Web應用程序采用以下防御機制：

• 處理用戶訪問應用程序的數據與功能，防止用戶獲得未授權訪問。

• 處理用戶對應用程序功能的輸人，防止錯誤輸入造成不良行為。

• 防范攻擊者，確保應用程序在成為直接攻擊目標時能夠正常運轉，并采取適當的防御與攻擊措施挫敗攻擊者。

• 管理應用程序本身，幫助管理員監控其行為，配置其功能。

信息系統技術文檔是指對系統設計、研制、開發、運行和維護中的所有技術問題的文字描述，它具有如下功能：

• 反映系統的構造原理，表明了系統的實現方法，為系統的維護、修改和進一步開發提供依據；

• 記錄了系統各階段的技術信息；

• 為管理人員、開發人員、操作人員和用戶之間的技術交流提供了交互的媒體。

入侵防御系統應該滿足以下特性：

• 準確性：檢測系統對發現的攻擊行為不應出現誤報和漏報現象。

• 可靠性：一個檢測系統對管理員應該是透明的，并且能在無人監控的情況下正確運行，只有這樣才可以運行在被檢測的系統環境中。

• 容錯性：檢測系統必須具有良好的容錯性，不論所監控的系統處于何種狀態，檢測系統本身必須具備完整性，保證檢測用的知識庫系統不會受到干擾和破壞。

• 可用性：檢測系統的整體性能不應受系統狀態的變化而產生較大波動或嚴重降低。

• 可驗證性：檢測系統必須允許管理員適時監視攻擊行為。

• 安全性：檢測系統能保護自身安全和具有較強的抗欺騙攻擊的能力。

• 可適應性：檢測系統可隨時跟蹤系統環境的變化和及時調整檢測策略。

• 靈活性：檢測系統可根據具體情況，定制不同的且與防御機制相適應的使用模式。

數據全生命周期包含了以下八個階段：

• 數據捕捉階段：為了進行分析，首先必須記錄或捕捉數據，這是創建組織內尚不存在的信息的行為。被捕捉的數據可能來自公司的外部或內部。今天的物聯網產生了大量可能被捕捉到的數據。

• 數據維護階段：捕捉數據后，生命周期的第二階段可以定義為向發生數據合成和數據使用的點提供數據。

• 數據合成階段：數據合成涉及統計方法的使用，這些方法結合了許多數據來源或測試，以獲得更好的總體估計或被問到的有關數據問題的答案。一些人把這個稱為數據建模或使用歸納推理以轉換數據。另一些人將數據合成視為數據維護的子集。

• 數據使用階段：數據使用就是如何使用數據來支持業務的任務，此階段可以定義為將數據應用到企業需要自行運行和管理的任務。如戰略規劃、客戶關系管理、處理發票、向供應商發送訂購單等。

• 數據分析階段：數據分析是以創建新的信息和產生業務洞察力為目的檢查原始數據的科學性。它包含技能、科學、迭代探索和對過去業務績效的調查，以獲得洞察力并推動未來的業務規劃。在它最基本的層次，它意味著用數據分析的方法來回答問題。一些人將數據分析視為數據使用的子集。

• 數據發布階段：數據發布是向組織外部發送數據的行為，可以發布數據以供廣泛使用，通常將數據發送到業務部門。例如向客戶發送結算單。

• 數據存檔階段：單個數據值可能會使用相當長的一段時間，但其生命周期最終都會到盡頭。那時，組織應該將數據值存檔。數據存檔是從有效使用的數據中刪除數據，并將其存儲以備潛在的未來使用的過程，數據存檔是存儲數據的位置，但是它沒有定期維護，且使用率可能很少。

• 數據清除階段：數據清除涉及刪除不再有用或不需要的數據，在數據生命周期結束時，將從企業中刪除數據項的每個副本，這通常是從歸檔中完成的。管理者應創建數據保留政策以實施正確的數據清除實踐。

Web應用程序采用以下防御機制：

• 處理用戶訪問應用程序的數據與功能，防止用戶獲得未授權訪問。

• 處理用戶對應用程序功能的輸人，防止錯誤輸入造成不良行為。

• 防范攻擊者，確保應用程序在成為直接攻擊目標時能夠正常運轉，并采取適當的防御與攻擊措施挫敗攻擊者。

• 管理應用程序本身，幫助管理員監控其行為，配置其功能。

1. 確定信息價值

   大多數組織沒有無限的信息風險管理預算，因此最好將您的范圍限制在最關鍵的業務資產上。為了以后節省時間和金錢，請花一些時間來定義確定資產重要性的標準。大多數組織都包括資產價值、法律地位和業務重要性。一旦該標準正式納入組織的信息風險管理政策，就可以使用它來將每項資產分類為關鍵、主要或次要資產。

