信息安全審計內容包括下這些：

• 組織層面信息技術控制審計的內容包括：控制環境、風險評估、控制活動、信息與溝通、內部監督；

• 對信息系統一般性控制的審計包括：系統開發和采購審計、系統運行審計、系統變更審計、信息安全審計；

• 對信息系統應用控制的審計包括：授權與批準、系統配置控制、異常情況報告和差錯報告、接口/轉換控制、一致性核對、職責分離、系統計算、其他。

更改防火墻設置本身不會造成危害無論是更改計算機防火墻還是更改企業級防火墻，只是簡單更改設置甚至是還原防火墻設置都不會造成惡劣影響，但是如果惡意更改防火墻規則這種情況則會造成影響但這種情況一旦發生則說明防火墻的管理控制權已經被黑客控制，正常防火墻管理員不會惡意設置更改防火墻。

設置防火墻不會造成危害但關閉防火墻影響如下：

• 對于個人而言：

  個人防火墻即Windows防火墻，主要是為了防止黑客攻擊電腦，關閉防火墻受攻擊的幾率會增大，但一般情況，個人電腦不會受到攻擊，win系統防火墻建議是開啟的，防火墻對于每個用戶保護電腦信息安全是重要的，開啟防火墻可以設置相應的入站出站規則管理應用程序，可以開啟白名單管理訪問鄧麗確保安全。注意：部分殺毒軟件會自動禁用Windows防火墻，這是正常現象，遇到此類情況，建議檢查殺毒軟件的防火墻模塊是否正常開啟，如若開啟，則可以關閉Windows防火墻。

• 對于企業而言：

  對企業來說如果關閉是有一定的危害的，企業級別的防火墻一般是網絡安全的屏障防火墻是設在外網和內網，專用網和公共網之間的關卡，沒有符合應用協議的數據和流量是無法通過的，這樣就可以有效地過濾掉對企業來說不安全的因素，凈化企業的網絡環境。如果企業關閉防火墻會導致無法監控計算機和其網絡活動也無法提升網絡安全環境。

網絡級安全防護措施的內容包括以下四方面：

• 網絡訪問控制：在網絡與外界連接處進行網絡訪問控制，正確區分外部網絡用戶的身份，區分其是進行查詢、修改還是請求維護；提供基于用戶的訪問規則，針對不同的用戶和用戶的不同要求授予其不同權限，禁止非法用戶進入。

• 網絡地址翻譯：系統安全管理應該在網絡與外界接口處實現數據包的網絡地址翻譯。具體說來，就是通過使用網絡地址翻譯技術，讓P數據包的源地址和目的地址以及TCP或UDP的端口號在進出內部網時發生改變，這樣可以屏蔽網絡內部信息，防止外部黑客利用IP探測技術發現內部網絡結構和服務器的真實地址，進行攻擊。

• 網絡入侵防御：通過監視內部關鍵的網段，掃描網絡上的所有數據，檢測服務拒絕型襲擊、可疑活動、惡意的程序、病毒等各種網絡進攻手段，及時報告管理人員并防止這些攻擊手段到達目標主機。

• 可疑網絡活動的檢測：如對ActiveX、Java、JavaScript、VBScript的WEB頁面、電子郵件的附件、帶宏的Office文檔等經常可能帶有計算機病毒以及特洛伊木馬等黑客工具的文件或程序進行檢測，隔離未知應用，建立安全資源區域。

分層結構有如下優點：

• 易于實現和維護：由于系統被分解為相對簡單的若干層，因此易于實現和維護。

• 各層功能明確相對獨立：下層為上層提供服務，上層通過接口調用下層功能。而不必關心下層所提供服務的具體實現細節，因此各層都可以選擇最合適的實現技術。

• 靈活性好：當某一層的功能需要更新或被替代時，只要它和上、下層的接口服務關系不變，則相鄰層都不受影響，因此靈活性好，這有利于技術進步和模型的改進。

• 具有良好的可擴展性：為應用系統的演化增長提供了一個靈活的框架，具有良好的可擴展性。增加新的功能時，無須對現有的代碼做修改，業務邏輯可以得到最大限度的重用。同時，層與層之間可以方便地插入新的層來擴展應用。

