拯救自己 顺便拯救网站运营经理赵明(拯救赵明)

原创
安全 应用安全
体的整改方向就是内网+外网安全防护和监控,同时对网站服务器本身进行检查。后期还可以对内部网络进行行政制度的限制和整改,效果会更好。

【51CTO.com 独家特稿】关于赵明,此人虽然技术一般,但却坐到了运营经理的位子上,并且一坐就是3年多。几年前公司初次上线网站服务器的时候,曾经找过A公司,做了一套网站硬件布局的设计和实施。以三年前的眼光来看,这套方案还算是具有一定的前瞻性。不过时隔今日,黑客的攻击手法复杂多样,三年前的纯爷们,现在也只能变成纯老头了。

赵明的关系很硬,依稀说来和高层领导是有些牵连的,毕竟今年两个月之间,被客服部投诉了9次,位置依然做的很牢靠。然而一次又一次的网站业务停止,他的后台也有些罩不住了,所以才透过运营总监的口,让他尽快拿出一个成熟方案来。上班总是听歌看电影,这种日子也该到头了。赵明就算拍桌子耍脸,那也是没用的了。

赵明技术一般,但不代表不懂技术,然而说太高深的,也别指望他能明白。所以这次我拿出的方案还是以硬件产品为主,用Linux搭建的各类方案直接放弃,尽管成本上可以做到精确控制,然而搭建和维护绝对不是赵明一个人能完成的。更别提他要清晰的把这个方案复述给自己的领导了。

赵明有些感叹,这么快运营总监就爬到自己头上来了,还敢义正言辞的说什么“后果自负”。今天要再不撒出杀手锏,肯定要被雪藏了。

然而在我看来,赵明以运维经理的头衔就这样以下犯上的爬在黄晓明头上多年,黄晓明都隐忍不发,其他他才是该感慨的那个。

闲话少说,既然赵明许了我少许好处费,那么今天加班加点也要把方案出给他!

赵明这种人国内其实非常多,对技术有一定了解,但不是精通,然后通过关系爬到了CTO或者CIO的位置,偏偏这个位置还牢固的很,其他人还不能把他踹下去。当然,作为他手下的小弟,想要自己做出成绩把头顶下去是不切实际的。真正的做法是,帮助赵明,做好这个案例,让他升职,空出这个职位。

架构分析

赵明现在遇到的问题是网站频繁被篡改,然而被黑的背后总是有着黑客入侵的事实。赵明急于解决问题,所以要求方案所提到的设备能够做到快速部署,快速应用,以及从架构上来看,监控机起着对流量进行分析的作用。不过赵明在复述问题的时候,并没有说明监控机在事后对他起到什么作用。所以这个架构要有所变动,毕竟两台网站服务器仅仅通过负载均衡,直接就接入了互联网。

更改拓扑图如下:  

增加了一台防火墙,一台Websense的DLP设备,将原交换机换成华为的一台3层交换机。至于那台监控机?因为实在不了解它到底对赵明贡献了多少价值,所以暂时还是原样接着的,但我已经不指望它了,毕竟这种旁路接入的方式,不管监控是否运行,都不会对网络造成什么影响。

整套设备的接入方式为:外网→路由器→防火墙→DLP→负载均衡服务器→后面结构不动。

交换机

从原始拓扑图来看,赵明公司的各类服务器应该是在自己的公司内部,毕竟7台服务器,每年光托管的费用都相当高昂。以服务器安装在公司内部做假定,那么就需要考虑内网重要信息的泄露对服务器的影响了。

这次做的第一件事就是换了一台华为的s5500三层交换机,目的就是划分VLAN,以及依靠它的数据高吞吐量,将机柜里头的公有业务和私有业务划分开来。网站的流量出口单独走一个VLAN;员工上网走另一个。同时对两端的业务都使用DLP进行内容监控(线路接法为从DLP引出一个接口,流向内部网络。自此,内部网络访问网站服务器群,也需要经过DLP规则和防火墙规则,同时内网在DLP的保护和监控之下。)

