入侵檢測系統（簡稱“IDS”）是一種對網絡傳輸進行即時監視，在發現可疑傳輸時發出警報或者采取主動反應措施的網絡安全設備。下面以安裝snort入侵檢測系統為例：

1. 登錄ids系統

登錄實驗機后，打開桌面上的putty程序，輸入10.1.1.106，再點擊Open.。

2. 安裝LAMP環境

在putty里面輸入如下命令進行安裝

apt-get install mysql-server libapache2-mod-php5 php5-mysql libphp-adodb

注意：因為下載時間太長，會耽誤過多的時間，所以提前已經安裝好了。

這里給mysql的root用戶，設置的密碼是123456。

3. 安裝snort軟件包

 #apt-get install snort-mysql

在安裝過程中會提示下圖所示信息。（這里是填寫監聽的網段）

4. 創建snortdb數據庫

   root@IDS:~# mysql -u root -p123456 #登錄mysql

   進入數據庫后，創建一個數據庫命名為snortdb。

   mysql> create database snortdb;

   mysql> grant create, insert, select, update on snortdb.* to snort@localhost;

   mysql> set password for snort@localhost=password(‘snortpassword’);

   創建一個數據庫用戶，用戶名為snort，密碼為snortpassword。

  將snort-mysql自帶的軟件包中附帶的sql文件，導入到數據庫中。

  # cd /usr/share/doc/snort-mysql/

  # zcat create_mysql.gz | mysql snortdb -u snort -psnortpassword

  # rm /etc/snort/db-pending-config

5. 配置snort

   配置好了數據庫后，需要配置Snort配置文件（/etc/snort/snort.conf），告訴snort以后

   日志寫入到snortdb數據庫中。

   vi /etc/snort/snort.conf

   找到文件中“var HOME_NET any”一行，將其修改為要監控的網絡段，

   并啟用下面幾行，如下：

   #var HOME_NET any

   var HOME_NET 10.1.1.0/24

   #

   #var HOME_NET any

   Set up the external network addresses as well. A good start may be “any”

   #var EXTERNAL_NET any

   var EXTERNAL_NET !$HOME_NET

   ---

   output database: log, mysql, user=root password=test dbname=db host=localhost

   output database: log, mysql, user=snort password=snortpassword dbname=snortdb host=localhost

   檢測snort.conf配置文件是否正常:

   snort -c /etc/snort/snort.conf

   

isa防火墻功能有以下這些：

• ISA防火墻可以執行應用層過濾；

• 通過強大的集成式管理工具來提供安全而快速的Internet連接；

• 保護網絡免受未經授權的訪問；

• 保護Web和電子郵件服務器防御外來攻擊；

• 檢查傳入和傳出的網絡通訊以確保安全性；

• 接收可疑活動警報。

c語言字符轉化為數字的函數有：

• atof()：將字符串轉換為雙精度浮點型值；

• atoi()：將字符串轉換為整型值；

• atol()：將字符串轉換為長整型值；

• strtod()：將字符串轉換為雙精度浮點型值，并報告不能被轉換的所有剩余數字；

• strtol()：將字符串轉換為長整值，并報告不能被轉換的所有剩余數字；

• strtoul()：將字符串轉換為無符號長整型值，并報告不能被轉換的所有剩余數字。

工業互聯網與傳統網絡的區別：

• 連接對象不同。傳統互聯網的連接對象主要是人，應用場景相對簡單；工業互聯網需要連接人、機、物、系統等，連接種類和數量更多，場景十分復雜。

• 技術要求不同。傳統互聯網技術特點突出體現為 “盡力而為” 的服務，對網絡性能要求相對不高；工業互聯網則必須具有更低時延、更強可靠性和安全性，以滿足工業生產的需要。

• 發展模式不同。傳統互聯網應用門檻低，發展模式可復制性強，產業由互聯網企業主導推動，并且投資回報周期短，容易獲得社會資本的支持；工業互聯網行業標準多、應用專業化，難以找到普適性的發展模式，制造企業在產業推進中發揮至關重要的作用，并且工業互聯網資產專用性強，投資回報周期長，難以吸引社會資本投入。

• 時代機遇不同。我國的傳統互聯網起步較晚，總體上處于跟隨發展狀態；而目前全球工業互聯網產業格局未定，我國正處在大有可為的戰略機遇期。

信息安全策略文檔內容包括以下方面：

• 策略方面：關于策略自身的建設、管理、審核和修訂，策略的發布、推行、培訓、符合性等方面的內容，現有文檔中沒有體現，完全空白，建議制定此方面的系列文檔。

• 組織和人員方面：關于有關組織建設，組織和人員責任等方面的內容，在《企業信息化工作及各部門計算機崗位的崗位職責條例》中有較為全面的描述，但也存在一些問題，比如有些崗位沒有職責定義，可能是虛職；網絡管理組織與安全組織之間的關系不夠清晰等。建議定義出清晰的組織關系和結構，最好有明晰的結構圖，同時每個崗位定義具體的安全職責。同時制定關于人員安全方面的安全培訓、認證、安全素質和意識的提高等方面的制度。

• 資產方面：關于資產進行分類、標識、價值等級和機密等級劃分和維護、資產管理等方面，沒有發現有文檔涉及。建議建立相應的一系列制度和文檔。

• 運作方面：關于安全維護和日常管理，包括主要業務系統的安全維護和日常IT維護等，在遼寧電力的安全策略中有一些規定，但都不夠具體和可操作，建議開發下面的更為具體和可操作的各個方面的獨立的文檔。審計和跟蹤機制，建立日志存儲、管理和分析機制的文檔；網絡和系統的訪問控制標準和制度，加強權限管理的制度，網絡分段與網段隔離的標準和制度，遠程訪問和遠程工作的制度；用戶和口令管理的標準和制度；建立針對惡意代碼，后門的保護和偵測標準和制度；第三方管理的系列標準和制度。

• 技術方面：關于技術方面，安全策略覆蓋到物理層和網絡層，部分覆蓋到應用程序層和數據層，但內容很少，沒有覆蓋到操作系統層、業務系統層等層面。沒有描述安全防范系統、安全掃描系統、入侵檢測系統、病毒防范系統、相應安全產品的管理和維護，沒有相應的技術標準、規范和方法論等文檔。

• 主要業務覆蓋方面：沒有專門針對系統的業務系統而制定的文檔。建議制定并推行針對各個業務系統不同特性的安全管理制度，業務系統軟件的安全配置標準和規范，日常維護的安全操作流程等文檔。

• 業務連續性方面：關于業務連續性計劃的制定、測試和推行，備份和容災系統的建設、維護和管理方面，只有數據備份的管理規定，也不夠詳細。建議制定關于業務連續性方面的系列文檔。

《計算機信息安全保護等級劃分準則》將計算機信息安全保護等級劃分為五個安全級別：

• 第一級

  自主保護級：（無需備案，對測評周期無要求）此類信息系統受到破壞后，會對公民、法人和其他組織的合法權益造成一般損害，不損害國家安全、社會秩序和公共利益。

  一般適用于小型私營、個體企業、中小學，鄉鎮所屬信息系統、縣級單位中一般的信息統。

• 第二級

  指導保護級:（公安部門備案，建議兩年測評一次）此類信息系統受到破壞后，會對公民、法人和其他組織的合法權益造成嚴重損害。會對社會秩序、公共利益造成一般損害，不損害國家安全。

  一般適用于縣級其些單位中的重要信息系統；地市級以上國家機關、企事業單位內部一般的信息系統。例如非涉及工作秘密、商業秘密、敏感信息的辦公系統和管理系統等。

• 第三級

  監督保護級：（公安部門備案，要求每年測評一次）此類信息系統受到破壞后，會對國家安全、社會秩序造成損害，對公共利益造成嚴重損害，對公民、法人和其他組織的合法權益造成特別嚴重的損害。

  一般適用于地市級以上國家機關、企業、事業單位內部重要的信息系統，例如涉及工作秘密、商業秘密、敏感信息的辦公系統和管理系統；跨省或全國聯網運行的用于生產、調度、管理、指揮、作業、控制等方面的重要信息系統以及這類系統在省、地市的分支系統；中央各部委、省（區、市）門戶網站和重要網站；跨省連接的網絡系統等。

• 第四級

  強制保護級：（公安部門備案，要求半年一次）此類信息系統受到破壞后，會對國家安全造成嚴重損害，對社會秩序、公共利益造成特別嚴重損害。

  一般適用于國家重要領域、重要部門中的特別重要系統以及核心系統。例如電力、電信、廣電、鐵路、民航、銀行、稅務等重要、部門的生產、調度、指揮等涉及國家安全、國計民生的核心系統。

• 第五級

  專控保護級：（公安部門備案，依據特殊安全需求進行）此類信息系統受到破壞后會對國家安全造成特別嚴重損害。

  一般適用于國家重要領域、重要部門中的極端重要系統。

防火墻的維護工作主要從以下4個方面考慮：

• 建立防火墻的安全策略

  安全策略也可以稱為訪問上的控制策略。它包含了訪問上的控制以及組織內其他資源使用的種種規定。訪問控制包含了哪些資源可以被訪問，如讀取、刪除、下載等行為的規范，以及哪些人擁有這些權力等信息。

• 日常管理

  日常管理是經常性的瑣碎工作，以使防火墻保持清潔和安全。為此，需要經常去完成的主要工作：數據備份、賬號管理、磁盤空間管理等。

• 監控系統

  對防火墻的維護、監視系統是維護防火墻的重點，它可以告訴系統管理者以下的問題：防火墻已經岌岌可危了嗎?防火墻能提供用戶需求的服務嗎?防火墻還在正常運作嗎?嘗試攻擊防火墻的是哪些類型的攻擊?

• 保持最新狀態

  保持防火墻的最新狀態也是維護和管理防火墻的一個重點。在這個侵襲與反侵襲的領域中，每天都產生新的事物、發現新的毛病，以新的方式進行侵襲，同時，現有的工具也會不斷地被更新。因此，要使防火墑能同該領域的發展保持同步。

• Kali Linux

  Kali的前身是BackTrack Linux，由進攻性安全部門的專業人員維護，它在各個方面都進行了優化，可以作為進攻性滲透測試工具使用。

• Nmap

  作為端口掃描器的鼻祖，nmap（全稱為network mapper）是一種久經考驗的滲透測試工具，很少有人能離開它。

• Metasploit

  對于大多數滲透測試人員來說，Metasploit是必不可少的工具，它自動化了大量繁瑣的工作，并且正如其網站所宣稱的那樣，它確實是“世界上最常用的滲透測試框架”。Metasploit是一個獲得Rapid7商業支持的開源項目，是防御者保護其系統免受攻擊的必備工具。

• Wireshark

  Wireshark是一種無處不在的工具，可用于了解通過網絡傳輸的流量。雖然Wireshark通常用于深入研究日常TCP/IP連接問題，但它還支持對數百個協議的分析，包括對其中許多協議的實時分析和解密支持。如果您是滲透測試新手，Wireshark將是一款必須學習的工具。

• Sqlmap

  SQLMap是一款用來檢測與利用SQL注入漏洞的免費開源工具，它支持對檢測與利用的自動化處理（數據庫指紋、訪問底層文件系統、執行命令）等。

• aircrack-ng

  Aircrack-ng是一個與802.11標準的無線網絡分析有關的安全軟件，主要功能有：網絡偵測，數據包嗅探，WEP和WPA/WPA2-PSK破解。Aircrack-ng可以工作在任何支持監聽模式的無線網卡上并嗅探802.11a，802.11b，802.11g的數據。該程序可運行在Linux和Windows上。

• Burp Suite

  Burp Suite 是用于攻擊web 應用程序的集成平臺。它包含了許多工具，并為這些工具設計了許多接口，以促進加快攻擊應用程序的過程。

網絡欺騙本質是通過布設騙局從而干擾攻擊者的認知過程，欺騙環境的構建機制是其實施的關鍵。本文從欺騙環境構建的角度討論網絡欺騙技術的分類，這也是大多數網絡欺騙研究采用的分類方式。網絡欺騙技術可以分為四類：

• 掩蓋欺騙：通過消除特征來隱藏真實的資源，防止被攻擊者發現。典型工作如網絡地址變換，通過周期性的重新映射網絡地址和系統之間的綁定改變組織網絡的外形。Antonatos 等人使用動態主機配置協議給每個主機重新分配網絡地址，用來對抗帶有目標列表的蠕蟲。MUTE 使用隨機地址跳變技術為主機重新分配與真實 IP 地址相獨立的隨機虛擬 IP 地址，以限制攻擊者掃描、發現、識別和定位網絡目標的能力。

• 混淆欺騙：通過更改系統資源的特征使得系統資源看上去像另外的資源，從而挫敗攻擊者的攻擊企圖。典型工作如偽蜜罐，通過使真實系統具有蜜罐的特征從而嚇阻攻擊者。而通過采用計算機操作系統混淆，使得受保護的操作系統對遠程探測工具表現出其他操作系統的特性，可以挫敗攻擊者的探測企圖。

• 偽造欺騙：通過采用真實系統或者資源構建欺騙環境，通過偽造的資源吸引攻擊者的注意力從而發現攻擊或者消耗攻擊者的時間。典型的工作就是高交互蜜罐以及蜜標技術，如蜜網、Honeybow、honeyfile 等。此類技術特點是機密性好，但是維護與部署代價較高。

• 模擬欺騙：是采用軟件實現的方式構造出資源的特征。典型工作如 Deception ToolKit（DTK），DTK 綁定系統未使用的端口，被動的等待連接。如果攻擊者訪問了這些端口，DTK 就會記錄訪問信息。此類欺騙機密性較低，適用于攻擊檢測與惡意代碼收集，不適合對攻擊者行為的長期觀察。但是因為所占資源小而且幾乎不會帶來風險，因此可以部署于業務主機之上，檢測范圍大，使用靈活。

防火墻常見的部署方法有以下這些：

• 橋模式：橋模式也可叫作透明模式。最簡單的網絡由客戶端和服務器組成，客戶端和服務器處于同一網段。為了安全方面的考慮，在客戶端和服務器之間增加了防火墻設備，對經過的流量進行安全控制。正常的客戶端請求通過防火墻送達服務器，服務器將響應返回給客戶端，用戶不會感覺到中間設備的存在。工作在橋模式下的防火墻沒有IP地址，當對網絡進行擴容時無需對網絡地址進行重新規劃，但犧牲了路由、VPN等功能。

• 網關模式：網關模式適用于內外網不在同一網段的情況，防火墻設置網關地址實現路由器的功能，為不同網段進行路由轉發。網關模式相比橋模式具備更高的安全性，在進行訪問控制的同時實現了安全隔離，具備了一定的私密性。

• NAT模式：NAT(Network Address Translation)地址翻譯技術由防火墻對內部網絡的IP地址進行地址翻譯，使用防火墻的IP地址替換內部網絡的源地址向外部網絡發送數據;當外部網絡的響應數據流量返回到防火墻后，防火墻再將目的地址替換為內部網絡的源地址。NAT模式能夠實現外部網絡不能直接看到內部網絡的IP地址，進一步增強了對內部網絡的安全防護。同時，在NAT模式的網絡中，內部網絡可以使用私網地址，可以解決IP地址數量受限的問題。

• 高可靠性設計：防火墻都部署在網絡的出入口，是網絡通信的大門，這就要求防火墻的部署必須具備高可靠性。一般IT設備的使用壽命被設計為3至5年，當單點設備發生故障時，要通過冗余技術實現可靠性，可以通過如虛擬路由冗余協議(VRRP)等技術實現主備冗余。目前，主流的網絡設備都支持高可靠性設計。

等級保護要用到以下產品：

• 等級保護物理安全所需產品：門禁、監控報警系統、避雷裝置、消防、水敏感檢測儀、防靜電設施、雙路供電、電磁屏蔽等。

• 等級保護網絡安全所需產品：防火墻、IPS、交換機、帶寬管理、SSLVPN/Ipsec?VPN、路由器、交換機、負載均衡、網絡安全審計、日志審計、邊界完整性檢查、終端安全管理系統、入侵防范?IPS、IDS、抗ddos系統、網絡版防病毒軟件、防病毒網關、網絡設備防護等。

• 等級保護主機安全所需產品：CA、SSO+RSA、堡壘機、主機審計系統、Windows下用Iceworld等工具清除、Linux下可以用命令清除、存儲介質信息清除工具、主機入侵防范系統、防病毒軟件等。

IPSEC工作模式有兩種：

• 傳輸模式(Transport mode)

  在傳輸模式下，IPSec協議處理模塊會在IP報頭和高層協議報頭之間插入一個IPSec報頭。IP報頭與原始IP分組中的IP報頭是一致的，只是IP報文中的協議字段會被改成IPSec協議的協議號（50或者51) ，并重新計算IP報頭校驗和。傳輸模式保護數據包的有效載荷、高層協議，IPSec源端點不會修改IP報頭中目的IP地址，原來的IP地址也會保持明文。

  傳輸模式只為高層協議提供安全服務。

  主要應用場景：經常用于主機和主機之間端到端通信的數據保護。

  封裝方式：不改變原有的IP包頭，在原數據包頭后面插入IPSec包頭，將原來的數據封裝成被保護的數據。

• 隧道模式(Tunnel mode)

  傳輸模式不同，在隧道模式下，原始IP分組被封裝成一個新的IP報文，在內部報頭以及外部報頭之間插入一個IPSec報頭，原IP地址被當作有效載荷的一部分受到IPSec的保護。通過對數據加密，還可以隱藏原數據包中的IP地址，這樣更有利于保護端到端通信中數據的安全性。

  封裝方式：增加新的IP（外網IP）頭，其后是ipsec包頭，之后再將原來的整個數據包封裝。

• 嚴格控制將要跳轉的域名。如果某個業務事先已經確定將要跳轉的網站，最穩妥的方式是將其直接編碼在源代碼中，通過URL中傳入的參數來映射跳轉網址。比如傳入jumpto=1則跳轉到order.aaa.com,傳入jumpto=2則跳轉到detail.aaa.com,傳入預期之外的參數直接報錯即可。但該方式可擴展性很差，隨著業務不斷發展，將會給開發工作添加額外的麻煩。

• referer的限制如果確定傳遞URL參數進入的來源，我們可以通過該方式實現安全限制，保證該URL的有效性，避免惡意用戶自己生成跳轉鏈接。

• 加入有效性驗證Token我們保證所有生成的鏈接都是來自于我們可信域的，通過在生成的鏈接里加入用戶不可控的Token對生成的鏈接進行校驗，可以避免用戶生成自己的惡意鏈接從而被利用，但是如果功能本身要求比較開放，可能導致有一定的限制。

工業防火墻安全防護的的技術路線：

• 白名單管理：工業防火墻的一個重要創新就是引入了白名單形式的安全策略控制。由于工控網絡通信固定化的特征，確定了使用白名單技術進行安全控制是解決工控網絡安全的一個重要且有效的方式。運用“通信白名單”機制，支持學習、告警、防護三種模式，分別對應產品的部署、試運行和正式運行，滿足工控網絡對設備的高可靠性要求。

• 安全策略規則：工業防火墻作為防火墻類的產品，內置的防火墻管理功能是其基礎功能之一，工業防火墻采用狀態檢測防火墻來實現相應的訪問控制功能。狀態檢測防火墻采用了狀態檢測包過濾技術，是傳統包過濾的功能擴展。狀態檢測防火墻在網絡層有一個檢查引擎，能夠截獲數據包并抽取出與應用層狀態有關的信息，以此為依據判斷該連接是否被接受。

• 工控協議深度解析：工業防火墻支持對OPC、Modbus、S7、Ethernet/IP（CIP）等數十種工控協議報文進行深度解析。

• 攻擊防護：工業防火墻支持對工控指令攻擊、控制參數篡改、病毒和蠕蟲等惡意代碼攻擊、各類DoS（SYN Flood、Ping Flood、UDP Flood、Ping of Death、LAND等）攻擊的防護。

• 安全域管理：支持將相同安全屬性的物理網口劃分到安全域中，通過安全域應用對相同安全需求的接口進行分類（劃分到不同的域），實現了策略的分層管理，更易于對策略進行維護。

• 日志管理：工業防火墻的日志管理功能將發生的安全事件、包過濾的動作、產生的日志等信息實時發送到管理中心，通過管理中心對日志進行關聯分析，使安全管理員第一時間發現網絡異常，了解什么時候有什么人試圖違背安全策略規則、白名單或者進行網絡攻擊。

信息安全等級保護工作主要分為以下這些環節：

• 定級：根據《信息系統安全等級保護定級指南》進行自主定級并填寫定級報告；

• 備案：根據《信息安全等級保護備案實施細則》進行備案；

• 建設整改：根據《關于開展信息安全等級保護安全建設整改工作的指導意見》進行相應的整改；

• 等級測評：整改結束后聯系測評單位對整改結果進行測評定級；

• 監督檢查：聯系公安部根據《公安機關信息安全等級保護檢查工作規范》監督和檢查；