我们自己的生产厂网络有内部的生产网,也有外部的网站。从经验来看,更多的问题多数来自外部,我先说说自己的一点经验。
1.,我们自己的外部网站建立的比较早,在防火墙DMZ区,使用的操作系统,中间件还有开发框架的版本很多都比较低,程序写的也难保滴水不漏,所以经常发生被攻击的事情,以现在的攻击手段来看。传统的防火墙单纯通过IP地址和端口用来安全防护。操作系统加固的方法都很难避免现在的针对应用漏洞的攻击。这部分能做的是,尽量采用比较新的,稳定的操作系统,中间件,数据库和开发框架。程序代码尽量从专业的软件架构和数据库方面去做安全加固和优化。
2,后期我们购买了专门的WEB防火墙,虽然不能完全杜绝安全事件发生,但已经可以很快的辅助我查找攻击源,进行安全处理了。这部分的投资现在越来越重要了。web防火墙,还有下一代的防火墙都具备在应用层很高的防护功能。可以用来弥补人力技术所无法弥补的一些问题。
3,应用审计设备,我们还没有上这类的设备,但从长远来说。应该要有这样的设备来进行业务审计,监控业务的所有操作。
4,架构方面,现在很多地方都是把中间件和数据库分离,尽量少的把网站直接暴露在网络外,前面可以通过缓存服务器,或者一些负载均衡服务器来减少重要设备直接暴露在互联网上的风险。