幼儿教育安全解决方案实践

背景

某教育行业机构为众多幼儿园提供服务,业务涉及软件和硬件,保障业务安全的要求非常强烈。新钛云服专家经过和用户研发、运维部门的沟通和实地调研,以纵深防御的先进理论为指导原则,从网络安全、系统安全、应用安全、渗透测试四个方面给出专业的安全建议,并利用新钛云服的经验和工具,帮助用户落地。

幼儿教育安全解决方案实践

网络安全

1. 目的

网络安全的目的是阻止未授权的来源或者访问未授权的目的。未遵循网络安全设置规范,将导致严重的风险。

例如,中国国家互联网应急中心(CNCERT)于2019年2月14日发布的通告指出,CNCERT监测发现,我国境内部分MongoDB数据库暴露在互联网上导致重要信息泄露。因此,作为安全防御的第一道控制措施,实施严格的网络安全规范将极大的减少攻击面。

2. 手段与工具

  • 使用Linux iptables、Windows 防火墙限制管理来源。
  • 指定Memcached、Redis、MongoDB、MySQL、SNMP等内部服务仅监听在内网IP上,并为其设置严格的访问来源限制。
  • 使用TiOps自动化运维和审计平台进行安全管理和审计。
  • 使用nmap等工具周期性的扫描关键端口,确保网络安全机制是生效的。

TiOps提供自动化运维能力,如下图所示:

幼儿教育安全解决方案实践

图1 TiOPS运维管理界面

另外,通过TiOps以实现对运维操作的审计,如下图所示:

幼儿教育安全解决方案实践

图2 TiOps会话审计界面

系统安全

1. 目的

系统安全的目的是保证操作系统本身的安全。

2. 手段与工具

  • 修改root密码,使用KeePass生成遵从一定复杂度和长度的随机密码。不少于12位,包含大小写、数字和特殊字符。
  • 禁止root远程登录。
  • 禁止密码登录,使用公钥私钥方式。
  • 安装自适应主机安全系统,根据自适应主机安全系统提供的安全报告评估后对应加固系统,如升级某些存在漏洞的核心组件及第三方组件、Windows关键补丁等。
  • Redis等应用应降权启动,并移除危险命令。
应用安全

1. 目的

应用安全的目的是阻止黑客从应用层(在此处指Web层)发起的攻击。

2. 手段与工具

在防御应用安全方面,最核心的是:

  • 关注有关Tomcat、开发框架(如Structs)等CVE公告,及时修正已知漏洞。
  • 使用prepare语句防止SQL注入。
  • 使用Html特殊字符转义、Javascript特殊字符转义、DOM特殊字符转义防止XSS和CSRF。
  • 用于验证用户身份/权限的cookie,必须添加httponly属性。其它与用户身份/权限验证无关的cookie,如果js有读写需求,可以不添加httponly属性。
  • URL跳转基于白名单,防止钓鱼。
  • 为防止命令注入,默认不允许在代码中执行系统命令。以下情况属于特例:

a. 如果某些场景需要执行系统命令,这些命令必须是开发人员定义好的,不允许接收用户传来的参数。

b. 如果确实需求接收用户参数,必须对参数进行安全过滤。

  • 为防止上传漏洞:

a. 严格判断文件扩展名

b.上传文件类型的校验,图片重新渲染

c. 上传文件目录取消脚本执行权限

d. 管理后台严禁暴露公网,建议独立vhost

e. 使用独立服务器接收上传文件

  • 使用WAF(Web Application Firewall)产品可在一定程度上增强应用安全性。
  • 为防止数据库脱库导致的信息泄露,对数据库中敏感数据字段进行加密。
  • 所有环境中不得使用弱密码,包括研发环境和测试环境等。
渗透测试

渗透测试是指渗透人员在不同的位置(比如从内网、从外网等位置)利用各种手段对某个特定网络进行测试,以期发现和挖掘系统中存在的漏洞,然后输出渗透测试报告,并提交给网络所有者。网络所有者根据渗透人员提供的渗透测试报告,可以清晰知晓系统中存在的安全隐患和问题。

新钛云服专业的安全团队具有丰富的渗透测试经验,曾为多家大型互联网企业提供安全服务,并得到客户的一致好评。通过新钛云服安全专家的渗透测试,可以进一步发现应用层的安全问题,例如逻辑漏洞、Session处理缺陷和其他高危漏洞。

作者介绍

胥峰新钛云服首席解决方案架构师,十二年运维经验,曾长期在盛大游戏担任运维架构师,参与盛大游戏多款大型端游和手游的上线运维。资深Linux专家,拥有工信部高级信息系统项目管理师资格,著有畅销书《Linux运维最佳实践》,译著《DevOps:软件架构师行动指南》是DevOps领域的经典著作。

幼儿教育安全解决方案实践

新钛云服安全团队介绍:

新钛云服拥有自研的安全产品TiSec,新钛云服安全团队拥有多名经验丰富的安全专家,拥有丰富的IT行业安全咨询、安全技术和安全管理经验,拥有安全行业CISSP、CISA认证。团队成员处理过互联网公司各类安全问题,包括信息基础架构安全,应用架构和代码安全,应用运维安全,数据安全和灾难恢复等。

新钛云服安全团队熟悉ISO17799、等级保护、PCI-DSS、SOX等信息安全标准规范,具有支付牌照、等级保护、PCI认证的申请、实施和年审经验。