100条安全原则来制定安全策略,网络安全篇

这篇具有很好参考价值的文章主要介绍了100条安全原则来制定安全策略,网络安全篇。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

先自我介绍一下,小编浙江大学毕业,去过华为、字节跳动等大厂,目前阿里P7

深知大多数程序员,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!

因此收集整理了一份《2024年最新网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
100条安全原则来制定安全策略,网络安全篇,2024年程序员学习,安全,web安全,网络
100条安全原则来制定安全策略,网络安全篇,2024年程序员学习,安全,web安全,网络
100条安全原则来制定安全策略,网络安全篇,2024年程序员学习,安全,web安全,网络
100条安全原则来制定安全策略,网络安全篇,2024年程序员学习,安全,web安全,网络
100条安全原则来制定安全策略,网络安全篇,2024年程序员学习,安全,web安全,网络
100条安全原则来制定安全策略,网络安全篇,2024年程序员学习,安全,web安全,网络

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,涵盖了95%以上网络安全知识点,真正体系化!

由于文件比较多,这里只是将部分目录截图出来,全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频,并且后续会持续更新

如果你需要这些资料,可以添加V获取:vip204888 (备注网络安全)
100条安全原则来制定安全策略,网络安全篇,2024年程序员学习,安全,web安全,网络

正文

  1. 安全处理要彻底,不要心软,不要怕麻烦;
  2. 安全人员要有基本自我修养或工作素质,才能做好安全,如责任心,爱学习和兴趣;
  3. 安全事件处理要深入业务,找到入侵原因(溯源和漏洞复现),彻底解决类似安全事故以及应用到其他项目中去;
  4. 安全和业务技术要很好的沟通;
  5. 熟悉安全产品和功能,还有看安全新闻;
  6. 防止社工
  7. 经常找黑客团队做渗透测试,也要内部做白盒渗透测试;
  8. 信息安全标准学习 27000
  9. 最好做到每个文件怎么来的,每个进程外联的IP,及历史都有记录,不然出故障很难溯源;
  10. 重点系统做重点防御,不是所有都一样的,比如Jenkins,比如harbor;
  11. 重点网络区域也要单独一个防御策略,比如DB的,比如重要服务器区域;直接单独防火墙;
  12. 要注意默认安全,该端口,该默认账号,默认访问路径等;
  13. 安全要能把常见弱点和漏洞找出来,让技术去修改就行。找的漏洞点越多越好;
  14. K8S,DOCKER,ZABBIX,NACOS每套系统都要做安全,一个都不能有遗漏;哪套漏了就会被入侵;
  15. 基线检测要重视紧急修复,重大高危补丁也要紧急修复,一刻都不能等;
  16. 安全问题第一时间就是关机,反正要屏蔽远控为第一要务;
  17. 所有人要有一个好的安全习惯,不要为了方便和效率,关电脑锁屏;
  18. 安全防御就是靠安全系统(产品)和经验;
  19. 安全是从上往下推的,必须要有领导支持,要给权力,而且一切都基于日常的业务稳定。只要不忙才能更好的做安全;
  20. 安全需要彻底执行,说不能上网就不能上网,不要觉得无所谓就开放一下;
  21. 安全没有百分百,就看信任多少和愿意承受什么样的损失以及花费多大的代价精力。
  22. 定期做安全培训和规范编制;
  23. 供应链和社工是黑客的未来。
  24. 安全要做DevSecOps;
  25. 安全师零信任的,不要相信任何人给你的文件或程序或任何信息;
  26. 要做代码审计;
  27. 安全要求业务,随时可以关机,替换。比如IP、sever、Docker应用等;
  28. 安全要会所有黑客攻击手法。对任何一个点都知道黑客怎么入侵的。
  29. 要做访问控制:认证、授权、白名单IP等
  30. 多做预案;
  31. 一切操作和工作都落实到文件,要有记录,以后出事随时可以拿出来参考。这个很重要
  32. 一切都落地到文件(所有操作全部由表格记录)(指定到个人和时间),要有计划方案,实施方案,进度详情,事故报告,漏洞统计,每日扫描记录,每日巡检记录。
  33. 多做威胁模型:网络安全模型:ATT&CK、零信任、自适应安全架构 Gartner提出Adaptive Security Architecture(自适应安全架构)、Forrester提出Zero Trust(零信任模型)、MITRE提出ATT&CK(Adversarial Tactics Techniques & Common Knowledge 对抗战术技术和常识)。
  34. 做一个限制或策略,绝对不是在只在一个点能做,要思维打开,在每一个点都有可能做,要相信会有更好的。比如限制出网白名单,在iptables上能做,在网络防火墙上也能做,在上网代理服务器上也能做。做安全思路一定要打开
  35. 安全不是做某一个部分的安全,比如运维,要做运维所有事都息息相关的安全,从办公电脑到服务器全部做。取决于最弱的一环;
  36. 安全要优先处理原则,开发运维要对安全信息透明;
  37. 任何安全机制,可以先用非强制模式,permissive ,跑出来日志了,二周左右,把正常合法操作都开启允许,其他的都黑名单就行了。
  38. 安全一定要有预案,webshell怎么处理,木马怎么处理,confluence被入侵怎么处理等等;
  39. 协助运维判断是否是安全导致的故障,比如cpu暴增,服务器重启,内网无缘无故有个ping命令。安全要24小时紧急应急;101 还要注意安全事故处理要有临时解决方案,一定要影响小还能解决问题;

