網絡攻擊面管理技術有以下這些因素：

• 對外開放的IP、端口、服務：這是大家都很重視的攻擊面，因為其最容易被攻擊者利用，所以安全人員也比較重視。

• 對內開放的IP、端口、服務：是比較容易忽略的環節，曾經很多人認為在內網就不存在安全問題了，但近年來高級持續性威脅（Advanced PersistentThreat，APT）的概念被不斷炒熱，大家對內網的控制也越來越嚴。由于曾經開放度太高，收緊策略的執行還是很復雜的。需要注意的是，對于打印機、攝像頭或類似IoT的設備是最容易被忽略的。

• 域名：與上述資產一樣有內部與外部之分，內部域名同樣需要提高重視。但對域名資產的管理是一個比較麻煩的問題，下文將展開探討。

• 應用程序接口：雖然API不像IP和域名那樣很容易被人發現，但許多重大數據泄露問題，其幕后原因都在于API遭到破壞、泄露或攻擊。近年來一些企業將API也納入資產管理的范圍中，這是非常明智的做法。

• 數據：嚴格意義來說，數據屬于資產，并不能算攻擊面，但近年來數據對企業和個人來說越來越重要，所以也成了吸引黑客的重要因素。我們在分析攻擊面的時候需要從數據的層面再次思考攻擊面的收斂問題。

• Wi-Fi：如果公司沒有Wi-Fi，估計很多人會崩潰。幾乎所有企業都有無線網絡的部署，這成了黑客入侵的一個重要渠道。

• 物理環境：安全管理工作一般提到物理環境，都是指機房的管控，以及兩地三中心這種高可用設計。除此以外辦公區域、公司的大堂或者門外的公共區域都是我們需要關注的攻擊面。

• 人：網絡安全本質上還是人與人的博弈，我們在保護信息系統的同時，也要考慮到對人的保護，這包括了員工、與企業有合作的相關方人員，甚至包括企業產品的用戶。

• 第三方協作：如果我們的網頁上嵌入了第三方的JS（JavaScript），頁面的展示效果就不完全由我們自己做主；如果我們的系統部署在公有云上，系統服務的連續性就不由我們完全控制。所以，與第三方協作開發的軟件和放到第三方平臺上的業務系統都是容易忽略的攻擊面暴露的部分。

針對無服務器的云原生安全的防護措施有以下這些：

• 憑證保護：不要將AccessKey嵌入代碼中，嵌入代碼中的憑證容易被人忽視，經驗豐富的開發者會將其寫入數據庫或者獨立的文件中，使得其管理起來更方便。

• 異常調用保護：核心流程制定好API調用順序，檢測是否順序調用，如果不是則為異常調用，異常的可以不返回任何數據，以節省開支或迷惑攻擊者。

• 對IP調用次數和來源地限制：很多攻擊者會使用國外IP進行攻擊，若無海外客戶，其實直接屏蔽海外IP可以規避一些問題。短時間 高頻次訪問 也為異常訪問

• 低負載：靈活使用云服務商產品，比如在騰訊云的云函數，我們的監測可以通過cls來進行，這就不需要額外浪費自己的資源且降低系統的性能壓力，不常用的函數限制其并發額。

• 環境變量替代配置文件：我們應該將各項配置放在專門的配置文件，提供集中的、不斷優化的安全防護，絕對不能偷懶放在環境變量。

軟件安全開發周期需要遵循以下這些原則：

• 攻擊面最小化原則：攻擊面是指程序任何能被用戶或者其它程序所訪問到的部分，這些暴露給用戶的地方往往也是最可能被惡意攻擊者攻擊的地方。攻擊面最小化即是指盡量減少暴露惡意用戶可能發現并試圖利用的攻擊面數量。軟件產品的受攻擊面是一個混合體，不僅包括代碼、接口、服務，也包括對所有用戶提供服務的協議。尤其是那些未被驗證或者遠程的用戶都可以訪問到的協議，安全人員在攻擊面最小化時首先要對攻擊面進行分析，攻擊面分析就是枚舉所有訪問入庫、接口、協議一劑可執行代碼的過程。

