確定受到破壞時所侵害的客體：確定業務信息受到破壞時所侵害的客體、系統服務受到破壞時所侵害的客、業務信息安全保護等級確定系統服務安全保護等級。確定對客體的侵害程度：根據不同的受侵害客體，分別評定業務信息安全被破壞對客體的侵害程度、分別評定系統服務安全被破壞對客體的侵害程度。確定安全保護等級。

定級對象的定級方法按照以下描述進行。對于通信網絡設施、云計算平臺/系統等起支撐作用的定級對象和數據資源。

定級對象的安全主要包括業務信息安全和系統服務安全,與之相關的受侵害客體和對客體的侵害程度可能不同，因此，安全保護等級由業務信息安全和系統服務安全兩方面確定。從業務信息安全角度反 映的定級對象安全保護等級稱為業務信息安全保護等級；從系統服務安全角度反映的定級對象安全保護 等級稱為系統服務安全保護等級。定級方法如圖1所示：

圖1

定級方法流程說明如下：

a) 確定受到破壞時所侵害的客體

• 確定業務信息受到破壞時所侵害的客體。

• 確定系統服務受到破壞時所侵害的客體。

• 確定業務信息安全保護等級確定系統服務安全保護等級。

b) 確定對客體的侵害程度

• 根據不同的受侵害客體，分別評定業務信息安全被破壞對客體的侵害程度。

• 根據不同的受侵害客體，分別評定系統服務安全被破壞對客體的侵害程度。

c) 確定安全保護等級

• 確定業務信息安全保護等級；

• 確定系統服務安全保護等級；

• 將業務信息安全保護等級和系統服務安全保護等級的較高者確定為定級對象的安全保護等級。

信息安全等級保護，是我國網絡安全領域的基本國策、基本制度。等級保護嚴格執行《網絡安全法》、《網絡安全等級保護條例》、《計算機信息系統安全保護條例》“一法兩條例”的內容。

• 《網絡安全法》明確規定信應履行安全保護義務，如果拒不履行，將會受到相應處罰，國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求，履行下列安全保護義務，保障網絡免受干擾、破壞或者未經授權的訪問，防止網絡數據泄露或者被竊取、篡改。

• 《網絡安全等級保護條例》對網絡安全等級保護的適用范圍、各監管部門的職責、網絡運營者的安全保護義務以及網絡安全等級保護建設提出了更加具體、操作性也更強的要求，為開展等級保護工作提供了重要的法律支撐。《保護條例》的適用范圍擴大。所有網絡運營者都要進行對相關網絡開展等保工作。

• 《中華人民共和國計算機信息系統安全保護條例》于1994年2月18日發布。是為保護計算機信息系統的安全，促進計算機的應用和發展，保障社會主義現代化建設的順利進行而制定的行政法規。其中規定了計算機信息系統實行安全等級保護。安全等級的劃分標準和安全等級保護的具體辦法，由公安部會同有關部門制定。

企業預防APT攻擊的方案有以下這些：

• 沙箱方案：這一方案是為了解決高級入侵手段引起的問題的，即解決特征匹配對新型攻擊的滯后性而產生的解決方案。攻擊者利用0day漏洞，使特征碼的匹配不成功，這樣我們就可以對癥下藥使用非特征匹配，利用沙箱技術識別0day漏洞攻擊和異常行為。沙箱方案的原理是將實時流量先引進虛擬機或者沙箱，通過對沙箱的文件系統、進程、網絡行為、注冊表等進行監控，監測流量中是否包含了惡意代碼。相較于一般傳統的特征匹配技術，沙箱方案對未知的惡意程序攻擊具有較好的檢測能力。

• 異常檢測方案：這一方案是同時解決兩大問題的，即為解決特征匹配和實時檢驗不足而產生的解決方案。這一方案是利用將網絡中正常行為產生的數據量建立一個模型，通過將所有數據量與這一標準模型進行對比，從而找出異常的數據量。正如警察在抓捕壞人時的方法是一致的，由于警察并不知道壞人的姓名，性別，長相已經其他行為特征，但是警察是知道好人的行為特征的，他可以利用這些行為特征建立一個可行的標準模型，當一個人的行為特征與現有的好人的行為特征模型大部分不相符時，警察就可以判斷這個人不是個好人，是一個危險人物。異常檢測的核心技術是基于連接特征的惡意代碼檢測規則、基于行為模式的異常檢測算法、元數據提取技術。

