網(wǎng)站建設公司必須保障網(wǎng)絡安全

網(wǎng)站建設公司必須保障網(wǎng)絡安全，下面的故事真實講述了網(wǎng)絡攻擊者如何差點毀掉一位小企業(yè)主的公司。看看我們能從中吸取哪些經(jīng)驗教訓。

2013年，英國一位名為里·穆爾的小企業(yè)主，她創(chuàng)立的公司遭受了長達七個月的網(wǎng)絡攻擊，借助一位高級安全顧問的幫助，才得以恢復業(yè)務。

里·穆爾的故事

當這位女企業(yè)家建立自己的公司時，遇到一位熱心解答她在互聯(lián)網(wǎng)方面的各種無腦問題的網(wǎng)頁開發(fā)人員，這位開發(fā)者是穆爾的一位朋友推薦的。

他給穆爾的第一個建議是永遠不要關掉電腦或路由器，他的解釋是經(jīng)常關閉電腦可能會導致殺毒軟件沒辦法在第一時間更新，導致存在漏洞。另外，這位開發(fā)人員還堅持讓穆爾通過他的個人網(wǎng)站用銀行卡發(fā)薪。出于信任和無知，穆爾接受了這些建議。

隱患之一：如果路由器始終連接到互聯(lián)網(wǎng)并保持不斷線，IP地址是不會更新的。從而很容易被攻擊者定位或冒充。

隱患之二：通過個人網(wǎng)站用銀行卡發(fā)薪?這已經(jīng)不能稱之為隱患了。

穆爾把運營企業(yè)需要的一切準備妥當，接入互聯(lián)網(wǎng)，然后開始運行業(yè)務，但卻絲毫沒有意識到她的新生業(yè)務、品牌以及她本人在面臨網(wǎng)絡攻擊時是多么的脆弱。這是因為，雖然媒體經(jīng)常會報道各種網(wǎng)絡攻擊事件，但具體過程和細節(jié)卻很難走進公眾的意識。而且，那些為初創(chuàng)企業(yè)提供建議的機構(gòu)并不會對新興企業(yè)家們警告網(wǎng)絡入侵的風險，也不會要求在商業(yè)計劃書中加入關于IT安全策略或信息風險評估的內(nèi)容。

在之后兩年的期間里，那位網(wǎng)頁開發(fā)人員買下了穆爾公司的域名，并將穆爾的個人網(wǎng)站、公司網(wǎng)站以及Email賬戶運行在他的服務器上。同時還建立了穆爾的社交網(wǎng)絡帳號，并為她設置了用戶名和不同的登錄密碼。這位開發(fā)人員非常的友好且樂于助人，并與穆爾從工作關系變成了個人朋友關系。

某日，穆爾收到了開發(fā)者的一封郵件，說她公司的網(wǎng)站已經(jīng)過時，容易遭受黑客攻擊，還會傳染其它網(wǎng)站。僅僅過了兩年就被告知需要建立一個新網(wǎng)站，穆爾感到不快，但出于信任她并不想再找一個網(wǎng)頁設計師，并且也害怕自己的網(wǎng)站感染別人，于是穆爾同意了開發(fā)者提供的“優(yōu)惠”價格，為新網(wǎng)站付出了1250英鎊。

但是，新網(wǎng)站上線還沒有一天，穆爾又收到了這個開發(fā)者增加五天工作量的消息，并因此要追加25%的費用，而且也沒有說明這五天工作的具體內(nèi)容。穆爾表示拒絕，但對方此時露出了真正面目。

他威脅穆爾付錢，否則對后果不負責任。穆爾開始求助相關機構(gòu)進行調(diào)解，但機構(gòu)的介入又遭到了此人進一步的威脅。這時，穆爾發(fā)現(xiàn)她的社交媒體賬戶、個人和公司網(wǎng)站、Email郵箱均已無法訪問。這個網(wǎng)頁設計人員更改了她所有的密碼，網(wǎng)站都被替換成了單頁的警告信息，告訴訪問者穆爾欠錢不還，和她做生意有很大的風險。

