節(jié)假日期間網(wǎng)絡(luò)安全運(yùn)維四部曲

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

08年春節(jié)將至，辛苦了一年的工程師們應(yīng)該有一個(gè)比較愜意的春節(jié)長假了。雖然大家可以休假，但公司的網(wǎng)絡(luò)卻不能停止運(yùn)行。當(dāng)下，工程師應(yīng)該考慮制定切實(shí)可行的策略，以保證節(jié)日期間的公司網(wǎng)絡(luò)安全、穩(wěn)定運(yùn)行。下面，筆者和大家分享一下自己的經(jīng)驗(yàn)。

* 對(duì)硬件設(shè)施進(jìn)行全面體檢

不同的企業(yè)應(yīng)該有各自的IT設(shè)備運(yùn)維的標(biāo)準(zhǔn)和制度，筆者認(rèn)為節(jié)前對(duì)硬件設(shè)施進(jìn)行全面體檢絕對(duì)應(yīng)該寫入制度之中，并且應(yīng)該徹徹底底、毫無保留地執(zhí)行。因?yàn)椋ＷC節(jié)日期間的網(wǎng)絡(luò)系統(tǒng)的安全穩(wěn)定運(yùn)行，諸如PC、服務(wù)器、交換機(jī)、路由器等硬件設(shè)備的穩(wěn)定性是基礎(chǔ)。

機(jī)的檢測及準(zhǔn)備至少應(yīng)該包括以下幾個(gè)方面：

* 對(duì)PC機(jī)的硬件進(jìn)行檢查，包括電源、硬盤和網(wǎng)卡等。

* 要安裝操作系統(tǒng)的最新補(bǔ)丁包，還要對(duì)殺毒軟件的病毒庫進(jìn)行更新。

* 將最新的應(yīng)用程序和數(shù)據(jù)做備份。

* 做一個(gè)最新的DVD Ghost克隆備份。一旦因使用者誤刪文件或者使用移動(dòng)存儲(chǔ)導(dǎo)致機(jī)器染病毒，造成機(jī)器癱瘓，拿事先做好的DVD Ghost備份盤恢復(fù)系統(tǒng)。

服務(wù)器的檢測及其準(zhǔn)備也至少應(yīng)該包括以下幾個(gè)方面：

* 在適當(dāng)?shù)臅r(shí)間對(duì)服務(wù)器進(jìn)行進(jìn)行一次冷關(guān)機(jī)斷點(diǎn)，然后對(duì)其電源、硬盤、網(wǎng)卡、風(fēng)扇等進(jìn)行檢查，確保其性能良好。

* 如果服務(wù)器做了RAID，一定要檢查RAID卡和熱插拔硬盤工作狀態(tài)是否正常。

* 清理文件系統(tǒng)的歷史數(shù)據(jù)，要保持文件系統(tǒng)有足夠的可用磁盤空間，避免假日期間因文件系統(tǒng)空間不足造成應(yīng)用故障。

* 清理數(shù)據(jù)庫的歷史數(shù)據(jù)，保持?jǐn)?shù)據(jù)庫有足夠的可用空間。

* 備份應(yīng)用程序和相關(guān)配置參數(shù)。

* 檢測確保備份服務(wù)器，確保其有足夠的磁盤空間以備份假日期間的數(shù)據(jù)資料。

對(duì)于交換機(jī)/路由器的檢測及其準(zhǔn)備包括以下幾個(gè)方面：

* 在情況容許的情況下對(duì)交換機(jī)/路由器進(jìn)行重啟對(duì)其功能進(jìn)行檢測，測試的項(xiàng)目諸如接口測試、性能測試、協(xié)議一致性測試和網(wǎng)管測試等，測試最好進(jìn)行遠(yuǎn)端測試。

* 對(duì)其進(jìn)行衛(wèi)生清潔是非常必要的，最好能夠打開交換機(jī)/路由器，清除其主板電路上及其外圍的灰塵，因灰塵導(dǎo)致的故障也是屢見不鮮。

* 備份也是必須的，諸如思科路由器的IOS備份和網(wǎng)絡(luò)配置備份，最好將其備份到一個(gè)固定的地方，例如專門用于備份的某UNIX主機(jī)的某個(gè)目錄下。

* 路由器的IOS是升級(jí)一定要做，以Cisco路由器為例，查看其官方網(wǎng)站看看是否有IOS的更新版本，如果有的話最好進(jìn)行升級(jí)，這樣就能修復(fù)BUG、安全漏洞，以防節(jié)日期間被人0day攻擊。

