IT信息安全来自四方面:1、外部黑客2、员工内鬼:IT部门人员、员工用户3、内网病毒攻击4、IT硬件损坏信息丢失三个注意:1、我不赞同在服务器上安装软件杀毒软件,往往存在应用软件文件被误杀或误阻拦的风险,使应用多莫名其妙报错2、及时更新系统安全类补丁,但不要什么补丁都不更新。有些补丁的更新确实会引发遗留IT系统的报错,但安全类补丁的更新需要关注并尽量更新。3、要从多层技术、组织/权责/流程/审批、定期检查多方面配套保证安全,单方面无法保证。
以下设置请大家自检,如发现风险请赶快改进。安全这个东西就是平时没啥事,但一出事就是斩首大事。一、路由器1、环境:IP地址限制、端口限制、访问协议限制2、环境:安全补丁及时更新3、环境:安装硬件防火墙二、中间件安全1、密码:管理员用户名强度、密码强度,禁止超级用户,禁止Guest用户2、环境:安全补丁及时更新3、环境:访问协议限制、访问端口限制三、关系数据库1、密码:管理员用户名强度、密码强度,禁止超级用户,禁止Guest用户2、权限:管理员权限限制3、备份:数据库每日差异备份/每周全备份、备份文件的安全保护4、环境:安全补丁及时更新5、环境:访问协议限制、访问端口限制四、服务器操作系统1、密码:管理员用户名强度、密码强度,禁止超级用户,禁止Guest用户2、权限:管理员权限限制3、权限:域管理模式4、环境:安全补丁及时更新5、环境:访问协议限制、访问端口限制6、环境:服务器IP与公网IP尽量隔离不外暴露7、环境:有限后台服务开启五、文档1、权限:共享目录权限限制2、备份:文档异地定期备份、备份文件的安全保护六、web型应用系统服务器端设置1、密码:用户名强度、密码强度、验证码、密码失效期/强制重置、密码尝试次数限制2、密码:集成登录模式
3、加密:用户数据、客户数据、敏感数据、财务数据加密存储4、加密:HTTPS访问方式5、限制:拒绝搜索引擎爬虫扫描
6、限制:录入特殊字符限制、URL传输数据特殊字符限制、JS代码不能泄露服务器端细节
7、限制:页面访问Session凭据8、审计:用户权限可审计、定期审计、操作日志/核心数据变更日志留痕
七、客户端设置1、网络:VPN接入
2、网络:内网访问IP与外网访问IP尽量隔离
2、登录:硬件密码卡、U盾3、环境:安全补丁及时升级4、环境:禁止安装各类非工作用软件,防止流氓插件,防止软件间互相影响八、IT人员管理1、职责:多个IT人员交叉持有各类管理员权限2、职责:机房钥匙管理、机房视频管理
3、制度:禁止远程调试、远程跟踪、远程操控
4、制度:权限变更要建立审批备案制度
5、活动:IT人员离职审计管理6、活动:用户离职关闭账户管理7、活动:定期开展安全日志审计活动
