企業進行內外網絡隔離的原因：

• 先從安全建設角度，一直以來，企業廣泛的采用縱深防御技術（defensin depth）和最小權限邏輯（least privilege）來進行企業網絡安全管理。而隔離是實現這兩個理念的基本方式，例如傳統安全管理中，通過邊界部署防火墻來實現可信網絡與外部網絡的隔離，內部不同安全級別間劃分安全域，域間通過防火墻實現隔離，并通過設置安全策略按需賦予訪問權限。

• 再從攻防角度說，從近年來的安全事件我們可以看到，攻擊者從以破壞為主的攻擊逐漸轉變為以特定的政治或經濟目的為主的高級可持續攻擊。無論從著名的Lockheed Martin Cyber Kill Chain（洛克希德-馬丁公司提出的網絡攻擊殺傷鏈），還是近年名聲大噪的勒索病毒、挖礦病毒，這些攻擊都有一些顯著特點，一旦邊界的防線被攻破或繞過，攻擊者就可以在數據中心內部橫向移動，而中心內部基本沒有安全控制的手段可以阻止攻擊。這也突出了傳統安全的一個主要弱點，復雜的安全策略、巨大的資金和技術都用于了邊界防護，而同樣的安全級別并不存在于內部。

• 最后從安全閉環角度來說，有了行為分析、有了蜜罐、有了態勢感知，卻沒有了最基本的訪問控制。數據中心內部往往幾百臺虛擬機域內全通，只有把這些進行隔離才能達到真正的安全。

內外網隔離可以通過多種方式實現，主要有以下幾種：

• 通過安裝部署物理網卡實現物理隔離

• 通過路由器或交換機實現邏輯隔離

• 通過第三方網絡管理類軟件實現邏輯隔離。

首先，先確定甲方企業安全建設的目標。

甲方企業安全建設的目標就是要實現業務的整體安全，賦能業務產線，將安全從傳統的成本中心轉變成業務中心（部門），使安全工作可管、可控、可視，最大化的保證業務運行。

圍繞企業安全建設的目標，應該從技術、管理、合規三個大的方面進行工作開展。

一、安全技術層面：物理安全、網絡安全、主機安全（服務器和終端）、應用安全、數據安全（大數據安全）、云安全

二、安全管理層面：安全管理機構、安全管理制度、人員安全管理、系統建設安全管理、系統運維安全管理

三、安全合規層面：信息安全等級保護、GDPR、ISO/IEC27001、BCMS、PCI-DSS等。

nops是滲透測試工具Metasploit空指令模塊（Nops），為了避免攻擊載荷在執行的過程中出現隨機地址和返回地址錯誤而在執行shellcode之前加入一些空指令，使得在執行shellcode時有一個較大的安全著陸區。

另外，Metasploit還包含輔助模塊（aux）、滲透攻擊模塊（Exploits）、后滲透攻擊模塊（Post）、攻擊載荷模塊（Payloads）、編碼器模塊（Encoders）。

• 輔助模塊（aux）

  掃描、發掘漏洞、探測信息等工作。

• 滲透攻擊模塊（Exploits）

  利用已發現的漏洞對遠程目標系統進行攻擊，植入并運行攻擊載荷，從而控制目標系統。

• 攻擊載荷模塊（Payloads）

  在滲透攻擊觸發漏洞后劫持程序執行流程并跳入的這段代碼。本模塊的作用是消除安全工作人員開發這部分代碼的代價。

• 編碼器模塊（Encoders）

  將攻擊載荷進行編碼（類似與加密），讓避免操作系統和殺毒軟件辨認出來但是會讓載荷的體積變大，這個時候需要選擇傳輸器和傳輸體配對成的攻擊載荷來下載目標載荷并且運行。

• 后滲透攻擊模塊（Post）

  先拿下一個無關緊要的目標（A）來攻擊真正的目標（B），A中來執行真正的滲透攻擊。

復合型防火墻的優點有如下幾種：

• 超強的增值功能：復合型防火墻除提供全面的網絡安全防護功能外，還提供了包括代理服務器、帶寬管理、地址轉換等增值功能，使用戶在實施和部署安全策略時，獲得更多的網絡產品功能。

