節(jié)假日期間網(wǎng)絡(luò)安全運維四部曲

申請免費試用、咨詢電話：400-8352-114

08年春節(jié)將至，辛苦了一年的工程師們應(yīng)該有一個比較愜意的春節(jié)長假了。雖然大家可以休假，但公司的網(wǎng)絡(luò)卻不能停止運行。當(dāng)下，工程師應(yīng)該考慮制定切實可行的策略，以保證節(jié)日期間的公司網(wǎng)絡(luò)安全、穩(wěn)定運行。下面，筆者和大家分享一下自己的經(jīng)驗。

* 對硬件設(shè)施進行全面體檢

不同的企業(yè)應(yīng)該有各自的IT設(shè)備運維的標(biāo)準(zhǔn)和制度，筆者認(rèn)為節(jié)前對硬件設(shè)施進行全面體檢絕對應(yīng)該寫入制度之中，并且應(yīng)該徹徹底底、毫無保留地執(zhí)行。因為，要保證節(jié)日期間的網(wǎng)絡(luò)系統(tǒng)的安全穩(wěn)定運行，諸如PC、服務(wù)器、交換機、路由器等硬件設(shè)備的穩(wěn)定性是基礎(chǔ)。

機的檢測及準(zhǔn)備至少應(yīng)該包括以下幾個方面：

* 對PC機的硬件進行檢查，包括電源、硬盤和網(wǎng)卡等。

* 要安裝操作系統(tǒng)的最新補丁包，還要對殺毒軟件的病毒庫進行更新。

* 將最新的應(yīng)用程序和數(shù)據(jù)做備份。

* 做一個最新的DVD Ghost克隆備份。一旦因使用者誤刪文件或者使用移動存儲導(dǎo)致機器染病毒，造成機器癱瘓，拿事先做好的DVD Ghost備份盤恢復(fù)系統(tǒng)。

服務(wù)器的檢測及其準(zhǔn)備也至少應(yīng)該包括以下幾個方面：

* 在適當(dāng)?shù)臅r間對服務(wù)器進行進行一次冷關(guān)機斷點，然后對其電源、硬盤、網(wǎng)卡、風(fēng)扇等進行檢查，確保其性能良好。

* 如果服務(wù)器做了RAID，一定要檢查RAID卡和熱插拔硬盤工作狀態(tài)是否正常。

* 清理文件系統(tǒng)的歷史數(shù)據(jù)，要保持文件系統(tǒng)有足夠的可用磁盤空間，避免假日期間因文件系統(tǒng)空間不足造成應(yīng)用故障。

* 清理數(shù)據(jù)庫的歷史數(shù)據(jù)，保持?jǐn)?shù)據(jù)庫有足夠的可用空間。

* 備份應(yīng)用程序和相關(guān)配置參數(shù)。

* 檢測確保備份服務(wù)器，確保其有足夠的磁盤空間以備份假日期間的數(shù)據(jù)資料。

對于交換機/路由器的檢測及其準(zhǔn)備包括以下幾個方面：

* 在情況容許的情況下對交換機/路由器進行重啟對其功能進行檢測，測試的項目諸如接口測試、性能測試、協(xié)議一致性測試和網(wǎng)管測試等，測試最好進行遠端測試。

* 對其進行衛(wèi)生清潔是非常必要的，最好能夠打開交換機/路由器，清除其主板電路上及其外圍的灰塵，因灰塵導(dǎo)致的故障也是屢見不鮮。

* 備份也是必須的，諸如思科路由器的IOS備份和網(wǎng)絡(luò)配置備份，最好將其備份到一個固定的地方，例如專門用于備份的某UNIX主機的某個目錄下。

* 路由器的IOS是升級一定要做，以Cisco路由器為例，查看其官方網(wǎng)站看看是否有IOS的更新版本，如果有的話最好進行升級，這樣就能修復(fù)BUG、安全漏洞，以防節(jié)日期間被人0day攻擊。

另外，對于網(wǎng)絡(luò)鏈路也需要進行檢測，以保證其可靠和暢通。對于那些使用時間較長，磨損嚴(yán)重的線路進行更換。只有抓住網(wǎng)絡(luò)中關(guān)鍵設(shè)備的檢測和做好相應(yīng)的準(zhǔn)備，并能夠注意某些細節(jié)，這樣節(jié)日期間工程師應(yīng)該心中有數(shù)安心過節(jié)了。退一萬步，就算節(jié)日期間網(wǎng)絡(luò)出現(xiàn)故障，因為有了此前的檢測和準(zhǔn)備也不至于手忙腳亂，無所適從了。

* 補丁管理不能忽視

操作系統(tǒng)漏洞帶了巨大的安全隱患，為病毒泛濫、黑客入侵等行為搭建了溫床。特別是攸關(guān)企業(yè)數(shù)據(jù)安全和業(yè)務(wù)運作的服務(wù)器，如何在節(jié)日期間為其安全及時地打補丁也是大家要考慮的。

通常情況下，企業(yè)服務(wù)器除了Web之外一般都不對公網(wǎng)開放，因此不能通過開啟“自動更新”（以微軟系統(tǒng)為例）來打補丁，而且這樣也不安全。通常的做法是，在企業(yè)內(nèi)部網(wǎng)絡(luò)部署了一臺自動化的補丁分發(fā)的Microsoft WSUS服務(wù)器，每到Microsoft發(fā)布定期或臨時性的補丁程序時，該服務(wù)器都會自動地從Microsoft的補丁發(fā)布站點上下載補丁，進行分類后向企業(yè)內(nèi)部網(wǎng)絡(luò)中的相應(yīng)軟件系統(tǒng)推送補丁程序。因此，WSUS服務(wù)器的可靠、穩(wěn)定運行是必須要保證的。節(jié)前一定要進行檢測，確保WSUS的安全、穩(wěn)定。另外，第三方軟件的補丁也不容忽視，要在WSUS服務(wù)器中做好相應(yīng)部署，以確?？蛻舳舜蛏系谌杰浖难a丁。節(jié)日期間，PC機大多數(shù)處于關(guān)機狀態(tài)，這樣的補丁策略，就能減輕節(jié)日后客戶端大補丁的負擔(dān)，能夠以最快的速度打好補丁，降低風(fēng)險。

