标签：体系 登录 标准 信息安全 安全 密码 服务器 企业

随着我国企业信息化的普及，信息化给我国企业带来积极影响的同时，也带来了信息安全方面的消极影响。一方面信息化在企业发展的过程中，对节约企业成本和达到有效管理起到了积极的推动作用；另一方面伴随着全球信息化和网络化进程的发展，与此相关的信息安全问题也日趋严重。

由于我国中小企业规模小、经济实力不足以及企业领导者缺乏信息安全领域的知识、意识，导致一些企业的信息安全面临着风险，我国企业信息化进程已经步入普及阶段，解决我国企业的信息安全问题已经刻不容缓。数通畅联对于安全体系的建立是很重视的，后续的产品、方案演示环境都要进行测试，为此需要先确立安全体系的标准化。

1整体概述

传统的信息安全建设方法大都从单个系统出发，很少考虑整个组织的全局信息安全。但实际工作应该从组织整体出发，整体考虑所有系统，引入安全体系设计方法，合理搭建企业信息安全框架。

1.1安全体系

企业信息安全是以建立企业信息化空间可信环境与秩序作为发展目标的，不仅要保障数据系统安全，还要基于参与者主题“行为与内容”进行资源管理、认证及监控。因此，企业信息安全的重要任务是通过把企业内外部相互孤立的信息安全资源集中、整合起来，在一个安全框架内构成专门的管理、监管、认证、控制功能或职能，行成一个信息安全体系。

1.2安全规划

信息安全规划业务的主要工作包括：

1.信息安全策略的制定；

2.安全技术体系建立；

3.安全管理体系建立；

4.安全工程体系建立； 

5.持续改进阶段。 

1.3安全多样 

企业信息安全框架要考虑企业的多样性。企业类型的多样性决定了他们信息安全建设的重点和关注点也有所不同。企业根据生产方式不同至少可以分为三大类型：制造型企业、流通型企业、服务型企业。以制造型企业为例，企业信息化以生产制造业务为核心。信息安全的主要关注点是生产流程的可靠性与设计生产的一致性。因此，用一套框架或系统服务于所有行业、不同规模的企业是不科学也不现实的。但是我们可以提出基本核心要素及结构供不同的企业参考。 

2体系框架 

信息安全管理体系框架的基本要素分为：安全管理、安全运维、安全技术建设。 

2.1安全管理 

安全管理体系采用“设计、实施、检查、改进”的过程模式建立企业信息安全管理体系。这四个步骤成为一个闭环，通过环的不断运转使信息安全管理体系得到持续改进，使信息安全绩效螺旋上升。对应这四个步骤，企业信息安全管理视图可以包括以下流程：合规管理、信息安全管理、信息安全策略管理、风险评估管理。 

2.2安全运维 

安全运维体系在企业信息安全框架中是信息安全的系统功能视图，是企业信息安全目标的系统化分解、系统化运行的核心视图。在安全策略的指导下，安全组织利用安全技术来达成安全保护目标的过程。企业安全运维主要包括安全监控、事件响应、事件审计、外包服务等流程。 

2.3安全技术 

安全技术主要包括物理安全、基础架构安全、身份安全、数据安全、应用安全的技术机制和技术管理等流程。采用哪些安全技术，市场上有哪些工具可以使用，是企业信息安全管理者关心的问题。一般来说，可以按照从上到下信息流经的设备来部署工具，即从数据安全、终端安全、应用安全、主机安全、网络安全、物理安全六个方面来选择不同的安全工具。由于信息安全工具繁多，要按照“适度防御”的原则，综合采用各种安全工具进行组合，形成企业“适用的”安全技术防线。 

说了这么多宏观的内容，下面开始从环境安全和产品安全两部分进行分别介绍，从具体层面说明需要注意哪些安全配置。 

3环境安全 

IT技术可以说是一把双刃剑，为我们带来便捷的同时，也带来了威胁，网络安全问题就是其中之一。如今随着黑客技术的发展，服务器被攻击的事件屡见不鲜，如何保障服务器安全是运维界广泛关注的问题。下面为大家提供了六个维护服务器安全的技巧。 