• 基本隱私原則：用戶使用軟件時無可避免個人信息被收集、使用甚至分發，企業則有責任和義務建立保護個人信息的保護措施，抵御敵對攻擊行為，確保用戶基本隱私的安全性。隱私安全是建立可信任應用程序的關鍵因素。對于特殊的軟件或者全球性的產品，設計人員需要明確軟件的行為及針對人群。尤其要考慮當地國家的法律法規，如美國兒童網路隱私保護法COPPA等，企業在開發產品、服務時有必要制定明確的隱私準則，對獲取、記錄用戶隱私的相關產品需有明確的要求和指導建議。

• 權限最小化原則：在進行軟件設計時，安全設計人員可以評估應用程序的行為及功能所需的最低限度權限及訪問級別，從而合理分配相應的權限。如果程序特定情況必須要較高級別的權限，也可以考慮特權賦予及釋放的機制。即便程序遭到攻擊，也可以將損失降到最低。

• 默認安全原則：默認安全配置在客戶熟悉安全配置選項之前不僅有利于更好的幫助客戶掌握安全配置經驗，同時也可以確保應用程序初始狀態下處于較安全狀態。而客戶可根據實際使用情況而決定應用程序安全與隱私的等級水平是否降低。

• 縱深防御原則：與默認安全一樣，縱深防御也是設計安全方案時的重要指導思想。縱深防御包含兩層含義首先，要在各個不同層面、不同方面實施安全方案，避免出現疏漏，不同安全方案之間需要相互配合，構成一個整體，其次，要在正確的地方做正確的事情，即在解決根本問題的地方實施針對性的安全方案。縱深防御并不是同一個安全方案要做兩遍或多遍，而是要從不同的層面、不同的角度對系統做出整體的解決方案。

• 威脅建模原則：威脅建模是一種分析應用程序威脅的過程和方法。這里的威脅是指惡意用戶可能會試圖利用以破壞系統，和我們常說的漏洞并不相同。漏洞是一個特定的可以被利用的威脅，如緩沖區溢出、sql注入等。作為SDL設計階段的一部分安全活動，威脅建模允許安全設計人員盡在的識別潛在的安全問題并實施相應緩解措施。在設計階段把潛在的威脅發現有助于威脅的全面和更有效的解決，同時也有助于降低開發和后期維護的成本。

基于密碼算法的光盤加密技術如下：

• 數據干擾系統：該技術的主要工作思路就是將全球光盤設置為6個區域,并對每個區域進行不同的技術加密，只有具備該區域解碼器的光驅才能正確處理光盤中的數據。使用該技術加密時，首先需要將所有存入光盤的信息經過編碼程序來處理一下，要訪問這些經過編碼的數據，必須先對這些數據進行解碼。

• 模擬信號保護系統：該技術的主要作用是防止從光盤到光盤的復制。APS 加密技術主要是通過一顆Macrovision7的芯片，利用特殊信號影響光盤的復制功能，使光盤圖像產生橫紋、對比度不均勻等。使用計算機訪問光盤，如果想通過顯示卡輸出到電視機，那么顯示卡必須支持模擬加密功能否則將無法得到正確信息，我們也無法在電視上欣賞到優質的畫面。

• 光盤狗技術：光盤狗技術不在母盤制造上動手腳，可以自由選擇光盤廠來壓制光盤。該加密技術能通過識別光盤上的特征來區分是原版盤還是盜版盤，該特征是在光盤壓制生產時自然產生的，即由同一張母盤壓出的光盤特征相同，而不同的母盤壓制出的光盤即便盤上內容完全一樣，盤上的特征也不一樣。也就是說，這種特征是在盜版者翻制光盤過程中無法提取和復制的。光盤狗是專門加密光盤軟件的優秀方案，并且通過了中國軟件評測中心的加密性能和兼容性的測試。

• 外殼加密技術：所謂“外殼”，是指給可執行文件加上一個外殼。用戶執行的實際上是這個外殼的程序，而這個外殼程序負責把用戶原來的程序在內存中解開壓縮，并把控制權交還給解開后真正的程序。由于一切工作都是在內存中運行，用戶根本不知道也不需要知道其運行過程，并且對執行速度沒有什么影響。如果在外殼程序中加入對軟件鎖或鑰匙盤的驗證部分，它就是我們所說的外殼加密了。其實外殼加密的作用還不止于此，在互聯網上有很多程序是專門為加密而設計的，它對程序進行壓縮或根本不壓縮，它的主要特點在于反跟蹤加密代碼和數據，保護程序數據的完整性。

