McAfee官方中文譯名為“邁克菲”。公司的總部位于美國加州圣克拉拉市，致力于創建最佳的計算機安全解決方案，以防止網絡入侵并保護計算機系統免受下一代混合攻擊和威脅，其關閉辦法如下：

1. 雙擊邁克菲圖標

   打開電腦進入系統后，雙擊電腦的McAfee應用圖標進入。

   

2. 選擇PC安全選項

   進入主界面后，選擇上方的PC安全的選項進入。

   

3. 選擇實時掃描

   點擊進入后，在左側的選項內，點擊實時掃描的選項。

   

4. 點擊關閉

   點擊后，在實時掃描界面，點擊頁面的關閉的選項。

   

5. 選擇立即關閉

   點擊后，在關閉時間中，選擇需要關閉的時間，如果需要立即關閉，將其選擇為從不。

   

6. 關閉完成

   選擇完畢后，點擊下方的關閉選項，即可關閉電腦的McAfee應用。

   

網絡安全評估是指針對公共網絡所存在的漏洞及漏洞披露方式進行的一種技術評估。《網絡安全法》規定，關鍵信息基礎設施運營者應當自行或者委托網絡安全服務機構對其網絡的安全性和可能存在的風險每年至少進行一次檢測評估。

風險評估的主要內容為：

• 對資產進行識別，并對資產的重要性進行賦值；

• 對威脅進行識別，描述威脅的屬性，并對威脅出現的頻率賦值；

• 對資產的脆弱性進行識別，并對具體資產脆弱性的嚴重程度賦值；

• 根據威脅和脆弱性的識別結果判斷安全事件發生的可能性；

• 根據脆弱性的嚴重程度及安全事件所作用資產的重要性計算安全事件的損失；

• 根據安全事件發生的可能性以及安全事件的損失，計算安全事件一旦發生對組織的影響，即風險值。

風險評估涉及資產、威脅、脆弱性等基本要素。每個要素有各自的屬性，資產的屬性是資產價值（重要性）；威脅的屬性是威脅出現頻率；脆弱性的屬性是脆弱性的嚴重程度。

企業實施網絡安全事件管理有以下好處：

• 提高組織的網絡安全保障水平：建立嚴謹細致的網絡安全管理方案，使組織對安全事件具有結構化的發現、報告、評估和響應流程，當出現安全事件時，組織能迅速確認網絡安全事件的狀態和過程，通過對安全事件的分析可以快速實施安全解決方案，同時對未來可能發生的類似網絡安全事件進行預防，以提高整個組織的網絡安全保障水平。

• 降低安全事件對組織業務的影響：完整的網絡安全事件管理方案可以幫助企業降低網絡安全事件對組織業務潛在的負面影響級別，包括企業當前的經濟損失及長期的聲譽損失等。

• 加強網絡安全事件預防：網絡安全事件管理方案可以幫助組織創造預防網絡安全事件的環境。對事件相關數據進行分析，有助于掌握事件的模式和發展趨勢，從而更加精準地對網絡安全事件進行預防，在網絡安全事件發生時，以對應的安全解決方案進行及時響應。

• 為調查優先級的確定提供依據：當出現網絡安全事件時，完整的網絡安全事件管理方案可以為網絡安全事件調查優先級的確定提供判斷依據。組織如果沒有明確的調查流程，調查工作只能根據當時的場景進行，難以解決真正的需求，會阻礙調查工作的順利開展。組織如果指定了清晰的調查流程，可以幫助企業確保數據的搜集和處理符合法律要求。網絡安全事件恢復過程中所采取的行動會影響搜集到的數據的完整性。

• 有利于預算和資源的管理：完整的網絡安全事件管理方案可以幫助組織確認和簡化所需要涉及的預算和資源配置。完整的網絡安全事件管理包含對時間的管理，這樣也方便提供處理不同級別、不同平臺上的事件所需要的時間，當處理過程中的時間不足時，可以進行識別。

