什么是網站安全?

網站安全是指保護個人和組織面向公眾的網站免受網絡攻擊。

為什么要關心網站安全?

針對面向公眾的網站(無論規模大小)的網絡攻擊很常見，可能會導致：

• 網站污損，
• 失去網站可用性或拒絕服務 (DoS) 條件，
• 泄露敏感的客戶或組織數據，
• 攻擊者控制受影響的網站，或
• 使用網站作為水坑攻擊的中轉站。

這些威脅會影響信息安全的所有方面——機密性、完整性和可用性——并可能嚴重損害網站及其所有者的聲譽。例如，成為污損、DoS 或數據泄露受害者的組織和個人網站可能會因用戶信任度下降或網站訪問者減少而遭受經濟損失。

組織可以采取哪些步驟來防止網站攻擊?

組織和安全專業人員應該采取多個步驟來正確保護他們的網站。注意：組織應與其網站托管提供商或托管服務提供商交談，以討論實施安全措施的角色和責任。

1. 保護域生態系統。

• 查看所有域的注冊商和域名系統 (DNS) 記錄。
• 更改您的域注冊商和 DNS 提供的所有默認密碼。

• 默認憑據并不安全——它們通常很容易在 Internet 上獲得。更改默認用戶名和密碼將防止利用默認憑據的攻擊。(有關創建強密碼的信息，請參閱選擇和保護密碼。)

• 強制執行多重身份驗證 (MFA)。(有關更多信息，請參閱補充密碼)
• 監控證書透明度日志。

查看CISA 緊急指令 19-01和CISA Cyber Insights：Mitigate DNS Infrastructure Tampering了解更多信息。

2. 保護用戶帳戶。

• 對所有可訪問 Internet 的帳戶強制執行 MFA — 優先考慮具有特權訪問權限的帳戶。
• 執行最小權限原則，禁用不必要的賬戶和權限。
• 更改所有默認用戶名和密碼。

查看CISA Cyber Insights：增強電子郵件和網絡安全以了解更多信息。

3. 持續掃描并修復關鍵和高漏洞。

• 分別在 15 天和 30 天內修補可訪問互聯網的系統上的所有關鍵漏洞和高漏洞。除了軟件漏洞之外，請務必掃描配置漏洞。

• 盡可能啟用自動更新。

替換不受支持的操作系統、應用程序和硬件。

• 查看CISA 緊急指令 19-01和CISA Cyber Insights：修復互聯網可訪問系統的漏洞以了解更多信息。

4. 保護傳輸中的數據。

• 禁用超文本傳輸協議 (HTTP);強制執行超文本傳輸協議安全 (HTTPS) 和 HTTP 嚴格傳輸安全 (HSTS)。

• 網站訪問者希望他們的隱私得到保護。為確保網站和用戶之間的通信是加密的，請始終強制使用 HTTPS，并在可能的情況下強制使用 HSTS。如需更多信息和指導，請參閱美國首席信息官 (CIO) 和聯邦 CIO 委員會關于HTTPS-Only Standard的網頁。如果可能，為所有域預加載 HSTS。
  

• 禁用弱密碼(SSLv2、SSlv3、3DES、RC4)。

查看CISA Binding Operational Directive 18-01和CISA Cyber Insights：Enhanced Email and Web Security了解更多信息。

5. 備份數據。

• 采用備份解決方案，自動、持續地從您的網站備份關鍵數據和系統配置。
• 將您的備份媒體保存在安全且物理遠程的環境中。
• 測試災難恢復場景。

6. 保護網絡應用程序。

• 識別并修復前 10 名最關鍵的 Web 應用程序安全風險;然后轉向其他不太嚴重的漏洞。(有關最關鍵的 Web 應用程序安全風險的列表，請參閱OWASP Top 10。)
• 啟用日志記錄并定期審核網站日志以檢測安全事件或不當訪問。

• 將日志發送到集中式日志服務器。

• 為用戶登錄 Web 應用程序和底層網站基礎設施實施 MFA。

7. 保護網絡服務器。

• 使用安全檢查表。

• 根據特定于系統上每個應用程序(例如，Apache、MySQL)的安全檢查表審核和強化配置。

• 使用應用程序允許列出和禁用提供業務需求不需要的功能的模塊或功能。
• 實施網絡分段和隔離。

• 網絡分段和隔離使攻擊者更難在連接的網絡中橫向移動。例如，將 Web 服務器放置在正確配置的非軍事區 (DMZ) 中會限制 DMZ 中的系統與內部公司網絡中的系統之間允許的網絡流量類型。

• 了解您的資產在哪里。

• 您必須知道您的資產在哪里才能保護它們。例如，如果您的數據不需要位于 Web 服務器上，請將其刪除以防止公共訪問。

有哪些額外的步驟可以防止網站攻擊?

• 清理所有用戶輸入。在客戶端和服務器端清理用戶輸入，例如特殊字符和空字符。當用戶輸入被合并到腳本或結構化查詢語言語句中時，清理用戶輸入尤其重要。
• 提高資源可用性。配置網站緩存以優化資源可用性。優化網站的資源可用性會增加它在 DoS 攻擊期間承受意外高流量的機會。
• 實施跨站點腳本 (XSS) 和跨站點請求偽造 (XSRF) 保護。通過實施 XSS 和 XSRF 保護來保護網站系統以及網站訪問者。
• 實施內容安全策略 (CSP)。網站所有者還應考慮實施 CSP。實施 CSP 可以減少攻擊者在最終用戶機器上成功加載和運行惡意 JavaScript 的機會。
• 審計第三方代碼。審核第三方服務(例如，廣告、分析)以驗證沒有向最終用戶提供意外代碼。網站所有者應該權衡審查第三方代碼并將其托管在 Web 服務器上(而不是從第三方加載代碼)的利弊。
• 實施額外的安全措施。其他措施包括：

• 針對網站代碼和系統運行靜態和動態安全掃描，
• 部署 Web 應用程序防火墻，
• 利用內容交付網絡來防范惡意網絡流量，以及
• 針對大量流量提供負載平衡和彈性。

附加信息

如需更多參考：

• CISA 網絡基礎
• 美國國家標準與技術研究院 (NIST)特別出版物 (SP) 800-44：公共 Web 服務器安全指南
• NIST SP 800-95：安全 Web 服務指南。

參考來源：美國CISA