一、術(shù)語：

　　安全加固（Security Hardening）、安全基準(zhǔn)、安全控制

　　可能大家已經(jīng)留意到，在先進的IT環(huán)境部署中，“Hardening-安全加固”這個概念已經(jīng)被廣泛地提到并應(yīng)用到生產(chǎn)環(huán)境中了；特別是它已經(jīng)作為一種提高IT環(huán)境信息安全的一項安全性增強舉措而為越來越多的企業(yè)青睞；我們通過大量的研究和實踐經(jīng)驗，深刻體會到安全加固對保護研發(fā)環(huán)境安全的諸多好處，特通過此文和讀者逐一分享。

　　一、安全加固（Hardening）的定義：

　　我們在上篇設(shè)計環(huán)境安全系列文章---《設(shè)計環(huán)境的安全體系概述》中闡述了安全域和安全層的概念，提出了“一個中心、三層隔離、五層控制”的安全體系，強調(diào)設(shè)計環(huán)境安全要做到分層控制。

　　圖1.1 推薦的芯片研發(fā)環(huán)境的安全框架系統(tǒng)

　　分層控制從技術(shù)層面來講，是一個龐大而復(fù)雜的流程，其中用到的一個手段就是本文著重要闡述的--分層安全加固。

　　安全加固（Hardening）從字面意思講，就是對安全性的加強，其深層目的是通過盡可能地阻止可疑入侵、及時發(fā)現(xiàn)和修復(fù)安全漏洞來降低安全風(fēng)險，從而提升整體研發(fā)環(huán)境的安全防范水平。

　　安全加固（Hardening）是通過科學(xué)的、系統(tǒng)性的方法，運用安全技術(shù)、流程和管理等手段，參考國內(nèi)外權(quán)威的安全配置標(biāo)準(zhǔn)，并結(jié)合企業(yè)的業(yè)務(wù)環(huán)境特點，對承載關(guān)鍵數(shù)據(jù)的基礎(chǔ)設(shè)施、主機、應(yīng)用程序、操作系統(tǒng)、數(shù)據(jù)庫、數(shù)據(jù)層等分別進行安全配置加固，從而提升信息系統(tǒng)和環(huán)境的安全，為企業(yè)建立起彈性的安全保障防護線。

　　安全加固（Hardening）從配置層面來看，具體的安全配置會根據(jù)安全標(biāo)準(zhǔn)建議，并結(jié)合芯片行業(yè)的最佳實踐，與前面所述的“五層控制”相互呼應(yīng)進行定制。如下圖所示，安全加固重點圍繞網(wǎng)絡(luò)層、主機層、系統(tǒng)層、應(yīng)用層和數(shù)據(jù)層安全進行。注意：我們這里提到的是數(shù)據(jù)而不是數(shù)據(jù)庫，是因為在研發(fā)環(huán)境中，數(shù)據(jù)庫的應(yīng)用場景相對較少。但數(shù)據(jù)本身作為企業(yè)最關(guān)注的保護核心，我們需要單獨為其做特別加固。

　　使用安全加固（Hardening）手段不僅適合于傳統(tǒng)的數(shù)據(jù)中心，也適用于企業(yè)將研發(fā)環(huán)境部署到云上。云提供商和企業(yè)會基于“責(zé)任共擔(dān)模型”一起抗衡安全風(fēng)險，其一般會負(fù)責(zé)PaaS層的信息安全，而企業(yè)自身需要負(fù)責(zé)業(yè)務(wù)環(huán)境和數(shù)據(jù)層的信息安全。因此，最佳實踐的安全加固對企業(yè)來說尤其有重要意義。

　　圖1.2 .分層安全加固

　　安全加固（Hardening）要分層化的道理不難理解，因為每層可能出現(xiàn)的安全漏洞不同，黑客所用的攻擊手段和工具不同，每層采用的安全技術(shù)、產(chǎn)品不同，使得我們的安全加固對每層來說也需要采用不同的方法。另外，分層安全加固也是主流安全規(guī)范所規(guī)定的，比如：PCI DSS、HIPAA、NIST和國家的安全等級規(guī)定等，因此分層化也是符合安全證書和審計要求的。

