以前的認知
以前剛接觸IT行業,而我身為運維,我以為我所需要做的安全就是修改伺服器密碼為複雜的,ssh端口改為非22,還有就是不讓人登入伺服器就可以保證我維護的東西安全。
現在的認知
工作也好幾年了,在這摸爬滾打中,遇到了伺服器被黑,網站被人DDOS攻擊,資料庫被篡改等等。伺服器也不是你說不讓人上就不讓人上的,是以IT安全這個話題還是比較沉重的,涉及的東西很多,隻有你了解得更多,你才會知道你所了解的安全其實是那麼少。
網絡安全
很多的公司和環境并未使用第三方審計系統,未能根據記錄資料進行分形,并生成審計報表。其實審計系統是很重要的,可以進行操作溯源,這可比你一張嘴說的話有用多了。我所在的公司其實是買了一台日志審計系統,但是然并卵,在運維方面,我搭建了ELK,用于對伺服器的操作溯源以及監控系統日志和安全日志,這個已經完全達到我想要的效果,另外的系統相關的日志,開發人員自己也有ELK系統,他們是用來監控app裡面的行為操作,也是用于審計的。
其實網絡安全範圍很廣,還有比如說你可以将裝置驚醒ARP綁定,那就可以避免arp攻擊等,也可以購買入侵檢測裝置、入侵防禦裝置,防火牆等,網絡裝置定期修改密碼,網絡裝置配置鑒别失敗登入處理功能,配置操作逾時等功能,盡量使用https協定加密傳輸。
除上述以外,應定期自檢(漏洞掃描、弱密碼掃描、基線配置資訊等),對主機的端口、弱密碼、安全漏洞進行掃描和發現,對已知業務應用漏洞進行掃描和發現,對已知木馬進行掃描和發現,對掃描結果進行分析和送出,促進業務安全性管理和安全問題的解決。
主機安全
在現在大多數的公司中,作業系統未安裝主機入侵檢測系統,未能檢測到對重要伺服器進行入侵的行為,能夠記錄攻擊者的源IP、攻擊類型、攻擊目标、攻擊時間等,未能夠在發生嚴重入侵事件時提供報警。很多人說,這個需要購買硬體WAF或者入侵防禦裝置,這個的确是個不小的花銷,一般的公司估計也買不起,像我們,也買不起。但是并不是說我們毫無辦法。我們可以在作業系統安裝實時檢測與清除惡意代碼的軟體産品,對惡意代碼實時檢測與清除,如OSSEC和 HIDS等,這些産品都是免費開源的。
主機安全還包括系統配置安全、驗證安全等等。就比如作業系統提供身份鑒别措施、配置鑒别失敗處理功能(也就是登入嘗試失敗次數,這個可以有效防止惡意破解)、加強密碼複雜度要求,在原基礎上還應不含有常用字元組合、數字組合、鍵盤順序等可預測密碼組合、重要伺服器用使用資源強制通路控制政策(如使用者、程序、檔案核心級保護)、應限制預設賬戶的通路權限,修改這些賬戶的預設密碼,條件允許下,應重命名預設賬戶;
應用安全
1)建議應用系統采用了兩種或兩種以上的組合機制進行使用者身份鑒别;
2)建議應用系統對賬号密碼複雜度進行限制,密碼長度限制為8-20位;要求密碼為數字、字母字元至少兩種組合,限制密碼周期不大于半年;
3)建議應用系統啟用登入失敗處理功能,限制次數不大于5次,并且對登入失敗使用者進行帳号處理;
4)建議應用系統應啟用使用者身份鑒别資訊複雜度要求和登入失敗處理功能;
5)建議應用系統對重要資訊資源設定敏感标記,系統不支援設定敏感标記的,應采用專用安全裝置生成敏感标記,用以支援強制通路控制機制;
6)建議應用系統開啟安全審計功能,安全審計範圍覆寫到每個使用者以及其相關操作;
