ARP攻擊對局域網會造成以下影響：

• 局域網內頻繁區域性或整體掉線，重啟計算機或網絡設備后恢復正常。當帶有ARP欺騙程序的計算機在網內進行通訊時，就會導致頻繁掉線，出現此類問題后重啟計算機或禁用網卡或重啟網絡設備會暫時解決問題，但掉線情況還會發生;

• 網速時快時慢，極其不穩定，但單機進行數據測試時一切正常當局域內的某臺計算機被ARP的欺騙程序非法侵入后，它就會持續地向網內所有的計算機及網絡設備發送大量的非法ARP欺騙數據包，阻塞網絡通道，造成網絡設備的承載過重，導致網絡的通訊質量不穩定;

• 網站被加入一些本地沒有的代碼，即本地訪問時正常，外網訪問時卻出現額外的代碼。

ARP 攻擊的危害有以下類型：

• 網絡異常：具體表現為：掉線、IP沖突等。

• 數據竊取：具體表現為：個人隱私泄漏(如MSN聊天記錄、郵件等)、賬號被盜用(如QQ賬號、銀行賬號等)。

• 數據篡改：具體表現為：訪問的網頁被添加了惡意內容，俗稱“掛馬”。

• 非法控制：具體表現為：網絡速度、網絡訪問行為(例如某些網頁打不開、某些網絡應用程序用不了)受第三者非法控制。

以下軟件可以掃描博彩網站漏洞：

• Nikto

  是一個開源的Web服務器掃描程序，它可以對Web服務器的多種項目(包括3500個潛在的危險文件/CGI，以及超過900個服務器版本，還有250多個服務器上的版本特定問題)進行全面的測試。其掃描項目和插件經常更新并且可以自動更新(如果需要的話)。

• Paros proxy

  這是一個對Web應用程序的漏洞進行評估的代理程序，即一個基于Java的web代理程序，可以評估Web應用程序的漏洞。

• WebInspect

  這是一款強大的Web應用程序掃描程序。SPI Dynamics的這款應用程序安全評估工具有助于確認Web應用中已知的和未知的漏洞。它還可以檢查一個Web服務器是否正確配置，并會嘗試一些常見的Web攻擊，如參數注入、跨站腳本、目錄遍歷攻擊(directory traversal)等等。

• WebScarab

  可以分析使用HTTP 和HTTPS協議進行通信的應用程序，WebScarab可以用最簡單地形式記錄它觀察的會話，并允許操作人員以各種方式觀查會話。如果你需要觀察一個基于HTTP(S)應用程序的運行狀態，那么WebScarabi就可以滿足你這種需要。不管是幫助開發人員調試其它方面的難題，還是允許安全專業人員識別漏洞，它都是一款不錯的工具。

• Acunetix Web Vulnerability Scanner

  這是一款商業級的Web漏洞掃描程序，它可以檢查Web應用程序中的漏洞，如SQL注入、跨站腳本攻擊、身份驗證頁上的弱口令長度等。它擁有一個操作方便的圖形用戶界面，并且能夠創建專業級的Web站點安全審核報告。

• Whisker/libwhisker

  Libwhisker是一個Perla模塊，適合于HTTP測試。它可以針對許多已知的安全漏洞，測試HTTP服務器，特別是檢測危險CGI的存在。Whisker是一個使用libwhisker的掃描程序。

• Burpsuite

  這是一個可以用于攻擊Web應用程序的集成平臺。Burp套件允許一個攻擊者將人工的和自動的技術結合起來，以列舉、分析、攻擊Web應用程序，或利用這些程序的漏洞。各種各樣的burp工具協同工作，共享信息，并允許將一種工具發現的漏洞形成另外一種工具的基礎。

• Wikto

  可以說這是一個Web服務器評估工具，它可以檢查Web服務器中的漏洞，并提供與Nikto一樣的很多功能，但增加了許多有趣的功能部分，如后端miner和緊密的Google集成。它為MS.NET環境編寫，但用戶需要注冊才能下載其二進制文件和源代碼。

