漏洞掃描在滲透測試中屬于漏洞挖掘或者叫漏洞探測階段，在滲透測試屬于在收集到了足夠多的信息之后對目標站存在的漏洞通過漏掃等方法來發現這些漏洞，為接下來的漏洞利用階段打好基礎。漏洞掃描是指基于漏洞數據庫，通過掃描等手段對指定的遠程或者本地計算機系統的安全脆弱性進行檢測，發現可利用漏洞的一種安全檢測的行為。

常見漏洞挖掘手段如下：

• 靜態檢測，也就是常說的白盒測試，通過技術直接分析軟件源代碼，通過對編程源代碼中的語法來發現漏洞；

• 動態檢測，也就是常說的黑盒測試，在不了解軟件情況下通過經驗和網絡搜索來發現漏洞；

• 混合檢測，這種方法是不是單純將上述兩種方法結合起來，而是在結合二者優點后衍生出來的新檢測方法。

根據《信息安全等級保護管理辦法》，公安機關負責信息安全等級保護工作的監督、檢查、指導。國家保密工作部門負責等級保護工作中有關保密工作的監督、檢查、指導。國家密碼管理部門負責等級保護工作中有關密碼工作的監督、檢查、指導。涉及其他職能部門管轄范圍的事項，由有關職能部門依照國家法律法規的規定進行管理。國務院信息化工作辦公室及地方信息化領導小組辦事機構負責等級保護工作的部門間協調。

計算機網絡的安全策略包括以下方面：

• 物理安全策略：物理安全策略的目的是保護計算機系統、網絡服務器及打印機等硬件實體和通信鏈路免受自然災害、人為破壞和搭線攻擊；驗證用戶的身份和使用權限，防止用戶越權操作；確保計算機系統有一個良好的電磁兼容工作環境；建立完備的安全管理制度，防止非法進入計算機控制室，防止各種偷竊和破壞活動。抑制和防止電磁泄漏是物理安全策略的一個主要問題。目前，主要防護措施有以下兩類。一類是對傳導發射的防護，主要對電源線和信號線加裝性能良好的濾波器，減小傳輸阻抗和導線間的交叉耦合。另一類是對輻射的防護，這類防護措施又可分為以下兩種：一是采用各種電磁屏蔽措施，如對設備的金屬屏蔽和各種接插件的屏蔽，同時對機房的下水管、暖氣管和金屬門窗進行屏蔽和隔離；二是干擾的防護措施，即在計算機系統工作的同時，利用干擾裝置產生一種與計算機系統輻射相關的偽噪聲并向空間輻射以掩蓋計算機系統的工作頻率和信息特征。

• 訪問控制策略：訪問控制策略是網絡安全防范和保護的主要策略，它的主要任務是保證網絡資源不被非法使用和非常訪問。它也是維護網絡系統安全和保護網絡資源的重要手段。各種安全策略必須相互配合才能真正起到保護的作用。訪問控制可以說是保證網絡安全最重要的核心策略之一，主要包括入網訪問控制、網絡的權限控制、目錄級安全控制、屬性安全控制、網絡服務器安全控制、網絡檢測和鎖定控制及網絡端口和節點的安全控制等。

• 防火墻控制策略：防火墻控制策略是控制進出兩個方向通信的門檻。在網絡邊界上通過建立起來相應的網絡通信監控系統隔離內部和外部網絡，以阻擋外部網絡的侵入。

• 網絡加密控制策略：網絡加密控制策略的目的是保護網內傳輸的數據、文件、口令和控制信息，保護網上傳輸的數據。常用的網絡加密方法有鏈路加密、端到端加密和節點加密3種。鏈路加密的目的是保護網絡節點之間的鏈路信息安全，端到端加密的目的是對源端用戶到目的端用戶的數據提供保護，節點加密的目的是對源節點到目的節點之間的轉發節點提供保護。

• 網絡安全管理策略：在網絡安全中，除了采用上述措施之外，加強網絡的安全管理，制定有關的規章制度，對于確保網絡安全可靠地運行起到十分有效的作用。網絡安全管理策略包括確定安全管理的等級和安全管理的范圍、制定有關網絡使用規程和人員出入機房的管理制度、制定網絡系統的維護制度和應急措施等。

