网络安全生产管理要求

最新推荐文章于 2024-09-09 13:45:00 发布
最新推荐文章于 2024-09-09 13:45:00 发布
阅读量1.3k 收藏 35
点赞数 43
文章标签: web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_77818256/article/details/139480322
版权

安全生产管理要求

01 安全意识要求

安全意识细则:

  1. 不准设置弱口令
  2. 不准使用非工作邮箱代收工作邮件;
  3. 不准点击来路不明邮件中的链接或打开附件;
  4. 不准将账号与口令以明文保存于终端上;不准将系统设计文档、网络拓扑等敏感信息存放于服务器上;
  5. 不准将本人使用的账号与口令告知他人;
  6. 不准在互联网上的外部网站或应用(如论坛、微博、时通信软件等)中使用与公司设备、系统相同的账号或口令;
  7. 不准允许来路不明的人员远程控制公司内各类设备或执行其告知的各项指令;
  8. 不准将各类应用的源代码上传至互联网上;
  9. 不准设置公司内业务系统为自动登录;
  10. 不准私自在办公网络及其他内网中搭建无线热点;
  11. 不准将终端同时跨接内外网;
  12. 不准未经审批开通内部系统的互联网出口。

02 安全交付要求

安全交付要求细则:

  1. 渗透范围只能对授权网站渗透,严禁对非授权网站进行渗透。远程渗透只允许采用公司隔离网 IP 出口对授权网站进行渗透,特殊情况 IP 变更需提前跟主管领导或项目经理报备。(售前、公安检查、网信办 cert 检查可适当扩大范围,需提前请示)
  2. 渗透前需先拔通隔离网 VPN,使用前需先申请加入邮件群组。
  3. 渗透测试服务交付过程中,尽量不上传 webshell或其他远控木马,如上传应截图后立刻删除,同时所采用的 webshell或其他远控木马版本应确保不存在后门,并在报告中说明路径地址以及标注是否删除(部分原因可能无法删除必须加粗说明)。上传的 webshell文件路径、密码需保证一定复杂度,且密码不允许出现侮辱性字段。
  4. 如果客户指定了渗透时间段,务必遵循在该时间段内开展渗透,严禁在非授权时间范围内进行渗透。渗透复测需由项目经理或渗透组长发起,禁止私自提前复测。
  5. 实施过程中发现或被告之客户业务系统出现异常,如宕机、访问缓慢等时间停止后续操作并向项目经理及主管领导汇报沟通,以控制影响面,方便弥补损失!
  6. 渗透测试过程中,尽可能避免权限提升操作以及添加账号等操作,如需使用应与项目经理或客户沟通告知风险。
  7. 对越权遍历ID等攻击行为,要求缩短请求次数以及频率。
  8. 严禁任何形式以及理由的拖库拖代码行为。
  9. 渗透过程中如需对生产业务系统用户密码进行修改的,如密码重置漏洞,修改初始化密码等行为,必须提前请示报备方可进行。渗透过程中如遇到修改、插入、删除等操作的功能,包括但不限于如编辑用户资料、删除用户信息、删除/修改收货地址等,严禁使用OR/XOR/NOT/&&/||/AND/ANY/SOME 等关键字构造逻辑真测试 SQL 注入,避免导致批量修改/插入/删除用户数据造成无法挽回工作失误。
  10. 对登录页弱口令进行穷举爆破时,应先测试单个用户判定系统是否有账号锁定策略,如有锁定策略应禁止大批量用户的密码穷举测试。
  11. 对于扫描器使用,禁止进行登录授权扫描,即不允许在扫描器中进行业务系统内部功能的扫描,避免插入大量脏数据到业务系统影响业务,只允许发起未登录的匿名扫描。
  12. 渗透测试过程中,如发现本公司产品存在安全漏洞、异常或缺陷,在提交给客户报告前先上报到项目经理或项目组长,不能擅自提交公司产品漏洞到客户。(家丑不可外扬)
  13. 渗透测试工作结束之后需还原客户现场,渗透测试结束后需检查后台是否有其他扫描进程在运行。
  14. 严禁在各类报告中插入病毒等样本。(防止报告门)

03 安全行为要求

安全行为要求细则:

  1. 在客户现场实施时,如果客户明确说了不能接入互联网,禁止在接入客户网络环境的情况下又同时接入自己的或公共的 WIFI上互联网。
  2. 不该问的不问、不该看的不看,不拍照、不定位、不发朋友圈等社交信息。
  3. 未经授权下不碰客户任何文档、设备。不准泄露客户及公司信息,严禁明文传输或将客户文档上传至互联网。
  4. 严禁在客户办公环境中打 CTF 比赛。
  5. 不准未授权扫描渗透。严格遵守国家法律、客户现场的工作纪律和公司的管理要求。
  6. 严禁参与黑产相关项目或在互联网上的外部网站、应用(如论坛、微博、微信等)讨论黑产项目运营方法、技术。
  7. 严禁在无授权情况下私自对公司的系统进行渗透测试,如发现问题,第一时间向各自主管领导反馈!
  8. 不准在非工作机处理工作文档,不准混用专用电脑与办公电脑。

03 安全保密要求

安全保密要求细则:

  1. 上网不涉密,涉密不上网;专机专用,不交又使用移动存储。
  2. 在敏感单位(如:公安、网信、军队、国安、工信等)工作时要主动问询相关规定并严格遵守。
  3. 敏感单位、项目用代号标记。
  4. 接受正规的保密培训、增强保密意识。
  5. 外网本绝对不要连入内网,同时内网本绝对不要连wifi。
  6. 专网专用,禁止一机两用:在客户场所,所有网线都不能自己随便乱插,当不知道哪根是互联网、哪根是公安(客户)专网时,务必要咨询客户,不能因为着急而自己去试,更不能想当然。
  7. 不能把手机电源线插到公安(客户)专网电脑上充电。
  8. 不能把个人优盘插到公安(客户)专网电脑上。
  9. 公安(客户)专网使用的加密优盘,需要询问客户是允许拷出还是拷入,并严格按要求操作,不能想当然。
  10. 公安(客户)专网涉密数据,没有经过客户允许时不能私自拍照、传播,更不能发布到互联网上。
  11. 在客户现场听到的任何有关需要保密的信息,不可以私自议论、讨论,更不可以随意向外散布,不能发朋友圈、微博。
  12. 在客户现场,看到的有关新闻信息,比如某人在某政府门口上访静坐拉横幅等不可以随意拍照发朋友圈、微博,这些信息是不能经过安全人员的手机传出去。
  13. 保密工作出现疏忽,会直接触犯刑法,严重情况会直接影响各人的人生走向,务必重视!
    安全生产管理要求
C亦可N
关注
办公网络中的安全隐患及防范措施
a38417的博客
03-15 1493
防火墙的职责就是根据本单位的安全策略,对外部网络与内部网络之间交流的数据进行检查,符合的予以放行,不符合的拒之门外。在网络环境的工作中隐藏很多的风险,因此在工作中应该养成良好的安全用网规范,如为办公电脑设置高强度的密码,不随意发送手机验证码,规范日常工作文件的传递流程等,都可以减少在网络中信息泄露等安全事故发生。即使电脑安装了安全软件,但安全软件一般无法检测社交软件中网址链接的安全性,而且用社交软件转发网页,网址可能会被隐藏,因此为确保安全,应树立更高的心理防线,禁止点击不明链接,防止造成网络安全事故。
远程办公人员抵制网络安全措施
suzhouzhongli的博客
09-28 200
远程办公更易受到网络攻击的趋势 在我们之前的文章中分析,由于当下卫生环境的影响,很多企业不得不采用远程居家办公的形式来开展企业运作,而经过研究发现,远程办公带来了更多的网络攻击风险。 我们知道企业信息安全,尤其是信息数据防泄密这块,很大程度上是依赖对人员的管控来进行的,而居家远程办公对这一块的防护就完全没有在企业办公时那么严苛。 最新的一项报告指出,约有30%以上的员工,这些员工大都在24岁以下,他们承认为了避免网络安全工作带来的不便,会直接跳过企业的安全策略流程来完成相应的工作。而这一举动.
网络安全规范(范例)
zcqq1980cn的专栏
09-08 2913
网络安全规范(范例)
网络安全之资产及攻击面管理
学而思(xiejava的blog)
03-05 3116
“摸清家底,认清风险”做好资产管理安全运营的第一步。那么什么是资产,资产管理的难点痛点是什么,如何做好资产管理,认清风险。带着这些问题我们来认识一下资产及攻击面管理
信息技术 安全技术 信息安全管理体系 要求
glb111的博客
01-30 1529
ISO/IEC 27000|GB/T 29246(本标准)信息技术 安全技术 信息安全管理体系 概述和词汇。
最新网络监控系统行业企业安全生产目标管理.pdf
10-01
我们可以提取出一系列与网络监控系统行业企业安全生产目标管理相关的重要知识点,这些知识点涵盖了安全生产目标管理制度、安全生产方针与目标、安全生产目标管理制度的适用范围和目的、安全生产目标管理制度引用的...
最新网络终端设备行业企业安全生产目标管理.pdf
10-01
