兩者沒有可比性，滲透測試是等保測評中一種非常重要的技術手段，滲透測試，是為了證明網絡防御按照預期計劃正常運行而提供的一種機制，主要是用于等級保護測評后期加固網絡安全的一種技術手段，所以兩者不存在哪個好，是一種相輔相成的關系。

滲透測試前需要做以下準備：

• 明確目標和合同要求；

• 測試目標的范圍、IP、域名、內外網、測試賬戶，滲透的程度和時間、能否修改上傳、提權等

• 確定是進行黑盒測試、白盒測試或者灰盒測試；

• 確定需求，根據需求和自己技術能力來確定能不能做，能做多少，能滲透到什么程度，時間，簽合同。

• 信息收集采用主動掃描還是被動掃描的方式，掃描哪些IP、網段、域名、端口等信息。

• 結合漏洞去exploit-db等位置找利用，在網上尋找驗證poc。

• 發現的有可能可以成功利用的全部漏洞都驗證一遍。結合實際情況，搭建模擬環境進行試驗。成功后再應用于目標中。

• 狀態檢測防火墻使用基于連接狀態的檢測機制，將通信雙方之間交互的屬于同一連接的所有報文都作為整體的數據流來對待。包過濾防火墻只根據設定好的靜態規則來判斷是否允許報文通過，它認為報文都是無狀態的孤立個體，不關注報文產生的前因后果。

• 狀態檢測防火墻采用了狀態檢測包過濾的技術，是傳統包過濾上的功能擴展。狀態檢測防火墻克服了包過濾防火墻和應用代理服務器的局限性，不僅僅檢測“to”和“from”的地址，而且不要求每個訪問的應用都有代理。

• 狀態檢測系統維護一個狀態表，讓這些系統跟蹤通過防火墻的全部開放的連接。而數據包過濾防火墻就沒有這個功能。當通訊到達時，這個系統把這個通訊與狀態表進行比較，確定這個通訊是不是一個已經建立起來的通訊的一部分。

• 狀態檢測防火墻基于防火墻所維護的狀態表的內容轉發或拒絕數據包的傳送，比普通的包過濾有著更好的網絡性能和安全性。

計算機取證是：

• 計算機取證(Computer Forensics)在打擊計算機和網絡犯罪中作用十分關鍵，它的目的是要將犯罪者留在計算機中的“痕跡”作為有效的訴訟證據提供給法庭，以便將犯罪嫌疑人繩之以法。由于取證本身被定義為用于檢測和解決犯罪的科學測試和技術，因此您可以看到科學，執法和計算機世界的巧妙交匯處。當我們考慮到網絡犯罪的發生率不斷增長時，計算機取證法引起越來越多的關注就不足為奇了。簡單地說，在現實生活中，計算機取證是一種長期受到推崇的解決計算機相關犯罪的程序的數字版本。

計算機取證的主要原則有以下幾點：

• 盡早搜集證據，并保證其沒有受到任何破壞；

• 必須保證“證據連續性”（有時也被稱為“chain of custody”），即在證據被正式提交給法庭時，必須能夠說明在證據從最初的獲取狀態到在法庭上出現狀態之間的任何變化，當然最好是沒有任何變化；

• 整個檢查、取證過程必須是受到監督的，也就是說，由原告委派的專家所作的所有調查取證工作，都應該受到由其它方委派的專家的監督。

沙箱屬于apt攻擊檢測中的一種手段方案，兩者無法進行比較并且沒有區別，沙箱方案的原理是將實時流量先引進虛擬機或者沙箱，通過對沙箱的文件系統、進程、網絡行為、注冊表等進行監控，監測流量中是否包含了惡意代碼。相較于一般傳統的特征匹配技術，沙箱方案對未知的惡意程序攻擊具有較好的檢測能力，這一方案還能解決特征匹配對新型攻擊的滯后性。

apt攻擊主要有以下四個流程期：

1. 探測期：信息收集

   探測期是APT攻擊者收集目標信息的階段。攻擊者使用技術和社會工程學手段收集大量關于系統業務流程和使用情況等關鍵信息，通過網絡流量、軟件版本、開放端口、員工資料、管理策略等因素的整理和分析，得出系統可能存在的安全弱點。另外，攻擊者在探測期中也需要收集各類零日漏洞、編制木馬程序、制訂攻擊計劃等，用于在下一階段實施精確攻擊。

