網絡信息的存儲涉及以下方面：

• 明確保存何種信息：要存什么信息主要由信息使用的目的確定的。在信息需求及目的確定以后，根據支持目的的數學方法和各種報表的需求，確定信息存儲的內容。如為了預測國家長遠經濟發展，我們要收集并保存人口、農業、工業等各種經濟信息。而為了進行倉庫庫存水平分析，則需要保存各種物資的入庫情況、出庫情況、價格情況等信息。

• 選擇信息存儲介質：存儲介質可以是紙、膠片、計算機內存、磁盤等。目前大量的信息仍然是用紙來存儲的，紙介質的優點是存儲量大、永久保存性好、存儲數據和圖像比較容易。但是紙存儲的信息查詢和傳輸不太方便；膠片的存儲密度大，查詢起來也比較方便，現在許多圖書館將書籍拍到縮微膠片上保存。但膠片的缺點是必須通過專門的接口設備才能讀取，價格較貴。因此，人們往往只將一些貴重的、不常用的信息存儲在膠片上；計算機磁盤主要用來存儲變化迅速、常用的并需要進行快速傳輸的信息，這是應用最廣的信息存儲介質之一。

• 規定信息的保存時間：信息存儲是將信息保存起來以備將來使用，這在管理活動中是十分重要的。現在，人們總是用“爆炸”這樣的詞語來形容信息的增長，在這樣的一個時代里，信息的更新周期越來越短，如果保存的信息過多，不但不會對管理活動起促進作用，反而會因為信息的過剩而延誤決策。應記住“只有正確地舍棄信息，才能正確地使用信息”。

• 確定信息的存儲方式：不同的信息可以有不同的存儲方式，究竟采用什么方式要視管理和決策的需求而定。在決定信息的存儲方式時，首要考慮的問題是集中還是分散，集中存放便于信息的共享、信息的管理和維護，以及減少冗余。分散存放的信息共享性、可維護性要比集中式差，但使用起來較方便。一般對于公用信息，在有能力提供共享設備的支持下應集中存放，以減少冗余。而對于非公用數據，分散存儲是合理的，現在通常使用的方式是集中與分散相結合。

• 保證信息的準確性：首先要保證數據總是處于最新的狀態，其次數據要在合理的誤差范圍內。數據產生錯誤的主要原因有兩個：一是文件報表錯誤；二是轉錄數據時產生錯誤。防止文件報表的錯誤主要是靠加強數據收集人員的責任心和采用合適的報表格式。防止轉錄錯誤的主要方法是要盡量減少轉錄，應盡可能做到原始數據直送計算機，在鍵入數據時加強校驗。

安全的霧計算系統具有以下基本特點：

• 安全性：安全對霧環境至關重要。霧使生產系統能夠在端到端的計算環境中，安全地傳輸數據并對數據進行處理。在各種應用中，可以動態地建立物到霧（T2F）、霧到霧（F2F）和霧到云（F2C）的連接。

• 可擴展性：通過在本地處理大多數信息，霧計算可以減少從工廠到云端傳輸的數據量。這將提高生產資源和第三方提供商的成本效益，改善帶寬性能。可以動態縮放計算容量、網絡帶寬和霧網絡的存儲大小，以滿足需求。

• 開放性：OpenFog聯盟定義的可互操作架結構，可通過開放的應用程序編程接口（API）實現資源透明和共享。API還使工廠的生產設備能夠連接到遠程維護服務提供商和其它合作伙伴。

• 自主性：霧計算提供的自主性，使得供應商即使在與數據中心的通信受限或不存在的情況下，也能執行指定的操作，實現與其它工廠資源共享。這可以通過及早發現可能發生的故障和預測性維護，來減少裝配線上的停工次數。即使云無法訪問或過載，關鍵系統仍可以繼續運行。

• 可靠性/可用性/可維護性（RAS）：霧節點的高可靠性、可用性和可維護性設計，有助于在苛刻、執行關鍵任務的生產環境中實現順利運行。這些屬性有助于遠程維護和預測維護功能，并加快任何必要修復的速度。

• 靈活性：霧計算允許在霧系統中快速進行本地化和智能的決策。工廠生產設備的小故障可以得到實時檢測和處理，生產線可以迅速調整，適應新的需求。靈活性還有助于實現預測性維護，從而減少工廠停機時間。

• 層次性：無論是否在生產制造現場，OpenFog定義的霧架構都允許對設備或機器對霧、霧對霧和霧對云進行操作。它還允許在霧節點和云上運行混合的多個服務。對制造的監視和控制、運行支持和業務支持，都可以在多層霧節點的動態和靈活的層次結構中實現，工廠控制系統的每個組件都可以在層級結構的最佳級別上運行。

• 可編程性：根據業務需要重新分配和重新調整資源，可以提高工廠的效率。基于霧的編程能力，可以對生產線和工廠設備進行動態變更，同時保持整體生產效率。它還可以創建動態的價值鏈，并分析現場的數據，而不是將其發送到云。