做安全又一大原则:强硬原则,强烈要求原则。有的意见提了,运维不做,那就强硬提出,并且说清楚利弊。强烈要求一定要做;

安全一大原则:不要想当然原则。有的事,你觉得不可能,实际就是可能的,还得和技术去确认。比如10.0.0.8网段的机器,根据日志去连接192.168.0.10的代理服务器。正常就觉得这条是假的,误报。实际,确实如此,网络就这么做的。

安全一大原则:不要怕麻烦原则 有的事就怕麻烦别人,或者自己麻烦,没有去仔细判断,结果导致重要线索浪费了。就像找特征码的时候,没有反复让运维查服务器,特征码没找到准确的。

安全一大重要工作:通过木马分析找特征码,进行所有服务器扫描。

安全一大原则:提出的需求就反复追问,必须要完成原则,不要因为怕麻烦别人就不做了,就忘记了;

被动攻击总结 常规和非常规漏洞点:

  1. 常规软件漏洞;
  2. 爆破
  3. 木马文件执行;
  4. 身份欺骗
  5. 数据篡改;
  6. 信息泄露;
  7. 提权;
  8. 可否人性;
  9. 拒绝服务;
  10. 人为泄露信息(内应)
  11. 社工库爆破
  12. 运营商劫持;
  13. 水坑攻击;
  14. 供应链攻击;
  15. 社会工程学
  16. 业务逻辑漏洞
  17. 故人干私活,从而把员工电脑给黑了,也就黑了他的公司资料;
  18. 获取网盘等信息;
  19. 植入前端广告,入flash下载;
  20. 网站挂马
  21. 发送垃圾邮件、短信等;
  22. 入侵路由器,默认安全;
  23. 全网批量扫漏洞;24 被动入侵手法:
  24. 获得密码后,直接连服务器
  25. 遗留木马,自己触发了
  26. 登陆云平台,操作了服务器
  27. 内网中间人信息收集,登录了虚拟化平台,操作服务器
  28. 运维电脑被黑,远控服务器
  29. 使用有木马的应用程序
  30. 中间人劫持
  31. 黑客做完免杀,做进程注入,在做端口复用,完全没有痕迹
  32. 运维管理服务器被黑后,从而操作其他技术,比如杀软远程安装,Jenkins 远程执行命令
  33. 劫持 黑客攻击途径:
  34. URL网址直接渗透,或旁站渗透;
  35. 互联网狂扫,扫到什么算什么;
  36. 先入侵办公内网在入侵机房网络,或先入侵远程办公电脑;
  37. 水坑攻击:运营商、服务提供商,下载站,pom代码提供商,路由器服务商,软件提供商,键盘、usb、xshell提供商
  38. 内应:透漏所有敏感信息,直接攻击弱点,并无法溯源;
  39. 有白名单的厂家,比如安骑士、dns、ntp、和应用程式需使用的第三方厂家(支付、监控)都是咱们白名单ip。可以更好实施攻击。
  40. 云平台账号
  41. CDN厂家,就劫持和利用白名单渗透;
  42. 物理攻击:直接进机房或办公室,办公室WiFi用玩具直升机渗透。badusb、键盘等等。
  43. 其他:云服务器、防火墙、自建CDN服务器等等;

