以前剛接觸IT行業(yè),而我身為運(yùn)維邻梆,我以為我所需要做的安全就是修改服務(wù)器密碼為復(fù)雜的守伸,ssh端口改為非22,還有就是不讓人登錄服務(wù)器就可以保證我維護(hù)的東西安全浦妄。
現(xiàn)在的認(rèn)知
工作也好幾年了尼摹,在這摸爬滾打中,遇到了服務(wù)器被黑剂娄,網(wǎng)站被人DDOS攻擊蠢涝,數(shù)據(jù)庫(kù)被篡改等等。服務(wù)器也不是你說(shuō)不讓人上就不讓人上的阅懦,所以IT安全這個(gè)話題還是比較沉重的和二,涉及的東西很多,只有你了解得更多耳胎,你才會(huì)知道你所了解的安全其實(shí)是那么少惯吕。
我來(lái)說(shuō)說(shuō)IT安全
1惕它、網(wǎng)絡(luò)安全
我們很多的公司和環(huán)境并未使用第三方審計(jì)系統(tǒng),未能根據(jù)記錄數(shù)據(jù)進(jìn)行分形废登,并生成審計(jì)報(bào)表淹魄。其實(shí)審計(jì)系統(tǒng)是很重要的,可以進(jìn)行操作溯源堡距,這可比你一張嘴說(shuō)的話有用多了甲锡。
我所在的公司其實(shí)是買(mǎi)了一臺(tái)日志審計(jì)系統(tǒng),但是然并卵羽戒,在運(yùn)維方面缤沦,我搭建了ELK,用于對(duì)服務(wù)器的操作溯源以及監(jiān)控系統(tǒng)日志和安全日志易稠,這個(gè)已經(jīng)完全達(dá)到我想要的效果缸废,另外的系統(tǒng)相關(guān)的日志,開(kāi)發(fā)人員自己也有ELK系統(tǒng)缩多,他們是用來(lái)監(jiān)控app里面的行為操作呆奕,也是用于審計(jì)的养晋。
下面就是我自己搭建的ELK系統(tǒng)用于監(jiān)控服務(wù)器操作:
其實(shí)網(wǎng)絡(luò)安全范圍很廣衬吆,還有比如說(shuō)你可以將設(shè)備驚醒ARP綁定,那就可以避免arp攻擊等绳泉,也可以購(gòu)買(mǎi)入侵檢測(cè)設(shè)備逊抡、入侵防御設(shè)備,防火墻等零酪,網(wǎng)絡(luò)設(shè)備定期修改密碼冒嫡,網(wǎng)絡(luò)設(shè)備配置鑒別失敗登錄處理功能,配置操作超時(shí)等功能四苇,盡量使用https協(xié)議加密傳輸孝凌。
除上述以外,應(yīng)定期自檢(漏洞掃描月腋、弱口令掃描蟀架、基線配置信息等),對(duì)主機(jī)的端口榆骚、弱口令片拍、安全漏洞進(jìn)行掃描和發(fā)現(xiàn),對(duì)已知業(yè)務(wù)應(yīng)用漏洞進(jìn)行掃描和發(fā)現(xiàn)妓肢,對(duì)已知木馬進(jìn)行掃描和發(fā)現(xiàn)捌省,對(duì)掃描結(jié)果進(jìn)行分析和提交,促進(jìn)業(yè)務(wù)安全性管理和安全問(wèn)題的解決
2碉钠、主機(jī)安全
在現(xiàn)在大多數(shù)的公司中纲缓,操作系統(tǒng)未安裝主機(jī)入侵檢測(cè)系統(tǒng)卷拘,未能檢測(cè)到對(duì)重要服務(wù)器進(jìn)行入侵的行為,能夠記錄攻擊者的源IP色徘、攻擊類(lèi)型恭金、攻擊目標(biāo)、攻擊時(shí)間等褂策,未能夠在發(fā)生嚴(yán)重入侵事件時(shí)提供報(bào)警横腿。
很多人說(shuō),這個(gè)需要購(gòu)買(mǎi)硬件WAF或者入侵防御設(shè)備斤寂,這個(gè)的確是個(gè)不小的花銷(xiāo)耿焊,一般的公司估計(jì)也買(mǎi)不起,像我們遍搞,也買(mǎi)不起罗侯。但是并不是說(shuō)我們毫無(wú)辦法。我們可以在操作系統(tǒng)安裝實(shí)時(shí)檢測(cè)與查殺惡意代碼的軟件產(chǎn)品溪猿,對(duì)惡意代碼實(shí)時(shí)檢測(cè)與查殺钩杰,如OSSEC和 HIDS等,這些產(chǎn)品都是免費(fèi)開(kāi)源的诊县。
