已經發現還沒被修復的漏洞一般稱之為“0day漏洞”，0day漏洞，是已經被發現(有可能未被公開),而官方還沒有相關補丁的漏洞。信息安全意義上的0Day是指在系統商在知曉并發布相關補丁前就被掌握或者公開的漏洞信息。0Day的概念最早用于軟件和游戲破解，屬于非盈利性和非商業化的組織行為，其基本內涵是“即時性”。

如何處理0day或者Nday漏洞方法如下：

• 作為管理員或用戶，可能無能為力。最好的情況是永遠不要使用未打補丁版本的軟件。這在 Linux 社區中通常很常見，在 Linux 社區中，許多用戶不會安裝.0發行版。相反，他們將等待.1版本（例如Ubuntu 19.10.1）。通過避免最初發布的版本，可能會免受第一批產品中至少任何未發現的0day漏洞的影響。這并不意味著.1版本將修補所有的0day漏洞。如果有的話，甚至在下一個主要版本之前，它們都可能未被發現。經常在新聞中看到存在一段時間的軟件中發現的新漏洞。

• 作為開發人員，最好的辦法是招募盡可能多的版本測試人員。這是開源軟件比專有軟件更具優勢的地方。在源代碼公開的情況下，任何人都可以審查和測試代碼。而且，Beta開源軟件通常面向公眾發布，因此任何人都可以進行測試。另一方面，付費軟件通常不會向公眾發布Beta（當然，也有例外）。當應用程序的beta測試人員數量有限時，發現的bug較少，從而導致0day漏洞的可能性更高。

網絡漏洞掃描程序比本地掃描程序有以下不同：

• 對服務端的要求不同：從實際的編程角度來看，如果是普通客戶端程序的開發，客戶端的開發者與服務器的開發者首先需要共同協商以決定通信時采用什么協議等細節；而掃描程序的開發者則需要通過已有的協議或猜測、試探等方式決定采用什么技術，故掃描程序對服務器端是沒有要求的。同時，掃描程序的掃描結果也常具有不可預知性。

• 對服務器的針對性不同：掃描具有全部或局部的“遍歷”性，客戶端具有針對性。普通客戶端的開發者一旦確定了需求，剩下的就是按需求去實現各功能的細節；而掃描程序的開發者則通常通過對全部或局部進行功能遍歷，以期驗證自己的猜測或獲得更多更詳細的數據。

• 對服務器的服務支持程度不同：客戶端連接服務器的目的是為了讓客戶端用戶能遠程地使用服務器所提供的各項功能，因此，通常客戶端程序要支持所有的命令，有些命令哪怕只有極少數機會被用到，客戶端也必須提供支持；而掃描程序則只需要支持和使用所需要的最少的幾個命令。

• 掃描精度不同：相比本地的掃描程序網絡掃描程序掃描的精度掃描詳細度會低一些，因為本地掃描是使用你本地設備的硬件系統來掃描，掃描速度和精度取決于你設備的性能，但是很多網絡掃描依靠的是瀏覽器和網絡的速度，所以掃描精度會大大降低，但是這里面不包括云漏洞掃描。

• 掃描準確度不同：相同水準的前提下網絡掃描器的掃描準確度會高于本地的掃描器，因為本地掃描器一般是靠本地的漏洞庫來進行匹配的，而網絡漏洞掃描器會借助網絡上多個漏洞庫這就導致掃描時間會長一些但掃描精度會大大高于本地漏洞掃描。