入侵檢測標準化就是將入侵檢測所使用的規則進行同一標準，這樣有利于不同的IDS之間的協作，從而發現新的入侵活動，同時還可以使IDS與訪問控制、應急、入侵追蹤等系統交換信息，相互協作，形成一個整體有效的安全保障系統。入侵檢測系統是一種對網絡傳輸進行即時監視，在發現可疑傳輸時發出警報或者采取主動反應措施的網絡安全設備。它與其他網絡安全設備的不同之處便在于，IDS是一種積極主動的安全防護技術。

IDS安全檢測系統有以下優點

• 強大的入侵檢測和攻擊處理能力：KIDS采用了獨特的零拷貝技術，可以有效地降低網絡數據包的處理開銷，最大能支持百兆網絡的數據流量。綜合了最新的協議分析和攻擊模式識別技術，在提高檢測性能的同時也大大降低了誤報率。KIDS可重組的最大的IP碎片數目為8192，同時監控的TCP連接數為10000，管理控制臺同時能管理的傳感器的數目也可以是多個（僅受計算機配置的影響）。這些性能最終形成了KIDS強大的入侵檢測和攻擊處理能力。

• 全面的檢測知識庫：KIDS具備國內最為全面的檢測知識庫，包括掃描、嗅探、后門、病毒、惡意代碼、拒絕服務、分布式拒絕服務、可疑行為、非授權訪問、主機異常和欺騙等11 大類的安全事件，目前共有檢測規則1509條，安全報警事件1054條。檢測知識庫可以實現定期的更新和升級，用戶完全不必擔心最新黑客攻擊方法的威脅。

• 強大的響應能力：KIDS一旦發現了攻擊入侵或可疑的行為，便可以采用多種實時的報警方式通知用戶，如屏幕顯示、發聲報警、郵件通知、傳呼通知、手機短消息、WinPop、SNMP Trap或用戶自定義的響應方式等，并將所有的報警信息記錄到日志中。同時KIDS對一些非法的連接也能夠進行及時的阻斷，如中斷TCP會話、偽造ICMP應答、根據黑名單斷開、阻塞HTTP請求、模擬SYN/ACK或通過防火墻阻塞等。

• 方便的報表生成功能：KIDS的報表功能可以為用戶提供全面細致的統計分析信息，它采用不同的統計分類來顯示或輸出報表，如按重要服務器、重點監測組、常用服務、常見攻擊類型和攻擊風險等級等進行統計。而對于每一類報表KIDS又提供了更為詳細的子分類統計，包括今日事件、三日內事件、本周事件、Top 20個事件（威脅最大的事件）、Top 20個攻擊源（攻擊嫌疑網址）和Top 20個被攻擊地址（有安全隱患的主機/服務器）等。最為方便的是用戶完全可以根據自己的喜好或需要定制特殊形式的報表。

• 開放式的插件結構：傳感器采用了插件技術進行分析處理。傳感器的核心引擎從網絡上抓取數據包，并調用相應的處理插件對其進行分析處理，處理插件將獲得的數據包特征與知識庫進行比較。對網絡高層協議的分析和數據的處理是由專門的插件來實現的，不同的應用層協議用不同的插件來處理。新的協議檢測，只需要增加新的處理插件。系統在檢測能力上的增強，只需增加和更新插件即可。KIDS包含包特征檢測、端口掃描檢測、流敏感內容監測器、HTTP檢測、POP3分析器、SMTP分析器等多種插件。

對信息系統安全的威脅有：

• 內部威脅：當組織內部的個人有意或無意地濫用其網絡訪問權限，對組織的關鍵數據或系統造成負面影響時，就會產生內部威脅。不遵守組織業務規則和政策的粗心員工會引發內部威脅。例如，他們可能會無意中將客戶數據通過電子郵件發送給外部各方，點擊電子郵件中的網絡釣魚鏈接，或與他人共享登錄信息。承包商、業務合作伙伴和第三方供應商也是其他內部威脅的來源。

• 病毒和蠕蟲：病毒和蠕蟲是旨在破壞組織系統、數據和網絡的惡意軟件程序。計算機病毒是通過將自身復制到另一個程序、系統或主機文件的一種惡意代碼。它一直處于休眠狀態，直到有人故意或無意地激活它，在沒有用戶或系統管理人員的知情下或許可的情況下傳播感染。

• 僵尸網絡：僵尸網絡是連接互聯網的設備的集合，包括被常見類型的惡意軟件感染和遠程控制的電腦、移動設備、服務器、物聯網設備。通常，僵尸網絡惡意軟件會在互聯網上搜索易受攻擊的設備。威脅行為者創建僵尸網絡的目標是盡可能多地感染連接設備，使用這些設備的計算能力和資源來實現通常對設備用戶隱藏的自動化任務。控制這些僵尸網絡的威脅參與者，通常是網絡犯罪分子，使用它們發送垃圾電子郵件，參與點擊欺詐活動并為分布式拒絕服務攻擊生成惡意流量。

