測評實施流程如下：

1. 等保定級

   信息系統安全等級，由系統運用、使用單位根據《信息系統安全等級保護定級指南》自主確定信息系統的安全保護等級，有主管部門的，應當經主管部門審批。對于擬確定為四級及以上信息系統，還應經專家評審會評審。新建信息系統在設計、規劃階段確定安全保護等級，雖然說的是自主定級，但是也得根據系統實際情況去定級，有行業指導文件的根據指導文件來，沒有文件的根據定級指南來，總之一句話合理定級，有以下五個等級。

   • 第一級（自主保護級）

   • 第二級（指導保護級）

   • 第三級（監督保護級）

   • 第四級（強制保護級）

   • 第五級（專控保護級）

2. 等級測評備案

   運營、使用單位在確定等級后到所在地的市級及以上公安機關備案。新建二級及以上信息系統在投入運營后30日內、已運行的二級及以上信息系統在等級確定30日內備案。公安機關對信息系統備案情況進行審核，對符合要求的在10個工作日內頒發等級保護備案證明。對于定級不準的，應當重新定級、重新備案。對于重新定級的，公安機關一般會建議備案單位組織專家進行重新定級評審，并報上級主管部門審批。

3. 開展等級測評

   運營、使用單位或者主管部門應當選擇合規測評機構，定期對信息系統安全等級狀況開展等級測評。三級及以上信息系統至少每年進行一次等級測評，四級及以上信息系統至少每半年進行一次等級測評，五級應當依據特殊安全需求進行等級測評。測評機構應當出具測評報告，并出具測評結果通知書，明示信息系統安全等級及測評結果。

4. 系統安全建設

   運營使用單位按照管理規范和技術標準，選擇管理辦法要求的信息安全產品，建設符合等級要求的信息安全設施，建立安全組織，制定并落實安全管理制度。系統建設整改。對于未達到安全等級保護要求的，運營、使用單位應當進行整改。整改完成應當將整改報告報公安機關備案。

5. 監督檢查

   公安機關依據信息安全等級保護管理規范，監督檢查運營使用單位開展等級保護工作，定期對信息系統進行安全檢查。運營使用單位應當接受公安機關的安全監督、檢查、指導，如實向公安機關提供有關材料。

   受理備案的公安機會對三級、四級信息系統進行檢查，檢查頻次同測評頻次。五級信息系統接受國家制定的專門部門檢查。

   新系統開發建設后，及時開展等級保護測評或相關安全測試，避免系統帶病上線，將安全隱患消除在萌芽狀態。

• 定義不同

  • 信息安全等級保護是指對國家秘密信息、法人和其他組織及公民的專有信息以及公開信息和儲存、傳輸、處理這些信息的信息系統分等級實行安全保護，對信息系統中使用的信息安全產品實行按等級管理，對信息系統中發生的信息安全事件分等級響應、處置；

  • 涉密信息系統分級保護是指涉密信息系統的建設使用單位根據分級保護管理辦法和有關標準，對涉密信息系統分等級實施保護，各級保密工作部門根據涉密信息系統的保護等級實施監督管理，確保系統和信息安全。

• 適用對象不同（本質區別）

  • 等級保護國家安全信息等級保護，重點保護的對象是非涉密的涉及國計民生的重要信息系統和通信基礎信息系統；

  • 分級保護涉密信息系統分級保護是國家信息安全等級保護的重要組成部分，是等級保護在涉密領域的具體體現。

• 職能部門不同

  • 等級保護：公安機關、國家保密工作部門、國家密碼工作部門、國務院信息辦；

  • 分級保護：國家保密工作部門、地方各級保密工作部門、中央和國家機關、建設使用單位、管理職責。

• 政策依據文件不同

  • 等級保護

    • 《中華人民共和國計算機信息系統安全保護條例》（國務院147號令，1994年）；
    • 《國家信息化領導小組關于加強信息安全保障工作的意見》（中辦發[2003]27號）；
    • 《關于信息安全等級保護工作的實施意見》（公通字[2004]66號）；
    • 《信息安全等級保護管理辦法》（公通字[2007]43號）；
    • 《關于開展全國重要信息系統安全等級保護定級工作的通知》（公信安[2007]861號）；
    • 《關于加強國家電子政務工程建設項目信息安全風險評估工作的通知》(發改高技[2008]2071號)；