臺式電腦操作系統包括Windows和MAC兩種，在不同操作系統下的電腦鎖屏密碼設置方法不同：

Windows系統下：

1. 進入開始菜單

   點擊windows桌面左下角的開始圖標選擇設置圖標；
   

2. 選擇賬戶設置

   在windows設置中選擇賬戶模塊；
   

3. 登錄選項設置

   在賬戶信息設置中選擇登錄選項設置；
   

4. 設置密碼

   在登錄選項界面中選擇密碼選項進入密碼設置界面；
   

5. 輸入當前密碼

   在更改密碼界面中輸入當前密碼；
   

6. 更改密碼

   在更改密碼界面中輸入新密碼和確認密碼后在輸入一個密碼提示即完整密碼的更改。
   

MAC系統下：

1. 進入系統偏好設置

   選擇Mac桌面上左上角的蘋果圖標在下拉選項中選擇系統偏好設置并進入；
   

2. 用戶與群組設置

   進入系統偏好設置后找的用戶與群組設置進入即可；
   

3. 更改密碼選項

   在彈出的用戶與群組對話框中點擊用戶頭像的右側的更改密碼選項，來進行修改密碼；
   

4. 輸入新密碼

   在彈出更改密碼對話框中輸入新密碼和重復密碼，如果有舊密碼要先輸入，輸入完成后即可完成開機密碼的設置；
   

容器安全問題可以從以下方面解決：

• Docker自身安全性改進：在過去容器里的root用戶就是主機上的root用戶，如果容器受到攻擊，或者容器本身含有惡意程序，在容器內就可以直接獲取到主機root權限。Docker從1.10版本開始，使用UserNamespace做用戶隔離，實現了容器中的root用戶映射到主機上的非root用戶，從而大大減輕了容器被突破的風險，因此建議盡可能使用最新版Docker。

• 保障鏡像安全：為保障鏡像安全，我們可以在私有鏡像倉庫安裝鏡像安全掃描組件，對上傳的鏡像進行檢查，通過與CVE數據庫對比，一旦發現有漏洞的鏡像及時通知用戶或阻止非安全鏡像繼續構建和分發。同時為了確保我們使用的鏡像足夠安全，在拉取鏡像時，要確保只從受信任的鏡像倉庫拉取，并且與鏡像倉庫通信一定要使用HTTPS協議。

• 加強內核安全和管理：宿主機內核盡量安裝最新補丁；使用Capabilities劃分權限，它實現了系統更細粒度的訪問控制；啟動容器時一般不建議開啟特權模式，如需添加相應的權限可以使用–cap-add參數。

• 使用安全加固組件：Linux的SELinux、AppArmor、GRSecurity組件都是Docker官方推薦的安全加固組件，這三個組件可以限制一個容器對主機的內核或其他資源的訪問控制，目前容器報告里的一些安全漏洞。

• 資源限制：在生產環境中，建議每個容器都添加相應的資源限制，這樣即便應用程序有漏洞，也不會導致主機的資源被耗盡，最大限度降低了安全風險。

• 使用安全容器：容器有著輕便快速啟動的優點，虛擬機有著安全隔離的優點，有沒有一種技術可以兼顧兩者的優點，做到既輕量又安全呢？答案是有的，那就是安全容器。安全容器與普通容器的主要區別在于，安全容器中的每個容器都運行在一個單獨的微型虛擬機中，擁有獨立的操作系統和內核，并且有虛擬機般的安全隔離性。

受保護的內部用戶對外部網絡訪問時，首先需要通過代理服務器的認可，才能向外提出請求，而外網的用戶只能看到代理服務器，從而隱藏了受保護網絡的內部結構及用戶的計算機信息。因而，代理服務器可以提高網絡系統的安全性。

應用服務代理技術的優點主要有：

• 不允許外部主機直接訪問內部主機；

• 支持多種用戶認證方案；

• 可以分析數據包內部的應用命令；

• 可以提供詳細的審計記錄。

• 可以提高網絡系統的安全性，隱藏了受保護網絡的內部結構及用戶的計算機信息。

應用服務代理技術的缺點是：

• 速度比包過濾慢；

• 對用戶不透明；

• 與特定應用協議相關聯，代理服務器并不能支待所有的網絡協議。

按數據來源，分為基于主機的入侵檢測系統和基于主機的入侵檢測系統兩類。

• 基于主機的入侵檢測系統

  該系統通常是安裝在被重點檢測的主機上，其數據源來自主機，如日志文件、審計記錄等。該系統通過監視與分析主機中的上述文件，就能夠檢測到入侵。能否及時采集到上述文件是這些系統的關鍵點之一。因為入侵者會將主機的審計子系統作為攻擊目標以避開IDS。

