計算機安全審計是對公司或組織的信息安全目標實現情況的技術評估。大多數情況下，公司聘請信息技術（IT）專家進行審計，通常是隨機或不事先通知的。審計的主要目標之一是向管理人員提供網絡安全的總體健康狀況。報告通常是全面的，記錄合規性和任何未發現的風險。根據網絡類型和所涉及系統的復雜性，有時可以使用專用軟件程序在較小范圍內進行計算機安全審核。

安全審計涉及四個基本要素:

• 控制目標是指企業根據具體的計算機應用，結合單位實際制定出的安全控制要求。

• 安全漏洞是指系統的安全薄弱環節，容易被干擾或破壞的地方。

• 控制措施是指企業為實現其安全控制目標所制定的安全控制技術、配置方法及各種規范制度。

• 控制測試是將企業的各種安全控制措施與預定的安全標準進行一致性比較，確定各項控制措施是否存在、是否得到執行、對漏洞的防范是否有效，評價企業安全措施的可依賴程度。

我們直入問題：

1、雙宿主機網關（Dual?Homed?Gateway）這種配置是用一臺裝有兩個網絡適配器的雙宿主機做防火墻。雙宿主機用兩個網絡適配器分別連接兩個網絡，又稱堡壘主機。堡壘主機上運行著防火墻軟件（通常是代理服務器），可以轉發應用程序，提供服務等。雙宿主機網關有一個致命弱點，一旦入侵者侵入堡壘主機并使該主機只具有路由器功能，則任何網上用戶均可以隨便訪問有保護的內部網絡。

2、屏蔽主機網關（Screened?Host?Gateway）屏蔽主機網關易于實現，安全性好，應用廣泛。它又分為單宿堡壘主機和雙宿堡壘主機兩種類型。先來看單宿堡壘主機類型。一個包過濾路由器連接外部網絡，同時一個堡壘主機安裝在內部網絡上。堡壘主機只有一個網卡，與內部網絡連接。通常在路由器上設立過濾規則，并使這個單宿堡壘主機成為從?Internet惟一可以訪問的主機，確保了內部網絡不受未被授權的外部用戶的攻擊。而Intranet內部的客戶機，可以受控制地通過屏蔽主機和路由器訪問Internet。

雙宿堡壘主機型與單宿堡壘主機型的區別是，堡壘主機有兩塊網卡，一塊連接內部網絡，一塊連接包過濾路由器。雙宿堡壘主機在應用層提供代理服務，與單宿型相比更加安全。

3、屏蔽子網（Screened?Subnet）這種方法是在Intranet和Internet之間建立一個被隔離的子網，用兩個包過濾路由器將這一子網分別與Intranet和?Internet?分開。兩個包過濾路由器放在子網的兩端，在子網內構成一個“緩沖地帶”，兩個路由器一個控制Intranet?數據流，另一個控制Internet數據流，Intranet和Internet均可訪問屏蔽子網，但禁止它們穿過屏蔽子網通信。可根據需要在屏蔽子網中安裝堡壘主機，為內部網絡和外部網絡的互相訪問提供代理服務，但是來自兩網絡的訪問都必須通過兩個包過濾路由器的檢查。對于向Internet公開的服務器，像WWW、FTP、Mail等Internet服務器也可安裝在屏蔽子網內，這樣無論是外部用戶，還是內部用戶都可訪問。這種結構的防火墻安全性能高，具有很強的抗攻擊能力，但需要的設備多，造價高。

當然，防火墻本身也有其局限性，如不能防范繞過防火墻的入侵，像一般的防火墻不能防止受到病毒感染的軟件或文件的傳輸；難以避免來自內部的攻擊等等。總之，防火墻只是一種整體安全防范策略的一部分，僅有防火墻是不夠的，安全策略還必須包括全面的安全準則，即網絡訪問、本地和遠程用戶認證、撥出撥入呼叫、磁盤和數據加密以及病毒防護等有關的安全策略。

交換機存在以下六種安全問題：

• 廣播風暴攻擊

  假設一個極度充滿惡意的用戶可以發送大流量的廣播數據、組播數據或者目的MAC地址為胡亂構造的單播數據，交換機接收到這些數據時，將以廣播的方式進行轉發，如果交換機不支持對洪泛數據的流量控制，那么網絡的帶寬可能就會被這些垃圾數據充滿，從而網絡中的其它用戶無法正常上網。因此，交換機需要支持對從每個端口收到的洪泛數據進行速率限制。

