100条安全原则来制定安全策略

100条安全原则来制定安全策略

1. 最小化原则，网络最小化，权限最小化，能看到的资源最小化，应用最小化等等

2. 隐藏原则，一切都对黑客隐藏就可以了；

3. 二次验证，还要经常改密码；

4. 打补丁，重大的要立刻打，不然一天内就被黑客利用了。

5. 监控、报警系统要有，入侵检测的报警

6. 所有操作都要有审计，用于溯源，不然怎么发生的安全事故完全就不知道。

7. 零信任原则，白名单登录；

8. 加密原则，加密是安全的核心基础；其他才是CIA。抓包是攻击的核心基础；

9. 只给工作需要的权限，不给一点多余权限；

10. 三权分立。管理权限的账号，操作的账号，审计的账号；

11. 所有点都要做防御，分4方面：网络、系统和内核、应用、人、物理。网络要不出网；

12. 保障信息完整性，不能被篡改，确认是合法的。CIA

13. 防0day，一定要有这个策略；还要防止Xshell用的是破解版的，间谍软件专门把这些信息外传

14. 要做所有员工安全意识培训。安全与人人都相关。还要做人的防范，认识最薄弱的安全一环；

15. 做备份，随时可更换系统和服务器。这是安全给运维提的需求。

16. 网路哦监控、系统监控、应用监控、三合一入侵监控，也就是SIEM。不然入侵来的时候的时候反应不过来。

17. 访问频率限制。这也是最小化原则里的一种；

18. 信息防泄密；

19. 主动渗透测试、反复确定安全配置，不要让技术没按照安全提的策略少配置了。还要经常查找日志里的入侵痕迹；

20. 紧急应急、24小时立刻要做。

21. 木马后门扫描，这个要周期性做；

22. 访问凭据的保护，防中间人；

23. 防互联网随意扫描。这个要用策略防住；

24. 安全防御就是“靠策略、补丁管理、安全系统、紧急应急”组成的；

25. 始终有一个心态“内网有一个肉机”。始终要有一个心态“有一个漏洞”。

26. 始终有内鬼心态，包括远程办公人员；

27. 限制访问路径，不能直接就访问了。

28. 被远控了。一定要第一时间发现，这个是必须的。

29. 内网渗透，一定要发现；

30. 使用软件要官网的，包括开发库；

31. 找程序的业务逻辑漏洞；

32. 不准乱用软件，要有应用白名单。禁止敏感信息外发网盘，gitlab等。有的软件上传敏感信息；

33. 结合行业的安全守则和规范来做安全。

34. 发现异常就要联系安全，有的异常就是安全引起的，比如cpu飙高。比如网页被挂马，网络有flash更新提示。日志有异常日志

35. 不合法内容不要点，这是基本的安全意识；

36. 一定要找出最薄弱点，那个点没做安全的，忽略的，才是重点。安全就是要全面，木桶原理，取决于最薄弱环节；

37. 多看安全新闻，掌握最新威胁情报；

38. 一旦被攻击或爆漏洞，一定要紧急处理；

39. 多看应用的日志；

40. 遵循安全行业规范，比如picc比如等保。

41. 到市场上看有没有自己的敏感信息在卖。比如暗网，比如telegram等。如果有就是被入侵或内鬼了。需要重视。

42. 分权管理，所有权限或敏感信息不要放在同一个人手上。要分摊到两个人一起做才可以。这就防止一个人独大了。

43. 要部署一套全面的安全系统，并且统一管理；

44. 充分熟悉业务和开发运维网络dba的技术。才能做好安全；

45. 安全无小事，宁可错杀一百，也不放过一个。因为一出事就是大事，损失金钱和数据。甚至用户；

46. 安全要从上往下执行，让领导和老板来推。小公司不会有安全，因为就算不做，也不会损失惨重，就不花这个钱了。技术能做多少就多少。

47. 安全要和业务在一起工作。平时他们操作访问的应用和操作习惯，用的软件等，安全要做到心中有数。这样有帮助于找弱点和漏洞；

48. 安全必须建立在业务稳定基础上，领导重视的基础上；

49. 日志要全面，5W1H原则。时间地点谁，怎么干的，干了什么，导致什么影响。

50. 安全重要是防止重大丢钱时间，重大损失，和小概率事件的。不是没事和大家找事的。

51. 对常见攻击要有防御方案和应急方案。并且部署完整，和经常做红蓝对抗。平时重点关注新的攻击和异常。还有新闻；

52. 安全处理要彻底不要有残留，不要心慈手软怕得罪别人。

53. 安全要对所有技术都熟悉，才能渗入到每个环节，因为每个环节都要做安全；

54. 纵深防御。每个环节都要防御，网络架构的每个点、运维架构的每个点、应用程序的每个方法、系统和安全软件。还有内核。每层都要做安全防御，这就是纵深防御。不是说，内部就安全了，不用防御的，旨在外壳做一点。那就是传统对安全错误的理解。

