更新作業系統、應用程式和程式庫
風險
有已知保安漏洞的作業系統、應用程式和程式庫,特別是那些安裝在網絡伺服器和與互聯網連接的裝置上的軟件,更容易遭到網絡攻擊。
檢查步驟
更多提示
- 保存一份最新和完整的軟件清單,包括作業系統、應用程式和程式庫等。
- 留意保安資訊和訂閱軟件供應商的通知服務,以獲取軟件更新和保安警告等相關資訊。
- 如果沒有修復漏洞的可行方案,你應該先評估有關保安風險,並採取補救性措施,例如停用受漏洞影響的軟件組件或使用其他更安全的軟件。
- 確保所有伺服器和電腦受防火牆和抗惡意程式碼軟件保護。
加密網頁內的敏感資料
風險
未經授權的人可以竊取或修改網頁內的敏感資料,從而進行身份盜竊及信用卡詐騙等罪行。
檢查步驟
可用的工具功能:偵測網絡伺服器有否使用過時或無效的伺服器證書及支援容易被破解的加密算法和規約。
|
|
手動檢查提示注意:你可以通過手動檢查確認一個網頁是否全部內容被加密或部分內容被加密 -
|
更多提示
- 避免在處理敏感資料的網頁內同時顯示加密及非加密內容,因為非加密內容(例如腳本)可能藉此存取加密內容。
- 伺服器證書應該由認可的核證機關發出,並維持有效狀態。
- 應設定網絡伺服器優先使用不易被破解的加密套件和規約,如傳輸層保安(TLS 1.2)和高級加密標準(AES 256-bit)等,並為使用較弱的加密套件和規約進行風險評估。
使用安全的遙距接達方案進行網站管理
風險
由於在互聯網上傳輸資料時沒有加密資料,不安全的遙距接達有可能泄漏登入密碼。
檢查步驟
可用的工具功能:偵測伺服器是否支援不安全的遙距接達服務(例如telnet、ftp、rlogin等)。 |
|
|
手動檢查提示注意:你可以通過手動檢查確認你的遙距接達方案是否安全 –
|
更多提示
- 使用有安全更新的遙距接達軟件。
- 先查證以選擇能滿足你的保安要求的遙距接達軟件。
- 可考慮本機登入,並限制遙距網站管理以達到更佳的保安效果。
採用嚴謹的認證方式和密碼
風險
由於簡單密碼容易被破解,這增加了虛擬私人網絡通訊閘(VPN gateway)、網絡伺服器和網站管理介面被未經授權存取的機會。
檢查步驟
可用的工具功能:幫助用戶學習如何選擇嚴謹的密碼。 |
|
手動檢查提示注意:你可以通過手動檢查確認遙距接達時有否採取雙重認證 -
|
更多提示
- 保存一份最新和完整的使用者帳戶清單,並定期更改密碼,尤其那些用於遙距管理的帳戶。
- 分配獨一無二的帳戶給每個用戶,以落實問責制和增強發生事故時的調查能力。
- 以最少權限的原則分配權限給使用者帳戶,例如網頁內容更新過程中將使用者分為編輯人員及批准人的角色。
- 從互聯網遙距接達時,採取雙重認證方式登入虛擬私人網絡(VPN)。
- 多過某次數登入失敗時,自動鎖定 / 暫停使用該帳戶。
- 制定並執行嚴謹的密碼政策以達到更佳的保安效果。請瀏覽資訊安全網了解更多處理帳戶及密碼的良好做法。
啟用及檢查保安事件記錄和警告
風險
不足的監測警告和檢查記錄機制有可能阻礙偵測保安事故。
檢查步驟
可用的工具功能:協助監測網站的可用性和完整性,並以電郵警告通知管理員。
|
|
|
手動檢查提示注意:你可以通過手動檢查確認你的網絡伺服器有否啟用保安記錄功能 -
|
更多提示
- 制定保安事故監測和處理程序,包括升級程序和一個有效的報告、確認通知和處理事故機制。
- 應記錄用戶,特別是高權限帳戶的活動及保存審計記錄,記錄需提供足夠的資料,如登入 / 登出時間、用戶名稱、活動時間和活動內容。
- 應定期複檢審計記錄,以偵測可疑的事件。
- 只允許獲授權的用戶存取審計記錄。
