- 博客(26)
- 资源 (91)
- 收藏
- 关注
RSS订阅原创 三级等级保护之安全运维管理
安全通用要求环境管理a)应指定专门的部门或人员负责机房安全,对机房出入进行管理,定期对机房供配电、空调、温湿度控制、消防等设施进行维护管理;b)应建立机房安全管理制度,对有关物理访问、物品带进出和环境安全等方面的管理作出规定;c)应不在重要区域接待来访人员,不随意放置含有敏感信息的纸档文件和移动介质等。资产管理a)应编制并保存与保护对象相关的资产清单,包括资产责任部门、重要程度和所处位置等内容;b)应根据资产的重要程度对资产进行标识管理,根据资产的价值选择相应的管理措施;c)应对信息分类与标
2020-10-28 18:19:15
3127
1
原创 三级等级保护之安全物理环境
文章目录物理位置选择物理访问控制防盗窃和防破坏防雷击防火防水和防潮防静电温湿度控制电力供应电磁防护物理位置选择a)机房场地应选择在具有防震、防风和防雨等能力的建筑内;b)机房场地应避免设在建筑物的顶层或地下室,否则应加强防水和防潮措施。物理访问控制a)机房出入口应配置电子门禁系统,控制、鉴别和记录进入的人员。防盗窃和防破坏a)应将设备或主要部件进行固定,并设置明显的不易除去的标识;b)应将通信线缆铺设在隐蔽安全处;c)应设置机房防盗报警系统或设置有专人值守的视频监控系统。防雷击a)应将
2020-10-28 18:11:31
1339
1
原创 三级等级保护之安全通用网络
文章目录安全通用要求网络架构通信传输可信验证云计算安全扩展要求网络架构安全通用要求网络架构a)应保证网络设备的业务处理能力满足业务高峰期需要;b)应保证网络各个部分的带宽满足业务高峰期需要;c)应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址;d)应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段;e)应提供通信线路、关键网络设备和关键计算设备的硬件冗余,保证系统的可用性。通信传输a)应采用校验技术或密码技术保证通信过程中数据的完整
2020-10-28 18:06:41
736
1
原创 三级等级保护之安全建设管理
文章目录通用要求定级和备案安全方案设计产品采购和使用自行软件开发外包软件开发工程实施测试验收系统交付等级测评服务供应商选择云计算扩展要求云服务商选择供应链管理移动互联安全移动应用软件采购移动应用软件开发通用要求定级和备案a)应以书面的形式说明保护对象的安全保护等级及确定等级的方法和理由;b)应组织相关部门和有关安全技术专家对定级结果的合理性和正确性进行论证和审定;c)应保证定级结果经过相关部门的批准;d)应将备案材料报主管部门和相应公安机关备案。安全方案设计a)应根据安全保护等级选择基本安全
2020-10-28 18:00:49
1041
1
原创 三级等级保护之安全计算环境
文章目录身份鉴别访问控制安全审计入侵防范可信验证数据完整性数据保密性数据备份恢复身份鉴别a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;c)当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。访问控制a)
2020-10-27 17:50:35
2035
3
原创 三级等级保护之安全管理中心
安全通用要求系统管理a)应对系统管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行系统管理操作,并对这些操作进行审计;b)应通过系统管理员对系统的资源和运行进行配置、控制和管理,包括用户身份、系统资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复等。审计管理a)应对审计管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全审计操作,并对这些操作进行审计;b)应通过审计管理员对审计记录应进行分析,并根据分析结果进行处理,包括根据安全审计策略对审计记录进行存储、管理和查
2020-10-27 17:29:42
1580
原创 三级等级保护之安全管理制度
文章目录安全策略管理制度制度和发布评审和修订安全策略a)应制定网络安全工作的总体方针和安全策略,阐明机构安全工作的总体目标、范围、原则和安全框架等。管理制度a)应对安全管理活动中的各类管理内容建立安全管理制度;b)应对管理人员或操作人员执行的日常管理操作建立操作规程;c)应形成由安全策略、管理制度、操作规程、记录表单等构成的全面的安全管理制度体系。制度和发布a)应指定或授权专门的部门或人员负责安全管理制度的制定;b)安全管理制度应通过正式、有效的方式发布,并进行版本控制。评审和修订a)
2020-10-27 17:26:13
1112
2
原创 三级等级保护之安全管理人员
人员录用a)应指定或授权专门的部门或人员负责人员录用;b)应对被录用人员的身份、安全背景、专业资格或资质等进行审查,对其所具有的技术技能进行考核;c)应与被录用人员签署保密协议,与关键岗位人员签署岗位责任协议。人员离岗a)应及时终止离岗人员的所有访问权限,取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备;b)应办理严格的调离手续,并承诺调离后的保密义务后方可离开。安全意识教育和培训a)应对各类人员进行安全意识教育和岗位技能培训,并告知相关的安全责任和惩戒措施;b)应针对不同岗位制定不
2020-10-27 17:23:46
1464
原创 三级等级保护之安全管理机构
岗位设置a)应成立指导和管理网络安全工作的委员会或领导小组,其最高领导由单位主管领导担任或授权;b)应设立网络安全管理工作的职能部门,设立安全主管、安全管理各个方面的负责人岗位,并定义各负责人的职责;c)应设立系统管理员、审计管理员和安全管理员等岗位,并定义部门及各个工作岗位的职责。人员配备a)应配备一定数量的系统管理员、审计管理员和安全管理员等;b)应配备专职安全管理员,不可兼任。授权和审批a)应根据各个部门和岗位的职责明确授权审批事项、审批部门和批准人等;b)应针对系统变更、重要操作、
2020-10-27 17:21:08
1443
原创 三级等级保护之安全区域边界
安全通用要求边界防护a)应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信;b)应能够对非授权设备私自联到内部网络的行为进行检查或限制;c)应能够对内部用户非授权联到外部网络的行为进行检查或限制;d)应限制无线网络的使用,保证无线网络通过受控的边界设备接入内部网络。访问控制a)应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信;b)应删除多余或无效的访问控制规则,优化访问控制列表,并保证访问控制规则数量最小化;c)应对源地址、目.
