漏洞掃描需要資質具有國家信息安全風險評估或安全服務資質、CNCERT網絡安全應急服務支撐單位資質或者CNAS檢查機構認可證書或者國家信息安全漏洞掃描CNNVD技術支持單位等級證書，漏洞掃描還需要3C證書，也稱之為3C認證，全稱為中國強制性產品認證英文名稱China Compulsory Certification，英文縮寫CCC所以稱之為3C認證。

漏洞掃描有以下功能：

• 定期的網絡安全自我檢測、評估

  配備漏洞掃描系統，網絡管理人員可以定期的進行網絡安全檢測服務，安全檢測可幫助客戶最大可能的消除安全隱患，盡可能早地發現安全漏洞并進行修補，有效的利用已有系統，優化資源，提高網絡的運行效率。

• 網絡建設和網絡改造前后的安全規劃評估和成效檢驗

  網絡建設者必須建立整體安全規劃，以統領全局，高屋建瓴。在可以容忍的風險級別和可以接受的成本之間，取得恰當的平衡，在多種多樣的安全產品和技術之間做出取舍。配備網絡漏洞掃描/網絡評估系統可以讓您很方便的進行安全規劃評估和成效檢驗。

• 網絡承擔重要任務前的安全性測試

  網絡承擔重要任務前應該多采取主動防止出現事故的安全措施，從技術上和管理上加強對網絡安全和信息安全的重視，形成立體防護，由被動修補變成主動的防范，最終把出現事故的概率降到最低。配備網絡漏洞掃描/網絡評估系統可以讓您很方便的進行安全性測試。

• 網絡安全事故后的分析調查

  網絡安全事故后可以通過網絡漏洞掃描/網絡評估系統分析確定網絡被攻擊的漏洞所在，幫助彌補漏洞，盡可能多得提供資料方便調查攻擊的來源。

• 重大網絡安全事件前的準備

  重大網絡安全事件前網絡漏洞掃描/網絡評估系統能夠幫助用戶及時的找出網絡中存在的隱患和漏洞，幫助用戶及時的彌補漏洞。

DSMM架構是是阿里巴巴和中國電子技術標準化研究院在大量實踐和研究的基礎上研究制定的一種數據安全能力成熟度模型架構標準，該標準能夠用來衡量一個組織的數據安全能力成熟度水平， 可以幫助行業、企業和組織發現數據安全能力短板，相關主管部門也可以用于數據安全管理，根據數據安全能力水平高低決定企業擁有數據的類型和范圍，最終提升全社會的數據安全水平和行業競爭力， 確保大數據產業及數字經濟的發展。

DSMM數據安全架構由以下維度組成：

• 安全能力維度：安全能力維度明確了組織在數據安全領域應具備的能力，其中包括組織建設、制度流程、技術工具和人員能力。

• 能力成熟度等級維度：組織的數據安全能力成熟度等級劃分為五級，具體包括第一級非正式執行級、第二級計劃跟蹤級、第三級充分定義級、第四級量化控制級和第五級持續優化級。

• 數據安全過程維度：數據安全過程包括數據生存周期安全過程和通用安全過程，數據生存周期安全過程具體包括數據采集安全、數據傳輸安全、數據存儲安全、數據處理安全、數據交換安全、數據銷毀安全6個階段。

當前網絡空間信息安全防護可以著重圍繞以下四點展開：

• 基礎設施安全：網絡空間的安全不僅包括信息系統自身的安全，更要關注信息系統支撐的關鍵基礎設施以及整個國家的基礎設施的安全。從基礎做起，自下而上地解決安全問題，構建整個系統范圍內使侵襲最小化的端對端的安全。

• 從懷疑到信任：互聯網的組建沒有從基礎上考慮安全問題，它的公開性與對用戶善意的假定是今天危機的一個根源。同樣，信息技術基礎設施的軟硬件的設計與測試，無論設計和測試人員的安全知識，還是設計與測試的方法都沒有安全的保證，這樣的基礎設施再由對風險缺乏認識的人員操作，必然使網絡空間處于危險之中。因此，系統與網絡的每一個組成部分都要懷疑其他任何一個組件，訪問數據與其他資源必須不斷地重新授權。

