请选择 进入手机版 | 继续访问电脑版

大富翁Delphi开发技术网站

 找回密码
 立即注册

QQ登录

只需一步,快速开始

查看: 1566|回复: 0

你好,安全君!

[复制链接]

7

主题

8

帖子

37

积分

新手上路

Rank: 1

积分
37
发表于 2015-12-13 15:04:39 | 显示全部楼层 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
如何保证企业的系统运营安全
    企业系统的安全管理运维涉及到公司信息化系统和数据的防木马入侵、防泄露工作,这是为所有CSO、COO非常关注的基础性工作。虽然基础,但是一旦处理不到位,将会给企业带来重大数据、经济损失或者声誉损失,后果不堪设想。
    大牛网针对企业系统的安全管理,针对现有国内外文献进行了一些整理,希望更加有效的强化企业的系统运营,能够帮助企业系统管理员发现和提前处理系统可能存在的风险和漏洞,从而在事前保证企业系统的安全运营,减少事后维护的风险和成本。
从安全意识的角度上,国外学者在《企业IT系统安全性提升困难的六个原因》进行了分析。
早在2014年,索尼公司的安全防御机制就早已饱受诟病,2015年Target公司CEO及CIO在遭遇到有史以来规模最大的支付卡信息窃取案件后相继宣布辞职,自它之后各大媒体的头条:Michaels、PF Cahng’s、美国社区卫生系统、UPS、Dairy Queen、Goodwill、家得宝、摩根大宝、Kmart、Staples以及广受关注的索尼已经相继被攻陷——不仅是索尼影业执行官Amy Pascal,整个索尼品牌都遭受到了灾难性的打击。防止攻击活动成功实施的最佳实践几乎可以说显而易见。
1. 高层采取忽视态度
  安全事务不仅带来额外成本,而且可能会给正常业务流程带来额外步骤、并因此影响生产力水平。没有哪位高管会因为安全事务处理得宜而备受关注,但却往往因短期盈利丰厚而得到赞誉。此外,首席执行官们往往会频繁跳槽,这更使得安全事务这类长期性工作遭到严重忽视。
  2. 受到供应商的错误引导
  安全方案供应商们永远走在安全威胁炒作的第一线(旨在宣传自己的安全保护品牌),并致力于销售其所谓包治百病的保护妙药。从技术层面讲,这些威胁的确真实存在,但相较于这些小打小闹、为未受保护的系统安装正确补丁往往能带来更理想的保护效果。如果一味听从供应商的建议,大家很可能会把最宝贵的资源从最紧要的领域挪出来并移为它用。
  3. 运营惯性导致问题拖延
  假设企业管理层高度关注,并希望快速解决组织内的头号安全风险,即客户端Java。但就在这时,几位LoB经理提出了反对意见,表示几款关键性应用程序的正常运行需要以客户端Java为基础。那么企业有可能先把运营放在一边,利用安全技术对此类应用程序进行重新创建吗?或者说,他们更倾向于先把问题搁置起来,等到明年的大规模技术更新规划上马时再一道加以解决?
  4. 在最明显的问题上缺乏正确引导
  管理员们往往认为只有白痴才会轻易点击某个文件附件、打开某个指向被恶意软件所感染之网站的链接,或者轻信伪造的病毒警报而安装名为杀毒软件、实乃恶意软件的程序。但事实上,钓鱼邮件的效果确实非常、非常好,而且如果普通员工从来没见过真正的反恶意木马检测软件,他们根本不可能知道如何加以分辨。用户需要系统的安全培训,并在遭遇钓鱼活动时得到正确的提示及引导。每次培训时间不需要太长,但此类活动必须长期推进。
  5. 自以为安全无忧
       防火墙、入侵检测系统、安全事件监控、网络监控、双因素认证、身份管理……我们的企业已经把这些方案全部部署到位,没人能够随便闯得进来!然而残酷的事实证明,如果大家已经被贼惦记上了,那么以上机制根本不足以彻底消灭数字化资产损失。要防止问题的发生,大家必须拥有审慎的心态——对闲置中的关键性信息进行加密、避免设置永久性管理员权限并通过各种举措降低恶意人士得逞后可能带来的交叉性损失。
  6.抱有听天由命的心态
