代码之家  ›  专栏  ›  技术社区  ›  Dana the Sane

启动时的最低安全预防措施是什么?

  •  3
  • Dana the Sane  · 技术社区  · 15 年前

    我正在与一家初创公司合作,主要负责系统管理,我遇到了一些我不太满意的安全问题。我想判断我的期望是否准确,所以我想了解一下其他人在这种情况下做了什么,以及出现了什么风险/问题。尤其是,在VPN后面放置管理工具、定期安全更新(操作系统和工具)等措施有多重要。

    请记住,由于这是一个初创企业,主要目标是尽快获得尽可能多的功能,因此我需要尽可能多的理由来获得安全资源(即,升级的停机时间、应用程序安全修复的开发时间)。

    背景信息:

    • 应用程序是LAMP以及自定义Java客户端服务器。
    • 在接下来的3个月里,我预计大约有1万名匿名访问者访问该网站,最多有1000名经过身份验证的用户。
    • 年轻观众(16-25岁),这是保证有一个以上的平均数黑帽包括。

    提前感谢您的回复,我欢迎您提供任何相关建议。

    10 回复  |  直到 15 年前
        1
  •  5
  •   Dave    15 年前

    如果从第一天起就没有考虑到安全性并将其内置到应用程序及其基础设施中,那么在以后对其进行改造将更加困难。现在是构建常规操作系统/工具补丁、升级等流程的时候了。

    • 用户将在网站上创建/存储什么类型的数据?
    • 违反对您的用户有什么影响?
    • 违约对贵公司有什么影响?
    • 你能在违规后重新获得用户的信任吗?

    由于您的公司依赖于保留现有用户和吸引新用户,因此您应该根据用户对违规行为的反应来表达您的担忧。上级会理解用户是你的面包和黄油。

        2
  •  6
  •   Yaniv    15 年前

    另外,不要忘记您需要保护服务器免受当前(也就是说,很快就会过去)员工的攻击。有几家初创公司由于员工的破坏而彻底破产,例如 http://www.geek.com/articles/news/disgruntled-employee-kills-journalspace-with-data-wipe-2009015/

        3
  •  5
  •   Stefan    15 年前

    声誉就是一切,尤其是对于初创企业而言。作为一个初创企业,您的可靠性/安全性历史不长。-所以,当用户开始使用你的应用程序时,所有的一切都取决于他们给你“怀疑的好处”。

    如果你的服务器被黑客攻击,而你的用户注意到了这一点,你的声誉就不复存在了。一旦它消失了,你的应用和你的功能是否是“下一个新事物”就无关紧要了。不管安全漏洞是否轻微,人们都不会再信任你的应用程序/公司了。

    所以,我认为安全是首要任务。

        4
  •  4
  •   dtc    15 年前

    我同意斯蒂芬关于名誉的看法。你不想被黑客攻击,因为你缺乏安全保障。这不仅会伤害你的网站和公司,而且会让你看起来很糟糕,因为你是负责这一点的。

    我个人的观点是尽你所能去做,因为无论你做了多少,都会有弱点。

    不幸的是,像测试和文档这样的安全性常常是事后诸葛亮。您应该确保在站点/软件生命周期的早期进行风险评估,并继续进行评估。我认为修补所有安全漏洞的软件很重要。

        5
  •  3
  •   jamesmillerio    15 年前

    这些可能是显而易见的:

    • 限制密码尝试。
    • 清理数据库输入
    • 防止XSS攻击的措施

    同样值得一提的是,正如您所说,应该适当地设置网络架构。你肯定应该有一个体面的防火墙,尽可能地被锁定。有些人建议将您的系统置于不同型号的双防火墙之间,以便在其中一个防火墙存在严重漏洞的情况下,第二个防火墙很可能不具有相同的漏洞,您将安全。这一切都取决于你能负担得起什么,因为它是一家初创公司。

        6
  •  3
  •   Jeff Shannon    15 年前

    如果你明确地试图吸引那些倾向于尝试破解系统的用户,那么你可以打赌你的系统 受到攻击。

    你应该向管理层建议,如果他们不认真对待安全问题,那么你就应该在网站上发布公司的银行对账单和会计账簿(明文),并在主页上有一个突出的链接。至少这样,你可以告诉他们,最终结果是一样的,但他们不太可能为了得到他们想要的东西而破坏其他一切。

    我认为声誉问题在这群观众中也可能有一点不同——他们可能会原谅你被黑客攻击,但他们可能 不会 原谅你容易成为目标。

        7
  •  2
  •   Yaniv    15 年前

    确保您知道您的服务器运行的版本和补丁级别,不仅仅是操作系统,而是所有相关的组件以及实际执行机器的所有内容。 那就确保你永远不会落后一天。 不这样做会带来很多痛苦,而且你听不到其中的大部分——我以前的大多数雇主都不会公开承认被黑客攻击,因为它对他们的影响很严重,所以你可以假设系统左右都被黑客攻击,对公司造成相当严重的后果,你只是不知道这些事件的大部分。

        8
  •  2
  •   tekiegreg    15 年前

    这里有一些基本的“安全”措施,虽然比主动性更具反应性,但还是需要考虑的。

    1)备份策略,当然不只是针对那些侵入您站点的人,但是如果可能的话,最好将所有内容恢复到黑客攻击前的状态,确保它是可靠的,最重要的是在一个近实时恢复演练中进行了测试。
    2)缓解措施,至少在某处的餐巾纸上制定计划,以便在服务器被黑客攻击时做出反应。
    3)保险,寻找了解网络业务世界的保险公司,以及由此造成的损害,购买保单。
    4)有人已经提到员工破坏问题,你是在事先筛选员工,对吗?背景调查很便宜,而且确实能挖掘出一些东西…

        9
  •  2
  •   Sucuri    15 年前

    我的最佳建议是监控。

    没有完美的安全保障,这一切都是为了接受风险,并在必要时加以防范。但是,如果您没有适当的监控,那么您将无法知道某个(攻击)是否成功,以及它是如何发生的。

    所以,保持系统的更新,并安装一些轻量级的工具来正确地监控它。 如果您有自定义应用程序,请在其中添加登录。 登录错误生成的错误(错误输入)、失败的密码或任何用户生成的错误。

    至于要监视的轻量级工具,有很多免费/开源的:

        10
  •  0
  •   Dave    15 年前

    查看mod security软件设置中的各种可能性: 谷歌搜索“mod_security howto example”

    开始的简单示例: http://www.ghacks.net/2009/07/15/install-mod_security-for-better-apache-security/