网站安全:你面临2个至关重要的挑战!

news/2024/5/20 11:31:33/文章来源:https://blog.csdn.net/wangpeng198688/article/details/50844933

近期的 NAGW(National Association of Government Web Professionals)会议让笔者收获颇深。该会议旨在通过聚集来自联邦/州/地方市政府网络专家来探讨可能存在的领域内机构、教育以及合作。而通过本次会议,笔者不仅了解到了政府在相关方面的动作,整个行业内网络安全所面对的一些挑战同样被重新定义。

网站安全中的两个关键挑战

不管行业现状如何,在谈论网站安全问题时人们总会反复提起以下几点:

  • 所有权不明晰

  • 理解和知识的匮乏

  • 事后影响认识不足

网络安全威胁定义

有趣的是,对网站安全最大的威胁却和技术、攻击演变、服务器环境、开发习惯、开源等或任何介于这之间的因素都没太大关系。真正的威胁更多地来自网络的思维方式,这不仅仅指的是网络用户,还有那些部署和管理这些环境的人。

就笔者来看,问题围绕在简单却又异常复杂的两点:

  • 教育和认识

  • 站点管理员,或缺少管理员

教育和认识

最大的挑战来自于基本的教育和认识,这也是最令人头疼的。

让人惊讶的是,你可能会认为这对非技术人员来说是显而易见的,但事实并非如此。作为技术人员,我们常常开玩笑不管自己取得了多大成就,对于家人来说我们总是一个 IT 小子。有趣的是,即使是技术人员,我们同样也会对彼此抱有刻板印象。

“哦,你是干开发的?太好了,你能帮我修一下我的服务器吗?”

“哦,你是做设计的?太好了,你能帮我搭建一个网站吗?”

“哦,你是一个系统管理员?酷!你能帮我设计一个网站吗?”

将这些放在我们常常对那些不懂技术工作人员的抱怨中,你马上就能找到相似点。搞笑的是,这对系统安全环境一隅同样适用。

“哦,你是负责安全的?酷,你能看看我的代码里面有什么漏洞吗?”

最让人悲伤的便是,人们在某些权衡中总是会做出错误的决定,而这样产生的影响往往会重度影响到用户。虽然我讨厌这个比喻,但是它的反复出现真的让我的整个灵魂很受伤。

“我不需要汽车保险。倒霉,我刚撞上了车祸。”

然而我并不能对这种心态感到太过沮丧,因为我自己曾对很多事情抱有甚至可能仍然抱有同样的观念:“我应该考虑到”但是很少…

因此,最大的挑战也就现身了,你该如何去做培养?对一个迅速恶化的问题你又该如何提高认识呢?

最近谷歌发布了被入侵网站现状。

2015 年迄今为止被入侵的网站数量增加了 180%。虽然由于术语“入侵( hacked )”定义繁多,让该增长百分比显得有一点含糊,也许对该术语分类处理后结果(例如:恶意软件分配、搜索引擎优化垃圾、网络钓鱼等等)会更多,但这仍然是一个很有意思的数据。

网站安全知识匮乏可以理解,但更让人担忧的是忧患意识和所有权意识的缺乏。

“嘿,内容/网站经理,你是怎样管理网络安全的?”“不知道,这不属于我的部门业务,IT团队处理这些问题。”

“好,我能理解这种情绪。那让我和IT组的同学聊一聊..”

“嘿,IT组的同学们,你们是怎么管理网站安全的? 这不是我们的业务,你去找找网站/内容团队吧。”

这听起来是不是有点耳熟?应该是的,因为在几乎所有的行业中我一次又一次地听到。这也是为什么糟糕演员会不停获胜的原因。可悲的事实是,所有域名组织都面临着资源短缺的问题,这既体现在技术方面也体现在资金方面。虽然对组织来说线上呈现很重要,但对于该线上资产的安全性却并没有多少关注,至少在问题出现前是如此。

站点管理员,或是没有站点管理员…

我仍然觉得仅次于教育和认识最大的问题存在于网站管理这块短板上,这同时被我的客户和不同的读者每天证实着。可悲的是,同样的问题困扰着所有的行业,从小型企业到大型企业再到联邦和州立组织莫不是如此。

我的一些朋友取笑我使用网址管理员(网管)这一术语。他们说这很像 1990,而网站拥有者并不是这样。我认为不论他们观点如何,他们并不将自己视为站点管理员,而与他们打交道你必须知道他们对自己的身份认识。

“如果它走起路来和说起话来都像一只鸭子,那么有可能它就是一只鸭子。”

从市场和销售的视角,我能明白这个观点和背后的情绪,但这并不意味着我不觉得这让人很生气。正是这种观念让网站最终倒闭。它不断地宣传自身的行为和行动最终在某个折衷之后不得不面对上门道歉。我很同情组织机构不得不面对的挣扎。

