云數據安全防護技術有以下這些：

• 數據安全隔離技術：為實現不同用戶間數據信息的隔離，可根據應用具體需求，采用物理隔離、虛擬化和多租等方案實現不同租戶之間數據和配置信息的安全隔離，以保護每個租戶數據的安全與隱私。

• 數據訪問控制技術：在數據的訪問控制方面，可通過采用基于身份認證的權限控制方式，進行實時的身份監控、權限認證和證書檢查，防止用戶間的非法越權訪問。如可采用默認“deny all”的訪問控制策略，僅在有數據訪問需求時才顯性打開對應的端口或開啟相關訪問策略。在虛擬應用環境下，可設置虛擬環境下的邏輯邊界安全訪問控制策略，如通過加載虛擬防火墻等方式實現虛擬機間、虛擬機組內部精細化的數據訪問控制策略。

• 數據加密存儲技術：對數據進行加密是實現數據保護的一個重要方法，即使該數據被人非法竊取，對他們來說也只是一堆亂碼，而無法知道具體的信息內容。在加密算法選擇方面，應選擇加密性能較高的對稱加密算法，如AES、3DES等國際通用算法，或我國國家商用密碼算法SCB2等。在加密密鑰管理方面，應采用集中化的用戶密鑰管理與分發機制，實現對用戶信息存儲的高效安全管理與維護。

• 數據加密傳輸技術：在云計算應用環境下，數據的網絡傳輸不可避免，因此保障數據傳輸的安全性也很重要。數據傳輸加密可以選擇在鏈路層、網絡層、傳輸層等層面實現，采用網絡傳輸加密技術保證網絡傳輸數據信息的機密性、完整性、可用性。

• 數據備份與恢復技術：不論數據存放在何處，用戶都應該慎重考慮數據丟失風險，為應對突發的云計算平臺的系統性故障或災難事件，對數據進行備份及進行快速恢復是十分重要的。如在虛擬化環境下，應能支持基于磁盤的備份與恢復，實現快速的虛擬機恢復，應支持文件級完整與增量備份，保存增量更改以提高備份效率。

• 剩余數據保護技術：由于用戶數據在云計算平臺中是共享存儲的，今天分配給某一用戶的存儲空間，明天可能分配給另外一個用戶，因此需要做好剩余數據的保護措施。所以，要求云計算系統在將存儲資源重新分配給新的用戶之前，必須進行完整的數據擦除，在對存儲的用戶文件、對象刪除后，對對應的存儲區進行完整的數據擦除或標識為只寫（只能被新的數據覆寫），防止被非法惡意恢復。

OSSTMM的方法論總結了多種形式的安全測試，并將它們劃分為6個標準種類。

• 盲測（blind）：事先不了解目標系統的任何情況的測試就是盲測。然而，在評估過程開始之前，被測單位會知道何時開始安全測試。道德黑客（Ethical hacking）和對抗競賽（War Gaming）就是典型的盲測。因為盲測遵循了道德規范，事先通知被測單位，所以這種測試方法也被廣泛接受。

• 雙盲測試（double blind）：在雙盲測試中，審計人員事先不清楚目標系統的情況，被測單位事先也不會知道將有安全測試。黑盒審計和滲透測試都屬于雙盲測試。當前絕大多數的安全審計采用雙盲測試方法。對于審計人員來說，選擇能夠勝任的最佳工具和最佳技術已經是一種考驗了。

• 灰盒測試（grey box）：在灰盒測試中，審計師僅了解被測系統有限的情況，被測單位也會知道審計開始和結束的時間。脆弱性評估就屬于灰盒測試。

• 雙灰盒測試（double grey box）：雙灰盒測試工作的方式類似于灰盒測試。只不過在雙灰盒測試中，會給審計人員定義一個時限，而且這種測試不涉及信道測試和滲透矢量。白盒審計就屬于雙灰盒測試。

• 串聯測試（tandem）：在串聯測試中，審計人員對目標系統只有最低限度的了解，而在測試開始前他們會通告被測單位。需要注意的是，串聯測試會測試得比較徹底。水晶盒測試和內部審計都是串聯測試的例子。

