脑图知识点整理一

2017-09-07 00:00:00 myh0st 信安之路

最近在看别人的脑图资料,在学习别人的资料的同时手打一遍加深一下记忆,在整理完所有脑图资料之后,总结一下,争取整一个完整的信息安全的框架结构,把各种知识点整理成一个系统,然后在把这些知识点一一展开进行解释说明,然后一本书就出现了,哈哈哈!想看原始脑图的点阅读原文

信息安全风险管理

信息安全实体

用户实体

高层管理

中层管理

系统管理员

网络管理员

应用管理员

开发人员

租赁商

承包商

用户

游客

设备实体

服务器

交换机

路由器

防火墙

防毒墙

web防火墙

dos防火墙

安全网关

负载均衡

IDS

IPS

网闸

终端

软件实体

服务器操作系统

终端操作系统

网络设备操作系统

安全设备操作系统

web服务程序

web应用程序

本地杀毒软件

本地监控软件

本地审计软件

本地入侵检测

数据库软件

FTP软件

CA认证软件

威胁

病毒

木马

蠕虫

后门

间谍软件

窃听软件

非授权访问网络资源

非授权访问系统资源

滥用权限非正常修改系统配置和数据

滥用权限泄露秘密信息

网络探测

信息收集

漏洞探测

嗅探

身份伪造

用户数据窃取或破坏

内部信息泄露

外部信息泄露

篡改网络配置

篡改系统配置

篡改安全配置

篡改用户身份信息

篡改业务数据信息

原发抵赖

接收抵赖

第三方抵赖

脆弱性

网络设备及主机脆弱性

网络结构设计

边界保护

外部访问控制

内部访问控制

物理保护

用户账户

口令策略

资源共享

事件审计

访问控制

系统配置

注册表加固

网络安全

系统管理

已公开的系统漏洞

协议安全

交易完整性

数据完整性

web服务程序配置

网络配置

系统配置

已公开的服务程序漏洞

web应用脆弱性

SQL注入

OS注入

LDAP注入

代码注入

XML注入

HTML框架注入

HTML链接注入

格式化字符串

HTTP  SPLITTING/SMUGGLING

缓冲区溢出

用户枚举

用户账户遍历

暴力破解

记住密码和密码重置弱点

认证模式绕过

回话固定

会话变量泄露

错误的cookies属性

反射性xss

存储型xss

基于DOM的xss

Flash跨站

SSL/TLS配置错误

数据库配置错误

中间件配置错误

应用程序配置错误

未使用加密传输

目录遍历

授权绕过

任意文件上传

任意文件下载

CSRF

已知存在漏洞的web服务软件

已知存在漏洞的web服务程序

已知存在漏洞的web服务组件

任意重定向

网络区域划分

业务专网

广域网接入区

外联网接入区

互联网接入区

核心区

业务应用区

身份认证区

网络应用区

安全管理区

运维监控区

运维接入区

开发测试区

灾备接入区

办公局域网区

外联网

短信平台

移动GPRS专线

网银

呼叫中心

DDOS的9个误区

DDoS是一种破坏性很强的攻击,且危害极大

DDoS攻击都来自PC组成的僵尸网络

“黑客”正把目光由PC移向高性能服务器,比如“燕子行动”、此外,真是的参与者组成的“自愿型僵尸网络”也成为新的形势,黑客组织Anonymous就这么做过。

都是消耗网络带宽资源的攻击

DDoS攻击的方法有消耗网络带宽、消耗系统资源和应用资源,比如SYN洪水攻击就是为了耗尽系统连接表资源。相同的攻击流量的SYN洪水攻击会比UDP洪水攻击的危害更大。

DDoS攻击都是洪水攻击

虽然洪水攻击占据了DDoS方法中相当大的比例,但慢速攻击(low and slow attack)也很危险。它会缓慢而坚定的发送请求并长期占用,一点一滴的蚕食目标的资源。

咱不惹事。也不出名,不会被盯上的

规模较小的网站防护能力薄弱,更容易得手,只要你的网站是可被攻击的那么它就可能在于DDoS。

DDoS攻击都是专业“黑客”发起的

DDoS攻击有时确实普通人租用“攻击服务”来完成。发起者可能是网络黑帮、竞争对手、被开除的员工::威胁无处不在。

DDoS就是单纯的搞破坏

单纯搞破坏的DDoS其实很少,获取利益才是攻击者的目的。通过敲诈勒索获取利益,或是在关键时刻攻击竞争对手来夺取市场。为了利益,攻击者无所不用其极!