• 基于主機的入侵檢測系統

  此系統使用原始網絡包作為數據源。通常利用一個運行在隨機模式下網絡的適配器來實時監視并分析通過網絡的所有通信業務。它的攻擊辯識模塊通常使用四種常用技術來識別攻擊標志:模式、表達式或字節匹配，頻率或穿越閥值，次要事件的相關性，統計學意義上的非常規現象檢測。一旦檢測到了攻擊行為，響應模塊就提供多種選項以通知、報警并對攻擊采取相應的反應。反應因產品而異，但通常都包括通知管理員、中斷連接或為法庭分析和證據收集而作的會話記錄。

  基于網絡的IDS有許多僅靠基于主機的入侵檢測法無法提供的功能。實際上，許多客戶在最初使用IDS時，都配置了基于網絡的入侵檢測。

按檢測原理，分為統計分析與異常檢測、基于規則分析與濫用檢測、混合檢測三類。

• 統計分析與異常檢測

  統計分析最大優點是它可以“學習”用戶的使用習慣，從而具有較高檢出率與可用性。但它的“學習”能力也給入侵者以機會通過逐步“訓練”使入侵事件符合正常操作的統計規律，從而透過入侵檢測系統。

  異常檢測只能識別出那些與正常過程有較大偏差的行為，而無法知道具體的入侵情況。由于對各種網絡環境的適應性不強，且缺乏精確的判定準則，異常檢測經常會出現虛警情況。異常檢測可以通過以下系統實現。

  • 自學習系統:通過學習事例構建正常行為模型，分為時序和非時序兩種。

  • 編程系統:該類系統需要通過編程學習如何檢測確定的異常事件，從而讓用戶知道什么樣的異常行為足以破壞系統的安全。分為描述統計和缺省否認。

• 基于規則分析與濫用檢測

  濫用檢測基于已知的系統缺陷和入侵模式，故又稱特征檢測。它能夠準確地檢測到某些特征的攻擊，但卻過度依賴事先定義好的安全策略，所以無法檢測系統未知的攻擊行為，從而產生漏警。

  濫用檢測通過對確知決策規則編程實現，可以分為以下四種。

  • 狀態建模:它將入侵行為表示成許多個不同的狀態。如果在觀察某個可疑行為期間，所有狀態都存在，則判定為惡意入侵。

  • 專家系統:它可以在給定入侵行為描述規則的情況下，對系統的安全狀態進行推理。一般情況下，專家系統的檢測能力強大，靈活性也很高，但計算成本較高，通常以降低執行速度為代價。

  • 串匹配:它通過對系統之間傳輸的或系統自身產生的文本進行子串匹配實現。該方法靈活性欠差，但易于理解。

  • 基于簡單規則:類似于專家系統，但相對簡單些，故執行速度快。

• 混合檢測

  近幾年來，混合檢測日益受到人們的重視。這類檢測在作出決策之前，既分析系統的正常行為，又觀察可疑的入侵行為，所以判斷更全面、準確、可靠。它通常根據系統的正常數據流背景來檢測入侵行為，故而也有人稱其為“啟發式特征檢測”。

漏洞掃描的流程有：

1. 信息收集：識別主機和受限主機（即不測試的系統和設備）。

2. 發現和漏洞掃描：全面的端口掃描，服務和應用程序的指紋識別。利用自動掃描工具和技術來識別已知的操作系統和應用程序漏洞。（基于網絡或經過身份驗證的掃描）。

3. 報告：起草一份詳細說明環境總體狀況的執行摘要。

一般重啟時間在幾十秒到幾分鐘即可重啟成功，但防火墻這種安全設備最好不要進行重啟，除非是斷電或者需要進行系統升級否則都不要進行重啟只要運行穩定建議一直正常運行即可，這種安全設備設計時就是為了長期開機而設計的，除非遇到網絡故障，有時候需要重啟，不然不建議你重啟。