  • 分級保護

    • 《關于加強信息安全保障工作中保密管理的若干意見》（中保委發[2004]7號）；
    • 《涉及國家秘密的信息系統分級保護管理辦法》（國保發[2005]16號）；

• 標準體系不同

  • 等級保護：國家標準（GB、GB/T）；

  • 分級保護：國家保密標準（BMB,強制執行）。

• 系統定級不同

  等級保護：信息系統的安全保護等級應當根據信息系統在國家安全、經濟建設、社會生活中的重要程度，信息系統遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度等因素確定，由低到高劃分為五個等級：第一級（自主保護）、第二級（指導保護）、第三級（監督保護）、第四級（強制保護）、第五級（專控保護）；

  分級保護：涉密信息系統按照所處理信息的最高密級，由低到高劃分為秘密、機密和絕密三個等級。涉密信息系統建設使用單位應當依據涉密信息系統分級保護管理規范和技術標準，按照秘密、機密、絕密三級的不同要求, 結合系統實際進行方案設計，實施分級保護，其保護水平總體上不低于國家信息安全等級保護第三級、第四級、第五級的水平。

• 工作內容不同

  • 信息系統等級保護工作包括系統定級、系統備案、安全建設整改、等級測評和監督檢查五個環節；

  • 涉密信息系統分級保護工作包括系統定級、方案設計、工程實施、系統測評、系統審批、日常管理、測評與檢查和系統廢止八個環節。

• 測評頻率不同

  • 第三級信息系統：應每年至少進行一次等級測評。

  • 第四級信息系統：應每年至少進行一次等級測評。

  • 第五級信息系統：應當根據特殊安全要求進行等級測評。

  • 秘密級、機密級信息系統：應每兩年至少進行一次安全保密測評或保密檢查。

  • 絕密級信息系統：應每年至少進行一次安全保密測評或保密檢查。

• 測評機構資質要求不同

  • 等級保護：國家信息安全等級保護工作協調小組辦公室授權的信息安全等級保護測評機構；

  • 分級保護：由國家保密工作部門授權的系統測評機構。

當爆出一個漏洞以后，作為安服人員應該對這個漏洞進行漏洞分析、驗證、利用等方面的工作。編寫一個合格的RECPOC，無非就是從漏洞分類、漏洞的驗證等等入手，漏洞分析就是分析被披露漏洞的原理，分析該漏洞的觸發位置、該漏洞在什么條件下會被觸發；在分析完漏洞原理之后，就需要將分析過程轉化為自動驗證漏洞的代碼用于應急響應時的批量化漏洞檢測；漏洞利用代碼需要做的當然就是利用漏洞，把漏洞的危害盡可能大地體現出來，當我們編寫一個漏洞的 PoC 的時候，每個漏洞都會有不同的處理方法，注意點也會不同，需要我們具體漏洞具體分析。但是都要盡可能地滿足 PoC 準則，這樣寫出來的 PoC 才更具有實際價值。

要根據不同的漏洞分類編寫不同的Poc，編寫的時候要著重注意漏洞的驗證，比如隨機性、準確性、通用性、無害性等等。這樣才能編寫一個合格的POC。

• 保護脆弱的服務

通過過濾不安全的服務，Firewall可以極大地提高網絡安全和減少子網中主機的風險。例如， Firewall可以禁止NIS、NFS服務通過，Firewall同時可以拒絕源路由和ICMP重定向封包。

