互联网企业安全高级指南读书笔记之办公网络安全

最新推荐文章于 2019-02-26 16:59:59 发布
最新推荐文章于 2019-02-26 16:59:59 发布
阅读量676 收藏
点赞数
分类专栏: 读书笔记 互联网企业安全高级指南读书笔记 文章标签: 互联网企业安全高级指南 读书笔记 办公网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tan6600/article/details/79820262
版权

安全域划分

image_1c6bmaq30qtel8offgl481mf79.png-398.9kB

终端管理

补丁管理

  • 微软自身解决方案中的 SCCM(WSUS/SMS 替代品,支持 Linux 和 OSX)
  • 利用第三方终端管理软件中附带的补丁推送功能

组策略(GPO)

例如允许客户端运行软件的黑白名单,系统配置选项,USB 权限管理等

终端 HIPS

深究其技术意义不大,甲方唯一要做的就是选型,然后买

网络准入 NAC

  • 802.1x
  • 基于终端管理软件的 C/S 模式认证

image_1c6bmk8ld1qv7131d45a1isss0am.png-469.3kB

安全网关

NGFW/FW

如果 NGFW 的设计与实现上采用了联合威胁情报的大数据做判断的方法,相对来说会有更积极的意义

UTM/反病毒网关/NIPS/反垃圾邮件

基于应用层协议扫描和查杀,网关设备为 7 层协议提供实时扫描和防护的功能因为涉及性能问题在生产网络的应用面都比较窄,但在办公网络还是有比较大的销售价值

堡垒机

堡垒机虽然部署在办公网络的网关处,但主要为生产网络的远程接入提供行为审计

行为审计

行为审计主要是对员工上网行为做审计,有些设备对明文协议甚至是可破解的加密协议提供了截取和存储的功能

研发管理

防泄密

image_1c6boe0vq1mob16ra1vue1bti1dq91j.png-250.4kB

源代码管理

遇到有的人喜欢擅自把源代码同步到 GitHub 上的,最怕把密钥也同步出去,安全部门要考虑写一个爬虫去 GitHub 抓一下关键字

远程访问

双因素认证有效对抗暴力破解,更加谨慎的,在外网收邮件也用双因素认证

虚拟化桌面

终端用户只有一个通过 RDP/ICA 等协议得到一个远程桌面一样的界面,本地只有鼠标键盘,唯一的入口就是用户通过虚拟机(实际上虚拟机实例在服务器上)和 Internet 的连接把数据传出去

Citrix 是虚拟化桌面的领导厂商:
image_1c6bokbinkdl1j5i1dnl6g4u0e20.png-567.7kB

DLP 数据防泄密

DLP(Data Loss Prevention)的主流方案在互联网行业落地仍有很多问题,有很大改进空间,以 Symantec 的 DLP 架构为例:

image_1c6boq5v8gkghdj1tppago1qij2d.png-588.6kB

移动办公和边界模糊化

2015 年年中,Google 发布了 beyondCorp 项目,宣称其办公网络将取消内网

image_1c6bp33sindt1vver3q11a31cl13q.png-233.8kB

这种访问模式要求客户端是受控的设备,并且需要用户证书来访问。访问有通过认证服务器、访问代理以及单点登录等手段,由访问控制引擎统一管理,不同用户、不同资源有不同的访问权限控制,对于用户所处位置则没有要求。可以说,Google 的这种模式已经彻底打破了内外网之别。不过值得注意的是,Google 只是对办公网络这样做,而不是对生产网络