主機(jī)安全還包括系統(tǒng)配置安全讲弄、驗(yàn)證安全等等。就比如操作系統(tǒng)提供身份鑒別措施依痊、配置鑒別失敗處理功能(也就是登錄嘗試失敗次數(shù)避除,這個(gè)可以有效防止惡意破解)、加強(qiáng)口令復(fù)雜度要求胸嘁,在原基礎(chǔ)上還應(yīng)不含有常用字符組合瓶摆、數(shù)字組合、鍵盤(pán)順序等可預(yù)測(cè)密碼組合性宏、重要服務(wù)器用使用資源強(qiáng)制訪問(wèn)控制策略(如用戶群井、進(jìn)程、文件內(nèi)核級(jí)保護(hù))毫胜、應(yīng)限制默認(rèn)賬戶的訪問(wèn)權(quán)限书斜,修改這些賬戶的默認(rèn)口令,條件允許下指蚁,應(yīng)重命名默認(rèn)賬戶菩佑;
3、應(yīng)用安全
a)凝化、建議應(yīng)用系統(tǒng)采用了兩種或兩種以上的組合機(jī)制進(jìn)行用戶身份鑒別稍坯;
b)、建議應(yīng)用系統(tǒng)對(duì)賬號(hào)口令復(fù)雜度進(jìn)行限制,口令長(zhǎng)度限制為8-20位瞧哟;要求口令為數(shù)字混巧、字母字符至少兩種組合,限制口令周期不大于半年勤揩;
c)咧党、建議應(yīng)用系統(tǒng)啟用登錄失敗處理功能,限制次數(shù)不大于5次陨亡,并且對(duì)登錄失敗用戶進(jìn)行帳號(hào)處理傍衡;
d)糕殉、建議應(yīng)用系統(tǒng)應(yīng)啟用用戶身份鑒別信息復(fù)雜度要求和登錄失敗處理功能葱轩;
e)贼穆、建議應(yīng)用系統(tǒng)對(duì)重要信息資源設(shè)置敏感標(biāo)記邑狸,系統(tǒng)不支持設(shè)置敏感標(biāo)記的,應(yīng)采用專(zhuān)用安全設(shè)備生成敏感標(biāo)記礁凡,用以支持強(qiáng)制訪問(wèn)控制機(jī)制疏日;
f)戚篙、建議應(yīng)用系統(tǒng)開(kāi)啟安全審計(jì)功能欲账,安全審計(jì)范圍覆蓋到每個(gè)用戶以及其相關(guān)操作屡江;
g)、建議應(yīng)用系統(tǒng)開(kāi)啟安全審計(jì)功能赛不,且審計(jì)功能不能中斷和安全記錄非管理員無(wú)法刪除惩嘉、修改或覆蓋;
h)俄删、建議限制應(yīng)用系統(tǒng)一段時(shí)間的并發(fā)會(huì)話連接數(shù)宏怔;
i)奏路、建議應(yīng)用系統(tǒng)限制一個(gè)訪問(wèn)賬號(hào)或一個(gè)請(qǐng)求進(jìn)程的最大限額畴椰;
j)、建議應(yīng)用系統(tǒng)提供服務(wù)優(yōu)先級(jí)設(shè)定功能鸽粉,根據(jù)安全策略設(shè)定訪問(wèn)帳戶或請(qǐng)求進(jìn)程的優(yōu)先級(jí)斜脂,根據(jù)優(yōu)先級(jí)分配系統(tǒng)資源;
4触机、數(shù)據(jù)安全及備份恢復(fù)
a)帚戳、建議提供異地?cái)?shù)據(jù)備份功能,利用通信網(wǎng)絡(luò)將關(guān)鍵數(shù)據(jù)定時(shí)批量傳送到備用場(chǎng)地儡首;
b)片任、建議提供主要網(wǎng)絡(luò)設(shè)備、通信線路和數(shù)據(jù)處理系統(tǒng)的硬件冗余蔬胯,保證系統(tǒng)的高可用性对供;
c)、數(shù)據(jù)的開(kāi)發(fā)、測(cè)試環(huán)境如果要導(dǎo)入生產(chǎn)數(shù)據(jù)产场,則需要指定數(shù)據(jù)脫敏流程鹅髓,將敏感的個(gè)人信息,如銀行卡京景、手機(jī)號(hào)等信息做脫敏窿冯;
d)、數(shù)據(jù)的訪問(wèn)要有嚴(yán)格的流程确徙,非運(yùn)維人員如要訪問(wèn)數(shù)據(jù)醒串,在走完權(quán)限申請(qǐng)流程后,可以給予他讀取的權(quán)限鄙皇,但是不能給他將數(shù)據(jù)備份至本地的權(quán)限厦凤,該操作可以通過(guò)windows堡壘機(jī)進(jìn)行權(quán)限限制,通過(guò)管理員將該人員的剪貼板禁用即可育苟;
