web安全 移动安全 运维安全 这些是企业需要格外重视的安全范围
概述
运维服务位于底层,涉及到服务器,网络设备,基础应用等,一旦出问题直接影响到服务器的安全。
安全对抗
安全攻防本身就是不平等的,防御是一个体系,而攻击者只需要找到一个点。
运维安全的态度
对于很多小公司对待安全漏洞的态度基本是 遇到一个问题,再解决一个问题,这种纯被动的态度无法保障运维的安全,只会像打地鼠一样疲于奔命。
而有一些互联网公司,安全运维的方式以从被动修补进入主动防御的阶段,
一个时候,对抗会集中在一些比较边缘的点。包括不常见的服务端口,依赖的第三方服务又或者是合作方的服务器安全漏洞等。
比如:
腾讯内部员工接私活 导致qq.com域服务器shell进入内网
腾讯某站配置不当 导致部分地区腾讯视频播放源损坏
安全规范
通常这些安全问题并非安全技术的缺陷,更多是安全规范、标准流程覆盖不全,如新业务 第三方业务 收购业务。本质是人的问题
但即使在安全规范和流程覆盖完全的情况下,在具体的执行也会出现一系列问题。安全规范和标准流程越多,越容易出现执行上的问题。
全球最黑的网络安全公司被黑,泄露400GB敏感数据,涉及多国政府
Hacking Team的安全工程师之一Christian Pozzi的个人浏览器账户中使用了类似Passw0rd这样的弱密码,看来员工安全意识真的是所有企业最薄弱的环节
安全运营
这个时候需要安全运营的介入,安全运营在戴明环中扮演的量C/A的角色,定期check安全规范、流程标准的执行情况,然后推动安全问题的Fix,找到根本原因,一方面不断的完善规范和流程,另一方面不断的提升运维安全的覆盖面
安全扫描
比较常见的就是安全扫描,通过定期扫描发现的问题,反推流程和规范的执行;当然,通过白帽子报告的漏洞,确定是流程和规范的原因后,进行反推也是一种有效的方式。
预警响应
在运维安全提醒建设到相对完善的情况下,通常情况下,企业是相对安全的。但是,一旦有新漏洞的出现(在国内,有exp发布的漏洞往往就等于新漏洞),拼的就是响应速度。
安全意识 与 编程中的安全规范
安全规范和标准可以落实到各个部门,以流程的方式强制执行。但是运维人员安全意识的问题,很难进行控制。
最简单的就是弱口令,弱口令,弱口令!
以下推荐一篇之前的好文
程序员如何避免故障?
云计算时代的运维与安全
运维平台渗透&PPTV安全架构
参考资料