• 簡單實用的使用方式：人性化設計的全中文圖形界面，即使非專業人員也能輕松掌握。支持遠程管理和集中管理，支持SNMP管理，降低日常維護成本。可切換的路由或橋式接入方式以及新加入的混合接入方式可以輕松配合用戶原有的網絡環境。在一般情況下，只需不到1個小時就可以完成安全產品的實施，對客戶應用的影響更是可以減少到只需幾秒。

復合型防火墻的缺點有如下幾種：

• 可以阻斷攻擊，但不能消滅攻擊源。

• 不能抵抗最新的未設置策略的攻擊漏洞。

• 并發連接數限制容易導致擁塞或者溢出。

• 對服務器合法開放的端口的攻擊大多無法阻止。

• 對待內部主動發起連接的攻擊一般無法阻止。

• 本身也會出現問題和受到攻擊，依然有著漏洞和Bug。

• 不處理病毒。

信息系統技術性安全控制手段有以下幾種：

• 支撐性控制：支撐性控制具有通用性和基礎性，并構成絕大部分信息技術安全能力的基礎。為了實施其他控制，必須先進行支撐性控制的部署。支撐性技術控制。包括身份鑒別、密鑰密碼管理、安全日常管理、系統保護。

• 預防性控制：預防性控制是指對剛出現安全缺口的地方進行即時的防范性控制。預防性技術控制。包括身份認證、授權控制、訪問控制、抗抵賴機制、通信環境安全、傳輸的私密性。

• 監測、恢復性控制：監測和恢復性控制是指對一個安全性已被破壞的地方進行監測和恢復的控制。監測、恢復性技術控制。包括審計、入侵監測和控制、完整性驗證控制、恢復安全狀態、病毒監測和清除。

linux命令有很多，這么多命令中肯定有那么幾條是比價“危險”的，這里說這么幾條。第一條就是在業界“刪庫跑路”必備命令rm -rf這條命令是刪除文件最快速的辦法一但用了把文件刪了恢復起來較為麻煩。第二就是:(){:|:&};:這條命令就是個fork 炸彈的實例。具體操作是通過定義一個名為 :的函數，它會調用自己兩次，一次在前臺另一次運行在后臺。它會反復的執行下去直到系統崩潰。在一個就是> /dev/sda這條命令，這個命令會將某個‘命令‘的輸出寫到塊設備/dev/sda中。該操作會將在塊設備中的所有數據塊替換為命令寫入的原始數據，從而導致整個塊設備的數據丟失。最后說一句這些命令執行時如果是以普通權限執行，執行的就是你的“一畝三分地”。

公鑰基礎設施服務都提供的服務包括：

• 認證服務：認證服務即身份識別與認證，就是確認實體即為自己所聲明的實體，鑒別身份的真偽。以甲乙雙方的認證為例：甲首先要驗證乙的證書的真偽，乙在網上將證書傳送給甲，甲用CA的公鑰解開證書上CA的數字簽名，若簽名通過驗證，則證明乙持有的證書是真的；接著甲還要驗證乙身份的真偽，乙可將自己的口令用其私鑰進行數字簽名傳送給甲，甲已從乙的證書庫中查得了乙的公鑰，甲即可用乙的公鑰來驗證乙的數字簽名。若該簽名通過驗證，乙在網上的身份就確鑿無疑了。

• 數據完整性服務：數據完整性服務就是確認數據沒有被修改過。實現數據完整性服務的主要方法是數字簽名，它既可以提供實體驗證，又可以保障被簽名數據的完整性，這由雜湊算法和簽名算法提供保證。雜湊算法的特點是輸入數據的任何變化都會引起輸出數據不可預測的極大變化，而簽名是用自己的私鑰將該雜湊值進行加密，然后與數據一道傳送給接收方。如果敏感數據在傳輸和處理過程中被篡改，接收方就不會收到完整的數字簽名，驗證就會失敗。反之，若簽名通過了驗證，就證明接收方收到的是未經修改的完整數據。