2. 入侵期：初始攻擊，命令和控制

   攻擊者突破安全防線的方法可謂五花八門，如采用誘騙手段將正常網址請求重定向至惡意站點，發送垃圾電子郵件并捆綁染毒附件，以遠程協助為名在后臺運行惡意程序，或者直接向目標網站進行SQL注入攻擊等。盡管攻擊手段各不相同，但絕大部分目的是盡量在避免用戶覺察的條件下取得服務器、網絡設備的控制權。（在受害者的網絡植入遠程管理軟件，創建秘密訪問其設備的網絡后門和隧道；利用漏洞和密碼破解來獲取受害者計算機的管理員權限，甚至是Windows域管理員賬號。）

3. 潛伏期，后續攻擊，橫向滲透，資料回傳

   攻擊者成功入侵目標網絡后，通常并不急于獲取敏感信息和數據，而是在隱藏自身的前提下尋找實施進一步行動的最佳時機。（攻擊者利用已控的目標計算機作為跳板，在內部網絡搜索目標信息。）當接收到特定指令，或者檢測到環境參數滿足一定條件時，惡意程序開始執行預期的動作，（最初是內部偵察，在周邊有信任關系的設備或Windows域內收集信息）取決于攻擊者的真正目的，APT將數據通過加密通道向外發送，或是破壞應用服務并阻止恢復，令受害者承受極大損失。（攻擊者擴展到對工作站、服務器等設備的控制，在之上進行信息收集）。 資料竊取階段，攻擊者通過跳板訪問關鍵服務器，在利用0day漏洞等方式攻擊服務器，竊取有用信息。然后將竊取道德數據，應用、文件、郵件等資源回傳，攻擊者會將這些資源重新分割成細小的碎片逐步以不同的時間周期穿給自己。

4. 退出期：清理痕跡

   以竊取信息為目的的APT類攻擊一旦完成任務，用戶端惡意程序便失去了使用價值；以破壞為目的的APT類攻擊得手后即暴露了其存在。這兩種情況中為了避免受害者推斷出攻擊的來源，APT代碼需要對其在目標網絡中存留的痕跡進行銷毀，這個過程可以稱之為APT的退出。APT根據入侵之前采集的系統信息，將滯留過的主機進行狀態還原，并恢復網絡配置參數，清除系統日志數據，使事后電子取證分析和責任認定難以進行

不會，安裝SSL證書后網站訪問速度不僅不會變慢，而且速度會加快。SSL證書可確保Web服務器和Web瀏覽器之間的安全連接。為了進行此安全連接，必須進行TLS握手。TLS握手是一個術語，用于表示雙方同意通過交換公鑰來啟動安全通信的過程，TLS握手就像同級握手一樣。只有他們知道拍手的具體組合，擊掌動作以及將它們視為小組成員的其他動作，這些功能有助于使您網站的訪問者能夠通過HTTPS協議連接到網站。

當ssl證書過期后會產生以下危險：

• 覽器安全警告：當用戶訪問有過期SSL證書的網頁時，瀏覽器會發出錯誤消息并強制確認是否要訪問該網站。它警告SSL證書無效并且不鼓勵用戶訪問該網站。

• 信任度降低：當SSL證書過期時，證書為用戶驗證的所有內容都不再有效。用戶無法判斷擁有該域名的組織是否是真正的所有者，無法確定網站是否安全加密，因此，用戶的信任度降低。

• 容易被網絡釣魚：當證書過期后，網站會從HTTPS協議降低到HTTP協議，當安全等級降低后容易被釣魚網站模仿，這樣會導致網站的用戶被釣魚。

• 公司聲譽受損：當用戶遇到具有過期SSL證書的網站時，公司的聲譽和可信度可能會受到損害。由于客戶不再信任該網站進行在線購買，他們也可能想知道他們的個人或財務信息是否有被曝光的風險。

• 數據傳輸存在泄露風險：網站SSL證書過期意味著你的網站已經沒有SSL證書的保護，網站數據在網絡傳輸的過程中相當于“裸奔”，冒著隨時有可能被不法分子盜取網站數據和泄露用戶信息的風險。