2. 確定資產并確定其優先級

   第一步是確定要評估的資產并確定評估范圍。這將使您能夠確定要評估的資產的優先級。您可能不想對每個建筑物、員工、電子數據、商業機密、車輛和辦公設備進行評估。并非所有資產都具有相同的價值。

   您需要與業務用戶和管理人員一起創建所有有價值資產的列表。對于每項資產，在適用的情況下收集軟件、硬件、數據、界面、終端用戶、支持個人、目的、危急程度、功能要求、信息技術安全政策、IT安全架構、網絡拓撲結構、信息存儲保護、信息流、技術安全控制、物理安全控制、環境安全信息。

3. 識別網絡威脅

   網絡威脅是指任何可被利用來破壞安全以造成傷害或從您的組織竊取數據的漏洞。雖然會想到黑客、惡意軟件和其他 IT 安全風險，但還有許多其他威脅：

   • 自然災害：洪水、颶風、地震、閃電和火災的破壞力不亞于任何網絡攻擊者。您不僅會丟失數據，還會丟失服務器。在內部部署服務器和基于云的服務器之間做出決定時，請考慮發生自然災害的可能性。

   • 系統故障：您最關鍵的系統是否在高質量設備上運行？他們有很好的支持嗎？

   • 人為錯誤：您的S3 存儲桶是否正確配置了保存敏感信息的信息？您的組織是否接受過有關惡意軟件、網絡釣魚和社會工程的適當教育？任何人都可能不小心點擊惡意軟件鏈接或將其憑據輸入到網絡釣魚詐騙中。您需要有強大的 IT 安全控制，包括定期數據備份、密碼管理器等。

   • 對抗性威脅：第三方供應商、內部人員、受信任的內部人員、特權內部人員、成熟的黑客團體、特設團體、企業間諜、供應商、民族國家

     影響每個組織的一些常見威脅包括：

   • 未經授權的訪問：來自攻擊者、惡意軟件、員工錯誤

   • 授權用戶濫用信息：通常是內部威脅，其中數據被更改、刪除或未經批準使用

   • 數據泄露：個人身份信息 (PII)和其他敏感數據，由攻擊者或通過糟糕的云服務配置

   • 數據丟失：組織丟失或意外刪除數據作為備份或復制不良的一部分

   • 服務中斷：由于停機造成的收入損失或聲譽損失

     在確定組織面臨的威脅后，您需要評估它們的影響。

4. 識別漏洞

   漏洞是威脅可以利用來破壞安全、損害您的組織或竊取敏感數據的弱點。通過漏洞分析、審計報告、美國國家標準與技術研究院 (NIST)漏洞數據庫、供應商數據、事件響應團隊和軟件安全分析發現漏洞。

5. 分析控制并實施新控制

   分析現有的控制措施，以最大限度地減少或消除威脅或漏洞的可能性。控制可以通過技術手段實現，例如硬件或軟件、加密、入侵檢測機制、雙因素身份驗證、自動更新、持續數據泄漏檢測，或通過非技術手段，例如安全策略和物理機制，例如鎖或鑰匙卡訪問。

   控制應分類為預防性或檢測性控制。預防性控制嘗試阻止加密、防病毒或持續安全監控等攻擊，檢測性控制嘗試發現攻擊何時發生，如持續數據暴露檢測。

6. 每年計算各種情景的可能性和影響

   了解了信息價值、威脅、漏洞和控制措施，下一步是確定這些網絡風險發生的可能性以及發生時的影響。

7. 根據預防成本與信息價值對風險進行優先排序

   以風險級別為基礎，確定高級管理人員或其他負責人采取的措施以減輕風險。以下是一些準則：

   • 高——盡快制定整改措施

   • 中等 - 在合理的時間內制定的正確措施

   • 低 - 決定是接受風險還是減輕風險

     在已經確定了資產的價值以及您可以花多少錢來保護它的情況下，如果保護資產的成本超過其價值，則使用預防性控制來保護它可能沒有意義。也就是說，請記住可能會產生聲譽影響，而不僅僅是財務影響，因此將其考慮在內也很重要。

