*本文原创作者:liong03,本文属FreeBuf原创奖励计划,未经许可禁止转载
先简单自我介绍一下,其实,我是一个信息安全工程师,也是一个人的“安全部”……
近期看到一些朋友问数据安全保护怎么弄,刚好为某企业简单规划过,很多前辈大佬都有介绍过数据安全,突然想用一种不一样的姿势来分享,通过一些文字条框再结合一些故事案例来思考。
数据安全也是一个整体的体系,环环相扣,说说对数据安全保护的构思吧。一张图胜过千言万语,如果不行,那就三张:
数据安全防护六“不”曲:
简单做了一个数据安全威胁/风险脑图:
2)然后筛选日志中/admin/basics/main,发现某黑阔也是半夜不睡觉的,成功登陆了某后台:
查看了下IP是外省浙江的,当然了这种IP基本不是真实源,不会用代理的黑阔不是好黑阔。
测试了下这个page=是什么,他大爷,在查其他用户个人信息啊(勿惊,问题不大,只是故事,大家都是做安全的,混口饭吃不容易):
做日志审计,前提是要开启相应的日志审计策略,默认的日志信息是很少的,开启日志审计时还需要注意,如果全部开启,日志信息可能巨庞大,会有很多无用日志,所以最好是先确定是需要开启哪些审计策略。
关于日志信息如何审计,审计哪些,这里做了一个简单的win2008常用审计事件ID(win7与win2008的日志事件ID没什么区别):
1)这是在爆破账号密码啊:
2)访问445端口的筛选:
(三)UNIX 系统日志
(五)交换机/ 路由器
为什么这里没有介绍数据库的日志呢,因为一旦开启数据库的审计策略,数据库性能将 产生巨大影响 ,因此建议只使用默认的审计策略。
数据库日志审计,可以参考如下:
1. 部署堡垒机进行运维管理,堡垒机日志对操作者所有操作行为进行日志记录; 2. 旁路部署数据库审计产品,并实现用户IP、应用服务器IP与数据库IP三层关联,对数据库的每条数据库命令的执行进行记录; 3. 至于设备部署以及策略配置位置,建议就近原则。
通过专业的运维管理系统进行运维监控,对服务器的CPU、硬盘、内存、网络等资源的使用情况,以及系统的服务水平进行检测和告警。某卡的软件可以实现这些功能,这里就不放图了以免广告嫌疑。
接口的调用监控:限制访问次数、最大连接量,接口流量实时监控、异常流量告警,如短信接口、提现接口、充值接口等等;
有时能看到一些爬虫、短信炸弹、CC攻击等,比如这种半夜不睡觉的黑阔,在换着IP刷短信,如果让他刷上一晚:
注:比如某系统已经停用了,有漏洞也不打算补了,反正都不用了,但某天系统又重新开启还不通知安全,这时技术、管理已经失效了,所以还有监控这一道防线。
1. 关键信息基础设施的运营者在运营中收集和产生的个人信息和重要数据应当在境内存储; 2. 对审计进程进行保护,防止未经授权的中断; 3. 审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等,如:审计记录备份到日志服务器; 4. 日志信息保存至少6个月。
设计安全防护框架,可能也不尽如人意。一图胜千言,如果不行,那就两张:
最后不想多说,文章内容仅是个人工作生活中的一些经验和想法,不同的角度会有不同的观点。
文章内容也还有不足,主要是细说可以展开成很大的篇幅。幸好还是坚持把它写完……
*本文原创作者:liong03,本文属FreeBuf原创奖励计划,未经许可禁止转载