中国金融认证　认证小结

··· 本文记录17年底 本人完成人民银行相关的检测工作 时间比较久远很多东西只能记到个大概了 不做参考 谢谢~

服务器类

操作系统类

1.服务器规划,磁盘规划,应用部署规划,配置规划等(根据大业务划分服务器类型,服务配置选型,应用部署前期规划等)
2.登录(禁止ROOT登录,登录次数上限,登录超时,登录失败处理,堡垒机登录,多重验证(密码,key,堡垒机))
3.关闭常用服务 关闭常用端口 
4.入侵检测(入侵检查,检查文件改动 本人使用AIDE完成定期生成报表)
5.日志(用户操作日志,审计日志,应用日志分析)
6.高可用(双电源,服务器冗余,双网卡bind等)

网络类

1.网络区域规划(网络区域划分,防火墙(trust dmz untrust),应用划分不同区域(根据大业务划分不同的vlan 至少数据库与应用要分开) 不同服务器的端口访问)
2.网络设备权限划分(管理员,配置员,审计用户,不同用户划分不同的权限)
3.网络层隔离包括各个业务层面的访问限制(防火墙不同区域的限制(防火墙规则),各个业务系统访问限制(核心网络下的vlan限制),项目本应该使用防火墙做隔离因为成本问题,经协商后改用使用核心网络下vlan的规则配置,限制到端口访问)、
防火墙配置IPS IDS等服务(考虑到成本问题未采购硬件)
4.网络流量限制(流量入口限制,核心交换机的端口限速(根据业务场景划分,如应用服务器的端口,数据库服务器端口的限速设置等))
5.日志同步发送到日志服务器 
6.高可用(主防火墙热备,核心交换机堆叠,服务器双网卡绑定两台核心交换机上)
7.异步机房网络同步(ipsec隧道配置)

应用服务类

1.应用高可用(保证一定自愈性实现自动切换 nginx(keepalived+vip)配置后端检查地址 当重试3次失败后弃用当前节点)
2.堡垒机登陆(考虑到成本问题 使用开源堡垒机jumpserver)
3.应用规划(统一安装配置规范(根据运行项目建立不同用户运行,统一安装目录,统一日志存放目录),安全类配置(如tomcat禁用manager功能 user配置,nginx相关防CC配置 禁止显示版本号等 这类比较多不细讲))
4.漏洞扫描(首先做相关设置防止能扫描出相关软件版本,nessus扫描出相关漏洞 并进行评估审计并进行审计(如升级ssh jdk等))
5.服务配置(如tomcat设置并发数,普通用户运行,连接超时设置 php程序是否禁用相关危险函数等 JVM限制(包括使用中间件或者直接使用的jar运行的程序))
6.服务备份(应用备份,数据备份,应用回滚 数据回滚方案)
7.数据库 oracle rac+dataguard 架构实现异地容灾
8.灾备演练 验证相关服务是否可用 验证故障 

审计类

1.主机文件检测(检查系统核心文件是否存在改动)
2.统一收集日志并分析 日志保存1年
3.堡垒机 记录相关命令操作
4.用户权限分立 
等等.... 很多

其他类

东西太多了 估计写了不到一半吧~~  暂时停更 想起了再续