前几天有一个做安全运维的工程师和我聊天,问我安全运维需要做些什么工作。他说自己是计算机专业,在学校时自学了2年多安全,没在其他公司干过,毕业就入职一个小公司做安全运维。
目前他是公司唯一的安全人员。
他的困惑在于,自己的直属上司对安全也不算很懂,对他做不了什么指导。他每天也会自己找些事情来做,比如做做漏扫,打打补丁,对接一下等保测评。
但是,好像也没有别的事情好做了,也不太知道自己还能做什么,目前上班时有空就会刷视频学习或看帖子,但是内心却有点慌,一是感觉自己没啥事情做,可能会被领导认为一直在摸鱼;二是怕自己在这条船上没长什么本事,以后竞争不过其他的水手。
那么,我就以自己浅浅的经验在这里说一下,因为我嘛也只是一颗螺丝钉,没啥高屋建瓴的大局观。这篇主要说一下怎么眼里有活儿,找些具体事务做,不去讲那些安全架构啊、制度层面、管理层面的东西。
说的只是个人看法,如果你有其他视角,欢迎留言或进群讨论。(进群方式可关注微信公众号,底部菜单有具体指引)
作为基层的安全运维人员,我觉得主要还是做"清扫维修"的工作,我们可以分七个方面来看看有哪些地方需要"清扫维修",一但发现有可做的事情,就去做就行,当然如果这个打扫的工程量较大,那么就可以排班按期做,今天做完这个区域,明天再做那个区域,直至覆盖完所有区域。
今天来说说应用安全和账号安全:
应用安全
应用这块应该是关注比较聚焦的点了,一般的安全运维人员都知道要扫一扫,修一修。不过除了漏扫和漏洞修复之外,还需要关注其他应该遵守的安全实践。
比如,web系统、中间件、数据库系统等应用管理账号不要使用弱口令登录;应用的管理后台需限制用户对应用和管理后台的登录,如通过VPN拨入或者通过特定的IP登录;应用部署包应采取高强度加密避免其中硬编码的数据库及接口认证信息发生泄露;应用中应对各用户在功能、模块、接口中的权限进行严格鉴别,涉及敏感数据的功能一用户一次一验;不在应用中保存用户授权的验签信息等。这块也可以参照等保这类合规要求,再根据自家信息系统和环境的情况做一个定制版的加固要求。
账号安全
现在有很多公司推出特权账号管理系统,就是专门针对账号安全来管理的。账号安全的重要性是一城一池之争。
-
账号安全管理
可以制定有明确账号密码的安全策略要求,比如密码复杂度,不能用初始默认账号和口令,账号配置满足业务场景所必须的最小权限集合,对不同账号角色有管控要求。禁止共享账号的存在(多人共用一个账号)
-
账号风控
风控就是能及时识别账号异常的能力,比如发现这个账号在短时间内登录失败很多次,可能是暴力破解,那么就要锁定一下账号。账号经常异地登录或者换终端登录,长时间不登录等。这点QQ的风控就做得不错,账号换终端登录要用手机验证码。
-
账号口令
账号要定期更换口令,如每六个月更换一次。口令重置需要再次校验用户身份,避免口令被盗。如果咱们的信息系统比较重要,应支持对同一用户采用两种或两种以上组合的鉴别技术(口令验证、邮箱验证、短信验证等)实现用户身份鉴别。在执行敏感操作(口令修改或重置)或账号行为异常的情况下,应用应采用两种或两种以上的组合鉴别方式。
那么在这样的情况下,我们安全运维人员可以把自家的这些暴露面都收拢一下,至少自己知道有哪些问题,然后在日常运维工作中,把这些暴露面管控起来。
THE END
下一篇,讲讲安全运维。
原文始发于微信公众号(透明魔方):浅谈基层安全运维人员日常工作做些什么(之四应用安全和账号安全)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论