闲谈系统安全：主机系统相关问题

引子

公司的信息安全体系建设是每个安全从业人员，尤其是安全管理者所绕不过的工作内容;信息安全体系大多可分为信息安全管理体系，信息安全技术体系，以及信息安全运营体系三个主要体系。

信息安全技术体系是为了实现公司安全建设目标，对公司技术相应风险进行识别，并建立相应的安全技术措施，实现层级保护结构，保护信息资产，实现业务持续性发展。

正文

主机系统是信息系统的关键载体，系统安全是技术体系层级保护中比较重要的一环，如果系统配置不当可能会导致黑客利用系统漏洞进行攻击，可能导致系统出现权限提升、非授权访问、软件或服务崩溃，病毒木马等情况。

今天咱们就来聊一聊，关于系统安全的话题。

怎么做？

第一，应知道有什么？

根据公司的业务系统，确认系统的相应信息和需求;

如：在安装操作系统时：

安装什么系统？centos？ 还是windows？

系统是否需要配置自动更新？

是否一键化安装？网络安装？还是本地安装？

安装的程序版本有什么要求？

生产环境还有没什么要求？

是否最小化安装？

第二，要知道我们该控什么？

根据需求，确认如何去做防控;

如：在安全策略方面考虑：

用户是否通过堡垒机进行登陆？

采用什么方式进行验证？是否采用动态口令进行登陆？如使用静态口令，是否满足密码策略要求？

服务器帐号如何管理？是否通过授权，授权方式是什么？是否需要线上审批？ROOT用户是否可以远程登陆？

审计方面，是否有有效手段对登陆帐号进行审计？需要审计什么内容？是否防篡改？

第三，能为实现体系化搞点事情

多做一些，多走一步，一句话，最终就是为了实现安全远景，也就是各位看官给老板们画的大饼;

如：再加点其它想法：

云主机如何做？怎么进行标准化？

是否应该统一管理？补丁管理和变更管理怎么搞？

是否安装其它安全agent，比如HIDS，为之后的安全事件管理平台做做准备？

镜像及安装的程序是否安全可信？是否有自已的yum库？是否专人维护？镜像要不要参与制做一下？是否把安全agnet放进去？要不要顺道做个流程出来？

笔者认为系统安全是整个信息安全技术体系中很重要的一个环节，当然也是纵深防御中不可缺的一层，需要合理的，有效的管理才行;

笔者建议系统安全的基本安全措施为：

规范化安装，安全部门参与到镜像制作，将安全配置加到镜像中;

最小化安装原则，关闭无用的端口及服务，减少攻击画;

动态口令登陆，使用堡垒机，增加安全审计;

安全配置脚本，同时修改相应提示信息，迷惑对手，增加威慑力;

安装HIDS，发现异常，及时处理，提高应急响应能力;

及时更新补丁，补丁需要验证及灰度后，要有补丁及变更流程;
责编AJX