01.安全培训


最后更新时间:2018-11-15 11:09:51 +0800

作者:Lost Maniac

协作:李浩、袁文宇、I、Gòd、玄道k4n5ha0、johnathan、一条鱼、dubbo、夏韬、jsp-shell、108haili、1024、小乐天、fireeye、backlion、Minggle、Pa55w0rd


安全意识培训(全员)

  • 邮件安全
    • 钓鱼邮件
    • 邮件伪造
    • 第三方转存
    • 检查发件人
    • 开启二次验证
    • 邮件转发
    • 第三方代收
    • 邮件附件敏感信息加密
  • 病毒防范
    • 什么是木马病毒
    • 我安装哪些杀毒软件?
    • 定期更新病毒库
  • 浏览器安全
    • 不浏览恶意网站
    • 不从恶意网站下载软件
    • 下载软件从官网下载
  • 信息泄露
    • 敏感数据上传到云笔记、GitHub
    • 共享账号
    • 使用公司邮箱注册外部账号或者私人账号
    • 社交网络发布公司技术解决方案&保密产品信息
    • 公司账号和私人账号要隔离
    • 打印后及时取走
    • 定期删除浏览记录和搜索记录
  • 个人电脑安全
    • 锁屏幕
    • 不轻易插入陌生U盘
    • 及时的系统更新
    • 不从外部下载破解软件(有需要请找IT同学)
    • 不将公司数据带离工作场所
    • 电脑要加开机密码,防止电脑丢失后造成数据泄露
    • 企业微信、微信、QQ、QQ群文件发送文件要打包加密
    • 工作文档加密盘(利用如TrueCrypt的之类的加密软件)
  • 密码泄露
    • 根据调查显示目前全世界泄露账号密码以及个人隐私有800亿条
    • 密码使用超过12位以上使用特殊字符、大小写字母和数字
    • 密码不要与公司内部密码有关联
    • 密码三个月要更换一次
    • 不在浏览器上使用保存密码功能
  • WiFi安全
    • 不连接不可信WiFi
    • 连接不可信WiFi后需要连接VPN
    • 不要在工作区私自桥接,共享办公网WIFI
    • 不要使用WIFI万能钥匙等共享密码的APP
  • VPN以及OA安全
    • VPN账号和OA账号仅自己持有
    • 任何人不会和你以任何理由要VPN以及OA账号
    • VPN的动态验证短信不转发给其他人
  • 客服注意事项
    • 我在和谁聊天
    • 确定对方身份的流程
    • 我可以提供哪些信息
    • 敏感操作回拨验证人员身份
  • 物理安全
    • 门禁
    • 碎纸机(防止泄露商业信息)
    • 视频监控
    • 禁止人员尾随进入工作区

WEB安全开发

  • XSS跨站漏洞
  • SQL注入
  • 跨站请求伪造漏洞
  • 支付逻辑漏洞
  • 越权漏洞
  • 平行权限
  • 验证码逻辑漏洞
  • API未限速漏洞
  • GitHub敏感信息泄露
  • 法律风险意识

APP安全开发

  • 数据安全
    • 存储
    • 传输
    • 使用
    • 验证
  • 代码安全
    • 逆向
    • 调试
    • 重新打包
  • 环境特性
    • 系统
    • 组件
    • 权限
    • 端口
  • 业务安全
    • 逻辑漏洞
    • 策略
    • 合规

安全运维

  • 服务器安全
    • MFA登录
    • 使用key登录
    • 禁止弱密码登录
    • 禁用无用账号
    • 账号锁定策略(防止暴力破解,ssh:fail2ban)
    • 检查特殊账号(空口令)
    • 禁止root远程登录
    • 关闭非必须服务器服务
    • 安装IDS/IPS系统
    • 进行日志收集
  • 更新
    • 系统版本要尽量贴近官方版本
    • 软件版本(例如:php)要及时升级
  • 日志
    • 收集全面
    • 实时传输
    • 重点日志例如 ssh 内核日志 业务日志
    • 业务日志要脱敏
  • 软件安装
    • 只允许可信软件源
    • 需要新软件需要经过安全评估
    • 业务代码尽量不使用root权限运行
  • 网络安全
    • ACL限制不需要互相访问的业务通讯
    • 安全组不要附加
    • snmp修改团体名称
  • 数据安全
    • 杜绝弱口令
    • 禁止匿名用户
    • 数据库加密(按照最小化权限原则)
    • Redis必须加密
    • 大数据服务必须有鉴权
    • MongoDB必须加密码
  • 流程安全控制
    • 运维准入
    • 域名开通流程
    • VPN申请流程
    • 跳板机申请流程
  • 物理安全
    • 机房服务器不允许使用USB接口
    • VGA显示器应该处于退出状态

产品经理安全培训

  • 敏感信息泄露
  • 调试开关
  • 防重签名
  • http-dns
  • 数据包劫持
  • 登录机制安全性
  • 防暴力破解
  • 时间窗口合理性
  • 不要成为短信轰炸机
  • 任意用户密码重置

引用

×

订阅

最新的教程直接发送到您的收件箱。