按照脆弱性掃描的方法將掃描技術分為以下類型：

• Ping掃描：它主要檢測目標系統是否運行，有簡單ICMP響應請求、NON-ECHO ICMP請求、廣播ICMP ECHO請求等類型。

• TCP連接掃描：這是最常見的TCP掃描，利用系統提供connect()調用，對每一個感興趣的目標主機的端口進行正常連接（如完全三次握手連接），如果此時端口處于監聽狀態，那么connect()就能成功，否則該端口不能使用，即沒有提供服務。采用這個技術不需要任何權限，即系統中的任何用戶或實體都可以使用這個調用，它的不足之處在于容易被發現和過濾掉。

• TCP SYN掃描：這是一種半開式掃描，這種掃描方法不能完成完整的TCP三次握手過程，它只是發送一個SYN請求包，如果返回一個SYN/ACK包，說明端口處于監聽狀態；如果返回一個RST包，則說明端口處于關閉狀態。這種掃描方法的一個好處在于不會在目標系統上留下記錄，即不容易被發現；其不足在于必須是特權用戶的權限才能進行調用。

• TCP反向Ident掃描：這是指在Ident協議中，即使一個連接不是由這個進程開始的，它也可以允許看到TCP連接的任意進程擁有者的用戶。一般來說，Ident服務是由某個網絡連接的服務器方來證明客戶的身份，所以是由連續的服務器向客戶主機的端口反方向建立連接進行通信。

• IP分段掃描：這是指不直接發送TCP探測數據包，而是將數據包劃分為幾個較小的IP段，這樣就將一個TCP頭分成幾個數據包，從而使過濾器很難探測到。

• UDP ICMP端口不能到達掃描：這種掃描方法與前面講到的幾種方法的不同之處在于它使用的是UDP，由于這個協議比較簡單，反而使得掃描變得比較困難。這是由于打開的端口對掃描探測并不返回一個確認消息，而處于關閉的端口也不能返回一個錯誤數據包。幸運的是，許多主機向未打開的UDP端口發送數據包時，會返回一個ICMP-PORT-UNREACH錯誤，這樣就能夠發現哪些端口是關閉的。

• UDP Recvfrom()和write()：這是指一般非特權用戶不能直接讀到ICMP錯誤信息，當ICMP報文到達時，Linux能夠間接告知用戶，對處于關閉狀態的端口進行writ()調用。在非阻塞的UDP Socket上，如果收到ICMP報文，Recvfro()返回ECONNREFUSED；如果沒有收到ICMP報文，Recvfro()返回EAGAIN。

• 秘密掃描技術：這是指利用FIN標識來探測端口。它沒有利用到TCP三次握手的任何一個部分，不被日志記錄。當FIN標識發送給一個處于監聽狀態的端口時，數據包被丟棄，不返回RST；當FIN標識發送給一個處于關閉狀態的端口時，接收方將會把接收到的數據包丟棄，同時返回RST。

權重是一個相對的概念，是針對某一指標而言。某一指標的權重是指該指標在整體評價中的相對重要程度。權重表示在評價過程中，是被評價對象的不同側面的重要程度的定量分配，對各評價因子在總體評價中的作用進行區別對待。事實上，沒有重點的評價就不算是客觀的評價。

網絡安全等級保護測評由公安部統一測評指導書，指導書中根據測評項的重要性有對應的權重，分別為0.2、0.5、1.0三個級別。

根據每項控制點的權重，計算其得分：

得分=測評項權重×符合程度

等保2.0開始75分以下為不符合，75-99分部分符合，100分符合。

以下是等保2.0 第三級 安全通用要求 權重賦值表。

• 短信木馬

目前手機短信驗證方式受到最大的威脅就是來自于智能手機平臺上的短信木馬。這類短信木馬通過發送含鏈接的短信，讓用戶在不知情的情況下下載安裝木馬，當木馬安裝在手機內就會將涉及用戶財產的應用賬號密碼重置，并攔截短信驗證碼，實現重置用戶的賬號。