另外，對(duì)于網(wǎng)絡(luò)鏈路也需要進(jìn)行檢測，以保證其可靠和暢通。對(duì)于那些使用時(shí)間較長，磨損嚴(yán)重的線路進(jìn)行更換。只有抓住網(wǎng)絡(luò)中關(guān)鍵設(shè)備的檢測和做好相應(yīng)的準(zhǔn)備，并能夠注意某些細(xì)節(jié)，這樣節(jié)日期間工程師應(yīng)該心中有數(shù)安心過節(jié)了。退一萬步，就算節(jié)日期間網(wǎng)絡(luò)出現(xiàn)故障，因?yàn)橛辛舜饲暗臋z測和準(zhǔn)備也不至于手忙腳亂，無所適從了。

* 補(bǔ)丁管理不能忽視

操作系統(tǒng)漏洞帶了巨大的安全隱患，為病毒泛濫、黑客入侵等行為搭建了溫床。特別是攸關(guān)企業(yè)數(shù)據(jù)安全和業(yè)務(wù)運(yùn)作的服務(wù)器，如何在節(jié)日期間為其安全及時(shí)地打補(bǔ)丁也是大家要考慮的。

通常情況下，企業(yè)服務(wù)器除了Web之外一般都不對(duì)公網(wǎng)開放，因此不能通過開啟“自動(dòng)更新”（以微軟系統(tǒng)為例）來打補(bǔ)丁，而且這樣也不安全。通常的做法是，在企業(yè)內(nèi)部網(wǎng)絡(luò)部署了一臺(tái)自動(dòng)化的補(bǔ)丁分發(fā)的Microsoft WSUS服務(wù)器，每到Microsoft發(fā)布定期或臨時(shí)性的補(bǔ)丁程序時(shí)，該服務(wù)器都會(huì)自動(dòng)地從Microsoft的補(bǔ)丁發(fā)布站點(diǎn)上下載補(bǔ)丁，進(jìn)行分類后向企業(yè)內(nèi)部網(wǎng)絡(luò)中的相應(yīng)軟件系統(tǒng)推送補(bǔ)丁程序。因此，WSUS服務(wù)器的可靠、穩(wěn)定運(yùn)行是必須要保證的。節(jié)前一定要進(jìn)行檢測，確保WSUS的安全、穩(wěn)定。另外，第三方軟件的補(bǔ)丁也不容忽視，要在WSUS服務(wù)器中做好相應(yīng)部署，以確?？蛻舳舜蛏系谌杰浖难a(bǔ)丁。節(jié)日期間，PC機(jī)大多數(shù)處于關(guān)機(jī)狀態(tài)，這樣的補(bǔ)丁策略，就能減輕節(jié)日后客戶端大補(bǔ)丁的負(fù)擔(dān)，能夠以最快的速度打好補(bǔ)丁，降低風(fēng)險(xiǎn)。

另外，以筆者的經(jīng)驗(yàn)補(bǔ)丁管理中下面這些細(xì)節(jié)不容忽視：

* 做好補(bǔ)丁記錄，WSUS服務(wù)器有補(bǔ)丁記錄功能，特別是對(duì)于第三方軟件補(bǔ)丁的記錄更不能忽視。這樣在節(jié)日期間或者節(jié)后，如果出現(xiàn)與補(bǔ)丁相關(guān)的問題，可以很快地進(jìn)行排錯(cuò)。

* 補(bǔ)丁的兼容性測試，搭建補(bǔ)丁兼容性測試平臺(tái)，消除因此造成的風(fēng)險(xiǎn)。

* 殺毒軟件的升級(jí)。安全軟件是系統(tǒng)的保護(hù)神，現(xiàn)在的殺毒軟件都具有“自動(dòng)升級(jí)”功能，要開啟了這些功能，確保無人值守時(shí)安全軟件保證系統(tǒng)的安全。

* 實(shí)時(shí)監(jiān)控掌握網(wǎng)絡(luò)運(yùn)行狀況

節(jié)日期間，因?yàn)闊o人值守一旦網(wǎng)絡(luò)出現(xiàn)故障怎么辦？實(shí)時(shí)監(jiān)控技術(shù)能夠在很大程度上解放了工程師，將網(wǎng)絡(luò)運(yùn)行狀況報(bào)告給工程師，并且還能實(shí)現(xiàn)一定程度的遙控。

