網絡安全等級保護要做以下工作:
定級(企業自主定級-專家評審-主管部門審核-公安機關審核):定級一般按照信息的重要程度由低到高分為5個等級,1級為最低、5級為最高級別。如果定了1級,不需要做等級測評,自助進行保護即可;網絡運營者通過自主+專家評審+主管部門環節定級。
備案(企業提交備案材料-公安機關審核-發放備案證明):網絡運營者需要去運營地區的網安部門辦理備案手續。
測評(等級測評-三級每年測評一次):主要是由公安部授權委托的全國100多家測評機構,對信息系統進行安全測評,測評通過后出具《等級保護測試報告》。
建設整改(安全建設-安全整改)。
監督檢查(公安機關每年監督檢查)。
防火墻修改策略后正常情況立刻生效,有的防火墻修改策略后可能需要重啟后生效,但一般不會修改策略后要過很久才能生效的,除非是管理員設置了計劃任務要求這個策略延遲生效這種情況也有可能發生。
如果是被誤封一般情況24小時就會解封,如果管理員沒有設置這個策略可以聯系管理員進行解封,如果是惡意攻擊被防火墻禁封那這個一般就是永久禁封了,在進行滲透測試過程中如果被封和誤封效果一樣活著聯系管理員給你加入白名單。
常見的熱門系統掃描漏洞有以下這些:
IBM PowerVM Hypervisor 安全漏洞;
swftools 安全漏洞;
Puppet Discovery 安全漏洞;
Sundray WLAN Controller 命令注入漏洞;
Fedora 信任管理問題漏洞;
strong-nginx-controller 注入漏洞;
Phusion Passenger nginx模塊安全漏洞;
ZZCMS SQL注入漏洞;
Python Cryptographic Authority pyopenssl 安全漏洞;
Analogic Poste.io Roundcube組件安全漏洞;
node-openssl 安全漏洞;
RANGER Studio Directus 代碼問題漏洞;
判定是否是垃圾郵件的識別技術有以下這些:
IP黑/白名單技術:將經常發垃圾郵件的IP地址添加到IP黑名單中,以后再從同樣的IP地址發來的信件都被判定為垃圾郵件。如果IP地址被加入到白名單中,則認為從那里來的任何郵件都不是垃圾郵件。這種技術的優點是容易實現,缺點是容易把正常郵件當成垃圾郵件過濾掉。
統計分析技術:分析大量的已正確識別的垃圾和非垃圾郵件,然后產生一個概率數據庫,它包括所有的單詞以及每個單詞出現在垃圾郵件中的概率值。例如,單詞“優惠”有99%的可能出現在垃圾郵件中。用概率數據庫,一個郵件的概率很容易被計算出,從而能識別出郵件的合法性。
反向查詢技術:垃圾郵件一般都是使用的偽造的發送者地址,極少數的垃圾郵件才會用真實地址。為了限制偽造發送者地址,一些系統要求驗證發送者郵件地址。
密碼技術:采用密碼技術來驗證郵件發送者的合法性,它通過證書方式來提供證明。沒有適當的證書,偽造的郵件就很容易被識別出來。
蜜罐技術:蜜罐會將網絡上分布很多的郵箱地址采集到自己的數據庫中,同時也會將常見的垃圾郵件放到自己的數據庫,針對之后受到的郵件和自己數據庫中的信息進行匹配,從而有效判定是否是垃圾郵件。
減少垃圾郵件的措施有以下這些:
不要回復陌生電子郵件或者垃圾郵件,及時告知回復郵件退訂,也絕對不要回復垃圾郵件;
不要陌生鏈接,某些垃圾郵件發送者會通過鏈接自動收集點擊者的信息;
由于網絡上收集電子郵件地址通常是用軟件進行,而目前的電子郵箱表示法中都會包含“@”這個符號,所以將電郵地址修改為其他的字符組合,比如增加字符長度、更換@字符等,避免被抓取到;
