審計日志包括以下信息：

• 記錄由應用程序產生的事件。例如，某個數據庫程序可能設定為每次成功完成備份后都向應用程序日志發送事件記錄信息。應用程序日志中記錄的時間類型由應用程序的開發者決定，并提供相應的系統工具幫助用戶查看應用程序日志。

• 記錄由操作系統組件產生的事件，主要包括驅動程序、系統組件和應用軟件的崩潰以及數據丟失錯誤等。系統日志中記錄的時間類型由操作系統預先定義。

• 記錄與安全相關的事件，包括成功和不成功的登錄或退出、系統資源使用事件(系統文件的創建、刪除、更改)等。與系統日志和應用程序日志不同，安全日志只有系統管理員才可以訪問。在WindowsXP中，事件是在系統或程序中發生的、要求通知用戶的任何重要事情，或者是添加到日志中的項。事件日志服務在事件查看器中記錄應用程序、安全和系統事件。通過使用事件查看器中的事件日志，用戶可以獲取有關硬件、軟件和系統組件的信息，并可以監視本地或遠程計算機上的安全事件。事件日志可幫助您確定和診斷當前系統問題的根源，還可以幫助用戶預測潛在的系統問題。WindowsNT/2000的系統日志由事件記錄組成。每個事件記錄為三個功能區：記錄頭區、事件描述區和附加數據區，表14-3-1描述了事件記錄的結構。

nmap提供了多種方法來檢查端口是否打開，從而在該端口后面找到潛在的易受攻擊程序。

APT是多樣攻擊方式的組合，因此也需要對其進行多方位的檢測防御：

• 惡意代碼檢測

  大多數APT攻擊都是通過惡意代碼來攻擊員工個人電腦，從而突破目標網絡和系統防御措施。因此，惡意代碼檢測對于檢測和防御APT攻擊至關重要。

• 主機應用保護

  不管攻擊者通過何種渠道向員工個人電腦發送惡意代碼，該惡意代碼必須在員工個人電腦上執行才能控制整個電腦。因此，若能加強系統內各主機節點的安全措施，確保員工個人電腦以及服務器的安全，則可以有效防御APT攻擊。

• 網絡入侵檢測

  安全分析人員發現，雖然APT攻擊所使用的惡意代碼變種多且升級頻繁，但惡意代碼所構建的命令控制通道通信模式并不經常變化。因此，可采用傳統入侵檢測方法來檢測APT的命令控制通道，關鍵是如何及時獲取APT攻擊命令控制通道的通信模式特征。

• 大數據分析檢測

  大數據分析是一種網絡取證思路，它全面采集網絡設備的原始流量及終端和服務器日志，進行集中的海量數據存儲和深入分析，可以在發現APT攻擊的蛛絲馬跡后，通過全面分析海量日志數據來還原APT攻擊場景。大數據分析檢測因涉及海量數據處理，因此需要構建Hadoop、Spark 等大數據存儲和分析平臺，并通過機器學習對數據進行分析，從而檢測出是否受到攻擊。

惡意代碼的攻擊技術有以下這些：

• 進程注入技術：惡意代碼程序將自身嵌入到操作系統和網絡系統的服務程序中，不但實現了自身的隱藏，而且還能隨著服務的加載而啟動。

• 三線程技術：惡意代碼進程同時開啟三個線程，其中一個為主線程，負責遠程控制的工作。另外兩個輔助線程分別是監視和守護線程。一旦發現主線程被刪除，則立即設法恢復。

• 端口復用技術：重復利用系統或網絡服務打開的端口（如80端口），可以欺騙防火墻，具有很強的欺騙性。

• 超級管理技術：惡意代碼采用超級管理技術對反惡意代碼軟件系統進行攻擊，使其無法正常運行。

• 端口反向連接技術：指使惡意代碼的服務端（被控制端）主動連接客戶端（控制端）的技術。

• 緩沖區溢出技術：惡意代碼利用系統和網絡服務的安全漏洞植入并且執行攻擊代碼，造成緩沖區溢出，從而獲得被攻擊主機的控制權。

避免惡意軟件侵害的方法有以下這些：

• 安裝和維護防病毒軟件：防病毒軟件可識別惡意軟件并保護我們的計算機免受惡意軟件侵害。安裝來自信譽良好的供應商的防病毒軟件是預防和檢測感染的重要步驟。始終直接訪問供應商網站，而不是點擊廣告或電子郵件鏈接。由于攻擊者不斷地制造新病毒和其他形式的惡意代碼，因此保持我們使用的防病毒軟件保持最新非常重要。