• 逆向測試（reversal）：在逆向測試中，審計員充分了解目標系統；而被測單位將永遠不會知道測試的時間或方式。

保護 dhcp 免受攻擊可以選擇臨時保護DHCP或者長期保護DHCP。

臨時保護DHCP

大家知道，普通工作站系統是通過廣播方式向局域網網絡發送上網參數請求信息的，局域網中的所有網絡設備都會收到來自普通工作站的上網請求，這自然也包括合法的DHCP服務器、不合法的DHCP服務器，不過究竟是合法的DHCP服務器還是不合法的DHCP服務器，優先應答普通工作站的上網請求，是沒有什么規律的，因此當遇到普通工作站系統無法獲得有效上網參數現象時，我們可以嘗試通過反復發送廣播信息的辦法，來臨時保證普通工作站與合法DHCP服務器建立連接，直到普通工作站能夠從合法DHCP服務器那里得到有效的上網參數為止。

一旦看到自己的工作站不能正常上網時，我們可以打開故障工作站系統的DOS命令行工作窗口，并在DOS命令行提示符下執行“ipconfig /release”字符串命令，來將之前獲得的不正確上網參數釋放出來。

然后嘗試執行“ipconfig /renew”字符串命令，來重新向局域網發送上網參數請求數據包，如果上述命令返回錯誤的結果信息，那么可以在本地系統運行對話框中繼續執行“ipconfig /release”、“ipconfig /renew”字符串命令，直到普通工作站獲得有效的上網參數信息為止。

當然，這種方法只能解決燃眉之急，而且反復嘗試的次數也無法確定，通常都需要幾次或十幾次，并且當IP地址的租約期限到期后，普通工作站還需要再次向局域網DHCP服務器申請IP地址，到時候普通工作站無法上網的故障現象仍然會出現。

長期保護DHCP

通常情況下，局域網中的普通工作站安裝使用的都是Windows操作系統，在Windows工作站系統為主的局域網工作環境中，我們可以通過域管理模式來保護合法DHCP服務器的運行安全性，同時過濾不合法的DHCP服務器，確保該DHCP服務器不會為局域網普通工作站分配錯誤的上網參數信息。我們只要在局域網域控制器中，將合法有效的DHCP服務器主機加入到局域網活動目錄中，就能保證局域網中的所有普通工作站都會自動從合法有效的DHCP服務器那里，獲得正確的上網參數信息了。這是因為域中的普通工作站向網絡發送廣播信息，申請上網參數地址時，位于同一個域中的合法有效的DHCP服務器，會自動優先響應普通工作站的上網請求，如果局域網指定域中的DHCP服務器不存在或失效時，那些沒有加入指定域中的不合法DHCP服務器才有可能響應普通工作站的上網請求。

要將合法有效的DHCP服務器加入到局域網指定域中時，我們可以按照下面的設置步驟來操作：

首先以系統管理員權限登錄進入局域網指定域控制器所在主機系統，打開該系統桌面上的“開始”菜單，從中依次點選“程序”/“管理工具”/“DHCP”選項，打開對應系統的DHCP服務器控制臺窗口；其次在目標控制臺窗口的左側顯示區域，用鼠標右鍵單擊目標服務器主機，從彈出的快捷菜單中執行“添加服務器”命令，單擊其中的“瀏覽”按鈕，在其后出現的選擇計算機對話框中，選中合法有效的DHCP服務器所在主機名稱，也可以直接在“此服務器”文本框中輸入DHCP服務器所在主機的IP地址，最后單擊“確定”按鈕 完成設置操作。如此一來，局域網指定域中的普通工作站日后上網訪問時，就會自動優先從合法有效的DHCP服務器那里獲得正確的上網參數信息了。

雖然這種方法的使用效果很好，但是對于局域網規模比較小的單位來說，幾乎沒有多大實際意義，因為小規模的局域網網絡幾乎都是工作組工作模式，這種工作模式下合法有效的DHCP服務器是無法得到安全保護的。

