節(jié)假日期間網絡安全運維四部曲

申請免費試用、咨詢電話：400-8352-114

08年春節(jié)將至，辛苦了一年的工程師們應該有一個比較愜意的春節(jié)長假了。雖然大家可以休假，但公司的網絡卻不能停止運行。當下，工程師應該考慮制定切實可行的策略，以保證節(jié)日期間的公司網絡安全、穩(wěn)定運行。下面，筆者和大家分享一下自己的經驗。

* 對硬件設施進行全面體檢

不同的企業(yè)應該有各自的IT設備運維的標準和制度，筆者認為節(jié)前對硬件設施進行全面體檢絕對應該寫入制度之中，并且應該徹徹底底、毫無保留地執(zhí)行。因為，要保證節(jié)日期間的網絡系統的安全穩(wěn)定運行，諸如PC、服務器、交換機、路由器等硬件設備的穩(wěn)定性是基礎。

機的檢測及準備至少應該包括以下幾個方面：

* 對PC機的硬件進行檢查，包括電源、硬盤和網卡等。

* 要安裝操作系統的最新補丁包，還要對殺毒軟件的病毒庫進行更新。

* 將最新的應用程序和數據做備份。

* 做一個最新的DVD Ghost克隆備份。一旦因使用者誤刪文件或者使用移動存儲導致機器染病毒，造成機器癱瘓，拿事先做好的DVD Ghost備份盤恢復系統。

服務器的檢測及其準備也至少應該包括以下幾個方面：

* 在適當的時間對服務器進行進行一次冷關機斷點，然后對其電源、硬盤、網卡、風扇等進行檢查，確保其性能良好。

* 如果服務器做了RAID，一定要檢查RAID卡和熱插拔硬盤工作狀態(tài)是否正常。

* 清理文件系統的歷史數據，要保持文件系統有足夠的可用磁盤空間，避免假日期間因文件系統空間不足造成應用故障。

* 清理數據庫的歷史數據，保持數據庫有足夠的可用空間。

* 備份應用程序和相關配置參數。

* 檢測確保備份服務器，確保其有足夠的磁盤空間以備份假日期間的數據資料。

對于交換機/路由器的檢測及其準備包括以下幾個方面：

* 在情況容許的情況下對交換機/路由器進行重啟對其功能進行檢測，測試的項目諸如接口測試、性能測試、協議一致性測試和網管測試等，測試最好進行遠端測試。

* 對其進行衛(wèi)生清潔是非常必要的，最好能夠打開交換機/路由器，清除其主板電路上及其外圍的灰塵，因灰塵導致的故障也是屢見不鮮。

* 備份也是必須的，諸如思科路由器的IOS備份和網絡配置備份，最好將其備份到一個固定的地方，例如專門用于備份的某UNIX主機的某個目錄下。

* 路由器的IOS是升級一定要做，以Cisco路由器為例，查看其官方網站看看是否有IOS的更新版本，如果有的話最好進行升級，這樣就能修復BUG、安全漏洞，以防節(jié)日期間被人0day攻擊。

另外，對于網絡鏈路也需要進行檢測，以保證其可靠和暢通。對于那些使用時間較長，磨損嚴重的線路進行更換。只有抓住網絡中關鍵設備的檢測和做好相應的準備，并能夠注意某些細節(jié)，這樣節(jié)日期間工程師應該心中有數安心過節(jié)了。退一萬步，就算節(jié)日期間網絡出現故障，因為有了此前的檢測和準備也不至于手忙腳亂，無所適從了。

* 補丁管理不能忽視

操作系統漏洞帶了巨大的安全隱患，為病毒泛濫、黑客入侵等行為搭建了溫床。特別是攸關企業(yè)數據安全和業(yè)務運作的服務器，如何在節(jié)日期間為其安全及時地打補丁也是大家要考慮的。