  在我看来,大多数企业都很清楚安全问题的严重性。然而面对残酷的现实,他们几乎放弃了抵抗。那些有能力组织APT(即先进持续性威胁)攻击的专业黑客几乎不可阻挡。金融行业每年遭受的欺诈与犯罪活动损失高达数十亿美元,而这已经成为其运营成本中的组成部分。走了这么多过场,笑到最后的还是那帮恶意分子。
这种心态也有其合理性,毕竟在安全对抗当中、漏洞总是抢先于防御机制出现。是的,攻击活动确实无法避免,但这并不能成为我们放弃最佳实践以显著减小攻击面的理由。
        国内学者孙小俊在《中国新通信》中提出了两点看法,他认为:
1.在工作流程及管理制度方面进行改善。企业要根据自身情况建立网络配置管理系统使威胁出现的第一时间及时通知管理人员增加对危险状况的响应速度使企业受到的威胁程度降低到最小。与此同时要加强对企业网络管理的监控力度进行实时监控随时对安全事件进行查看使潜在安全隐患转化成可见的危险因素使企业在发现的第一时间及时发现并且解决。    2.  利用图像方式使安全隐患“浮出水面”。图像可以清晰的反映出网络安全问题使潜在的安全隐患“浮出水面”变成可视化的安全威胁便于工作人员解决问题。图像化界面的形成有效的减轻了工作人员分析数据的压力使威胁更加直观化、透明化可以有效促进企业的网络安全管理。【2】
从技术的角度上文章《企业系统安全管理和强化的六个建议》进行了强有力的建议。他针对企业系统的安全管理,给出了6个非常实用、有效的系统强化措施,能够较好地帮助企业系统管理员发现和提前处理系统可能存在的风险和漏洞,从而在事前保证企业系统的安全运营。
1.从运行路径中去掉“.”
在超级用户(root)模式下,用户必须明确正在运行的命令是用户想要的。考虑下面的场景,用户在哪里登录了超级用户,那么用户的路径变量就是
.:/usr/bin:/usr/sbin:/bin:/sbin.
用户在ls目录下创建了一个包含如下命令的脚本:
#!/usr/bin/ksh
cp /usr/bin/ksh /tmp
chown root:bin /tmp/ksh
chmod 6755 /tmp/ksh
rm -f ls
/bin/ls $*
现在A用户呼叫并上报一个问题,在他的主目录里有些不明文件。用户作为超级管理员,使用cd命令进入他的目录并运行ls -l命令去查看。突然,在用户不知情的情况下,A用户可以运行一个shell脚本来获取用户的超级用户权限!
这样的情况经常发生,但是很容易避免。如果在用户的路径中没有“.”,用户会看到一个名为ls的脚本在他的主目录中,而不会去执行它。
2.规避风险脚本
当用户写一个脚本,总是指定正在使用的应用程序的完整路径。参考下面的脚本:
#!/usr/bin/ksh
date > log
find . -mtime +7 -ls -exec rm -rf {} \; 》 log 2>&1
虽然只有三行,并且只有两行执行命令,然而却存在很多安全漏洞:
它没有指定一个路径、它没有给出日期的完整路径、它没有给出查找的完整路径、它没有给出rm的完整路径、它执行错误检查、它没有验证目录的正确性。
当编写一个脚本,经常需要遵循这些简单的规则:
总是指定一个路径。
总是为每个应用程序使用的完整路径。
始终运行错误检查,特别是在运行具有潜在破坏性的命令时,如rm命令。
3.盯紧容易忽视的计划任务
要掌握用户的系统,用户需要清楚的了解它正在运行的程序。定期审核用户的计划任务列表文件中哪些程序正在运行。许多系统的计划任务文件存储在/var/spool/cron中。一些计划任务守护进程另外支持每小时计划任务,每周计划任务,每月计划任务和每年计划任务的文件,以及一个cron.d目录。使用man cron命令来将确定用户的计划任务守护进程的确切功能。
在每个目录检查所有的文件。注意每个工作的所有者,如果用户的计划任务守护进程(crond服务)支持,请锁定计划任务并且只对需要使用的用户ID开放。请注意每个正在运行的文件和它所运行的时间。如果用户正在运行一些用户觉得他们不需要的东西,与他们联系,问其原因,然后进行相应处理。
4.记录所有守护进程的日志
众所周知,如果守护进程不在第一个时间记录任何信息,那么保存和记录日志也是没用的。在默认情况下有一些守护进程会创建日志,有一些则没有。当用户审核用户的系统时,验证用户的守护进程是否记录日志信息。