• 數據對網絡進行攻擊

  該惡意用戶可以向路由器發送非常大流量的數據，這些數據通過交換機發送給路由器的同時、也占用了該上聯接口的大部分帶寬，那么其它用戶上網也將趕到非常的緩慢。因此，交換機需限制每個端口進行入方向的速率，不然惡意用戶就可攻擊他所在的網絡、從而影響該網絡內所有的其它用戶。

• 海量MAC地址攻擊

  因為交換機在轉發數據時以MAC地址作為索引，如果數據報的目的MAC地址未知時，將在網絡中以洪泛的方式轉發。所以，惡意用戶可以向網絡內發送大量的垃圾數據，這些數據的源MAC地址不停改變，因為交換機需要不停的進行MAC地址學習、并且交換機的MAC表容量是有限的，當交換機的MAC表被充滿時，原有的MAC地址就會被新學習到的MAC地址覆蓋。這樣，當交換機接收到路由器發送給正常客戶的數據時，由于找不到該客戶MAC的記錄，從而就將以洪泛的方式在網絡內轉發，這樣就大大降低了網絡的轉發性能。因此，交換機需要能夠限制每個端口能夠學習MAC地址的數量，不然整個網絡就將退化為一個類似于HUB構成的網絡。

• MAC欺騙攻擊

  惡意用戶為攻擊網絡使之癱瘓，還可將自己的MAC地址改為路由器的MAC地址(稱為MAC-X)，然后不停(并不需要很大的流量，每秒鐘1個就足夠了)地發送給交換機，這樣，交換機就會更新MAC-X的記錄，認為MAC-X位于與該惡意用戶連接的端口上，此時，當其他用戶有數據發送給路由器時，交換機將把這些數據發送給該惡意用戶，這樣發送正常數據的用戶就不能正常上網了(同理，該網絡內所有的用戶都不能上網)。

  因此，交換機應具備MAC與端口的綁定功能(即路由器的MAC地址最好在交換機上靜態配置)，否則惡意用戶可簡單地讓網絡陷入崩潰;或交換機需綁定每個端口允許進入網絡的數據的源MAC地址，這樣惡意用戶就不能通過MAC欺騙來攻擊網絡。

• ARP欺騙攻擊

  惡意用戶可以進行ARP欺騙攻擊，即不管接收到對哪個IP地址發出的ARP請求，都立即發送ARP應答，這樣其它用戶發送的數據也都將發送到惡意用戶的這個MAC地址，這些用戶自然不能正常上網。

  因此，交換機應該實現端口與IP地址的綁定功能，即若收到的ARP請求、ARP應答、口數據與綁定的IP不同，即可將這些數據丟棄掉，否則會讓網絡陷入癱瘓。

• 環路攻擊

  用戶在自己家中也安裝一個交換機，并且故意把一根網線的兩端都接到該交換機上構成環路，然后在使用網線把該交換機與網絡中的交換機連接起來，由于整個網絡中存在環路，那么網絡中的MAC地址學習將會錯亂，從而交換機轉發數據時將會產生錯誤，整個網絡也將陷入崩潰。

  因此，交換機需具備環路檢測功能，當發現某個端口存在環路時，需將該端口關閉掉。

基于策略的 VPN 是指根據策略（訪問控制列表）控制經過 IPsec 隧道的流量，這樣即使路徑發生變化，也不會對 IPsec 通信造成影響。基于策略的 VPN 需要設置 IPsec 策略和 proxyID 信息。proxyID 指定 IPsec 隧道傳輸報文的本地網絡和遠程網絡。

