引子

公司的信息安全體系建設是每個安全從業人員，尤其是安全管理者所繞不過的工作內容;信息安全體系大多可分為信息安全管理體系，信息安全技術體系，以及信息安全運營體系三個主要體系。

信息安全技術體系是為了實現公司安全建設目標，對公司技術相應風險進行識別，并建立相應的安全技術措施，實現層級保護結構，保護信息資產，實現業務持續性發展。

正文

主機系統是信息系統的關鍵載體，系統安全是技術體系層級保護中比較重要的一環，如果系統配置不當可能會導致黑客利用系統漏洞進行攻擊，可能導致系統出現權限提升、非授權訪問、軟件或服務崩潰，病毒木馬等情況。

今天咱們就來聊一聊，關于系統安全的話題。

怎么做？

第一，應知道有什么？

根據公司的業務系統，確認系統的相應信息和需求;

如：在安裝操作系統時：

安裝什么系統？centos？ 還是windows？

系統是否需要配置自動更新？

是否一鍵化安裝？網絡安裝？還是本地安裝？

安裝的程序版本有什么要求？

生產環境還有沒什么要求？

是否最小化安裝？

第二，要知道我們該控什么？

根據需求，確認如何去做防控;

如：在安全策略方面考慮：

用戶是否通過堡壘機進行登陸？

采用什么方式進行驗證？是否采用動態口令進行登陸？如使用靜態口令，是否滿足密碼策略要求？

服務器帳號如何管理？是否通過授權，授權方式是什么？是否需要線上審批？ROOT用戶是否可以遠程登陸？

審計方面，是否有有效手段對登陸帳號進行審計？需要審計什么內容？是否防篡改？

第三，能為實現體系化搞點事情

多做一些，多走一步，一句話，最終就是為了實現安全遠景，也就是各位看官給老板們畫的大餅;

如：再加點其它想法：

云主機如何做？怎么進行標準化？

是否應該統一管理？補丁管理和變更管理怎么搞？

是否安裝其它安全agent，比如HIDS，為之后的安全事件管理平臺做做準備？

鏡像及安裝的程序是否安全可信？是否有自已的yum庫？是否專人維護？鏡像要不要參與制做一下？是否把安全agnet放進去？要不要順道做個流程出來？

筆者認為系統安全是整個信息安全技術體系中很重要的一個環節，當然也是縱深防御中不可缺的一層，需要合理的，有效的管理才行;

筆者建議系統安全的基本安全措施為：

規范化安裝，安全部門參與到鏡像制作，將安全配置加到鏡像中;

最小化安裝原則，關閉無用的端口及服務，減少攻擊畫;

動態口令登陸，使用堡壘機，增加安全審計;

安全配置腳本，同時修改相應提示信息，迷惑對手，增加威懾力;

安裝HIDS，發現異常，及時處理，提高應急響應能力;

及時更新補丁，補丁需要驗證及灰度后，要有補丁及變更流程;
責編AJX