4000744988
新闻中心
公司新闻
行业新闻
联系我们
在线咨询
邮箱:19173393@qq.com
公司地址:张家界永定区古庸路348号
4000744988

行业新闻

您当前所在的位置:主页 > 新闻中心 > 行业新闻 > 浅谈门户网站安全运维

浅谈门户网站安全运维

时间:2016-01-09 作者:admin浏览次数:119

一什么是门户网站运维?

门户网站运维,顾名思义就是针对门户网站进行维护、优化,使之正常高效地运行,这也包括一切与网站有关的硬件平台,操作系统,数据库,中间件以及各种软件的维护。门户网站运维,与其它运维如硬件、网络、系统运维有很大区别。

 

一些小型网站可能没有真正意义上的运维工程师,这与网站规范不够和成本因素有关,更多的是与集合网络、系统、开发工作于一身的“复合性人才”缺乏有关。如果我们是一辆行驶在高速公路上的汽车,那运维工程师就是司机兼维修工,这个司机不简单,有时需要在高速行驶过程中换轮胎、并根据道路情况换档位、当汽车速度越来越快,汽车本身不能满足高速度时对汽车性能调优或零件升级、高速行进中解决汽车故障及性能问题、时刻关注前方安全问题,并先知先觉的采取规避手段。

二门户网站运维工程师的职责

运维工程师的职责:“确保线上稳定”,看似简单,但实属不容易。运维工程师必须在诸多不利因素中进行权衡:新产品模式对现有架构及技术的冲击、产品频繁的升级带来的线上BUG隐患、运维自动化管理承度不高导致的人为失误、IT行业追求的高效率导致流程执行上的缺失、用户增涨带来的性能及架构上的压力、IT行业宽松的技术管理文化、创新风险、互联网安全性问题等因素,都会是网站稳定的大敌,运维工程师必须把控好这一关,需具体高度的责任感、原则性及协调能力,如果能做到各因素的最佳平衡,那就是一名优秀的运维工程师了。

具体职责:

1、保证服务达到要求的线上标准,保证线上稳定,做到职责分明,网络、系统运维工程师对网络、系统稳定负责,应用运维就需对线上应用的稳定负责。

2、不断的提升应用的可靠性与健壮性、性能优化、安全提升;这方面非常考验主动性和创新思维。

3、网站各层面实时状态的监控、统计的覆盖度;软件、硬件、运行状态,能监控的都需要监控统计,避免监控死角、并能实时了解应用的运转情况。

4、通过创新思维解决运维效率问题;目前各公司大部份运维主要工作还是依赖人工操作干预,需要尽可能的解放双手。

5、运维知识的积累与沉淀、文档的完备性,运维是一个经验性非常强的岗位,好的经验与陷阱都需积累下来,避免重复性犯错。

6、成本控制;通过技术手段提升硬件承载、架构优化,如虚拟化技术,节省硬件开支。

7、自动化运维;能对日常机械化工作进行提炼、设计并开发成工具、系统,能让系统自动完成的尽量依靠系统。

三门户网站运维关键技术点

1、大规模集群管理问题

首先我们先要明确集群的概念,集群不是泛指各功能服务器的总合,而是指为了达到某一目的或功能的服务器、硬盘资源的整合,对于应用来说它就是一个整体,目前常规集群可分为:高可用性集群(HA),负载均衡集群(如lvs),分布式储、计算存储集群(DFS,如google,gfs,yahoo,hadoop),特定应用集群(某一特定功能服务器组合、如db、cache层等),目前互联网行业主要基于这四种类型;对于前两种类似,如果业务简单、应用上post操作比较少,可以简单的采用四层交换机解决(如f5、foundly),达到服务高可用、负载均衡的作用,对于资源紧张的公司也有一些开源解决办法如lvs+ha,非常灵活;对于后两种,那就考验公司技术实力及应用特点了,第三种DFS主要应用于海量数据应用上,如邮件、搜索等应用,特别是搜索要求就更高了,除了简单海量存储,还包括数据挖掘、用户行为分析。