不要登陸并注冊那些許諾在垃圾郵件列表中刪除你名字的站點;
保管好自己的郵件地址,不要把它告訴給你不信任的人;
不訂閱不健康的電子雜志,以防止被垃圾郵件收集者收集;
謹慎使用郵箱的“自動回復”功能。為了體現互聯網高效、快捷的特點,很多網站和郵件收發工具中都設置了“自動回復”功能,這雖然方便,但如果回復的是垃圾郵件,那收到的垃圾郵件會更多;
不要在公共網絡登錄自己的郵箱;
用專門的郵箱進行正式通信,用不涉及私事的其他郵箱訂閱電子雜志。
可編程序控制器定名為Programmable Logic Controller(PLC),PLC具有以下其他控制器沒有的特點:
通用性強,方便使用:PLC產品已系列化和模塊化,PLC的開發制造商為用戶提供了品種齊全的I/O模塊和配套部件。用戶在進行控制系統設計時,不需要自己設計和制作硬件裝置,只需要根據控制要求進行模塊的配置。用戶所做的工作只是設計滿足控制對象控制要求的應用程序。對于一個控制系統,當控制要求改變時,只需要修改程序就能變更控制功能。
采用模塊化結構,系統組合靈活方便:為了適應各種工業控制,需要除了單元式的小型PLC以外的絕大多數PLC均采用模塊化結構。PLC的各個部件包括CPU、電源、I/O等均采用模塊化設計,由機架及電纜將各模塊連接起來,系統的規模和功能可根據用戶的需要自行組合。
編程語言簡單易學,便于掌控:PLC是由繼電器、接觸器控制系統發展而來的一種新型的工業自動化控制裝置,其主要的使用對象是廣大的電氣技術人員。為了使工程技術人員方便學習和掌握PLC的編程,PLC的開發制造商采取了與繼電器、接觸器控制原理相似的梯形圖語言。
系統設計周期短:系統硬件的設計任務僅僅是根據對象的控制要求配置適當的模塊,而不是去設計具體的接口電路,這樣大大縮短了整個設計所花費的時間,加快了整個工程的進度。
高可靠性:所有的I/O接口電路均采用光電隔離,使工業現場的外電路與PLC內部電路之間電氣上隔離。大型PLC還可以采用由雙CPU構成冗余系統或由三CPU構成表決系統,使可靠性更進一步提高。
對生產工藝改變適應性強:PLC的核心部件是微處理器,它實際上是一種工業控制計算機,其控制功能是通過軟件編程來實現的。當生產工藝發生變化時,不必改變PLC硬件設備,只需改變PLC中的程序,這對現代化的小批量、多品種的生產尤其適合。
安裝簡單,調試方便,維護工作量小:PLC控制系統的安裝接線工作量比繼電器、接觸器控制系統少得多,只需將現場的各種設備與PLC相應的I/O端相連。PLC軟件設計和調試大多可在實驗室進行,用模擬實驗開關代替輸入信號,其輸出狀態可以觀察PLC上相應的發光二極管,也可以另接模擬實驗板。模擬調試好后,再將PLC控制系統安裝到現場,進行聯機調試,這樣既節省時間又很方便。PLC本身的可靠性高,又有完善的自診斷功能,一旦發生故障,可以根據報警信息,迅速查明原因。如果是PLC本身發生故障,則可用更換模塊的方法排除故障。這樣提高了維護的工作效率,以保證生產的正常進行。
I/O接口模塊豐富:PLC針對不同的工業現場信號(如交流或直流、開關量或模擬量、電壓或電流、脈沖或電位和強電或弱電等)有相應的I/O模塊與工業現場的器件或設備(如按鈕、行程開關、接近開關、傳感器及變送器、電磁線圈和控制閥)直接連接。另外為了提高操作性能,它還有多種人機對話的接口模塊;為了組成工業局部網絡,它還有多種通信聯網的接口模塊,等等。
