在沒有安裝第三方殺毒軟件的情況下，win10防火墻有必要開，不建議直接永久關閉，win10防火墻可以在一定程度上阻止黑客攻擊和病毒入侵，對系統起到保護作用，如果安裝了第三方殺毒軟件，windows defender查殺性較為遜色，與其他殺毒軟件共存反而成為累贅拖慢系統性能，這個時候建議關閉win10防火墻。

windows防火墻保護頁包含以下設置：

• 允許應用通過防火墻：如果防火墻阻止了您真正需要的應用，您可以為該應用添加例外，或打開特定端口。

• 網絡和Internet疑難解答：如果遇到常規網絡連接問題，可以使用此疑難解答來嘗試自動診斷和修復這些問題。

• 防火墻通知設置：防火墻阻止某些內容時希望收到更多通知或者更少的通知可在此處配置該。

• 高級設置：如果熟悉防火墻設置，這將打開經典WindowsDefender防火墻工具，該工具可用于創建入站或出站規則、連接安全規則，并查看防火墻的監視日志。錯誤地添加、更改或刪除規則可能會導致系統更易受到攻擊，或導致某些應用無法工作。

APPscan可以掃描以下但不止以下類型的漏洞：

• SQL注入

  SQL注入攻擊是黑客對數據庫進行攻擊的常用手段之一。

• XSS跨站點腳本

  XSS是一種經常出現在web應用中的計算機安全漏洞，它允許惡意web用戶將代碼植入到提供給其它用戶使用的頁面中。

• 緩沖區溢出

  緩沖區溢出漏洞是指在程序試圖將數據放到及其內存中的某一個位置的時候，因為沒有足夠的空間就會發生緩沖區溢出的現象。

• cookies修改

  即使Cookie被竊取，卻因Cookie被隨機更新，且內容無規律性，攻擊者無法加以利用。另外利用了時間戳另一大好處就是防止Cookie篡改或重放。

• 上傳漏洞

  這個漏洞在DVBBS6.0時代被黑客們利用的最為猖獗，利用上傳漏洞可以直接得到WEBSHELL，危害等級超級高，現在的入侵中上傳漏洞也是常見的漏洞。

• 命令行注入

  所謂的命令行輸入就是webshell了，拿到了權限的黑客可以肆意妄為。

自適應安全架構的四個維度如下：

• 防御：是指一系列策略集、產品和服務可以用語言防御攻擊。這個方面的關鍵目標是通過減少被攻擊面來提升攻擊門檻，并在受影響前攔截攻擊動作。

• 檢測：用于發現那些逃過防御網絡的攻擊，該方面的關鍵目標是降低威脅造成的“停擺時間”以及其他潛在的損失。監測能力非常關鍵，因為企業應該假設自己已處在被攻擊狀態中。

• 響應：用于高效調查和補救被監測分析功能（或外部服務）查出的事務，以提供入侵和攻擊來源分析，并產生新的預防手段來避免未來事故。

• 預測：通過防御、檢測、響應結果不斷優化基線系統，逐漸精準預測未知的、新型的攻擊。主動鎖定對現有系統和信息具有威脅的新型攻擊，并對漏洞劃定優先級和定位。該情報將反饋到預防和檢測功能，從而構成整個處理流程的閉環。

vps服務器有以下特點：

• 通常比云服務器便宜，共享服務器上的VPS客戶端之間沒有文件或數據訪問。它們保持分開。

• 如果需要，可以重新引導一個VPS，而不會影響共享服務器上的其他VPS。

• 它們不提供高可用性。如果物理服務器發生故障，則該服務器上的所有VPS都會發生故障。

• 可能存在安全隱患。如果共享服務器上的客戶不十分重視安全性，并遭到黑客入侵或感染病毒，則可能會對您的VPS造成負面影響。

• 計算資源在所有客戶端之間共享，因此，如果共享服務器上的另一個VPS要求更高的負載，則RAM，帶寬和CPU性能可能會受到影響。

• 每個物理服務器只能使用一個操作系統，它們不可擴展。存儲基于物理服務器限制。達到最大VPS容量后，您必須購買更多空間或尋求其他選擇。遷移到新解決方案可能需要花費數小時或數天的停機時間。