• 網站的訪問度降低：SSL證書過期對于用戶來說最直觀的影響莫過于瀏覽器會提示“不安全”，一旦出現這種情況，那用戶多半會選擇聽從瀏覽器的指引，關閉網站，甚至以后都不會再打開你的網站，造成用戶流失。

雙重勒索攻擊是被害人已經交過贖金攻擊者還可以再次封鎖被害人數據的一種攻擊，攻擊者加密目標系統數據之前會先竊取數據，這樣，即便受害者有備份數據，勒索軟件仍然可以用泄露數據作威脅要求其支付贖金。如果受害者不付款，甚至達成贖金協議后，攻擊者仍然會實施攻擊來限制用戶的數據。網絡犯罪分子會利用受害組織迫切需要恢復運營的恐慌心理，勒索其支付高額贖金；同時，網絡犯罪分子的攻擊目的還擴展到造成盡可能多的破壞。

企業防御雙重勒索攻擊方法有：

• 識別：識別并驗證組織的重要數據資產（VDA）。這是需要額外保護級別的數據，也是企業必須擁有的數據；

• 保護：提高恢復干凈數據幾率的能力。例如，可以避免網絡攻擊的故障安全副本；

• 檢測：識別控件中可能允許攻擊者訪問企業重要數據資產、增加企業風險的漏洞；

• 響應：在已發生的數據泄露事件之后需要遵循的計劃、流程和程序；

• 恢復：讓安全團隊為這種可能性做好排練、測試和實戰演習。

• 沙箱方案：這一方案是為了解決高級入侵手段引起的問題的，即解決特征匹配對新型攻擊的滯后性而產生的解決方案。攻擊者利用0day漏洞，使特征碼的匹配不成功，這樣我們就可以對癥下藥使用非特征匹配，利用沙箱技術識別0day漏洞攻擊和異常行為。沙箱方案的原理是將實時流量先引進虛擬機或者沙箱，通過對沙箱的文件系統、進程、網絡行為、注冊表等進行監控，監測流量中是否包含了惡意代碼。相較于一般傳統的特征匹配技術，沙箱方案對未知的惡意程序攻擊具有較好的檢測能力。

• 異常檢測方案：這一方案是同時解決兩大問題的，即為解決特征匹配和實時檢驗不足而產生的解決方案。這一方案是利用將網絡中正常行為產生的數據量建立一個模型，通過將所有數據量與這一標準模型進行對比，從而找出異常的數據量。正如警察在抓捕壞人時的方法是一致的，由于警察并不知道壞人的姓名，性別，長相已經其他行為特征，但是警察是知道好人的行為特征的，他可以利用這些行為特征建立一個可行的標準模型，當一個人的行為特征與現有的好人的行為特征模型大部分不相符時，警察就可以判斷這個人不是個好人，是一個危險人物。異常檢測的核心技術是基于連接特征的惡意代碼檢測規則、基于行為模式的異常檢測算法、元數據提取技術。

• 基于連接特征的惡意代碼檢測方案：是用來檢測已知的木馬通信行為。基于行為模式的異常檢測算法包含可疑加密文件傳輸等。

• 全流量審計方案：這一方案是解決A，P問題的，即是為了解決傳統特征匹配不足而產生的解決方案。這一方案的核心思想是通過對檢測到的流量進行應用識別，還原所發生的異常行為。它的原理是對流量進行更為深刻的協議解析和應用還原，識別這些網絡行為中是否包含有攻擊行為。當檢測到可疑性攻擊行為時，回溯分析與之相關的流量。包含了大數據存儲處理，應用識別和文件還原等技術。這一方案具備強大的實時檢測能力和事后回溯能力，是將計算機強大的存儲能力與安全人員的分析能力相結合的完整解決方案。

• 基于記憶的檢測系統方案：這是一個由全流量審計與日志審計相結合形成的系統，APT攻擊發生的時間很長，我們應該對長時間內的數據流量進行更加深入，細致的分析。這一檢測系統具體分為四個步驟：

  （1）擴大檢測領域：對數據流量的檢測領域進行適當的拓展，將全流量數據進行有效的存儲，進一步進行深入的分析。

  （2）將數據量進行精煉化：將龐大的數據進行精煉化，將全流量中的數據進行篩選，將與攻擊行為沒有任何相關性的數據進行及時的刪除，同時保留有相關性的數據流量，能夠釋放出更大的空間。挑選，刪除無相關性達到數據流量，可以依靠的第三方的檢測報警設備，也可以利用全數據流量的異常檢測技術。

