依据我的工作经验，一般企业对安全的高度重视水平，与这个企业是不是有过安全事故拥

有巨大的关联。假如一家企业之前从沒有遇到过安全隐患，那麼也不会有哪些决心在安全层面

有一定的资金投入；相对性的是，假如一家企业遭受过黑客进攻，而且导致了一定损害，那麼

对安全隐患的心态便会来个一百八十度的拐弯。不论是教材上，還是我的从事工作经验，都评

定了一个客观事实：安全工作必须自顶向下进行。一次次经验教训告知人们，自底向上进行安

全工作，是终究要不成功的。因此怎样合理的进行安全工作？最重要的前提条件，便是企业的

高管可以从战略上重视安全隐患。假如最大高管自身具备较强的防范意识，乃至懂许多 进攻或

防御力的技术性专业知识，那麼安全工作通常会很行之有效，并且可以省很多钱。针对创业者

而言，怎样进行安全工作是我以下提议：
 

 

 

1.按时请第三方安全企业做安全风险评估

 

那样你能降低人工成本的资金投入，另外让更技术专业的人做技术专业的事儿。

 

2.考虑到应用开源系统或商业服务的WAF（Web运用服务器防火墙），或是是IPS系统（入侵防

护系统)应用WAF的益处是能够 尽量避免的修改编码，另外为修复漏洞获得時间。由于有时改

编码是很不便的一件事情，而一些第三方程序流程的编码改起來就更麻烦了。

 

3.有效缩紧各种各样管理权限

 

包含数据库查询、网络服务器、运用后台管理、SVN等管理权限，只把管理权限对外开放给必

须应用的人。

 

4.妥当存放好全部的系统日志

 

包含各种各样运用的系统日志、Web系统日志、网络服务器系统日志等。必须即时的远程控制

搜集起來，远程控制搜集的缘故是有的黑客侵入后的第一件事儿便是伪造系统日志。

 

5.给公司员工做一些安全教育培训

 

基础的防范意识還是要有的。常常有黑客会打客服热线或是发送邮件回来搞一搞行骗。另外也

要避免弱口令，许多 后台管理系统都是由于弱口令网站被黑掉的。程序猿也必须具有一些基础

的素养，避免普遍的不安全编码的书写。

 

6.考虑到找一套较为有效与可靠的安全解决方法

 

解决方法一般考虑到三个层面：编码安全怎样保持、网络信息安全对策怎样制订、电脑操作系

统怎样加固。假如想把全套安全管理体系跑起来得话，你要必须制订一个安全运营的对策，例

如按时扫描网站、审计系统日志和编码，及其制订应急处置的步骤。大概就这种了，写着写着

发觉和一般企业做安全差不多了，安全想搞好的确不易，有标准得话還是找技术专业的人吧，

或找专业的网站安全公司来解决，目前咱国家做安全比较专业的公司如SINE安全，鹰盾安全，

绿盟，太安科技等等。返回本篇文章最初的难题“低成本”上去。之上几个方面常有不花钱的方

法，按时的安全风险评估可以用按时的扫描取代，但是实际效果要差上一些。也有投机取巧的

方法是向安全社区公布征选系统漏洞，并有奖活动感谢，成本费也不会很高，但实际效果却十

分的好。