什么是威脅情報，其實安全圈一直在使用著它們，漏洞庫、指紋庫、IP信譽庫，它們都是威脅情報的一部分。情報就是線索，威脅情報就是為了還原已發生的攻擊和預測未發生的攻擊所需要的一切線索。“所謂的威脅情報就是幫助我們發現威脅，并進行處置的相應知識。這種知識就是我們所說的威脅情報”。

接下來說威脅情報有什么用？威脅情報給誰用？

從個人角度，如果提供代理IP，刷流量的人想要（繞過IP限制）；如果提供僵尸網絡IP，安全防御者想要，其實攻擊者也想要，攻擊者要的總是比防御者多，所以Ta們更能達到目的。從公司角度而言，先說項目之間，做WAF的、做掃描器的、做漏洞管理平臺的可以交換漏洞信息，做殺毒的和入侵檢測的可以交換惡意樣本信息，做業務欺詐的和做網絡攻防的可以交換IP信譽信息，這些都是為了做到內部資源（掃描器，WAF，IPS等安全組件）甚至外部資源（開源資源集合、廠商資源交換）的整合（現狀是公司越大，這些信息越碎片化），整合才能起到協同防御的效果，才能有能力地進行深度分析去發現真正有價值的攻擊事件與高級的難以發現的APT定點攻擊事件。

引發廣播風暴攻擊的因素有以下這些：

• 誤將智能型集線器作為交換機引發廣播風暴：采購人員或者奸商將智能型集線器當作交換機使用，這樣，當網絡稍微繁忙時，由于集線器的天生缺陷，故引發了廣播風暴（廣播風暴不是由集線器引起的，而交換機也只是起到隔離廣播的作用）。

• 網線短路：壓制網線時沒有做好，或者網線表面有磨損導致短路，會引起交換機的端口阻塞，因為交換機大多都使用存儲轉發技術，它的工作原理是對某一段數據包進行分析判斷尋址，并進行轉發，在發出前均存儲在交換機的緩沖區內，當網線發生短路時，該交換機將接收到大量的不符合分裝原則的包，造成交換機處理器工作繁忙，數據包來不及轉發，從而導致緩沖區溢出產生丟包現象，導致廣播風暴。

• 接入層拓撲環：當網絡中存在環路，就會造成每一幀都在網絡中重復廣播，引起廣播風暴。要消除這種網絡循環連接帶來的網絡廣播風暴可以使用STP協議（生成樹協議），以網絡中一臺交換機為節點生成一棵轉發樹，這樣所有的數據都只在這棵樹所指示的路徑上傳輸，就不會產生廣播風暴——因為樹沒有環路。但因為STP算法開銷太大，交換機默認都沒啟用該協議。

• 傻瓜交換機：可網管的交換機由于具備生成樹協議功能，可自動切斷級聯交換機環回端口，避免網絡拓撲環的產生，但這個功能，傻瓜交換機并不具備。在同一傻瓜交換機上的不同端口，或傻瓜交換機之間有冗余的連接，就導致網絡拓撲環的發生，進而導致網絡廣播風暴，造成網絡通訊失敗。

• 蠕蟲病毒：當網絡中某計算機感染蠕蟲病毒時，如Funlove、震蕩波、RPC等病毒，如果查看該網卡的發送包和接收包的數量時發現發包數在快速增加，則說明該計算機感染了蠕蟲病毒，通過網絡傳播，損耗大量的網絡帶寬，引起網絡堵塞，導致廣播風暴。

應對廣播風暴攻擊的措施有以下這些：

• 使用MRGT等流量查看軟件可以查看出現短路的端口，如果交換機是可網管的，也可以通過逐個封閉端口來進行處理查找，進而找到有問題的網線。找到短路的網線后，更換一根網線。

• 在接入層啟用樹生成協議，或者在診斷故障時打開樹生成協議，以便協助確定故障點。在廣播風暴發生時，應首先了解發生故障前網絡的改動，建立完善的網絡文檔資料，包括網絡布線圖、IP地址和MAC地址對應表等，可以通過局域網工具軟件來掃描獲取這些信息。

• 檢查所使用的網絡設備是否是交換機，如果不是則更換正確的交換機，切記不要使用集線器。

• 用于級聯交換機的跳線應當做一些特殊標記，最好選擇使用不同顏色的跳線，與其他普通跳線相區別。

• 為每臺計算機安裝殺毒軟件，并配置補丁服務器（WSUS）來保證局域網內所有的計算機都能及時打上最新的補丁。

保障企業內部安全的具體措施如下：

• 對企業內部電子文檔的安全管理制定周詳的事前預防策略，對信息傳遞途徑進行控制，實現通訊設備和存儲設備的控制。通過網絡接入保護，實現外來電腦的接入局域網限制，安裝嚴密的報警系統，對非法接入進行及時報警提示；制定周詳的互聯網信息傳遞阻斷策略，對非法信息傳遞進行阻斷。

