我们自己有几个对外的网站,其实都不算什么重要的业务,只是些对外的宣传网站。后来开始逐渐增加了几个办公系统的,访问量也都很小。
不过从很早在windwos系统上就已经开始频繁的出现被入侵的情况,那个时候对系统安全的认识还不够全面,当时网站前端有硬件防火墙,只开放业务端口,在被入侵后也反复的对WINDWOS系统进行安全加固,慢慢的开始了解了更多的入侵手段之后才发现之前的很多操作都是徒劳的,因为现在的入侵手段,更多的是应用层实现的,代码的漏洞,中间件的漏洞,网页公用框架的漏斗都直接导致了黑客的入侵。
后来我尝试更换操作系统。更换了LINUX之后虽然安全性有所提高,但对LINUX系统吃的不透彻,所以也时有被入侵的事件发生,有些明显的中间件,公用组建的漏洞因为软件开发程序的问题而无法升级,最后还是选用了硬件的WEB网关,才基本的解决了被入侵的问题。这个被入侵的过程非常痛苦,也让我大概整理了一些注意事项和大家分享,
1,尽量选用LINUX系统,系统安全加固是最基本和底层的安全保障,
2,传统的硬件防火墙只能实现端口的过滤,尽管现在的入侵多数都是通过正常的业务端口入侵的,还是要尽量关闭所有不需要的端口,
3,中间件,数据库,公用组件尽量选用高版本,进行安全加固,
4,优化程序代码,在代码层面进行安全过滤。
5,增加硬件WEB网关针对漏洞,行为等进行严格过滤,
总的原则就是尽量设置最多的安全障碍来使黑客的入侵时间变长。当入侵一个系统变得足够复杂的时候,也会大大的减少黑客和你纠缠下去的耐心。
bryan_sd (国有银行 软件架构设计师)
补充几点:
1.linux尽量打开selinux,目前很多运维人员因为其复杂的设置而关闭;
2.对操作系统和数据库软件等定时打补丁;
3.应用上线时可以使用kali等相关扫描软件进行一定的漏洞扫描
冷学峰 铁岭市社保信息中心
赞同前面几位的一些做法和建议,我也补充几个问题:
1.对于管理较多的服务器环境,如果有条件的,还是建议他们部署一个漏洞扫描设备,定期分析漏洞扫描结果,根据扫描结果进行整改。
2.需要督促各方面管理人员都按照规范要求来做日常工作。比如我们,有自己的管理人员,运维管理人员,应用开发管理人员等各部分人员都需要按照规范的要求来工作,就可以减少一些安全问题的出现。
3.在做到前面一些基本措施基础上,再进一步细化做一些主要部分的具体工作就会更好。比如数据库层面,启用一些类似数据库防火墙的设置,严格限制登录数据库的IP地址等方面的工作可以进一步提高系统的安全性。我们通过漏洞扫描过此项问题为高危漏洞。
- 赞助本站
- 微信扫一扫
-
- 加入Q群
- QQ扫一扫
-
评论