用防火墙和IDS/IPS能够缓解DDoS攻击

目前的DDoS攻击大部分基于合法数据包,防火墙难以有效监测;同时,防火墙是以高强度的监测作为代价来进行防护的。DDoS攻击中的海量流量会造成防火墙性能几句下降。

系统优化和增加带宽就能有效缓解DDoS攻击

这两种方法有一些作用,但攻击者增大DDoS攻击规模的成本并不高。当攻击者城北增大攻击规模和攻击流量时,其作用就显得微乎其微了。

云清洗和本地设备可以相互代替

一般而言,云端清晰服务擅长应对流量型DDoS攻击;本地的缓解设备适合对抗系统资源消耗型和应用资源消耗型DDoS攻击。用户应该根据自己的业务特点和主要威胁,选择适合自身的解决方案。

信息安全等级保护实施指南

概述

实施原则

自主保护:自己组织实施安全保护

重点保护:根据业务特点,分级别来保护

同步建设:系统在新建、改建、扩建时同步规划与设计

动态调整:随系统变化而变化

角色和职责

国家管理部门:公安部、保密局、密码管理局

信息系统主管部门:做等保单位的上级主管单位

信息安全服务机构:做安全服务的、起名、天融信等安服公司

信息安全等级测评机构:一般是国家单位,信息安全测评中心等单位

信息安全产品供应商:产品提供商,深信服、绿盟,天融信等

实施的基本流程

信息系统定级

信息系统定级阶段的工作流程

信息系统分析

系统识别和描述:收集等保业务系统中所有信息,并文档化

信息系统划分:将信息系统按照特征划分出来,确定定级对象,文档化

安全等级保护等级确定

定级、审核和批准:按照定级规范定级,司机需要评级专家评审,输出信息系统定级评审意见

形成定级报告:综合各种文档,输出信息系统定级报告,通过定级报告可以了解到我们大致的机会,以及整体网络系统信息。

定级原理

第一级:信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益

第二级:信息系统受到破坏后,会对公民。法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不危害国家安全

第三级:信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害

第四级:信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害

第五级:信息系统受到破坏后,会对国家安全造成特别严重损害

定级方法

确定定级对象,按照对象受侵害的程度定级

总体安全规则

总体安全规划阶段工作流程

安全需求分析

基本安全需求确定:根据技术规范做差距评估,输出基本安全需求

额外/特殊安全需求的确定:特殊的保护要求做风险评估,提出保护需求

形成安全需求分析报告:综合基本现状,安全需求做出需求分析报告

总体安全设计

总体安全策略设计:形成纲领性安全策略、技术策略。管理策略。方针

安全技术体系结构设计:特出需要实现的安全技术措施。骨干网、系统间。子系统便捷。输出信息系统安全技术体系结构

整体安全管理体系结构设计:提出管理措施、职责、人员管理、介质设备、运行、应急,输出信息系统安全管理体系结构

设计结果文档化

安全建设项目规划

安全建设目标确定:依据总体方案提出各个时期的安全建设目标

安全建设内容规划:根据目标给出各个阶段安全建设内容

行程安全建设项目计划:时间与经费上对安全建设项目进行总体考虑,给出投资估算

安全设计与实施

安全设计与实施阶段的工作流程

安全方案详细设计

技术措施实现内容设计:将安全策略、技术体系。安全措施落实到产品功能或物理形态上

管理措施实现内容设计:根据安全管理需求,安全技术保障需求提出管理内容

设计结果文档化:形成详细设计方案,包括项目投资概算

管理措施实现

管理机构和人员设置:操作人员、文档管理人员、系统管理员角色说明

管理制度的建设和修订:人员职责与行为规范规定

人员安全技能培训

安全实施过程管理

技术措施实现

信息安全产品采购:根据方案详细设计具体指标选购产品,输出采购信息安全产品清单

安全控制开发

安全控制集成

系统验收:检验是否严格按照详细设计方案建设

安全运行与维护

安全运行与维护阶段的工作流程

运行管理和控制

变更管理和控制

安全状态监控

安全事件处理和应急预案

安全检查和持续改进

等级评测

系统备案

监督检查

信息系统终止

信息系统总之阶段的工作流程

信息转移、暂存和清除

设备迁移或废弃

存储介质的清除或销毁

企业安全防御

应用安全(官网、OA、ERP、APP、其他WEB应用)

