提纲

• 黑客精神
  • 误区
  • 内涵
  • 倡议
  • 知法守法
• 信息收集、人肉搜索与社会工程学
  • 搜索引擎
  • 垂直搜索
  • 社区论坛
  • 微博
  • 微信
    • 手机号搜索（真实姓名）
  • 社工数据库
  • 悬赏搜索
• 持续对抗
  • 知己知彼
    • 未知攻焉知防
    • 网络扫描、漏洞挖掘、渗透测试等等
    • 黑产社区+黑市交易 VS. 威胁情报+协同防御
    • 蜜罐、蜜网
  • 戴明环与P2DR模型
    • 持续改进
  • 与时间竞赛
    • 0day
    • http://blog.sciencenet.cn/home.php?mod=space&uid=453322&do=blog&id=1010441
    • 不全是比“快”，有时候“慢”一点更安全
      • APT等碎片化攻击
      • 面对长期静默和高级逃逸技术，需要时间去发现蛛丝马迹
• 不可预测
  • 你的密码安全吗？
    • 密码安全研究
      • https://github.com/SecWiki/sec-chart/blob/294d7c1ff1eba297fa892dda08f3c05e90ed1428/%E5%AF%86%E7%A0%81%E5%AE%89%E5%85%A8%E7%A0%94%E7%A9%B6.jpg
  • 防御CSRF
  • 防御重放攻击
• 纵深防御
  • 生物种群多样性理论
  • 防火墙、入侵检测、应用程序安全加固、蜜罐/蜜网、计算机取证
• 最小化授权
  • SQL注入防御
  • 文件上传漏洞防御
  • XSS防御
• 木桶原理
  • 层次化安全加固原则
    • 局域网安全是互联网安全的基础
    • 操作系统安全是信息系统安全的基础
    • CPU安全（可信计算）是操作系统安全的基础
    • 口令安全毁掉整个系统？
      • 纵深防御
      • 最小化授权
  • 等级安全保护的进退维谷
• 访问控制
  • 认证
    • 多因素认证
  • 授权
    • OAuth VS. SSO
  • 审计
    • 计算机取证
    • 蜜罐/蜜网
    • 入侵检测
• 慢羊理论/破窗效应
  • 不用比所有人都跑得快，跑得比你快就行了
    • “我没有什么可被黑客偷的”？不，黑客攻击你不一定是因为你有钱、有机密，他就是想用你做一只肉鸡
• 风险意识
  • 风险评估
  • ROI: Return On Investment
  • 商业银行风险管理
    • 分散风险
      • 网络隔离（VLAN划分、DMZ、交换机物理隔离等）
      • 系统隔离（特定业务专用系统、VM、容器、沙盒等等）
      • 分布式（存储、计算、负载均衡、灾备等）
      • 纵深防御
    • 对冲风险（对于组合风险）
      • 主动攻击攻击源
      • 入侵反制
    • 转移风险
      • 蜜罐/蜜网
      • 使用（可信第三方提供的）云计算、lib、SDK等
      • 各大互联网金融公司推出的账号财产安全险
    • 规避风险（对于单一风险）
      • 渗透测试、风险评估、网络扫描
      • 入侵检测、防火墙、IPS等等
      • 高级威胁检测
    • 缓释风险（与时间赛跑）
      • 密码学算法