科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道教你七个打造企业安全门面技巧

教你七个打造企业安全门面技巧

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

企业内部隐私机密信息被竞争对手所窃取,让宝贵的研发成果付诸东流。今天笔者设身处地的为各位中小企业的网络管理员着想,让我们用七招打造企业安全门面。

作者:beijing 权心权意 来源:IT168 2008年10月15日

关键字: 企业安全 安全策略

  • 评论
  • 分享微博
  • 分享邮件

  随着网络技术以及电子商务的快速发展,网络安全越来越得到各中小企业的重视。大部分企业都通过网络开展自身业务,在这种情况下如何打造企业安全的网络门户就显得格外重要,如果不关注网络门面的安全,轻者业务无法顺利开展,企业利润没有得到保障;重者企业内部隐私机密信息被竞争对手所窃取,让宝贵的研发成果付诸东流。今天笔者设身处地的为各位中小企业的网络管理员着想,让我们用七招打造企业安全门面。

  一,企业网络门面基本情况:

  我们平时所说的企业网络门面,说白了就是企业的网站,不过由于现在各个企业都通过网络实现产品展示与推广的目的,所以网站的用途变得更为丰富,自身地位也比以前更为重要。这种情况决定了企业网站需要具备与用户的互动以及强大的管理功能。网站中夹杂着PHPASPMYSQL数据库,SQLSERVER等诸多高级应用。不过就笔者经验来说现阶段几乎百分之九十九的中小企业都不会自己从零起步的开发网站和论坛系统,大部分采取的方法都是通过网上免费的CMS或网上店铺程序来搭建一个基础框架,然后在这种平台基础上自身进行小范围修改,从而实现企业网络门面的搭建目的。正是因为这种“拿来主义”的存在,使得网络门面存在着不少安全隐患,很容易被病毒和黑客入侵。为了避免上述问题的发生,我们应该尽可能的从各个方面提升门面的安全级别,下面笔者就从七个方面为各位IT168安全频道的读者介绍如何为企业门面安装上坚硬的“防盗门”。

  二,空间管理含糊不得:

  中小企业中有一半以上都采取租用空间的方式来发布企业网络门面,这样一方面节约了购买服务器的费用,另一方面减少了维护服务器方面的精力投入,再加上网上免费的CMS系统容量并不大,所以花费几百元购买的空间足够满足企业实际需求。

  因此这个空间的登录信息就特别重要,需要网络管理员保管好并且设置得强大些,毕竟通过空间管理可以入侵网站各个页面,上传空间FTP,数据库信息等。所以网络管理员需要登录空间提供商的管理平台,通过“空间管理”下的“修改密码”将自己的空间管理帐户密码设置得复杂些。当然如果空间提供商提供诸如短信,手机绑定,EMAIL等其他方式保护密码的话,我们也应该尽可能的选择。

  总之空间管理登录帐号和密码是企业门面的一把万能钥匙,他的丢失将使入侵者轻松通过其他各道防护关卡。(如图1)

  图1

  重要级别:*****

  三,空间传输密码要记牢:

  大部分情况企业租用的空间都以FTP的方式提供给各位网络管理员,企业通过FTP上传各个网站页面,安装和维护也是通过页面的形式完成。由于FTP登录密码由空间提供商转发给企业网站负责人,平时更新页面,管理网站也都通过FTP方式完成,再加上很多空间管理者都会将数据库文件放到FTP上,所以这个FTP管理登录密码也是需要特别关注的。FTP密码被入侵后轻者网站页面被修改中下木马,重者数据库文件直接被下载企业员工基本信息,产品相关数据被他人随意盗取。

  因此FTP空间传输登录信息也需要额外保护好,由于我们是通过租用空间方式管理企业网站的,所以无法从系统中修改FTP帐户名与密码,只有通过空间服务提供商的管理平台来完成修改目的。首先进入空间管理界面,然后找到“空间管理”选项,在该选项中我们能够看到当前使用情况以及服务种类,这就是我们的FTP空间,在右侧有“管理”字样,点击他进入具体设置。(如图2)