實現物聯網容錯系統的方法有以下這些：

• 空閑備件：空閑備件是指系統中配置一個處于空閑狀態的備用部件。它是提供容錯的一條途徑，當原部件出現故障時，該空閑備件就取代原部件正常發揮功能。

• 負載平衡：負載平衡是另一種提供容錯的途徑，在具體實現時使用兩部件共同承擔一項任務，一旦其中的一個部件出現故障，另一個部件立即將原來由兩個部件負擔的任務全部承擔下來，負載平衡方法通常使用在雙電源的服務器系統中。如果一個電源出現了故障，另一個電源就承擔原來兩倍的負載。需要強調的是，僅僅因為系統是雙電源系統并不意味著它們是負載平衡的。

• 鏡像：在容錯系統中，鏡像技術是常用的一種實現容錯的方法。在鏡像技術中，兩個部件要求執行完全相同的工作，如果其中的一個出現故障，另一個系統則繼續工作。這種方法通常用于磁盤子系統中。在鏡像技術中，要求兩個系統完全相同，而且兩個系統都完成同一個任務。當故障發生時，系統能夠將其識別出來并切換到單子系統操作狀態。

• 存儲系統的冗余：存儲子系統是網絡系統中最易發生故障的部分。實現存儲系統冗余的方法包括磁盤鏡像、冗余磁盤陣列。

• 復現：復現又稱延遲鏡像，它是鏡像技術的一個變種。在復現技術中，需要有兩個系統：輔助系統和原系統，且輔助系統從原系統中接受數據，這種數據的接收存在一定的延時。當原系統出現故障時，輔助系統就接替原系統進行工作。利用這種方式用戶就可以在接近出故障的地方重新開始工作。復現與鏡像的主要不同之處是，在原系統上建立的數據被到輔助系統上時存在著一定的時間延遲，換句話來說，復現并非是精確的鏡像系統，工作時所引起的中斷并不是可以忽略的。盡管如此，在高可用性系統中仍然使用復現技術，原因是復現過程進行得很快，在原系統將數據寫到磁盤上之后能夠很好就完成，這樣可以減少網絡上數據的丟失。

• 系統配件的冗余：在系統中重復配置一些關鍵的部件可以增強故障的容錯性。被重復配置的部件通常有電源、I/O設備和通道、主處理器。

在等級保護中備份文件隔以下時間做一次：

• 按照《機關文件材料歸檔范圍和文書檔案保管期限規定》(國家檔案局令第8號),文書檔案保管期限分為永久、定期兩種,定期一般分為10年、30年。數據尤其是重要數據原則上可參考文書檔案保管規定。但重要性是不好確定的。建議至少保存二年以上。

• 如果存儲空間有限，可壓縮文件，一般壓縮比都很大，壓縮后可達十分之一左右。

云計算和SOA體系結構有以下區別：

• 從產生的背景和原因看，SOA產生的原因是為解決企業存在的信息孤島和遺留系統這兩大問題。云計算產生的原因是企業的信息系統數據量的高速增長與數據處理能力的相對不足，還有計算資源的利用率處于不平衡的狀態。

• 從服務角度來看，SOA實現了可以從多個服務提供商得到多個服務（一個服務便是一個功能模塊），并通過不同的組合機制形成自己所需的一個服務；云計算實現了所有的資源都是服務，可以從云計算提供商購買硬件服務、平臺服務、軟件服務等，把購買的資源作為云計算提供商提供的一種服務。

• 從關鍵技術來看，SOA需要實現業務組件的可重用性、敏捷性、適應改變、松耦合、基于標準；云計算則需要虛擬化技術、按需動態擴展、資源即服務的支撐。

• 從應用場景來看，當企業的業務需求經常改變的時候可以考慮使用 SOA；當企業對IT 設施的需求經常改變或者無法提前預知的時候可以考慮使用云計算，當有大量的批處理計算的時候也可以考慮使用云計算。

