如何在低成本的情況下保護的網站安全?

如何在低成本的情況下保護自己的網站安全?一般來說，很多安全專家都會告訴你沒有絕對的安全，如果黑客一定要長期盯著你的公司有針對性的滲透，很少有可以幸免的。這么說難免令人沮喪，盡管如此，我們仍然不能坐以待斃。就算所有公司都被黑客黑掉了，我們也希望自己能是最后被黑掉的那一個。同時，如果采取的措施恰當，是有可能將損失降至最低的。

最常見的是：

1、缺乏必要的策略和流程，以至于產生SVN權限亂給、離職員工還能有權限、員工隨意在服務器上開端口暴露出去等諸多問題；2、測試環境、生產環境混亂，程序員、測試、運維可能都有服務器的權限；3、代碼更新頻繁且快速，增加安全檢查是一種額外的負擔。以上問題都給安全工作帶來了很多困難，而且創業團隊一般來說是沒有全職的安全工程師崗位的。

一般公司對安全的重視程度，與這家公司是否出過安全事件有著極大的關系。如果一家公司以前從沒有遇到過安全問題，那么也不會有什么決心在安全方面有所投入;相對的是，如果一家公司遭遇過黑客攻擊，并且造成了一定損失，那么對安全問題的態度就會來個一百八十度的轉彎。

安全工作需要自頂向下展開。無數次教訓告訴我們，自底向上展開安全工作，是注定要失敗的。所以如何有效的開展安全工作?最重要的前提，就是公司的管理層能夠從戰略上重視安全問題。如果最高管理層本身具有很強的安全意識，甚至懂很多攻擊或防御的技術知識，那么安全工作往往會很有成效，而且能夠省很多錢。

對于創業團隊來說，如何開展安全工作我有如下建議：

1、考慮使用開源或商業的WAF(Web應用防火墻)，或者是IPS(入侵防御系統)

使用WAF的好處是可以盡量少的改動代碼，同時為打補丁贏得時間。因為有時候改代碼是很麻煩的一件事情，而有些第三方程序的代碼改起來就更麻煩了。

2、合理收緊各種權限

包括數據庫、服務器、應用后臺、SVN等權限，只把權限開放給需要使用的人。

3、定期請第三方安全公司做安全評估

這樣你可以減少人力成本的投入，同時讓更專業的人做專業的事情。

4、給員工做一些安全培訓

基本的安全意識還是要有的。經常有黑客會打客服電話或者發郵件過來搞搞詐騙。同時還要杜絕弱口令，很多管理后臺都是因為弱口令被黑掉的。程序員也需要具備一些基本的素質，杜絕常見的不安全代碼的寫法。

5、妥善保管好所有的日志

包括各種應用的日志、Web日志、服務器日志等。需要實時的遠程收集起來，遠程收集的原因是有的黑客入侵后的第一件事情就是篡改日志。

6、考慮找一套比較合理與靠譜的安全解決方案

解決方案一般考慮三個方面：代碼安全如何實現、網絡安全策略如何制定、操作系統如何加固。

如果想把整套安全體系跑起來的話，你還需要制定一個安全運營的策略，比如定期掃描網站、審計日志和代碼，以及制定應急響應的流程。

以上幾點都有不花錢的方式，定期的安全評估可以用定期的掃描替代，不過效果要差上一些。還有取巧的方式是向安全社區公開征集漏洞，并有獎答謝，成本也不會很高，但效果卻出奇的好。