聊聊关于系统安全的话题

引子

网站的建设成都创新互联公司专注网站定制,经验丰富,不做模板,主营网站定制开发.小程序定制开发,H5页面制作!给你焕然一新的设计体验!已为服务器租用等企业提供专业服务。

公司的信息安全体系建设是每个安全从业人员，尤其是安全管理者所绕不过的工作内容;信息安全体系大多可分为信息安全管理体系，信息安全技术体系，以及信息安全运营体系三个主要体系。

信息安全技术体系是为了实现公司安全建设目标，对公司技术相应风险进行识别，并建立相应的安全技术措施，实现层级保护结构，保护信息资产，实现业务持续性发展。

正文

主机系统是信息系统的关键载体，系统安全是技术体系层级保护中比较重要的一环，如果系统配置不当可能会导致黑客利用系统漏洞进行攻击，可能导致系统出现权限提升、非授权访问、软件或服务崩溃，病毒木马等情况。

今天咱们就来聊一聊，关于系统安全的话题。

怎么做?

第一，应知道有什么?

根据公司的业务系统，确认系统的相应信息和需求;

如：在安装操作系统时：

• 安装什么系统?centos? 还是windows?
• 系统是否需要配置自动更新?
• 是否一键化安装?网络安装?还是本地安装?
• 安装的程序版本有什么要求?
• 生产环境还有没什么要求?
• 是否最小化安装?

第二，要知道我们该控什么?

根据需求，确认如何去做防控;

如：在安全策略方面考虑：

• 用户是否通过堡垒机进行登陆?
• 采用什么方式进行验证?是否采用动态口令进行登陆?如使用静态口令，是否满足密码策略要求?
• 服务器帐号如何管理?是否通过授权，授权方式是什么?是否需要线上审批?ROOT用户是否可以远程登陆?
• 审计方面，是否有有效手段对登陆帐号进行审计?需要审计什么内容?是否防篡改?

第三，能为实现体系化搞点事情

多做一些，多走一步，一句话，最终就是为了实现安全远景，也就是各位看官给老板们画的大饼;

如：再加点其它想法：

• 云主机如何做?怎么进行标准化?
• 是否应该统一管理?补丁管理和变更管理怎么搞?
• 是否安装其它安全agent，比如HIDS，为之后的安全事件管理平台做做准备?
• 镜像及安装的程序是否安全可信?是否有自已的yum库?是否专人维护?镜像要不要参与制做一下?是否把安全agnet放进去?要不要顺道做个流程出来?

笔者认为系统安全是整个信息安全技术体系中很重要的一个环节，当然也是纵深防御中不可缺的一层，需要合理的，有效的管理才行;

笔者建议系统安全的基本安全措施为：

• 规范化安装，安全部门参与到镜像制作，将安全配置加到镜像中;
• 最小化安装原则，关闭无用的端口及服务，减少攻击画;
• 动态口令登陆，使用堡垒机，增加安全审计;
• 安全配置脚本，同时修改相应提示信息，迷惑对手，增加威慑力;
• 安装HIDS，发现异常，及时处理，提高应急响应能力;
• 及时更新补丁，补丁需要验证及灰度后，要有补丁及变更流程;

网页名称：聊聊关于系统安全的话题
网页路径：http://www.mswzjz.cn/qtweb/news7/34257.html

攀枝花网站建设、攀枝花网站运维推广公司-贝锐智能，是专注品牌与效果的网络营销公司；服务项目有等

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 贝锐智能