系统安全防护
2023-12-12 16:55:44 0 举报AI智能生成
为你推荐
查看更多
系统安全防护,三级等保安全
作者其他创作
大纲/内容
身份认证
防XXS、SQL注入
防CRSF攻击
...
安全编码
漏洞及时跟进
算法更新
安全协议升级
安全操作规范
安全意识
从业务开发、业务发布、设备上线、运维调优到13;业务及设备下线过程中,都要保证端到端的系统安全
时间维度
从芯片到硬件、从os到支撑系统,从网络层、数据层到应用层的多维度保护
空间维度
指导思想
从持有者和攻击者视角,将资产进行分层、分类
识别关键资产
针对单产品,识别资产,甄别风险,结合攻击目标制定防护策略
风险识别
制定防护策略
硬件“三防”
可信启动
硬件层防护
os内核加固(最新安全补丁)
定期安全巡检
删除不需要的账号
开启弱密码检测
人机交互账号强制周期更新
账号管理
限制系统管理员远程登录13;(以普通用户远程登录后,如有需要再切到管理员)
最小服务(关闭业务不需要的所有系统服务)
设置关键目录权限
修改umask值
文件目录权限设置
记录系统安全日志
修改系统默认的issue,issue.net13;#echo "Authorized uses only.All activity may be monitered and reported" >/etc/issue
在/etc/ssh/sshd_config中配置banner /etc/issue.net
修改openssh的banner信息
banner防护
主机防病毒
分层加固
不同进程采用不同的user/group来执行
基于namespace/cgroup的LXC、DOCKER
沙箱
应用与应用之间隔离
应用与系统层隔离
分域隔离
地址随机化(ASLR/KASLR)
栈保护
CFI
去root
减少linux capability特权
应用SElinux控制访问权限
权限最小化
运行态保护
系统层防护
关闭非必要的端口
网络最小暴露
系统同时连接多个网段,应对网络进行隔离减少攻击面(VLAN、VPN、DMZ)
业务进程须绑定固定ip,禁止监听所有ip(0.0.0.0)
不对外提供服务的端口,应限制在本地(127.0.0.1)
使用iptable对端口进行过滤
网络隔离
snmpv3
sshv2
使用安全的网络协议
防止通过icmp获取子网信息13;#iptables -A INPUT -p icmp --icmp-type address_mask_request -j Drop
防止通过icmp获取目标系统信息
隐藏系统网络协议栈信息
非必要禁止网络转发
防火墙
防DOS/DDOS
网络阻断
蜜罐
网络诱捕
网络层防护
合理采集和使用数据
加密算法AES GCM
隐私数据的加密、匿名化、假名化处理
隐私数据的保护
连接与会话安全
合理配置用户与角色
数据安全及数据备份
数据库安全审计
通用数据库保护
os安全加固
数据分区隔离
容器隔离
隔离
账号合理配置
网络安全通信
安全的硬件存储
底层防护增强
数据层防护
权限最小化原则
权限分离(安全管理员与审计管理员分离)
默认安全
授权原则
DAC
RBAC
MAC
ABAC
授权模型
授权管理
消息摘要
消息验证码
数字签名
完整性保护
跟踪记录用户活动
改善用户的行为方式
个人职能
为实时审计或监控
会话信息泄露
故障分析
事后鉴别入侵
实时入侵探测
入侵探测
评估故障损失
确定故障发生的时间、原因及过程
协助恢复
事件重建
审计跟踪
应用层防护
系统分层防御13;(空间维度)
系统安全防护
0 条评论
回复 删除
下一页