針對PKI系統的安全體系標準有以下這些：

• 信息安全技術公鑰基礎設施數字證書格式：該標準規定了數字證書和證書撤銷列表的基本結構、各數據項內容。本標準適用于數字證書認證系統的研發、數字證書認證機構的運營以及基于數字證書的安全應用。

• 信息安全技術密碼設備應用接口規范：該標準規定了公鑰密碼基礎設施應用技術體系下服務類密碼設備的應用接口標準。本標準適用于服務類密碼設備的研制、使用，以及基于該類密碼設備的應用開發，也可用于指導該類密碼設備的檢測。

• 信息安全技術公鑰基礎設施基于數字證書的可靠電子簽名生成及驗證技術要求：該標準規定了基于數字證書的可靠電子簽名生成及驗證過程的技術要求，包括電子認證服務提供者、電子簽名人身份、電子簽名相關數據、簽名生成模塊、電子簽名生成過程與應用程序、電子簽名驗證過程與應用程序等要求。本標準適用于基于數字證書的可靠電子簽名相關系統、應用的開發，以及相關產品、服務標準的制定。

• 信息安全技術公鑰基礎設施遠程口令鑒別與密鑰建立規范：該標準定義了基于非對稱密碼技術實現遠程口令鑒別與密鑰建立的數學定義和協議構造。本標準適用于采用基于口令鑒別與密鑰建立技術的鑒別系統的設計和開發。

• 信息安全技術公鑰基礎設施數字證書策略分類分級規范：該標準通過分類分級的方式，規范了用于商業交易、設備和公眾服務領域的電子認證服務中的8種數字證書策略。本標準適用于我國電子商務和公眾服務中所涉及的數字證書。

滲透測試挖漏洞方法如下：

• 可以按照功能點審計，比如評論處是否支持匿名，有沒有獲取ip處存在sql注入，頭像處能否上傳圖片馬；
• 文件包含漏洞除了可以爆關鍵文件外，也可以和其它漏洞結合方法來挖掘漏洞；
• 對項目結構要有所了解，可以嘗試去配置文件中看有沒有統一的過濾來嘗試繞過；
• 但凡沒有使用單引號的變量都可以繞過魔術引號的轉譯來嘗試挖掘；
• 使用代碼審計的方法從根源上來挖掘漏洞；
• 搜索常見的危險函數來挖掘漏洞；
• 對個別文件進行通讀，尤其注意有輸入的地方。

IOS安全體系保護了以下服務：

• 鑒別服務：對等實體認證服務用于兩個開放系統同等層中的實體建立連接或數據傳輸階段，對對方實體的合法性、真實性進行確認，以防假冒。

• 訪問控制服務：訪問控制服務用以防止末授權用戶非法使用系統資源，它既包括用戶身份認證，也包括用戶權限的確認。

• 數據完整性服務：數據完整性服務用以防止非法實體對交換的數據的修改、插入、刪除以及在數據交換過程中的數據丟失。數據完整性服務分為帶恢復功能的連接方式數據完整性、不帶恢復功能的連接方式數據完整性、選擇字段連接方式數據完整性、選擇字段無連接方式數據完整性和無連接方式數據完整性。

• 數據保密性服務：數據保密性服務是為了防止數據被截獲或被非法訪問而泄密所提供的加密保護。由于開放系統互連參考模型中規定數據傳輸可采用連接方式和無連接方式，數據保密性服務也提供連接方式和無連接方式兩種數據保密。

• 抗抵賴性服務：抗否認服務用以制止發送方在發送數據后否認發送過數據的事實以及發送數據的內容，制止收方收到數據后否認收到數據的事實以及收到數據的內容，即向獨立的第三方提供數據的來源和數據傳遞的證明。

