网络安全防护方案--密码:
免密码服务,例如,对于ssh和数据库,您可以使用证书连接和本地连接。如果您的服务需要使用密码,建议您使用任何密码来提高密码强度并减少密码相关性。它具有强大的力量,与公司和个人无关,攻击者与社会工程无关,防止使用猜测密码的方法。
重要服务的身份验证中必须设置有最大数量的认证错误,以防止持续爆破。密码必须立即更新,并且必须建立有效的密码存储系统。密码将以脱机或纸质形式存储,而不是存储在使用服务器上。密码更新周期不应超过3个月,每个服务不应使用相同的密码。通过模仿等方式获取当前服务器的密码后,应防止对方与其他服务器发生冲突。
网络安全防护方案--服务:
除了www服务,其他不需要公开提供的服务必须使用非标准端口。重要的服务包括高定位端口这是一个开放端口映射。如果文件共享服务器部署在防火墙后面,则无法将其轻松部署到DMZ区域,因此可以实现完整的授权管理。远程访问只能在intranet中打开,并且可以应用于使用非标准端口的远程服务器访问。
SSL VPN用于intranet的公共网络访问,它必须可用,立即修复并关闭不相关的端口。日志条目必须详细,并详细记录每个操作。提供外部服务时,必须使用SSL加密通信并验证API调用。对于APP,应用ssl ping技术,不信任系统证书,并验证您自己的API调用。只能信任颁发的证书。在通信过程中,双向加密通信可以防止APP的中间人攻击和包捕获。部署服务后生成的测试用户必须禁用或超时,以防止攻击者在测试用户受到攻击后被具有较低权限的服务器控制。
