网络安全意识普及都有哪些?

今年十月,团队一直专注于国家网络安全意识月的安全相关话题。如果要问这次演习有什么大收获的话,那就是网络安全的普及程度。网络安全渗透到每一层技术中,每一个节点,每一个涉及到的人——从客户端到管理员,以及开发人员等等。

网络安全意识普及都有哪些?
网络安全意识普及都有哪些?

每个人,无论在何岗位上,都要对系统的整体安全性负责。即使是最安全的系统,也可能由于密码不好、不可修补的漏洞或简单设计上的疏忽而被破坏。要确保系统的各个方面都是安全的,就必须有严格且不妥协的标准和政策,并确保始终遵循这些标准和政策。

客座博客本月介绍了IT团队如何采取一切预防措施来确保其网络安全,以及个人在这一过程中扮演的重要角色,如使用强大的密码和避免网络钓鱼欺诈等。

有些人会说,没有太多的安全性,但过度限制的安全政策可能会对系统的可用性产生不利影响。想想一个复杂的密码策略,这种策略会导致几乎不可能记住的密码——然后强迫每天都更改密码。像这样的系统可能会导致用户以各种方式跟踪他们当前的密码,一些比另一些更安全(键盘下的便笺,给自己的电子邮件,监视器上的便签,等等)。人们处理安全策略的方式可能会使系统在长期内变得不安全。因此,在除最极端的情况外,必须找到某种程度的妥协。

有些人会说没有太多的安全性,但是严格要求的安全策略会对系统的可用性产生不利影响。想想一个复杂的密码策略,它会导致所有者几乎不可能记住密码,然后强制每天更改密码。这样的系统可能会导致用户以多种方式跟踪他们的当前密码,有些方法比其他方法更安全(键盘下的便条、给自己的电子邮件、显示器上的记事本等)。人们处理安全策略的方式可以从长远来看降低系统的安全性。因此,除了最极端的情况,在所有情况下,必须找到某种折中之法。

这个月Scott的博客帮助处理了这个确切的问题,即集中式身份验证,它建立了一个单一登录系统,其中一个帐户授予对多个系统的访问权。这限制了最终用户必须记住的密码数量,同时允许一个健壮的密码策略,以确保密码足够强大,不会被猜到或快速强制使用。此外,他还通过活动目录管理sudo并实现系统安全服务守护进程(SSSD)来管理对远程目录和身份验证机制的访问,从而进一步保护用户对系统的访问。

人们对最终用户的关注很多,但这并不是系统必须能够承受的唯一攻击手段。任何安全策略的核心都是锁定服务器。本月,Zach的博客讨论了及时安装安全补丁的重要性。如果黑客可以绕过密码并获得过时软件包的根访问权限,则没有密码策略可以帮助用户。如果管理员知道应该修补的漏洞,完全可以假设黑客也知道这一点。

为了总结全国网络安全意识月博客系列,还有Kirk的博客,这是一个更一般的处理SSH安全实践的文章。对于服务器管理员而言,这绝对是必读的读物。本文将通过分析几种SSH安全实践,讨论不同方法的优缺点——包括何时适当地实现这些方法以及不合适的情况,从而深入了解一些知识。

更多内容推荐<<<网站安全逻辑漏洞的检测与修复

您现在需要做哪些事情来保护您的网站(第二部分)

上篇文章自助建站资讯网(https://www.idcdiy.comm)已经介绍了保护网站的部分事项,本文将会继续为大家介绍保护网站还需要做哪些事情。

您现在需要做哪些事情来保护您的网站
您现在需要做哪些事情来保护您的网站

7、始终使用良好的编码实践

无论您是从头开始构建网站,还是向内容管理系统添加代码行,都要使用良好的编码实践。虽然可能有快捷方式来传递某种视觉或功能,您希望包含在站点中,但实际上可能会让您容易受到攻击。

如果您确实想要编写自己的网站,我建议您花点时间学习一下这个平台的细节。在互联网上有许多发达的领域可以自学。例如,W3学校在您的网站上有很多有价值的信息来实现代码。

8、只使用可信来源的脚本

在Internet上有许多脚本可以使用。这些代码片段有可能为您的页面添加功能和表单。但是,它们也可以是分发可使用内容的方法。除非您自己仔细搜索每一行,否则很难确定您到底把什么放到了你的网站上。

在查找添加某些功能时,使用来自可信源的脚本始终是一种很好的方法。首先,搜索谷歌对开发者或提供该代码片段的公司的投诉。如果有一件事您可以确定,那就是如果一家公司有不好的做法,人们会去参加论坛。

