企业运维安全管理实践的9大领域

运维安全作为企业安全保障的基石,特别是互联网企业,它不同于Web安全、移动安全、或者业务安全,因为运维安全位于最底层,或涉及到服务器、网络设备。基础应用等,一旦出现安全问题,会直接威胁到服务器的安全。而在企业日常运营中,运维安全事件的出现通常预示着这个企业的安全规范、流程有问题,这种情况下就会不止一台机器有同样的漏洞,会是一大片,甚至波及整个公司的核心业务。

分享6个经典的与运维安全相关的漏洞:

  • 一次成功的漫游京东内部网络的过程(由一个开发人员失误导致)
    首先研发人员将公司的代码发布到第三方代码托管平台,例如GitHub。
    其次代码的某些配置里面有发邮件的功能,并且调用了公司的邮箱。
    公司的邮箱与×××的认证是互通的,且×××没有双因素验证。
    恶意用户通过这个账号登陆了企业的×××,从而达到漫游内网的过程。
  • 我是如何拿到高德7个vcenter和漫游内网的
    首先研发人员将公司的代码发布到第三方代码托管平台,例如GitHub。
    其次代码的某些配置里面有发邮件的功能,并且调用了公司的邮箱。
    邮箱没有对通讯录遍历功能进行限制,导致遍历通讯录
    对所有的用户进行一次弱口令的洗劫(参考图一的弱口令),是用Burpsuite破解(简称:BP)
    得到一个运维或者运维组员工的邮箱,在邮件里面找到了明文密码.txt
  • 百度某站漏洞导致敏感信息泄露Getshell(涉及至少66W+的用户数据含密码可内网)
    上线前没有进行安全检查,.git目录外泄
    检出源代码,得到UC_KEY
    利用UC_KEY得到webshell
    通过webshell内网
  • 搜狐的zabbix,可导致内网***
    zabbix默认口令(admin/zabbix)
    执行正常命令测试命令执行模块
    执行恶意命令使服务器反连到你的机器
    得到zabbix权限的shell
    提权的提权,内网的内网
  • 558同城某业务多个站点存在弱口令导致Getshell(内网小漫游)
    Tomcat业务manager模块存在并开启
    配置了tomcat-users.xml,并且存在弱口令
    上传war包得到webshell
    提权的提权,内网的内网
  • 神器而已之奇虎360某站GETSHELL内网漫游到webscan了
    网站备份文件放在WEB根目录下,并且能被用户下载
    网站代码存在漏洞
    Shell之后漫游内网

运维管理实践一般包含以下9个内容:

1.信息安全治理与风险管理
2.物理安全
3.身份与访问控制管理
4.主机安全
5.通信与网络安全
6.灾难恢复计划与业务连续性
7.安全运营:部门角色及所承担责任
8.安全配置管理:安全上线步骤、数据泄露防护(DLP)脆弱性扫描与测试
9.运营安全参考标准与制度:包含ISO27001、行政性安全管理制度示例等内容

安全是一个整体,保证安全不在于地方有多强大,而是要找到自己薄弱的地方。不要片面对待安全,即认为不出安全事故就是天下太平,一定要有危机意识。以上内容参考:运维安全管理必修课

原文地址:https://blog.51cto.com/13219888/2422557

时间: 2024-11-01 10:55:24

企业运维安全管理实践的9大领域的相关文章

2017最新企业Shell面试题及企业运维实战共30道案例

<跟老男孩学习Linux运维:Shell高级编程实战>一书第19章企业面试题分享. 答案: 1.答案在<跟老男孩学习Linux运维:Shell高级编程实战>第19章一书2016年年底前即将出版. 2.2016最新Shell视频http://edu.51cto.com/pack/view/id-546.html 第19章企业Shell面试题及企业运维实战案例 19.1 企业Shell面试题实战案例 19.1.1 企业Shell面试题1:批量生成随机字符文件名案例 使用for循环在/o

《vSphere企业运维实战》内容提要及封面选择

各位博友大家好,我的新书<vSphere企业运维实战>即将由人民邮电出版社出版.这本书介绍了VMware vSphere企业运维内容,包括虚拟化的实施规划.从己有物理服务器迁移到虚拟服务器.数据中心实时管理.数据中心动态管理.虚拟机的备份与恢复.VMware虚拟云基础架构vCloud Director等内容.<VMware vSphere企业运维 从入门到提高>系列视频就是参照这本书来制作的.下面是当前设计的几个封面,朋友们认为第几个好请直接发表评论留言,选出认为合适的封面,谢谢!