  （3）對檢測出的攻擊行為進行精確的報警：將保存下來的與攻擊行為有關的數據進行后續分析，做出進一步的精確的報警。

  （4）構建攻擊的場景：我們將上一步做出的精確的報警進行關聯性的分析，明確它們之間存在了哪些語義關系，將孤立的攻擊報警提取出來，構建全面的，整體性的攻擊場景。

• 基于深層次協議解析的異常識別方案：可以仔細檢查發現是哪一種協議，一個數據在哪個地方出現了異常，直到找出它的異常點時停止檢測。

• 攻擊溯源方案：通過已經提取出來的網絡對象，可以重建一個時間內可疑的所有內容。通過將這些事件重新排列順序，可以幫助我們迅速的發現攻擊源。

涉密信息系統容災備份系統的建設需考慮以下方面：

• 必須提供持續數據保護：即實時備份，確保數據零丟失；能實現數據任意時間點回退，確保數據完整可用，在出現故障時候，可以及時找回丟失的歷史數據。

• 業務連續性管理：保證涉密單位信息系統業務持續不間斷，即便是在原系統出現故障，備份系統也能隨時接替原系統對外提供服務，保證業務持續性。

• 抗災難性：即便原系統遭受自然災害、意外事故、敵特破壞等，也能保證在遠程的災備中心還有一套完整可用的數據及應用系統，隨時可以提供服務。在系統設計時就要充分考慮到應急預案和應急培訓。以便發生災難時，系統能從容、高效應對。

• 可信任及安全性：選用誰家的災備系統，用戶就必須把自己所有的信息，不論是否涉及機密，涉及多高級別的機密毫無保留地交給災備系統軟硬件，一旦該系統留有后門及其他安全隱患，后果將不堪設想。所以在軍隊、政府等行業信息系統中涉及保密要求的，對于容災備份及業務連續性管理系統不允許系統存在任何潛在的后門危險，應該采用國內自主創新的產品，保證安全及可信任。

• TCO合理：投入合理，安裝使用簡單，后續維護成本合理，易于擴展等也是要重點考慮的目標。

阿里云上網站做等級保護的措施如下：

1. 定級：確定定級對象，初步確認定級對象，專家評審，主管部門審核，公安機關備案審查。

2. 備案：持定級報告和備案表到當地公安機關網監督部門進行備案。

3. 建設整改：參照信息系統當前等級要求標準，對信息系統進行整改加固。

4. 等級測評：委托具備測評資質的測評機構對信息系統進行等級測評，形成正式的測評報告。

5. 監督檢測：向當地公安機關網監部門提交測評報告，配合完成對信息安全等級保護實施情況的檢查。

入侵檢測有以下這些方法：

• 特征檢測方法：這一檢測假設入侵者活動可以用一種模式來表示，系統的目標是檢測主體活動是否符合這些模式。它可以將已有的入侵方法檢查出來，但對新的入侵方法無能為力。

• 異常檢測方法：假設是入侵者活動異常于正常主體的活動。根據這一理念建立主體正常活動的“活動簡檔”，將當前主體的活動狀況與“活動簡檔”相比較，當違反其統計規律時，認為該活動可能是“入侵”行為。

• 基于網絡檢測方法：通過被動地監聽網絡上傳輸的原始流量，對獲取的網絡數據進行處理，從中提取有用的信息，再通過與已知攻擊特征相匹配或與正常網絡行為原型相比較來識別攻擊事件。

• 基于主機檢查方法：一般使用操作系統的審計、跟蹤日志作為數據源，某些也會主動與主機系統進行交互以獲得不存在于系統日志的信息以檢測入侵。

物聯網與幾個邏輯層所對應的基礎設施之間存在許多區別，最基本的區別體現在以下兩個方面：

• 已有的對傳感網（感知層）、互聯網（傳輸層）、移動網（傳輸層）、安全多方計算、云計算（支撐層）等的一些安全解決方案在物聯網環境可能不再適用。首先，物聯網所對應的傳感網的數量和終端物體的規模是單個傳感網所無法相比的；其次，物聯網所連接的終端設備或器件的處理能力有很大差異，它們之間可能需要相互作用；再次，物聯網所處理的數據量將比現在的互聯網和移動網都大得多。

