浅谈经营企业有关运维安全的重要性

对于我们普通人来说，安全是最重要，对于企业来说吗，安全的重要性更加不言而喻，本文，我们就浅谈经营企业有关运维安全的重要性。

举个例子，如果腾讯内部员工接私活导致某qq.com域服务器shell进入内网，腾讯某站配置不当可导致部分地区腾讯视频播放源损坏，通常情况下，运维安全更多的是安全规范、标准流程覆盖不全的情况，如新业务、三方业务、收购的业务，运维体系还没有统一，造成这些安全问题并非是安全技术的缺陷，运维安全建设没有及时跟上；运维安全即使在安全规范和流程覆盖完全的情况下，在具体的执行也会出现一系列问题。安全规范和标准流程越多，越容易出现执行上的问题。

这两类问题是建设时期比较典型的情况。很多时候，领导都会有这样的疑问，看起来各个部门也按照标准执行了，为什么还会有这么多“漏网之鱼”于是如何主动的发现这些漏网之鱼，也是一个急迫的需求我们的规范、流程已经推到各个部门。

这个时候需要运维安全的介入，运维安全在戴明环中扮演的量C/A的角色，一方面不断的完善规范和流程，另一方面不断的提升运维安全的覆盖面。我们的规范、流程已经推到各个部门，定期check安全规范、流程标准的执行情况，然后推动安全问题的Fix，找到根本原因。

运维安全比较常见的就是安全扫描，通过定期扫描发现的问题，反推流程和规范的执行；当然，通过白帽子报告的漏洞，确定是流程和规范的原因后，进行反推也是一种有效的方式。

“新”漏洞 VS 预警和响应，在运维安全提醒建设到相对完善的情况下，有句话说，天下武功，唯快不破，通常情况下，企业是相对安全的。但是，一旦有新漏洞的出现其实，在国内，有exp发布的漏洞往往就等于新漏洞，拼的就是响应速度。有关人的安全意识 VS 安全教育，在整个运维安全的对抗中，人这一块尤为重要，运维安全做的越好，这块越发重要。

一方面是需要运维安全对这些严重漏洞的快速预警，但是运维人员安全意识的问题，很难进行控制。在没有官方补丁发布的情况下，如何通过一些hack技巧进行防御也是非常重要的。另一方面就是运维安全的技术功底了，运维安全和标准可以落实到各个部门，以流程的方式强制执行。

比如直接在web目录进行web文件备份、nohup后台运行程序。当然，还有些运维安全喜欢把自动化脚本上传到git，脚本这东西，密码就在里面，一不小心就直接泄露了密码。这样会导致备份文件、程序执行的日志泄露；运维安全又或者随便开一个web服务下日志或者传数据，这样就直接把目录映射到所有用户，如果是根目录，影响就更大了；

科技屡屡创奇观，甚至奇迹，因此坚定了我们对于它的信仰。运维安全在以后一定会对我的的生活有越来越大的帮助。

更多产品了解

欢迎扫码加入云巴巴企业数字化交流服务群

产品交流、问题咨询、专业测评

都在这里！