一個大網站是如何保障網路安全的

來源:互聯網
上載者:User
安全|網路 首先,伺服器上用的是私人的作業系統和資料庫,所謂私人,並不是完全自己寫,而是說,全部都是進行私人化改造過的,一般使用開源的作業系統和資料庫進行改造,比如說作業系統使用free bsd的改,資料庫使用mysql的改,網站伺服器數量上百時開始實施這個工程的網站比較多,費用是很重要的一方面原因,但更重要的是安全因素。防火牆不僅昂貴,而且會嚴重降低效率,所以他們一般不會考慮。
  改造作業系統的時候,除通訊所需的一些命令檔案保持原名外,很多命令檔案連檔案名稱都換掉(有人認為這是小花樣,呵呵),大量功能被重寫,駭客即使拿到許可權坐在伺服器面前,也取不到資料。
  有網站首席安全官認為放一扇門讓別人一個勁砸,不如給人兩條路讓人選擇正確的或者不正確的,所有使用錯誤帳號和密碼去試系統的人,都會被允許以匿名身份登陸到一個shell裡,那個shell跟真的系統很象,嗯,只是很象,但其實是個空殼,所有的指令,都會被以最小代價運行,調用假的資訊介面出來。有的甚至裡面放了陷阱,欺騙性引導駭客自動送上身份資料或其他一些敏感資訊,畢竟駭客可能通過境外跳板過來,如果不是駭客主動送上,網站方很難獲得駭客身份資料的。
  使用自己的安全性原則,對已有的攻擊手段都有相應的防護措施。比如說對syn flood這樣的,就是臨時降低服務品質,降低半串連等待時間,這樣串連的成功率會降低,但是不會造成服務被停。
  網路空閑時間經常有欺騙性資料流在辦公網路和伺服器之間流動,使用強度不高的加密方式加密,讓駭客有事做。
  網站內部工作人員使用業務系統登陸網站伺服器時,介面上和一般伺服器一樣,所有的一般命令都可以通過業務系統轉換為私人作業系統的專用命令而得到執行,網站內部工作人員也只有很少的知道轉換的對照,而且一般都經過分權,做作業系統開發的,不負責伺服器的維護,並且不知道安裝某個組建號作業系統的伺服器被部署到什麼地方。
  帳號及密碼按規定必須通過安全的訊息平台傳遞。
  有自己部署在不同城市的DNS伺服器,所有部署出去的應用都有不在同一機房的備用系統,應急機制設定在自己的DNS伺服器這一環節,使用性仄淥竦姆衿髯黿徊嫻陌踩刺嗖猓熱縊礎1伺服器是A伺服器的備用系統,使用CDEFGH等伺服器來做A伺服器安全狀態監測,定時通訊,並向A1伺服器傳遞通訊成功的訊號,當失敗率超過某個值的時候,A1自動分擔A的部分壓力,A1伺服器上原本承擔的非及時服務(不面向客戶的,比如說索引服務)被降低優先順序。所有伺服器之間這麼相互監測,通過某個機制保證監測是及時有效。這樣的情況下,即使某家DNS服務商被攻擊,自己的網站都還能被大部分使用者訪問,因為不同地區的DNS還沒被刷,使用者還是可以使用那些DNS串連到網站的。
  一般而言,使用了這些手段,網站的安全性不能說萬無一失,也是大大提高的。

相關文章

Cloud Intelligence Leading the Digital Future

Alibaba Cloud ACtivate Online Conference, Nov. 20th & 21st, 2019 (UTC+08)

Register Now >

Starter Package

SSD Cloud server and data transfer for only $2.50 a month

Get Started >

Alibaba Cloud Free Trial

Learn and experience the power of Alibaba Cloud with a free trial worth $300-1200 USD

Learn more >

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。