• 有利于識別各類威脅：完整的網絡安全事件管理方案可以幫助組織識別、確認各類威脅的類別及相關脆弱性的特征，以便搜集質量更好的數據，同時可以提供已經識別的威脅類型發生的頻率數據。網絡安全事件對組織業務的影響數據分析、對業務的發展有關鍵性作用，各種威脅類型發生的頻率數據對于威脅評估質量非常有用，脆弱性相關的數據可以幫助提升脆弱性評估質量。

• 提高網絡安全意識：完整的網絡安全事件管理方案可以為企業網絡安全意識教育計劃提供重要的信息。安全事件小組可以以真實的網絡安全事件說明網絡安全事件管理的重要性，同時能說明安全解決方案對快速解決問題的重要性。

• 為網絡安全策略評審提供信息：網絡安全事件管理方案提供的數據可以為網絡安全策略的有效性評審提供有價值的信息，可以幫助組織內部或其他單個系統、服務或網絡策略進行改進。

近距離無線通信存在以下安全威脅：

• 網絡竊聽：不論是有線網絡，還是無線網絡，在網絡竊聽等威脅面前都是很脆弱的。有線網絡雖然實現了物理隔離，但仍然可以通過搭線進行竊聽。LTE 和WiMAX 由于傳輸介質是共享的，因此其上收發的數據更容易被竊聽。體積小、成本低的eNB(evolved Node B)部署在不安全的地點(例如室內的公共場所)，與核心網連接所使用的傳輸鏈路不安全(例如常規的辦公室用以太網線)(即last-mile)是導致這種威脅的根本原因。這種威脅包括攻擊者竊取數據包中的機密數據(內容機密性)或竊取機密的上下文信息，例如標識、路由信息和用戶的通信行為。

• 未經授權使用服務：LTE 和WiMAX 可以同時提供數據、語音和視頻等多種服務，每種服務都意味著耗費一定的網絡資源，因此只有對某些服務進行定購的用戶才有資格使用這些服務。如果網寬帶無線通信系統演進中的安全技術方案及發展趨勢網絡采用開放式訪問， 任何用戶都可以不經授權地享受這些服務，將會大量耗費系統資源，使運營商無法為用戶提供滿意的服務質量，嚴重影響系統的運營，同時會引起運營商收入的大量流失。

• 非法BS：非法接入設備也是無線網絡中經常出現的情況， 這對于用戶而言是非常危險的，它可以輕易地對用戶發起中間人攻擊。所謂“中間人攻擊”，是指攻擊者占據通信雙方A 和B 的通信中間節點，冒充B 與A 建立連接，同時冒充A 與B建立連接，將A 發送來的數據轉發給B，將B 發送來的數據轉發給A，而A 和B 感覺不到攻擊者的存在。這樣，攻擊者在轉發A 和B 的數據的過程中， 可以完成對數據的竊聽和篡改。在 WiMAX 網絡中，攻擊者使用一定的設備作為BS 接入節點(既可以通過合法BS 接入， 也可以通過本地網接入)，使其在一定范圍內冒充合法BS 對SS(用戶站)提供接入服務， 這樣攻擊者可以在通信雙方毫不知覺的情況下發起中間人攻擊。