e)较鼓、數(shù)據(jù)庫(kù)一年要升級(jí)一次,即使你的數(shù)據(jù)庫(kù)是放在內(nèi)網(wǎng)的违柏,但是你不能保證你們開(kāi)發(fā)人員的代碼不會(huì)被入侵博烂,只要代碼被入侵,或者被植入后門(mén)漱竖,就可以通過(guò)你的程序掃描到數(shù)據(jù)庫(kù)禽篱。
數(shù)據(jù)庫(kù)的漏洞可不止一兩個(gè),基本上一年下來(lái)馍惹,一個(gè)穩(wěn)定版本的數(shù)據(jù)庫(kù)可以有30個(gè)左右的高危漏洞躺率,50個(gè)左右的中危漏洞,這些個(gè)漏洞万矾,你靠打補(bǔ)丁的方式根本不是解決辦法悼吱,最好的方式還是升級(jí)到數(shù)據(jù)庫(kù)最新版本前一個(gè)穩(wěn)定版;
5良狈、web業(yè)務(wù)安全
a)后添、應(yīng)設(shè)置合理的會(huì)話超時(shí)閥值,在合理范圍內(nèi)盡可能減小會(huì)話超時(shí)閥值薪丁,可以降低會(huì)話被劫持和重復(fù)攻擊的風(fēng)險(xiǎn)遇西,超過(guò)會(huì)話超時(shí)閥值后立刻銷(xiāo)毀會(huì)話,清除會(huì)話的信息严嗜;
b)粱檀、應(yīng)限制會(huì)話并發(fā)連接數(shù),限制同一用戶的會(huì)話并發(fā)連接數(shù)漫玄,避免惡意用戶創(chuàng)建多個(gè)并發(fā)的會(huì)話來(lái)消耗系統(tǒng)資源茄蚯,影響業(yè)務(wù)可用性;
c)、應(yīng)確保敏感信息通信信道的安全第队,建議在客戶端與web服務(wù)器之間使用SSL哮塞。并正確配置SSL,建議使用SSL3.0/TLS1.0以上版本凳谦,對(duì)稱(chēng)加密密鑰長(zhǎng)度不少于128位忆畅,非對(duì)稱(chēng)加密密鑰長(zhǎng)度不少于1024位,單向散列值位數(shù)不小于128位尸执;
d)家凯、日志記錄范圍應(yīng)覆蓋到每個(gè)用戶的關(guān)鍵操作、重要行為如失、業(yè)務(wù)資源使用情況等重要事件绊诲。如普通用戶異常登錄、發(fā)布惡意代碼褪贵、異常修改賬號(hào)信息等行為掂之,以及管理員在業(yè)務(wù)功能及賬號(hào)控制方面的關(guān)鍵操作;
e)脆丁、Web程序上線前或升級(jí)后應(yīng)進(jìn)行代碼審計(jì)世舰,形成報(bào)告,并對(duì)審計(jì)出的問(wèn)題進(jìn)行代碼升級(jí)完善槽卫;
f)跟压、應(yīng)禁止明文傳輸用戶密碼,建議采用SSL加密隧道確保用戶密碼的傳輸安全歼培;
g)震蒋、應(yīng)對(duì)關(guān)鍵業(yè)務(wù)操作,例如修改用戶認(rèn)證鑒權(quán)信息(如密碼躲庄、密碼取回問(wèn)題及答案查剖、綁定手機(jī)號(hào)碼等),需要經(jīng)過(guò)二次鑒權(quán)读跷,以避免因用戶身份被冒用梗搅,給用戶造成損失禾唁;
h)效览、應(yīng)避免認(rèn)證錯(cuò)誤提示泄露信息,在認(rèn)證失敗時(shí)荡短,應(yīng)向用戶提供通用的錯(cuò)誤提示信息丐枉,不應(yīng)區(qū)分是賬號(hào)錯(cuò)誤還是密碼錯(cuò)誤,避免這些錯(cuò)誤提示信息被攻擊者利用掘托;
i)瘦锹、應(yīng)支持密碼策略設(shè)置,從業(yè)務(wù)系統(tǒng)層面支持強(qiáng)制的密碼策略,包括密碼長(zhǎng)度弯院、復(fù)雜度辱士、更換周期等,特別是業(yè)務(wù)系統(tǒng)的管理員密碼听绳;
j)颂碘、應(yīng)支持賬號(hào)鎖定功能,系統(tǒng)應(yīng)限制連續(xù)登錄失敗次數(shù)椅挣,在客戶端多次嘗試失敗后头岔,服務(wù)器端需要對(duì)用戶賬號(hào)進(jìn)行短時(shí)鎖定,且鎖定策略支持配置解鎖時(shí)長(zhǎng)鼠证;
k)峡竣、應(yīng)采取會(huì)話保護(hù)措施防止軟件與服務(wù)器之間的會(huì)話不可被篡改、偽造量九、重放等适掰;
