降低中間人攻擊造成危害的方法有以下這些：

• 通過采用動態ARP檢測：DHCP Snooping等控制操作來加強網絡基礎設施

• 采用傳輸加密：SSL和TLS可以阻止攻擊者使用和分析網絡流量。像Google等公司如今都有高級的網站搜索引擎優化，默認狀態下都提供HTTPS。

• 使用CASBs云訪問安全代理：CASBs可以提供加密、訪問控制、異常保護以及數據丟失保護等一系列功能。

• 創建RASP實時應用程序自我保護：這是一個新概念，內置于應用程序中，用來防止實時攻擊。

• 阻止自簽名證書：自簽名證書很容易偽造。但是目前還沒有撤銷它們的機制。所以，應該使用有效證書頒發機構提供的證書。

• 強制使用SSLpinning：這是對抗MiTM攻擊的另一種方式。使用有效證書頒發機構提供的證書是第一步，它是通過返回的受信任的根證書以及是否與主機名匹配來驗證該服務器提供的證書的有效性。通過SSL pinning可以驗證客戶端檢查服務器證書的有效性。

• 安裝DAM數據庫活動監控：DAM可以監控數據庫活動，檢測篡改數據。

• 加強網絡安全防范法律法規等方面的宣傳和教育，提高安全防范意識。

• 加固網絡系統，及時下載和安裝系統補丁程序。

• 盡量避免從互聯網上下載不知名的軟件和游戲程序。

• 不要隨意打開來歷不明的電子郵件及文件、運行不熟悉的人給予的程序。

1. 開啟系統自帶Windows防火墻

   為了更好進行網絡安全管理，Windows系統特意為用戶提供了防火墻功能。如果能夠巧妙地使用該功能，就可以根據實際需要允許或拒絕網絡信息通過，從而達到防范攻擊、保護系統安全的目的。

2. 關閉Windows遠程桌面功能

   關閉Windows遠程桌面功能是防止黑客遠程入侵系統的首要工作。

3. 關閉遠程注冊表管理服務

   遠程控制注冊表主要是為了方便網絡管理員對網絡中的計算機進行管理，但這樣卻給黑客入侵提供了方便。因此，必須關閉遠程注冊表管理服務。

大數據安全標準有以下這些：

• 基礎類標準：為整個大數據安全標準體系提供包括概述、術語、參考架構等基礎標準，明確大數據生態中各類安全角色及相關的安全活動或功能定義，為其他類別標準的制定奠定基礎。

• 平臺和技術類標準：該類標準主要針對大數據服務所依托的大數據基礎平臺、業務應用平臺及其安全防護技術、平臺安全運行維護及平臺管理方面的規范，包括系統平臺安全、平臺安全運維和安全相關技術三個部分。系統平臺安全主要涉及基礎設施、網絡系統、數據采集、數據存儲、數據處理等多層次的安全技術防護。平臺安全運維主要涉及大數據系統運行維護過程中的風險管理、系統測評等技術和管理類標準。安全相關技術主要涉及分布式安全計算、安全存儲、數據溯源、密鑰服務、細粒度審計等安全防護技術。

• 數據安全類標準：該類標準主要包括個人信息、重要數據、數據跨境安全等安全管理與技術標準，覆蓋數據生命周期的數據安全，包括分類分級、去標識化、數據跨境、風險評估等內容。

• 服務安全類標準：該類標準主要是針對開展大數據服務過程中的活動、角色與職責、系統和應用服務等要素提出相應的服務安全類標準，包括安全要求、實施指南及評估方法。針對數據交易、開放共享等應用場景，提出交易服務安全類標準，包括大數據交易服務安全要求、實施指南及評估方法。

• 行業應用類標準：該類標準主要是針對重要行業和領域大數據應用，對涉及國家安全、國計民生、公共利益的關鍵信息基礎設施的安全防護，形成面向重要行業和領域的大數據安全指南，指導相關的大數據安全規劃、建設和運營工作。