　　經(jīng)過分層安全加固處理過的環(huán)境會：

　　1）明顯提高研發(fā)環(huán)境的整體安全性

　　使得研發(fā)環(huán)境從粗線條控制—安全域隔離，到更細(xì)維度的分層控制，它基于安全概念更深層次、更細(xì)粒度地將安全風(fēng)險控制延展開來；

　　使得安全措施和防護不再是傳統(tǒng)的，通過各種安全產(chǎn)品的單維度實施，物理、邏輯隔離，補丁管理等單一手段，而是層層相連，環(huán)環(huán)相扣地編織成一張立體的空間安全網(wǎng)

　　2）符合各類安全規(guī)范要求，更容易通過審計

　　“安全加固”的方法是根據(jù)安全規(guī)范規(guī)定來設(shè)計和定制的，比如：國家的安全等級保護提出信息安全要做到網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全等，這和上述講到的“分層化安全加固”是完全對應(yīng)上的，因此“分層化安全加固”必然符合各類安全規(guī)范的要求。

　　3）提高系統(tǒng)配置效率

　　“安全加固”在每個重要的保護層都制定了安全基準(zhǔn)，幾乎涵蓋了所有基礎(chǔ)架構(gòu)層、應(yīng)用層和數(shù)據(jù)層的系統(tǒng)和服務(wù)組件，比如：

　　操作系統(tǒng) – 要求統(tǒng)一推送補丁，鎖定firmware的訪問；

　　軟件標(biāo)準(zhǔn)安裝– 要求制定軟件安裝和配置規(guī)則， 比如：制定標(biāo)準(zhǔn)軟件清單和特殊軟件安裝流程；

　　網(wǎng)絡(luò)即服務(wù) – 禁用不安全的服務(wù)，比如tp,telnet等，而默認(rèn)啟用ssh, sftp等安全網(wǎng)絡(luò)服務(wù)

　　訪問控制 – 統(tǒng)一禁用默認(rèn)賬號或更改默認(rèn)賬號（比如：更名管理員 administrator），實現(xiàn)“最小化權(quán)限”管理等

　　安全加固實際上是一個對信息系統(tǒng)和研發(fā)環(huán)境標(biāo)準(zhǔn)化部署的過程，如果對這些標(biāo)準(zhǔn)化的部署使用自動化手段，這將會大大簡化系統(tǒng)管理開銷，防止人為錯誤，并且使得故障容易得到跟蹤，安全事件更易于排查，審計數(shù)據(jù)也會被更高效地統(tǒng)一收集，這些都將極大程度地提高配置效率。

　　二、安全加固（Hardening）的框架：

　　全球公認(rèn)的幾家信息安全行業(yè)機構(gòu)，比如CIS[1]、NIST[2]、SANS[3]等都推出了專業(yè)的安全加固標(biāo)準(zhǔn)。

　　其中，互聯(lián)網(wǎng)安全中心CIS是一個非盈利組織，該組織致力于為空間網(wǎng)絡(luò)安全提供“識別、開發(fā)、驗證、推廣和維持”空間安全的最佳實踐解決方案。目前，CIS與眾多的全球知名專家、IT產(chǎn)品和服務(wù)商、安全產(chǎn)品廠商等共同努力，已經(jīng)制定發(fā)布了100多個配置安全基準(zhǔn)建議，涵蓋25個以上供應(yīng)商的IT產(chǎn)品系列[1]，因此備受政府、企業(yè)、學(xué)術(shù)界、各類網(wǎng)絡(luò)安全和IT專業(yè)人士推崇。

　　一些芯片公司已經(jīng)在其數(shù)據(jù)中心和云上使用了CIS方法來定制系統(tǒng)安全包，云廠商也參考并和CIS合作，在基于CIS的安全基準(zhǔn)的基礎(chǔ)上推出了各自的安全評估產(chǎn)品和安全指導(dǎo)框架。比如，亞馬遜AWS的Inspector[4]，微軟云的CIS MicrosoftAzure[5]。