• N-Stealth

  N-Stealth是一款商業級的Web服務器安全掃描程序。它比一些免費的Web掃描程序，如Whisker/libwhisker、 Nikto等的升級頻率更高，它宣稱含有“30000個漏洞和漏洞程序”以及“每天增加大量的漏洞檢查”，不過這種說法令人質疑。還要注意，實際上所有通用的VA工具，如Nessus, ISS Internet Scanner, Retina, SAINT, Sara等都包含Web 掃描部件。(雖然這些工具并非總能保持軟件更新，也不一定很靈活。)N-Stealth主要為Windows平臺提供掃描，但并不提供源代碼。

• Watchfire AppScan

  一款商業類的Web漏洞掃描程序。AppScan在應用程序的整個開發周期都提供安全測試，從而測試簡化了部件測試和開發早期的安全保證。它可以掃描許多常見的漏洞，如跨站腳本攻擊、HTTP響應拆分漏洞、參數篡改、隱式字段處理、后門/調試選項、緩沖區溢出等等。

防火墻對數據包的過濾方法如下：

1. 當一個數據包進入網卡時，它首先進入PREROUTING鏈，內核根據數據包目的IP判斷是否需要轉送出去。

2. 如果數據包就是進入本機的，它就會沿著圖向下移動，到達INPUT鏈。數據包到了INPUT鏈后，任何進程都會收到它。本機上運行的程序可以發送數據包，這些數據包會經過OUTPUT鏈，然后到達POSTROUTING鏈輸出。

3. 如果數據包是要轉發出去的，且內核允許轉發，數據包就會向右移動，經過FORWARD鏈，然后到達POSTROUTING鏈輸出。

注釋

1. 規則（rules）其實就是網絡管理員預定義的條件，規則一般的定義為“如果數據包頭符合這樣的條件，就這樣處理這個數據包”。規則存儲在內核空間的信息包過濾表中，這些規則分別指定了源地址、目的地址、傳輸協議（如TCP、UDP、ICMP）和服務類型（如HTTP、FTP和SMTP）等。當數據包與規則匹配時，iptables就根據規則所定義的方法來處理這些數據包，如放行（accept）、拒絕（reject）和丟棄（drop）等。配置防火墻的主要工作就是添加、修改和刪除這些規則。
2. 鏈（chains）是數據包傳播的路徑，每一條鏈其實就是眾多規則中的一個檢查清單，每一條鏈中可以有一條或數條規則。當一個數據包到達一個鏈時，iptables就會從鏈中第一條規則開始檢查，看該數據包是否滿足規則所定義的條件。如果滿足，系統就會根據該條規則所定義的方法處理該數據包；否則iptables將繼續檢查下一條規則，如果該數據包不符合鏈中任一條規則，iptables就會根據該鏈預先定義的默認策略來處理數據包。
3. 表（tables）提供特定的功能，iptables內置了4個表，即filter表、nat表、mangle表和raw表，分別用于實現包過濾，網絡地址轉換、包重構(修改)和數據跟蹤處理。

目前網絡安全脆弱性掃描技術有以下發展方向：

• 高速化：網絡的迅速發展帶來系統內部網絡系統規模的擴大，為系統管理員保障本系統的安全提出了更高的要求。面對大規模的網絡系統要實施全面的掃描，使用高速的網絡掃描技術非常重要。例如，目前存在的并行掃描及KB（Knowledge Base）等技術都有助于提高網絡掃描的速度。KB技術是指將已經掃描過的主機信息存儲起來為再次掃描該主機提供信息。

• 智能化：目前的網絡掃描技術尚不具有掃描任意端口任意服務的能力，傳統的掃描工具遇到特定的端口找特定的服務，這樣可能導致有人將某個服務安裝在一個自己任意指定的端口使掃描不徹底；而且在檢測系統漏洞時所用的漏洞庫及匹配規則，需要根據專家和系統管理員的實際經驗形成；此外，常見的脆弱性掃描產品對網絡的安全狀況缺乏整體的評估，對網絡安全沒有系統的解決方案。這些都有待于未來的脆弱性掃描產品人工智能化后解決。

• 標準化并與掃描代碼分離：目前一個新的發展趨勢是將脆弱性數據從掃描代碼中分離出來并標準化，使用戶自己對掃描工具進行更新，這種發展趨勢也滿足在不同掃描工具之間、不同數據庫之間共享統一的脆弱性數據的要求。當前的CVE就是基于這個目的提出的一個漏洞庫數據標準。標準的使用以及與掃描代碼的分離，能使掃描用戶更方便、更有效地更新掃描工具。