• 數據保密性服務：PKI的保密性服務采用了“數字信封”機制，即發送方先產生一個對稱密鑰，并用該對稱密鑰加密數據。同時，發送方還用接收方的公鑰加密對稱密鑰，就像把它裝入一個“數字信封”，然后把被加密的對稱密鑰（“數字信封”）和被加密的敏感數據一起傳送給接收方。接收方用自己的私鑰拆開“數字信封”，并得到對稱密鑰，再用對稱密鑰解開被加密的敏感數據。

• 不可否認服務：不可否認服務是指從技術上保證實體對其行為的認可。在這中間，人們更關注的是數據來源的不可否認性、接收的不可否認性及接收后的不可否認性，此外還有傳輸的不可否認性、創建的不可否認性和同意的不可否認性。

• 公證服務：PKI中的公證服務與一般社會提供的公證人服務有所不同，PKI中支持的公證服務是指“數據認證”，也就是說，公證人要證明的是數據的有效性和正確性，這種公證取決于數據驗證的方式。例如，在PKI中被驗證的數據是基于雜湊值的數字簽名、公鑰在數學上的正確性和簽名私鑰的合法性。

普通人對勒索軟件有以下誤解：

• 首先惡意軟件本身并沒有網絡功能，其次將目標用戶的每一份文件（數據量很大）發送到攻擊者的服務器中也是沒有任何理由的。

• 勒索軟件及其變種版本并沒有任何的后門或遠程訪問代碼，因此攻擊者是無法刪除目標用戶主機中的文件的。

• 從我們的角度來看，在文件解密過程中，他們會給用戶發送一個加載了唯一密鑰的解密軟件，用戶可以用這個軟件來解密自己的文件。也就是說，攻擊者無法限制該軟件可解密的文件。

• 勒索軟件代碼中沒有文件刪除功能，他只會把你的數據進行加密，防止你不通過他來解密數據；

• 普通人覺得當計算機感染勒索病毒后只要交付贖金，攻擊者就會將你的數據解密，實際上你就算交付了贖金攻擊者也不會歸還數據，甚至會實施二次勒索。

預防勒索軟件攻擊的措施有以下這些：

• 培養自身安全意識，無論是關于什么樣的安全防范，從自身的防范意識做起都有一定的作用的，而對員工和廣大計算機用戶進行持續的安全教育培訓是十分必要的。計算機用戶們需要去了解勒索軟件的傳播方式，比如社交媒體、社會工程學、不可信網站、不可信下載源、垃圾郵件和釣魚郵件等。從案例分析教育入手可以使用戶具備一定的風險識別能力和意識。

• 保證電子郵件安全，如今的釣魚網站層出不窮，網絡犯罪分子們可不會放過這個機會，因此他們會使用釣魚郵件來作為他們的勒索軟件傳播主要方式，如果經濟允許的話，企業和用戶應該為自己的電子郵件部署防護產品，要對所有的電子郵件附件進行病毒掃描。

• 網絡隔離，網絡隔離一直都是不錯的一種保護網絡安全的技術，對待勒索軟件也可以用網絡隔離來防御。有效地網絡隔離措施可以防止能通過局域網傳播的勒索軟件的擴散，它可以將關鍵的業務服務程序、數據和設備隔離到獨立的網絡中，防止來自網絡的感染。

• 在恢復方面，選擇可以滿足RTO指標的數據恢復手段和恢復策略，定期進行備份數據的驗證和恢復演練。并把數據恢復相應的應急預案作為企業災難恢復計劃的一部分進行制定、管理和執行。