現(xiàn)在的大中型企業(yè)一般都部署了針對(duì)網(wǎng)絡(luò)（主要是服務(wù)器）的實(shí)時(shí)監(jiān)控平臺(tái)，使得工程師實(shí)時(shí)了解網(wǎng)絡(luò)的運(yùn)行狀態(tài)，并且在出現(xiàn)故障時(shí)能夠在第一時(shí)間出現(xiàn)在故障現(xiàn)場。這些監(jiān)控平臺(tái)具備對(duì)所有基于TCP/IP協(xié)議的網(wǎng)絡(luò)服務(wù)（Web服務(wù)器、FTP服務(wù)器、SMTP服務(wù)器、POP3服務(wù)器、數(shù)據(jù)庫服務(wù)器端口、多媒體服務(wù)器等）的監(jiān)測以及對(duì)任何服務(wù)器的系統(tǒng)性能參數(shù)進(jìn)行監(jiān)測的能力，并在這些服務(wù)或是性能不正常時(shí)進(jìn)行短信或郵件報(bào)警。

節(jié)日期間，實(shí)時(shí)監(jiān)控平臺(tái)就是工程師的“眼睛”。因此，節(jié)前一定要進(jìn)行安全和性能檢測，確保其穩(wěn)定運(yùn)行。以筆者負(fù)責(zé)的企業(yè)網(wǎng)絡(luò)為例，我們監(jiān)控平臺(tái)實(shí)現(xiàn)了對(duì)60 多臺(tái)服務(wù)器的監(jiān)控，管理人員對(duì)每一臺(tái)服務(wù)器的CPU占用、內(nèi)存使用、某程序的內(nèi)存使用（比如MS SQL Server的內(nèi)存使用）以及磁盤使用等情況了如指掌。另外，另外，該監(jiān)控平臺(tái)還開發(fā)了手機(jī)短信管理服務(wù)器功能。通過這一功能，工程師只需要簡單回復(fù)短信就可以管理服務(wù)器的日常服務(wù)，比如：重啟IIS、重啟Apache、重啟Oracle數(shù)據(jù)庫等。當(dāng)然，其他的監(jiān)控平臺(tái)類似，要確保各項(xiàng)監(jiān)控功能良好運(yùn)行。另外，如果你們的網(wǎng)絡(luò)沒有部署這樣的監(jiān)控平臺(tái)，完全可以類似的工具軟件來充當(dāng)。這些軟件一般都具有諸如網(wǎng)絡(luò)、系統(tǒng)監(jiān)控功能，并能通過手機(jī)短信的方式將網(wǎng)絡(luò)異常告之管理者。

* 遠(yuǎn)程維護(hù)渠道的暢通

休假在家，常規(guī)的遠(yuǎn)程維護(hù)還是必須的。當(dāng)然，如果網(wǎng)絡(luò)出現(xiàn)故障，遠(yuǎn)程維護(hù)當(dāng)然是最快捷、高效的手段了。因此，一定要確保遠(yuǎn)程維護(hù)渠道的暢通。

平常情況下，為了安全一般不建議大家開啟遠(yuǎn)程維護(hù)通道，但假日期間又另當(dāng)別論，只有做好相應(yīng)的安全措施這樣做也未嘗不可。首先，要確定需要開啟遠(yuǎn)程維護(hù)的設(shè)備。筆者認(rèn)為諸如web、WSUS、防火墻、路由器/交換、監(jiān)控平臺(tái)等的遠(yuǎn)程管理和維護(hù)是需要開啟的，因?yàn)樗鼈內(nèi)菀壮霈F(xiàn)問題，并且與安全相關(guān)。其次，要選擇安全的遠(yuǎn)程連接方式。比如Web，以微軟的IIS為例，可以選擇“遠(yuǎn)程桌面”、web桌面；或者采用第三方工具，比如 pcanywhere就很不錯(cuò)。對(duì)于防火墻、路由器/交換這樣的網(wǎng)絡(luò)設(shè)備，建議大家關(guān)閉其Web管理方式，采用安全加密的SSL連接，進(jìn)行登錄管理。最后，記得一定要為其設(shè)置足夠強(qiáng)大的密碼。

春節(jié)長假將至，為了能夠過一個(gè)安心的假期，大家應(yīng)該從現(xiàn)在開始進(jìn)行相關(guān)的網(wǎng)絡(luò)檢測與準(zhǔn)備了。希望筆者的經(jīng)驗(yàn)?zāi)軌驅(qū)Υ蠹矣兴鶐椭?。（IT專家網(wǎng)）