大河之犬的博客

完整的安全评审会包含安全架构评审、安全代码审核和安全测试三个手段安全架构评审聚焦于探寻安全设计中的漏洞，以宏观视野全面考量应用的安全性状况，能够迅速甄别业务系统关键的安全需求，同时精准判断当前安全防护机制能否契合这些需求，此乃极具投入产出效益的活动。故而，安全架构评审径直左右着整个安全评审工作的品质优劣，并且为安全编码以及安全测试清晰地指引出核心要点与方向安全设计的系统不会只着眼于眼前的攻击和已知漏洞，还应该对未知的漏洞0day都具备一定的抵御能力。

使用正确的加密解决方案来保护数据在存储（静态）或传输（传输中）时免遭意外泄露或更改至关重要。要实现这一点，必须知道需要通过加密保护哪些数据、应使用哪些机制来加密这些数据以及如何管理加密密钥和证书。1️⃣ 加密传输中和存储的数据：确保数据在存储和传输中均已加密。对于传输中的加密，尽量对所有互联网流量（最好是私有网络内的流量）使用强版本的 TLS。

数据脱敏，指对某些敏感信息通过脱敏规则进行数据的变形，实现敏感隐私数据的可靠保护。这样就可以在开发、测试和其它非生产环境以及外包环境中安全地使用脱敏后的真实数据集。在涉及客户安全数据或者一些商业性敏感数据的情况下，在不违反系统规则条件下，对真实数据进行改造并提供测试使用，如身份证号、手机号、卡号、客户号等个人信息都需要进行数据脱敏。是数据库安全技术之一在数据脱敏过程中，通常会采用不同的算法和技术，以根据不同的需求和场景对数据进行处理。

相比较于 Trie 树，DAT 的内存占用极低，可以达到 Trie 树内存的 1%左右。当我们要查找对应的字符串“东京热”的话，我们会把这个字符串切割成单个的字符“东”、“京”、“热”，然后我们从 Trie 树的根节点开始匹配。Trie 树 也称为字典树、单词查找树，哈希树的一种变种，通常被用于字符串匹配，用来解决在一组字符串集合中快速查找某个字符串的问题。如果使用上面提到的 DAT 来表示 AC 自动机 ，就可以兼顾两者的优点，得到一种高效的多模式匹配算法。3、敏感词数据（涉黄政黑）

加密算法是一种用数学方法对数据进行变换的技术，目的是保护数据的安全，防止被未经授权的人读取或修改。加密算法可以分为三大类：对称加密算法、非对称加密算法和哈希算法（哈希算法是一种单向过程，它将输入信息转换成一个固定长度的、看似随机的哈希值，但这个过程是不可逆的，因此严格上来说，哈希算法其实不属于加密算法）保存在数据库中的密码需要加盐之后使用哈希算法（比如 BCrypt）进行加密。保存在数据库中的银行卡号、身份号这类敏感数据需要使用对称加密算法（比如 AES）保存。

权限管控可以通俗地理解为权力限制，即不同的人由于拥有不同权力，他所看到的、能使用的可能不一样。对应到一个应用系统，其实就是一个用户可能拥有不同的数据权限（看到的）和操作权限（使用的）。ACL 模型：访问控制列表DAC 模型：自主访问控制MAC 模型：强制访问控制ABAC 模型：基于属性的访问控制RBAC 模型：基于角色的权限访问控制ACL 是最早的、最基本的一种访问控制机制，是基于客体进行控制的模型，在其他模型中也有 ACL 的身影。为了解决相同权限的用户挨个配置的问题，后来也采用了。

做得好的企业，会有一套系统用于快速查询哪些服务器运行了哪些特定的软件，以及软件的版本号，最好还能执行一些简单的指令，比如升级特定的软件，那打补丁就方便多了。下线的设备可能还要走相应的报废流程，一定要对密钥进行销毁。通过监控网络设备的流量，可以发现潜在的异常，比如连接数的突然增加或减少，这往往是问题的征兆。最后，人员变动特别是员工离职，除了进行账号与权限清理外，还需要有自动化的对比机制，比如，账号每天自动与HR或AD等系统对比，若发现问题及时报警处置，防止因工作疏忽导致的离职员工账号未清理类审计问题。

为了对企业内部计算机、用户等资源进行统一管理，微软提出了活动目录（Active Directory，AD）的解决方案，不同于传统的工作组模式，它最大的优点是可以集中管理，包括统一身份认证、权限控制等攻击者也可以通过邮件钓鱼等方式控制内网一台机器，之后会进行各种试探，最终目标基本都会到活动目录，因为这里有全部用户信息。

