接上一个学习笔记内容继续:
配置系统安全参数。
删除非必要功能,这一点确实有感触。很多时候,对方可能根本都不知道自己的某些资产开放了什么样的服务或功能,因此对于渗透测试来说,资产信息收集就变得十分重要。当然站在被保护者的角度来说,关闭非必要的功能当然是最优的解决方法。
第三点使用强效加密法对所有非控制台管理访问进行加密,这个是针对使用SSL或者早期的TLS来说的,但是这里有个疑惑,早期的TLS已经是SSL3.1版本以上的吧?虽然与现在的发展过的TLS协议比较来说肯定有不足之处,但是也还可以吧。。可能这里要求挺高的。当然,一些明文协议(例如 HTTP、telnet),不会对流量进行加密,所以截取明文数据包很容易获得敏感数据。
要求3:保护持卡人数据
加密、截词、掩盖和散列等保护方法保护持卡人的数据安全。即使获取到数据,但是看不懂,没用密钥解密,相当于获取到无效数据。这一点我觉得应该是非对称的防守方式。同时还强调了两点:数据存储量和保留时间。在合理的范围下,应尽量减少数据存储。
对于敏感数据,得到授权之后,也不要存储。除非有正当的业务理由和绝对的存储安全保障。
强密钥+限制密钥知道人数
要求4:加密持卡人在开放式公共网络中的传输
还是数据在传输过程中的加密问题。
只接受可信任的密钥或证书、使用安全协议、加强加密程度。
无线安全:防止被窃听而导致敏感信息的泄露。同样,还是采用强效加密法。
PAN的概念?
维护漏洞管理计划
要求5:为所有系统提供恶意软件防护并定期更新杀毒软件或程序
看到了很感兴趣的关键词:0day攻击。公司的情况我不太清楚,但是就个人而言,很多人都觉得在自己的PC上安装上牛逼的杀软,就百毒不侵了。其实真正的大厂生产的杀软背后每天都会有团队对病毒库进行更新。既然是处于一种不断更新的动态的过程,说明杀软并不是完美涵盖所有漏洞、病毒的。0day无疑是杀软最大的敌人,对于白帽子来说,挖到漏洞会第一时间交付给厂商,及时打补丁。但是对于做黑产的人来说,情况就比较严重了。
所以即使安装和配置了杀毒软件或程序,及时更新、修补、监控也是很必要的。
还是在说进行安全更新并维护的问题,引出了杀毒机制的三点:
1、保持为最新
2、执行定期扫描
3、生成检查日志
[图片上传中...(image.png-835c1a-1599038333613-0)]
确保杀毒机制积极运行且无法被用户禁用或更改,除非管理人员根据具体情况做出有时间限制的明确授权。可能在个人PC上,除非安装一些小工具之类的软件,需要暂时让杀软退出,其他情况杀软应该都会保持着积极运行的状态。但是对于公司而言,问题就变得多样、变化,有时需要上新新的业务或者服务,有时需要对系统做出变动等等,这些情况可能需要禁用杀毒软件。如果出于特定目的需要禁用杀毒保护,必须获得正式授权。杀毒禁用期间,可能还需要实施其他安全措施。
要求6:开发并维护安全的系统和应用程序