• 偷渡式下載攻擊：在偷渡式下載攻擊中，惡意代碼通過瀏覽器、應用程序或集成操作系統從網站下載，無需用戶的許可或知識。用戶無需單擊任何內容即可激活下載。只需訪問或瀏覽網站即可開始下載。網絡犯罪分子可以使用偷渡式下載來注入特洛伊木馬、竊取和收集個人信息，以及向端點引入漏洞利用工具包或其他惡意軟件。

• 網絡釣魚攻擊：網絡釣魚攻擊是一種信息安全威脅，它破壞了正常的安全行為并放棄機密信息，包括姓名、地址、登錄憑據、社會安全號碼、信用卡信息以及其他財務信息。在大多數情況下，黑客發送假郵件看起來好像來自合法的來源，比如金融機構、eBay、PayPal，甚至朋友和同事。在網絡釣魚攻擊中，黑客試圖讓用戶采取一些建議的行動，例如點擊電子郵件中的鏈接，將他們帶到要求輸入個人信息的欺詐網站或在其設備上安裝惡意軟件。在電子郵件中打開附件也可以在用戶的設備上安裝惡意軟件，這些設備旨在收集敏感信息、向其聯系人發送電子郵件或提供對其設備的遠程訪問。

• 分布式拒絕服務 (DDoS) 攻擊：在分布式拒絕服務 (DDoS) 攻擊中，多個受感染的計算機攻擊目標，例如服務器、網站或其他網絡資源，使目標完全無法運行。大量連接請求、傳入消息或格式錯誤的數據包會迫使目標系統減速或崩潰并關閉，從而拒絕為合法用戶或系統提供服務。

• 勒索軟件：在勒索軟件攻擊中，受害者的計算機通常通過加密被鎖定，這使受害者無法使用存儲在其上的設備或數據。為了重新獲得對設備或數據的訪問權，受害者必須向黑客支付贖金，通常是以比特幣等虛擬貨幣支付。勒索軟件可以通過惡意電子郵件附件，受感染的軟件應用程序，受感染的外部存儲設備和受感染的網站進行傳播。

• 漏洞利用工具包：漏洞利用工具包是一種編程工具，使沒有任何編寫軟件代碼經驗的人能夠創建、定制和分發惡意軟件。漏洞利用工具包有多種名稱，其中包括感染工具包、犯罪軟件包、DIY 攻擊工具包和惡意軟件工具包。網絡犯罪分子使用這些工具包來攻擊系統漏洞，以分發惡意軟件或參與其他惡意活動，例如竊取企業數據，發起拒絕服務攻擊或構建僵尸網絡。

• 高級持續性威脅攻擊：高級持續威脅 (APT) 是一種針對性的網絡攻擊，在這種攻擊中，未經授權的入侵者侵入網絡并在很長一段時間內未被發現。APT 攻擊的目標不是對系統或網絡造成損害，而是監視網絡活動并竊取信息以獲得訪問權，包括利用工具包和惡意軟件。網絡犯罪分子通常使用 APT 攻擊來攻擊高價值目標，如大型企業和一些國家，并在很長一段時間內竊取數據。

• 惡意廣告：惡意廣告是網絡犯罪分子用于將惡意代碼注入合法在線廣告網絡和網頁的技術。此代碼通常會將用戶重定向到惡意網站或在其計算機或移動設備上安裝惡意軟件。用戶的計算機可能會受到感染，即使他們沒有點擊任何內容來開始下載。網絡犯罪分子可能會使用惡意廣告來安裝各種獲利的惡意軟件，包括加密腳本、勒索軟件、特洛伊木馬。

對信息系統安全威脅的防護措施如下：

• 防火墻技術：在信息化系統中使用防火墻技術可以使數據、信息等在進行網絡層訪問時產生一定的控制。經過鑒別限制或者更改越過防火墻的各種數據流，可以實現網絡安全保護，極大限度地對網絡中出現的黑客進行阻止，在一定層面上可以防止黑客惡意更改、隨意移動網絡重要信息。

• 安全檢查技術：安全檢查技術主要用于對用戶的合法性進行鑒別，在鑒別過程中，通常需要用戶輸入口令，由于口令本身較容易被猜到以及失竊，可能增加黑客入侵的幾率。為了提高其安全性，用戶可使用更為可靠、穩妥的認證方案，經過身份認證的技術可以在一定范圍內保證信息的完整性機密性。

• 數字簽名技術：所謂簽名就是驗證用戶真實身份的一種獨有信息，數字簽名技術在使用過程中，通常采用解密、加密的方式對報文的數字簽名進行實現。決定其安全性的主要因素就是密碼體制的安全程度，隨著密碼體制的不斷改進，其安全性也會隨之提高。

