物理隔離, 沒有之一。

要麼花錢請高水平運維和網路安全,要麼花錢上雲唄~

細節咱就不說了,說一些方向性的東西

1、除了必要的服務埠,比如80,比如遠程的 22和 3389,關閉其他所有埠,關閉可以通過防火牆,雲端還可以通過安全組等等策略,原則上越少的入口,越少被突破的幾率

2、盡量c/s, b/s 架構,避免 資料庫直接暴露在公網。其中 s 端必須要有防sql注入的功能。減少應用體系被突破的可能

3、賬號密碼體系,伺服器遠程的密碼必須定期變更,有一定複雜度(避免暴破),盡量不使用常用埠進行遠程,比如 ssh 默認22 ,可以改成 33、44 等等。有條件的,上堡壘機,上二次身份驗證,避免從運維體系被滲透

4、機房進出限制,避免閑雜人等進機房(雲伺服器沒這個顧慮),避免通過u盤等外接設備方式感染惡意程序或者病毒

5、不定期分析訪問日誌,發現攻擊的可能,進行相應處理

可以從

網路安全

流程安全

審計安全

這幾個方面入手

建議從幾個方向入手:

  1. 首先是伺服器自身的防火牆設置。除了必須的業務埠外,其他IP和埠一律屏蔽掉。
  2. 部署入侵防禦系統。入侵防禦系統可以檢測對伺服器的攻擊,一旦檢測到攻擊數據可以進行屏蔽。
  3. 如果伺服器要發布到公網,要注意保護。最好是有用戶名密碼的保護,不能直接暴露在公網上。

貼兩張入侵檢測的圖片吧:

我覺得是沒有更安全,只有更不安全。

防火牆這東西只是簡單來說相當於一個高級防盜門,你在屋裡一直聽見外面有人對你的防盜門叮叮噹噹的撬,你有人沒辦法,最多只是換鎖。至於上網行為管理啥的都是同理,只要外面人技術夠好,時間夠長,早晚給你撬開。世界上就沒有開不開的鎖。

只關注於外面其實遠遠不夠,內鬼你也得防。拿勒索病毒來說,你擋得住外面的病毒,裡面人拿個u盤插進去,裡面有病毒的話,並且沒打補丁的話,也是玩完。

其實也就是兩條思路,一是設置好防火牆,弄好行為管理,公司內部人員沒事別瞎點風險網站。二是做好備份,出了問題把損失降低到最小。當初我們公司的erp資料庫中了勒索病毒,要是沒備份的話,解決辦法我覺得也就是我們辭職滾蛋吧。至於公司內部資料泄露啥的,我覺得不可能杜絕,美國機密資料還泄露呢,更別提一個公司。

現在也有雲技術,伺服器可以上雲,文件也可以備份帶雲盤,安全性相比於只在本地要高出不少。

至於萬無一失的方法!我覺得是內網啥東西都沒有。本來無一物何處惹塵埃~,然黑客興奮的進來,罵著街的走~

這個,只能根據實際情況來判斷,設置好防火牆

推薦閱讀:
相关文章