7)建議應用系統開啟安全審計功能,且審計功能不能中斷和安全記錄非管理者無法删除、修改或覆寫;
8)建議限制應用系統一段時間的并發會話連接配接數;
9)建議應用系統限制一個通路賬号或一個請求程序的最大限額;
10)建議應用系統提供服務優先級設定功能,根據安全政策設定通路帳戶或請求程序的優先級,根據優先級配置設定系統資源;
資料安全及備份恢複
1)建議提供異地資料備份功能,利用通信網絡将關鍵資料定時批量傳送到備用場地;
2)建議提供主要網絡裝置、通信線路和資料處理系統的硬體備援,保證系統的高可用性;
3)資料的開發、測試環境如果要導入生産資料,則需要指定資料脫敏流程,将敏感的個人資訊,如銀行卡、手機号等資訊做脫敏;
4)資料的通路要有嚴格的流程,非運維人員如要通路資料,在走完權限申請流程後,可以給予他讀取的權限,但是不能給他将資料備份至本地的權限,該操作可以通過windows堡壘機進行權限限制,通過管理者将該人員的剪貼闆禁用即可;
5)資料庫一年要更新一次,即使你的資料庫是放在内網的,但是你不能保證你們開發人員的代碼不會被入侵,隻要代碼被入侵,或者被植入後門,就可以通過你的程式掃描到資料庫。資料庫的漏洞可不止一兩個,基本上一年下來,一個穩定版本的資料庫可以有30個左右的高危漏洞,50個左右的中危漏洞,這些個漏洞,你靠打更新檔的方式根本不是解決辦法,最好的方式還是更新到資料庫最新版本前一個穩定版;
Web業務安全
1)應設定合理的會話逾時閥值,在合理範圍内盡可能減小會話逾時閥值,可以降低會話被劫持和重複攻擊的風險,超過會話逾時閥值後立刻銷毀會話,清除會話的資訊;
2)應限制會話并發連接配接數,限制同一使用者的會話并發連接配接數,避免惡意使用者建立多個并發的會話來消耗系統資源,影響業務可用性;
3)應確定敏感資訊通信信道的安全,建議在用戶端與web伺服器之間使用SSL。并正确配置SSL,建議使用SSL3.0/TLS1.0以上版本,對稱加密密鑰長度不少于128位,非對稱加密密鑰長度不少于1024位,單向散列值位數不小于128位;
4)日志記錄範圍應覆寫到每個使用者的關鍵操作、重要行為、業務資源使用情況等重要事件。如普通使用者異常登入、釋出惡意代碼、異常修改賬号資訊等行為,以及管理者在業務功能及賬号控制方面的關鍵操作;
5)Web程式上線前或更新後應進行代碼審計,形成報告,并對審計出的問題進行代碼更新完善;
6)應禁止明文傳輸使用者密碼,建議采用SSL加密隧道確定使用者密碼的傳輸安全;
7)應對關鍵業務操作,例如修改使用者認證鑒權資訊(如密碼、密碼取回問題及答案、綁定手機号碼等),需要經過二次鑒權,以避免因使用者身份被冒用,給使用者造成損失;
8)應避免認證錯誤提示洩露資訊,在認證失敗時,應向使用者提供通用的錯誤提示資訊,不應區分是賬号錯誤還是密碼錯誤,避免這些錯誤提示資訊被攻擊者利用;
9)應支援密碼政策設定,從業務系統層面支援強制的密碼政策,包括密碼長度、複雜度、更換周期等,特别是業務系統的管理者密碼;
10)應支援賬号鎖定功能,系統應限制連續登入失敗次數,在用戶端多次嘗試失敗後,伺服器端需要對使用者賬号進行短時鎖定,且鎖定政策支援配置解鎖時長;
11)應采取會話保護措施防止軟體與伺服器之間的會話不可被篡改、僞造、重放等;
作者:運維人生