1、网络安全培训网络安全培训目录目录01网络安全团队及职责02网络安全管理要求03常见运维安全陋习04常见运维安全问题05考评与处罚2第一章第一章 信息安全管理信息安全管理-信息安全保障团队信息安全保障团队领导小组运营支撑部王寅良安全产品部融合通信产品部终端应用产品部开发平台产品部智慧互联产品部质量测试部北京业务支持中心成都业务支持中心各职能部门刘书林费硕成杨克导王健杨烨应方明李宽胡永军3第一章第一章 信息安全管理信息安全管理-工作职责工作职责系统上线前信息安全管理措施系统上线后信息安全管理措施实施帐号、认证、授权、审计集中管理机制实施系统上线前安全评估机制实施新技术新业务安全评估机制实施常态化安
2、全评估机制实施互联网暴露面资产报备机制实施重大事件安全保障机制1、面向集团公司、省公司及专业公司的系统,上线前需进行新技术新业务安全评估。1、针对重大事件制定专项保障方案,明确人员及责任分工1、每 周进行一21、自有生产及测试系统上线发布前需进行信息安全漏洞扫描1、通过4A平台实现帐号、认证、授权、审计集中管理工作次安全漏洞扫描1、按月统计新增暴露面资产,并上报集团公司2、运营支撑部牵头、安全产品部提供技术支撑,各产品部配合进行漏洞修复及复查2、运营支撑部牵头,安全产品部及产品部门配合完成安全评估工作2、保障期间加强安全评估频次,每周进行一次2、高、中危漏洞需修复后方可上线2、资产报备遵循全量
3、业务报备原则3、评估系统应依据评估结果进行安全漏洞修复,满足上线评估标准后方可上线2、权限分配遵循最小化原则3、每季度按部门3、定时向集团反进行安全漏洞通报馈安全状况4第二章第二章 信息安全管理要求信息安全管理要求1办公电脑使用要求办公电脑使用要求(1)台式机接入内网,用于代码开发;笔记本接入Internet,用于资料查询,严禁任意切换使用(2)桌面PC设备严禁用户随意打开机箱或者私自装拆零部件(3)所有的移动存储介质,在接入计算机系统时必须进行病毒、木马扫描(4)移动存储介质使用完毕后,应及时删除保存的数据电脑使用场景一:A: 我工作用的电脑发出报警声B:是吗?估计是硬件出了问题A:应该是,
4、我打算自己拆开机箱看看是否解决问题,你有工具吗?风险提示:B正确的做法:先咨询运营支撑部网络/系统管理人员,然后再进行处理私自拆开机箱修改硬件配置可能会造成:1.硬件损害2.保修失效3.数据泄密5第二章第二章 信息安全管理要求信息安全管理要求电脑使用场景二:A是厂商员工,B是公司员工,下面为他们的对话:A:B先生,麻烦借用你的U盘,我把产品资料拷贝给您。风险提示:B正确的做法:请稍等,我先检查一下U盘,确认无敏感信息后交给A在使用移动存储介质时应当留意介质上保存的信息,使用不当可能会造成:1.信息泄露2.病毒传输移动介质是造成目前病毒传播的途径之一6第二章第二章 信息安全管理要求信息安全管理要
5、求2软件使用要求软件使用要求(1)软件正版化要求办公计算机严禁安装未授权的软件,若需安装软件可联系运营支撑部网络/系统管理员确认是否有授权(2)必须安装如下软件: 杀毒软件 IE浏览器 SSL VPN office 软件(3)禁止安装如下软件: 非授权商业软件 游戏软件 股票软件 P2P下载软件 恶意软件7第二章第二章 信息安全管理要求信息安全管理要求3防病毒要求防病毒要求(1)避免访问非法站点非法站点病毒携带率非常高,并在上网时注意访问主流安全站点(2)禁止下载破解软件破解软件的病毒携带率居高不下,已经成为网络病毒传播的主要途径,请避免在互联网上下载破解软件,如需软件,请向运营支撑部网络/系
6、统管理员咨询是否有正版授权。(3)避免打开陌生人通过即时通讯工具传送的文件。有时候打开即时通讯工具传来的网址、来历不明的文件、就会导致网络病毒进入计算机。(4)谨慎打开陌生人的邮件和垃圾邮件,此类邮件携带病毒的可能性较大。(5)U盘使用前必须进行杀毒处理。通过拷贝携带病毒的U盘文件,可以感染个人计算机。8第二章第二章 信息安全管理要求信息安全管理要求4日常操作要求日常操作要求(1)停用不必要的操作系统用户,例如guest(2)杜绝弱密码。为使用的操作系统用户设置8-15位,且包含大小写、数字和特殊字符的密码(3)及时更新系统补丁,包括办公PC、笔记本(4)定期修改自己的用户密码,建议不超过3个
7、月(5)不要使用共享目录,不得随意设置共享文件夹(6)杜绝使用管理员账号运行相关服务,例如root(7)未经部门级领导审批,不得将敏感数据、核心代码透露给第三方或上传至互联网共享代码库,例如Github9第二章第二章 信息安全管理要求信息安全管理要求5IDC机房接入及公网映射要求机房接入及公网映射要求IDC机房接入要求:(1)生产机房必须使用4A系统进行接入认证。(2)开发测试机房必须使用VPN系统进行接入认证(3)远程桌面、SSH 、数据库等管理性服务不得开放公网访问公网映射要求:(4)遵循“内网访问为常态”原则,避免开放非必要公网映射。(5)按访问范围划分为:白名单系统和不限源系统10第二