• 降低單個問題的規模和復雜度：分層結構將應用系統正交地劃分為若干層，每一層只解決問題的一部分，通過各層的協作提供整體解決方案。大的問題被分解為一系列相對獨立的子問題，局部化在每一層中，這樣就有效的降低了單個問題的規模和復雜度，實現了復雜系統的第一步也是最為關鍵的一步分解。

以下這些是常用的web漏洞掃描工具：

• Nikto

  是一個開源的Web服務器掃描程序，它可以對Web服務器的多種項目(包括3500個潛在的危險文件/CGI，以及超過900個服務器版本，還有250多個服務器上的版本特定問題)進行全面的測試。其掃描項目和插件經常更新并且可以自動更新(如果需要的話)。

• Paros

  這是一個對Web應用程序的漏洞進行評估的代理程序，即一個基于Java的web代理程序，可以評估Web應用程序的漏洞。

• WebScarab

  這是一款強大的Web應用程序掃描程序。SPI Dynamics的這款應用程序安全評估工具有助于確認Web應用中已知的和未知的漏洞。它還可以檢查一個Web服務器是否正確配置，并會嘗試一些常見的Web攻擊，如參數注入、跨站腳本、目錄遍歷攻擊(directory traversal)等等。

• AWVS

  AWVS （ Acunetix Web Wulnerability Scanner）是一個自動化的Web 應用程序安全測試工具，它可以掃描任何可通過Web 瀏覽器訪問的和遵循 HTTP/HTTPS 規則的 Web站點和 Web應用程序、國內普遍簡稱WVS。

主機入侵檢測系統利用的信息是系統和網絡中的日志文件，主機入侵檢測可以針對這些日志文件中的內核、服務、在系統上運行的應用程序、源ip、訪問者的ip、訪問了什么文件等這些信息來判斷該數據是否是一個入侵，如果判斷這個是一個入侵行為會將其發送給入侵防御系統，入侵防御系統會對齊進行防御，如果是一個正常的數據包則會放行讓其進入主機。

基于主機的入侵檢測系統的優點如下：

• 可以檢測基于網絡的入侵檢測系統不能檢測的攻擊；

• 基于主機的入侵檢測系統可以運行在應用加密系統的網絡上，只要加密信息在到達被監控的主機時或到達前解密；

• 基于主機的入侵檢測系統可以運行在交換網絡中。

網絡攻擊與防御處于不對稱狀態是因為網絡軟件、硬件的復雜性，復雜性是混沌性的局部與整體之間的非線性形式，由于局部與整體之間的這個非線性關系，使得我們不能通過局部來認識整體。在硬件的可靠性設計中，有一條基本原則“簡單就是可靠”。這個原則同樣也適合軟件，與功能的增多或增強相伴的是不斷升級與補丁。簡單來說就是目前防御的手段主要我以簡單有效為原則，而攻擊手段是不斷進步的這樣就導致攻擊與防御不對稱。

常用防止網絡攻擊的辦法如下：

• 進行自身業務的漏洞修復，找出可能存在的攻擊漏洞，及時進行補丁安裝，是防止黑客利用漏洞進行攻擊的很重要的方式，可以采用高級滲透測試服務，通過模擬黑客的思維和方法幫助我們找到業務上的系統漏洞以及安全風險，才能針對性進行修復。

• 及時修復存在的漏洞以及安全問題，可以通過云網服務，采用OVAL、NASL標準及相關技術，對主機上面的漏洞、配置缺陷項進行檢測發現及修復。

• 通過網絡防火墻進行網絡安全加固，網絡防火請可以過濾大部分的攻擊行為，可以對云上的自身邊界網絡進行訪問監控，隔離掉不安全的訪問流量，我們可以使用云御，混合式的web防火墻，可以對傳統常見的攻擊進行過濾，同時也可以對異常變形和未知漏洞的高級攻擊進行識別。

• 更換高防ip，抗ddos能力更上一層樓，購買抗ddos服務是最為有效將DDoS攻擊等異常數據流清洗處理，將干凈的流量回注到網絡環境中繼續轉發，同事該方式支持提供10G到1T不同級別的抗DDOS云服務功能。

