- 博客(6)
- 收藏
- 关注
RSS订阅原创 企业中常见被攻击的手法(记录,需要下来学习,后期需要完善)
cc攻击: 攻击者借助代理服务器生成指向受害主机的合法请求,实现DDOS和伪装就叫CC攻击,模拟多个用户不停的进行访问,造成服务器并发量过大,服务机拒绝服务甚至宕机 账号类攻击: 账号密码试探,常见的撞库攻击,通过已知的账号密码去试探其他公司的账号系统 爬虫: 是一种按照一定的规则,自动地抓取万维网信息的程序或者脚本。 路径扫描: 通过目录遍历攻击可以获取系统文件及服务器的配置文件等等。一般来说,...
2019-02-28 19:02:53
269
原创 密码学与加密算法(一)凯撒密码集密码学基础
凯撒在传递信息时知道会有很多风险: 送信人可能就是敌人的 间谍, 或者可能在通过敌方兵力部署区域的途中遭到伏击。出于这些原因,他开发了一种密码学系统, 现在我们称之为凯撒密码。 这个系统自身相当简单,为了对消息进行加密,可以简单地将字母表中 的每个字母都替换为其后的第三个字母。例如,字母A被替换为D,而字母B则替换为E。如果在这个过程中到达了字母表的结尾,那么可以简单地返回到字母表的开始,这样字母...
2019-02-26 18:15:36
946
原创 互联网企业高级安全指南学习心得(三)防守体系的建设篇
防御体系建设三部曲 攻防对抗主要是三个层面的对抗:信息对抗、技术对抗、运营能力对抗 1.信息对抗: 知己知彼,从两方面:数据化和社会化。 数据化:企业自身的安全风险数据建设与分析,需要根据基线、拓扑数据、业务数据梳理清楚可能存在的攻击路径和攻击面,针对性设防。这些数据是动态变化的,需要持续运营,对于业务环境变更带来的新的攻击面与路径需要及时补防。 2.技术对抗: 通常情况下,对待攻防对抗,防守是处...
2019-02-26 16:59:59
344
原创 互联网企业高级安全指南学习心得(二)标准篇
安全标准和安全理论 安全标准的目的是为了给你一个参考的指引,它并没有代表可以堵住所有的攻击,只告诉你在安全领域你需要做的事,对实现和落地时需要你自己去决定的,就相当与一本目录。 ITIL(BS15000/ISO20000)–绝大多数互联网公司的运维流程是以ITIL为骨架建立的,甚至连内部的运维管理平台,监控系统上都能一眼看出ITIL的特征。 SDL–研发侧的安全管理,绝大多数公司都借鉴了微软的SD...
2019-02-26 16:17:28
237
原创 互联网企业高级安全指南学习心得(一)企业安全概念篇
企业安全总概念部分: 概念:企业安全是根据所处的产业地位、IT总投入能力、商业模式和业务需求为目标,而建立起来的安全解决方案以及保证方案实践的有效性而进行的一系列系统化、工程化的日常安全活动的集合。 包括内容: 1.网络安全:基础、狭义但核心的部分,以计算机和网络为主体的网络安全,主要聚焦再纯技术层面。 2.平台和业务安全:跟所在行业和主营业务相关的安全管理。 3.广义的信息安全:以IT为核心,除...
2019-02-26 16:00:30
451
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人