从大公司的高调入侵,名人的泄露照片到俄罗斯黑客可能影响2016年美国总统大选的启示,现实是我们生活在网络安全的恐怖时期。
如果你是所有者,或者甚至只是网站的负责人 ,数字安全就是你必须对计划有所了解的事情。 这些知识必须涵盖两个关键领域:
- 您如何确保您从客户那里收到的信息到您的网站
- 网站本身及其托管服务器的安全性。
最终,许多人需要在您的网站安全中发挥作用。 让我们高层次地了解一下您需要了解的关于网站安全性的内容,以确保能够正确完成该网站的所有工作。
保护您的访客和客户的信息
网站安全最重要的方面之一就是确保客户的数据安全并受到保护。 如果您的网站收集任何类型的个人身份信息或个人身份信息,则情况更是如此。 什么是PII? 这通常采用信用卡号码,社会安全号码,甚至地址信息的形式。 您必须在接受并从客户传送给您的过程中保护这些敏感信息。 在收到信息后,您还必须保护它,以确保您如何处理和存储未来的信息。
说到网站安全性,最简单的例子就是在线购物/电子商务网站 。 这些网站需要以信用卡号码的形式(或者PayPal信息或其他类型的在线支付工具)从客户处获得支付信息。 必须保证从客户那里传送这些信息给您。 这是通过使用“安全套接字层”证书或“SSL”来完成的。 此安全协议允许发送的信息在从客户流向您时进行加密,以便拦截这些传输的任何人不会收到他们可以窃取或出售给他人的可用财务信息。 任何在线购物车软件都将包含这种安全性。 它已经成为一个行业标准。
那么如果你的网站不在线销售产品呢? 你仍然需要传输安全吗? 那么,如果您从访问者处收集任何信息(包括姓名,电子邮件地址,邮寄地址等),则应该强烈考虑使用SSL保护这些传输。 除了购买证书的小额费用(价格根据您需要的证书类型,价格从149美元/年到略高于600美元/年)之外,没有任何不利之处。
通过SSL保护您的网站也可以带来Google搜索引擎排名的好处。 谷歌希望确保他们提供的网页是真实的,并由该网站应该为之服务的实际公司维护。 SSL有助于验证页面来自何处。 这就是为什么Google建议并奖励SSL下的网站。
关于保护客户信息的最后说明 - 请记住,SSL只会在传输过程中加密文件。 一旦数据到达您的公司,您也要对这些数据负责。 处理和存储客户数据的方式与传输安全一样重要。 这可能听起来很疯狂,但我实际上已经看到公司打印出客户订单信息并在文件出现问题时保留文件的硬拷贝。 这显然违反了安全协议,并且根据您在其中进行业务的国家/地区的情况,您可能因此类违规被罚款大量,特别是如果这些文件最终受到侵害。 在传输过程中保护数据是没有意义的,但是打印出这些数据并将其保存在不安全的办公地点很容易!
保护您的网站文件
多年来,大多数更为公开的网站和数据攻击都涉及到某人从公司窃取文件。 这通常是通过攻击Web服务器并访问客户信息数据库来完成的。 这是您需要关注的网站安全的另一方面。 即使您在传输过程中正确加密了客户数据,如果有人可以入侵您的网络服务器并窃取您的数据,您也会遇到麻烦。 这意味着您托管站点文件的公司也必须在站点安全中发挥作用。
公司常常基于价格或便利购买网站托管。 想想你自己的网站托管和你一起工作的公司。 也许你已经在同一家公司工作了多年,所以呆在那里比在别处搬家更容易。 在许多情况下,您在网站项目中招聘的网络小组建议托管服务提供商和公司只是同意该建议,因为他们对此事没有任何真正意见。 这不应该如何选择网站托管。 向您的网络团队要求推荐是很好的,但请务必做好尽职调查并询问网站安全问题。 如果您正在对您的网站和商业惯例进行安全审计,那么看看您的托管服务提供商肯定是该评估的一部分。
最后,如果您的网站建立在CMS( 内容管理系统 )上,则会有用户名和密码授予访问该网站的权限,并允许您更改网页。 一定要以强密码的方式保护您的访问权限,就像您拥有任何其他重要帐户一样。 多年来,我看到很多公司都在为他们的网站使用脆弱易破的密码,认为没有人会想要破解他们的网页。 这是一厢情愿的想法。 如果您希望您的网站免受某些希望添加未经授权的编辑(例如,希望对组织采取报复措施的不满员工),请确保相应地锁定网站访问权限。