• 為企業網站部署SSL證書，保障網站安全的最佳方法之一是讓網站從HTTP升級為HTTPS加密，確保企業網站是HTTPS加密傳輸。很大程度上可以防御勒索軟件。不過建議采取支持SSL監測的防護手段，檢測SSL加密會話中存在的威脅。

• 為企業網站以及app等平臺接入防御，這樣能有效的面對各種攻擊，小蟻安盾專注網絡安全防御，攻擊打不死，專接防不住。

暴力破解也可稱為窮舉法、枚舉法，是一種針對于密碼的破譯方法，將密碼進行逐個推算直到找出真正的密碼為止。設置長而復雜的密碼、在不同的地方使用不同的密碼、避免使用個人信息作為密碼、定期修改密碼等是防御暴力破解的有效方法。

比如一個6位并且全部由數字組成的密碼，可能有100萬種組合，也就是說最多需要嘗試100萬次才能找到正確的密碼，但也有可能嘗試幾次后就能找出正確的密碼。從理論上來說，只要字典足夠龐大，枚舉總是能夠成功的，也就是說任何密碼都能被破解，只是時間的問題；為了加快破解的效率，“有心人”會利用計算機來縮短破解的時間。

防御暴力破解攻擊的方法：

• 人的層面：增強密碼安全性

  • 提升密碼長度和復雜度

  • 在不同的地方使用不同的密碼

  • 避免使用字典單詞、數字組合、相鄰鍵盤組合、重復的字符串

  • 避免使用名字或者非機密的個人信息（電話號碼、出生日期等）作為密碼，或者是親人、孩子、寵物的名字

  • 定期修改密碼

• 系統層面：做好密碼防暴力破解設計

  • 鎖定策略：輸錯密碼幾次就鎖定一段時間

  • 驗證碼技術：要求用戶完成簡單的任務才能登錄到系統

  • 密碼復雜度限制：強制用戶設置長而復雜的密碼，并強制定期更改密碼

  • 雙因子認證：結合兩種不同的認證因素對用戶進行認證

風險評估的模式可分自評估與他評估：

• 自評估：自評估是信息系統擁有單位依靠自身力量，對自有的信息系統進行的風險評估活動。信息系統的風險，不僅來自信息系統技術平臺的共性，還來自特定的應用服務。由于具體單位的信息系統應用服務各具特色，這些個性化的過程和要求往往是敏感的，而且是沒有長期接觸該單位所屬行業和部門的人難以在短期內熟悉和掌握的。因此，自評估有利于保密，有利于發揮行業和部門內的人員的業務特長，有利于降低風險評估的費用；有利于提高本單位的風險評估能力與信息安全知識。但是，如果沒有統一的規范和要求，在缺乏信息系統安全風險評估專業人才的情況下，自評估的結果可能不深入、不規范、不到位。在自評估中，也可能會存在來自本單位或上級單位領導的不利干預，從而出現風險評估結果不夠客觀或評估結果的置信度較低等問題。某些時候，即使自評估的結果比較客觀，但也可能不會被管理層所信任。這種情況下，如果的確有必要實施自評估，或自評估的結果對管理層的決策關系重大，則可以采取專家組論證的方式加以解決。

• 他評估：他評估可以是檢查性評估或委托評估。機構應根據實際情況和信息安全顧問的建議，經過批準，選擇合適的風險評估模式。

每一級的受侵害的客體、對客體的侵害程度不同。每一級的備案時間長短也不一樣。

網絡安全等級保護(Network scurity level prtetin)是指對國家秘密信息法人或其他組織和公民的專有信息，以及存儲傳輸和處理這些信息的公共信息和信息系統的分級安全保護，信息系統中使用的安全產品的分級管理，信息系統中發生的信息安全事件的分級響應和處置。

網站等級保護備案分為以下五級，一至五級等級逐級增高:

第一級，信息系統受到破壞后，會對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會秩序和公共利益。第一級信息系統運營、使用單位應當依據國家有關管理規范和技術標準進行保護。(無需備案，對測評周期無要求)