• DoS 攻擊：DoS(denial of service，拒絕服務)攻擊的目的是使計算機或網絡無法提供正常的服務。最常見的DoS 攻擊有網絡帶寬攻擊和連通性攻擊。帶寬攻擊指以極大的通信流量沖擊網絡，使得所有可用網絡資源都被消耗殆盡，最后導致合法的用戶請求無法通過。連通性攻擊指用大量的連接請求沖擊計算機，使得所有可用的操作系統資源都被消耗殆盡，最終計算機無法處理合法用戶的請求。如果攻擊者將多臺設備聯合起來作為攻擊平臺，對被攻擊者發起分布式DoS 攻擊，將成倍地提高攻擊的威力。在LTE 系統中， 在啟動安全模式之前從網絡收到的信息和從網絡發出的點對多點信息沒有受到保護。這可能面臨DoS 威脅，即UE 將被欺騙到假的eNB 或者從網絡中被剝離等， 攻擊者可能強制LTE UE 切換到安全性較弱的傳統網絡，進而拒絕服務。攻擊者能劫持網絡節點向eNB 發送有選擇的數據包，從而發起邏輯DoS 攻擊。攻擊者還能偽裝成UE， 向eNB 發送有選擇的數據包， 使得eNB 拒絕向其他UE 服務。攻擊者也可利用來自RAN(radio access network)的信令，例如在初始的接入認證中，向MME(mobility management entity，移動性管理實體)發起DoS 攻擊。

近距離無線通信存在安全威脅的防護措施：

• 數據信息加密技術：為了提升無線通信網絡的安全程度，保護用戶的隱私與個人信息，可以使用密鑰加密技術。密鑰加密技術分為私用密鑰與公用密鑰，公用密鑰對外公開，私用密鑰個人保存。若是要發送加密信息，首先通過公鑰進行信息加密，發送給私鑰持有者，即使不法分子在信息傳輸過程中將其攔截，但是其未持有私鑰，就無法進行信息解密，只有私鑰持有人輸入私鑰密碼時，才能夠獲取加密信息。

• 及時修復軟件漏洞：軟件與程序是由人工進行書寫的，因此存在漏洞是很正常并且也是必然的。用戶在使用軟件時都有可能遇到由于漏洞造成的問題，不法分子會深入分析軟件的代碼，發現軟件中存在的漏洞，并利用軟件漏洞入侵無線通信網絡。黑客能夠通過軟件漏洞獲取用戶信息，因此當使用者發現軟件漏洞時，要及時地反饋軟件漏洞情況，軟件開發者及時的修復漏洞，避免用戶信息泄露。

• 身份認證機制：身份認證是用戶提供正確的密鑰驗證自己的真實身份，這一技術已經在無線網絡中得到了廣泛的應用，是一種基礎性的無線網絡安全防護措施。現階段身份認證機制主要有人臉識別認證、密碼認證與指紋認證等，身份認證也是通信領域中的一種安全防護技術，在網絡安全領域中應用范圍十分廣泛。

• 數字簽名：用戶簽名是將用戶信息應用于其他操作時進行信息驗證的憑證。在其他設備上進行操作時，用戶需要在操作設備上簽名，系統能夠自動對比用戶簽名與預留信息，驗證用戶信息的真實性，并保證二次操作的有效性。數字簽名技術能夠應用于刷卡操作，降低盜刷的可能性。

• MAC地址過濾技術：MFC地址由長度為48位的二進制碼組成，也可以由12位16進制代碼構成，是硬件的唯一標識符[5]。通過MAC地址分析硬件設備，若是存在安全風險，則可以過濾地址拒絕訪問，同時也會嚴格的篩選接收地數據包，數據包若是不符合標準，則會自動隔離。MAC地址過濾技術能夠防止他人惡意入侵無線網絡，在無線網絡安全防護中有著廣泛的應用。

• 提升無線網絡的健壯性：網絡系統的健壯性是評判網絡抗干擾與破壞能力的重要特征。這種破壞力主要體現在以下兩方面，一方面是人為破壞，另一方面是自然破壞。網絡系統的健壯性能夠保證網絡在遭受局部破壞之后仍然保持正常運行。通過探究網絡拓撲結構，分析網絡結構特點，獲取信息位置，并進行信息備份，以提升網絡健壯性。除此之外也可以配備備用裝置，降低人為或自然破壞對網絡造成的破壞程度，維持無線通信網絡的正常運行。在無線通信網絡的研發與實踐中，要將重心放在提升網絡健壯性上，這樣才能夠有效地提升無線網絡的抗破壞能力。