55. 技术人员的安全意识培训很重要。但前提就是他们得有时间，不能业务都没做好就做安全。

56. 对所有异常情况都判断一下，是不是安全事故。

57. 要能做木马分析。

58. 要对安全系统优化，提升漏报、误报、迟报；

59. 做产品选型和架构设计时，就要考虑安全。不然有的产品本身就有安全问题，后期不好改。

60. 每台server和服务都要有台历。并且周期性做手动检测也记录到台历里面。这样一出问题能很熟悉这台服务器的情况。

61. 注意团队的敏感信息处理和离职人员安全处理，还有竞争对手。

62. 安全处理要彻底，不要心软，不要怕麻烦；

63. 安全人员要有基本自我修养或工作素质，才能做好安全，如责任心，爱学习和兴趣；

64. 安全事件处理要深入业务，找到入侵原因（溯源和漏洞复现），彻底解决类似安全事故以及应用到其他项目中去；

65. 安全和业务技术要很好的沟通；

66. 熟悉安全产品和功能，还有看安全新闻；

67. 防止社工

68. 经常找黑客团队做渗透测试，也要内部做白盒渗透测试；

69. 信息安全标准学习 27000

70. 最好做到每个文件怎么来的，每个进程外联的IP，及历史都有记录，不然出故障很难溯源；

71. 重点系统做重点防御，不是所有都一样的，比如Jenkins，比如harbor；

72. 重点网络区域也要单独一个防御策略，比如DB的，比如重要服务器区域；直接单独防火墙；

73. 要注意默认安全，该端口，该默认账号，默认访问路径等；

74. 安全要能把常见弱点和漏洞找出来，让技术去修改就行。找的漏洞点越多越好；

75. K8S,DOCKER,ZABBIX,NACOS每套系统都要做安全，一个都不能有遗漏；哪套漏了就会被入侵；

76. 基线检测要重视紧急修复，重大高危补丁也要紧急修复，一刻都不能等；

77. 安全问题第一时间就是关机，反正要屏蔽远控为第一要务；

78. 所有人要有一个好的安全习惯，不要为了方便和效率，关电脑锁屏；

79. 安全防御就是靠安全系统（产品）和经验；

80. 安全是从上往下推的，必须要有领导支持，要给权力，而且一切都基于日常的业务稳定。只要不忙才能更好的做安全；

81. 安全需要彻底执行，说不能上网就不能上网，不要觉得无所谓就开放一下；

82. 安全没有百分百，就看信任多少和愿意承受什么样的损失以及花费多大的代价精力。

83. 定期做安全培训和规范编制；

84. 供应链和社工是黑客的未来。

85. 安全要做DevSecOps；

86. 安全师零信任的，不要相信任何人给你的文件或程序或任何信息；

87. 要做代码审计；

88. 安全要求业务，随时可以关机，替换。比如IP、sever、Docker应用等；

89. 安全要会所有黑客攻击手法。对任何一个点都知道黑客怎么入侵的。

90. 要做访问控制：认证、授权、白名单IP等

91. 多做预案；

92. 一切操作和工作都落实到文件，要有记录，以后出事随时可以拿出来参考。这个很重要

93. 一切都落地到文件（所有操作全部由表格记录）（指定到个人和时间），要有计划方案，实施方案，进度详情，事故报告，漏洞统计，每日扫描记录，每日巡检记录。

94. 多做威胁模型：网络安全模型：ATT&CK、零信任、自适应安全架构 Gartner提出Adaptive Security Architecture（自适应安全架构）、Forrester提出Zero Trust（零信任模型）、MITRE提出ATT&CK（Adversarial Tactics Techniques & Common Knowledge 对抗战术技术和常识）。

95. 做一个限制或策略，绝对不是在只在一个点能做，要思维打开，在每一个点都有可能做，要相信会有更好的。比如限制出网白名单，在iptables上能做，在网络防火墙上也能做，在上网代理服务器上也能做。做安全思路一定要打开

96. 安全不是做某一个部分的安全，比如运维，要做运维所有事都息息相关的安全，从办公电脑到服务器全部做。取决于最弱的一环；

97. 安全要优先处理原则，开发运维要对安全信息透明；

98. 任何安全机制，可以先用非强制模式，permissive ，跑出来日志了，二周左右，把正常合法操作都开启允许，其他的都黑名单就行了。

99. 安全一定要有预案，webshell怎么处理，木马怎么处理，confluence被入侵怎么处理等等；

100. 协助运维判断是否是安全导致的故障，比如cpu暴增，服务器重启，内网无缘无故有个ping命令。安全要24小时紧急应急；101 还要注意安全事故处理要有临时解决方案，一定要影响小还能解决问题；

做安全又一大原则：强硬原则，强烈要求原则。有的意见提了，运维不做，那就强硬提出，并且说清楚利弊。强烈要求一定要做；

安全一大原则：不要想当然原则。有的事，你觉得不可能，实际就是可能的，还得和技术去确认。比如10.0.0.8网段的机器，根据日志去连接192.168.0.10的代理服务器。正常就觉得这条是假的，误报。实际，确实如此，网络就这么做的。

安全一大原则：不要怕麻烦原则 有的事就怕麻烦别人，或者自己麻烦，没有去仔细判断，结果导致重要线索浪费了。就像找特征码的时候，没有反复让运维查服务器，特征码没找到准确的。