通常情況下，企業(yè)服務器除了Web之外一般都不對公網開放，因此不能通過開啟“自動更新”（以微軟系統為例）來打補丁，而且這樣也不安全。通常的做法是，在企業(yè)內部網絡部署了一臺自動化的補丁分發(fā)的Microsoft WSUS服務器，每到Microsoft發(fā)布定期或臨時性的補丁程序時，該服務器都會自動地從Microsoft的補丁發(fā)布站點上下載補丁，進行分類后向企業(yè)內部網絡中的相應軟件系統推送補丁程序。因此，WSUS服務器的可靠、穩(wěn)定運行是必須要保證的。節(jié)前一定要進行檢測，確保WSUS的安全、穩(wěn)定。另外，第三方軟件的補丁也不容忽視，要在WSUS服務器中做好相應部署，以確?？蛻舳舜蛏系谌杰浖难a丁。節(jié)日期間，PC機大多數處于關機狀態(tài)，這樣的補丁策略，就能減輕節(jié)日后客戶端大補丁的負擔，能夠以最快的速度打好補丁，降低風險。

另外，以筆者的經驗補丁管理中下面這些細節(jié)不容忽視：

* 做好補丁記錄，WSUS服務器有補丁記錄功能，特別是對于第三方軟件補丁的記錄更不能忽視。這樣在節(jié)日期間或者節(jié)后，如果出現與補丁相關的問題，可以很快地進行排錯。

* 補丁的兼容性測試，搭建補丁兼容性測試平臺，消除因此造成的風險。

* 殺毒軟件的升級。安全軟件是系統的保護神，現在的殺毒軟件都具有“自動升級”功能，要開啟了這些功能，確保無人值守時安全軟件保證系統的安全。

* 實時監(jiān)控掌握網絡運行狀況

節(jié)日期間，因為無人值守一旦網絡出現故障怎么辦？實時監(jiān)控技術能夠在很大程度上解放了工程師，將網絡運行狀況報告給工程師，并且還能實現一定程度的遙控。

現在的大中型企業(yè)一般都部署了針對網絡（主要是服務器）的實時監(jiān)控平臺，使得工程師實時了解網絡的運行狀態(tài)，并且在出現故障時能夠在第一時間出現在故障現場。這些監(jiān)控平臺具備對所有基于TCP/IP協議的網絡服務（Web服務器、FTP服務器、SMTP服務器、POP3服務器、數據庫服務器端口、多媒體服務器等）的監(jiān)測以及對任何服務器的系統性能參數進行監(jiān)測的能力，并在這些服務或是性能不正常時進行短信或郵件報警。

節(jié)日期間，實時監(jiān)控平臺就是工程師的“眼睛”。因此，節(jié)前一定要進行安全和性能檢測，確保其穩(wěn)定運行。以筆者負責的企業(yè)網絡為例，我們監(jiān)控平臺實現了對60 多臺服務器的監(jiān)控，管理人員對每一臺服務器的CPU占用、內存使用、某程序的內存使用（比如MS SQL Server的內存使用）以及磁盤使用等情況了如指掌。另外，另外，該監(jiān)控平臺還開發(fā)了手機短信管理服務器功能。通過這一功能，工程師只需要簡單回復短信就可以管理服務器的日常服務，比如：重啟IIS、重啟Apache、重啟Oracle數據庫等。當然，其他的監(jiān)控平臺類似，要確保各項監(jiān)控功能良好運行。另外，如果你們的網絡沒有部署這樣的監(jiān)控平臺，完全可以類似的工具軟件來充當。這些軟件一般都具有諸如網絡、系統監(jiān)控功能，并能通過手機短信的方式將網絡異常告之管理者。

* 遠程維護渠道的暢通

休假在家，常規(guī)的遠程維護還是必須的。當然，如果網絡出現故障，遠程維護當然是最快捷、高效的手段了。因此，一定要確保遠程維護渠道的暢通。

平常情況下，為了安全一般不建議大家開啟遠程維護通道，但假日期間又另當別論，只有做好相應的安全措施這樣做也未嘗不可。首先，要確定需要開啟遠程維護的設備。筆者認為諸如web、WSUS、防火墻、路由器/交換、監(jiān)控平臺等的遠程管理和維護是需要開啟的，因為它們容易出現問題，并且與安全相關。其次，要選擇安全的遠程連接方式。比如Web，以微軟的IIS為例，可以選擇“遠程桌面”、web桌面；或者采用第三方工具，比如 pcanywhere就很不錯。對于防火墻、路由器/交換這樣的網絡設備，建議大家關閉其Web管理方式，采用安全加密的SSL連接，進行登錄管理。最后，記得一定要為其設置足夠強大的密碼。

春節(jié)長假將至，為了能夠過一個安心的假期，大家應該從現在開始進行相關的網絡檢測與準備了。希望筆者的經驗能夠對大家有所幫助。（IT專家網）