• 企業內部網絡行為規范管理以網絡行為記錄和控制為主要手段，進行網絡行為客戶觀評估，對不規范網絡行為進行阻斷，讓網絡文化健康發展。全面的應用程序和訪問網站記錄，以及對用戶的操作行為的詳盡記錄，形成統計報告，并以郵件方式及時向管理者報告。通過禁用網站、禁用應用程序、禁用設備等功能，對不良網絡行為進行事前控制。

• 除了企業內部的機密信息，對企業發展起到至關重要作用的就是員工的工作效率。網絡的普及，無疑改善了員工的工作條件，提高了企業的整體效率。但是，企業內部可能存在部分員工沉迷于網絡或者桌面游戲，忽視專職工作，嚴重影響企業發展。企業必須對上網行為進行適當的管控和審計。保證用戶在合規、合法范圍內使用網頁，既不能訪問下載也不能上傳散播任何含色情暴力成分的內容。

內網滲透的常見工具：

• WCE：是安全人員廣泛使用的一種安全工具，常用于列出登錄會話以及添加、修改、和刪除關聯憑據（如LM hash、NTLM hash、明文密碼和Kerberos票據）。

• mimikatz：主要用于從內存中獲取明文密碼、現金票據和密鑰等。

• Responder：可以嗅探網絡中的所有LLMNR包和獲取各主機的信息。

• BeEF：BeEF利用XSS通過Java Script對目標瀏覽器進行測試，同時可以配合MSF進行進一步滲透。

• PowerSploit：是基于PowerShell的測試框架，主要用于信息收集、權限提升以及權限維持。

• Nishang：是一款基于PowerShell的測試工具，集成各類payload用于滲透測試。

• Empire：是一款擁有豐富模塊和接口的滲透測試工具。

網絡安全通用的測評類型分為以下幾個：

• 系統級漏洞測評：主要檢測計算機系統的漏洞、系統安全隱患和基本安全策略及狀況等。

• 網絡級風險測評：主要測評相關的所有計算機網絡及信息基礎設施的風險范圍方面的情況。

• 機構的風險測評：對整個機構進行整體風險分析，分析對其信息資產的具體威脅和隱患，分析處理信息漏洞和隱患，對實體系統及運行環境的各種信息進行檢驗。

• 實際入侵測試：檢驗具有成熟系統安全程序的機構，檢驗該機構對具體模式的網絡入侵的實際反映能力。

• 審計：深入實際檢查具體的安全策略和記錄情況，以及該組織具體執行的情況。

1.測試工具通過隨機或是半隨機的方式生成大量數據。2.測試工具將生成的數據發送給被測試的系統（輸入）。3.測試工具檢測被測系統的狀態（如是否能夠響應，響應是否正確等）。4.根據被測系統的狀態判斷是否存在潛在的安全漏洞。

模糊測試（Fuzzing），是一種通過向目標系統提供非預期的輸入并監視異常結果來發現軟件漏洞的方法。我個人理解，這是一種隨機或伴隨機的測試方法，與Monkey等隨機測試工具有異曲同工之妙，只是其關注點不同。

模糊測試的執行過程：

1.測試工具通過隨機或是半隨機的方式生成大量數據。

2.測試工具將生成的數據發送給被測試的系統（輸入）。

3.測試工具檢測被測系統的狀態（如是否能夠響應，響應是否正確等）。

4.根據被測系統的狀態判斷是否存在潛在的安全漏洞。

模糊測試工具IntentFuzzer

介紹一種模糊測試工具，IntentFuzzer。

主界面

應用列表

測試組件列表

• 簡介

  這個工具是針對Intent的Fuzzer。它通常可以發現能夠導致系統崩潰的bug，部分安全漏洞，以及設備、應用程序或者是定制平臺的運行中的問題。該工具能夠針對一個簡單組件或者是所有安裝組件進行fuzz測試。它也適用于BroadcastReceiver，但針對Service只有較少的覆蓋，Service通常更加廣泛地應用Binder接口而不是針對IPC的Intent。原版的工具只能針對一個Activity進行fuzz測試，一次不能針對所有的Activity進行測試。另外，也能應用這個接口來啟動Instrumentation，雖然列出了ContentProvider，但是它們不是一個基于Intent的IPC機制，因此并不能應用該工具進行fuzz測試。MindMac在此基礎上進行了一些修改，使其能夠針對一個應用的一個簡單組件或者是所有組件進行fuzz測試，同時具有區分系統應用和非系統應用的能力。MindMac修改后的版本僅針對Activity、BroadcastReceiver、Service。

