节假日期间网络安全运维四部曲

申请免费试用、咨询电话：400-8352-114

08年春节将至，辛苦了一年的工程师们应该有一个比较惬意的春节长假了。虽然大家可以休假，但公司的网络却不能停止运行。当下，工程师应该考虑制定切实可行的策略，以保证节日期间的公司网络安全、稳定运行。下面，笔者和大家分享一下自己的经验。

* 对硬件设施进行全面体检

不同的企业应该有各自的IT设备运维的标准和制度，笔者认为节前对硬件设施进行全面体检绝对应该写入制度之中，并且应该彻彻底底、毫无保留地执行。因为，要保证节日期间的网络系统的安全稳定运行，诸如PC、服务器、交换机、路由器等硬件设备的稳定性是基础。

机的检测及准备至少应该包括以下几个方面：

* 对PC机的硬件进行检查，包括电源、硬盘和网卡等。

* 要安装操作系统的最新补丁包，还要对杀毒软件的病毒库进行更新。

* 将最新的应用程序和数据做备份。

* 做一个最新的DVD Ghost克隆备份。一旦因使用者误删文件或者使用移动存储导致机器染病毒，造成机器瘫痪，拿事先做好的DVD Ghost备份盘恢复系统。

服务器的检测及其准备也至少应该包括以下几个方面：

* 在适当的时间对服务器进行进行一次冷关机断点，然后对其电源、硬盘、网卡、风扇等进行检查，确保其性能良好。

* 如果服务器做了RAID，一定要检查RAID卡和热插拔硬盘工作状态是否正常。

* 清理文件系统的历史数据，要保持文件系统有足够的可用磁盘空间，避免假日期间因文件系统空间不足造成应用故障。

* 清理数据库的历史数据，保持数据库有足够的可用空间。

* 备份应用程序和相关配置参数。

* 检测确保备份服务器，确保其有足够的磁盘空间以备份假日期间的数据资料。

对于交换机/路由器的检测及其准备包括以下几个方面：

* 在情况容许的情况下对交换机/路由器进行重启对其功能进行检测，测试的项目诸如接口测试、性能测试、协议一致性测试和网管测试等，测试最好进行远端测试。

* 对其进行卫生清洁是非常必要的，最好能够打开交换机/路由器，清除其主板电路上及其外围的灰尘，因灰尘导致的故障也是屡见不鲜。

* 备份也是必须的，诸如思科路由器的IOS备份和网络配置备份，最好将其备份到一个固定的地方，例如专门用于备份的某UNIX主机的某个目录下。

* 路由器的IOS是升级一定要做，以Cisco路由器为例，查看其官方网站看看是否有IOS的更新版本，如果有的话最好进行升级，这样就能修复BUG、安全漏洞，以防节日期间被人0day攻击。

另外，对于网络链路也需要进行检测，以保证其可靠和畅通。对于那些使用时间较长，磨损严重的线路进行更换。只有抓住网络中关键设备的检测和做好相应的准备，并能够注意某些细节，这样节日期间工程师应该心中有数安心过节了。退一万步，就算节日期间网络出现故障，因为有了此前的检测和准备也不至于手忙脚乱，无所适从了。

* 补丁管理不能忽视

操作系统漏洞带了巨大的安全隐患，为病毒泛滥、黑客入侵等行为搭建了温床。特别是攸关企业数据安全和业务运作的服务器，如何在节日期间为其安全及时地打补丁也是大家要考虑的。

通常情况下，企业服务器除了Web之外一般都不对公网开放，因此不能通过开启“自动更新”（以微软系统为例）来打补丁，而且这样也不安全。通常的做法是，在企业内部网络部署了一台自动化的补丁分发的Microsoft WSUS服务器，每到Microsoft发布定期或临时性的补丁程序时，该服务器都会自动地从Microsoft的补丁发布站点上下载补丁，进行分类后向企业内部网络中的相应软件系统推送补丁程序。因此，WSUS服务器的可靠、稳定运行是必须要保证的。节前一定要进行检测，确保WSUS的安全、稳定。另外，第三方软件的补丁也不容忽视，要在WSUS服务器中做好相应部署，以确保客户端打上第三方软件的补丁。节日期间，PC机大多数处于关机状态，这样的补丁策略，就能减轻节日后客户端大补丁的负担，能够以最快的速度打好补丁，降低风险。

另外，以笔者的经验补丁管理中下面这些细节不容忽视：

* 做好补丁记录，WSUS服务器有补丁记录功能，特别是对于第三方软件补丁的记录更不能忽视。这样在节日期间或者节后，如果出现与补丁相关的问题，可以很快地进行排错。

* 补丁的兼容性测试，搭建补丁兼容性测试平台，消除因此造成的风险。

* 杀毒软件的升级。安全软件是系统的保护神，现在的杀毒软件都具有“自动升级”功能，要开启了这些功能，确保无人值守时安全软件保证系统的安全。

* 实时监控掌握网络运行状况

节日期间，因为无人值守一旦网络出现故障怎么办？实时监控技术能够在很大程度上解放了工程师，将网络运行状况报告给工程师，并且还能实现一定程度的遥控。

现在的大中型企业一般都部署了针对网络（主要是服务器）的实时监控平台，使得工程师实时了解网络的运行状态，并且在出现故障时能够在第一时间出现在故障现场。这些监控平台具备对所有基于TCP/IP协议的网络服务（Web服务器、FTP服务器、SMTP服务器、POP3服务器、数据库服务器端口、多媒体服务器等）的监测以及对任何服务器的系统性能参数进行监测的能力，并在这些服务或是性能不正常时进行短信或邮件报警。

节日期间，实时监控平台就是工程师的“眼睛”。因此，节前一定要进行安全和性能检测，确保其稳定运行。以笔者负责的企业网络为例，我们监控平台实现了对60 多台服务器的监控，管理人员对每一台服务器的CPU占用、内存使用、某程序的内存使用（比如MS SQL Server的内存使用）以及磁盘使用等情况了如指掌。另外，另外，该监控平台还开发了手机短信管理服务器功能。通过这一功能，工程师只需要简单回复短信就可以管理服务器的日常服务，比如：重启IIS、重启Apache、重启Oracle数据库等。当然，其他的监控平台类似，要确保各项监控功能良好运行。另外，如果你们的网络没有部署这样的监控平台，完全可以类似的工具软件来充当。这些软件一般都具有诸如网络、系统监控功能，并能通过手机短信的方式将网络异常告之管理者。

* 远程维护渠道的畅通

休假在家，常规的远程维护还是必须的。当然，如果网络出现故障，远程维护当然是最快捷、高效的手段了。因此，一定要确保远程维护渠道的畅通。

平常情况下，为了安全一般不建议大家开启远程维护通道，但假日期间又另当别论，只有做好相应的安全措施这样做也未尝不可。首先，要确定需要开启远程维护的设备。笔者认为诸如web、WSUS、防火墙、路由器/交换、监控平台等的远程管理和维护是需要开启的，因为它们容易出现问题，并且与安全相关。其次，要选择安全的远程连接方式。比如Web，以微软的IIS为例，可以选择“远程桌面”、web桌面；或者采用第三方工具，比如 pcanywhere就很不错。对于防火墙、路由器/交换这样的网络设备，建议大家关闭其Web管理方式，采用安全加密的SSL连接，进行登录管理。最后，记得一定要为其设置足够强大的密码。

春节长假将至，为了能够过一个安心的假期，大家应该从现在开始进行相关的网络检测与准备了。希望笔者的经验能够对大家有所帮助。（IT专家网）