信息化浪潮來了，誰與之並肩作戰

隨著這幾年大數據、雲計算的來臨，再加上企事業單位信息化的迅速發展，數據中心規模越來越大，不由得IT運維逐漸成為主流，將安全融入其守則是不可避免的。

網路安全

其實網路安全範圍很廣，還有比如說你可以將設備驚醒ARP綁定，那就可以避免arp攻擊等，也可以購買入侵檢測設備、入侵防禦設備，防火牆等，網路設備定期修改密碼，網路設備配置鑒別失敗登錄處理功能，配置操作超時等功能，盡量使用https協議加密傳輸。除上述以外，應定期自檢(漏洞掃描、弱口令掃描、基線配置信息等)，對主機的埠、弱口令、安全漏洞進行掃描和發現，對已知業務應用漏洞進行掃描和發現，對已知木馬進行掃描和發現，對掃描結果進行分析和提交，促進業務安全性管理和安全問題的解決。

主機安全

在現在大多數的公司中，操作系統未安裝主機入侵檢測系統，未能檢測到對重要伺服器進行入侵的行為，能夠記錄攻擊者的源IP、攻擊類型、攻擊目標、攻擊時間等，未能夠在發生嚴重入侵事件時提供報警。我們可以在操作系統安裝實時檢測與查殺惡意代碼的軟體產品，對惡意代碼實時檢測與查殺，如OSSEC和 HIDS等，這些產品都是免費開源的。主機安全還包括系統配置安全、驗證安全等等。

應用安全

1、建議應用系統採用了兩種或兩種以上的組合機制進行用戶身份鑒別；

2、建議應用系統對賬號口令複雜度進行限制，口令長度限制為8-20位；要求口令為數字、字母字元至少兩種組合，限制口令周期不大於半年；

3、建議應用系統應啟用用戶身份鑒別信息複雜度要求和登失敗處理功能；

4、建議應用系統對重要信息資源設置敏感標記，系統不支持設置敏感標記的，應採用專用安全設備生成敏感標記，用以支持強制訪問控制機制；

5、建議應用系統開啟安全審計功能，且審計功能不能中斷和安全記錄非管理員無法刪除、修改或覆蓋；

數據安全及備份恢復

1、建議提供異地數據備份功能，利用通信網路將關鍵數據定時批量傳送到備用場地；

2、建議提供主要網路設備、通信線路和數據處理系統的硬體冗餘，保證系統的高可用性；

3、數據的開發、測試環境如果要導入生產數據，則需要指定數據脫敏流程，將敏感的個人信息，如銀行卡、手機號等信息做脫敏；

4、數據的訪問要有嚴格的流程，非運維人員如要訪問數據，在走完許可權申請流程後，可以給予他讀取的許可權，但是不能給他將數據備份至本地的許可權，該操作可以通過windows堡壘機進行許可權限制，通過管理員將該人員的剪貼板禁用即可；

web業務安全

1、應設置合理的會話超時閥值，在合理範圍內儘可能減小會話超時閥值，可以降低會話被劫持和重複攻擊的風險，超過會話超時閥值後立刻銷毀會話，清除會話的信息；

2、應限制會話並發連接數，限制同一用戶的會話並發連接數，避免惡意用戶創建多個並發的會話來消耗系統資源，影響業務可用性；

3、應確保敏感信息通信信道的安全，建議在客戶端與web伺服器之間使用SSL。並正確配置SSL，建議使用SSL3.0/TLS1.0以上版本，對稱加密密鑰長度不少於128位，非對稱加密密鑰長度不少於1024位，單向散列值位數不小於128位；

4、日誌記錄範圍應覆蓋到每個用戶的關鍵操作、重要行為、業務資源使用情況等重要事件。如普通用戶異常登錄、發布惡意代碼、異常修改賬號信息等行為，以及管理員在業務功能及賬號控制方面的關鍵操作；

運維無小事，當這些細節管理沒有得到管理人員及運維人員的關注時，風險也會悄然而近。作為運維團隊人員只有持續性的不斷改進、完善運維工作，才能真正的去保障運維安全。

運維無小事，安全第一位！

*聲明：推送內容與圖片均源自公開互聯網，部分內容會有所改動，侵刪。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！