如何检查网站的安全性？

在线业务必须确保网站安全和定期测试。如今，数据泄露会带来灾难性的后果。网站和应用程序是任何企业不可或缺的一部分。这就是确保您的网站安全变得非常重要的地方。根据 2016 年 Ponemon 数据泄露成本研究，数据泄露的平均综合总成本从 380 万美元跃升至 400 万美元。

但是您的组织实际受到影响的可能性有多大？CIO 的报告发现，在 12 个月的时间里，移动安全漏洞已经影响了超过 68% 的全球组织。 根据 Neustar 对 1,000 家企业的调查，仅DDoS 攻击每 12 个月就会袭击 84% 的公司。掌握现代安全风险不仅仅是阅读通过手机、平板电脑和易受攻击的服务器进入的最新恶意软件。您可能忽略了其他导致数据失窃和丢失的原因。

这是检查网站安全的 7 个步骤

第 1 步.网站信誉检查

第一步是检查您网站的声誉，它是否已经被评为安全网站。如果不是，那将是灾难性的，您已经受到影响。

第 2 步.自动安全检查

确保网站安全可靠的下一步是安排频繁扫描。公司员工根本无法每天测试网站以查找安全漏洞和恶意软件。AppTrana等全面的网络扫描 可确保自动扫描和报告。

它会查找经常被利用的漏洞，例如OWASP 前 10 名和 SANS 25。虽然我们还为您提供了其他步骤来确保开发和生产周期是干净的，但这是确保您对风险保持警惕的步骤。

第 3 步.让您的安全技术正确

显然，如果您的组织和系统实际上并不安全，您就无法建立网站安全文化。首先盘点哪些设备（包括个人设备和专业设备）被用于访问敏感信息。请记住，访问可能发生在办公室，也可能发生在员工家中、机场或咖啡店。

使用个人智能手机取乐的员工不应该访问云中的敏感文件。你的团队也不应该轻易地从他们的工作电脑连接到免费的 WiFi，因为数据很容易被泄露。

如果您提供设备供员工使用，请选择已经加密的型号。据《 华尔街日报》报道，全球约有 10% 的 Android 已加密。与此同时，苹果公司以其加密设备而闻名，甚至在执法部门树敌，因为它拒绝为警方创建后门方法来访问属于圣贝纳迪诺射手的加密 iPhone。

除了加密之外，您的公司还应该使用移动设备管理 (MDM)，以便 IT 人员能够在丢失或被盗时撤销访问权限或将设备擦除到出厂设置。MDM 还可以密切关注员工如何使用数据，并深入了解他们的安全行为。

还有一种方法可以通过地理围栏工具控制员工使用工作赞助设备的地理位置。当设备被带到数英里外的特定边界之外时，地理围栏会向企业主发送实时警报，并且还会在设备偏离太远时撤销对数据和文件的访问权限。

这些规则和后果也应在您的 BYOD 和网站安全政策中概述，以便员工知道他们的设备何时会被访问以及出于什么原因。您的员工需要了解您的期望和后果，但这也有助于让您的团队将安全作为日常工作文化的一部分。

把你的房子锁起来

使用Web 应用程序扫描工具和应用程序防火墙保护您的内部系统，以帮助防止攻击而不阻碍合法在线流量。在使用信用卡和提供个人信息时， SSL 证书还应用于保护客户通信和保护他们的交易。

仔细检查您的 SDLC

安全从您的公司承诺建立自己的网站或数字资源的那一刻开始。您的团队应始终依靠安全开发生命周期 (SDLC) 来遵守最佳安全实践。据微软称，SDLC 流程可帮助开发人员构建更安全的软件并满足安全合规性要求，同时降低开发成本。

Microsoft 确定了 SDLC 流程的 17 个步骤，从核心安全培训开始，到威胁建模结束。每个步骤都侧重于如何将安全性集成到创建、部署和发布后过程的每个阶段。例如，在实施过程中，SDLC 实践需要使用经批准的工具并贬低不安全的功能。

应该注意的是，SDLC 并不局限于部署点。对于 SaaS 产品或 Web 应用程序，必须通过应用程序安全进行持续的安全评估——即使在生产部署之后。

为什么？由于应用程序仍在运行并与许多移动部件交互（它运行的 Web 服务器和应用程序服务器、它托管的基础设施、它与之交互的其他服务等），持续评估和即时保护是必不可少的SDLC——即使软件已上线并在使用中。

第 4 步.确定最大的安全风险

贵公司最大的网站风险和漏洞在哪里？它可能与 BYOD 或不安全的备份没有任何关系。相反，您可能与实际员工有问题。要求每位新员工接受筛选和背景调查。创建一个入职系统，强调贵公司的安全协议和标准的作用。一些危险信号很容易被发现，比如有过度跳槽历史或犯罪历史的候选人，或者不愿承诺在连接到免费无线信号之前将设备设置为询问的员工。但是，即使您已经证实新员工是可靠的，您仍然可能面临更大的问题：您员工的在线密码可能会邀请黑客侵入您的服务器并窃取敏感数据。

密码安全

在 Entrepreneur 上发布的信息图发现，47% 的人使用至少 5 年的密码，21% 的人使用超过 10 年的密码。即使您的公司实施了要求员工定期更新帐户和设备密码的密码政策，这并不意味着员工没有重复使用密码：73% 的在线帐户受到重复密码的保护。这会产生多米诺骨牌效应，使黑客可以轻松访问帐户和敏感数据。制定一项定期更新密码的政策，并要求系统生成密码以增强其强度。