     另外，請考慮組織政策、名譽受損、可行性、法規、 控制的有效性、安全、可靠性、組織對風險的態度、 對風險因素不確定性的容忍度、風險因素的組織權重等相關因素。

8. 記錄風險評估報告的結果

   最后一步是制定風險評估報告，以支持管理層就預算、政策和程序做出決策。對于每個威脅，報告應描述風險、漏洞和價值。以及發生的影響和可能性以及控制建議。

計算機取證過程充滿了復雜性和多樣性，這使得相關技術也顯得復雜和多樣。依據計算機取證的過程，涉及到的相關技術大體如下:

電子證據監測技術

電子數據的監測技術就是要監測各類系統設備以及存儲介質中的電子數據，分析是否存在可作為證據的電子數據。

物理證據獲取技術

物理證據獲取是全部取證工作的基礎,在獲取物理證據時最重要的工作是保證存到的原始證據不受任何破壞。

電子證據收集技術

電子數據收集技術是指遵照授權的方法，使用授權的軟硬件設備，將已收集的數據進行保全，并對數據進行一些預處理，然后完整安全的將數據從目標機器轉移到取證設備上。

電子證據保存技術

在取證過程中,應對電子證據及整套的取證機制進行保護。只有這樣，才能保證電子證據的真實性、完整性和安全性。

電子證據處理技術

電子證據處理指對已收集的電子數據證據進行過濾、模式匹配、隱藏數據挖掘等的預處理工作。

電子證據提交技術

依據法律程序，以法庭可接受的證據形式提交電子證據及相應的文檔說明。

web漏洞掃描的功能有以下幾種：

• 定期的網絡安全自我檢測、評估：配備漏洞掃描系統，網絡管理人員可以定期的進行網絡安全檢測服務，安全檢測可幫助客戶最大可能的消除安全隱患，盡可能早地發現安全漏洞并進行修補，有效的利用已有系統，優化資源，提高網絡的運行效率。

• 安裝新軟件、啟動新服務后的檢查：由于漏洞和安全隱患的形式多種多樣，安裝新軟件和啟動新服務都有可能使原來隱藏的漏洞暴露出來，因此進行這些操作之后應該重新掃描系統，才能使安全得到保障。

• 網絡建設和網絡改造前后的安全規劃評估和成效檢驗：網絡建設者必須建立整體安全規劃，以統領全局，高屋建瓴。在可以容忍的風險級別和可以接受的成本之間，取得恰當的平衡，在多種多樣的安全產品和技術之間做出取舍。配備網絡漏洞掃描/網絡評估系統可以讓您很方便的進行安全規劃評估和成效檢驗。

• 網絡承擔重要任務前的安全性測試：網絡承擔重要任務前應該多采取主動防止出現事故的安全措施，從技術上和管理上加強對網絡安全和信息安全的重視，形成立體防護，由被動修補變成主動的防范，最終把出現事故的概率降到最低。配備網絡漏洞掃描/網絡評估系統可以讓您很方便的進行安全性測試。

• 網絡安全事故后的分析調查：網絡安全事故后可以通過網絡漏洞掃描/網絡評估系統分析確定網絡被攻擊的漏洞所在，幫助彌補漏洞，盡可能多得提供資料方便調查攻擊的來源。

• 重大網絡安全事件前的準備：重大網絡安全事件前網絡漏洞掃描/網絡評估系統能夠幫助用戶及時的找出網絡中存在的隱患和漏洞，幫助用戶及時的彌補漏洞。

• 公安、保密部門組織的安全性檢查：互聯網的安全主要分為網絡運行安全和信息安全兩部分。網絡運行的安全主要包括以ChinaNet、ChinaGBN、CNCnet等10大計算機信息系統的運行安全和其它專網的運行安全；信息安全包括接入Internet的計算機、服務器、工作站等用來進行采集、加工、存儲、傳輸、檢索處理的人機系統的安全。網絡漏洞掃描/網絡評估系統能夠積極的配合公安、保密部門組織的安全性檢查。

所謂陷阱賬戶就是名稱與默認管理員賬戶名稱（Administrator）類似或完全相同，而權限卻極低的用戶賬戶。通常和“更改Administrator賬戶名稱”配合使用，及將系統管理員賬戶更名后，再創建一個名稱為Administrator的陷阱賬戶。

（1）創建一個名稱為Administrator的用戶賬戶（如果原有管理員賬戶沒有被更名則可以創建一個名稱類似的賬戶，如Admin等），并輸入一個復雜程度極高的安全密碼，選擇“密碼永不過期”復選框，如圖2-15所示。

（2）單擊“創建”按鈕即可創建該賬戶。

（3）將其從Users組中刪除，這樣就可以避免其集成來自Users組的用戶權限，如圖2-16所示。選擇陷阱賬戶Administrator并單擊“刪除”按鈕，將其刪除。最后單擊“確定”按鈕保存。