9、正确分配角色和权限

在WordPress、Joomla和Drupal等系统中,用户角色决定了用户在网站上可以做什么。如果这些都是错误的,一个有报复心的人可能会造成很大的伤害。这就是为什么重要的是确保角色和权限被正确设置。如果您为这些角色创建自定义规则,则尤其如此。

在默认情况下,在管理注册用户时,内容管理系统拥有相当好的处理能力。当你开始添加插件或扩展来扩展网站时,当角色变得歪斜时,它都可以很好地处理。定期检查以确保具有某些权限的用户仍然处于该层次结构的位置。

在安全保障中,最被引用的来源是雇员。不管它是有意还是无意,在安全漏洞中扮演如此重要角色的是人的因素。密切关注谁能在网站和组织内做什么,这对保护数字资产至关重要。

10、只使用经过测试和验证的模块或插件

很多人会从第三方开发者的网站上找到所谓的“完美”插件。不幸的是,这些也会破坏网站的完整性。通过简单的安装,您可能会不经意地将管理控制权交给开发人员,而您自己却没有意识到。

我并不是说所有的第三方插件都应该避免。相反,在互联网上有大量优秀的开发人员。但是,在安装任何东西之前,您应该始终研究源代码。通过官方渠道安装插件是一个很好的起点。例如,从wordpresorg直接提供的插件通常是最稳定、最可靠的。

11、监控谷歌分析站点行为

谷歌分析不仅仅是一个工具,可以用来观察有多少人访问了这个网站。它也可以是识别可疑活动的工具。例如,如果你不能识别或通过关键字发现不是你自己的页面,那么大量的流量就会引起你的警觉。

在你的文件结构中建立的钓鱼网站可能会导致一个未知页面的流量增加。这就是为什么上面提到的文件扫描是理想的原因之一。如果不加控制,您的站点可能因为糟糕的实践而开始在搜索引擎中表现不佳。

网络钓鱼攻击是造成数据破坏的主要原因,占整个攻击的55%以上。这是2016年连续被攻击的第八年。,这种类型的攻击被评为第1级。

12、使用安全套接字层

安全套接字层,或SSL,加密数据从您的网页传输到访问者。这使得几乎任何人都不可能在运输过程中窃取信息。它创建了一个直接的数据管道,保护您和收件人。虽然这些年经常需要很少的年费来维持,但它们确实值得投资。

使用SSL认证也将起到搜索引擎优化实践的作用。这是因为像谷歌这样的引擎以更高的标准来维护安全的网站,因为它对访问者来说是安全的。

尽管86%的首席信息官窃取加密证书密钥将成为黑客的下一件大事,但SSL仍然是保护网站的一种可行方法。

13、注意文件夹和文件权限

如果您怀疑站点的操作有问题,您可能需要考虑检查文件和文件夹的权限。这限制了其他人可以做的事情,比如读、写或执行。许多专家说,档案永远不应该对公众开放。它为黑客提供了一个机会,让他们可以在网站上获得各种各样的控制权。

文件和文件夹权限可以通过使用FileZilla或使用的cPanel的文件管理器的FTP应用程序访问。你的站点的每个元素都有附加的权限,您可以很容易地改变周围的数字以满足你的需要。然而,如果您不知道自己在做什么,那会很危险。我建议在更改数字之前,咨询技术支持或了解更多权限。

14、保持潮流

保持网站安全的最好方法之一是跟上当前的趋势。注册安全通讯,阅读最近的黑客尝试和以下的网络安全公司的社会概况应该是你的每月或每周例行程序的一部分。对任何问题最好的预防就是知识。

Netvibes这样的工具可以让您保持在循环中,而不管内容是如何创建的。这是因为这些平台可以让您定制搜索引擎、社交媒体、特定的RSS订阅、网站和其他在线内容的特定关键词。这就像在一个仪表盘上从全球各地获取所有的在线新闻一样。

15、始终确保您的网站安全

学习如何保护您的网站免受黑客攻击,应该是任何发展战略的一部分。毕竟,攻击有可能破坏您在网站上建立的所有东西。我无法充分强调利用网站安全提示对在线操作的重要性。但在黑客试图爬过这些漏洞之前,先把漏洞堵上。

推荐阅读:>>>您现在需要做哪些事情来保护您的网站(第一部分)

您现在需要做哪些事情来保护您的网站(第一部分)

任何拥有和运营网站的人都需要考虑安全的好做法。即使是最小的网站也是垃圾邮件攻击或钓鱼网页的目标。您永远不要认为您的网站太小而能被犯罪分子忽略。

您现在需要做哪些事情来保护您的网站
您现在需要做哪些事情来保护您的网站

如果没有适当的安全保障,无辜的博客就会变成身份盗窃的武器,电子商务网站也可以泄露机密的客户数据。它所需要的只是最小的攻击,而一些人可以摧毁它。

尽管您可能拥有一个优秀的、可靠的web托管提供程序,但是网站安全工具仍然是一个值得考虑的重要方面。

事实上,大多数网络犯罪和黑客行为都是在没有人知道的情况下发生的。因为很多这样的攻击都是很小的,并且被那些维护网站的人忽略了。

如何保护您的网站免受黑客攻击?

