防攻击
来源:互联网 发布:驱魔人第二季 知乎 编辑:程序博客网 时间:2024/04/28 23:59
涉及外部通信的特性应具备基本的防攻击能力,对影响自身的常见攻击具备防御能力等,遵从公司红线要求3.1.1~3.1.4。
l 通信端口安全
特性所采用的通信端口,要考虑如下安全方面的设计:
1. 如果是仅用于研发/生产调试专用的端口,在现网并不使用,则必须在出厂之后关闭。如果在现网紧急情况下维护可能需要用到该类端口,则必须提供控制手段和相关的操作指导手册,且端口的访问必须提供身份认证,日志记录、操作权限控制等功能。
2. 如果是安全敏感特性,且提供了管理接口来控制功能的开启和关闭,则可以考虑实现开启时强制操作员输入开启相应功能的原因、支持强制开启一段时间后自动关闭、支持上报告警或事件等。
3. 不使用任意随机端口作为某个应用或服务的通信端口;如果需要使用随机端口,必须严格控制在某个小范围里(建议端口上下限范围跨度不超过100)的高位端口(端口号要大于1024)。
4. 如果使用了随机端口范围,则必须在通信矩阵中有明确描述。
5. 通信端口是客户用来设置网络防火墙策略的重要参数,特性需要的端口必须在通信矩阵中都有详细记录和描述。
6. 所有能对系统进行管理的通信端口及协议必须有接入认证机制,标准协议没有认证机制的除外。
l 协议健壮性设计
1、 对于产品采用第三方软件(包括开源组件或代码)方式集成的应用,应对第三方软件进行充分的安全风险评估,并使用业界主流漏洞扫描工具扫描,确保第三方软件不存在高风险漏洞。
2、 如果采用第三方软件集成,应确保采用第三方软件的最新稳定版本。
3、 对于产品自行设计或实现的通信协议,要考虑协议的健壮性设计,比如防泛洪攻击、畸形报文攻击、重防攻击、身份伪造、防篡改等,关于标准的IP通信协议防攻击及防攻击设计,可以参考《运营商BG产品IP防攻击设计规范》、《无线产品线设备防攻击解决方案》。
4、 产品应用的Banner信息不能泄漏系统、应用版本等敏感信息。
一些用在与对端通信握手时会提供一些Banner信息,主要是“欢迎信息”、“端口信息”、“软件版本信息”、“操作系统信息”等,这些信息容易被攻击者利用,因此,如果应用协议协商中带有Banner信息,且包含系统信息、应用版本信息,则应关闭、修改Banner。- 防攻击
- Apache的防攻击
- 防注入攻击指南
- 防SQL注入攻击
- 防注入攻击指南
- 防SSLtrip攻击解决方案
- iptables防cc攻击
- .net防sql攻击
- PHP防CC攻击
- PHP防CC攻击
- 防DDOS攻击软件
- 防SYN攻击
- linux防攻击
- 防SSH攻击
- PHP防注入攻击
- PHP防csrf攻击
- Filter 防Xss攻击
- 防CSRF攻击方法
- HDU 4824 (2014百度之星资格赛1002)
- Entity Framework技术导游系列开篇与热身
- POJ 2993Emag eht htiw Em Pleh(模拟)
- linux 编程-数据表示
- 千寻浏览器 v1.0 beta1 官方版
- 防攻击
- 离开学校如何自学修炼成为一名网页设计师(四)
- 锤子手机跑分数据曝光
- U3D研讨会
- inode
- 美图秀秀2014电脑版 v3.9.6.1003 官方最新版
- WinRAR美化增强版 v5.10 简体中文版
- q讯家园看加密空间 官方免费版
- 慢阻肺专病网络医院是什么情况?