• 謹慎使用鏈接和附件：在使用電子郵件和網絡瀏覽器時采取適當的預防措施以降低感染風險。警惕未經請求的電子郵件附件，并在單擊電子郵件鏈接時小心謹慎，即使它們貌似來自我們認識的人。

• 阻止彈出廣告：彈出窗口阻止程序禁用可能包含惡意代碼的窗口。大多數瀏覽器都有一個免費功能，可以啟用它來阻止彈出廣告。

• 使用權限有限的帳戶：瀏覽網頁時，使用權限有限的賬戶是一種很好的安全做法。如果我們確實受到感染，受限權限可防止惡意代碼傳播并升級到管理賬戶。

• 禁用外部媒體自動運行和自動播放功能：禁用自動運行和自動播放功能可防止感染惡意代碼的外部媒體在我們的計算機上自動運行。

• 更改密碼：如果我們認為我們的計算機受到感染，應該及時更改我們的密碼（口令）。這包括可能已緩存在我們的網絡瀏覽器中的任何網站密碼。創建和使用強密碼，使攻擊者難以猜測。

• 保持軟件更新：在我們的計算機上安裝軟件補丁，這樣攻擊者就不會利用已知漏洞。如果可用，請考慮啟用自動更新。

• 資料備份：定期將我們的文檔、照片和重要電子郵件備份到云或外部硬盤驅動器。如果發生感染，我們的信息不會丟失。

• 安裝或啟用防火墻：防火墻可以通過在惡意流量進入我們的計算機之前阻止它來防止某些類型的感染。一些操作系統包括防火墻；如果我們使用的操作系統包含一個防火墻，請啟用它。

• 使用反間諜軟件工具：間諜軟件是一種常見的病毒源，但可以通過使用識別和刪除間諜軟件的程序來最大程度地減少感染。大多數防病毒軟件都包含反間諜軟件選項，確保啟用。

• 監控賬戶：尋找任何未經授權的使用或異常活動，尤其是銀行賬戶。如果我們發現未經授權或異常的活動，請立即聯系我們的賬戶提供商。

• 避免使用公共Wi-Fi：不安全的公共 Wi-Fi 可能允許攻擊者攔截我們設備的網絡流量并訪問我們的個人信息。

下列是導致計算機不安全的常見因素：

• 偶發因素：如電源故障、設備的功能失常及軟件開發過程中留下的漏洞或邏輯錯誤等；

• 自然因素：各種自然災害對計算機系統構成嚴重的威脅；

• 人為因素：不法之徒利用計算機網絡或潛入計算機房，篡改系統數據、竊用系統資源、非法獲取機密數據和信息、破壞硬件設備、編制計算機病毒等。此外，管理不好、規章制度不健全、有章不循、安全管理水平低、人員素質差、操作失誤、瀆職行為等都會對計算機網絡造成威脅；

• 使用因素：使用盜版軟件和系統、瀏覽不健康的網頁等。

信息安全等級保護廣義上為涉及到該工作的標準、產品、系統、信息等均依據等級保護思想的安全工作；狹義上一般指信息系統安全等級保護。分級保護是國家信息安全等級保護的重要組成部分，是等級保護在涉密領域的具體體現，是針對涉密網來說。

以下是對兩者的具體介紹：

• 等級保護

  信息安全等級保護是指對國家秘密信息、法人和其他組織及公民的專有信息以及公開信息和儲存、傳輸、處理這些信息的信息系統分等級實行安全保護，對信息系統中使用的信息安全產品實行按等級管理，對信息系統中發生的信息安全事件分等級響應、處置。信息安全等級保護廣義上為涉及到該工作的標準、產品、系統、信息等均依據等級保護思想的安全工作；狹義上一般指信息系統安全等級保護。