防0day(靠的是策略):访问路径。访问控制机制:都用vpn,二次密码,用远程桌面在使用应用程序或虚拟应用;普通用户启动;加密 白名单。应用白名单,进程白名单,网络白名单。不出网不入网;假设应用有一个RCE,看能获得多大的攻击;尽全力打补丁,不能让黑客两个漏洞联合起来利用;出网用代理,木马都没网络。只有知道代理服务器的应用才能出网;防御0day最好的方法就是隐藏。也就是隐藏端口,域名,IP 及时发现入侵,这样就算有0day,他黑进来也不能获取多大的利益;采用java的应用,不要用php的,更加能防0day

  1. 以非root启动
  2. 访问域名和ip 隐藏
  3. 禁止出网
  4. 应用程序出网采用代理的方式,用request库的proxy方式
  5. 防火墙禁止入网和白名单配置
  6. 把bash命令和wget 等命令权限去掉,用的时候再添加。7 世界杯期间容易发生的安全问题:
  7. 流量异常,网络运维都怀疑是安全事故,而且服务器无响应,现象和勒索软件一样
  8. 服务器安全告警过多,误报和警告会暴增,又不能关机等大动作,只能靠系统配置尽量修复,系统层处理不好就导致业务宕机
  9. 世界杯期间运维非常忙,很多操作只能我自己做,我不能有误操作
  10. 开发部分的安全一点都没做,世界杯期间肯定爆发,都不知道哪里来的,配合起来需要很久
  11. 如果有遗留木马爆发,或者运维配置不完整的地方,世界杯期间一旦发生,就是大动作。尤其是内网肉鸡一直都存在,windows 系统跟容易死机蓝屏,甚至启动不起来。
  12. 世界杯期间由于大量的利益驱使,导致所有安全问题集中发生,一个月等于一年。需要提前做好应急预案,和把这几年遇到的安全问题从头到尾熟悉一遍,安全是一个系统工程,不在于某一个点,在于疏忽哪一个点。
  13. 高防机房带宽2g,有一个cc攻击点被利用,或某个接口能重放回源,他就是最大的瓶颈,很快就跑满,得提前写cc攻击脚本测试,抓代理做攻击系统,最后还要配合运维和机房做策略。8 运维安全七要素:

还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!

王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。

对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!

【完整版领取方式在文末!!】

93道网络安全面试题

100条安全原则来制定安全策略,网络安全篇,2024年程序员学习,安全,web安全,网络

100条安全原则来制定安全策略,网络安全篇,2024年程序员学习,安全,web安全,网络

100条安全原则来制定安全策略,网络安全篇,2024年程序员学习,安全,web安全,网络

内容实在太多,不一一截图了

黑客学习资源推荐

最后给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

1️⃣零基础入门
① 学习路线

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

100条安全原则来制定安全策略,网络安全篇,2024年程序员学习,安全,web安全,网络

② 路线对应学习视频

同时每个成长路线对应的板块都有配套的视频提供:

100条安全原则来制定安全策略,网络安全篇,2024年程序员学习,安全,web安全,网络

网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。

需要这份系统化的资料的朋友,可以添加V获取:vip204888 (备注网络安全)
100条安全原则来制定安全策略,网络安全篇,2024年程序员学习,安全,web安全,网络

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!文章来源地址https://www.toymoban.com/news/detail-856218.html

入研究,那么很难做到真正的技术提升。**

需要这份系统化的资料的朋友,可以添加V获取:vip204888 (备注网络安全)
[外链图片转存中…(img-TcLsvXcy-1713285787551)]

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!