• 入侵檢測技術：防火墻只是保護內部的網絡不被外部攻擊，對于內部網絡存在的非法活動監控程度還不夠，入侵系統就是為了彌補這一點而存在，它可以對內部、外部攻擊積極地進行實時保護，在網絡受到攻擊前就可以將信息攔截，提高信息的安全性。

• 漏洞掃描技術：如今網絡不斷復雜且變幻莫測，僅僅依靠網絡管理員進行安全漏洞以及風險評估顯然不行，只有依靠網絡的安全掃描工具才可以在優化的系統配置下將安全漏洞以及安全隱患消除掉。在某些安全程度較低的狀況下可以使用黑客工具進行網絡的模擬攻擊，這樣可以一定層面地將網絡漏洞暴露出來。

• 密碼技術：密碼技術就是使用密碼機對明文信息進行組合、交換，產生密文，然后將加密的信息在網絡上傳播。惡意者若將密文截獲，必須進行正確的解碼才能獲取有用信息，否則也是徒勞無獲，這就在一定程度上避免了信息的泄漏。

• 偵聽監測技術：使用配置分析軟件來對網絡進行掃描，一旦發現原有的設置參數出現了改動，就必須采取相應的措施來對其進行處理。對內部網絡中的違規操作行為進行實時監控。其響應對策主要有發送警告信息，拒絕存儲。

堡壘機的部署方式有旁路部署、異地同步部署、集群部署（分布式部署），具體如下：

• 單機部署：堡壘機主要都是旁路部署，旁掛在交換機旁，只要能訪問所有設備即可。

• 異地同步部署：通過在多個數據中心部署多臺堡壘機。堡壘機之間進行配置信息自動同步。

• 集群部署：當要求管理的設備數量很多時，可以將n多臺堡壘機進行集群部署。其中兩臺堡壘機一主一備，其他n-2臺堡壘機作為集群節點，給主機上傳同步數據，整個集群對外提供一個虛擬IP地址。

web常用的加密算法有如下幾種：

• 單向散列加密

  單向散列（hash）加密是指把任意長的輸入串變化成固定長的輸出串，并且由輸出串難以得到輸入串的加密方法，這種方法稱為單項散列加密。廣泛應用于對敏感數據加密，比如用戶密碼，請求參數，文件加密等。我們開發中存儲用戶密碼就用到了單向散列加密算法。常見的單向散列算法：

  • MD5

    MD5信息摘要算法（英語：MD5 Message-Digest Algorithm），一種被廣泛使用的密碼散列函數，可以產生出一個128位（16字節）的散列值（hash value），用于確保信息傳輸完整一致。

  • SHA

    安全散列算法（英語：Secure Hash Algorithm，縮寫為SHA）是一個密碼散列函數家族，是FIPS所認證的安全散列算法。能計算出一個數字消息所對應到的，長度固定的字符串（又稱消息摘要）的算法。且若輸入的消息不同，它們對應到不同字符串的機率很高。

  • MAC

    MAC算法 (Message Authentication Codes) 帶秘密密鑰的Hash函數：消息的散列值由只有通信雙方知道的秘密密鑰K來控制。此時Hash值稱作MAC。

• 對稱加密

  對稱加密(也叫私鑰加密)指加密和解密使用相同密鑰的加密算法。它要求發送方和接收方在安全通信之前，商定一個密鑰。對稱算法的安全性依賴于密鑰，泄漏密鑰就意味著任何人都可以對他們發送或接收的消息解密，所以密鑰的保密性對通信的安全性至關重要。常見的單向散列算法：

  • AES

    AES算法全稱Advanced Encryption Standard，又稱Rijndael加密法，是美國聯邦政府采用的一種區塊加密標準。密鑰是AES算法實現加密和解密的根本。對稱加密算法之所以對稱，是因為這類算法對明文的加密和解密需要使用同一個密鑰。

  • DES

    DES算法為密碼體制中的對稱密碼體制，又被稱為美國數據加密標準，是1972年美國IBM公司研制的對稱密碼體制加密算法。 明文按64位進行分組，密鑰長64位，密鑰事實上是56位參與DES運算（第8、16、24、32、40、48、56、64位是校驗位， 使得每個密鑰都有奇數個1）分組后的明文組和56位的密鑰按位替代或交換的方法形成密文組的加密方法。

• 非對稱加密

  非對稱加密是指需要兩個密鑰來進行加密和解密，這兩個秘鑰分別是公鑰（public key）和私鑰（private key），如果用公鑰對數據進行加密，只有用對應的私鑰才能解密。常見的單向散列算法：

  • RSA

    RSA算法是非對稱加密算法也叫公鑰密碼算法，通過生成的公私鑰來對明文密文進行加密解密。 RSA的名字是由它的三個開發者Ron Rivest, Adi Shamir和 Leonard Adleman的首字母而來的。