• 隱蔽化：當攻擊者掃描時，他們總是希望在掃描過程中不留下任何痕跡，于是出現了各種各樣的隱蔽掃描技術。在過去的幾年中，隱蔽掃描技術得到了快速發展，當每一種隱蔽掃描技術出現后，都有相應的探測技術捕捉到這種隱蔽掃描技術掃描的痕跡，因而促使新的隱蔽掃描技術的提出。隱蔽掃描技術是網絡攻擊者為了隱藏自己的行蹤而采取的技術，對于網絡安全管理員來說則沒有使用的必要。

• 集成的整體安全解決方案：集成融合是趨勢，是近幾年來安全產品市場發展的大方向，安全廠家已不能依靠單一的產品發展生存。將信息安全從整體上分層次、分類型進行綜合管理和分析的需求，要求廠商在不斷完善產品的基礎上，從整體的高度提供產品及服務解決方案。網絡安全需要多種安全產品來實現，光靠安全掃描系統很難保證網絡安全，掃描器作為信息系統安全管理工具之一，可以發現在網絡上的IT資產，以及未受管理的設備。可通過脆弱性掃描產品獲得所有IT資產的風險狀況，其提供的掃描能力以及探測出的信息將被整合管理和利用。通過與防護技術的整合，如與防火墻、入侵檢測或Web應用防火墻等結合起來，為用戶提供有針對性的減災能力，從而提供全面的安全解決方案。

1. 增（插入數據）

INSERT INTO 表名稱 VALUES (值1, 值2,....)

2. 刪（刪除數據）

DELETE FROM 表名稱 WHERE 列名稱 = 值

3. 改（修改數據）

UPDATE 表名稱 SET 列名稱 = 新值 WHERE 列名稱 = 某值

4. 查（查詢數據）

SELECT 列名稱 FROM 表名稱

分布式防火墻廣義上包括以下這些：

• 網絡防火墻：網絡防火墻是一種用來加強網絡之間訪問控制的特殊網絡互聯設備。計算機流入流出的所有網絡通信均要經過此防火墻。防火墻對流經它的網絡通信進行掃描，這樣能夠過濾掉一些攻擊，以免其在目標計算機上被執行。防火墻還可以關閉不使用的端口。而且它還能禁止特定端口的流出通信，封鎖木馬。最后，它可以禁止來自特殊站點的訪問，從而防止來自不明入侵者的所有通信。

• 主機防火墻：主機防火墻系統主要提供訪問控制功能，各功能分別從不同的網絡協議層次對主機系統網絡資源進行保護，在此訪問控制功能包含四個主要方面：基于 IP 的主機網絡訪問控制，基于應用程序路徑和名稱的主機應用程序網絡訪問控制，基于 URL 的 WEB 廣告和 ActiveX 控件、Java 控件、Cookie、Java script、VB script 訪問控制，瀏覽痕跡清除，以及基于關鍵字的 WEB 瀏覽、郵件正文訪問和各種惡意代碼訪問等的控制。這四項功能無疑都需要一些網絡包處理技術的支持。