• 內容拷貝管理系統：該技術是通過生成管理系統對數字拷貝進行控制，通過存儲于每一光盤上的有關信息實現。生成管理系統既可以阻止母盤軟件進行拷貝，也可以阻止對其子版軟件進行再拷貝。而就在被允許正常拷貝的情況下，制作拷貝的設備也必須遵守有關規則。數字拷貝信息可以經編碼后送入視頻信號，這樣做的目的在于使數字錄音機能很方便的予以識別。

• 數字拷貝保護系統：該技術是讓各部件之間進行數字連接，但不允許進行數字拷貝。有了該項加密技術，以數字方式連接的設備就可以交換鑒證密鑰，從而建立安全的數據通道。DVD播放機對已編碼的音頻或視頻信號加密，然后發送給接收設備，由接收設備進行解密。這就防止了那些未簽名的已連接設備竊取信號。無須拷貝保護的內容則不進行加密。新內容和含有更新的密鑰和列表的新設備也可獲得安全特性。

• 預錄媒介內容保護：該技術取代了 CSS加密技術，一般用于 DVDAudio。通過在盤片的導入區放置密鑰來對光盤進行加密，但在扇區頭中沒有章節密鑰，盤片密鑰由“AlbumIdentifier”取代。該技術的鑒定方案與CSS相同，因此現有設備無須作任何改動。

• 錄制媒介內容保護：該加密技術設置一個64位盤片ID在每張空白可刻錄光盤的BCA上，當受保護的內容被刻錄到盤片上時，它可由盤片ID得到的密碼進行加密。需要訪問光盤信息時，則從BCA 中讀取盤片ID，然后生成盤片內容解密所需要的密鑰。如果盤片內容被復制到其他媒介，那么盤片ID將會丟失或出錯，數據將無法解密。

一個相對完善的實戰化態勢感知平臺應該具備以下能力：

• 實戰化態勢感知平臺能夠全面接入各種安全相關的數據，并適配政企用戶實際情況的安全情報進行自動化的數據分析和處理，以形成各種數據庫。

• 在實際安全運行中，安全分析人員利用標準的數據接口通過圖形化的交互式分析提高安全分析效率。

• 所有的安全運行工作依靠平臺的支撐能力實現全閉環式運行。

• 跨部門、跨業務領域的安全處置工作依照既定的預案進行協同。

• 政企用戶所有的安全態勢能夠統一視圖實時展現。

• 利用自動化響應能力提高安全事件的處置效率。

• 利用專門的情報運營提高告警的準確率，做到精準定位、快速處置。

云掃描就是利用云技術，進行木馬，病毒掃描。云掃描是一種較為良好和科學的安全掃描方式。云掃描是利用各個廠家提供的最新版本的病毒檢測引擎，對上傳的可疑文件、新出現的病毒進行聯合在線掃描，并返回掃描結果。云掃描其實是掃描器的一種云端形式，它主要通過 SaaS化的方式提供掃描服務，可以用于大規模掃描，具有良好的彈性和擴展性。從本質上來，說它是掃描器與云端技術結合的產物。

提高云服務器的安全性的措施有以下這些：

• 建立完整可見性：企業要想實現有序地發展，需要獲取和部署可與遺留系統集成在一起的新工具，并與不同供應商和合作伙伴建立新關系。在本地服務器和多個外部云服務之間傳輸數據的混合云環境并不少見，但是日益增加的復雜性卻使得企業難以通觀全局。

• 加密：不管用戶如何監視他們的系統，如果不對數據進行加密，他們注定有一個安全漏洞。加密指的是以某種特殊的算法改變原有的信息數據，在通過網絡、互聯網、移動和無線設備傳輸、存儲、處理的過程中，防止它被其他人窺探。它通常將明文數據轉換成密文，使得未經授權的人無法對其放問。此外，還有各種可用的加密方法。