根据研究,大约有50%的小型企业在12个月内被攻破。这表明,没有任何在线活动是绝对没有成为目标的。

对于任何维护在线页面的人,下面是我给出的一些网站的安全提示。无论您是使用WordPress、Joomla、Drupal还是在代码中从头构建网站,安全都必须是优先考虑的。这将保护您和您的访客。

1、对文件和数据库进行定期备份

我给出的一个最常用的技巧是执行大量的备份。无论您是添加了定制代码行,还是执行了各种更新,在事件发生时准备一个备份都是一个好主意。这些副本可以在灾难发生时快速修复网站,比如黑客删除了您所有的内容的时候。

有很多方法可以创建备份。许多人将使用像FileZilla这样的FTP程序将所有文件复制到您的计算机中。如果您使用WordPress,您可以设置像UpdraftPlus这样的插件来自动备份文件和数据库。确保您可以定期创建这些副本。

2、永远不要低估安全插件的价值

在过去,美国、英国、德国和加拿大约有50%的调查机构遭到勒索软件的攻击。这并不意味着安全插件是这种情况的终结,但它确实加强了在站点上设置更强的安全性的意义。

如果你使用了像WordPress、Joomla或Drupal这样的内容管理系统,你应该考虑安全插件和模块。这些新增的许多功能都是免费使用的,并且会使网站免受一系列恶意的攻击。从机器人到人类,安全措施需要到位。

有很多插件和模块,它们就像一个一体化的平台。这些通常包括防火墙、IP黑名单、登录安全措施和监视功能。有些人甚至实现了IPv6的兼容性,许多专家认为这是网络连接的未来,因为物联网已经变得非常庞大。

3、定期扫描文件和修改

一些安全模块和插件将配备文件扫描能力。这意味着您可以保护网站不受未知的文件添加和来自黑客和机器人的修改。例如,Wordfence在WordPress上扫描了各种各样的恶意软件和后门程序。

还记得我说过黑客会利用你的网站钓鱼吗?他们通常是通过将文件添加到您的网站,并创建一个看似合法的“微网站”来窃取真实凭证。

例如,黑客会在一个网站上建立一个PayPal页面,让用户相信他或她是真的PayPal。一旦他们试图登录,黑客就会获得毫无戒心的受害者的凭据。扫描这些文件有助于结束这种攻击。

4、使用复杂的用户名和密码

近60%的小企业不管理雇员的用户名和密码。这有助于打开犯罪分子攻击的大门

蛮力攻击是指当人或机器人试图通过试错法快速访问站点时,“猜测”登录凭据。使用复杂的用户名可能看起来更像是某些人的痛苦,但这将大大降低被黑客攻击的风险。

复杂的凭证,例如使用电子邮件地址作为用户名和密码字符串,这样的攻击就更困难了。如果你还没有,我也建议去掉默认的“admin”登录和创建独特的管理员凭据。这些默认帐户本质上是给黑客提供访问所需信息的一半。

5、保持核心文件最新

核心文件,如那些在WordPress和Joomla上的,需要定期更新。不管您使用的内容系统是什么类型,最新版本通常都有bug修复和漏洞清除。保留过时的应用程序只会让网站开放给无数的黑客,而从被他们攻击。

这些系统中的很多都是自动更新的。然而,一些第三方软件可能需要密切监控。如果发布了新版本的电子商务、wiki或其他内容管理系统,您应该立即安装它。否则,该网站可能有一个大漏洞,很容易被犯罪分子入侵。

6、更新附件

核心文件不是需要定期更新的站点的唯一部分。模块、扩展和插件都需要维护。即使是最好的程序员也可以在代码中留下毫无根据的漏洞。保留这些更新大大减少了从这些问题被黑客攻击的可能性。

另一方面,从设计和功能方面来说,更新插件可能是个好主意。许多开发人员将添加新功能并改进其他功能。您可能会找到一种新的功能,从而消除了使用其他安装工具的需要。

以上是由自助建站资讯网为大家提供的有关“您现在需要做哪些事情来保护您的网站(第一部分)”的内容,后续内容我们将会在后面第二部分给出详细的介绍,希望您继续关注自助建站资讯网(https://www.idcdiy.comm)!

