为创业公司制定的最低安全预防措施是什么？

如果从第一天开始就没有考虑安全性并将其内置到应用程序及其基础架构中，那么稍后对其进行改造将会更加困难。 现在是构建常规OS /工具修补，升级等流程的时候了。

• 用户在网站上创建/存储哪些数据？
• 违规会对您的用户产生什么影响？
• 违规会对贵公司产生什么影响？
• 违规后你能否重新获得用户的信任？

由于您的公司依赖于保留现有用户并吸引新用户，因此您应该根据用户对违规行为的反应来表达您的疑虑。 高层将了解用户是你的面包和黄油。

此外，不要忘记您需要让您的服务器免受当前（即即将过去）员工的影响。 由于员工的破坏，一些初创公司完全被清除，例如http://www.geek.com/articles/news/disgruntled-employee-kills-journalspace-with-data-wipe-2009015/

声誉就是这里的一切，特别是对于创业公司。 作为一家初创公司，您没有可靠性/安全性的悠久历史/ … – 因此，当他们开始使用您的应用程序时，所有这些都取决于用户给您“怀疑的好处”。

如果您的服务器被黑客攻击并且您的用户注意到了这一点，那么您的声 一旦它消失了，你的应用程序和你的function是否是“下一个新事物”并不重要。 无论安全漏洞是否轻微都无关紧要 – 人们不再相信您的应用/公司。

所以，我认为安全是首要任务。

我同意斯特凡的声誉。 你不想被黑客攻击，因为你缺乏安全性。 这不仅会对您的网站和公司造成伤害，而且由于您负责这项工作，因此会对您造成不良影响。

我个人的意见是尽可能多地做，因为无论你做多少，都会有漏洞。

不幸的是，测试和文档之类的安全性经常是事后的。 您应该确保在网站/软件的生命早期进行风险评估，并继续进行评估。 我认为为安全漏洞修补所有软件很重要。

这些可能很明显：

• 限制密码尝试。
• 清理数据库输入
• 防止XSS攻击的措施

值得一提的是，正如您所说，网络架构应该适当设置。 你肯定应该有一个像往常一样锁定的防火墙。 有些人建议将您的系统置于不同品牌的双防火墙之间，以便在其中一个具有严重漏洞的情况下，第二个很可能没有相同的漏洞，您将是安全的。 这一切都取决于你能负担得起的，因为它是一个创业公司。

如果您明确地试图吸引那些倾向于尝试破解系统的用户，那么您可以很好地打赌您的系统将受到攻击。

您应该向管理层建议，如果他们不打算认真对待安全问题，那么您应该继续在网站上发布公司的银行对帐单和会计帐簿（明文），并在主页上显示一个显着的链接。 至少就是这样，你可以告诉他们，最终结果大致相同，但他们不太可能损害其他一切，以获得他们正在寻找的东西。

我认为声誉问题也可能与这些观众略有不同 – 他们可能原谅你被黑客入侵，但他们可能不会原谅你成为一个容易攻击的目标。

确保您知道服务器正在运行的版本和补丁级别，而不仅仅是操作系统，还包括所有相关组件以及实际执行机器的所有内容。 然后确保你永远不会落后一天。 不这样做会导致很多痛苦，而你却没有听说过大部分内容 – 我过去的大多数雇主都不会公开承认被黑客攻击，因为它反映了他们，所以你可以假设系统被左右攻击对公司造成严重后果，你只是听不到大部分这些事件。

这里有一些基本的“安全”措施，虽然比主动更具react native，但有些事情需要考虑。

1）备份策略，当然不仅仅适用于那些侵入您网站的人，但如果可能的话，将所有内容恢复到预先破解的日子是很好的，确保它是可靠的，最重要的是在近乎实时的恢复演练中进行了测试
2）缓解措施，至少在餐巾纸上有计划，以便在服务器被黑客入侵时如何应对
3）保险，找到了解网络业务世界的保险公司以及由这些事情造成的损害，购买保单
4）有人已经提到过员工破坏问题，你事先对员工进行了筛选吗？ 背景检查很便宜并且挖掘东西……

我最好的建议是监控。

没有完美的安全保障，只需接受风险并在必要时防止风险。 但是，如果您没有监控，您将无法知道某些事件（攻击）是否成功以及它是如何发生的。

因此，请保持系统更新并安装一些轻量级工具来正确监控它。 如果您有自定义应用程序，请在其中添加日志记录 登录错误生成的错误（错误输入），密码失败或任何用户生成的错误。

至于要监控的轻量级工具，有很多免费/开源：

• OSSEC （寻找exception，变化和日志）
• modsecurity （基于网络的监控）
• Sucuri （whois / dns /黑名单监控）

在软件设置中查看Mod Security的各种可能性：Google搜索“mod_security howto example”

简单的例子： http ： //www.ghacks.net/2009/07/15/install-mod_security-for-better-apache-security/