防止資料經搜尋引擎外泄
風險
敏感和內部數據可以經由公共搜尋引擎外泄。
檢查步驟
可用的工具
功能:偵測孤兒檔和無效的網頁連結,及測試公共搜尋引擎是否能夠索引和暫存你的網頁 / 檔案。
- Web Link Validator(免費試用)(偵測孤兒檔和無效的網頁連結)(只提供英文版)
- Google Advanced Search(列出被索引和暫存的網頁 / 檔案)
- Yahoo Advanced Search(列出被索引和暫存的網頁 / 檔案)(只提供英文版)
- Baidu Advanced Search(列出被索引和暫存的網頁 / 檔案)
更多提示
- 敏感數據,如個人資料和信用卡資料不應被儲存到網絡伺服器或其他與互聯網連接的伺服器。相反,應該把數據儲存到受防火牆保護的後端伺服器。
- 應使用伺服器端的認證機制限制公眾存取非公開的網頁內容,如開發中的網站。
進行保安漏洞掃描或滲透測試
風險
新被發現的保安漏洞可以被攻擊者利用來破解網站保安。
檢查步驟
可用的工具
功能:偵測你的網站和網絡伺服器的保安漏洞。
用於網站
- Norton Safe Web
- Sucuri Website Malware and Security Scanner(只提供英文版)
- Acunetix Vulnerability Scanner(只提供英文版)
- National Institute of Standards and Technology (NIST) Source Code Security Analyzers(只提供英文版)
- Web Application Security Consortium Scanner List(只提供英文版)
用於伺服器
更多提示
- 考慮為你的網站定期進行第三方保安風險評估和審計以達到更佳的保安效果。
- 在進行滲透測試之前先評估風險,因為測試可能為系統帶來負面影響,如服務中斷,數據損失等。
選擇能夠滿足你的保安要求的網站寄存服務供應商
風險
網站保安的成功取決於其最薄弱的環節,因此網站寄存服務供應商會影響你的網站保安質素,亦會為你的業務帶來風險。
檢查步驟
在選擇網站寄存服務供應商時,要留意服務條款及保安和私隱政策,並評估風險。一般而言,你應該了解 -
- 網站是如何儲存及如何受到保護。
- 能否支援及清楚說明需要的保安功能,有獨立資訊保安管理認證(例如ISO/IEC 27001)者為佳。
- 能否支援安全的遙距網站管理。
- 是否設有簡單清晰的通報機制,以供報告服務問題和保安事故。
- 能否提供與公司的業務重要性相符的服務水準協議。
- 如何終止服務,以及在終止服務後,如何把數據和服務轉移到其他服務提供商。
更多提示
- 為達到更佳的保安效果,可考慮採取額外的保安服務,以減低分布式拒絕服務攻擊(DDoS)所帶來的風險。請瀏覽資訊安全網了解更多對抗分布式拒絕服務攻擊的資訊。
採用外判網站寄存服務的注意事項:網站寄存服務供應商一般不會給予用戶在網絡資源及伺服器平台的控制權限,但用戶仍應了解所有相關項目,以確保服務供應商能夠為你提供安全的服務。
免責聲明:這部份所提及的保安檢查設定,旨在主動和針對性地提高網站的安全性,但同時可能會改變用戶體驗,亦有可能會影響到一些應用程式的功能和效用。在保安檢查過程當中所提及到的安全設定,其確實的設定步驟會因不同產品而有所不同,因此建議用戶應盡可能按照用戶手冊內的指示進行設定,生產商的官方網站一般都會提供用戶手冊以便用戶下載。
用戶亦應留意網絡安全資訊站中的重要事項。在下載及使用保安軟件或工具前,請細閱相關的用戶協議和私隱政策。