基于策略的 VPN 是一種配置，其中在策略本身中指定在兩個端點之間創建的 IPsec VPN 隧道，并針對符合策略匹配標準的傳輸流量執行策略操作。

對于基于策略的 IPsec VPN，安全策略指定為其操作 VPN 隧道，用于符合策略匹配標準的傳輸流量。VPN 配置時不獨立于策略語句。策略語句指 VPN 的名稱，指定允許訪問隧道的信息流。對于基于策略的 VPN，每個策略都會與遠程對等方創建一個單獨的 IPsec 安全關聯 （SA），每個對等方都算作單獨的 VPN 隧道。例如，如果策略包含組源地址和組目標地址，則每當屬于地址集的用戶嘗試與指定為目標地址的任何一個主機通信時，將協商并建立新隧道。由于每個隧道都需要自己的協商流程和單獨的 SA 對，因此使用基于策略的 IPsec VPN 可以比基于路由的 VPN 更加資源密集。

可以使用基于策略的 VPN 的示例：

• 您正在實施撥號 VPN。

• 基于策略的 VPN 允許您根據防火墻策略定向流量。

當您想要在多個遠程站點之間配置 VPN 時，建議您使用基于路由的 VPN。基于路由的 VPN 可提供與基于策略的 VPN 相同的功能。

主要通過以下辦法來檢測是否被黑客攻擊：

1. 通過檢測日志文件來查看是否有入侵痕跡；

2. 通過查看自己的服務器看網站是否有來歷不明文件；

3. 檢查自己網站首頁、列表頁等等看看有沒有黑鏈；

4. 使用木馬掃描器對自己的服務器或者計算機進行全盤掃描開是否有木馬。

緩沖區溢出攻擊的隱藏性主要體現在以下方面：

• 漏洞被發現之前，程序員一般是不會意識到自己的程序存在漏洞的，事實上漏洞的發現者往往并非編寫者，于是疏于監測；

• 被植入的攻擊代碼一般都很短，執行時間也非常短，很難在執行過程中被發現，而且其執行并不一定會使系統報告錯誤，并可能不影響正常程序的運行；

• 由于漏洞存在于防火墻內部的主機上，攻擊者可以在防火墻內部堂而皇之地取得本來不被允許或沒有權限的控制權；

• 攻擊的隨機性和不可預測性使得防御變得異常艱難，沒有攻擊時，被攻擊程序本身并不會有什么變化，也不會存在任何異常的表現；

• 緩沖區溢出漏洞的普遍存在，針對它的攻擊讓人防不勝防，各種補丁程序也可能存在這種漏洞；

云安全產業發展趨勢有以下這些：

• 實現安全資源池化：云安全服務商的安全資源需支持各種類型客戶安全防護需求，包括虛擬機訪問控制、郵件過濾、DDoS 防護、漏洞掃描、內容過濾、防病毒、身份認證等。這些安全資源都被放到一個資源池內，再進行統一分配。

• 實現云數據的安全存儲：在個人云存儲服務逐漸獲得用戶認知后，面向企業級客戶的云端存儲市場正在悄然展開。據統計，2012年中國個人云存儲用戶數達到1.07億，年增長率高達 371.7%。云安全服務商可借助利好勢頭，向用戶推廣云數據、云個人隱私數據保護解決方案，以保護用戶隱私，政府、企業核心數據的存儲。

• 安全服務網絡化：云安全是基于互聯網、移動互聯網的服務，網絡所到之處就應當是服務所在之處。因此，云安全服務可以為廣大網絡用戶提供安全保護。

• 需部署云安全管理平臺：云安全服務提供商構建云安全管理平臺，對池化的安全能力進行日常的資源調度及管理，為客戶提供按需可伸縮的安全服務，同時也能為客戶提供自助服務及客戶日常服務報表分析。

• 運營商和云安全廠商需要密切配合：隨著技術不斷演進，私有云與公有云的資源將被混合或者交錯利用。運營商、云安全服務商通過展示自身的網絡優勢、用戶資源優勢、渠道優勢等，打造聚合平臺、開放平臺、服務提供平臺，將基礎能力、開發者、應用和用戶進行整合，開放自身或第三方的資源、能力、應用，并作為服務提供給用戶，這些將成為必然的發展趨勢。

面向視頻通信的無線傳感網技術面臨以下挑戰：

• 節能控制策略：由于多媒體傳感器應用的環境條件復雜且大多不允許對“失效”節點進行電池更換，其能耗也明顯大于傳統傳感器。因此，如何節約各節點有限的電池能量并盡力延長整體網絡的生存時間成為多媒體傳感器網絡的重要性能指標。