這里以Nessus漏掃工具為例基于ip地址掃描漏洞方法如下：

1. 下載Nessus軟件包：去改軟件官方網站下載相應系統版本的安裝包，下載后將其解壓到因為文件夾下，這里以centiOS7為例。

2. 安裝軟件包：打開命令行模塊，進入到軟件所在位置，輸入dpkg -i Nessus按tab鍵補全，回車后自動安裝。

3. 啟動軟件：直接在命令行頁面進入到剛才的安裝目錄，使用start命令啟動該軟件，必須要在軟件所安裝目錄才能啟動成功。

4. 添加策略：找到該軟件的圖形界面，在主界面切換到Policies選項卡上，單擊New Policy按鈕選擇創建策略類型，設置好策略名、可見性和描述信息，然后單擊左側的Plugins標簽后策略新建完成。

5. 新建掃描：在界面切換到Scans選項卡上，該界面可以看到當前沒有任何掃描任務，所以需要添加掃描任務后才能掃描。在該界面單擊New Scan按鈕，設置掃描任務名稱、使用策略、文件夾和掃描的目標，這里的目標可以設置為你要掃描網站的域名或者ip地址，但是如果網站有cdn或者waf則可能會掃描失敗。設置完掃描目標后然后單擊Launch按鈕后可以看到掃描任務的狀態為Running（正在運行），表示Sample Scan掃描任務添加成功。

使用內生安全密碼應用架構有以下作用：

• 建立基于密碼技術的統一身份認證機制：建立以SM2算法PKI系統為基礎的統一認證體系，為企業用戶、業務應用和設備提供數字證書的生命周期管理、強身份認證和安全可控訪問，并以此為基礎為信息網提供完整的數字證書服務、綜合認證服務、安全審計服務和集中管理監控服務。統一身份認證體系的構建，將作為企業信息化網絡基礎認證設施，不僅可為應用系統提供集中強身份管理認證，還能夠為其他需要證書服務的應用和設備（如網絡加密模塊、SSL VPN、網絡密碼機等）提供數字證書的生命周期管理，并可依托模塊化認證架構，為身份安全及應用安全，以及5G、工業、物聯網等領域的應用奠定基礎。

• 建立面向大數據的數據存儲加密機制：數據是驅動網絡安全的核心要素，對數據的分析是確保網絡安全的主要方法。但隨著云計算的普及和業務系統中存儲著大量重要和敏感的數據，數據存儲的加密成為必選項。因此必須將業務系統中的用戶口令、重要數據、重要配置文件、敏感內容等信息進行加密存儲，同時采取磁盤加密、分布式加密、文件加密、關鍵字段加密等靈活的加密方法，并配合高性能的加解密工具，實現數據加密與分析的良好配合。

• 敏感數據的加密保護：應用系統中存在大量的重要信息，可以直接調用企業統一密碼服務管理平臺的加解密API，使用主密鑰直接加密或解密其中的敏感數據。也可以使用數字信封對數據進行加密保護，將主密鑰存放在統一密碼服務管理平臺中，只部署加密后的數據密鑰。僅在需要使用數據密鑰時，才調用統一密碼服務管理平臺獲取數據密鑰的明文，以在本地加解密業務數據。

• 口令存儲、傳輸加密保護：服務器端不允許存儲用戶的明文口令，客戶端一般調用密碼服務瀏覽器插件或App端的SDK，針對口令生成SM3摘要，然后通過安全通道傳輸到服務器端進行存儲。

• 建立對用戶透明的數據傳輸安全通道：用戶使用瀏覽器訪問應用的時候涉及重要和敏感數據的傳輸，這就需要對相應的數據進行保護。可以通過在終端用戶的電腦上安裝國密算法客戶端，該客戶端在終端與通道加密服務之間建立安全通道，通道加密服務轉發數據到應用，實現用戶訪問的安全傳輸。通道加密服務除認證服務端口外，每個應用有一個對外服務端口。在終端完成統一密碼服務平臺的配置后，用戶打開瀏覽器訪問地址即可——訪問方式和原來相同，沒有任何變化。