• 從應用的側重點來看，SOA側重于采用服務的架構進行系統的設計，關注如何處理服務；云計算側重于服務的提供和使用，關注如何提供服務。

• 從商業模式來看，SOA可能會降低軟件的開發及維護的成本，商業模式是間接的，需要落地；云計算根據使用的時間（硬件）或流量（帶寬）進行收費，具有明確的商業模式。

SDN基礎資源層主要提供以下安全功能：

• 認證：SDN交換機對SDN控制器進行身份認證，以確保SDN控制器是真實的，不是偽造的；SDN交換機對管理員進行身份認證，以確保管理員身份是真實的。常用的身份認證機制包括但不限于基于用戶名/密碼的身份驗證、基于相移鍵控的身份驗證、基于證書的身份驗證。

• 授權：SDN控制器和管理員訪問SDN交換機時需要遵守訪問控制策略。常用的訪問控制機制包括但不限于白名單/黑名單、訪問控制列表、基于角色的訪問控制。

• 數據保密性：SDN交換機應具備數據加密功能，并在必要時對利用南向接口向控制器發送的流規則請求進行加密，以防止攻擊者竊聽。敏感信息（如配置信息、用戶信息）應加密存儲在SDN交換機中，防止信息被竊取。敏感信息（如配置信息、用戶信息）應加密存儲在SDN交換機中，防止信息被竊取。

• 數據完整性：SDN控制器下發的表項在被添加至流表前，需要先由SDN交換機進行數據完整性驗證；SDN交換機在利用南向接口向控制器發送流規則請求時，應對該流規則請求進行完整性保護，以防止攻擊者篡改，管理控制平臺下發的配置信息，應先由SDN交換機進行完整性驗證，再執行相應的配置更新；應為存儲在SDN交換機上的敏感信息（如配置信息、用戶信息）提供完整性保護功能，防止其被攻擊者篡改。常用的數據完整性保護技術包括但不限于散列值、MAC、HMAC和數字簽名。

• 密鑰/證書管理：密鑰/證書管理中的密鑰管理同ITU-T X.800中所定義的一致，證書管理同IETF RFC 4210中所定義的一致。

• 防止流表溢出：除常見的幾種防止緩沖區溢出策略（如指針保護、可執行空間保護）外，SDN交換機和流表設計應進一步增強這方面的能力。例如，SDN交換機自身可以決定刪除某個流條目，并與SDN控制器進行同步。

• 安全管理：安全管理是指對系統平臺、資源進行訪問控制，避免非授權使用或修改相關的安全策略。安全管理可以對用戶進行審計、控制錯誤密碼嘗試次數、最小化系統平臺需要的配置、強制執行操作系統的安全策略。安全管理還可以對網絡中的各類信息數據進行整合分析，用來支撐相應攻擊檢測等功能。

基于主動意識的信息網絡安全綜合防護措施有以下這些：

• 基于主動防御的邊界安全控制：以內網應用系統保護為核心，在各層的網絡邊緣建立多級的安全邊界，從而進行安全訪問的控制，防止惡意的攻擊和訪問。這種防護方式更多的是通過在數據網絡中部署防火墻、入侵檢測、防病毒等產品來實現的。

• 基于攻擊檢測的綜合聯動控制：所有的安全威脅都體現為攻擊者的一些惡意網絡行為，通過對網絡攻擊行為特征的檢測，從而對攻擊進行有效的識別，通過安全設備與網絡設備的聯動進行有效控制，從而防止攻擊的發生。這種方式主要是通過部署漏洞掃描、入侵檢測等產品，并實現入侵檢測產品和防火墻、路由器、交換機之間的聯動控制。

• 基于源頭控制的統一接入管理：絕大多數的攻擊都是通過終端的惡意用戶發起，通過對接入用戶的有效認證，以及對終端的檢查可以大大降低信息網絡所面臨的安全威脅。這種防護通過部署桌面安全代理，并在網絡端設置策略服務器，從而實現與交換機、網絡寬帶接入設備等聯動實現安全控制。

• 基于安全融合的綜合威脅管理：未來的大多數攻擊將是混合型的攻擊，某種功能單一的安全設備將無法有效地對這種攻擊進行防御，快速變化的安全威脅形勢促使綜合性安全網關成為安全市場中增長最快的領域。這種防護通過部署融合防火墻、防病毒、入侵檢測、VPN等為一體的UTM設備來實現。