• 實時媒體傳輸：多媒體信息（尤其是音視頻）對傳輸的時延、同步要求很高，多媒體傳感器網絡應具有更強的媒體傳輸能力。目前，多媒體傳感器網絡的帶寬資源以及處理能力還相當有限。能否有效解決多媒體的實時傳輸問題，也是多媒體傳感器網絡實用化的關鍵。

• 在網信息處理：傳感器網絡采集到的多媒體數據具有很大冗余性和時、空間關聯性，大量冗余信息在網絡中的傳輸勢必會造成網絡資源的嚴重消耗。有必要研究如何利用在網計算來壓縮數據、實現數據同步及任務協同處理，減少網絡業務流量，進而延長網絡工作壽命。

• QoS保障：QoS敏感是多媒體傳感器網絡的一個重要特征。多媒體傳感器網絡QoS體現在音視頻質量、網絡時延、網絡能耗、覆蓋范圍、服務持續時間、媒體信息處理等方面，建立其QoS保障體系是多媒體傳感器網絡設計的關鍵問題。

• 信息安全保證：傳感器網絡信息傳送也面臨著私密性考驗：既要求信息不能被篡改也不能被非授權用戶使用，而且多媒體信息對于私密性更加敏感。如何在計算資源受限中完成數據加密、身份驗證等，在破壞或受干擾的情況下可靠地傳輸正確的信息是一個重要的研究課題。

• 高效的通信協議：超寬帶技術由于其低功耗、高速率、大容量、精確定位等優點而成為WMSNs物理層通信的絕佳選擇，但由于標準制定的原因離實用還有一段距離。目前研究的重點是數據鏈路層的MAC協議和網絡層的路由協議，關鍵問題是要解決好能耗最小化和多媒體數據傳輸實時性、可靠性等要求之間的矛盾。

• 靈活的數據查詢和檢索：從用戶獲取數據角度來看，整個多媒體傳感器網絡就像一個動態的數據庫，可從中查詢和檢索需要的信息。

• 考慮監控場景或事件因素對存儲和檢索的影響：針對視頻傳感器網絡的MAC和路由協議在研究的過程中需要根據監控場景中的事件來進行QoS的跨層設計，該項內容所引入的一個重要內容是：視頻傳感器網絡所發送的數據不僅僅包含各類格式的視頻、音頻、圖像數據流，還包含監控場景中的各類事件數據，因此，在進行MAC和路由的跨層設計時需仔細調研監控場景的事件分類等內容。

防火墻設備的基本性能包括如下內容：

• 防火墻能嚴格執行所配置的安全策略，并能靈活改變所需的安全策略。

• 防火墻除具備基本的鑒別功能外，還應支持多種先進技術，如包過濾技術、加密技術、身份識別與驗證、信息的保密性加強、信息的完整性校驗、系統的訪問控制機制和授權管理等技術。

• 防火墻過濾語言應該具有靈活性，支持多種過濾屬性，如源和目的IP地址、協議類型、源和目的TCP/UDP端口，以及入出接口等。

• 防火墻應包含集中化的SMTP訪問能力，以簡化本地與遠程系統的SMTP連接，實現本地E-mail集中處理，還應具備集中處理和過濾撥號訪問的能力。

• 安全操作系統是防火墻設備的一個組成部分，當使用其他安全工具時，要保證防火墻主機的完整性，而且安全操作系統應能整體安裝。防火墻及操作系統應該可更新，并能用簡易的方法解決系統故障等。

為避免病毒、木馬等威脅危害到內網安全，拷貝內網數據流程如下：

1.準備一個專用U盤，將局域網內部數據拷貝至內部專用U盤；

2.將內部專用U盤的數據拷貝至安全機；

3.將數據通過安全機拷貝至外來U盤。

注：在這個過程中，一定要做到“專盤專用”。內用U盤專門用來從局域網向安全機拷貝數據不作它用。

Cookies和Session具體區別如下：

• 存儲的位置不同：cookie存放在客戶端，session存放在服務端并且Session存儲的數據比較安全；

• 存儲的數據類型不同：兩者都是key-value的結構，但針對value的類型是有差異的，cookie的value只能是字符串類型，session的value是Object類型；

