运维安全实战与总结.docx

1、运维安全实战与总结 运维安全实战与总结 QQ：50738846 Alvin(阿文）一、前言概述 最近公司做安全审计，以多年的工作经验，自然信心满满，当央行委托的第三方检测机构的人过来之后把所有的问题细化之后，发现各种细节的问题就暴漏出来了。特别是针对运维这一块安全选项高达500多项。经过半个月的日夜奋战终于把需要整改的漏洞。整改完毕。为此发现了很多以前不够完善的地方，特意跟大家分享一下咱们在做运维架构的时候首先考虑的安全问题。有错误或者不好地方,各位多多指点!二、物理安全2.1、机房物理安全 2.1.1、内部机房与公办公场地环境 a)、内部机房与办公场所应该选择具有防震、防风和防雨等能力的建筑

2、内；内部机房的位置避免设置在建筑物高层或者地下室，以及用用水设备下层或者隔壁. b)、一般选择在2-3层的位置为最佳. 2.1.2、IDC 机房选择 a)、IDC机房根据业务进行选择分为、单线（电信或者网通)、双线(电信、网通）、三线(BGP 电信、网通、移动）、全线BGP机房等等. b)、IDC机房选择除线路之外，还需要观察其防护系统，目前遭遇到最多攻击的为DDOS攻击，需要了解IDC机房的防护是集群防御还是单机防御，防御又分为单线防护和多线防护，每个线路的防护能达到多少G，当遭到攻击的时候超过一定的量，机房如何处理？多久可以解封IP，或者还是秒解（注、通常你所在的服务器遭到攻击之后，机房一

3、般采取封堵你的服务器的IP地址(黑洞)，或者严格一点的直接拨了服务器的线） 2.1.3、物理访问控制 a)、机房出入口应该安排专人值守、控制、鉴别和记录进入的人员. b)、需要进入机房来访人员应该经过申请和审批流程，并限制和监控期活动范围. c)、机房需要划分区域进行管理，区域和区域之间设置物理隔离装置，在重要区域前设置交付或者安装过渡区域. d)、重要区域应该配置电子门禁系统控制、鉴别和记录进入的人员. 2.1.4、防盗窃和防破坏 a)、应将主要设备放置在机房内 b)、应该设备或者主要部件进行固定，并且设置安全加固， c)、每个设备应该标明设备型号及资产记录由专人统一管理 d)、机房应当安装

4、光电防盗报警及监控系统. 2.1.4、防止雷击 a)、应该设置防雷保安器、防止感应雷. b)、机房应该设置交流电源地线. 2.1.5、安全防火 a) 机房应该设置火灾自动消防系统，能够自动检测火情、自动报警，并自动灭火; b)机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料. c)机房应该采取区域隔离防火措施，将重要设备与其他设备隔离开.比如：防火玻璃隔断 2.1.6、防水防潮 a)、水管安装、不得穿过机房屋顶和活动板下； b)、应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透. c)、应该采取措施防止机房内水蒸汽结露和底下积水的转移与渗透. d)、应该安装对水敏感的检测仪表或者元件，对

5、机房进行防水检测和报警 2.1.7、防静电 a) 主要设备应该采用必要的接地防静电措施. b) 机房应该采用防静电地板. 2.1.8、防止高温 a)机房应该设置温、湿度自动调节设施，使机房温、湿度的变化在设备运行所许 b)安装精密的空调系统，配置温适度检测，并接入动力环境监控系统。 2.1.9、电力供应与电磁防护 电力供应、 a)、应在机房供电线路上配置稳压器和过电压防护设备。 b)、应该提供短期的备用电力供应，至少满足主要设备在断电的情况下的正常运行. c)、应设置冗余或者并行的电力电缆线路为计算机系统供电. d)、应该建立备用供电系统. 电磁防护、 a)、应采用接地方式防止外界电磁干扰.

6、b)、电源线和通信线缆应该隔离铺设，避免相互干扰. c)、应对关键设备和磁介质三实施电磁屏蔽. 三、网络安全 3.1、网络及访问安全 3.1.1、结构安全 a)、应保证主要网络设备的业务处理能力具备冗余空间，满足业务高峰期需求. b)、应保证网络各个部分的带宽满足业务高峰期需要. c)、应在业务是终端与业务服务器之间进行路由控制，建立安全的访问策略. d)、应绘制与当前运行情况相符的网络拓扑结构图. e)、应该根据各部们的工作职能，重要性和所涉及信心的重要程度等因素，划分不同的子网、网段，并按照方便管理和控制的原则为个子网、网段分配地址段. f)、重要网段与其他的网段应该采用防火墙或者网闸进行