软件应用

软件版本:收集软件版本、配置等信息

软件配置:目录权限控制颗粒度细化(读、写、执行)

软件漏洞:漏洞检测(渗透测试、漏洞扫描、基线扫描)

OWASP TOP 10

定期渗透测试

定期安全培训

终端、操作系统安全(员工使用的操作系统、门店系统等)

账号问题(弱口令、默认口令、账号管理)

系统注册登入入口密码强度测试

采用公钥、私钥(非对称加密算法)认证

定期清理离职人员账号

运维审计系统

双因子认证(如堡垒机)

病毒、木马

反病毒

虚拟桌面

网络安全(内网、外网。VPN)

办公网络

网络隔离、VLAN隔离只进不出

部署上网行为管理系统

生产网络

设置ACL

只开http与https

配置改动走变更流程

VPN

采用VPN

VPN使用双因子认证

物理安全(办公环境、异地灾备)

办公环境访问控制

刷卡。指纹身份鉴别

防尾随

内网机房建设合规

社会工程学攻击

安全意识培训

来历不明的U盘不插等

物理渗透

wifi访问控制

禁用wifi万能钥匙

BYOD管理

制定个人设备使用规范

异地灾备

BCP

DRP

数据安全(数据库、敏感信息)

数据库安全

数据加密与备份

数据库审计

数据库链接配置文件检查

密码强度测试(Hash碰撞测试)

用户信息、订单信息

用户隐私数据加密

交易内容。订单打码

产品技术文档访问控制

源代码

检查.svn/entries文件

检查.git、.DS_Store文件

巡查github等代码平台

业务安全(账号安全、作弊防范)

恶意注册

定期清理恶意注册账号

异常行为分析

撞库

登录处对用户预警与提示

双因子认证

线上活动作弊(电商类)

异常行为分析

参加众测

业务与安全平衡

划定风险管理级别

变更管理

完善产品发布流程(上线前测试)

SIEM系统结构

SIEM(security information and event management),顾名思义就是针对安全信息和事件的管理系统

审计数据源

网络设备、安全设备、主机。存储、数据库、中间件。应用/服务...(syslog、SNMP Trap、FTP、OPSECLEA、NETBIOS、ODBC、WMI、Shell脚本、VIP、Web Service等)

日志采集层

多协议采集->日志规范化->日志分类->日志过滤->日志合并->日志存储转发

业务层

实时事件流:实时分析、历史分析、信息可视化、关联分析引擎、查询引擎、日志聚合引擎

高性能海量存储代理:存储节点

应用层

综合展示、资产管理、日志审计、规则管理、告警管理、报表管理、权限管理、系统配置、知识配置、采集器管理、日志维护、应用层接口

社会工程学

介绍什么是社会工程学以及手法

网络钓鱼攻击手法及特点

利用虚拟邮件进行攻击

paypal、taobao、ebay

利用虚拟网站进行攻击

虚假的网络银行、虚假的网络商城、虚假的安全中心、虚假的网络中奖

利用IM程序进行攻击

MSN、QQ、微信

利用特洛伊木马进行攻击

间谍软件、键盘软件

利用系统漏洞进行攻击

各个系统漏洞(包括附属产品漏洞

利用移动通信产品进行网络钓鱼式攻击

家庭电话及移动电话等等

特点

存在着虚假性(欺骗性)、存在着针对性、存在着多样性、存在可识别性、存在综合性、存在时效性

密码心理学攻击手法

根据生日密码进行的密码猜解、针对用户移动电话或身份证铭文进行用户密码猜解、针对用户身边亲密朋友或者直属亲人的姓名或出生年月日进行用户密码的推算、系统自带默认使用的密码、较为常用多用的密码

收集敏感信息攻击手法

根据搜索引擎对于目标收集的信息以及资料、根据踩点以及调查所得到的信息以及资料、根据网络钓鱼式攻击所得到的信息以及资料、根据企业或者人员管理缺陷所得到的信息以及资料

其他较为少用的针对企业管理模式的手法

针对企业人员管理所带来的缺陷所得到的信息以及资料、针对企业人员对于密码管理缺陷所得到的信息以及资料、针对企业内部对于内部资料管理以及传播缺陷所得到的信息以及资料