一、開端語言選擇
直銷平臺(tái)是二十一世紀(jì)最熱門的話題,尤其是淘寶、京東紛紛提出“新零售”概念后,越來越多的線下企業(yè)開始涉足互聯(lián)網(wǎng),搭建自己的電商平臺(tái)。
搭建電商平臺(tái)容易,搭建一個(gè)安全、穩(wěn)定的電商平臺(tái)卻不那么容易,總有一群黑客在無時(shí)無刻、默默的關(guān)注著你,伺機(jī)而動(dòng),準(zhǔn)備給你造成致命一擊。
本文主要針對(duì)服務(wù)器技術(shù)運(yùn)維人員,介紹如何搭建一個(gè)安全、穩(wěn)定的電商平臺(tái)。本文不對(duì)程序做探討,開發(fā)人員的能力決定了程序的優(yōu)異,無法通過外部方式改變。
WEB語言有asp,php,net,java,asp已經(jīng)退出歷史舞臺(tái),瀕臨淘汰,建議用PHP,mysql進(jìn)行搭建
二、搭建Web平臺(tái)
一個(gè)優(yōu)秀的Web平臺(tái),能減少很多危險(xiǎn)漏洞。非常流行的Apache、Nginx等Web平臺(tái),都存在嚴(yán)重的溢出漏洞,給黑客提供可乘之機(jī)。如果在Windows系統(tǒng)搭建Web平臺(tái),建議使用IIS,IIS的漏洞明顯少于Apache、Nginx。
推薦使用“護(hù)衛(wèi)神.主機(jī)大師”配置IIS環(huán)境,一鍵安裝IIS+PHP+ASP.net+ASP+MySQL,護(hù)衛(wèi)神.主機(jī)大師默認(rèn)對(duì)PHP、MySQL、PHPMyAdmin做好了安全加固,防范黑客以此作為入侵突破口。同時(shí)用護(hù)衛(wèi)神.主機(jī)大師開設(shè)的站點(diǎn),可以防范跨站入侵。
三、部署安全防護(hù)
平臺(tái)搭建好以后,還需要部署一些必備的安全防護(hù)措施,才能抵擋黑客的入侵。
黑客一般有三條途徑入侵服務(wù)器:系統(tǒng)、應(yīng)用、網(wǎng)站。針對(duì)每一條途徑,我們都應(yīng)該做好完善的防護(hù)措施,讓黑客無從得手。
1、系統(tǒng)入侵防護(hù)
首先更新系統(tǒng)補(bǔ)丁,修復(fù)已經(jīng)存在的系統(tǒng)漏洞。
然后再禁用危險(xiǎn)服務(wù)、刪除危險(xiǎn)組件、關(guān)閉危險(xiǎn)端口、清除危險(xiǎn)權(quán)限,全面排除暴露的系統(tǒng)危險(xiǎn)。
如果您不知道如何操作,可以購買護(hù)衛(wèi)神.系統(tǒng)安全加固服務(wù),由護(hù)衛(wèi)神的技術(shù)工程師幫您部署。
2、應(yīng)用入侵防護(hù)
常用的SQL Server、MySQL、Apache、Nginx、Tomcat、Serv-u等等軟件,都存在漏洞,黑客通過這些軟件可以輕松入侵服務(wù)器。需要對(duì)這些軟件做降權(quán)處理,防止黑客通過這些軟件提權(quán)。
有經(jīng)濟(jì)條件的用戶,建議再部署“護(hù)衛(wèi)神·防篡改系統(tǒng)”,限制軟件的訪問行為,禁止訪問安裝目錄以外的任何文件,防止非法獲取數(shù)據(jù)。
3、網(wǎng)站入侵防護(hù)
網(wǎng)站入侵主要有三種方式:上傳網(wǎng)頁木馬、SQL注入、程序邏輯漏洞。
