系统安全防护
2023-12-12 16:55:44 0 举报AI智能生成
系统安全防护,三级等保安全
作者其他创作
大纲/内容
指导思想
时间维度
从业务开发、业务发布、设备上线、运维调优到13;业务及设备下线过程中,都要保证端到端的系统安全
安全编码
身份认证
防XXS、SQL注入
防CRSF攻击
...
安全操作规范
漏洞及时跟进
算法更新
安全协议升级
安全意识
空间维度
从芯片到硬件、从os到支撑系统,从网络层、数据层到应用层的多维度保护
制定防护策略
识别关键资产
从持有者和攻击者视角,将资产进行分层、分类
风险识别
针对单产品,识别资产,甄别风险,结合攻击目标制定防护策略
系统分层防御13;(空间维度)
硬件层防护
硬件“三防”
可信启动
系统层防护
分层加固
os内核加固(最新安全补丁)
定期安全巡检
账号管理
删除不需要的账号
开启弱密码检测
人机交互账号强制周期更新
限制系统管理员远程登录13;(以普通用户远程登录后,如有需要再切到管理员)
最小服务(关闭业务不需要的所有系统服务)
文件目录权限设置
设置关键目录权限
修改umask值
记录系统安全日志
banner防护
修改系统默认的issue,issue.net13;#echo "Authorized uses only.All activity may be monitered and reported" >/etc/issue
修改openssh的banner信息
在/etc/ssh/sshd_config中配置banner /etc/issue.net
主机防病毒
分域隔离
应用与应用之间隔离
不同进程采用不同的user/group来执行
基于namespace/cgroup的LXC、DOCKER
沙箱
应用与系统层隔离
运行态保护
地址随机化(ASLR/KASLR)
栈保护
CFI
权限最小化
去root
减少linux capability特权
应用SElinux控制访问权限
网络层防护
网络最小暴露
关闭非必要的端口
网络隔离
系统同时连接多个网段,应对网络进行隔离减少攻击面(VLAN、VPN、DMZ)
业务进程须绑定固定ip,禁止监听所有ip(0.0.0.0)
不对外提供服务的端口,应限制在本地(127.0.0.1)
使用iptable对端口进行过滤
使用安全的网络协议
TLSv1.2,TLSv1.3
snmpv3
sftp,ftps
sshv2
隐藏系统网络协议栈信息
防止通过icmp获取子网信息13;#iptables -A INPUT -p icmp --icmp-type address_mask_request -j Drop
防止通过icmp获取目标系统信息
非必要禁止网络转发
网络阻断
防火墙
防DOS/DDOS
网络诱捕
蜜罐
数据层防护
隐私数据的保护
合理采集和使用数据
隐私数据的加密、匿名化、假名化处理
加密算法AES GCM
通用数据库保护
连接与会话安全
合理配置用户与角色
数据安全及数据备份
数据库安全审计
底层防护增强
os安全加固
隔离
数据分区隔离
容器隔离
账号合理配置
权限最小化
网络安全通信
安全的硬件存储
应用层防护
身份认证
授权管理
授权原则
权限最小化原则
权限分离(安全管理员与审计管理员分离)
默认安全
授权模型
DAC
RBAC
MAC
ABAC
完整性保护
消息摘要
消息验证码
数字签名
审计跟踪
个人职能
跟踪记录用户活动
改善用户的行为方式
故障分析
为实时审计或监控
会话信息泄露
入侵探测
事后鉴别入侵
实时入侵探测
事件重建
评估故障损失
确定故障发生的时间、原因及过程
协助恢复
0 条评论
下一页