• 基于資產保護的閉環策略管理：信息安全的目標就是保護資產，信息安全的實質是“三分技術、七分管理”。在資產保護中，信息安全管理將成為重要的因素，制定安全策略、實施安全管理并輔以安全技術配合將成為資產保護的核心，從而形成對企業資產的閉環保護。目前典型的實現方式是通過制定信息安全管理制度，同時采用內網安全管理產品以及其他安全監控審計等產品，從而實現技術支撐管理。

• 信息網絡安全防護策略：“魔高一尺，道高一丈”，信息網絡的不斷普及，網絡攻擊手段不斷復雜化、多樣化，隨之產生的信息安全技術和解決方案也在不斷發展變化，安全產品和解決方案也更趨于合理化、適用化。經過多年的發展，安全防御體系已從如下幾個方面進行變革：由“被動防范”向“主動防御”發展，由“產品疊加”向“策略管理”過渡，由“保護網絡”向“保護資產”過渡。

SIM 交換欺詐的工作原理是：

• SIM交換也稱為SIM劫持和SIM拆分，可以描述為帳戶接管欺詐的一種形式。為了使攻擊有效，網絡罪犯通常會首先通過拖網掃描并搜索潛在受害者可能共享的每條數據來收集信息。受害者的個人信息也可以從已知的數據泄露或泄漏中收集，也可以通過網絡工程技術（例如，網絡釣魚和誘騙）來收集，其中欺詐者將信息直接從目標中竊取。

• 詐騙者掌握了足夠的信息后，將聯系目標的手機提供商，并誘騙其客戶服務代表將其電話號碼移植到犯罪分子擁有的SIM卡上。騙子的故事往往是由于電話被盜或丟失而需要切換的。

• 一旦完成該過程，受害者將失去對手機網絡和電話號碼的訪問，而黑客現在將接收受害者的電話和短信。

防火墻失效主要會產生以下風險：

• 防火墻失效代表內網的最后的防御機制失效這樣會導致確實識別機制會出現任何人都可以訪問該內網，包括黑客；

• 沒有了防火墻的過濾機制則導致很多病毒在沒有過濾的情況下直接進入內網對內網造成攻擊；

• 防火墻失效會導致內網的信息泄露，防火墻對內部網絡的劃分，可實現內部網重點網段的隔離來防止信息泄露；

• 防火墻失效會導致防火墻日志失效或者丟失這樣當發生可疑事件的時候防火墻無法進行報警和通知，也無法通過查看日志來查找攻擊者。

WTLS協議提供如下三類安全服務。

1. 第一類：匿名認證。客戶端登錄到服務器，但是客戶端和服務器都無法確認彼此的身份。

2. 第二類：服務器認證。只有客戶端確認服務器的身份，服務器不確認客戶端的身份。

3. 第三類：雙向認證。客戶端和服務器彼此確認身份。

云計算應用安全發展現狀如下：

• 云計算與信息安全深度融合：云計算是IT未來的發展趨勢。云計算與信息安全的融合表現在以下三個方面：一是用信息安全產品防范云計算中的安全威脅。重點解決云計算服務存在的安全隱患，包括數據丟失和數據完整性的保護、法規遵從、連帶責任、可靠性、驗證和授權以及信息生命周期管理等。二是把云計算技術用于信息安全產品中，如實現基于云計算技術的安全管理平臺、終端安全管理產品、防病毒產品、數據丟失保護產品等。三是解決基于云計算的網絡犯罪問題。網絡犯罪將效仿企業使用基于云計算的工具，部署更有效率的遠程攻擊，甚至借此大幅拓展攻擊范圍，帶來更大的安全危害，因此必須考慮應對云犯罪的防范手段。

