随笔分类 - 企业安全建设
IT项目管理流程梳理
摘要:目录IT项目的定义约束条件(范围)干系人IT项目阶段划分Reference编写项目章程 下文梳理的都是一般性的IT项目管理流程,涉及对项目阶段的划分,每阶段内所涉及的事项等。 IT项目的定义 信息技术(Information Technology,缩写IT),是主要用于管理和处理信息所采用的各种技术
阅读全文
企业安全-互联网暴露面风险收敛
摘要:企业容易遭受网络攻击的地方有两大块: 员工使用的互联网终端(本章不讨论) 对互联网的暴露面 想要收敛对外暴露面的风险,就必须先知道自己的暴露面范围。以下是企业常见的暴露面的分类,按照大类到细分进行梳理,渐进执行。 梳理出资产表之后,可以结合漏洞扫描、接口测试、渗透测试、风险监控等技术手段去发现暴露资
阅读全文
项目源码安全审查—密钥硬编码问题
摘要:目录危害说明防护的核心如何安全地在配置中心存放密钥?方案一:使用配置中心自带的加密功能方案二:与专业的密钥管理系统集成方案三:在交付流程中动态注入 密码硬编码(Hard-Coded Secrets)是指将敏感信息(如数据库密码、API密钥、加密密钥、第三方服务凭证等)以明文形式直接写入应用程序的源代
阅读全文
服务端记录请求IP
摘要:目录背景:解决方案1——HTTP头记录解决方案2——proxy protocol协议解决方案3——加密 TCP Option总结 背景: 需求1——审计日志需要真实IP: 安全审计要求记录访问服务的最终用户或设备的真实来源IP地址。这对于追踪恶意活动、排查问题、满足合规性要求至关重要。 需求2——风
阅读全文
企业安全管理—密码安全体系
摘要:目录密码学工具包不安全的加密算法密钥安全密钥安全生命周期管理流程证书管理模型/流程设计/协议 本文讨论: 在企业项目实践中会遇到的密码安全要求管理规定; * 随着密码学的发展,下文所标记的安全算法也会变为不安全,博客更新较慢,大家谨慎看待。 密码学工具包 如果你不是密码学的专家,请不要创造或者修改加
阅读全文
中小企业的企业微信部署架构图
摘要:目录网络拓扑架构图关键组件说明1. 用户端2. 企业微信服务(公网)3. 企业防火墙/路由器4. 反向代理服务器(核心枢纽)5. 内网服务器数据流向安全设计建议适用场景 以下是针对中小企业使用企业微信搭建内网应用的典型网络拓扑架构图及说明: 网络拓扑架构图 + + + + + + | 企业微信客户端
阅读全文
透明证书机制——一种安全审计制度
摘要:目录证书透明(CT)的定义CT审计的流程识别网站是否使用了CT技术Reference 一些前置知识: https://www.cnblogs.com/mysticbinary/p/17260648.html 证书透明(CT)的定义 CT的目的是监测和审计数字证书。透过证书日志、监控和审计系统,证书透
阅读全文
企业安全建设之安全监控中的大数据技术
摘要:目录数据源FilebeatKafkaFlinkESKibana参考 最近在做企业安全建设,企业安全建设中有一个重要环节就是做监控,做监控多多少少的会用到一些大数据技术,下面我记录一下我学习到的一些大数据技术,我对大数据认识比较浅,下文也就罗列个大概脉络而已。 大数据的技术栈,以及对应的上下依赖图如下
阅读全文
企业安全_检测SQL注入的一些方式探讨
摘要:目录寻找SQL注入点一些测试工具使用记录 在企业SDL流程里,寻找SQL注入也是一项关键步骤。 寻找SQL注入点 自动化为主(由静到动,逐步递进),人工为辅(尽量的少人工参与)。 自动化 - 白盒在源码提交的时候,进行源码卡点扫描、审计; - 在黑盒环境,基于流量、测验样例进行自动化扫描; 手动 -
阅读全文
浙公网安备 33010602011771号