聖誕節前,國際社交網絡公司Facebook又被爆出資料庫外流,全球2.7億用戶資料網上隨便就可以下載。其實近年愈來愈多網站資訊外洩的事件,2018年就曾經流出陌陌3000萬數據、香港國泰航空洩漏940萬用戶數據、香港寬頻網絡公司洩40萬用戶資料等。
網絡資訊問題每天都在世界各地上演,隨著近年各國政府不斷推動,網絡安全已經成為了全球的議題,到底如何才能保障到網站的安全?
Bingo網頁設計公司程式部主管林柏宇表示,網站內外具有多種攻擊手段,要防止需要有多個關注的方向。
一、網站外部
1.1 域名保護
製作網站,大部份公司會關注網站的安全,但其實域名安全可以有更嚴重的影響,這個絕對不容忽視。
所有人瀏覽網站,第一步都是瀏覽域名,但是域名當中的網站,特別今時今日很多詐騙網站,所以很多人都會將一個官方域名保存到收藏夾當中,當你瀏覽的時候,就可以更為方便。
但如果駭客盜取了你的域名,他可以利用你的域名製作一個一模一樣的網站,但在網站登入的時候,偷取客戶個人資料甚至信用卡資料,由於客人看見的域名是一模一樣,所以他們不容易發現網站被黑,而做成虧損。
很多製作網站的公司都忽視了域名保護的重要性,但其實2012年,百度域名就曾經被修改,長達8小時,做成1億用戶瀏覽了偽造網站,並引起了史無前例的影響。
為了保護網站,林柏宇表示,他們會拒絕直接使用域名面板,在域名註冊後,亦會將客戶電郵登記上ICANN,如果需要修改DNS甚至轉出域名,需要網站公司以及客人同時以電郵驗證,才可以進行,加強保安性。
1.2 DDOS攻擊
DDOS全名為分散式阻斷服務襲擊,亦稱洪水攻擊,是一種網絡攻擊手法,其目的在於使目標電腦的網絡或系統資源耗盡,使服務暫時中斷或停止,導致其正常用戶無法存取。
過去,香港交易所就曾經受過多次DDOS的攻擊,甚至有多次因為受到DDOS而要暫停交易系統的情況出現。
DDOS其原理其實是黑客利用多臺影子電腦同時間發動流量攻擊,林柏宇表示,一家好的網頁設計公司應該同時在多個數據中心有伺服器佈置,而且可以隨時為網站更換IP,一旦網站受到DDOS攻擊下,可以即時為網站進行分流。
Bingo網頁設計公司就曾經處理一個香港新聞網站每分鐘50Gbps、每秒15萬次查詢的網絡攻擊。
1.3 網站連線攻擊
今時今日很多人都會透過wifi上網,當你在wifi瀏覽網站的時候,你怎麼肯定wifi中的連線,沒有駭客準備盜取你的信用卡資料?
其實網站只要利用SSL加密,就可以做到保護的效果。
SSL的原理是當用戶與網站連接的時候,所有資訊都會進行加密,如果中途有駭客截取訊息,亦只會取得一堆亂碼,而這些亂碼,即使在軍方的超級電腦下亦需要幾天才能解密完畢,一般黑客根本沒有能力解密,可以達到保障個人資料。
二、網站內部
2.1 代碼漏洞
一個網站有到達10萬條代碼,只要其中一條代碼沒有檢查清楚,就有可能發生被入侵的機會。
林柏宇表示,為了保護客人的網站安全,Bingo網頁設計公司設計了一套完整的網站系統,每個客人使用的系統內核都是經過加密以及重複檢查,達到ISO以及政府級別標準。
全球最大型的社區網站Github就曾經因為網站漏洞問題洩漏2.4億用戶資料。
其實,每年OWASP都會更新網站安全的標準以及為全球網站製定教學手冊,程式員按OWASP的標準製作網站已經可以達到密不透風的水平。
2.2 人為外洩
最近媒體報導多有公司重要涉密人員離職引發的商業洩密事件發生,給企業帶來巨大損失。OA系統辦公在提供方便的辦公環境的同時,也帶來了很大的信息安全問題。很多涉密資料通常會以電子文檔的方式存儲在員工、高管的電腦上,尤其該當員工離職時,如果企業信息安全管理不到位就很可能帶來隱患。
世界範圍內的各個機構、組織、個人都在探尋如何保障信息安全的問題。英國、美國、挪威、瑞典、芬蘭、澳大利亞等國均制定了有關信息安全的本國標準,國際標準化組織(ISO)也發布了ISO27001等與信息安全相關的國際標準及技術報告。目前除了上述幾個國家外荷蘭、丹麥、巴西、中國大陸、臺灣、香港等國家和地區也在積極地推廣該標準。
2.3 伺服器數據保管
容災能力也是評判一家企業業務水平的重要標準。 據2018年美國一家知名大數據公司發布的網際網路行業報告指出。在173個伺服器數據事故調查中,只有17.9%的公司快速恢復到事故前水平。伺服器數據問題主要由硬體故障、軟體錯誤、認為操作失誤和自然災害等幾個原因,而最有效控制潛在風險和出現緊急情況能夠快速反應的方法就是備份數據。
掌握正確的伺服器備份方法,可以最大限度地減少存儲空間,減少對計算資源和帶寬使用的影響,從而確保數據安全,並在災難發生後,儘可能快速、輕鬆地恢復業務。