緩解基于DNS的DDoS攻擊的方法有以下這些：

• 屏蔽主動發送的DNS響應信息：如果服務器在沒有接收到查詢請求之前，就已經生成了對應的響應信息，那么服務器就應該直接丟棄這一響應信息。這種機制能夠有效地緩解反射攻擊所帶來的影響。一個典型的DNS交換信息是由請求信息組成的。DNS解析器會將用戶的請求信息發送至DNS服務器中，在DNS服務器對查詢請求進行處理之后，服務器會將響應信息返回給DNS解析器。但值得注意的是，響應信息是不會主動發送的。

• 丟棄快速重傳數據包：即便是在數據包丟失的情況下，任何合法的DNS客戶端都不會在較短的時間間隔內向同一DNS服務器發送相同的DNS查詢請求。因此，如果從相同源地址發送至同一目標地址的相同查詢請求發送頻率過高，那么服務器必須將這些請求數據包丟棄。

• 啟用TTL屏蔽數據包：對于一個合法的DNS客戶端而言，如果它接收到了響應信息，那么它就不會再次發送相同的查詢請求。如果數據包的TTL生存時間到了，那么系統應該對每一個響應信息進行緩存處理。當攻擊者通過大量查詢請求來對DNS服務器進行攻擊時，我們就可以屏蔽掉不需要的數據包了。

• 丟棄未知來源的DNS查詢請求和響應數據：通常情況下，攻擊者會利用腳本來對目標進行分布式拒絕服務攻擊（DDoS攻擊），而且這些腳本通常針對的都是軟件中的漏洞。因此，如果我們能夠在服務器中部署簡單的匿名檢測機制，我們就可以限制傳入服務器的數據包數量了。

• 對未見過的數據包直接丟棄：這類請求信息很可能是由偽造的代理服務器所發送的，或者是由于客戶端配置錯誤，也有可能是開發人員用于調試的請求信息。但是我們應該知道，這也有可能是攻擊者發送的。所以無論是哪一種情況，都應該直接丟棄這類數據包。

混合云有以下典型業務應用場景：

• 跨云部署：對于大型企業而言，通常具備多個機構，甚至包括海外機構，其中對外應用通常可以部署在公有云，并通過公有云區域的分布以及CDN（Content Delivery Network，內容分發網絡）網絡節點服務為終端用戶提供快捷訪問；對內應用通常選擇部署在私有云環境中。除了跨公有云、私有云的場景，還有跨不同公有云的場景，實現多云管理。在混合云模式下，前端、后端只需要一些簡單交互就可以實現這樣的場景需求。總而言之，將不同的應用放在不同的環境中，再利用混合云分布式架構進行應用的異構管理，實現企業的跨云部署。

• 彈性伸縮：對于部署在私有云中的應用，在諸如銀行促銷活動、電商折扣活動等具備大量需求的場景下，企業通常難以通過購買服務器來進行擴容。而混合云模式下，企業在面臨短期高需求場景時可以合理利用公有云的資源，實現資源靈活調節，當需求量下降后再轉換回私有云，從而能夠達到節約整體成本、提高資源利用率的目的。

• 災難恢復：混合云的災難恢復一般采用主從架構。在這種架構下，用戶可以把備用的業務數據放在公有云上，借助公有云提供商的先進技術、災備經驗、運維管理等優勢，快速實現數據災難恢復，保障服務的連續性。同時，與純私有云部署相比，混合云的災難恢復還可以降低運維工作量，節省災備系統成本。在私有云數據中心發生重大災難時，用戶可以在公有云端利用云主機快速切換，切換到備份數據，大幅降低故障恢復時間（RTO），實現業務高可用。備份通常是主從關系，即把生產數據與業務部署在私有云環境下，同時在公有云進行數據備份和業務備份，當私有云發生異常或災難，如有火災、地震或者某種原因而不能訪問應用時，可以無縫切換至公有云環境，同時也可以把相關數據向私有云進行備份。

