詳細(xì)解析IT安全

以前的認(rèn)知

以前剛接觸IT行業(yè)，而我身為運(yùn)維，我以為我所需要做的安全就是修改服務(wù)器密碼為復(fù)雜的，ssh端口改為非22，還有就是不讓人登錄服務(wù)器就可以保證我維護(hù)的東西安全。

現(xiàn)在的認(rèn)知

工作也好幾年了，在這摸爬滾打中，遇到了服務(wù)器被黑，網(wǎng)站被人DDOS攻擊，數(shù)據(jù)庫被篡改等等。服務(wù)器也不是你說不讓人上就不讓人上的，所以IT安全這個(gè)話題還是比較沉重的，涉及的東西很多，只有你了解得更多，你才會(huì)知道你所了解的安全其實(shí)是那么少。

我來說說IT安全

1、網(wǎng)絡(luò)安全

我們很多的公司和環(huán)境并未使用第三方審計(jì)系統(tǒng)，未能根據(jù)記錄數(shù)據(jù)進(jìn)行分形，并生成審計(jì)報(bào)表。其實(shí)審計(jì)系統(tǒng)是很重要的，可以進(jìn)行操作溯源，這可比你一張嘴說的話有用多了。我所在的公司其實(shí)是買了一臺(tái)日志審計(jì)系統(tǒng)，但是然并卵，在運(yùn)維方面，我搭建了ELK，用于對(duì)服務(wù)器的操作溯源以及監(jiān)控系統(tǒng)日志和安全日志，這個(gè)已經(jīng)完全達(dá)到我想要的效果，另外的系統(tǒng)相關(guān)的日志，開發(fā)人員自己也有ELK系統(tǒng)，他們是用來監(jiān)控app里面的行為操作，也是用于審計(jì)的。

下面就是我自己搭建的ELK系統(tǒng)用于監(jiān)控服務(wù)器操作：

其實(shí)網(wǎng)絡(luò)安全范圍很廣，還有比如說你可以將設(shè)備驚醒ARP綁定，那就可以避免arp攻擊等，也可以購買入侵檢測設(shè)備、入侵防御設(shè)備，防火墻等，網(wǎng)絡(luò)設(shè)備定期修改密碼，網(wǎng)絡(luò)設(shè)備配置鑒別失敗登錄處理功能，配置操作超時(shí)等功能，盡量使用https協(xié)議加密傳輸。

除上述以外，應(yīng)定期自檢(漏洞掃描、弱口令掃描、基線配置信息等)，對(duì)主機(jī)的端口、弱口令、安全漏洞進(jìn)行掃描和發(fā)現(xiàn)，對(duì)已知業(yè)務(wù)應(yīng)用漏洞進(jìn)行掃描和發(fā)現(xiàn)，對(duì)已知木馬進(jìn)行掃描和發(fā)現(xiàn)，對(duì)掃描結(jié)果進(jìn)行分析和提交，促進(jìn)業(yè)務(wù)安全性管理和安全問題的解決

2、主機(jī)安全

在現(xiàn)在大多數(shù)的公司中，操作系統(tǒng)未安裝主機(jī)入侵檢測系統(tǒng)，未能檢測到對(duì)重要服務(wù)器進(jìn)行入侵的行為，能夠記錄攻擊者的源IP、攻擊類型、攻擊目標(biāo)、攻擊時(shí)間等，未能夠在發(fā)生嚴(yán)重入侵事件時(shí)提供報(bào)警。很多人說，這個(gè)需要購買硬件WAF或者入侵防御設(shè)備，這個(gè)的確是個(gè)不小的花銷，一般的公司估計(jì)也買不起，像我們，也買不起。但是并不是說我們毫無辦法。我們可以在操作系統(tǒng)安裝實(shí)時(shí)檢測與查殺惡意代碼的軟件產(chǎn)品，對(duì)惡意代碼實(shí)時(shí)檢測與查殺，如OSSEC和 HIDS等，這些產(chǎn)品都是免費(fèi)開源的。