• 關閉Windows防火墻會導致一些程序能夠自由聯網，不經過用戶允許連接網絡。因此，一般情況下建議用戶啟動Windows防火墻。

• 關了防火墻，當用戶在瀏覽電腦時，網頁病毒可以輕松感染用戶的電腦，木馬也可以隨便感染用戶的電腦，那電腦對這些病毒就沒有了防御能力。

• 防火墻就像是系統的一道安全屏障，將一切危險隔離在外，關閉了防火墻系統就很容易受到網絡的攻擊，電腦就失去了一道安全防線，木馬和黑客會進入，令系統癱瘓。

防范ARP欺騙的辦法有以下這些：

• MAC地址綁定，使網絡中每一臺計算機的IP地址與硬件地址一一對應，不可更改。

• 建議使用靜態ARP緩存，用手工方法更新緩存中的記錄，使ARP欺騙無法進行。

• 如果可以最好使用ARP服務器，通過該服務器查找自己的ARP轉換表來響應其他機器的ARP廣播。確保這臺ARP服務器不被黑。

• 可以安裝專門針對ARP攻擊的防御設備或者防御軟件，使用ARP欺騙防護軟件如ARP防火墻來加強防護。

• 及時發現正在進行ARP欺騙的主機并將其隔離。

• 雙綁措施即在路由器和終端上進行IP地址和MAC地址的綁定，他可以有效的對ARP欺騙的兩倍，偽裝網關和截獲數據都有約束作用。這種方式是從ARP欺騙原理上進行防范，是比較普遍的解決方案。

• 可以借助ARP防火墻，目前市面上很多殺毒軟件會加入ARP個人防火墻功能模式，這種防護模式也是通過將終端計算機和網關進行綁定，保證不受網絡設備中假網關的欺騙，從而保護自身的數據不被竊取。

• VLAN和交換機端口綁定來進行防護，可以細致的劃分VLAN減小廣播域的范圍，即時遭受到ARP攻擊也能盡可能使ARP攻擊在小范圍內起作用，而不至于發生大規模影響。

在入侵實施環節，攻擊者針對實際的攻擊目標逐步展開攻擊，主要包括以下幾個方面：

• 常規手段：常規手段是指攻擊者利用常規的網絡攻擊手段，將惡意代碼植入到系統中。常見的方法有通過病毒傳播感染目標、通過薄弱安全意識和薄弱的安全管理控制目標、通過社會工程學進行誘導、通過供應鏈植入等。

• 缺陷和漏洞利用：缺陷是指信息系統中廣泛存在且事實上已知的欠缺或不夠完善的地方。系統中的缺陷主要包括默認密碼、弱密碼、默認配置和錯誤配置、計算機和網絡的脆弱性等。這些缺陷在成本、時間和可替代等方面有時是無法按需修復的，在未修復之前就可能會被利用。利用漏洞入侵是專業黑客入侵重點目標常用的方式。當重點目標的安全防范意識和管理制度都比較健全時，單靠缺陷利用是不容易實現入侵的，這時攻擊者會利用系統中存在的安全漏洞，特別是攻擊者自己通過研究發現而其他人尚未知道的安全漏洞（0day漏洞）發起攻擊。這類攻擊從表面上看是對系統的合法操作，所以受害者很難會發現。主要的漏洞包括桌面文件處理類漏洞、瀏覽器類漏洞、桌面網絡應用漏洞、網絡服務類漏洞、系統邏輯類漏洞、對抗類漏洞、本地提權漏洞等。

• 木馬植入：在被攻擊主機上植入事先準備的木馬是ATP攻擊過程中最為重要的一個環節。木馬植入方式主要包括遠程下載植入、綁定文檔植入、綁定程序植入等。木馬植入后，攻擊者根據需要將會對木馬進行激活和控制。