• 中心管理系統：這是分布式防火墻管理器軟件，負責總體安全策略的策劃、管理、分發以及日志的匯總。提高了防火墻的安全防護靈活性，同時具備高可管理性。

這里以傳統堡壘機為例介紹如何查看審計日志方法步驟：

1. 以審計管理員賬號身份登錄堡壘機的控制臺；

2. 在左上方單擊審計平臺，進入審計平臺，默認進入管理審計模塊；

3. 單擊搜索，進入全局搜索頁面，可以根據起始時間、角色時間等查看用戶操作行為審計日志；

應用開發過程中的關鍵安全控制管理措施有以下這些：

• 安全開發培訓：制訂培訓計劃，對相關人員進行培訓，培訓內容包括不限于SDL流程、安全工具使用、安全編碼、安全漏洞修復等。

• 明確安全和隱私需求：盡早定義和整合安全與隱私要求有助于更容易識別關鍵里程碑和可交付成果，盡量避免因為安全問題而導致項目延期發布。

• 設計階段考慮安全隱私設計和減小攻擊面：在設計階段應仔細考慮安全和隱私問題，在項目初期確定好安全需求，盡可能避免安全引起的需求變更。

• 評審安全設計：安全人員對系統設計進行評審，評審內容包括但不限于對安全設計、隱私設計、加密設計、可減小的攻擊面等。

• 制定安全編碼規范并定期修訂：制定安全編碼規范，并要求開發人員學習并遵照執行。

• 代碼安全掃描（白盒掃描）：使用代碼掃描工具對代碼進行安全掃描，對掃描發現的漏洞進行修復。

• Web應用安全掃描（黑盒測試）：使用Web應用安全掃描工具對所有功能模塊進行安全掃描，對掃描發現的漏洞進行修復。

• 移動App安全掃描：使用移動App安全掃描工具對移動App進行安全掃描，對掃描發現的漏洞進行修復。

• 移動App安全加固：使用移動App安全加固工具對移動App進行安全加固。

• 建立發布標準（安全）：根據安全要求和自身業務特點，建立安全發布標準，明確符合安全要求的系統才允許發布。

• 執行最終安全審查：根據安全發布標準，對要發布的應用系統進行審查，符合發布標準的應用系統允許發布。

• 數據庫操作審計：接入數據庫審計系統，對數據庫操作行為進行審計，對違規操作進行提示。

點擊劫持以下特點：

• 隱蔽性較高在用戶毫不知情的情況下完成攻擊；

• 騙取用戶操作；

• “UI-覆蓋”；

• 利用iframe或者其它標簽的屬性；

• 獲取其私密信息或者通過讓用戶點擊看似正常的網頁來遠程控制其電腦；

• 可以獲取用戶資金或其他敏感信息。

x-scan有以下這些功能：

• 開放服務：掃描TCP端口狀態，根據設置主動識別開放端口正在運行的服務及目標操作系統類型。在插件設置中的端口相關設置中可以設置待檢測的端口；

• NT-Server弱口令：通過139端口對WIN NT/2000服務器弱口令進行檢測；

• NetBios信息：通過NETBIOS協議搜集目標主機注冊表、用戶、共享、本地組等敏感信息。在插件設置中可以設置要檢查的NETBIOS信息；

• Snmp信息：通過SNMP協議搜集目標主機操作系統版本、開放端口、連接狀態、WINS用戶列表等敏感信息。在插件設置中可以設置要檢查的SNMP信息；

• 遠程操作系統：通過SNMP、NETBIOS協議主動識別遠程操作系統類型及版本；

• 弱口令（包括：TELNET、SSH、REXEC、FTP、SQL-Server、WWW、CVS、VNC、POP3、SMTP、IMAP、NNTP、SOCKS5）：通過字典對這些的弱口令進行檢測；

• IIS編碼/解碼漏洞：檢測的漏洞包括：”Unicode編碼漏洞”、”二次解碼漏洞”、“UTF編碼漏洞”；

• 漏洞檢測標本：加載漏洞檢測腳本進行安全監測。可以自己寫漏洞檢測腳本，在插件設置中進行加載。

工業控制系統信息安全分為四級，具體如下：

• 第一級工業控制系統

  按照基于風險評估的信息安全等級劃分的工業控制系統，第一級應具有以下主要特征：

    a)第一級工業控制系統信息安全受到破壞后，會對一般領域的工業生產運行造成損害，或者對公民、企業和其他組織的合法權益及重要財產造成損害。但不會損害國家安全(特別是其中的國家經濟安全)，環境安全、社會秩序、公共利益和人員生命；
  
    b)第一級工業控制系統的信息安全保護，應使工業控制系統能夠抵御來自個人、擁有少量資源的故意威脅，一般的環境威脅，一般的意外威脅，以及其他相當危害程度威脅所造成資產損失的信息安全風險；
  
    c)第一級工業控制系統應至少具有對系統資產、運行環境、安全風險的基本認識，采取基本的信息安全控制措施，檢測系統異常和安全事件，應急響應的執行和維護等方面的安全保護能力；d)第一級工業控制系統信息安全應得到所屬企業依據國家有關管理規范和技術標準的保護和管理。

