引子

公司的信息安全體系建設是每個安全從業(yè)人員，尤其是安全管理者所繞不過的工作內容;信息安全體系大多可分為信息安全管理體系，信息安全技術體系，以及信息安全運營體系三個主要體系。

信息安全技術體系是為了實現(xiàn)公司安全建設目標，對公司技術相應風險進行識別，并建立相應的安全技術措施，實現(xiàn)層級保護結構，保護信息資產，實現(xiàn)業(yè)務持續(xù)性發(fā)展。

[[339801]]

正文

主機系統(tǒng)是信息系統(tǒng)的關鍵載體，系統(tǒng)安全是技術體系層級保護中比較重要的一環(huán)，如果系統(tǒng)配置不當可能會導致黑客利用系統(tǒng)漏洞進行攻擊，可能導致系統(tǒng)出現(xiàn)權限提升、非授權訪問、軟件或服務崩潰，病毒木馬等情況。

今天咱們就來聊一聊，關于系統(tǒng)安全的話題。

怎么做?

第一，應知道有什么?

根據(jù)公司的業(yè)務系統(tǒng)，確認系統(tǒng)的相應信息和需求;

如：在安裝操作系統(tǒng)時：

• 安裝什么系統(tǒng)?centos? 還是windows?
• 系統(tǒng)是否需要配置自動更新?
• 是否一鍵化安裝?網絡安裝?還是本地安裝?
• 安裝的程序版本有什么要求?
• 生產環(huán)境還有沒什么要求?
• 是否最小化安裝?

第二，要知道我們該控什么?

根據(jù)需求，確認如何去做防控;

如：在安全策略方面考慮：

• 用戶是否通過堡壘機進行登陸?
• 采用什么方式進行驗證?是否采用動態(tài)口令進行登陸?如使用靜態(tài)口令，是否滿足密碼策略要求?
• 服務器帳號如何管理?是否通過授權，授權方式是什么?是否需要線上審批?ROOT用戶是否可以遠程登陸?
• 審計方面，是否有有效手段對登陸帳號進行審計?需要審計什么內容?是否防篡改?

第三，能為實現(xiàn)體系化搞點事情

多做一些，多走一步，一句話，最終就是為了實現(xiàn)安全遠景，也就是各位看官給老板們畫的大餅;

如：再加點其它想法：

• 云主機如何做?怎么進行標準化?
• 是否應該統(tǒng)一管理?補丁管理和變更管理怎么搞?
• 是否安裝其它安全agent，比如HIDS，為之后的安全事件管理平臺做做準備?
• 鏡像及安裝的程序是否安全可信?是否有自已的yum庫?是否專人維護?鏡像要不要參與制做一下?是否把安全agnet放進去?要不要順道做個流程出來?

筆者認為系統(tǒng)安全是整個信息安全技術體系中很重要的一個環(huán)節(jié)，當然也是縱深防御中不可缺的一層，需要合理的，有效的管理才行;

筆者建議系統(tǒng)安全的基本安全措施為：

• 規(guī)范化安裝，安全部門參與到鏡像制作，將安全配置加到鏡像中;
• 最小化安裝原則，關閉無用的端口及服務，減少攻擊畫;
• 動態(tài)口令登陸，使用堡壘機，增加安全審計;
• 安全配置腳本，同時修改相應提示信息，迷惑對手，增加威懾力;
• 安裝HIDS，發(fā)現(xiàn)異常，及時處理，提高應急響應能力;
• 及時更新補丁，補丁需要驗證及灰度后，要有補丁及變更流程;