企业安全建设指南 金融行业安全架构与技术实践详解金融信息安全最后一公里解决方案,新生儿网站推广文案
栏目:网络推广 发布时间:2025-01-15
编者注: 《金融行业安全架构与技术实践企业安全建设指南》——聂军、李岩、何阳军主编。它是资深安全专家十几年实践经验的成果,是安全领域众多专家共同推荐的。 ... 企业安全建设指南 金融行业安全架构与技术实践详解金融信息安全最后一公里解决方案
编者注:
《金融行业安全架构与技术实践企业安全建设指南》——聂军、李岩、何阳军主编。它是资深安全专家十几年实践经验的成果,是安全领域众多专家共同推荐的。
本书系统介绍了金融行业企业信息安全的架构和技术实践。总结了作者多年在金融行业信息安全方面的实践经验,致力于解决金融企业信息安全的“最后一公里”问题。内容丰富,实用性强。 。
第二部分:安全技术实战
第十一章 安全预算、总结和报告 互联网应用安全
Web 2.0时代,企业将越来越多的应用暴露到互联网上,带来的风险也不容忽视。传统企业会使用防火墙进行隔离,将应用部署在隔离区(DMZ)中。图11-1是一个简单的示意图。
图11-1 传统企业互联网应用示意图
防火墙在这里有两个作用:一是隔离内网、DMZ区和互联网,二是把DMZ的私网地址映射到互联网上,供外部访问。当然,实际企业不一定是映射防火墙,也可能是负载均衡设备。当应用程序需要访问互联网时,需要注意哪些事项?本章将从外到内一一讲解。
11.1 端口控制
首先要做的是端口控制,即在防火墙上严格限制对外开放的端口。原则上DMZ服务器只允许对外开放80和443端口,DMZ服务器不允许外界主动访问。访问外部服务需要一对一的访问。
关于端口管理和控制的常见误解如下:
·一些企业管理员为了方便维护,直接将防火墙上的SSH和RDP端口对外开放。这是非常不明智的。只要知道密码,即使不知道密码,黑客也可以通过这些端口访问交换机/服务器。 ,您还可以通过暴力猜测密码来获取登录凭据。有经验的管理员都知道,只要对外开放SSH,系统日志中就会出现大量登录失败的日志。
·还有一些FTP、MSSQL、MySQL、Redis、Rynsc等相关应用的端口,不应向互联网开放,否则各种自动化攻击工具或蠕虫会通过这些端口快速获取相应权限。甚至直接加密您的数据以获取赎金。有兴趣的读者可以网上搜索“FTP本地提权”、“Redis越权访问”、“勒索”、“勒索”等。
一般大型企业都会有很多互联网出口或者业务系统。在日常的防火墙维护过程中,难免会出现疏漏的情况。因此,需要有相应的机制来保证高风险口岸不对外开放。如果它们是开放的,必须及时发现,这就需要进行端口扫描。 。说到端口扫描工具,就不得不提Nmap。此外,Zmap也很受欢迎。这里简单介绍一下Nmap和Zmap。
Nmap很强大,仔细看它的帮助就可以理解,如图11-2所示。 Nmap支持列表修改、各种主机发现、端口扫描技术、操作系统检测、扫描时间控制、各种格式输出等,甚至支持外部脚本来检测有针对性的漏洞。常用的端口扫描技术有:半开放扫描()、全连接扫描()、ACK扫描、FIN扫描等。另外,Nmap扫描输出的xml格式结果文件很容易用脚本解析,而且与其他系统连接非常方便。
图 11-2 Namp 的使用
Nmap虽然功能强大,但是扫描一个大网段上的所有端口时会非常慢,这就是需要它的原因。被称为“最快的互联网端口扫描器”,它可以最快6分钟扫描互联网,每秒可以发送一百万个数据包。适合快速扫描大量地址。提供更丰富的选择。例如,用户可以指定扫描的端口、路由器地址、数据包发送速率、最大速率等。同时,它还支持多种文件格式保存扫描结果。
对于大型企业,建议采用联合的方式,比如先进行快速扫描,然后用Nmap进行针对性扫描,以获取更多信息,包括操作系统版本、端口对应信息等。风险端口,可以将日志实时输出到SOC,以便一线人员实时跟进处理。实际工作中,扫描还需要注意避开业务高峰,调整发包速率参数等,避免造成不必要的麻烦。
11.2 Web应用程序安全
港口控制是基础。做好端口控制之后,还需要关注Web安全。 OWASP组织(开放Web应用安全项目)每年都会出一份Top 10风险排行榜,包括各种注入(SQL、NoSQL、OS、LDAP等注入)、XSS攻击、CSRF等。在Web安全领域,吴汉清的《白帽谈Web安全》值得推荐,包括客户端脚本安全和服务器端应用安全。作为企业安全从业者,除了了解黑客如何攻击之外,我们还需要关注我们如何防御以及防御什么维度。
Web应用防火墙
对于常规的网页扫描行为,网页应用防火墙(ll、WAF)基本上可以直接拦截或拦截。 Web应用防火墙是通过对HTTP/HTTPS执行一系列安全策略来专门保护Web应用的产品。与传统防火墙不同,WAF工作于应用层,对于Web应用防护具有先天的技术优势。基于
