企业运维安全管理实践的9大领域

版权声明:本文为博主原创文章,遵循 CC 4.0 by-sa 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/anquanniu/article/details/96884292

运维安全作为企业安全保障的基石,特别是互联网企业,它不同于Web安全、移动安全、或者业务安全,因为运维安全位于最底层,或涉及到服务器、网络设备。基础应用等,一旦出现安全问题,会直接威胁到服务器的安全。而在企业日常运营中,运维安全事件的出现通常预示着这个企业的安全规范、流程有问题,这种情况下就会不止一台机器有同样的漏洞,会是一大片,甚至波及整个公司的核心业务。

分享6个经典的与运维安全相关的漏洞:

  • 一次成功的漫游京东内部网络的过程(由一个开发人员失误导致)
    首先研发人员将公司的代码发布到第三方代码托管平台,例如GitHub。
    其次代码的某些配置里面有发邮件的功能,并且调用了公司的邮箱。
    公司的邮箱与VPN的认证是互通的,且VPN没有双因素验证。
    恶意用户通过这个账号登陆了企业的VPN,从而达到漫游内网的过程。

  • 我是如何拿到高德7个vcenter和漫游内网的**
    首先研发人员将公司的代码发布到第三方代码托管平台,例如GitHub。
    其次代码的某些配置里面有发邮件的功能,并且调用了公司的邮箱。
    邮箱没有对通讯录遍历功能进行限制,导致遍历通讯录
    对所有的用户进行一次弱口令的洗劫(参考图一的弱口令),是用Burpsuite破解(简称:BP)
    得到一个运维或者运维组员工的邮箱,在邮件里面找到了明文密码.txt

  • 百度某站漏洞导致敏感信息泄露Getshell(涉及至少66W+的用户数据含密码可内网)

上线前没有进行安全检查,.git目录外泄
检出源代码,得到UC_KEY
利用UC_KEY得到webshell
通过webshell内网

  • 搜狐的zabbix,可导致内网渗透
    zabbix默认口令(admin/zabbix)
    执行正常命令测试命令执行模块
    执行恶意命令使服务器反连到你的机器
    得到zabbix权限的shell
    提权的提权,内网的内网

  • 558同城某业务多个站点存在弱口令导致Getshell(内网小漫游)

Tomcat业务manager模块存在并开启
配置了tomcat-users.xml,并且存在弱口令
上传war包得到webshell
提权的提权,内网的内网

  • 神器而已之奇虎360某站GETSHELL内网漫游到webscan了
    网站备份文件放在WEB根目录下,并且能被用户下载
    网站代码存在漏洞
    Shell之后漫游内网

在这里插入图片描述

运维管理实践一般包含以下9个内容:

1.信息安全治理与风险管理

2.物理安全

3.身份与访问控制管理

4.主机安全

5.通信与网络安全

6.灾难恢复计划与业务连续性

7.安全运营:部门角色及所承担责任

8.安全配置管理:安全上线步骤、数据泄露防护(DLP)脆弱性扫描与测试

9.运营安全参考标准与制度:包含ISO27001、行政性安全管理制度示例等内容

安全是一个整体,保证安全不在于地方有多强大,而是要找到自己薄弱的地方。不要片面对待安全,即认为不出安全事故就是天下太平,一定要有危机意识。

完整内容>>>>>运维安全管理必修课

课程地址:https://www.aqniukt.com/course/4502

展开阅读全文

安全管理实践

10-28

安全是一个广泛的主题,它涉及到许多不同的区域(物理设备、网络、系统平台、应用程序等),每个区域都有其相关的风险、威胁及解决方法。当我们讨论信息安全的时候,经常只关心黑客和操作系统的漏洞。尽管它们是安全的重要部分,但只是安全广义概念上的两个组件而已。rnrn对于连网的企业组织来说风险与威胁是没有终止的。信息安全是一个动态发展的过程,不仅仅是纯粹的技术,仅仅依赖于安全产品的堆积来应对迅速发展变化的各种攻击手段是不能持续有效的。信息安全建设是一项复杂的系统工程,要从观念上进行转变,规划、管理、技术等多种因素相结合使之成为一个可持续的动态发展的过程。rnrn绝对的信息安全是不存在的,每个网络环境都有一定程度的漏洞和风险。这种程度是可以接受的。信息安全问题的解决只能通过一系列的规划和措施,把风险降低到可被接受的程度,同时采取适当的机制使风险保持在此程度之内。当信息系统发生变化时应当重新规划和实施来适应新的安全需求。信息系统的安全往往取决于系统中最薄弱的环节 - 人。人是信息安全中最关键的因素,同时也应该清醒的认识到人也是信息安全中最薄弱的环节。rnrn我们经常听到这样令人感兴趣的信息:病毒、蠕虫造成了严重的破坏,黑客获取了信用卡的信息,大型网站主页被黑等等。可能人们普遍的认识是企业没有安装安全产品(如:防火墙、入侵检测系统、防病毒系统等)。这些问题很大程度上是安全管理没有有效实施造成的。安全管理是企业信息安全的核心。安全管理包括风险管理、安全策略和安全教育。这三个组件是企业安全规划的基础。风险管理识别企业的资产,评估威胁这些资产的风险,评估假定这些风险成为现实时企业所承受的灾难和损失。通过降低风险(如:安装防护措施)、避免风险、转嫁风险(如:买保险)、接受风险(基于投入/产出比考虑)等多种风险管理方式得到的结果来协助管理部门根据企业的业务目标和业务发展特点来制定企业安全策略。rnrn随着企业规模、业务发展、安全需求的不同,安全策略可能繁简不同。但是安全策略都应该简单明了、通俗易懂并直接反映主题,避免含糊不清的情况出现。信息安全策略是企业安全的最高方针,由高级管理部门支持,必须形成书面文档、广泛发布到企业所有员工手中,同时,要对所有相关人员进行安全策略的培训,对于有特殊责任人员要进行特殊的培训,使得安全策略能够真正在企业正常运营过程中得到贯彻、落实、实施。在安全规划中管理部门的支持是最重要的因素之一,仅仅是简单的点头同意是不够的。rnrn安全管理通过适当的识别企业的信息资产,评估信息资产的价值,制定、实施安全策略、安全标准、安全方针、安全措施来保证企业信息资产的完整性、机密性、可用性。rn 论坛

没有更多推荐了,返回首页