[网络安全自学篇] 五十六.i春秋老师分享小白渗透之路及Web渗透技术总结
杨秀璋的专栏
03-05 2万+
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文讲解了Windows漏洞利用知识和DEP堆栈执行保护机制,通过构造ROP链来绕过DEP保护,并编写漏洞利用脚本并实现自动化攻击。本文将分析i春秋YOU老师的小白渗透之路,并结合作者系列文章总结Web渗透技术点,非常适合初学者学习,希望对您有所帮助~
DAMA数据管理知识体系指南-读书笔记9
baidu_38792549的博客
10-26 1157
第九章文件和内容管理 一、引言 文件和内容管理是指针对存储在关系型数据库之外的数据和信息的采集、存储、访问和使用过程的管理。它的重点在于保持文件和其他非结构化或半结构化信息的完整性,并使这些信息能够被访问。 1.1业务驱动因素 文件和内容管理的主要业务驱动因素包括法律遵行性要求、诉讼响应能力和电子取证请求能力以及业务连续性要求。 法律法规要求组织保留某些活动的档案 电子取证是查找可能作为法律诉讼证据的电子档案的过程 组织应对电子取证请求的能力取决于其主动管理电子...
互联网企业安全高级指南-文前.pdf
09-20
互联网企业安全高级指南-文前.pdf
互联网企业安全高级指南读书笔记之基础安全措施
不急不躁
04-02 801
互联网服务安全域抽象示例 虚线部分代表安全域的边界,把不同的业务(垂直纵向)以及分层的服务(水平横向)切开,只在南北向的 API 调用上保留最小权限的访问控制,在东西向如无系统调用关系则彼此隔离 生成网络和办公网络 生产网络的 SSH 22 端口在前端防火墙或交换机上默认阻止访问 远程访问(运维连接)通过 VPN 或专线连接到机房生产网络 通过生产网络的内网而非外网登录各服务器或自...
互联网企业安全高级指南读书笔记之信息安全行业从业指南 2.0
不急不躁
03-31 1023
据我和朋友们观察,10 多年依赖在同一个公司同一个级别上的工程师,大多数安全比运维和开发的工资高,但 CTO 大多来自运维和开发,鲜有从安全晋升来的 本质上,安全行业是由理解网络攻防的人为核心构成的。只有以攻防为主线,和以安全咨询体系为主线的人才是和安全行业绑定的 安全管理的趋势: 企业安全管理最终都会向互联网公司学习 云是一种趋势 倾向于以技术和产品(工具自动化)解决问题 如果你是体...
互联网企业安全高级指南读书笔记之业务安全与风控
不急不躁
04-04 1691
帐号安全 注册 账号安全要从源头抓起,对抗垃圾注册的手段一般包括: 图片验证码 邮件验证码 短信验证码 语音验证码 电话语音验证码 逆向的协议如果经常变化或者复杂程度较高就会成为黑产的门槛,甲方安全团队应持有各种社工库,并随时更新,在用户注册时比对社工库内容,如个人注册信息相同,做出风险提示或者强制修改密码 登录 登录环节的问题包括:撞库、暴力破解、盗号登录、非常用设备登录...
互联网企业高级安全指南学习心得(一)企业安全概念篇
安全DOG
02-26 472
企业安全总概念部分: 概念:企业安全是根据所处的产业地位、IT总投入能力、商业模式和业务需求为目标,而建立起来的安全解决方案以及保证方案实践的有效性而进行的一系列系统化、工程化的日常安全活动的集合。 包括内容: 1.网络安全:基础、狭义但核心的部分,以计算机和网络为主体的网络安全,主要聚焦再纯技术层面。 2.平台和业务安全:跟所在行业和主营业务相关的安全管理。 3.广义的信息安全:以IT为核心,除...
《测试之美》--读书笔记
某技术爱好者的专栏
01-27 2505
《测试之美》--读书笔记 注:
黑莓黑客秘籍:定制与高级应用指南
4. **无线网络的解放**:讨论了如何利用黑莓进行无线互联网访问,包括Web浏览器和安全设置。 5. **无线调制解调器功能**:演示如何将黑莓用作移动热点,方便设备间的数据共享。 6. **远程控制电脑**:展示了如何通过...
ThinkPad X240用户指南-官方V5.0.pdf
08-31
连接网络是现代笔记本电脑使用的重点内容之一,ThinkPad X240用户指南为您提供了以太网连接和无线连接的详细步骤,确保您无论身处何地都能轻松接入互联网。同时,为了满足商务用户进行演示的需求,指南还介绍了如何...
互联网企业安全高级指南》笔记 —— By Kun_Sigma(2)
06-21
互联网企业安全高级指南》笔记 《互联网企业安全高级指南》笔记 《互联网企业安全高级指南》笔记 《互联网企业安全高级指南》笔记 --最好的
互联网企业安全建设高级指南资料汇编.zip
08-10
