什么是网站安全?网站安全是指保护个人和组织面向公众的网站免受网络攻击。为什么要关心网站安全?针对面向公众的网站(无论大小)的网络攻击很常见,可能导致:网站损坏、网站可用性丧失或拒绝服务(DoS)情况、敏感客户或组织数据泄露、攻击攻击者控制了受影响的网站网站,或将网站用作水坑攻击的中转站。这些威胁影响信息安全的方方面面——机密性、完整性和可用性——并可能严重损害网站及其所有者的声誉。例如,成为污损、DoS或数据泄露受害者的组织和个人网站可能会因用户信任度下降或网站访问者减少而蒙受经济损失。组织可以采取哪些步骤来防止网站攻击?组织和安全专业人员应采取多种措施来妥善保护其网站。注意:组织应与其网络托管服务提供商或托管服务提供商交谈,讨论实施安全措施的角色和责任。1.保护域名生态。查看所有域的注册商和域名系统(DNS)记录。更改域注册商和DNS提供的任何默认密码。默认凭据不安全-它们通常可以在Internet上轻松获得。更改默认用户名和密码将防止利用默认凭据的攻击。(有关创建强密码的信息,请参阅选择和保护密码。)强制执行多重身份验证(MFA)。(有关详细信息,请参阅补充密码)监控证书透明度日志。有关详细信息,请参阅CISA紧急指令19-01和CISACyber??Insights:减轻DNS基础设施篡改。2.保护用户帐户。对所有具有Internet访问权限的帐户实施MFA——优先使用具有特权访问权限的帐户。执行最小权限原则,禁用不必要的帐户和权限。更改所有默认用户名和密码。查看CISACyber??Insights:增强电子邮件和网络安全以了解更多信息。3.持续扫描并修复关键和高漏洞。分别在15天和30天内修补可访问Internet的系统上的所有严重漏洞和高漏洞。除了软件漏洞,一定要扫描配置漏洞。尽可能启用自动更新。更换不受支持的操作系统、应用程序和硬件。有关更多信息,请参阅CISA紧急指令19-01和CISACyber??Insights:修复Internet可访问系统中的漏洞。4.保护传输中的数据。禁用超文本传输??协议(HTTP);强制执行超文本传输??协议安全(HTTPS)和HTTP严格传输安全(HSTS)。网站访问者希望他们的隐私受到保护。为确保您的网站和用户之间的通信是加密的,请始终执行HTTPS,并在可能的情况下执行HSTS。有关更多信息和指南,请参阅美国首席信息官(CIO)和联邦CIO委员会关于HTTPS-Only标准的网页。如果可能,为所有域预加载HSTS。禁用弱密码(SSLv2、SSlv3、3DES、RC4)。查看CISABindingOperationalDirective18-01和CISACyber??Insights:EnhancedEmailandWebSecurity了解更多信息。5.备份数据。使用备份解决方案自动持续地备份您网站上的关键数据和系统配置。将您的备份媒体保存在安全且物理上远程的环境中。测试灾难恢复方案。6.保护网络应用程序。识别并修复10大最关键的Web应用程序安全风险;然后转向其他不太严重的漏洞。(有关最严重的Web应用程序安全风险的列表,请参阅OWASPTop10。)启用日志记录并定期审核网站日志以检测安全事件或不当访问。将日志发送到集中式日志服务器。为用户登录Web应用程序和底层网站基础设施实施MFA。7.保护网络服务器。使用安全检查表。根据特定于系统上每个应用程序(例如Apache、MySQL)的安全检查表检查和强化配置。使用应用程序允许列出和禁用提供业务需求不需要的功能的模块或功能。实施网络分段和隔离。网络分段和隔离使攻击者更难横向移动连接的网络。例如,将Web服务器放置在正确配置的非军事区(DMZ)中会限制DMZ中的系统与内部企业网络中的系统之间允许的网络流量类型。知道你的资产在哪里。您必须知道您的资产在哪里才能保护它们。例如,如果您的数据不需要位于Web服务器上,请将其删除以防止公开访问。有哪些额外的步骤可以防止网站攻击?清理所有用户输入。在客户端和服务器端清理用户输入,例如特殊字符和空字符。当将用户输入合并到脚本或结构化查询语言语句中时,净化用户输入尤为重要。提高资源可用性。配置网站缓存以优化资源可用性。优化网站的资源可用性会增加其在DoS攻击期间遇到意外高流量的机会。实施跨站点脚本(XSS)和跨站点请求伪造(XSRF)保护。通过实施XSS和XSRF保护来保护网站系统和网站访问者。实施内容安全策略(CSP)。网站所有者还应考虑实施CSP。实施CSP可降低攻击者在最终用户计算机上成功加载和运行恶意JavaScript的机会。审核第三方代码。审核第三方服务(例如,广告、分析)以验证没有向最终用户提供意外代码。网站所有者应该权衡审查第三方代码并将其托管在网络服务器上而不是从第三方加载代码的利弊。实施额外的安全措施。其他措施包括:对网站代码和系统运行静态和动态安全扫描、部署Web应用程序防火墙、利用内容交付网络来防止恶意Web流量,以及为大量流量提供负载平衡和弹性。其他信息如需进一步参考:CISA网络基础美国国家标准与技术研究院(NIST)特别出版物(SP)800-44:公共Web服务器安全指南NISTSP800-95:安全Web服务指南。参考来源:美国CISA