• 改變邊界防御的觀念：歷來的信息安全觀念多基于邊界防御。在這種觀念指導之下，信息系統與網絡的“內部”要加以保護，防止“外部”攻擊者侵入并對信息與網絡資源進行非法的訪問與控制活動。而實際的情況是“內部”的威脅不僅與“外部”威脅并存，而且遠超過后者。隨著無線和嵌入技術及網絡連接的增長，以及由系統的系統（System of System）構成的網絡的復雜性不斷增強，使“內部”與“外部”已難以區分。

• 全新的結構與技術：已有的基礎設施是在較早的年代，在人們還沒有意識到、面臨到大量網絡空間問題的年代開發出來的，現在需要的是全新的結構與技術，以解決基礎設施更大規模下的不安全性問題。例如，如何構建大規模、分布式的系統，使其在敵對或自然干擾條件下仍能夠持續可靠地運轉；如何構建能認證眾多組織與地點的大量用戶標識的系統；如何驗證從第三方獲得的軟件并正確地實現其所聲稱的功能；如何保證個人身份、信息或合法交易，以及人們存儲在分布式系統或網絡上傳輸時的隱私等。

DES的意義表現在以下幾方面：

• 它公開展示了能完全適應某一歷史階段中信息安全要求的一種密碼體制的構造方法。

• 它是世界上第一個數據加密標準，并確立了這樣一個原則，即算法的細節可以公開而密鑰必須是保密的。

• 它的出現及引發的討論確立了安全設計和使用分組密碼的若干準則，并引發了分組密碼設計的高潮。

• 它極大地推動了密碼算法標準化工作。

• 它推動了密碼分析理論和技術的快速發展，先后出現了差分分析、線性分析等多種新的有效的密碼分析方法。

DES基本原則：

• 混淆:混淆是使密文的統計特性與密鑰的取值之間的關系盡可能復雜化，以使密鑰和明文以及密文之間的依賴性對密碼分析者來說是無法利用的。

• 擴散:擴散的作用就是將每一位明文的影響盡可能迅速地作用到較多的輸出密文位中，以便在大量的密文中消除明文的統計結構，并且使每一位密鑰的影響盡可能迅速地擴展到較多的密文位中，以防對密鑰進行逐段破譯。

網絡基于協議擴展的多路徑技術有以下特點：

• 提升網絡帶寬，降低傳輸延遲：不論是TRILL協議還是SPB協議都不再需要像STP生成樹協議那樣為防止環路而堵塞網絡端口，在二層網絡上可以通過多個路徑進行數據的轉發，充分利用網絡資源，提升了網絡吞吐能力。同時，最短路徑轉發和多路徑的流量負載分擔有效降低了網絡數據包的端到端傳輸延遲，因此能夠為虛擬機實時遷移提供保證。

• 減少了廣播和MAC地址表的大小：TRILL RBridge交換機將數據包發送到未知目的地時使用多播方式，而不是洪水式的轉發，并使用從網絡中學到的信息和邊緣交換機上的源MAC地址計算出路由表。傳統交換機會看到廣播域內的所有洪泛流量，并把每個地址都放入MAC表。與此相反，即使二層域覆蓋了數以萬計的主機，二層路由技術也不需要龐大的MAC地址表，不論是RBridge還是SPB交換機，只需要記錄其他RBridge或交換機的地址，而不需要覆蓋所有的終端。此外，FabricPath使用的基于會話的地址學習技術使交換機只使用會話真正使用的端口填充MAC地址表，進一步減小了地址表的規模。

• 收斂速度快：IS-IS協議的匯聚時間比STP協議短，這意味著新的二層網絡能夠提供較原來更好的故障保護倒換性能。

• 支持存儲融合的網絡結構：在以FCoE構建存儲網絡融合的二層網絡中，二層多路徑所具有的延遲和帶寬優勢可以更好地實現實時數據轉發。

• 技術尚未成熟：TRILL還處于預標準階段，傳統以太網交換機不能通過軟件升級支持其特性，支持SPB的設備也不豐富。

• 增加了交換機成本：協議擴展是一種增量的方法，它在解決一部分現代數據中心所面臨的問題時，也相應地增加了復雜性，例如處理三層協議、多播、FCoE、阻塞管理等，這都會明顯增加設備成本。