• 第二級工業控制系統

  按照基于風險評估的信息安全等級劃分的工業控制系統，第二級應具有以下主要特征：

    a)第二級工業控制系統信息安全受到破壞后，會對一般領域的工業生產運行造成重大損害，或者對重點領城的工業生產運行造成損害，或者財公民、企業和其他組織的合法權益及重要財產造成嚴重損害，或若對環境安全、社會秩序、公共利益和人員生命造成損害，但不會損害國家安全(特別是其中的國家經濟安全)；
  
    b)第二級工業控制系統的信息安全保護，應使工業控制系統能夠抵御來自有組織的團體、擁有中等資源的故意威脅，一般的環境威脅，嚴重的意外威脅，以及其他相當危害程度威脅所造成資產損失的信息安全風險；
  
    c)第二級工業控制系統應至少具有對系統資產、運行環境、安全風險的比較全面認識，初步建立風險管理戰略；采取比較全面的信息安全控制措施，及時檢測系統異常和安全事件；應急響應的執行和維護，防止事件擴大和減輕影響；基本恢復受安全事件影響的工業控制系統運行等方面的安全保護能力；
  
    d)第二級工業控制系統信息安全應得到所屬企業依據國家有關管理規范和技術標準的保護和管理，以及國家主管部門和信息安全監管都門的指導。

• 第三級工業控制系統

  按照基于風險評估的信息安全等級劃分的工業控制系統，第三級應具有以下主要特征：

    a)第三級工業控制系統信息安全受到破壞后，會對重點領域的工業生產運行造成重大損害，或者對關鍵領城的工業生產運行造成損失，或者對環境安全、社會秩序、公共利益和人員生命造成嚴重損害，或者會對國家安全(特別是其中的國家經濟安全)造成損害；
  
    b)第三級工業控制系統的信息安全保護，應使工業控制系統能夠抵御來自敵對組織、有組織的團體擁有中等程度資源的故意威脅，嚴重的環境威脅，特別嚴重的意外威脅，以及其他相當危害程度威脅所造成資產損失的信息安全風險；
  
    c)第三級工業控制系統應至少具有對系統資產、運行環境、安全風險的全面認識，建立風險管理戰略，實施信息安全治理；采取全面的信息安全控制措施，確保與組織的風險管理戰略相一致；及時和全而監測系統異常和安全事件；應急響應的執行和維護，防止事件擴大和減輕影響；恢復受安全事件影響的工業控制系統運行等方面的安全保護能力；
  
    d)第三級工業控制系統信息安全應得到所屬企業依據國家有關管理規范和技術標準的保護和管理，以及國家主管部門和信息安全監管部門的監督、檢查。

• 第四級工業控制系統

  按照基于風險評估的信息安全等級劃分的工業控制系統，第四級應具有以下主要特征：

    a)第四級工業控制系統信息安全受到破壞后，會對關鍵領域的工業生產運行造成重大損害，或者對環境安全、社會秩序、公共利益和人員生命造成特別嚴重損害，或者對國家安全(特別是其中的國家經濟安全)造成嚴重損害；
  
    b)第四級工業控制系統的信息安全保護，應使工業控制系統能夠抵御來白敵對組織、擁有豐富資源的故意威脅，特別嚴重的環境威脅，特別嚴重的意外威脅，以及其他相當危害程度威脅所造成資產損失的信息安全風險；
  
    c)第四級工業控制系統應至少具有對系統資產、運行環境、安全風險的全面認識，建立全面風險管理戰略，實施信息安全治理；采取全面的信息安全控制措施，確保與組織的風險管理戰略相致；連續和全而監測系統異常和安全事件，采取必要的應對措施；應急響應的執行和維護，防止事件擴大和減輕影響，采取改進措施；及時恢復受安全事件影響的工業控制系統運行等方面的安全保護能力；
  