  图2

  在空间管理控制面板里我们在左侧找到“修改FTP密码”,然后根据界面显示完成密码的设置与修改工作,记得一定要更改为一个足够安全足够强大自己又能够记忆的字符信息。(如图3)

  图3

  小提示:

  有的时候空间服务提供商不能够为我们提供修改FTP登录用户名的服务,所以设置强有力的FTP登录密码就更加关键了,他是防范空间被入侵的屏障。

  四,数据库的“钥匙”要保管牢:

  众所周知稍微有点规模的网站,特别是动态以及可以和访问用户互动的网络平台,他的帐户信息还有产品信息等数据都必须通过数据库的方式保存,这样一方面有利于数据的快速读取,另一方面也能够让数据搜索查询更加方便和迅速。中小型企业的网站大多数也都会以数据库的形式存在,因此数据库文件的保护变得十分关键,除了平时对数据库文件做好备份和防护工作外,设置一个强有力的数据库管理帐户以及密码也成为保护数据的有力屏障。下面笔者就来介绍下保管数据库“钥匙”的方法。

  一方面我们可以访问自己的空间然后把数据库文件下载保存,另一方面我们需要通过空间服务提供商给我们的管理平台为数据库设置一个密码,具体方法如下。

  第一步:访问空间服务提供商的站点,用自己的空间登录管理帐号访问进入。

  第二步:在管理平台左侧选择“数据库管理”项,在右边我们就能够看到关于数据库文件的基本信息了,包括数据库名称,所属父产品,IP地址,开通日期,结束日期等等,我们点“操作”下的“管理”对其进行具体设置。(如图4)

  图4

  第三步:进入数据库控制面板,和我们之前介绍过的FTP控制面板有相似之处,我们在左边找到“修改数据库密码”,然后根据右边界面显示为我们的数据库添加一个足够安全足够强大自己又能够记忆的密码。

  图5

  小提示:

  很多空间服务提供商都没有添加修改数据库帐户名的服务,所以管理帐户是无法更改的,这时安全性就全交给数据库连接密码了,所以对这个密码的设置就更应该引起重视。

  五,网络平台管理者密码设置不含糊:

  前面笔者介绍了大多数中小企业都会通过现成的CMS或网上平台程序搭建一个基础雏形,那么在安装这些平台和维护管理平台时都有一个拥有最高权限的管理者,他的设置也是不能够含糊的。在我们安装网上平台时会有专门的设置界面,这里管理员用户名和密码都是自己随意设置的,为了安全一方面我们需要把管理员用户名做一个修改,别起大家常见常用的诸如administrator,admin这类的,另一方面管理员密码和之前的密码一样要设置得强大些安全点。(如图6)

  图6

  当然日后这个平台管理员密码是可以修改的,只是用户名无法改变,具体修改的办法就是访问企业网络平台的管理后台,在“管理员设置”处进行修改即可。(如图7)

  图7

  虽然这个管理员权限并没有之前的FTP,空间管理,数据库连接密码那么关键,但是他的丢失也会带来平台管理混乱,被黑客随便添加恶意帐号的麻烦,特别是一些入侵者会在页面挂上木马,而破解此管理员帐户也是他们突破权限的最好办法。

  六,隐患文件要删除:

  一般来说我们通过FTP将自己需要的页面信息传输并完成网上平台程序安装工作后都会留有一些多余文件,例如安装,文档说明文件等等,这些文件一方面会占用空间的容量造成你的资源吃紧,另一方面这些文件很可能被非法入侵者利用,从而通过这些程序了解平台情况,甚至直接重新安装平台,重新设置各个管理帐户信息。所以在我们完成安装平台的工作后记得一定要删除没有用途多余的文件,特别是平台安装文件。