• 數據主權的可控性面臨嚴峻考驗：在云時代，隨著以蘋果iCloud為樣板的云服務模式的逐漸普及，如果我國的主流云服務商均為跨國企業，借助同步、雙向備份，海量數據流自然向跨國企業匯聚，這將導致更加嚴重的數據安全問題，或者稱為數據主權問題。數據主權不是新名詞，它涉及國家安全，不可不慎。如果跨國企業全面掌握了我國移動互聯網領域的軟件、應用和服務等市場，未來海量的金融、產業、消費者甚至是經濟安全領域的信息就有可能通過數據挖掘等技術為人所用，我國數據主權面臨的局勢將極為嚴峻。

• 應用安全和數據安全的威脅正在擴大：在完全互聯的世界里，安全正變得越來越重要，特別是隨著云計算的快速發展，安全變成云服務不可或缺的部分，計算和數據資源的集中化帶來了應用安全和數據安全的新問題。在云計算環境下，所有的應用和操作都是在網絡上進行的。用戶通過云計算操作系統將自己的數據從網絡傳輸到“云”中，由“云”來提供服務。因此，云計算應用的安全問題實質上涉及整個網絡體系的安全性問題，但是又不同于傳統網絡，云計算應用引發了一系列新的安全問題。從云計算應用的服務對象來看，主要涉及公共云應用安全、私有云應用安全及混合云應用安全；從服務層次來看，主要涉及終端用戶云應用安全和云端的安全，如基礎設施即服務（IaaS）安全、平臺即服務（PaaS）安全、軟件即服務（SaaS）安全、虛擬化安全等。數據安全包括數據完整性、數據保密性和抗抵賴性等問題，風險不僅來自數據丟失的隱患，還來自法規的沖突。

• 移動云服務面臨新的安全挑戰：從應用層面來看，隨著移動互聯時代的到來，越來越多的用戶在移動設備上訪問大量重要數據，用戶將用智能手機為代表的移動設備來處理銀行交易、游戲、社交網站和其他的業務，黑客將越發關注這一平臺，豐富的應用和多樣化的終端加重了信息安全問題。移動互聯網獨特的隨身性、身份可識別性產生了基于位置和身份的各種服務，移動行業信息化、移動辦公、移動電子商務都是容易受到攻擊的熱點區域。

• 面向云計算應用安全解決方案層出不窮：不同于其他行業自由競爭和開放發展的模式，信息安全在整個信息行業布局乃至國家戰略格局中都具有舉足輕重的地位和作用，因為其關系到國家政治安全、經濟安全和國防安全。這就意味著我國信息安全行業的發展不能依賴國外，必須走自主可控的道路，自主創新的主體是具有較強研發實力的民族信息安全企業。

針對不同的信息系統，建議參考以下原則定級：

• 第一級信息系統：一般適用于鄉鎮所屬信息系統、縣級某些單位中一般的信息系統、小型私營、個體企業、中小學的信息系統。

• 第二級信息系統：一般適用于縣級某些單位中的重要信息系統，地市級以上國家機關、企業、事業單位內部一般的信息系統。例如非涉及工作秘密、商業秘密、敏感信息的辦公系統和管理系統等。

• 第三級信息系統：一般適用于地市級以上國家機關、重要企事業單位內部重要的信息系統。例如涉及工作秘密、商業秘密、敏感信息的辦公系統和管理系統，重要領域、重要部門跨省、跨市或全國（省）聯網運行的用于生產、調度、管理、作業、指揮等方面的重要信息系統，跨省或全國聯網運行的重要信息系統在省、地市的分支系統，中央各部委、省（區、市）門戶網站和重要網站，跨省聯接的網絡系統等。

• 第四級信息系統：一般適用于國家重要領域、重要部門中的特別重要系統以及核心系統。例如全國鐵路、民航、電力等部門的調度系統，銀行、證券、保險、稅務、海關等幾十個重要行業、部門中的涉及國計民生的核心系統。

• 第五級信息系統：一般適用于國家重要領域、重要部門中的極端重要系統。

禁止匿名訪問、限制IP地址、文件訪問限制。

由于FTP站點中往往存儲著非常重要的文件或應用程序，甚至是Web網站的全部內容，所以，FTP站點的訪問安全顯得尤其重要。因此，對于一些比較特殊的FTP站點，必須進行用戶身份驗證和文件訪問安全，并限制允許訪問該FTP服務的IP地址，從而確保FTP站點的安全。