大數據數據恢復技術包括以下這些：

• 軟恢復：軟恢復針對的是存儲系統、操作系統或文件系統層次上的數據丟失，這種丟失原因是多方面的，如系統軟硬件故障、死機、病毒破壞、黑客攻擊、誤操作、陣列數據丟失等。這方面的研究工作起步較早，主要難點是文件碎片的恢復處理、文檔修復和密碼恢復。

• 硬恢復：硬恢復針對的是硬件故障所造成的數據丟失，如磁盤電路板損壞、盤體損壞、磁道損壞、磁盤片損壞、硬盤內部系統區嚴重損壞，恢復起來難度較大，如果是內部盤片數據區嚴重劃傷，會造成數據徹底丟失而無法恢復數據。

• 大型數據庫系統恢復：大型數據庫系統中存儲相當重要的數據，數據庫恢復技術是數據庫技術中的一項重要技術，其設計代碼占到數據庫設計代碼的10%，常用的方法有冗余備份、日志記錄文件、帶有檢查點的日志記錄文件、鏡像數據庫等。

• 異型系統數據恢復：異型操作系統的數據恢復指的是不常用、比較少見的操作系統下的數據恢復，如MAC、OS2、嵌入式系統、手持系統和實時系統。

• 數據覆蓋恢復：數據被覆蓋后再要恢復的話，難度非常大，這與其他四類數據恢復有本質的區別。目前，只有硬盤廠商及少數幾個國家的特殊部門能夠做到，它的應用一般都與國家安全有關。

靜態鏈接與動態鏈接的區別如下：

• 在靜態鏈接中,外部庫文件中定義的函數和變量在可執行文件中鏈接.這意味著在編譯/鏈接時,代碼實際上與您的代碼相關聯.使用動態鏈接,您在軟件中使用的外部函數不會與可執行文件鏈接.相反,它們駐留在外部庫文件中,這些文件僅由您的軟件引用.即:編譯器/鏈接器指示軟件在哪里找到使用的函數。動態鏈接生成的可執行文件要比靜態鏈接生成的文件要小一些。

• 靜態鏈接在”編譯時”由稱為鏈接器的工具完成.動態鏈接在運行時由操作系統完成。

APT攻擊特征有以下這些：

• 極強的隱蔽性：APT攻擊與被攻擊對象的可信程序漏洞與業務系統漏洞進行了融合，在組織內部，這樣的融合很難被發現。

• 潛伏期長持續性強：APT攻擊是一種很有耐心的攻擊形式，攻擊和威脅可能在用戶環境中存在一年以上，他們不斷收集用戶信息，直到收集到重要情報。他們往往不是為了在短時間內獲利，而是把“被控主機”當成跳板，持續搜索，直到充分掌握目標對象的使用行為。所以這種攻擊模式，本質上是一種“惡意商業間諜威脅”，因此具有很長的潛伏期和持續性。

• 目標性強：不同于以往的常規病毒，APT制作者掌握高級漏洞發掘和超強的網絡攻擊技術。發起APT攻擊所需的技術壁壘和資源壁壘，要遠高于普通攻擊行為。其針對的攻擊目標也不是普通個人用戶，而是擁有高價值敏感數據的高級用戶，特別是可能影響到國家和地區政治、外交、金融穩定的高級別敏感數據持有者。

• 技術高級：攻擊者掌握先進的攻擊技術，使用多種攻擊途徑，包括購買或自己開發的0day漏洞，而一般攻擊者卻不能使用這些資源。而且，攻擊過程復雜，攻擊持續過程中攻擊者能夠動態調整攻擊方式，從整體上掌控攻擊進程。

• 威脅性大：APT攻擊通常擁有雄厚的資金支持，由經驗豐富的黑客團隊發起，一般以破壞國家或大型企業的關鍵基礎設施為目標，竊取內部核心機密信息，危害國家安全和社會穩定。

網絡安全中的威脅、漏洞和風險分別指：

• 威脅：任何可以有意或無意地利用漏洞，獲取，破壞或破壞資產的東西。簡單來說是指特定類型攻擊的來源和手段，通常是指新型或新發現的事故，這類事故有可能危害系統或您的整個組織。