• 原理

  列舉出系統上所有公開的、能夠從應用獲取到的Activity、BroadcastReceiver、Service、Instrumentation、ContentProvider。工具將通過Intent嘗試啟動所有可以獲取到的組件，從而觸發某些難以發掘的漏洞。觸發一般有兩類漏洞，一類是拒絕服務，一類的權限提升。拒絕服務危害性比較低，更多的只是影響應用服務質量；而權限提升將使得沒有該權限的應用可以通過Intent觸發擁有該權限的應用，從而幫助其完成越權行為。如果該工具能夠輕易從外部啟動特定應用的內部組件，尤其是有較高權限的組件時，很可能在此處發現漏洞。

• 功能

  對某個組件或某個應用的某類組件發起Fuzz，分為Null Fuzz和Serialize
  

• 代碼

  獲取所有應用及其組件

    public static List<AppInfo> getPackageInfo(Context context, int type){
        List<AppInfo> pkgInfoList = new ArrayList<AppInfo>();
        List<PackageInfo> packages = context.getPackageManager().getInstalledPackages(
//              PackageManager.GET_DISABLED_COMPONENTS |
                        PackageManager.GET_ACTIVITIES
                | PackageManager.GET_RECEIVERS
                | PackageManager.GET_INSTRUMENTATION
                | PackageManager.GET_SERVICES); 

        for(int i=0;i<packages.size();i++) {   
            PackageInfo packageInfo = packages.get(i);
            if (type == SYSTEM_APPS) {
                if((packageInfo.applicationInfo.flags&ApplicationInfo.FLAG_SYSTEM) == 1) {
                    pkgInfoList.add(fillAppInfo(packageInfo, context));   
                }
            }else if(type == NONSYSTEM_APPS){
                if((packageInfo.applicationInfo.flags&ApplicationInfo.FLAG_SYSTEM) == 0) {
                    pkgInfoList.add(fillAppInfo(packageInfo, context));   
                }
            }else {
                pkgInfoList.add(fillAppInfo(packageInfo, context)); 
            }
        }

構建Intent

    private void initView(){
        typeSpinner = (Spinner) findViewById(R.id.type_select);
        cmpListView = (ListView) findViewById(R.id.cmp_listview);
        fuzzAllNullBtn = (Button) findViewById(R.id.fuzz_all_null);
        fuzzAllSeBtn = (Button) findViewById(R.id.fuzz_all_se);
        cmpListView.setOnItemClickListener(new OnItemClickListener(){

                @Override
                public void onItemClick(AdapterView<?> parent, View view, int position, long id) {
                    ComponentName toSend = null;
                    Intent intent = new Intent();
                    String className =  cmpAdapter.getItem(position).toString();
                    for (ComponentName cmpName : components) {
                        if (cmpName.getClassName().equals(className)) {
                            toSend = cmpName;
                            break;
                        }
                    }
                    intent.setComponent(toSend);
                    if (sendIntentByType(intent, currentType)) {
                        Toast.makeText(FuzzerActivity.this, "Sent Null " + intent, Toast.LENGTH_LONG).show();
                    } else {
                        Toast.makeText(FuzzerActivity.this, "Send " + intent + " Failed!", Toast.LENGTH_LONG).show();
                    }
                }

           });
        cmpListView.setOnItemLongClickListener(new OnItemLongClickListener(){

            @Override
            public boolean onItemLongClick(AdapterView<?> parent, View view, int position, long id) {
                // TODO Auto-generated method stub
                ComponentName toSend = null;
                Intent intent = new Intent();
                String className =  cmpAdapter.getItem(position).toString();
                for (ComponentName cmpName : components) {
                    if (cmpName.getClassName().equals(className)) {
                        toSend = cmpName;
                        break;
                    }
                }
                intent.setComponent(toSend);
                intent.putExtra("test", new SerializableTest());
                if (sendIntentByType(intent, currentType)) {
                    Toast.makeText(FuzzerActivity.this, "Sent Serializeable " + intent, Toast.LENGTH_LONG).show();
                } else {
                    Toast.makeText(FuzzerActivity.this, "Send " + intent + " Failed!", Toast.LENGTH_LONG).show();
                }
                return true;
            }

       });
        fuzzAllNullBtn.setOnClickListener(new OnClickListener(){

            @Override
            public void onClick(View v) {
                // TODO Auto-generated method stub
                for(ComponentName cmpName : components){
                    Intent intent = new Intent();
                    intent.setComponent(cmpName);
                    if (sendIntentByType(intent, currentType)) {
                        Toast.makeText(FuzzerActivity.this, "Sent Null " + intent, Toast.LENGTH_LONG).show();
                    } else {
                        Toast.makeText(FuzzerActivity.this, R.string.send_faild, Toast.LENGTH_LONG).show();
                    }
                }
            }

