10秒后自動(dòng)關(guān)閉
政務(wù)系統安全方案
一、導語(yǔ) 政府網(wǎng)站是政府職能部門(mén)信息化建設的重要內容,同時(shí)也是對外宣傳政府形象、發(fā)布行業(yè)信息、開(kāi)展電子政務(wù)的主要平臺,是國家重要信息系統。

而近年來(lái),隨著(zhù)政府網(wǎng)站所承載業(yè)務(wù)的數量和重要性逐漸增加,政府網(wǎng)站被篡改、網(wǎng)絡(luò )釣魚(yú)、SQL注入和跨站腳本等帶來(lái)攻擊事件頻頻發(fā)生,嚴重影響了人們對政府網(wǎng)站公信力的認可。另外,目前多數政府網(wǎng)站在安全建設過(guò)程依然存在重應用輕安全現象,網(wǎng)站整體安全性差,缺乏必要的經(jīng)常性維護。而且現有政府網(wǎng)站安全管理、防范措施、安全意識薄弱,極易遭到黑客攻擊。
本文主要針對服務(wù)器技術(shù)運維人員,介紹如何搭建一個(gè)安全、穩定的運營(yíng)平臺。不對程序本身做探討,開(kāi)發(fā)人員的能力決定了程序的優(yōu)異,無(wú)法通過(guò)外部方式改變。
二、搭建Web平臺 一個(gè)優(yōu)秀的Web平臺,能減少很多危險漏洞。非常流行的Apache、Nginx等Web平臺,都存在嚴重的溢出漏洞,給黑客提供可乘之機。如果在Windows系統搭建Web平臺,建議使用IIS,IIS的漏洞明顯少于A(yíng)pache、Nginx。
推薦使用“護衛神.主機大師”配置IIS環(huán)境,一鍵安裝IIS+PHP+ASP.net+ASP+MySQL,護衛神.主機大師默認對PHP、MySQL、PHPMyAdmin做好了安全加固,防范黑客以此作為入侵突破口。同時(shí)用護衛神.主機大師開(kāi)設的站點(diǎn),可以防范跨站入侵。
三、部署安全防護 平臺搭建好以后,還需要部署一些必備的安全防護措施,才能抵擋黑客的入侵。
黑客一般有三條途徑入侵服務(wù)器:系統、應用、網(wǎng)站。針對每一條途徑,我們都應該做好完善的防護措施,讓黑客無(wú)從得手。
1、系統入侵防護 首先更新系統補丁,修復已經(jīng)存在的系統漏洞。
然后再禁用危險服務(wù)、刪除危險組件、關(guān)閉危險端口、清除危險權限,全面排除暴露的系統危險。
如果您不知道如何操作,可使用護衛神.防入侵系統的免費系統加固服務(wù)。
2、應用入侵防護 常用的SQL Server、MySQL、Apache、Nginx、Tomcat、Serv-u等等軟件,都存在漏洞,黑客通過(guò)這些軟件可以輕松入侵服務(wù)器。需要對這些軟件做降權處理,防止黑客通過(guò)這些軟件提權。
當然最好的防護辦法是部署“護衛神.防入侵系統”,禁止軟件訪(fǎng)問(wèn)安裝目錄以外的任何文件,阻止執行非法操作。詳細說(shuō)明
3、網(wǎng)站入侵防護 網(wǎng)站入侵主要有四種方式:上傳網(wǎng)頁(yè)木馬、SQL注入、程序邏輯漏洞、后臺非法登錄。
這些問(wèn)題其實(shí)都可以通過(guò)修復程序解決,但實(shí)際上也就只能想想。再優(yōu)秀的程序員,也開(kāi)發(fā)不出沒(méi)有Bug的大型系統。因此配備安全防護系統成了必然之選。安全系統推薦“護衛神.防入侵系統”和“護衛神·網(wǎng)站鎖系統”。

護衛神·防入侵系統通過(guò)木馬防護、遠程防護、用戶(hù)防護、篡改防護、進(jìn)程防護、網(wǎng)站防護、防火墻、安全審計等安全模塊,提供多重防護措施,全方位保障服務(wù)器安全。