• 基于連接特征的惡意代碼檢測方案：是用來檢測已知的木馬通信行為。基于行為模式的異常檢測算法包含可疑加密文件傳輸等。

• 全流量審計方案：這一方案是解決A，P問題的，即是為了解決傳統特征匹配不足而產生的解決方案。這一方案的核心思想是通過對檢測到的流量進行應用識別，還原所發生的異常行為。它的原理是對流量進行更為深刻的協議解析和應用還原，識別這些網絡行為中是否包含有攻擊行為。當檢測到可疑性攻擊行為時，回溯分析與之相關的流量。包含了大數據存儲處理，應用識別和文件還原等技術。這一方案具備強大的實時檢測能力和事后回溯能力，是將計算機強大的存儲能力與安全人員的分析能力相結合的完整解決方案。

• 基于記憶的檢測系統方案：這是一個由全流量審計與日志審計相結合形成的系統，APT攻擊發生的時間很長，我們應該對長時間內的數據流量進行更加深入，細致的分析。

• 基于深層次協議解析的異常識別方案：可以仔細檢查發現是哪一種協議，一個數據在哪個地方出現了異常，直到找出它的異常點時停止檢測。

• 攻擊溯源方案：通過已經提取出來的網絡對象，可以重建一個時間內可疑的所有內容。通過將這些事件重新排列順序，可以幫助我們迅速的發現攻擊源。

云計算模型的基本特征如下：

• 按需自助服務：云計算按需自助服務的特征使用戶可以根據自己的需要直接使用云計算的各種資源，而無須與云服務提供商進行人工交互。用戶可以根據自己的實際需求來規劃云計算的使用方案。如果云服務提供商的自助服務界面友好、方便、易用，并且能夠有效管理所提供的服務，則會使服務模式更加有效，用戶更容易接受和使用。

• 泛在的網絡訪問：云計算通過互聯網提供服務，用戶可以在任何網絡覆蓋的地方，通過各種統一的標準機制，使用各種不同的客戶端平臺（如手機、筆記本電腦、平板電腦和工作站等）快速地連接到云服務，增加了服務的可用性。

• 與位置無關：NIST指出云計算的資源與位置沒有直接關系。用戶通常無法掌控或知悉所提供資源的詳細位置，但他們可以在一個較高抽象級別（如國家、州或數據中心）上指定資源的位置。即云計算資源可以在物理上分布于多個位置，它們通過虛擬化技術被抽象為虛擬的資源，并可以在需要時以虛擬組件的形式進行分配。

• 快速伸縮能力：為了滿足按需自助服務的要求，云計算的資源必須具備快速、有效增加或縮減的能力。這樣的快速可擴展性使用戶可以在需要時立即獲得更多的資源，確保重要應用程序的高響應速度；也可以在應用結束后使用戶盡快地釋放資源，從而減少支出，降低成本。

• 服務可度量：在可度量，由云計算供應商控制和監測云計算服務的各方面使用情況。這對于計費、訪問控制、資源優化、容量規劃和其他任務具有重要的意義。

• 可擴展性：“云”的規模可以動態伸縮，可以滿足應用和用戶規模增長的需要。用戶可以利用應用軟件的快速部署條件來更為簡單快捷的將自身所需的已有業務以及新業務進行擴展。如，計算機云計算系統中出現設備的故障，對于用來說，無論是在計算機層面上，亦或是在具體運用上均不會受到阻礙，可以利用計算機云計算具有的動態擴展功能來對其他服務器開展有效擴展。這樣一來就能夠確保任務得以有序完成。在對虛擬化資源進行動態擴展的情況下，同時能夠高效擴展應用，提高計算機云計算的操作水平。

• 高性價比：將資源放在虛擬資源池中統一管理在一定程度上優化了物理資源，用戶不再需要昂貴、存儲空間大的主機，可以選擇相對廉價的PC組成云，一方面減少費用，另一方面計算性能不遜于大型主機。高性價比這一基本特征，也是云計算最被廣泛使用的原因之一。用戶只要按需購買，就像自來水，電，煤氣那樣計費。