這些問題其實(shí)都可以通過修復(fù)程序解決,但實(shí)際上也就只能想想。再優(yōu)秀的程序員,也開發(fā)不出沒有Bug、沒有漏洞的大型系統(tǒng)。因此配備輔助安全系統(tǒng)成了必然之選。輔助安全系統(tǒng)推薦“護(hù)衛(wèi)神·入侵防護(hù)系統(tǒng)”和“護(hù)衛(wèi)神·網(wǎng)站安全系統(tǒng)”。
護(hù)衛(wèi)神·入侵防護(hù)系統(tǒng)具有強(qiáng)大的木馬查殺能力,自動(dòng)查殺黑客上傳的網(wǎng)頁木馬,讓木馬無處遁形。其SQL注入保護(hù)模塊,實(shí)時(shí)攔截黑客的SQL注入行為。另外還有"賬戶提權(quán)防護(hù)"、"網(wǎng)站提權(quán)攔截"、"遠(yuǎn)程桌面保護(hù)"、"網(wǎng)頁篡改保護(hù)"等多項(xiàng)安全模塊,多重防護(hù)確保服務(wù)器安全。
護(hù)衛(wèi)神·網(wǎng)站安全系統(tǒng)則進(jìn)一步提升網(wǎng)站安全,讓網(wǎng)站防掛馬、防黑鏈、防篡改。由技術(shù)工程師分析網(wǎng)站的每一個(gè)文件,定制專屬網(wǎng)站安全策略,精準(zhǔn)區(qū)分游客和管理員,最大限度降低游客的操作權(quán)限,讓游客無權(quán)做任何入侵操作。同時(shí)為后臺(tái)增加密碼鎖,只有解鎖了的管理員才能登錄;即使泄露了管理賬戶和密碼,也無懼黑客入侵。
四、部署數(shù)據(jù)備份
毫無疑問,數(shù)據(jù)安全是所有網(wǎng)絡(luò)安全的核心,我們除了做好應(yīng)有的安全防護(hù)措施,還應(yīng)該從數(shù)據(jù)備份層面進(jìn)一步加強(qiáng)數(shù)據(jù)安全。數(shù)據(jù)備份有四種模式:本地備份、異地備份、數(shù)據(jù)熱備和容災(zāi)備份。詳細(xì)介紹請(qǐng)參考:數(shù)據(jù)備份方案
五、例行運(yùn)營維護(hù)
例行維護(hù)主要是檢查服務(wù)器運(yùn)行狀況,確保各項(xiàng)自動(dòng)化任務(wù)都已按預(yù)定計(jì)劃執(zhí)行,預(yù)防意外發(fā)生,建議每周進(jìn)行一次,并重啟一次服務(wù)器。
大致有以下項(xiàng)目:安全檢查、硬件檢查、性能檢測(cè)、任務(wù)檢查、冗余清理。
1、安全檢查
是否有新補(bǔ)丁、系統(tǒng)用戶是否異常、防火墻是否開啟、是否有陌生進(jìn)程、輔助安全系統(tǒng)是否正常工作、遠(yuǎn)程桌面有無異常登錄、復(fù)查系統(tǒng)權(quán)限、全面查殺木馬、分析系統(tǒng)日志、分析安全防護(hù)系統(tǒng)日志。
2、硬件檢查
CPU溫度檢測(cè)、硬盤溫度檢測(cè)、風(fēng)扇轉(zhuǎn)速檢測(cè)、電源電壓檢測(cè)、磁盤碎片整理(注意:SSD硬盤不能整理碎片),確保硬件良好,防范硬件故障。
3、性能檢測(cè)
重點(diǎn)檢查CPU、內(nèi)存、硬盤IO等性能負(fù)載,及時(shí)替換硬件,提升負(fù)載能力。
4、任務(wù)檢查
主要檢查各自動(dòng)化任務(wù)是否正常運(yùn)行,如數(shù)據(jù)是否按預(yù)期進(jìn)行備份。