被動DNS監控是一種方法,通過該方法,流量監控站檢查DNS查詢和響應的內容,然后以標準化格式將該信息記錄到文本文件或其他長期存儲機制中。記錄的數據點因使用的軟件而異。簡而言之,被動DNS就是一個存儲有公共DNS通信中涉及到的所有域名、服務器和IP地址相關的所有歷史記錄的安全數據庫,將實時DNS結果轉化為被動DNS數據,以供分析使用。若沒有被動DNS的引入,一旦DNS記錄發生變更,經過一段很短時間的傳播,原有DNS記錄將在網絡上消失的無影無蹤。
發明被動DNS技術的初衷,是為了防止網絡攻擊,事實上,它的確在這方面起到了突出的作用。除此之外,它還被用在其他的應用場景中,例如:
檢測網站釣魚域名;
阻斷垃圾郵件干擾;
識別惡意域名;
提供威脅情報;
檢測域名劫持;
品牌保護;
域名DNS歷史記錄查詢;
查詢主域名下的所有子域名;
常見的DDoS的攻擊辦法有如下幾種:
ICMP洪水攻擊
ICMP是Internet Control Message Protocol(網絡控制消息協議)的縮寫,是TCP/IP協議簇的一個子協議,主要用于在IP主機、路由器之間傳遞控制消息,進行診斷或控制,以及響應IP操作中的錯誤。
ICMP Flood 是指攻擊者通過受控主機(僵尸網絡)向目標發送大量的ICMP請求,以消耗目標的帶寬資源。
UDP洪水攻擊
UDP Flood是目前主要的DDoS攻擊手段,攻擊者通過受控主機向目標發送大量的UDP請求,以達到拒絕服務器的目的。通常,攻擊者會使用小包和大包的攻擊方法。小包是指以太網傳輸數據值最小數據包,即64字節的數據包。在相同流量中,數據包越小,使用數量也就越多。同時,由于網絡設備需要對數據包進行檢查,因此使用小包可增加網絡設備處理數據包的壓力,容易產生處理緩慢、傳輸延遲等拒絕服務效果。大包是指大小超過了以太網最大傳輸單元(MTU)的數據包,即1500字節以上的數據包。使用大包攻擊能夠嚴重消耗網絡帶寬資源。在接收到大包后需要進行分片和重組,因此會消耗設備性能,造成網絡擁堵。
反射與放大攻擊
反射攻擊的原理是:攻擊者并不直接攻擊目標,而是利用互聯網的某些特殊服務開放的服務器、路由器等設備(稱為反射器),發送偽造請求。通過反射器對請求產生應答,反射攻擊流量,同時達到隱藏攻擊源的目的。由于攻擊中涉及眾多反射器的攻擊形式,因此也稱為分布式反射拒絕服務攻擊(Distributed ReflectionDenial of Service,DRDoS)。
在進行反射攻擊時,攻擊者通過控制受控主機,發送大量目標IP指向作為反射器的服務器、路由器的數據包,同時將源IP地址偽造成攻擊目標的IP地址。反射器在收到偽造的數據包時,會認為是攻擊目標發送的請求,并發送響應的數據包給攻擊目標。此時會有大量的響應數據包反饋給攻擊目標,造成攻擊目標帶寬資源耗盡,從而產生拒絕服務。
發動反射攻擊需要將請求數據包的源IP偽造成攻擊目標的IP地址,這就需要使用無認證或者握手過程的協議。由于UDP協議面向無連接性的協議,與TCP相比,其需要更少的錯誤檢查和驗證,因此,大部分的反射攻擊都是基于UDP協議的網絡服務進行的。
放大攻擊的原理是:利用請求和響應的不平衡性,以及響應包比請求包大的特點(放大流量),偽造請求包的源IP地址,將響應包引向攻擊目標。
結合反射攻擊原理,如果反射器能夠對網絡流量進行放大,那么也可稱這種反射器為放大器。放大攻擊的方法與反射攻擊基本一致,但是造成的威脅是巨大的。
放大攻擊的規模和嚴重程度取決于放大器的網絡服務部署的廣泛性。如果某些網絡服務不需要驗證并且效果比較好,那么在互聯網上部署的數量就會比較多,利用該服務進行攻擊就能達到明顯消耗帶寬的效果。
消耗系統資源
消耗系統資源攻擊主要通過對系統維護的連接資源進行消耗,使其無法正常連接,以達到拒絕服務器的目的。此類攻擊主要是因TCP安全性設計缺陷而引起的。