        });
        fuzzAllSeBtn.setOnClickListener(new OnClickListener(){
            @Override
            public void onClick(View v) {
                for(ComponentName cmpName : components){
                    Intent intent = new Intent();
                    intent.setComponent(cmpName);
                    intent.putExtra("test", new SerializableTest());
                    if (sendIntentByType(intent, currentType)) {
                        Toast.makeText(FuzzerActivity.this, "Sent Serializeable " + intent, Toast.LENGTH_LONG).show();
                    } else {
                        Toast.makeText(FuzzerActivity.this, R.string.send_faild, Toast.LENGTH_LONG).show();
                    }
                }
            }

        });
    }

發送請求

    private boolean sendIntentByType(Intent intent, String type) {
        try {
                switch (ipcNamesToTypes.get(type)) {
                case Utils.ACTIVITIES:
                    startActivity(intent);
                    return true;
                case Utils.RECEIVERS:
                    sendBroadcast(intent);
                    return true;
                case Utils.SERVICES:
                    startService(intent); 
                    return true;
                default:
                    return true;
                }
        } catch (Exception e) {
            //e.printStackTrace();
            return false;
        }

    }

安全評估最關鍵的安全技術是漏洞掃描。基于漏洞掃描技術的網絡安全評估，就是利用漏洞掃描技術主動的、非破壞性的特點，對系統進行自動檢測并生成檢測報告，通過對檢測報告的分析判斷，確定網絡風險程度，生成網絡安全評估報告提供給網絡管理員，由網絡管理員進行手動干預或通過安全防護設備聯動機制消除網絡風險，從而做到先敵一步，未雨綢繆，為網絡安全防護工作助力護航。

漏洞掃描技術在網絡風險評估中的應用，主要是采用基于規則的自動化的掃描技術，對網絡系統進行漏洞檢測，生成報表提供給網絡管理員，報表中包括掃描的漏洞結果，并對掃描出來的漏洞提出解決方法或建議。在系統實現上可 以采用客戶端/服務器的結構，也可以采用瀏覽器/服務器的架構。客戶端/服務器的結構是通過在分布式網絡的多個不同物理地點安裝掃描代理，并在中央控制臺進行集中管理的方式，實現漏洞掃描的策略下發、策略執行、策略制定和漏洞特征庫的升級和插件的更新 。瀏覽器/服務器的架構是用戶使用瀏覽器向服務器提出掃描申請，由服務器執行掃描，并以風險評估報告的形式向用戶提供掃描處理結果。

在漏洞掃描技術的應用過程中，主要涉及到了三個主要的問題，一是漏洞特征庫的更新，二是漏洞的匹配規則，三是漏洞的風險等級或影響程度的判斷。

所謂漏洞特征庫，是網絡安全專家、網絡管理員根據所發布的安全漏洞，結合黑客攻擊案例和實際安全配置工作經驗所制定出的漏洞檢測匹配條件庫。漏洞特征庫的完整性，主要影響漏洞掃描的準確性。漏洞掃描的主要依據就是漏洞 特征庫，安全評估系統將收集到目標信息與漏洞特征庫進行匹配，如果匹配成功，則說明信息存在相應的漏洞。現在一個漏洞出現后，從漏洞確認到漏洞 可利用性判定只需要幾個小時的時間，為了使所防護的網絡不遭受最新的安全漏洞威脅，必須盡可能的縮短漏洞特征庫的更新時間。漏洞特征庫更新的主要來源是免費性來源和商業性來源，第一個免費漏洞來源是BugTraq的黑客郵 件列表，用戶通過發送郵件的方式就可以免費獲得。商業性來源是為機構提 供的需要購買的安全服務，相對免費來源，商業性來源的時效性更強，性價比 更高，網絡管理員可以根據自身的防護要求進行取舍或者綜合使用。

漏洞的匹配規則，是基于規則進行漏洞確認的基礎，通過匹配規則的有效制定，可以提高漏洞掃描的工作效率，減少漏洞的誤報率和漏報率。漏洞的匹配規則可以人為制定，也可以通過選擇掃描軟件內置的匹配規則內容來實施。隨著漏洞特征庫的升級，漏洞的匹配規則也需要不斷的更新、擴充和修改。

漏洞風險等級或者影響程度的判斷，在有效識別出系統存在的漏洞后就需要進 一步確定漏洞的風險等級，從而判斷出哪些漏洞需要優先進行處理，哪些是可以忽略或者說非破壞性的漏洞。判斷的依據主要是兩點，一是漏洞對系統可能 造成的危害和影響有多大，二是所影響的資源有多重要。在進行相互的比較后，確定急需處理的系統資源和危害最大的漏洞，并最終體現在評估報告中。