    d)第四級工業控制系統信息安全應得到所屬企業依據國家有關管理規范和技術標準的管理，以及園家主管部門和信息安全監管部門強化的監督、檢查。

星狀網絡拓撲結構的優點如下：

• 重新配置簡單：中央結點有一批集中點，可方便地提供服務和網絡重新配置。

• 故障隔離容易：每個連接口只接入一臺終端，該終端發生故障只影響到本身，不會影響全網。

• 集中控制：由于每個結點直接連接到中央結點，因此方便實現集中控制，也方便將有故障的結點從系統中剔除。

• 訪問協議簡單：任何一個連接只涉及到中央結點和另一個結點，因此，控制介質訪問的方法很簡單，致使訪問協議也十分簡單。

• 維護管理容易：由于星型拓撲結構的所有信息通信都要經過中心節點來支配，所以維護比較容易。

• 網絡傳輸數據快：這一點可以從目前最新的1000Mbps到10G以太網接入速度可以看出。

星狀網絡拓撲結構的缺點如下：

• 擴展困難：要增加新的結點，就要增加中央結點的連接，這需要在初始安裝時，放置有大量冗余的電纜與配置更多的連接口。

• 依賴于中央結點：中央結點一旦發生故障，則全網將會癱瘓，對中央結點的可靠性和冗余度要求非常高。

• 費用高：因為每個結點直接和中央結點相連，需要大量的電纜和電纜管道，維護、安裝等問題會較多，費用相當可觀。

根據《網絡安全法》第二十一條規定，采取監測、記錄網絡運行狀態、網絡安全事件的技術措施，并按照規定留存相關網絡日志不少于六個月，且相對于要儲存的系統日志內容，應該是采用檢測、紀錄互聯網運轉情況、網絡安全情況的技術措施。也就是說無論是審計日志還是數據庫日志等日志都需要留存不少于六個月。

審計日志包括以下信息：

• 記錄由應用程序產生的事件。例如，某個數據庫程序可能設定為每次成功完成備份后都向應用程序日志發送事件記錄信息。應用程序日志中記錄的時間類型由應用程序的開發者決定，并提供相應的系統工具幫助用戶查看應用程序日志。

• 記錄由操作系統組件產生的事件，主要包括驅動程序、系統組件和應用軟件的崩潰以及數據丟失錯誤等。系統日志中記錄的時間類型由操作系統預先定義。

• 記錄與安全相關的事件，包括成功和不成功的登錄或退出、系統資源使用事件(系統文件的創建、刪除、更改)等。與系統日志和應用程序日志不同，安全日志只有系統管理員才可以訪問。在WindowsXP中，事件是在系統或程序中發生的、要求通知用戶的任何重要事情，或者是添加到日志中的項。事件日志服務在事件查看器中記錄應用程序、安全和系統事件。通過使用事件查看器中的事件日志，用戶可以獲取有關硬件、軟件和系統組件的信息，并可以監視本地或遠程計算機上的安全事件。事件日志可幫助您確定和診斷當前系統問題的根源，還可以幫助用戶預測潛在的系統問題。WindowsNT/2000的系統日志由事件記錄組成。每個事件記錄為三個功能區：記錄頭區、事件描述區和附加數據區，表14-3-1描述了事件記錄的結構。

apt攻擊的解決方法如下：

• 利用日志文件查找攻擊者：由于典型的APT攻擊是在較長時間內以協調的方式運用常見工具，因此將阻斷魚叉式釣魚嘗試等孤立事件識別為更大規模APT攻擊征兆幾乎是不可能做到的。但如果將各種系統的信息關聯起來（一般是利用日志文件），就可以立刻發現這些看似無關的事件之間的關系。可以在 Web 網關代理、網關防病毒、防火墻、網頁過濾器、DNS、IPS/IDS以及其它解決方案的日志文件中找到APT活動的痕跡。在建立了典型活動的基準線后，應該制定對異常情況的敏感度，這樣就知道何時需要檢查其它系統的日志中有無相似的APT警報信號。將多個系統關聯起來的報告工具使建立反映異常活動情況的基準線和設計報告的工作得到簡化。

• 網頁過濾器和安裝系統補丁：由于大部分APT都會充分利用常見的攻擊方法和工具，因此在防御上首先要正確地運用標準防御。如果正確地使用防御并經常性地對它們進行更新，當然會有幫助。不過最好是加入云服務，這樣就不需要下載、安裝補丁或更新了。

• 內部人員威脅：迄今為止，最危險的內部人員是那些因無知而向攻擊者提供攻擊組織手段的雇員。有太多的用戶并沒有意識到他們粗心大意的登錄和社交網絡習慣可能給企業數據帶來的安全風險，APT和大眾市場惡意軟件攻擊通常都會對這種疏忽加以利用。限制能夠遠程訪問機構資源的帳號，大多數攻擊都采用了某種遠程接入機制。如果信息系統提供VPN或者撥號接入，考慮把遠程接入帳號僅限于提供給那些有合法的業務需求的人。限制遠程接入的范圍，不要自動批準遠程接入者擁有與其在辦公室擁有的同樣級別的權限。限制通過遠程接入訪問重要的資源。這樣不僅可以保護不受內部人員的遠程威脅，而且還要防止惡意軟件通過遠程接入連接引起的日益增長的威脅。強制執行最小權限原則，每一個人都只需要擁有最低限度的權限，這個原則通常只是在口頭上，而沒有在行動上落實。需要進行帳號審查，保證沒有因為工作變動和職責的變動而影響到用戶的使用權限。不定期的進行內部安全培訓。

