作為公司的運(yùn)維人員，特別是中大型企業(yè)，網(wǎng)站被攻擊，網(wǎng)站打不開是一件再平常不過(guò)的事情了。下面由學(xué)習(xí)啦小編為大家整理的企業(yè)網(wǎng)站的安全知識(shí)，希望大家喜歡!

企業(yè)網(wǎng)站的安全知識(shí)

第一：網(wǎng)絡(luò)安全法規(guī)定

2017年6月1日正式實(shí)施的網(wǎng)絡(luò)安全法中明確要求：第三十三條，至第三十八條針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者所做的規(guī)定(如關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)商應(yīng)當(dāng)自行或委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)對(duì)其網(wǎng)絡(luò)安全性和可能存在的風(fēng)險(xiǎn)每年至少進(jìn)行一次檢測(cè)評(píng)估，并將檢測(cè)評(píng)估情況和改進(jìn)措施報(bào)送相關(guān)負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的部門)，具有相當(dāng)?shù)膹?qiáng)制性——在法律責(zé)任部分明確提到若不履行這些規(guī)定，則由有關(guān)主管部門責(zé)令整改、給予警告;

拒不改正或?qū)е挛：W(wǎng)絡(luò)安全等后果的，處十萬(wàn)元以上一百萬(wàn)元以下罰款，而且還對(duì)直接負(fù)責(zé)的主管人員除以一萬(wàn)元以上、十萬(wàn)元以下罰款。

值得關(guān)注的是，在信息安全風(fēng)險(xiǎn)評(píng)估中，滲透測(cè)試是一種常用且非常重要的手段。

第二：滲透測(cè)試助力PCI DSS合規(guī)建設(shè)

在PCI DSS(Payment Card Industry Security Standards Council支付卡行業(yè)安全標(biāo)準(zhǔn)委員會(huì))第 11.3中有這樣的要求：至少每年或者在基礎(chǔ)架構(gòu)或應(yīng)用程序有任何重大升級(jí)或修改后(例如操作系統(tǒng)升級(jí)、環(huán)境中添加子網(wǎng)絡(luò)或環(huán)境中添加網(wǎng)絡(luò)服務(wù)器)都需要執(zhí)行內(nèi)部和外部基于應(yīng)用層和網(wǎng)絡(luò)層的滲透測(cè)試。

第三：ISO27001認(rèn)證的基線要求

ISO27001 附錄“A12信息系統(tǒng)開發(fā)、獲取和維護(hù)”的要求，建立了軟件安全開發(fā)周期，并且特別提出應(yīng)在上線前參照例如OWASP標(biāo)準(zhǔn)進(jìn)行額外的滲透測(cè)試 。目前北京安普諾信息公司已經(jīng)獲得ISO27001的認(rèn)證。

第四：銀監(jiān)會(huì)多項(xiàng)監(jiān)管指引中要求

依據(jù)銀監(jiān)會(huì)頒發(fā)的多項(xiàng)監(jiān)管指引中明確要求，對(duì)銀行的安全策略、內(nèi)控制度、風(fēng)險(xiǎn)管理、系統(tǒng)安全等方面需要進(jìn)行的滲透測(cè)試和管控能力的考察與評(píng)價(jià)。

第五：最大限度減少業(yè)務(wù)損失

除了滿足政策的合規(guī)性要求、提高客戶的操作安全性或滿足業(yè)務(wù)合作伙伴的要求。最終的目標(biāo)應(yīng)該是最大限度地減小業(yè)務(wù)風(fēng)險(xiǎn)。

企業(yè)需要盡可能多地進(jìn)行滲透測(cè)試，以保持安全風(fēng)險(xiǎn)在可控制的范圍內(nèi)。

網(wǎng)站開發(fā)過(guò)程中，會(huì)發(fā)生很多難以控制、難以發(fā)現(xiàn)的隱形安全問(wèn)題，當(dāng)這些大量的瑕疵暴露于外部網(wǎng)絡(luò)環(huán)境中的時(shí)候，就產(chǎn)生了信息安全威脅。

這個(gè)問(wèn)題，企業(yè)可以通過(guò)定期的滲透測(cè)試進(jìn)行有效防范，早發(fā)現(xiàn)、早解決。經(jīng)過(guò)專業(yè)滲透人員測(cè)試加固后的系統(tǒng)會(huì)變得更加穩(wěn)定、安全，測(cè)試后的報(bào)告可以幫助管理人員進(jìn)行更好的項(xiàng)目決策，同時(shí)證明增加安全預(yù)算的必要性，并將安全問(wèn)題傳達(dá)到高級(jí)管理層。

企業(yè)網(wǎng)站普遍的流程

1、信息收集

1.1/ Whois信息--注冊(cè)人、電話、郵箱、DNS、地址

1.2/ Googlehack--敏感目錄、敏感文件、更多信息收集

1.3/ 服務(wù)器IP--Nmap掃描、端口對(duì)應(yīng)的服務(wù)、C段

1.4/ 旁注--Bing查詢、腳本工具

1.5/ 如果遇到CDN--Cloudflare(繞過(guò))、從子域入手(mail，postfix)、DNS傳送域漏洞

1.6/ 服務(wù)器、組件(指紋)--操作系統(tǒng)、web server(apache，nginx，iis)、腳本語(yǔ)言

1.7/ More...