每天都有新的事情需要去做,作为组织他们必须不断工作以便能在不断进化的行业中保持领先优势。这时你发现没人愿意担事儿,并在卸掉某个责任后长舒一口气。但是,我们不能忘记的这么做并不意味这我们就撇开了所有权,我们必须装备它要求的技能,尤其是知识,来保护它。尤其是在你管理的这些东西可能会直接代表你的受众和品牌,并对它们有可能产生负面影响的时候。

如果你是那个挺身而出的可怜人,我赞扬你,但是你必须明白类似“那不是我的责任”的回答是不可接受的。如果你接受了这个职位,那么(网站)所有权就是你的,不管你愿意与否。每天我都看见这一点对全世界网站拥有者的毁灭性的影响。没有比必须独立承担起机构利益损失和品牌损害更糟的感觉了,最糟的是由于你的网站遭木马入侵导致别人财务凭证被盗而失去了一生的积蓄。

网站所有者责任重大

一个人管理网站很容易让人想到的仅仅是推送内容、更新设计或是其他任何相关的单调工作。相信我,我知道这里面的痛苦。直到现在,我和我的合伙人仍旧是最后检查推送到我们财产上的代码的两个人。的确,我们的工作被简化了,因为我们已经拥有了一个很好的安全文化,这使得事情对于我们容易多了,但这正意味着在该过程很重要。

除了网站的实际管理外,真正的重担应该更多地放在我们的网站对整体互联网的影响。网站仍是各种恶意软件的主要攻击对象,虽然有人可能会说桌面和手机应用正开始迅速地占领网站的主导地位。

网站面对的受众是所有的人,从国家总统,到政府官员和家庭,到在遍布世界的企业单位工作的每个人。生活在一个不断进化的互联世界,我们和它打着交道,因此使这份体验尽可能地安全是每个人义不容辞的责任。

原文地址:http://perezbox.com/2015/09/two-critical-challenges-facing-website-security/

如今,多样化的攻击手段层出不穷,传统安全解决方案越来越难以应对网络安全攻击。OneRASP 实时应用自我保护技术,可以为软件产品提供精准的实时保护,使其免受漏洞所累。想技术文章,请访问 OneAPM 官方技术博客。

本文转自 OneAPM 官方博客

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.luyixian.cn/news_show_783056.aspx

如若内容造成侵权/违法违规/事实不符,请联系dt猫网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

2016全球排名前50的博客网站性能

【编者按】本文由 Royal Pingdom 博客首发,主要介绍其测得的全球排名前50博客的网站性能。文章系国内 ITOM 管理平台 OneAPM 编译呈现。 在Royal Pingdom博客,我们喜欢测评和分析网站的性能。现在,是时候重新评测全球排名前50博客的网站性能…

网站经常崩溃,企业应该如何做好监控?

近些年,我们的生活因互联网发生了翻天覆地的改变。从搜索引擎到即时通讯,从电子购物再到文化娱乐,从吃饭住宿到旅游出行,互联网已经渗透到我们生活的方方面面。但网站、应用崩溃的事情似乎每天都在发生,而且节假日发生…

docker 初识之二(简单发布ASP.NET Core 网站)

docker 初识之二(简单发布ASP.NET Core 网站) 原文:docker 初识之二(简单发布ASP.NET Core 网站)在发布ASP.NET Core网站以前,先介绍一下DaoCloud 一个免费的docker云容器服务平台。登陆官方网站,创建一台d…

SEO|搜索引擎优化(如何让你的网站排名靠前)

如何让你的网站排名靠前 网站做好了,怎样才能让你的网站在各大搜索引擎中排名靠前呢?网上的帖子很多,通过搜索和总结,整理出了一套自己行之有效的方法,写出来供大家参考 成功案例推荐:天气预报、43997k7k小…

都说网站搜索聚合页很有效?到底有没有效,看完这一篇你就懂了!

一,天天都说搜索聚合页面很有效,那到底有没有效?说多无益,上例子: 1.1,有名的SEO讨论网站搜外网,有一个帖子,大家可以看看:https://ask.seowhy.com/question/16714 1.2&a…

Github以及其他网站访问慢或者图片加载不出来解决办法(Windows)

下面为Windows的解决办法,修改hosts文件。 现象:ping网站(github.com)请求超时。 原理:访问网址时先搜索hosts文件,如果在hosts文件中有网址对应的ip则不需要dns域名解析,因此可以将网址的ip配成…

使用VS2012开发的网站或者webservice在IIS6.0上发布的注意事项

由于新版的VS2012的出现,很多人转而使用VS2012作为开发工具,微软每次新的版本都会新增一些功能,带给我们不少的惊喜,但是在VS2012或者VS2010下开发的网站或者webservice在部署时要注意了,由于VS2010以上版本的.net fra…

