首页  苏迪视界 > 正文

进入G20时间,网络安全到位了吗?

2016-09-011267

守护安全


倍受全球瞩目的2016年G20峰会即将正式拉开帷幕。

本届峰会,也是展示中国形象,宣介中国主张、中国倡议,推动建立以求同存异、包容互鉴、互联互通、合作共赢为国际经济新秩序的重要窗口。

鉴于互联网安全事件带来的不良危害,苏迪科技作为专业融合门户服务建设与服务厂商,除日常的安全防护工作外,即日起启动网站群服务器“G20安全巡检工作”,消除安全隐患,保障网站安全和正常访问

同时,我们提供了一些安全防范小贴士供您参考。

在G20期间,苏迪全力提供技术支持服务,如您需要,可随时与我们联系。


“守护安全,我们在一起。”



安全防范措施建议

1

升级、迁移与统一安全

中国石油大学为保障G20期间的信息安全,日前将原本不在网站群管理体系内的主页和新闻网迁移至Webplus Pro进行统一管理与安全管控。


Webplus Pro的安全体系基于苏迪多年应对攻防环境变化基础上设计,以应对因新的安全威胁与IT技术发展而造成的安全技术水平及安全服务能力严重不足问题。经过近千家用户实践,能避免已知漏洞入侵,符合安全等级保护要求。


像中国石油大学这样的用户,提前部署与防范,能有效减少维护复杂度,降低风险。

2

强化技术防范与人力防范

系统漏洞所造成的风险,除了常见的注入、跨站攻击、恶意上传等Web漏洞外,还包括业务设计缺陷造成的风险,如任意用户密码重置等,与常见的注入、恶意上传不同,业务逻辑的漏洞不会直接影响服务器的安全,但会影响用户的账号和隐私安全,若被黑客利用或曝光,也将严重影响业务数据安全和网站的公信力。


Webplus Pro的安全体系设计,能全面提高网站安全自防能力,辅以安全管理制度,“系统到位、制度到位、人员到位、措施到位”,可保障网站平稳运行,安全可控。


3

操作系统安全

账户与登录:

口令和登录控制是系统的第一道防线,目前大多数数攻击都是截获口令或猜测口令等口令攻击开始的;对账户和登录的控制将会成为安全工作的重点。

  1. 借助于学校的防火墙来对ssh默认的22端口进行封锁,如没有防火墙,可设置ListenAddress的地址,绑定可登陆的IP或者修改SSH默认的Port 22端口;如果有必要,在G20期间可以关闭SSH服务;

  2. 修改root密码并禁止root直接登录,提高其复杂度并设置账户的生命周期并妥善保存账户信息;

  3. 安全管理系统中的账户,删除不用的帐号和组,对帐户登录超时时间、错误登录次数的限制、命令的历史记录数、环境变量等环节进行安全设置。


系统安全设置:

第一道关口防护完成后,接下来就是对操作系统本身进行安全防护设置,可以抵御大多数来自互联网的攻击。

  1. 检查更新操作系统,修复系统本身存在的漏洞;

  2. 只对外开放所需要的服务,关闭所有不需要的服务。对外提供的服务越少,所面临的外部威胁越小;

  3. 对于重要文件或者目录进行权限设置;

  4. 外网地址禁止写入,实现通过外网地址或域名访问进来的所有请求只读不写;

  5. 限制用户使用系统资源,主要包括资源最大进程数,内存使用量等,可以一定程度上防止DOS类型攻击;

  6. 禁止外来ping请求、防止IP地址欺骗、隐藏操作系统敏感信息等措施来进行系统加固;

  7. 借助于操作系统的iptables防火墙和tcp_wrappers来实现底层防护;

  8. 开启操作系统日志,通过日志来分析和查看一些操作系统的异常行为;

  9. 远程桌面禁止,限制通过破解远程账号密码达到直接攻入服务器的攻击操作,从物理隔离;

  10. 清理磁盘,检查历史无效页面及可能隐藏的攻击危险;

  11. 限制文件上传,对上传文件做类型限制,只允许上传非动态文件(如HTML,ZIP,DOC等),禁止上传动态文件(如JSP,JAR,BAT等),防止攻击者通过上传入口,上传攻击时利用的文件;

  12. 有条件的话可以架设堡垒机,或者使用第三方安全工具进行防护。

4

部署安全

采用可伸缩的动静态结合部署,制作和发布分开部署。

检查备份服务器,当其他类型服务器出现问题时,备份服务器可以顶替问题服务器继续提供服务。

5

中间件安全

针对不同的中间件采取相应的安全设置。

如需升级,在测试服务器预演后升级至正式服务器。

6

其他

如无法及时完成安全加固,建议在G20峰会召开倒计时时间内,关停网站或网站所有动态模块,待峰会结束后再开启,并进行整体安全加固。