写点什么

Linux 系统安全(四):组织和管理如何保障系统安全?

  • 2019-08-20
  • 本文字数:1996 字

    阅读完需:约 7 分钟

Linux系统安全(四):组织和管理如何保障系统安全?

要保障信息安全和系统安全,除了有必要技术手段的支持以外,还要考虑组织和管理的因素,也就是人和流程与制度的因素。

加强安全意识培训

在造成信息泄露的事件中,有一定比例是由组织内部人员的安全意识缺失导致的。例如,据澎湃新闻报道“江西省景德镇市政府信息公开网 曾于 2017 年 10 月 31 日发布了《第二批大学生一次性创业补贴公示》(信息索取号:H00140-0403-2017-0077),公示单位为景德镇市劳动就业服务管理局,责任部门为景德镇市人力资源和社会保障局。其中,可供公众下载的文件公布了学生姓名、完整身份证号以及联系电话等。”应对这种问题的方式是对全员进行信息安全意识培训,使所有人都参与到信息安全建设中,提高防御信息泄露的能力。而覃某胜利用其在某大型银行内部任职技术岗位职务便利在总行服务器植病毒获利的案例则暴露了组织在安全管理和流程上的漏洞。


在高级持续性威胁(Advanced Persistent Threat,APT)中,通过社会工程方式发送钓鱼邮件是黑客组织最常用的攻击手段。这种以钓鱼邮件为载体的攻击,又被称为“鱼叉攻击”(Spear phishing)。随着社会工程攻击手法的日益成熟,邮件几乎真假难辨。从一些受到高级持续性威胁攻击的大型企业可以发现,这些企业受到威胁的关键因素都与普通员工遭遇社会工程的恶意邮件有关。黑客刚一开始,就是针对某些特定员工发送钓鱼邮件,以此作为使用高级持续性威胁手法进行攻击的源头。例如,臭名昭著的高级持续性威胁组织 OceanLotus(海莲花)在近 60%的攻击中都是将木马程序作为电子邮件的附件发送给特定的攻击目标,并诱使目标打开附件。


一个典型的钓鱼邮件攻击的流程如图 1-6 所示:



图 1-6 典型的钓鱼邮件攻击的流程


被截获的部分钓鱼邮件附件如下图所示:



图 1-7 部分钓鱼邮件附件


如图 1-6 所示,在一个典型的钓鱼邮件攻击中,黑客可以通过一封看似正常但却极具伪装性和迷惑性标题和附件(如图 1-7 所示)的邮件就可以让用户个人电脑或者服务器失陷。因此,我们要持续教育和告诫员工,不得打开未知来源和与工作无关的邮件,特别是不要被具有诱惑性标题的邮件所迷惑。另外,在发现钓鱼邮件时,要及时通知安全管理员介入调查。

特别注意弱密码问题

根据笔者在应急大量安全事件中得到的经验,弱密码问题是导致众多安全事件的罪魁祸首。同样,在 360 发布的《2018上半年勒索病毒趋势分析》中也指出,从 2016 年下半年开始,随着 Crysis/XTBL 的出现,通过 RDP 弱口令暴力破解服务器密码人工投毒(常伴随共享文件夹感染)逐渐成为主角。到了 2018 年,几个影响力最大的勒索病毒几乎全都采用这种方式进行传播,这其中以 GlobeImposter、Crysis 为代表,感染用户数量最多,破坏性最强。由此可知,很多时候,黑客入侵并不需要高超的技术能力,他们仅仅通过弱密码这个入口突破就可以拿下整个企业整个信息基础设施。因此,组织应该特别注意弱密码问题。


注意

组织应该教育员工,在任何环境任何系统中都不能使用弱密码,包括测试机器、测试账号等,因为:

(1)这些环境和系统中也可能存储了极其重要的数据,例如源代码、测试库数据和表结构等;

(2)这些环境和系统中的弱密码设置可能会通过发布系统等将风险传递到其他重要服务器上,例如生产服务器。此时,风险将被放大且不容易被自我发现。

明令禁止使用破解版软件

破解版软件也成为众多木马和病毒的载体,而安装了这些载有恶意代码的破解版软件后,可能会直接突破网络边界上的安全控制,直接影响服务器和数据的安全。对于服务器管理和操作软件来说,使用破解版的风险尤其严重。例如,360 终端安全实验室在 2018 年 11 月 20 日发布的《警惕!Oracle数据库勒索病毒RushQL死灰复燃》中指出,RushQL 数据库勒索病毒的大规模爆发,正是由于很多数据库管理员下载使用了破解版 Oracle PL/SQL 而导致 Oracle 数据库被锁定。同样,在 2012 年 1 月份爆发的“汉化版”PuTTY、WinSCP、SSHSecure 工具内置黑客后门导致 3 万多台服务器系统用户名和密码被传送到黑客服务器上的事件 ,也再次说明了在组织内禁止使用所谓“汉化版”“破解版”软件的重要性和紧迫性。