他使用了搜索引擎優(yōu)化技術讓穆爾的名字持續(xù)出現(xiàn)在所有互聯(lián)網(wǎng)搜索引擎的置頂位置，并在谷歌顯示穆爾的照片之間插入了他的個人Logo，點擊這個Logo的訪問者將會鏈接到他的個人網(wǎng)站，網(wǎng)站上重復了他對穆爾及其公司的誹謗。不僅如此，這個所謂的網(wǎng)頁設計師還使用穆爾的品牌注冊了域名和公司，并關聯(lián)到了穆爾的家庭地址。然后還用這個域名創(chuàng)建了又一個騷擾頁面，重復宣稱穆爾及其公司欠債不還。他在所有誹謗的網(wǎng)頁上均貼上穆爾新注冊公司的名字，并在長達半年的時間里每天更新這些頁面。

期間，穆爾還在自己的計算機上發(fā)現(xiàn)了木馬，電腦上的文件被加密，很多Email記錄消失，但沒有證據(jù)表明這個木馬就是那個網(wǎng)頁設計師植入的。穆爾求助警方，警方認為這是民事案件，不屬于刑事領域。穆爾接觸律師，卻被告知獲取一條強制令的報價是1.5萬英鎊，而穆爾需要三條這樣的法令，加上其他費用，用法律解決的成本可能會達到六位數(shù)。

除非發(fā)生在你身上，不然你不會知道那是什么感覺。

穆爾故事的啟示

小企業(yè)在運營時可能面臨各種方面的問題，穆爾的經(jīng)歷可以大體上歸類為內(nèi)部攻擊。但不管怎樣，一個Web開發(fā)人員能夠如此容易地對企業(yè)和企業(yè)主造成如此大的破壞是令人感到非常驚訝的。

穆爾購買了一項服務，但沒有要求與這項服務匹配的保障措施。一位身兼互聯(lián)網(wǎng)服務提供者和網(wǎng)站開發(fā)職責的人居然被信任到如此驚人的程度，而原因除了他可以提供網(wǎng)絡服務之外無并無其它。沒有相關的法規(guī)可以保護小企業(yè)免受網(wǎng)絡服務提供者的侵害，英國的法規(guī)對Web開發(fā)人員并沒有提供專門的準則，除了BCS認證(BCS，the Chartered Institute for IT)之外，英國也沒有相應的專業(yè)機構(gòu)，只有1987年頒布的英國消費者保護法案似乎還起些作用。

對小企業(yè)而言，檢查自己的網(wǎng)頁服務提供者的個人背景是非常有用。穆爾女士被這位網(wǎng)頁開發(fā)者蒙蔽，因為他在互聯(lián)網(wǎng)及網(wǎng)頁應用相關的很多方面都比她要懂行。這種情況對于很多小企業(yè)而言可能都成立。人們可能對1998年的數(shù)據(jù)保護法案(Data Protection Act)和1990年的濫用計算機法案(Computer Misuse Act)有所認識，但很少有公司會對這些提起注意。

在缺乏監(jiān)管的情況下，犯罪者可以隨意濫用自己的知識，他還可能自己計算過風險，并認為能夠毀滅證據(jù)。如果沒有證據(jù)，就沒法立案。

這些年來，通過《濫用計算機法案》進行定罪的案例非常之少。這個法案是在手機還沒數(shù)字化的年代頒布的，并僅在2006年修改過一次，以將手機明確地定義為計算設備。盡管最近對所謂網(wǎng)絡流氓國家的炒作非常多，但根據(jù)一項近期英國企業(yè)遭受互聯(lián)網(wǎng)攻擊來源的調(diào)查，超過七成的攻擊都源自英國本土。

對中小企業(yè)的網(wǎng)絡安全建議

警方處理網(wǎng)絡犯罪事件的方式遵循四P原則：預防、保護、準備、追蹤(Prevent Protect Prepare Pursue)，這四條原則也揭示了讓企業(yè)了解潛在的網(wǎng)絡風險的重要性。

但警方并沒有足夠的資源對每一家中小企業(yè)中發(fā)生的安全事件收集證據(jù)并定罪，因此企業(yè)只有兩種選擇，其一，親自收集證據(jù);其二，雇人來代表他們這么做。

