天矽科技 line

天矽部落格最新的網路趨勢資訊

網站設計趨勢

【網站資訊安全】高資安解決方案|案例分享|天矽科技網頁設計客製化

部落格:【網站資訊安全】高資安解決方案|案例分享|天矽科技網頁設計客製化

 

使用網際網路,資訊安全與隱私是每個人最擔心的問題,因此在架設網站時,就要先將網路資訊安全考量進去。

目錄

1.網站資訊安全
2.網站主機
3.WAF防火牆
4.網站Acunetix弱點掃描
5.硬體系統代管
6.攝陽企業案例分享

 

 

 在架設網站時,網站申請SSL憑證是最基本的資安要求,也就是網址最好是https開頭,因為沒有人會想要瀏覽不安全的網站!延伸閱讀SSL憑證是什麼?沒人想瀏覽不安全的網站!

 若網站已經有SSL憑證,接著我們就可以考慮其他的高資安方案:

  1. 使用獨立實體主機而非虛擬主機
  2. 使用 WAF防火牆
  3. 進行 Acunetix弱點掃描與排除

 如果網站屬於一般形象網站、無特別重要的資料,安裝必備的SSL憑證即可,至於是否要加深防護,可依照企業的需求來判斷。

 

 以金融類型的網站來說,金融網站會牽扯龐大的金流問題,並須遵循金管會的監督與要求,不僅語法要使用最新,資訊安全的扎實程度也非常要求,若網站有一個風險就要開罰近60萬的罰款,這樣的網站就必須提高資安防護與處理。(相關報導:資訊系統建置違規 金管會處分全球人壽罰鍰60萬元)

 而日商、德商企業在做事風格上相當的嚴謹,在網站架設上除了網站設計、程式開發也會有許多資訊安全的事項,如:攝陽企業

 

 以下我們用「攝陽企業」這間日商公司的網站架設標準,來提供大家高資安網站方案怎麼做。

 

 

 網站主機就是放網站的地方,如果說網址是地址,那麼主機就是房子。它提供系統資源、網路頻寬與儲存空間…等,將網站放到主機中,使用者就能透過網域(網址)瀏覽企業網站。

 

高資安方案主機:

4核4G高資安專用主機 (100MB專用頻寬)

  1. 處理器:CPU*4
  2. 記憶體:4G DDR3 ECC REG MEMORY
  3. 頻寬:100MB
  4. 硬碟:100GB
  5. 流量限制: 10,000 G /月
  6. SSL憑證:添加SSL伺服器數位憑證,增加伺服器線路資訊安全,防止個人線上傳輸時被竊取盜用。

 

 以上需求可依照自家企業網站所需做客製化增減調整,也可找專業的硬體廠商規劃伺服器相關設備及硬體維護事項。

 

 

 Web Application Firewall 簡稱WAF,全名為「網路應用程式防火牆」它就是網站保鑣的概念。

 WAF防火牆透過監控網站傳輸流量,對比惡意程式資料庫的資訊,過濾可疑流量並阻擋惡意流量進入網站。

 

WAF高階資安版防火牆

  1. 主機安全防護系統。
  2. 7*24HR高階硬體防火牆。
  3. Web ApplicationFirewall網路應用程式防火牆。
  4. WAF提供每個月遭受攻擊的處理報告。

 

  • Encoding (編碼攻擊)
  • Header Tampering (標頭竄改)
  • Path Traversal (路徑挖掘)
  • SQL Injection (SQL隱碼注入)
  • Cross Site Scripting (跨網站指令碼攻擊)
  • Remote Command Execution (執行遠端命令)
  • Probes (探針)
  • Known Worms (已知蠕蟲)
  • Compromised Servers (被盜用的伺服器)
  • Spammer Bots (垃圾回應機器人)
  • Bad User Agents (不良的使用者代理)
  • Denial of Service (阻斷服務攻擊)
  • Session Hijacking (會話劫持)
  • Cookie Tampering (竄改Cookie)

 

 

 Acunetix是一款網路漏洞的掃描軟體,它可以檢測網路的安全漏洞、滲透式的掃描。

 弱點掃描分為軟體硬體模擬攻擊,攻擊方式以模擬駭客的操作模式來攻擊網站,再將漏洞整理成報告,而天矽科技負責軟體的中高風險排除,主機公司則負責硬體的問題。

 

高資安Acunetix弱點掃描

Acunetix Web Vulnerability Scanner資安軟體檢測項目如下:

  1. 跨網站指令碼攻擊 (Cross site scripting)
  2. SQL程式碼注入攻擊(SQL injection)
  3. 程式碼執行攻擊(Code execution)
  4. 目錄遊走(Directory traversal)
  5. 檔案引入攻擊弱點(File inclusion)
  6. 網站程式原始碼暴露(Script source code disclosure)
  7. CRLF 注入攻擊
  8. 跨頁框指令碼攻擊(Cross frame scripting)
  9. 供應商承諾應對防毒、系統及所使用應用軟體持續進行安全性更新
  10. 正式上線前須檢附當下網站版本的安全檢測報告

 

中高風險排除方式 (軟/硬體)

  1. 軟體程式高中風險處理 (天矽科技處理排除)
  2. 硬體主機高中風險處理 (硬體廠商處理排除)
  3. 網站上線時指定以Acunetix Web Vulnerability Scanner資安軟體安全檢測報告
  4. 報告內容針對網站軟體程式的高、中風險,天矽科技會進行排除處理
  5. 報告內容針對網站硬體主機的高、中風險,客戶需購買高資安主機+系統代管才能排除高中資安風險

 

 

  1. 7*24伺服器健康狀態監控服務,定時掃描。(掃描http、ftp、sql、mail,若服務停止時發簡訊通知)

  2. 提供網管人員主機重啟服務。
    如您主機無法提供服務時,24小時值班工程師會於第一時間收到簡訊通知,透過遠端管理即時協助恢復主機服務。包含:http、FTP、DNS、SQL、Mail等。

  3. 每日定時網站資料及資料庫備份服務。
    雲端備份PNST備份自動化、資料快速還原、異地機房備份、傳輸全程SSL加密,資料安全面面俱到。
    使用平台: Windows、Mac、Linux、Unix
    資料庫:MSSQL、Oracle、MySQL。

  4. 協助安裝軟體與系統調教設定與維運。例如 IIS、Apache、FTP、MSSQL、MySQL、DNS。
  5. 針對系統進行效能調校與監視系統程式(資料庫)架構分析,給予建議。 包含: CPU、Memory、Disk、I/O、Connection
  6. 每季定期弱點掃描,模擬駭客入侵攻擊模式進行模擬攻擊,並提出資安報告。系統安全性進階設定(針對新型漏洞與攻擊更新設定)。

 

 

 攝陽企業是三菱電機在台灣的子公司,屬於日商企業。

 網站設計架設需遵從母集團的設計規範與經過日本的二階段審核;在資訊安全的方面,也要有一定高度的資安保障,使用獨立主機WAF防火牆弱點掃描模擬攻擊都是必備的作業。

 想看更多關於攝陽的設計界面重點,歡迎前往作品集的詳細介紹—攝陽企業作品集

攝陽資料下載

▲攝陽資料下載頁面

 

攝陽-會員專區

▲攝陽會員專區

 

攝陽-後台管理

▲攝陽後台

回上一頁
信箱
客服
Line@