到了这里,关于100条安全原则来制定安全策略,网络安全篇的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 《网络安全0-100》安全事件案例

    Equifax是美国一家信用评级机构,2017年9月,该公司披露发生了一起重大的数据泄露事件,涉及1.43亿美国人的个人信息,包括姓名、出生日期、社会安全号码等敏感信息。经过调查,该事件是由于该公司网站的软件漏洞导致黑客入侵所致。该事件引起了广泛的关注和批评,也对

    2024年02月10日
    浏览(45)
  • 《网络安全0-100》-网络攻击方式

    DoS攻击和DDoS攻击都是网络攻击的一种,它们的区别如下: DoS攻击(Denial of Service,拒绝服务攻击):指攻击者通过向目标计算机或网络发送大量的合法请求,占用其网络资源和带宽,导致目标系统无法正常处理合法请求,最终导致服务拒绝。DoS攻击通常使用单一的攻击源,利用

    2024年02月09日
    浏览(59)
  • 【网络安全入门】学习网络安全必须知道的100 个网络基础知识

    什么是链接? 链接是指两个设备之间的连接。它包括用于一个设备能够与另一个设备通信的电缆类型和协议。 2 OSI 参考模型的层次是什么? 有 7 个 OSI 层:物理层,数据链路层,网络层,传输层,会话层,表示层和应用层。 3 什么是骨干网? 骨干网络是集中的基础设施,旨在将

    2024年02月08日
    浏览(50)
  • 《网络安全0-100》低层协议安全性

    对于网络层,IP协议是其中一个非常重要的协议。网络层的IP地址相当于数据链路层的Mac地址。协议字段如下,每行4字节,总共4*5=20字节。   IP协议安全性:IP协议不能保证数据就是从数据包中给定的源地址发出的,你绝对不能靠对源地址的有效性检验来判断数据包的好坏。

    2024年02月11日
    浏览(40)
  • 《网络安全》0-100 零基础

    网络安全是指保护计算机网络不受未经授权的攻击、损伤、窃取或破坏的一系列措施。它包括保护计算机系统、网络和数据的完整性、可用性和保密性,以及防止未经授权的访问、使用、披露、破坏、修改、记录或丢失数据。   网络安全是保护信息社会的重要基础设施,涉及

    2024年02月10日
    浏览(35)
  • 《网络安全0-100》口令系统

    知道什么:口令 拥有什么:汽车钥匙or加密狗  唯一特征:指纹or虹膜 多因子认证是指在进行身份验证时,需要提供两个或以上的验证因素,以提高系统的安全性和防范恶意攻击。这些因素可以是以下几种类型之一: 知道的事情:例如用户名+密码。 拥有的物品:例如手机验

    2024年02月12日
    浏览(40)
  • 《网络安全0-100》口令机制

    口令是指在计算机系统中,由用户自己设定的一段字符串,用于验证用户身份合法性的一种方式。通过口令验证,可以有效增强计算机系统的安全性。常见的口令包括密码、PIN码。 口令系统是指基于口令验证技术的计算机安全系统。它通过要求用户输入正确的口令来验证用户

    2024年02月09日
    浏览(41)
  • 「 网络安全术语解读 」内容安全策略CSP详解

    引言:什么是CSP,它为什么可以防御一些常见的网络攻击,比如XSS攻击,具体原理是什么?以及如何绕过CSP? CSP(Content Security Policy,内容安全策略)是一种网络安全技术,它通过限制网页中可以加载的资源(如脚本和图像),来防止恶意攻击,如跨站脚本攻击(XSS)。CSP的

    2024年02月02日
    浏览(47)
  • 网络安全:挑战与防护策略

    一、引言 随着科技的快速发展,互联网已经成为我们生活和工作的重要组成部分。然而,随着网络技术的不断升级,网络安全问题也日益凸显。网络攻击、数据泄露、身份盗用等问题,不仅威胁到个人隐私,也对企业和国家的安全构成重大威胁。因此,了解网络安全挑战并采

    2024年02月09日
    浏览(45)
  • 网络安全策略应包含哪些?

    网络安全策略是保护组织免受网络威胁的关键措施。良好的网络安全策略可以确保数据和系统的保密性、完整性和可用性。以下是一个典型的网络安全策略应包含的几个重要方面:  1. 强化密码策略:采用强密码,要求定期更换密码,并使用多因素身份验证,以加强用户身份

    2024年02月13日
    浏览(44)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包