通過(guò)信息收集階段，攻擊者基本上已經(jīng)能夠獲取到網(wǎng)站的絕大部分信息，當(dāng)然信息收集作為網(wǎng)站入侵的第一步，決定著后續(xù)入侵的成功。

2、漏洞挖掘

2.1/ 探測(cè)Web應(yīng)用指紋--Discuz、PHPwind、Dedecms、Ecshop...

2.2/ XSS、CSRF、XSIO、SQLinjection、權(quán)限繞過(guò)、任意文件讀取、文件包含...

2.3/ 上傳漏洞--截?cái)?、修改、解析漏?/p>

2.4/ 有無(wú)驗(yàn)證碼--進(jìn)行暴力解除

2.5/ More...

經(jīng)過(guò)漫長(zhǎng)的一天，攻擊者手里已經(jīng)掌握了你網(wǎng)站的大量信息以及不大不小的漏洞若干，下一步他們便會(huì)開始利用這些漏洞獲取網(wǎng)站權(quán)限。

3、漏洞利用

3.1/ 思考目的性--達(dá)到什么樣的效果

3.2/ 隱藏，破壞性--根據(jù)探測(cè)到的應(yīng)用指紋尋找對(duì)應(yīng)的EXP攻擊載荷或者自己編寫

3.3/ 開始漏洞攻擊，獲取相應(yīng)權(quán)限，根據(jù)場(chǎng)景不同變化思路拿到webshell

4、權(quán)限提升

4.1/ 根據(jù)服務(wù)器類型選擇不同的攻擊載荷進(jìn)行權(quán)限提升

4.2/ 無(wú)法進(jìn)行權(quán)限提升，結(jié)合獲取的資料開始密碼猜解，回溯信息收集

5、植入后門

5.1/ 隱蔽性

5.2/ 定期查看并更新，保持周期性

6、日志清理

6.1/ 偽裝性，隱蔽性，避免激警他們通常選擇刪除指定日志

6.2/ 根據(jù)時(shí)間段，find相應(yīng)日志文件 太多太多。。。

企業(yè)網(wǎng)站的潛在價(jià)值

1.宣傳企業(yè)形象與品牌

企業(yè)文化往往是一個(gè)企業(yè)的靈魂，也是塑造一個(gè)企業(yè)形象與品牌的根本。通過(guò)互聯(lián)網(wǎng)這個(gè)窗口，可以得到更好的傳播與推廣，網(wǎng)站可以提高企業(yè)的知名度和品牌。經(jīng)過(guò)一段互聯(lián)網(wǎng)的熱潮，盡管很多人批評(píng)互聯(lián)網(wǎng)經(jīng)濟(jì)的不是，但是它在提高企業(yè)的知名度和品牌的作用是有目共睹的，例如搜狐、新浪、網(wǎng)易等，他們就是很好地借助互聯(lián)網(wǎng)，把他們的品牌做到過(guò)億人民幣之巨。

2.時(shí)尚的標(biāo)志

好的企業(yè)網(wǎng)站會(huì)給客戶一個(gè)強(qiáng)烈的印象。如果一個(gè)大企業(yè)連網(wǎng)站都沒(méi)有或者做得很差，給客戶的印象是：這不是一個(gè)現(xiàn)代企業(yè)，是一個(gè)跟不上形勢(shì)的企業(yè)。如果網(wǎng)站做得好，給客戶的感覺(jué)是：這企業(yè)領(lǐng)導(dǎo)意識(shí)先進(jìn)，走在時(shí)代的前列，管理科學(xué)化智能化，顧客感覺(jué)完全不同，信任度也高很多。

3.產(chǎn)品在線推廣

通過(guò)網(wǎng)站全面展示企業(yè)經(jīng)營(yíng)的所有產(chǎn)品?；ヂ?lián)網(wǎng)足以令您的產(chǎn)品與品牌更加形象立體地呈現(xiàn)在用戶面前，比傳統(tǒng)的宣傳模式更加的豐富多彩、更加全面，更易于發(fā)布與傳播。

