安全運維

工做也好幾年了，在這摸爬滾打中，遇到了服務器被黑，網站被人DDOS攻擊，數據庫被篡改等等。服務器也不是你說不讓人上就不讓人上的，因此IT安全這個話題仍是比較沉重的，涉及的東西不少，只有你瞭解得更多，你纔會知道你所瞭解的安全實際上是那麼少。

一、網絡安全

　　咱們不少的公司和環境並未使用第三方審計系統，未能根據記錄數據進行分形，並生成審計報表。其實審計系統是很重要的，能夠進行操做溯源，這可比你一張嘴說的話有用多了。我所在的公司實際上是買了一臺日誌審計系統，可是然並卵，在運維方面，我搭建了ELK，用於對服務器的操做溯源以及監控系統日誌和安全日誌，這個已經徹底達到我想要的效果，另外的系統相關的日誌，開發人員本身也有ELK系統，他們是用來監控app裏面的行爲操做，也是用於審計的。

　　其實網絡安全範圍很廣，還有好比說你能夠將設備驚醒ARP綁定，那就能夠避免arp攻擊等，也能夠購買入侵檢測設備、入侵防護設備，防火牆等，網絡設備按期修改密碼，網絡設備配置鑑別失敗登陸處理功能，配置操做超時等功能，儘可能使用https協議加密傳輸。

　　除上述之外，應按期自檢(漏洞掃描、弱口令掃描、基線配置信息等)，對主機的端口、弱口令、安全漏洞進行掃描和發現，對已知業務應用漏洞進行掃描和發現，對已知木馬進行掃描和發現，對掃描結果進行分析和提交，促進業務安全性管理和安全問題的解決

二、主機安全

　　在如今大多數的公司中，操做系統未安裝主機入侵檢測系統，未能檢測到對重要服務器進行入侵的行爲，可以記錄攻擊者的源IP、攻擊類型、攻擊目標、攻擊時間等，未可以在發生嚴重入侵事件時提供報警。不少人說，這個須要購買硬件WAF或者入侵防護設備，這個的確是個不小的花銷，通常的公司估計也買不起，像咱們，也買不起。可是並非說咱們毫無辦法。咱們能夠在操做系統安裝實時檢測與查殺惡意代碼的軟件產品，對惡意代碼實時檢測與查殺，如OSSEC和 HIDS等，這些產品都是免費開源的。

　　主機安全還包括系統配置安全、驗證安全等等。就好比操做系統提供身份鑑別措施、配置鑑別失敗處理功能（也就是登陸嘗試失敗次數，這個能夠有效防止惡意破解）、增強口令複雜度要求，在原基礎上還應不含有經常使用字符組合、數字組合、鍵盤順序等可預測密碼組合、重要服務器用使用資源強制訪問控制策略（如用戶、進程、文件內核級保護）、應限制默認帳戶的訪問權限，修改這些帳戶的默認口令，條件容許下，應重命名默認帳戶；

三、應用安全

a）、建議應用系統採用了兩種或兩種以上的組合機制進行用戶身份鑑別；

b）、建議應用系統對帳號口令複雜度進行限制，口令長度限制爲8-20位；要求口令爲數字、字母字符至少兩種組合，限制口令週期不大於半年；

c）、建議應用系統啓用登陸失敗處理功能，限制次數不大於5次，而且對登陸失敗用戶進行賬號處理；

d）、建議應用系統應啓用用戶身份鑑別信息複雜度要求和登陸失敗處理功能；

e）、建議應用系統對重要信息資源設置敏感標記，系統不支持設置敏感標記的，應採用專用安全設備生成敏感標記，用以支持強制訪問控制機制；

f）、建議應用系統開啓安全審計功能，安全審計範圍覆蓋到每一個用戶以及其相關操做；

g）、建議應用系統開啓安全審計功能，且審計功能不能中斷和安全記錄非管理員沒法刪除、修改或覆蓋；

h）、建議限制應用系統一段時間的併發會話鏈接數；

i）、建議應用系統限制一個訪問帳號或一個請求進程的最大限額；

j）、建議應用系統提供服務優先級設定功能，根據安全策略設定訪問賬戶或請求進程的優先級，根據優先級分配系統資源配置；

四、數據安全及備份恢復

a）、建議提供異地數據備份功能，利用通訊網絡將關鍵數據定時批量傳送到備用場地；

b）、建議提供主要網絡設備、通訊線路和數據處理系統的硬件冗餘，保證系統的高可用性；

c）、數據的開發、測試環境若是要導入生產數據，則須要指定數據脫敏流程，將敏感的我的信息，如銀行卡、手機號等信息作脫敏；

d）、數據的訪問要有嚴格的流程，非運維人員如要訪問數據，在走完權限申請流程後，能夠給予他讀取的權限，可是不能給他將數據備份至本地的權限，該操做能夠經過windows堡壘機進行權限限制，經過管理員將該人員的剪貼板禁用便可；

e）、數據庫一年要升級一次，即便你的數據庫是放在內網的，可是你不能保證大家開發人員的代碼不會被入侵，只要代碼被入侵，或者被植入後門，就能夠經過你的程序掃描到數據庫。數據庫的漏洞可不止一兩個，基本上一年下來，一個穩定版本的數據庫能夠有30個左右的高危漏洞，50個左右的中危漏洞，這些個漏洞，你靠打補丁的方式根本不是解決辦法，最好的方式仍是升級到數據庫最新版本前一個穩定版；

五、web業務安全

a）、應設置合理的會話超時閥值，在合理範圍內儘量減少會話超時閥值，能夠下降會話被劫持和重複攻擊的風險，超過會話超時閥值後馬上銷燬會話，清除會話的信息；

b）、應限制會話併發鏈接數，限制同一用戶的會話併發鏈接數，避免惡意用戶建立多個併發的會話來消耗系統資源，影響業務可用性；

c）、應確保敏感信息通訊信道的安全，建議在客戶端與web服務器之間使用SSL。並正確配置SSL，建議使用SSL3.0/TLS1.0以上版本，對稱加密密鑰長度很多於128位，非對稱加密密鑰長度很多於1024位，單向散列值位數不小於128位；

d）、日誌記錄範圍應覆蓋到每一個用戶的關鍵操做、重要行爲、業務資源使用狀況等重要事件。如普通用戶異常登陸、發佈惡意代碼、異常修改帳號信息等行爲，以及管理員在業務功能及帳號控制方面的關鍵操做；

e）、Web程序上線前或升級後應進行代碼審計，造成報告，並對審計出的問題進行代碼升級完善；

f）、應禁止明文傳輸用戶密碼，建議採用SSL加密隧道確保用戶密碼的傳輸安全；

g）、應對關鍵業務操做，例如修改用戶認證鑑權信息（如密碼、密碼取回問題及答案、綁定手機號碼等），須要通過二次鑑權，以免因用戶身份被冒用，給用戶形成損失；

h）、應避免認證錯誤提示泄露信息，在認證失敗時，應向用戶提供通用的錯誤提示信息，不該區分是帳號錯誤仍是密碼錯誤，避免這些錯誤提示信息被攻擊者利用；

i）、應支持密碼策略設置，從業務系統層面支持強制的密碼策略，包括密碼長度、複雜度、更換週期等，特別是業務系統的管理員密碼；

j）、應支持帳號鎖定功能，系統應限制連續登陸失敗次數，在客戶端屢次嘗試失敗後，服務器端須要對用戶帳號進行短時鎖定，且鎖定策略支持配置解鎖時長；

k）、應採起會話保護措施防止軟件與服務器之間的會話不可被篡改、僞造、重放等；