在发送邮件时，发送方会利用本域私钥加密生成DKIM签名，并将DKIM签名及其相关信息插入邮件头，而邮件接收方接收邮件时，通过DNS查询获得公钥，并验证邮件DKIM签名的有效性，从而确保在邮件发送的过程中，邮件不会被恶意篡改，保证邮件内容的完整性。针对此类问题，首先需要关注的是，邮件网关的钓鱼邮件防护能力；当你定义了你域名的SPF记录之后，接收邮件方会首先检查域名的SPF记录，来确定连接过来的IP地址是否包含在SPF记录里面，如果在，就认为是一封正确的邮件，否则会认为是一封伪造的邮件进行退回或丢弃处理。

Nebula是国内安全公司威胁猎人团队开源的一款风控系统，重点解决恶意注册、账号被盗、内容欺诈三方面的业务安全问题，其系统架构如图所示：风控系统的工作方式：1、数据源层大数据风控的基础在于数据，全面、高质量的数据可以帮助我们准确地进行风险控制。用户基本信息，除了我们所熟知的姓名、身份证、银行卡、手机号外，还有学历信息、收入情况，甚至包含当前设备、当前位置等用户的征信数据，除了人行征信系统外，还有一些其他网贷平台上的逾期或黑名单信息，比如某网贷平台的黑名单数据。

数据安全治理最为重要的是进行数据安全策略和流程制订。在企业或行业内经常发布《XX数据安全管理规范》，所有的工作流程和技术支撑都是围绕此规范来制订、落实，一般会包括组织架构及职责分工、数据分类与分级管理、数据生命周期（采集、使用、传播、存储、归档、销毁）安全要求、数据安全风险事件管理、数据安全管理考核与监督、数据安全管理培训等内容

随着Docker的兴起，有些商业蜜罐产品开始利用Docker+iptables转发来做调度，不同的Docker里运行各种不同的服务，比如RDP、SSH、Telnet、MySQL、Redis等，注意后端不再是一个模拟的交互环境，而是一个真实的服务，当我们用自动化脚本对网络上各种服务进行检测时，会触发蜜罐事件。在一些重要的场所，比如机房维护操作间电脑上，放一些精心准备的Word和Excel文件，一旦有人想将这些文件带离，在终端或网络上的DLP程序能及时发现；一旦有人请求这个域名，就表明其有一定的可疑性。

如果是合作伙伴APP访问，需要对其APP签名做校验。模拟器检测技术，一般是取一些模拟器特征，例如通过电话管理器攻取设备IMEI、IMSI，判断设备配置信息与Android模拟器设备配置默认值是否相同，检测设备是否有安装蓝牙设备硬件，判断当前设备WIFI MAC地址，检测是否具有QEMU虚拟机通道文件等。私有权限定义经常发生的风险是：定义了私有权限，但是根本没有定义私有权限的级别，或者定义的权限级别不够，导致恶意应用只要声明这个权限就能够访问相应的Content Provider提供的数据，造成数据泄露。

有些企业管理员为了方便维护，在防火墙上直接对外开放Telnet、SSH、RDP的端口，这是非常不明智的，只要知道密码，黑客就可以通过这些端口获得交换机/服务器的权限，即使不知道密码，也可以通过暴力猜解密码获得登录凭证。一般大型企业的互联网出口或者业务系统会比较多，在日常防火墙维护过程中，难免会出现遗漏，所以需要有相应的机制来保障高危端口不对外开放，开放了要及时发现，这就需要端口扫描，常见的工具例如。稳妥起见，建议使用基于网络流量的数据库审计类产品，即将应用到DB的流量镜像给设备，由设备再还原出SQL语句。

信息科技风险管理、监督检查、制度和公文管理、业务连续性管理、信息科技外包管理、分支机构管理，以及其他一些工作合规、内控、风险的关联合规管理是最基础的层面，合规管理的目标是避免违反内外部法律法规、规章制度、流程规范，避免因不合规导致的风险。内控比合规管理更进一层，内控不但要求合规，还要审视“规”是不是完善，“规”有没有配备相应的执行点，执行“规”的过程是不是有效。风险管理，特别是全面风险管理，是风险管控的最高形式。风险按标准划分为市场风险、信用风险、流动性风险、操作风险、法律风险。

从客户体验和便利性角度，开户信息及验证步骤越少越好，但是从信息安全角度，需要客户提供更多的个人信息，通过人脸识别、短信验证等步骤，才可以在客户不跟银行人员面对面接触的情况下，正确核验客户身份，确保客户开户意愿的真实性，既能保护客户不被假冒开户，也能够防止客户抵赖。举个例子，定安全目标时，常见的用词是“提高××水平”“加强××能力”“完善××措施”，这些目标是无法衡量的，因为不知道要提高到什么水平，加强到什么能力，完善哪些措施。目标的时限性是指目标是有时间限制的，没有时间约束的目标是没有办法衡量和评价的。