• 漏洞：安全程序中的弱點或差距，可被威脅利用以獲取對資產的未授權訪問。簡單來說是可以攻擊成功的系統安全缺陷，通常指一個或多個黑客可以利用的已知資產（資源）弱點。換句話說，它是一種使攻擊能夠成功實現的已知問題。

• 風險：利用漏洞威脅導致資產丟失，損壞或破壞的可能性。風險是威脅和漏洞的交集。簡單來說風險是指在利用漏洞發出威脅時面臨損失或破壞的可能性。風險的例子包括由于業務中斷、失去隱私、聲譽損害、法律問題而造成的財務損失，甚至可能包括失去生命。

防火墻的原理是指設置在不同網絡（如可信任的企業內部網和不可信的公共網）或網絡安全域之間的一系列部件的組合。它是不同網絡或網絡安全域之間信息的唯一出入口，通過監測、限制、更改跨越防火墻的數據流，盡可能地對外部屏蔽網絡內部的信息、結構和運行狀況，有選擇地接受外部訪問，對內部強化設備監管、控制對服務器與外部網絡的訪問，在被保護網絡和外部網絡之間架起一道屏障，以防止發生不可預測的、潛在的破壞性侵入。

防火墻常見的功能如下：

• 限制未經授權的用戶訪問本企業的網絡和信息資源的措施，訪問者必需要能適用現行所有的服務和應用。網絡衛士防火墻支持多種應用、服務和協議，支持所有的internet服務，包括安全的web瀏覽器、電子郵件、ftp、telinet及rpc和udp等，還支持如oracle、sybase、 sql服務器數據庫訪問和real audio, vodlive netmeeting和internet phone等這樣的多媒體應用及internet廣播服務；

• 提供基于狀態檢測技術的ip地址、端口、用戶和時間的管理控制；

• 訪問控制對象的多種定義方式支持多種方式定義訪問控制對象: ip/mask(如202.100.100.0/24)，ip 區間(如202.100.100.1-202.100 100 254)，ip/mask與通配符，ip區間與通配符等，使配置防火墻的安全策略極為方便；

• 高效的urt和文件級細粒度應用層管理控制：應用層安全控制策略主要針對常用的網絡應用協議http和ftp,控制策略可以實現定義訪問源對象到目標對象間的常用協議命令通過防 火墻的權限，源對象可以是網段、主機。http 和ftp的協議端口用戶可根據實際情況在策略中定義，協議命令為http和ftp的主要常用命令。通過應用層策略實現了url和文件級的訪問控制。

高級持續性威脅攻擊相比普通攻擊有以下不同：

• 針對性更強：高級持續性威脅攻擊的目標明確，多數為擁有豐富數據/知識產權的目標，所獲取的數據通常為商業機密、國家安全數據、知識產權等。相對于普通攻擊的盜取個人信息，高級持續性威脅攻擊只關注預先指定的目標，所有的攻擊方法都只針對特定目標和特定系統，針對性較強。

• 組織嚴密：高級持續性威脅攻擊成功可帶來巨大的商業利益，因此攻擊者通常以組織形式存在，由熟練黑客形成團體，分工協作，長期預謀策劃后進行攻擊。他們在經濟和技術上都擁有充足的資源，具備長時間專注APT研究的條件和能力。

• 持續時間長：高級持續性威脅攻擊具有較強的持續性，經過長期的準備與策劃，攻擊者通常在目標網絡中潛伏幾個月甚至幾年，通過反復滲透，不斷改進攻擊路徑和方法，發動持續攻擊，如零日漏洞攻擊等。

• 高隱蔽性：高級持續性威脅攻擊根據目標的特點，能繞過目標所在網絡的防御系統，極其隱藏地盜取數據或進行破壞。在信息收集階段，攻擊者常利用搜索引擎、高級爬蟲和數據泄漏等持續滲透，使被攻擊者很難察覺。在攻擊階段，基于對目標嗅探的結果，設計開發極具針對性的木馬等惡意軟件，繞過目標網絡防御系統，隱蔽攻擊。

