接上一個(gè)學(xué)習(xí)筆記內(nèi)容繼續(xù):
配置系統(tǒng)安全參數(shù)哮翘。
刪除非必要功能掐禁,這一點(diǎn)確實(shí)有感觸。很多時(shí)候辉浦,對(duì)方可能根本都不知道自己的某些資產(chǎn)開放了什么樣的服務(wù)或功能弄抬,因此對(duì)于滲透測(cè)試來說,資產(chǎn)信息收集就變得十分重要宪郊。當(dāng)然站在被保護(hù)者的角度來說掂恕,關(guān)閉非必要的功能當(dāng)然是最優(yōu)的解決方法荔茬。
第三點(diǎn)使用強(qiáng)效加密法對(duì)所有非控制臺(tái)管理訪問進(jìn)行加密,這個(gè)是針對(duì)使用SSL或者早期的TLS來說的竹海,但是這里有個(gè)疑惑慕蔚,早期的TLS已經(jīng)是SSL3.1版本以上的吧?雖然與現(xiàn)在的發(fā)展過的TLS協(xié)議比較來說肯定有不足之處斋配,但是也還可以吧孔飒。〖枵可能這里要求挺高的坏瞄。當(dāng)然,一些明文協(xié)議(例如 HTTP甩卓、telnet)鸠匀,不會(huì)對(duì)流量進(jìn)行加密,所以截取明文數(shù)據(jù)包很容易獲得敏感數(shù)據(jù)逾柿。
要求3:保護(hù)持卡人數(shù)據(jù)
加密缀棍、截詞、掩蓋和散列等保護(hù)方法保護(hù)持卡人的數(shù)據(jù)安全机错。即使獲取到數(shù)據(jù)爬范,但是看不懂,沒用密鑰解密弱匪,相當(dāng)于獲取到無效數(shù)據(jù)青瀑。這一點(diǎn)我覺得應(yīng)該是非對(duì)稱的防守方式。同時(shí)還強(qiáng)調(diào)了兩點(diǎn):數(shù)據(jù)存儲(chǔ)量和保留時(shí)間萧诫。在合理的范圍下斥难,應(yīng)盡量減少數(shù)據(jù)存儲(chǔ)。
對(duì)于敏感數(shù)據(jù)帘饶,得到授權(quán)之后哑诊,也不要存儲(chǔ)。除非有正當(dāng)?shù)臉I(yè)務(wù)理由和絕對(duì)的存儲(chǔ)安全保障尖奔。
強(qiáng)密鑰+限制密鑰知道人數(shù)
要求4:加密持卡人在開放式公共網(wǎng)絡(luò)中的傳輸
還是數(shù)據(jù)在傳輸過程中的加密問題搭儒。
只接受可信任的密鑰或證書、使用安全協(xié)議提茁、加強(qiáng)加密程度。
無線安全:防止被竊聽而導(dǎo)致敏感信息的泄露馁菜。同樣茴扁,還是采用強(qiáng)效加密法。
PAN的概念汪疮?
維護(hù)漏洞管理計(jì)劃
要求5:為所有系統(tǒng)提供惡意軟件防護(hù)并定期更新殺毒軟件或程序
看到了很感興趣的關(guān)鍵詞:0day攻擊峭火。公司的情況我不太清楚毁习,但是就個(gè)人而言,很多人都覺得在自己的PC上安裝上牛逼的殺軟卖丸,就百毒不侵了纺且。其實(shí)真正的大廠生產(chǎn)的殺軟背后每天都會(huì)有團(tuán)隊(duì)對(duì)病毒庫進(jìn)行更新。既然是處于一種不斷更新的動(dòng)態(tài)的過程稍浆,說明殺軟并不是完美涵蓋所有漏洞载碌、病毒的。0day無疑是殺軟最大的敵人衅枫,對(duì)于白帽子來說嫁艇,挖到漏洞會(huì)第一時(shí)間交付給廠商,及時(shí)打補(bǔ)丁弦撩。但是對(duì)于做黑產(chǎn)的人來說步咪,情況就比較嚴(yán)重了。
所以即使安裝和配置了殺毒軟件或程序益楼,及時(shí)更新猾漫、修補(bǔ)、監(jiān)控也是很必要的感凤。
還是在說進(jìn)行安全更新并維護(hù)的問題静袖,引出了殺毒機(jī)制的三點(diǎn):
1、保持為最新
2俊扭、執(zhí)行定期掃描
3队橙、生成檢查日志
[圖片上傳中...(image.png-835c1a-1599038333613-0)]
確保殺毒機(jī)制積極運(yùn)行且無法被用戶禁用或更改,除非管理人員根據(jù)具體情況做出有時(shí)間限制的明確授權(quán)萨惑【杩担可能在個(gè)人PC上,除非安裝一些小工具之類的軟件庸蔼,需要暫時(shí)讓殺軟退出解总,其他情況殺軟應(yīng)該都會(huì)保持著積極運(yùn)行的狀態(tài)。但是對(duì)于公司而言姐仅,問題就變得多樣花枫、變化,有時(shí)需要上新新的業(yè)務(wù)或者服務(wù)掏膏,有時(shí)需要對(duì)系統(tǒng)做出變動(dòng)等等劳翰,這些情況可能需要禁用殺毒軟件。如果出于特定目的需要禁用殺毒保護(hù)馒疹,必須獲得正式授權(quán)佳簸。殺毒禁用期間,可能還需要實(shí)施其他安全措施颖变。
要求6:開發(fā)并維護(hù)安全的系統(tǒng)和應(yīng)用程序