以前公司宣傳多做宣傳冊(cè)，但一本宣傳冊(cè)充其量做到幾十頁(yè)，可網(wǎng)站卻可以做到幾百上千頁(yè)。比如在介紹一個(gè)項(xiàng)目時(shí)，我們?cè)谛麄鲀?cè)上最多放上一兩張照片，一段簡(jiǎn)短的文字介紹，但在網(wǎng)站上卻可以詳細(xì)介紹項(xiàng)目的背景、技術(shù)難度、施工情況等，這種效果顯然比宣傳冊(cè)好很多。

4.新的營(yíng)銷渠道

擴(kuò)大產(chǎn)品的銷售渠道，企業(yè)網(wǎng)站可以滿足一部分客戶網(wǎng)上查詢產(chǎn)品信息與采購(gòu)的需要，抓住互聯(lián)網(wǎng)商機(jī)，開展電子商務(wù)。網(wǎng)絡(luò)營(yíng)銷不但可以作為傳統(tǒng)營(yíng)銷的補(bǔ)充，還可以拓展新的市場(chǎng)空間，接觸更多潛在的消費(fèi)群體。

5.大大降低推廣成本

這是企業(yè)追求的目標(biāo)。與傳統(tǒng)銷售行業(yè)相比，網(wǎng)絡(luò)營(yíng)銷可以減少很多環(huán)節(jié)，建設(shè)企業(yè)網(wǎng)站不需要花費(fèi)大額的金錢投資，也幾乎沒(méi)有任何風(fēng)險(xiǎn)性。產(chǎn)品通過(guò)網(wǎng)站由公司直接到達(dá)客戶手中，省去了大中小批發(fā)商和零售商，以及中間過(guò)程中涉及到的廣告宣傳，物流與倉(cāng)儲(chǔ)等等，企業(yè)網(wǎng)站分擔(dān)了這部份的人工，節(jié)省市場(chǎng)開發(fā)與業(yè)務(wù)銷售及客戶服務(wù)的成本，縮短銷售體系的距離。最終大大減少了人力物力，節(jié)約了費(fèi)用，降低了成本，還提高了營(yíng)銷效率。

6.信息的及時(shí)更新

網(wǎng)站內(nèi)容可以隨時(shí)更新，這點(diǎn)對(duì)于現(xiàn)代企業(yè)來(lái)說(shuō)很重要。例如某企業(yè)新接到一個(gè)大型或有影響力的項(xiàng)目時(shí)，一般很少立刻重印宣傳冊(cè)，通常一年或更長(zhǎng)時(shí)間才更換一次宣傳冊(cè)，許多人看到宣傳冊(cè)的時(shí)候，不僅客戶多了，架構(gòu)變了，甚至連地址、電話都變了，這不能不說(shuō)令人遺憾，而網(wǎng)站卻可以每天更新(甚至隨時(shí)更新)，可以反映你企業(yè)的最新情況。還可以發(fā)布招聘信息，代理加盟信息等等。

7.有利于改善售后服務(wù)

在線服務(wù)能夠更加及時(shí)地掌握用戶群體，通過(guò)網(wǎng)站的交互式服務(wù)實(shí)現(xiàn)售前、售后的全過(guò)程服務(wù)?；ヂ?lián)網(wǎng)的特點(diǎn)在于突破地域限制，可以服務(wù)于全國(guó)各地的用戶。同時(shí)，網(wǎng)站是一天24小時(shí)都一直呈現(xiàn)在顧客面前的。而不像公司的咨詢熱線，服務(wù)電話，只有上班時(shí)間才可以聯(lián)系到。下班與節(jié)假日的時(shí)候，客戶就無(wú)法取得聯(lián)系，導(dǎo)致信息不能得到及時(shí)的反饋，也可能會(huì)錯(cuò)過(guò)網(wǎng)上訂單。

8.增加客戶的忠誠(chéng)

企業(yè)建立網(wǎng)站，將信息咨詢站開設(shè)到網(wǎng)上，專人值守，提供信息服務(wù)?？膳c外部建立實(shí)時(shí)的、專題的或個(gè)別的信息交流渠道。一些企業(yè)在網(wǎng)站上公開電子郵件地址，使客戶能夠通過(guò)電子郵件向企業(yè)發(fā)表意見(jiàn)。通過(guò)網(wǎng)站可以及時(shí)反饋顧客使用產(chǎn)品后的意見(jiàn)，發(fā)現(xiàn)問(wèn)題，及時(shí)解決問(wèn)題。加強(qiáng)與客戶的溝通，建立與客戶交流的便捷渠道，不但可以傾聽(tīng)顧客的意見(jiàn)，了解顧客的心聲，還可以加強(qiáng)企業(yè)與顧客間的聯(lián)系，建立良好的關(guān)系。