2020-10-27 17:11:36
5165
原创 电脑装两块网卡,如何设置双网卡实现内外网都上
环境说明正常的是插上公司的网线,可以上网连上手机热点,可以上网连接互联网走的是网线的出口ip实现WLAN访问外网网线访问内网使用WLAN的出口访问外网设置路由route delete 0.0.0.0route add -p 0.0.0.0 mask 0.0.0.0 192.168.43.1route add -p 192.168.43.0 mask 255.255.255.0 192.168.43.1route print ...
2020-10-26 10:02:48
2400
原创 信息安全等级保护措施之数据安全技术
文章目录3个控制点数据完整性数据保密性数据备份与恢复摘抄3个控制点3个控制点数据完整性数据保密性数据备份与恢复数据完整性a)应能够检测到系统管理数据、鉴别信息和重要业务数据在传输过程中完整性受到破坏,并在检测到完整性错误时采取必要的恢复措施b)应能够检测到系统管理数据、鉴别信息和重要业务数据在存储过程中完整性受到破坏,并在检测到完整性错误时采取必要的恢复措施。数据保密性a)应采用加密或其他有效措施实现系统管理数据、鉴别信息和重要业务数据传输保密性b)应采用加
2020-10-25 22:16:20
2041
原创 信息安全等级保护措施之应用安全技术
8个控制点| 身份鉴别| 访问控制| 安全审计| 剩余信息保护| 通信完整性| 通信保密性| 抗抵赖| 软件容错身份鉴别a)应提供专用的登录控制模块对登录用户进行身份标识和鉴别b)应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别c)应提供用户身份标识唯—和鉴别信息复杂度检查功能,保证应用系统中不存在重复用户身份标识身份鉴别信息不易被冒用d)应提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施e)应启用身份鉴别、用户身份标识唯一性检查
2020-10-25 22:12:00
1041
原创 信息安全等级保护措施之主机安全技术
文章目录7个控制点身份鉴别访问控制安全审计剩余信息保护入侵防范恶意代码防范资源控制摘抄7个控制点7个控制点身份鉴别访问控制安全审计剩余信息保护入侵防范恶意代码防范资源控制身份鉴别a)应对登录操作系统和数据库系统的用户进行身份标识和鉴别b)操作系统和数据库系统管理用户身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换c)应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退岀等措施d)当对服务器进行远程管理时,应采
2020-10-25 22:09:39
1395
2
原创 信息安全等级保护措施之网络安全技术
7个控制点结构安全访问控制安全审计边界完整性检查入侵防范恶意代码防范网络设备防护结构安全a)应保证主要网络设备的业务处理能力**具备冗余空间**,满足业务高峰期需要b)应保证网络各个部分的**带宽满足业务高峰期**需要;)应在业务终端与业务服务器之间进行**路由控制**建立安全的访问路径;d)应绘制与当前运行情况相符的**网络拓扑结构图**e)应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按
2020-10-25 14:59:36
766
原创 信息安全等级保护措施之物理安全技术
文章目录10个控制点物理位置选择物理访问控制防盗窃和防破坏防雷击防火防水和防潮防静电温湿度控制电力供应电磁防护摘抄10个控制点物理位置的选择物理访问控制防盗窃和防破坏防雷击防火防水和防潮防静电温湿度控制电力供应电磁防护物理位置选择a)机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内b)机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。物理访问控制a)机房出入口应有专人值守,控制、鉴别和记录进入的
2020-10-25 14:55:50
1032
原创 信息安全等级保护概述
1.1 等级保护的定义定义信息安全等级保护是对信息和信息载体按照重要性等级分级别进行保护的一种工作,在中国、美国等很多国家都存在的一种信息安全领域的工作。信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作。在狭义上称为的一般指信息系统安全等级保护,是指对国家安全、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置的综合性
2020-10-25 00:06:20
3384
1
原创 业务授权访问模块之越权漏洞
