網絡隱患掃描系統所采用的基本方法有以下四種：

• 基于單機系統的安全評估系統：這是最早期所采用的一種安全評估軟件，使用的是基于單系統的方法。安全檢測人員針對每臺機器運行評估軟件進行獨立的檢測。

• 基于客戶的安全評估系統：基于客戶機的方法中，安全檢測人員在一臺客戶機上執行評估軟件。在網絡中的其他機器并不執行此程序。

• 采用網絡探視方式的安全評估系統：網絡探測型的評估軟件是在一個客戶端執行，它通過網絡探測網絡和設備的安全漏洞。目前，國外很多功能較為完善的系統，如NAI的CyberCops Scanner等采用了這種方式。網絡探測將模擬入侵者所采用的行為，從系統的外圍進行掃描試圖發現網絡的漏洞。

• 采用管理者/代理方式的安全評估系統：管理者/代理類型的安全隱患掃描結合了網絡探測等技術，為企業級的安全評估提供了一種高效的方法。安全管理員通過一臺管理器，來控制位于網絡中不同地點的多個安全掃描代理（包含安全掃描和探測的代碼），以控制和管理大型系統中的安全隱患掃描。這是更先進的一種設計思想。

包過濾防火墻安全規則過濾域有:

• 源IP地址

源IP地址指的就是發送數據包的那個電腦的IP地址。

• 源端口

源端口（Source Port）是指一個發送的分組來自的TCP/UDP 端口，當目的地端口是接收的一個分組的 TCP/UDP 端口。

• 目的IP地址

目的IP地址就是想要發送到的那個電腦的IP地址。

• 目的端口

目的端口就是遠程端口。

• 協議

計算機在網絡中實現通信時必須遵守的規則和約定。

在發現軟件的安全漏洞以后，軟件公司采取的辦法多數是發布“補丁”程序，以修正軟件中所出現的問題，況且對于他們來說，這要比在開發軟件時阻止漏洞產生要容易得多。雖然補丁的數量越來越多，但安全性卻沒有很大的提高的主要原因如下：

• 對于軟件商來講，目前還缺乏探知軟件漏洞的工具，等發現漏洞之后可能危害已經發生了，“補丁”程序也只起到亡羊補牢的作用；

• 有些軟件“補丁”是很難補上去的，即使能補上了，也不一定能補得天衣無縫；

• 有些用戶不能及時得知軟件存在漏洞和已有“補丁”的信息，即使知道了，也可能因種種原因而根本無暇安裝“補丁”程序。

總之，軟件中存在缺陷是難免的，如何預知、如何及早排除隱患和如何減少軟件中存在的這樣或那樣的不安全因素等諸多問題都屬軟件質量方面的問題。解決這類問題一方面需要加強軟件開發管理，另一方面需要加強軟件質量檢測、監督和評估。

信息網絡安全風險評估的方法是定性評估和定量評估相互結合。定性評估是指對事物(指標等)的特性描述和材料分析之后。制定出定性的評估標準，按一定的標準進行評價。定量評估是指依據統計數據，建立數學模型，并用數學模型計算出分析對象的各項指標及其數值來評估分析的一種方法。與定性分析評估相對應的（主要憑分析者的直覺、經驗，憑分析）。而將兩者結合通過一定標準和評估者的經驗就是信息安全風險評估。

一個完善的信息安全風險評估架構應該具備相應的標準體系、技術體系、組織架構、業務體系和法律法規。信息安全風險評估的基本過程主要分為：

1. 風險評估準備過程

2. 資產識別過程

3. 威脅識別過程

4. 脆弱性識別過程

5. 風險分析過程

APT攻擊特征有以下這些：

• 極強的隱蔽性：APT攻擊與被攻擊對象的可信程序漏洞與業務系統漏洞進行了融合，在組織內部，這樣的融合很難被發現。

• 潛伏期長持續性強：APT攻擊是一種很有耐心的攻擊形式，攻擊和威脅可能在用戶環境中存在一年以上，他們不斷收集用戶信息，直到收集到重要情報。他們往往不是為了在短時間內獲利，而是把“被控主機”當成跳板，持續搜索，直到充分掌握目標對象的使用行為。所以這種攻擊模式，本質上是一種“惡意商業間諜威脅”，因此具有很長的潛伏期和持續性。

• 目標性強：不同于以往的常規病毒，APT制作者掌握高級漏洞發掘和超強的網絡攻擊技術。發起APT攻擊所需的技術壁壘和資源壁壘，要遠高于普通攻擊行為。其針對的攻擊目標也不是普通個人用戶，而是擁有高價值敏感數據的高級用戶，特別是可能影響到國家和地區政治、外交、金融穩定的高級別敏感數據持有者。

• 技術高級：攻擊者掌握先進的攻擊技術，使用多種攻擊途徑，包括購買或自己開發的0day漏洞，而一般攻擊者卻不能使用這些資源。而且，攻擊過程復雜，攻擊持續過程中攻擊者能夠動態調整攻擊方式，從整體上掌控攻擊進程。

• 威脅性大：APT攻擊通常擁有雄厚的資金支持，由經驗豐富的黑客團隊發起，一般以破壞國家或大型企業的關鍵基礎設施為目標，竊取內部核心機密信息，危害國家安全和社會穩定。

企業監測APT攻擊的方式有以下這些：

• 異常檢測：這一方案是同時解決兩大問題的，即為解決特征匹配和實時檢驗不足而產生的解決方案。這一方案是利用將網絡中正常行為產生的數據量建立一個模型，通過將所有數據量與這一標準模型進行對比，從而找出異常的數據量。正如警察在抓捕壞人時的方法是一致的，由于警察并不知道壞人的姓名，性別，長相已經其他行為特征，但是警察是知道好人的行為特征的，他可以利用這些行為特征建立一個可行的標準模型，當一個人的行為特征與現有的好人的行為特征模型大部分不相符時，警察就可以判斷這個人不是個好人，是一個危險人物。異常檢測的核心技術是基于連接特征的惡意代碼檢測規則、基于行為模式的異常檢測算法、元數據提取技術。

• 基于連接特征的惡意代碼檢測：是用來檢測已知的木馬通信行為。基于行為模式的異常檢測算法包含可疑加密文件傳輸等。

• 全流量審計：這一方案是解決 A，P 問題的，即是為了解決傳統特征匹配不足而產生的解決方案。這一方案的核心思想是通過對檢測到的流量進行應用識別，還原所發生的異常行為。它的原理是對流量進行更為深刻的協議解析和應用還原，識別這些網絡行為中是否包含有攻擊行為。當檢測到可疑性攻擊行為時，回溯分析與之相關的流量。包含了大數據存儲處理，應用識別和文件還原等技術。這一方案具備強大的實時檢測能力和事后回溯能力，是將計算機強大的存儲能力與安全人員的分析能力相結合的完整解決方案。

• 基于記憶的檢測系統：這是一個由全流量審計與日志審計相結合形成的系統，APT 攻擊發生的時間很長，我們應該對長時間內的數據流量進行更加深入，細致的分析。

• 沙箱：這一方案是為了解決高級入侵手段引起的問題的，即解決特征匹配對新型攻擊的滯后性而產生的解決方案。攻擊者利用 0day 漏洞，使特征碼的匹配不成功，這樣我們就可以對癥下藥使用非特征匹配，利用沙箱技術識別 0day 漏洞攻擊和異常行為。沙箱方案的原理是將實時流量先引進虛擬機或者沙箱，通過對沙箱的文件系統、進程、網絡行為、注冊表等進行監控，監測流量中是否包含了惡意代碼。相較于一般傳統的特征匹配技術，沙箱方案對未知的惡意程序攻擊具有較好的檢測能力。

• 基于深層次協議解析的異常識別：可以仔細檢查發現是哪一種協議，一個數據在哪個地方出現了異常，直到找出它的異常點時停止檢測。

• 攻擊溯源：通過已經提取出來的網絡對象，可以重建一個時間內可疑的所有內容。通過將這些事件重新排列順序，可以幫助我們迅速的發現攻擊源。

網絡安全威脅建模的優勢有以下這些：

• 更快確定威脅優先級：有些威脅比其他威脅更嚴重。例如，針對開發測試環境的威脅可能不如影響生產系統的威脅那么嚴重。 評估每個威脅的潛在嚴重性有助于團隊確定在緩解過程中優先考慮哪些威脅。

• 主動響應更快：威脅建模允許組織采取主動的方法進行威脅管理。他們可以比攻擊者領先一步，而非等待攻擊發生然后才做出響應；

• 識別新的威脅類型：隨著攻擊者不斷發現新的漏洞并開發新的漏洞利用技術，威脅形勢正在不斷變化。通過允許團隊評估可能影響他們的現有威脅，威脅建模能夠幫助企業領先一步識別新興威脅；

• 改進安全態勢：有時，緩解威脅的最佳方法是更改您的系統設計。例如，也許您有一個面向公眾的資源，可以將其移到防火墻后以緩解基于網絡的安全風險。在這些情況下，威脅建模可幫助企業采取措施強化其基礎安全態勢并減少攻擊面。

• 更有效地利用資源：可用于IT安全的資源總是有限的。通過啟用系統化的威脅管理方法，威脅建模可幫助企業從現有資源中獲取最大程度的保護力度。

• 溝通更方便：威脅建模使團隊更容易以一致、集中的方式就威脅進行溝通。與其只關注可能影響各自管理的特定系統的威脅，每個工程師和開發人員團隊可以在整個組織內共享威脅評估信息和見解，并共同努力緩解它們。

• 證明對安全性的承諾：執行威脅建模的簡單行為有助于證明企業非常重視安全。這對于審計和合規目的可能很重要，尤其是在合規要求包括需要組織采取合理措施來保護敏感數據和應用程序的情況下。

等級保護由公安部牽頭其網安支隊執行，網安支隊監督是檢查、指導、協調全市公共信息網絡和國際互聯網的安全保護及管理工作，指導全市公安機關互聯網監控點建設和網上信息監控工作，查處危害公共信息網絡的違法犯罪案件，負責全市網吧安全管理工作及網吧違法案件的查處工作，負責重點領域計算機的安全管理工作。

公共信息網絡安全監察是國家賦予公安機關的一項重要職能，是公安機關在互聯網信息網絡領域承擔的 一項重要安全保衛任務。公共信息網絡安全監察部門是以網絡技術為主要手段，集情報信息、偵察控制 、打擊犯罪、防范管理于一體的實戰部門。

另外中國公安機關的職責還包括：

• 預防、制止和偵查違法犯罪活動；
• 防范、打擊恐怖活動；
• 維護社會治安秩序，制止危害社會治安秩序的行為；
• 管理交通、消防、危險物品；
• 管理戶口、居民身份證、國籍、出入境事務和外國人在中國境內居留、旅行的有關事務；
• 維護國（邊）境地區的治安秩序；
• 警衛國家規定的特定人員、守衛重要場所和設施；
• 管理集會、游行和示威活動；
• 監督管理公共信息網絡的安全監察工作；
• 指導和監督國家機關、社會團體、企業事業組織和重點建設工程的治安保衛工作，指導治安保衛委員會等群眾性治安保衛組織的治安防范工作。

在企業網絡管理中，可利用域控制器實現對某些軟件的使用限制。當用戶利用域賬戶登錄到本機電腦時，系統會根據這個域賬戶的訪問權限，判斷其是否有某個應用軟件的使用權限。當確定其沒有相關權限時，操作系統就會拒絕用戶訪問該應用軟件，從而管理企業員工的操作行為。這就是域環境中的軟件限制策略。

應用軟件與數據文件的獨立原則

在使用軟件限制策略時，應堅持“應用軟件與數據文件獨立”的原則，即用戶即使具有數據文件的訪問權限，但若沒有其關聯軟件的訪問權限，仍然不能打開這個文件。比如，某個用戶從網上下載了一部電影，雖然他作為所有者具有對該數據文件進行訪問的權限，但軟件限制策略限制了該用戶賬戶對任何視頻播放軟件的訪問，因此，該用戶仍然無法播放這部電影。

這就是應用軟件與數據文件獨立的原則，該原則在實際應用中非常有用。因為很難控制用戶從網絡上下載文件，如用戶可從網絡上下載歌曲，甚至通過U盤等移動存儲介質從企業外部把文件拷貝到內部電腦中，這些行為很難控制。但是可以做到對用戶的應用程序進行控制，只需把這些應用程序控制好，即使用戶私自下載了受限制的文件，用戶最終也不能打開。

軟件限制策略的沖突處理原則

軟件限制策略與其他組策略一樣，可以在多個級別上進行設置。即可將軟件限制策略看成是組策略中的一個特殊分支。所以，軟件限制策略可以在本地計算機、站點、域或組織單元等多個環節進行設置。每個級別又可以針對用戶與計算機進行設置。

當在各個設置級別上的軟件限制策略發生沖突時，應考慮優先性問題。一般來說，其優先性的級別從高到低為“組織單元策略”“域策略”“站點策略”和“本地計算機策略”。這就是說組織單元策略要比域策略的優先級高。如在域策略中限制用戶使用視頻播放器，而在一個組織單元中允許該單元中的賬戶具有視頻軟件的權限，即使這個組織單元在這個域中，只要賬戶屬于這個組織單元，仍然可以使用視頻軟件。

軟件限制的規則

默認情況下，軟件限制策略提供了“不受限的”和“不允許的”兩種軟件限制規則。“不受限的”規則規定所有用戶都可以運行指定的應用軟件。只要用戶具有數據文件的訪問權限，就可以利用軟件打開該文件。因此，應用軟件的訪問權限與數據文件的訪問權限是獨立的。用戶只具有應用軟件或數據文件的訪問權限往往還不夠，只有當兩者權限都有，才能夠打開相關的文件。“不允許的”規則規定所有用戶，都不能運行指定應用軟件，無論其是否對數據文件具有訪問權限。系統默認的策略是所有軟件運行都是“不受限的”，即只要用戶對于數據文件有訪問權限，就可以運行對應的應用軟件。

IBM漏洞掃描工具只有IBM Security AppScan Standard這一款掃描工具，該工具是款功能實用的Web應用安全測試工具；使用該軟件用戶可以對您的安全漏洞進行評估，并且發現漏洞可以及時的完成修復，這樣有效的完成對應用安全的風險降低，并且也能對應用的安全進行增強；該軟件對安全計劃功能內置，快速的完成對計劃的增強，而且使用的方式簡單，快速，無需進行學習就能完成測試。

除了上述的IBM漏洞掃描器還有以下比較好用的漏洞掃描器：

1. OpenVAS漏洞掃描工具：OpenVAS漏洞掃描器是一種漏洞分析工具，由于其全面的特性，IT部門可以使用它來掃描服務器和網絡設備。

2. Tripwire IP360：Tripwire IP360是市場上領先的漏洞管理解決方案之一，它使用戶能夠識別其網絡上的所有內容，包括內部部署，云和容器資產。

3. Nessus漏洞掃描工具：Nessus提供了一個主動的安全程序，在黑客利用漏洞入侵網絡之前及時識別漏洞，同時還處理遠程代碼執行漏洞。它關心大多數網絡設備，包括虛擬，物理和云基礎架構。

4. Comodo HackerProof：Comodo HackerProof是另一款優秀的漏洞掃描程序，它具有強大的功能，可讓IT部門每天掃描其漏洞。

DLL是一個包含可由多個程序同時使用的代碼和數據的庫。通過使用DLL，程序可以實現模塊化，由相對獨立的組件組成。可以更為容易地將更新應用于各個模塊，而不會影響該程序的其他部分。當我們執行某一個程序時，相應的DLL文件就會被調用。一個應用程序可有多個DLL文件，一個DLL文件也可能被幾個應用程序所共用，這樣的DLL文件被稱為共享DLL文件。

針對DLL的攻擊手段有以下這些：

• BT鏈接下載傳播：挖掘出支持BT下載的流行軟件（比如uTorrent ）的DLLHijacking漏洞，然后構造一個惡意dll文件（估計會設置隱藏屬性，這樣你解壓以后將不會看到這個文件）和BT種子文件打包成壓縮包上傳到網上供用戶下載，用戶一旦下載了這個壓縮包雙擊BT種子文件的時候會調用uTorrent 打開，uTorrent 運行的時候由于設計上的不和諧根據dll加載的順序最后會將種子所在目錄的惡意dll加載。

• 圖片分享傳播：挖掘出流行圖片瀏覽工具的DLLHijacking漏洞，然后構造一個惡意dll文件和圖片文件打包成壓縮包上傳到網上供用戶下載，用戶一旦下載了這個壓縮包，解壓瀏覽圖片后會調用圖片瀏覽工具打開從而觸發漏洞加載惡意dll文件。

• 軟件下載包含的網頁文件傳播：挖掘出流行網頁瀏覽工具的DLL Hijacking漏洞，然后構造一個惡意dll文件，應用程序和html等網頁文件打包成軟件壓縮包并上傳到網上供用戶下載。用戶一旦下載了這個軟件壓縮包，解壓以后運行安裝必看.htm之類的網頁文件會調用網頁瀏覽工具打開從而觸發漏洞加載惡意dll文件。

• 熱門視頻音頻文件傳播：挖掘出流行視頻音頻播放工具的DLL Hijacking漏洞，然后構造一個惡意dll文件和rmvb等視音頻文件打包壓縮包并上傳到網上供用戶下載。用戶一旦下載了這個壓縮包，解壓播放相應視頻的時候從而觸發漏洞加載惡意dll文件。

由于它們僅是代碼，因此病毒和其他惡意軟件僅能夠影響您計算機上的數據，而不會對其造成物理損壞。但是，有些病毒旨在物理損壞計算機或連接到計算機的硬件設備。能夠損壞硬件的最著名的病毒之一是Stuxnet，其目的是針對工業設備，例如核反應堆。

1. owasp

   OWASP是一個開源的、非盈利的全球性安全組織，致力于應用軟件的安全研究。我們的使命是使應用軟件更加安全，使企業和組織能夠對應用安全風險做出更清晰的決策。目前OWASP全球擁有250個分部近7萬名會員，共同推動了安全標準、安全測試工具、安全指導手冊等應用安全技術的發展。

2. nikto

   Nikto是一款開源的（GPL）網頁服務器掃描器，它可以對網頁服務器進行全面的多種掃描，包含超過3300種有潛在危險的文件CGIs；超過625種服務器版本；超過230種特定服務器問題。

3. Wapiti

   Wapiti 是另一個基于終端的 Web 漏洞掃描器，它發送 GET 和 POST 請求給目標站點，來尋找漏洞。

4. nessus

   Nessus 是目前全世界最多人使用的系統漏洞掃描與分析軟件。總共有超過75,000個機構使用Nessus 作為掃描該機構電腦系統的軟件。

5. wpscan

   wpscan是針對wp程序的漏洞掃描工具，支持插件漏洞掃描，用戶名枚舉等騷操作。是居家旅行殺人放火之必備神器。

   但是，只能針對wp程序，而其他程序則不行。

無線通信易受攻擊的特性包括以下幾個方面：

• 非法讀寫器截獲數據：非法讀寫器截取標簽傳輸的數據。

• 第三方堵塞數據傳輸：非法用戶可以利用某種方式去阻塞數據在電子標簽和讀寫器之間的正常傳輸。最常用的方法是欺騙，攻擊者可以事先構造好大量的虛假標簽，讀寫器和標簽開始通信時，這些虛假標簽也會對通信進行響應，導致讀寫器不能分辨正確的標簽響應，使讀寫器過載，無法接收正常標簽數據，這種方法也被稱為拒絕服務攻擊。

• 偽造標簽發送數據：偽造的標簽向讀寫器提供虛假數據，欺騙RFID系統接收、處理以及執行錯誤的電子標簽數據。

• 侵犯讀寫器內部的數據：在讀寫器發送數據、清空數據或是將數據發送給主機系統之前，都會先將信息存儲在內存中，并用它來執行某些功能。在這些處理過程中，讀寫器就像其他計算機系統一樣存在安全侵入問題，攻擊者可以針對讀寫器發起一系列的安全攻擊，從而引發數據的泄露和篡改問題。

• 主機系統侵入：電子標簽傳出的數據經過讀寫器到達主機系統后，將面臨現存主機系統的RFID數據的安全侵入問題。

電子商務安全認證技術主要有以下幾種：

• 數字證書：數字證書是指在互聯網通訊中標志通訊各方身份信息的一個數字認證，人們可以在網上用它來識別對方的身份。

• 數字時間戳：這其中需要在經過數字簽名的交易上打上一個可信賴的時間戳，從而解決一系列的實際和法律問題。由于用戶桌面時間很容易改變，由該時間產生的時間戳不可信賴，因此需要一個權威第三方來提供可信賴的且不可抵賴的時間戳服務。

• 數字簽名：數字簽名（又稱公鑰數字簽名）是只有信息的發送者才能產生的別人無法偽造的一段數字串，這段數字串同時也是對信息的發送者發送信息真實性的一個有效證明。

網絡踩點常用的技術有以下這些：

• Web信息收集：Web信息收集是利用Web搜索引擎提供的功能，對被攻擊目標（組織或個人）的公開信息進行收集并發現為進一步實施攻擊有用的信息。對于攻擊者來說，從互聯網的海量信息中收集與攻擊目標有關的信息，是一種最為直接的網絡踩點方法，強大的Web搜索引擎可以幫助攻擊者實現這一目的。由于每一種搜索引擎都存在搜索功能、范圍和效果上的差異性，因此為了能夠綜合不同搜索引擎的優勢進行信息的收集，提出了“元搜索引擎”的概念。所謂元搜索引擎，又稱為集合型搜索引擎，是指將多個單一搜索引擎集成在一起，提供統一的檢索接口，將用戶的檢索提問同時提交給多個獨立的搜索引擎，并進一步對多個獨立搜索引擎的檢索結果進行處理（包括去重、排序等），最后將處理結果提交給攻擊者。

• 地址信息查詢：在網絡踩點中多采用DNS和IP查詢方法。利用DNS和IP地址信息，攻擊者可以獲得攻擊目標的互聯網位置信息及相關聯的地理位置信息。例如，利用Whois可以在互聯網上查詢到DNS注冊信息，一般包括注冊人和注冊商的詳細信息，通過這些信息便可以獲得注冊人（單位或個人）的具體地理位置等信息。又如，利用IP Whois可以在互聯網查詢到DNS注冊人所使用的IP地址、通信地址、聯系電話等信息。有了這些信息，攻擊者可以掌握攻擊目標的網絡空間和社會空間信息，為進一步實施物理攻擊或社會工程學攻擊提供幫助。

• 網絡拓撲探測：路由路徑跟蹤是實現網絡拓撲探測的主要手段，Linux操作系統中的traceroute和Windows環境中的tracert程序分別提供了不同平臺上的路由路徑跟蹤功能。兩者的實現原理相同，都是用TTL（IP生存時間）字段和ICMP錯誤消息來確定從一個主機到網絡上其他主機的路由，從而確定IP數據包訪問目標IP所采取的路徑。當對目標網絡中的不同主機進行相同的路由跟蹤后，攻擊者就可以綜合這些路徑信息，繪制出目標網絡的拓撲結構，并確定關鍵設備在網絡拓撲中的具體位置信息。