• 存儲的數據大小限制不同：cookie大小受瀏覽器的限制，很多是是4K的大小，session理論上受當前內存的限制；

• 生命周期的控制：cookie的生命周期當瀏覽器關閉的時候就死亡，session的生命周期是間隔的，從創建時，開始計時如在20分鐘，沒有訪問session，那么session生命周期被銷毀。

免殺技術指的是一種能使病毒木馬免于被殺毒軟件查殺的技術。常見的免殺技術包括：

修改特征碼

所謂特征碼，就是防毒軟件從病毒樣本中提取的不超過64字節且能代表病毒特征的十六進制代碼。主要有單一特征碼、多重特征碼和復合特征碼這三種類型。既然殺毒軟件在最開始時，使用了病毒特征碼概念，那么我們可以通過修改病毒特征碼的方式躲過殺軟掃描。

花指令免殺

花指令免殺。花指令是設計者特意構思的，它最根本的思想就是希望在反匯編時出錯，并為反病毒人員設下陷阱。而如果花指令可以成功保護軟件真正代碼不被輕易反匯編，那么對于反病毒軟件來說，它所檢測的自然也就不是木馬文件中真正的內容了。花指令可能會用到各種指令：例如jmp, call, ret的一些堆棧技巧，位置運算等等。

加殼免殺

軟件加殼其實也可以稱為軟件加密（或軟件壓縮），只是加密（或壓縮）的方式與目的不一樣罷了。殼就是軟件所增加的保護，并不會破壞里面的程序結構，當我們運行這個加殼的程序時，系統首先會運行程序里的殼，然后由殼將加密的程序逐步還原到內存中，最后運行程序。

加殼雖然對于特征碼繞過有非常好的效果，加密殼基本上可以把特征碼全部掩蓋，但是缺點也非常的明顯，因為殼自己也有特征。在某些比較流氓的國產殺軟的檢測方式下，主流的殼如VMP, Themida等，一旦被檢測到加殼直接彈框告訴你這玩意兒有問題，雖然很直接，但是還是挺有效的。有些情況下，有的常見版本的殼會被直接脫掉分析。

內存免殺

內存免殺技術大多數只需要使用“ShellCode加載器”就可以達到很好的免殺效果，內存免殺后門大部分基于“VirtualAlloc”函數申請內存，使用shellcode加載器將shellcode直接加載進內存，避免文件落地就可以繞過文件掃描。

二次編譯

metasploit的msfvenom提供了多種格式的payload和encoder，生成的shellcode也為二次加工提供了方便，但是也被各大廠商盯得死死的。

而shikata_ga_nai是msf中唯一excellent的編碼器，這種多態編碼技術使得每次生成的攻擊載荷文件是不一樣的，編碼和解碼也都是不一樣。還可以利用管道進行多重編碼進行免殺。

目前msfvenom的encoder特征基本都進入了殺軟的漏洞庫，很難實現單一encoder編碼而繞過殺軟，所以對shellcode進行進一步修改編譯成了msf免殺的主流。互聯網上有很多借助于C、C#、python等語言對shellcode進行二次編碼從而達到免殺的效果。

資源修改

有些殺軟會設置有掃描白名單，比如之前把程序圖標替換為360安全衛士圖標就能過360的查殺。

• 加資源

使用ResHacker對文件進行資源操作，找來多個正常軟件，將它們的資源加入到自己軟件，如圖片，版本信息，對話框等。

• 替換資源

使用ResHacker替換無用的資源（Version等）。

• 加簽名

使用簽名偽造工具，將正常軟件的簽名信息加入到自己軟件中。

• TCPDump

  TCPDump可以將網絡中傳送的數據包完全截獲下來提供分析。它支持針對網絡層、協議、主機、網絡或端口的過濾，并提供and、or、not等邏輯語句來幫助你去掉無用的信息。

• WireShark

  Wireshark（前稱Ethereal）是一個網絡封包分析軟件。網絡封包分析軟件的功能是擷取網絡封包，并盡可能顯示出最為詳細的網絡封包資料。Wireshark使用WinPCAP作為接口，直接與網卡進行數據報文交換。