  笔者以目前最流行的网络平台搭建工具shopex和discuz!论坛为例进行介绍。对于这些网络平台搭建系统和论坛程序来说在安装完毕最需要删除的就是安装程序,如果不删除很容易被非法用户通过种种方法运行安装程序,重新安装论坛设置管理员帐户信息以及连接数据库的密码,这是非常危险的。所以说不管是论坛程序还是CMS程序在安装完毕后都要通过FTP访问自己企业空间删除掉install程序,包括install.php和install目录。我们直接在FTP登录工具里找到这些文件和目录,点右键选择删除即可。(如图8)(如图9)

  图8

  图9

  另外还有一些文档和说明文件也需要我们在安装完毕后删除掉,这些文本文件包含的是CMS程序类别以及版本,如果这些信息别黑客窃取的话,这些入侵者就可以通过程序类别与版本对应的漏洞进行攻击了,从而大大降低了其入侵的难度。删除方法和之前的一样,访问空间后删除掉这些txt文本文件。(如图10)

  图10

  重要级别:***

  七,平台搭建程序补丁莫忘记:

  众所周知windows系统由于存在着漏洞,所以需要我们每隔一段时间更新补丁程序,安装补丁弥补漏洞。当然企业网络门面使用的也是一些网络平台程序,这些程序也需要日后维护和更新,及时下载安全补丁,这样才能够保证最大限度的避免病毒和黑客的入侵。

  笔者以Shopex这个网络平台为例进行介绍,讲解如何为其更新安装安全补丁。

  第一步:安装好shopex平台后我们访问其后台,用管理员权限帐户登录。

  第二步:进入后台系统后直接点中部区域的版本号信息,这时程序会自动打开一个弹出窗口,显示出来的信息就是我们需要安装的升级包,例如笔者系统安装完毕后需要更新两个升级包。(如图11)

  图11

  第三步:我们直接点击这两个升级补丁包进行下载,保存到本地硬盘后解压缩。

  第四步:一般来说每个升级补丁包内部都有专门的TXT说明文挡,我们可以参考里面的内容进行升级和安装,主要操作就是把解压缩的目录上传到企业自己的空间对应目录和路径,覆盖原来的文件。(如图12)

  图12

  第五步:覆盖完毕后访问安装结果查询页面,直到出现升级成功的提示后关闭页面。这样就完成了补丁更新的工作,我们按照这个操作步骤将其他几个补丁安装到企业网络门面系统中。(如图13)

  图13

  重要级别:***

  八,启用ZEND加密让入侵者迷途知返:

  一般来说我们企业网络门面都是以PHP方式建立的,PHP也是动态网页制作语言中的佼佼者,不过默认情况下任何一个访客都可以轻松的查询PHP页面的代码和内容,这样就带来了一定的安全隐患,黑客或入侵者可以通过分析页面构成和代码简化攻击操作。那么如何才能够针对自己的PHP页面以及代码进行加密呢?答案是肯定的,我们需要通过ZEND程序完成此操作。

  当然ZEND加密只需要安装在空间服务提供的那台服务器上即可,对于我们大多数只是租用空间的企业来说需要做的就是联系自己的空间服务提供商,让他们在服务器上安装ZEND的最新版本,这样才能够完成加密工作,让黑客入侵者即使拿到PHP页面,编辑之后也都是乱码。

  ZEND的最新版本是V3.3.0a,分为windows版本和linux版本,我们要区分好,windows版本可以到http://tele.skycn.com/soft/20133.html这个地址下载。

  重要级别:***

  九,总结:

  总之企业的网络“门面”是非常重要的,他是企业对外业务的窗口,他的安全与稳定直接和企业效益挂钩,不过正是因为他的重要性,使得点滴问题点滴漏洞都可能成为很大的麻烦,因此身为企业网络管理员的我们一定要艰守岗位,将门面打造得更加安全,笔者系统通过本文介绍的多个方法为各位读者提供一点操作,让更多的中小企业可以发挥更强大的网络业务办理功能,让各位网络管理员的地位更上一层楼。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章