以下內容由寶雞網(wǎng)站建設、寶雞網(wǎng)絡(luò )公司---寶雞世紀網(wǎng)絡(luò )公司為您編輯整理，我公司是寶雞地區專(zhuān)業(yè)的網(wǎng)站建設服務(wù)提供商，五年建站歷程、六百家客戶(hù)的選擇，值得信賴(lài)！咨詢(xún)熱線(xiàn)0917-3535180 3536690……以下文字為我公司原創(chuàng )，如需商業(yè)用途或轉載請與我公司聯(lián)系，謝謝配合！

春節已經(jīng)過(guò)去了，每年春節的時(shí)候，針對企業(yè)門(mén)戶(hù)網(wǎng)站的攻擊就會(huì )直線(xiàn)上升。黑客的攻擊相當給力，但是IT運維人員到了年底，可能都想著(zhù)放年假了。在門(mén)戶(hù)網(wǎng)站的安全上面做的相當的不“給力”。如此，門(mén)戶(hù)網(wǎng)站建設的安全就可想而知了。下面就是我在春節期間根據公司多年的經(jīng)驗，寫(xiě)出來(lái)的幾點(diǎn)維護企業(yè)門(mén)戶(hù)網(wǎng)站安全的建議，希望對大家有所幫助。

　　一、年終安全監督不可忽視

　　俗話(huà)說(shuō)，防范于未然。企業(yè)IT負責人在日常工作中，針對Web服務(wù)器會(huì )有很多的監督措施。如針對事件日志、防火墻等方面的監督?？墒怯捎谌诵睦矸矫娴淖兓?，每到年終的時(shí)候，這些措施都不能夠落實(shí)到實(shí)處。如沒(méi)有及時(shí)查看日志信息等等。我認為，越到年底，這個(gè)安全監督的工作越不能夠忽視。

　　在年底，做好啟用自動(dòng)監控機制。年底的時(shí)候，工作可能確實(shí)比較忙。如需要做年終總結、進(jìn)行一年一次的設備維護等等?？赡軟](méi)有時(shí)間去即時(shí)的關(guān)注日常安全監控的工作。在這種情況下，可以考慮啟動(dòng)自動(dòng)監控機制。如通過(guò)防火墻策略，針對一些登陸的操作，設置自動(dòng)監控。當用戶(hù)多次嘗試登陸時(shí)，及時(shí)的發(fā)送郵件給系統管理員報警等等。如此的話(huà)，系統管理員就不需要從眾多的日志信息中去獲取敏感的信息。只需要定時(shí)查看有沒(méi)有報警郵件即可。這可以讓系統管理員從日常繁瑣的工作中解放出來(lái)。

　　總之，年底工作忙、安全意識減弱等等，這些都可以理解。但是作為系統安全運維人員，需要采取積極的措施來(lái)避免由此帶來(lái)的負面影響。而不是放任其存在。我認為最好的方式，就讓系統能夠自動(dòng)報警，啟用多級安全監控機制。

　　二、要設置行之有效的預備措施

　　如果系統管理員在家里過(guò)年的時(shí)候，突然接到一個(gè)老總的電話(huà)，說(shuō)門(mén)戶(hù)網(wǎng)站被攻擊了，讓其馬上回來(lái)進(jìn)行處理。此時(shí)一個(gè)好好的春假就這么泡湯了。那可是非常悲劇的事情。我在做安全維護方面的項目時(shí)，一般都會(huì )建議企業(yè)，在一些比較敏感的日子（如315消費者權益日、春假）要做好額外的預防措施。系統安全人員要能夠防范于未然，想到最壞的情況。即假設門(mén)戶(hù)網(wǎng)站被攻擊的面目全非了，該如何才能夠最快速最便捷的進(jìn)行修復？針對這一點(diǎn)，我認為需要做好以下預防措施：

　　一是要能夠遠程解決問(wèn)題。任誰(shuí)都不希望在家過(guò)年的時(shí)候跑回到公司里去處理問(wèn)題。所以在過(guò)年之前，要設計一個(gè)遠程解決問(wèn)題的策略，并進(jìn)行測試。其實(shí)這只要想的到，實(shí)現起來(lái)難度并不是很大。如為了提高Web服務(wù)器的訪(fǎng)問(wèn)速度，一般都會(huì )讓Web服務(wù)器采用一個(gè)合法的公網(wǎng)IP地址。此時(shí)只需要在這臺服務(wù)器上開(kāi)啟一個(gè)遠程訪(fǎng)問(wèn)的接口，系統管理員就可以遠程對服務(wù)器進(jìn)行維護，如數據恢復等等。不過(guò)需要注意的是，這個(gè)遠程訪(fǎng)問(wèn)的接口需要做好安全措施。要知道，你可以利用這個(gè)接口，那么攻擊者也可能借這個(gè)接口做文章。為此安全措施要做到位。如最好時(shí)候SSH等安全加密協(xié)議來(lái)作為維護的協(xié)議，而不要使用HTTP等等。如果企業(yè)通過(guò)NAT等機制，那么也只需要在NAT服務(wù)器上配置一下即可。一般情況下，管理員可能處于安全考慮，不允許通過(guò)外部連接對內部的Web服務(wù)器進(jìn)行維護。不過(guò)在年底，我還是建議開(kāi)啟這個(gè)功能。當前前提是做好相關(guān)的安全措施。