如果碰巧您还没有这样做，请确保您自动阻止前雇员访问您的系统和数据。员工离开公司时，应撤销过时的凭证和访问权限。否则，他们可以自由支配，继续访问您公司的所有数据，或者他们旧帐户的密码将长期保持不变，以至于黑客最终会赶上并轻松访问。

网络应用程序安全

查看您的团队如何访问个人和专业应用程序，以及他们如何获取这些应用程序并将其下载到他们的设备上。要求所有应用程序都从 Google Play 或 Apple App Store 等合格来源下载，并研究开发者的声誉。

为了增加保险，考虑在任何应用程序可以在公司设备上使用之前创建一个预批准流程。为员工提供有关设置智能手机和设备的教程，以提示用户在下载应用程序或允许他们访问任何数据之前获得权限。

远程访问的数据

远程访问数据可能会在打开 WiFi 的情况下无意中打开后门，但也可能导致来自危险行为的恶意软件攻击。您的团队可能认为查看电子邮件没什么大不了的，但您的员工可能做的远不止于此，而且使用的设备远非安全。

例如，思科的一项研究发现，一半的受访者表示他们使用自己的个人设备访问公司资源。然而，实际上只有一半的设备受到防病毒或安全软件的保护。同一项研究发现，员工使用公司设备进行在线购物和访问第三方应用程序。

免费 WiFi 对于出差和在现场工作的员工来说可能是一件好事，但对于恶意数据泄露来说可能是一场噩梦。对员工进行培训，让他们了解黑客拦截来自不安全 WiFi 的数据传输的能力。使用受密码保护的无线信号，并使敏感数据和通信远离公开连接到 WiFi 的易受攻击的智能手机。在参与任何涉及远程访问的活动之前，员工需要接受有关何时、如何和为何使用 WiFi 以及需要哪些安全工具的教育和信息。

第 5 步.准备文档

交出厚厚的手册和不太吸引人的安全政策可能会让人一目了然，但它不会被员工消化或激励他们采取行动。政策中充斥着大量技术术语的信息，但没有任何上下文会使您的员工流失。相反，专注于为您的团队提供细分和定制的文档和培训。

跳过一刀切的政策

无需为整个公司的安全制定一刀切的政策。一名员工可能最好通过视频处理和保留信息，而另一名员工可能希望就安全问题以及如何处理这些问题进行圆桌讨论。

从采取更全面的安全方法的公司中获得灵感，并研究他们如何围绕它创建一种文化。例如，Uber 为其员工创建了适合不同地区、部门和角色的安全计划，以将安全是公司文化的一部分这一理念转化为现实。

小企业主也可以通过针对员工的需求和日常工作职责提供文件和培训来做到这一点。毕竟，可以访问客户数据的销售团队的安全策略看起来与使用在线社交媒体应用程序安排帖子的营销部门的安全策略不同。

第 6 步.进行培训

安全不仅仅适用于 IT 部门或处理敏感数据的行政助理。每个人都应该拥抱安全并将其融入到他们的日常工作生活中。招募高层管理人员参与安全工作，并树立榜样，将持续的安全培训与绩效评估一样认真对待。回想一下过去的安全问题，例如一名员工不小心将恶意软件下载到他们的工作设备上。

接下来，了解安全漏洞最初是如何发生的，并运行网络钓鱼和鱼叉式网络钓鱼模拟。收集反馈和数据以查看每个部门在模拟中的表现。您还可以考虑为员工报告的每封可疑电子邮件提供奖品和每月抽奖。这种激励使人们高度关注安全性并不断监控恶意活动。

为了使培训尽可能有趣和吸引人，请跳过讲座并将其变成游戏。将来自不同部门的员工分成小组并举办问答比赛。针对不同的安全问题、技术和勒索软件等恶意活动对团队进行测验。您的员工会玩得很开心，并且更有可能记住他们会通过安全手册浏览的信息。琐事动态还可以帮助在队友之间建立信任和友情，并增强您的安全文化的互动性。

第 7 步.奖励员工参与

在安全培训期间依靠散布恐惧和羞辱不会让你走得太远。员工可能将安全视为一种消极且压力大的过程，而不是业务生活的一部分。无论您的员工对安全问题的关心程度如何，与手动和持续的安全培训相比，他们更有可能受到奖励和激励的激励。奖金是实现这一目标的一种方式，但员工可能会对与高管共进午餐或奖金休假等额外津贴做出回应。

通过会议中的持续提醒和休息室对话，公开遵守安全协议的激励措施。公开承认并感谢员工对安全的承诺，以在整个企业中培养积极主动的心态。但是，这并不意味着您的团队不应该了解风险。解释参与不合规行为时的利害关系，从客户安全漏洞到数据丢失，以及涉及的成本。安全应被视为为公司带来价值，并且与促进销售线索和客户服务一样对公司的成功不可或缺。

提高安全性是一个持续的过程

归根结底，您的安全文化完全取决于个人责任和团队动力。如果您自己不遵守政策，您的员工将不会遵守协议。如果没有激励和动力，他们也不会主动掌握安全。每月或每季度举行一次安全会议和激励措施，让员工时刻关注安全问题。让提高安全性成为一个持续的过程，就像您的销售目标一样没有商量余地。