• 建立可信的日志完整性保護機制：根據等級保護要求，應用系統的操作日志、審計日志、告警日志等關鍵日志，需要進行完整性保護。企業可以通過調用統一密碼服務平臺的服務接口針對日志文件或者相關數據庫表生成消息認證碼（MAC），同時在驗證完整性時對權限列表的消息認證碼（MAC）進行驗證，以確定完整性是否被破壞。

為了保證系統的機密性，抵抗密碼分析，一個安全的保密系統至少應當滿足以下基本要求：

• 系統即使達不到理論上是不可破的，也應當是實際上不可破的。也就是說，從截獲的密文或某些已知明文-密文對，要確定密鑰或任意明文在計算上是不可行的。

• 系統的保密性不依賴于對加密體制或算法的保密，而依賴于對密鑰的保密。

• 系統既易于實現又便于使用。

• H3C

這個的品牌認同率會高一些，而且華三的科技科研水平也是非常的高的，這個品牌的使用也是我國比較受歡迎的一款產品，相對而言會貴一些。這個產品的性能在消費者的使用中，評價也是非常好的。

• 山石

山石網科 Web 應用防火墻（WAF）是新一代專業的Web 應用安全防護產品，在Web資產發現、漏洞評估、流量學習、威脅定位等方面全面應用智能分析和語義分析技術，幫助用戶輕松應對應用層風險，確保網站全天候的安全運營。

• 綠盟

綠盟Web應用防火墻（簡稱WAF），用黑、白名單機制相結合的完整防護體系，將多種Web安全檢測方法連結成一套完整（COMPLETE）的解決方案，并整合成熟的DDoS攻擊抵御機制，能在IPv4、IPv6及二者混合環境中全面防御包括OWASP TOP10在內的多種Web攻擊，保衛您的Web應用免遭當前和未來的安全威脅。

• 天融信

天融信工控防火墻系統（TopIFW）是專門針對工業控制系統設計的安全防護類產品，用以提升整體網絡安全防護能力。

• 深信服

深信服下一代防火墻AF融合邊界對抗威脅所需的專業安全能力，通過簡單易用的方式交付，全面防護各類威脅，并具備多重智能模型和智能聯動手段，可持續對抗不斷出現的各類新風險。

• 網域

網域的第二代防火墻做的可以說是更加精確、細致了。懂技術的人都知道，傳統防火墻是基于ip做防護，但現在是真的不夠用，很逗都是基于應用層的，網域的防火墻在應用層做的挺出色的。

• 華為

華為企業級別的防火墻，這個防火墻的等級是比較好的，而且這個是屬于企業級別的，這個防火墻一般使用的場所就是企業辦公室會比較常用一些，主要也是對這個品牌比較放心，因為企業的網絡里是有著很多的機密的，所以更需要重視網絡安全問題，這個華為的防火墻還是在企業里比較受歡迎的一個。

信息安全等級保護制度遵循以下基本原則：

• 明確責任，共同保護

  通過等級保護，組織和動員國家、法人和其他組織、公民共同參與信息安全保護工作；各方主體按照規范和標準分別承擔相應的、明確具體的信息安全保護責 任。

• 依照標準，自行保護

  國家運用強制性的規范及標準，要求信息和信息系統按照相應的建設和管理要求，自行定級、自行保護。

• 同步建設，動態調整

  信息系統在新建、改建、擴建時應當同步建設信息安全設施，保障信息安全與信息化建設相適應。因信息和信息系統的應用類型、范圍等條件的變化及其他原因，安全保護等級需要變更的，應當根據等級保護的管理規范和技術標準的要求，重新確定信息系統的安全保護等級。等級保護的管理規范和技術標準應按照等級保護工作開展的實際情況適時修訂。

