安全运维管理内部培训指南

安全运维管理培训

指南

XX信息科技有限公司

2019年10月

目录

1.安全运维管理 (2)

2.1.安全管理 (2)

2.2.病毒与木马管理 (3)

1.安全运维管理

2.1.安全管理

产品安全运维分为2个方面，一是产品本身稳定运行安全，二是基于产品提供IT服务的相关安全。

(一)基于产品运行稳定的安全要求

✓安全加固

部署设备需按照主机加固要求进行系统的安全加固工作，如对账号、密码、策略等进行安全优化，对漏洞进行修补，防止部署设备存在严重的安全隐患。

典型操作：

﹘禁用root用户直接登录；

﹘禁止弱口令；

﹘用户多次登录失败锁定；

﹘没有多余的账户；

﹘关闭无用端口；

﹘关闭共享等；

✓程序内存资源分配的合理性

针对平台安装的各组件，分配内存时要保障资源的合理性，杜绝资源浪费，防止内存溢出等情况发生，造成服务停止。

✓定期的巡检

定期检查各组件运行的状态，分析运行日志。

✓安全软件

部署主机需确保杀毒软件的安装，并保障病毒库为最新。设置定期杀毒任务，一般每月一次，时间为夜间。

(二)基于产品功能操作的安全要求

✓录入账号要求

由于部分类型的设备启动监控需账号权限，故建议录入的平台账号需遵循权限最小化原则，提供查询权限即可。避免过多的权限泄露，造成安全风险。

✓漏洞、弱口令、子网发现等安全工具扫描

平台中漏洞、弱口令等功能实现是基于安全工具实现的，而安全工具在扫描时防火墙等安全防护设备会识别为安全威胁的行为，所以，使用时需提前与客户说明，最好增加安全策略，白名单等。

✓运维操作

日常维护采用运维中心在线服务功能进行目标主机的登录，故障解决。好处有二点，一是可以禁用危险操作，例如rm；二是可以事后审计，查看操作视频及命令。

✓安全审计

拥有安全审计的功能，能够审计平台和第三方系统日志。建议配置第三方日志接入，保障日志能够审计、追溯。

2.2.病毒与木马管理

(一)预防与加固

✓安全意识

预防中毒、木马首先要从意识方面有所认识，明白病毒或木马的危害，清楚针对安全威胁应采取的正确方式，不熟悉的网站不上，不熟悉的邮件、附件不要打开，实在要打开的进行沙盒和杀毒后进行查看。

✓安全预防

﹘关闭不必要的端口，特别是重大安全端口，如永恒之蓝常用的137、138、139、445等端口；最后，要及时打补丁。

﹘不要随意的开放端口至互联网络，业务存在需要的应按照最小化原则，点到点的开放，并定期检查防火墙和开放设备日志。

﹘安装杀毒软件，并保证杀毒软件的病毒库、木马库最新，定期开展安全威胁检测，一般每月最低一次。

﹘做好相关的安全加固工作，例如账号、密码、登录策略、共享等

﹘提高安全管理人员的安全管理、技术能力，安全管理是否全面，基本上是由安全管理人员来落实的，所以应具备安全方面的经验和能力。

﹘网络边界处部署防火墙、入侵防御系统等安全设备，将攻击特征库、病毒特征码

等更新至最新版本；并应用部署相关策略以封堵相关端口的通信，划分安全域，

特别是生产与办公网络强烈建议分开。

安全设备部署建议：防火墙、病毒服务器、IDS、IPS、WEB应用防护（WAF）、日志审计等

(二)应急处置

✓安全应急

﹘一旦中毒、中马，建议立刻断开网络，进行隔离操作，防止事态进一步扩大。

﹘联系专业的安全人员进行处理，一般情况是先进行现状的调查与分析（一定要先

询问是否存在备份），根据情况考虑是否抢救数据但要小心感染的情况，确定中

毒还是中马。

﹘如判断病毒为最新勒索病毒或无法破解的病毒，及时向用户说明，是进行还原还

是缴纳赎金的方式进行数据恢复。

﹘使用工具和人为方式进行病毒或木马定位，进行清除工作。

﹘经确定为顽固病毒、木马的，建议格式化硬盘重新安装操纵系统，防止未清除干

净二次感染，扩大影响范围。

✓安全加固

根据预防与加固进行操作。