• 靈活便捷：目前市場上大多數IT資源、軟、硬件都支持虛擬化，比如存儲網絡、操作系統和開發軟、硬件等。虛擬化要素統一放在云系統資源虛擬池當中進行管理，可見云計算的兼容性非常強，不僅可以兼容低配置機器、不同廠商的硬件產品，還能夠外設獲得更高性能計算。

• 強可靠性：“云”使用了數據多副本容錯、計算節點同構可互換等措施來保障服務的高可靠性，使用云計算相比使用本地計算機可靠，這也是云計算的一個重要基本特征。倘若服務器故障也不影響計算與應用的正常運行。因為單點服務器出現故障可以通過虛擬化技術將分布在不同物理服務器上面的應用進行恢復或利用動態擴展功能部署新的服務器進行計算。

• 易于維護：服務器易于維護，停機時間非常短，甚至在某些情況下也沒有停機時間。云計算每次都會通過逐漸改進來進行更新。這些更新與設備更兼容，并且比舊版本的執行速度更快，并且修復了錯誤。

定級對象的網絡運營者需組織網絡安全專家和業務專家對定級結果的合理性進行評審，并出具專家評審意見。有行業主管（監管）部門的，還需將定級結果報請行業主管（監管）部門核準，并出具核準意見。最后，網絡運營者按照相關管理規定，將定級結果提交公安機關進行備案審核。

初步確定等級

定級方法

定級對象的定級方法按照以下描述進行。對于通信網絡設施、云計算平臺/系統等起支撐作用的定級對象和數據資源。

定級對象的安全主要包括業務信息安全和系統服務安全,與之相關的受侵害客體和對客體的侵害程度可能不同，因此，安全保護等級由業務信息安全和系統服務安全兩方面確定。從業務信息安全角度反 映的定級對象安全保護等級稱為業務信息安全保護等級；從系統服務安全角度反映的定級對象安全保護 等級稱為系統服務安全保護等級。定級方法如圖1所示：

圖1

定級方法流程說明如下：

a) 確定受到破壞時所侵害的客體

• 確定業務信息受到破壞時所侵害的客體。

• 確定系統服務受到破壞時所侵害的客體。

• 確定業務信息安全保護等級確定系統服務安全保護等級。

b) 確定對客體的侵害程度

• 根據不同的受侵害客體，分別評定業務信息安全被破壞對客體的侵害程度。

• 根據不同的受侵害客體，分別評定系統服務安全被破壞對客體的侵害程度。

c) 確定安全保護等級

• 確定業務信息安全保護等級；

• 確定系統服務安全保護等級；

• 將業務信息安全保護等級和系統服務安全保護等級的較高者確定為定級對象的安全保護等級。

綜合判定等級

綜合判定等級根據業務信息安全被破壞時所侵害的客體以及對相應客體的侵害程度，依據表1可得到業務信息安全保護等級。

表1 業務信息安全保護等級矩陣表

根據系統服務安全被破壞時所侵害的客體以及對相應客體的侵害程度，依據表2可得到系統服務安全保護等級。

表2 系統服務安全保護等級矩陣表

定級對象的安全保護等級由業務信息安全保護等級和系統服務安全保護等級的較高者決定。

確定安全保護等級

安全保護等級初步確定為第二級及以上的，定級對象的網絡運營者需組織網絡安全專家和業務專家對定級結果的合理性進行評審，并出具專家評審意見。有行業主管（監管）部門的，還需將定級結果報請行業主管（監管）部門核準，并出具核準意見。最后，網絡運營者按照相關管理規定，將定級結果提交公安機關進行備案審核。審核不通過，其網絡運營者需組織重新定級；審核通過后最終確定定級對象 的安全保護等級。

對于通信網絡設施、云計算平臺/系統等定級對象，需根據其承載或將要承載的等級保護對象的重 要程度確定其安全保護等級，原則上不低于其承載的等級保護對象的安全保護等級。

對于數據資源，綜合考慮其規模、價值等因素，及其遭到破壞后對國家安全、社會秩序、公共利益 以及公民、法人和其他組織的合法權益的侵害程度確定其安全保護等級。涉及大量公民個人信息以及為 公民提供公共服務的大數據平臺/系統，原則上其安全保護等級不低于第三級。

