信息安全实体
用户实体
高层管理
中层管理
系统管理员
网络管理员
应用管理员
开发人员
租赁商
承包商
用户
游客
设备实体
服务器
交换机
路由器
防火墙
防毒墙
web防火墙
dos防火墙
安全网关
负载均衡
IDS
IPS
网闸
终端
软件实体
服务器操作系统
终端操作系统
网络设备操作系统
安全设备操作系统
web服务程序
web应用程序
本地杀毒软件
本地监控软件
本地审计软件
本地入侵检测
数据库软件
FTP软件
CA认证软件
威胁
病毒
木马
蠕虫
后门
间谍软件
窃听软件
非授权访问网络资源
非授权访问系统资源
滥用权限非正常修改系统配置和数据
滥用权限泄露秘密信息
网络探测
信息收集
漏洞探测
嗅探
身份伪造
用户数据窃取或破坏
内部信息泄露
外部信息泄露
篡改网络配置
篡改系统配置
篡改安全配置
篡改用户身份信息
篡改业务数据信息
原发抵赖
接收抵赖
第三方抵赖
脆弱性
网络设备及主机脆弱性
网络结构设计
边界保护
外部访问控制
内部访问控制
物理保护
用户账户
口令策略
资源共享
事件审计
访问控制
系统配置
注册表加固
网络安全
系统管理
已公开的系统漏洞
协议安全
交易完整性
数据完整性
web服务程序配置
网络配置
系统配置
已公开的服务程序漏洞
web应用脆弱性
SQL注入
OS注入
LDAP注入
代码注入
XML注入
HTML框架注入
HTML链接注入
格式化字符串
HTTP SPLITTING/SMUGGLING
缓冲区溢出
用户枚举
用户账户遍历
暴力破解
记住密码和密码重置弱点
认证模式绕过
回话固定
会话变量泄露
错误的cookies属性
反射性xss
存储型xss
基于DOM的xss
Flash跨站
SSL/TLS配置错误
数据库配置错误
中间件配置错误
应用程序配置错误
未使用加密传输
目录遍历
授权绕过
任意文件上传
任意文件下载
CSRF
已知存在漏洞的web服务软件
已知存在漏洞的web服务程序
已知存在漏洞的web服务组件
任意重定向
网络区域划分
业务专网
广域网接入区
外联网接入区
互联网接入区
核心区
业务应用区
身份认证区
网络应用区
安全管理区
运维监控区
运维接入区
开发测试区
灾备接入区
办公局域网区
外联网
短信平台
移动GPRS专线
网银
呼叫中心
DDOS的9个误区
DDoS是一种破坏性很强的攻击,且危害极大
DDoS攻击都来自PC组成的僵尸网络
“黑客”正把目光由PC移向高性能服务器,比如“燕子行动”、此外,真是的参与者组成的“自愿型僵尸网络”也成为新的形势,黑客组织Anonymous就这么做过。
都是消耗网络带宽资源的攻击
DDoS攻击的方法有消耗网络带宽、消耗系统资源和应用资源,比如SYN洪水攻击就是为了耗尽系统连接表资源。相同的攻击流量的SYN洪水攻击会比UDP洪水攻击的危害更大。
DDoS攻击都是洪水攻击
虽然洪水攻击占据了DDoS方法中相当大的比例,但慢速攻击(low and slow attack)也很危险。它会缓慢而坚定的发送请求并长期占用,一点一滴的蚕食目标的资源。
咱不惹事。也不出名,不会被盯上的
规模较小的网站防护能力薄弱,更容易得手,只要你的网站是可被攻击的那么它就可能在于DDoS。
DDoS攻击都是专业“黑客”发起的
DDoS攻击有时确实普通人租用“攻击服务”来完成。发起者可能是网络黑帮、竞争对手、被开除的员工::威胁无处不在。
DDoS就是单纯的搞破坏
单纯搞破坏的DDoS其实很少,获取利益才是攻击者的目的。通过敲诈勒索获取利益,或是在关键时刻攻击竞争对手来夺取市场。为了利益,攻击者无所不用其极!