（4）雙擊陷阱賬戶，打開用戶賬戶屬性對話框，將其各種權限設置為最低。例如，在“撥入”選項卡中選擇“拒絕訪問”單選按鈕，如圖2-17所示。

（5）單擊“確定”按鈕保存設置。

提·示 除此之外，還可以在所有磁盤分區的NTFS權限列表中一一刪除陷阱賬戶的各種權限。總之，使其不具備任何操作權限，即使被盜用也無法進行任何破壞操作。

攻擊者入侵策略有以下這些：

• 數據驅動攻擊：表面看來無害的特殊程序在被發送或復制到網絡主機上被執行發起攻擊時，就會發生數據驅動攻擊。

• 系統文件非法利用：這很明了就是要破壞你的系統如Boot.ini等文件，這樣你會在不只不絕中就不能在啟動電腦。或他們會“幫助”你格式化系統盤。

• 針對信息協議弱點攻擊：IP地址的源路徑選項允許IP數據包自己選擇一條通往系統目的的路徑。設想攻擊者試圖與防火墻后面的一個不可到達主機A連接。他只需要在送出的請求報文中設置IP源路徑選項，使報文有一個目的地址指向防火墻，而最終地址是主機A。防火墻的IP層處理改報文的源路徑被改變，并發送到內部網上，報文就這樣到達了不可到達的主機A。

• 遠端操縱：缺省的登陸界面(shellscr-ipts)，配置和客戶文件是另一個問題區域，它們提供了一個簡單的方法來配置一個程序的執行環境。這有時會引起遠端操縱的攻擊：在被攻擊主機上啟動一個可執行程序，該程序顯示一個偽造的登陸界面。當用戶在這個偽裝的截面上輸入登陸信息后，該程序將用戶輸入的信息傳送到攻擊者主機，然后關閉界面給出提示信息說“系統故障”，要求用戶重新登錄。此后，才會出現真正的登錄界面。

• 重新發送攻擊：收集特定的IP數據包，纂改其數據，然后再一一重新發送，欺騙接收的主機。

• 對ICMP報文的攻擊：盡管比較困難，黑客們有時也使用ICMP報文進行攻擊。重定向信息可以改變路由列表，路由器可以根據這些信息建議主機走另一條更好的路徑。攻擊者可以有效地利用重定向消息把連接轉向一個不可靠的主機或路徑，或使多有報文通過一個不可靠主機來轉發。對付這種威脅的方法是對多有ICMP重定想報文進行過濾，有的路由軟件可對此進行配置。單純地拋棄所有重定向報文是不可取的：主機和路由器常常會用到它們，如一個路由器發生故障時。

網絡安全掃描的作用如下：

• 定期的網絡安全自我檢測和評估：利用漏洞掃描系統，網絡管理人員可以定期進行網絡安全檢測，以消除安全隱患，盡早地發現安全漏洞并修補，以優化資源、提高網絡運行效率。

• 安裝新軟件和啟動新服務后的檢查：由于漏洞和安全隱患的形式多種多樣，安裝新軟件和啟動新服務都有可能使原來隱藏的漏洞暴露出來，因此進行這些操作之后重新掃描系統才能使安全得到保障。

• 網絡建設和網絡改造前后的安全規劃評估和成效檢驗：網絡建設者必須建立整體安全規劃，以統領全局、高屋建瓴。在可以容忍的風險級別和可以接受的成本之間取得平衡，在多種多樣的安全產品和技術之間做出取舍。配備網絡漏洞掃描和網絡評估系統可以方便地進行安全規劃評估和成效檢驗。

• 網絡承擔重要任務前的安全性測試：網絡承擔重要任務前應該多采取主動防止出現事故的安全措施，從技術上和管理上加強對網絡安全和信息安全重視，形成立體防護，由被動修補變成主動防范，最終把出現事故的概率降到最低。