SSL安全證書優點：

• 加密敏感信息

使用SSL證書的主要原因是為了保障通過Internet發送的敏感信息能夠加密，防止重要數據不被泄露。這很重要，因為您在Internet上進行計算機與服務器之間的信息傳遞，如果未使用SSL證書加密，則您傳遞的任何信息都有可能被第三方獲取，包括您的信用卡號，用戶名和密碼以及其他敏感信息。使用SSL證書后，可以保障所有人都無法讀取信息，這可以保護信息數據免受黑客或者用心不良的人的侵害。

• 身份驗證

通過身份驗證，我們的意思是將發送的數據解釋給目標服務器，而不是未經授權的第三方。這一點很重要，正如我們所說的，數據在多臺計算機上傳輸，并且可以被意外的第三方訪問。

• 防范網絡釣魚攻擊

當您在本網站上使用用戶名、密碼等數據時，未經授權的元素可能會訪問這些數據。擁有SSL證書會阻止他們的訪問，因為您的客戶只信任具有SSL證書的站點。當未經授權的站點沒有此功能時，您的客戶不太可能繼續前進。因此，您可以保護您的客戶免受以您的名義進行的網絡釣魚攻擊。

• 更好的搜索引擎排名

Google最近增加了SSL證書作為搜索結果排名參數之一。擁有SSL證書可以在Google的搜索引擎結果頁面（serp）中為您的站點帶來競爭優勢。

SSL安全證書缺點：

• 速度減慢

當在具有SSL證書的站點上啟動時，涉及對相互傳輸的數據進行加密和解密。因此，連接速度減慢。然而，速度上的小小犧牲值得額外的安全保障。

• 成本提高

為您的企業獲取SSL證書的成本可能很高，因為服務提供商需要支付基礎設施的維護費用，并且他們必須驗證您的業務憑證。所有這些都需要成本。

• 需要定期更新SSL證書

當它過期時，如果不更新SSL證書，很可能會失去客戶的信任。SSL證書對您的業務是有好處的，因為它可以保護您客戶的數據，保護您企業的信譽，而且從長遠來看，它可能會幫助您建立良好的品牌形象。

• 技術門檻比較高

  由于很多CA廠商都不提供SSL安全證書（尤其是免費的SSL證書）的安裝配置服務，站長們需要自行部署，完成CSR文件生成提交、證書安裝測試等步驟，這是有一定的技術門檻的，不是任何人都可以輕易上手的。

防火墻的穩定性可以通過以下幾種方法判斷：

• 從權威的測評認證機構獲得:例如，可以通過與其他產品相比，考察某種產品是否獲得更多的國家權威機構的認證、推薦和入網證明（書），來間接了解其穩定性。

• 實際調查:這是最有效的辦法。考察該防火墻是否已經有使用單位、其用戶量如何，特別是用戶對于該防火墻的評價。

• 自己試用:在自己的網絡上進行一段時間的試用（一個月左右）。

• 廠商開發研制的歷史:一般來說，如果沒有兩年以上的開發經歷，很難保證產品的穩定性。

• 廠商實力:如資金、技術開發人員、市場銷售人員和技術支持人員多少等。

數據脫敏技術主要應用于以下領域：

• 政務行業：公安、工商、稅務、社保等政府及公共事業部門，采集了大量的公民個人信息及企業敏感信息。國務院《促進大數據發展行動綱要》的要求，推動政府部門數據共享和公共數據資源開放。對于政府部門的數據共享仍然存在著不同敏感程度的政府部門應獲得不同數據訪問的權限，例如公安部門公民部分個人敏感信息是不能直接與其他政府部門進行共享的。公共數據資源也不能直接簡單對公眾開放。以上信息需要通過數據脫敏處理，將敏感部分進行不可逆的處理，并降低數據在共享過程中被重新聚合分析的可能性。

• 金融行業：銀監會要求測試中如需使用生產數據，應對相應數據進行脫敏、變形處理。通過部署脫敏產品，在生產數據交付到測試環境前進行脫敏，既能滿足相關規范要求，又能有效防止敏感數據泄露。

