中山专业做网站的公司小程序怎么上架商品

中山专业做网站的公司,小程序怎么上架商品,如何建立自己的云服务器,台州企业建站系统HVV行动作为国家级攻防演练具有重大意义#xff0c;旨在通过检验单位网络和信息基础设施的安全防护、应急处置和指挥调度能力#xff0c;提高信息系统的综合防御能力。而要打好一场完美的防守战役应该先从组织本身的脆弱性整改开始#xff0c;其整改工作应该具备全局性视图。…HVV行动作为国家级攻防演练具有重大意义旨在通过检验单位网络和信息基础设施的安全防护、应急处置和指挥调度能力提高信息系统的综合防御能力。而要打好一场完美的防守战役应该先从组织本身的脆弱性整改开始其整改工作应该具备全局性视图。本文将主要从HVV行动第一阶段即准备阶段时涉及到的检测内容和要点进行梳理和分析并给出相应的加固建议。01整体安全整改从整体整改视图出发到梳理相关资产发现相关风险以此开展相应工作等整体安全加固能全面有序的帮助大家度过前期的安全整改工作为HVV攻防演练奠定坚实基础。02资产梳理资产梳理作为整体安全建设基础应该做到全面梳理因为资产梳理做得是否全面将直接影响后续风险排查是否彻底。全面的资产排查应从内、外网软、硬件人员配备以及安全管理制度等多方面进行梳理。资产的排查可以从多维度进行交叉排查应该做到“宁可多查不可漏查”大致可以分为以下几个类别互联网暴露资产、业务资产、硬件资产、软件资产、办公资产等类型。03互联网暴露面梳理互联网暴露面作为流量的入口是攻击方重点收集的目标也是攻击方重要的攻击对象因此降低互联网资产风险是蓝队最主要的工作。互联网资产风险范围包括对外业务如官网、APP及其它应用系统的漏洞、对外开放的测试环境、VPN系统、公有云上系统、以及共享在外的代码githup、百度云盘等公共仓库里共享的代码等。互联网暴露面排查方式外网资产信息收集子域名探测敏感信息泄露探测源代码泄露探测互联网暴露面缩减方式主要方式包含从代码层修复漏扫及渗透发现的问题关闭测试系统对外服务端口映射关闭直接对外服务的高危端口及其映射地址所有对外业务都该经过安全防护设备防火墙、WAF、入侵检测、防毒墙等将VPN设备系统升级到最新版本设置后台管理页面访问控制权限仅允许个别IP访问设置多因素登录VPN对于无法从代码层修复的系统应直接关闭系统或关闭映射若实在无法关闭的话需要将其与其它系统单独隔离出来对于公有云上的资产应该设置安全组接入云安全防护如云防火墙、软件安全防护软件等。04补丁修复根据2020年的HVV风险总结来看内网的隐患占到47%排名第一其大多数表现为内网大批漏洞、补丁、弱口令不修复、内网缺乏隔离产品等。以下我们列举一些红队利用频率较高的漏洞。红队利用较高的漏洞主要包括中间件的反序列化漏洞Jboss、Weblogic、shiro远程执行代码漏洞Struts2系列漏洞、Jekins任意读取、ElasticSearch任意文件读取、Glassfish未授权访问RabbitMQ、Redis操作系统windows 各种远程执行代码漏洞后台弱口令和未授权访问应用系统的任意文件上传Getshell。05中间件及第三方组件安全常用的中间件及第三方组件是最容易被忽视和被利用的一个环节。常见的中间件及第三方组件有redis、activemq、memcache、rabbitmq、AppServ、Xampp、宝塔、PhpStudy、Dedecms、thinkphp 5.x、phpcms、ecshop、Metinfo、discuz、帝国cms、wordpress、joomla、drupal等。