• VLAN邊界問題：在TRILL網絡中跨越多個VLAN操作的開銷很大，因此為了獲得TRILL在二層協議上多路徑的優點，必須減少VLAN的數量，而這會損害VLAN在數據中心中非常重要的分段優勢。

• 路由計算的壓力：這主要是SPB協議的問題。由于是純軟件的解決方案，所以SPB協議面臨的最大困擾是軟件計算轉發路徑的效率問題，尤其在多路徑負載分擔時，其對CPU的計算壓力遠遠超過TRILL和FabricPath，因此實際轉發效率令人存疑。

• 端到端阻塞管理復雜：以TRILL協議為例，TRILL Campus的地址平臺與TRILL邊緣的地址平臺是不同的，因此核心網絡中檢測到的阻塞必須通過信號發送和轉發到阻塞源端（終端主機）。但TRILL協議的核心并不知道終端所在，它只知道TRILL邊緣RBridge，因此，傳統的阻塞管理計劃無法被有效支持。

日志管理與分析系統的基本功能有：

• 日志采集：日志采集一般有兩種模式日志推送和日志拉取。在生產環境中，一般采用日志推送模式，即在日志產生端部署一個Agent（日志采集代理程序），由Agent發送數據。這種做法的好處是能夠最大限度地控制采集過程。例如，當網絡帶寬比較小時，為了防止日志傳輸占用生產環境的大量帶寬，可以對日志采集進行限速處理；如果需要節省流量，還可以通過Agent進行壓縮發送，一次性發送更多的數據等。

• 數據清洗：日志數據本質上是字符串，字符串通常需要經過預處理才能從中分析出有用結果。數據清洗就是將字符串按照一定的規則處理成結構化數據的過程，這樣能使后面的數據分析更加容易。數據清洗不只是數據修剪，有時也需要增加額外的數據來進行標識。例如，可以在數據清洗過程中增加所在的主機環境、主機負責人、業務系統等數據，為后續的精細化分析做準備。

• 日志存儲：對日志數據進行清洗之后，下一步就是日志存儲，即將日志按照一定的規則進行存儲，以便在搜索時能夠非常迅速地給出結果。日志存儲需要選擇存儲引擎。常見的開源技術方案有HBase和Elasticsearch。

• 日志告警：日志告警是日志管理與分析系統的重要功能之一，可以幫助運維人員監控數據。日志告警是指按預設計劃周期性執行搜索語句，當監控數據結果滿足觸發條件時，就通過指定的告警方式及時通知運維人員。通用的告警方式是電子郵件，也有Syslog和HTTP轉發、微信、短信等其他方式，可根據需要靈活選擇。監控所需信息一般包括常規信息、告警類型、告警閾值和告警方式。

• 日志分析：經過數據清洗、日志存儲流程，可以將非結構化數據存儲為結構化數據。接下來，需要將這些結構化數據取出來進行分析。例如，通過日志分析可以獲取網站每類頁面的 PV（PageView，頁面訪問量）值、獨立IP數（去重之后的IP數量）；稍微復雜一些的，可以計算得出用戶所檢索的關鍵詞排行榜、用戶停留時間最長的頁面等；更復雜的分析還有構建廣告點擊模型、分析用戶行為特征等。此外，還可以分析某個故障是應用程序問題還是主機或網絡問題導致的。

• 日志可視化：在數據分析要求不高的情況下，輸出一個類似Excel文件的數據表格即可。但是，隨著技術進步及數據分析要求日益增加，BI報表應運而生。BI（Business Intelligence）即商業智能，它是一個完整的解決方案，可以有效地集成企業現有數據，快速準確地生成報表，為企業決策提供依據。