　　以下主要參考CIS的安全加固標(biāo)準(zhǔn)，簡要闡述安全基準(zhǔn)和安全控制指南。

　　2.1）安全基準(zhǔn)

　　正如“造房要打地基，壘磚要拉樁子線”，做好安全加固要從“基準(zhǔn)”做起。

　　大家都知道，當(dāng)一個操作系統(tǒng)安裝以后，比如Centos 7, 盡管在安裝過程會中有幾個選擇—最小化、圖形桌面等，但從安全角度來說，這些還是非常粗略的，遠(yuǎn)遠(yuǎn)不能抗衡各種安全風(fēng)險；安裝后的默認(rèn)操作系統(tǒng)包含和打開了很多服務(wù)和端口，這就可能打開了很多“后門”，非常不安全。

　　安全基準(zhǔn)會將所有可能的“后門”和安全風(fēng)險都過濾一遍，通過行業(yè)經(jīng)驗推薦出符合安全準(zhǔn)則和審計的標(biāo)準(zhǔn)配置建議。CIS對基準(zhǔn)也會定期更新，從云到傳統(tǒng)環(huán)境全面覆蓋，所以很多企業(yè)都會參照使用CIS的基準(zhǔn)。

　　安全基準(zhǔn)不能盲目參照“指南”，而是應(yīng)該根據(jù)自身企業(yè)的IT環(huán)境規(guī)模、風(fēng)險控制目標(biāo)、具體的研發(fā)環(huán)境情況而進行“量身定制”裁剪，否則不僅可能造成過度投資，還有可能因配置過度復(fù)雜而影響這個系統(tǒng)的性能、管理和使用效率。

　　那么該如何進行“量身定制”呢？

　　首先，需要對IT環(huán)境進行安全域的分類。比如摩爾精英IT/CAD及EDA云計算事業(yè)部推行的三層隔離方法論，就是將芯片設(shè)計環(huán)境進行安全域的分離定義，如下圖所示：低安全的ＯＡ辦公環(huán)境域、中等安全的VDI域和高安全的計算域。

　　圖2.1 三層安全隔離域

　　其次， 進行級別分類，CIS推薦了L1和L2兩級分類

　　L1基準(zhǔn)配置

　　配置重點主要集中考慮能迅速地降低攻擊威脅性，所以實施的是最基本的安全配置，按L1基準(zhǔn)加固的IT環(huán)境對業(yè)務(wù)和性能的影響比較小，推薦在OA辦公環(huán)境區(qū)采用此基準(zhǔn)配置；

　　L2基準(zhǔn)配置

　　L2側(cè)重深度防御，實施標(biāo)準(zhǔn)嚴(yán)格，可能會對業(yè)務(wù)環(huán)境產(chǎn)生影響，推薦在安全級別最高的計算域采用此基準(zhǔn)配置。

　　無論是按照L1還是L2標(biāo)準(zhǔn)進行的安全加固，都要進行充分測試驗證，才能部署到生產(chǎn)環(huán)境中，否則會對業(yè)務(wù)和性能造成極大影響。

　　2.2）安全控制

　　分層安全加固配置和安全控制是相互結(jié)合的，CIS根據(jù)重要性，建議了20個控制手段，分三個大類[6]來防范最廣泛的和最危險的攻擊行為，詳細(xì)措施如下表所示：