3.1设置防火墙 

对服务器安全而言，开启防火墙是非常必要的手段。防火墙对于非法访问具有很好的预防作用，但开启防火墙并不等于服务器安全了。在开启防火墙后，你需要根据自身的网络环境，对防火墙进行适当地配置以达到最好的防护效果。 

注意：cetos7和cetos6防火墙操作方法不同，以下命令说明均是以cetos7为例。 

3.1.1配置样例 

firewall-cmd的所有命令，本质都是读写/etc/firewalld/zones下的对应文件，如public.xml、trusted.xml。zone指的是不同的安全区域（或者说安全级别），比如：home（家庭）、public（公共）、trusted（受信任的），我们只需要关心两个zone区域，public、trusted。 

3.1.2public.xml 

public.xml是公共网络配置，只需要开启端口或者服务即可，比如：ssh服务、dhcpv6-client服务，80、443端口。 

3.1.3trusted.xml 

trusted.xml是受信任网络配置，把ip白名单或者网段添加进来即可，比如：10.244.0.0/16网段（B级别网段，K8S容器集群ip网段），172.30.128.0/24（K8S物理服务器节点ip网段，通常是C级别网段，根据实际情况来调整）；10.23.237.71是单个特定要访问的ip地址（根据实际情况来调整）。 

配置样例如下： 

3.2服务端口 

服务器操作系统在安装时，会启动一些不需要的服务，这样会占用系统的资源，而且也会增加系统的安全隐患。对于一段时间内完全不会用到的服务器，可以完全关闭。对于期间要使用的服务器，也应该关闭不需要的服务，如Telnet等。另外，还要关掉没有必要开的TCP端口。 

3.3账号密码 

账号、密码保护可以说是服务器系统的第一道防线，目前网上大部分对服务器系统的攻击都是从截获或猜测密码开始。一旦黑客进入了系统，那么前面的防卫措施几乎就失去了作用，所以对服务器系统管理员的账号密码进行管理是保证系统安全的重要措施。 

把密码设置得复杂一点，如果您的密码足够复杂，非法分子就需要大量的时间来进行密码尝试，也许密码未破解完成，服务器就已经进入保护模式，不允许登陆。 

3.4定期备份 

为防止不能预料的系统故障或用户不小心的意外操作，必须对系统进行安全备份。除了对全系统进行每月一次的备份外，还应对修改过的数据进行每周一次的备份。同时，应该将修改过的重要系统文件存放在不同的服务器上，以便出现系统崩溃时(通常是硬盘出错)，可以及时地将系统恢复到正常状态。 

3.5安装补丁 

不论是Windows还是Linux，任何操作系统都有漏洞，要及时打上补丁避免漏洞被蓄意攻击利用，是服务器安全重要的保证之一。 

3.6监测日志 

通过运行系统日志程序，系统会记录下所有用户使用系统的情形，包括最近登录时间、使用的账号、进行的活动等。日志程序会定期生成报表，通过对报表进行分析，你可以知道是否有异常现象。 

4产品安全 

产品的安全性不管在什么时候都是很重要的事情，因为安全无论对个人，还是对企业来说是重中之重。产品在做好做精的道路上逐步完善，同时安全方面的升级加固也一直在逐步加深。下面就是公司为达到安全加固所做的一些措施。 

4.1XSS防注入 

XSS攻击通常指的是通过利用网页开发时留下的漏洞，以巧妙的方法注入恶意指令代码到网页。当动态页面中插入的内容含有这些特殊字符（如<）时，用户浏览器会将其误认为是插入了HTML标签，当这些HTML标签引入一段JavaScript脚本时，这些脚本程序就将会在用户浏览器中执行。所以当这些特殊字符不能被动态页面检查或检查出现失误时，就将会产生XSS漏洞。 