• 日志智能分析：日志智能分析是指將機器學習和人工智能算法應用到日志分析中，常見的有 KPI異常檢測、大數據智能分析、收斂和抑制告警、大數據智能預測故障、基于數據挖掘的故障診斷、應用性能預測及優化、智能安全態勢感知、運維知識庫智能檢索回復，以及計算、存儲、網絡容量的預測等。KPI 異常檢測中的KPI 指的是關鍵性能指標，一般包括服務KPI和機器KPI，服務KPI如網頁響應時間、網頁訪問量、連接錯誤數量等，機器KPI如CPU利用率、內存利用率等。KPI存儲形式為按時間排列的數列，也就是時間序列。

• 用戶與權限管理：在一個日志管理與分析系統中，不同類型的數據往往由不同部門的不同人員進行管理，非本部門的人是無權查看數據的，甚至某些脫敏的數據連本部門初級人員也無權查看，這就需要鑒權這一必不可少的功能來支持。

• 系統管理：系統管理是日志管理與分析系統的重要功能之一。

網絡中以下位置可以部署IDS：

• 入侵檢測引擎放在防火墻之外：在這種情況下，入侵檢測系統能接收到防火墻外網口的所有信息，管理員可以清楚地看到所有來自Internet 的攻擊，當與防火墻聯動時，防火墻可以動態阻斷發生攻擊的連接。

• 入侵檢測引擎放在防火墻之內：在這種情況下，穿透防火墻的攻擊與來自于局域網內部的攻擊都可以被入侵檢測系統監聽到，管理員可以清楚地看到哪些攻擊真正對自己的網絡構成了威脅。

• 防火墻內外都裝有入侵檢測引擎：在這種情況下，可以檢測來自內部和外部的所有攻擊，管理員可以清楚地看出是否有攻擊穿透防火墻，對自己網絡所面對的安全威脅了如指掌。

• 將入侵檢測引擎安裝在其它關鍵位置：安裝在需要重點保護的網段，如財務部的子網，對該子網中發生的所有連接進行監控；安裝在內部兩個不同子網之間，監視兩個子網之間的所有連接。根據網絡的拓撲結構的不同，入侵檢測系統的監聽端口可以接在共享媒質的集線器（Hub）上、交換機的調試端口（span port）上、或專為監聽所增設的分接器（Tap）上。

網絡安全攻擊面是一個給定的計算機或網絡系統，可以被黑客訪問和利用的漏洞總和，也可以叫做黑客可以用來侵入你的網絡并竊取數據的方式或方法的總數。保持攻擊面盡可能小始終很重，如果你為黑客提供最少數量的攻擊向量，他們會很快放棄對更容易攻擊的目標的努力。攻擊面通常分為兩類，分別是數字攻擊面和物理攻擊面，盡可能的要減少攻擊面，因為只需要一次惡意軟件感染就可能使你的網絡癱瘓，中小型企業尤其面臨風險。

網絡攻擊面管理技術有以下因素：

• 對外開放的IP、端口、服務：這是大家都很重視的攻擊面，因為其最容易被攻擊者利用，所以安全人員也比較重視。

• 對內開放的IP、端口、服務：是比較容易忽略的環節，曾經很多人認為在內網就不存在安全問題了，但近年來高級持續性威脅（Advanced PersistentThreat，APT）的概念被不斷炒熱，大家對內網的控制也越來越嚴。由于曾經開放度太高，收緊策略的執行還是很復雜的。需要注意的是，對于打印機、攝像頭或類似IoT的設備是最容易被忽略的。

• 域名：與上述資產一樣有內部與外部之分，內部域名同樣需要提高重視。但對域名資產的管理是一個比較麻煩的問題，下文將展開探討。

• 應用程序接口：雖然API不像IP和域名那樣很容易被人發現，但許多重大數據泄露問題，其幕后原因都在于API遭到破壞、泄露或攻擊。近年來一些企業將API也納入資產管理的范圍中，這是非常明智的做法。

• 數據：嚴格意義來說，數據屬于資產，并不能算攻擊面，但近年來數據對企業和個人來說越來越重要，所以也成了吸引黑客的重要因素。我們在分析攻擊面的時候需要從數據的層面再次思考攻擊面的收斂問題。

