA。

7. 保護(hù)網(wǎng)絡(luò)服務(wù)器。

• 使用安全檢查表。

• 根據(jù)特定于系統(tǒng)上每個(gè)應(yīng)用程序(例如，Apache、MySQL)的安全檢查表審核和強(qiáng)化配置。

• 使用應(yīng)用程序允許列出和禁用提供業(yè)務(wù)需求不需要的功能的模塊或功能。
• 實(shí)施網(wǎng)絡(luò)分段和隔離。

• 網(wǎng)絡(luò)分段和隔離使攻擊者更難在連接的網(wǎng)絡(luò)中橫向移動(dòng)。例如，將 Web 服務(wù)器放置在正確配置的非軍事區(qū) (DMZ) 中會(huì)限制 DMZ 中的系統(tǒng)與內(nèi)部公司網(wǎng)絡(luò)中的系統(tǒng)之間允許的網(wǎng)絡(luò)流量類型。

• 了解您的資產(chǎn)在哪里。

• 您必須知道您的資產(chǎn)在哪里才能保護(hù)它們。例如，如果您的數(shù)據(jù)不需要位于 Web 服務(wù)器上，請(qǐng)將其刪除以防止公共訪問(wèn)。

有哪些額外的步驟可以防止網(wǎng)站攻擊?

• 清理所有用戶輸入。在客戶端和服務(wù)器端清理用戶輸入，例如特殊字符和空字符。當(dāng)用戶輸入被合并到腳本或結(jié)構(gòu)化查詢語(yǔ)言語(yǔ)句中時(shí)，清理用戶輸入尤其重要。
• 提高資源可用性。配置網(wǎng)站緩存以優(yōu)化資源可用性。優(yōu)化網(wǎng)站的資源可用性會(huì)增加它在 DoS 攻擊期間承受意外高流量的機(jī)會(huì)。
• 實(shí)施跨站點(diǎn)腳本 (XSS) 和跨站點(diǎn)請(qǐng)求偽造 (XSRF) 保護(hù)。通過(guò)實(shí)施 XSS 和 XSRF 保護(hù)來(lái)保護(hù)網(wǎng)站系統(tǒng)以及網(wǎng)站訪問(wèn)者。
• 實(shí)施內(nèi)容安全策略 (CSP)。網(wǎng)站所有者還應(yīng)考慮實(shí)施 CSP。實(shí)施 CSP 可以減少攻擊者在最終用戶機(jī)器上成功加載和運(yùn)行惡意 JavaScript 的機(jī)會(huì)。
• 審計(jì)第三方代碼。審核第三方服務(wù)(例如，廣告、分析)以驗(yàn)證沒(méi)有向最終用戶提供意外代碼。網(wǎng)站所有者應(yīng)該權(quán)衡審查第三方代碼并將其托管在 Web 服務(wù)器上(而不是從第三方加載代碼)的利弊。
• 實(shí)施額外的安全措施。其他措施包括：

• 針對(duì)網(wǎng)站代碼和系統(tǒng)運(yùn)行靜態(tài)和動(dòng)態(tài)安全掃描，
• 部署 Web 應(yīng)用程序防火墻，
• 利用內(nèi)容交付網(wǎng)絡(luò)來(lái)防范惡意網(wǎng)絡(luò)流量，以及
• 針對(duì)大量流量提供負(fù)載平衡和彈性。

附加信息

如需更多參考：

• CISA 網(wǎng)絡(luò)基礎(chǔ)
• 美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院 (NIST)特別出版物 (SP) 800-44：公共 Web 服務(wù)器安全指南
• NIST SP 800-95：安全 Web 服務(wù)指南。

參考來(lái)源：美國(guó)CISA