HTTP Flood(CC攻擊)
攻擊者利用受控主機對目標發起大量的HTTP請求,要求Web服務器進行處理,超量的請求會占用服務器資源,一旦目標請求飽和,并且無法響應正常流量,就會造成了拒絕服務攻擊。
慢速攻擊
慢速攻擊依賴于慢速流量,主要針對應用程序或服務器資源。與傳統的攻擊不同,慢速攻擊所需的帶寬非常少,且難以緩解,因為其生成的流量很難與正常流量區分開。由于攻擊者不需要很多資源即可啟動,因此可以使用單臺計算機成功發起慢速攻擊。
慢速攻擊以Web服務器為目標,旨在通過慢速請求捆綁每個線程,從而防止真正的用戶訪問該服務。這個過程通過非常緩慢地傳輸數據來完成,但同時又可防止服務器超時。
傳統防火墻主要包括以下功能:
通過制訂訪問控制策略,對出入防火墻的信息流進行控制,以確保受保護網絡的安全。
可以精確制訂每個用戶的訪問權限,控制受保護網絡用戶的訪問。
通過集中的安全策略管理,使每個網段上的主機不必再單獨設立安全策略,降低了人為因素導致產生網絡安全問題的可能性。
認證功能,以防止非法入侵。
網絡地址轉換功能,隱藏內部網絡拓撲。
虛擬專用網功能,跨越不安全公網來建立安全數據通道。
日志和審計功能,對內、外網訪問進行詳細記錄并進行審計。
計算機操作系統通常具有5大功能如下所述:
處理器管理:處理器管理最基本的功能是處理中斷事件。處理器只能發現中斷事件并產生中斷而不能進行處理。配置了操作系統后,就可以對各種事件進行處理。處理器管理的另一個功能是處理器調度。處理器可能是一個也可能是多個,不同類型的操作系統將針對不同情況采取不同的調度策略。
存儲器管理:主要是針對內存儲器的管理。主要任務是分配內存空間,保證各作業占用的存儲空間不發生矛盾,并使各作業在自己所屬存儲區中不互相干擾。
設備管理:是指負責管理各類外圍設備的簡稱。主要任務是當用戶使用外部設備時,必須提出要求,待操作系統進行統一分配后方可使用。當用戶的程序運行到要使用某外設時,由操作系統負責驅動外設。操作系統還具有處理外設中斷請求的能力。
文件管理:是指操作系統對信息資源的管理。在操作系統中,將負責存取的管理信息的部分稱為文件系統。文件是在邏輯是具有完整意義的一組相關信息的有序集合,每個文件都有一個文件名/文件孤雁了支持的文件儲存、檢索和修改等操作以及文件的保護功能,操作系統一般都提供功能較強的文件系統,有的還提供數據庫系統來實現信息的管理工作。
作業管理:每個用戶請求計算機系統完成的一個獨立的操作成為作業。作業管理包括作業的輸入和輸出,作業的調度與控制根據用戶的需要控制作業運行的步驟。
可信計算技術有以下相關技術概念:
簽注密鑰:簽注密鑰是一個2048位的RSA公共和私有密鑰對,它在芯片出廠時隨機生成并且不能改變。這個私有密鑰永遠在芯片里,而公共密鑰用來認證及加密發送到該芯片的敏感數據。
安全輸入輸出:安全輸入輸出是指計算機用戶和他們認為與之交互的軟件間受保護的路徑。當前,計算機系統上的惡意軟件可通過許多方式來攔截用戶和軟件進程間傳送的數據,如鍵盤監聽和截屏。
存儲器屏蔽:存儲器屏蔽拓展了一般的存儲保護技術,提供了完全獨立的存儲區域,如密鑰的存放。即使操作系統自身也沒有密鑰存儲的完全訪問權限,所以入侵者即便控制了操作系統,信息也是相對安全的。
密封存儲:密封存儲通過把私有信息和使用的軟硬件平臺配置信息捆綁在一起來保護私有信息,意味著該數據只能在相同的軟硬件組合環境下讀取。例如,某個用戶在他們的計算機上保存一首歌曲,而他們的計算機沒有播放這首歌的許可證,他們就不能播放這首歌。
