聊聊关于系统安全的话题

引子

公司的信息安全体系建设是每个安全从业人员，尤其是安全管理者所绕不过的工作内容；信息安全体系大多可分为信息安全管理体系，信息安全技术体系，以及信息安全运营体系三个主要体系；

信息安全技术体系是为了实现公司安全建设目标，对公司技术相应风险进行识别，并建立相应的安全技术措施，实现层级保护结构，保护信息资产，实现业务持续性发展；

正文

主机系统是信息系统的关键载体，系统安全是技术体系层级保护中比较重要的一环，如果系统配置不当可能会导致黑客利用系统漏洞进行攻击，可能导致系统出现权限提升、非授权访问、软件或服务崩溃，病毒木马等情况；

今天咱们就来聊一聊，关于系统安全的话题；

怎么做？

第一，应知道有什么？

根据公司的业务系统，确认系统的相应信息和需求；

如：在安装操作系统时：

安装什么系统？centos? 还是windows? 系统是否需要配置自动更新？ 是否一键化安装？网络安装？还是本地安装？ 安装的程序版本有什么要求？ 生产环境还有没什么要求？ 是否最小化安装？

第二，要知道我们该控什么？

根据需求，确认如何去做防控；

如：在安全策略方面考虑：

用户是否通过堡垒机进行登陆？ 采用什么方式进行验证？是否采用动态口令进行登陆？如使用静态口令，是否满足密码策略要求？ 服务器帐号如何管理？是否通过授权，授权方式是什么？是否需要线上审批？ROOT用户是否可以远程登陆？ 审计方面，是否有有效手段对登陆帐号进行审计？需要审计什么内容？是否防篡改？

第三，能为实现体系化搞点事情

多做一些，多走一步，一句话，最终就是为了实现安全远景，也就是各位看官给老板们画的大饼；

如：再加点其它想法：

云主机如何做？怎么进行标准化？ 是否应该统一管理？补丁管理和变更管理怎么搞？ 是否安装其它安全agent，比如HIDS，为之后的安全事件管理平台做做准备？ 镜像及安装的程序是否安全可信？是否有自已的yum库？是否专人维护？镜像要不要参与制作一下？是否把安全agnet放进去？要不要顺道做个流程出来？

笔者认为系统安全是整个信息安全技术体系中很重要的一个环节，当然也是纵深防御中不可缺的一层，需要合理的，有效的管理才行；

笔者建议系统安全的基本安全措施为：

规范化安装，安全部门参与到镜像制作，将安全配置加到镜像中； 最小化安装原则，关闭无用的端口及服务，减少攻击画； 动态口令登陆，使用堡垒机，增加安全审计； 安全配置脚本，同时修改相应提示信息，迷惑对手，增加威慑力； 安装HIDS，发现异常，及时处理，提高应急响应能力； 及时更新补丁，补丁需要验证及灰度后，要有补丁及变更流程；

此文源于《基于量子透明计算的可信自主可控区块链式拟态安全态势感知的威胁情报联盟微信交流群》上周五聊的话题笔者有感而成，感谢大家的观看，如有问题，欢迎交流；聊完，收工！