安全一大重要工作：通过木马分析找特征码，进行所有服务器扫描。

安全一大原则：提出的需求就反复追问，必须要完成原则，不要因为怕麻烦别人就不做了，就忘记了；

被动攻击总结 常规和非常规漏洞点：

1. 常规软件漏洞；

2. 爆破

3. 木马文件执行；

4. 身份欺骗

5. 数据篡改；

6. 信息泄露；

7. 提权；

8. 可否人性；

9. 拒绝服务；

10. 人为泄露信息（内应）

11. 社工库爆破

12. 运营商劫持；

13. 水坑攻击；

14. 供应链攻击；

15. 社会工程学

16. 业务逻辑漏洞

17. 故人干私活，从而把员工电脑给黑了，也就黑了他的公司资料；

18. 获取网盘等信息；

19. 植入前端广告，入flash下载；

20. 网站挂马

21. 发送垃圾邮件、短信等；

22. 入侵路由器，默认安全；

23. 全网批量扫漏洞；24 被动入侵手法：

24. 获得密码后，直接连服务器

25. 遗留木马，自己触发了

26. 登陆云平台，操作了服务器

27. 内网中间人信息收集，登录了虚拟化平台，操作服务器

28. 运维电脑被黑，远控服务器

29. 使用有木马的应用程序

30. 中间人劫持

31. 黑客做完免杀，做进程注入，在做端口复用，完全没有痕迹

32. 运维管理服务器被黑后，从而操作其他技术，比如杀软远程安装，Jenkins 远程执行命令

33. 劫持 黑客攻击途径：

34. URL网址直接渗透，或旁站渗透；

35. 互联网狂扫，扫到什么算什么；

36. 先入侵办公内网在入侵机房网络，或先入侵远程办公电脑；

37. 水坑攻击：运营商、服务提供商，下载站，pom代码提供商，路由器服务商，软件提供商，键盘、usb、xshell提供商

38. 内应：透漏所有敏感信息，直接攻击弱点，并无法溯源；

39. 有白名单的厂家，比如安骑士、dns、ntp、和应用程式需使用的第三方厂家（支付、监控）都是咱们白名单ip。可以更好实施攻击。

40. 云平台账号

41. CDN厂家，就劫持和利用白名单渗透；

42. 物理攻击：直接进机房或办公室，办公室WiFi用玩具直升机渗透。badusb、键盘等等。

43. 其他：云服务器、防火墙、自建CDN服务器等等；

防0day（靠的是策略）：访问路径。访问控制机制：都用，二次密码，用远程桌面在使用应用程序或虚拟应用；普通用户启动；加密 白名单。应用白名单，进程白名单，网络白名单。不出网不入网；假设应用有一个RCE，看能获得多大的攻击；尽全力打补丁，不能让黑客两个漏洞联合起来利用；出网用代理，木马都没网络。只有知道代理服务器的应用才能出网；防御0day最好的方法就是隐藏。也就是隐藏端口，域名，IP 及时发现入侵，这样就算有0day，他黑进来也不能获取多大的利益；采用java的应用，不要用php的，更加能防0day

1. 以非root启动

2. 访问域名和ip 隐藏

3. 禁止出网

4. 应用程序出网采用代理的方式，用request库的proxy方式

5. 防火墙禁止入网和白名单配置

6. 把bash命令和wget 等命令权限去掉，用的时候再添加。7 世界杯期间容易发生的安全问题：

7. 流量异常，网络运维都怀疑是安全事故，而且服务器无响应，现象和勒索软件一样

8. 服务器安全告警过多，误报和警告会暴增，又不能关机等大动作，只能靠系统配置尽量修复，系统层处理不好就导致业务宕机

9. 世界杯期间运维非常忙，很多操作只能我自己做，我不能有误操作

10. 开发部分的安全一点都没做，世界杯期间肯定爆发，都不知道哪里来的，配合起来需要很久

11. 如果有遗留木马爆发，或者运维配置不完整的地方，世界杯期间一旦发生，就是大动作。尤其是内网肉鸡一直都存在，windows 系统跟容易死机蓝屏，甚至启动不起来。

12. 世界杯期间由于大量的利益驱使，导致所有安全问题集中发生，一个月等于一年。需要提前做好应急预案，和把这几年遇到的安全问题从头到尾熟悉一遍，安全是一个系统工程，不在于某一个点，在于疏忽哪一个点。

13. 高防机房带宽2g，有一个cc攻击点被利用，或某个接口能重放回源，他就是最大的瓶颈，很快就跑满，得提前写cc攻击脚本测试，抓代理做攻击系统，最后还要配合运维和机房做策略。8 运维安全七要素：

14. 服务器不主动出网

15. 服务进程不用root启动

16. 补丁都打全

17. 白名单，对黑客隐藏。启用内网间防火墙，只开放业务端口；

18. 入侵检测系统（安骑士）

19. 堡垒机系统，对一切输入有审计；

20. 所有登录，必须有二次验证，比如阿里云比如zabbix等；

21. 只开放有用的端口，比如22、80、443；