運營平臺安全檢測方法簡介及典型問題剖析

［賀賽娜 李洪波 張湘東 徐昊］

1 引言

在信息化社會中，網絡已深入到軍事、政治、金融、商業、人們的生活和工作等方方面面，成為了社會不可缺少的一部分。擁有如此重要地位的網絡若不能保障其安全性，這將給生產、經營、個人資產、個人隱私等帶來嚴重損害，甚至會威脅到金融安全、國防安全以及國家安全。近年來公安部持續推出護網行動，以戰養兵，推進關鍵信息基礎設施的安全監測、應急響應等保障能力。“護網行動”是國家為了應對網絡安全問題、為了在當今復雜的國際形勢中具備能打硬仗的網絡安全能力，所做的重要布局之一。為積極響應護網行動，做好安全防守工作，本文以某運營平臺為例，記錄了多種安全檢測方法發現的重點問題。在實際開發過程中，通過解決安全問題，獲得了一個安全性更強健的運營平臺。

2 檢測方法介紹

某運營平臺部署了4臺云主機，其中2臺服務主機、1臺主數據庫機器和1臺從數據庫機器。該平臺采用CentOS系統，涉及到的應用有Tomcat、MySql等。如圖1所示，本文將主要描述4種安全檢測方法：

圖1 4種安全檢測方法在某平臺上的使用

（1）基線掃描：主要檢測操作系統、應用程序、數據庫的不合規配置問題，這些配置問題大致分類為：賬號口令、認證授權、日志審計、協議安全等方面，均可通過修改配置進行解決、規避；

（2）源代碼缺陷檢測：顧名思義就是針對項目的源碼做針對性檢測，通過這種檢測可以發現由于編寫不規范、工程師編寫時不細心等原因造成的隱形bug。……