駐場工程師眼中的政務雲安全 關注黑客與極客

2022-09-23 19:09:09 字數 2137 閱讀 3814

駐場工程師屬於拿著乙方的薪水,操著甲方的心,生在甲方的陣營,活在乙方的世界。在駐場工程師眼中,政務雲的安全,包括甲方的運維,也包括乙方的服務。

維護政務雲平台安全執行,大部分工作是圍繞雲平台租客業務系統安全來展開的,因為雲平台自身安全,主要就是爆發漏洞的時候,打上響應的補丁就行了,例如,最近的cpu漏洞(meltown和spectre)爆發,各雲平台都在積極解決。這裡從乙個駐場工程師的角度闡述下雲平台租客安全的工作內容。

政務雲平台的運作,參與的單位一般有:

監管部門,一般為當地**部門、網監、網信辦等。

雲計算服務商,一般為當地運營商,負責整個平台的建設,運維。

虛擬化平台服務商,為雲平台提供硬體伺服器,雲平台管控中心等。

安全服務商,為雲平台提供安全裝置和安全服務的廠商。

租戶:最終的使用者,租用政務雲平台,搭建自己的**、應用系統等。

保護好租客安全,需要從事前、事中、事後三個維度出發,事前工作,包括使用者**上線前檢測,上線後防護,重大時期保障等。事中工作,即監測工作,監測平台**的安全狀態,定期檢視雲監測,雲平台上硬體工具等的告警,分析安全日誌。事後工作,在安全事件發生後,進行的應急響應,協助調查取證。

事前工作:

(1)配置模板機,windows和linux系統分別配置模板機,按照等保要求,做好基線配置,打上最新的補丁。使用者申請虛擬機器資源的時候,就可以將加固好的模板機配置給使用者。

(2)政務雲上線流程:租戶根據**規模,申請虛擬機器資源,在虛擬機器上搭建**應用,完成後,在政務雲內網進行上線前檢測,滲透測試,漏洞掃瞄,基線檢查,通過安全檢測後,將**發布到網際網路。

(3)**上線後,配置所有能用的安全裝置進行防護、監測,**雲監測、雲防護,硬體waf,流量分析,日誌分析,虛擬化防毒等。

(4)重大時期保障,在g20、十九大、網際網路大會等重要時期,提交保障計畫、應急預案給雲計算服務商和監管部門,安排人員24小時值守,因為放在政務雲的**,大部分都是展示型的,如:門戶**等,所以,必要時候,可以採用極端手段,如:使用防篡改系統,將所有首頁鎖定,不允許修改等。值守時期,監控的重點也是**篡改情況,一旦發現篡改,立即下線處理,然後準備應急溯源。

事中工作:

(1)定期對平台上的伺服器進行漏洞掃瞄、滲透測試、病毒掃瞄、日誌分析等。

(2)關注各個監控平台如:**雲監控、流量分析平台的告警等。

事後工作:

(1)應急響應,對於監控到、使用者反饋的安全事件,安排應急溯源,輸出應急報告,向監管單位匯報,並對後期工作進行調整。

(2)安全工作調整,針對安全新聞或在政務雲發生的安全事件,對政務雲安全工作進行調整,如:挖礦病毒事件大規模爆發,需要進行的安全工作:對所有租戶伺服器進行防毒,統計最近時期所有伺服器cpu、記憶體使用率情況,日誌分析,排查挖礦病毒痕跡。

有次和乙個跳槽到甲方的前任(同事)吃火鍋,聊起了甲方安全和乙方安全,那位哥們說,在乙方,做完滲透測試後,提交了測試報告,就完事了。在甲方,負責滲透測試的安全部門,在測試完後,還得盯著業務部門修復,業務部門不願意修復的,就要搬個小板凳坐在程式設計師邊上,苦口婆心的勸他們修復,告訴他們不修復會有多大危害,會造成多大的損失,有的時候,還要在網上找修復方法,陪著程式設計師一起修復。

駐場工程師是乙方人員,對甲方的一些事情,不能越俎代庖,但是也要承擔一部分甲方的責任,需要做到什麼程度呢,這裡舉幾個例子:

(1) 每次提交滲透測試報告後,作為駐場工程師,不可能盯著各個單位的**負責人去修復,對於拖了很久還不進行修復的單位,駐場工程師可以做的是:對漏洞修復情況進行追蹤,整理列表,哪些**漏洞已經完成修復,哪些**存在高危漏洞,但是還沒有修復。定期將整理的列表傳送給監管部門。

(2)租戶**在上線前檢測的時候,一般安全漏洞都會被發現並修復,上線後有些使用者對**進行修改,新增模組等操作,會帶來新的安全問題。使用者在修改**後,一般不會聯絡安全服務商進行再次滲透測試。這時候,駐場工程師能做的事情:舉辦安全意識培訓,增加使用者的安全常識和安全意識。修訂政務雲安全制度,由監管方審核簽發,將該情況編寫到制度中。

(3) 類似政務雲這種環境,使用者數量較多,容易出現使用者vpn、堡壘機初始密碼不修改,運維人員調動後密碼不作廢等情況。作為駐場工程師,很難從管理制度方面去約束該情況。這時,駐場工程師可以將初始密碼放入弱口令字典中,定期掃瞄,輸出弱口令報告給監管部門。每季度將各單位賬號列表傳送給使用者進行核實,將核實結果整理成列表,傳送給監管部門。

維護好政務雲的安全,駐場工程師能做的是:甲方運維加上乙方服務,還有一顆不能說破的責任心。 

瑞星工程師回答雲安全

1 什麼是 雲安全 雲安全 就是乙個巨大的系統,它是防毒軟體網際網路化的實際體現。具體來說,瑞星 雲安全 系統主要包括三個部分 超過一億的客戶端 智慧型雲安全伺服器 數百家網際網路重量級公司 瑞星的合作夥伴 首先說客戶端,瑞星2009 瑞星卡卡上網安全助手等軟體中整合了 雲安全探針 使用者電腦安裝這...

我眼中的工程師文化

現在hr和獵頭也懂得,挖程式設計師不能光講錢和專案了,多少號稱工程師文化的公司花開北京上海,可是到底什麼是 工程師文化 誰能給乙個準確的定義?有人說,什麼文化就是什麼說了算的意思,工程師文化就是工程師說了算。這未免也太膚淺了。也有人說,工程師文化就是自由上下班 鬆散管理,做喜歡的專案。我想這依然是不...

web工程師眼中的MVC模式

mvc 一種框架模式,呈現的是 表現 與互動的分離。組成部分分為三項 m v c c 就是乙個控制器,從使用者這個角度來講 擷取使用者的需求 m m 資料模型,會接受來自c的呼叫,實現與database之間的資料讀寫 資料再次呈現到v v 檢視,會把c送來的資料傳遞給view介面 v渲染結果後呈現給...