8、章第二章 信息安全管理要求信息安全管理要求公网映射开通流程公网映射开通流程(1)白名单系统公网开通流程: 明确开通公网访问的系统IP和端口 明确IP白名单的范围 登录OSP系统填写工单,并提交 安全管理员进行定级备案、符合性评测、风险评估 安全管理员进行漏洞扫描 4、5通过后,网络管理员开通公网,否则给予驳回(2)不限源系统公网开通流程: 明确开通公网访问的系统IP和端口 明确是否可提供安全测试报告 登录OSP系统填写工单,并提交 如无法提供安全测试报告,将由责任部门领导签署风险责任书(附件2)、抄送公司分管领导 安全管理员进行定级备案、符合性评测、风险评估 安全管理员进行漏洞扫描 4、5、6
9、通过后,网络管理员开通公网,视情况进行主机网络隔离11第三章第三章 规避常见安全陋习规避常见安全陋习一、为什么我们运维重视安全?一、为什么我们运维重视安全?1、漏洞百出的软件供应链 struts2远程代码执行漏洞影响颇深。12第三章第三章 规避常见运维安全陋习规避常见运维安全陋习 openssl心脏滴血,跟S2漏洞一样,杀伤力极强。13第三章第三章 规避常见运维安全陋习规避常见运维安全陋习 xcode开发的ios app感染木马研究者发现AppStore上的TOP5000应用有76款被感染。后来发现罪魁祸首是开发人员从非苹果官方渠道下载xcode开发环境。14第三章第三章 常见运维安全陋习常见
10、运维安全陋习2、运维安全漏洞占比明显根据2016年CNVD的统计,可以发现明显属于运维安全问题的网络设备漏洞和操作系统漏洞,占比已超过20%,加上应用程序漏洞中包括的各种应用版本漏洞,相信归属于运维安全领域的漏洞比例将极其可观。15第三章第三章 常见运维安全陋习常见运维安全陋习3、运维安全漏洞利用性价比高针对运维安全漏洞的攻击属于典型的“一两拨千金”,其ROI非常高:投入小、容易发现与利用、造成危害特别大。根据微软的DREAD模型来衡量运维安全漏洞风险如下:16第三章第三章 常见运维安全陋习常见运维安全陋习三、常见运维安全陋习三、常见运维安全陋习运维安全事件频发,一方面固然是因为运维或安全规范
11、空白或者没有落地,另一方面也在于运维人员缺乏强烈的运维安全意识,在日常工作中存在这样那样的安全陋习导致。下面列出了14种坑,请注意规避:1、修改iptables后没有还原配置,甚至清空关闭iptables出于测试需要临时清空iptables可以理解,但是很多人会忘记还原,也没有设置自动还原机制。iptables -F2、脚本没有检查“*”、空格、变量如果我们认可“不光用户的输入是不可信的,自己的输入也是不可信”,这样的坑就会少踩。rm -rf /$var1/$var217第三章第三章 常见运维安全陋习常见运维安全陋习3、服务启动默认监听全部地址绝大部分应用默认配置便是如此,在没有有效访问控制的
12、清空下开启监听所有地址,离危险也就不远了。bind-address 0.0.0.04、给文件开放过大的权限时,任何人都能读写chmod 777 $dir | chmod 666 $script5、用root启动服务对于大多数运维人员而言,一上机器就切到root,后面用root启动服务仿佛一气呵成。chmod 777 $dir | chmod 666 $script18第三章第三章 规避常见运维安全陋习规避常见运维安全陋习6、嫌麻烦不配认证,也不配访问控制这个跟监听任意地址比较像,通常也是默认配置使然,使用者也没有意识去加固。#requirepass test7、单机安装docker之后忽略检查
13、iptables,导致docker修改iptables开放外网docker daemon默认是能控制宿主iptables的,如果docker daemon使用tcpsocket或者启动的容器可被外部访问,则连宿主一同沦陷也不在话下8、sudo授权过大,导致自定义脚本提权如果攻击者可修改脚本内容则提权易如反掌。sudo script.sh19第三章第三章 常见运维安全陋习常见运维安全陋习9、给开发或者QA授权root权限,他搞事你背锅?一直以来我们强调权限最小化,但是运维太忙,开发测试人员需求太多时,很多运维人员会直接授权他们root权限,而他们对系统级访问控制不甚了了,因此造成的漏洞非常“可观
14、”。10、key/token/ssh私钥保存在txt文件里,也有把个人ssh私钥放在服务器的oppro-app-01:/home/op$ls /.sshid_rsa id_rsa.pub11、把工作上的代码对外发布经常遇到实习生把项目代码提交github了,回复的理由是git配错了。git remote add origin https:/ pushorigin master20第三章第三章 常见运维安全陋习常见运维安全陋习12、使用home目录直接托管服务,至少.bash_history泄露是跑不了devpro-app-01:/home/dev$python -m HTTPSimpleSer