護衛神·網(wǎng)站鎖系統則進(jìn)一步提升網(wǎng)站安全,增強防掛馬、防黑鏈、防篡改能力。為網(wǎng)站提供ACL安全加固、訪(fǎng)問(wèn)策略加固,精準區分游客和管理員,最大限度降低游客的操作權限,讓游客無(wú)權做任何入侵操作。同時(shí)為后臺增加密碼鎖,只有解鎖了的管理員才能登錄;即使泄露了管理賬戶(hù)和密碼,也無(wú)懼黑客入侵。
四、部署數據備份 毫無(wú)疑問(wèn),數據安全是所有網(wǎng)絡(luò )安全的核心,我們除了做好應有的安全防護措施,還應該從數據備份層面進(jìn)一步加強數據安全。數據備份有四種模式:本地備份、異地備份、數據熱備和容災備份。詳細介紹請參考:數據備份方案
五、例行運營(yíng)維護 例行維護主要是檢查服務(wù)器運行狀況,確保各項自動(dòng)化任務(wù)都已按預定計劃執行,預防意外發(fā)生,建議每周進(jìn)行一次,并重啟一次服務(wù)器。
大致有以下項目:安全檢查、硬件檢查、性能檢測、任務(wù)檢查、冗余清理。
1、安全檢查 是否有新補丁、系統用戶(hù)是否異常、防火墻是否開(kāi)啟、是否有陌生進(jìn)程、輔助安全系統是否正常工作、遠程桌面有無(wú)異常登錄、復查系統權限、全面查殺木馬、分析系統日志、分析安全防護系統日志。
2、硬件檢查 CPU溫度檢測、硬盤(pán)溫度檢測、風(fēng)扇轉速檢測、電源電壓檢測、磁盤(pán)碎片整理(注意:SSD硬盤(pán)不能整理碎片),確保硬件良好,防范硬件故障。
3、性能檢測 重點(diǎn)檢查CPU、內存、硬盤(pán)IO等性能負載,及時(shí)替換硬件,提升負載能力。
4、任務(wù)檢查 主要檢查各自動(dòng)化任務(wù)是否正常運行,如數據是否按預期進(jìn)行備份。
5、冗余清理 服務(wù)器在運行過(guò)程中會(huì )產(chǎn)生很多垃圾文件,建議定期清理,提升性能。
例如SQL Server開(kāi)啟了完整日志模式,存儲空間會(huì )不斷增加,建議定期清理日志。
六、擴展&應急方案 在運營(yíng)過(guò)程中,可能遇到各種突發(fā)情況,如黑客攻擊、系統緩慢等問(wèn)題。 作為合格的運營(yíng)人員,針對這些問(wèn)題都得有所準備,下面我們簡(jiǎn)單介紹下處理方法。
1、網(wǎng)站打開(kāi)慢 網(wǎng)站打開(kāi)慢主要從網(wǎng)絡(luò )、硬件、程序、系統等方面考慮。
首先確保服務(wù)器帶寬充足,帶寬不充足會(huì )嚴重影響網(wǎng)站打開(kāi)速度。如果不方便增加帶寬,可以使用CDN,減少服務(wù)器的帶寬消耗。
如果服務(wù)器CPU、IO和內存負載一直很高,請及時(shí)更換硬件,硬盤(pán)最好使用固態(tài)硬盤(pán),IO性能遠超機械硬盤(pán)。
程序的優(yōu)異很大程度決定了網(wǎng)站運行速度,這方面需要程序員有足夠的優(yōu)化經(jīng)驗,本文不做探討。
如果網(wǎng)站流量非常大,更換了最好的硬件,性能還是不足,就只有從程序結構方面考慮,使用分布式,無(wú)限擴展性能。
對于流量不是非常大的網(wǎng)站,有可能是系統存在問(wèn)題,可以通過(guò)技術(shù)優(yōu)化手段,提升一定的服務(wù)器性能,具體優(yōu)化方法請咨詢(xún)護衛神技術(shù)工程師。
2、CDN加速 CDN是提升靜態(tài)文件訪(fǎng)問(wèn)速度的利器,越來(lái)越多的網(wǎng)站選擇使用CDN。推薦使用阿里云和騰訊云這兩家的CDN,物美價(jià)廉,節點(diǎn)豐富,管理方便。
注意務(wù)必設置靜態(tài)文件有足夠的緩存時(shí)間(建議至少緩存1天),以減少服務(wù)器的帶寬壓力。
3、攻擊防護 攻擊不同于入侵,它是使用外部暴力手段,讓服務(wù)器和網(wǎng)站無(wú)法正常運行。常規的攻擊可分兩類(lèi):DDOS流量攻擊、CC攻擊。
DDOS流量攻擊包含syn、ack、icmp、udp等攻擊,是向服務(wù)器發(fā)送大量數據包,讓服務(wù)器帶寬、連接數枯竭。此類(lèi)攻擊比較好防護,需要有硬件防火墻和充足的帶寬。不過(guò)一般都是購買(mǎi)第三方高防服務(wù)來(lái)解決,如“護衛神·DDOS攻擊防護服務(wù)”。

CC攻擊是模擬用戶(hù)訪(fǎng)問(wèn)網(wǎng)站,讓服務(wù)器帶寬、CPU、內存、連接數等各種資源都枯竭。防御起來(lái)比較麻煩,需要從程序、CDN、硬防等綜合防御。
硬件防火墻防御CC攻擊最多有90%的攔截率,而同時(shí)會(huì )產(chǎn)生非常大的副作用,部分正常用戶(hù)也會(huì )被攔截。
如果CC攻擊的靜態(tài)頁(yè)面,只需要開(kāi)啟CDN,就能有效抵御攻擊。如果CC攻擊的動(dòng)態(tài)頁(yè)面,除了硬件防火墻,還應該在程序上做防護措施,如將被攻擊頁(yè)面輸出為最少的內容,且不做任何邏輯運算,減少CPU和帶寬消耗。