• 指導監督，重點保護

  國家指定信息安全監管職能部門通過備案、指導、檢查、督促整改等方式，對重要信息和信息系統的信息安全保護工作進行指導監督。

目前云計算使用的虛擬化安全措施包括以下這些：

• 虛擬機隔離機制：在虛擬化環境中，虛擬機之間隔離的有效性標志著虛擬化平臺的安全性。虛擬機的隔離機制目的是保障各虛擬機獨立運行、互不干擾，因此，若隔離機制不能達到預期效果，當一個虛擬機出現性能下降或發生錯誤時，就會影響到其他虛擬機的服務性能，甚至會導致整個系統的癱瘓。

• 虛擬機信息流控制：信息流是指信息在系統內部和系統之間的傳播和流動，信息流控制是指以相應的信息流策略控制信息的流向。信息流控制策略一般包括數據機密性策略和完整性策略，機密性策略是防止信息流向未授權獲取該信息的主體，完整性策略是防止信息流向完整性高的主體或數據。信息流控制機制實現的核心思想是將標簽附著在數據上，標簽隨著數據在整個系統中傳播，并使用這些標簽來限制程序間的數據流向。機密性標簽可以保護敏感數據不被非法或惡意用戶讀取，而完整性標簽可以保護重要信息或存儲單元免受不可信或惡意用戶的破壞。

• 虛擬網絡：虛擬網絡映射問題是網絡虛擬化技術研究中的核心問題之一，它的主要研究目標是在滿足節點和鏈路約束條件的基礎上，將虛擬網絡請求映射到基礎網絡設施上，利用已有的物理網絡資源獲得盡可能多的業務收益。虛擬網絡映射分為節點映射和鏈路映射兩個部分。節點映射是將虛擬網絡請求中的節點映射到物理網絡中的節點上，而鏈路映射是指在節點映射階段完成后，將虛擬網絡請求中的鏈路映射到所選物理節點之間的物理路徑上。

• 虛擬機監控：基于虛擬機的安全監控技術有不同于傳統安全監控技術的特點及優點。首先，基于虛擬機的安全監控是通過在母盤操作系統中部署安全監控系統來達到監控各個虛擬子系統的目的，并不需要在每個子系統中都部署單獨的監控系統，系統部署較為方便，系統本身也不易受到黑客的直接攻擊。此外，基于虛擬機的安全監控不需要對被監控系統進行修改，保證了虛擬子系統運行環境的穩定。虛擬機監控可分為進程監控、文件監控和網絡監控。進程可以描述計算機系統中的所有活動，通過對進程進行監控能夠對可疑的活動進行及時的發現和終止；文件是操作系統中必不可少的部分，操作系統中的所有數據都以文件的方式存放，特別是系統文件在遭到惡意修改后會帶來不可逆轉的破壞，因此有必要對文件系統進行監控；網絡是計算機和外部通信的媒介，也是黑客進行破壞的有效途徑，如果對網絡數據做到全方位的監控，必然能對整個虛擬機環境提供有效的保護。

大數據元數據有以下基礎功能：

• 元數據查詢，指對元數據庫中的元數據基本信息進行查詢的功能，通過該功能可以查詢數據庫表、維表、指標、過程及參與的輸入輸出實體信息，以及其他納入管理的實體基本信息，查詢的信息按處理的層次及業務主題進行組織，查詢功能返回實體及其所屬的相關信息。

• 元數據維護，元數據維護提供對元數據的增加、刪除和修改等基本操作。對于元數據的增量維護，要求能保留歷史版本信息。維護操作是原子操作，這些原子操作可通過服務封裝的形式向系統的其他模塊提供元數據維護接口。