• Wi-Fi：如果公司沒有Wi-Fi，估計很多人會崩潰。幾乎所有企業都有無線網絡的部署，這成了黑客入侵的一個重要渠道。

• 物理環境：安全管理工作一般提到物理環境，都是指機房的管控，以及兩地三中心這種高可用設計。除此以外辦公區域、公司的大堂或者門外的公共區域都是我們需要關注的攻擊面。

• 人：網絡安全本質上還是人與人的博弈，我們在保護信息系統的同時，也要考慮到對人的保護，這包括了員工、與企業有合作的相關方人員，甚至包括企業產品的用戶。

• 第三方協作：如果我們的網頁上嵌入了第三方的JS（JavaScript），頁面的展示效果就不完全由我們自己做主；如果我們的系統部署在公有云上，系統服務的連續性就不由我們完全控制。所以，與第三方協作開發的軟件和放到第三方平臺上的業務系統都是容易忽略的攻擊面暴露的部分。

根據缺陷形成的原因、被利用的可能性、造成的危害程度和解決的難度等因素進行綜合考慮，可以將常見的安全缺陷分為八類：

• 輸入驗證與表示（Input Validation and Representation）

  輸入驗證與表示問題通常是由特殊字符、編碼和數字表示所引起的，這類問題的發生是由于對輸入的信任所造成的。這些問題包括：緩沖區溢出、跨站腳本、SQL注入、命令注入等。

• API誤用（API Abuse)

  API是調用者與被調用者之間的一個約定，大多數的API誤用是由于調用者沒有理解約定的目的所造成的。當使用API不當時，也會引發安全問題。

• 安全特性（Security Features）

  該類別主要包含認證、訪問控制、機密性、密碼使用和特權管理等方面的缺陷。

• 時間和狀態（Time and State）

  分布式計算與時間和狀態有關。線程和進程之間的交互及執行任務的時間順序往往由共享的狀態決定，如信號量、變量、文件系統等。與分布式計算相關的缺陷包括競態條件、阻塞誤用等。

• 錯誤和異常處理缺陷（Errors）

  這類缺陷與錯誤和異常處理有關，最常見的一種缺陷是沒有恰當的處理錯誤（或者沒有處理錯誤）從而導致程序運行意外終止，另一種缺陷是產生的錯誤給潛在的攻擊者提供了過多信息。

• 代碼質量問題（Code Quality）

  低劣的代碼質量會導致不可預測的行為。對于攻擊者而言，低劣的代碼使他們可以以意想不到的方式威脅系統。常見的該類別缺陷包括死代碼、空指針解引用、資源泄漏等。

• 封裝和隱藏缺陷（Encapsulation）

  合理的封裝意味著區分校驗過和未經檢驗的數據，區分不同用戶的數據，或區分用戶能看到和不能看到的數據等。常見的缺陷包括隱藏域、信息泄漏、跨站請求偽造等。

• 代碼運行環境的缺陷（Environment）

  該類缺陷是源代碼之外的問題，例如運行環境配置問題、敏感信息管理問題等，它們對產品的安全仍然是至關重要的。

安全缺陷級別：

• 我們將源代碼的安全問題分為三種級別：高危（High）、中等（Medium）和低（Low）。衡量級別的標準包括兩個維度，置信程度（confidence）和嚴重程度（severity）。置信程度是指發現的問題是否準確的可能性，比如將每個strcpy函數調用都標記成緩沖區溢出缺陷的可信程度很低。嚴重程度是指假設測試技術真實可信的情況下檢出問題的嚴重性，比如緩沖區溢出通常是比變量未初始化更嚴重的安全問題。

入侵檢測標準化就是將入侵檢測所使用的規則進行同一標準，這樣有利于不同的IDS之間的協作，從而發現新的入侵活動，同時還可以使IDS與訪問控制、應急、入侵追蹤等系統交換信息，相互協作，形成一個整體有效的安全保障系統。入侵檢測系統是一種對網絡傳輸進行即時監視，在發現可疑傳輸時發出警報或者采取主動反應措施的網絡安全設備。它與其他網絡安全設備的不同之處便在于，IDS是一種積極主動的安全防護技術。