• 控制對系統的訪問

Firewall可以提供對系統的訪問控制。如允許從外部訪問某些主機，同時禁止訪問另外的主機。例如， Firewall允許外部訪問特定的Mail Server和Web Server。

• 集中的安全管理

Firewall對企業內部網實現集中的安全管理，在Firewall定義的安全規則可以運行于整個內部網絡系統， 而無須在內部網每臺機器上分別設立安全策略。Firewall可以定義不同的認證方法， 而不需要在每臺機器上分別安裝特定的認證軟件。外部用戶也只需要經過一次認證即可訪問內部網。

• 增強的保密性

使用Firewall可以阻止攻擊者獲取攻擊網絡系統的有用信息，如Figer和DNS。

• 記錄和統計網絡利用數據以及非法使用數據

Firewall可以記錄和統計通過Firewall的網絡通訊，提供關于網絡使用的統計數據，并且，Firewall可以提供統計數據， 來判斷可能的攻擊和探測。

• 策略執行

Firewall提供了制定和執行網絡安全策略的手段。未設置Firewall時，網絡安全取決于每臺主機的用戶。

軟件項目計劃制定原則有以下這些：

• 目的明確原則：任何項目都是有目標的，軟件項目的目標不是為了交付一個產品，而是幫助客戶實現他的商業目的，因此項目管理人員不要本末倒置搞錯了項目的真正目的，否則項目一定會失敗。

• 有整體性思維原則：由“項目集成管理”可知項目計劃指的是“項目主計劃”或“項目集成計劃”，項目計劃是由一份主計劃和若干份從屬計劃構成的整體。以“木桶理論”為依據，每份計劃都負責管理軟件質量體系中的一個部分，如果要想提高軟件的整體質量，就必須從質量整體的角度來編制項目所需要的各種計劃。

• 可行性強原則：項目計劃一定要切實可行，絕對不能“假、大、空”，千萬不要在項目計劃中作假，這樣害人害己。制訂項目計劃的過程也是用于判斷項目可行性的最好手段，一份準確的項目計劃也是可行性分析最好的證明。制訂可行的計劃目的是盡量避免變更，這樣才能做到“指哪打哪”，而不是“打哪指哪”。

• 波浪形的編制方式原則：軟件項目獨特性和臨時性注定了軟件項目就是一個逐步細化、逐步完善的過程，因此在項目之初是無法將所有項目內容全部準確計劃的，這才有了軟件工程中的迭代式、螺旋式、XP極限式、原型式的生命周期模型。在制訂項目計劃時也要采用波浪形滾動的方式來制訂當前階段的計劃，初步制訂下個階段的計劃，日后再去細化下個階段的計劃。

• 主從計劃間的匹配性原則：要將每份從屬計劃中的進度和任務的安排、成本、資源、相關人員的安排與職責分派都集中到主計劃中，這樣便于對眾多計劃進行協調和解決計劃間的沖突，也減少了計劃變更時的工作量。

應用系統主機安全架構包括以下方面：

• 安全配置要求：應用系統上線前，應對其進行全面的安全評估，并進行安全加固。應遵循安全最小化原則，關閉未使用的服務組件和端口。

• 系統補丁控制：應采用專業安全工具對主機系統（包括虛擬機管理器、操作系統、數據庫系統等）定期評估。在補丁更新前，應對補丁與現有系統的兼容性進行測試。

• 惡意代碼防范：出于影響性能考慮，一般不建議宿主服務器安裝防病毒軟件。其他應用系統建議部署實時檢測和查殺病毒、惡意代碼的軟件產品，并應自動保持防病毒代碼的更新，或者通過管理員進行手動更新。

• 入侵檢測防范：建議在云計算數據中心網絡中部署IDS/IPS等設備，實時檢測各類非法入侵行為，并在發生嚴重入侵事件時提供報警。

• 賬戶管理：具備應用系統主機的賬號增加、修改、刪除等基本操作功能，支持賬號屬性自定義，支持結合安全管理策略，對賬號口令、登錄策略進行控制，應支持設置用戶登錄方式及對系統文件的訪問權限。