企业运维分类

企业运维,至少包括如下几个大方面:1,桌面运维(以windows为主,工资偏低,桌面运维经理可以达到8K到10K,很多人在公司里干的就是安装windows系统,windows里的QQ坏了重装下,砸个水晶头诸如此类)2,通讯运维(电话)(不推荐)3,网络运维,包括,路由,交换,防火墙,(以前网络工程师干的活,现在是大学生干的活,有些公司甚至不给工资,让大学生实习,中间实现如果辞职了,学校不给毕业证,真是校企联合哈.)4,中间件/应用运维 (中间件运维算是比较小众的,也还是可以的,工资也蛮高)5,数

关于自动化运维的实践×××

谈起自动化运维,现在已经成为运维工作最热门的词语,关于运维自动化本人早在2012年就已经接触了BMC的ITSM系统,将ITIL运维管理体系和自动化运维工具的有效的结合大幅度的提高了运维工作效率.下图为HP提的统一运维自动化理念和运维手册,从目前企业基础架构层来看,运维人员无关乎关心的如下几个方面的自动化. 要了解运维自动化在企业当中应用场景和是否真正能够解决运维团队工作的问题.那我们则需要站到企业运维人员的角度去考虑问题.那么我首先要知道一个企业或者运维团队在规划运维的时候所需要考虑的问题及面临

企业运维之域控篇(三)--加入域

域建起来后,就要用,现在就试下它吧... 企业运维之域控篇(三)--加入域,布布扣,bubuko.com

企业运维之域控篇(四)--域的状态备份

我们在用域时,不要只是记得用,还要定时的对域的备份,这个才是重中之重(如果你的环境好似我的单域环境),虽然极度不赞成这样的方式动作,但是现实只能是去适应...唉... 多说没益... 下面还是说下域的备份与还原,一般情况下,我们备份与我们吊丝杂工们(俺也是其中悲哀的一员)GHOST备份系统不一样,用的工具也不一样. 先来备份,直接上图: 企业运维之域控篇(四)--域的状态备份,布布扣,bubuko.com

企业运维之域控篇(十)--SERVER 2003 迁移到 SERVER 2008 (异机)

因为随着微软系统的不断更新,以前的系统已经不能满足我们的要求,所以为了响应..只能是把SERVER 2003向SERVER 2008推进. 但是这个又是一个苦力活啊... 企业运维之域控篇(十)--SERVER 2003 迁移到 SERVER 2008 (异机)

企业运维之域控篇(五)--域的状态还原

本故事情节纯属虚构.如有类同,请忽略... 在企业中,一般好少遇到要还原的情况,但是天有不测风云,有时还是黑仔得很,要用到还原域的状态,所以还是要顶风作案下... 犯案前:准备好备份文件(可以是在电脑的其它盘,C除外.也可以是网络盘等) 犯案环境:SERVER 2003 系统.同硬件 犯案心理:当前域实在是没办法完成我们的日常工作时,给生活所逼,不得不顶风作案... 犯案注意:最好是同硬件环境---俺试过异机异硬件操作时,还原后系统都起不来..如果那位大大知道           原因的请告知,

企业运维之域控篇(十四)-域共享文件(服务端&客户端)设置

在公司我们这类杂工最多面对的也就是文件共享服务器.....这个是公司的重中之重,希望公司的领导与我们这类的杂工能够关注:免得一失足成千古恨!!!! 共享文件的作用:主要是在方便大家共同拥有. 共享服务器里的文件只能是暂时存放,而不是让它成为永久的仓库... 可能是人的懒性吧,所以每个公司的员工都是喜欢直接在共享文件里进行工作操作(如:编辑等等),其实这个是最点服务器资源与危险的事情. eg: 当你编辑好文件,保存后才发觉原来改错了,要恢复?那真是有些悲剧了(自己找不到需要的资料,同时也造成同事不