　表2.2 CIS安全控制手段表

　　建議企業(yè)在規(guī)劃安全加固時，從如下四個方面來考慮，這樣即合規(guī)又全面，從而實現(xiàn) “卓有成效”的最佳實踐：

　　部署適合企業(yè)或業(yè)務(wù)場景的安全架構(gòu)和框架

　　運用最適合企業(yè)或業(yè)務(wù)場景的技術(shù)手段

　　選用一種有效的風(fēng)險評估方案

　　參考國際或國內(nèi)安全規(guī)范

　　三、安全加固（Hardening）的實現(xiàn)要點：

　　我們在上一個章節(jié)中簡單介紹了安全加固的框架，即根據(jù)安全域和安全級別建立安全基準(zhǔn)線，再結(jié)合最佳實踐采取安全控制手段。

　　根據(jù)安全專業(yè)機構(gòu)指南和大量實戰(zhàn)經(jīng)驗，我們總結(jié)出對各分層必要而有效的加固要點，建議在實施時將這幾方面的配置部署考慮在安全加固規(guī)劃中。

　　3.1）安全加固基本策略和原則

　　制定強密碼策略

　　無論是管理員，還是普通用戶、各種設(shè)備、軟件應(yīng)用等都需要密碼，如果沒有一個好的安全意識和機制來保護密碼，密碼會非常容易被竊取或泄露。因此制定強密碼策略和定期更新密碼是“安全加固”的重要有效手段之一。

　　我們這里推薦一個好用的密碼管理工具：Teampass.net，Teampass是基于團隊的密碼管理工具，它兼容KeePass，可以按規(guī)則隨機產(chǎn)生各種類型的強密碼，方便不同團隊在同一個平臺上共同管理各自管轄領(lǐng)域的各種密碼。

　　基于“最小權(quán)限”訪問原則

　　系統(tǒng)訪問的控制除了密碼以外，就是IAM身份認(rèn)證（Authentication）和授權(quán)（Authorization）的控制管理了。

　　我們看到國內(nèi)有些大的芯片公司在這方面已經(jīng)做的非常規(guī)范了，IAM管理應(yīng)用到了關(guān)鍵設(shè)施和應(yīng)用的訪問，比如：按“最小原則”分配權(quán)限，用戶在統(tǒng)一管理平臺上申請基于具體訪問理由的權(quán)限；或者加強超級管理員權(quán)限的管理和審計，無論網(wǎng)絡(luò)設(shè)備還是操作系統(tǒng)，禁用root直接訪問，而是用用戶的唯一IT賬號登錄，再sudo到授權(quán)的功能賬號進行操作，這樣既安全又有跡可尋。

　　軟件安裝標(biāo)準(zhǔn)化

　　軟件安裝標(biāo)準(zhǔn)化不僅大大減少了管理開銷，對IT環(huán)境安全性加強也有極大的幫助。

　　比如避免員工隨意安裝客戶端軟件而帶入可疑代碼或病毒。因為系統(tǒng)標(biāo)準(zhǔn)化了，所以可以統(tǒng)一推送更新的安全策略到客戶端等。

　　定期軟件、固件、系統(tǒng)及其補丁的更新

　　軟件和補丁的定期更新對于信息安全的意義勿用多說了，我們在前文《設(shè)計環(huán)境的安全體系概述》中的第2節(jié)“安全事件引發(fā)的思考”中舉過臺積電因WannaCry入侵而遭受重大損失的例子，事件主要原因就是未能及時更新系統(tǒng)補丁造成的。

　　需要強調(diào)的是，補丁管理不是一次性的安全舉措，而是一個有序的嚴(yán)謹(jǐn)?shù)尼槍Σ煌瑢拥年P(guān)鍵基礎(chǔ)設(shè)施組件而計劃、審核、測試，并且實施的一個流程，需要持續(xù)地、堅持地進行。

　　日志集中收集和規(guī)劃審計策略

　　現(xiàn)在的系統(tǒng)和設(shè)備的日志功能已經(jīng)發(fā)展得越來越豐富了，由于IT組件眾多，日志中的信息量極大，如果不合理規(guī)劃，很難有效收集，及時發(fā)現(xiàn)安全問題。