• 身份鑒別：采用嚴格身份鑒別技術用于主機系統用戶的身份鑒別，包括提供多種身份鑒別方式、支持多因子認證、支持單點登錄。

• 遠程訪問控制：限制匿名用戶的訪問權限，支持設置單一用戶并發連接次數、連接超時限制等，應采用最小授權原則，分別授予不同用戶各自所需的最小權限。

部署虛擬化時對宿主機硬件配置需要考慮以下方面：

• 可用的CPU核數量盡可能多，單臺服務器建議配置8個以上的CPU核。

• 使用具有擴展64bit內存技術（ExtendedMemory64Technology，EM64T）能力的IntelVT或AMDV技術的CPU，這樣32位和64位的虛擬機均可以支持運行。

• 為獲得更佳的虛擬機遷移兼容能力，應采用同一廠商、同一產品家族和同一代處理器的服務器組成的集群。

• 事實證明，內存資源比CPU資源成為性能瓶頸的可能性更大，應盡可能配置單條容量大的內存條，例如單條32GB內存條的性能和表現會優于兩條16GB內存條。

• 盡量具備雙網卡以獲得更加靈活的網絡連接和模式選擇。宿主機網卡通常會采用網卡虛擬化技術，接入網絡時將按照業務流量創建不同的虛擬交換機端口進行連接；配置兩張網卡可以采用雙網卡綁定，并在負載均衡的工作模式下完成網絡連接；不進行虛擬化的物理裸機服務器則可以根據用戶需求配置多張網卡，在采用兩兩綁定后，選擇負載分擔模式或者主備工作模式均可。

• 設備投資和運營成本方面，2路服務器的購置成本略高，而4路服務器由于功耗高導致運營成本略高。

• 機房配套成本方面，云數據中心機房的各項基礎配套建設成本較高，因此在選擇服務器類型時，應盡量考慮高密度安裝和部署，節省機架空間，降低基礎配套成本的占比。

以下工具軟件都可以掃描系統漏洞：

• Nikto

  是一個開源的Web服務器掃描程序，它可以對Web服務器的多種項目(包括3500個潛在的危險文件/CGI，以及超過900個服務器版本，還有250多個服務器上的版本特定問題)進行全面的測試。其掃描項目和插件經常更新并且可以自動更新(如果需要的話)。

• Paros

  這是一個對Web應用程序的漏洞進行評估的代理程序，即一個基于Java的web代理程序，可以評估Web應用程序的漏洞。

• WebScarab

  這是一款強大的Web應用程序掃描程序。SPI Dynamics的這款應用程序安全評估工具有助于確認Web應用中已知的和未知的漏洞。它還可以檢查一個Web服務器是否正確配置，并會嘗試一些常見的Web攻擊，如參數注入、跨站腳本、目錄遍歷攻擊(directory traversal)等等。

• WebInspect

  這是一款強大的Web應用程序掃描程序。SPI Dynamics的這款應用程序安全評估工具有助于確認Web應用中已知的和未知的漏洞。它還可以檢查一個Web服務器是否正確配置，并會嘗試一些常見的Web攻擊，如參數注入、跨站腳本、目錄遍歷攻擊(directory traversal)等等。

• Whisker/libwhisker

  Libwhisker是一個Perla模塊，適合于HTTP測試。它可以針對許多已知的安全漏洞，測試HTTP服務器，特別是檢測危險CGI的存在。Whisker是一個使用libwhisker的掃描程序。

• Burpsuite

  這是一個可以用于攻擊Web應用程序的集成平臺。Burp套件允許一個攻擊者將人工的和自動的技術結合起來，以列舉、分析、攻擊Web應用程序，或利用這些程序的漏洞。各種各樣的burp工具協同工作，共享信息，并允許將一種工具發現的漏洞形成另外一種工具的基礎。