• 分層防御：提倡采用分層防御策略來應對處于生命周期各階段的威脅，以實現容錯型安全狀態。可以借助APT的實際定義評估現有解決方案對攻擊者在各個階段可能使用的各種工具的防御能力。

主流的木馬檢測技術有以下這些：

• 特征碼檢測技術：特征碼技術是反病毒反木馬領域最早使用的技術，也是目前公認的最成熟、最有效的惡意代碼檢測技術。即便現在動態檢測技術發展得如此迅速，也沒有撼動特征碼檢測技術的地位。特征碼技術準確性高、誤報率低、檢測速度快的優點是其他檢測技術無法比擬的，因此一直被殺毒軟件廣泛使用并且沿用至今。特征碼檢測技術主要包括基于特征碼的靜態掃描、廣譜特征碼掃描和內存特征碼比對技術3類。

• 基于文件靜態特征的檢測技術：木馬程序的本質是可執行文件。通常Windows操作系統中的EXE和32位的DLL文件都采用的是PE（Portable Executable）格式。由于PE文件具有規范的結構，因此可以利用數據挖掘等信息處理技術分析木馬文件與正常的可執行文件的靜態特征，研究兩者的區別，找出木馬文件不同于正常文件的特征，用于木馬的檢測。目前，基于此思想的木馬檢測方法主要有PE文件API分析法和靜態特征法。

• 文件完整性檢測技術：由于木馬感染計算機后通常會修改某些系統文件，因此可以通過檢查系統文件的完整性判斷木馬是否存在。文件完整性檢測技術又稱校驗和檢測技術，其基本原理是在系統正常的情況下對所有的系統文件做校驗，得到每個系統文件的校驗和，并保存到數據庫中。在后續檢測時，首先計算當前狀態下系統文件的校驗和，然后與數據庫中保存的完整的校驗和做比較，如果出現某個系統文件的兩個校驗和不一致，則認為此文件的完整性被破壞，即此文件被修改過，則當前計算機有可能感染了木馬。

• 虛擬機檢測技術：虛擬機檢測技術的原理和VMWare有些類似，都是一種模仿操作系統環境的虛擬環境。虛擬機技術用于木馬檢測的方法是誘使木馬把虛擬機當作真正的主機環境，開始安裝、運行以及破壞操作，這樣木馬就把運行的流程以及行為特征都暴露在分析人員的眼前，這樣病毒分析人員就可以根據這些信息判斷是否為木馬并制定反木馬的策略。

• 行為分析技術：行為分析（Behavior Analysis）技術是一種基于程序行為的動態分析技術，主要用于未知木馬的檢測，在一定程度上解決了信息安全領域防御落后于攻擊的難題，是主動防御技術的一種實現方法。行為分析是根據可疑程序運行過程中所體現的一系列行為來判斷此程序是否為木馬。這些行為包括對文件、注冊表的操作以及網絡通信的動作等。因此首先要動態監控并獲取運行程序的行為，然后分析行為之間的邏輯關系，并運用一定的算法計算出此程序的可疑度，從而決定是否把該程序判定為木馬。

• 入侵檢測技術：入侵檢測是用于檢測損害或企圖損害系統的機密性、完整性或可用性等行為的一類安全技術。此類技術通過在受保護網絡或系統中部署檢測設備來監視受保護網絡或系統的狀態與活動，根據所采集的數據，采用相應的檢測方法發現非授權或惡意的系統及網絡行為，并為防范入侵行為提供技術支持方法。

• 云安全技術：根據互聯網發展的趨勢可以預測不久的將來殺毒軟件可能無法有效地處理日益增多的惡意程序。來自互聯網的主要威脅正在由電腦病毒轉向惡意程序及木馬，在這樣的情況下，僅僅采用傳統的特征庫判別法顯然已經過時。云安全技術應用后，識別和查殺病毒不再僅僅依靠本地硬盤中的病毒庫，而是依靠龐大的網絡服務，實時進行采集、分析以及處理。