7、隔离 g)、多业务共用的的网络设备上应该采取QOS流量限制. 3.1.2、访问控制 a)、应该在网络边界部署访问控制的设备，并且启用访问控制功能，（设备为，防火墙、路由器、IPS、IDS等等） b)、应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度至少也得是端口级别. c)、应对进出网络信息内容进行过滤，实现应用层的协议进行控制 d)、应在会话处于非活跃一定时间或者会话结束后终止网络连接 e)、应限制网络最大流量数及网络连接数（而不至于遭到攻击后，连安全设备(FW)应为资源耗尽无法登陆) f)、重要的网段应该采取技术手段防止地址欺骗，如ARP等等。 g)、应按用户和系统之间

8、的允许访问规则，对系统管理、安全审计、DBA等等人员划分详细的登陆访问权限。控制颗粒为单个用户. h)、移动VPN等等应该限制拨号权限及特定的IP地址和并发用户数量控制. 3.1.3、安全审计 a)、应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录. b)、审计记录包括、事件的日期和时间、用户、事件类型、事件是否成功记其他与审计相关的信息. c)、应能根据记录数据进行分析，并且生成设计报表. d)、应对审计记录进行保护，避免受都意外的删除和覆盖 3.1.3、边界完整性 a)、应能对非授权设备私自联到内部网络的行为进行检查，准确定出问题，并且有效进行阻断。部署中断安全管理系统，

9、利用ARP和MAC地址绑定阻断功能实现非法控制. 3.1.4、入侵防范 a)、应该在网络边界(FW)监控以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝访问攻击、缓冲区域漏洞溢出、IP碎片攻击和网络蠕虫攻击等等。 b)、当检测到攻击行为时、拒绝并且记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵时间应该提供报警。 3.1.5、恶意代码防范 a)、应该在网络边界(FW)处进行恶意代码进行检测和清除. b)、应该维护恶意代码库的升级和检测与系统的更新. 3.1.6、网络设备防护 a)、应对登陆网络设备的用户进行身份鉴别. b)、应对网络设备的管理员登陆地址进行限制. c)、网络设备

10、用户的标识应唯一 d)、网络设备对应同一种用户采用密码+动态口令进行登陆（2种身份鉴别登陆) e)、身份鉴别信息应当不容易被冒用的特点。口令应有复杂度要求，并且定期更换。 f)、登陆失败时处理并且记录，限制登陆失败的登陆次数和冻结登陆IP一段时间，当网络连接超时时自动退出等措施。 g) 当对网络设备进行远程管理时，应该采取必要的措施防止鉴别信息在网络传输过程中被窃听.应实现设备特权用户的权限分离. 四、主机安全 4.1、身份鉴别a) 应对登录操作系统和数据库系统的用户进行身份标识和鉴别；b) 操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换；c) 应启用

11、登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施；d) 当对服务器进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听；应为操作系统和数据库系统的不同用户分配不同的用户名，确保用户名具有唯一性。 e) 应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。采用动态电子令牌身份认证系统（如RSA SecurID）。 4.2、访问控制a) 应启用访问控制功能，依据安全策略控制用户对资源的访问；b) 应根据管理用户的角色分配权限，实现管理用户的权限分离，仅授予管理用户所需的最小权限；c) 应实现操作系统和数据库系统特权用户的权限分离；d) 应严格限制默认帐户的访问

12、权限，重命名系统默认帐户，修改这些帐户的默认口令；e) 应及时删除多余的、过期的帐户，避免共享帐户的存在。f) 应对重要信息资源设置敏感标记；应依据安全策略严格控制用户对有敏感标记重要信息资源的操作； 4.3、安全审计a) 应提供覆盖到每个用户的安全审计功能，对应用系统重要安全事件进行审计；b) 应保证无法单独中断审计进程，无法删除、修改或覆盖审计记录；c) 审计记录的内容至少应包括事件的日期、时间、发起者信息、类型、描述和结果等；d) 应提供对审计记录数据进行统计、查询、分析及生成审计报表的功能。 e) 采用网络审计结合日志审计实现；应用服务器采用安全操作系统或安装内核加固软件，对审计进程进

13、行守护，防止进程中断。f) 比如登陆记录，日志记录 4.4、剩余信息保护a) 应保证用户鉴别信息所在的存储空间被释放或再分配给其他用户前得到完全清除无论这些信息是存放在硬盘上还是在内存中； b) 应保证系统内的文件、目录和数据库记录等资源所在的存储空间被释放或重新分配给其他用户前得到完全清除。 4.5、通信完整 a) 应采用密码技术保证通信过程中数据的完整性。b)在通信双方建立连接之前，应用系统应利用密码技术进行会话初始化验证； c)应对通信过程中的整个报文或会话过程进行加密。d) 应具有在请求的情况下为数据原发者或接收者提供数据原发证据的功能；应具有在请求的情况下为数据原发者或接收者提供数据

