常見的資訊安全議題有哪些?網站建置應該要注意哪些資訊安全?

7-1

資訊安全的定義

事實上資訊安全的定義非常廣泛:確保資訊內容可於正確的時機取用正確的內容。
這跟大家想聽的資安不太一樣,大眾認為的資安都只有在防駭的部分,其實只要網站當機、資料上架錯誤、備份不完全,都算是資訊安全的範疇。但當機和上架錯誤比較好理解,以下還是針對防駭(不正確時機取得資訊)的部分做解說。
 

常見的網站資訊安全漏洞有哪些?

網路上常見的攻擊手法很多,但因為安全漏洞導致有感損失的,可以大致歸類為以下幾種:

​​​​​被改掉首頁、植入惡意程式、撈走資料庫、撈走檔案、帳密破解、阻塞攻擊、釣魚

要特別講一下「釣魚」,這不是網站本身的漏洞,而是網站管理員被詐騙後,間接提供駭客管理帳號密碼導致入侵。釣魚詐騙的手法不外乎是透過信件、免費軟體下載、奇怪的中獎網頁等。只要是網站頁面上需要你填寫帳號密碼的,一律都要小心是不是有必要,且網站來源都是正當無誤的。
 

資安防駭是一場軍備競賽

我們先從一個問題開始思考:你找室內設計師幫你設計一個美麗的家而且生活功能都幫你想好,接下來設計師詢問了預算給了幾個選擇,幫你配了一個大門。當有一日家裡被闖了空門,門被破壞了,這樣會是誰的問題? 
我想不是你的問題,也不是設計師的問題,也不是小偷的問題,是的問題。

那麼要怎麼防盜防止被偷? 
裝內外銅門、防火 + 好幾道厲害的鎖 + 防盜窗(最好防霾透氣)、裝監視器、保險箱、請保全,試想這一個月須要花多少錢做防盜?
回歸基本需求面,你的網站裏面有沒有值錢的東西,值得你花這麼多錢做保護呢?

7-3

資安應該要保護那些網站資料?

這個答案很簡單:值錢的資料

駭客要來攻擊你的網站也需要耗費時間成本,如果你的網站沒有值錢的資料,自然不會成為主要的目標。當然有些駭客也專挑知名企業,攻破防護系統,贏得一份成就感。
因此只要是知名企業的網站,或是網站內有消費個資、證件資料、訂單等,都應該針對這些站台內的資料作加強防護。
 

網站要做哪些資訊安全防護?

網站資安可以涵蓋的範圍很廣,粗略可分為三個面向做防護的思考點:
  1. 程式防護
  2. 主機環境防護
  3. 人員防護
 
面相 說明

程式防護

程式是直接面對了駭客與消費者,其運作邏輯可視為第一道防線。
工程師必須在開發過程就有駭客思維,針對機敏資料模擬可能被盜取的路徑,並且加以防範。
常見的方式是定期將自己寫的程式送第三方資安單位作弱點掃描、滲透測試等。確保作品沒有高風險漏洞存在。
除此之外,若是有後台資料庫的網站,可以考慮將資料庫儲存的內容加密,也同時加強後台的權限管理機制、防暴力破解帳密等功能,不然就算程式碼沒問題,帳密或權限被猜到,也是功虧一簣。

主機環境

主機環境是資訊安全最重要的一個環節,訪客透過與程式的互動,會進入主機讀取對應資料。駭客也同樣是透過此路徑進入竊取資料,因此建議需要添購主機常見的資安設備,如WAF、IPS等工具來過濾、紀錄訪客行為。
另外也要選擇擁有ISO27001資安證照的機房與主機管理員,確保主機管理環境的基本安全。

人員管理

網站管理人員是資訊安全議題內最容易遺漏的環節,就算程式與主機環境防護再怎麼嚴密,只要管理人員稍不注意,如被釣魚竊取系統帳密、將匯出的個資隨處放置(桌面、USB等),駭客即可透過正常管道取得敏感資訊。
因此管理人員的道德操守與資安知識也相當重要,建議業主應加強資安宣導,向內部管理員說明資安常見漏洞與駭客攻擊手法,提高警覺。
 

常見的資訊安全產品

防護範圍 資安產品

資料傳輸

  1. SSL憑證

    將傳送資料切割成數個封包,每個封包都經過加密,就算被監聽攔截也難以破解內容

網頁程式

  1. 源碼檢測 (SonarQube)

    將網頁程式碼放入掃描軟體內後,掃描軟體會逐行檢視是否有語法錯誤,如拼錯字、使用到沒有效率的寫法。
    缺點:源碼檢測並非模擬駭客,無法正確發現網站是否有被入侵的可能性,比較像是文法檢查工具。
     
  2. 網站弱點掃描(Acunetix、Rapid7、OWASP ZAP)

    使用軟體自動針對網站內所有的URL內容,模擬駭客攻擊手法測試網站是否可被破解。
    缺點:軟體機器檢測難免有誤判狀況。
     
  3. WAF主動式防火牆

    因網頁不可能每天都做掃描,會影響存取效能,費用也極高,因此搭配加裝WAF可即時過濾訪客行為,若偵測到是駭客行為,會立即封鎖。
    缺點:WAF提供商良莠不齊,沒有經過調教或定期更新規則,則無法正確發揮WAF效果,一般會搭配弱點掃描結果做規格調整,建議選可出每月報告的廠商。

主機環境

  1. 一般防火牆

    限制進入Port與封鎖IP用
     
  2. 主機弱點掃描(Nessus)

    透過軟體針對主機整體環境做問題掃描,如Port、SSL加密版本、作業系統版本等
     
  3. 防毒與事件監測分析 (趨勢科技DS)

    整合防毒軟體與LOG分析工具,判斷隱藏的攻擊行為
     
  4. 端點防禦 (Sophos)

    預防駭客加密勒索,加強電腦端點防護

綜合

  1. 滲透測試

    組合弱點掃描與主機弱點掃描內容,以駭客思維採用人工方式找出網站漏洞
     
  2. 紅隊演練

    資安專家到場實際查看人員使用資訊的狀況,並設計對抗與防守方式,補足傳統滲透測試容易忽略之邊界防禦,以及基於人為疏失之佈署盲點,利用公開資訊、社交網路、暗網等搜集目標情資、結合資訊安全專家之專業知識、攻防技術及駭客工具資料庫,對於雙方所約定之攻擊目標與組織,採取無所不用其極的方法進行入侵演練,同時可驗證防守方(藍隊)的偵測與回應能力。
 

沒有100%的資安

資安是一件永無止僅的工作,網路是由各種交錯複雜的系統組織而成,只要其中一個供應商、軟體、線路、工程團隊出了問題,風險就接踵而來。原本A、B、C系統邏輯獨立都沒有問題,但只要透過網路串連整合,就有可能會出現未知的漏洞。
而且駭客的技術更是日新月異,許多組織都擁有大量自動化的工具作系統的破解,尋找未知的網路漏洞。因此並非把設備買齊就可以有100%的資安,但可著實增加被破解的難度。
 

常見名詞解釋

OWASP:國際非營利組織,會不定期整理公布目前全球最多網站被攻擊的手法排名,常聽到的OWASP TOP10,10項高風險也是由此而來,許多風險的分級評估也會以OWASP為參考依據。

 
Seo Article

更多網頁設計QA相關文章

在本SEO指南的第二章中,您將學習搜索引擎的工作方式,人們如何使用它們以及他們提交的搜索查詢類型。我們將介紹Google的技術背景。