中间件和第三方组件主要问题主要包含使用默认密码或直接未授权访问使用的老旧版本存在大量已知漏洞如ThinkPHP3.x注入漏洞、ThinkPHP6 任意文件操作漏洞、CVE-2020-13920 Apache ActiveMQ 远程代码执行漏洞、wordpress File-manager任意文件上传、CVE-2020-13933-Apache Shiro 权限绕过漏洞、PHPCMS v9全版本前台 RCE、PHPCMS v9全版本前台RCE、PHPCMS V9 存在RCE漏洞、CVE-2020-25540 Thinkadmin v6 任意文件读取漏洞后台管理页面直接对外提供服务。加固建议升级到官方最新版本修改默认密码或空密码限制访问这些资源06应用系统应用系统最主要的风险来源于应用系统或软件的使用过程尤其在网络环境下其主要包括应用系统安全性未授权访问和改变数据未授权远程访问不精确的信息错误或虚假的信息输入授权的终端用户滥用不完整的处理重复数据处理不及时处理通信系统失败不充分的测试。加固建议根据应用系统业务重要性进行分级处理对所有应用系统进行漏洞扫描并整改对重要系统进行渗透测试并整改重要系统暂时无法修改进行限制访问非重要系统暂时无法修复建议暂时下线07弱口令根据数据分析显示所有成功突破外网边界的手段中利用弱口令进入的比例高达70%。口令是网络信息安全基础中的基础直接决定了系统和信息的安全性当弱口令安全得不到保障时则黑客可以通过暴力破解等手段轻易地进入后台或者系统中进行数据窃取。据统计常见的弱口令top10有123456、12345、123456789、Password、iloveyou、princess、rockyou、1234567、12345678、abc123。弱口令的修复主要从两方面一是技术手段、二是行政手段。 技术性修复弱口令从技术层面可以采用以下方式对弱口令进行修复1、密码长度应不小于8位长度2、密码复杂度要有大写字母、小写字母、数字、特殊字符至少三种组合3、定期更换密码三级系统不超过30天二级系统不超过90天到期后下次登录强制修改密码4、强制密码历史最近10次使用的密码不可重复使用且密码中重复的字符不应超过5位5、建立弱口令库收集互联网上公开的密码库、弱口令TOP1000字典等新建密码时对弱口令库中的密码进行匹配若匹配上了则无法使用该口令6、登陆界面设置验证码验证码应进行扭曲、变形、干扰线条、干扰背景色、变换字体等处理避免被OCR识别。验证码使用一次后失效且应由后端服务器生成避免被抓包绕过或重放利用。行政性修复弱口令从行政管理层面可以采用以下方式对弱口令进行修复1、加强人员安全意识培训2、通知统一修改一次密码08网络设备目前各个单位的网络系统都有较大的规模且结构复杂组网方式随意性强这就导致了网络中网络设备、安全设备缺少有效的策略控制。不规范的策略配置可能会导致设备故障配置丢失、非法外联、非法内联、东西向的互联网渗透、南北向的内网横向渗透、设备“0 day”漏洞等风险。加固建议1、应绘制与当前运行情况相符的网络拓扑结构图并维护网络中的设备资产清单详细记录设备连接情况、接口信息、管理密码等信息2、应定期对所有网络设备、安全设备的配置进行备份并测试备份文件的有效性备份周期建议不超过30天3、由于telnet协议是通过明文的方式进行数据传输的黑客可以通过arp攻击、抓包等方式获得设备的密码如非特殊情况应关闭所有网络设备、安全设备的telnet服务即禁用23端口采用更安全的SSH远程管理方式4、所有网络设备含物联网设备、安全设备应启用管理主机只允许可信的IP访问设备的运维端口22、80、443等端口如视频会议后台、摄像头登陆界面、设备登录界面等5、网络设备、安全设备应启用密码复杂度、登录失败次数锁定以及会话超时退出等功能且应采用双因子认证的方式采用动态口令、数字证书、生物技术和设备指纹等两种或两种以上组合的鉴别技术对用户身份进行鉴别进行登录6、所有网络设备、安全设备应定期排查策略的有效性并按照最小化原则进行权限划分7、所有接入网络的网络设备、安全设备应进行IP/MAC地址绑定保证设备的可靠运行8、优化边界防火墙的访问规则限制除业务必须外联的服务器以外的设备访问互联网禁止服务主动外联如果发现主动外联的IP地址应立即报警追溯特殊服务器DNS服务器、补丁服务器等需主动外联的除外9、防火墙应删除多余或无效的访问控制规则优化访问控制列表并保证访问控制规则数量最小化在访问控制列表第一条创建拒绝高风险端口135、137、138、139、445等勒索病毒常用端口通信规则默认情况下除允许通信外受控接口拒绝所有通信10、边界防火墙应删除多余或无效的NAT规则只保留业务必须的端口映射至外网严禁将高风险端口运维端口、数据库端口等映射至外网如果需要远程管理尽可能使用VPN、专线、4A接入等手段保证接入管理的安全性11、建议在网络边界、重要网络节点对重要用户的行为和重要安全事件进行日志审计便于对相关事件或行为进行追溯且审计记录应保存180天以上12、安全设备的规则库版本应升级至最新才能及时有效地发现新型攻击并阻断保证业务安全13、网络设备、安全设备系统版本应升级至最新通过攻防演练已经有较多安全设备出现“0 day”漏洞且漏洞利用难度低危害大。09网络分区分域由于资金、网络规模、管理方便等历史原因网络安全分区总是不那么合理。往往一个区域混杂多种流量各个流量相互影响容易由于某个业务遭受攻击连带影响到其他业务。当规模不断扩大时就像一个隐形炸弹管理人员光是梳理清楚流量都要耗费大量的精力甚至有时候由于人员变动没有人分得清楚流量间的关系给后续的运维带来非常大的成本。一旦发生故障将要耗费大量的时间排错。根据网络安全分区防护的要求结合应用系统服务器之间服务层次关系的分析引出了新的层次型网络安全区域模型。该模型用垂直分层、水平分区的设计思想系统阐述了这一新的网络安全区域的划分方法。在划分安全区域时需要明确几个安全区域相关的定义以免模糊他们之间的概念造成区域划分完之后依然逻辑不清晰安全策略无法明确立体的纵深防御体系也无法建立。一般在安全区域划分时需要明确一些常用的定义。安全区域划分定义1物理网络区域物理网络区域是指数据网中依照在相同的物理位置定义的网络区域通常如办公区域远程办公室区域楼层交换区域等。2网络功能区域功能区域是指以功能为标准划分的逻辑网络功能区域如互联网区域生产网区域办公网区域等。3网络安全区域网络安全区域是指网络系统内具有相同安全要求、达到相同安全防护等级的区域。同一安全区域一般要求有统一的安全管理组织和安全防护体系及策略不同的安全区域的互访需要有相应得边界安全策略。4网络安全层次根据层次分析方法将网络安全区域划分成几个不同安全等级的层次同一层次包含若干个安全等级相同的区域同层安全区域之间相互逻辑或物理隔离。尽管不同企业对安全区域的设计可能理解不尽相同但还是有一般的安全区域设计原则可供参考。常规的网络划分包括DMZ区、互联网接入区、内网办公区、服务器区、安全管理中心。每个区域之间利用防火墙、网闸、ACL、VLAN实施逻辑、物理的隔离形成一个垂直分层、水平分区的网络安全区域模式。当整个网络环境因历史原因一时无法采用物理方法划分到位时可采用微隔离产品进行软隔离从而达到相对安全状态。微隔离产品主要是对同一安全域内服务器按一定规律进行最小划分组实现组内相对自由、组间严格管控最大层面上缩减内网暴露面提升内网安全。10办公网络安全办公网络存在主要存在以下几个风险恶意攻击和木马病毒。加固建议1、及时修复漏洞2、关闭无用的互联网出入口3、及时更新防火墙、杀毒软件病毒库、规则库4、搭建统一桌面管理系统、网络防病毒系统并要求所有办公电脑安装两个系统客户端并由各部门主管落实安装情况或者开启相关系统准入功能。将所有办公电脑安装完成后可由桌面管理系统和防病毒系统进行配合管理5、开启对应办公网段桌面准入功能凡是所有接入办公网段均需要安装桌面管理系统和防病毒系统6、桌管及防病毒系统后台进行IP限制7、对办公电脑进行分组下发策略如无特殊情况限制所有人员使用USB接口8、下发定时体检定时扫描策略每天中午分组对所有办公下发定时体现、扫描策略并根据体检、扫描结果对问题电脑进行相关整改。