接上一個學(xué)習(xí)筆記內(nèi)容繼續(xù)：

image.png

配置系統(tǒng)安全參數(shù)。
刪除非必要功能，這一點確實有感觸。很多時候，對方可能根本都不知道自己的某些資產(chǎn)開放了什么樣的服務(wù)或功能，因此對于滲透測試來說，資產(chǎn)信息收集就變得十分重要。當(dāng)然站在被保護(hù)者的角度來說，關(guān)閉非必要的功能當(dāng)然是最優(yōu)的解決方法。
第三點使用強效加密法對所有非控制臺管理訪問進(jìn)行加密，這個是針對使用SSL或者早期的TLS來說的，但是這里有個疑惑，早期的TLS已經(jīng)是SSL3.1版本以上的吧？雖然與現(xiàn)在的發(fā)展過的TLS協(xié)議比較來說肯定有不足之處，但是也還可以吧。?？赡苓@里要求挺高的。當(dāng)然，一些明文協(xié)議（例如 HTTP、telnet），不會對流量進(jìn)行加密，所以截取明文數(shù)據(jù)包很容易獲得敏感數(shù)據(jù)。

image.png

image.png

要求3：保護(hù)持卡人數(shù)據(jù)

image.png

加密、截詞、掩蓋和散列等保護(hù)方法保護(hù)持卡人的數(shù)據(jù)安全。即使獲取到數(shù)據(jù)，但是看不懂，沒用密鑰解密，相當(dāng)于獲取到無效數(shù)據(jù)。這一點我覺得應(yīng)該是非對稱的防守方式。同時還強調(diào)了兩點：數(shù)據(jù)存儲量和保留時間。在合理的范圍下，應(yīng)盡量減少數(shù)據(jù)存儲。

image.png

對于敏感數(shù)據(jù)，得到授權(quán)之后，也不要存儲。除非有正當(dāng)?shù)臉I(yè)務(wù)理由和絕對的存儲安全保障。

image.png

要求4：加密持卡人在開放式公共網(wǎng)絡(luò)中的傳輸

image.png

image.png

還是數(shù)據(jù)在傳輸過程中的加密問題。
只接受可信任的密鑰或證書、使用安全協(xié)議、加強加密程度。
無線安全：防止被竊聽而導(dǎo)致敏感信息的泄露。同樣，還是采用強效加密法。

image.png

維護(hù)漏洞管理計劃

要求5：為所有系統(tǒng)提供惡意軟件防護(hù)并定期更新殺毒軟件或程序

image.png

看到了很感興趣的關(guān)鍵詞：0day攻擊。公司的情況我不太清楚，但是就個人而言，很多人都覺得在自己的PC上安裝上牛逼的殺軟，就百毒不侵了。其實真正的大廠生產(chǎn)的殺軟背后每天都會有團(tuán)隊對病毒庫進(jìn)行更新。既然是處于一種不斷更新的動態(tài)的過程，說明殺軟并不是完美涵蓋所有漏洞、病毒的。0day無疑是殺軟最大的敵人，對于白帽子來說，挖到漏洞會第一時間交付給廠商，及時打補丁。但是對于做黑產(chǎn)的人來說，情況就比較嚴(yán)重了。
所以即使安裝和配置了殺毒軟件或程序，及時更新、修補、監(jiān)控也是很必要的。

image.png

還是在說進(jìn)行安全更新并維護(hù)的問題，引出了殺毒機制的三點：
1、保持為最新
2、執(zhí)行定期掃描
3、生成檢查日志

image.png

要求6：開發(fā)并維護(hù)安全的系統(tǒng)和應(yīng)用程序

image.png