• 跨云復制和遷移：企業通過混合云管理私有云和第三方公有云資源。業務應用經過統一開發和測試，分別向私有云與公有云進行部署，為不同地區客戶提供服務。同時，企業還可以按需通過混合云提供的能力將特定地區的業務從公有云向私有云進行遷移，或者在公有云之間進行遷移，這種方式給企業帶來了更大的靈活性和持續的擴展能力。

• 業務上云數據庫托管：面向互聯網的業務在云上，給最終用戶更好的訪問體驗和網絡資源，云下部署企業核心系統或數據庫。

進行信息系統安全等級保護備案證明的方法如下：

1. 定級：定級的依據就是你《信息系統安全等級保護定級指南》。定級的原則是“自主定級”，因為系統在遭受破壞后造成多大影響自己清楚。確定等級后起草“定級報告”，定級報告模版百度文庫里可以搜到。

2. 準備備案材料：備案所需材料主要是《信息安全等級保護備案表》。每個系統填寫一份備案表，其中二級系統只需要填寫備案表的表一、表二和表三；三級系統需要填寫表一、表二、表三和表四。

3. 等級測評：二級系統不需要進行等級測評即可進行備案；三級系統需要有資質的測評機構進行測評并出具測評報告，測評報告作為備案材料之一（備案表表四中有明確說明）進行備案。

4. 提交備案材料：將《信息安全等級保護備案表》打印一式兩份蓋章，連同一份電子版提交到當地地市級以上公安局網監支隊（現在叫網安支隊），在審批結束后會為你出具《信息安全等保保護備案證明》，備案工作結束。

Linux 常用的身份鑒別方式如下：

• 基于口令的鑒別：這是最常用的一種技術。用戶只要提供正確的用戶名和口令就可以進入系統。

• 客戶終端鑒別：Linux系統提供了一個從遠程登錄的終端鑒別模式。

• 主機信任機制：Linux系統提供一種不同主機之間相互信任的機制，不同主機用戶之間無需系統認證就可以登錄。

• 第三方認證：第三方認證是指非Linux系統自身帶有的認證機制，而是由第三方提供的認證。在Linux中，系統支持第三方認證，例如，一次一密口令認證S/Key、Kerberos認證系統、可插拔認證模塊（Pluggable Authentication Modules，PAM）。

根據《網絡安全法》第二十一條規定，采取監測、記錄網絡運行狀態、網絡安全事件的技術措施，并按照規定留存相關網絡日志不少于六個月，且相對于要儲存的系統日志內容，應該是采用檢測、紀錄互聯網運轉情況、網絡安全情況的技術措施。也就是說無論是審計日志還是數據庫日志等日志都需要留存不少于六個月。

審計日志包括以下信息：

• 記錄由應用程序產生的事件。例如，某個數據庫程序可能設定為每次成功完成備份后都向應用程序日志發送事件記錄信息。應用程序日志中記錄的時間類型由應用程序的開發者決定，并提供相應的系統工具幫助用戶查看應用程序日志。

• 記錄由操作系統組件產生的事件，主要包括驅動程序、系統組件和應用軟件的崩潰以及數據丟失錯誤等。系統日志中記錄的時間類型由操作系統預先定義。

• 記錄與安全相關的事件，包括成功和不成功的登錄或退出、系統資源使用事件(系統文件的創建、刪除、更改)等。與系統日志和應用程序日志不同，安全日志只有系統管理員才可以訪問。在WindowsXP中，事件是在系統或程序中發生的、要求通知用戶的任何重要事情，或者是添加到日志中的項。事件日志服務在事件查看器中記錄應用程序、安全和系統事件。通過使用事件查看器中的事件日志，用戶可以獲取有關硬件、軟件和系統組件的信息，并可以監視本地或遠程計算機上的安全事件。事件日志可幫助您確定和診斷當前系統問題的根源，還可以幫助用戶預測潛在的系統問題。WindowsNT/2000的系統日志由事件記錄組成。每個事件記錄為三個功能區：記錄頭區、事件描述區和附加數據區，表14-3-1描述了事件記錄的結構。