主機(jī)安全還包括系統(tǒng)配置安全、驗(yàn)證安全等等。就比如操作系統(tǒng)提供身份鑒別措施、配置鑒別失敗處理功能（也就是登錄嘗試失敗次數(shù)，這個(gè)可以有效防止惡意破解）、加強(qiáng)口令復(fù)雜度要求，在原基礎(chǔ)上還應(yīng)不含有常用字符組合、數(shù)字組合、鍵盤順序等可預(yù)測密碼組合、重要服務(wù)器用使用資源強(qiáng)制訪問控制策略（如用戶、進(jìn)程、文件內(nèi)核級(jí)保護(hù)）、應(yīng)限制默認(rèn)賬戶的訪問權(quán)限，修改這些賬戶的默認(rèn)口令，條件允許下，應(yīng)重命名默認(rèn)賬戶；

3、應(yīng)用安全

a）、建議應(yīng)用系統(tǒng)采用了兩種或兩種以上的組合機(jī)制進(jìn)行用戶身份鑒別；

b）、建議應(yīng)用系統(tǒng)對(duì)賬號(hào)口令復(fù)雜度進(jìn)行限制，口令長度限制為8-20位；要求口令為數(shù)字、字母字符至少兩種組合，限制口令周期不大于半年；

c）、建議應(yīng)用系統(tǒng)啟用登錄失敗處理功能，限制次數(shù)不大于5次，并且對(duì)登錄失敗用戶進(jìn)行帳號(hào)處理；

d）、建議應(yīng)用系統(tǒng)應(yīng)啟用用戶身份鑒別信息復(fù)雜度要求和登錄失敗處理功能；

e）、建議應(yīng)用系統(tǒng)對(duì)重要信息資源設(shè)置敏感標(biāo)記，系統(tǒng)不支持設(shè)置敏感標(biāo)記的，應(yīng)采用專用安全設(shè)備生成敏感標(biāo)記，用以支持強(qiáng)制訪問控制機(jī)制；

f）、建議應(yīng)用系統(tǒng)開啟安全審計(jì)功能，安全審計(jì)范圍覆蓋到每個(gè)用戶以及其相關(guān)操作；

g）、建議應(yīng)用系統(tǒng)開啟安全審計(jì)功能，且審計(jì)功能不能中斷和安全記錄非管理員無法刪除、修改或覆蓋；

h）、建議限制應(yīng)用系統(tǒng)一段時(shí)間的并發(fā)會(huì)話連接數(shù)；

i）、建議應(yīng)用系統(tǒng)限制一個(gè)訪問賬號(hào)或一個(gè)請(qǐng)求進(jìn)程的最大限額；

j）、建議應(yīng)用系統(tǒng)提供服務(wù)優(yōu)先級(jí)設(shè)定功能，根據(jù)安全策略設(shè)定訪問帳戶或請(qǐng)求進(jìn)程的優(yōu)先級(jí)，根據(jù)優(yōu)先級(jí)分配系統(tǒng)資源；

4、數(shù)據(jù)安全及備份恢復(fù)

a）、建議提供異地?cái)?shù)據(jù)備份功能，利用通信網(wǎng)絡(luò)將關(guān)鍵數(shù)據(jù)定時(shí)批量傳送到備用場地；

b）、建議提供主要網(wǎng)絡(luò)設(shè)備、通信線路和數(shù)據(jù)處理系統(tǒng)的硬件冗余，保證系統(tǒng)的高可用性；

c）、數(shù)據(jù)的開發(fā)、測試環(huán)境如果要導(dǎo)入生產(chǎn)數(shù)據(jù)，則需要指定數(shù)據(jù)脫敏流程，將敏感的個(gè)人信息，如銀行卡、手機(jī)號(hào)等信息做脫敏；

d）、數(shù)據(jù)的訪問要有嚴(yán)格的流程，非運(yùn)維人員如要訪問數(shù)據(jù)，在走完權(quán)限申請(qǐng)流程后，可以給予他讀取的權(quán)限，但是不能給他將數(shù)據(jù)備份至本地的權(quán)限，該操作可以通過windows堡壘機(jī)進(jìn)行權(quán)限限制，通過管理員將該人員的剪貼板禁用即可；

