跳转至

01.安全培训

作者:Lost Maniac

协作:李浩、袁文宇、I、Gòd、玄道k4n5ha0、johnathan、一条鱼、dubbo、夏韬、jsp-shell、108haili、1024、小乐天、fireeye、backlion、Minggle、Pa55w0rd


安全意识培训(全员)

  • 邮件安全
  • 钓鱼邮件
  • 邮件伪造
  • 第三方转存
  • 检查发件人
  • 开启二次验证
  • 邮件转发
  • 第三方代收
  • 邮件附件敏感信息加密

  • 病毒防范

  • 什么是木马病毒
  • 我安装哪些杀毒软件?
  • 定期更新病毒库

  • 浏览器安全

  • 不浏览恶意网站
  • 不从恶意网站下载软件
  • 下载软件从官网下载

  • 信息泄露

  • 敏感数据上传到云笔记、GitHub
  • 共享账号
  • 使用公司邮箱注册外部账号或者私人账号
  • 社交网络发布公司技术解决方案&保密产品信息
  • 公司账号和私人账号要隔离
  • 打印后及时取走
  • 定期删除浏览记录和搜索记录

  • 个人电脑安全

  • 锁屏幕
  • 不轻易插入陌生U盘
  • 及时的系统更新
  • 不从外部下载破解软件(有需要请找IT同学)
  • 不将公司数据带离工作场所
  • 电脑要加开机密码,防止电脑丢失后造成数据泄露
  • 企业微信、微信、QQ、QQ群文件发送文件要打包加密
  • 工作文档加密盘(利用如TrueCrypt的之类的加密软件)

  • 密码泄露

  • 根据调查显示目前全世界泄露账号密码以及个人隐私有800亿条
  • 密码使用超过12位以上使用特殊字符、大小写字母和数字
  • 密码不要与公司内部密码有关联
  • 密码三个月要更换一次
  • 不在浏览器上使用保存密码功能

  • WiFi安全

  • 不连接不可信WiFi
  • 连接不可信WiFi后需要连接VPN
  • 不要在工作区私自桥接,共享办公网WIFI
  • 不要使用WIFI万能钥匙等共享密码的APP

  • VPN以及OA安全

  • VPN账号和OA账号仅自己持有
  • 任何人不会和你以任何理由要VPN以及OA账号
  • VPN的动态验证短信不转发给其他人

  • 客服注意事项

  • 我在和谁聊天
  • 确定对方身份的流程
  • 我可以提供哪些信息
  • 敏感操作回拨验证人员身份

  • 物理安全

  • 门禁
  • 碎纸机(防止泄露商业信息)
  • 视频监控
  • 禁止人员尾随进入工作区

WEB安全开发

  • XSS跨站漏洞
  • SQL注入
  • 跨站请求伪造漏洞
  • 支付逻辑漏洞
  • 越权漏洞
  • 平行权限
  • 验证码逻辑漏洞
  • API未限速漏洞
  • GitHub敏感信息泄露
  • 法律风险意识

APP安全开发

  • 数据安全
  • 存储
  • 传输
  • 使用
  • 验证
  • 代码安全
  • 逆向
  • 调试
  • 重新打包
  • 环境特性
  • 系统
  • 组件
  • 权限
  • 端口
  • 业务安全
  • 逻辑漏洞
  • 策略
  • 合规

安全运维

  • 服务器安全
  • MFA登录
  • 使用key登录
  • 禁止弱密码登录
  • 禁用无用账号
  • 账号锁定策略(防止暴力破解,ssh:fail2ban)
  • 检查特殊账号(空口令)
  • 禁止root远程登录
  • 关闭非必须服务器服务
  • 安装IDS/IPS系统
  • 进行日志收集

  • 更新

  • 系统版本要尽量贴近官方版本
  • 软件版本(例如:php)要及时升级

  • 日志

  • 收集全面
  • 实时传输
  • 重点日志例如 ssh 内核日志 业务日志
  • 业务日志要脱敏

  • 软件安装

  • 只允许可信软件源
  • 需要新软件需要经过安全评估
  • 业务代码尽量不使用root权限运行

  • 网络安全

  • ACL限制不需要互相访问的业务通讯
  • 安全组不要附加
  • snmp修改团体名称

  • 数据安全

  • 杜绝弱口令
  • 禁止匿名用户
  • 数据库加密(按照最小化权限原则)
  • Redis必须加密
  • 大数据服务必须有鉴权
  • MongoDB必须加密码

  • 流程安全控制

  • 运维准入
  • 域名开通流程
  • VPN申请流程
  • 跳板机申请流程

  • 物理安全

  • 机房服务器不允许使用USB接口
  • VGA显示器应该处于退出状态

产品经理安全培训

  • 敏感信息泄露
  • 调试开关
  • 防重签名
  • http-dns
  • 数据包劫持
  • 登录机制安全性
  • 防暴力破解
  • 时间窗口合理性
  • 不要成为短信轰炸机
  • 任意用户密码重置

引用