　　安全加固首先要做好策略計劃，比如需要記錄哪些類設(shè)備的日志，記錄哪些內(nèi)容，必須記錄還是可選記錄等，記錄標(biāo)志等；然后規(guī)劃一個集中收集、管理日志的方法，比如配置日志文件定期歸檔，搭建日志服務(wù)器，集中收集關(guān)鍵日志，并集成自動分析和安全報警流程，可以及時發(fā)現(xiàn)安全隱患、可疑入侵，比如：系統(tǒng)多次被未授權(quán)用戶登錄，文件被可疑刪除等。

　　系統(tǒng)日志管理已經(jīng)是安全加固不可缺少的策略之一了。

　　（訪問過程）加密

　　我們在“加密”前特地加上“訪問過程”，旨在強調(diào)，這里的安全加固是針對訪問過程安全保護的，包括： 遠(yuǎn)程登錄（ssh, rdp, vnc）。通過網(wǎng)頁訪問的應(yīng)用程序，數(shù)據(jù)傳輸?shù)龋宦山谩懊魑摹倍褂眉用軈f(xié)議配置等。比如，在系統(tǒng)或網(wǎng)絡(luò)設(shè)備安全配置中默認(rèn)禁用ftp，telnet，啟用TLS/SSL，用ldapsi進行認(rèn)證連接，默認(rèn)web訪問用https而非http等等。

　　下面我們對每一層需要特別加固的部分再作進一步闡述。

　　3.2）安全加固基本策略和原則

　　網(wǎng)絡(luò)為企業(yè)的關(guān)鍵基礎(chǔ)設(shè)施之一，因此保護公司整體網(wǎng)絡(luò)安全尤其重要，其安全控制措施之一就是對網(wǎng)絡(luò)進行安全加固，以防止對網(wǎng)絡(luò)層未授權(quán)的訪問或攻擊。

　　這個層的安全加固側(cè)重針對路由器、交換機、防火墻、無線、VPN等關(guān)鍵網(wǎng)絡(luò)設(shè)備及其相關(guān)配置。安全加固要基于“分級隔離”，“關(guān)閉不需要的物理網(wǎng)絡(luò)端口”、“先授權(quán)再允許訪問”的原則。

　　除此之外，加固的重點項列舉如下：

　　精細(xì)化打磨防火墻策略，梳理和有序控制網(wǎng)絡(luò)流量

　　我們從實踐中體會到，防火墻策略的制定是門“藝術(shù)”細(xì)活，制定規(guī)則不能太寬泛，特別是在公有云上的環(huán)境，安全組和訪問控制規(guī)則要根據(jù)架構(gòu)、訪問人員、來訪地點嚴(yán)格控制和審查。關(guān)于云上的網(wǎng)絡(luò)安全加固，建議大家閱讀微軟的“適應(yīng)性網(wǎng)絡(luò)安全固化”[7]一文，值得學(xué)習(xí)并運用到生產(chǎn)環(huán)境中。

　　但是，防火墻規(guī)則也不能一刀切得過度限制，否則會給業(yè)務(wù)效率帶來負(fù)面影響。比如：在等級最高的研發(fā)環(huán)境中，研發(fā)團隊是跨區(qū)協(xié)同工作的，如果過度限制了應(yīng)用程序和數(shù)據(jù)的訪問，會導(dǎo)致項目數(shù)據(jù)不能同步共享，從而影響項目開發(fā)進度。

　　運用OOB（Out of Band）進行遠(yuǎn)程訪問控制。

　　網(wǎng)絡(luò)層的遠(yuǎn)程訪問是經(jīng)常需要的，比如：管理員需要遠(yuǎn)程訪問數(shù)據(jù)中心的網(wǎng)絡(luò)設(shè)備安裝、更新或排錯。傳統(tǒng)的做法是管理員打開特定的端口進行遠(yuǎn)程操作，按時這個開放的端口也給黑客有了可乘之機，他們會利用這個端口入侵系統(tǒng)環(huán)境。OOB技術(shù)能阻止和預(yù)防這類安全風(fēng)險。