• 監控：監控是最終用戶的責任，因此，用戶應該保持從事他們系統的積極性。此外，還有各種各樣的監控選項，每個都有不同的工具及重點。在為系統選擇一個監控方案時，用戶應該確定他們的解決方案具備包容性，即軟件評估，安全監控配置，服務器賬號admin，認證等。

• 定期測試：將數據遷移到云端并不會隨之將責任也轉移給云服務提供商，這與目前流行的觀點不同。如果發生數據丟失，企業仍要承擔監管處罰、公信力損失以及所有其他相關后果。這就是為什么企業必須對合作伙伴進行盡職調查并確保他們完全理解合規對企業的意義。

• 安全清單：從錯誤中學習非常有用，但這不是最好的選擇，尤其是在真實的云平臺上。用戶可能會通過云來存儲、傳輸、接受大量的個人信息。這就意味著，哪怕是一丁點的安全漏洞，也可能發生災難性的后果。安全事故可能由無知、缺乏經驗、不稱職等因素引起，雖然知識庫及熟悉工作能減少無知，監控的補救措施能抵消經驗的不足。那么，如何能抵降低這些因素呢？答案是安全清單，把常見的任務、經驗、事故給羅列出來。作為用戶，在努力克服新問題的同時，他們可能會忘記現有的監控。核對安全清單能有效幫助用戶保護他們的系統。列出所有必要的步驟、冗余、程序日志等，用戶根據清單會更容易維護系統的安全。

滲透測試中信息收集的內容包括以下這些：

• whois信息：whois是用來查詢域名的IP以及所有者等信息的傳輸協議。簡單說，whois就是一個用來查詢域名是否已經被注冊，以及注冊域名的詳細信息的數據庫（如域名所有人、域名注冊商）。通過whois來實現對域名信息的查詢。

• 系統資產：收集二級域名和HTTP證書信息，二級域名一般是指域名注冊人選擇使用的網上名稱，https證書可以保護一個域名及其名下的所有下一級域名，所以我們可以通過https證書，查出同證書下的所以網站。

• 子域名收集：子域名收集是滲透測試中，前期信息收集必不可少的一個階段。域名是一個站點的入口，如果一個站點難以滲透，可以嘗試從它的子域名或者同一臺服務器上的另外一個站點作為突破口，從而進行較為隱秘的滲透測試。

• DNS解析記錄：一般在信息收集時通常只能獲得目標的域名，如果對方沒有部署CDN的情況下，可以通過訪問DNS解析獲取目標真實IP。沒有CDN的情況下域名解析出的ip就是真實IP。

基于主機的入侵檢測系統的優點如下：

• 能夠檢測那些來自網絡的攻擊和超過授權的非法訪問。

• 不需要改變服務器等主機的配置，也不會影響主機性能。由于這種檢測技術不會在業務系統的主機中安裝額外的軟件，從而不會影響這些機器的 CPU、I/O 與磁盤等資源的使用，不會影響業務系統的性能。

• 風險低。由于網絡入侵檢測系統不像路由器、防火墻等關鍵設備那樣會成為系統中的一個關鍵路徑，所以網絡入侵檢測系統發生故障時不會影響正常業務的運行。

• 配置簡單。網絡入侵檢測系統近年來有向專門設備發展的趨勢，安裝這樣的一個網絡入侵檢測系統非常方便，只需將定制的設備接上電源，做很少一些配置，將其連到網絡上即可。

常用的防范木馬程序的措施有以下這些：

• 及時修補漏洞，安裝補丁可以保持軟件處于最新狀態，同時也修復了最新發現的漏洞。通過漏洞修復，最大限度地降低了利用系統漏洞植入木馬的可能性。

• 選用實時監控程序、各種反病毒軟件，在運行下載的軟件之前進行檢查，防止可能發生的攻擊；使用木馬程序清除軟件，刪除系統中存在的感染程序；為系統安裝防火墻，增加黑客攻擊的難度。