  • RSA2

    RSA2是在原來SHA1WithRSA簽名算法的基礎上，新增了支持SHA256WithRSA的簽名算法。

入侵檢測過程分為以下三個階段：

• 信息收集階段：入侵檢測的第一步是信息收集，收集內容包括系統、網絡、數據及用戶活動的狀態和行為。由放置在不同網段的傳感器或不同主機的代理來收集信息，包括系統和網絡日志文件、網絡流量、非正常的目錄和文件改變、非正常的程序執行。

• 信息分析階段：收集到的有關系統、網絡、數據及用戶活動的狀態和行為等信息，被送到檢測引擎，檢測引擎駐留在傳感器中，一般通過 3 種技術手段進行分析：模式匹配、統計分析和完整性分析。當檢測到某種誤用模式時，會產生一個告警并發送給控制臺。

• 結果處理階段：控制臺按照告警產生預先定義的響應采取相應措施，可以是重新配置路由器或防火墻、終止進程、切斷連接、改變文件屬性，也可以只是簡單的告警。

SDN網絡體系架構由以下這些組成：

• 應用層：這一層主要是體現用戶意圖的各種上層應用程序，此類應用程序稱為協同層應用程序，典型的應用包括OSS（Operation support system 運營支撐系統）、Openstack等。傳統的IP網絡同樣具有轉發平面、控制平面和管理平面，SDN網絡架構也同樣包含這3個平面，只是傳統的IP網絡是分布式控制的，而SDN網絡架構下是集中控制的。

• 控制層：控制層是系統的控制中心，負責網絡的內部交換路徑和邊界業務路由的生成，并負責處理網絡狀態變化事件。

• 轉發層：轉發層主要由轉發器和連接器的線路構成基礎轉發網絡，這一層負責執行用戶數據的轉發，轉發過程中所需要的轉發表項是由控制層生成的。

• 北向接口：應用層和控制層通信的接口，應用層通過控制開放的API，控制設備轉發功能

• 南向接口：控制層和數據層通信的接口，控制器通過OpenFlow或其他協議下發流表。

計算機系統取證的方法如下：

• 基于入侵檢測取證技術：基于入侵檢測取證技術是指通過計算機網絡或計算機系統中的若干關鍵點收集信息并對其進行分析，從中發現網絡或系統中是否有違反安全策略的行為和遭到襲擊的跡象的一種安全技術，簡稱 IDS（Intrusion Detection System）。入侵檢測技術是動態安全技術的最核心技術之一。它的原理就是利用一個網絡適配器來實時監視和分析所有通過網絡進行傳輸的通信，而網絡證據的動態獲取也需要對位于傳輸層的網絡數據通信包進行實時的監控和分析，從中發現和獲得嫌疑人的犯罪信息。因此，計算機網絡證據的獲取完全可以依賴現有 IDS 系統的強大網絡信息收集和分析能力，結合取證應用的實際需求加以改進和擴展，就可以輕松實現網絡證據的獲取。

• 來源取證技術：來源取證技術的主要目的是確定嫌疑人所處位置和具體作案設備。主要通過對網絡數據包進行捕捉和分析，或者對電子郵件頭等信息進行分析，從中獲得犯罪嫌疑人通信時的計算機 IP 地址和 MAC 地址等相關信息。調查人員通過 IP 地址定位追蹤技術進行追蹤溯源，查找出嫌疑人所處的具體位置。MAC 地址是由網絡設備制造商生產時直接寫在每個硬件內部的全球唯一地址。調查人員通過 MAC 地址和相關調查信息就可以最終確認犯罪分子的作案設備。

• 痕跡取證技術：痕跡取證技術是指通過專用工具軟件和技術手段，對犯罪嫌疑人所使用過的計算機設備中相關記錄和痕跡信息進行分析取證，從而獲得案件相關的犯罪證據。主要有文件內容、電子郵件、網頁內容、聊天記錄、系統日志、應用日志、服務器日志、網絡日志、防火墻日志、入侵檢測、磁盤驅動器、文件備份、已刪除可恢復的記錄信息等。痕跡取證技術要求取證人員需要具備較高的計算機專業水平和豐富的取證經驗，結合密碼破解、加密數據的解密、隱藏數據的再現、數據恢復、數據搜索等技術，對系統進行分析和采集來獲得證據。

• 海量數據挖掘技術：計算機的存儲容量越來越大，網絡傳輸的速度也越來越快。對于計算機內部存儲和網絡傳輸中的大量數據，可以用海量數據挖掘技術發現特定的與犯罪有關的數據。數據挖掘技術主要包括關聯規則分析、分類和聯系分析等。運用關聯規則分析方法可以提取犯罪行為之間的關聯特征，挖掘不同犯罪形式的特征、同一事件的不同證據之間的聯系；運用分類方法可以從數據獲取階段獲取的海量數據中找出可能的非法行為，將非法用戶或程序的入侵過程、入侵工具記錄下來；運用聯系分析方法可以分析程序的執行與用戶行為之間的序列關系，分析常見的網絡犯罪行為在作案時間、作案工具以及作案技術等方面的特征聯系，發現各種事件在時間上的先后關系。

