寶雞網站建設之企業門戶網站安全問題 |
作者:佚名 發布時間:2012-02-18 瀏覽:1720次 |
以下內容由寶雞網站建設、寶雞網絡公司---寶雞世紀網絡公司為您編輯整理,我公司是寶雞地區專業的網站建設服務提供商,五年建站歷程、六百家客戶的選擇,值得信賴!咨詢熱線0917-3535180 3536690……以下文字為我公司原創,如需商業用途或轉載請與我公司聯系,謝謝配合! 春節已經過去了,每年春節的時候,針對企業門戶網站的攻擊就會直線上升。黑客的攻擊相當給力,但是IT運維人員到了年底,可能都想著放年假了。在門戶網站的安全上面做的相當的不“給力”。如此,門戶網站建設的安全就可想而知了。下面就是我在春節期間根據公司多年的經驗,寫出來的幾點維護企業門戶網站安全的建議,希望對大家有所幫助。 一、年終安全監督不可忽視 俗話說,防范于未然。企業IT負責人在日常工作中,針對Web服務器會有很多的監督措施。如針對事件日志、防火墻等方面的監督。可是由于人心理方面的變化,每到年終的時候,這些措施都不能夠落實到實處。如沒有及時查看日志信息等等。我認為,越到年底,這個安全監督的工作越不能夠忽視。 在年底,做好啟用自動監控機制。年底的時候,工作可能確實比較忙。如需要做年終總結、進行一年一次的設備維護等等??赡軟]有時間去即時的關注日常安全監控的工作。在這種情況下,可以考慮啟動自動監控機制。如通過防火墻策略,針對一些登陸的操作,設置自動監控。當用戶多次嘗試登陸時,及時的發送郵件給系統管理員報警等等。如此的話,系統管理員就不需要從眾多的日志信息中去獲取敏感的信息。只需要定時查看有沒有報警郵件即可。這可以讓系統管理員從日常繁瑣的工作中解放出來。 總之,年底工作忙、安全意識減弱等等,這些都可以理解。但是作為系統安全運維人員,需要采取積極的措施來避免由此帶來的負面影響。而不是放任其存在。我認為最好的方式,就讓系統能夠自動報警,啟用多級安全監控機制。 二、要設置行之有效的預備措施 如果系統管理員在家里過年的時候,突然接到一個老總的電話,說門戶網站被攻擊了,讓其馬上回來進行處理。此時一個好好的春假就這么泡湯了。那可是非常悲劇的事情。我在做安全維護方面的項目時,一般都會建議企業,在一些比較敏感的日子(如315消費者權益日、春假)要做好額外的預防措施。系統安全人員要能夠防范于未然,想到最壞的情況。即假設門戶網站被攻擊的面目全非了,該如何才能夠最快速最便捷的進行修復?針對這一點,我認為需要做好以下預防措施: 一是要能夠遠程解決問題。任誰都不希望在家過年的時候跑回到公司里去處理問題。所以在過年之前,要設計一個遠程解決問題的策略,并進行測試。其實這只要想的到,實現起來難度并不是很大。如為了提高Web服務器的訪問速度,一般都會讓Web服務器采用一個合法的公網IP地址。此時只需要在這臺服務器上開啟一個遠程訪問的接口,系統管理員就可以遠程對服務器進行維護,如數據恢復等等。不過需要注意的是,這個遠程訪問的接口需要做好安全措施。要知道,你可以利用這個接口,那么攻擊者也可能借這個接口做文章。為此安全措施要做到位。如最好時候SSH等安全加密協議來作為維護的協議,而不要使用HTTP等等。如果企業通過NAT等機制,那么也只需要在NAT服務器上配置一下即可。一般情況下,管理員可能處于安全考慮,不允許通過外部連接對內部的Web服務器進行維護。不過在年底,我還是建議開啟這個功能。當前前提是做好相關的安全措施。 二是要對數據做好備份。我建議Web管理員,在離開員工的最后一天,對數據進行完全備份。如果在放假期間,真的遇到被攻擊的事件。此時通過遠程,可能并不能夠很快的發現問題。畢竟遠程維護具有一定的局限性,如速度、資料等等的限制。在這種情況下,比較好的、又快速的恢復方法就是對數據進行恢復。上面我提到了要開啟遠程維護的功能。開啟之后,管理員只要自己家里可以上網,就可以在遠程進行操作,讓服務器利用原先的備份文件進行恢復。然后等到放假回來,再通過日志等信息來查看被攻擊的相關情況。不過這里我需要提醒的一點是,在做恢復操作之前,需要先對原服務器的日志等文件進行備份。否則的話,事后不能夠對這個事件進行分析。 三、保護邊界安全 放假時,企業通過外部網絡來訪問企業內部的服務器需求會增加。如一些外貿公司,國內與國外的放假時間是不一樣的。在春節放假期間,業務員需要經常性的訪問企業的內部服務器。如企業內部的郵箱服務器、內部的文件服務器等等。在這種情況下,系統安全人員就要做好企業邊界的安全。 在這里我們需要明白一點,即使再嚴格的安全防護措施也很難網站內網與外網之間的連接部存在安全漏洞。雖然如此,我們仍然需要采取一切有效的措施往這個方面努力。在實際工作中,我認為借助信息安全島能夠比較有效的實現這一點。舉一個簡單的例子。管理員可以在內外網之間設置一個信息安全島。借助信息安全島的緩沖作用,可以將單位內網中的信息與外網中的信息實現物理隔離,以確保內外網在交換、傳輸數據信息時能夠比較安區區的進行。 安全信息島其實就是一個獨立的過渡網絡,或者叫做緩沖帶。這個網絡并不屬于企業的內部網絡,也不屬于外部網絡。從網絡拓撲上來看,這信息安全島位于企業內外網的交界處。通過安全信息島,可以將單位的內部網絡與互聯網進行無理的隔離,從而避免攻擊者直接入侵到企業的內部網絡系統。采用安全信息島有一個好處,在實現內外網絡物理隔離的同時,還能夠允許內外網的數據信息進行正常的傳遞。信息安全島工作的基本原理,就是通過一定的技術把來自外網的信息進行提取,然后將提取出來的數據通過擺渡技術發送到內部網絡中。然后再將內部網絡中傳遞過來的數據發往互聯網。可見此時信息安全島就起到一個中間人的角色,避免了企業內網與互聯網直接打交道。在受到攻擊時,只要信息安全到的嘴巴足夠硬,那么就不會牽涉到企業內部的網絡?;蛘哒f經過中間這個緩沖帶,也給安全人員發現威脅留下足夠的時間。 四、對補丁進行升級 企業對補丁進行升級時,往往有兩種策略:自動升級和手工升級。平時的時候,可能處于穩定性的考慮,會采取手工升級的策略。但是在放假時,有誰來進行補丁升級呢?為此我建議,在可能的情況下,最好在放假期間,允許服務器自動對補丁進行升級。當然前期條件是,要讓系統自動從官方網站上下載補丁并進行安裝。 如果系統管理員對于補丁的穩定性有所懷疑,如擔心的打上某個補丁后影響系統的兼容性,此時也有一些折中的方式。如在改為自動升級之前,先對服務器的進行硬盤之間的Ghost備份。萬一真的出現不兼容的情況下,可以通過系統恢復等措施來挽回損失?;蛘哒f,在系統中設置可以允許用戶通過遠程來下達更新補丁的指示。如此的話,萬一在放假期間出現了重大的補丁,還有方法進行彌補。 |