  在過去，網絡封包分析軟件是非常昂貴的，或是專門屬于盈利用的軟件。Ethereal的出現改變了這一切。在GNUGPL通用許可證的保障范圍底下，使用者可以以免費的代價取得軟件與其源代碼，并擁有針對其源代碼修改及客制化的權利。Ethereal是全世界最廣泛的網絡封包分析軟件之一。

• Iftop

  iftop是一個免費的網卡實時流量監控工具，類似于Linux下的top命令。iftop可以監控指定網卡的實時流量、端口連接信息、反向解析IP等，還可以精確顯示本機網絡流量情況及網絡內各主機與本機相互通信的流量集合，非常適合于監控代理服務器或路由器的網絡流量。同時，iftop對檢測流量異常的主機非常有效，通過iftop的輸出可以迅速定位主機流量異常的根源，這對于網絡故障排查、網絡安全檢測是十分有用的。

• TCPView

  TCPView是一款免費的網絡軟件，可讓您直接在系統上查看與所有 UDP 和 TCP 端點相關的詳細列表。這些列表包括遠程和本地地址以及TCP 連接的狀態

• netstat

  Netstat是控制臺命令,是一個監控TCP/IP網絡的非常有用的工具，它可以顯示路由表、實際的網絡連接以及每一個網絡接口設備的狀態信息。Netstat用于顯示與IP、TCP、UDP和ICMP協議相關的統計數據，一般用于檢驗本機各端口的網絡連接情況。

• MRTG

  Multi Router Traffic Grapher（MRTG）是一個監控網絡鏈路流量負載的工具軟件，通過snmp協議得到設備的流量信息，并將流量負載以包含PNG格式的圖形的HTML文檔方式顯示給用戶，以非常直觀的形式顯示流量負載。

• NetFlow

  NetFlow Analyzer網絡流量監控軟件是專門用于監控網絡流量，幫助用戶了解流量構成、協議分布和用戶活動的軟件。NetFlow Analyzer利用Flow技術來收集網絡中有關流量的信息，集流量收集、分析、報告于一體，深入了解流量與帶寬的占用情況等用戶最關心的問題，為全面了解企業的網絡活動，合理有效分配和規劃網絡帶寬提供科學的依據，保證企業的關鍵業務應用暢通運行。

• SolarWinds

  SolarWinds是在網絡和系統管理最知名的工具之一。它自帶超過30多種齊全的工具，可以滿足各種需求。特別是，solarwinds最優秀的工具就是netflow流量采集和分析器、帶寬監控工具、NPM(網絡性能監控器)。solarwinds也提供了一些知名的免費工具，如子網掩碼計算器和TFTP服務器。

• Zenoss Core

  這可能不是最知名的監控工具，但由于其功能集和專業方面，它當然值得在我們的列表中找到一席之地。該工具可以監控許多事情，例如流量或HTTP和FTP等服務。它有一個干凈簡單的界面，它的警報系統非常好。我們特別喜歡多個警報機制，如果第一個人在預定義的延遲內沒有響應，它將提醒第二個人。

包過濾規則應該阻止以下三種IP包進入內部網：

• 源地址是內部地址的外來數據包：這類數據包很可能是為實行IP地址詐騙攻擊而設計的，其目的是裝扮成內部主機混過防火墻的檢查進入內部網。

• 指定中轉路由器的數據包：這類數據包很可能是為繞過防火墻而設計的數據包。

• 有效載荷很小的數據包：這類數據包很可能是為抵御過濾規則而設計的數據包，其目的是將TCP包頭封裝成兩個或多個IP包送出，比如，將源端口和目的端口分別放在兩個不同的TCP包中，使防火墻的過濾規則對這類數據包失效，這種方法稱為TCP碎片攻擊。

簡單來說，隔離網閘（氣隙）是一種用于保護特定網絡的物理隔離安全措施，被防止利用網絡連接實施入侵行為的發生。

1. 切斷網絡之間的通用協議連接；

2. 將數據包分解或重組為靜態數據；

3. 對靜態數據進行安全審查，包括網絡協議檢查和代碼掃描等；

4. 確認后的安全數據內置內部單元；

5. 內部用戶通過嚴格的身份認證機制獲取所需數據。隔離網閘經常被使用在涉密網與非涉密網之間。