4种方法快速轻松地提升网站安全

提升网站安全性势在必行。鉴于对Net Neutrality,网络钓鱼计划和黑客攻击的担忧——更不用说太常见的Mr. Robot——网络安全和隐私应该位于任何精明的网站所有者的待办事项列表之中。

4种方法快速轻松地提升网站安全
4种方法快速轻松地提升网站安全

然而……你还没有完全明白。除此之外,所有的验证和验证的东西似乎都很复杂和费时,而且真的有作用吗?

一个简单的事实是许多安全网络中最薄弱的环节往往是人为的因素(是的,这意味着这一切会起因于您)。你最强大的防火墙不能防止有人点击那个在陌生人的电子邮件中的神秘的链接,或者有人选择“password”来作为您的密码。

但这有一个好消息:在您的指尖,使用一些非常好用的工具和技术,现在比以往任何时候都更容易提高站点的安全性。您可以在比阅读这篇文章的时间更短的时间内完成这项任务。

注册单位

您的Whois数据是您注册域名时提供的信息。这可以包括个人信息,例如您的姓名,电子邮件,电话号码等。虽然此数据需要注册合法域名,但可以通过使用WhoisGuard从公共视图中隐藏起来。

在WhoisGuard保护下,域名的查询域名持有人的信息将和域名注册商(例如Namecheap)联系信息一起回馈的,而不是提供您的个人信息。

没有WhoisGuard,您的个人数据可以被营销人员,垃圾邮件发送者,或其他别有用心的机构收集和利用。

您可以在帐户设置或域提供程序的首选项中轻松地激活WhoisGuard。

双因素身份验证

双因素身份验证(2FA)是另一种快速流行的安全保障。2FA是一个额外的步骤,它需要在你完全登录之前输入一个一次性的确认码或PIN码。

为什么要用这个额外的步骤呢?就像CAPTCHA一样,2FA提供了一种方式,让您验证自己是您说的那样,而不是一个未经授权的情况下试图访问您的账户的自动化实体。这也是对使用偷来的ID的黑客的一种威慑。

一旦您输入常规登录名和密码,2FA(最常见的形式)会将一个代码发送到您的移动设备,然后您需要输入以访问您的帐户。

这种级别的保护会让您的账户更难攻破,因为黑客需要您的手机和您的电脑来验证登录。现在,2FA已经在Facebook、Twitter和GMail等主要网站上使用。

而且,和WhoisGuard一样,在您的账户设置中启用2FA就像打开开关一样简单。

SSL数字安全证书

SSL数字安全证书是一个安全附件,可为您的站点数据提供验证和加密。 数据加密安全地对通过互联网发送的敏感信息进行编码,而验证确保信息的发送者和接收者的身份的准确。

安装SSL数字安全证书的站点通常由“绿色条”,挂锁图标“https://”或URL字段中的这些组合标识。如果您的网站处理电子商务或私人帐户数据,则SSL安全性对您网站的安全来说,是至关重要的。(参考阅读:绿色安全锁标志着网站的安全性

有几种不同类型的SSL证书提供不同程度的安全性,包括便宜的(有时是免费的)证书,这些证书提供基本的数据保护并增加站点访问者的信任度。

此外,虽然高层次的SSLs可能需要更多的时间来验证,但是许多免费的SSLs都有即时的验证。所以,如果你很匆忙,免费的SSL是一个很好的开始!

密码管理

就像我们在一开始说的,人为的错误常常是我们在网络上的最大弱点。强大的帐户密码已被证明对阻止黑客和防止未经授权的访问非常有效。可悲的是,我们中的许多人未能采取这样一种简单的安全防范措施。虽然这并不总是最快捷的任务,但养成明智的密码管理习惯,可以在以后节省您的时间(更不用说更让人心安了)。

您的密码有多强大呢?检查一下什么是强有力的密码,什么不是。您甚至可以在这里测试您的密码的实力。

担心无法记住多个帐户的密码吗?尝试密码管理程序,例如LastPass或Dashlane,它可以安全地存储和自动填写您最常使用的站点上的用户登录数据。

不想记住的密码? 尝试这些提示,以生成您可以记住的安全的密码。

您投入了如此多的时间,精力和智慧来建立您的完美网站。为什么要把所有的这笔投资置于危险之中呢?给自己一个三明治,泡一些茶,并采用一些这些快速,简单和有效的网页安全提示——您可能会在饮料变冷之前完成任务,并且您的网站也会变得更安全。