• 服務器防御軟件：防御軟件可以幫助我們抵御一些常見的服務攻擊，對于一般的小攻擊都是得心應手的高效處理，其中還帶有ddos防御，系統體檢功能可以幫助我們檢查出服務器的漏洞，windows和linux都是可以免費安裝的。

云計算標準化的主要內容包括以下這些方面：

• 云計算互相操作和集成標準：涵蓋不同云之間，如私有云和公有云之間、公有云和公有云之間、私有云和私有云之間的互操作性和集成接口標準。

• 云計算的服務接口標準和應用程序開發標準：主要針對的是云計算與業務層面的交換標準，即從業務層面如何調用、使用云服務。

• 云計算不同層面之間的接口標準：包括架構層、平臺層和應用軟件層之間的接口標準。

• 云計算服務目錄管理、不同云之間無縫遷移的可移植性標準。

• 云計算商業指標標準：云計算用戶提高資產利用率標準、資源優化和性能優化、評估性能價格比標準等。

• 云計算架構治理標準：包括設計、規劃、架構、建模、部署、管理、監控、運營支持、質量管理和服務水平協議的標準。

• 云計算安全和隱私標準：數據的完整性、可用性、保密性、物理上和邏輯上的標準。

信息安全最大的威脅在于人，也指的是人為威脅，人為威脅可以分為無意識和有意識兩種。無意識的威脅是指由于管理和使用者的操作失誤造成的信息泄露或破壞。有意識的威脅是指某些組織或個人，出于各自的目的或利益直接破壞各種設備、竊取及盜用有價值的數據信息、制造及散播病毒或改變系統功能等。這種有意識的威脅是最應該引起重視的。所以說對信息安全造成最大威脅的因素是人為因素所以需要著重防御和注意。

信息安全其他威脅還有以下這些：

• 內部泄密：內部泄密指由于不嚴謹的企業內部管理，導致內部信息被企業內部人員有意或無意泄露，它是企業數據外泄的最主要原因。互聯網已成為企業信息泄露的巨大威脅。在利益的驅動下，員工點擊鼠標，復制數據，通過E-mail即可將信息傳出。

• 網絡竊聽：網絡監聽工具可以監視和截獲網絡狀態、數據流程以及網絡上信息傳輸。如果黑客獲取超級用戶權限，登錄主機，即可監控網絡設備并截獲數據。網絡竊聽指非法用戶在未經授權的情況下，通過Sniffer等竊聽軟件，偵聽網絡傳輸信道或服務器、路由器等關鍵網絡設備，通過竊聽數據的方法來獲得敏感信息。

• 病毒感染：計算機病毒是一組計算機指令或者程序代碼，它通過自我復制對計算機的功能和數據進行破壞，影響計算機的正常運轉甚至導致計算機系統癱瘓。計算機病毒因其破壞性而對計算機系統產生巨大威脅。

• 黑客攻擊：黑客攻擊是通過一定的技術手段進入內部網絡，通過掃描系統漏洞，利用系統中安全防護的薄弱環節或系統缺陷，攻擊目標主機或竊取其中存儲的敏感信息。網絡監聽、拒絕服務、密碼破解、后門程序、信息炸彈等都是黑客常用的攻擊方式。

• 非授權訪問：非授權訪問指未經系統授權就使用網絡或計算機資源，通過各種手段規避系統的訪問控制機制，越權對網絡設備及資源進行的訪問。假冒、身份攻擊和非法用戶進入網絡系統進行非法操作等，這些都是非授權訪問的幾種常見手段。

• 信息丟失：病毒感染或者黑客攻擊都會導致文件被刪除和數據被破壞，從而造成關鍵信息丟失。信息數據面臨的安全威脅來自多個方面。通過對信息數據安全威脅的分析可以知道，造成信息數據丟失的原因主要有軟件系統故障（操作系統故障、應用系統故障）、硬件故障、誤操作、病毒、黑客、計算機犯罪、自然災害等。