e）、數(shù)據(jù)庫一年要升級(jí)一次，即使你的數(shù)據(jù)庫是放在內(nèi)網(wǎng)的，但是你不能保證你們開發(fā)人員的代碼不會(huì)被入侵，只要代碼被入侵，或者被植入后門，就可以通過你的程序掃描到數(shù)據(jù)庫。數(shù)據(jù)庫的漏洞可不止一兩個(gè)，基本上一年下來，一個(gè)穩(wěn)定版本的數(shù)據(jù)庫可以有30個(gè)左右的高危漏洞，50個(gè)左右的中危漏洞，這些個(gè)漏洞，你靠打補(bǔ)丁的方式根本不是解決辦法，最好的方式還是升級(jí)到數(shù)據(jù)庫最新版本前一個(gè)穩(wěn)定版；

5、web業(yè)務(wù)安全

a）、應(yīng)設(shè)置合理的會(huì)話超時(shí)閥值，在合理范圍內(nèi)盡可能減小會(huì)話超時(shí)閥值，可以降低會(huì)話被劫持和重復(fù)攻擊的風(fēng)險(xiǎn)，超過會(huì)話超時(shí)閥值后立刻銷毀會(huì)話，清除會(huì)話的信息；

b）、應(yīng)限制會(huì)話并發(fā)連接數(shù)，限制同一用戶的會(huì)話并發(fā)連接數(shù)，避免惡意用戶創(chuàng)建多個(gè)并發(fā)的會(huì)話來消耗系統(tǒng)資源，影響業(yè)務(wù)可用性；

c）、應(yīng)確保敏感信息通信信道的安全，建議在客戶端與web服務(wù)器之間使用SSL。并正確配置SSL，建議使用SSL3.0/TLS1.0以上版本，對(duì)稱加密密鑰長度不少于128位，非對(duì)稱加密密鑰長度不少于1024位，單向散列值位數(shù)不小于128位；

d）、日志記錄范圍應(yīng)覆蓋到每個(gè)用戶的關(guān)鍵操作、重要行為、業(yè)務(wù)資源使用情況等重要事件。如普通用戶異常登錄、發(fā)布惡意代碼、異常修改賬號(hào)信息等行為，以及管理員在業(yè)務(wù)功能及賬號(hào)控制方面的關(guān)鍵操作；

e）、Web程序上線前或升級(jí)后應(yīng)進(jìn)行代碼審計(jì)，形成報(bào)告，并對(duì)審計(jì)出的問題進(jìn)行代碼升級(jí)完善；

f）、應(yīng)禁止明文傳輸用戶密碼，建議采用SSL加密隧道確保用戶密碼的傳輸安全；

g）、應(yīng)對(duì)關(guān)鍵業(yè)務(wù)操作，例如修改用戶認(rèn)證鑒權(quán)信息（如密碼、密碼取回問題及答案、綁定手機(jī)號(hào)碼等），需要經(jīng)過二次鑒權(quán)，以避免因用戶身份被冒用，給用戶造成損失；

h）、應(yīng)避免認(rèn)證錯(cuò)誤提示泄露信息，在認(rèn)證失敗時(shí)，應(yīng)向用戶提供通用的錯(cuò)誤提示信息，不應(yīng)區(qū)分是賬號(hào)錯(cuò)誤還是密碼錯(cuò)誤，避免這些錯(cuò)誤提示信息被攻擊者利用；

i）、應(yīng)支持密碼策略設(shè)置，從業(yè)務(wù)系統(tǒng)層面支持強(qiáng)制的密碼策略，包括密碼長度、復(fù)雜度、更換周期等，特別是業(yè)務(wù)系統(tǒng)的管理員密碼；

j）、應(yīng)支持賬號(hào)鎖定功能，系統(tǒng)應(yīng)限制連續(xù)登錄失敗次數(shù)，在客戶端多次嘗試失敗后，服務(wù)器端需要對(duì)用戶賬號(hào)進(jìn)行短時(shí)鎖定，且鎖定策略支持配置解鎖時(shí)長；

k）、應(yīng)采取會(huì)話保護(hù)措施防止軟件與服務(wù)器之間的會(huì)話不可被篡改、偽造、重放等；