十年网站开发经验 + 多家企业客户 + 靠谱的建站团队
量身定制 + 运营维护+专业推广+无忧售后,网站问题一站解决
我国实行网络安全等级保护制度,等级保护对象分为五个级别,由一到五级别逐渐升高,每一个级别的要求存在差异,级别越高,要求越严格。
成都创新互联是一家集网站建设,秦皇岛企业网站建设,秦皇岛品牌网站建设,网站定制,秦皇岛网站建设报价,网络营销,网络优化,秦皇岛网站推广为一体的创新建站企业,帮助传统企业提升企业形象加强企业竞争力。可充分满足这一群体相比中小企业更为丰富、高端、多元的互联网需求。同时我们时刻保持专业、时尚、前沿,时刻以成就客户成长自我,坚持不断学习、思考、沉淀、净化自己,让我们为更多的企业打造出实用型网站。
第一级,自主保护级:信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益;一般适用于小型私营、个体企业、中小学,乡镇所属信息系统、县级单位中一般的信息系统。
第二级,指导保护级:信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全;一般适用于县级其些单位中的重要信息系统;地市级以上国家机关、企事业单位内部一般的信息系统。例如非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统等。
第三级,监督保护级:信息系统受到破坏后陵侍陵,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害;一般适用于地市级以上国家机关、企业、事业单位内部重要的信息系统,尺戚例如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统;跨省或全国联网运行的用于生产、调度、管理、指挥、作业、控制等方面的谈陵重要信息系统以及这类系统在省、地市的分支系统;中央各部委、省(区、市)门户网站和重要网站;跨省连接的网络系统等。
第四级,强制保护级:信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害;一般适用于国家重要领域、重要部门中的特别重要系统以及核心系统。例如电力、电信、广电、铁路、民航、银行、税务等重要、部门的生产、调度、指挥等涉及国家安全、国计民生的核心系统。
第五级,专控保护级:信息系统受到破坏后,会对国家安全造成特别严重损害。一般适用于国家重要领域、重要部门中的极端重要系统。
三级等保指信息系统经过定级、备案这一流程之后,确定为第三级的信息系统,那么就需要做三级等保。
在我国,“三级等保”是对非银行机构的最高等级保护认证,一般定级为等保三级的系统有互联网医院平台、P2P金融平台、网约车平台、云(服务商)平台和其他重要系统。
这一认证由公安机关依据国家信息安全保护条例及相关制度规定,按照管理规范和技术标准,对各机构的信息系统安全等级保护状况进行认可及评定。
一般我们生活中接触多的定级为等保三级的系统有互联网医院平台、P2P金融平台、网约车平台、云(服务商)平台和其他重要系统。
根据《信息系统安全等级保护基本要求》,三级等保的测评内容涵盖等级保护安全技术要求的5个层面和安全管理要求的5个层面,包含信息保护、安全审计、通信保密等在内的近300项要求,共涉及测评分类73类。
通过“三级等保”认证,表明企业的信息安全管理能力达到国内最高标准。
CentOS7 系统服务器初始化配置、安全加固、内核升级优化
安全等保:Linux服务器基线安全
最后希望别再被攻击了~~~~
用户安全设置中绑定MFA,增加部分操作的二次认证。绑定过程需要微信添加虚拟MFA,操作还是比较简单的,可以自行参让宴阅指导文档。
选中自己的服务器,点击更多,重装系统后,提示以上页面。
在服务市场选中需要安装的镜像,我这里选的是u 腾讯云安全加固镜像-centos7 /u
可以先选中密码或者直接密钥登陆,如果使用密码建议使用随机16位密码进行配置。
最后开始重装,系统一会就重装好了。
这里介绍VNC登陆方式,主要是避免一部分无法使用ssh登陆服务器的,如果可以直接ssh登陆服务器的可以不用vnc登陆
点击VNC方式登陆,提示登陆用户名和密码,输入即坦肢银可登陆服务器。
需要从控制台加载sshkey的话,需要关闭服务器。
加载完成后,服务器开机,尝试使用ssh登陆服务器
不想增加小号也可以修改为不允许密码登陆root
将sysrls用户加入sudo列表中,方便从sysrls用户切换用户等操作。
同时增加安全组配置(如果服务器firewalld或者iptables服务开着,还需要在服务器中配置端口放行)
禁用用户登陆的方法
或者可以使用 passwd -l 用户来禁用用户
在系统加固安全防护上我还是个弟弟,所以只饥贺能稍微尽点人事,降低被木马的概率。
1.禁用ROOT权限登录。(重要)
2.安全组收缩不使用的端口,建议除443/80以及ssh登录等必要端口外全部关闭。
3.防火墙收缩不使用的端口,建议除443/80以及ssh登录端口外全部关闭。
4.更改ssh默认端口22
5.除登录USER,禁止其他用户su到root进程,并且ssh开启秘钥及密码双层验证登录。(重要)
6.限制除登录USER外的其他用户登录。
7.安装DenyHosts,防止ddos攻击。
8.禁止系统响裂袭碧应任何从外部/内部来的ping请求。
9.保持每天自动检测更新。
10.禁止除root之外的用户进程安装软件及服务,如有需要则root安装,chown给到用户。
11.定时给服务器做快照。
12.更改下列文件权限:
13.限制普通用户使用特殊命令,比如wget,curl等命令更改使用权限,一般的挖矿程序主要使用这几种命令操作。
1.nginx进程运行在最小权限的子用户中,禁止使用root用户启动nginx。(重要)
2.配置nginx.conf,防范常见漏洞:
1.禁止root权限启动apache服务!禁止root权限启动apache服务!禁止root权限启动apache服务!重要的事情说三遍!因为这个问题被搞了两次。
2.改掉默认端口。
3.清空webapps下除自己服务外的其他文件,删除用户管理文件,防止给木马留下后门。
4.限制apache启动进程su到root进程以及ssh登录,限制启动进程访问除/home/xx自身目录外的其他文件。
5.限制apache启动进程操作删除以及编辑文件,一般a+x即可。
1.关闭外网连接,与java/php服务使用内网连接。
2.在满足java/php服务的基础上,新建最小权限USER给到服务使用,禁止USER权限访问其他项目的库。
3.root密码不要与普通USER相同。
4.建议使用云库,云库具备实肆举时备份,动态扩容,数据回退等功能,减少操作风险。
1.关闭外网连接,只允许内网交互,基本这个做了之后就已经稳了。
2.禁止root权限启动,运行在普通用户进程里。
3.更改默认端口。
4.添加登录密码。
以上是自己做的防范手段,不成熟见解,有一些禅缺方案待验证,不定时更新,欢迎大佬补充!