• 網絡流量監控技術：網絡流量監控技術可以通過 Sniffer 等協議分析軟件和 P2P 流量監控軟件實時動態地跟蹤犯罪嫌疑人的通信過程，對嫌疑人正在傳輸的網絡數據進行實時連續的采集和監測，對獲得的流量數據進行統計計算，從而得到網絡主要成分的性能指標，對網絡主要成分進行性能分析，找出性能變化趨勢，得到嫌疑人的相關犯罪痕跡的技術。

• 會話重建技術：會話重建是網絡取證中的重要環節。分析數據包的特征，并基于會話對數據包進行重組，去除協商、應答、重傳、包頭等網絡信息，以獲取一條基于完整會話的記錄。具體過程是：首先，把捕獲到的數據包分離，逐層分析協議和內容；然后，在傳輸層將其組裝起來，在這一重新組合的過程中可以發現很多有用的證據，例如，數據傳輸錯誤、數據丟失、網絡的聯結方式等。

• 事前取證技術：現有的取證技術基本上都是建立在案件發生后，根據案情的需要利用各種技術對需要的證據進行獲取，即事后取證。而由于計算機網絡犯罪的特殊性，許多重要的信息，只存在于案件發生的當前狀態下，如環境信息、網絡狀態信息等在事后往往是無據可查，而且電子數據易遭到刪除、覆蓋和破壞。因此，對可能發生的事件進行預防性的取證保全，對日后出現問題的案件的調查和出庭作證都具有無可比擬的作用，它將是計算機取證技術未來發展的重要方向之一。對此類防范和預防性的取證工具軟件，在國內外還比較少見。現有據可查的就是福建伊時代公司于 2007 年推出的電子證據生成系統。該系統采用其獨創的 “數據原生態保全技術” 來標識電子證據，并將其上傳存放于安全性極高的電子證據保管中心，充分保證電子證據的完整性、真實性和安全性，使之具備法律效力。它可以全天候提供電子郵件、電子合同、網絡版權、網頁內容、電子商務、電子政務等電子證據的事前保全服務。

交換機無法使用堡壘機只能堡壘機管控交換機，當堡壘機管控交換機時交換機需要進行以下設置：

• 通過 Console 口登錄設備，進入系統視圖，開啟 Telnet 服務。

<Sysname> system-view

[Sysname] telnet server enable

• 設置通過 VTY 用戶線登錄交換機使用 AAA 的認證方式。

[Sysname] line vty 0 63

[Sysname-line-vty0-63] authentication-mode scheme

[Sysname-line-vty0-63] quit

• 創建本地用戶 userA，授權其用戶角色為 network-admin，為其配置密碼，刪除默認角色。

[Sysname] local-user userA class manage

New local user added.

[Sysname-luser-manage-userA] authorization-attribute user-role network-admin

[Sysname-luser-manage-userA] service-type telnet

[Sysname-luser-manage-userA] password simple 123

[Sysname-luser-manage-userA] undo authorization-attribute user-role network-operator

[Sysname-luser-manage-userA] quit

• 創建用戶角色 roleB，權限為允許執行所有特性中讀類型的命令。

[Sysname] role name roleB

[Sysname-role-roleB] rule 1 permit read feature

[Sysname-role-roleB] quit

• 創建本地用戶 userB，為其配置密碼，授權其用戶角色為 roleB，刪除默認角色。

[Sysname] local-user userB class manage

New local user added.

[Sysname-luser-manage-userB] authorization-attribute user-role roleB

[Sysname-luser-manage-userB] service-type telnet

[Sysname-luser-manage-userB] password simple 123

[Sysname-luser-manage-userB] undo authorization-attribute user-role network-operator

[Sysname-luser-manage-userB] quit

• 創建 ACL 視圖，定義規則，僅允許來自堡壘機等遠程設備的用戶訪問交換機。

[Sysname] acl basic 2000

[Sysname-acl-basic-2000] rule 1 permit source 192.168.0.46 0

[Sysname-acl-basic-2000] rule 2 permit source 192.168.0.52 0

[Sysname-acl-basic-2000] rule 3 deny source any

[Sysname-acl-basic-2000] quit

• 引用訪問控制列表 2000，通過源 IP 對 Telnet 用戶進行控制。

[Sysname] telnet server acl 2000

常用的計算機病毒檢測方法有以下這些：

• 比較法：比較法是通過正常對象與被檢測對象的比較，確定是否染毒的方法，包括注冊表比較法、長度比較法、內容比較法、內存比較法、中斷比較法等。比較法簡單方便，無須專用軟件，是反計算機病毒常用的方法，尤其在發現新計算機病毒時，只有靠手工比較才能檢測出來。但是，比較法通常無法確定計算機病毒的種類和名稱。

