随着我國企業資訊化的普及,資訊化給我國企業帶來積極影響的同時,也帶來了資訊安全方面的消極影響。一方面資訊化在企業發展的過程中,對節約企業成本和達到有效管理起到了積極的推動作用;另一方面伴随着全球資訊化和網絡化程序的發展,與此相關的資訊安全問題也日趨嚴重。
由于我國中小企業規模小、經濟實力不足以及企業上司者缺乏資訊安全領域的知識、意識,導緻一些企業的資訊安全面臨着風險,我國企業資訊化程序已經步入普及階段,解決我國企業的資訊安全問題已經刻不容緩。數通暢聯對于安全體系的建立是很重視的,後續的産品、方案示範環境都要進行測試,為此需要先确立安全體系的标準化。
1整體概述
傳統的資訊安全建設方法大都從單個系統出發,很少考慮整個組織的全局資訊安全。但實際工作應該從組織整體出發,整體考慮所有系統,引入安全體系設計方法,合理搭建企業資訊安全架構。
1.1安全體系
企業資訊安全是以建立企業資訊化空間可信環境與秩序作為發展目标的,不僅要保障資料系統安全,還要基于參與者主題“行為與内容”進行資源管理、認證及監控。是以,企業資訊安全的重要任務是通過把企業内外部互相孤立的資訊安全資源集中、整合起來,在一個安全架構内構成專門的管理、監管、認證、控制功能或職能,行成一個資訊安全體系。
1.2安全規劃
資訊安全規劃業務的主要工作包括:
1.資訊安全政策的制定;
2.安全技術體系建立;
3.安全管理體系建立;
4.安全工程體系建立;
5.持續改進階段。
1.3安全多樣
企業資訊安全架構要考慮企業的多樣性。企業類型的多樣性決定了他們資訊安全建設的重點和關注點也有所不同。企業根據生産方式不同至少可以分為三大類型:制造型企業、流通型企業、服務型企業。以制造型企業為例,企業資訊化以生産制造業務為核心。資訊安全的主要關注點是生産流程的可靠性與設計生産的一緻性。是以,用一套架構或系統服務于所有行業、不同規模的企業是不科學也不現實的。但是我們可以提出基本核心要素及結構供不同的企業參考。
2體系架構
資訊安全管理體系架構的基本要素分為:安全管理、安全運維、安全技術建設。
2.1安全管理
安全管理體系采用“設計、實施、檢查、改進”的過程模式建立企業資訊安全管理體系。這四個步驟成為一個閉環,通過環的不斷運轉使資訊安全管理體系得到持續改進,使資訊安全績效螺旋上升。對應這四個步驟,企業資訊安全管理視圖可以包括以下流程:合規管理、資訊安全管理、資訊安全政策管理、風險評估管理。
2.2安全運維
安全運維體系在企業資訊安全架構中是資訊安全的系統功能視圖,是企業資訊安全目标的系統化分解、系統化運作的核心視圖。在安全政策的指導下,安全組織利用安全技術來達成安全保護目标的過程。企業安全運維主要包括安全監控、事件響應、事件審計、外包服務等流程。
2.3安全技術
安全技術主要包括實體安全、基礎架構安全、身份安全、資料安全、應用安全的技術機制和技術管理等流程。采用哪些安全技術,市場上有哪些工具可以使用,是企業資訊安全管理者關心的問題。一般來說,可以按照從上到下資訊流經的裝置來部署工具,即從資料安全、終端安全、應用安全、主機安全、網絡安全、實體安全六個方面來選擇不同的安全工具。由于資訊安全工具繁多,要按照“适度防禦”的原則,綜合采用各種安全工具進行組合,形成企業“适用的”安全技術防線。
說了這麼多宏觀的内容,下面開始從環境安全和産品安全兩部分進行分别介紹,從具體層面說明需要注意哪些安全配置。
3環境安全
IT技術可以說是一把雙刃劍,為我們帶來便捷的同時,也帶來了威脅,網絡安全問題就是其中之一。如今随着黑客技術的發展,伺服器被攻擊的事件屢見不鮮,如何保障伺服器安全是運維界廣泛關注的問題。下面為大家提供了六個維護伺服器安全的技巧。
3.1設定防火牆
對伺服器安全而言,開啟防火牆是非常必要的手段。防火牆對于非法通路具有很好的預防作用,但開啟防火牆并不等于伺服器安全了。在開啟防火牆後,你需要根據自身的網絡環境,對防火牆進行适當地配置以達到最好的防護效果。
注意:cetos7和cetos6防火牆操作方法不同,以下指令說明均是以cetos7為例。
3.1.1配置樣例
firewall-cmd的所有指令,本質都是讀寫/etc/firewalld/zones下的對應檔案,如public.xml、trusted.xml。zone指的是不同的安全區域(或者說安全級别),比如:home(家庭)、public(公共)、trusted(受信任的),我們隻需要關心兩個zone區域,public、trusted。
3.1.2public.xml
public.xml是公共網絡配置,隻需要開啟端口或者服務即可,比如:ssh服務、dhcpv6-client服務,80、443端口。
3.1.3trusted.xml
trusted.xml是受信任網絡配置,把ip白名單或者網段添加進來即可,比如:10.244.0.0/16網段(B級别網段,K8S容器叢集ip網段),172.30.128.0/24(K8S實體伺服器節點ip網段,通常是C級别網段,根據實際情況來調整);10.23.237.71是單個特定要通路的ip位址(根據實際情況來調整)。
配置樣例如下:
3.2服務端口
