中小企业2018-2020年信息化环境运维及安全建议
- 系统及各种设备管理口令建议10位以上大小写字母组合加数字加特殊符号的复杂密码策略,推荐14位。
- 网络出口建议用专业的防火墙设备替代企业级路由器,以确保出口网络安全,防范勒索软件、***侵入等网络危害行为。网络设备建议采用千兆接口。推荐企业网络采用千兆布线方案。
- 服务器采购建议考虑后期的可扩展生态,满足虚拟化和自动化运维控制需求。推荐采用固态作为系统盘,或采用全固态硬盘阵列。避免采用普通桌面级硬盘作为核心业务的存储介质,以免影响性能。
- 核心交换机至少基于三层网管型千兆交换机,推荐采用万兆交换机,建议逐步推进采用核心万兆通讯。部分新服务器及终端已经不再兼容百兆设备,注意采购新设备时考虑现有网络设备的兼容性。建议根据公司的当前使用情况,结合未来3-5年的发展需求做好网络构架设计,以免后期网络扩展运维出现严重瓶颈。
- 企业无线(包括工业无线)建议采用600M或以上传输速率,同时无线AP与监控网络和其他业务建议划分子网网段进行隔离.无线AP建议采用配套的POE交换机和主控设备,以便于维护管理.
- 核心业务系统网络前端建议部署IPS防***安全网络设备,以便于核心业务的最佳安全保障,防御风险。
- 自营电商网站系统和BS架构的系统建议部署防篡改系统,以保证业务登陆系统的访问安全,防止页面被挂载***等恶意插件和防范******,以及防止数据从访问端泄露。
- 防范勒索病毒的有效保障是部署防火墙、备份设备、设置10位以上强密码策略和规范运维流程。
- 手机/平板等移动设备建议部署安全工具,定期检查有无异常,防止移动端遭遇相关病毒或***,以至于泄露相关重要数据,造成损失.
- 采用云环境运营的相关业务系统,建议核心数据做好本地或异构云备份,以免云环境崩塌导致整体业务崩溃,即容灾备份不能依靠单一品牌,应当采用至少2家以上的解决方案。
- windows操作系统建议采用正版系统;服务器可以采用linux系统的,建议采用linux系统;PC终端建议采购基于专业版或企业版的window10系统,常规工具或应用软件建议积极推进采用国产软件,以应对逐步深化的知识产权责任问题.办公软件推荐采用WPS或Openoffice等办公软件替代微软的office产品.
- 存在密集PC终端使用的企业,建议考虑采用分布式桌面虚拟化系统,有助于降低整体运维和设备后期投入,也有利于低碳节能,同时配合部署相关存储/备份系统,以及相关信息安全体系,可以更好的保障终端办公环境.
- 老旧系统较多且仅用于查询历史数据的,可以转化成虚拟机部署到一台高性能服务器里,可以有效的节约设备运营成本,降低电费等费用支出.停用的业务系统也可以将原有物理服务器的整体环境转换成虚拟机文件,存储到制动的存储环境中,以便于后期调用时使用.
- 企业采用FTP文件系统或共用资料,以及一般PC终端备份或同步文档数据也可以采用NAS设备,可以有效的降低设备投入成本,同时NAS设备随机自带系统和相关应用软件,也可以降低后期企业的软件版权方面的投入;同时采用NAS设备基于嵌入式Linux系统,也有利于文档的存储安全.
- 机房业务系统较多,且服务器较多的,建议考虑尽快采用服务器虚拟化的运行环境,可以有效的提高机房整体系统环境的稳定性/安全性,同时达到了更好的业务容灾效果.服务器虚拟化对比双机热备等传统容灾模式,在业务系统数量达到5-10以上时,其成本将可能低于传统双机热备等容灾方案.
- 企业网络的整体部署文档及相关业务系统的部署资料等,建议做好相关存档和管理工作,以便于企业扩展或维护相关设备或业务时参考查询,建议采用纸质文档和电子文档,以及多重备份的模式保存;企业相关业务系统和网内设备较多的,建议部署堡垒机(运维安全审计系统)可以有效的管理密码策略和系统权限,同时可以对权限和密码进行体系化管理,充分做到的企业内部业务系统的安全访问控制。
- 机房的基础环境建设,老旧机房建议做好相关环境监测和后期线路的梳理规范工作,新建机房建议考虑公司5-10年的发展,尽量采用最新的机房部署方案,或预留相关系统接口,以便于后期扩展。
- 企业对知识产权和数据安全性要求较高的,建议部署数据防泄漏设备、数据库审计设备、日志审计设备,以及相配合的终端平台监测软件,可以有效的监测核心商业文件及网内信息泄露情况。