• 元數據變更管理，包括變更通知和版本管理兩個部分。變更通知是當元數據發生改變時，系統自動發送信息（郵件、短信）給訂閱用戶。用戶可以主動訂閱自己關心的元數據，幫助了解與自身工作相關的業務系統變更情況，提高工作的主動性，版本管理就是對元數據的變更過程進行版本快照。

• 元數據統計，用戶可以按不同類別進行元數據個數的統計，方便用戶全面了解元數據管理模塊中的元數據分布，了解用戶對元數據的使用情況，從而為元數據的使用狀況做出一個全面的評價，也為元數據管理模塊的元數據維護和管理提供參考。所有用戶對元數據的訪問和操作在元數據管理模塊中都應有詳細的記錄。

• 全文檢索，將元數據當中的重點關注數據（如表名及其含義、字段名及其含義、標簽等）按照全文檢索理論建立起來，提供一個全文檢索服務。為用戶提供豐富的檢索結果展示，能夠根據不同類型的元數據，展示不同風格的顯示模板，方便用戶對檢索結果的瀏覽查看，提高用戶對檢索效果的滿意度。

入侵檢測系統是這樣工作的：

• 信息收集：入侵檢測的第一步是信息收集，內容包括網絡流量的內容、用戶連接活動的狀態和行為。

• 信號分析：對收集到的信息，一般通過三種技術手段進行分析：模式匹配，統計分析和完整性分析。其中前兩種方法用于實時的入侵檢測，而完整性分析則用于事后分析。

• 實時記錄、報警或有限度反擊：IDS根本的任務是要對入侵行為做出適當的反應，這些反應包括詳細日志記錄、實時報警和有限度的反 擊攻擊源。

等級保護測評一般是指信息安全等級保護測評工作，即對信息和信息載體按照重要性等級分級別進行保護的一種測評工作，指對國家重要信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統分等級實行安全保護，對信息系統中使用的信息安全產品實行按等級管理，對信息系統中發生的信息安全事件分等級響應、處置。

保護等級分為以下五級，一至五級等級逐級增高：

第一級，信息系統受到破壞后，會對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會秩序和公共利益。第一級信息系統運營、使用單位應當依據國家有關管理規范和技術標準進行保護。

第二級，信息系統受到破壞后，會對公民、法人和其他組織的合法權益產生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全。國家信息安全監管部門對該級信息系統安全等級保護工作進行指導。

第三級，信息系統受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害。國家信息安全監管部門對該級信息系統安全等級保護工作進行監督、檢查。

第四級，信息系統受到破壞后，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害。國家信息安全監管部門對該級信息系統安全等級保護工作進行強制監督、檢查。

第五級，信息系統受到破壞后，會對國家安全造成特別嚴重損害。國家信息安全監管部門對該級信息系統安全等級保護工作進行專門監督、檢查。

APT攻擊檢測思路：

• 檢測偽裝進程偽裝

  根據進程名稱與進程內部名稱、以及進程路徑的對比，來檢測進程是否偽裝

• 異常進程鏈檢測

  根據父子進程來發現異常，比如winword等文檔型程序啟動mshta進程、Spoolsv啟動powershell。

• 基于加載的DLL文件

  掃描進程中存在的非正常的dll文件，且著重關注一些DLL文件的加載，比如scrobj.dll被加載到regsvr32進程中，則可能存在regsvr32執行sct文件的情況，需要對該進程的行為進行追蹤；關注DLL的來源，比如反向dll注入，dll來源于網絡。

• 環境變量檢測

  PATH和PATHEXT中寫入了可疑路徑，從而實現DLL劫持；

  特殊環境變量檢測：COR_PROFILER環境變量的設置，檢測該環境變量指向的COM組件中是否存在惡意dll文件，從而發現CLR劫持

• 路徑一致性檢測

  分別獲取命令行路徑和真實路徑，兩者不同說明有路徑假冒行為，兩個路徑分別是WindowTitle（窗口路徑）和CommandLine（命令行路徑）：

• 操作對象檢測

  某些特種木馬為了防止重復種植，一般會在操作的Mutants、File、Token等類型的對象上設置其特征。比如ByShell病毒在進程創建了Mutant類型的對象ByShell_Event_Wait