內網安全隱患的解決對策：

• 樹立安全意識，強化安全管理

  局域網內部出現安全隱患有很大一部分的原因是：單位內部忽視了網絡安全問題，僅依靠防火墻作為主要的抵御措施，而這種想法明顯是錯誤的。因此在今后工作的過程中，單位內部應樹立安全意識，對局域網內可能存在的隱患有所了解，避免局域網受到攻擊，造成單位內部的損失。同時，單位內部還要搞好安全管理工作，安排專人進行局域網的安全維護。

• 注重系統維護，學習基礎知識

  系統要想穩定高效的運行下去，需要定期的進行系統的升級，更新系統的版本，并且還要及時的升級殺毒軟件，查找系統漏洞等等，所以需要相關單位注重系統的維護工作，及時的完成相應的操作。并且為了提高系統的維護質量，單位內部工作人員還應學習一些基礎的計算機知識以及網絡知識，確保維護工作的有效性，推動該項工作的質量得以提升。

• 合理選擇軟件，及時做好預防

  病毒和黑客的預防不能僅僅依賴防火墻，相關單位需要有針對性的安裝一些病毒查殺軟件，對病毒和黑客問題進行抵御。通常情況下單位選擇殺毒軟件應注意以下幾個方面：首先，適當從眾。此處提到的從眾，主要就是指選擇大家都在應用、并且大家都認為有效的軟件。其次，病毒查殺軟件不能安裝過多，通常情況下安裝一個到兩個就可以。在安裝完殺毒軟件后，相關單位還要選取合適的防黑客軟件，這種軟件主要針對遠程入侵本機而設置，能夠對黑客進行很好的防御。

• 謹慎收取電子郵件

  在互聯網技術不斷發展的形勢下，病毒傳播方式可謂是五花八門，其中郵件傳播就是最典型的一種。因此局域網內的用戶，在收取郵件的過程中，應注重對郵件的過濾，對于陌生郵件應借助軟件查殺病毒后，確定安全才可以打開。通常情況下，用戶通過網頁登陸的方式可以避免郵件病毒傳播的可能。如果必須要使用客戶端登陸，則一定要開啟防火墻，做好相應的預防措施，防止網絡因遭到病毒攻擊而陷入癱瘓狀態。

Java卡平臺的安全機制體現在以下幾個方面：

• 編譯時間檢查。Java是一種類型嚴格的語言，其編輯器進行著廣泛且嚴密的編譯時間檢查，以便盡可能多地發現錯誤。

• 類文件的證實和子集檢查。在Java環境中，所有裝載的類文件都被一個驗證器檢查。

• CAP文件和輸出文件驗證。一個Applet的類組成了一個或多個包，轉換器將所有類集中于一個包，并將它們轉換為一個CAP文件，同時轉換器還產生了一個出口文件。由于有限的內存空間和計算能力，智能片上的CAP文件驗證器需要在片外運行，一個CAP文件被裝載在Java智能卡之前，驗證器對它進行了靜態檢查。輸出文件驗證即檢查輸出文件內部、相應的CAP文件以確保具有正確格式，并滿足由Java卡虛擬機的限制原則。

• 安裝檢查。安裝安全包括兩方面：一方面是由安裝器和JCRE標準的安全保證，另一方面是由發行者提供的安全策略。

• 使用密碼加強信任鏈。任何Java卡文件（源代碼、類文件、CAP文件或輸出文件）都能被加密，在從開發到卡上安裝的過程中，為保證安全性，文件可以被數字簽名以保證完整性并證明提供者的身份。

• 密碼支持。加密機制在Java卡Applet和系統軟件中被使用，卡加密APIs為這些機制的靈活應用提供了可能，用戶可以根據需要自由選擇加密算法、密鑰大小等。

企業選擇防火墻常見的特殊需求有以下這些：

• IP地址轉換：進行IP地址轉換有兩個好處其一是隱藏內部網絡真正的IP地址，這可以使黑客無法直接攻擊內部網絡；另一個好處是可以讓內部使用保留的IP地址，這對許多IP地址不足的企業是有益的。

• 雙重DNS：當內部網絡使用沒有注冊的IP地址，或是防火墻進行IP地址轉換時，DNS也必須經過轉換。原因是同樣的一個主機在內部的IP地址與給予外界的IP地址將會不同，有的防火墻會提供雙重DNS，有的則必須在不同主機上各安裝一個DNS。