互联网企业安全建设思路 互联网企业安全高级指南 互联网企业安全建设落地实践 互联网企业落地等保2.0实践分享 工业互联网安全战略落地与推进建议 工业互联网安全实践与趋势分析 工业互联网时代的安全挑战与对策 从大型互联网企业零信任实践之路谈如何构建立体化的防御体系 等保2.0体系互联网合规实践白皮书 工业互联网体系架构 电信和互联网行业数据安全治理白皮书 电信和互联网大数据安全管控分类分级实施指南 传统型互联网公司在零信任建设上的思考 工业互联网的安全实践 数据驱动的工业互联网自适应防护框架 互联网网关最佳实践安全策略 工业互联网安全战略落地与推进建议 工业互联网安全架构白皮书 工业互联网企业网络安全分类分级指南 传统金融业务与互联网金融并存模式下的数据安全设计 电子认证在互联网司法服务中的作用 工业互联网数据安全白皮书 互联网医院平台化运营探索与实践 混合云下的DevOps在vivo互联网的探索落地 工业互联网及其驱动的制造业数字化转型 面向能源互联网的数据安全防护策略与创新技术思考 大型互联网平台SDL实践:业务风险深度评估 “互联网+”时代的 数据安全 互联网个人信息安全保护指南 移动互联网应用(App)收集个人信息基本规范 移动互联网医疗安全风控白皮书 “互联网+行业”个人信息保护研究报告 如何构建企业自身的工业互联网安全可视化体系 筑牢新基建时代工业互联网安全防线 工业互联网主要解决三大问题 构建可视、可管、可控的互联网 互联网行业高弹性系统构建最佳实践 下一代互联网安全解决方案 筑牢下一代互联网安全防线-IPV6网络安全白皮书 社区电商互联网甲方安全体系 威胁情报在互联网行业的应用 新一代工业互联网发展模式与成功实践:数据驱动的新价值网络 智能安全从边缘开始 保护企业免受互联网威胁的全新模式
互联网企业高级安全指南学习心得(三)防守体系的建设篇
安全DOG
02-26 358
防御体系建设三部曲 攻防对抗主要是三个层面的对抗:信息对抗、技术对抗、运营能力对抗 1.信息对抗: 知己知彼,从两方面:数据化和社会化。 数据化:企业自身的安全风险数据建设与分析,需要根据基线、拓扑数据、业务数据梳理清楚可能存在的攻击路径和攻击面,针对性设防。这些数据是动态变化的,需要持续运营,对于业务环境变更带来的新的攻击面与路径需要及时补防。 2.技术对抗: 通常情况下,对待攻防对抗,防守是处...
互联网企业安全高级指南读书笔记(3)
zhalang8324的博客
05-07 338
第八章 入侵感知体系主机入侵检测1.开源:OSSECMIG:救火利器OSquery:有一定IDC规模,有一定安全开发能力,对入侵检测有基于大数据理解的公司2.自研:架构设计:            行业法规需求            基础安全需求            企业自身的特殊安全风险需求            运维体系\网络环境适应Agent功能模块:            基线安全   ...
互联网企业安全高级指南读书笔记(2)
zhalang8324的博客
04-10 335
第一版读书笔记的内容太多,方式不行,严重影响看书效率,第二版 重新写。第七章网络安全网络入侵检测传统NIDS出口处部署,可以在1day披露的时候做虚拟补丁用NIDS可以为字眼NIDS争取时间。开源SNORT全流量NIDSIDC规模决定NIDS架构。D还是P对于门槛而言,发现远低于保护。厂商而言提供一个可以解决问题的平台,更重要的是能自定义规则,支持一种脚本语言,让甲方能够专注与自身核心业务安全。(...
互联网企业高级安全指南学习心得(二)标准篇
安全DOG
02-26 250
安全标准和安全理论 安全标准的目的是为了给你一个参考的指引,它并没有代表可以堵住所有的攻击,只告诉你在安全领域你需要做的事,对实现和落地时需要你自己去决定的,就相当与一本目录。 ITIL(BS15000/ISO20000)–绝大多数互联网公司的运维流程是以ITIL为骨架建立的,甚至连内部的运维管理平台,监控系统上都能一眼看出ITIL的特征。 SDL–研发侧的安全管理,绝大多数公司都借鉴了微软的SD...
互联网企业安全高级指南读书笔记之大规模纵深防御体系设计与实现
不急不躁
04-10 1252
设计方案 数据流视角 服务器视角 IDC 视角 逻辑攻防视角 场景裁剪 应对规模 自研 HIDS、RASP 都是奢侈品,可以用 OSSEC、OSquery 等产品代替 网络分光可以用扫描器+ Web 日志分析代替 SQL 审计可以在 CGI 层解决 业务类型 如果业务流量中中大部分都是 HTTP 类型的,那么应该重点投入 WAF、R...
互联网企业安全高级指南读书笔记之分阶段的安全体系建设
不急不躁
04-10 539
宏观过程 第一阶段是基础安全策略的实施,ROI 最高,大多属于整改项,不需要太多额外的投入就能规避 80% 的安全问题 第二阶段是系统性整体建设,如果是大型互联网公司,应该直接进入自研之路 第三阶段是业务风险分析与业务风控体系建设 第四阶段是运营环节,所谓的 PDCA 工作 第五阶段安全建设进入自由发挥区间 清理灰色地带 资产管理的灰色地带(例如,资产管理系统数据不准确,运...
网络安全备考资料精要:S备考笔记
资源摘要信息:"S备考笔记-网络安全" 网络安全是当今信息技术领域中至关重要的一个分支,其内容广泛,涵盖了从基础的计算机系统安全到复杂的网络防护策略。网络安全的主要目标是保护网络系统免受各种形式的威胁,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值