引子

公司的信息安全體系建設(shè)是每個(gè)安全從業(yè)人員，尤其是安全管理者所繞不過(guò)的工作內(nèi)容;信息安全體系大多可分為信息安全管理體系，信息安全技術(shù)體系，以及信息安全運(yùn)營(yíng)體系三個(gè)主要體系。

信息安全技術(shù)體系是為了實(shí)現(xiàn)公司安全建設(shè)目標(biāo)，對(duì)公司技術(shù)相應(yīng)風(fēng)險(xiǎn)進(jìn)行識(shí)別，并建立相應(yīng)的安全技術(shù)措施，實(shí)現(xiàn)層級(jí)保護(hù)結(jié)構(gòu)，保護(hù)信息資產(chǎn)，實(shí)現(xiàn)業(yè)務(wù)持續(xù)性發(fā)展。

[[339801]]

正文

主機(jī)系統(tǒng)是信息系統(tǒng)的關(guān)鍵載體，系統(tǒng)安全是技術(shù)體系層級(jí)保護(hù)中比較重要的一環(huán)，如果系統(tǒng)配置不當(dāng)可能會(huì)導(dǎo)致黑客利用系統(tǒng)漏洞進(jìn)行攻擊，可能導(dǎo)致系統(tǒng)出現(xiàn)權(quán)限提升、非授權(quán)訪問(wèn)、軟件或服務(wù)崩潰，病毒木馬等情況。

今天咱們就來(lái)聊一聊，關(guān)于系統(tǒng)安全的話題。

怎么做?

第一，應(yīng)知道有什么?

根據(jù)公司的業(yè)務(wù)系統(tǒng)，確認(rèn)系統(tǒng)的相應(yīng)信息和需求;

如：在安裝操作系統(tǒng)時(shí)：

• 安裝什么系統(tǒng)?centos? 還是windows?
• 系統(tǒng)是否需要配置自動(dòng)更新?
• 是否一鍵化安裝?網(wǎng)絡(luò)安裝?還是本地安裝?
• 安裝的程序版本有什么要求?
• 生產(chǎn)環(huán)境還有沒(méi)什么要求?
• 是否最小化安裝?

第二，要知道我們?cè)摽厥裁?

根據(jù)需求，確認(rèn)如何去做防控;

如：在安全策略方面考慮：

• 用戶是否通過(guò)堡壘機(jī)進(jìn)行登陸?
• 采用什么方式進(jìn)行驗(yàn)證?是否采用動(dòng)態(tài)口令進(jìn)行登陸?如使用靜態(tài)口令，是否滿足密碼策略要求?
• 服務(wù)器帳號(hào)如何管理?是否通過(guò)授權(quán)，授權(quán)方式是什么?是否需要線上審批?ROOT用戶是否可以遠(yuǎn)程登陸?
• 審計(jì)方面，是否有有效手段對(duì)登陸帳號(hào)進(jìn)行審計(jì)?需要審計(jì)什么內(nèi)容?是否防篡改?

第三，能為實(shí)現(xiàn)體系化搞點(diǎn)事情

多做一些，多走一步，一句話，最終就是為了實(shí)現(xiàn)安全遠(yuǎn)景，也就是各位看官給老板們畫(huà)的大餅;

如：再加點(diǎn)其它想法：

• 云主機(jī)如何做?怎么進(jìn)行標(biāo)準(zhǔn)化?
• 是否應(yīng)該統(tǒng)一管理?補(bǔ)丁管理和變更管理怎么搞?
• 是否安裝其它安全agent，比如HIDS，為之后的安全事件管理平臺(tái)做做準(zhǔn)備?
• 鏡像及安裝的程序是否安全可信?是否有自已的yum庫(kù)?是否專人維護(hù)?鏡像要不要參與制做一下?是否把安全agnet放進(jìn)去?要不要順道做個(gè)流程出來(lái)?

筆者認(rèn)為系統(tǒng)安全是整個(gè)信息安全技術(shù)體系中很重要的一個(gè)環(huán)節(jié)，當(dāng)然也是縱深防御中不可缺的一層，需要合理的，有效的管理才行;

筆者建議系統(tǒng)安全的基本安全措施為：

• 規(guī)范化安裝，安全部門(mén)參與到鏡像制作，將安全配置加到鏡像中;
• 最小化安裝原則，關(guān)閉無(wú)用的端口及服務(wù)，減少攻擊畫(huà);
• 動(dòng)態(tài)口令登陸，使用堡壘機(jī)，增加安全審計(jì);
• 安全配置腳本，同時(shí)修改相應(yīng)提示信息，迷惑對(duì)手，增加威懾力;
• 安裝HIDS，發(fā)現(xiàn)異常，及時(shí)處理，提高應(yīng)急響應(yīng)能力;
• 及時(shí)更新補(bǔ)丁，補(bǔ)丁需要驗(yàn)證及灰度后，要有補(bǔ)丁及變更流程;