• 虛擬企業網絡：VPN可以對防火墻與防火墻或防火墻與移動的客戶之間所有網絡傳輸的內容加密，建立一個虛擬通道，讓兩者感覺是在同一個網絡上，可以安全且不受拘束地互相存取。這對總公司與分公司之間或公司與外出的員工之間，需要直接聯系，又不愿花費大量金錢另外申請專線或用長途電話撥號連接時，將會非常有用。

• 掃毒功能：大部分防火墻都可以與防病毒防火墻搭配實現掃毒功能，有的防火墻則可以直接集成掃毒功能，差別只是掃毒工作是由防火墻完成，或是由另一臺專用的計算機完成。

• 特殊控制需求：有時候企業會有特別的控制需求，如規定特定使用者才能發送E-mail，限制同時上網人數，限制使用時間等。依需求不同而定。

• COBIT

  來自ISACA(國際信息系統審計協會)的“信息和相關技術的控制目標”(COBIT)是IT管理和治理的框架。它旨在以業務為中心，并為IT管理定義了一組通用流程。每個流程都融合了流程輸入和輸出、關鍵活動、目標、績效度量和基本成熟度模型等因素。

• TARA

  據非營利組織MITRE(從事包括網絡安全在內的技術領域研究和開發)稱，威脅評估和補救分析(TARA)是一種工程方法，用于識別和評估網絡安全漏洞并部署對策來緩解它們。

• FAIR

  信息風險因素分析(FAIR)是對導致風險的因素以及它們如何相互影響的分類法。該框架由 Nationwide Mutual Insurance前首席信息安全官Jack Jones開發，主要為數據丟失事件的頻率和幅度建立準確的概率。

• OCTAVE

  運營關鍵威脅、資產和漏洞評估(OCTAVE)由卡內基梅隆大學的計算機應急小組(CERT)開發，是用于識別和管理信息安全風險的框架。它定義了一種綜合評估方法，允許組織識別對其目標很重要的信息資產、對這些資產的威脅以及可能使這些資產面臨威脅的漏洞。

• NIST風險管理框架

  美國國家標準與技術研究所（NIST）的風險管理框架（RMF）提供了一個全面、可重復和可測量的七步流程，企業可用此流程來管理信息安全和隱私風險。它也與一套NIST的標準和指南相關聯，支持風險管理計劃的實施，以滿足《聯邦信息安全現代化法案》（FISMA）的要求。

防火墻的具體配置步驟如下：

1. 將防火墻的Console端口用一條防火墻自帶的串行電纜連接到筆記本電腦的一個空余串口上。

2. 打開PIX防火電源，讓系統加電初始化，然后開啟與防火墻連接的主機。

3. 運行筆記本電腦Windows系統中的超級終端（HyperTerminal）程序（通常在”附件”程序組中）。

4. 當PIX防火墻進入系統后即顯示”pixfirewall>”的提示符，這就證明防火墻已啟動成功，所進入的是防火墻用戶模式。可以進行進一步的配置了。

5. 輸入命令：enable,進入特權用戶模式，此時系統提示為：pixfirewall#。

6. 輸入命令： configure terminal,進入全局配置模式，對系統進行初始化設置。

（1）首先配置防火墻的網卡參數（以只有1個LAN和1個WAN接口的防火墻配置為例）

Interface ethernet0 auto # 0號網卡系統自動分配為WAN網卡，"auto"選項為系統自適應網卡類型
Interface ethernet1 auto

（2）配置防火墻內、外部網卡的IP地址

IP address inside ip_address netmask # Inside代表內部網卡
IP address outside ip_address netmask # outside代表外部網卡

（3）指定外部網卡的IP地址范圍

global 1 ip_address-ip_address

（4）指定要進行轉換的內部地址

nat 1 ip_address netmask

（5）配置某些控制選項

conduit global_ip port[-port] protocol foreign_ip [netmask]

其中，global_ip：指的是要控制的地址；port：指的是所作用的端口，0代表所有端口；protocol：指的是連接協議，比如：TCP、UDP等；foreign_ip：表示可訪問的global_ip外部IP地址；netmask：為可選項，代表要控制的子網掩碼。

7. 配置保存：wr mem

8. 退出當前模式

此命令為exit，可以任何用戶模式下執行，執行的方法也相當簡單，只輸入命令本身即可。它與Quit命令一樣。下面三條語句表示了用戶從配置模式退到特權模式，再退到普通模式下的操作步驟。

