網(wǎng)絡(luò)安全架構(gòu)規(guī)劃策略

隨著剛剛過去一輪比特幣病毒的清洗，網(wǎng)絡(luò)安全問題再次給我當(dāng)頭棒喝。對(duì)于企業(yè)來說，保障數(shù)據(jù)安全，維持業(yè)務(wù)穩(wěn)定是重中之重。那么如何采取有效的措施來保障我們的數(shù)據(jù)安全，保障我們的系統(tǒng)不會(huì)被外來的***者破壞呢？下面就以個(gè)人工作經(jīng)歷中一些體會(huì)來談一談常用的安全架構(gòu)策略。

對(duì)于幾乎所有的互聯(lián)網(wǎng)企業(yè)來說，保障自身對(duì)外提供的服務(wù)可行之外，還需要考慮安全級(jí)別的問題。對(duì)于不同的安全優(yōu)先級(jí)，可以采用不同程度的安全策略。

網(wǎng)絡(luò)安全控制

現(xiàn)在通用的網(wǎng)站架構(gòu)基本上都是通過防火墻或者路由上NAT映射，對(duì)外部提供服務(wù)。對(duì)外部提供應(yīng)用服務(wù)的應(yīng)用是最敏感的區(qū)域，這里是所有***的入口。對(duì)于入口的限制要非常謹(jǐn)慎，能留窗戶（訪問權(quán)限）的地方絕對(duì)不能留門（控制權(quán)限）。

1、對(duì)于提供必要的服務(wù)外，應(yīng)該將其它的服務(wù)端口和應(yīng)用對(duì)外關(guān)閉或禁用。如提供web服務(wù)的站點(diǎn)，就只對(duì)外開放80端口，提供郵件服務(wù)那就只開放smtp和pop3的一系列端口。

2、防火墻是我們阻擋外部威脅一道重要屏障，在不影響業(yè)務(wù)的前提下盡可能將安全策略調(diào)整到最高級(jí)別。根據(jù)應(yīng)用，在防火墻上只開放特定的端口，其他的協(xié)議和端口一律拒絕。

3、在使用防火墻進(jìn)行NAT轉(zhuǎn)換時(shí)，應(yīng)使用端口映射而非IP映射，這樣可以避免一些安全隱患。

4、對(duì)于需要遠(yuǎn)程管理的服務(wù)器，管理端口一定不能暴露在公網(wǎng)中，一般的通用方法是通過×××跳到防火墻的信任區(qū)域?qū)ζ溥M(jìn)行管理。

5、為了在辦公區(qū)域方便管理遠(yuǎn)程服務(wù)器，可以將辦公區(qū)域的出口IP添加到防火墻的信任區(qū)域中，而本地辦公網(wǎng)絡(luò)需要進(jìn)行嚴(yán)格的接入限制，如mac認(rèn)證，域認(rèn)證等。

6、防火墻的遠(yuǎn)程管理不能暴露在公網(wǎng)環(huán)境。

服務(wù)安全控制

對(duì)于服務(wù)安全方面主要在于對(duì)外應(yīng)用的漏洞防范，保障數(shù)據(jù)安全等方面。

1、對(duì)于服務(wù)使用的用戶進(jìn)行嚴(yán)格限制，不使用系統(tǒng)的最高管理權(quán)限去管理服務(wù)。

2、對(duì)于服務(wù)進(jìn)行安全方面的優(yōu)化，如默認(rèn)修改默認(rèn)的密碼，刪除不必要的配置項(xiàng)和可能系統(tǒng)自帶的含有隱患的數(shù)據(jù)信息等。

3、對(duì)服務(wù)和應(yīng)用進(jìn)行定期的漏洞掃描，即使更新補(bǔ)丁，修復(fù)漏洞。

4、應(yīng)用在完成功能測(cè)試之后，還應(yīng)進(jìn)行安全方面的測(cè)試，避免未知漏洞。

操作安全控制

1、禁止主機(jī)之間不必要的信任關(guān)系。

2、如果是linux系統(tǒng)，禁止root登錄。

3、對(duì)登錄用戶的操作進(jìn)行監(jiān)控，對(duì)于不正常的登錄動(dòng)作（多次密碼錯(cuò)誤）發(fā)送報(bào)警。