[原]IT安全治理

标签: | 发表时间:2014-03-27 22:06 | 作者:david_lv
出处:http://blog.csdn.net/david_lv

IT信息安全来自四方面:
1、外部黑客
2、员工内鬼:IT部门人员、员工用户
3、内网病毒攻击
4、IT硬件损坏信息丢失


三个注意:
1、我不赞同在服务器上安装软件杀毒软件,往往存在应用软件文件被误杀或误阻拦的风险,使应用多莫名其妙报错


2、及时更新系统安全类补丁,但不要什么补丁都不更新。有些补丁的更新确实会引发遗留IT系统的报错,但安全类补丁的更新需要关注并尽量更新。


3、要从多层技术、组织/权责/流程/审批、定期检查多方面配套保证安全,单方面无法保证。


以下设置请大家自检,如发现风险请赶快改进。安全这个东西就是平时没啥事,但一出事就是斩首大事。


一、路由器
1、环境:IP地址限制、端口限制、访问协议限制
2、环境:安全补丁及时更新
3、环境:安装硬件防火墙


二、中间件安全
1、密码:管理员用户名强度、密码强度,禁止超级用户,禁止Guest用户
2、环境:安全补丁及时更新
3、环境:访问协议限制、访问端口限制


三、关系数据库
1、密码:管理员用户名强度、密码强度,禁止超级用户,禁止Guest用户
2、权限:管理员权限限制
3、备份:数据库每日差异备份/每周全备份、备份文件的安全保护
4、环境:安全补丁及时更新
5、环境:访问协议限制、访问端口限制


四、服务器操作系统
1、密码:管理员用户名强度、密码强度,禁止超级用户,禁止Guest用户
2、权限:管理员权限限制
3、权限:域管理模式
4、环境:安全补丁及时更新
5、环境:访问协议限制、访问端口限制
6、环境:服务器IP与公网IP尽量隔离不外暴露
7、环境:有限后台服务开启


五、文档
1、权限:共享目录权限限制
2、备份:文档异地定期备份、备份文件的安全保护


六、web型应用系统服务器端设置
1、密码:用户名强度、密码强度、验证码、密码失效期/强制重置、密码尝试次数限制
2、密码:集成登录模式

3、加密:用户数据、客户数据、敏感数据、财务数据加密存储
4、加密:HTTPS访问方式
5、限制:拒绝搜索引擎爬虫扫描

6、限制:录入特殊字符限制、URL传输数据特殊字符限制、JS代码不能泄露服务器端细节

7、限制:页面访问Session凭据
8、审计:用户权限可审计、定期审计、操作日志/核心数据变更日志留痕


七、客户端设置
1、网络:VPN接入

2、网络:内网访问IP与外网访问IP尽量隔离

2、登录:硬件密码卡、U盾
3、环境:安全补丁及时升级
4、环境:禁止安装各类非工作用软件,防止流氓插件,防止软件间互相影响



八、IT人员管理
1、职责:多个IT人员交叉持有各类管理员权限
2、职责:机房钥匙管理、机房视频管理

3、制度:禁止远程调试、远程跟踪、远程操控

4、制度:权限变更要建立审批备案制度

5、活动:IT人员离职审计管理
6、活动:用户离职关闭账户管理
7、活动:定期开展安全日志审计活动

作者:david_lv 发表于2014-3-27 14:06:06 原文链接
阅读:128 评论:1 查看评论

相关 [it 安全 治理] 推荐:

[原]IT安全治理

- - 阿朱=行业趋势+开发管理+架构
2、员工内鬼:IT部门人员、员工用户. 1、我不赞同在服务器上安装软件杀毒软件,往往存在应用软件文件被误杀或误阻拦的风险,使应用多莫名其妙报错. 2、及时更新系统安全类补丁,但不要什么补丁都不更新. 有些补丁的更新确实会引发遗留IT系统的报错,但安全类补丁的更新需要关注并尽量更新. 3、要从多层技术、组织/权责/流程/审批、定期检查多方面配套保证安全,单方面无法保证.

