閑談系統(tǒng)安全：主機(jī)系統(tǒng)相關(guān)問題

引子

公司的信息安全體系建設(shè)是每個安全從業(yè)人員，尤其是安全管理者所繞不過的工作內(nèi)容;信息安全體系大多可分為信息安全管理體系，信息安全技術(shù)體系，以及信息安全運(yùn)營體系三個主要體系。

信息安全技術(shù)體系是為了實現(xiàn)公司安全建設(shè)目標(biāo)，對公司技術(shù)相應(yīng)風(fēng)險進(jìn)行識別，并建立相應(yīng)的安全技術(shù)措施，實現(xiàn)層級保護(hù)結(jié)構(gòu)，保護(hù)信息資產(chǎn)，實現(xiàn)業(yè)務(wù)持續(xù)性發(fā)展。

正文

主機(jī)系統(tǒng)是信息系統(tǒng)的關(guān)鍵載體，系統(tǒng)安全是技術(shù)體系層級保護(hù)中比較重要的一環(huán)，如果系統(tǒng)配置不當(dāng)可能會導(dǎo)致黑客利用系統(tǒng)漏洞進(jìn)行攻擊，可能導(dǎo)致系統(tǒng)出現(xiàn)權(quán)限提升、非授權(quán)訪問、軟件或服務(wù)崩潰，病毒木馬等情況。

今天咱們就來聊一聊，關(guān)于系統(tǒng)安全的話題。

怎么做？

第一，應(yīng)知道有什么？

根據(jù)公司的業(yè)務(wù)系統(tǒng)，確認(rèn)系統(tǒng)的相應(yīng)信息和需求;

如：在安裝操作系統(tǒng)時：

安裝什么系統(tǒng)？centos？ 還是windows？

系統(tǒng)是否需要配置自動更新？

是否一鍵化安裝？網(wǎng)絡(luò)安裝？還是本地安裝？

安裝的程序版本有什么要求？

生產(chǎn)環(huán)境還有沒什么要求？

是否最小化安裝？

第二，要知道我們該控什么？

根據(jù)需求，確認(rèn)如何去做防控;

如：在安全策略方面考慮：

用戶是否通過堡壘機(jī)進(jìn)行登陸？

采用什么方式進(jìn)行驗證？是否采用動態(tài)口令進(jìn)行登陸？如使用靜態(tài)口令，是否滿足密碼策略要求？

服務(wù)器帳號如何管理？是否通過授權(quán)，授權(quán)方式是什么？是否需要線上審批？ROOT用戶是否可以遠(yuǎn)程登陸？

審計方面，是否有有效手段對登陸帳號進(jìn)行審計？需要審計什么內(nèi)容？是否防篡改？

第三，能為實現(xiàn)體系化搞點(diǎn)事情

多做一些，多走一步，一句話，最終就是為了實現(xiàn)安全遠(yuǎn)景，也就是各位看官給老板們畫的大餅;

如：再加點(diǎn)其它想法：

云主機(jī)如何做？怎么進(jìn)行標(biāo)準(zhǔn)化？

是否應(yīng)該統(tǒng)一管理？補(bǔ)丁管理和變更管理怎么搞？

是否安裝其它安全agent，比如HIDS，為之后的安全事件管理平臺做做準(zhǔn)備？

鏡像及安裝的程序是否安全可信？是否有自已的yum庫？是否專人維護(hù)？鏡像要不要參與制做一下？是否把安全agnet放進(jìn)去？要不要順道做個流程出來？

筆者認(rèn)為系統(tǒng)安全是整個信息安全技術(shù)體系中很重要的一個環(huán)節(jié)，當(dāng)然也是縱深防御中不可缺的一層，需要合理的，有效的管理才行;

筆者建議系統(tǒng)安全的基本安全措施為：

規(guī)范化安裝，安全部門參與到鏡像制作，將安全配置加到鏡像中;

最小化安裝原則，關(guān)閉無用的端口及服務(wù)，減少攻擊畫;

動態(tài)口令登陸，使用堡壘機(jī)，增加安全審計;

安全配置腳本，同時修改相應(yīng)提示信息，迷惑對手，增加威懾力;

安裝HIDS，發(fā)現(xiàn)異常，及時處理，提高應(yīng)急響應(yīng)能力;

及時更新補(bǔ)丁，補(bǔ)丁需要驗證及灰度后，要有補(bǔ)丁及變更流程;
責(zé)編AJX