前言
越来越多的公司开始新增安全部门,百废待兴的情况下,如何使用手上有限的资源来提高企业的整体的安全体系,应该考虑那些方面?此篇文章对这些年来的工作进行了下总结。
如有任何问题的可以联系我,一起探讨webchar:caspar_m
规划视图
制度规范
安全规范制度,是一个企业安全建设的基石。不过很多人会遇到,制度落地困难的情况。或者推行一段,时间一长,又恢复到原状的情况。为了尽量避免上述的这些问题,尽量贴近用户需求,在安全和便捷中找到平衡点,建议在编写制度的时候可以先进行一次内部的沟通。主要考虑以下几个问题:
1.原来是否有相关的安全制度
2.原来制度的执行情况
3.为何原来制度现在不执行了,是因为什么原因?
4.是否具有一些标准,没有落到文档中的?
了解了原先的状况之后,就可以根据实际的情况来梳理和编写符合公司现在的安全制度了;
1. 把现有的一些未成文的标准,在此基数上增加安全要求,整理成册如《信息安全Linux基线》,《信息安全mysql基线》,这些制度的的落地基本上可以通过模版话,定时任务等方式来实现。
2. 根据实际的情况,结合原来的安全制度或者编写新的安全制度,如《网络安全管理规定》;《变更管理规定》,《信息系统日志管理规定》,这些制度的落地需要有系统对接或者设备来实现。
3. 最后是整体的安全整体框架《信息安全管理手册》,《适用性声明》等。
安全制度的目的是为了规范日常的操作和流程,可以先制定一个可以实现的标准,逐年来提高和调整现在的安全制度,逐步提高整体的企业安全。
安全制度的查询和查看可以参考这个网站
http://www.std.gov.cn 全国标准信息公共服务平台
https://www.iso.org/isoiec-27001-information-security.html ISO27001系列
IDC安全
数据中心是一个企业核心的资产,大部分的企业会选择私有云或者公有云,以及现在较为常见的混合云的模式,业务资产越来越多的情况下,怎么保障资产的安全,可以从以下几个方面来进行考虑
一. 问题
1. 访问控制
人是安全中最为不可控制的一个环节,如何防止非规范的日常操作,对日常的操作进行审计,如何管理密码,密码定期修改,限制用户的文件上传下载,文件的留痕等?
2. 网络安全
网络层的安全如何做到外部边界的防护(端口,服务,抗DDOS,IPS/IDS),内部如何做到不同类型网络区域的隔离,与合作伙伴链接的情况,不同区域访问的限制?
3. 主机安全
主机是系统的载体,如何做到主机软硬件漏洞,主机安全加固,最小化权限管理?
4. 应用安全
业务对内对外提供服务,对外业务暴漏在公网上,攻击者可以利用web服务存在的安全漏洞,对应用进行攻击,如何加固业务系统,增加攻击者攻击的成本?
5. 数据安全
数据在通讯过程中如何放篡改,数据中那些字段是需要加密存储的,如何防止内部人员无意或恶意的泄漏?
二. 解决方式
1. 访问控制:
堡垒机是最好的解决上述问题的方式,堡垒机属于比较成熟的安全产品,开源的堡垒机主要是Jumpserver,商业的有多个比较成熟的厂家,堡垒机主要考虑以下几个功能:
1 集中管理,实现单点登录,LADP认证,支持双因子认证。
2 统一密码管理,实现资产密码托管,定期批量修改密码
3 访问控制,可以根据用户/用户组、设备/设备组、系统帐号和时间等属性来设置详细的访问控制规则
4 权限控制,高危命令(删除,重起,关机等)可以实时告警
5 统一文件传输,限制文件下载。
6 操作审计,实现完整记录,包括各类主流协议与专用工具,包括命令操作、图形操作、SQL操作等
7 丰富API功能,可以和现有的系统进行对接
2. 网络安全:
网络的边界根据公司的不同的架构,会有防火墙,负载均衡设备,安全防护设备等。主要要考虑到边界的访问情况,主要监控的是边界的端口开放情况,域名解析情困高,是否存在没有安全审批就发布在公网的情况下。
3. 主机安全
公司主机主要分为windows,linux,2类的操作系统,windows和linux又包含不同的版本,为了尽可能的减少因为系统原因造成的影响,建议统一主机的操作系统(centos 7,windows server 2016),主机在上线之前可以调用主机扫描来进行安全扫描,已经上线的主机在出现高危漏洞的情况,更新补丁可能会影响业务,可以考虑在主机上部署HIDS或者其他主机监控的方式来进行防御
应用和数据安全放在应用开发和办公环境这块一起进行说明
来源:freebuf.com 2019-03-01 17:34:48 by: caspar
请登录后发表评论
注册