浅谈基层安全运维人员日常工作做些什么(之一基础安全)

admin 2024年8月19日21:40:42评论13 views字数 2060阅读6分52秒阅读模式

前几天有一个做安全运维的工程师和我聊天,问我安全运维需要做些什么工作。他说自己是计算机专业,在学校时自学了2年多安全,没在其他公司干过,毕业就入职一个小公司做安全运维。

目前他是公司唯一的安全人员。

他的困惑在于,自己的直属上司对安全也不算很懂,对他做不了什么指导。他每天也会自己找些事情来做,比如做做漏扫,打打补丁,对接一下等保测评

但是,好像也没有别的事情好做了,也不太知道自己还能做什么,目前上班时有空就会刷视频学习或看帖子,但是内心却有点慌,一是感觉自己没啥事情做,可能会被领导认为一直在摸鱼;二是怕自己在这条船上没长什么本事,以后竞争不过其他的水手。

那么,我就以自己浅浅的经验在这里说一下,因为我嘛也只是一颗螺丝钉,没啥高屋建瓴的大局观。这篇主要说一下怎么眼里有活儿,找些具体事务做,不去讲那些安全架构啊、制度层面、管理层面的东西。

说得只是个人看法,如果你有其他视角,欢迎留言或进群讨论。(进群方式可关注微信公众号,底部菜单有具体指引)

作为基层的安全运维人员,我觉得主要还是做"清扫维修"的工作,我们可以七个方面来看看有哪些地方需要"清扫维修",一但发现有可做的事情,就去做就行,当然如果这个打扫的工程量较大,那么就可以排班按期做,今天做完这个区域,明天再做那个区域,直至覆盖完所有区域

今天来说说基础安全:

基础安全

  • 等保测评

  • 安全认证

  • 漏扫和渗透测试

  • 应用中数据传输全链路均采用HTTPS或同等强度加密

  • 端口最小化

等保测评

首先要看公司内有没有需要做等保的信息系统(只要你对外服务了,法律上规定就是要做的),一般都会做等保,我们可以看等级保护测评报告里面描述,找到那些不符合项,去学习了解合规要求,做到心知肚明,然后在职权范围内去推进整改。

等级保护是中国的一项基本网络安全政策,其目的是对信息系统进行分等级的安全保护,确保信息安全。根据《中华人民共和国网络安全法》第二十一条的规定,国家实行网络安全等级保护制度,网络运营者应当按照该制度的要求,履行安全保护义务 。这意味着等级保护不仅是推荐的做法,而且是法律要求必须执行的。等级保护的实施有助于降低信息安全风险,提高信息系统的安全防护能力,同时也是合理规避风险的一种方式。如果没有开展等级保护测评,可能会面临法律责任和经济处罚,包括罚款和其他行政责任 。此外,等级保护2.0版本对制度进行了更新,以适应新技术的发展,并加强了国家监管力度 。总的来说,等级保护是确保网络安全、遵守国家法律法规的必要措施,对于网络运营者来说,执行等级保护是法定的责任和义务。

安全认证

现在安全方面有很多权威机构的认证,比如ISO 27001、ISO 27701、ISCCC、CISAW可以看看公司有没有相关认证,需不需要相关认证。如果做过,那么就把认证那套东西拿来翻翻,先做到心知肚明,然后在自己的职责范围内做些推进,也可在做年度计划时把要做需要预算的工作规划进去。

如果没做过,那么就稍微了解一下,看看做了对公司有啥好处,能做的可以写在年度计划中,让领导定夺(他不做就算了呗,咱们得把利弊给领导说清楚)

漏扫和渗透测试

这块是最基本的工作,一般做等保也会做,做别的合规(通保)也会做,但是我们日常也可以做漏扫,1个月做一次。渗透的话,一般的安全运维人员都不太会,但是自家的系统,完全就是白盒了,可以一边学习一边做做代码审计啥的。(这也是一个学习嘛,技不压身)

如有必要,找信誉好的第三方安全服务机构做渗透,根据渗透出来的问题举一反三,做相应的整改。

应用中数据传输全链路均应采用HTTPS或同等强度加密

这块原本不用拿出来单说,因为做合规就有要求了,但是这块呢覆盖了数据传输的安全,覆盖面很大,所以建议没事儿自查一下,把这块做做。

怎么实现呢?

要实现全链路HTTPS,首先确保所有服务器支持HTTPS协议,并获取有效的SSL/TLS证书。配置服务器以强制使用HTTPS,并确保所有中间服务和API也都采用HTTPS。最后,测试和验证所有数据传输链路都通过加密协议进行。

不过做了HTTPS不是说就没脆弱性了,有时候一些低版本的TLS就有些已经暴露出来的问题。

所以,可以优化HTTPS,从几个方面入手:

  1. 使用最新的TLS版本和强加密套件

  2. 启用HTTP/2或HTTP/3以提升性能

  3. 定期更新和管理SSL/TLS证书

  4. 配置适当的安全头信息(如HSTS)

  5. 并使用性能分析工具监控和优化SSL握手时间

端口最小化

所有资产按最小够用原则开放应用端口,不得直接向公网开放数据库端口,关闭不需要的系统服务、默认共享和高危端口,不得开放集群、组件管理等相关系统。

这个常规要求是某大厂的官方要求,其实都是产不多的。这条我们在日常的端口扫描中就已经能扫出相应的端口开放情况了,然后自家是否开放了集群、组件管理这些系统,自家也会比较清楚。

THE END

下一篇,说说安全设施防护要求,这样,当领导问起来,我们也能清晰的说出我们要加哪些设备,为什么要加这些设备,成本几何。

原文始发于微信公众号(透明魔方):浅谈基层安全运维人员日常工作做些什么(之一基础安全)

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年8月19日21:40:42
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   浅谈基层安全运维人员日常工作做些什么(之一基础安全)http://cn-sec.com/archives/3080237.html

发表评论

匿名网友 填写信息