用防火墙和IDS/IPS能够缓解DDoS攻击
目前的DDoS攻击大部分基于合法数据包,防火墙难以有效监测;同时,防火墙是以高强度的监测作为代价来进行防护的。DDoS攻击中的海量流量会造成防火墙性能几句下降。
系统优化和增加带宽就能有效缓解DDoS攻击
这两种方法有一些作用,但攻击者增大DDoS攻击规模的成本并不高。当攻击者城北增大攻击规模和攻击流量时,其作用就显得微乎其微了。
云清洗和本地设备可以相互代替
一般而言,云端清晰服务擅长应对流量型DDoS攻击;本地的缓解设备适合对抗系统资源消耗型和应用资源消耗型DDoS攻击。用户应该根据自己的业务特点和主要威胁,选择适合自身的解决方案。
信息安全等级保护实施指南
实施原则
自主保护:自己组织实施安全保护
重点保护:根据业务特点,分级别来保护
同步建设:系统在新建、改建、扩建时同步规划与设计
动态调整:随系统变化而变化
角色和职责
国家管理部门:公安部、保密局、密码管理局
信息系统主管部门:做等保单位的上级主管单位
信息安全服务机构:做安全服务的、起名、天融信等安服公司
信息安全等级测评机构:一般是国家单位,信息安全测评中心等单位
信息安全产品供应商:产品提供商,深信服、绿盟,天融信等
实施的基本流程
信息系统定级
信息系统定级阶段的工作流程
信息系统分析
系统识别和描述:收集等保业务系统中所有信息,并文档化
信息系统划分:将信息系统按照特征划分出来,确定定级对象,文档化
安全等级保护等级确定
定级、审核和批准:按照定级规范定级,司机需要评级专家评审,输出信息系统定级评审意见
形成定级报告:综合各种文档,输出信息系统定级报告,通过定级报告可以了解到我们大致的机会,以及整体网络系统信息。
定级原理
第一级:信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益
第二级:信息系统受到破坏后,会对公民。法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不危害国家安全
第三级:信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害
第四级:信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害
第五级:信息系统受到破坏后,会对国家安全造成特别严重损害
定级方法
确定定级对象,按照对象受侵害的程度定级
总体安全规则
总体安全规划阶段工作流程
安全需求分析
基本安全需求确定:根据技术规范做差距评估,输出基本安全需求
额外/特殊安全需求的确定:特殊的保护要求做风险评估,提出保护需求
形成安全需求分析报告:综合基本现状,安全需求做出需求分析报告
总体安全设计
总体安全策略设计:形成纲领性安全策略、技术策略。管理策略。方针
安全技术体系结构设计:特出需要实现的安全技术措施。骨干网、系统间。子系统便捷。输出信息系统安全技术体系结构
整体安全管理体系结构设计:提出管理措施、职责、人员管理、介质设备、运行、应急,输出信息系统安全管理体系结构
设计结果文档化
安全建设项目规划
安全建设目标确定:依据总体方案提出各个时期的安全建设目标
安全建设内容规划:根据目标给出各个阶段安全建设内容
行程安全建设项目计划:时间与经费上对安全建设项目进行总体考虑,给出投资估算
安全设计与实施
安全设计与实施阶段的工作流程
安全方案详细设计
技术措施实现内容设计:将安全策略、技术体系。安全措施落实到产品功能或物理形态上
管理措施实现内容设计:根据安全管理需求,安全技术保障需求提出管理内容
设计结果文档化:形成详细设计方案,包括项目投资概算
管理措施实现
管理机构和人员设置:操作人员、文档管理人员、系统管理员角色说明
管理制度的建设和修订:人员职责与行为规范规定
人员安全技能培训
安全实施过程管理
技术措施实现
信息安全产品采购:根据方案详细设计具体指标选购产品,输出采购信息安全产品清单
安全控制开发
安全控制集成
系统验收:检验是否严格按照详细设计方案建设
安全运行与维护
安全运行与维护阶段的工作流程
运行管理和控制
变更管理和控制
安全状态监控
安全事件处理和应急预案