• Wikto

  可以說這是一個Web服務器評估工具，它可以檢查Web服務器中的漏洞，并提供與Nikto一樣的很多功能，但增加了許多有趣的功能部分，如后端miner和緊密的Google集成。它為MS.NET環境編寫，但用戶需要注冊才能下載其二進制文件和源代碼。

• Acunetix Web Vulnerability Scanner

  這是一款商業級的Web漏洞掃描程序，它可以檢查Web應用程序中的漏洞，如SQL注入、跨站腳本攻擊、身份驗證頁上的弱口令長度等。它擁有一個操作方便的圖形用戶界面，并且能夠創建專業級的Web站點安全審核報告。

• Watchfire AppScan

  這也是一款商業類的Web漏洞掃描程序。AppScan在應用程序的整個開發周期都提供安全測試，從而測試簡化了部件測試和開發早期的安全保證。它可以掃描許多常見的漏洞，如跨站腳本攻擊、HTTP響應拆分漏洞、參數篡改、隱式字段處理、后門/調試選項、緩沖區溢出等等。

• N-Stealth

  N-Stealth是一款商業級的Web服務器安全掃描程序。它比一些免費的Web掃描程序，如Whisker/libwhisker、 Nikto等的升級頻率更高，它宣稱含有“30000個漏洞和漏洞程序”以及“每天增加大量的漏洞檢查”，不過這種說法令人質疑。還要注意，實際上所有通用的VA工具，如Nessus, ISS Internet Scanner, Retina, SAINT, Sara等都包含Web 掃描部件。(雖然這些工具并非總能保持軟件更新，也不一定很靈活。)N-Stealth主要為Windows平臺提供掃描，但并不提供源代碼。

簡單配置入侵檢測方法步驟如下（這里以H3C的設備為例）：

1. 登錄Web管理端：使用https的方式訪問設備的Web管理端地址，使用正確的用戶名和密碼登錄管理系統；

2. 配置指定ip范圍：配置只針對指定IP范圍192.168.0.0/16的IPv4流量和所有IPv6的流量進行網絡入侵攻擊檢測通過頁面上方菜單欄進入“策略 – 檢測策略 – 流量檢測配置”菜單，“流量檢測范圍”配置欄包含當前入侵檢測引擎對于需要進行網絡入侵攻擊檢測的流量的IP范圍過濾，默認為192.168.0.0/16,172.16.0.0/12,10.0.0.0/8,::，即監控IPv4三個標準內網網段流量，以及所有IPv6流量，進行網絡入侵攻擊檢測可以根據需求自行設置；

3. 配置禁用類別為“ActiveX攻擊”的網絡攻擊事件告警：如果發現某一類別的網絡攻擊事件出現大量誤報，可以臨時將該類別的網絡入侵檢測規則禁用，進入“策略 – 檢測策略 – 流量檢測配置”菜單，“流量檢測規則項”配置中包含對于網絡入侵檢測知識庫的規則的相關配置，勾選“ActiveX攻擊”類別，點擊下方的“x”按鈕，禁用“ActiveX攻擊”這一類別的所有規則所能觸發的網絡攻擊事件告警日志；

4. 配置禁用規則名稱為“針對MicroLogix 1100控制器拒絕服務攻擊”的網絡攻擊事件告警：進入“策略 – 檢測策略 – 流量檢測配置”菜單，“流量檢測規則項”配置中包含對于網絡入侵檢測知識庫的規則的相關配置，在規則名稱搜索欄輸入想要禁用的規則名稱，如“針對MicroLogix 1100控制器拒絕服務攻擊”，點擊搜索按鈕，即可定位到該規則所在的類別及其位置，點擊勾選規則名稱前面的勾選框，點擊規則類別內下方的“x”按鈕，或者規則列表欄內的“狀態”按鈕，可禁用“針對MicroLogix 1100控制器拒絕服務攻擊”這一條規則所能觸發的網絡攻擊事件告警日志；