2、大并发网站的设计

网站架构设计中,非常重要的一个要素,就是确保架构的可扩展性、这是高并发网站的基石。往往,一个网站的大流量不是与生俱来的,而是有一个积累的过程,最后变成巨无霸,包括google、yahoo这种全球流量大户,而在这个成长过程中所积累的经验才是最值得我们学习的,包括思考方式、问题解决、改进过程。

3、网站安全问题

网站安全是一个系统性工作,影响安全的因素也很多,如DDOS(最常见的)、应用漏洞、系统层面漏洞、内部安全流程漏洞等(人为失误),可以从以下几方面着手考虑。

(1)网络层

首先在网络设计时需考虑到安全因素;在主干出口处,对非业务端口进行屏蔽(如非80端口全部屏蔽),对于非常规数据包进行限速,如icmp,udp等,但是需考虑主干设备性能,不能因为安全限制导致设备性能明显下降,需要做到平衡,否则又会出现一个新的隐患点;另一方面就是主干带宽要足够富余,做到冗余互备(vrrp、hsrp),以抵抗DDOS的所带来的带宽消耗(对于大型网站DOS随时都存在,只是规模大小不一样),另外,现在部分硬件具有一定的syn代理功能,可以抵御一定规模的flood,但主要还得拼资源、带宽、硬件性能;另外,需做好主干数据镜像分析,对于一些有规律的攻击定位到特征、甚至是攻击源,进行针对性的防御。对于公司重点业务可以在网络层进行物理隔离,增强关键性业务的健壮性,甚至是将业务冗余分布至不同IDC,做到异地容灾。

(2)系统层

系统层主要是操作系统安全加固、系统安全BUG解决、对非业务端口进行屏蔽、非业务软件清除、跟踪系统工具软件最新安全动态,并做到及时更新。特别是直接对外提供服务的服务器,更需做好定期安全审查评估。

(3)应用层面

应用方面安全就不多说了,主要是开发细节上需把好关,不留逻辑上的漏洞,并对上传接口严格控制、越界检查、SQL安全性考虑等,特别是对于用户具备上传接口的应用(如mail、bbs、blog、云计算等应用),漏洞是很多的;系统应用,如中间件也需做好相应的安全配置。用户是最好的测试人员,发现后需第一时间修复,并对同类业务进行全面排查。

(4)内网安全管理

对于日常内网准入方面需有严格流程,统一入口,技术方面如vpn、Rsa,SecurID等,没有条件的也需定期更新入口密码。

(5)安全巡查

偶尔由于人为失误会导致一些漏洞的出现,如由于工作需要临时变更了某些安全参数,但忘记开启,这个问题其实是最大的,往往出问题也多是人为失误,需要定期对全网关键安全点进行巡查。

四门户网站的安全预防措施

(一)安全监督不可忽视

俗话说,防范于未然。企业IT负责人在日常工作中,针对Web服务器会有很多的监督措施。如针对事件日志、防火墙等方面的监督。

(二)保护边界安全

在这里我们需要明白一点,即使再严格的安全防护措施也可能网站内网与外网之间的连接存在安全漏洞。虽然如此,我们仍然需要采取一切有效的措施往这个方面努力。在实际工作中,借助信息安全岛能够比较有效的实现这一点。借助信息安全岛的缓冲作用,可以将单位内网中的信息与外网中的信息实现物理隔离,以确保内外网在交换、传输数据信息时能够比较安全的进行。

(三)实时对系统和软件进行升级

在第一时间及时升级系统、数据库和应用软件的补丁,企业门户网站对补丁进行升级时,往往有两种策略:自动升级和手工升级。平时的时候,可能处于稳定性的考虑,会采取手工升级的策略。

(四)定期备份数据和程序

至少每周一次定期的备份网站的数据和应用程序,对大型数据库可以使用专业的备份软件来进行备份,保证网站数据发生丢失的时候,能在短期内很快的恢复数据。

门户网站安全运维是一个系统的工程,不能仅依靠杀毒软件、防火墙、漏洞检测等各种各样的安全产品,还要仔细考虑系统的安全需求,注重树立管理者的计算机安全意识,将各种安全技术结合到一起,才可能防微杜渐,把可能出现的损失降到最低点,生产一个高效、通用、安全稳定的门户网站。

上一篇:扫除虚拟服务器安全困扰   下一篇:十大真理--排除网络故障