组建合理的安全组织结构

在中大型互联网公司中,一般会有首席安全官(Chief Security Officer,CSO)直接负责公司的整体安全事宜。在这种组织架构中,安全事项由较高职位的管理层直接负责,对于推动安全策略的制定和实施是强有力的保障。


在小型互联网公司中,服务器安全一般由运维总监兼管,这种情况下,安全制度的推行一般都会受到一些挑战,这些挑战来自于研发和测试、业务等干系人。


解决这些挑战的方式是:


  • 通过公司管理层,对运维总监进行书面授权,确认其承担安全建设的责任并授予其制定安全制度和在全公司实施的权力;同时要求各类干系人予以积极配合。

  • 运维总监可以通过正式和非正式的沟通和干系人就安全目标达成一致,然后逐步实施安全策略。


本文内容来自作者图书作品《Linux 系统安全:纵深防御、安全扫描与入侵检测》,点击购买


2019-08-20 09:207108

评论

发布
暂无评论
发现更多内容

嘉为鲸眼可观测中心解决方案获评信通院可观测性优秀案例优秀级

嘉为蓝鲸

自动化运维 嘉为蓝鲸

测试开发 | Java 接口自动化测试首选方案:REST Assured 实践 (一)

霍格沃兹测试开发学社

TiDB 在安信证券资产中心与极速交易场景的实践

PingCAP

TiDB

火山引擎DataTester“智能发布”:覆盖产品研发、测试、上线全流程,一站式智能管理A/B实验

字节跳动数据平台

大数据 AB testing实战 企业号 2 月 PK 榜

如何通俗理解信创国产化是什么意思?有哪些系统?有什么意义?

行云管家

信创 堡垒机 国产操作系统

Flutter 生成运行小程序的混合App开发实践

FinFish

flutter 移动开发 小程序技术 混合app

袋鼠云数栈UI5.0焕新升级,全新设计语言DT Design,更懂视觉更懂你!

袋鼠云数栈

大数据 UI

关于飞桨PaddlePaddle

飞桨PaddlePaddle

paddle 开源 飞桨

君子动手不动口,FinClip 喊你做超级体验官啦!

FinClip

BI 仪表板/数据可视化大屏最全面的设计流程梳理

搞大屏的小北

需求分析 业务场景分析 BI 分析工具 可视化数据 BI 报表

YOLOv8来啦!YOLO内卷期模型怎么选?9+款AI硬件如何快速部署?深度解析

飞桨PaddlePaddle

paddle yolo 飞桨

量化合约系统开发源码技术搭建丨合约量化系统开发Python成熟代码

I8O28578624

如何在flutter中运行微信小程序

Onegun

flutter 小程序

测试开发 | 接口自动化测试框架 RESTAssured 实践(三):对 Response 结果导出

霍格沃兹测试开发学社

ONES 通过国内最权威信息安全等级认证——等保三级

万事ONES

那些爆火的小游戏你都玩过吗?

没有用户名丶

小程序游戏

面试必备多线程&高并发通关手册(面试+源码+脑图)

小小怪下士

Java 程序员 面试 多线程 高并发

华为云MRS支持lakeformation能力,打造一站式湖仓,释放数据价值

华为云开发者联盟

大数据 后端 华为云 企业号 2 月 PK 榜 华为云开发者联盟

关于Zebec生态的改进提案,以及即将上线的 Nautilus 链

股市老人

高性能图像处理的新利器——FlyCV

飞桨PaddlePaddle

paddle 飞桨 flycv

如何用一套代码运行跨多操作系统应用

HarmonyOS开发者

HarmonyOS

云图说丨初识云应用引擎CAE

华为云开发者联盟

云计算 后端 华为云 企业号 2 月 PK 榜 华为云开发者联盟

Redis 异步客户端选型及落地实践

京东科技开发者

redis Jedis 客户端 集群库 企业号 2 月 PK 榜

测试开发 | REST Assured 实践(二):断言实现

霍格沃兹测试开发学社

接口自动化测试 | JsonPath 与 Mustache 请求传参的模板化技术

霍格沃兹测试开发学社

换个角度理解计算机网络,搭建计网知识框架

Java全栈架构师

程序员 面试 计算机网络 架构师 tcpip

深圳双机热备软件厂商哪家好?咨询电话多少?

行云管家

高可用 系统故障 双机热备

企业如何实现良好的告警管理流程?

嘉为蓝鲸

告警管理 自动化运维 嘉为 嘉为蓝鲸

落地DevOps的三要素

老张

DevOps 软件工程 研发效能 交付质量

舞台LED显示屏使用禁忌

Dylan

LED显示屏 全彩LED显示屏 led显示屏厂家

Linux系统安全(四):组织和管理如何保障系统安全?_软件工程_胥峰_InfoQ精选文章