這是用戶方面在短信驗證安全受到的威脅，只是這類木馬由于編寫簡單，早已形成一個非常完整的產業鏈：

制作木馬→ 出售木馬 → 租用木馬 → 進行釣魚詐騙 → 成功后進行洗號 → 轉移財產。

當然智能手機平臺也都出臺了相應政策來降低這種盜竊案的案發率，例如Android系統4.4版本之后已經收緊了短信的權限，但是大部分還是依靠用戶來提升警戒心來進行防范。

• 補卡、克隆卡

通過補卡、克隆卡，得到一個與用戶相同的手機號，接收用戶短信驗證碼，重置用戶的各種賬號然后盜竊財產。

這是運營商導致短信驗證的安全受到威脅，由于二三線城市的運營商對于補卡人員的身份驗證不嚴而產生的不良后果。不過，三大運營商已收到公安部通知，營業廳對于用戶補卡時，盤查已非常嚴格了。想要渾水摸魚進行補卡盜竊的情況也已經得到有效遏制，但還沒有滅絕。

• 無線電監聽

通過無線電監聽，簡單來說就是通過偽基站對用戶手機進行監聽，但是受范圍的限制。這種通過監聽空中短信的方式也包括GSM監聽，獲得短信內容然后進行盜竊活動，雖然有一定的距離限制，但是可以與短信木馬相輔相成，又能單獨作案，不過這種方式的成本略高。

這也是由運營商導致短信驗證的安全受到威脅，不過由于目前大部分用戶使用的是3G、4G等安全級別更高的信號通道，所以不法分子會通過偽基站對手機信號進行降維攻擊，就是把手機信號將至2G然后進行攻擊，這樣的方法沒有太好的解決方案，只能等GSM推出歷史舞臺。

• 手機丟失

手機丟失后，這樣也會對短信驗證的安全造成極大的威脅，不過好在手機丟掉后用戶是知情的，能夠及時溝通運營商進行補卡掛失，所以在這方面造成用戶被盜竊的比例太低。

由于短信的驗證方式方便快捷，不需要像網銀U盾等物品就可以進行認證，才會導致通過手機綁定業務的爆發式增長，而且目前短信驗證碼的安全性還是比較高的。

默示征詢個人情況多，存在數據違規收集風險

隱私政策是 App 運營者告知用戶個人信息收集規則的主要途徑，是保障用戶知情權的基礎。運營者應在用戶首次注冊、登錄 App 時以彈窗、超鏈接等明顯方式提醒用戶閱讀隱私政策，以直觀的方式告知用戶收集使用個人信息的目的、方式、范圍，使用戶充分了解其個人信息如何被收集、存儲、使用、傳輸、共享、銷毀，在知情了解的基礎上保護其個人信息安全。

過度索取個人權限多，存在數據惡意濫用風險

權限是移動終端操作系統對于 App 運營者收集使用用戶個人信息的限制，運營者可通過申請權限的方式獲取用戶個人信息。為保障用戶數據的安全，安卓系統的 App 在默認情況下不擁有任何系統權限。如果 App 運營者因業務功能需要申請權限，應當遵循最小夠用原則，僅收集使用業務功能必需的最少類型和數量的個人信息。

明文存儲個人信息多，存在數據非法獲取風險

數據存儲是 App 運營過程中的關鍵環節，也是網絡黑客攻擊竊取數據的切入點，可靠的數據存儲為用戶個人信息的正常使用提供重要保障。App 運營者應在不影響用戶終端和服務正常使用的情況下，優先在用戶個人終端內存儲所收集的個人信息，并采取加密等技術措施確保用戶數據即使泄露也難以被破解。

私自共享用戶數據多，存在數據惡意散播風險

私自共享是指 App 運營者未經用戶同意與第三方共享用戶個人信息的行為。運營者應在用戶跳轉至第三方應用前明示用戶其個人信息是否被共享及共享后個人信息的傳播路徑，同時還應根據共享的個人信息私密程度、安全系數的不同，為用戶提供是否同意信息共享及信息共享路徑的選擇權。

IPv4與IPv6報頭的結構的區別主要表現在以下幾點：

• 組成IPv4報頭的字段（包括選項）共有14個，而組成IPv6基本報頭的字段數量已經減少到8個。IPv6報頭取消了IPv4報頭中的以下字段：報頭長度、標識、標志、片偏移、頭校驗和、選項與填充域等。