• 電信行業：運營商內部存儲了大量的客戶信息，而日常運維工作往往都是由第三方外包人員負責。為防止運維人員惡意查詢和下載客戶敏感信息，通過部署數據脫敏產品，對數據庫查詢返回的結果進行敏感數據遮蓋，防止數據泄露。

• 醫療行業：醫院系統中存儲大量患者隱私信息，這些信息對其他行業具有“利用”的價值。黑產從業人員可通過收買醫院業務人員、信息中心人員、第三方維護和開發人員盜取患者隱私數據。通過部署數據脫敏產品，對患者敏感數據進行脫敏，既能滿足國家對醫療數據隱私保護的基準要求，又能對用戶隱私數據的有效保護，維護和提升醫療衛生領域的形象和公信力。

• 能源行業：隨著電力企業信息化推進，電力行業內部不同部門甚至是跨組織、跨區域間的電力數據共享場景越來越普遍，要保證共享場景中的數據安全，其中涉及的關鍵技術就是數據脫敏技術。

安全事件分類主要參考中央網信辦發布《國家網絡安全事件應急預案》，網絡安全事件分為有害程序事件、網絡攻擊事件、信息破壞事件、信息內容安全事件、設備設施故障、災害性事件和其他網絡安全事件等。

• 有害程序事件分為計算機病毒事件、蠕蟲事件、特洛伊木馬事件、僵尸網絡事件、混合程序攻擊事件、網頁內嵌惡意代碼事件和其他有害程序事件。

• 網絡攻擊事件分為拒絕服務攻擊事件、后門攻擊事件、漏洞攻擊事件、網絡掃描竊聽事件、網絡釣魚事件、干擾事件和其他網絡攻擊事件。

• 信息破壞事件分為信息篡改事件、信息假冒事件、信息泄露事件、信息竊取事件、信息丟失事件和其他信息破壞事件。

• 信息內容安全事件是指通過網絡傳播法律法規禁止信息，組織非法串聯、煽動集會游行或炒作敏感問題并危害國家安全、社會穩定和公眾利益的事件。

• 設備設施故障分為軟硬件自身故障、外圍保障設施故障、人為破壞事故和其他設備設施故障。

• 災害性事件是指由自然災害等其他突發事件導致的網絡安全事件。

• 其他事件是指不能歸為以上分類的網絡安全事件

與網絡安全服務相關的機制有以下這些：

• 加密機制：用來加密數據或通信中的信息。加了密的消息稱為密，而把密文轉變為明文的過程稱為解密。信息加密是保障信息安全的最基本、最核心的技術措施和理論基礎。信息加密也是現代密碼學主要組成部分。

• 數字簽名機制：對信息簽字和證實已簽字的信息。傳統簽名的基本特點:能與被簽的文件在物理上不可分割；簽名者不能否認自己的簽名；簽名不能被偽造；容易被驗證。

• 訪問控制機制：根據實體的身份及其安全輪廓來決定該實體的訪問權。其實現機制可以是基于訪問控制屬性的訪問控制表（或訪問控制矩陣），或基于安全標簽、對象安全輪廓的多級訪問控制。

• 數據完整性機制：在通信中，發送方根據要發送的數據產生額外的信息（如檢驗和），加密以后隨數據一同發接收方接收到數據以后，產生相應的信息，并與接收到的額外信息進行比較，以判斷在通信過程中數據是否被篡改過。

• 認證交換機制：根據認證信息（認證信息由發方提供、收方檢驗）、加密技術和實體所具有的特征來實現的。

• 防業務流分析機制：通過填充冗余的業務流來防止攻擊者進行業務流量分析。所謂的業務填充即使在業務閑時發送無用的隨機數據，增加攻擊者通過通信流量獲得信息的困難，是一種制造假的通信、產生欺騙性數據單元或在數據單元中產生數據的安全機制。該機制可用于提供對各種等級的保護，用來防止對業務進行分析，同時也增加了密碼通訊的破譯難度。發送的隨機數據應具有良好的模擬性能，能夠以假亂真。該機制只有在業務填充受到保密性服務時才有效。可利用該機制不斷地在網絡中發送偽隨機序列，使非法者無法區分有用信息和無用信息。

• 路由控制機制：為了使用安全的子網、中繼站和鏈路，既可預先安排網絡中的路由，也可動態地進行選擇。安全政策可能會禁止帶有一定安全標簽的信息通過被認為是不安全的路由。

