1
5
如果从第一天起就没有考虑到安全性并将其内置到应用程序及其基础设施中,那么在以后对其进行改造将更加困难。现在是构建常规操作系统/工具补丁、升级等流程的时候了。
由于您的公司依赖于保留现有用户和吸引新用户,因此您应该根据用户对违规行为的反应来表达您的担忧。上级会理解用户是你的面包和黄油。 |
2
6
另外,不要忘记您需要保护服务器免受当前(也就是说,很快就会过去)员工的攻击。有几家初创公司由于员工的破坏而彻底破产,例如 http://www.geek.com/articles/news/disgruntled-employee-kills-journalspace-with-data-wipe-2009015/ |
3
5
声誉就是一切,尤其是对于初创企业而言。作为一个初创企业,您的可靠性/安全性历史不长。-所以,当用户开始使用你的应用程序时,所有的一切都取决于他们给你“怀疑的好处”。 如果你的服务器被黑客攻击,而你的用户注意到了这一点,你的声誉就不复存在了。一旦它消失了,你的应用和你的功能是否是“下一个新事物”就无关紧要了。不管安全漏洞是否轻微,人们都不会再信任你的应用程序/公司了。 所以,我认为安全是首要任务。 |
4
4
我同意斯蒂芬关于名誉的看法。你不想被黑客攻击,因为你缺乏安全保障。这不仅会伤害你的网站和公司,而且会让你看起来很糟糕,因为你是负责这一点的。 我个人的观点是尽你所能去做,因为无论你做了多少,都会有弱点。 不幸的是,像测试和文档这样的安全性常常是事后诸葛亮。您应该确保在站点/软件生命周期的早期进行风险评估,并继续进行评估。我认为修补所有安全漏洞的软件很重要。 |
5
3
这些可能是显而易见的:
同样值得一提的是,正如您所说,应该适当地设置网络架构。你肯定应该有一个体面的防火墙,尽可能地被锁定。有些人建议将您的系统置于不同型号的双防火墙之间,以便在其中一个防火墙存在严重漏洞的情况下,第二个防火墙很可能不具有相同的漏洞,您将安全。这一切都取决于你能负担得起什么,因为它是一家初创公司。 |
6
3
如果你明确地试图吸引那些倾向于尝试破解系统的用户,那么你可以打赌你的系统 将 受到攻击。 你应该向管理层建议,如果他们不认真对待安全问题,那么你就应该在网站上发布公司的银行对账单和会计账簿(明文),并在主页上有一个突出的链接。至少这样,你可以告诉他们,最终结果是一样的,但他们不太可能为了得到他们想要的东西而破坏其他一切。 我认为声誉问题在这群观众中也可能有一点不同——他们可能会原谅你被黑客攻击,但他们可能 不会 原谅你容易成为目标。 |
7
2
确保您知道您的服务器运行的版本和补丁级别,不仅仅是操作系统,而是所有相关的组件以及实际执行机器的所有内容。 那就确保你永远不会落后一天。 不这样做会带来很多痛苦,而且你听不到其中的大部分——我以前的大多数雇主都不会公开承认被黑客攻击,因为它对他们的影响很严重,所以你可以假设系统左右都被黑客攻击,对公司造成相当严重的后果,你只是不知道这些事件的大部分。 |
8
2
这里有一些基本的“安全”措施,虽然比主动性更具反应性,但还是需要考虑的。
1)备份策略,当然不只是针对那些侵入您站点的人,但是如果可能的话,最好将所有内容恢复到黑客攻击前的状态,确保它是可靠的,最重要的是在一个近实时恢复演练中进行了测试。
|
9
2
我的最佳建议是监控。 没有完美的安全保障,这一切都是为了接受风险,并在必要时加以防范。但是,如果您没有适当的监控,那么您将无法知道某个(攻击)是否成功,以及它是如何发生的。 所以,保持系统的更新,并安装一些轻量级的工具来正确地监控它。 如果您有自定义应用程序,请在其中添加登录。 登录错误生成的错误(错误输入)、失败的密码或任何用户生成的错误。 至于要监视的轻量级工具,有很多免费/开源的:
|
10
0
查看mod security软件设置中的各种可能性: 谷歌搜索“mod_security howto example” 开始的简单示例: http://www.ghacks.net/2009/07/15/install-mod_security-for-better-apache-security/ |
Jeff Lin · 已在LAMP服务器上创建批处理文件夹,但无法访问 6 年前 |
Silver Ringvee · 从服务器请求文件的次数? 6 年前 |
Skn · 如何知道我的Ubuntu中是否安装了LAMP或XAMPP? 7 年前 |
Gantigun · Collabtive安装问题 8 年前 |