IDS安全檢測系統有以下優點

• 強大的入侵檢測和攻擊處理能力：KIDS采用了獨特的零拷貝技術，可以有效地降低網絡數據包的處理開銷，最大能支持百兆網絡的數據流量。綜合了最新的協議分析和攻擊模式識別技術，在提高檢測性能的同時也大大降低了誤報率。KIDS可重組的最大的IP碎片數目為8192，同時監控的TCP連接數為10000，管理控制臺同時能管理的傳感器的數目也可以是多個（僅受計算機配置的影響）。這些性能最終形成了KIDS強大的入侵檢測和攻擊處理能力。

• 全面的檢測知識庫：KIDS具備國內最為全面的檢測知識庫，包括掃描、嗅探、后門、病毒、惡意代碼、拒絕服務、分布式拒絕服務、可疑行為、非授權訪問、主機異常和欺騙等11 大類的安全事件，目前共有檢測規則1509條，安全報警事件1054條。檢測知識庫可以實現定期的更新和升級，用戶完全不必擔心最新黑客攻擊方法的威脅。

• 強大的響應能力：KIDS一旦發現了攻擊入侵或可疑的行為，便可以采用多種實時的報警方式通知用戶，如屏幕顯示、發聲報警、郵件通知、傳呼通知、手機短消息、WinPop、SNMP Trap或用戶自定義的響應方式等，并將所有的報警信息記錄到日志中。同時KIDS對一些非法的連接也能夠進行及時的阻斷，如中斷TCP會話、偽造ICMP應答、根據黑名單斷開、阻塞HTTP請求、模擬SYN/ACK或通過防火墻阻塞等。

• 方便的報表生成功能：KIDS的報表功能可以為用戶提供全面細致的統計分析信息，它采用不同的統計分類來顯示或輸出報表，如按重要服務器、重點監測組、常用服務、常見攻擊類型和攻擊風險等級等進行統計。而對于每一類報表KIDS又提供了更為詳細的子分類統計，包括今日事件、三日內事件、本周事件、Top 20個事件（威脅最大的事件）、Top 20個攻擊源（攻擊嫌疑網址）和Top 20個被攻擊地址（有安全隱患的主機/服務器）等。最為方便的是用戶完全可以根據自己的喜好或需要定制特殊形式的報表。

• 開放式的插件結構：傳感器采用了插件技術進行分析處理。傳感器的核心引擎從網絡上抓取數據包，并調用相應的處理插件對其進行分析處理，處理插件將獲得的數據包特征與知識庫進行比較。對網絡高層協議的分析和數據的處理是由專門的插件來實現的，不同的應用層協議用不同的插件來處理。新的協議檢測，只需要增加新的處理插件。系統在檢測能力上的增強，只需增加和更新插件即可。KIDS包含包特征檢測、端口掃描檢測、流敏感內容監測器、HTTP檢測、POP3分析器、SMTP分析器等多種插件。

電子取證是指利用計算機軟硬件技術，以符合法律規范的方式對計算機入侵、破壞、欺詐、攻擊等犯罪行為進行證據獲取、保存、分析和出示的過程。從技術方面看是一個對受侵計算機系統進行掃描和破解,對入侵事件進行重建的過程。具體而言，是指把計算機看作犯罪現場，運用先進的辨析技術,對計算機犯罪行為進行解剖，搜尋罪犯及其犯罪證據。

電子取證步驟如下:

1. 確定電腦犯罪；

2. 收集初步證據；

3. 獲取扣押令(如果需要)；

4. 風險評估；

5. 在犯罪現場扣押證據，證據扣押后將其編號并安全鎖定；

6. 將證據文件安全送到鑒定實驗室；

7. 對證據文件建立兩份電子副本，不能改變修改原始磁盤；

8. 生成鏡像文件的(MD5) 檢驗碼；

9. 維護證據鏈；

10. 將原數據文件放在安全場所；

11. 檢查證據文件鏡像到本；

12. 準本鑒定報告；

13. 向客戶提交報告；

14. 如果需要,作為鑒定證人出法庭作證；

敏感數據面臨的挑戰如下：

• 如何將敏感數據訪問的審批在執行環節有效落地：對于敏感數據的訪問、對于批量數據的下載要進行審批制度，這是數據治理的關鍵；但工單的審批若是在執行環節無法有效控制，訪問審批制度僅僅是空中樓閣。

