论坛徽章:: 18

11楼 [报告]

发表于 2014-04-19 15:39 |只看该作者

1. 那些你曾经忽视过的安全问题，给你带来的苦头？

从大学毕业到现在，一直从事着电信经分系统的工作，从维护到工程，安全方面的问题倒是没有遇到过。
但是安全和维护是对应的，正如楼上所说，安全方面必须通过4A登录，禁止telnet，只能ssh，执行关键指令必须需要领导授权。(比如shutdown等）

2. 你是如何做安全防范的？

1. 工程规划上进行网络安全防范，比如接入公网，需要防火墙、入侵检测系统等等。
2. 系统方面，每上线一套系统，需要根据安全规范对相应的服务进行禁止，对相应的补丁进行升级。
3. 定期有第三方厂家进行检查，包含绿坝等。（是其他人负责）

3. 除了update系统，对于不可预知的系统漏洞，我们如何做好系统漏洞被发现到漏洞被修复这段空档时间的安全防范？

一般是通过第三方的安全检查，渗透检查，比如apache漏洞，mstsc的漏洞等。

4. 作为系统软件应用者，我们没有审计代码的时间，甚至没有这种能力，我们该如何应付代码级的安全问题？

这种主要还是靠开发者的自觉，当前没有QA人员，没有测试人员，只有通过数据库等方面的权限限制以及个人的开发规范要求，避免出现代码级的安全问题。

5. 魔高一尺，道高一丈，不会攻击，何谈防范？你是如何测试自己系统的安全性的？

主要是通过第三方的漏洞扫描以及渗透测试进行。

6. 你是否关注各种安全漏洞平台，比如：某云、某数字库带、某度漏洞报告中心？你可能不知道有多少小菜盯着他们等着脱你的“裤”……

平时稍有关注，此项工作，公司级别的安全部门会定期发送相关的内容，同时甲方专门有安全方面的人进行负责。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

pitonas

家境小康

论坛徽章:: 5

12楼 [报告]

发表于 2014-04-19 18:42 |只看该作者

一时间消息满天飞
魔高一尺，道高一丈

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

rover12421

实习版主

论坛徽章:: 39

13楼 [报告]

发表于 2014-04-21 21:18 |只看该作者

1. 那些你曾经忽视过的安全问题，给你带来的苦头？
想当初,在自己本机上搭建了个wamp(windows+apache+mysql+php)环境,用wordpress搭建了blog,在路由上做了端口映射,以为是内外也就没注意安全问题,后来有一天居然发现,有人通过mysql漏洞进入我的机器.

2. 你是如何做安全防范的？
windows不使用administratoe帐号,最好做一个假的administrator帐号,guest帐号也弄个假的,linux不使用root帐号,sudo帐号也只保留一个就好.不同应用,最好用不同帐号.端口,权限这些常用的就没啥好说的了.要多了解最近发生的漏洞哦,然后看自己有没有用这些应用,有的话,赶紧修复.比如最进的openssl.常见的还有java,ftp的

3. 除了update系统，对于不可预知的系统漏洞，我们如何做好系统漏洞被发现到漏洞被修复这段空档时间的安全防范？
定时看日志罗.多观察数据,一旦有异常即使处理.对如web程序,最好观察修改时间,也要经常看看有没有被人放了webshell,这个危害也是极大的.
多服务器的,内外网隔离,不同应用不同服务器.

4. 作为系统软件应用者，我们没有审计代码的时间，甚至没有这种能力，我们该如何应付代码级的安全问题？
找测试人员测试,没有的话,可以激励使用者来帮忙测试,相应的给于一点奖励也是很不错的.经常去了解一些开源库,多用开源库.开源库大多是经过考验的,特别是使用的人非常多的开源库.可以使用一些代码分析工具,如firebug.用idea写代码,并使用版本库的话,提交代码时,idea会检查代码,最好看看,能调整的时候尽量调整,往往会发现一些意想不到的bug.

