网络安全架构规划策略-创新互联
随着刚刚过去一轮比特币病毒的清洗,网络安全问题再次给我当头棒喝。对于企业来说,保障数据安全,维持业务稳定是重中之重。那么如何采取有效的措施来保障我们的数据安全,保障我们的系统不会被外来的***者破坏呢?下面就以个人工作经历中一些体会来谈一谈常用的安全架构策略。
创新互联从2013年开始,先为武陵等服务建站,武陵等地企业,进行企业商务咨询服务。为武陵企业网站制作PC+手机+微官网三网同步一站式服务解决您的所有建站问题。对于几乎所有的互联网企业来说,保障自身对外提供的服务可行之外,还需要考虑安全级别的问题。对于不同的安全优先级,可以采用不同程度的安全策略。
网络安全控制
现在通用的网站架构基本上都是通过防火墙或者路由上NAT映射,对外部提供服务。对外部提供应用服务的应用是最敏感的区域,这里是所有***的入口。对于入口的限制要非常谨慎,能留窗户(访问权限)的地方绝对不能留门(控制权限)。
1、对于提供必要的服务外,应该将其它的服务端口和应用对外关闭或禁用。如提供web服务的站点,就只对外开放80端口,提供邮件服务那就只开放smtp和pop3的一系列端口。
2、防火墙是我们阻挡外部威胁一道重要屏障,在不影响业务的前提下尽可能将安全策略调整到最高级别。根据应用,在防火墙上只开放特定的端口,其他的协议和端口一律拒绝。
3、在使用防火墙进行NAT转换时,应使用端口映射而非IP映射,这样可以避免一些安全隐患。
4、对于需要远程管理的服务器,管理端口一定不能暴露在公网中,一般的通用方法是通过×××跳到防火墙的信任区域对其进行管理。
5、为了在办公区域方便管理远程服务器,可以将办公区域的出口IP添加到防火墙的信任区域中,而本地办公网络需要进行严格的接入限制,如mac认证,域认证等。
6、防火墙的远程管理不能暴露在公网环境。
服务安全控制
对于服务安全方面主要在于对外应用的漏洞防范,保障数据安全等方面。
1、对于服务使用的用户进行严格限制,不使用系统的最高管理权限去管理服务。
2、对于服务进行安全方面的优化,如默认修改默认的密码,删除不必要的配置项和可能系统自带的含有隐患的数据信息等。
3、对服务和应用进行定期的漏洞扫描,即使更新补丁,修复漏洞。
4、应用在完成功能测试之后,还应进行安全方面的测试,避免未知漏洞。
操作安全控制
1、禁止主机之间不必要的信任关系。
2、如果是linux系统,禁止root登录。
3、对登录用户的操作进行监控,对于不正常的登录动作(多次密码错误)发送报警。
另外有需要云服务器可以了解下创新互联scvps.cn,海内外云服务器15元起步,三天无理由+7*72小时售后在线,公司持有idc许可证,提供“云服务器、裸金属服务器、高防服务器、香港服务器、美国服务器、虚拟主机、免备案服务器”等云主机租用服务以及企业上云的综合解决方案,具有“安全稳定、简单易用、服务可用性高、性价比高”等特点与优势,专为企业上云打造定制,能够满足用户丰富、多元化的应用场景需求。
本文名称:网络安全架构规划策略-创新互联
分享路径:http://scyanting.com/article/hiphi.html