NetXRay中文版是由Cinco Networks公司推出的一款專業網絡監聽工具，可以長時間監控多個網段，同時還是一款嗅探器，具備基本的嗅探功能，可用于查看QICQ用戶的IP和在線破解Email等，使用簡單方便。

netxray具有以下功能：

• 監視網絡狀態，為優化網絡性能提供資料：長時間的捕獲，依據統計數值分析網絡性能。

• 網絡中包的捕捉和解碼，用于故障分析：盡量精確的設置捕捉規則，利于精確分析。

• 特點：精美的圖形化界面，靈活的過濾策略和輔助功能。

• 捕獲并分析數據包，發送數據包，網絡管理查看。

• 協議分析軟件。

• 運行于數據鏈路層，對數據幀進行捕捉和分析。此時工作網卡處于（混雜模式）。

• 可以分析數據鏈路層及以上的協議及特定用戶數據。

• 不能處理物理層協議，如：電信號的串擾、衰減等。

漏洞掃描工具部署方式有以下兩種：

• 獨立部署：漏洞掃描設備如果按獨立模式進行部署可以直接接入核心交換機上，也就是網絡中指部署一臺設備，管理員可以從任意地址登錄設備下達任務；

  

• 分布式部署：漏洞掃描設備如果按照分布式模式部署則直接接在每個小型局域網的核心交換機上，部署多臺掃描設備進行集中管理和下達任務。

  

• 通過查看網站的源代碼來檢查黑鏈

  一般情況下，黑鏈會被掛在網站的首頁上，網站管理員只需要經常查看網站首頁的源代碼，就可以檢測出是否存在黑鏈篡改。

• 通過專業工具檢查黑鏈

  可使用“站長工具”的“網站死鏈檢測”功能來檢測該網站固定的鏈接地址，在所有鏈接中當發現可疑鏈接時，對其進行進一步確認，如果是黑鏈則將其刪除。

• 通過查看網站文件的修改時間來檢查黑鏈

  黑客在通過黑鏈篡改某一網站后，其網頁文件的修改時間會發生變化。這樣，網站管理人員可以經常查看網站文件的最后修改時間，如果發現某一文件的修改時間突然發生了變化，則可以懷疑該網站被黑鏈篡改。

• 經常修改網站上傳文件（FTP）的用戶名和密碼

  為了對網站進行遠程管理，一般每一個網站都有一個針對該網站空間的管理賬號，網站建設者和管理員必須管好此賬號的用戶名和密碼。

• 加強網站自身管理

  主要從技術上盡量選擇漏洞少的建站程序，同時在網站建設中盡可能注意其安全性。另外，加強對網站主機（網站服務器）的安全管理，一方面防范因服務器操作系統漏洞而導致網站被黑鏈篡改，另一方面當同一臺服務器上同時發布有多個網站（這種現象很普遍）時，需要加強對其他網站的安全管理，以防利用其他網站的漏洞來間接攻擊本網站。

由于黑鏈篡改的實現方法非常簡單，因此對于網站管理人員來說不需要具備太高深的專業知識就可以檢測出某一網站是否被黑鏈篡改。

Nginx服務器支持負載均衡算法有以下這些：

• 輪詢：Nginx的默認配置策略，每個請求按照時間順序逐一分發到后端的不同服務器。這種策略適合服務器配置資源差不多、無狀態且短平快的服務使用。

• 權重：通過給每臺服務器分配權重，實現不同服務器有不同的分配概率。權重越高，處理的請求越多，此策略適合后端服務器硬件資源差別較大的場景。

• IP哈希：以客戶端請求的IP哈希運算后進行分配，這種模式保障了相同的客戶端請求在同一臺后端服務器處理，保障客戶端請求的會話粘連處理。這種模式適合有狀態處理的業務場景，例如會話信息是本機存儲的接口服務。

• 最少連接：將請求分發到后端連接較少的服務器處理，由于輪詢的方式是只考慮請求次數，沒有考慮每個請求處理的時間，因此如果處理時間較長，連接就會一直保留，依據連接數分發在這種場景下可以達到更好的負載均衡效果。

• Fair策略：這是由nginx-upstream-fair插件提供的功能，按照服務器的響應時間來進行分配，響應時間短的優先分配。

• URL哈希：這是由nginx_upstream_hash插件提供的功能，通過URL哈希運算后進行分配，可以運用在資源下載或者讀取服務中，這樣可以保障同樣的URL請求分發到同一臺服務器，避免多臺服務。

