网站安全的三大误区,草鱼网站安全吗

9个月前 (12-27) 首席小编
8分钟
178
0

原标题:网站安全的三大误区

最近同多个政府网站的主管和多个企业老板聊过他们的网站没有部署SSL证书是不安全的话题,普遍认为网站没有什么内容需要加密,不能理解为何显示一些公开的供用户浏览的信息的网站,所有浏览器非要警告为“不安全”,都一致认为这是浏览器厂商或者SSL证书厂商在吓唬用户,目的是为了推销SSL证书。甚至有的主管说我们网站都通过了某某权威测评,都过了等保三级了,怎么就不安全了?怎么还违法了?

从用户角度来讲,视乎大家都说得很有道理,但是从网站安全专业人士的角度来讲,这些观点都是错的,但是我们不能怪用户,这是我们的科普工作做得很不够,所以,笔者动笔写下了这篇博文,希望真正关心自己网站安全的主管和业主能耐心看完本文,一定会有收获,只有网站安全了,才能安心做好自己的业务。

第一大误区:网站没有任何需要加密的内容,不需要部署SSL证书加密

目前地市和县区级政府网站一般都只剩下显示一些本市县区的本地信息发布和本地特色介绍的内容了,真正需要用户登录和输入机密信息的电子政务系统都已经划归到省政务服务网统一管理了,本地政府网站只需 链接 到相应的省政务服务系统即可,至于省政务服务网站是否部署了SSL证书实现了https加密已经不属于本市县区的管辖范围了。这是现实也是实情,从这个角度来看就不难理解为何大家都认为不需要https加密了。但是,从网站安全专业角度来讲,有三大理由仍然需要https加密。

理由一:防止网页篡改和非法盗链

市县区级政府网站的确只有公开披露的信息,的确没有登录页面需要加密用户名和口令,但是有大量的链接到省政务服务网的链接,如果网站没有https加密,则攻击者(包括所有Wi-Fi提供商)都可以非常容易地篡改网页上的链接把用户引到一个假冒政务服务网站,从而非常容易获得用户在省政务服务网的用户名和口令。相信这不是本地政府网站希望看到的结果,这些不采用https加密的市县区政府网站成为了省政务服务网站安全的危害者!这就是为何我多次呼吁为何省政务服务网主管机构应该强制要求下面的市区县官网也必须实现https加密的原因。

理由二:保护网站访问者的用户隐私

这个理由我是十几年前从谷歌官网看到的,谷歌在推出搜索服务时就讲了为何搜索页需要https加密,保护用户隐私,如果不加密,则用户搜索什么关键词,则非常容易被非法获取这些信息,可能用户正在搜索一个非常隐私的需要找到解决方法的问题,如果搜索网站不加密,则其他人能知道他/她正在搜索什么和点击了哪个搜索结果,这就暴露了个人隐私,是不是很可怕?

市县区政府网站虽然都是可以公开浏览的信息,但是上网浏览的用户不希望无关人员知道他/她正在浏览什么内容,这就是需要https加密。市县区政府网站理应依据“人民至上”的原则实现全站https加密来保护人民上网行为的个人隐私,让本市县区市民能放心地浏览本地政府网站的信息,增强人民群众的安全感和幸福感。

理由三:消除所有浏览器的“不安全”警告

所有浏览器对没有实现https加密的网站提示“不安全”绝对不是为了推销SSL证书,而是因为笔者在上面讲到的的确不安全。如果上面的两个理由还不够的话,那就为了“面子”工程,也应该解决浏览器提示网站不安全的问题,用户上网时看到浏览器提示“不安全”,用户对这个网站的第一印象一定不会太好,一定不敢多看,除非实在没有办法。

而消除浏览器的“不安全”警告的唯一方法是网站采用https加密访问,网站部署SSL证书或者使用云WAF防护都可以实现https加密,所有浏览器都会显示加密锁标识,不会提示不安全。目前市场上有免费SSL证书,有非常便宜的收费SSL证书,都可以解决问题。如果不想动网站,不想费力去申请SSL证书和部署SSL证书,可以选购网站安全云服务,需要做3次域名解析,把原网站变成WAF/CDN的源站即可自动实现https加密和云WAF防护。

第二大误区:我这么小的一个企业网站,没有任何值得攻击的信息

这个误区是很多企业老板的想法。在目前这个大环境下,中小企业能活着不倒已经很不容易了,所以,中小企业主都会认为“我的网站没有什么信息可以偷的,不需要加密,不需要防护”、“我这么小的公司网站不会引起黑客的注意的”。所以,大量的中小企业网站都没有部署SSL证书,都是http明文访问,也没有任何其他安全防护措施。

