安全工具库主要是在日常企业安全运维的时候,常用的工具,如lsof隐蔽文件发现,SATAN系统弱点发现工具还包括内核升级脚本、OpenSSL升级脚本等。
不安全信息源
企业必须建立自己的不安全信息源,做到系统漏洞、病毒等实时获取信息并且对于官方或是社区补丁能够及时获取到。在讲不安全信息源之前,首先大概总结一下常见的安全威胁:扫描、木马、Dos/DDoS、病毒、IP欺骗、ARP欺骗、网络钓鱼、僵尸网络、跨站脚本攻击、缓冲区溢出攻击、SQL注入、密码暴力破解等等方式,这里不逐一深入分享。但是我们可以根据不安全威胁的种类建立信息源收集渠道,做到对国内外安全漏洞等不安全信息及时获取,及时升级补救。
三、安全左右手
如果说网络区域划分、安全软硬件构筑起企业信息安全的躯干,那么监控和灾备则属于安全体系的左右手。
监控
通过监控及时获取服务器系统负载、可疑文件、重要文件修改历史、网络流量等从网络、文件、系统等方面判断系统是否正在遭受威胁。
目前我们主要从以下几个方面判断系统是否正在遭受攻击:
◆ 系统负载是否突然陡增
◆ 扫描系统是否存在可以文件
◆ 系统重要文件最近修改历史
◆ 可疑用户登陆信息
◆ 网络流量是否异常
通过以上几个方面,结合Zabbix和自编脚本,进行系统及时的判断甄别,避免对系统和数据造成更大的损失。
灾备
所谓留一手,就是系统安全遭受威胁而又无法及时解决的时候,可以利用备份信息和恢复脚本快速的组建新的系统和服务恢复数据,进行正常服务的提供。
任何应用、数据库等都必须建立健全备份恢复制度,并且定期进行演练确保备份是准确可用的。在系统遭受威胁、勒索的时候,而又难以解决,正好利用备份集进行恢复,为系统提供持续服务。
监控、灾备与安全共同构成运维管理平台的三大主题,相互配合,共同为企业的IT系统提供安全稳定的保障。
四、不安全时事件处理
不安全事件的处理流程一般遵循以下流程:第一步,隔离感染遭受威胁的主机。进行网络的安全隔离,以防止感染其它服务器或是IT设备。
进行隔离之后,需要进一步排查,排查主要部分:排查感染主机感染源或是病毒并且就传播方式进行判定;排查同一网段是否有其他潜在的主机遭受感染。
排查完毕后,确定感染主机的确切数量,接下来进行寻找补丁库,及时打补丁,升级系统,恢复主机至正常。在短时间内无法确认主机源又不好解决,找不到补丁库时,应该采用备份集对感染主机上的服务和数据进行恢复,为系统提供持续的服务。对于被感染的主机,在不确定感染方式和影响范围的情况下,一般采用直接格机重装的方式,彻底消除危险,然后重新进行系统安装和重新上线。
必须在企业内部建立完善的不安全事件处理流程,包括事前防范、事中处理、事后汇报、总结的方式,不断完善企业内部的安全管理规范和流程,做到提前防范、遇事不慌。
总结
安全管理是一个持续运营的过程,更多的时候,我们以安全运营代替安全管理,主要突出运营。不能因为各种安全设备、防护策略做好后就高枕无忧。安全管理必须不断持续学习,时时关注,从各个方面、各个角度运营企业的安全设备和系统,保障企业的系统、数据安全不受侵犯。
