低成本企业安全建设部分实践
字数 1671
更新时间 2026-02-06 14:03:03

企业安全建设实践教学文档

一、基础安全防护措施

1. 端口访问控制策略

  • 默认策略:对外默认不开放任何端口
  • Web服务端口:仅开放80和443端口
  • 特殊情况处理
    • 第三方数据回调需单独配置防火墙策略
    • 移动网络测试环境访问需特殊审批
    • 无法IP限制时需做好安全检测后开放

2. SSH安全配置

  • 跳板机机制
    • 仅保留一台主机作为跳板机对外开放22端口
    • 其他主机禁止直接外网SSH访问
  • 禁用密码登录
    • 修改/etc/ssh/sshd_config配置文件
    • 设置PasswordAuthentication no
    • 统一入口防止配置被私自修改

3. 统一后台登录系统

  • 多因素认证
    • 强制实施多因素认证机制
    • 统一管理所有后台系统访问
  • 后台系统发现方法
    • 与业务方核对系统清单
    • 分析server name配置
    • 筛选access log中的URL路径

4. Web服务器安全配置

Nginx安全配置示例

location ~ .*\.(bak|jpa|rar|sql|tar|gz|zip|conf|tgz|bz2|log)$ {
    return 405;
}
  • 防止敏感文件泄露
  • 部署前需检查正常业务文件下载

5. 整体安全检测

  • 全面排查服务器入侵痕迹
  • 使用D盾进行Webshell检测
  • 使用rkhunter进行rootkit检测

二、进阶安全实践

1. 主机权限控制(FreeIPA)

优势特性

  • 集中式账户管理
  • 支持黑白名单命令控制
  • OTP双因素认证支持

常见问题解决方案

  • sssd服务异常
    • 开启debug日志监控
    • 自动重启服务机制
  • CA证书过期
    • 升级到新版FreeIPA(20年有效期)
  • 时间同步要求
    • 客户端与服务器时间差不超过5分钟

2. 标准化建设

实施方法

  • 统一应用安装脚本
  • 标准化安全配置模板
  • 集成安全基线检查

监控机制

  • 天级计划任务检查进程权限
  • 报警机制确保标准执行
  • 重点监控Redis、Tomcat等服务的运行权限

3. 邮箱安全防护

腾讯企业邮箱安全特性

  • 微信安全登录动态验证
  • 客户端授权码机制
  • 分阶段实施强制安全登录

其他防护措施

  • 定期暴力破解测试
  • 蜜罐邮箱账户部署
  • 钓鱼邮件检测响应

三、安全监控体系

1. Webshell监控

基于auditd的监控方案

  • 监控web用户命令执行
  • 精准检测异常行为
  • 发现命令执行漏洞

2. 命令执行监控

Bash命令监控配置

export HISTTIMEFORMAT="%Y.%m.%d %H:%M:%S "
export PROMPT_COMMAND="history -a"
export GREP_OPTIONS=--color=auto
readonly export PROMPT_COMMAND='{ msg=$(history 1 | { read x y; echo $y; });logger -i -t "command-tag" "#!#whoami=$(whoami)"#!#who am i=$(who am i)#!#pwd=$(pwd)#!#history="$msg"'

Auditd命令监控优化

  • 配置速率限制参数-r
  • 设置合理的backlog_limit
  • 日志文件大小控制(max_log_file=20MB)
  • 基于路径的过滤策略

3. 端口扫描检测

OpenCanary部署

  • 检测内网端口扫描行为
  • 支持多种服务协议模拟
  • 自定义报警规则

4. OSSEC主机安全监控

集成方案

  • 定时执行安全检测脚本
  • 文件完整性监控
  • 自定义规则扩展

四、Web安全增强

1. 内容安全策略(CSP)

防劫持配置

add_header Content-Security-Policy:'script-src \'self\' \'unsafe-inline\' \'unsafe-eval\' *.xxx.com';

实施要点

  • 全面测试业务功能兼容性
  • 配置report-uri收集拦截记录
  • 逐步优化策略规则

五、安全建设实施建议

1. 技术选型原则

  • 优先选择免费开源方案
  • 确保方案简单易实施
  • 逐步完善,避免过度设计

2. 工作方法指导

问题解决心态

  • 主动推动问题整改
  • 提供最小成本解决方案
  • 持续跟踪问题进展

定制化安全措施

  • 针对特定系统实施专项防护
  • 文件变动监控报警
  • 平衡安全与业务需求

六、工具资源汇总

1. 检测工具

  • Webshell检测:D盾(http://www.d99net.net/)
  • Rootkit检测:rkhunter(http://rkhunter.sourceforge.net/)

2. 安全系统

  • 集中认证:FreeIPA
  • 端口蜜罐:OpenCanary(https://github.com/thinkst/opencanary)
  • 主机安全:OSSEC

3. 参考文档

  • FreeIPA部署指南
  • Auditd监控配置文档
  • CSP策略实施指南

本教学文档基于实际企业安全建设经验总结,涵盖了从基础防护到高级监控的完整体系,可根据企业实际情况选择性实施。重点强调简单实用、成本可控的实施原则,确保安全建设切实有效。

 全屏