從大公司的高調入侵,名人的洩露照片到俄羅斯黑客可能影響2016年美國總統大選的啟示,現實是我們生活在網絡安全的恐怖時期。
如果你是所有者,或者甚至只是網站的負責人 ,數字安全就是你必須對計劃有所了解的事情。 這些知識必須涵蓋兩個關鍵領域:
- 您如何確保您從客戶那裡收到的信息到您的網站
- 網站本身及其託管服務器的安全性。
最終,許多人需要在您的網站安全中發揮作用。 讓我們高層次地了解一下您需要了解的關於網站安全性的內容,以確保能夠正確完成該網站的所有工作。
保護您的訪客和客戶的信息
網站安全最重要的方面之一就是確保客戶的數據安全並受到保護。 如果您的網站收集任何類型的個人身份信息或個人身份信息,則情況更是如此。 什麼是PII? 這通常採用信用卡號碼,社會安全號碼,甚至地址信息的形式。 您必須在接受並從客戶傳送給您的過程中保護這些敏感信息。 在收到信息後,您還必須保護它,以確保您如何處理和存儲未來的信息。
說到網站安全性,最簡單的例子就是在線購物/電子商務網站 。 這些網站需要以信用卡號碼的形式(或者PayPal信息或其他類型的在線支付工具)從客戶處獲得支付信息。 必須保證從客戶那里傳送這些信息給您。 這是通過使用“安全套接字層”證書或“SSL”來完成的。 此安全協議允許發送的信息在從客戶流向您時進行加密,以便攔截這些傳輸的任何人不會收到他們可以竊取或出售給他人的可用財務信息。 任何在線購物車軟件都將包含這種安全性。 它已經成為一個行業標準。
那麼如果你的網站不在線銷售產品呢? 你仍然需要傳輸安全嗎? 那麼,如果您從訪問者處收集任何信息(包括姓名,電子郵件地址,郵寄地址等),則應該強烈考慮使用SSL保護這些傳輸。 除了購買證書的小額費用(價格根據您需要的證書類型,價格從149美元/年到略高於600美元/年)之外,沒有任何不利之處。
通過SSL保護您的網站也可以帶來Google搜索引擎排名的好處。 谷歌希望確保他們提供的網頁是真實的,並由該網站應該為之服務的實際公司維護。 SSL有助於驗證頁面來自何處。 這就是為什麼Google建議並獎勵SSL下的網站。
關於保護客戶信息的最後說明 - 請記住,SSL只會在傳輸過程中加密文件。 一旦數據到達您的公司,您也要對這些數據負責。 處理和存儲客戶數據的方式與傳輸安全一樣重要。 這可能聽起來很瘋狂,但我實際上已經看到公司打印出客戶訂單信息並在文件出現問題時保留文件的硬拷貝。 這顯然違反了安全協議,並且根據您在其中進行業務的國家/地區的情況,您可能因此類違規被罰款大量,特別是如果這些文件最終受到侵害。 在傳輸過程中保護數據是沒有意義的,但是打印出這些數據並將其保存在不安全的辦公地點很容易!
保護您的網站文件
多年來,大多數更為公開的網站和數據攻擊都涉及到某人從公司竊取文件。 這通常是通過攻擊Web服務器並訪問客戶信息數據庫來完成的。 這是您需要關注的網站安全的另一方面。 即使您在傳輸過程中正確加密了客戶數據,如果有人可以入侵您的網絡服務器並竊取您的數據,您也會遇到麻煩。 這意味著您託管站點文件的公司也必須在站點安全中發揮作用。
公司常常基於價格或便利購買網站託管。 考慮一下你自己的網站託管和你一起工作的公司。 也許你已經在同一家公司工作了多年,所以呆在那裡比在別處搬家更容易。 在許多情況下,您在網站項目中招聘的網絡小組建議託管服務提供商和公司只是同意該建議,因為他們對此事沒有任何真正意見。 這不應該如何選擇網站託管。 向您的網絡團隊要求推薦是很好的,但請務必做好盡職調查並詢問網站安全問題。 如果您正在對您的網站和商業慣例進行安全審計,那麼看看您的託管服務提供商肯定是該評估的一部分。
最後,如果您的網站建立在CMS( 內容管理系統 )上,則會有用戶名和密碼授予訪問該網站的權限,並允許您更改網頁。 一定要以強密碼的方式保護您的訪問權限,就像您擁有任何其他重要帳戶一樣。 多年來,我看到很多公司都在為他們的網站使用脆弱易破的密碼,認為沒有人會想要破解他們的網頁。 這是一廂情願的想法。 如果您希望您的網站免受某些希望添加未經授權的編輯(例如,希望對組織採取報復措施的不滿員工),請確保相應地鎖定網站訪問權限。