11WIFI网络安全WIFI网络主要存在以下几个风险被盗用的风险、被窃听的风险、被控制的风险、钓鱼攻击风险。加固建议1、隐藏服务标识2、用户认证设备3、提高保密性能4、检查办公环境内存在多少WIFI信号是否存在未知的信号加密类型是否为弱加密5、检查是否存在空口令的WIFI信号6、使用万能钥匙尝试连接对连接成功的需要查看信号源、口令强度以及是否可以访问内网7、连接成功的WIFI尝试访问管理界面查看是否存在弱口令8、严禁私拉WIFI所有的WIFI信号都需要严格把控做好设备准入和访问控制无线准入、无线区域的防火墙如果没有准入的话要通过绑定ip/mac来限定设备也要设置强口令。12安全产品自身安全安全产品自身存在的风险主要是在安全产品部署和运维过程中尤其在复杂网络环境下因运维操作而产生的风险主要包括1.可能存在安全产品老化或产品版本未更新等风险。2.所有类型的安全产品可能存在运维配置风险例如弱口令无登录次数限制无多因子认证未定期更新系统版本和相关规则库。3.对于相关的网关类安全产品可能存在全通策略等不严谨策略的风险不定期分析和加固策略的风险。4.对于审计监控类型的安全产品可能存在不定期镜像流量异常情况或上传日志文件有效性完整性等风险。5.对于安全产品的管控方面可能存在安全产品没有开启带外管理或纳入统一的安管平台无法有效的管控等风险。加固建议用户身份鉴别在用户请求访问系统资源时至少进行一次身份鉴别。2. 访问限制有且只有授权用户才能访问分配给该用户的资源用户不能访问没有分配给该用户的资源。3. 用户分级管理功能安全防护产品应具有多用户分级管理功能应可建立具有不同权限的用户并可以针对不同客户设定对资源的不同访问权限。4. 管理员身份鉴别应保证只有授权管理员和可信主机才有权使用产品的管理功能对授权管理员和可信主机应进行身份鉴别。5. 管理员权限定期队管理员属性进行修改更改口令等并且制定和修改访问控制安全策略。6. 身份鉴别时效和失败处理当用户的失败登录次数超过允许的尝试鉴别次数时应能加以检测并应该阻止该用户的进一步登录尝试直至授权管理员恢复对该用户的鉴别能力。7. 安全防护产品在部署和安置的位置要尤为注意需要进行单独分区分域管理避免安全产品出现0day漏洞导致攻击人员直接进入业务网络进行破坏或者其他进一步操作。网络安全学习资源分享:给大家分享一份全套的网络安全学习资料给那些想学习 网络安全的小伙伴们一点帮助对于从来没有接触过网络安全的同学我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线大家跟着这个大的方向学习准没问题。因篇幅有限仅展示部分资料朋友们如果有需要全套《网络安全入门进阶学习资源包》需要点击下方链接即可前往获取读者福利 |CSDN大礼包《网络安全入门进阶学习资源包》免费分享安全链接放心点击1.成长路线图学习规划要学习一门新的技术作为新手一定要先学习成长路线图方向不对努力白费。对于从来没有接触过网络安全的同学我们帮你准备了详细的学习成长路线图学习规划。可以说是最科学最系统的学习路线大家跟着这个大的方向学习准没问题。2.网安入门到进阶视频教程很多朋友都不喜欢晦涩的文字我也为大家准备了视频教程其中一共有21个章节每个章节都是当前板块的精华浓缩。全套教程文末领取哈3.SRC黑客文档大家最喜欢也是最关心的SRC技术文籍黑客技术也有收录SRC技术文籍黑客资料由于是敏感资源这里不能直接展示哦全套教程文末领取哈4.护网行动资料其中关于HW护网行动也准备了对应的资料这些内容可相当于比赛的金手指5.黑客必读书单6.网络安全岗面试题合集当你自学到这里你就要开始思考找工作的事情了而工作绕不开的就是真题和面试题。所有资料共282G朋友们如果有需要全套《网络安全入门进阶学习资源包》可以扫描下方二维码或链接免费领取~读者福利 |CSDN大礼包《网络安全入门进阶学习资源包》免费分享安全链接放心点击