• IPv4報頭長度是可變的，IPv6報頭長度是固定的。因此，IPv6報頭可以取消IPv4報頭的“頭長度”字段。

• IPv6用“載荷長度”字段取代了IPv4的“總長度”字段。IPv4的“總長度”字段值指包括報頭在內的報文總長度，而IPv6“載荷長度”字段的數值只表示報文的有效載荷長度。

• 由于目前大量使用的Ethernet網MAC層與PPP協議，在幀處理過程中，低層協議都采用了數據傳輸差錯校驗與差錯控制機制，因此取消IPv4協議中“頭校驗和”不會對數據傳輸可靠性產生很大的影響，同時能減輕路由器的工作負荷，縮短路由器的轉發延時，提高傳輸網的工作效率。

• IPv6用“流量類型”字段取代了IPv4“服務類型”字段；用“跳數限制”字段取代了“生存時間”字段；用“下一個報頭”字段取代了“協議”字段。IPv6用“擴展報頭”字段取代了“選項”字段。

網絡安全工程的實現過程包括以下階段：

• 安全檢測與評估階段：安全檢測與評估是保障網絡安全的重要措施，它能夠把不符合要求的設備或系統拒之門外，同時發現實際運行網絡上的問題。但安全檢測和評估是一項復雜的課題，需要從各個不同的方面去分析研究。

• 制定安全目標階段：在安全檢測與評估的基礎上制定相應的安全目標。安全目標與網絡安全的重要性和投資效益有直接的關系，在可能的情況下，應達到完整性、可靠性、可用性三個目標。

• 網絡安全實施階段：這里主要是對信息的傳輸安全、網絡安全、內部信息安全和安全管理來說明。系統安全。主要是對操作系統、數據庫、防火墻、Web系統的安全配置及其版本升級和補丁修補等。對各種操作系統和防火墻、路由器、數據庫等產品進行安全配置，對有些使用起來比較復雜的設備，可以在廠家技術人員的指導下，完成系統的安全配置。有些操作系統可以采用專門的操作系統配置工具進行配置，也可使用操作系統安全性能增強工具，進一步提高系統的安全性。網絡安全為保證網絡層安全，主要需要加強系統安全、防黑客攻擊和網絡防病毒等系統的建設。信息安全在允許的情況下，建立一套內部的CA系統，采用非對稱密鑰的加密方式，確保授權用戶對相應信息的訪問，并防止未授權用戶的非法訪問和對信息的篡改。

• 人員培訓階段：要實現網絡安全，必須要有全局性的整體網絡安全策略，同時要制定嚴格有效的規章制度、完善的技術和管理規范，做到有章可循、有法可依，確保全網所有相關人員都能嚴格執行各項安全規章制度，并保證工作人員交接的延續性。在網絡安全的各因素中，人是最根本、最重要的，所以必須經常對行政和技術人員有針對性地進行安全知識和技能培訓。

UDP和TCP傳遞數據的差異類似于電話和明信片之間的差異。

• TCP就像電話，必須先驗證目標是否可以訪問后才開始通訊。UDP就像明信片， 信息量很小而且每次傳遞成功的可能性很高，但是不能完全保證傳遞成功。

• UDP通常由每次傳輸少量數據或有實時需要的程序使用。在這些情況下，UDP的低開銷比TCP更適合。UDP與TCP提供的服務和功能直接對比。

MSA機制在解決安全問題上的缺點體現在以下方面：

• 密鑰傳遞：MSA機制中定義了密鑰傳輸協議，在MKD和MA間進行密鑰的傳輸。雖然在密鑰傳輸之前，MSA已通過密鑰持有者安全握手協議構建了“安全”鏈路，但是密鑰在無線環境中傳播，容易被其他惡意節點截獲，如該惡意節點有能力分析出傳輸信息，那么將給該網絡帶來極大的威脅。因此密鑰的傳輸，引入了新的攻擊點，使得該安全方案存在較嚴重安全隱患。

• 未規定具體的認證方式與加密算法：MSA協議中未規定具體采用何種算法，這使得該協議具有普遍的適用性，可以根據具體網絡特性需求，結合不同的認證方式和加密算法有針對性地設計出合適的安全方案，具有極大的靈活性。但同時也會引入另一個問題，即不同的廠商可以根據各自需求，設計出不同的安全接入方案，很容易導致出現不同廠家產品不能兼容的問題。該缺陷是上文“支持多種認證方式”的優點所引入的缺點，在帶來靈活性優點的同時也會導致產生兼容性方面的缺陷。