1. 禁止匿名訪問

   默認狀態下，FTP站點是允許用戶進行匿名連接的，即所有用戶都無需經過身份認證，就可以查看、讀取并下載FTP站點上的所有內容。如果FTP站點中存儲有重要的或比較敏感的信息，只允許授權用戶訪問，那么就應當禁用匿名訪問。

2. 限制IP地址

   通過對IP地址的限制，可以只允許或拒絕某些特定范圍內的計算機訪問該FTP站點，從而可以在很大程度上避免來自外界的惡意攻擊，并且將授權用戶限制在某一個范圍。將IP地址限制與用戶認證訪問結合在一起，將進一步提高FTP站點訪問的安全性。特別是對于企業內部的FTP站點而言，采用IP地址限制的方式，是非常簡單而有效的。

3. 文件訪問限制

   若欲將該FTP站點作為為匿名用戶提供的文件下載服務器，可以保持系統默認設置，即允許任何用戶匿名訪問該FTP站點，并且擁有讀取該FTP站點的權限。

   若欲將該FTP站點作為為授權用戶提供的文件下載服務器，可以賦予該站點主目錄以“讀取”權限，禁止匿名訪問，并設置采用何種方式實施身份認證。

   若欲將該FTP站點作為上傳文件服務器，則應當賦予該站點“讀取”和“寫入”權限，禁止匿名訪問，并設置采用何種方式實施身份認證。否則，所有匿名用戶都將擁有“寫入”權限，從而造成FTP系統安全危機。

   需要注意的是，在設置FTP訪問權限后，還必須為該主目錄設置NTFS訪問權限，以確保用戶擁有相應的訪問權限。同時，還應當設置磁盤配額，以防止被授予寫權限的用戶濫用磁盤空間。

網站用戶身份認證

一般采用用戶名+密碼驗證，確認用戶登錄身份，并根據數據庫中預設的權限，向用戶展示響應的界面。對于重要的網站應用，需要根據PKI機制，驗證用戶提供的證書，從而對用戶身份認證（服務器對客戶端認證），并確保交易的不可抵賴性。

網站數據的加密傳輸

對于使用Web瀏覽器的網上系統應用， 采用SSL+數字證書結合的方式(即HTTPS協議) ， 保證通信數據的加密傳輸，同時也保證了用戶端對服務器端的認證，避免用戶被冒充合法網站的“釣魚網站”欺騙，從而泄露機密信息(用戶名和密碼等)，造成不可挽回的經濟損失。

用戶賬號使用行為的日志記錄及其審計

系統服務器側應根據賬號，對用戶的使用行為進行詳細的日志記錄和審計，通過上述因素的日志記錄，進行階段性的審計(時間間隔應該比較小)，從而做到發現用戶賬號的盜用、惡意使用等問題，盡早進行處理。

惡意用戶流量的檢測、過濾及阻斷

系統服務器側應部署IDS入侵檢測系統、IPS入侵防護系統、防火墻等設備， 或者部署目前高效、流行的UTM(統一威脅管理) 設備， 對惡意用戶采用的各種攻擊手段進行檢測和防護， 重點過濾惡意流量、突發流量等。

對非正常應用請求的過濾和處理

系統的服務器端，尤其是數據庫服務器端，應該通過配置和增加對用戶非常長應用請求的過濾和處理模塊，以避免由于數據庫的自身漏洞未及時打上補丁而遭受目前流行的SQL注入攻擊等。

合理的子網劃分及流量分割

系統服務器側包括大量的服務器類型， 包括數據庫服務器、Web服務器、FTP服務器、郵件服務器等， 為了避免由于惡意流量造成的某種服務器崩潰，而引起的攻擊后果擴散，并最終導致其他服務器也發生“雪崩

負載均衡及負載保護機制

系統面臨著巨大的服務量，服務器端的設備基本上都需要有多臺服務器進行業務分擔，這樣才能提高性能，避免處理瓶頸的出現，因此，需要采用合理的負載均衡和負載保護機制。

災難備份及恢復

任何系統都不能說100%安全，都需要考慮在遭受攻擊或者經受自然災害后的備份恢復工作。