• 即使分別保證感知層、傳輸層和處理層的安全，也不能保證物聯網的安全。這是因為物聯網是融幾個層于一體的大系統，許多安全問題來源于系統整合。物聯網的數據共享對安全性提出了更高的要求。物聯網的應用將對安全提出了新要求，比如隱私保護不屬于任一層的安全需求，但卻是許多物聯網應用的安全需求。

補充：

鑒于以上原因，對物聯網的發展需要重新規劃并制定可持續發展的安全架構，使物聯網在發展和應用過程中，其安全防護措施能夠不斷完善。

常用信息收集辦法如下：

• 利用在URL中對大小寫敏感來判斷是Windows服務器還是Linux服務器。Linux操作系統大小寫敏感，我們將網址url一些字母修改成修改大小寫看網站是否還能正常訪問，能訪問就是windows服務器，不能則是Linux；

• 通過ping操作系統判斷TTL返回值來判斷操作系統；

• 利用nmap工具對目標進行掃描判斷操作系統版本和端口開放數量；

• 使用指紋識別在線網站如云悉指紋、WhatWeb等在線網站查看指紋；

• 利用瀏覽器插件來收集網站容器和腳本類型；

• 利用網上已有社工庫或者私有社工庫來查詢已經泄露的密碼。

物理隔離網閘是一種由帶有多種控制功能專用硬件在電路上切斷網絡之間的鏈路層連接，并能夠在網絡間進行安全適度的應用數據交換的網絡安全設備。物理隔離網閘的功能：

• 阻斷網絡的直接物理連接：物理隔離網閘在任何時刻都只能與非可信網絡和可信網絡上之一相連接，而不能同時與兩個網絡連接；

• 阻斷網絡的邏輯連接：物理隔離網閘不依賴操作系統、不支持TCP/IP協議。兩個網絡之間的信息交換必須將TCP/IP協議剝離，將原始數據通過P2P的非TCP/IP連接方式，通過存儲介質的“寫入”與“讀出”完成數據轉發；

• 數據傳輸機制的不可編程性：物理隔離網閘的數據傳輸機制具有不可編程的特性；

• 安全審查：物理隔離網閘具有安全審查功能，即網絡在將原始數據“寫入”物理隔離網閘前，根據需要對原始數據的安全性進行檢查，把可能的病毒代碼、惡意攻擊代碼消滅干凈等；

• 原始數據無危害性：物理隔離網閘轉發的原始數據，不具有攻擊或對網絡安全有害的特性。就像txt文本不會有病毒一樣，也不會執行命令等。

• 根據需要建立數據特征庫：在應用初始化階段，結合應用要求，提取應用數據的特征，形成用戶特有的數據特征庫，作為運行過程中數據校驗的基礎。當用戶請求時，提取用戶的應用數據，抽取數據特征和原始數據特征庫比較，符合原始特征庫的數據請求進入請求隊列，不符合的返回用戶，實現對數據的過濾。

• 根據需要提供定制安全策略和傳輸策略的功能：用戶可以自行設定數據的傳輸策略，如：傳輸單位（基于數據還是基于任務）、傳輸間隔、傳輸方向、傳輸時間、啟動時間等。

• 支持定時/實時文件交換；支持支持單向/雙向文件交換；支持數字簽名、內容過濾、病毒檢查等功能。

• 郵件同步：支持標準的SMTP服務，安全、高可用性的郵件過濾策略，可為每個用戶配置不同的郵件交換策略，內外網郵件鏡像等。

• 數據庫同步：雙向/單向數據同步，同步內容可定制，多種同步方式，數據可定時更新。

• 支持多種數據庫：Oracle、Sybase、Infomix、DB2、SQL Server等多種主流數據庫。 向文件交換；支持數字簽名、內容過濾、病毒檢查等功能。

網絡嗅探攻擊原理指首先黑客會在終端中加入嗅探目標終端的信息傳輸路徑，又加上以太網是一個廣播型網絡，黑客則可以在終端使用嗅探器，將自己的以太網卡設置成雜收模式，然后攻擊者則可以在自己的終端上捕獲以太網上所有的報文和幀，然后分析這些報文中的內容然后提取關鍵信息來對選擇好的目標實施攻擊。網絡嗅探攻擊不會影響網絡中信息的正常傳輸過程，并且對受害者來說是無感的，最終可以實施數據重放攻擊等操作。