越权漏洞越权漏洞就是指攻击者能够执行他原本没有权限执行的一些操作。也就是“超越了你所拥有的权限,干了你本来不可能干的事儿”。越权漏洞一般分为两种∶水平越权和垂直越权水平越权如果攻击者能够执行与自己同级别的其他用户能够执行的操作,这就存在水平越权漏洞。垂直越权如果攻击者能够执行某项功能,而他所属的角色并不具备该权限,这就存在垂直越权漏洞。危害1、导致用户敏感信息泄露2、导致用户信息被恶意添加、修改或删除漏洞原理产生原因主要是因为开发人员在对数据进行增、删、改、
2020-10-18 21:29:44
831
原创 登录认证模块之登录失败信息
登录失败信息介绍在用户登录系统失败时,系统会在页面显示用户登录的失败信息。例如一︰提交帐号在系统中不存在,系统提示登录失败信息:“用户名不存在”、“帐号不存在”等明确信息。例如二:提交帐号在系统中存在,则系统提示登录失败信息:“密码/口令错误”等间接提示信息.危害当系统存在登录功能,并且没有做好对应的模糊登录失败提示,会导致攻击者可根据此类登录失败提示信息内容,来判断当前登录帐号是否在系统中存在,从而进行有针对性的暴力破解口令测试。进行系统用户登录登录认证失败信息测试流程图如
2020-10-18 14:42:33
3702
原创 竞争条件漏洞原理
竞争条件指多个线程或者进程在读写一个共享数据时结果依赖于它们执行的相对时间的情形。在Web中沿用这个概念,当多个php进程对同一数据进行数据库读写操作时,可能会由于时序问题,造成一些逻辑错误的异常情况。超卖问题在真实情景中,开发人员可能会更熟悉超卖问题。超卖问题指在秒杀或抢购活动中,成功下订单买到商品的数量超过商品数量的上限的情况,这是任何抢购活动都要面临的难题。其实超卖问题本质就是我们这里所说的竞争条件(Race Condition ),我们可以参考超卖问题的分析与解决方案,来研究竞争条
2020-10-17 20:19:58
1640
原创 登录认证模块之密文对比认证
密文对比认证介绍在系统登录时密码加密正确流程是先将用户名和密码发送到服务器,服务器会把用户提交的密码经过Hash算法加密及加盐后和数据库中存储的加密值比对,如果加密值相同,则判定用户提交密码正确。危害有些网站系统的密码加密流程是在前台浏览器客户端先对密码进行Hash加密后传输给服务器并与数据库加密值进行对比,如果加密值相同,则判定用户提交密码正确以此流程会泄漏密码加密方式,导致出现安全隐患。密码加密方式泄露原理流程图登录测试抓取登录处的数据报,发现密码是加密的对密码
2020-10-17 20:15:06
737
原创 登录认证模块之cookie仿冒
cookie仿冒介绍定义服务器为了鉴别客户端浏览器会话及身份信息,会将用户身份信息写入在 Cookie中,并发送至客户端存储。攻击者通过尝试修改 Cookie中的身份,从而达到仿冒其他用户身份的目的,并拥有相关用户的所有权限。危害系统使用 Cookie机制进行用户身份鉴别时,攻击者可直接通过篡改请求中的 Cookie用户身份参数值来冒充仿冒他人,从而对目标系统及用户造成危害。认证身份冒用用户权限被操控漏洞原理cookie仿冒测试流程测试示例正常登录的COOKIE信息
2020-10-17 20:09:36
652
原创 登录认证模块之session测试
session会话认证定义:Session是应用系统对浏览器客户端身份认证的属性标识。Session中的用户信息会存放在应用系统服务器中。当浏览器客户端使用自身的 Session标识访问服务器时,服务器会根据 Session标识来查找对应的用户身份信息。危害:当系统使用 Session会话授权认证机制配置存在缺陷时,会导致攻击者利用配置缺陷风险进行对用户会话权限的盗取、操控等操作。Session会话固定Session会话注销失效漏洞分析seesion会话认证测试流程图测试方法
2020-10-17 20:05:46
835
原创 登录认证模块之本地加密传输
本地加密传输介绍http超文本传输协议(HTTP)被用于在Web浏览器和网站服务器之间传递信息,HTTP协议以明文方式发送内容,不提供任何方式的数据加密。因此HTTP协议不适合传输一些敏感信息,比如:密码登录支付交易、敏感信息查询等环节。httpsHttps协议是以通信安全为目标而创建的通信协议,即在HTTP协议下加入SsL(SecureSocketsLayer)安全套接层协议。简单来说,Https协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,它要比HTTP协议安
2020-10-17 20:01:46
735
原创 登录认证模块之暴力破解
介绍暴力破解测试是针对应用系统的用户登录帐号与密码进行的穷举测试,对登录帐号或密码进行逐一比较,直到找出正确的帐号与密码。产生原因当系统存在登录功能,并且没有做好对应的防护措施时,会导致攻击者通过穷举或其它方式猜解岀帐号及密码,从而对目标系统及用户造成危害。流程图.zip
2021-03-06
Xposed+JustTrustMe.zip
2021-01-19
VulnHub-Tr0ll1.zip
2021-01-12
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人