• 分級保護

  分級保護是國家信息安全等級保護的重要組成部分，是等級保護在涉密領域的具體體現，是針對涉密網來說。不同類別、不同層次的國家秘密信息，對于維護國家安全和利益具有不同的價值，所以需要不同的保護強度進行保護。對不同密級的信息，應當合理平衡安全風險與成本，采取不同強度的保護措施，這就是分級保護的核心思想。涉密信息系統分級保護，保護的對象是所有涉及國家秘密的信息系統，重點是黨政機關、軍隊和軍工單位，由各級保密工作部門根據涉密信息系統的保護等級實施監督管理，確保系統和信息安全，確保國家秘密不被泄漏。國家秘密信息是國家主權的重要內容，關系到國家的安全和利益，一旦泄露，必將直接危害國家的政治安全、經濟安全、國防安全、科技安全和文化安全。沒有國家秘密的信息安全， 國家就會喪失信息主權和信息控制權，所以國家秘密的信息安全是國家信息安全保障體系中的重要組成部分。

如果需要部署RODC，在網絡中必須有一臺安裝或者升級到的Windows Server2008的域控制器。部署之前，管理員應注意以下事項。

Active Directory數據庫復制。RODC支持從Windows Sever 2003域控制器復制架構分區和配置分區的數據，但是RODC只能從來自同一域的Windows Server2008的可讀寫域控制器復制域分區的數據更新。因此，在網絡中至少安裝一臺Windows Server 2008的域控制器用于RODC復制。

森林功能級別。部署RODC需要森林的功能級別最低為Windows Server 2003模式，建議使用Windows Server 2008模式。用戶可以通過在“Active Directory域和信任關系”窗口中，提升到所需的森林功能級別。

Windows Server 2008域控制器的角色為主域控制器，否則將無法識別RODC使用的特殊的Kerberos票據授權票（KRBTGT）賬戶。

RODC默認不緩存賬戶，必須在可讀寫域控制器上啟用賬戶緩存功能后，才可以用于緩存域用戶賬戶。

RODC安裝完成后，默認連接的是當前所有的可讀寫域控制器，必須在RODC上，通過“更改域控制器”使其連接到已部署的RODC上。

• 收到未支付的信用卡費用的提醒

金融身份盜竊是最常見的身份盜竊類型之一，信用卡是一個受歡迎的目標。網上購物的興起使信用卡欺詐更加普遍。

• 貸款或信用卡申請被拒絕

如果您申請貸款或信用額度但您的申請被拒絕，請深入挖掘。拒絕可能表明您的信用評分低于您的預期，可能是由于欺詐活動。例如，有人可能會使用您的信息來獲得新的信用卡而不還清信用卡，從而讓您負責。

• 信用評分發生了變化

信用評分的變化可能表明身份被盜。例如，如果有人以您的名義取出水電費但不支付，您的信用評分可能會下降。從三個主要征信機構（Equifax、Experian 和 TransUnion）檢查您的信用報告可以幫助查明問題。

• 您收到從未使用過的醫療服務的賬單

當欺詐者模仿他人以獲得醫療保健或用品時，就會發生醫療盜竊。例如，某人可能會使用您的身份在藥房獲取處方藥。如果您收到不熟悉的醫療賬單，請跟進。不正確的醫療記錄可能會影響您的保險費或干擾您在未來獲得所需護理的能力。

• 郵件寄往您家，但使用另一個人的名字

這可能是合成身份盜竊的一個指標。當欺詐者使用各種人的真實信息創建虛假身份時，就會發生這種情況。

交換機和集線器的區別有以下四個方面：

• 工作層次

  集線器工作在物理層，屬于1層設備，每發送一個數據，所有的端口均可以收到，采用了廣播的方式，因此網絡性能受到很大的限制。

  交換機工作在數據鏈路層，屬于2層設備，每個端口形成一張MAC地址轉發表，根據數據包的MAC地址轉發數據，而不是廣播形式。

• 轉發方式

  集線器的工作原理是廣播形式，無論哪個端口收到數據之后，都要廣播到所有的端口，當接入設備比較多時，網絡性能會受到很大的影響。

  交換機根據MAC地址轉發數據，收到數據包之后，檢查報文的目的MAC地址，找到對應的端口進行轉發，而不是廣播到所有的端口。

• 傳輸模式

  集線器內部采用了總線型拓撲，各個節點共用一條總線進行通信，數據包的發送和接收采用了CSMA/CD協議，在同一時間內必須是單向的，只能維持在半雙工模式下。兩個端口不能同時收發數據，并且當兩個端口通信時，其他端口不同工作。