• 培養風險意識，不使用來歷不明的軟件。互聯網中有大量的免費、共享軟件供用戶下載使用，很多個人網站為了增加防問量也提供一些趣味游戲供瀏覽者下載。而這些下載的軟件很可能就是一個木馬程序，對于這些來歷不明的軟件最好不要使用，即使通過了一般反病毒軟件的檢查也不要輕易運行。

• 加強郵件監控管理，拒收垃圾郵件。不輕易打開陌生郵件，對帶有附件的郵件，最好用查殺病毒或是木馬軟件進行查殺，然后再打開。

• 即時發現，即時清除。在使用計算機的過程中，注意及時檢查系統，發現異常情況時，如突然發現藍屏后死機，鼠標左右鍵功能顛倒或者失靈，文件被莫名其妙地刪除等，要立即查殺木馬。

與其它類型的生物識別比較人臉識別具有如下特點：

• 非強制性：用戶不需要專門配合人臉采集設備，幾乎可以在無意識的狀態下就可獲取人臉圖像，這樣的取樣方式沒有“強制性”；

• 非接觸性：用戶不需要和設備直接接觸就能獲取人臉圖像；

• 并發性：在實際應用場景下可以進行多個人臉的分揀、判斷及識別；

除此之外，還符合視覺特性：“以貌識人”的特性，以及操作簡單、結果直觀、隱蔽性好等特點。

可以通過以下方式去做蜜罐識別：

• BOF的識別；BOF（Back Officer Friendly）

• 假代理技術，關注Honeypot Hunter軟件；

• Honeyd的識別；

• 利用Sebek識別蜜網，第二、三代蜜網都有這個軟件；

• Tarpits的識別；

• 外聯數據控制識別，一般蜜罐會嚴格限制系統向外的流量；

• 識別VMware虛擬機，重點關注MAC地址的范圍

• 用Nmap等Scan工具，同一個機器同時開放很多Port的。

• 因為很多蜜罐都設置在相同或臨近的網段。所以，同一個網段（e.g. ／24），很多機器都開放相同的Port，回應相似的Response。

• 去Shodan／Censys查

以下這些軟件工具都可以針對web端進行漏洞掃描：

• Nikto：是一個開源的Web服務器掃描程序，它可以對Web服務器的多種項目(包括3500個潛在的危險文件/CGI，以及超過900個服務器版本，還有250多個服務器上的版本特定問題)進行全面的測試。其掃描項目和插件經常更新并且可以自動更新(如果需要的話)。

• Paros：這是一個對Web應用程序的漏洞進行評估的代理程序，即一個基于Java的web代理程序，可以評估Web應用程序的漏洞。

• WebScarab：這是一款強大的Web應用程序掃描程序。SPI Dynamics的這款應用程序安全評估工具有助于確認Web應用中已知的和未知的漏洞。它還可以檢查一個Web服務器是否正確配置，并會嘗試一些常見的Web攻擊，如參數注入、跨站腳本、目錄遍歷攻擊(directory traversal)等等。

• AWVS：AWVS （ Acunetix Web Wulnerability Scanner）是一個自動化的Web 應用程序安全測試工具，它可以掃描任何可通過Web 瀏覽器訪問的和遵循 HTTP/HTTPS 規則的 Web站點和 Web應用程序、國內普遍簡稱WVS。

誤用入侵檢測指根據已知的攻擊特征檢測入侵，可以直接檢測出入侵行為，誤用檢測方法的有點是誤報率低，可以發現已知的攻擊行為。但是，這種方法檢測的效果取決于檢測知識庫的完備性，為此，特征庫必須及時更新。此外，這種方法無法發現未知的入侵行為。

誤用入侵檢測系統中常用的檢測方法有：

• 模式匹配法

是常常被用于入侵檢測技術中。它是通過把收集到的信息與網絡入侵和系統誤用模式數據庫中的已知信息進行比較，從而對違背安全策略的行為進行發現。模式匹配法可以顯著地減少系統負擔，有較高的檢測率和準確率。

• 專家系統法

這個方法的思想是把安全專家的知識表示成規則知識庫，再用推理算法檢測入侵。主要是針對有特征的入侵行為。

• 基于狀態轉移分析的檢測法

該方法的基本思想是將攻擊看成一個連續的、分步驟的并且各個步驟之間有一定的關聯的過程。在網絡中發生入侵時及時阻斷入侵行為，防止可能還會進一步發生的類似攻擊行為。在狀態轉移分析方法中，一個滲透過程可以看作是由攻擊者做出的一系列的行為而導致系統從某個初始狀態變為最終某個被危害的狀態。

