中小企業安全增強心得分享
原創
2540次查看
首先说一下我们的应用场景。我们是一个小团队,上网方式都是使用動態拨号的方式,办公室出口的ip地址都是動態在发生变化的。外网的web服务等服务器都是采用的云主机。我们还有几位同事是在家办公。从我们的系统来讲,可以分为对外公开的服务(网站)和企业内部系统(比如我们的禅道项目管理,然之协同等)。网站还有各自的管理后台。
存在的问题。我们的内部网络系统和企業管理后台都是直接暴露在公网上面的,部分同事的密码存在弱口令。再加上我们以开源的方式来发布我们的禅道,蝉知等几款软件,所以企业的信息在外面暴露的比较多。在专业的黑客面前风险比较高。
首先:業務分離。按照業務線把系統分開,避免一個節點出現問題,關聯的會引起其他的節點出現問題。各個業務機器之間彼此是隔絕訪問的。
再次:強制口令。強制大家使用keepass這樣的密碼管理工具,做到每個系統的口令都是隨機口令,並且不同。
第三:最小授權。細致的梳理了各個系統的管理員帳號,如無必要,不予分配管理權限。做到最少的管理帳號。
第四:避免默認。系統默認的很多設置都比較危險,比如ssh的端口號等等。通過修改ssh默認的端口號,禁止密碼登錄,強制使用私鑰登錄等方式,都會安全很多。
第五:單一入口。我們使用青雲的vpn服務組建了一個企業安全內網,每個人通過vpn客戶端可以登錄到一台只有內網訪問的機器,然後再通過這台機器訪問其他的系統。
第六:邪惡輸入。凡是用戶的輸入都是邪惡的,在代碼層面加強對用戶輸入的過濾。同時在服務器端通過一些配置增強對用戶上傳文件,數據的檢查。
第七:緘默法則。盡可能的屏蔽可以暴露系統特征的信息,比如apache的header信息,php的信息等等。
安全問題無止境,歡迎大家一起探討。
團隊分享