ps：上述只是對入侵檢測系統幾個事件告警進行配置，實際使用中可以根據需求配置不同。

《信息安全等級保護管理辦法》（公通字[2007]43號“第七條 信息系統的保護等級分為以下五級：

• 第一級（自主保護級）：信息系統受到破壞后，會對公民、法人和其他 組織的合法權益造成損害，但不損害國家安全、社會秩序和公共利益；

• 第二級（指導保護級）：信息系統受到破壞后，會對公民、法人和其他組織的合法權益產生 嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全；

• 第三級（監督保護級）：信息系統受到破壞后，會對社會秩序和公共利益造成嚴重損害，或 者對國家安全造成損害。

• 第四級（強制保護級）：信息系統受到破壞后，會對社會秩序和公共利益造成特別嚴重損害， 或者對國家安全造成嚴重損害。

• 第五級（專控保護級）：信息系統受到破壞后，會對國家安全造成特別嚴重損害。”

簡單的說堡壘機就是一種在特定網絡環境下保護網絡數據不受攻擊的一種硬件設備，這種設備除了可以保護網絡和網絡內的數據不受外部黑客的攻擊和入侵同時又可以通過技術手段幫助運維人員對網絡內的設備、數據庫等進行一些審計和日志記錄，這樣大大降低了運維人員的工作強度。

主要功能包含：

• 身份治理

  云堡壘機主賬號通過本地認證、AD認證、RADIUS認證等多種認證方式，將主賬號與實際運維用戶身份一一對應，確保行為審計的一致性，從而準確定位事故責任人，彌補傳統網絡安全審計產品無法準確定位運維用戶身份的缺陷。

• 角色分權

  持多種用戶角色：默認管理員、部門管理員、策略管理員、審計管理員、運維員。每種運維用戶角色的權限都各不相同。云堡壘機同時支持默認管理員自定義角色，滿足企業的復雜運維場景，為運維用戶設立不同的角色提供了選擇。

• 集中管控

  通過定制集中的訪問控制策略，幫助企業梳理運維用戶與資源的關系，并且提供一對一、一對多、多對一、多對多的靈活授權模式。云堡壘機提供的訪問控制策略，不僅實現了將資源授權給運維用戶，也實現了功能權限的精細化控制，最大程度地降低越權操作的可能。

• 資源改密

  在傳統的運維模式下，管理員需要定期手動修改資源賬戶的密碼，同時維護起來也比較繁瑣。通過云堡壘機提供的改密策略，實現自動化的改密，并且以日志形式記錄改密執行結果，能讓管理員十分清晰的掌握資源的改密動態和歷史密碼。

• 資源訪問

  云堡壘機支持托管主機、應用的賬戶和密碼，運維人員無需輸入主機的賬戶和密碼，直接點擊“登錄”即可成功自動登錄到目標資源，并進行運維操作。采用數據庫代理技術，DBA或運維人員可不改變原來的使用習慣，在本地使用的客戶端軟件上，通過云堡壘機連接目標數據庫服務器進行訪問和操作。同時，云堡壘機也支持批量登錄功能。通過批量登錄，運維人員可以在一個頁面上批量打開多臺資源(支持不同協議類型)，方便運維人員在操作時進行不同資源的切換。

• 全程審計

  運維人員登錄到云堡壘機之后，云堡壘機管控所有的操作，并對所有的操作都進行詳細記錄。針對會話的審計日志，支持在線查看、在線播放和下載后離線播放。云堡壘機目前支持字符協議(SSH、TELNET)、圖形協議(RDP、VNC)、文件傳輸協議(FTP、SFTP)、數據庫協議(DB2、MySQL、Oracle、SQL Server)和應用發布的操作審計。其中，字符協議和數據庫協議能夠進行操作指令解析，100%還原操作指令;圖形協議和應用發布可以通過OCR進行文字識別;文件傳輸能夠記錄傳輸的文件名稱和目標路徑。