伺服器作業系統在安裝時,會啟動一些不需要的服務,這樣會占用系統的資源,而且也會增加系統的安全隐患。對于一段時間内完全不會用到的伺服器,可以完全關閉。對于期間要使用的伺服器,也應該關閉不需要的服務,如Telnet等。另外,還要關掉沒有必要開的TCP端口。
3.3賬号密碼
賬号、密碼保護可以說是伺服器系統的第一道防線,目前網上大部分對伺服器系統的攻擊都是從截獲或猜測密碼開始。一旦黑客進入了系統,那麼前面的防衛措施幾乎就失去了作用,是以對伺服器系統管理者的賬号密碼進行管理是保證系統安全的重要措施。
把密碼設定得複雜一點,如果您的密碼足夠複雜,非法分子就需要大量的時間來進行密碼嘗試,也許密碼未破解完成,伺服器就已經進入保護模式,不允許登陸。
3.4定期備份
為防止不能預料的系統故障或使用者不小心的意外操作,必須對系統進行安全備份。除了對全系統進行每月一次的備份外,還應對修改過的資料進行每周一次的備份。同時,應該将修改過的重要系統檔案存放在不同的伺服器上,以便出現系統崩潰時(通常是硬碟出錯),可以及時地将系統恢複到正常狀态。
3.5安裝更新檔
不論是Windows還是Linux,任何作業系統都有漏洞,要及時打上更新檔避免漏洞被蓄意攻擊利用,是伺服器安全重要的保證之一。
3.6監測日志
通過運作系統日志程式,系統會記錄下所有使用者使用系統的情形,包括最近登入時間、使用的賬号、進行的活動等。日志程式會定期生成報表,通過對報表進行分析,你可以知道是否有異常現象。
4産品安全
産品的安全性不管在什麼時候都是很重要的事情,因為安全無論對個人,還是對企業來說是重中之重。産品在做好做精的道路上逐漸完善,同時安全方面的更新加強也一直在逐漸加深。下面就是公司為達到安全加強所做的一些措施。
4.1XSS防注入
XSS攻擊通常指的是通過利用網頁開發時留下的漏洞,以巧妙的方法注入惡意指令代碼到網頁。當動态頁面中插入的内容含有這些特殊字元(如<)時,使用者浏覽器會将其誤認為是插入了HTML标簽,當這些HTML标簽引入一段JavaScript腳本時,這些腳本程式就将會在使用者浏覽器中執行。是以當這些特殊字元不能被動态頁面檢查或檢查出現失誤時,就将會産生XSS漏洞。
解決xss攻擊是使用XssFilter攔截來解決,建立一個Filter類在web.xml配置攔截器,隻要頁面互動就走此XssRequestFilter類。類中會把請求的參數放到過濾方法中過濾掉特殊符号。
4.2SQL防注入
通過把SQL指令插入到Web表單,遞交、輸入域名或頁面請求的查詢字元串,最終達到欺騙伺服器執行惡意的SQL指令,來惡意篡改産品中重要的資料資訊,導緻資訊丢失或受損,使企業受到不可避免的損失。
産品中封裝了入參類DataParam,是以在執行SQL入參時都會經過此類,是以在DataParam中封裝了過濾方法,如果入參的類型中含有_like,就會把入參格式拼寫成"%" + value + "%"樣式,這樣生成的SQL就是模糊查詢格式。
代碼在sqlmap裡模糊查詢條件中書寫格式如下:
1. property中要“字段_like”;
2. sql條件like後面要跟#字段_like#格式。
4.3密碼複雜化
修改密碼功能,在使用者登入時判斷該使用者是否是首次登入,如果是首次登入需要提醒使用者修改密碼,然後跳到修改密碼頁面,并在頁面添加密碼校驗功能,判斷使用者輸入密碼的強弱度并給出相應提示。
4.4防上傳攻擊
産品上傳圖檔功能,需要指定檔案字尾,如下圖:
4.5認證安全機制
産品預置多種安全認證機制,包括賬戶密碼、tokenId等方式。調用産品内置接口均需要配置IP白名單,如下圖:
4.6安全監控預警
安全監控分為登入和服務流程調用二方面,當出現異常時,發送郵箱或短信報警。
4.6.1登入報警
登入報警包括如下:
1.二次認證監管:IDM是統一身份管理系統,其中一個功能是統一認證,而有些特殊賬戶是非常敏感的,是以要有二次認證;
2.異地登入監管:為了防止惡意攻擊通路系統,我們要做到異地登入監控,如果不是本人登入,會另一個地點進行攻擊通路,隻有知道不是這個IP位址,就可以排查是否異地登入了,如果是就要進行報警提醒;
3.異時登入監管:為了防止惡意攻擊通路系統,我們要做到異地登入監控,如果不是本人登入,會在該使用者不經常使用的時間段進行攻擊通路,隻要與平時通路時間段不一緻,就可以排查是否異時登入了,如果是就要進行報警提醒;
4.暴力登入監控:對連續出錯的賬戶進行鎖定,主要防止惡意入侵,防暴力破解、賬戶鎖定;
5.高頻登入監控:相同IP特定賬戶短時間頻繁登入監管提醒。高頻登入和暴露登入類似,一個賬戶被短時間内頻繁登入,也要有對應的措施和提醒機制。
4.6.2服務報警
服務報警會在ESB設計器開發、注冊、代理、配置等服務接口調用出現異常後,根據重試政策、報警政策實作發送郵箱或短信報警。
5總結收獲
文檔的最後對自己本次的收獲和後續工作進行總結,部門的工作才剛剛開始,希望在不斷的梳理總結中,幫助自己不斷的成長。
5.1知識收獲
在寫這篇文檔時,我查詢了很多資料,在已掌握的知識基礎上又增加了新知識,比如安全體系、安全架構等。這些知識對我的幫助很大,可以幫助我提升自己的眼界,相信通過不斷地思考學習,必定可以提高我的全局觀。