遠程認證:遠程認證準許用戶計算機上的修改被授權方感知。例如,軟件公司可以避免用戶干擾他們的軟件以規避技術保護措施。通過硬件生成當前軟件的證書,隨后計算機將這個唯一證書傳送給遠程被授權方來顯示該軟件公司的軟件的狀態信息,如尚未被干擾(嘗試破解)。
對某種類型的SQL語句進行審計。如果用戶test執行了與表有關的命令(例如create table、drop table、truncate table等),命令只要成功,就會審計。
表示對用戶以某個系統權限執行的命令進行審計,用戶執行一些命令的時候,需要用到一些系統權限,如果這個系統權限被審計,那么就會產生一條審計記錄。
對某個特定的對象的訪問進行審計,我們通常會對一些比較敏感的表進行審計。例如test用戶下面的表(EMP)進行審計。
保密資格認證國家對武器裝備科研生產單位的保密基本條件的評價和認可,是國家批準的一項涉密行政審批工作,是企事業單位承擔涉密武器裝備科研生產任務的必要條件。企業申請保密資質的基本條件:
在中華人民共和國內依法成立 3 年以上的法人,無違法犯罪記錄;
承擔或擬承擔武器裝備科研生產的項目、產品涉及國家秘密;
無境外(含港澳臺)控股或直接投資,且通過間接方式投資的外方投資者及其一致行動人的出資比例最終不得超過 20%;
法人代表、主要負責人、實際控股人、董(監事)會人員、高級管理人員以及承擔或者擬承擔涉密武器裝備科研生產任務的人員,具有中華人民共和國國籍,無境外永久居留權或者長期居留許可,與境外(含港澳臺)人員無婚姻關系;
有固定的科研生產和辦公場所,具有承擔涉密武器裝備科研生產任務的能力;
保密制度完善,有專門的機構或者人員負責保密工作,場所、設施、設備防護符合國家保密規定和標注;
1 年內未發生泄密事件;
法律、行政法規國家保密行政管理部門規定的其他條件。
上市公司申請保密資格的,除以上八條以外,還應該具備以下條件:
近三年內未受到證券監管機構的行政處罰
內部控制和信息披露制度完善;
實際控制人承諾在申請期間及保密資格有效期內保持控股地位不變。
防火墻日常巡檢內容有以下這些:
防火墻是否有專門的配制管理終端;
是否不定時修改防火墻超級管理員的默認口令;
是否開放了不必要的端口;
是否劃分了不同級別的用戶,賦予不同的權限;
管理員口令是否具備嚴格的保管措施;
是否具備兩個以上的用戶身份;
防火墻在網絡拓撲圖中是否有明顯的標識;
防火墻是否明確以何種方式接入網絡;
防火墻是否具有詳細的訪問控制列表;
防火墻是否標注了源地址和目標地址;
防火墻是否標注了允許和拒絕的動作;
防火墻訪問控制策略中是否出現重復或沖突;
防火墻接口IP是否有明確標注;
是否對不安全的遠程登錄進行控制;
防火墻是否標注了NAT地址轉換和MAP;
是否將防火墻配置及時保存并導出;
是否每天有專人查看和分析防火墻日志,并對高危事件進行記錄;
是否具有完備的日志導出和報表功能;
是否具有專門的防火墻檢測報告;
防火墻是否具備雙機熱備功能;
是否具備防火墻應急恢復方案;
是否對防火墻的CPU、內存和硬盤使用情況進行監測;
是否具有防火墻應用情況報告;
是否具有防火墻安全管理狀況報告;
是否具有防火墻系統運行監測報告;
售后服務和技術支持手段是否完備。
網絡安全信息審計內容包括下這些:
組織層面信息技術控制審計的內容包括:控制環境、風險評估、控制活動、信息與溝通、內部監督;
對信息系統一般性控制的審計包括:系統開發和采購審計、系統運行審計、系統變更審計、信息安全審計;
對信息系統應用控制的審計包括:授權與批準、系統配置控制、異常情況報告和差錯報告、接口/轉換控制、一致性核對、職責分離、系統計算、其他。