数据治理(Data Governance)

- - ITeye博客
数据治理是指从使用零散数据变为使用统一主数据、从具有很少或没有组织和流程治理到企业范围内的综合数据治理、从尝试处理主数据混乱状况到主数据井井有条的一个过程. 数据治理其实是一种体系,是一个关注于信息系统执行层面的体系,这一体系的目的是整合IT与业务部门的知识和意见,通过一个类似于监督委员会或项目小组的虚拟组织对企业的信息化建设进行全方位的监管,这一组织的基础是企业高层的授权和业务部门与IT部门的建设性合作.

谁更安全?

- iceman.yu - 比特客栈的文艺复兴
原文:The triumph of coal marketing – Seth Godin. 翻译+整理:David Frank. 你对核能发电是不是也有一些看法. 相比其他的发电方式,它们谁更安全. 数据来自这里,图片来自这里,上图是一幅毫不夸张的数据简化图. 同样的发电量,每当核能发电误杀一个人,煤炭发电会导致4,000人的死亡.

网络安全

- - CSDN博客系统运维推荐文章
1、防止入侵者对主机进行ping探测,可以禁止Linux主机对ICMP包的回应.  iptables 防火墙上禁止ICMP应答.  关闭不必要的端口,时常检查网络端口情况.  nmap  可以扫描端口.  关闭不必要的服务和端口.  为网络服务指定非标准的端口.  开启防火墙,只允许授权用户访问相应的服务端口.

安全机制

- - 开源软件 - ITeye博客
ActiveMQ中所有安全相关的概念都是通过插件的形式实现的.这样可以通过ActiveMQ的XML. 配置文件的元素来简化配置和自定义安全认证机制.ActiveMQ提供两种认证方式:.     简单认证插件 -- 直接通过XML配置文件或者属性文件处理认证.     JAAS认证插件 -- 实现了JAAS API,提供一种更强大的可自定义的认证解决方案.

Memcached安全性

- - xiaobaoqiu Blog
1.Memcached -l参数. 1.Memcached -l参数. 最近整理了组内使用的Memcached. 发现很多问题,其中一个问题就是开发机器测试机器可以直连线上的Memcached. 这也是memcached公认的问题:memcached 是一种很简单、有效的协议,但也有其缺点,就是 memcached 自身没有 ACL 控制(或者相当弱).

sessionId安全性

- - 互联网 - ITeye博客
session id 安全性问题. 最一般的方法是自己管理session id. 用户login后,在后台加密出一个accessToken,并返回给用户. 客户端接收到accessToken,可以将它存起来,web的话可以存在session storage,手机也可以保存accessToken,用于单点登录.

企业治理的绩效之谜

- - 《商业价值》杂志
更强大的企业治理是否带来了更好的公司绩效. 2012年是企业治理领域具有重大意义的一年. 2012年正好是英国《凯德伯瑞报告》发布20周年和美国《萨班斯-奥克斯利法案》颁布10周年. 两起事件都体现了具有里程碑意义的发展. 《凯德伯瑞报告》指导公司与利益相关者尤其是股东之间的相互交往,是这一领域首次出版发行的重要法则.

[原]简单说说服务治理

- - yangfei的私房菜
一般在系统比较小或者业务初期,传统的系统就是一个单机的J2EE,分为DB层、业务层、接入层. 这种结构在较小项目或者初期能够满足绝大部分需求,但是随着业务量或者用户量的增加,发现这种原始结构以及无法满足,可能是业务层的业务逻辑过重,也可能是用户规模的扩大,导致单机已经无法满足. 因此需要进行分布式拆分,一般都会想到按照业务模型,将业务层拆分成各个模块,分别部署,各个模块之间通过RPC之类的协议调用.

如何成功实现数据治理

- - IT瘾-bigdata
如果你处理过大量数据,你也许听说过 “数据治理”一词,你可能会想, 它是什么. 简单来说, 数据治理就是处理数据的策略——如何存储、访问、验证、保护和使用数据. 数据治理包括制定获取方案:谁能访问、使用和共享你的数据. 这些问题正变得越来越重要, 因为企业依靠收集、存储和分析大量数据,来达成业务目标.