甲方安全建设步骤

  • 资产梳理

IP列表、业务分组(负责人、联系方向)、业务属性
业务端口
业务应用架构、技术堆栈

  • 边界安全,防火墙策略控制(需要梳理业务端口)

如果是硬件,使用防火墙统一控制
如果是操作系统,Iptalbes+IPSEC
及时监控业务端口的变化(外部nmap扫描搜集结果比对,或者编写脚步放到运维平台收集系统监听端口和防火墙策略)
跳板机安全控制

  • 账户安全管理

弱密码
root、sudoer权限
账户、授权、访问、审计等等

  • 服务器安全

安全基线检测
操作审计
异常登录审计(日志收集分析)
漏洞清点/扫描,补丁修复测试和推进

  • WEB安全

应用渗透测试
接口安全(加密、通信)
webshell实时监测
Nginx日志分析/Nginx流量旁路分析

  • 业务风控安全

用户安全机制(密码、验证码、登录)
交易安全

  • 安全培训

安全意识培训
运维安全培训
WEB安全开发

  • 安全规范和流程

人员入职账户开通
人员离职账户注销
服务器上下架安全管理
安全应急响应机制

  • 内网安全

内网服务器安全
账户统一验证和管理机制(域ldap协议统一验证OA、RTX、邮件、内网业务系统)
弱口令监测(NTLM/LM)
账户异常登录
网络隔离(物理/虚拟化)
网络准入
PC安全(病毒统一管理、通知处理)

  • 资产信息收集脚本:

服务器IP列表(账户、密码) [或者通过现有运维工具批量执行]
进程列表(ps aux)
账户信息(/etc/passwd,/etc/shadow)
端口清点(netstat -tnpl)
软件包(rpm -qa)
Nginx、Tomcat、Apache配置文件
syslog、Agent、puppet、func、saltsatck运维工具

你可能感兴趣的:(甲方安全建设步骤)