守护安全
倍受全球瞩目的2016年G20峰会即将正式拉开帷幕。
本届峰会,也是展示中国形象,宣介中国主张、中国倡议,推动建立以求同存异、包容互鉴、互联互通、合作共赢为国际经济新秩序的重要窗口。
鉴于互联网安全事件带来的不良危害,苏迪科技作为专业融合门户服务建设与服务厂商,除日常的安全防护工作外,即日起启动网站群服务器“G20安全巡检工作”,消除安全隐患,保障网站安全和正常访问。
同时,我们提供了一些安全防范小贴士供您参考。
在G20期间,苏迪全力提供技术支持服务,如您需要,可随时与我们联系。
“守护安全,我们在一起。”
安全防范措施建议
1
升级、迁移与统一安全
中国石油大学为保障G20期间的信息安全,日前将原本不在网站群管理体系内的主页和新闻网迁移至Webplus Pro进行统一管理与安全管控。
Webplus Pro的安全体系基于苏迪多年应对攻防环境变化基础上设计,以应对因新的安全威胁与IT技术发展而造成的安全技术水平及安全服务能力严重不足问题。经过近千家用户实践,能避免已知漏洞入侵,符合安全等级保护要求。
像中国石油大学这样的用户,提前部署与防范,能有效减少维护复杂度,降低风险。
2
强化技术防范与人力防范
系统漏洞所造成的风险,除了常见的注入、跨站攻击、恶意上传等Web漏洞外,还包括业务设计缺陷造成的风险,如任意用户密码重置等,与常见的注入、恶意上传不同,业务逻辑的漏洞不会直接影响服务器的安全,但会影响用户的账号和隐私安全,若被黑客利用或曝光,也将严重影响业务数据安全和网站的公信力。
Webplus Pro的安全体系设计,能全面提高网站安全自防能力,辅以安全管理制度,“系统到位、制度到位、人员到位、措施到位”,可保障网站平稳运行,安全可控。
3
操作系统安全
账户与登录:
口令和登录控制是系统的第一道防线,目前大多数数攻击都是截获口令或猜测口令等口令攻击开始的;对账户和登录的控制将会成为安全工作的重点。
借助于学校的防火墙来对ssh默认的22端口进行封锁,如没有防火墙,可设置ListenAddress的地址,绑定可登陆的IP或者修改SSH默认的Port 22端口;如果有必要,在G20期间可以关闭SSH服务;
修改root密码并禁止root直接登录,提高其复杂度并设置账户的生命周期并妥善保存账户信息;
安全管理系统中的账户,删除不用的帐号和组,对帐户登录超时时间、错误登录次数的限制、命令的历史记录数、环境变量等环节进行安全设置。
系统安全设置:
第一道关口防护完成后,接下来就是对操作系统本身进行安全防护设置,可以抵御大多数来自互联网的攻击。
检查更新操作系统,修复系统本身存在的漏洞;
只对外开放所需要的服务,关闭所有不需要的服务。对外提供的服务越少,所面临的外部威胁越小;
对于重要文件或者目录进行权限设置;
外网地址禁止写入,实现通过外网地址或域名访问进来的所有请求只读不写;
限制用户使用系统资源,主要包括资源最大进程数,内存使用量等,可以一定程度上防止DOS类型攻击;
禁止外来ping请求、防止IP地址欺骗、隐藏操作系统敏感信息等措施来进行系统加固;
借助于操作系统的iptables防火墙和tcp_wrappers来实现底层防护;
开启操作系统日志,通过日志来分析和查看一些操作系统的异常行为;
远程桌面禁止,限制通过破解远程账号密码达到直接攻入服务器的攻击操作,从物理隔离;
清理磁盘,检查历史无效页面及可能隐藏的攻击危险;
限制文件上传,对上传文件做类型限制,只允许上传非动态文件(如HTML,ZIP,DOC等),禁止上传动态文件(如JSP,JAR,BAT等),防止攻击者通过上传入口,上传攻击时利用的文件;
有条件的话可以架设堡垒机,或者使用第三方安全工具进行防护。
4
部署安全
采用可伸缩的动静态结合部署,制作和发布分开部署。
检查备份服务器,当其他类型服务器出现问题时,备份服务器可以顶替问题服务器继续提供服务。
5
中间件安全
针对不同的中间件采取相应的安全设置。
如需升级,在测试服务器预演后升级至正式服务器。
6
其他
如无法及时完成安全加固,建议在G20峰会召开倒计时时间内,关停网站或网站所有动态模块,待峰会结束后再开启,并进行整体安全加固。