以下方法可以有助于加強web服務器的安全：

• 制定內部數據安全風險管理制度：制定公司內部數據泄露和其他類型的安全風險協議，包括分配不同部門以及人員管理賬號、密碼等權限，定期更新密碼避免被黑客盜取，以及其他可行措施。

• 及時更新軟件版本：及時更新軟件版本，以避免你的服務器安全處于危險之中，使其漏洞被黑客利用并入侵。使用專業的安全漏洞掃描程序是一種保持軟件實時更新的方式之一。

• 定期對服務器進行備份：為防止不能預料的系統故障或用戶不小心的非法操作，必須對系統進行安全備份。除了對全系統進行每月一次的備份外，還應對修改過的數據進行每周一次的備份。同時，應該將修改過的重要系統文件存放在不同服務器上，如果原始數據不幸損壞、丟失等情況發生時，你可以利用備份數據保證業務正常運行。

• 定期安全檢測：定期進行安全檢測，確保服務器安全，在非默認端口上設置標準和關鍵服務、保證防火墻處于最佳設置等，定期進行安全掃描，防止病毒入侵。

• 關閉不需要的服務和端口：服務器操作系統在安裝時，會啟動一些不需要的服務，這樣會占用系統的資源，而且也會增加系統的安全隱患。對于一段時間內完全不會用到的服務器，可以完全關閉。

• 安裝和設置防火墻：現在有許多基于硬件或軟件的防火墻，很多安全廠商也都推出了相關的產品。對服務器安全而言，安裝防火墻非常必要。這樣進入服務器中的流量都是經常防火墻過濾之后的流量，防火墻內其他的流量直接被隔離出來，防火墻中一定要安裝入侵檢測和入侵防御系統，這樣才能發揮防火墻的最大作用。在安裝防火墻之后，你需要根據自身的網絡環境，對防火墻進行適當的配置以達到最好的防護效果。

• 安裝網絡殺毒軟件：現在網絡上的病毒非常猖獗，這就需要安裝商業級反惡意軟件和反病毒引擎，對服務器進行實時保護。同時，在網絡殺毒軟件的使用中，必須要定期或及時升級殺毒軟件，并且每天自動更新病毒庫。

• 監測系統日志：通過運行系統日志程序，系統會記錄下所有用戶使用系統的情形，包括最近登錄時間、使用的賬號、進行的活動等。日志程序會定期生成報表，通過對報表進行分析，你可以知道是否有異常現象。

• 接入專業的高防服務：目前DDOS還沒有什么徹底解決的方法，只能通過專業的網絡高防服務進行防御。

防御JSONP劫持漏洞辦法如下：

• 嚴格安全的實現CSRF方式調用JSON文件:限制Referer、部署一次性Token等；

• 嚴格安裝JSON格式標準輸出Content-Type及編碼(Content-Type:application/jison;charset=utf-8);

• 嚴格過濾callback函數名及JSON里數據的輸出;

• 嚴格限制對JSONP輸出callback 函數名的長度(如防御flash輸出的方法)。

• 安裝或啟用防火墻：防火墻可以通過在惡意流量進入我們的計算機之前阻止它來防止某些類型的感染。一些操作系統包括防火墻;如果我們使用的操作系統包含一個防火墻，請啟用它。

華為防火墻有以下兩種認證方式：

• 本地認證：訪問者通過Portal認證頁面將標識其身份的用戶名和密碼發送給FW，FW上存儲了密碼，驗證過程在FW上進行，該方式稱為本地認證。

• 服務器認證：訪問者通過Portal認證頁面將標識其身份的用戶名和密碼發送給FW，FW上沒有存儲密碼，FW將用戶名和密碼發送至第三方認證服務器，驗證過程在認證服務器上進行，該方式稱為服務器認證。

ps：AAA認證模板視圖中配置多種認證方式時，匹配認證方式的順序是先進行local認證，如果沒有找到對應的用戶則選擇下一種RADIUS認證，如果認證通過則返回認證通過，不再進行RADIUS認證。