　　無線訪問安全

　　這里特別強調(diào)無線訪問的安全，因為無線網(wǎng)絡(luò)相對有線網(wǎng)絡(luò)更容易被攻擊。

　　無線安全加固重點在于通過 802.1X協(xié)議-安全證書方式來進行認(rèn)證和授權(quán)訪問。

　　CIS有專門對主流品牌，比如Cisco，Checkpoint, Juniper等網(wǎng)絡(luò)產(chǎn)品的安全基準(zhǔn)指南，可以下載做安全評估。

　　3.3）主機的安全加固

　　主機安全加固主要是對主機和及其相關(guān)的用戶終端設(shè)備（筆記本、臺式機、Pad）的安全管理和加固。

　　加固側(cè)重對設(shè)備硬件和軟件的資產(chǎn)（CMDB）的管理配置，防止未經(jīng)授權(quán)和登記的設(shè)備連入企業(yè)網(wǎng)絡(luò)；當(dāng)然除了訪問控制，對高安全性區(qū)域的進入還可以增加雙因素登入方式，提高接入門檻；終端設(shè)備還會強化移動設(shè)備接入的管理，比如通過安全策略禁止對USB的寫入或者讀寫。

　　主機安全還應(yīng)該根據(jù)其使用場景，分類放置于數(shù)據(jù)中心的不同安全域。

　　3.4）操作系統(tǒng)的安全加固

　　操作系統(tǒng)安全加固顧名思義就是專門針對各類操作系統(tǒng)的安全配置定制。也許你會想，我們已經(jīng)做了嚴(yán)格的物理和網(wǎng)絡(luò)層隔離了，還有必要對操作系統(tǒng)進行安全加固嗎？答案是：肯定有必要的。

　　首先，操作系統(tǒng)是有漏洞，凡是有漏洞，就會有安全隱患；其次，不同操縱系統(tǒng)的用戶賬號可能沒有做集成，比如有的公司的研發(fā)環(huán)境，工程師可能有AD、NIS、VNC3套以上的賬號和密碼，為了省事，員工經(jīng)常使用弱密碼，甚至共享賬號和密碼，重要的項目信息很容易被看到，并以某種方式傳出去。

　　前面已經(jīng)提到，操作系統(tǒng)的安全加固不僅對安全風(fēng)險起了“屏蔽”作用，而且安全加固是基于安全基準(zhǔn)標(biāo)準(zhǔn)化定制的，因此部署會非常快捷而高效。

　　最小化安裝系統(tǒng)工具、軟件和服務(wù)，避免不必要的端口和服務(wù)打開而留下“后門”隱患；

　　部署防病毒軟件和病毒數(shù)據(jù)庫的定期更新，對于windows環(huán)境相信大家已經(jīng)作為默認(rèn)實踐，不過有的公司還參照CIS的建議，對于Linux的操作系統(tǒng)，安裝AIDE[]和防病毒軟件，如果在公有云上的場景里，建議在非安全區(qū)域里采用；

　　OS層的防火墻定制

　　OS層的防火墻建議根據(jù)實際環(huán)境定制，比如在高安全的計算域里，因為在網(wǎng)絡(luò)層方面已經(jīng)定制了嚴(yán)謹(jǐn)?shù)姆阑饓σ?guī)則，所以在Linux 操作系統(tǒng)層可以忽略此定制，否則會造成重復(fù)或過度加固；另外一種情況，用戶如果覺得自己的網(wǎng)絡(luò)層配置還不夠成熟，或者是在多方協(xié)同合作的環(huán)境中，就可以考慮在OS層啟用和配置防火墻規(guī)則。

　　我們建議通過運用Ansible，結(jié)合CIS安全基準(zhǔn)來自動化地實現(xiàn)Linux系統(tǒng)和網(wǎng)絡(luò)層的安全加固，這樣會大大提高研發(fā)環(huán)境的安全性和管理效率。

　　3.5）應(yīng)用層的安全加固

　　應(yīng)用層的安全加固，也稱為“應(yīng)用程序安全屏蔽”。它旨在針對企業(yè)重點使用的應(yīng)用程序，進行強化安全配置，提升應(yīng)用層的安全防護，防止IP被盜，代碼泄露、不合規(guī)濫用或惡意篡改等。