5、冗余清理
服務(wù)器在運(yùn)行過程中會(huì)產(chǎn)生很多垃圾文件,建議定期清理,提升性能。
例如SQL Server開啟了完整日志模式,存儲(chǔ)空間會(huì)不斷增加,建議定期清理日志。
六、擴(kuò)展&應(yīng)急方案
在運(yùn)營過程中,可能遇到各種突發(fā)情況,如黑客攻擊、系統(tǒng)緩慢等問題。 作為合格的運(yùn)營人員,針對(duì)這些問題都得有所準(zhǔn)備,下面我們簡(jiǎn)單介紹下處理方法。
1、網(wǎng)站打開慢
網(wǎng)站打開慢主要從網(wǎng)絡(luò)、硬件、程序、系統(tǒng)等方面考慮。
首先確保服務(wù)器帶寬充足,帶寬不充足會(huì)嚴(yán)重影響網(wǎng)站打開速度。如果不方便增加帶寬,可以使用CDN,減少服務(wù)器的帶寬消耗。
如果服務(wù)器CPU、IO和內(nèi)存負(fù)載一直很高,請(qǐng)及時(shí)更換硬件,硬盤最好使用固態(tài)硬盤,IO性能遠(yuǎn)超機(jī)械硬盤。
程序的優(yōu)異很大程度決定了網(wǎng)站運(yùn)行速度,這方面需要程序員有足夠的優(yōu)化經(jīng)驗(yàn),本文不做探討。
如果網(wǎng)站流量非常大,更換了最好的硬件,性能還是不足,就只有從程序結(jié)構(gòu)方面考慮,使用分布式,無限擴(kuò)展性能。
對(duì)于流量不是非常大的網(wǎng)站,有可能是系統(tǒng)存在問題,可以通過技術(shù)優(yōu)化手段,提升一定的服務(wù)器性能,具體優(yōu)化方法請(qǐng)咨詢護(hù)衛(wèi)神技術(shù)工程師。
2、CDN加速
CDN是提升靜態(tài)文件訪問速度的利器,越來越多的網(wǎng)站選擇使用CDN。推薦使用阿里云和騰訊云這兩家的CDN,物美價(jià)廉,節(jié)點(diǎn)豐富,管理方便。
注意務(wù)必設(shè)置靜態(tài)文件有足夠的緩存時(shí)間(建議至少緩存1天),以減少服務(wù)器的帶寬壓力。
3、攻擊防護(hù)
攻擊不同于入侵,它是使用外部暴力手段,讓服務(wù)器和網(wǎng)站無法正常運(yùn)行。常規(guī)的攻擊可分兩類:DDOS流量攻擊、CC攻擊。
DDOS流量攻擊包含syn、ack、icmp、udp等攻擊,是向服務(wù)器發(fā)送大量數(shù)據(jù)包,讓服務(wù)器帶寬、連接數(shù)枯竭。此類攻擊比較好防護(hù),需要有硬件防火墻和充足的帶寬。不過一般都是購買第三方高防服務(wù)來解決,如“護(hù)衛(wèi)神·DDOS攻擊防護(hù)服務(wù)”。
CC攻擊是模擬用戶訪問網(wǎng)站,讓服務(wù)器帶寬、CPU、內(nèi)存、連接數(shù)等各種資源都枯竭。防御起來比較麻煩,需要從程序、CDN、硬防等綜合防御。
硬件防火墻防御CC攻擊最多有90%的攔截率,而同時(shí)會(huì)產(chǎn)生非常大的副作用,部分正常用戶也會(huì)被攔截。
如果CC攻擊的靜態(tài)頁面,只需要開啟CDN,就能有效抵御攻擊。如果CC攻擊的動(dòng)態(tài)頁面,除了硬件防火墻,還應(yīng)該在程序上做防護(hù)措施,如將被攻擊頁面輸出為最少的內(nèi)容,且不做任何邏輯運(yùn)算,減少CPU和帶寬消耗。