凭借对Web应用业务和逻辑的深刻理解,WAF对Web应用客户端的各种请求内容进行检测和验证,确保其安全性和合法性,实时拦截非法请求,从而对各个网站进行检查。有效保护。
WAF产品有基于硬件的、基于软件的、基于云的:
《金融行业安全架构与技术实践企业安全建设指南》——聂军、李岩、何阳军主编。它是资深安全专家十几年实践经验的成果,是安全领域众多专家共同推荐的。
本书系统介绍了金融行业企业信息安全的架构和技术实践。总结了作者多年在金融行业信息安全方面的实践经验,致力于解决金融企业信息安全的“最后一公里”问题。内容丰富,实用性强。 。
第二部分:安全技术实战
第十一章 安全预算、总结和报告 互联网应用安全
Web 2.0时代,企业将越来越多的应用暴露到互联网上,带来的风险也不容忽视。传统企业会使用防火墙进行隔离,将应用部署在隔离区(DMZ)中。图11-1是一个简单的示意图。
图11-1 传统企业互联网应用示意图
防火墙在这里有两个作用:一是隔离内网、DMZ区和互联网,二是把DMZ的私网地址映射到互联网上,供外部访问。当然,实际企业不一定是映射防火墙,也可能是负载均衡设备。当应用程序需要访问互联网时,需要注意哪些事项?本章将从外到内一一讲解。
11.1 端口控制
首先要做的是端口控制,即在防火墙上严格限制对外开放的端口。原则上DMZ服务器只允许对外开放80和443端口,DMZ服务器不允许外界主动访问。访问外部服务需要一对一的访问。
关于端口管理和控制的常见误解如下:
·一些企业管理员为了方便维护,直接将防火墙上的SSH和RDP端口对外开放。这是非常不明智的。只要知道密码,即使不知道密码,黑客也可以通过这些端口访问交换机/服务器。 ,您还可以通过暴力猜测密码来获取登录凭据。有经验的管理员都知道,只要对外开放SSH,系统日志中就会出现大量登录失败的日志。
·还有一些FTP、MSSQL、MySQL、Redis、Rynsc等相关应用的端口,不应向互联网开放,否则各种自动化攻击工具或蠕虫会通过这些端口快速获取相应权限。甚至直接加密您的数据以获取赎金。有兴趣的读者可以网上搜索“FTP本地提权”、“Redis越权访问”、“勒索”、“勒索”等。
一般大型企业都会有很多互联网出口或者业务系统。在日常的防火墙维护过程中,难免会出现疏漏的情况。因此,需要有相应的机制来保证高风险口岸不对外开放。如果它们是开放的,必须及时发现,这就需要进行端口扫描。 。说到端口扫描工具,就不得不提Nmap。此外,Zmap也很受欢迎。这里简单介绍一下Nmap和Zmap。
Nmap很强大,仔细看它的帮助就可以理解,如图11-2所示。 Nmap支持列表修改、各种主机发现、端口扫描技术、操作系统检测、扫描时间控制、各种格式输出等,甚至支持外部脚本来检测有针对性的漏洞。常用的端口扫描技术有:半开放扫描()、全连接扫描()、ACK扫描、FIN扫描等。另外,Nmap扫描输出的xml格式结果文件很容易用脚本解析,而且与其他系统连接非常方便。
图 11-2 Namp 的使用
Nmap虽然功能强大,但是扫描一个大网段上的所有端口时会非常慢,这就是需要它的原因。被称为“最快的互联网端口扫描器”,它可以最快6分钟扫描互联网,每秒可以发送一百万个数据包。适合快速扫描大量地址。提供更丰富的选择。例如,用户可以指定扫描的端口、路由器地址、数据包发送速率、最大速率等。同时,它还支持多种文件格式保存扫描结果。
对于大型企业,建议采用联合的方式,比如先进行快速扫描,然后用Nmap进行针对性扫描,以获取更多信息,包括操作系统版本、端口对应信息等。风险端口,可以将日志实时输出到SOC,以便一线人员实时跟进处理。实际工作中,扫描还需要注意避开业务高峰,调整发包速率参数等,避免造成不必要的麻烦。
11.2 Web应用程序安全
港口控制是基础。做好端口控制之后,还需要关注Web安全。 OWASP组织(开放Web应用安全项目)每年都会出一份Top 10风险排行榜,包括各种注入(SQL、NoSQL、OS、LDAP等注入)、XSS攻击、CSRF等。在Web安全领域,吴汉清的《白帽谈Web安全》值得推荐,包括客户端脚本安全和服务器端应用安全。作为企业安全从业者,除了了解黑客如何攻击之外,我们还需要关注我们如何防御以及防御什么维度。
Web应用防火墙
对于常规的网页扫描行为,网页应用防火墙(ll、WAF)基本上可以直接拦截或拦截。 Web应用防火墙是通过对HTTP/HTTPS执行一系列安全策略来专门保护Web应用的产品。与传统防火墙不同,WAF工作于应用层,对于Web应用防护具有先天的技术优势。基于
凭借对Web应用业务和逻辑的深刻理解,WAF对Web应用客户端的各种请求内容进行检测和验证,确保其安全性和合法性,实时拦截非法请求,从而对各个网站进行检查。有效保护。
WAF产品有基于硬件的、基于软件的、基于云的: