每個用戶的每一個密碼都要使用獨一無二的鹽值。用戶每次創建帳號或更改密碼時，密碼應采用一個新的隨機鹽值。

永遠不要重復使用某個鹽值。這個鹽值也應該足夠長，以使有足夠多的鹽值能用于哈希加密。一個經驗規則是，鹽值至少要跟哈希函數的輸出一樣長。該鹽應和密碼哈希一起存儲在用戶帳號表中。

存儲密碼的步驟：

• 使用 CSPRNG 生成足夠長的隨機鹽值。

• 將鹽值混入密碼，并使用標準的密碼哈希函數進行加密，如Argon2、 bcrypt 、 scrypt 或 PBKDF2 。

• 將鹽值和對應的哈希值一起存入用戶數據庫。

校驗密碼的步驟：

• 從數據庫檢索出用戶的鹽值和對應的哈希值。

• 將鹽值混入用戶輸入的密碼，并且使用通用的哈希函數進行加密。

• 比較上一步的結果，是否和數據庫存儲的哈希值相同。如果它們相同，則表明密碼是正確的；否則，該密碼錯誤。

提高web應用系統在數據傳輸時的安全措施有以下這些：

• 應當避免在Web應用系統中直接使用HTTP協議以明文方式來傳輸用戶敏感信息。

• 應當避免在Web應用系統的HTTPS協議中使用弱密鑰加密算法來加密數據。

• 加強對數字證書的管理，及時安裝和更新數字證書，保持數字證書的有效性。

• 加強對Web應用系統及其安全組件的漏洞管理，定期檢測漏洞，及時安裝補丁，更新版本。

• 根據Web應用系統的性質，可采用一次性口令身份認證方式來保護用戶登錄信息。

大數據進行預處理有以下優勢：

• 數據預處理的引入，將有助于提升數據質量，并使后續的數據處理、分析、可視化過程更加容易、有效，有利于獲得更好的用戶體驗。數據預處理形式上包括數據清理、數據集成、數據歸約與數據轉換等階段。

• 數據清理技術包括數據不一致性檢測技術、臟數據識別技術、數據過濾技術、數據修正技術、數據噪聲的識別與平滑技術等。

• 數據預處理后數據集成把來自多個數據源的數據進行集成，縮短數據之間的物理距離，形成一個集中統一的（同構/異構）數據庫、數據立方體、數據寬表與文件等。

• 數據歸約技術可以在不損害挖掘結果準確性的前提下，降低數據集的規模，得到簡化的數據集。歸約策略與技術包括維歸約技術、數值歸約技術、數據抽樣技術等。

• 數據轉換處理后，數據被變換或統一。數據轉換不僅簡化了處理與分析過程、提升了時效性，也使得分析挖掘的模式更容易被理解。數據轉換處理技術包括基于規則或元數據的轉換技術、基于模型和學習的轉換技術等。

防火墻啟動時間一般在幾十秒到幾分鐘之間，因為根據防火墻品牌不同、性能不同所以啟動時的時間也是不盡相同。一些比較大型的防火墻或者交換機需要幾分鐘內才能完成重啟連接所有網絡，需要耐心等待一會，一般此類設備都是有指示燈來表明工作狀態的。如果是雙機熱備的備份防火墻啟動時間一般在幾秒內，所以防火墻具體的啟動時間需要根據購買型號和性能來判斷，也可以聯系商家進行咨詢。

防火墻主要是借助硬件和軟件的作用于內部和外部網絡的環境間產生一種保護的屏障，從而實現對計算機不安全網絡因素的阻斷。功能主要包括：

• 包過濾

  包過濾是防火墻所要實現的最基本功能，它可將不符合要求的包過濾掉。包過濾技術已經由原來的靜態包過濾發展到了動態包過濾，靜態包過濾只是在網絡層上對包的地址、端口等信息進行判定控制，而動態包過濾是在所有通信層上對包的狀態進行檢測分析，判斷包是否符合安全要求。動態包過濾技術支持多種協議和應用程序，易擴展、易實現。

• 審計和報警機制

  審計是一種重要的安全措施，用以監控通信行為和完善安全策略，檢查安全漏洞和錯誤配置，并對入侵者起到一定的威懾作用。報警機制是在通信違反相關策略以后，以多種方式如聲音、郵件、電話、手機短信息及時報告給管理人員。防火墻的審計和報警機制在防火墻體系中是很重要的，只有有了審計和報警，管理人員才可能知道網絡是否受到了攻擊。

• 遠程管理

  遠程管理是防火墻管理功能的擴展之一，也是非常實用的功能，防火墻是否具有這種遠程管理功能已成為選擇防火墻產品的重要參考指標之一。使用防火墻的遠程管理功能可以在辦公室直接管理托管在網絡運營部門的防火墻，甚至坐在家中就可以重新調整防火墻的安全規則和策略。

• NAT

  絕大多數防火墻都具有網絡地址轉換（NAT）功能。目前防火墻一般采用雙向NAT，即SNAT和DNAT。SNAT用于對內部網絡地址進行轉換，對外部網絡隱藏內部網絡的結構，使得對內部的攻擊更加困難；并可以節省IP資源，有利于降低成本。DNAT主要用于實現外網主機對內網和DMZ區主機的訪問。

• 代理

  目前代理主要有如下兩種實現方式。分別是透明代理（Transparent proxy）和傳統代理。

• MAC地址與IP地址的綁定

  把MAC地址與IP地址綁定在一起，主要用于防止那些受到控制（不允許訪問外網）的內部用戶通過更換IP地址來訪問外網。

• 流量控制（帶寬管理）和統計分析、流量計費

  流量控制可以分為基于IP地址的控制和基于用戶的控制。基于IP地址的控制是對通過防火墻各個網絡接口的流量進行控制，基于用戶的控制是通過用戶登錄來控制每個用戶的流量，從而防止某些應用或用戶占用過多的資源。并且通過流量控制可以保證重要用戶和重要接口的連接。

  統計分析是建立在流量控制基礎之上的。一般防火墻通過對基于IP、服務、時間、協議等進行統計，并與管理界面實現掛接，實時或者以統計報表的形式輸出結果。流量計費因此也是非常容易實現的。

• VPN

  在以往的網絡安全產品中，VPN是一個單獨產品，現在大多數廠商把VPN與防火墻捆綁在一起，進一步增強和擴展了防火墻的功能，這也是一種產品整合的趨勢。

被apt攻擊后可以進行以下操作：

• 使用威脅情報：這包括APT操作者的最新信息、從分析惡意軟件獲取的威脅情報、已知的C2網站、已知的不良域名、電子郵件地址、惡意電子郵件附件、電子郵件主題行、以及惡意鏈接和網站。威脅情報在進行商業銷售，并由行業網絡安全組共享。企業必須確保情報的相關性和及時性。威脅情報被用來建立“絆網”來提醒你網絡中的活動。

• 建立強大的出口規則：除網絡流量（必須通過代理服務器）外，阻止企業的所有出站流量，阻止所有數據共享和未分類網站。阻止SSH、FTP、Telnet或其他端口和協議離開網絡。這可以打破惡意軟件到C2主機的通信信道，阻止未經授權的數據滲出網絡。

• 收集強大的日志分析：企業應該收集和分析對關鍵網絡和主機的詳細日志記錄以檢查異常行為。日志應保留一段時間以便進行調查。還應該建立與威脅情報匹配的警報。

• 聘請安全分析師：安全分析師的作用是配合威脅情報、日志分析以及提醒對APT的積極防御。這個職位的關鍵是經驗。

• 對未知文件進行檢測：一般通過沙箱技術罪惡意程序進行模擬執行，通過對程序的行為分析和評估來判斷未知文件是否存在惡意威脅。

• 對終端應用監控：一般采用文件信譽與嘿白名單技術在終端上檢測應用和進程。

• 使用大數據分析方法：基于大數據分析的方法，通過網路取證，將大數據分析技術和沙箱技術結合全面分析APT攻擊。

安全漏洞掃描設備分類：

• 網絡型安全漏洞掃描設備

網絡型安全漏洞掃描器在工作時，主要是仿真黑客從網絡端發出數據包，以網絡主機接收到數據包時的響應作為判斷標準，進而測試基于主機的網絡操作系統、系統服務及各種應用軟件系統的漏洞。

在使用網絡型安全漏洞掃描器時，可以將它部署在直接連接Internet的客戶計算機上，掃描本機構主機系統的漏洞。這樣相當于仿真一個黑客從Internet直接攻擊企業的主機。

由于將掃描器部署在直接連接Internet的計算機上進行掃描速度會較慢，還可以采用把掃描器放在防火墻前面進行掃描的方法。這時的測試結果，可以幫助網絡管理員了解已經部署的防火墻究竟幫助企業內部網過濾了多少非法數據包，由此可知道防火墻配置得是否良好。通常，即使有防火墻把關，還是可以掃描出漏洞。因為除了人為配置的疏漏外，防火墻通常還是會為支持HTTP或FTP等網絡服務打開一些特定的端口允許數據包進入。這些防火墻所開放的端口，就只能依靠入侵檢測系統來把關了。

還可以將掃描器部署在防火區和企業內部網中進行安全漏洞掃描，以測試在沒有防火墻的把關下，主機系統存在多少安全漏洞。由于在企業內部網中沒有防火墻把關，因此除了使用掃描器來發現和消除企業內部網主機系統的漏洞外，還需要在企業內部網中部署入侵檢測系統，這樣才能夠實現企業內部網的“全天候”安全監控。安全漏洞掃描器和入侵檢測系統是相輔相成的。

• 主機型安全漏洞掃描設備

主機型安全漏洞掃描器，主要是針對如UNIX、Linux和Windows NT等操作系統內部的安全問題進行更深入的漏洞掃描。它可以彌補網絡型安全漏洞掃描器僅僅從外面通過網絡對系統進行安全測試的不足。

主機型安全漏洞掃描器常常采用客戶／服務器(Client／Server)應用軟件結構，有一個統一的控制臺(Console)程序，以及分別部署在各重要操作系統的代理程序(Agent)。安全漏洞掃描系統工作時，由控制臺給各個代理程序下達命令進行掃描，各代理程序將掃描測試結果回送到控制臺，最后由控制臺程序給出安全漏洞報表。

• 數據庫安全漏洞掃描設備

這是一種專門對數據庫服務器進行安全漏洞檢查的掃描器，與網絡型安全漏洞掃描類似，主要功能是要找出不安全的密碼設定、過期密碼設定，檢測登錄攻擊行為，關閉久未使用的賬戶，并且還能夠追蹤用戶登錄期間的活動等。

定期檢查每個登錄賬戶的密碼長度非常重要，因為密碼是數據庫系統的第1道防線。如果沒有定期檢查密碼的機制，用戶使用的密碼太短或太容易猜測，或是設定的密碼是字典上存在的詞匯，就很容易被黑客破解，導致數據泄露。許多關系型數據庫系統并不要求使用者設定密碼，更無嚴格的密碼安全檢查機制，所以問題更嚴重。由于在一些數據庫管理系統中，數據庫系統管理員的賬戶名稱(如在SQL Server數據庫和Sybase數據庫中是sa)不能更改，所以如果沒有密碼保護的功能，入侵者就能用字典攻擊程序進行密碼猜測攻擊。一旦數據庫管理員的密碼被攻破，數據庫就完全被攻占，無任何保密和安全可言。

謹慎使用網絡上的程序和文件

QQ、MSN都肆虐過尾巴病毒，QQ尾巴一般停留在感染QQ發送消息上面，而MSN病毒的肆虐曾經嚴重到影響整個MSN服務用戶的登錄，并且會使用戶懵懂中下載病毒程序，在電腦本機發作，對電腦進行破壞活動。當然還有一些惡意的人或是惡意網站，傳播病毒、進行非法的惡意操作。因此，上網的時候，一定要謹慎對待下載或是別人傳送的軟件，同時打開病毒防火墻和網絡防火墻，才能盡量避免在上網的時候，受到病毒的危害。

防范網絡攻擊和入侵

竊取工具也隨之流傳開來，尤其是一些木馬入侵工具，讓大家防不勝防，而網絡上無目標的IP攻擊行為更是讓人嗤之以鼻，操作系統的漏洞也被少數居心不良者利用，出現了很多通過網絡進行傳播、攻擊的病毒。

沒有網絡安全就沒有國家安全，沒有信息化就沒有現代化。

• 在信息時代，網絡安全對國家安全牽一發而動全身，同許多其他方面的安全都有著密切關系。

• 網絡空間是億萬民眾共同的精神家園。網絡空間不是“法外之地”。網絡空間是虛擬的，但運用網絡空間的主體是現實的，大家都應該遵守法律，明確各方權利義務。

• 網絡安全和信息化是相輔相成的。安全是發展的前提，發展是安全的保障，安全和發展要同步推進。 在信息時代，網絡安全對國家安全牽一發而動全身，同許多其他方面的安全都有著密切關系。沒有網絡安全就沒有國家安全，就沒有經濟社會穩定運行，廣大人民群眾利益也難以得到保障。

• 要樹立正確的網絡安全觀，加強信息基礎設施網絡安全防護，加強網絡安全信息統籌機制、手段、平臺建設，加強網絡安全事件應急指揮能力建設，積極發展網絡安全產業，做到關口前移，防患于未然。

• 網絡安全和信息化是事關國家安全和國家發展、事關廣大人民群眾工作生活的重大戰略問題，要從國際國內大勢出發，總體布局，統籌各方，創新發展，努力把我國建設成為網絡強國。

• 從老百姓衣食住行到國家重要基礎設施安全，互聯網無處不在。一個安全、穩定、繁榮的網絡空間，對一國乃至世界和平與發展越來越具有重大意義。

保障網絡安全措施有物理措施、訪問控制、數據加密、網絡隔離等等。

• 物理措施：例如，保護網絡關鍵設備（如交換機、大型計算機等），制定嚴格的網絡安全規章制度，采取防輻射、防火以及安裝不間斷電源（UPS）等措施。

• 訪問控制：對用戶訪問網絡資源的權限進行嚴格的認證和控制。例如，進行用戶身份認證，對口令加密、更新和鑒別，設置用戶訪問目錄和文件的權限，控制網絡設備配置的權限，等等。

• 數據加密：加密是保護數據安全的重要手段。加密的作用是保障信息被人截獲后不能讀懂其含義。防止計算機網絡病毒，安裝網絡防病毒系統。

信息安全系統風險評估輔助工具有以下這些：

• 檢查列表：檢查列表是基于特定標準或基線而建立，針對特定系統進行審查的項目條款。通過檢查列表，操作者可以快速定位系統目前的安全狀況與基線要求之間的差距。

• 入侵檢測系統：入侵檢測系統通過部署檢測引擎，收集和處理整個網絡中的通信信息，以獲取可能對網絡或主機造成危害的入侵攻擊事件；幫助檢測各種攻擊試探和誤操作；同時，也可以作為一個警報器，提醒管理員發生的安全狀況。

• 安全審計工具：用于記錄網絡行為，分析系統或網絡安全現狀；它的審計記錄可以作為風險評估中的安全現狀數據，并可用于判斷被評估對象威脅信息的來源。

• 拓撲發現工具：通過接入點接入被評估網絡，完成被評估網絡中的資產發現功能，并提供網絡資產的相關信息，包括操作系統版本、型號等。拓撲發現工具主要是自動完成網絡硬件設備的識別、發現功能。

• 資產信息收集系統：通過提供調查表形式，完成被評估信息系統數據、管理、人員等資產信息的收集功能，了解組織的主要業務、重要資產、威脅、管理上的缺陷、采用的控制措施和安全策略的執行情況。此類系統主要采取電子調查表形式，需要被評估系統的管理人員參與填寫，并自動完成資產信息獲取。

自動漏洞掃描程序會對掃描目標產生以下影響：

• 自動掃描損壞了Web應用程序：自動漏洞掃描程序將識別輸入參數，并嘗試注入特定模式來識別目標網站上的漏洞。這是通過掃描程序的漏洞檢查完成的。通常，這些檢查被開發為非侵入性的，但由于某些漏洞的性質，有些情況下某些檢查可能需要侵入性。

• 電子郵件泛洪:如果由自動漏洞掃描程序掃描的目標網站容易受到電子郵件泛洪或群發郵件攻擊的影響，則很可能由于對這些頁面和表單的自動掃描而產生大量電子郵件攻擊類型。當掃描程序測試這些頁面上的每個輸入是否存在已知漏洞（及其變體）時，它將多次提交表單，從而導致該站點在每次提交表單時生成一封電子郵件。這是惡意用戶可以輕松復制的另一個問題。

• 掃描使我的網絡服務器癱瘓:掃描過程中，自動掃描程序將向網站的頁面，表單，同一頁面的不同變體等發送大量請求。需要發送的請求數量取決于網站的大小和用戶已選擇的安全檢查。自動漏洞掃描程序通常將數千個Web請求發送到Web服務器。為了縮短掃描時間，自動漏洞掃描程序傾向于使用多個同時連接發送這些請求。如果Web服務器無法處理此數量的請求，則Web服務器可能會遭受自動掃描導致的拒絕服務癥狀。這可能會破壞Web應用程序提供的功能，并可能導致服務器完全停止響應。這也將增加Web應用程序的響應時間，從而導致無休止的掃描。

• 過多的服務器日志記錄:自動漏洞掃描程序發送的請求將包括服務器可能不期望的請求，因為掃描程序將使用意外的數據（有時是隨機數據）測試所有輸入和頁面。這可能會觸發來自Web應用程序的錯誤，該錯誤將記錄在Web應用程序或Web服務器的日志文件中。由于自動掃描程序會在短時間內發送大量請求，因此這將導致大量日志記錄，并可能導致托管Web應用程序的服務器磁盤空間不足。

• 自動化漏洞掃描器抓取了敏感鏈接:為了使自動漏洞掃描程序能夠映射出您要掃描的網站的整個目錄結構，它將以與擁有用戶相同的方式來分析和抓取網站每個頁面上存在的所有鏈接。點擊您網站上的每個鏈接。通過每個爬網的鏈接，發現新頁面，并映射整個站點結構。這可能會導致某些鏈接出現問題。一個很好的例子是“刪除”鏈接，點擊該鏈接將刪除數據庫中的用戶。自動掃描儀無法知道此鏈接的用途，因此也會嘗試對其進行爬網。這樣做可能會將用戶從數據庫中刪除。這種類型的問題可能會導致潛在的數據丟失或網站功能中斷。

以下介紹了使用 Docker 服務的安全加固方案，幫助您搭建一個安全可靠的容器集成環境。

使用強制訪問控制策略

啟用強制訪問控制（Mandatory Access Control (MAC)），根據業務場景的具體分析，對 Docker 中使用的各種資源設置訪問控制。 啟用 AppAamor 功能：

$  docker run --interactive --tty --security-opt="apparmor:PROFILENAME" centos

啟用 SElinux 功能：

$  docker daemon --selinux-enabled

關閉2375端口

關閉 docker API 2375 端口，防止出現安全問題后，docker 權限暴露。

不要使用root用戶運行docker應用程序

在軟件使用中，有一些必須由 root 用戶才能夠進行的操作。但從安全角度，您需要將這一部分操作與僅使用普通用戶權限即可執行的操作分離解耦。 在編寫dockerfile時，您可以使用類似如下的命令創建一個普通權限用戶，并設置創建的UID為以后運行程序的用戶:

RUN useradd noroot -u 1000 -s /bin/bash --no-create-home
USER noroot
RUN Application_name

禁止使用特權

默認情況下，Docker 容器是沒有特權的，一個容器不允許訪問任何設備；但當使用–privileged選項時，則該容器將能訪問所有設備。

例如，當打開–privileged選項后，您就可以對Host中/dev/下的所有設備進行操作。但如果不是必須對host上的所有設備進行訪問的話，您可以使用–device僅添加需要操作的設備。

開啟日志記錄功能

Docker的日志可以分成兩類，一類是 stdout 標準輸出，另一類是文件日志。Dockerd支持的日志級別有debug、info、warn、error、fatal，默認的日志級別為info。 必要的情況下，您需要設置日志級別，這可以通過配置文件，或者啟動參數-l或–log-level來完成。

方法一：修改配置文件/etc/docker/daemon.json。

{
  "log-level": "debug"
}

方法二：使用docker run的時候指定--log-driver=syslog --log-opt syslog-facility=daemon。

定期安全掃描和更新補丁

在生產環境中使用漏洞掃描工具可以檢測鏡像中的已知漏洞。

容器通常都不是從頭開始構建的，所以一定要進行安全掃描，以便及時發現基礎鏡像中任何可能存在的漏洞，并及時更新補丁。

在應用程序交付生命周期中加入漏洞掃描的安全質量控制，防止部署易受攻擊的容器。

通過采用以上積極的防范措施，即在整個容器的生命周期中建立和實施安全策略，可以有效地保證一個集成容器環境的安全性。

電腦操作系統分為Windows和Mac，其更改開機密碼的方式各有不同，Windows 10是由美國微軟公司開發的應用于計算機和平板電腦的操作系統，設置密碼步驟如下：

1. 進入開始菜單

   點擊windows桌面左下角的開始圖標選擇設置圖標；

   

2. 選擇賬戶設置

   在windows設置中選擇賬戶模塊；

   

3. 登錄選項設置

   在賬戶信息設置中選擇登錄選項設置；

   

4. 設置密碼

   在登錄選項界面中選擇密碼選項進入密碼設置界面；

   

5. 輸入當前密碼

   在更改密碼界面中輸入當前密碼；

   

6. 更改密碼

   在更改密碼界面中輸入新密碼和確認密碼后在輸入一個密碼提示即完整密碼的更改。

   

MAC系統更改開機密碼方式如下：

1. 進入系統偏好設置

   選擇Mac桌面上左上角的蘋果圖標在下拉選項中選擇系統偏好設置并進入；

   

2. 用戶與群組設置

   進入系統偏好設置后找的用戶與群組設置進入即可；

   

3. 更改密碼選項

   在彈出的用戶與群組對話框中點擊用戶頭像的右側的更改密碼選項，來進行修改密碼；

   

4. 輸入新密碼

   在彈出更改密碼對話框中輸入新密碼和重復密碼，如果有舊密碼要先輸入，輸入完成后即可完成開機密碼的設置；

   

軟件安全開發周期使用率低的原因有以下這些：

• DevOps的交付模式：互聯網頻繁的迭代和發布，不同于傳統的軟件開發過程。如果一個軟件要一年交付，那么在前期抽出2～4周做安全設計也可以接受，但在互聯網交付節奏下，可能一周到一個月就要發布版本，你可能沒有足夠的時間去思考安全這件事。對于SDL會拖慢整個發布節奏這個問題上，安全團隊去推動也會直面公司管理層和研發線的挑戰。不過當你有經驗豐富的安全人員和自動化工具支持時，SDL在時間上是可以大大縮短的。

• 歷史問題：99%的甲方安全團隊的工作都是以救火方式開始，SDL從來都不是安全建設第一個會想到的事情，而且業內心照不宣的一個原因是，“事前用不上力，偏事后風格的安全建設”貫穿于大多數安全團隊的主線。之所以如此，原因是第一有火必救，有的團隊救火上癮，有的則能抽身轉向系統性建設；第二想在事前用力，需要自己足夠強大，能擺平研發，不夠強大就會變成庸人自擾，自討沒趣，還不如回避。

• 業務模式：大多數平臺級互聯網公司的開發以Web為主，超大型互聯網公司才會進入底層架構造輪子的階段，而對于以Web產品為主的安全建設，第一是事后修補的成本比較低，屢試不爽；第二是部分產品的生命周期不長，這兩點一定程度上會讓很多后加入安全行業的新同學認為“救火”=“安全建設”。但是在甲方待久了的人一定會發現，哪怕是Web，只要系統比較大，層層嵌套和不同子系統間的接口調用，會使得某些安全問題的修補成為疑難病癥，可能就是設計之初沒有考慮安全，致使問題不能得到根治。時間一久，技術債越積越多，大家最后一致默認這個問題沒法解決。

• 安全專家少：很多安全工作者懂攻防但未必懂開發，懂漏洞但未必懂設計，所以現實往往是很多安全團隊能指導研發部門修復漏洞，但可能沒意識到其實缺少指導安全設計的積累，因為安全設計是一件比漏洞修復門檻更高的事。看業內很多技術不錯的安全研究者，寫的文章，往往前半篇漏洞分析很給力，但到了安全建議環節好像就覺得少了點什么。

• 工具支持少：靜態代碼掃描、動態Fuzz等，工欲善其事必先利其器。而對于國內很多安全團隊而言，最好的人都不會用在工具開發上，而是奮斗在攻防第一線做救火隊長。稍微好一點的情況是這幫人投入在做安全機制建設上，而業務部門也不會來幫助安全團隊開發安全工具。這還跟公司整體上是否重視自動化測試有關，如果公司在測試領域的實踐沒有做到很前沿，那么安全的黑白盒測試也不會注重工具化建設，代碼覆蓋率和路徑深度等更加不會有人去關注了。實際上不一定要在這個場景下自己去造輪子，用商業工具是不錯的選擇。

馬斯洛需求將網絡安全建設分為以下五個級別：

• LV1通過一些較為基礎的安全措施做到了基礎的訪問控制，并且交付的系統不含有明顯的高危漏洞。但對于復雜的安全事件自身沒有獨立處理的能力，必須依賴于外部廠商。

• LV2有專職的安全團隊，有攻防技術能力，能做到有火必救，不依賴于外部廠商。但在安全建設上缺乏思路，大多依賴商業產品或照搬已有的安全模式。

• LV3安全建設呈現初步的系統化，覆蓋全生命周期，開發和運維環節都有必要的控制流程，主要的系統在架構上都會考慮安全方案，檢測和防護手段能因地制宜。

• LV4除了基礎架構，應用，數據等技術層面安全能做到全生命周期系統化建設，業務層面的安全問題也有系統化解決方案。安全此時不只關注技術層面的攻防對抗，也關注業務形式的安全以及黑產的對抗。

• LV5安全建設進入最佳實踐階段，不依賴于現有的安全機制，也不依賴于廠商的安全產品，雖說自己造輪子不代表最佳實踐，不過對于互聯網公司攻防和業務層面的安全問題，如果想做的好一點，不自己發明輪子似乎不太可能，至少現在市場上缺少很多針對互聯網的解決方案。在這個階段，嚴重的安全事件幾乎很少發生，大多數精力都會用于優化現有系統的檢測和攔截率。

日志審計系統一般采用旁路部署，要到達全部設備網絡可通即可，支持單機部署和分布式部署。

旁路單臺部署：無需更改現有網絡，直接接入到用戶指定的交換機上，網絡可通即可。實施設備分為軟件安裝部署和硬件盒子部署。如下圖：

旁路分布式部署：集中管理，所有配置管理統一入庫；日志事件分散解析、關聯分析，集中存儲、查詢；管理中心集中存儲解析、關聯分析后的核心關鍵數據，降低數據中心壓力。如下圖：