安全检查和持续改进
等级评测
系统备案
监督检查
信息系统终止
信息系统总之阶段的工作流程
信息转移、暂存和清除
设备迁移或废弃
存储介质的清除或销毁
企业安全防御
应用安全(官网、OA、ERP、APP、其他WEB应用)
软件应用
软件版本:收集软件版本、配置等信息
软件配置:目录权限控制颗粒度细化(读、写、执行)
软件漏洞:漏洞检测(渗透测试、漏洞扫描、基线扫描)
OWASP TOP 10
定期渗透测试
定期安全培训
终端、操作系统安全(员工使用的操作系统、门店系统等)
账号问题(弱口令、默认口令、账号管理)
系统注册登入入口密码强度测试
采用公钥、私钥(非对称加密算法)认证
定期清理离职人员账号
运维审计系统
双因子认证(如堡垒机)
病毒、木马
反病毒
虚拟桌面
网络安全(内网、外网。VPN)
办公网络
网络隔离、VLAN隔离只进不出
部署上网行为管理系统
生产网络
设置ACL
只开http与https
配置改动走变更流程
VPN
采用VPN
VPN使用双因子认证
物理安全(办公环境、异地灾备)
办公环境访问控制
刷卡。指纹身份鉴别
防尾随
内网机房建设合规
社会工程学攻击
安全意识培训
来历不明的U盘不插等
物理渗透
wifi访问控制
禁用wifi万能钥匙
BYOD管理
制定个人设备使用规范
异地灾备
BCP
DRP
数据安全(数据库、敏感信息)
数据库安全
数据加密与备份
数据库审计
数据库链接配置文件检查
密码强度测试(Hash碰撞测试)
用户信息、订单信息
用户隐私数据加密
交易内容。订单打码
产品技术文档访问控制
源代码
检查.svn/entries文件
检查.git、.DS_Store文件
巡查github等代码平台
业务安全(账号安全、作弊防范)
恶意注册
定期清理恶意注册账号
异常行为分析
撞库
登录处对用户预警与提示
双因子认证
线上活动作弊(电商类)
异常行为分析
参加众测
业务与安全平衡
划定风险管理级别
变更管理
完善产品发布流程(上线前测试)
SIEM系统结构
SIEM(security information and event management),顾名思义就是针对安全信息和事件的管理系统
审计数据源
网络设备、安全设备、主机。存储、数据库、中间件。应用/服务...(syslog、SNMP Trap、FTP、OPSECLEA、NETBIOS、ODBC、WMI、Shell脚本、VIP、Web Service等)
日志采集层
多协议采集->日志规范化->日志分类->日志过滤->日志合并->日志存储转发
业务层
实时事件流:实时分析、历史分析、信息可视化、关联分析引擎、查询引擎、日志聚合引擎
高性能海量存储代理:存储节点
应用层
综合展示、资产管理、日志审计、规则管理、告警管理、报表管理、权限管理、系统配置、知识配置、采集器管理、日志维护、应用层接口
社会工程学
介绍什么是社会工程学以及手法
网络钓鱼攻击手法及特点
利用虚拟邮件进行攻击
paypal、taobao、ebay
利用虚拟网站进行攻击
虚假的网络银行、虚假的网络商城、虚假的安全中心、虚假的网络中奖
利用IM程序进行攻击
MSN、QQ、微信
利用特洛伊木马进行攻击
间谍软件、键盘软件
利用系统漏洞进行攻击
各个系统漏洞(包括附属产品漏洞
利用移动通信产品进行网络钓鱼式攻击
家庭电话及移动电话等等
特点
存在着虚假性(欺骗性)、存在着针对性、存在着多样性、存在可识别性、存在综合性、存在时效性
密码心理学攻击手法
根据生日密码进行的密码猜解、针对用户移动电话或身份证铭文进行用户密码猜解、针对用户身边亲密朋友或者直属亲人的姓名或出生年月日进行用户密码的推算、系统自带默认使用的密码、较为常用多用的密码
收集敏感信息攻击手法
根据搜索引擎对于目标收集的信息以及资料、根据踩点以及调查所得到的信息以及资料、根据网络钓鱼式攻击所得到的信息以及资料、根据企业或者人员管理缺陷所得到的信息以及资料
其他较为少用的针对企业管理模式的手法
针对企业人员管理所带来的缺陷所得到的信息以及资料、针对企业人员对于密码管理缺陷所得到的信息以及资料、针对企业内部对于内部资料管理以及传播缺陷所得到的信息以及资料
黑产运营流程
入侵者要做什么?
