安全运维学习笔记

一、

1、以资产和平台为目标，明确监控数量和监控维度

    1.1、管理入口、数据区、接口、网络边界和DMZ，这些都是必须重点监控的

    1.2、以管理入口为例：IP绑定，前后台分离，后台验证码、登录监控、IP白名单、二次验证机制、httponly+hash（预防CSRF or XSRF）、登陆凭证单IP锁定，多地登陆告警、异地登陆手机验证、访问行为学习监控、众测和SRC等

 

2、综合考虑现有资源，选择合适的巡检方案

    2.1、能自动化的，一定不要手动。能用一个shell脚本解决的，不要扯框架

    2.2、人工渗透检测的成本一定要严格控制，非核心、非新业务、不建议
    
3、定制巡检规范和反馈机制，打通部门之间的安全信息通路

 

二、被动式安全-安全监控

1、安全监控策略（分而治之）

 1.1多点监控往往比单一监控，更能有效捕捉到异常行为

         虚假bash，捕捉黑阔

         虚假数据库，防脱库

         特制业务蜜罐，保护核心业务平台安全

1.2 网络流量旁路分析+主机监控+容器监控+数据监控+蜜罐+统一接口监控=>完整的数据流监控

 

三、监控平台选择

1、开源

        OSSIM（分析功能强，但是友好度不够）

        OSSEC（HIDS好用）

        Suricata（强）

        HoneyDrive（蜜罐全家桶）

2、闭源

        安全够服云（主机监控+WAF+攻击链智能分析+预警+攻防情报+扩平台+跨边界+巡检+人工服务+物美价廉）

3、造轮子

         后期成本低于其它方案。也是许多互联网企业的选择。可定制性高。要想全权掌控和高度定制化以及和别的部门交互，这是唯一的选择

 

四、安全部署

1、建立安全模板和基线

2、上线前的渗透测试和安全审计

3、统一部署策略，做好系统监控和业务监控，业务下线，统一销毁，业务策略隔离，避免由业务活动导致的安全策略BYPASS
 

五、建立安全模板与安全基线

1、每一种应用、服务、系统、都有针对性的安全检测清单（checklists）。主要涵盖下面三个方面的检测

    1.1、该项之前是由针对性的应用漏洞存在

    1.2、该项配置是否符合特定的安全要求

    1.3、该项应用当前的状态指标

2、checklists需要不断的累计和调整，以适应不同的生产环境和安全需求，最后将其脚本自动化

3、或者使用可定制化安全模板的，安全软件：“比如服务器安全狗，从安全体检到基线修复到最后的权限加固，全程自动化