• 校驗和法：校驗和法是通過檢測文件現有內容計算出來的校驗和與保存的正常文件的校驗和是否一致，確定文件是否被篡改染毒的方法。校驗和法簡單，且能發現未知病毒，但須保存正常態校驗和，且誤報率高，也不能確定計算機病毒的種類和名稱。

• 特征掃描法：特征掃描法是用計算機病毒特征碼對被檢測文件進行掃描和特征匹配的方法，是查殺軟件使用的主要方法。這種方法原理簡單、實現容易、誤報率低、可識別病毒類別和名稱，但須維護計算機病毒特征碼庫，無法檢測未知病毒和變異病毒。

• 行為監測法：行為監測法是通過監測運行的程序行為，以發現是否有病毒行為（病毒具有的特殊行為）。常見的計算機病毒行為特征有寫注冊表、自動聯網、對可執行文件進行寫入、使用特殊中斷等。但這種方法實現起來有一定難度。

• 感染實驗法：感染實驗法是通過計算機病毒感染實驗，比較正常和可疑系統運行程序的現象、結果、程序長度、校驗和等信息，來確定是否染毒的方法。

• 分析法：分析法是具有豐富的計算機、操作系統、功能調用及病毒知識的專業技術人員使用專用分析工具和專用實驗環境，分析檢測計算機病毒的方法，是研制計算機病毒防范系統必不可少的方法。

兩者沒有好壞之分，作為安全評估的兩種不同類型是一種相輔相成的關系，滲透測試作為網絡安全測試的重要組成部分，從技術來講，就是模擬黑客的操作，發現被測目標的一些網絡安全風險而漏洞掃描是指基于漏洞數據庫，通過掃描等手段對指定的遠程或者本地計算機系統的安全脆弱性進行檢測，只有通過兩者才能做好安全評估。

滲透測試范圍是有針對性的，需要具有豐富經驗的專家進行測試，在測試過程中還會用到許多工具。優秀的滲透測試員，在測試中總會編寫腳本，修改攻擊參數，或者調整所用工具的設置。

滲透測試在應用層面或網絡層面都可以進行，也可以針對具體功能、部門或某些資產。但是受成本和時間限制，將整個基礎設施和所有應用囊括進來進行測試是不切實際的。

范圍的定義，主要基于資產風險與重要性。滲透測試需要高技術人才，成本較高。在低風險資產上花費大量時間與金錢進行滲透測試不現實。

另外，測試員發現正常業務流程中未知的安全缺陷，需要幾天到幾個星期的時間。鑒于其花費和高于平均水平的宕機概率，滲透測試通常一年只進行一次。所有的報告都簡短而直擊重點。

而漏洞掃描是在網絡設備中發現潛在漏洞的過程，比如防火墻、路由器、交換機、服務器、各種應用等等。該過程是自動化的，專注于網絡或應用層上的潛在及已知漏洞。漏洞掃描不涉及漏洞利用。漏洞掃描器只識別已知漏洞，因而不是為了發現零日漏洞利用而構建的。

漏洞掃描在全公司范圍進行，需要自動化工具處理大量的資產。其范圍比滲透測試要大。漏洞掃描產品通常由系統管理員或具備良好網絡知識的安全人員操作，想要高效使用這些產品，需要擁有特定于產品的知識。

漏洞掃描可針對任意數量的資產查明已知漏洞。然后，再結合漏洞管理生命周期，使用這些掃描結果來快速排除影響重要資源中更嚴重的漏洞。

相對于滲透測試，漏洞掃描的花銷很低，而且這是個偵測控制，而不像滲透測試是個預防措施。

漏洞掃描和滲透測試都可以饋送至網絡風險分析過程，幫助確定最適合于公司、部門或實踐的控制措施。一般大型公司會采購自動化的漏洞掃描產品，每天或者每周都能定期的進行漏洞掃描。而在新產品上線，或者發現公司有非常重要的數據在服務器上，害怕泄露，被竊取，會讓專業的安全廠商，定期進行人工的滲透測試。

漏洞掃描和滲透測試并不是獨立存在的，它們需要結合使用，才能達到最佳的效果，確保公司的信息化安全。

系統安全保護措施可以分為兩類，技術性安全措施和非技術性安全措施。

技術性安全措施主要指采用與系統直接相關的技術手段防止安全事故的發生，常用的技術手段包括：

• 防火墻技術：將企業內部網絡與外部網絡之間進行隔離的信息安全防護系統，依照特定的規則，允許或是限制傳輸的數據通過；

• 殺毒軟件：用于消除電腦病毒、特洛伊木馬和惡意軟件等計算機威脅的一類軟件；

• 邏輯控制：通過設置信息系統賬號和密碼，限制人員進入系統，通過權限控制，限制人員只能在允許的權限范圍內操作數據；

• 數據備份：為應付文件、數據丟失或損壞等可能出現的意外情況，將電子計算機存儲設備中的數據復制到磁帶等大容量存儲設備中;