控制肉鸡、构建僵尸网络、控制重要主机、批量入侵主机、编写释放蠕虫、网站挂马、入侵游戏服务器、植入广告、植入暗链、侵占计算资源、发送垃圾邮件、挖掘系统漏洞、入侵路由器等
获取哪些信息?
窃取主机信息、窃取源代码、窃取个人隐私、控制数据库、盗窃银行账号、盗窃证券账号、盗窃信用卡号、盗窃虚拟货币、盗窃游戏账号等
出售哪些信息?
出售个人信息、出售个人隐私、出售主机信息、出售虚拟货币、出售控制权限、出售游戏账号、出售路由器后门、出售系统漏洞、出售关键技术/设计资料/财务数据、出售漏洞等
出售对象是谁?
敌对势力、情报买家、反动势力、竞争对手、中间批发商、传统销售商、非法勒索者、后门编写者、电信诈骗集团、技术爱好者、游戏销售平台、虚拟货币销售平台、银行卡复制者、电商/证券、黄色网站经营者、网站经营者等
达到的目的是什么?
敌对势力政治献金、宣传发动言论、执行破坏活动、收取佣金、洗钱、执行拒绝服务、提升搜索排名、诈骗/勒索/盗刷等一系列目的获得金钱。
信息系统生命周期安全
需求设计
提出安全需求点
防护措施
验证码的强度、密码的复杂度、通讯安全(https)等
数据保护
敏感信息分类、分级保护等
系统开发
开发设计
常见高危漏洞处理办法:SQL注入、XSS跨站攻击(包含盲打)、弱口令攻击、任意文件下载、数据导入、文件上传、逻辑漏洞、命令执行、遍历等
接口交互安全:内部互联、外部互联
第三方编辑器:FckEditor、ewebediter等
错误数据处理
编码
验证具体函数应用场景
1 SQL注入查看变量传入前是否有相应的过滤
2 XSS脚本要查看变量输入时是否编码
3 其他问题验证
引入OWASP ESAPI解决OWASP TOP10安全问题
测试
SIT测试(开发过程迭代测试)
黑盒测试:SQL注入、XSS跨站(包括盲打)、弱口令攻击、配置文件泄露(类似于.svn、.rar文件、.history等)、任意文件下载、数据导入、文件上传、逻辑漏洞、命令执行、钓鱼攻击、社会工程学、系统接口测试、遍历、导出安全测试报告等
白盒测试:工具自动代码审计、人工代码审计
手动人工安全测试
UAT测试(验收测试)
回归测试SIT测试所有问题暴露的安全问题
测试类型
文档测试、标准符合性测试、数据及数据库完整性测试、用户界面测试、功能测试、业务逻辑测试、性能测试、安全性测试、兼容性测试、配置测试、故障转移及恢复测试、易用性测试、可靠性测试、本地化及国际化测试、其他类型测试
系统上线
操作系统
内核优化:syn防护设置、并发连接数设置、文件并发
系统环境检查:操作系统补丁、防病毒软件
系统最小化:系统服务、端口、应用、文件权限、用户账户权限、ip访问策略
web容器
Apache:版本漏洞、性能优化、安全优化
Tomcat
Weblogic
Nginx
等
网络环境
安全设备:防火墙、IPS、IDS、堡垒机等
安全域划分:外网区(前端缓存)、内网区(数据缓存区、数据库区、办公区)、管理网(互联网管理-、企业内部管理)
安全策略:权限最小化原则
安全运维
周期安全评估、模拟渗透测试
渗透、审计工具(APPscan、burpsuite等)、审计流程、步骤
安全审计
对象:服务器、网络设备、安全设备、数据库周期安全审计
项目:有效账户控制、弱口令审计、权限审计、ACL访问审计、行为日志审计、设备自身配置安全审计
安全相关规范流程
网络端口开放策略规范、漏洞修补流程、安全事件处理流程、网站应用上线安全测试规范/流程
安全交流,分享,培训
部门内部分享/交流、跨部门培训(运维/QA/DEV)、面向企业的安全习惯/意识/TIPS