• 命令控制

  云堡壘機提供了集中的命令控制策略功能，實現基于不同的主機和用戶設置不同的命令控制策略。策略提供斷開連接、拒絕執行、動態授權和允許執行等四種執行動作，根據命令的危險程度和資源的重要程度去設置命令的執行動作。同時，云堡壘機預置了近千條Linux/Unix和主流網絡設備的操作命令，讓管理人員可以直接從命令庫進行調取，簡化命令控制策略的配置過程。

• 工單申請

  運維人員向管理員申請需要訪問的設備，申請時可以選擇資源賬戶、運維有效期、申請備注等信息，并且工單以多種方式通知管理員。當需要使用的功能權限(例如文件管理、RDP剪切板等)由于策略的限制無法使用時，運維人員也可以通過工單申請相應的功能權限。管理員對工單進行審核和批準后，運維人員就擁有了臨時的訪問權限。工單的審批流程可以由系統管理員進行自定義，并且可以設置多人審批或會簽審批模式，滿足企業流程需求。這樣能更靈活也更安全的開展運維工作。

• 會話協同

  通過云堡壘機，運維人員可以邀請其他用戶加入自己的會話，進行協同操作。當某項運維工作需要多人操作時，可以通過會話協同能夠邀請其他的用戶協助自己進行操作，操作控制權可在不同的運維用戶之間能夠進行靈活的切換。

• 雙人授權

  為降低高權限賬號被濫用引起違規操作的風險，借鑒銀行金庫管理中開關庫房必須有兩名管庫員在場共同授權的方式，以多人制衡的手段對高權限的使用進行監督和控制。云堡壘機通過雙人授權，讓運維人員在訪問核心資源時，必須要通過管理員的現場審批，通過雙人授權有效遏制權限濫用的情況，降低安全事件發生的風險。

• 報表分析

  云堡壘機預置了多種分析報表，能夠全方位地分析系統操作、資源運維的情況，讓管理員迅速了解系統的現狀，快速分析系統操作和資源運維的情況，及時阻止安全事件的發生。報表支持自動發送，支持以天、周、月為粒度發送報表，并且以HTML、DOC等多種格式導出，讓管理員隨時掌握系統信息。

• 按攻擊方式分三大類：

  • 漏洞型攻擊

    漏洞型攻擊是殺傷力最大的無文件攻擊方式，典型的漏洞有Office漏洞、SMB漏洞、以及各種WEB服務的漏洞，當目標主機存在漏洞時，病毒可以通過漏洞直接執行惡意命令攻擊主機或將自己復制到主機實現擴散。漏洞型攻擊行為隱蔽，且一般不會釋放文件到本地，所以使用殺軟幾乎無法防御。

  • 灰色工具型攻擊

    灰色工具是指那些可以被用來執行惡意代碼的合法工具，如：Powershell、PsExec等，病毒可以使用這些工具來間接執行惡意代碼。由于IT管理員日常工作中都會使用這些合法工具來輔助管理系統、網絡，所以殺軟對這類攻擊的檢測也極具挑戰性。

  • 潛伏性攻擊

    為了讓病毒母體被刪除后以及每次開機后還能繼續執行惡意代碼，持久化潛伏成為一種常見的無文件攻擊方式。通過將惡意代碼存儲在注冊表、WMI、系統進程（進程注入）、MBR、定時任務等地方，可以讓惡意代碼隱蔽地自動執行。

• 按磁盤文件的活動分三個類型：

  • 沒有任何的文件活動

    簡單說就是攻擊活動沒有任何的磁盤文件落地和磁盤文件的操作行為，一般這種攻擊的實施都脫離了操作系統，是由更上層的硬件固件和軟件層發起的。

  • 沒有磁盤落地文件

    沒有磁盤落地文件，但通過文件間接活動，惡意代碼一般通過白文件間接加載到內存中執行。這類攻擊惡意代碼的載體大多數都是腳本，通過程序命令執行，也有通過磁盤引導記錄等特定機制的執行。