pixfirewall(config)# exit
pixfirewall# exit
pixfirewall>

9. 查看當前用戶模式下的所有可用命令：show，在相應用戶模式下鍵入這個命令后，即顯示出當前所有可用的命令及簡單功能描述。

10. 查看端口狀態：show interface，這個命令需在特權用戶模式下執行，執行后即顯示出防火墻所有接口配置情況。

11. 查看靜態地址映射:show static，這個命令也須在特權用戶模式下執行，執行后顯示防火墻的當前靜態地址映射情況。

安全的認證系統至少應當滿足以下基本要求：

• 接收者能夠檢驗和證實消息的合法性和真實性。

• 消息的發送者對所發送的消息不能抵賴。

• 除了合法的消息發送者外，其他人不能偽造合法的消息，而且在已知合法密文下，要確定加密密鑰或系統地偽造合法密文在計算上是不可行的。

• 當通信雙方發生爭執時，可由稱做仲裁者的第三方解決爭執。

• 系統即使達不到理論上是不可破的，也應當達到不能被輕易破解。

• 系統的保密性不依賴于對加密體制或算法的保密，而依賴于對密鑰的保密。

• 系統既易于實現又便于使用。

資產梳理

隨著企業業務的不斷膨脹，越來越多的設備、系統等管理混亂，私搭亂建現象較為嚴重，安全管理分工不明確等問題依然嚴峻。在攻防實戰開始之前防守藍隊有必要進行資產梳理，其目的是為公司企業能夠做到“摸清家底”，對自己當前資產做一個詳細梳理，以便在攻防實戰期間能夠坦然應對。

• 安全設備資產

安全設備是阻擋紅隊攻擊的重要屏障。對現有安全設備進行有效清點，防守藍隊需明確每臺安全設備功能，有效期限，廠家聯系人，管理運維人員，設備責任人，運行狀態，防護區域，是否需要升級等情況進行有效梳理和檢查，并對存在的相關問題及時協商解決。如有條件企業可購進新型安全產品進行部署。

• 對外服務資產

對外服務資產是紅隊密切的關注點。針對對外服務資產進行有效清點，防守藍隊可對現有的web服務進有效分類，明確主機系統類型及版本，web系統功能，系統間關聯性，web資產域名，ip地址，端口號，開發框架，中間件類型及版本號，服務器地理方位，使用者、維護者、責任人姓名，聯系方式等。

• 外包業務資產

外包管理是“剛需”，近年來企業科技外包發展趨勢迅猛，外包涉及范圍逐漸擴大，已幾乎涵蓋了培訓、要求、設計、實施等生命周期的各個階段。部分企業由于外包問題所引發的敏感信息泄露層出不窮，外包業務作為攻防實戰中的暴露口，必須加以重視。針對外包業務資產業務進行有效清點，公司企業需提前通知攻防實戰開始及截至時間，簽署責任協議，明確外包聯系人、值班安排狀況等。

風險排查

風險排查在攻防實戰之前扮演著舉足輕重的角色。全面的風險排查，可以有效的降低實戰過程中被紅隊攻破的可能，在攻與防的競賽中處于主動狀態，進而保證藍隊人員有條不紊的持續進行。

• 基礎設施風險排查

基礎設施風險排查分為設備功能排查、安全漏洞管理、訪問權限檢查和重要信息備份。

設備功能排查：對公司企業的服務器、審計系統、防火墻、堡壘機、流量檢測設備、IPS\IDS等設備功能是否正常運行進行有效排查(廠商審核)，對重要設備有選擇性升級，更新特征庫。對于安全設備所覆蓋范圍進行有效排查，盡可能做到無死角全覆蓋。有條件的公司也可引進新型的安全設備進行部署。也可采用矩陣監控的方式，以橫向和縱向雙維度進行匹配排查設備運行狀態。

安全漏洞管理：技術漏洞管理通常用于緩解或防止系統中存在技術漏洞的利用問題。通常可包括五個關鍵步驟：計劃漏洞管理、發現已知漏洞、掃描漏洞、記錄報告、補丁修復。其中，后四步在攻防實戰前的安全排查尤為重要。

訪問權限檢查：系統訪問是限制授權用戶為特定業務目的訪問業務應用程序、移動設備、系統和網絡的能力。系統訪問一般包括三種功能：認證、授權和訪問控制。有效的訪問限制和權限管理是將攻擊者拒之門外的最后1公里。應確保不同角色的用戶具有相應的訪問權限，刪除更改或者離開組織的關聯權限。管理員應全面檢查系統、數據庫、對外服務相關權限設置，以確保最小權限原則，過期的授權應予以刪除。

重要信息備份：在大型的紅藍對抗賽中，數據備份是必不可少的重要一步。在攻防實戰之前對重要的資產數據、用戶信息等進行數據備份，可以有效防止在實戰期間紅隊的不正當操作造成數據庫損壞、系統崩潰宕機等導致數據丟失，給公司企業造成不可挽回的經濟損失。