• 文件簽名檢測

  檢測PE文件簽名或DLL文件簽名；

• DLL隱藏檢測

  DLL隱藏的方式有兩種，一是將DLL從加載順序鏈表中斷開（檢測方式：加載的DLL-卸載的DLL != 目前DLL）、二是修改_LDR_DATA_TABLE_ENTRY結構體中的DLL路徑和DLL名稱（檢測方式：對比DLL路徑和映射文件路徑）。

• 遠程線程注入檢測

  注入前DLL存在于磁盤上，可檢測DLL文件是否為惡意文件；還可以檢測CreateRemoteThread等函數的調用。

• 對抗隱寫術

  檢測執行的命令的文件來源，比如powershell提取并執行圖片中嵌入的代碼，則檢測powershell執行的腳本的來源；

• 反彈shell檢測

  反彈shell的本質是輸入輸出重定向，因此可通過cmd、powershell等進程的輸入來源進行檢測。比如cmd的父進程聯網。

• 無文件攻擊檢測

  • 基于命令行的檢測，檢測各種下載執行的命令行；

  • 基于父子進程的檢測，檢測異常進程鏈；

  • 基于加載或執行的文件來源的檢測，檢測進程加載或執行的文件是否來源于網絡。

• 持久化攻擊檢測

  檢測敏感注冊表項中的命令或掃描其執行的程序、掃描計劃任務執行的文件、掃描啟動目錄中的文件、掃描自啟動服務對應的程序等。

• 系統的安全配置檢測

  • 防火墻開啟狀態檢測；

  • UAC開啟狀態檢測；

  • 是否禁止顯示隱藏文件；

  • 安全模式是否被禁用或破壞；

  • 控制面板啟用狀態檢測；

  • OFFICE宏安全設置檢測

  • CMD、任務管理器、注冊表編輯器等工具的啟用狀態檢測；

  • RDP設置檢測；

從技術上來說入侵檢測系統分為以下三種：

• 基于知識的模式識別：這種技術是通過事先定義好的模式數據庫實現的，其基本思想是：首先把各種可能的入侵活動均用某種模式表示出來，并建立模式數據庫，然后監視主體的一舉一動，當檢測到主體活動違反了事先定義的模式規則時，根據模式匹配原則判別是否發生了攻擊行為。模式識別的關鍵是建立入侵模式的表示形式，同時，要能夠區分入侵行為和正常行為。這種檢測技術僅限于檢測出已建立模式的入侵行為，屬已知類型，對新類型的入侵是無能為力的，仍需改進。

• 基于知識的異常識別：這種技術是通過事先建立正常行為檔案庫實現的，其基本思想是：首先把主體的各種正常活動用某種形式描述出來，并建立“正常活動檔案”，當某種活動與所描述的正常活動存在差異時，就認為是“入侵”行為，進而被檢測識別。異常識別的關鍵是描述正常活動和構建正常活動檔案庫。利用行為進行識別時，存在四種可能：一是入侵且行為正常；二是入侵且行為異常；三是非入侵且行為正常；四是非入侵且行為異常。根據異常識別思想，把第二種和第四種情況判定為“入侵”行為。這種檢測技術可以檢測出未知行為，并具有簡單的學習功能。

• 協議分析：這種檢測方法是根據針對協議的攻擊行為實現的，其基本思想是：首先把各種可能針對協議的攻擊行為描述出來，其次建立用于分析的規則庫，最后利用傳感器檢查協議中的有效荷載，并詳細解析，從而實現入侵檢測。這種檢測技術能檢測出更為廣泛的攻擊，包括已知的和未知的攻擊行為。