面對以下這些場景時防火墻是不起作用的：

• 不通過防火墻的攻擊或者數據，只要沒經過防火墻則防火墻不起作用；

• 防火墻面對內部攻擊和安全問題時也是不起作用的；

• 防火墻因為配置不當策略導致安全問題出現時該防火墻也是不起作用的；

• 防火墻面對自然災害或者人為損壞后會不起作用；

• 防火墻面對利用標準網絡協議的缺陷進行的攻擊也好失去作用；

• 防火墻面對帶有病毒的文件通過防火墻時也是不起作用的；

按防火墻技術原理分類，防火墻主要有：

• 包過濾防火墻：通過檢查數據流中每個數據包的源地址、目的地址、所用的端口號、協議狀態等因素，或它們的組合來確定是否允許該數據包通過；

• 代理服務器型防火墻：防火墻通常由兩部分構成，服務器端程序和客戶端程序。客戶端程序與中間節點連接，中間節點再與提供服務的服務器實際連接。與包過濾防火墻不同的是，內外部網間不存在直接的連接，而且代理服務器提供日志和審計服務；

• 復合型防火墻：復合型防火墻是將包過濾防火墻的技術加上代理服務器型防火墻技術組成的一種防火墻，目前這種防火墻已經由堡壘機取代。

遠程辦公的優點很多，例如減少通勤時間、增加自由度以及與家人共處的時間。但是，如果沒有足夠的安全控制措施來保護遠程辦公人員，遠程辦公同樣會給個人和企業網絡安全帶來巨大的安全隱患。遠程辦公常見的安全威脅有六大類：

• 不安全的互聯網連接

  在家工作設置的最大問題是缺乏安全控制來保護員工的連接。當人們在家工作時，企業 IT 員工很難管理員工安全。部分原因是遠程員工可能被允許使用他們自己的計算設備和互聯網連接，因為許多員工在同一個設備（例如家庭電腦和 WiFi 路由器）上工作和娛樂。如果配偶、孩子、保姆每個人都在使用同一個網絡，所以如果一個設備被感染，病毒就會跳到你的其他系統上，一切都會崩潰。這稱為交叉流量污染，它可能導致關鍵公司信息的丟失。

  解決方案：MFA 多因素認證；使用 VPN 或零信任方法。最好的選擇是啟用雙因素或多因素身份驗證。此外還建議企業使用 VPN 或采用零信任網絡方法。這意味著沒有來自網絡內部或外部的默認信任，任何試圖訪問網絡資源的人都必須驗證他們的身份。

• 無法監控端點

  企業網絡環境通常有處理威脅的手冊，因為它們具有受控的物理環境。但這在遠程環境中可能很難執行，例如修改密碼的要求是否真的得到了執行？

  在遠程辦公環境中，這種問責制和監控會減少。遠程員工與他們的安全團隊保持一定距離，這可能意味著安全事件被忽視或未被報告的時間更長，從而造成比其他情況更多的損害，這讓威脅參與者有更長的時間通過網絡尋找最關鍵的資產和數據。