  當交換機上的兩個端口通信時，它們之間的通道是相互獨立的，可以實現全雙工通信。兩個端口同時收發數據。

• 帶寬影響

  集線器無論有多少個端口，所有的端口共享一條寬帶，同一時刻只能有兩個端口傳輸數據，并且只能工作在半雙工模式下。

  交換機可以實現全雙工通信，兩個端口同時收發數據。

VPN采用的非PKI體系認證方式主要有以下幾種：

• 密碼認證協議：客戶端直接發送含用戶名/口令的認證請求，服務器端處理并回應。優點是易于實現，缺點是用明文傳送不安全。

• Shiva密碼認證協議：SPAP是一種由Shiva公司開發的受Shiva遠程訪問服務器支持的簡單加密密碼身份驗證協議。其安全性比PAP好，缺點是單向加密、單向認證，安全性較差，經過加密的密碼仍可能被破解，通過認證后不支持Microsoft點對點加密（MPPE）。

• 詢問握手認證協議：服務器端先給客戶端發送一個隨機碼challenge，客戶端根據challenge對自己掌握的口令、challenge和會話ID調用MD5函數進行單向散列，然后將此結果發送給服務器端。服務器端從數據庫中取出庫存口令password2，并同樣處理，最后比較加密結果，若相同，則認證通過。該方法的安全性相對SPAP有很大改進，不用將密碼發送到網上。

• 微軟詢問握手認證協議：它是由微軟公司針對Windows系統設計的，利用（Microsoft Point-to-Point Encryption，MPPE）加密方法將用戶的密碼和數據同時加密后再發送。

• 微軟詢問握手認證協議第2版：可提供雙向身份驗證和初始數據密鑰，發送和接收分別使用不同的密鑰。若將VPN連接配置為用MS-CHAP v2作為唯一的身份驗證方法，則客戶端和服務器端都要證明身份，若所連接的服務器不提供身份驗證，則連接將被斷開。

• 擴展身份認證協議：可增加對許多身份驗證方案的支持，包括令牌卡、一次性密碼、使用智能卡的公鑰身份驗證、證書及其他身份驗證。最安全的認證方法是和智能卡一起使用“可擴展身份驗證協議—傳輸層安全協議”，即EAP-TLS認證。

1. 挑選重復性工作多的項目
   對于企業來說，選擇哪些項目開始流程自動化是很重要的。挑選重復工作的或者出錯頻繁的項目會顯著提高投資回報率。

2. 警惕部署過量或過少的RPA機器人
   有的企業部署了大量的機器人，反而無法實現預期的業務價值。機器人的數量不是越多越好，同時企業應考慮短期和長期的業務目標，以實現更高的投資回報率。

3. 靈活、多元化使用機器人
   一般RPA軟件機器人會被編程為遵循指令，只執行分配給它們的任務。但業務也是不斷發展的，不是一塵不變的，有時候對RPA機器人進行適當的編程，可以更高效、更快速地完成任務。

4. RPA機器人使用后的項目效率審查
   對于后臺流程，一旦部署了用于完成特定任務的RPA機器人，就有必要計算整個項目所花費的時間，以評估這次項目的進展和之前有什么不一樣。軟件機器人不需要休息就可以連續工作，理應會更快地完成項目。

5. 機器人是否違反公司管理規定
   在部署了RPA的工作項目中，機器人更加服從企業的管理，不會存在違反公司相關規章制度的行為出現。此外，機器人還負責處理項目報告，提高了整個工作的速度和準確性。