　　二是要對數據做好備份。我建議Web管理員，在離開(kāi)員工的最后一天，對數據進(jìn)行完全備份。如果在放假期間，真的遇到被攻擊的事件。此時(shí)通過(guò)遠程，可能并不能夠很快的發(fā)現問(wèn)題。畢竟遠程維護具有一定的局限性，如速度、資料等等的限制。在這種情況下，比較好的、又快速的恢復方法就是對數據進(jìn)行恢復。上面我提到了要開(kāi)啟遠程維護的功能。開(kāi)啟之后，管理員只要自己家里可以上網(wǎng)，就可以在遠程進(jìn)行操作，讓服務(wù)器利用原先的備份文件進(jìn)行恢復。然后等到放假回來(lái)，再通過(guò)日志等信息來(lái)查看被攻擊的相關(guān)情況。不過(guò)這里我需要提醒的一點(diǎn)是，在做恢復操作之前，需要先對原服務(wù)器的日志等文件進(jìn)行備份。否則的話(huà)，事后不能夠對這個(gè)事件進(jìn)行分析。

　　三、保護邊界安全

　　放假時(shí)，企業(yè)通過(guò)外部網(wǎng)絡(luò )來(lái)訪(fǎng)問(wèn)企業(yè)內部的服務(wù)器需求會(huì )增加。如一些外貿公司，國內與國外的放假時(shí)間是不一樣的。在春節放假期間，業(yè)務(wù)員需要經(jīng)常性的訪(fǎng)問(wèn)企業(yè)的內部服務(wù)器。如企業(yè)內部的郵箱服務(wù)器、內部的文件服務(wù)器等等。在這種情況下，系統安全人員就要做好企業(yè)邊界的安全。

　　在這里我們需要明白一點(diǎn)，即使再?lài)栏竦陌踩雷o措施也很難網(wǎng)站內網(wǎng)與外網(wǎng)之間的連接部存在安全漏洞。雖然如此，我們仍然需要采取一切有效的措施往這個(gè)方面努力。在實(shí)際工作中，我認為借助信息安全島能夠比較有效的實(shí)現這一點(diǎn)。舉一個(gè)簡(jiǎn)單的例子。管理員可以在內外網(wǎng)之間設置一個(gè)信息安全島。借助信息安全島的緩沖作用，可以將單位內網(wǎng)中的信息與外網(wǎng)中的信息實(shí)現物理隔離，以確保內外網(wǎng)在交換、傳輸數據信息時(shí)能夠比較安區區的進(jìn)行。

　　安全信息島其實(shí)就是一個(gè)獨立的過(guò)渡網(wǎng)絡(luò )，或者叫做緩沖帶。這個(gè)網(wǎng)絡(luò )并不屬于企業(yè)的內部網(wǎng)絡(luò )，也不屬于外部網(wǎng)絡(luò )。從網(wǎng)絡(luò )拓撲上來(lái)看，這信息安全島位于企業(yè)內外網(wǎng)的交界處。通過(guò)安全信息島，可以將單位的內部網(wǎng)絡(luò )與互聯(lián)網(wǎng)進(jìn)行無(wú)理的隔離，從而避免攻擊者直接入侵到企業(yè)的內部網(wǎng)絡(luò )系統。采用安全信息島有一個(gè)好處，在實(shí)現內外網(wǎng)絡(luò )物理隔離的同時(shí)，還能夠允許內外網(wǎng)的數據信息進(jìn)行正常的傳遞。信息安全島工作的基本原理，就是通過(guò)一定的技術(shù)把來(lái)自外網(wǎng)的信息進(jìn)行提取，然后將提取出來(lái)的數據通過(guò)擺渡技術(shù)發(fā)送到內部網(wǎng)絡(luò )中。然后再將內部網(wǎng)絡(luò )中傳遞過(guò)來(lái)的數據發(fā)往互聯(lián)網(wǎng)?？梢?jiàn)此時(shí)信息安全島就起到一個(gè)中間人的角色，避免了企業(yè)內網(wǎng)與互聯(lián)網(wǎng)直接打交道。在受到攻擊時(shí)，只要信息安全到的嘴巴足夠硬，那么就不會(huì )牽涉到企業(yè)內部的網(wǎng)絡(luò )?；蛘哒f(shuō)經(jīng)過(guò)中間這個(gè)緩沖帶，也給安全人員發(fā)現威脅留下足夠的時(shí)間。

　　四、對補丁進(jìn)行升級

　　企業(yè)對補丁進(jìn)行升級時(shí)，往往有兩種策略：自動(dòng)升級和手工升級。平時(shí)的時(shí)候，可能處于穩定性的考慮，會(huì )采取手工升級的策略。但是在放假時(shí)，有誰(shuí)來(lái)進(jìn)行補丁升級呢？為此我建議，在可能的情況下，最好在放假期間，允許服務(wù)器自動(dòng)對補丁進(jìn)行升級。當然前期條件是，要讓系統自動(dòng)從官方網(wǎng)站上下載補丁并進(jìn)行安裝。

　　如果系統管理員對于補丁的穩定性有所懷疑，如擔心的打上某個(gè)補丁后影響系統的兼容性，此時(shí)也有一些折中的方式。如在改為自動(dòng)升級之前，先對服務(wù)器的進(jìn)行硬盤(pán)之間的Ghost備份。萬(wàn)一真的出現不兼容的情況下，可以通過(guò)系統恢復等措施來(lái)挽回損失?；蛘哒f(shuō)，在系統中設置可以允許用戶(hù)通過(guò)遠程來(lái)下達更新補丁的指示。如此的話(huà)，萬(wàn)一在放假期間出現了重大的補丁，還有方法進(jìn)行彌補。