預防網絡嗅探攻擊方法有以下這些：

• 使用安全的拓撲結構：嗅探器只能在當前網絡段上進行數據捕獲。這就意味著，將網絡分段工作進行得越細，嗅探器能夠收集的信息就越少。但是，除非你的公司是一個ISP，或者資源相對不受限制，否則這樣的解決方案需要很大的代價。網絡分段需要昂貴的硬件設備。有三種網絡設備是嗅探器不可能跨過的：交換機、路由器、網橋。我們可以通過靈活的運用這些設備來進行網絡分段。

• 對會話加密：會話加密提供了另外一種解決方案。不用特別地擔心數據被嗅探，而是要想辦法使得嗅探器不認識嗅探到的數據。這種方法的優點是明顯的即使攻擊者嗅探到了數據，這些數據對他也是沒有用的。

• 用靜態的ARP或者IP-MAC對應表代替動態的：該措施主要是進行滲透嗅探的防范，采用諸如ARP欺騙手段能夠讓入侵者在交換網絡中順利完成嗅探。網絡管理員需要對各種欺騙手段進行深入了解，比如嗅探中通常使用的ARP欺騙，主要是通過欺騙進行ARP動態緩存表的修改。在重要的主機或者工作站上設置靜態的ARP對應表，比如Win2000系統使用arp命令設置，在交換機上設置靜態的IP-MAC對應表等，防止利用欺騙手段進行嗅探。

• 物理防范：入侵者要讓嗅探器發揮較大功效，通常會把嗅探器放置在數據交匯集中區域，比如網關、交換機、路由器等附近，以便能夠捕獲更多的數據。因此，對于這些區域就應該加強防范，防止在這些區域存在嗅探器。

• 建設完善的安全制度：除網絡管理員外其他人員禁止在網絡中使用任何嗅探工具，是完全有必要的。這能從制度上明確限制一些工作站主動使用嗅探器的情況。對于網絡管理員來說更重要的是要建立安全意識，了解你的用戶，定期檢查你網絡中的重點設備，如服務器、交換機、路由器。對用戶要定期發送安全郵件，發送郵件是讓用戶具有安全意識。管理意識是提高安全性的另一個重要因素。

• 使用VLAN隔離：利用VLAN技術將連接到交換機上的所有主機進行邏輯分開，將他們之間的通信變為點到點的通信方式。

• 保護好個人信息：平時要做好手機號、身份證號、銀行卡號、支付平臺賬號等敏感的私人信息保護。

• 提高安全意識如果早上起來，看到半夜收到奇怪的驗證碼短信，一定要想到可能是遇到短信嗅探攻擊，如果發現錢被盜刷了，火速凍結銀行卡，保留短信內容，報警。

5G網絡有以下開放的安全能力：

• 基于網絡接入認證向垂直行業應用提供訪問認證，即如果垂直行業應用與運營商網絡層互信，用戶在成功通過網絡接入認證后可以直接訪問垂直行業的應用，從而在簡化用戶訪問垂直行業應用認證的同時提高了訪問效率。

• 基于5G網絡提供對外部數據網絡的次認證接入控制能力，使得垂直行業可以控制用戶接入特定數據網絡，使運營商網絡可以作為垂直行業應用安全的屏障。

• 向垂直行業開放接入切片的控制能力，增強切片接入的安全性，同時也可引入面向客戶的標識和認證體系，進一步支持垂直行業向客戶提供不受終端限制的多級別服務。

• 基于網絡切片提供增強的安全服務能力，各垂直行業應用在向用戶提供服務時，需要建立網絡連接并獲得通信安全保障。這些應用不但對網絡連接的帶寬、時延、覆蓋范圍、服務質量、可靠性等提出了差異化需求，對安全能力也提出了更精細化、差異化的要求。

• 對外部數據網絡提供的次認證能力，5G網絡提供了把訪問第三方數據網絡的身份認證授權給承載數據網絡的第三方的能力，這就是5G網絡特有的次認證能力。次認證發生的前提條件是終端已經接入運營商的5G網絡并成功完成了初始認證。