IDC相关的制度/规范标准
生产网络服务器/网络设备上线,下线流程、IDC边界端口/内部互访的ACL开放审批流程、服务器/网络设备账户,权限,行为审批流程、系统,网络,安全设备安全加固标准、重要数据的存储。传输加密规范,流程
数据库安全
数据库安全风险分析及对策
数据安全风险分析
数据被篡改、数据被盗取、用户身份被伪造
典型数据安全攻击方式
sql注入、网络窃听、未经授权的服务访问、密码破解、
数据库管理要点
数据库安全管理员独立性原则、最小权限原则、账户安全原则、安全审计原则、数据库安全防护原则
信息安全
内部环境安全
系统安全
邮件系统、OA系统、域控服务器、DNS服务器、FTP服务器、文件服务器、邮件服务器、数据库服务器、堡垒机、漏洞扫描、补丁升级、路由器、交换机、认证服务器、代理服务器、代码服务器等
网络安全
ARP防护、入侵检测、区域划分、无线安全、准入技术、流量分析安全**
病毒扫描、木马,蠕虫扫描、主机IDS防护、补丁更新
物理安全
机房门禁、保安、监控、报警
外部环境安全
应用安全
代码审计、注入扫描、xss扫描、webshell扫描、功能测试、waf部署、代码管理、编码规范
系统安全
漏洞扫描、端口扫描、补丁更新、弱口令检测、权限账户审计、配置管理、日志审计、异常行为检测、病毒木马后门检测
网络安全
ARP防护、入侵检测、流量分析、漏洞扫描、配置管理、安全区域划分、防DDOS
数据库安全
重要的信息加密、操作审计、日志审计、角色控制、数据库备份、补丁更新
操作安全
配置标准化、变更控制、堡垒机应用、操作账户安全、统一权限管理、日志管理
物理安全
业务安全
身份认证安全
暴力破解、cookie&session、加密测试
业务一致性安全
手机号篡改、邮箱和用户名更改、订单ID更改、商品编号更改、用户ID篡改
业务数据篡改
金额数据篡改、商品数量篡改、最大数限额突破、本地js参数修改
用户输入合规性
注入、xss、fuzz
密码找回漏洞
用户凭证暴力破解
返回凭证:url返回验证码及token、密码找回凭证在页面中、返回短信验证码
邮箱弱token:时间戳的md5、用户名、服务器时间
用户凭证有效性:短信验证码、邮箱token、重置密码token
重新绑定:手机绑定、邮箱绑定
服务器验证:最终提交步骤、服务器验证可控内容、服务器验证逻辑为空
用户身份验证:帐号与手机号码的绑定、帐号与邮箱帐号的绑定
找回步骤:跳过验证步骤、找回方式,直接发哦设置新密码页面
本地验证:在本地验证服务器的返回信息,确定是否执行重置密码、但是其返回信息是可控的内容或者可以得到内容、发送短信等验证信息的动作在本地进行,可以通过修改返回包进行控制
注入:在找回密码处存在注入漏洞
token生成:token生成可控
注册覆盖:注册重复的用户名
session覆盖
验证码突破
暴力破解、次数突破、回显测试、绕过测试
业务授权安全
未授权访问、越权测试
业务流程乱序
顺序执行缺陷
业务接口调用
恶意注册、短信炸弹、内容编辑
时效绕过测试
时间刷新缺陷、时间范围测试
安全事件
事前
信息收集、标准化、基础数据建立、风险评估、端口及漏洞扫描、病毒,木马,网马,webshell扫描、渗透测试、补丁更新、配置管理、安全域划分、事件响应团队及处理流程、日志收集、日志分析、安全预警体系、安全检测体系、安全防御体系、安全培训、账户登录及权限管理、跨部门交流
事中
管理路径分析、响应机制、防御及影响评估、流量,行为,攻击分析
事后
日志分析、调查取证、经验总结、加固