14、接收证据的功能。 4.6、数据完整性 a) 应能够检测到系统管理数据、鉴别信息和重要业务数据在传输过程中完整性受到破坏，并在检测到完整性错误时采取必要的恢复措施； b)、应能够检测到系统管理数据、鉴别信息和重要业务数据在存储过程中完整性受到破坏，并在检测到完整性错误时采取必要的恢复措施。c)、利用安全操作系统或安装内核加固软件提供的文件完整性保护功能或数据库系统提供的完整性保护功能。 4.7、数据安全与备份 a)、应提供本地数据备份与恢复功能，完全数据备份至少每天一次，备份介质场外存放； b)、应提供异地数据备份功能，利用通信网络将关键数据定时批量传送至备用场地； c)、应采用冗余技术设计网络

15、拓扑结构，避免关键节点存在单点故障； d)、应提供主要网络设备、通信线路和数据处理系统的硬件冗余，保证系统的高可用性。五、安全管理制度 5.1、管理制度a) 应制定信息安全工作的总体方针和安全策略，说明机构安全工作的总体目标、范围、原则和安全框架等；b) 应对安全管理活动中的各类管理内容建立安全管理制度；c) 应对要求管理人员或操作人员执行的日常管理操作建立操作规程；d) 应形成由安全策略、管理制度、操作规程等构成的全面的信息安全管理制度体系。 5.2、制定和发布a) 应指定或授权专门的部门或人员负责安全管理制度的制定；b) 安全管理制度应具有统一的格式，并进行版本控制；c) 应组织相关人员对

16、制定的安全管理制度进行论证和审定；d) 安全管理制度应通过正式、有效的方式发布；e) 安全管理制度应注明发布范围，并对收发文进行登记。 5.3、制定和发布a) 信息安全领导小组应负责定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定； b) 应定期或不定期对安全管理制度进行检查和审定，对存在不足或需要改进的安全管理制度进行修订。 5.4、岗位设置a) 应设立信息安全管理工作的职能部门，设立安全主管、安全管理各个方面的负责人岗位，并定义各负责人的职责；b) 应设立系统管理员、网络管理员、安全管理员等岗位，并定义各个工作岗位的职责；c) 应成立指导和管理信息安全工作的委员会或领导

17、小组，其最高领导由单位主管领导委任或授权；d) 应制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求。 5.5、人员配备e) 应配备一定数量的系统管理员、网络管理员、安全管理员等；f) 应配备专职安全管理员，不可兼任；g) 关键事务岗位应配备多人共同管理。 5.6、授权和审批a) 应根据各个部门和岗位的职责明确授权审批事项、审批部门和批准人等；b) 应针对系统变更、重要操作、物理访问和系统接入等事项建立审批程序，按照审批程序执行审批过程，对重要活动建立逐级审批制度；c) 应定期审查审批事项，及时更新需授权和审批的项目、审批部门和审批人等信息；d) 应记录审批过程并保存审批文档。 5.

18、7、人员考核a) 应定期对各个岗位的人员进行安全技能及安全认知的考核；b) 应对关键岗位的人员进行全面、严格的安全审查和技能考核；应对考核结果进行记录并保存 5.8、安全意识教育和培训c) 应对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训；d) 应对安全责任和惩戒措施进行书面规定并告知相关人员，对违反违背安全策略和规定的人员进行惩戒； e) 应对定期安全教育和培训进行书面规定，针对不同岗位制定不同的培训计划，对信息安全基础知识、岗位操作规程等进行培训；f) 应对安全教育和培训的情况和结果进行记录并归档保存. 5.9、外部人员访问管理a) 应确保在外部人员访问受控区域前先提出书面申请

19、，批准后由专人全程陪同或监督，并登记备案； b) 对外部人员允许访问的区域、系统、设备、信息等内容应进行书面的规定，并按照规定执行。 六、运维安全总结6.1、机房选址及环境要求 6.1.1、机房地址 机房的地址不能靠近各种山体，以及江河和海的地方，机房的地址不能太过于边远和交通不便的位置。 6.1.2、机房环境 机房上下层，或者整栋层不能出现各种仓库之类的楼层。避免仓库失火的时候火势蔓延威胁至机房.机房上层不能出现各种水源设备。避免漏水侵入机房。 6.1.3、机房线路 机房的线路选择。根据业务尽量选择双线，或者BGP线路.BGP有真假之分。选择的时候要注意。不任听销售人员说词。 6.1.4、机