• 滲透提取：當攻擊者獲得了對內網中一臺主機的控制權后，為了實現對攻擊目標的進一步控制，還需要在內網中進行滲透和提取，主要包括確定立足點、滲透和特權獲取3項。其中，攻擊者在獲得了內網中某一臺主機的控制權后，相當于獲得了一個內網的立足點，而內網一旦進入則突破了網絡已有的安全邊界。之后，針對內網的安全防御就失去了作用，攻擊者可以組合如社會工程學、文件共享服務器篡改程序、本地嗅探、漏洞等手段，通過借助立足點，對內網中的其他主機進行滲透，以獲得更多主機的控制權。攻擊者通過對更多主機的控制，逐步滲透到目標主機上并獲得對該主機的特權。至此，攻擊者成功完成了入侵。

• 信息收集及外傳：攻擊者常常長期潛伏，并不斷實行網絡內部橫向滲透，通過端口掃描等方式獲取服務器或設備上有價值的信息，針對個人電腦通過列表命令等方式獲取文檔列表信息等。攻擊者會將內部某個服務器作為資料暫存的服務器，然后通過整理、壓縮、加密、打包的方式，利用建立的隱蔽通信通道將信息進行外傳。在獲取這些信息后，攻擊者會對這些信息數據進行分析識別，并做出最終的判斷，甚至實施網絡攻擊破壞。

瀏覽器中間人（Man-in-the-Browser，MitB）攻擊是與傳統中間人攻擊類似的一種方式，只不過完全發生在瀏覽器中。大多數持久JavaScript通信（勾連）邏輯，實際上都是瀏覽器中間人攻擊，具有如下特點：
1.對用戶不可見
2.對服務器不可見
3 .能夠修改當前頁面的內容
4 .能夠讀取當前頁面的內容
5 .不需要受害人介入

• 與網站管理員協商在非業務時段進行掃描

由于漏洞掃描會對目標站點的應用輸入點進行各類測試，發送各類有可能導致應用異常的請求，如果目標站點的設備性能不佳，難以承載約十幾人同時訪問的流量壓力，則最好與網站管理員協商在非業務時段進行掃描，或通知掃描人員降低掃描線程。

• 允許其所有請求訪問網站

如果被掃描網站有Web 應用防火墻等防護措施，監測平臺則只能掃描評估目標站點的防護能力，如果需要檢測目標站點代碼層根源應用漏洞，則還是需要Web 應用防火墻或抗DDOS 等設備中開放平臺的掃描IP，允許其所有請求訪問網站。

要建立政府和企業網絡安全信息共享機制。建立政府和企業網絡安全信息共享機制，構建新基建網絡安全防護體系能保障新基建戰略的順利推進和數字經濟的健康繁榮。針對網絡安全威脅、隱患和薄弱環節需要加強對網絡安全重點保護對象安全防護和保障，進一步強化關鍵信息基礎設施防護，加強重要信息系統和關鍵數據資源保障。

安全信息共享網絡的基本模式有三種：

• 集中式（centralized）

  在集中式下，中心從端點接收安全信息，經過綜合、分析后，再將結果傳回端點。一般來說，集中式的中心需要具備強大的信息存儲、處理、加工、分析能力，才能滿足信息共享網絡的不斷變化的需求。該模式的缺點是，整個信息共享網絡依賴于中心作為安全信息交換樞紐，如果該中心發生信息處理延遲，甚至于遭遇安全事件，則整個信息共享網絡的功能就會大打折扣，并有可能完全癱瘓。

• 同儕式（peer to peer）

  在同儕模式下，每個端點自主向其他端點推送網絡安全信息，或直接向整個信息共享網絡廣播。由于不存在一個信息交換中心，因此同儕模式對各個端點的安全信息接收、分析能力提出了較高的要求。

• 混合式（hybrid）

  混合式綜合了集中式和同儕式。每個端點向中心發送安全信息的同時，端點和端點之間也建立直接的信息共享渠道。

國內漏洞掃描工具有：

• x-Ray：xray是從長亭洞鑒核心引擎中提取出的社區版漏洞掃描神器，支持主動、被動多種掃描方式，自備盲打平臺、可以靈活定義 POC，功能豐富，調用簡單，支持 Windows / macOS / Linux 多種操作系統，可以滿足廣大安全從業者的自動化 Web 漏洞探測需求。