  解決方案：多渠道事件快速報告。克服這個問題的解決方案是讓員工能夠更加便捷地報告安全事件。安全團隊應該支持員工使用不同的媒體渠道來輕松且及時地報告事件。

• 聊天軟件與影子IT

  遠程工作人員經常使用不受雇主控制或監控的第三方通信和協作工具，例如微信和 Slack。

  解決方案：使用安全的通信和協作工具。最顯而易見的保護措施是使用安全的通信和協作工具并確保文件共享是加密的。建議企業使用分層控制來更好地控制移動流量。

• 數據泄露

  正如在不安全的通道上進行通信會導致安全風險增加一樣，在未加密的信息通道上共享和存儲文件也是如此，例如使用消費級網盤存儲和共享數據。

  解決方案：加密數據。

• 不良安全習慣

  許多員工更喜歡遠程工作，因為它更加自由和舒適。但是，如果管理不當，“自由和舒適” 可能會導致網絡安全風險。

  當員工在辦公室時，由于安全監控的存在，更容易遵守公司的信息安全制度，但在家中，員工往往會放松安全措施，冒更多的風險，例如，訪問一個你通常不會在辦公室訪問的網站。

  此外，還有孩子、寵物和訪客的分心，可能會迫使員工在執行任務時離開電腦。遠程員工離開未鎖定計算機的可能性會顯著增加，這導致其他家庭成員或客人查看敏感數據或信息的可能性大增。

  解決方案：增加安全意識培訓、密碼管理器。必須進行定期和強制性的網絡安全意識培訓，讓員工充分了解并同意遵守遠程辦公相關的網絡安全政策，這些政策詳細說明了在辦公室和遠程使用企業的網絡和計算資產時的預期行為，員工還必須了解無意或故意違反這些政策的潛在后果。此外，還建議使用密碼管理器，避免員工重復使用弱密碼或者將密碼貼在顯示器上。

• 網絡釣魚電子郵件

  自新冠疫情爆發以來，可以看到網絡釣魚電子郵件攻擊增加了 60%，而且這個數字還在上升。網絡釣魚攻擊不會區分遠程員工和辦公室員工，但在某些情況下，遠程員工會變得更加脆弱。

  解決方案：零信任。 在家庭辦公室設置中，工作和家庭生活之間的界限變得模糊，這意味著員工通常工作時間更長。疲憊、心煩意亂的人是網絡犯罪分子的完美目標，這就是為什么網絡釣魚對實施遠程或混合辦公的企業構成更大威脅的原因。

文件上傳漏洞是web安全中經常用到的一種漏洞形式。是對數據與代碼分離原則的一種攻擊。文件上傳漏洞的防護方法如下：

• 編碼者需要對上傳頁面代碼嚴格把關,特別是在保存文件的時候，考察可能出現異常字符，如.,空字符等。

• 對文件擴展名檢查要采取”允許jpg.gif..” 這樣的檢查,而不要采取“不允許,asp..”這樣的檢查,例如IIS允許執行cer類型的腳本。

• 不可以使用本地的JS來進了后綴名驗證,必須再服務器端進行驗證。

• 最好對上傳文件的目錄設置為不可執行腳本,這可以通過web服務器配置加固實現。

預防抵抗APT攻擊的方法有以下這些：

• 使用威脅情報：這包括APT操作者的最新信息、從分析惡意軟件獲取的威脅情報、已知的C2網站、已知的不良域名、電子郵件地址、惡意電子郵件附件、電子郵件主題行、以及惡意鏈接和網站。威脅情報在進行商業銷售，并由行業網絡安全組共享。企業必須確保情報的相關性和及時性。威脅情報被用來建立“絆網”來提醒你網絡中的活動。

• 建立強大的出口規則：除網絡流量（必須通過代理服務器）外，阻止企業的所有出站流量，阻止所有數據共享和未分類網站。阻止SSH、FTP、Telnet或其他端口和協議離開網絡。這可以打破惡意軟件到C2主機的通信信道，阻止未經授權的數據滲出網絡。