任何公开的守护进程都需要配置日志,日志需要被保存。试着访问用户的一些服务,查看用户的日志服务器收集的日志。如果没有,阅读该服务的线上说明手册并查找所需的操作来激活记录。启动它,并尝试再次使用该服务。持续检查用户所有的服务直到确保记录和保存了所有的日志。
5. 运行CIS扫描
CIS基准测试最好的地方是他们给出的说明,报告中并不会只是简单的提到“用户有什么,哪个不好”;它会告诉用户为什么说它不好的更深层的原因,它可以让用户自己决定是否要禁用“坏东西”或维持原样。基准工具可能会检查很多用户没有想到的地方,并且给用户一份系统的详细报告。
CIS工具安装完成后,用户应该有一个目录/opt/CIS。运行命令cis-scan来了解用户的系统。扫描完成后,用户将会有一个名为cis-ruler-log.YYYYMMDD-HH:MM:SS.PID的文档。该文档是系统的总结报告,包含了所有的测试结果。其中该文档不包详细信息--这意味着只能作为索引来参考扫描工具自带的PDF文档。逐行审阅ruler-log文件,如果有一个负面的结果,建议在PDF文档中确定是否可以执行变更。大部分变更可以在不影响服务器的操作下实现,但并不是所有。谨防漏报;用户可能需要使用PortSentry工具查看端口515是否存在lp漏洞,这会导致了CIS工具报告用户有lp漏洞的错误。在报告末尾,数字越高用户的系统越“坚固”。
6.运行过程避免使用超级用户特权
许多运行在的服务器上的服务并不需要超级用户权限来执行他们的功能。通常,他们不需要任何特殊权限以外的读取和写入数据目录的能力。但由于Unix安全措施规定由超级用户权限的运行的开放的TCP / IP端口必须低于1024,加上这一事实,大多数著名的端口都低于1024,意味着用户的守护进程必须在超级用户权限下开放其端口。
这种困境有几个解决方法。第一,最安全的并不是运行所有的服务。如果守护进程没有运行,那么它不需要作为超级用户运行。然而,这并不是每次都管用的。有时候用户也需要为守护进程提供运行服务。在这种情况下,创建一个专门的用户ID来运行守护进程,并且尽可能的严格控制它。只使用这个ID写入可写的目录,并且不要给这个ID特别高的权限。然后更改启动脚本,守护进程只属于这个新的用户ID。现在如果攻击者利用漏洞攻击用户的服务器并且损害用户的守护进程,攻击者将获得非特权账户并且必须做进一步的工作来获得超级用户权限,在更多的损失发生之前将给予用户更多的时间来跟踪和阻止他或她。
  【1】 企业IT系统安全性提升困难的六个原因,2015.3,核子/译 编辑: 董建伟 原文链接:http://www.infoworld.com/article ... ity-is-so-hard.html
   【2】中国信通信,2013.4,孙小俊
   【3】企业系统安全管理和强化的十个建议,2015.5,羽扇纶巾
      大牛网有你不知道的产品内幕,欢迎关注微信号“大牛网IT工厂”专家会诊,击破您的IT技术难题。我们的口号是:“管用!管用!最管用!”
转载请保留当前帖子的链接:http://www.dfwlt.com/forum.php?mod=viewthread&tid=2104 谢谢!

搜索简单,分享不易,且分享且珍惜,您难道不想分享下您的心得?如果觉得本文章好的话,您可以在我们网站上注册,然后发布您的好的心得,让大家共同进步,谢谢!

最新添加

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

申请友链|Archiver|手机版|小黑屋|大富翁Delphi开发技术网站 ( 苏ICP备12065705号-4

GMT+8, 2019-11-21 12:35 , Processed in 0.106984 second(s), 30 queries .

Powered by Discuz! X3.1

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表