安全加固在安全甚至运维领域，已经是一个大家都不再感到陌生的名字了。相当多的安全甚至集成公司，都会再项目工程中提供此类服务。下面将一个大型运维环境的加固工作的记录与大家分享。

　　一、背景

　　本次项目之所能称之为大型项目，主要是基于如下几个特点：涉及的主机众多，总体主机数量在万台以上。涉及业务情况复杂、数量众多，其中重点大业务有数百个，而旗下子业务更为种类繁多。业务多为在线业务，对于中断的容忍度很低。涉及部门多，光运维层面的部门会涉及10余个左右，横向沟通成本较大。

　　二、困难

　　1) 选用何种层面的加固技术，是系统层?应用配置层?IDS配合iptables联动?抑或是kernel patch?

　　2) 涉及的主机多为在线业务，如何保证平滑切换。

　　3) 横跨多个部门，如何协调各个部门的人力资源具有相当难度。

　　4) 安全加固本身是叫好不叫座的东西，在完成项目后如何体现安全加固的效果?

　　5) 在自身进行了大量技术考量后，如何向技术部门验证你的说法，得到一线运维部门的支持?

　　三、思路

　　1) 争取运维线的上下层支持和理解。

　　2) 充分准备，数据支撑，取得认可。

　　3) 自动化部署，减轻工作量和误操作。

　　4) 充分考虑回退和规避运维风险。

　　5) 以点带面，分步骤部署。

　　四、准备阶段

　　安全加固项目的准备阶段主要的工作内容为:

　　1) 确定项目组成和成员的职责

　　2) 内容宣讲，介绍加固项目的工作内容。

　　3) 了解安全需求，打消存在的顾虑，争取配合和支持。

　　4) 对加固内容进行测试，后续工程中需要配合工具和文档进行准备。