其实不然,一个网站如果没有任何防护措施,黑客完全可以使用自动化工具找到没有任何防护的网站并自动植入木马,让你的网站成为“肉鸡”,成为攻击其他系统的“打手”而被动违法,这就是为何小企业网站最容易遭遇各种网络攻击的主要原因,如:网站被植入木马、网页篡改、SQL注入、拖库和邮件欺诈等。据国家互联网应急中心发布的报告,2020年我国境内53,171个网站被植入后门,其中政府网站有256个!这些攻击不仅会影响网站的正常访问,而且还面临《网络安全法》的合规压力,可能会收到行政处罚。

怎么办?需要https加密和云WAF防护,https加密可以防止明文传输时被非法修改代码和非法植入攻击链接,而云WAF防护则可以实时阻止各自攻击,有效保护网站的机密信息安全和企业宝贵的用户数据和经营数据安全。

根据Gartner的2021年报告预测:到 2024 年,也就是2年后,70%的组织都会为Web 应用实施云WAF防护,因为现在的网站攻击已经成为了常态,与网站大小和网站是否有有价值的数据无关。为了保护企业的宝贵数据和网站的正常可靠运行,推荐选用网站安全云服务,一键实现https加密和云WAF防护,让网站主能放心和专心地做好自己的业务而不用为网站是否能正常运行而操心。

第三大误区:只有登录页面才需要加密,其他页面不需要加密

这个问题为何排在第三位,并不是说这个问题不重要,是必须先讲清楚网站为何需要https加密。这个问题的用户是已经为用户登录页面实现了https加密,但是用户认证通过后的网站又变成了明文http网站了,这在不少政府网站、政务服务网站、高校网站和电商网站也常见到。

首先需要肯定和表扬的是用户登录认证页面使用了https加密,这能有效地保证用户输入的用户名和口令的加密传输安全。但是,用户认证通过登录系统后更应该加密,因为登录后的系统才是最重要的有需要保护的核心数据,有用户的个人隐私信息,有各自订单信息和收货地址等等,这些重要数据是企业的核心资产,怎么能不加密保护呢?如果含有这些重要数据的页面不加密,黑客更不不用攻击用户登录认证系统,直接侦听用户登录后的数据包即可,根本不用攻击就可以轻松获取政府网站和企业网站的重要机密数据。

下图是笔者在十几年前使用的全站https加密的宣传图,现在仍然适用,因为现在还有许多网站只是在登录页面实现了https加密。全站https加密能有效防止中间人攻击,防止重要机密数据泄密和流失重要的宝贵的客户资源信息,必须高度重视。

最后,笔者总结重要的两点:

所有网站都必须实现https加密,无论网站大小和网站主单位性质。
实现https加密并不一定要自己动手改动服务器,可以选用云服务,一键轻松实现https加密和云WAF防护,多方位保障网站安全,并同时满足《密码法》和《网络安全法》的合规要求。

返回搜狐,查看更多

责任编辑:

本文由:首席小编 发布于 酷主题,转载请注明出处:https://www.kuzhuti.cn/blog/3248.html
酷客_WP小编
作者

相关推荐

7个月前 (02-20)

微信管理系统如何管理企业微信聊天内容,企业微信管理员权限聊天记录

原标题:微信管理系统如何管理企业微信聊天内容 如何管理企业微信聊天内容指的是针对企业的,市面上大多微信聊天内容查看器都是针对于私人查看,但是在企业中微信聊天内容查看也尤为重要。没有使用微信管理系统,很多辱骂客户、飞单、随意承诺客户等行为都是...
7个月前 (02-20)

门禁管理系统的作用和管理内容及要求,门禁管理系统的作用和管理内容及要求怎么写

原标题:门禁管理系统的作用和管理内容及要求 门禁管理系统的作用和管理内容及要求 1.门禁管理系统的作用:为规范公司生产区域门岗管理,方便职工乘坐上下班班车、职工食堂就餐,控制生产区域人员、车辆行为、秩序,加强数据化统计和管理,维护正常的生产...
7个月前 (02-20)

农发行聊城市茌平区支行开展新一代信贷管理系统二期上线演练工作,作为农发行一员如何做好信贷工作

近日,农发行茌平区支行积极落实新一代信贷管理系统二期上线演练工作,按照上级行下发的演练总体方案要求,认真部署,精心组织,明确分工,加强各部门间的协调联动,密切配合,切实履行好演练期间的各项工作职责。 茌平区支行组织客户部全体人员参加上线演练...

评论

已有0人参与了评论

扫码添加微信

联系我们

微信:Kuzhuti
在线咨询:QQ交谈