第二級，信息系統受到破壞后，會對公民、法人和其他組織的合法權益產生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全。國家信息安全監管部門對該級信息系統安全等級保護工作進行指導。(公安部門備案，建議兩年測評次)

第三級，信息系統受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害。國家信息安全監管部門]對該級信息系統安全等級保護工作進行監督、檢查。(公安部門備案，要求每年測評次)

第四級，信息系統受到破壞后，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害。國家信息安全監管部門對該級信息系統安全等級保護工作進行強制監督、檢查。(公安部門備案， 要求半年次)

第五級，信息系統受到破壞后，會對國家安全造成特別嚴重損害。國家信息安全監營部門對該級信息系統安全等級保護工作進行專門監督、檢查。(公安部門備案，依據特殊安全需求進行）

常用的漏洞掃描工具有：

Nikto

是一個開源的Web服務器掃描程序，它可以對Web服務器的多種項目(包括3500個潛在的危險文件/CGI，以及超過900個服務器版本，還有250多個服務器上的版本特定問題)進行全面的測試。其掃描項目和插件經常更新并且可以自動更新(如果需要的話)。

Paros

這是一個對Web應用程序的漏洞進行評估的代理程序，即一個基于Java的web代理程序，可以評估Web應用程序的漏洞。

WebScarab

這是一款強大的Web應用程序掃描程序。SPI Dynamics的這款應用程序安全評估工具有助于確認Web應用中已知的和未知的漏洞。它還可以檢查一個Web服務器是否正確配置，并會嘗試一些常見的Web攻擊，如參數注入、跨站腳本、目錄遍歷攻擊(directory traversal)等等。

WebInspect

這是一款強大的Web應用程序掃描程序。SPI Dynamics的這款應用程序安全評估工具有助于確認Web應用中已知的和未知的漏洞。它還可以檢查一個Web服務器是否正確配置，并會嘗試一些常見的Web攻擊，如參數注入、跨站腳本、目錄遍歷攻擊(directory traversal)等等。

Whisker/libwhisker

Libwhisker是一個Perla模塊，適合于HTTP測試。它可以針對許多已知的安全漏洞，測試HTTP服務器，特別是檢測危險CGI的存在。Whisker是一個使用libwhisker的掃描程序。

Burpsuite

這是一個可以用于攻擊Web應用程序的集成平臺。Burp套件允許一個攻擊者將人工的和自動的技術結合起來，以列舉、分析、攻擊Web應用程序，或利用這些程序的漏洞。各種各樣的burp工具協同工作，共享信息，并允許將一種工具發現的漏洞形成另外一種工具的基礎。

Wikto

可以說這是一個Web服務器評估工具，它可以檢查Web服務器中的漏洞，并提供與Nikto一樣的很多功能，但增加了許多有趣的功能部分，如后端miner和緊密的Google集成。它為MS.NET環境編寫，但用戶需要注冊才能下載其二進制文件和源代碼。

Acunetix Web Vulnerability Scanner

這是一款商業級的Web漏洞掃描程序，它可以檢查Web應用程序中的漏洞，如SQL注入、跨站腳本攻擊、身份驗證頁上的弱口令長度等。它擁有一個操作方便的圖形用戶界面，并且能夠創建專業級的Web站點安全審核報告。

Watchfire AppScan

這也是一款商業類的Web漏洞掃描程序。AppScan在應用程序的整個開發周期都提供安全測試，從而測試簡化了部件測試和開發早期的安全保證。它可以掃描許多常見的漏洞，如跨站腳本攻擊、HTTP響應拆分漏洞、參數篡改、隱式字段處理、后門/調試選項、緩沖區溢出等等。