如何在首页只显示所有子网站的特定通知

我们设置好了在首页显示所有子网站(部门网站)的通知。但是,正常情况下,部门网站中的通知会包括发布到整个公司的通知以及本部门内部的通知。而在首页中显示的应该是针对整个公司的通知,下面我们就来进行一些设置。 在顶…

真假平安保险网站

KAO,骗子的仿真度太高了,以前没去过平安保险的网站,刚在挂马列表中发现这个http://www.pingan-china.com.cn/index.asp,进去网盾报告有毒,还以为是真的平安保险被挂了,而实际上这只是个钓鱼站点。这个站才是…

引用其它网站php文件,防止其它网站引用自己网站的链接

时间:2014-03-22 发布人:SHX 浏览次数:2149 评论:0网站的图片被盗链,是一件让人非常郁闷的事情。盗链不仅盗用图片,更直接的问题是用户在下载盗链人网站上的图片时,会给服务器带来压力&#…

10容易实现基于Flash的MP3播放器为您的网站

闪存MP3播放器酷的,因为他们让Web开发人员和博客嵌入音乐播放器,并在网站上建立定制点唱机。 与这些在线音乐播放器,您可以轻松添加歌曲列表和JavaScript代码嵌入到您的网站。这些音乐播放器,大多是定制的,你可以有你赢…

卢松松:12306网站订票详细攻略

短短数日全球ALEXA排名260,日订单量有望第一、不愁销售额、转化率,甚至有很多用户的钱被吞了,还是不甘心,再次冲进去购买,当之无愧的第 一。它界面丑陋、UI粗糙、服务器不稳定、用户体验更是烂到极点,未做一…

html地图百度提交,使用百度网站地图插件(sitemap)向百度提交链接

百度sitemap提交现在已经开放了,在很久之前这个功能是内测版需要申请的,这里向大家介绍一下如何利用WordPress插件向百度提交sitemap(网站地图)。网站地图(sitemap)或者称为站点地图,是什么来自百度百科的站点地图说明:(http://ba…

php.ini网站空白,php配置问题:拷贝php.ini后,测试页面无法显示(显示空白)

1、一般我们安装完php后,会需要测试也:两个方法:1、会在网站目录下新建一个php的测试页,然后在流浪器里访问查看php的相关信息:[rootlocalhost_002 111.com]# cat index.phpphpinfo();?>2、使用php自带程序 /usr/local/php7/bin/php -i|g…

win10如何搭建php网站,win10如何安装和搭建php开发环境

本篇文章介绍了在win10下安装和搭建php开发环境,过程也比较详细,有需要的朋友可以看一下。我们首先搭建PHP的运行环境,然后进行PHP的安装和配置。下面就来具体介绍。Apache 安装1、下载安装包点击链接进入下载官网http://httpd.apache.org/do…

网站相关技术探究keepalive_timeout:

网站相关技术探究keepalive设多少: /proc/$PID/fd/$number0:标准输入 1:标准输出2:标准错误Test:[rootKTQT ~]# ll /proc/12857/fdtotal 0 lrwx------ 1 root root 64 Apr 4 17:49 0 -> /dev/nulllrwx------ 1 root root 64 Apr 4 17:49 1 -> /dev/nulllrwx…

美食网站主页java代码,基于jsp的美食网-JavaEE实现美食网 - java项目源码

基于jspservletpojomysql实现一个javaee/javaweb的美食网, 该项目可用各类java课程设计大作业中, 美食网的系统架构分为前后台两部分, 最终实现在线上进行美食网各项功能,实现了诸如用户管理, 登录注册, 权限管理等功能, 并实现对各类美食网相关的实体进行管理。该美食网为一个…

新网打开php显示404,网站404页面是什么

网站404页面是什么?出现网页404页面的原因有很多,所以问题反馈时会显示很多不同的问题编码,大家知道网站404页面吗?404页面是客户端在浏览网页时,服务器无法正常提供信息,或是服务器无法回应,且不知道原因…

JavaScript网站设计实践(六)编写live.html页面 改进表格显示

一、编写live.html页面,1、JavaScript实现表格的隔行换色,并且当鼠标移过时当前行高亮显示;2、是输出表格中的abbr标签的内容 实现后的效果图是这样的: 1、实现思路 在输出表格的时候,给出一个判断,如果偶数…

企业网站服务器的配置研究背景,ftp服务器研究背景

ftp服务器研究背景 内容精选换一换当服务器配套有X722板载网卡时,需要参考此章节安装服务器板载网卡驱动。本文以CentOS 7.3为例介绍如何安装服务器板载网卡驱动,其他操作系统的安装方法类似。将准备工作中获取的“NIC-X710_XL710_X722-CentOS7.3-i40e-2…