　　應(yīng)用層的加固也是根據(jù)安全域、安全級別先做選擇、分類分級，然后制定不同的安全配置策略來進行加固，除了本章3.1節(jié)提到的幾個基本加固重點以外，還需要考慮增強對應(yīng)用程序中的代碼保護措施，工具包的生命周期管理，更新管理、應(yīng)用程序配置標(biāo)準(zhǔn)化等。

　　此外，建議對應(yīng)用程序做瘦身處理，比如刪除sample文件和附帶的默認(rèn)密碼，禁用或刪除不需要的功能組件，不要將多個功能的應(yīng)用裝在同一臺服務(wù)器上等。

　　廠商也在致力于對產(chǎn)品的安全加固，比如像提供配置和生命管理周期產(chǎn)品的達(dá)索這樣的大廠商，更是將安全要素融入到了產(chǎn)品的開發(fā)設(shè)計中[8]，那么對這類產(chǎn)品我們就可以比較輕松地按照廠商給的建議來做安全加固。

　　對于芯片研發(fā)環(huán)境，比較大的應(yīng)用程序都內(nèi)嵌數(shù)據(jù)庫，可以考慮對數(shù)據(jù)庫另外再做一層加固，如果數(shù)據(jù)庫涉及高度敏感的數(shù)據(jù)，更要考慮做加密處理。

　　3.6）數(shù)據(jù)層的安全加固

　　數(shù)據(jù)層的安全加固無疑需要最“堅實”的安全屏障，因為IP、研發(fā)數(shù)據(jù)和產(chǎn)品資料是芯片行業(yè)最為重視的安全保護核心，一旦泄露就可能對企業(yè)造成重大損失和影響。其加固重點在于圍繞存放數(shù)據(jù)和IP的存儲設(shè)備，訪問授權(quán)、傳輸路徑上的安全措施及其監(jiān)控和審計，針對芯片行業(yè)，建議措施如下：

　　對最敏感的設(shè)計數(shù)據(jù)和IP做加密保護，在災(zāi)備策略中，采用先加密再存放到備份介質(zhì)上

　　防止超級管理員訪問敏感數(shù)據(jù)

　　為Netapp配置NFS4.1 Kerberos加密來提升數(shù)據(jù)訪問安全性

　　數(shù)據(jù)加密傳輸，并增加監(jiān)控和審計控制措施

　　四、總結(jié)：

　　系統(tǒng)安全加固是以盡可能地降低企業(yè)安全風(fēng)險和威脅為目標(biāo)的，本文基于安全行業(yè)推薦的最佳實踐指導(dǎo)框架，結(jié)合芯片研發(fā)環(huán)境展開做了簡要介紹；根據(jù)研發(fā)環(huán)境不同的安全域，分級制定安全基準(zhǔn)，根據(jù)安全加固幾個原則推薦，對主要五個層：網(wǎng)絡(luò)層、應(yīng)用層、主機層、操縱系統(tǒng)層和數(shù)據(jù)層進行特別的安全加固：比如，修補漏洞、嚴(yán)控權(quán)限、布控防火墻規(guī)則等，希望通過在諸如“一個中心、三層隔離、五層安全控制”的安全體系下，通過對網(wǎng)絡(luò)、主機、操作系統(tǒng)、應(yīng)用程序和數(shù)據(jù)這五個關(guān)鍵層的安全加固和特別控制，建造起有效的阻止入侵和防止數(shù)據(jù)泄露的安全防線。

　　最后，我們要強調(diào)的是，安全加固不是一個一次性項目，而是一個從計劃到評估基準(zhǔn)線再到測試最后部署的一個持續(xù)而不斷更新的流程。“千丈之堤，以螻蟻之穴潰；百尺之室，以突隙之熾焚” ！信息安全的城墻需要細(xì)致、全面而長期的努力！