今年9月,G20峰会将在杭州召开,平安是G20杭州峰会的前提。为应对G20在杭召开可能引发的密集式网络安全攻击,我们将针对贵网站的安全隐患采用以下安全防范方案与建议:
1.域名接入百度云等第三方安全防护监测平台
将域名接入百度云等安全防护监测平台,所有的访问都通过云盾转发,百度云会自动过滤掉可能攻击的请求及请求地址,并可拦截比较常见的攻击行为,为我们的网站安全保驾护航。
2. 常规漏洞扫描修补
首先对网站做安全检测,将发现的中高危漏洞全部修补,比如SQL注入、跨站脚本注入等。所有通过修改请求参数达到的攻击都可提前修补。
3. 后台管理系统限制内网访问
网站的后台管理系统,发布及管理都限制只允许政务内网地址能访问,这样能有效控制对网站服务器写的操作,从物理上隔离攻击服务器的访问。
4. 远程桌面禁止
远程桌面只允许通过政务网IP访问,不允许通过外网IP或域名访问,这样能限制通过破解远程帐号密码达到直接攻入服务器的攻击操作,从物理上隔离。
5. 外网地址禁止写入
通过服务器配置,实现通过外网地址或域名访问进来的所有请求
只读不写,因为想要有效攻击是需要向服务器写入文件的。系统对所有非动态模块(如互动交流等)的写操作直接拒绝,对动态模块的写操作程序做有效控制,限制具体动态模块只能写某几张表或某个文件夹。(即对现有的动态模块进行安全加固)
6. 清理磁盘
定期对网站所在目录做磁盘清理,清理出历史无效页面及可能隐藏的攻击危险,通过扫描磁盘也可查找出可能已经埋下的攻击种子并清理掉。
7. 限制文件上传
对上传文件类型做限制,只允许上传非动态文件(如html,zip,doc等),禁止上传动态文件(如jsp,jar,bat等),并对上传的文件进行无序的重命名,打乱存放,这样有效防止攻击者通过我们提供的上传入口,上传他们攻击时利用的文件。
8. 其他确保安全的建议
建议在G20峰会召开倒计时时间内,关停网站或网站所有动态模块。等峰会结束后再开启网站。但网站的安全防护工作将作为今后日常性的工作。