• 間接攻擊：高級持續性威脅攻擊不同于普通網絡攻擊的直接攻擊方式，通常利用第三方網站或服務器作跳板，布設惡意程序或木馬向目標進行滲透攻擊。惡意程序或木馬潛伏于目標網絡中，可由攻擊者在遠端進行遙控攻擊，也可由被攻擊者無意觸發啟動攻擊。

根據影響的協議、網絡的不同，流量劫持可大致分為：DNS劫持、HTTP劫持、鏈路層劫持等。詳細介紹如下：

• DNS劫持：DNS劫持又稱域名劫持，是指控制DNS查詢解析的記錄，在劫持的網絡中攔截DNS請求，分析匹配請求域名，返回虛假IP信息或不做任何操作使請求無效。目的是將用戶引導至非預期目標，或禁止用戶訪問。DNS劫持一般只會發生在特定的網絡范圍內，大部分集中在使用默認DNS服務器上網的用戶。因此，我們可以通過直接訪問目標IP，或設置正確的DNS服務器來繞過DNS劫持。

• HTTP劫持：HTTP劫持發生在運營商網絡節點上。對流量進行檢測，當流量協議為HTTP時，進行攔截處理。

• 鏈路層劫持：第三方（可能是運營商、黑客）通過在用戶至服務器之間，植入惡意設備或者控制網絡設備的手段，偵聽或篡改用戶和服務器之間的數據，達到竊取用戶重要數據（包括用戶密碼，用戶身份數據等等）的目的。鏈路層劫持最明顯的危害就是帳號、密碼被竊取。

物理隔離網絡的直接目的是防止外網的攻擊和威脅,最大限度地保護內部網絡安全。物理隔離實現的基本原理如下：

• 系統物理隔離原理：普通物理隔離是使用物理隔離卡將控制程序存儲在ROM芯片中，使用兩個磁盤存儲兩套系統，兩個系統相互互不干擾；

• 網絡物理隔離原理：通過網絡隔離將內網和外網的網線硬件進行隔離使計算機可以分時的連接內外網而互不影響；

• 硬盤物理隔離：通過兩個不同的硬盤存儲來自不同網絡的信息，使兩個不同網絡的信息相互不干擾，使計算機可以分時的使用不同網絡的數據。

網絡安全策略的實施包括以下方面：

• 物理層安全策略：物理層安全策略的目的是保護計算機系統、網絡服務器、打印機等硬件實體和通信鏈路免受自然災害、人為破壞和搭線攻擊；驗證用戶的身份和使用權限，防止用戶越權操作；確保計算機系統有一個良好的電磁兼容工作環境；建立完備的安全管理制度，防止非法進入計算機控制室和各種偷竊、破壞活動的發生。抑制和防止電磁泄漏是物理安全策略的一個主要問題。

• 數據鏈路層安全策略：數據鏈路層的網絡安全需要保證通過網絡鏈路傳送的數據不被竊聽，主要采用劃分VLAN（虛擬局域網）、加密通信（遠程網）等手段。信息加密的目的是保護網內的數據、文件、口令和控制信息，保護網上傳輸的數據。網絡加密常用的方法有鏈路加密、端點加密和節點加密三種。

• 網絡層安全策略：網絡層的安全需要保證網絡只給授權的客戶使用授權的服務，保證網絡路由正確，避免攔截或監聽。用于解決網絡層安全性問題的主要有防火墻和VPN（虛擬專用網）。防火墻是在網絡邊界上通過建立起來的相應網絡通信監控系統來隔離內部和外部網絡，以阻擋外部網絡的侵入。目前常見的防火墻有三種類型：包過濾防火墻、代理防火墻、雙穴主機防火墻。

• 系統安全策略：系統的安全主要是指操作系統、應用系統的安全性，以及網絡硬件平臺的可靠性。

• 應用系統安全策略：在應用系統安全上，主要考慮通信的授權、傳輸的加密和審計記錄。首先，必須加強登錄過程的認證（特別是到達服務器主機之前的認證），確保用戶的合法性；其次，應該嚴格限制登錄者的操作權限，將其完成的操作限制在最小的范圍內；第三，在加強主機的管理上，除了上面講的訪問控制和系統漏洞檢測外，還可以采用訪問存取控制，對權限進行分割和管理。應用安全平臺要加強資源目錄管理和授權管理、傳輸加密、審計記錄和安全管理。

