Page 46 - BP

Page 46 - BP_202110

P. 46

5.本地系统安全（6）采用软路由对服务器中不同虚拟机进行
按照功能、风险级别、系统安全要求，整个系统端口控制；
分为网站和新媒体发布安全区、办公及融媒体运行安（7）对于网站服务器系统，采用Naxsi、
全区、融媒体节目制作高安全区、广播电视播出高安 ModSecurity等安全模块配置软件层面的WAF；
全区、办公及融媒体制作远程操作安全等区域；（8）网站服务器程序如nginx等采用编译方
系统之间采用硬件防火墙、软件防火墙及网闸式安装，只编译和安装网站功能需要的模块；
等设备进行网络安全防护和隔离；（9）数据库服务器、文件服务器等置于网站
在做好各类主机本身系统软件安全性的情况服务器后端，不直接暴露在公网之上；
下，进一步采用软件防护和硬件防护相结合的方（10）对各类终端系统，采用最小化安装方
式，提高系统的安全性。式的图形化界面 Linux 系统作为操作系统，在终
6.本地系统软件层面安全设计及配置端上配置防火墙策略，关闭所有端口，丢弃所有非
（1）服务器操作系统绝大部分采用CentOS 本机主动发起的网络流量，终端上不安装SSH等服
Linux系统，采用复杂密码策略；务端软件；
（2）服务器操作系统全部最小化安装，不安（11）远程登录网站服务器采用Linux系统
装图形界面；或windows系统自带的终端程序，或采用putty软
（3）服务器操作系统全部开启防火墙策略，件，不使用其它第三方终端软件，不在软件中采用
严格根据业务需求开放端口，关闭所有与业务无关保存和记录用户名和密码的登录方式；
的端口；（12）限制只允许指定格式和指定扩展名的
（4）关闭服务器SSH远程登录服务，只在需文件允许传输，对文件进行文件头一级的检测，杜
要时开启；绝通过修改扩展名进行文件传输的漏洞；
（5）修改服务器SSH服务、数据库、网站服（13）操作系统和驱动程序等安装不采用第
务等端口为自定义端口；三方镜像文件或第三方快速安装程序。

图7

41 42 43 44 45 46 47 48 49 50 51