N-Stealth

N-Stealth是一款商業級的Web服務器安全掃描程序。它比一些免費的Web掃描程序，如Whisker/libwhisker、 Nikto等的升級頻率更高，它宣稱含有“30000個漏洞和漏洞程序”以及“每天增加大量的漏洞檢查”，不過這種說法令人質疑。還要注意，實際上所有通用的VA工具，如Nessus, ISS Internet Scanner, Retina, SAINT, Sara等都包含Web 掃描部件。(雖然這些工具并非總能保持軟件更新，也不一定很靈活。)N-Stealth主要為Windows平臺提供掃描，但并不提供源代碼。

安全保護等級分為以下五級，一至五級等級逐級增高：

• 自主保護級：等級保護對象受到破壞后，會對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會秩序和公共利益；

• 指導保護級：等級保護對象受到破壞后，會對公民、法人和其他組織的合法權益產生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全；

• 監督保護級：等級保護對象受到破壞后，會對公民、法人和其他組織的合法權益產生特別嚴重損害，或者對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害；

• 強制保護級：等級保護對象受到破壞后，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害；

• 專控保護級：等級保護對象受到破壞后，會對國家安全造成特別嚴重損害。

Cobalt Strike是一款基于Java的滲透測試神器，常被業界人稱為CS神器，在內網滲透中使用的頻率較高，其功能和MSF類似，不乏釣魚攻擊、生成后門攻擊等。

Cobalt Strike可生成C、C#、COM Scriptlet、Java、Perl、PowerShell、PowerShell Command、Python、Raw、Ruby、Veil、VBA共12種格式的Payload，可以通過打開“Packages”中的“Payload Generator”查看其可以生成的格式。

使用最多的是C和Powershell這兩種格式，首先簡單介紹一下C格式的“Shellcode”，Shellcode是一段用于利用軟件漏洞的代碼，對于免殺操作更方便。Powershell通常是在滲透中拿下Webshell后，直接運行然后使主機上線，當然Powershell的免殺較Shellcode要更復雜一點。

apt攻擊覆蓋了如社會工程學、病毒攻擊、0day漏洞、木馬攻擊、SQL注入攻擊、注入攻擊、加密等多種攻擊手段。apt攻擊的原理比其他攻擊形式更先進、更先進，其先進性主要體現在apt在發起攻擊前需要準確采集攻擊對象的業務流程和目標系統。在收集過程中，該攻擊會主動利用被攻擊對象的可信系統和應用程序的漏洞，利用這些漏洞構建攻擊者所需的網絡，并利用0day漏洞進行攻擊。

APT攻擊是一種高級持續性威脅攻擊，針對該攻擊的防御手段有以下這些：

• 使用威脅情報：這包括APT操作者的最新信息、從分析惡意軟件獲取的威脅情報、已知的C2網站、已知的不良域名、電子郵件地址、惡意電子郵件附件、電子郵件主題行、以及惡意鏈接和網站。威脅情報在進行商業銷售，并由行業網絡安全組共享。企業必須確保情報的相關性和及時性。威脅情報被用來建立“絆網”來提醒你網絡中的活動。

• 建立強大的出口規則：除網絡流量（必須通過代理服務器）外，阻止企業的所有出站流量，阻止所有數據共享和未分類網站。阻止SSH、FTP、Telnet或其他端口和協議離開網絡。這可以打破惡意軟件到C2主機的通信信道，阻止未經授權的數據滲出網絡。

• 收集強大的日志分析：企業應該收集和分析對關鍵網絡和主機的詳細日志記錄以檢查異常行為。日志應保留一段時間以便進行調查。還應該建立與威脅情報匹配的警報。

• 聘請安全分析師：安全分析師的作用是配合威脅情報、日志分析以及提醒對APT的積極防御。這個職位的關鍵是經驗。

• 對未知文件進行檢測：一般通過沙箱技術罪惡意程序進行模擬執行，通過對程序的行為分析和評估來判斷未知文件是否存在惡意威脅。

• 對終端應用監控：一般采用文件信譽與嘿白名單技術在終端上檢測應用和進程。

• 使用大數據分析方法：基于大數據分析的方法，通過網路取證，將大數據分析技術和沙箱技術結合全面分析APT攻擊。