一、為什么要做基線配置管理
一個(gè)組織在不同的時(shí)期部署了不同的業(yè)務(wù)系統(tǒng),承載業(yè)務(wù)系統(tǒng)的是不同的操作系統(tǒng)和支持系統(tǒng)。業(yè)務(wù)系統(tǒng)在運(yùn)行期間,基本上很少做操作系統(tǒng)的升級(jí)或變更。再就是由于不同供應(yīng)商的支持原因,導(dǎo)致現(xiàn)存的操作系統(tǒng)和應(yīng)用版本跨度很廣,安全人員或運(yùn)維人員資源不夠的情況下很難支持做基線配置工作。
對(duì)組織的運(yùn)維和安全人員來(lái)說(shuō),如果運(yùn)行的業(yè)務(wù)系統(tǒng)一直不出事,是想不到要做基線配置、升級(jí)補(bǔ)丁、修復(fù)漏洞這些事情的,考慮做基線管理,通常來(lái)自于3個(gè)原因:
* 合規(guī)性性要求,上級(jí)安全檢查;
* 遇到安全事件,根源落在安全配置或加固未做好的原因上;
* 有經(jīng)驗(yàn)的安全運(yùn)維人員主動(dòng)推動(dòng)。
做好基線配置和加固是安全運(yùn)維工作中很基礎(chǔ)的工作,卻跟很多安全事件有著緊密關(guān)系,如登錄策略未配置好導(dǎo)致賬號(hào)可以爆破、敏感信息泄露、默認(rèn)口令、開(kāi)啟了含有漏洞服務(wù)的端口。做好基礎(chǔ)的基線管理和系統(tǒng)加固可以在很多突發(fā)安全漏洞情況有足夠的響應(yīng)處理時(shí)間。
二、怎樣做好基線配置管理
從整個(gè)安全工作來(lái)說(shuō),需要組織高層的支持,基線配置管理也同樣需要,安全運(yùn)維人員需要跟業(yè)務(wù)、開(kāi)發(fā)、運(yùn)維一起討論,定制一個(gè)適用的基礎(chǔ)運(yùn)維環(huán)境統(tǒng)一計(jì)劃,使用相同版本的操作系統(tǒng)和應(yīng)用軟件(容器、框架)。開(kāi)發(fā)人員(包括外包開(kāi)發(fā))使用運(yùn)維的建議的操作系統(tǒng)版本定制開(kāi)發(fā)。運(yùn)維人員使用分發(fā)軟件(如:SaltStack、Puppet)統(tǒng)一做基線的配置修改?梢詤⒖既缦虏襟E:
建立基線配置管理規(guī)劃
在了解組織現(xiàn)有資產(chǎn)情況(負(fù)責(zé)人是誰(shuí)?現(xiàn)在運(yùn)行的操作系統(tǒng)是什么版本,支持系統(tǒng)是什么版本?供應(yīng)商是誰(shuí)?是否還有開(kāi)發(fā)或外包開(kāi)發(fā)支持等)。同業(yè)務(wù)、開(kāi)發(fā)、運(yùn)維一起討論制定合理的版本統(tǒng)一化建議,對(duì)統(tǒng)一化的時(shí)間達(dá)成一致的共識(shí),并尋求最高管理層的支持。
實(shí)施情況和實(shí)施效果跟績(jī)效關(guān)聯(lián),明確基線的訂制、實(shí)施、評(píng)審責(zé)任,有檢查手段能夠確認(rèn)安全基線未能成功部署的原因,有獎(jiǎng)懲措施會(huì)提高基線落實(shí)的效果。
定制基礎(chǔ)操作系統(tǒng)鏡像
基礎(chǔ)鏡像包括選擇那個(gè)版本的操作系統(tǒng)、如何進(jìn)行分區(qū),如何最小化安裝,如何部署必須的工具軟件(如殺毒,主機(jī)入侵檢測(cè)、運(yùn)維系統(tǒng)Agent等),統(tǒng)一做好的基礎(chǔ)操作系統(tǒng)鏡像分發(fā)給開(kāi)發(fā)作為基礎(chǔ)的定制開(kāi)發(fā)環(huán)境。
制定基線配置模板