入侵檢測技術可以分為誤用檢測和病毒檢測兩大類，誤用檢測一種基于模式匹配的網絡入侵檢測技術、病毒檢測技術是一種基于病毒的匹配的入侵檢測技術。入侵檢測是指“通過對行為、安全日志或審計數據或其它網絡上可以獲得的信息進行操作，檢測到對系統的闖入或闖入的企圖”。入侵檢測是檢測和響應計算機誤用的學科，其作用包括威懾、檢測、響應、損失情況評估、攻擊預測和起訴支持。

IDS安全檢測系統有以下優點

• 強大的入侵檢測和攻擊處理能力：KIDS采用了獨特的零拷貝技術，可以有效地降低網絡數據包的處理開銷，最大能支持百兆網絡的數據流量。綜合了最新的協議分析和攻擊模式識別技術，在提高檢測性能的同時也大大降低了誤報率。KIDS可重組的最大的IP碎片數目為8192，同時監控的TCP連接數為10000，管理控制臺同時能管理的傳感器的數目也可以是多個（僅受計算機配置的影響）。這些性能最終形成了KIDS強大的入侵檢測和攻擊處理能力。

• 全面的檢測知識庫：KIDS具備國內最為全面的檢測知識庫，包括掃描、嗅探、后門、病毒、惡意代碼、拒絕服務、分布式拒絕服務、可疑行為、非授權訪問、主機異常和欺騙等11 大類的安全事件，目前共有檢測規則1509條，安全報警事件1054條。檢測知識庫可以實現定期的更新和升級，用戶完全不必擔心最新黑客攻擊方法的威脅。

• 強大的響應能力：KIDS一旦發現了攻擊入侵或可疑的行為，便可以采用多種實時的報警方式通知用戶，如屏幕顯示、發聲報警、郵件通知、傳呼通知、手機短消息、WinPop、SNMP Trap或用戶自定義的響應方式等，并將所有的報警信息記錄到日志中。同時KIDS對一些非法的連接也能夠進行及時的阻斷，如中斷TCP會話、偽造ICMP應答、根據黑名單斷開、阻塞HTTP請求、模擬SYN/ACK或通過防火墻阻塞等。

• 方便的報表生成功能：KIDS的報表功能可以為用戶提供全面細致的統計分析信息，它采用不同的統計分類來顯示或輸出報表，如按重要服務器、重點監測組、常用服務、常見攻擊類型和攻擊風險等級等進行統計。而對于每一類報表KIDS又提供了更為詳細的子分類統計，包括今日事件、三日內事件、本周事件、Top 20個事件（威脅最大的事件）、Top 20個攻擊源（攻擊嫌疑網址）和Top 20個被攻擊地址（有安全隱患的主機/服務器）等。最為方便的是用戶完全可以根據自己的喜好或需要定制特殊形式的報表。

• 開放式的插件結構：傳感器采用了插件技術進行分析處理。傳感器的核心引擎從網絡上抓取數據包，并調用相應的處理插件對其進行分析處理，處理插件將獲得的數據包特征與知識庫進行比較。對網絡高層協議的分析和數據的處理是由專門的插件來實現的，不同的應用層協議用不同的插件來處理。新的協議檢測，只需要增加新的處理插件。系統在檢測能力上的增強，只需增加和更新插件即可。KIDS包含包特征檢測、端口掃描檢測、流敏感內容監測器、HTTP檢測、POP3分析器、SMTP分析器等多種插件。

針對文件系統內容的分析主要包括兩種方法：

1.手工分析

采用手工方法挖掘固件文件系統漏洞時，需要對文件系統中的各個文件與文件夾進行分析。分析內容包括查看配置文件、Web目錄、口令文件以及查找后門等。手工分析方法是在指定固件中挖掘漏洞的理想方法。

2.自動化工具和腳本

除了部分自動化分析腳本，尚沒有一套完整的框架或者工具能夠幫助我們挖掘固件漏洞。因此，如果對Web應用安全或者網絡安全比較熟悉，那么應該了解目前在固件安全分析領域也沒有類似于Arachni、w3af、Metasploit之類的工具。