由于并不知道网站频繁被改是因为服务器的原因还是公司内部员工的泄露,所以两方面都做准备才好分析出故障所在。

防火墙

防火墙作为企业信息安全的第一道屏障,作用已经日渐式微,这并不是说它一点用处没有。而是单纯的防火墙功能已经被其他的设备所涵盖了。诸如路由器、IDS、IPS、这些都或多或少有一些防火墙的功能。然而这并不意味着单独的防火墙就没有市场了。

本案例采用思科的ASA5510-BUN-K9 VPN防火墙,当然,采用5520也是可以的,与前者的区别仅在于并发数的不同。后者的报价大概是前者的1.5倍。通过接入防火墙,我们可以进行常规的网络防护,诸如ACL控制、DMZ划分等等。同时这款防火墙也支持UTM(统一威胁管理)。可能很多人觉得思科的设备配置起来非常麻烦,写配置文件要写很多。事实上使用终端连接到思科防火墙上,我们使用复制黏贴的方法,可以快速的将配置语句写入。调试起来还是非常快的,并且现在思科也都在自己的产品上配置了WEB界面,操作起来也很简单。

DLP  

数据泄露防护(Data leakage prevention, DLP),又称为“数据丢失防御”(Data Loss prevention, DLP),有时也称为“信息泄漏防御”(Information leakage prevention, ILP)。数据泄漏防护是通过一定的技术手段,防止企业的指定数据或信息资产以违反安全策略规定的形式流出企业

所谓DLP,说白了就是对内网进行关键字过滤,应用的效果很广泛,如我们在MSN说一句话,包含了“合同”两个字,那么可能你的桌面上会跳出一个提醒:“您所交流的语句包含关键字,系统已经开始对其进行记录。”;或者比如我是华为的员工,登录了思科的网站,系统会弹出一句话“您正在访问竞争对手的网站,人力资源将会对您的行为记录在案。”等等等等,这种基于内容的监控和管理就是DLP的实施场景。

DLP不光可以监控,同样可以控制,如上面的场景,它可以不弹出提示,直接关闭你的聊天窗口,或者断网几分钟以作惩罚。

像使用迅雷大流量下载,上班看电影等行为,都可以进行有效的监管。

高级一点的,可以对某些蠕虫病毒的传播特征进行限制。或者网页提交格式进行限制。如禁止内外网提交类似' or '' = ' ' or 1=1;这种东西。当然规则有多严格,就看制度编写的如何了。

DLP的实施功能是非常强大的,同时操作也很容易,但它更需要企业内部员工的配合,赵明的执行力是毋庸置疑的,所以推荐DLP一定会让他很满意。

网站

赵明的网站频繁被篡改,要说服务器本身没有问题,这是在是很难有说服力。所以服务器方面也需要进行一定的整改。不过为了简便实施和介绍,操作方式也被严格限定在以下几个方面。

1、 服务器操作系统安全。打完所有补丁,这个很容易实施,但是效果很明显,可以免疫为数不少的蠕虫和0day

2、 服务器权限修改,包含数据库的权限修改。方向就是给访客最低的权限,同时将访问者控制在自己的目录中,具体操作较为复杂,实施可以外包。

3、 网站脚本内容检查。这部分可以单独交给安全公司来做,我向赵明推荐了我们自己的公司。

总结:

总体的整改方向就是内网+外网安全防护和监控,同时对网站服务器本身进行检查。后期还可以对内部网络进行行政制度的限制和整改,效果会更好。  

责任编辑:许凤丽 来源: 51CTO.com
相关推荐

2010-06-12 11:49:03

2010-04-21 11:26:55

2010-06-12 09:27:40

2010-04-13 14:20:32

2010-06-12 15:24:33

2010-04-13 00:13:24

2010-06-12 15:58:17

2010-04-22 11:53:15

2010-05-31 14:31:51

2010-05-31 12:13:23

2010-04-22 14:39:27

2010-05-25 21:56:00

2010-05-24 17:34:38

2010-05-31 11:38:00

2010-06-22 16:34:31

2010-05-31 11:10:20

2010-04-21 10:07:32

2010-04-21 10:26:35

2010-04-21 11:00:41

2010-04-22 01:19:32

点赞
收藏

51CTO技术栈公众号