非技術性安全措施通過日常的行政管理、詳細規章制度和物理措施等防止安全事故的發生，常用的非技術手段包括：

• 行政管理：信息系統有專門的技術人員負責日常的管理和維護；

• 管理規定：制定詳細的信息安全體系文件，指導員工管理、使用和維護信息系統；

• 物理隔離：有專門的房間或空間放置信息化系統，可以限制非授權人員進入或使用系統；

信息系統的安全不只依賴技術安全措施，更依賴嚴格的日常管理和完善的規章制度，所以技術安全措施和非技術安全措施，兩者之間彼此補充、相輔相成共同保證數據安全。

• 定期更新系統和軟件補丁

  不論是Windows還是Linux，任何操作系統都有漏洞，及時安裝補丁，避免被不法分子惡意利用攻擊。同時，需要定期安裝最新的操作系統，減少系統漏洞，提高服務器的安全性。

• 加強密碼保護

  密碼保護是安全防護的第一道防線，大部分的網絡攻擊都是從弱口令入手。一旦網絡不法分子進入了系統，之前做的安全防護工作將會大打折扣。加強對服務器系統賬號和密碼的管理，是保證系統安全非常重要的措施。

• 定期進行備份

  為防止不能預料的系統故障或用戶不小心的非法操作導致重要數據和文件丟失等情況發生，必須對服務器進行安全備份。備份很重要！除了對全系統進行每月一次的備份外，還應對修改過的數據進行每周一次的備份，本地備份的同時還要進行異地備份。當發生原始數據不幸損壞、丟失等情況時，企業可以利用備份數據保證業務的正常運行。

• 關閉非必須的服務和端口

  在服務器操作系統安裝時，會啟動一些不需要的服務，占用系統資源的同時，還會增加系統的安全隱患。對于不常用的的服務，可以將其完全關閉，減少不必要的安全風險。

• 監測系統日志

  通過運行系統日志程序，系統會記錄下所有用戶使用系統的情形，包括最近登錄時間、使用的賬號、進行的活動等。日志程序會定期生成報表，企業相關人員通過對報表進行分析，可以知道是否有異常現象。

• 及時更新軟件版本

  及時更新軟件版本，以避免你的服務器處于危險之中，使其漏洞被黑客利用并入侵。使用專業的安全漏洞掃描程序是一種保持軟件實時更新的方式之一。

• 進行定期和頻繁的安全檢查

  如果不定期開展安全檢查工作，就無法知道潛藏的安全問題，從而服務器得不到基本的安全保障。定期對服務器進行安全檢測，可采取漏洞掃描、滲透測試、代碼審計等手段進行安全漏洞排查。

  日常工作中可檢查日志中是否有可疑或異常活動，檢查軟件、操作系統和硬件固件更新情況等。由于服務器的部署并不是一勞永逸的，必須經常對其進行安全檢查。

與圍墻式安全相比數據驅動安全理念的進步性體現在以下三個方面：

• 將安全措施部署在業務系統的IT環境中，使得安全防御不再只是網絡邊界處一層薄薄的外殼，而是有了一定的防御縱深。也正是從這一時期開始，安全工作者開始對縱深防御理論展開了持續的、深入的迭代研究。

• 與云端相連之后，所有的防護措施都變得更加智能，智慧安全的概念開始流行。特別是威脅情報技術的引入，使安全公司可以將自身強大的威脅感知能力賦能給服務的政企機構，從而使被服務機構的安全能力成倍提升。

• 當越來越多的安全措施與云端相連后，協同聯動的防御體系成為可能。以安全軟硬件為節點、以云端安全能力為支撐、以人為核心的安全運營體系逐步形成。EDR（終端檢測與響應）技術、NDR（網絡檢測與響應）技術、NGSOC（新一代安全運營平臺）、態勢感知等基于大數據的安全產品與服務日漸普及，并極大地推動了政企機構整體安全能力的提升。

數據驅動安全的早期實踐存在明顯不足的原因是：

• 在絕大多數情況下，在這一階段的安全建設中，網絡安全與業務本身仍然是互相分離的。雖然很多安全措施部署在業務系統的IT環境中，但絕大多數安全措施及解決方案并不是為業務系統量身設計的，仍然是以傳統IT安全為目標的各種技術手段的組合。

• 由于未能將業務大數據與安全大數據進行融合分析，因此無論是來自內部的安全大數據還是外部的威脅情報，其實際作用都會大打折扣。因為如果脫離了具體業務環境，很多針對業務系統的安全威脅根本不成立，也無法被發現。

• 絕大多數的大型政企機構都不會將安全數據和業務環境向安全公司上報。這就使得安全公司不太可能僅僅通過云端安全大數據，就能構筑起業務級的威脅情報和安全分析能力，因此很難解決政企機構的真實痛點。