[原]IT安全治理
IT信息安全来自四方面:
1、外部黑客
2、员工内鬼:IT部门人员、员工用户
3、内网病毒攻击
4、IT硬件损坏信息丢失
三个注意:
1、我不赞同在服务器上安装软件杀毒软件,往往存在应用软件文件被误杀或误阻拦的风险,使应用多莫名其妙报错
2、及时更新系统安全类补丁,但不要什么补丁都不更新。有些补丁的更新确实会引发遗留IT系统的报错,但安全类补丁的更新需要关注并尽量更新。
3、要从多层技术、组织/权责/流程/审批、定期检查多方面配套保证安全,单方面无法保证。
以下设置请大家自检,如发现风险请赶快改进。安全这个东西就是平时没啥事,但一出事就是斩首大事。
一、路由器
1、环境:IP地址限制、端口限制、访问协议限制
2、环境:安全补丁及时更新
3、环境:安装硬件防火墙
二、中间件安全
1、密码:管理员用户名强度、密码强度,禁止超级用户,禁止Guest用户
2、环境:安全补丁及时更新
3、环境:访问协议限制、访问端口限制
三、关系数据库
1、密码:管理员用户名强度、密码强度,禁止超级用户,禁止Guest用户
2、权限:管理员权限限制
3、备份:数据库每日差异备份/每周全备份、备份文件的安全保护
4、环境:安全补丁及时更新
5、环境:访问协议限制、访问端口限制
四、服务器操作系统
1、密码:管理员用户名强度、密码强度,禁止超级用户,禁止Guest用户
2、权限:管理员权限限制
3、权限:域管理模式
4、环境:安全补丁及时更新
5、环境:访问协议限制、访问端口限制
6、环境:服务器IP与公网IP尽量隔离不外暴露
7、环境:有限后台服务开启
五、文档
1、权限:共享目录权限限制
2、备份:文档异地定期备份、备份文件的安全保护
六、web型应用系统服务器端设置
1、密码:用户名强度、密码强度、验证码、密码失效期/强制重置、密码尝试次数限制
2、密码:集成登录模式
3、加密:用户数据、客户数据、敏感数据、财务数据加密存储
4、加密:HTTPS访问方式
5、限制:拒绝搜索引擎爬虫扫描
6、限制:录入特殊字符限制、URL传输数据特殊字符限制、JS代码不能泄露服务器端细节
7、限制:页面访问Session凭据
8、审计:用户权限可审计、定期审计、操作日志/核心数据变更日志留痕
七、客户端设置
1、网络:VPN接入
2、网络:内网访问IP与外网访问IP尽量隔离
2、登录:硬件密码卡、U盾
3、环境:安全补丁及时升级
4、环境:禁止安装各类非工作用软件,防止流氓插件,防止软件间互相影响
八、IT人员管理
1、职责:多个IT人员交叉持有各类管理员权限
2、职责:机房钥匙管理、机房视频管理
3、制度:禁止远程调试、远程跟踪、远程操控
4、制度:权限变更要建立审批备案制度
5、活动:IT人员离职审计管理
6、活动:用户离职关闭账户管理
7、活动:定期开展安全日志审计活动