• X-scan：X-Scan是國內最著名的綜合掃描器之一，它完全免費，是不需要安裝的綠色軟件、界面支持中文和英文兩種語言、包括圖形界面和命令行方式。

• 百度衛士：百度衛士僅使用百度自己的云查殺引擎和智能修復引擎。

• 360安全衛士：依托360安全大腦提供實時分析能力，殺毒可跟蹤分析病毒入侵系統的鏈路，鎖定病毒最常利用的目錄、文件、注冊表位置，阻止病毒利用，免疫流行病毒。同時漏洞修復功能重磅上線，幫您有效及時修補系統漏洞，堵住隱患風險點。

• 金山毒霸：可掃描操作系統及各種應用軟件的漏洞當新的安全漏洞出現時金山毒霸2007會下載漏洞信息和補丁經掃描程序檢查后自動幫助用戶進行修補。

全息誘捕欺騙防御技術的優點：

• 高準確性

  任何試圖識別、查驗、輸入、查看任何陷阱或利用誘餌的客體都將立即被識別。任何人觸摸這些陷阱或誘餌都是不允許的，因此，大大降低了其誤報性，同時也因為其低接觸性，使得安全事件的取證成為一個簡單而直接的過程。

• 高密度

  傳統蜜罐的部署過于笨拙，需要cpu資源、內存資源、存儲資源，還需要安裝操作系統，再進行一系列相對復雜的配置，才算是完成一個蜜罐。這就導致了傳統的蜜罐不可能在網絡中大規模的部署。通過全息誘捕技術，可以自動實現大規模部署，并且可以覆蓋網絡中所有的VLAN。

• 高命中率

  傳統蜜罐部署在網絡后，由于數量太少，攻擊者或惡意程序觸發蜜罐的幾率太低，而全息誘捕的高密度交錯式集群式部署，可以使命中率無限接近于100%。

• 高效能

  全新誘捕中的虛擬陷阱不依靠傳統的虛擬化計算資源，而是通過內置的網卡芯片陣列基于網絡層創建，因此即便啟用了大量的陷阱主機，占用系統硬件本身的計算資源也不會超過1%。

• 積極防御

  傳統的蜜罐本身是沒有攔截、阻斷這種處置功能的，大多都是只能起到一個告警的作用。而的全息誘捕技術則可以進行主動的攔截和防御。

云安全管理運維活動包括以下方面：

• 資產管理：識別與云平臺相關的所有資產，構建以資產為核心的安全運維機制。其主要活動包括將云平臺相關軟硬件資產進行登記，形成資產清單文件并持續維護。為每項已識別的資產指定所屬關系并分級，明確資產（包括軟硬件、數據等）之間的關系，包括部署關系、支撐關系、依賴關系。基于已發現的安全漏洞或已發生的安全事件，總結并形成每一個設備或系統的安全檢查清單。安全檢查清單需要動態維護。

• 日志管理：發現攻擊線索，用作內部紀律處罰依據或司法證據。其主要活動包括全面收集信息系統的運行日志，并進行歸一化預處理，以便后續存儲和處理。對原始日志信息和歸一化處理后的日志信息分別進行存儲。原始日志信息的存儲應進行防篡改簽名，以便可以作為司法證據；對已歸一化的日志進行結構化存儲，以便檢索和深度處理。

• 訪問控制：按照云平臺業務要求限制對云平臺系統和資產的訪問，嚴格保護云計算平臺的客戶數據，在允許人員、進程、設備訪問云計算平臺之前，應對其進行身份標識及鑒別，并限制其可執行的操作和使用的功能。其主要活動包括基于平安云業務和云平臺安全要求，建立物理環境、設備、云平臺系統的訪問控制策略，形成文件并進行評審。為云平臺用戶角色確定適當的訪問控制規則、訪問權及限制，其詳細程度和控制的嚴格程度反映云平臺的信息安全風險。