• 公證機制：有關在兩個或多個實體之間通信的數據的性質，如完整性、原發、時間和目的地等能夠借助公證機制而得到確保。這種保證是由第三方公證人提供的。公證人為通信實體所信任，并掌握必要信息以一種可證實方式提供所需的保證。每個通信實例可使用數字簽名、加密和完整性機制以適應公證人提供的服務。當這種公證機制被用到時，數據便在參與通信的實體之間經由受保護的通信和公證方進行通信。

網絡安全安全服務層次包括以下四方面內容：

• 安全機制：安全機制是利用密碼算法對重要而敏感的數據進行處理。比如，以保護網絡信息的保密性為目標的數據加密和解密；以保證網絡信息來源的真實性和合法性為目標的數字簽名和簽名驗證；以保護網絡信息的完整性，防止和檢測數據被修改、插入、刪除和改變的信息認證等。安全機制是安全服務乃至整個網絡信息安全系統的核心和關鍵。現代密碼學在安全機制的設計中扮演著重要的角色。

• 安全連接：安全連接是在安全處理前與網絡通信方之間的連接過程。安全連接為安全處理進行了必要的準備工作。安全連接主要包括會話密鑰的分配和生成及身份驗證。后者旨在保護信息處理和操作的對等雙方的身份真實性和合法性。

• 安全協議：協議是多個使用方為完成某些任務所采取的一系列的有序步驟。協議的特性是：預先建立、相互同意、非二義性和完整性。安全協議使網絡環境下互不信任的通信雙方能夠相互配合，并通過安全連接和安全機制的實現來保證通信過程的安全性、可靠性和公平性。

• 安全策略：安全策略是安全體制、安全連接和安全協議的有機組合方式，是網絡信息系統安全性的完整的解決方案。安全策略決定了網絡信息安全系統的整體安全性和實用性。不同的網絡信息系統和不同的應用環境需要不同的安全策略。

C語言中，p 和p都常用在指針當中表示一個指針變量，p 和p的區別：

• 表示的含義不同

  *p表示此指針指向的內存地址中存放的內容。

  p表示一個指針變量的名字，指此指針變量所指向的內存地址。

• 輸出的格式不同

  *p一般是一個和指針類型一致的變量或者常量。

  p輸出的是一個16進制數， 輸出一個指針的地址。

• 功能不同

  *p是讓程序去那個地址取出數據。

  p存放的是地址。

威脅是你想要避免的消極情況，漏洞是一種可以被利用來攻擊你的弱點，風險是一種你想要避免的負面情景，同時還有它的可能性和影響，威脅和風險的區別在于，威脅本身是一個消極的事件，而風險則是一個消極的事件加上它的可能性和它的影響。

從定義講，威脅、漏洞和風險的區別主要為：

威脅是一種消極的事件，它會導致不希望出現的結果，比如對資產的損壞或損失。威脅可以使用——或者因為系統中的漏洞而變得更危險。

網絡威脅是由威脅行為者實施的。威脅行動者通常指可能發起威脅的人或實體。雖然自然災害和其他環境和政治事件確實構成威脅，但它們通常不被認為是威脅行為者(這并不意味著這些威脅應該被忽視或不那么重要)。

常見的威脅因素包括:財務上有動機的犯罪分子(網絡罪犯)、有政治動機的活動人士(黑客組織)、競爭對手、粗心的雇員、心懷不滿的雇員以及民族國家的攻擊者。

漏洞只是系統中的弱點，不像其他術語那樣容易混淆。漏洞使威脅成為可能和/或更重要。

漏洞僅僅是指系統中的弱點。漏洞使威脅成為可能，甚至可能更危險。例如，一個系統可以通過單一的漏洞來開發，例如，一個SQL注入漏洞可以為攻擊者提供對敏感數據的完全控制，或者，攻擊者可以將多個漏洞鏈接在一起，利用多個漏洞來開發一個系統。

常見的漏洞包括跨站點腳本、SQL注入、服務器錯誤配置、純文本傳輸的敏感數據，以及使用已知漏洞的軟件包。

人們最常把風險和威脅混為一談，但它們在一個關鍵方面是不同的。風險，簡單地說，就是一件壞事發生的可能性，以及它發生后的糟糕程度。讓我們把它拆開——這是一件壞事發生的機會……以及它發生后的糟糕程度。它本質上是概率和影響的組合。

