保护服务器的企业标准。

Question

这一定是要问的最广泛的问题，但多年来，我已经想出了我自己的事情清单--为了保护我的服务器，我遵循我可以在网上收集的明显步骤，例如密码长度，iptables，/etc/主机，路由，数据包安全，安全补丁等等。

我想知道这个行业是否有一个标准，不管是公共部门还是私营部门，我都可以用它来衡量我的步调。我知道外面很少，但是标准是什么呢？

Answer 1

标准是一般的，由高层次的原则组成。指南的重点是实用安全。核对表是最详细的文档。

有多个机构制定安全标准。ISO/IEC 27002是当今应用最广泛的安全标准之一，它始于1995年。本标准由三个基本部分组成，BS 7799第1部分、第2部分和第3部分。最近该标准已成为ISO 27001。但这是一个非常高级别的标准，不涉及配置细节。讨论了建立信息安全基础设施(BS 7799 part 1)、信息安全管理系统(BS 7799 part 2)和风险分析与管理(BS 7799 part 3)。

您正在询问指南，美国国家标准和技术研究所(NIST)已经发布了一些关于网络安全的专门出版物。这是来自NIST的通用服务器安全指南。本一般文档讨论了保护服务器的必要性，并为选择、实现和维护必要的安全控制提供了建议。

NSA为各种软件开发和分发安全配置指南，包括开源软件和专有软件。

• 应用程序
• 数据库服务器
• 操作系统
• 脆弱性技术报告

有关保护某些安装的更多详细文档，请参阅NIST的国家核对清单方案储存库。NCP安全检查表(或基准)为设置操作系统和应用程序的安全配置提供了详细的低级别指导。例如，有用于保护以下内容的检查列表：

• 网络服务器
• 电子邮件服务器
• 应用服务器
• 操作系统