另外，以筆者的經(jīng)驗補丁管理中下面這些細節(jié)不容忽視：

* 做好補丁記錄，WSUS服務(wù)器有補丁記錄功能，特別是對于第三方軟件補丁的記錄更不能忽視。這樣在節(jié)日期間或者節(jié)后，如果出現(xiàn)與補丁相關(guān)的問題，可以很快地進行排錯。

* 補丁的兼容性測試，搭建補丁兼容性測試平臺，消除因此造成的風(fēng)險。

* 殺毒軟件的升級。安全軟件是系統(tǒng)的保護神，現(xiàn)在的殺毒軟件都具有“自動升級”功能，要開啟了這些功能，確保無人值守時安全軟件保證系統(tǒng)的安全。

* 實時監(jiān)控掌握網(wǎng)絡(luò)運行狀況

節(jié)日期間，因為無人值守一旦網(wǎng)絡(luò)出現(xiàn)故障怎么辦？實時監(jiān)控技術(shù)能夠在很大程度上解放了工程師，將網(wǎng)絡(luò)運行狀況報告給工程師，并且還能實現(xiàn)一定程度的遙控。

現(xiàn)在的大中型企業(yè)一般都部署了針對網(wǎng)絡(luò)（主要是服務(wù)器）的實時監(jiān)控平臺，使得工程師實時了解網(wǎng)絡(luò)的運行狀態(tài)，并且在出現(xiàn)故障時能夠在第一時間出現(xiàn)在故障現(xiàn)場。這些監(jiān)控平臺具備對所有基于TCP/IP協(xié)議的網(wǎng)絡(luò)服務(wù)（Web服務(wù)器、FTP服務(wù)器、SMTP服務(wù)器、POP3服務(wù)器、數(shù)據(jù)庫服務(wù)器端口、多媒體服務(wù)器等）的監(jiān)測以及對任何服務(wù)器的系統(tǒng)性能參數(shù)進行監(jiān)測的能力，并在這些服務(wù)或是性能不正常時進行短信或郵件報警。

節(jié)日期間，實時監(jiān)控平臺就是工程師的“眼睛”。因此，節(jié)前一定要進行安全和性能檢測，確保其穩(wěn)定運行。以筆者負責(zé)的企業(yè)網(wǎng)絡(luò)為例，我們監(jiān)控平臺實現(xiàn)了對60 多臺服務(wù)器的監(jiān)控，管理人員對每一臺服務(wù)器的CPU占用、內(nèi)存使用、某程序的內(nèi)存使用（比如MS SQL Server的內(nèi)存使用）以及磁盤使用等情況了如指掌。另外，另外，該監(jiān)控平臺還開發(fā)了手機短信管理服務(wù)器功能。通過這一功能，工程師只需要簡單回復(fù)短信就可以管理服務(wù)器的日常服務(wù)，比如：重啟IIS、重啟Apache、重啟Oracle數(shù)據(jù)庫等。當(dāng)然，其他的監(jiān)控平臺類似，要確保各項監(jiān)控功能良好運行。另外，如果你們的網(wǎng)絡(luò)沒有部署這樣的監(jiān)控平臺，完全可以類似的工具軟件來充當(dāng)。這些軟件一般都具有諸如網(wǎng)絡(luò)、系統(tǒng)監(jiān)控功能，并能通過手機短信的方式將網(wǎng)絡(luò)異常告之管理者。

* 遠程維護渠道的暢通

休假在家，常規(guī)的遠程維護還是必須的。當(dāng)然，如果網(wǎng)絡(luò)出現(xiàn)故障，遠程維護當(dāng)然是最快捷、高效的手段了。因此，一定要確保遠程維護渠道的暢通。

平常情況下，為了安全一般不建議大家開啟遠程維護通道，但假日期間又另當(dāng)別論，只有做好相應(yīng)的安全措施這樣做也未嘗不可。首先，要確定需要開啟遠程維護的設(shè)備。筆者認(rèn)為諸如web、WSUS、防火墻、路由器/交換、監(jiān)控平臺等的遠程管理和維護是需要開啟的，因為它們?nèi)菀壮霈F(xiàn)問題，并且與安全相關(guān)。其次，要選擇安全的遠程連接方式。比如Web，以微軟的IIS為例，可以選擇“遠程桌面”、web桌面；或者采用第三方工具，比如 pcanywhere就很不錯。對于防火墻、路由器/交換這樣的網(wǎng)絡(luò)設(shè)備，建議大家關(guān)閉其Web管理方式，采用安全加密的SSL連接，進行登錄管理。最后，記得一定要為其設(shè)置足夠強大的密碼。

春節(jié)長假將至，為了能夠過一個安心的假期，大家應(yīng)該從現(xiàn)在開始進行相關(guān)的網(wǎng)絡(luò)檢測與準(zhǔn)備了。希望筆者的經(jīng)驗?zāi)軌驅(qū)Υ蠹矣兴鶐椭?。（IT專家網(wǎng)）