中小企业安全增强心得分享

炒蚕豆吃蹦豆 发布于 2015/04/16 16:15
阅读 138
收藏 0
随着互联网的发展,安全的重要性已经逐渐引起了大家的注视。安全包括很多方面:代码安全、系统安全、硬件安全、安全意识等等。笔者最近在加强企业内部安全过程中,尝试了青云的vpn服务组建了一个企业安全内网,效果还不错,和大家分享下。

首先说一下我们的应用场景。我们是一个小团队,上网方式都是使用动态拨号的方式,办公室出口的ip地址都是动态在发生变化的。外网的web服务等服务器都是采用的云主机。我们还有几位同事是在家办公。从我们的系统来讲,可以分为对外公开的服务(网站)和企业内部系统(比如我们的禅道然之协同等)。网站还有各自的管理后台。

存在的问题。我们的内部网络系统和企业管理后台都是直接暴露在公网上面的,部分同事的密码存在弱口令。再加上我们以开源的方式来发布我们的禅道,蝉知等几款软件,所以企业的信息在外面暴露的比较多。在专业的黑客面前风险比较高。

首先:业务分离:按照业务线把系统分开,避免一个节点出现问题,关联的会引起其他的节点出现问题。各个业务机器之间彼此是隔绝访问的。
再次:强制口令:强制大家使用keepass这样的密码管理工具,做到每个系统的口令都是随机口令,并且不同。
第三:最小授权:细致的梳理了各个系统的管理员帐号,如无必要,不予分配管理权限。做到最少的管理帐号。
第四:避免默认:系统默认的很多设置都比较危险,比如ssh的端口号等等。通过修改ssh默认的端口号,禁止密码登录,强制使用私钥登录等方式,都会安全很多。
第五:单一入口:我们使用青云的vpn服务组建了一个企业安全内网,每个人通过vpn客户端可以登录到一台只有内网访问的机器,然后再通过这台机器访问其他的系统。
第六:邪恶输入:凡是用户的输入都是邪恶的,在代码层面加强对用户输入的过滤。同时在服务器端通过一些配置增强对用户上传文件,数据的检查。
第七:缄默法则:尽可能的屏蔽可以暴露系统特征的信息,比如apache的header信息,php的信息等等。

安全问题无止境,欢迎大家一起探讨。

加载中
返回顶部
顶部