在网络终端设备行业中,安全生产目标管理涉及到一系列详细的规定和流程,旨在为企业的安全生产提供明确的方向和管理依据。 首先,安全生产目标管理制度的目的是为了设定和控制安全生产风险,以及确立安全生产的绩效...
企业安全生产管理机构网络图与安全科.doc
10-10
企业安全生产管理机构网络图与安全科.doc
企业网络安全管理制度(策略、制度、解决方案)
06-06
随着企业信息化水平的逐步提高,网络安全与否,直接关系到油田生产和科研的正常进行。网络安全是一个系统的、全局的管理问题,网络上的任何一个漏洞,都会导致全网的安全问题。如果不进行有效的安全防护,网络信息...
网络安全】利用域名混淆绕过 CSRF 实现账户接管
等风来
09-08 326
传统的 CSRF 攻击依赖于表单提交,其中包含 application/x-www-form-urlencoded 或 multipart/form-data 类型的数据。这些表单数据可以直接由浏览器发送,而攻击者可以伪造表单提交。然而,application/json 类型的数据必须通过 JavaScript 的 fetch 或 XMLHttpRequest 发送,这要求攻击者的页面能够执行这段 JavaScript,并且满足 CORS(跨源资源共享)策略。
浅谈网络安全的认识与学习规划
qq_201729558
09-05 1186
本文主要介绍网络安全认识与学习规划
网络安全】漏洞挖掘之CVE-2019-9670+检测工具
等风来
09-09 221
CVE-2019-9670 是一个与相关的严重漏洞。ZCS 中的 AutoDiscover 服务存在不正确的 XML 解析处理,该漏洞可被利用来注入恶意 XML 代码(例如外部实体注入(XXE)攻击),从而导致服务器任意文件读取或远程代码执行 (RCE)。Zimbra < 8.7.11 版本中,攻击者可以在无需登录的情况下,实现远程代码执行。Zimbra < 8.8.11 版本中,在服务端使用 Memcached 做缓存的情况下,经过登录认证后的攻击者可以实现远程代码执行。
如何用3个月零基础入门网络安全?_网络安全零基础怎么学习
2401_84466224的博客
09-06 1660
我们知道计算机最早是在西方发明出来的,很多名词或者代码都是英文的,甚至现有的一些教程最初也是英文原版翻译过来的,而且一个漏洞被发现到翻译成中文一般需要一个星期的时间,在这个时间差上漏洞可能都修补了。”答案是否定的,黑客用的电脑,不需要什么高的配置,只要稳定就行.因为黑客所使用的一些程序,低端CPU也可以很好的运行,而且不占什么内存.还有一个,黑客是在DOS命令下对进行的,所以电脑能使用到最佳状态!观看学习近十年所有0day挖掘的帖,然后搭建环境,去复现漏洞,去思考学习笔者的挖洞思维,培养自己的渗透思维。
Web安全之SQL注入:如何预防及解决
J老熊
09-07 1441
SQL注入是一种通过在用户输入中嵌入恶意SQL代码的攻击方式。攻击者可以利用漏洞在未经授权的情况下访问数据库,执行原本不被允许的操作。例如,攻击者可以绕过身份验证、检索敏感信息,甚至删除数据。SQL注入是Web应用程序中最常见且最危险的安全漏洞之一,尤其是在涉及数据库操作的场景下,如电商交易系统。通过使用、严格的输入验证、最小权限原则以及使用ORM框架等方法,我们可以有效防止SQL注入攻击。开发人员需要养成良好的编码习惯,始终考虑潜在的安全问题,确保应用程序的安全性。
如何启动网络安全计划:首先要做的事情
网络研究观
09-07 972
保护数据不是一次性的活动,而是一个持续的适应和改进过程。
网络安全(黑客)——自学2024
最新发布
2401_84466325的博客
09-09 1861
网络安全是一种综合性的概念,涵盖了保护计算机系统、网络基础设施和数据免受未经授权的访问、攻击、损害或盗窃的一系列措施和技术。经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。
网络安全】漏洞挖掘
anquan2233的博客
08-29 1824
在springframeworl/expression/spel/stand/InternalSpelExpressionParser/doParseExpression()方法中、会在tokenizer.process()中 对token进行 源码与字节码的判断操作、继续向下。会进入到springframework/cloud/function/context/config/RoutingFunction/functionFromExpression()方法。Payload 的构造可以参考官方测试用例。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值