e-works数字化企业网  »  文章频道  »  基础信息化  »  运维管理

从安全、监控与灾备说开去,谈运维管理防线建设

2017/8/22    来源:运维派    作者:战学超      
关键字:监控  运维管理  
在搭建运维管理平台时,安全是不得不面对的重点模块之一。这里结合我最近所研究以及我司在信息安全、网络安全等方面的管理经验,跟大家做一下分享,希望能够起到抛砖引玉,一起构筑起坚固的企业安全运维防线。
    在搭建运维管理平台时,安全是不得不面对的重点模块之一。这里结合我最近所研究以及我司在信息安全网络安全等方面的管理经验,跟大家做一下分享,希望能够起到抛砖引玉,一起构筑起坚固的企业安全运维防线。
 
    一、网络区域划分
 
    首先是网络安全相关。个人认为,网络安全的第一步是划分清楚网络区域,不同网络区域之间通过防火墙,网络区域内部通过交换机和IPTABLES等做严格的网络访问限制。除了使用到的端口对某些或是某区域内终端开放外,其它要严格控制访问权限,做到在网络层面最大程度的减少安全事件发生。
 
    网络
 
    企业网络区域大概分为访客区、办公网、DMZ、内网这几个区域。这是对企业有自建数据中心的情况,很多企业将服务器大多托管至IDC机房,此时DMZ、内网可以理解为IDC机房网络。企业内部访问IDC机房网络或是访问自建数据中心的DMZ、内网需要通过防火墙做严格控制。
 
    一般情况下,可以将办公网络分为IT部门区域和非IT部门区域。只允许IT部门区域的终端有权限访问DMZ、内网上的服务器,非IT部门的终端无权访问。为了严格保护内网中的生产数据,建议IT部门细分开发区、测试区。访客网络一般为企业的无线wifi,主要为公司访客提供网络服务,这个区域一般是不需要跟办公网、内网、DMZ等访问的,可以严格隔离,避免黑客或是攻击者通过访客网区域供给内网。
 
    网络区域划分越详细,整个企业的网络安全也会越高,当然管理也会越复杂。另外一点需要注意的是,对于自建数据中心,接入DMZ、内网的除了多链路(联通、电信、移动个等)接入外,还需与办公网等分开,避免相互受影响。
 
    网络区域划分和网络隔离,相当于为企业信息安全关上了一道大门,接下来通过安全软硬件进一步关闭内门、窗户,阻止信息的泄露。
 
    二、安全软硬件
 
    硬件
 
    首先,企业一般至少会采购两种不同型号防火墙各一台,一是为企业内部提供防火墙功能,二是避免防火墙单节点故障,不同型号的防火墙也可以避免单一防火线存在漏洞的问题。
 
    终端管理与规范制度
 
    终端管理要求必须安装防病毒软件,并且及时更新病毒库。定时进行终端计算机的扫描工作,避免办公区域内存在傀儡机、僵尸机等潜在威胁。另外部署WSUS(是Windows Server Update Services)服务器,以备及时下发升级系统。
 
    例如前一阵的勒索病毒就是在掌握补丁包后,通过WSUS及时下发给所有终端PC机和Windows服务器,及时堵住漏洞以防病毒入侵。服务器端,Linux环境下,可以通过脚本、SaltStack等自动运维工具的方式,批量更新系统代码包、程序包,做到漏洞来临之前,及时快速自动地下发补丁包,堵住漏洞。
 
    除了通过防病毒软件堵住一部分PC机的潜在威胁,还需及时建立起全公司范围内的信息安全管理规范和制度,并且定期进行信息安全培训,提高公司人员的安全意识,不给安全威胁以可乘之机。编写常见病毒入侵、挂马手段文档,结合实际案例供全公司人员学习,如可疑邮件不要点击、QQ等即时通讯工具发送的非正常信息不要打开等。
 
    信息安全无小事,一台PC机的攻破,极有可能带来整个公司的网络瘫痪甚至数据丢失等,对人员的安全意识培训一定不能忽视。
 
    上网行为管理
 
    严格来讲,上网行为管理不能算是信息安全的设备。但是可以通过上网行为管理限制终端访问不安全网站过滤敏感或是威胁网络信息,还可以限制网路上传下载带宽等,大大降低终端被入侵的概率。
 
    另外上网行为管理也记录了用户的访问信息,在不安全事件发生后,也可以利用日志记录,判断不安全事件根源。
 
    专业安全设备
 
    为了更好地保护企业IT系统和服务器,一般情况下,还需要购置一些专业的信息安全设备。
 
    IPS入侵防御系统(IPS: Intrusion Prevention System):
 
    IPS是网络安全设施,是对防病毒软件和防火墙的补充。IPS能够监视网络或网络设备的网络资料传输行为,能够即时地中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。
 
    IDS入侵检测系统(Intrusion Detection Systems):
 
    IDS是依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。IPS侧重防御,出现问题实时防御,IDS主要是检测,出现问题及时告警。
 
    WAF网站应用防火墙(Web Application Firewall):
 
    WAF主要工作在应用层,执行一系列针对HTTP/HTTPS的安全策略,对来自Web应用程序客户端的各类请求进行内容检测和验证,确保其安全性与合法性,对非法的请求予以实时阻断,从而对各类网站站点进行有效防护。WAF主要对Web应用安全提供防护,而IPS是对企业整个网络安全进行防护。IPS一般接在防火墙之后。二者类似于保安与保镖:IPS是企业安全体系的保安,WAF是企业Web应用的专业保镖,保护的侧重点不同。
 
    如果说上述防火墙、IPS/IDS、WAF属于被动防御的话,那么漏洞扫描设备属于主动防御的设备。漏扫基于漏洞数据库,通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测,发现可利用漏洞的一种安全检测(渗透攻击)行为。漏扫一般会定期进行,不会实时扫描,因为对系统的性能影响相对大一些。通过漏扫,及时发现系统、网络等漏洞,及时安装补丁升级,防止漏洞被利用。
 
    VPN很多时候可以跟SSL、HTTPS一起,二者主要是对数据链路层的加密,防止数据被抓包解析导致数据泄露。对于企业内部使用的系统,在需要公网环境下使用的时候,应避免将系统直接或是通过反向代理的方式放到公网上,尽量通过VPN的方式接入,保障内部系统的安全性。随着数据越来越重要,尤其是客户信息数据,在对外网提供服务的Web应用中,尽量走SSL协议,实现HTTPS,数据加密传输,避免敏感数据的泄露。
 
    专业的安全设备往往需要一定数额的资金投入,但这是值得的。当下环境系统,数据的安全越来越凸显重要,数据的丢失和泄露极有可能为企业带来灾难性的威胁。当然也可以使用开源的安全设备进行防护,如比较成熟的OSSIM开源安全信息管理系统

责任编辑:李欢
本文为授权转载文章,任何人未经原授权方同意,不得复制、转载、摘编等任何方式进行使用,e-works不承担由此而产生的任何法律责任! 如有异议请及时告之,以便进行及时处理。联系方式:editor@e-works.net.cn tel:027-87592219/20/21。
e-works
官方微信
掌上
信息化
编辑推荐
新闻推荐
博客推荐
视频推荐