• 如何對突破權控管理的黑客技術進行防御：基于數據庫的權限控制技術，在基于漏洞的攻擊的基礎上將很容易被突破。

• 如何在保持高效的同時實現存儲層的加密：基于文件層和硬盤層的加密將無法與數據庫的權控體系結合，對運維人員無效，如何實現存儲加密、權限控制和快速檢索的整體解決，是這一問題的關鍵，只有這樣的存儲加密才能保證安全的同時數據可用。

• 如何實現保持業務邏輯后的數據脫敏：對于測試環境、開發環境和 BI 分析環境中的數據需要對敏感數據模糊化，但模糊化的數據保持與生產數據的高度仿真，是實現安全可用的基礎。

• 如何實現數據提取分發后的管控：數據的共享是數據的基本使用屬性，但數據的復制是沒有痕跡的；數據分發后如何保證數據不會被流轉到失控的環境，或者被復制后可溯源，這是數據提取分發管理的關鍵。

可以通過以下方案將敏感數據進行脫敏：

• 無效化：無效化方案在處理待脫敏的數據時，通過對字段數據值進行 截斷、加密、隱藏 等方式讓敏感數據脫敏，使其不再具有利用價值。一般采用特殊字符代替真值，這種隱藏敏感數據的方法簡單，但缺點是用戶無法得知原數據的格式，如果想要獲取完整信息，要讓用戶授權查詢。

• 隨機值：隨機值替換，字母變為隨機字母，數字變為隨機數字，文字隨機替換文字的方式來改變敏感數據。這種方案的優點在于可以在一定程度上保留原有數據的格式，往往這種方法用戶不易察覺的。

• 數據替換：數據替換與前邊的無效化方式比較相似，不同的是這里不以特殊字符進行遮擋，而是用一個設定的虛擬值替換真值。

• 對稱加密：對稱加密是一種特殊的可逆脫敏方法，通過加密密鑰和算法對敏感數據進行加密，密文格式與原始數據在邏輯規則上一致，通過密鑰解密可以恢復原始數據，要注意的就是密鑰的安全性。

• 平均值：平均值方案經常用在統計場景，針對數值型數據，我們先計算它們的均值，然后使脫敏后的值在均值附近隨機分布，從而保持數據的總和不變。

• 偏移和取整：這種方式通過隨機移位改變數字數據，偏移取整在保持了數據的安全性的同時保證了范圍的大致真實性，比之前幾種方案更接近真實數據，在大數據分析場景中意義比較大。

1.明確目標

1）確定范圍：測試的范圍，如：IP、域名、內外網、整站or部分模塊；

2）確定規則：能滲透到什么程度（發現漏洞為止or繼續利用漏洞）、時間限制、能否修改上傳、能否提權。

• 目標系統介紹、重點保護對象及特性。
• 是否允許數據破壞？
• 是否允許阻斷業務正常運行？
• 測試之前是否應當知會相關部門接口人？
• 接入方式？外網和內網？
• 測試是發現問題就算成功，還是盡可能的發現多的問題？
• 滲透過程是否需要考慮社會工程？

2.分析風險，獲得授權

分析滲透測試過程中可能產生的風險，如大量測試數據的處理、影響正常業務開展、服務器發生異常的應急、數據備份和恢復、測試人力物力成本。

由測試方書寫實施方案初稿并提交給客戶（or本公司內部領導）進行審核。在審核完成后，從客戶（or本公司內部領導）獲取對測試方進行書面委托授權書，授權測試方進行滲透測試。

3.信息收集

在信息收集階段，我們需要盡量多的收集關于目標系統的各種信息，比如：腳本語言的類型、服務器的類型、目錄的結構、使用的開源軟件、數據庫類型、所有鏈接頁面，用到的框架等。