20、房供电 选择机房的时候。注意检查机房的必须同时拥有2台主要的大型供电装置，以避免出现供电问题的时候，无缝切入到备用（注意必须是无缝）因为一旦出现电力闪断。所有的服务器都会断电停机。造成的损失将不可估量。 6.1.5、机房温度 正常的机房必须安装制冷装置，每个机柜只要有一个制冷通风口，目前主要分为2种。传统的机柜都是下通风口制冷，也就说在机柜的下方有一个可以滑动的挡板，将挡板拉开既可以看到制冷通风口。另外一种是封闭式冷通道。两排机柜的中间部分封闭起来。有两扇滑动的玻璃门关闭着。两排机柜之间的通道制冷。从整个通道从下往上吹冷风，达到制冷的目的。 6.1.6、机房服务 IDC机房是否有有监控室？ 各

21、种消防的设备和措施是否到位？每个机房是否配备了360度的监控，以及各种温度检测设备和监控报警系统。 IDC机房的值班人员是否7*24小时的轮班制。一旦出现紧急故障可以随时接受-客户的紧急授权维护申请。 6.2、服务器选型要求 6.2.1、选择供应商 当我们选择购买服务器的时候，正常有2种渠道可以购买， 第一种、直接和厂家联系，通常这种的价格要高于市场价格。 第二种、找厂家的代理商，这种价格稍微低一些，在购买的时候可以要求原厂对代理商的最终授权书。这样可以保证货物的为原装性！ 6.2.2、选择服务类型 在选择供应商之后。我们要注意后期的服务，因为谁也不能保证。新买来的设备 就是没有任何问题的。这

22、个故障出现的比列还是有的，我们得保证供应商或者原厂的工程师对我们保持良好分服务支撑。 6.3.1、选择服务器类型 服务器类型可以根据业务来进行选择。通常来说我们以架构分层之后。来确定不同层面的服务器的配置和类型。这样可以方便提前计算服务器的成本。 6.3、运维架构要求 6.3.1、边界安全层面 在连接互联网的边界，我们要设置严格的安全措施与控制策略，比如：防火墙、路由器或者网闸等等。边界的安全设备必须有冗余，避免出现单点故障。 6.3.2、内部授权堡垒 运维人员通过边界安全设备之后，进入到堡垒机需要进过严格的身份验证和授权之后才能进入后台服务器，并且所有的操作应在堡垒机上做好监控记录。 6.3

23、.3、网络设备冗余 在日常的架构当中。我们的网络设备也是需要冗余的，而且需要对各重要的网段进行划分和隔离， 6.3.4、应用服务的冗余 应用服务器除了满足公司业务需求之外。还要考虑到冗余，避免出现单点故障 应用服务器必须关注、用户登陆角色、安全日志、系统日志、以及密码文件MD5校验、危险操作的提示（比如rm -rf等命令）、日常的漏洞扫描和巡检等等。 6.3.5、应用数据的冗余 数据安全除了满足需求以外。还的考虑到冗余，避免出现单点故障。 数据服务器必须关注：DB的权限分配、DB的漏洞扫描、DB进程和端口检测、DB集群复制的状态等等。 当然还包含了用户登陆角色、安全日志、系统日志、以及密码文件

24、MD5校验、危险操作的提示（比如rm -rf等命令）等 6.3.6、跨机房IDC的冗余 在日常的架构设计当中，我们除了主业务数据中心以外。还的建设异地的灾备数据中心，防止出现数据中心的单点故障，主-备数据中心数据必须保持实时一致。数据的同步方案可以使用双条专线来解决、VPN作为备用。 6.3.7、团队建设与人员冗余 随着业务的增加、运维团队也会扩增，运维人员之间必须相互冗余对方的工作，在严格的授权之下，避免某个人离职或者各种假期等等出现人员的单点故障。作为运维主管或者经理应该根据角色分配好工作以及人员的冗余。 6.3.8、产品的更新与回退 在产品上线之后，研发人员几乎80%的时间都在根据用户的

25、需求不断的完善上线后的产品，既然是不断完善，那么每周的产品更新也是不可避免的，为了防止无休止的更新，运维必须建立产品更新机制（比如每周定位 2 4为版本更新时间），当更新出现问题之后应该及时进行回退，保证现有的业务稳定运行！ 6.3.9、技术文档的积累与传承 技术实施的文档、可以让新来的运维兄弟快速的了解技术上的架构和业务。 故障文档积累、可以让我们极大的缩短处理重复问题的时间. 经验分享积累、可以增长我们的知识面、提高我们处理问题和学习的思路。 6.4.0、流程的重要性与沟通 建立各种运维流程以及跨部门的交互路程，可以使我们更加规范化，极大的减少各种重复性的工作以及规避各种风险的重要凭证。 6.4.1、7*24小时的故障服务支撑 运维团队对业务的7*24小时的支撑，可以保证业务不间断运行。