接上一个学习笔记内容继续：

image.png

配置系统安全参数。
删除非必要功能，这一点确实有感触。很多时候，对方可能根本都不知道自己的某些资产开放了什么样的服务或功能，因此对于渗透测试来说，资产信息收集就变得十分重要。当然站在被保护者的角度来说，关闭非必要的功能当然是最优的解决方法。
第三点使用强效加密法对所有非控制台管理访问进行加密，这个是针对使用SSL或者早期的TLS来说的，但是这里有个疑惑，早期的TLS已经是SSL3.1版本以上的吧？虽然与现在的发展过的TLS协议比较来说肯定有不足之处，但是也还可以吧。。可能这里要求挺高的。当然，一些明文协议（例如 HTTP、telnet），不会对流量进行加密，所以截取明文数据包很容易获得敏感数据。

image.png
image.png

要求3：保护持卡人数据

image.png

加密、截词、掩盖和散列等保护方法保护持卡人的数据安全。即使获取到数据，但是看不懂，没用密钥解密，相当于获取到无效数据。这一点我觉得应该是非对称的防守方式。同时还强调了两点：数据存储量和保留时间。在合理的范围下，应尽量减少数据存储。

image.png

对于敏感数据，得到授权之后，也不要存储。除非有正当的业务理由和绝对的存储安全保障。

image.png
强密钥+限制密钥知道人数

要求4：加密持卡人在开放式公共网络中的传输

image.png
image.png

还是数据在传输过程中的加密问题。
只接受可信任的密钥或证书、使用安全协议、加强加密程度。
无线安全：防止被窃听而导致敏感信息的泄露。同样，还是采用强效加密法。

image.png
PAN的概念？

维护漏洞管理计划

要求5：为所有系统提供恶意软件防护并定期更新杀毒软件或程序

image.png

看到了很感兴趣的关键词：0day攻击。公司的情况我不太清楚，但是就个人而言，很多人都觉得在自己的PC上安装上牛逼的杀软，就百毒不侵了。其实真正的大厂生产的杀软背后每天都会有团队对病毒库进行更新。既然是处于一种不断更新的动态的过程，说明杀软并不是完美涵盖所有漏洞、病毒的。0day无疑是杀软最大的敌人，对于白帽子来说，挖到漏洞会第一时间交付给厂商，及时打补丁。但是对于做黑产的人来说，情况就比较严重了。
所以即使安装和配置了杀毒软件或程序，及时更新、修补、监控也是很必要的。

image.png

还是在说进行安全更新并维护的问题，引出了杀毒机制的三点：
1、保持为最新
2、执行定期扫描
3、生成检查日志

image.png
[图片上传中...(image.png-835c1a-1599038333613-0)]
确保杀毒机制积极运行且无法被用户禁用或更改，除非管理人员根据具体情况做出有时间限制的明确授权。可能在个人PC上，除非安装一些小工具之类的软件，需要暂时让杀软退出，其他情况杀软应该都会保持着积极运行的状态。但是对于公司而言，问题就变得多样、变化，有时需要上新新的业务或者服务，有时需要对系统做出变动等等，这些情况可能需要禁用杀毒软件。如果出于特定目的需要禁用杀毒保护，必须获得正式授权。杀毒禁用期间，可能还需要实施其他安全措施。

要求6：开发并维护安全的系统和应用程序

image.png