中小企業安全增強心得
隨著互聯網的發展,安全的重要性已經逐漸引起了大家的注視。安全包括很多方面:代碼安全、系統安全、硬件安全、安全意識等等。筆者近在加強企業內部安全過程中,嘗試了青雲的vpn服務組建了一個企業安全內網,效果還不錯,和大家分享下。
首先说一下我们的应用场景。我们是一个小团队,上网方式都是使用動態拨号的方式,办公室出口的ip地址都是動態在发生变化的。外网的web服务等服务器都是采用的云主机。我们还有几位同事是在家办公。从我们的系统来讲,可以分为对外公开的服务(网站)和企业内部系统(比如我们的 禅道項目管理, 然之協同等)。網站還有各自的管理後台。
存在的問題。我們的內部網絡系統和企業管理後台都是直接暴露在公網上面的,部分同事的密碼存在弱口令。再加上我們以開源的方式來發布我們的禅道,蟬知等幾款軟件,所以企業的信息在外面暴露的比較多。在專業的黑客面前風險比較高。
首先:業務分離:按照業務線把系統分開,避免一個節點出現問題,關聯的會引起其他的節點出現問題。各個業務機器之間彼此是隔絕訪問的。
再次:強制口令:強制大家使用keepass這樣的密碼管理工具,做到每個系統的口令都是隨機口令,並且不同。
第三:小授權:細致的梳理了各個系統的管理員帳號,如無必要,不予分配管理權限。做到少的管理帳號。
第四:避免默認:系統默認的很多設置都比較危險,比如ssh的端口號等等。通過修改ssh默認的端口號,禁止密碼登錄,強制使用私鑰登錄等方式,都會安全很多。
第五:單一入口:我們使用 青雲的vpn服務組建了一個企業安全內網,每個人通過vpn客戶端可以登錄到一台只有內網訪問的機器,然後再通過這台機器訪問其他的系統。
第六:邪惡輸入:凡是用戶的輸入都是邪惡的,在代碼層面加強對用戶輸入的過濾。同時在服務器端通過一些配置增強對用戶上傳文件,數據的檢查。
第七:緘默法則:盡可能的屏蔽可以暴露系統特征的信息,比如apache的header信息,php的信息等等。
安全問題無止境,歡迎大家一起探討。