15、ver13、应用选型时没有考虑安全风险Apache Struts Version:Struts 2.5 - Struts 2.5.12 #线上业务使用受S2-052影响的S2版本14、对软件供应链安全没有概念目前比较运维人员中比较常见问题有: ssh客户端或者开发IDE从百度网盘下载 两眼一闭,把github/pypi/dockerhub等网站下载的应用/库/镜像直接用到生产环境 未清理默认口令或者默认配置21第四章第四章 常见的运维安全问题常见的运维安全问题前面谈到了运维操作上、思路上的一些陋习,或者安全意识不足的问题,下面结合漏洞分析和响应过的情况来看,常见的运维安全问题主要可分为下面几种
16、:1、敏感端口对外开放、敏感端口对外开放db或者cache属于敏感应用,通常部署在内网,但是如果部署的机器有内外网ip,且默认监听地址为0.0.0.0的话,则敏感端口会对外开放。如 MySQL /MongoDB / Redis / rsync / docker daemon api 等端口对外开放。2、敏感应用无认证、空口令或者弱口令、敏感应用无认证、空口令或者弱口令如果敏感应用使用默认配置,则不会开启认证,MySQL / MongoDB / Redis /rsync / supervisord rpc / Memcache 等应用无认证。有时贪图测试方便,配置了弱口令或空口令,则认证形同虚设
17、22第四章第四章 常见的运维安全问题常见的运维安全问题3、敏感信息泄露,如代码备份、版本跟踪信息、认证信息泄露、敏感信息泄露,如代码备份、版本跟踪信息、认证信息泄露web.tar.gz/backup.bak / .svn/.git / config.inc.php / test.sql 等信息泄露随处可见,人人知道危险,但是始终时不时会有人会踩坑。4、应用默认配置未清除、应用默认配置未清除jenkins script / apache server-status等默认功能未清理,可直接执行命令5、应用系统打开、应用系统打开debug模式模式Django debug模式开启暴露uri路径,php
18、info()暴露服务器信息甚至webroot等,之后攻击者便可借此进一步渗透,很多白帽子应当有此同感,发现了sql注入但是写不了webshell,如果能遇上个phpinfo()那是再好不过的事情了。23第四章第四章 常见的运维安全问题常见的运维安全问题6、应用漏洞未及时升级、应用漏洞未及时升级越是通用的应用,就越经常爆出漏洞。Struts2、OpenSSL、Apache、Nginx、Flash等等CVE接踵而来。7、权限管理松散、权限管理松散不遵循最小权限原则,给开发提供root权限或者给业务账号授权admin权限8、DDoS攻击攻击DDoS攻击对于运维人员而言,是再熟悉不过的安全问题了。我们
19、都知道通过占满带宽、耗尽资源等方式可让服务器无法响应正常请求,说到底是资源对抗的一种攻击方式24第四章第四章 常见的运维安全问题常见的运维安全问题9、流量劫持、流量劫持三种常见的流量劫持方式,这也是困扰运维安全人员多年的痼疾:arp劫持:ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的进行。基于ARP协议的这一工作特性,黑客向对方计算机不断发送有欺诈性质的ARP数据包,假冒目标IP进行ARP响应,从而实现中间人攻击。域名劫持:通过劫持掉域名的DNS解析结果,将HTTP请求劫持到特定IP上,使得客户端和攻击者的服务器建立TCP连接,而非和目标服务器直接连接。
20、HTTP劫持/直接流量修改:在数据通路上对页面进行固定的内容插入,比如广告弹窗等。25第四章第四章 常见的运维安全问题常见的运维安全问题总结与分析:总结与分析:前文剖析了问题所在,也是想从问题入手,通过纠正常见的安全陋习、培养良好的运维安全习惯,结合完整的运维安全技术体系,才是问题的出路。26第五章第五章 考评与处罚考评与处罚考核细则经核查认定,由个人或所负责业务产品存在安全漏洞原因,导致发生了影响公司网络安全或对外形象的信息安全事件,相关部门应做扣分处罚,处罚结果将纳入公司对各部门的考核:a)被公司内部通报的,减扣0.3-0.5分;b)被重特大客户投诉的,扣减0.5-0.8分;c)被集团公司通报的,扣减0.8-1.0分;d)被工信部、国资委通报的,扣减1.0-1.5分;若责任部门同时存在(a)、(b)、(c)、(d)问题,则累计扣分,但扣分总额不能超过2分27谢谢!谢谢!28