云计算综合运维

网络安全本质是信息安全，从一个侧面看信息安全就是风险管 理，风险管理最核心是资产、威胁和脆弱性这三要素，这三要素都 是以资产管理为基础。

来自于陈越大佬的分享

软件详细设计，系统安全保密设计，数据命案，应用安全，主机安全，网络安全，物理安全等说明。 应用安全包括，代码安全，身份鉴别，软件容错，安全审计，访问控制等章节。 主机安全包括系统保护，强制访问控制 ，入侵防范，恶意代码防范等章节。

身份鉴别 1.是否登录操作系统的用户进行身份识别和鉴别；2.操作系统管理用户是否具有不易被冒用的特点，口令是否有复杂度要求并定期更换；3.是否启用登陆失败处理功能，可结束会话、限制非法登录次数和自动退出登措施；4.当对服务器远程管理时，是否采取必要的措施，防止鉴别信息在网络传输中被窃取；4.是否为操作系统不同用户分配不同用户名，确保用户名具有唯一性。 访问控制 1.是否启用访问控制功能，依据安全策略控制用户对资源的访问；2.是否根据管理用户的角色分配权限，实现管理用户的权限分离，仅授管理用户所需的最小权限;3.是否实现操作系统特权用户的权限分离；4.是否限制默认账户的访问权限，重新命名默认账户，修改这些账户的默认口令；5、是否及时删除多余的、过期的账户，避免共享账户的存在。 安全审计 1.审计范围是否覆盖到服务器和重要客户端上的每个操作系统用户；2.审计内容是否包含重要用户行为、系统资源的异常使用使用和重要系统命令的使用等系统内重要的安全相关事件；3.审计记录是否包含事件的日期、时间、类型、主题标识、客体标识和结果等；4.是否能根据记录数据进行分析，并生成审计报表；5.是否保护审计进程

摘 要 信息技术的普及与发展把人类推向了网络化的时代，Internet己成为人们工作和生 活的一部分，计算机网络的普及为人们的生活和工作带来了便利的同时，也对网络安全 和信息安全提出了新的挑战。各种各样的网络攻击事件频繁发生，对个人和企业的信息 、保密造成了极大的影响,不能解决好网络中的安全问题，Internet就不能进一步发展和 普及。 调查表明，在众多的网络攻击事件中，通过内部人员发动的攻击事件在网络安全事 件中占据很大的比例，80%的网络攻击事件都是由网络内部人员发起的或者由于内部人员 滥用网络资源造成的。因此对于局域网内部主机的防护和内部人员滥用进行检测和控制 是保证网络安全的重要环节。在这个巨大的网络当中，支撑着系统正常运行的基本节点 就是网络主机。这些主机包括服务器，路由器，交换机，个人计算机等等。然而这些主 机存在着不同程度的安全隐患。为了更好的保护网络主机的安全，首先需要检测主机的 安全性，发现主机存在怎样的安全问题。 在网络环境下主机往往起着服务器的作用，存放有许多关键的信息，因此极易成为 攻击者的目标。如何对主机的安全进行防护，找出对主机系统的攻击，及时阻断攻击，

windows 服务器主机加固

主机安全能力发展态势 主机安全关键能力及技术要求 重点行业主机安全能力需求 主机安全能力建设流程

开源 bbs 源码 java 18weapons 十八般兵器：刀、枪、剑、戟、斧、钺、钩、叉、鞭、锏、锤、戈、镋、棍、槊、棒、矛、耙 主机安全、应用安全、网络安全、日志安全、代码安全、办公工具、运维工具、编辑器工具、开发工具 想用哪个点哪个，再也不用担心忘记带工具了 = Host Sec = 名称 描述 主机安全 主机监控 系统安全检查工具 主机检查 主机检查 主机检查 webshell后门专杀工具 河马webshell查杀 百度WebShell检测 手工杀毒辅助软件 Win进程浏览器 UNIX进程命令行 Win系统诊断工具 Win系统基线 = Web Sec = 名称 描述 互联网知识库 网络空间搜索引擎 应用防火墙 网络漏洞库 Web抓包工具 网络抓包工具 开源磁盘加密 密钥保管工具 Web安全工具 域名探测 网络资产扫描 fuzz库 inject库 SQL注入图形工具 SQL注入命令行工具 WAF绕过 网站信息探测 网站信息探测 指纹探测 Web探测 指纹探测 WordPress探测 网站目录遍历 Struts漏洞检测 渗透测试工具脚本库 XSS平台 = Net Sec = 名称

网络、主机安全基线检查表.rar