在遭受入侵后，對企業(yè)而言最重要的事情就是盡快恢復運轉(zhuǎn)，但企業(yè)同時也需要具備足夠的技術和法律知識，了解在重新部署服務之前需要保存哪些證據(jù)。

在上線一項新的服務之前進行調(diào)查是企業(yè)的責任。如今初創(chuàng)企業(yè)在開發(fā)在線服務的過程中獲得的建議里并不包括注意信息安全和檢查資質(zhì)，因此在選擇網(wǎng)頁設計師和網(wǎng)絡服務提供商時應盡量小心。如果初創(chuàng)企業(yè)沒有被事先警告，也就不會注意這些問題，特別是在他們讓企業(yè)順利運轉(zhuǎn)方面還需要投入大量精力的時候。

關于數(shù)據(jù)泄露和網(wǎng)絡犯罪的議題應該成為法律和計算機專家的興趣點，安全不應當只是作為向小企業(yè)提供的一項服務，其本身也是創(chuàng)業(yè)的一個很棒的切入點。

如果數(shù)據(jù)泄露的確發(fā)生了的話，精通IT知識的律師或受過法律訓練的網(wǎng)絡專家可以確保用于訴訟的證據(jù)通過合適的方式進行獲取和存儲。IT安全專家們向小企業(yè)提供建議的業(yè)務已經(jīng)有所增長，但這一過程需要加速，與此同時一定會有更多不愉快的事情發(fā)生，還會有一些網(wǎng)絡犯罪無法得到懲罰。

建立網(wǎng)上業(yè)務時需要注意的要點

穆爾的案例提醒人們，在將自己的用戶名/密碼交給其他任何人時都需要多加考慮。那位網(wǎng)站開發(fā)者擁有李女士的用戶名和密碼，可以向互聯(lián)網(wǎng)上的Web服務器上傳數(shù)據(jù)。允許那位Web開發(fā)人員同時掌握用戶名和密碼是出于信任，而在建立信任的過程中并沒有經(jīng)過建立良好商業(yè)關系本應經(jīng)過的步驟。這種信任一旦受到破壞，很難被察覺和制裁。

Web開發(fā)人員經(jīng)常制作商業(yè)網(wǎng)站，并在線上進行管理——然而到目前為止這一切都并不受外部監(jiān)管。這目前是一個靠行業(yè)自律運轉(zhuǎn)的行業(yè)，也沒有什么標準能夠判斷一位開發(fā)人員是否安全，甚至也都沒辦法判斷一位程序員是否優(yōu)秀。技術上實現(xiàn)得很糟糕的網(wǎng)站對公司的聲譽會產(chǎn)生糟糕的影響，還可能為跨站腳本攻擊、SQL注入以及其它常見的漏洞大開后門。

在小企業(yè)中，網(wǎng)頁設計師通常會對選擇路由器和配置路由器提出建議，這樣會為開發(fā)者帶來更大的控制權限。業(yè)需要注意這些事情，它們應當交給有資質(zhì)的專業(yè)人士處理。具備某種認證或類似的資質(zhì)應當是招收網(wǎng)頁開發(fā)人員的最低標準，這個行業(yè)的認證有可能是IT領域未來的發(fā)展方向。

根據(jù)英國政府在2011年進行的一個調(diào)查，英國每年由于網(wǎng)絡相關犯罪導致的企業(yè)和個人損失估計為270億英鎊。2014年的情況還不得而知，但考慮到電子商務和黑客活動都變得愈加頻繁，這個數(shù)字很可能會讓人大吃一驚。

英國政府曾表示，要“將英國變成世界上對企業(yè)最安全的場所之一”，現(xiàn)狀來看，依然是遙遙無期。

本文標題：網(wǎng)站建設公司必須保障網(wǎng)絡安全
文章出自：http://www.muchs.cn/news35/222935.html

成都網(wǎng)站建設公司_創(chuàng)新互聯(lián)，為您提供搜索引擎優(yōu)化、網(wǎng)站內(nèi)鏈、云服務器、Google、外貿(mào)網(wǎng)站建設、網(wǎng)頁設計公司

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)