基線配置模板可以包含運(yùn)維和安全2個(gè)部分,運(yùn)維部分如性能相關(guān)配置、穩(wěn)定性相關(guān)配置、個(gè)性化配置。同一個(gè)應(yīng)用(Tomcat、IIS、Apache等)可以做成一個(gè)統(tǒng)一的配置模板由SaltStack、Puppet進(jìn)行分發(fā)。同時(shí)也可以做一份標(biāo)準(zhǔn)化配置腳本,在部分能分發(fā)的情況下也能統(tǒng)一基線配置。
安全的基線配置可以參考2個(gè)來(lái)源:工信部基線配置要求;
https://learn.cisecurity.org/benchmarks 的安全配置建議,內(nèi)容很多,雖然是英文版本的,建議讀一下,寫(xiě)清楚了為什么要修改成的配置原因,更新也比較及時(shí)。
分發(fā)基線配置
分發(fā)基線配置最好和運(yùn)維一起做,由運(yùn)維支撐系統(tǒng)進(jìn)行分發(fā),可以加速效率。如果運(yùn)維目前階段還沒(méi)有統(tǒng)一的分發(fā)管理系統(tǒng),可單個(gè)用配置腳本完成,這樣效率就很低。
基線配置檢查
基線配置檢查有獨(dú)立的商業(yè)產(chǎn)品可以支持,也可以使用運(yùn)維管理系統(tǒng)進(jìn)行檢查。
基線配置修訂
每隔幾年主流操作系統(tǒng)就會(huì)進(jìn)行一次大版本的升級(jí),商業(yè)版的操作系統(tǒng)也有可能供應(yīng)商不在支持,需要建立基線修訂的觸發(fā)條件,滿(mǎn)足什么情況下對(duì)基線進(jìn)行修訂,按照提前做好的修訂流程修訂基線配置。
三、基線管理配置的文檔示例
同安全文檔要求,分為3級(jí)文檔,1級(jí)是指導(dǎo)規(guī)范,2級(jí)是具體操作要求,3級(jí)是結(jié)果和檢查記錄。
《安全基線技術(shù)規(guī)范》
其中框架分類(lèi)可以參考CIS Benchmark的分類(lèi)。
《XX基線配置》
還有種常見(jiàn)的基線配置文檔見(jiàn)下面
檢查記錄可以在基線配置文檔增加個(gè)符合選項(xiàng)。
四、總結(jié)
落實(shí)好基線配置還是于其他部門(mén)做好配合,一般安全基線的創(chuàng)建和檢查屬于安全部門(mén)負(fù)責(zé),實(shí)際的實(shí)施由運(yùn)維來(lái)做,如果沒(méi)有比較成熟的運(yùn)維能力和系統(tǒng)支持,做基線效率很低容易遺漏。安全人員可以協(xié)助運(yùn)維建立基礎(chǔ)運(yùn)維支撐環(huán)境,安全運(yùn)維和運(yùn)維共通的部分很多,很多痛點(diǎn)是一樣的,多和其他部門(mén)的人員溝通,一起提升組織的安全防御能力。資源不足就想辦法標(biāo)準(zhǔn)化和自動(dòng)化。
現(xiàn)在很多業(yè)務(wù)系統(tǒng)在云上部署,也有組織實(shí)施了 DevOps 方案,使用 Docker 直接部署應(yīng)用,基線配置也需要跟上技術(shù)趨勢(shì),如 Docker 中配置安全的鏡像,Dockerfile 的安全配置。
核心關(guān)注:拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴(lài)品牌。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:企業(yè)如何做好安全基線配置
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/10839524409.html