6. 工作失誤是否減少
   工作失誤的減少表明業務生產率的提高。例如，機器人大大減少了手工工作，使得工作中的失誤變少，生產效率變高。

防毒墻網絡版是將原有的硬件內的系統獨立出來做成一種基于操作系統的應用軟件，網絡版的防毒墻可以安裝在一些不方便安裝硬件防毒墻的單位，這種情況網絡版防毒墻就更適合，網絡版防毒墻操作方便、升級快、占用內存小等優點優于硬件防毒墻。

功能：

• 網絡通信過濾
• 掃描網絡病毒
• 可定制的概要文件和策略
• 基于狀態的檢查
• 入侵檢測系統
• 防火墻違例爆發監控
• 客戶端防火墻權限

大數據數據預處理四種方法如下：

• 數據清理：數據清理例程通過填寫缺失的值、光滑噪聲數據、識別或刪除離群點并解決不一致性來“清理”數據。主要是達到如下目標：格式標準化，異常數據清除，錯誤糾正，重復數據的清除。

• 數據集成：數據集成例程將多個數據源中的數據結合起來并統一存儲，建立數據倉庫的過程實際上就是數據集成。

• 數據變換：通過平滑聚集，數據概化，規范化等方式將數據轉換成適用于數據挖掘的形式。

• 數據歸約：數據挖掘時往往數據量非常大，在少量數據上進行挖掘分析需要很長的時間，數據歸約技術可以用來得到數據集的歸約表示，它小得多，但仍然接近于保持原數據的完整性，并結果與歸約前結果相同或幾乎相同。

大數據分析挖掘技術有以下這些：

• 可視化分析：可視化分析，指借助圖形化手段，清晰并有效傳達與溝通信息的分析手段。主要應用于海量數據關聯分析，即借助可視化數據分析平臺，對分散異構數據進行關聯分析，并做出完整分析圖表的過程。具有簡單明了、清晰直觀、易于接受的特點。

• 數據挖掘算法：數據挖掘算法，即通過創建數據挖掘模型，而對數據進行試探和計算的，數據分析手段。它是大數據分析的理論核心。數據挖掘算法多種多樣，且不同算法因基于不同的數據類型和格式，會呈現出不同的數據特點。但一般來講，創建模型的過程卻是相似的，即首先分析用戶提供的數據，然后針對特定類型的模式和趨勢進行查找，并用分析結果定義創建挖掘模型的最佳參數，并將這些參數應用于整個數據集，以提取可行模式和詳細統計信息。

• 預測性分析：預測性分析，是大數據分析最重要的應用領域之一，通過結合多種高級分析功能（特別統計分析、預測建模、數據挖掘、文本分析、實體分析、優化、實時評分、機器學習等），達到預測不確定事件的目的。幫助分用戶析結構化和非結構化數據中的趨勢、模式和關系，并運用這些指標來預測將來事件，為采取措施提供依據。

• 語義引擎：語義引擎，指通過為已有數據添加語義的操作，提高用戶互聯網搜索體驗。

• 數據質量管理：指對數據全生命周期的每個階段（計劃、獲取、存儲、共享、維護、應用、消亡等）中可能引發的各類數據質量問題，進行識別、度量、監控、預警等操作，以提高數據質量的一系列管理活動。

網絡安全態勢感知系統的典型部署方法有：

• 數據采集子系統部署：數據采集子系統通常采用分布式部署的方式，主要是根據被采集對象的種類、分布和采集方式決定的。常用的采集方式包括主動采集、被動采集和其他設備推送導入。主動采集的方式主要為部署流量探針采集局域網內流量信息，部署Agent監控設備運行、軟硬件配置、檢測出的惡意文件以及近期用戶執行指令等。被動采集的方式包括通過外部威脅情報數據庫獲得脆弱性信息，通過日志采集器以標準接口查詢形式獲得網絡中的主機設備、網絡設備、安全設備、應用系統日志，以及通過高級威脅檢測設備自動探測網絡流量中可能涉及潛在入侵、攻擊和濫用的行為。此外，還可以通過其他設備將網絡安全態勢感知系統可能需要的數據推送導入，滿足后續的分析要求。