  • 需要操作文件進行活動

    比較容易能理解的意思是惡意代碼變成了數據，利用文件相關的程序漏洞或功能特性將惡意數據轉換為惡意代碼執行。

• 按擊入口點可分為三類：

  • 完全無文件攻擊

    可以被視為不需要在磁盤上寫入文件的惡意軟件也可以實現攻擊；

  • 間接利用文件

    就是惡意軟件還有其他方法可以在機器上實現無文件存在，并且無需進行大量的工程工作。這種類型的無文件惡意軟件不會直接在文件系統上寫入文件，但最終可能會間接使用文件；

  • 僅操作需要的文件

    就是一些惡意軟件可以具有某種無文件的持久性，但并非不使用文件進行操作。

特點如下：

1. 非結構化的存儲；

2. 基于多維關系模型；

3. 具有特有的使用場景；

4. 高并發，大數據下讀寫能力較強；

5. 基本支持分布式，易于擴展，可伸縮；

6. 簡單，弱結構化存儲；

7. join等復雜操作能力較弱；

8. 事務支持較弱；

9. 通用性差；

10. 無完整約束復雜業務場景支持較差。

申請成為測評機構的單位需向省級以上等保辦提出申請，初步申請通過后，申請成為等保測評機構的單位還要接受復審，主要是對測評師的要求，比如申請單位應至少有 15人獲得測評師證書，其中高級測評師不少于 1 人，中級測評師不少于 5 人。對于滿足申請條件，且通過復審的單位，等保辦會頒發《網絡安全等級保護測評機構推薦證書》。

申請等保測評機構的單位應該具備這些條件：

• 在中華人民共和國境內注冊成立，由中國公民、法人投資或者國家投資的企事業單位;

• 產權關系明晰，注冊資金 500 萬元以上，獨立經營核算，無違法違規記錄；

• 從事網絡安全服務兩年以上，具備一定的網絡安全檢測評估能力；

• 法人、主要負責人、測評人員僅限中華人民共和國境內的中國公民，且無犯罪記錄；

• 具有網絡安全相關工作經歷的技術和管理人員不少于 15 人，專職滲透測試人員不少于 2 人，崗位職責清晰，且人員相對穩定；

• 具有固定的辦公場所，配備滿足測評業務需要的檢測評估工具、實驗環境等；

• 具有完備的安全保密管理、項目管理、質量管理、人員管理、檔案管理和培訓教育等規章制度；

• 不涉及網絡安全產品開發、銷售或信息系統安全集成等可能影響測評結果公正性的業務（自用除外）；

• 應具備的其他條件。

風險評估是指從風險管理角度，依據國家有關信息安全技術標準和準則，運用科學的方法和手段，對信息系統及處理、傳輸和存儲信息的保密性、完整性及可用性等安全屬性進行全面科學地分析;對網絡與信息系統所面臨的威脅及存在的脆弱性進行系統的評價;對安全事件一旦發生可能造成的危害程度進行評估，并提出有針對性地抵御威脅的防護對策和整改措施。

風險評估需要分析以下這些內容：

• 對資產進行識別，并對資產的重要性進行賦值;

• 對威脅進行識別，描述威脅的屬性，并對威脅出現的頻率賦值;

• 對資產的脆弱性進行識別，并對具體資產脆弱性的嚴重程度賦值;

• 根據威脅和脆弱性的識別結果判斷安全事件發生的可能性;

• 根據脆弱性的嚴重程度及安全事件所作用資產的重要性計算安全事件的損失;

• 根據安全事件發生的可能性以及安全事件的損失，計算安全事件一旦發生對組織的影響，即風險值。