4.漏洞探測（手動&自動）

利用上一步中列出的信息，使用相應的漏洞檢測。

5.漏洞驗證

將上一步中發現的有可能可以成功利用的全部漏洞都驗證一遍。結合實際情況，搭建模擬環境進行試驗，成功后再應用于目標中。

6.信息分析

為下一步實施滲透做準備

• 精準攻擊：準備好上一步探測到的漏洞exp（漏洞利用），用來精準攻擊
• 繞過防御機制：是否有防火墻等設備，如何繞過
• 定制攻擊路徑：最佳工具路徑，根據薄弱入口，高內網權限位置，最終目標
• 繞過檢測機制：是否有檢測機制，流量監控，殺毒軟件，惡意代碼檢測等（免殺）
• 攻擊代碼：經過試驗得來的代碼，包括不限于xss代碼，sql注入語句等

7.利用漏洞，獲取數據

• 實施攻擊：根據前幾步的結果，進行攻擊
• 獲取內部信息：基礎設施（網絡連接，vpn，路由，拓撲等）
• 進一步滲透：內網入侵，敏感目標
• 持續性存在：一般對客戶做滲透不需要。rookit，后門，添加管理賬號，駐扎手法等
• 清理痕跡：清理相關日志（訪問，操作），上傳文件等

網絡安全應急處理的過程主要有準備、檢測、抑制、根除、恢復、總結六個階段：

• 準備階段：準備階段的目標是在安全事件真正發生之前為處理安全事件做好準備工作。準備階段的主要工作包括建立合理的防御/控制措施、建立適當的策略和程序、獲得必要的資源和組建響應隊伍等。該階段的控制點包括：應急響應需求界定、服務合同或協議簽訂、應急服務方案制定、人員和工具準備。

• 檢測階段：檢測階段的目標是對網絡安全事件做出初步的動作和響應，根據獲得的初步材料和分析結果，預估事件的范圍和影響程度，制定進一步的響應策略，并且保留相關證據。

• 抑制階段：抑制階段的目標是限制攻擊的范圍，抑制潛在的或進一步的攻擊和破壞。抑制措施十分重要，因為安全事件很容易擴散和失控。攻擊抑制措施可以在以下幾個方面發揮作用，阻止入侵者訪問被攻陷系統、限制入侵的程度、防止入侵者進一步破壞等。

• 根除階段：根除階段的目標是在事件被抑制之后，通過對有關惡意代碼或行為的分析結果，找出導致網絡安全事件發生的根源，并予以徹底消除。對于單機上的事件，可以根據各種操作系統平臺的具體檢查和根除程序進行操作即可。但是大規模爆發的帶有蠕蟲性質的惡意程序，要根除各個主機上的惡意代碼，則需投入更多的人力和物力。

• 恢復階段：恢復階段的目標是將網絡安全事件所涉及的系統還原到正常狀態。恢復工作應該十分小心，避免出現誤操作，導致數據的丟失。恢復階段的行動集中于建立臨時業務處理能力、修復原系統損害、在原系統或新設施中恢復運行業務能力等應急措施。

• 總結階段：總結階段的目標是回顧網絡安全事件處理的全過程，整理與事件相關的各種信息，并盡可能地把所有情況記錄到文檔中。這些記錄的內容，不僅對有關部門的其他處理工作具有重要意義，而且對將來應急工作的開展也是非常重要的積累。

Web應用防護的主要目標包括以下兩個方面：

• 信息安全:為數據處理系統建立和采用的技術、管理上的安全保護，為的是保護計算機硬件、軟件、數據不因偶然和惡意的原因而遭到破壞、更改和泄露。

• 服務安全:保護系統連續正常的運行，免受對系統的未授權修改、破壞而導致系統不可用。

Web 應用防護：

• Web應用防護系統又叫做WAF。按照國際公認的說法，Web應用防火墻是通過執行一系列針對HTTP/HTTPS的網站安全策略來專門為Web應用提供保護的一款產品。隨著web的內容與應用越來越豐富，信息量與價值量越來越高，web被入篡改的事件和頻率也增多。這就需要專門的web防火墻或是防護系統來維護網站的安全。