解決桌面云計算框架安全風險的辦法有以下這些：

• 安全桌面虛擬化軟件：采用專用協議實現遠程接人終端與數據中心云計算服務器上虛擬機桌面之間的安全連接和數據交互，以便在遠程接人終端上呈現出完整的桌面使用體驗。交互過程中，對數據的加解密將分別利用遠程接人終端上的終端密碼模塊和云計算服務器上的高速密碼模塊完成。

• 終端安全防護系統：終端安全防護系統針對各類操作系統的安全漏洞對遠程接入終端進行安全防護，確保只有身份合法的用戶才能使用遠程接入終端，確保遠程終端不被木馬病毒等惡意程序攻擊和破壞。

• 服務器虛擬化加固系統：服務器虛擬化加固系統采用安全掌握、密碼保護和可信計算等安全技術構建安全內核，實現服務器安全登錄認證、程序執行安全掌握等核心安全防護功能，保證服務器虛擬化系統環境安全可信，掌握使用者的操作行為，避免非法操作，從而全面封堵病毒、黑客和內部惡意用戶對系統的攻擊。服務器虛擬化加固系統所需的密碼運算功能由云計算服務器上的高速密碼模塊實現。

• 安全管理中心系統：安全管理中心系統用于對整個安全桌面云計算架構解決方案中涉及的各類安全事件進行集中收集、審計、分析和響應，并對各種安全策略進行集中統一管理。

• 密鑰管理系統：密鑰管理系統用于對高速密碼模塊和專用密碼設備所需的密鑰進行全生命周期管理，包括密鑰的產生、分發、備份、恢復、廢除、銷毀等。

• 證書管理系統：證書管理系統用于統一簽發和管理整個信息系統內所需的數字證書，簽發好的數字證書將寫入終端密碼模塊。

文件型計算機病毒的識別方法有：

• 在用未感染計算機病毒的DOS啟動軟盤引導后，對同一目錄列目錄（DIR）后的文件的總長度與通過硬盤啟動后所列目錄內文件總長度不一樣，則該目錄下的某些文件已被計算機病毒感染，因為在帶毒環境下，文件的長度往往是不真實的。

• 有些文件型計算機病毒（如ONEHALF、NATAS、3783、FLIP等），在感染文件的同時也感染系統的引導扇區，如果磁盤的引導扇區被無端地破壞了，則磁盤上也有可能有文件型計算機病毒。

• 系統文件長度發生變化，則這些系統文件上很有可能含有計算機病毒代碼。應記住一些常見的DOS系統的IO.SYS、MSDOS.SYS、COMMAND.COM、KRNL386.EXE等系統文件的長度。

• 計算機在運行過外來軟件后，經常死機，或者Windows 95/98無法正常啟動，運行經常出錯等，都有可能是感染上了文件型計算機病毒。

• 微機速度明顯變慢，曾經正常運行的軟件報內存不足，或計算機無法正常打印，這些現象都有可能感染上文件型計算機病毒。

• 有些帶毒環境下，文件的長度和正常的完全一樣，但是從帶有寫保護的軟盤復制文件時，會提示軟盤帶有寫保護，這肯定是感染了計算機病毒。

文件型病毒的清除方法主要有：

• 文件型病毒都駐留內存，在正常模式下，由于帶病毒的文件正在運行無法對這些文件直接進行操作。所以清除文件型病毒最好在DOS模式下操作。

• 許多文件型病毒通過網絡感染，所以殺毒時一定要斷開網絡連接，特別在局域網中，一定要把計算機上的病毒全部殺干凈以后才可以連網，否則一臺剛剛殺過毒的計算機可能再次被感染這點一定注意。

• 由于文件型病毒都是要對宿主文件（也就是被感染的文件）進行修改。把自身代碼添加到宿主文件上。所以會造成一些結構比較復雜的文件損壞。這時只能用以前的備份文件替換掉損壞的文件。