01.安全培训
作者:Lost Maniac
协作:李浩、袁文宇、I、Gòd、玄道k4n5ha0、johnathan、一条鱼、dubbo、夏韬、jsp-shell、108haili、1024、小乐天、fireeye、backlion、Minggle、Pa55w0rd
安全意识培训(全员)
- 邮件安全
- 钓鱼邮件
- 邮件伪造
- 第三方转存
- 检查发件人
- 开启二次验证
- 邮件转发
- 第三方代收
-
邮件附件敏感信息加密
-
病毒防范
- 什么是木马病毒
- 我安装哪些杀毒软件?
-
定期更新病毒库
-
浏览器安全
- 不浏览恶意网站
- 不从恶意网站下载软件
-
下载软件从官网下载
-
信息泄露
- 敏感数据上传到云笔记、GitHub
- 共享账号
- 使用公司邮箱注册外部账号或者私人账号
- 社交网络发布公司技术解决方案&保密产品信息
- 公司账号和私人账号要隔离
- 打印后及时取走
-
定期删除浏览记录和搜索记录
-
个人电脑安全
- 锁屏幕
- 不轻易插入陌生U盘
- 及时的系统更新
- 不从外部下载破解软件(有需要请找IT同学)
- 不将公司数据带离工作场所
- 电脑要加开机密码,防止电脑丢失后造成数据泄露
- 企业微信、微信、QQ、QQ群文件发送文件要打包加密
-
工作文档加密盘(利用如TrueCrypt的之类的加密软件)
-
密码泄露
- 根据调查显示目前全世界泄露账号密码以及个人隐私有800亿条
- 密码使用超过12位以上使用特殊字符、大小写字母和数字
- 密码不要与公司内部密码有关联
- 密码三个月要更换一次
-
不在浏览器上使用保存密码功能
-
WiFi安全
- 不连接不可信WiFi
- 连接不可信WiFi后需要连接VPN
- 不要在工作区私自桥接,共享办公网WIFI
-
不要使用WIFI万能钥匙等共享密码的APP
-
VPN以及OA安全
- VPN账号和OA账号仅自己持有
- 任何人不会和你以任何理由要VPN以及OA账号
-
VPN的动态验证短信不转发给其他人
-
客服注意事项
- 我在和谁聊天
- 确定对方身份的流程
- 我可以提供哪些信息
-
敏感操作回拨验证人员身份
-
物理安全
- 门禁
- 碎纸机(防止泄露商业信息)
- 视频监控
- 禁止人员尾随进入工作区
WEB安全开发
- XSS跨站漏洞
- SQL注入
- 跨站请求伪造漏洞
- 支付逻辑漏洞
- 越权漏洞
- 平行权限
- 验证码逻辑漏洞
- API未限速漏洞
- GitHub敏感信息泄露
- 法律风险意识
APP安全开发
- 数据安全
- 存储
- 传输
- 使用
- 验证
- 代码安全
- 逆向
- 调试
- 重新打包
- 环境特性
- 系统
- 组件
- 权限
- 端口
- 业务安全
- 逻辑漏洞
- 策略
- 合规
安全运维
- 服务器安全
- MFA登录
- 使用key登录
- 禁止弱密码登录
- 禁用无用账号
- 账号锁定策略(防止暴力破解,ssh:fail2ban)
- 检查特殊账号(空口令)
- 禁止root远程登录
- 关闭非必须服务器服务
- 安装IDS/IPS系统
-
进行日志收集
-
更新
- 系统版本要尽量贴近官方版本
-
软件版本(例如:php)要及时升级
-
日志
- 收集全面
- 实时传输
- 重点日志例如 ssh 内核日志 业务日志
-
业务日志要脱敏
-
软件安装
- 只允许可信软件源
- 需要新软件需要经过安全评估
-
业务代码尽量不使用root权限运行
-
网络安全
- ACL限制不需要互相访问的业务通讯
- 安全组不要附加
-
snmp修改团体名称
-
数据安全
- 杜绝弱口令
- 禁止匿名用户
- 数据库加密(按照最小化权限原则)
- Redis必须加密
- 大数据服务必须有鉴权
-
MongoDB必须加密码
-
流程安全控制
- 运维准入
- 域名开通流程
- VPN申请流程
-
跳板机申请流程
-
物理安全
- 机房服务器不允许使用USB接口
- VGA显示器应该处于退出状态
产品经理安全培训
- 敏感信息泄露
- 调试开关
- 防重签名
- http-dns
- 数据包劫持
- 登录机制安全性
- 防暴力破解
- 时间窗口合理性
- 不要成为短信轰炸机
- 任意用户密码重置