• 數據處理子系統部署：數據處理子系統的部署方式較為靈活，例如，如果數據采集子系統部署在大型企事業單位的下屬機構，則可以在數據采集結束后先由分布式的數據處理子系統分別進行處理，再統一存儲至數據存儲子系統；也可以由集中式的數據處理子系統統一接收多個數據采集子系統采集的數據進行處理，再統一存儲至數據存儲子系統。以上兩種方式通常都可以獲得較好的效果，具體主要取決于本地計算和遠程通信的成本和效率。

• 數據挖掘分析子系統部署：數據挖掘分析子系統可以采用集中分析的部署方式，也可以采用分布式分析的部署方式，主要取決于所要分析的數據量和分析能力。具體的挖掘分析算法適合采用哪種方式也是一個很重要的考慮因素。目前，很多計算架構同時支持分布式數據存儲與并行的高性能計算，因此也可以將數據挖掘分析子系統與數據存儲子系統合并部署。

• 數據存儲子系統部署：對于數據量較少（尤其是需保存的歷史數據量較少）的場景，數據存儲子系統可以采用集中存儲的部署方式。但鑒于目前網絡安全態勢感知的復雜性，大部分系統采用分布式存儲的部署方式。

• 態勢指標提取子系統部署：態勢指標提取子系統的部署方式較為靈活，例如，可以采用集中提取的部署方式，直接將提取出的態勢指標以可視化方式進行呈現；而對于一些需要分布式呈現或者通過不同層面呈現的場景，大多采用分布式提取的部署方式，可以實現更為靈活的功能。

• 策略設置子系統部署：策略設置子系統的部署方式根據使用方對策略管理的需要而設計，對于采用統一策略管理的單位，通常都是采用集中部署、統一管理的方式；對于下屬機構相對獨立或聯盟性質的單位聯合體，通常都是采用分布式部署的方式。此外，比較常見的還有總部統一進行策略設置，但將策略分布式下發到分支機構分別執行的方式，也可以看作統一策略管理的一個變形。

• 可視化展示子系統部署：可視化展示子系統可以根據呈現方式采用集中式部署或分布式部署方式。目前由總部統一管理的級聯式單位采用集中式部署的方式較多，而針對行業或區域的聯合體采用分布式部署的方式較多。

• 系統管理子系統部署：系統管理子系統采用集中式部署的方式較多，而對于不同批次部署或項目來源不同的子系統組成的聯合體形式的網絡安全態勢感知系統，由于歷史原因采用分布式系統管理子系統較多。

模糊測試數據的生成方法可以分為以下幾類：

• 預先生成測試用例：需要對一個專門規約進行研究，其目的是理解所有被支持的數據結構和每種數據結構可接受的值范圍。硬編碼的數據包或文件隨后被生成，以測試邊界條件或迫使規約發生違例，這些用例可用于檢測目標實現規約的精確程度。該方法的測試用例可以被重用，缺點是需要事先完成大量工作，且測試用例有局限性，一旦測試用例用完，模糊測試就只能結束。

• 隨機生成測試用例：該方法的工作原理是大量產生偽隨機數據給待測軟件。這種方法原理簡單，但很難逆向找到引起軟件異常的具體原因，效率很低。

• 協議變異人工測試：該方法的測試過程是在加載了目標應用程序后，測試人員僅通過輸入不恰當的數據來嘗試讓服務器崩潰或使其產生非預期的行為。這種方法不需要自動化的模糊器，人就是模糊器，可以充分利用測試者自身的經驗和直覺。

• 變異或強制性測試：從一個有效的協議或數據格式樣本開始，持續不斷地打亂數據包或文件中的每一個字節、字、雙字或字符串。所以，對應模糊工具的工作就是修改數據然后發送。這種方法幾乎不需要事先對被測軟件進行研究，測試數據的生成和發送都可以自動完成，但由于大量的測試時間都浪費在生成數據上，所以效率也不高。

• 自動協議生成測試：一種更高級的強制性測試方法，在測試前需要進行研究，包括理解和解釋協議規約或文件定義。但與前一種方法不同，它并不創建測試用例，而是創建一個描述協議規約如何工作的文法，因此需要識別數據包或文件中的靜態部分和動態部分。模糊器動態解析這些模板，生成模糊測試數據，然后向被測目標發送模糊后產生的包或文件。這種方法需要耗費一定時間來產生文法或數據格式的定義。