• 密碼管理：使用適當的和有效的密碼技術，以保護信息的保密性、真實性和完整性。在密碼算法方面，支持國家密碼管理主管部門批準使用的密碼算法，使用國家密碼管理主管部門認證核準的密碼產品，遵循相關密碼國家標準和行業標準。

• 漏洞管理：防止云平臺、云產品及其支撐軟硬件系統的脆弱性被利用。其主要活動包括可通過兩種方式獲取信息系統及其支撐軟硬件系統存在的脆弱性或漏洞，一是借助漏洞掃描工具對信息系統及其軟硬件系統存在的漏洞進行掃描，以發現存在的脆弱性。二是通過官方渠道及時了解信息系統及其支撐軟硬件系統存在的脆弱性。及時更新信息系統和相應的支撐軟硬件設備，以保持系統處于安全狀態。

• 備份：防止信息丟失其主要活動有可根據業務數據的重要程度設定相應的備份策略。可選擇的備份方式有完全備份、差異備份或增量備份；可選擇的備份地點有同城備份或異地備份等。對已備份的數據每月進行一次恢復演練，以保證備份的可用性和災難恢復系統的可靠性。

• 安全事件管理：確保快速、有效和有序地響應信息系統安全事件。其主要活動有規劃和準備事件響應的規程，規劃和準備事件響應的規程。記錄事件管理活動的規程、處理司法證據的規程，評估和決斷信息系統安全事態以及評估安全弱點的規程，包括升級、事件的受控恢復、與內外部人員或組織溝通在內的響應的規程。

• 安全事件應急響應：正確、高效、快速響應重大或災難性安全事件，快速恢復業務運行。其主要活動有為云計算平臺制訂應急響應計劃，并定期演練，確保在緊急情況下重要信息資源的可用性。制訂事件處理計劃，包括對事件的預防、檢測、分析和控制及系統恢復等，對事件進行跟蹤、記錄并向相關人員報告。建立備容災恢復能力，建立必要的備份與恢復設施和機制，確保云租戶業務可持續。

物聯網安全測試系統總體架構包括以下功能：

• 測試案例管理功能：主要是為測試用戶提供測試案例編輯接口，此功能模塊的實現是在測試服務器上面完成。安全測試案例管理主要分案例選取、案例編譯、案例存儲。案例選取是根據傳感網安全測試標準由本測試平臺提供參考測試案例；案例編譯為用戶提供案例編譯窗口，即用戶根據自己需要編寫相關測試案例的信息；案例存儲是安全服務器將案例選取和案例編譯后的案例信息存儲以便測試啟動后調取測試執行信息。

• SICS管理功能：是在測試服務器上來實現的，它為測試者提供了安全一致性聲明的內容的編寫接口，同時完成SICS/IXIT信息檢查，保證被測實現（Implementation Under Test，IUT）的聲明與標準所規定的是一致的。

• 抽象測試集功能：抽象測試集提供完整的測試案例集合，在實際的測試過程中用戶可以自由選擇所需測試例。

• 測試命令管理功能：測試命令管理主要是測試開始前，在配置階段過程所需的報文命令等的管理中心。

• 日志記錄功能：日志記錄是對測試過程中各種數據報文、預配置信息及測試過程中出現的故障信息等進行記錄，這樣可以方便測試執行者能夠及時處理測試運行中出現的各類異常。

• 數據存儲功能：數據存儲是在測試過程中所產生的各類報文信息進行存儲方便查看。

• 測試結果功能：測試結果分析是對測試完成后對測試結果進行詳細的處理，對異常情況的出現給出測試分析等。

• 定期的網絡安全自我檢測、評估

  配備漏洞掃描系統，網絡管理人員可以定期的進行網絡安全檢測服務，安全檢測可幫助客戶最大可能的消除安全隱患，盡可能早地發現安全漏洞并進行修補，有效的利用已有系統，優化資源，提高網絡的運行效率。