• 網絡安全管理策略：網絡安全管理策略包括：確定安全管理等級和安全管理范圍；制訂有關網絡操作使用規則和人員出入機房管理制度；制定網絡系統的維護制度和應急措施等。

APT攻擊的p代指持續，相對于其他攻擊形式更為持續和持久，其持續性主要體現在APT在發動攻擊之后對攻擊對象的業務流程和目標系統進行持續控制。是一種利用先進的攻擊手段對特定目標進行長期持續性網絡攻擊的攻擊形式。通常是通過Web或電子郵件傳遞，利用應用程序或操作系統的漏洞，利用傳統的網絡保護機制無法提供統一的防御。

APT攻擊是一種高級持續性威脅攻擊，針對該攻擊的防御手段有以下這些：

• 使用威脅情報：這包括APT操作者的最新信息、從分析惡意軟件獲取的威脅情報、已知的C2網站、已知的不良域名、電子郵件地址、惡意電子郵件附件、電子郵件主題行、以及惡意鏈接和網站。威脅情報在進行商業銷售，并由行業網絡安全組共享。企業必須確保情報的相關性和及時性。威脅情報被用來建立“絆網”來提醒你網絡中的活動。

• 建立強大的出口規則：除網絡流量（必須通過代理服務器）外，阻止企業的所有出站流量，阻止所有數據共享和未分類網站。阻止SSH、FTP、Telnet或其他端口和協議離開網絡。這可以打破惡意軟件到C2主機的通信信道，阻止未經授權的數據滲出網絡。

• 收集強大的日志分析：企業應該收集和分析對關鍵網絡和主機的詳細日志記錄以檢查異常行為。日志應保留一段時間以便進行調查。還應該建立與威脅情報匹配的警報。

• 聘請安全分析師：安全分析師的作用是配合威脅情報、日志分析以及提醒對APT的積極防御。這個職位的關鍵是經驗。

• 對未知文件進行檢測：一般通過沙箱技術罪惡意程序進行模擬執行，通過對程序的行為分析和評估來判斷未知文件是否存在惡意威脅。

• 對終端應用監控：一般采用文件信譽與嘿白名單技術在終端上檢測應用和進程。

• 使用大數據分析方法：基于大數據分析的方法，通過網路取證，將大數據分析技術和沙箱技術結合全面分析APT攻擊。

web防火墻都能防護以下這些攻擊：

• 竊聽：在以太網等載波偵聽多路訪問的網絡中，每個節點都可以讀取網上傳播的數據，如搭線竊聽，安裝通信監視器和讀取網上的信息等。

• 假冒：當一個實體假扮成另一個實體進行網絡活動而不被察覺時就發生假冒行為。

• 重放：截獲到一份報文或報文的一部分，然后將該報文重新發送給正常通信的另一方，可借此 “獲取” 對方信任授權，進而完成其他攻擊任務。

• 流量分析：通過對網上的信息流的觀察和分析，推斷出網上傳輸的有用信息。由于 IP 數據報頭信息不能加密，所以即使數據進行了加密處理，也可以進行有效的流量分析。

• 數據完整性破壞：有意或無意地修改或破壞信息系統，或者在非授權和不能監視的方式下對數據進行修改。

• 拒絕服務：當一個授權的實體不能獲得應有的對網絡資源的訪問或緊急操作被延遲時，就發生了拒絕服務。

• 資源的非授權使用：涉及與所定義的安全策略不一致的使用。

• 陷阱和特洛伊木馬：通過替換系統的合法程序，或者在合法程序里插入惡意的代碼，以實現非授權進程的運行，從而達到某種特定的目的。

信息安全工程能力成熟度級別有以下這些：

• 未實施級：未實施級沒有公共特征。能力成熟度處于未實施級（0級）的組織，通常不能成功執行過程區域中的全部基本實施。能力成熟度為0級的過程區域輸出的工作產品不易辨別或使用。能力成熟度為0級的組織，不具有實施信息安全工程的基本能力，不適宜做為工程承建單位來負責實施一項工程。一個過程區域通常與某一有價值的安全工程服務相關。若某一組織在某一過程區域的能力成熟度為0級，則這一組織無法提供某一特定信息安全工程服務，如風險評估服務。