• 網絡安全事故后的分析調查：網絡安全事故后可以通過網絡漏洞掃描／網絡評估系統分析確定網絡被攻擊的漏洞所在，幫助彌補漏洞，盡可能多地獲得攻擊來源信息。

涉密信息系統的審批有以下幾點要求：

• 必須選擇具有相應涉密資質的單位承擔或參與涉密信息系統的方案設計與實施。

• 保密工作部門定期進行保密檢查或系統測評：秘密級和機密級信息系統，每兩年至少一次；絕密級信息系統，每年至少一次。

• 國家保密局授權的系統測評機構進行安全保密測評。

• 保密工作部門參加方案審查論證。

• 經保密工作部門審批后，系統方可投入使用。

Windows

1.打開控制面板

點擊桌面上的控制面板。

2.進入系統和安全

打開系統和安全，點擊Windows Defender 防火墻。

3.點擊啟用Windows Defender防火墻

打開windows Defender防火墻，選擇啟用或關閉windows Defender防火墻。

4.設置開啟或者關閉

在選擇窗體的左側邊欄，選擇打開或關閉windows防火墻。

MAC

1.系統偏好設置

請打開“系統偏好設置”，

2.進入安全性和隱私

然后單擊“安全性和隱私”。 進入“安全性和隱私”首選項后，單擊“防火墻”選項卡。

3.防火墻解鎖編輯設置

然后，進入到界面后，點擊切換到“防火墻”選項欄，再點擊左下角的“解鎖編輯設置”，完成身份驗證的操作。

4.關閉防火墻

最后，解鎖成功后，點擊“關閉防火墻”選項即可。

防火墻安全組合體系結構包括以下方面：

• 多堡壘主機：有兩個堡壘主機的子網過濾體系結構理想情況下，堡壘主機應該只提供一種服務，因為如果提供的服務越多，由于系統上安裝服務而導致安全隱患的可能性也就越大。這就意味著，如果你在網絡邊界上擁有一個防火墻程序、一臺Web服務器、一臺SMTP服務器、一臺DNS服務器、一臺FTP服務器和一臺Telnet服務器，那么你就需要配置六臺獨立的堡壘主機。

• 合并內部路由器與外部路由器：單個路由器的子網過濾體系結構使用一個路由器充當內部和外部路由器，在每個接口上設置入站和出站的過濾規則。體系結構其優點是節約了路由器的開支，但主要的缺點是黑客只要攻破該路由器就可以進入你的網絡。

• 合并堡壘主機與外部路由器：使用一個配有雙網卡的主機，既做堡壘主機又充當外部路由器。在這種體系結構中，堡壘主機沒有外部路由器的保護，直接暴露給了Internet，安全性不好。這種方案的唯一保護是堡壘主機自己提供的分組過濾功能。當你的網絡只有一個到Internet的撥號PPP連接，并且堡壘主機上運行PPP數據包，你也可以選擇這種設置方法。

• 合并堡壘主機與內部路由器：使用一個配有雙網卡的主機，即做堡壘主機又充當內部路由器。堡壘主機與內部網通信，以便轉發從外部網獲得的信息。

• 使用多臺外部路由器：如果你的網絡既要連接到Internet還要并行地連接到分支機構或者合作伙伴的網絡，就可以放置多臺外部路由器，它們的工作方式與單臺路由器相同。當有兩臺外部路由器時，黑客攻入任一個路由器的機會增加了一倍。

• 使用多個周邊網絡：如果你的網絡與分支機構和合作伙伴之間的網絡有任務緊急的應用連接，需要并發處理，就可以使用多個DMZ，以確保高可靠性和高安全性。這種結構的優點是：提供了網絡的冗余度，在數據傳輸中將不同的網絡隔離開，增加了數據的保密性。其缺點是，存在多個路由器，它們都是進入內部網的通道，如果沒有仔細監控和管理這些路由器，就會給入侵者提供更多的機會。

信息收集對于滲透測試前期來說是非常重要的，因為只有我們掌握了目標網站或目標主機足夠多的信息之后，我們才能更好地對其進行漏洞檢測。正所謂，知己知彼百戰百勝！

滲透測試主要收集以下這些信息：

• 地址信息：包括服務器的IP地址、DNS域名、打開的端口號及對應的服務進程等。

• 系統信息：包括操作系統類型及版本、Web服務器軟件類型及版本、Web應用程序及版本、Web應用程序的開發工具及版本、Web應用程序架構（是靜態HTML頁面，還是PHP、APS、JSP動態頁面等）、數據庫管理系統的類型及版本等。

• 賬戶信息：包括操作系統的登錄賬戶、數據庫管理系統的賬戶、應用系統的管理賬戶等。

• 配置信息：包括網絡拓撲結構、地址映射表（當Web服務器位于內部局域網中使用私有IP地址時）、服務配置信息、共享資源、防火墻類型及配置信息、身份認證與訪問控制方式、加密及密碼管理機制等。

• 其他信息：包括安全漏洞（軟件漏洞和管理漏洞）、DNS注冊信息、網絡管理員聯系方式等。