如果公司条件允许,可以聘用专门的安全顾问人员或者咨询公司来管理相关事务,让专业的人做专业的事。
如果条件不允许,我们则需要按照下面的内容进行跟进。
所有的安全、防护相关的内容,都是冗余方案,企业可以根据自身的资源情况以及所处发展阶段选择合适的安全方案,切记过度浪费。
从目前的市场来看,恶意访问和病毒防护主要注意以下几个方面:
1、云平台
选择云平台,比如阿里云、华为云,可以在它们的安全组进行管理。
通过禁止控制、允许控制对IP地址和本地端口进行管理。
不需要暴露的端口就不要暴露;要暴露的端口要有限度的暴露,比如就针对某个IP地址暴露;必须暴露的端口,要做好应用级别的访问控制。
针对恶意访问的IP地址,要及时的、迅速的禁用掉!
力度较粗,只能到IP地址和端口
钱多的话,也可以用他们的合规组件,这样就更好了。
云备份,镜像备份
2、主机控制
禁用root,禁用22端口等类似操作
力度较粗,到IP地址和端口,可以把部分应用的端口改掉比如把22换成9999。
3、主机防火墙,比如iptables
只开启必要的端口,转发等
1
2
3
4
5
6
7
8
9
10
要禁用来自IP地址192.0.2.1的所有入站流量,你可以使用以下命令:
sudo iptables -A INPUT -s 192.0.2.1 -j DROP
PREROUTING链:将到达本机80端口的流量目标地址更改为192.168.1.100的8080端口。
iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.1.100:8080
POSTROUTING链(可选,但推荐):如果你的目标机器在内部网络中,并且需要通过网关进行通信,你可能还需要设置SNAT规则来更改数据包的源地址。
iptables -t nat -A POSTROUTING -p tcp -d 192.168.1.100 --dport 8080 -j SNAT --to-source <你的网关IP>
Window Server的安全配置,可以做到某个端口只允许某个IP地址访问。
4、nginx 配置
针对IP地址进行禁用
针对具有特征的链接,比如.php等进行deny
1
2
3
4
location ~ \.php$ {
deny all;
return 403;
}
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
http {
# ... 其他配置 ...
server {
listen 80;
server_name example.com;
# 禁用特定的IP地址
deny 192.0.2.1;
deny 10.0.0.0/8; # 禁用整个10.0.0.0/8 IP地址范围
# 允许所有其他IP地址
allow all;
# ... 其他server配置 ...
location / {
# ... location配置 ...
}
}
}
5、应用配置
通过对用户的请求进行权限控制、访问次数控制、禁用控制等。
一般情况下从上至下,前面的功能越全,后面要操心的就越少。
在构建应用的时候,要构建敏感数据触发机制,比如平时每天发200条短信,今天突然涨到600条,就应该予以告警;比如平时范围量和ip数量是1000,今天突然到5000,就应该告警予以关注;
- 开启SSL访问控制
- 定期日志分析
- 离职员工权限禁用
6、数据库
- 关闭常用的用户名比如sys,system等
- 不使用常见的密码,比如password1,要使用复杂的密码
- 每日定期备份数据库,最好是多地备份
- 定期更改密码
7、安装病毒防护软件
8、公司启用域访问控制
9、公司启用门禁防护控制
10、公司启用摄像头监控
对于敏感区域实行移动物监控
11、对于远程用户启用VPN访问控制
12、对员工进行安全培训
- 不熟悉的邮件链接不要打开
- 不熟悉的短信链接不要打开
- 陌生的、有诱惑的视频软件不安装
有一些必要的防护:
- 操作系统漏洞升级
- 应用组件、中间件漏洞升级
- 尽量选择通用开发框架比如java等成熟框架
- 口令设置大小写、特殊字符、长度在8位以上,一般暴力破解要好几年
- 常规软件暴露端口要修改掉,比如数据库端口、SSH端口等