5. 魔高一尺，道高一丈，不会攻击，何谈防范？你是如何测试自己系统的安全性的？
做不到自己发现漏洞,可以保证自己第一时间修复.多逛一些安全论坛,查看最近报出来的漏洞和利用工具.做不到hack的能力,但是做到一个脚本小子的能力还是很简单的.

6. 你是否关注各种安全漏洞平台，比如：某云、某数字库带、某度漏洞报告中心？你可能不知道有多少小菜盯着他们等着脱你的“裤”……
闲下来的时候还是会关注的,忙的话就不会太在意了.也会去下一些比较有影响力的裤子.

7. 必不可少的安全工具？sqlmap、WebCruiser？
windows平台下一个工具包,各种各样的工具都有,当然商业级别就没了.
W3AF,Canvas,IDA,等等...
关键是要多了解,找到时候自己的组合就好.

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

platinum

广告杀手

论坛徽章:: 0

14楼 [报告]

发表于 2014-04-22 07:44 |只看该作者

本帖最后由 platinum 于 2014-04-22 07:46 编辑

1. 那些你曾经忽视过的安全问题，给你带来的苦头？
对于攻击者而言，只要找到一个破绽，就可能攻破防线达到目标
但对于防守者来说，必须堵住所有漏洞才能防止入侵
安全无小事，对于那种 “以恶小而为之” 的人来说，忽视全等于坐以待毙
例如某个不会用到的软件出现了漏洞，看似没有问题，但也许某天会存在连锁反应导致整个防护体系崩溃
由于长期做安全相关的工作，因此相对还好，随说做不到完美，但已经尽可能做到了防护，因此到目前为止还未出现过不好的结果

2. 你是如何做安全防范的？
合规性很重要，安全其实是管理上的艺术
对技术的管理，对流程的管理，对人的管理
技术：ACL、补丁、入侵检测
流程：流程摸排、隐患梳理、规范和制度的定制
人（这也是最难的）：制度、规范、与奖惩挂钩

3. 除了update系统，对于不可预知的系统漏洞，我们如何做好系统漏洞被发现到漏洞被修复这段空档时间的安全防范？
对于 0day 来说，任何人都没有办法，那么只能做到该做的
并且密切关注业内动向，一旦业内公开了严重问题，会有一个短暂危险期
这段时间是很关键的，就像 “黄金 72 小时”，处理越快，损失可能越小（因为没有绝对的安全），必要时需要暂时终止服务
网络架构也很关键，DMZ 是很必要的隔离手段

4. 作为系统软件应用者，我们没有审计代码的时间，甚至没有这种能力，我们该如何应付代码级的安全问题？
永远不要尝鲜
对于安全、运维来说，“求稳” 最关键，但版本也不要太老，例如 CentOS5 还算可以，CentOS4 就过时了
这次的 Heartbleed 就是一个很好的例子，很多 CentOS5 系统并未受到影响，原因是 openssl 库版本太低不支持 HB
如果有可能的话，尽量选择 LTS 版本（Long Time Support）
总之：如果没有这个能力，就让有能力的人去做，然后站在他们的肩膀上。。。

5. 魔高一尺，道高一丈，不会攻击，何谈防范？你是如何测试自己系统的安全性的？
说具体点，类似 openvas、ossec、suricata、appscan、AWS、rkhunter 这类工具应该还是会用的吧？
不仅可以扫描，还可以做到防护

6. 你是否关注各种安全漏洞平台，比如：某云、某数字库带、某度漏洞报告中心？你可能不知道有多少小菜盯着他们等着脱你的“裤”……
这是必须的，而且有必要订阅一些 mailing list、RSS 等，保证获取最新公开漏洞的实时性

7. 必不可少的安全工具？sqlmap、WebCruiser？
前面讲了，有很多工具，这里不可能都一一列举全
大体分成几类：网络类、系统类、APP 类（web、sql、其它）
没有最好，只有最适合

@dooros 真心希望得到这本书，并且希望我的分享可以给大家带来帮助！