解决xss攻击是使用XssFilter拦截来解决，创建一个Filter类在web.xml配置拦截器，只要页面交互就走此XssRequestFilter类。类中会把请求的参数放到过滤方法中过滤掉特殊符号。 

4.2SQL防注入 

通过把SQL命令插入到Web表单，递交、输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令，来恶意篡改产品中重要的数据信息，导致信息丢失或受损，使企业受到不可避免的损失。 

产品中封装了入参类DataParam，所以在执行SQL入参时都会经过此类，所以在DataParam中封装了过滤方法，如果入参的类型中含有_like，就会把入参格式拼写成"%" + value + "%"样式，这样生成的SQL就是模糊查询格式。 

代码在sqlmap里模糊查询条件中书写格式如下： 

1. property中要“字段_like”； 

2. sql条件like后面要跟#字段_like#格式。 

4.3密码复杂化 

修改密码功能，在用户登录时判断该用户是否是首次登录，如果是首次登录需要提醒用户修改密码，然后跳到修改密码页面，并在页面添加密码校验功能，判断用户输入密码的强弱度并给出相应提示。 

4.4防上传攻击 

产品上传图片功能，需要指定文件后缀，如下图： 

4.5认证安全机制 

产品预置多种安全认证机制，包括账户密码、tokenId等方式。调用产品内置接口均需要配置IP白名单，如下图： 

4.6安全监控预警 

安全监控分为登录和服务流程调用二方面，当出现异常时，发送邮箱或短信报警。 

4.6.1登录报警 

登录报警包括如下： 

1.二次认证监管：IDM是统一身份管理系统，其中一个功能是统一认证，而有些特殊账户是非常敏感的，所以要有二次认证； 

2.异地登录监管：为了防止恶意攻击访问系统，我们要做到异地登录监控，如果不是本人登录，会另一个地点进行攻击访问，只有知道不是这个IP地址，就可以排查是否异地登录了，如果是就要进行报警提醒； 

3.异时登录监管：为了防止恶意攻击访问系统，我们要做到异地登录监控，如果不是本人登录，会在该用户不经常使用的时间段进行攻击访问，只要与平时访问时间段不一致，就可以排查是否异时登录了，如果是就要进行报警提醒； 

4.暴力登录监控：对连续出错的账户进行锁定，主要防止恶意入侵，防暴力破解、账户锁定； 

5.高频登录监控：相同IP特定账户短时间频繁登录监管提醒。高频登录和暴露登录类似，一个账户被短时间内频繁登录，也要有对应的措施和提醒机制。 

4.6.2服务报警 

服务报警会在ESB设计器开发、注册、代理、配置等服务接口调用出现异常后，根据重试策略、报警策略实现发送邮箱或短信报警。 

5总结收获 

文档的最后对自己本次的收获和后续工作进行总结，部门的工作才刚刚开始，希望在不断的梳理总结中，帮助自己不断的成长。 

5.1知识收获 

在写这篇文档时，我查询了很多资料，在已掌握的知识基础上又增加了新知识，比如安全体系、安全框架等。这些知识对我的帮助很大，可以帮助我提升自己的眼界，相信通过不断地思考学习，必定可以提高我的全局观。 

5.2后续工作 

后续公司产品逐渐完善，公司服务器也要部署全域POC、数据中台、技术底座3个演示环境，之后还会不断的完善POC环境，这时我们部门就要开始渐渐进入到自动化测试、压力测试，安全渗透、安全加固，智能化部署、智能化运维等工作。 

5.3最后总结 

通过制定、实施安全管理体系能够规范企业员工的行为，保证各种技术手段的有效实施，从整体上统筹安排各种软硬件，保证安全体系协同工作的高效、有序和经济性。 

安全管理体系不仅可以在信息安全事故发生后，及时采取有效的措施，来防止信息安全事故带来巨大的损失，更重要的是信息安全管理体系能够预防和避免大多数信息安全事件的发生。 

标签：体系,登录,标准,信息安全,安全,密码,服务器,企业
来源： https://blog.csdn.net/aeaiesb/article/details/122573183

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。