• 互聯網暴露面排查

互聯網暴露面排查分為冗余資產排查、對外服務排查、對外開放端口、

冗余資產排查：所謂冗余資產主要指公司企業未使用卻仍占用系統資源的資產，例如：陳舊的web服務或數據庫，公司開放的測試環境等。由于公司的冗余資產往往缺乏人員管理與維護，很多系統漏洞未進行補丁升級，部分測試環境存在弱口令、未完全開發存在的邏輯漏洞等層出不窮，該部分業務非常容易遭紅隊攻擊。對于該類業務在攻防實戰之前建議關停。針對關停部分業務以后，對業務剩余存活主機的ip資產、端口開放、服務版本，內網主機ip信息、端口開放、服務版本進行精確梳理；

對外服務排查：公司的對外服務是攻擊者最近的接觸點，對外服務包括但不限于對外服務網站、微博、公眾號、郵件服務系統、api接口等。建議在攻防實戰之前對對外服務進行有效梳理和排查，關停或隱藏暴露于公網的后臺登陸界面、運營管理界面、設備管理界面等。有條件的公司企業也可統一更換服務網站、微博、公眾號、郵件系統等口令信息。

對外開放端口：在攻防實戰之前有效的端口管控是將紅隊拒之門外的前提條件。對于大中型企業的資產較多，端口管控較為困難，紅隊通過對端口發起有效入侵是最直接、最有效的途徑之一。常見的開放端口服務包括但不限于：ssh、ftp、telnet、snmp、遠程桌面、mysql、oracle、postgresql、redis、memcached、hadoop、HBase、mangodb、JAVA RMI等。

• 賬號信息排查

攻防實戰之前對賬號信息的有效排查是將攻擊者拒之門外的最后十英尺。據統計，在以往攻防演練中，百分之99.8的攻擊隊伍都會應用口令枚舉、暴力破解等方式對目標系統發起攻擊。而百分之38.9的概率能夠被紅隊攻擊成功。所以在攻防實戰之前隊賬號信息的有效排查是非常有必要的。

安全管理

此處的“安全管理”不同于企業安全架構中的安全管理中心。該處安全管理主要指在攻防實戰之前的臨時統一管控，保證在紅隊攻擊過程中能夠有效應對，各盡其職，有條不紊。其中可以包括員工安全意識培訓、建立合理的安全組織架構、建立有效的工作溝通渠道、成立防護工作組、紅隊滲透測試等。

• 對全體員工進行信息安全意識和教育培訓，包括IT員工、IT安全人員、管理人員和其他員工。所有員工都有安全責任、都必須接受適當的安全意識培訓。讓員工了解不同類型的不恰當行為，例如：郵件釣魚、人員假冒等。可以有效降低紅隊攻擊人員的社工攻擊。

• 建立合理的安全組織架構，結合工作小組的責任和內容，有針對性地制定工作計劃、技術方案及工作內容，責任到人、明確到位，按照工作實施計劃進行進度和質量把控，確保管理工作落實到位，技術工作有效執行。

• 建立有效的工作溝通渠道，通過安全可信的即時通訊工具建立實戰工作指揮群，及時發布工作通知，群內簽到，共享信息數據，了解工作情況，實現快速、有效的工作溝通和信息傳遞。

• 成立防護工作組，開展并落實技術檢查、整改和安全監測、預警、分析、驗證和處置等運營工作，例如：安全監測小組、安全處置小組、安全應急小組、安全保障小組、指揮中心等。用以完善安全監測、預警和分析措施，完善的安全事件應急處置和可落地的流程機制，提高事件的處置效率。其中，全流量安全威脅檢測分析系統是防護工作的重要關鍵節點，并以此為核心，有效地開展相關防護工作。

• 紅隊滲透測試，任何公司企業不可能做到百分百安全，為了檢驗公司的安全防護能力。公司可組織紅隊人員安全檢測評估。以紅隊攻擊報告為參考，對疏漏的安全問題及時進行修復。

企業網絡安全管理中數據安全管理相關工作有以下這些：

• 信息安全管理員負責本中心的數據安全保護及管理工作，建立健全數據安全保護管理制度。

• 信息安全管理員負責落實數據安全保護技術措施，保障本網絡的運行安全和信息安全。

• 負責防火墻、入侵檢測系統、防病毒系統的策略制定。

• 負責本中心審計系統的運行管理，對運行情況進行審計。

• 負責本中心身份認證系統、權限管理和授權、單點登錄系統的運行管理。

• 負責本中心的防火墻、入侵檢測系統、防病毒系統的運行管理，并定期升級。

• 負責本中心相關日志的填寫、收集、歸檔、管理。

• 對本中心所發布的數據內容按照相關規定進行審核。

• 發現有違反安全管理規定的行為，應當保留有關原始記錄，并及時向相關管理部門報告。

• 按照國家有關規定，負責刪除本中心中含有違法內容的地址、目錄或者關閉服務器。