• 安裝新軟件、啟動新服務后的檢查

  由于漏洞和安全隱患的形式多種多樣，安裝新軟件和啟動新服務都有可能使原來隱藏的漏洞暴露出來，因此進行這些操作之后應該重新掃描系統，才能使安全得到保障。

• 網絡建設和網絡改造前后的安全規劃評估和成效檢驗

  網絡建設者必須建立整體安全規劃，以統領全局，高屋建瓴。在可以容忍的風險級別和可以接受的成本之間，取得恰當的平衡，在多種多樣的安全產品和技術之間做出取舍。配備網絡漏洞掃描/網絡評估系統可以讓您很方便的進行安全規劃評估和成效檢驗。

• 網絡承擔重要任務前的安全性測試

  網絡承擔重要任務前應該多采取主動防止出現事故的安全措施，從技術上和管理上加強對網絡安全和信息安全的重視，形成立體防護，由被動修補變成主動的防范，最終把出現事故的概率降到最低。配備網絡漏洞掃描/網絡評估系統可以讓您很方便的進行安全性測試。

• 網絡安全事故后的分析調查

  網絡安全事故后可以通過網絡漏洞掃描/網絡評估系統分析確定網絡被攻擊的漏洞所在，幫助彌補漏洞，盡可能多得提供資料方便調查攻擊的來源。

• 重大網絡安全事件前的準備

  重大網絡安全事件前網絡漏洞掃描/網絡評估系統能夠幫助用戶及時的找出網絡中存在的隱患和漏洞，幫助用戶及時的彌補漏洞。

• 公安、保密部門組織的安全性檢查

  互聯網的安全主要分為網絡運行安全和信息安全兩部分。網絡運行的安全主要包括以ChinaNet、ChinaGBN、CNCnet等10大計算機信息系統的運行安全和其它專網的運行安全；信息安全包括接入Internet的計算機、服務器、工作站等用來進行采集、加工、存儲、傳輸、檢索處理的人機系統的安全。網絡漏洞掃描/網絡評估系統能夠積極的配合公安、保密部門組織的安全性檢查。

ARP 有以下幾種類型：

• 動態 ARP

  動態 ARP 表項由 ARP 協議通過 ARP 報文自動生成和維護，可以被老化，可以被新的 ARP 報文更新，也可以被靜態 ARP 表項覆蓋。動態 ARP 適用于拓撲結構復雜、通信實時性要求高的網絡。

• 靜態 ARP

  靜態 ARP 表項是由網絡管理員手工建立的 IP 地址和 MAC 地址之間固定的映射關系。靜態 ARP 表項不會被老化，不會被動態 ARP 表項覆蓋。靜態 ARP 表項分為短靜態 ARP 表項和長靜態 ARP 表項。

  靜態 ARP 表項不會被老化，也不會被動態 ARP 表項覆蓋，可以保證網絡通信的安全性。靜態 ARP 表項可以限制本端設備和指定 IP 地址的對端設備通信時只使用指定的 MAC 地址，此時攻擊報文無法修改本端設備的 ARP 表中 IP 地址和 MAC 地址的映射關系，從而保護了本端設備和對端設備間的正常通信。一般在網關設備上配置靜態 ARP 表項。

• 免費 ARP

  設備主動使用自己的 IP 地址作為目的 IP 地址發送 ARP 請求，此種方式稱免費 ARP。免費 ARP 有如下作用：

• 路由式 Proxy ARP

  路由式 Proxy ARP 就是使那些在同一網段卻不在同一物理網絡上的網絡設備能夠相互通信的一種功能。在實際應用中，如果連接設備的主機上沒有配置缺省網關地址（即不知道如何到達本網絡的中介系統），此時將無法進行數據轉發。

• VLAN 內 Proxy ARP

  如果兩個用戶屬于相同的 VLAN，但 VLAN 內配置了端口隔離。此時用戶間需要三層互通，可以在關聯了 VLAN 的接口上啟動 VLAN 內 Proxy ARP 功能。

• VLAN 間 Proxy ARP

  如果兩臺主機處于相同網段但屬于不同的 VLAN，用戶間要進行三層互通，可以在關聯了這些 VLAN 的接口（例如 VLANIF 接口或者子接口）上使能 VLAN 間 Proxy ARP 功能。