風險是一種應該避免的情況，并結合由此導致的可能損失。

總之，威脅是你想要避免的消極情況，漏洞是一種可以被利用來攻擊你的弱點，風險是一種你想要避免的負面情景，同時還有它的可能性和影響，威脅和風險的區別在于，威脅本身是一個消極的事件，而風險則是一個消極的事件加上它的可能性和它的影響。

態勢感知的三個層級是：

• 要素感知（Level 1）：

  感知環境中相關要素的狀態、屬性和動態等信息，及將其歸類整理的過程。

  理解則是對這些重要組成要素的信息的融合與解讀，不僅是對單個分析對象的判斷分析，還包括對多個關聯對象的整合梳理。同時，理解是隨著態勢的變化而不斷更新演變的，不斷將新的信息融合進來形成新的理解。在了解態勢要素的狀態和變化的基礎上，對態勢中各要素即將呈現的狀態和變化進行預測。

• 態勢理解（Level 2）：

  通過識別、解讀和評估的過程，將不相關的要素信息聯系起來，并關注這些信息對預期目標的影響。在網絡安全態勢感知中，面對來自內外部大量的安全數據，通過JDL模型進行數據的融合分析，能夠實現對分析目標的感知、理解與影響評估，為后續的預測提供重要的分析基礎和支撐。

• 態勢預測（Level 3）：

  基于對前兩級信息的理解，預測未來的發展態勢和可能產生的影響。感知階段通過特征匹配的方式，將現有態勢與過去態勢進行對比，選取相似度高的過去態勢，找出當時采取的哪些行動方案是有效的。評估階段分析過去相似態勢有效的行動方案，推測當前態勢可能的演化過程，并調整行動方案。

  以上方式若遇到匹配結果不理想的情況，則采取構造故事的方式，即根據經驗探索潛在的假設，再評估每個假設與實際發生情況的相符度。在RPD模型中對感知、理解和預測三要素的主要體現為：基于假設進行相關信息的收集（感知），特征匹配和故事構造（理解），假設驅動思維模擬與推測（預測）。

安全大數據是指與業務安全、系統安全、網絡安全、硬件安全的配置數據、實時數據、衍生數據等，可歸類為資產數據、威脅數據、脆弱性數據和網絡結構數據，同時不考慮數據類之間的關系。利用數據挖掘技術從這些大量的、不完全的、有噪聲的、模糊的、隨機的實際數據中，提取出隱含在其中能標識業務、系統、網絡安全的潛在信息。

在企業的實際生產中，業務安全往往是指保護業務系統免受安全威脅的措施或手段。廣義的業務安全應包括業務運行的軟硬件平臺、業務系統自身、業務所提供的服務安全；狹義的業務安全指業務系統自有的軟件與服務的安全。表征業務安全的信息主要有經營數據、分析數據、監控數據、報表數據等。

系統安全是指在系統生命周期內應用系統安全工程和系統安全管理方法，辨識系統中的危險源，并采取有效的控制措施使其危險性最小，從而使系統在規定的性能、時間和成本范圍內達到最佳的安全程度。系統安全的基本原則是在一個新系統的構思階段就必須考慮其安全性的問題，制定并執行安全工作規劃，并且把系統安全活動貫穿于生命整個系統生命周期，直到系統報廢為止。表征系統安全的信息主要有：系統運行參數、硬件使用率、軟件使用率、功能使用情況、數據輸出情況、接口數據、監測數據等。

網絡安全是指網絡系統的硬件、軟件及其系統中的數據受到保護，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統連續可靠正常地運行，網絡服務不中斷。網絡安全從其本質上來講就是網絡上的信息安全。從廣義來說，凡是涉及網絡上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是網絡安全的研究領域。表征網絡安全的信息主要有：網絡參數、網絡流量、防火墻/IPS 運行情況、網絡利用率、網絡傳輸情況、網絡監測數據等。

針對安全數據的挖掘與分析可以表征企業整體運行情況，及時發現安全隱患，同時也能夠表現安全運行趨勢，預測業務走向，反應系統閑忙，再現網絡使用情況等潛在信息。