• 收集強大的日志分析：企業應該收集和分析對關鍵網絡和主機的詳細日志記錄以檢查異常行為。日志應保留一段時間以便進行調查。還應該建立與威脅情報匹配的警報。

• 聘請安全分析師：安全分析師的作用是配合威脅情報、日志分析以及提醒對APT的積極防御。這個職位的關鍵是經驗。

• 對未知文件進行檢測：一般通過沙箱技術罪惡意程序進行模擬執行，通過對程序的行為分析和評估來判斷未知文件是否存在惡意威脅。

• 對終端應用監控：一般采用文件信譽與嘿白名單技術在終端上檢測應用和進程。

• 使用大數據分析方法：基于大數據分析的方法，通過網路取證，將大數據分析技術和沙箱技術結合全面分析APT攻擊。

網絡安全工作的最終目標如下：

• 可靠性：可靠性是網絡信息系統能夠在規定條件下和規定的時間內完成規定的功能的特性。可靠性是系統安全的最基于要求之一，是所有網絡信息系統的建設和運行目標。

• 可用性：可用性是網絡信息可被授權實體訪問并按需求使用的特性。即網絡信息服務在需要時，允許授權用戶或實體使用的特性，或者是網絡部分受損或需要降級使用時，仍能為授權用戶提供有效服務的特性。

• 保密性：保密性是網絡信息不被泄露給非授權的用戶、實體或過程，或供其利用的特性。即，防止信息泄漏給非授權個人或實體，信息只為授權用戶使用的特性。

• 完全性：完整性是網絡信息未經授權不能進行改變的特性。即網絡信息在存儲或傳輸過程中保持不被偶然或蓄意地刪除、修改、偽造、亂序、重放、插入等破壞和丟失的特性。

• 不可依賴性：不可抵賴性也稱作不可否認性，在網絡信息系統的信息交互過程中，確信參與者的真實同一性。即，所有參與者都不可能否認或抵賴曾經完成的操作和承諾。利用信息源證據可以防止發信方不真實地否認已發送信息，利用遞交接收證據可以防止收信方事后否認已經接收的信息。

• 可控性：可控性是對網絡信息的傳播及內容具有控制能力的特性。概括地說，網絡信息安全與保密的核心是通過計算機、網絡、密碼技術和安全技術，保護在公用網絡信息系統中傳輸、交換和存儲的消息的保密性、完整性、真實性、可靠性、可用性、不可抵賴性等

“蜥蜴之尾”木馬是“長老木馬”三代的進化版。主要惡意行為由三代的推廣APP演變為監聽電話短信、訂閱SP扣費服務等。據有些用戶反饋，單月扣費金額達數百元。

技術方面：

對抗安全軟件：在移動安全領域首次采用了靜態感染技術，感染系統運行依賴的庫文件，加大了查殺難度。此外，還采用相似文件路徑欺騙法、 樣本MD5自變化等傳統PC端的病毒技術。

自我保護：采用AES對稱加密算法、自定義算法加密了所有相關插件、配置文件、數據庫等。雖然AES加密算法已被很多病毒木馬所采用，并不稀奇，但是隱藏解密所必須的public key的方法非常獨特。不但每個插件、配置文件、數據庫解密需要的publickey都不同，而且public key本身又以加密的形式寫入到其他正常文件的尾部或加密數據文件的指定位置，加大了分析人員逆向分析的難度。

威脅方面：

后臺監聽：云端即木馬作者可以不定時下發“后臺監聽”指令來建立遠程通訊，實現遠程監聽用戶的隱私，給用戶隱私帶來極大的威脅。

惡意扣費：云端即木馬作者不定時下發“訂閱”指令，指令參數包含商品名稱、收費金額、SP計費點及訂閱網點。木馬收到指令后根據參數內容到指定SP網點“自動辦理”訂閱服務并屏蔽訂閱回饋短信。因木馬惡意扣費非常隱蔽且一般一次性扣費的金額較少，很多受害用戶過了一段時間才察覺自己手機可能是中招。

隱私采集：云端可以下發“短信采集”、“基本信息采集”等指令獲取用戶敏感信息以進行再次獲利。如果犯罪分子成功獲取到這些數據對于用戶來說意味著非常可怕的后果。比如短信包含很多與熟人相關數據，非法分子可以以“借錢”等為由向用戶的熟人發送短信，危及到受感染用戶周圍的親朋好友，其危害程度不言而喻。