群联科技公司欢迎您,请谨防冒充诈骗!
群联科技
金融行业解决方案
 一、导语
互联网金融借助互联网技术、移动通信技术,实现金融资源优化配置和应用普及,互联网金融的出现代表一个新兴金融时代的到来。随着第三方支付、移动支付、P2P信贷、众筹融资等互联网金融概念已经被各方炒作的如火如荼、方兴未艾。
信息流、资金流的安全性是互联网金融发展的基础和保障,随着棱镜门、钓鱼网站、网银盗窃等互联网安全事件层出不穷,不法分子犯罪技术不断提高,犯罪手段花样翻新。而一旦遭遇黑客攻击,互联网金融的正常运作将会受到影响,危及消费者的资金安全和个人信息安全。2014年的“两会”中,互联网金融的安全性成为备受关注的焦点,除了法律法规、相关制度和行业标准不断完善的顶层设计,通过技术手段保护数据安全,防范黑客攻击已成为保障互联网金融安全的必要举措。 
本文主要针对服务器技术运维人员,介绍如何搭建一个安全、稳定的运营平台。不对程序本身做探讨,开发人员的能力决定了程序的优异,无法通过外部方式改变。
二、部署安全防护
平台搭建好以后,还需要部署一些必备的安全防护措施,才能抵挡黑客的入侵。
黑客一般有三条途径入侵服务器:系统、应用、网站。针对每一条途径,我们都应该做好完善的防护措施,让黑客无从得手。
1、系统入侵防护首先更新系统补丁,修复已经存在的系统漏洞。
然后再禁用危险服务、删除危险组件、关闭危险端口、清除危险权限,全面排除暴露的系统危险。
如果您不知道如何操作,可以购买群联高防定制版DDOS攻击防护服务 ,由群联的技术工程师帮您部署。
2、应用入侵防护常用的SQL Server、MySQL、Apache、Nginx、Tomcat、Serv-u等等软件,都存在漏洞,黑客通过这些软件可以轻松入侵服务器。需要对这些软件做降权处理,防止黑客通过这些软件提权。
有经济条件的用户,建议再部署“群联防篡改系统”,限制软件的访问行为,禁止访问安装目录以外的任何文件,防止非法获取数据。
3、网站入侵防护网站入侵主要有三种方式:上传网页木马、SQL注入、程序逻辑漏洞。
这些问题其实都可以通过修复程序解决,但实际上也就只能想想。再优秀的程序员,也开发不出没有Bug、没有漏洞的大型系统。因此配备辅助安全系统成了必然之选。

 

三、部署数据备份毫无疑问,数据安全是所有网络安全的核心,我们除了做好应有的安全防护措施,还应该从数据备份层面进一步加强数据安全。数据备份有四种模式:本地备份、异地备份、数据热备和容灾备份。
四、例行运营维护例行维护主要是检查服务器运行状况,确保各项自动化任务都已按预定计划执行,预防意外发生,建议每周进行一次,并重启一次服务器。
大致有以下项目:安全检查、硬件检查、性能检测、任务检查、冗余清理。
1、安全检查是否有新补丁、系统用户是否异常、防火墙是否开启、是否有陌生进程、辅助安全系统是否正常工作、远程桌面有无异常登录、复查系统权限、全面查杀木马、分析系统日志、分析安全防护系统日志。
2、硬件检查CPU温度检测、硬盘温度检测、风扇转速检测、电源电压检测、磁盘碎片整理(注意:SSD硬盘不能整理碎片),确保硬件良好,防范硬件故障。
3、性能检测重点检查CPU、内存、硬盘IO等性能负载,及时替换硬件,提升负载能力。
4、任务检查主要检查各自动化任务是否正常运行,如数据是否按预期进行备份。
5、冗余清理服务器在运行过程中会产生很多垃圾文件,建议定期清理,提升性能。
例如SQL Server开启了完整日志模式,存储空间会不断增加,建议定期清理日志。
五、扩展&应急方案在运营过程中,可能遇到各种突发情况,如黑客攻击、系统缓慢等问题。 作为合格的运营人员,针对这些问题都得有所准备,下面我们简单介绍下处理方法。
1、网站打开慢网站打开慢主要从网络、硬件、程序、系统等方面考虑。
首先确保服务器带宽充足,带宽不充足会严重影响网站打开速度。如果不方便增加带宽,可以使用CDN,减少服务器的带宽消耗。
如果服务器CPU、IO和内存负载一直很高,请及时更换硬件,硬盘最好使用固态硬盘,IO性能远超机械硬盘。
程序的优异很大程度决定了网站运行速度,这方面需要程序员有足够的优化经验,本文不做探讨。
如果网站流量非常大,更换了最好的硬件,性能还是不足,就只有从程序结构方面考虑,使用分布式,无限扩展性能。
对于流量不是非常大的网站,有可能是系统存在问题,可以通过技术优化手段,提升一定的服务器性能,具体优化方法请咨询护卫神技术工程师。
2、攻击防护
攻击不同于入侵,它是使用外部暴力手段,让服务器和网站无法正常运行。常规的攻击可分两类:DDOS流量攻击、CC攻击。
DDOS流量攻击包含syn、ack、icmp、udp等攻击,是向服务器发送大量数据包,让服务器带宽、连接数枯竭。此类攻击比较好防护,需要有硬件防火墙和充足的带宽。不过一般都是购买第三方高防服务来解决,如“群联高防定制版DDOS攻击防护服务 ”。

 

CC攻击是模拟用户访问网站,让服务器带宽、CPU、内存、连接数等各种资源都枯竭。防御起来比较麻烦,需要从程序、CDN、硬防等综合防御。
硬件防火墙防御CC攻击最多有90%的拦截率,而同时会产生非常大的副作用,部分正常用户也会被拦截。
如果CC攻击的静态页面,只需要开启CDN,就能100%有效抵御攻击。如果CC攻击的动态页面,除了硬件防火墙,还应该在程序上做防护措施,如将被攻击页面输出为最少的内容,且不做任何逻辑运算,减少CPU和带宽消耗。