发布时间：2022-09-27 00:00   您所在的位置： 网站首页 > 新闻资讯 > 经验杂谈

如何在0成本的情况下保护自个的网站保险?一般来说，好多保险专家都会告知你没有绝对的保险，假如黑客一定要长期盯着你的公司有针对性的渗透，很少有可以幸免的。这么说难免令人沮丧，尽管如此，咋们仍然不能坐以待毙。就算所有公司都被黑客黑掉了，咋们也希望自个能是较后被黑掉的那一个。同时，假如采取的措施恰当，是有可能将损失降至较0的。

较常见的是：

1、缺乏必要的策略和流程，以至于产生SVN权限乱给、离职员工还能有权限、员工随意在服务器上开端口暴露出去等诸多问题；2、测试环境、生产环境混乱，程序员、测试、运维可能都有服务器的权限；3、代码更新频繁且迅速，增加保险检查是一种额外的负担。以上问题都给保险工作提供了好多困难，而且创业团队一般来说是没有全职的保险工程师岗位的。

一般公司对保险的重视水平，与这家公司能否出过保险事件有着极大的关系。假如一家公司以前从没有遇到过保险问题，那么也不可能有什么决心在保险方面有所投入;相对的是，假如一家公司遭遇过黑客攻击，并且造成了一定损失，那么对保险问题的态度就会来个一百八十度的转弯。

保险工作必须要自顶向下展开。无数次教训告知咋们，自底向上展开保险工作，是注定要失败的。故此如何有效的开展保险工作?较重要的前提，便是公司的管理层可以从战略上重视保险问题。假如较高管理层自身具有很强的保险意识，乃至懂好多攻击或防御的技术知识，那么保险工作往往会很有功效，而且可以省好多钱。

相对创业团队来说，如何开展保险工作我有如下建议：

1、考虑使用开源或商业的WAF(Web应用防火墙)，或者是IPS(入侵防御系统)

使用WAF的好处是可以尽量少的改动代码，同时为打补丁赢得時间。由于有时候改代码是很麻烦的一件事情，而有一些第三方程序的代码改起来就更麻烦了。

2、合理收紧多种权限

包含数据库、服务器、应用后台、SVN等权限，只把权限开放给必须要使用的人。

3、定期请第三方保险公司做保险评估

这样子你可以减少人力成本的投入，同时让更专业的人做专业的事情。

4、给员工做一部分保险培训

基本的保险意识还是要有的。经常有黑客会打客服电话或者发邮件过来搞搞诈骗。同时还需要杜绝弱口令，好多管理后台全是由于弱口令被黑掉的。程序员也必须要具备一部分基本的素质，杜绝常见的不保险代码的写法。

5、妥善保管好所有的日志

包含多种应用的日志、Web日志、服务器日志等。必须要实时的远程收集起来，远程收集的原因是有的黑客入侵后的先进件事情便是篡改日志。

6、考虑找一套比较合理与可信的安方案

解决方案一般考虑三个方面：代码保险如何实现、网络保险策略如何制定、操作系统如何加固。

假如想把整套保险体系跑起来的话，你还必须要制定一个保险运营的策略，比如定期扫描网站、审计日志和代码，以及制定应急响应的流程。

以上几点都有不花钱的方法，定期的保险评估可以用定期的扫描替代，不过成效要差上一部分。还有取巧的方法是向保险社区公开征集漏洞，并有奖答谢，成本也不可能很高，但成效却出奇的好。

本文章由新概念互动原创，如没特殊注明，转载请注明来自：http://www.jianzhan0.com/jingyand/74626.html

上一篇：怎么评估一个等待重新设计的网站

下一篇：个人站长建网站前须要考虑的五件事儿