• 非正式執行級：非正式執行級關注的是一個組織或項目是否執行了包含基本實施的過程。這個級別的設計思想可以描述為“必須首先做它，然后才能管理它”。在這一級別，過程區域的基本實施均被執行。但基本實施的執行可能未經嚴格的計劃和跟蹤，即不能控制執行效果，效果取決于個人的能力，能力達到這一級別的工程組織，執行過程區域具備1個公共特征，即“執行基本實施”。此公共特征的GP只是保證過程區域的所有BP以某種方式執行。然而，工作產品的一致性、性能和質量會因缺乏適當控制而存在極大的差異。

• 計劃和跟蹤級：計劃和跟蹤級關注的是在項目層面是否有相應的定義、計劃，并按照事先的定義和計劃執行。這個級別的設計思想可描述為“在定義組織層面的過程之前，先要理解并做好項目層面應該執行的相關事項”。在這一級別上，項目組先制訂計劃和規范，再按計劃和規范執行過程區域的基本實施并跟蹤執行情況；驗證過程區域的執行是否符合預期目標，驗證工作產品能夠符合指定的需求。

• 充分定義級：充分定義級著重于合理裁剪組織層面的已定義過程。這個級別的設計思想可描述為“用從項目中總結出的良好經驗定義組織層面的過程”。在這一級別，基本實施按照充分定義的過程執行。充分定義的過程是依據對文檔化的標準過程進行裁剪并經批準的過程版本。

• 量化控制級：量化控制級著重于測量。測量是與組織業務目標緊密聯系在一起的。盡管以前級別的數據收集和項目測量是基本的活動，但只有達到充分定義級別時，數據才能在組織范圍內測量和應用。這個級別的設計思想可以描述為“只有知道它是什么，才能測量它”和“當測量的對象正確時，基于測量的管理才有意義”。收集并分析過程執行的詳細測量項，獲得對過程能力和能力改進的量化理解，并獲得預測過程執行情況的能力。

• 持續改進級：“沒有最好，只有更好”，“完美是追求的一種境界”。這個級別從前面各級所有管理活動的經驗中獲得發展的力量，并通過加強組織文化來保持這個力量。此方法強調文化的轉變，這種轉變又將使方法更有效。這個級別的設計思想可以描述為“一種持續改進的文化需要以完備的管理實施、已定義的過程和可測量的目標作為基礎”。在這個級別上，基于組織的業務目標并針對過程有效性和效率建立量化執行目標。通過執行已定義過程和運用創新的思想和技術并獲得量化反饋來針對這些目標持續改進過程。

• 評估能力成熟度級：在評估和改進組織過程能力時，公共特征和能力級別都是重要的。當評估組織能力時，如果這個組織在執行特定過程區域時只具備了一個特定級別的部分公共特征時，則這個組織在這個過程區域的能力成熟度達不到這一級別。例如，在執行“評估脆弱性”這一過程區域時，具備了2級能力成熟度級別的“規劃執行”、“規范化執行”、“跟蹤執行”的特征，如果缺乏“驗證執行”這一公共特征，那么，組織在“評估脆弱性”這一過程區域的能力成熟度達不到2級。另外，如果組織在實施過程區域時雖然具備了某一較高級別的所有公共特征，但不具備低級別的公共特征時，則這個組織不能獲得較高級別的所有收益，此組織的能力成熟度實際上也是達不到這一較高級別。由于上述原因，SSE-CMM的通用實施和公共特征按能力高低進行排序。當一個組織希望改進某個特定過程的能力時，各能力級別的公共特征包含的通用實施活動可為組織機構提供一個“能力改進路線圖”。