• 密鑰管理復雜：MSA機制中定義了一套完整的密鑰管理方案，其構建的Mesh密鑰層次結構形成了鏈路安全分支和密鑰傳輸分支，這兩個分支分別給數據的安全傳輸和密鑰持有者間的安全通信提供了保障。MSA定義的密鑰體系雖然相當完備，但是操作起來略顯復雜。該密鑰體系的構建都依賴于頂層的MSK或PSK。因此，當MSK或PSK過期、刪除或者更新時會使得鏈路安全分支和密鑰傳輸分支都需要重新構建，會對整個密鑰體系產生影響，使得密鑰管理操作集中出現，導致了很大的管理難度。

MSA機制在解決安全問題上的優越性體現在以下方面：

• 便于網絡管理：無線網狀網是一種松散的網絡結構，管理難度較大。MSA通過在網狀網中定義MKD，將所有設備從邏輯上劃分到不同的MKD域，整個Mesh網絡由若干個MKD域組成。可以根據不同需求，把具有某些相同屬性的設備劃分至同一MKD域內，方便了網絡的管理。此外，將Mesh網絡從邏輯上劃分為多個MKD域，當網絡擴展時，可以通過新增MKD域來容納新增設備，這樣可以保持原有MKD域結構和規模不變，方便了網絡的擴展。

• 決策分配：在無線網狀網中，若采用完全的集中的決策，則會使得決策者成為網絡瓶頸，而采用完全分散的決策，則容易導致管理困難。MSA機制將無線網狀網劃分為若干個MKD域，將決策權分配至各個MKD域。在每個MKD域內，可以獨立選擇認證方式、加密算法等，與其他MKD域無關。MKD域內的MP可以透明地與本MKD域內和其他MKD域的MP通信。這種不完全集中的決策方案，既可以避免完全集中決策所帶來的網絡瓶頸問題，也可以在一定程度上緩解完全分散決策所帶來的管理問題。

• 角色協商問題：MSA機制中定義了比較完備的角色協商方案。MA通過廣播MSC IE元素來聲明其為Mesh認證者及其所屬的MKD域。在MSC IE元素中的Mesh安全配置字段中進行角色的確定，當MA配置發生變化或者網絡結果發生變化及出現其他使得MA角色發生變化時，可以通過MSC IE元素的廣播，實現角色的重新定義。

• 認證和密鑰管理問題：將Mesh劃分為若干個MKD域后，在每個MKD域內進行集中的認證可以很好地解決分散認證所帶來的管理問題和流量集中問題。MSA中定義的后續認證使得已進行過初始MSA認證的申請者MP在斷開與MA的連接后，可以使用保留的密鑰體系實現快速認證。此外，MSA定義了完善的密鑰導出體系和密鑰分發協議，可以實現密鑰的安全傳輸和管理。

• 支持多種認證方式：MSA是一種框架性方案，并沒有限定只可使用何種認證方式和加密算法，因此，使得該方案具有極大的靈活性。結合不同認證協議，通過適當設計，可以設計出多種適用于無線網狀網的安全解決方案。同時，由于沒有確定具體的認證方式，這也容易導致不同廠家產品的兼容性問題。

入侵檢測技術主要包括以下技術：

• 概率統計異常檢測：每一個輪廓保存記錄主體當前行為，并定時將當前輪廓與歷史輪廓合并形成統計輪廓(更新)，通過比較當前輪廓與統計輪廓來判定異常行為。

• 神經網絡異常檢測：對下一事件的預測錯誤率在一定程度上反映了用戶行為的異常程度。

• 專家系統濫用檢測：通過將安全專家的知識表示成If-Then結構的規則(if部分：構成入侵所要求的條件;then部分：發現入侵后采取的相應措施)形成專家知識庫，然后運用推理算法檢測入侵。

• 狀態轉換分析濫用檢測：將入侵過程看作一個行為序列，該行為序列導致系統從初始狀態轉入被入侵狀態。分析時，需要針對每一種入侵方法確定系統的初始狀態和被入侵狀態，以及導致狀態轉換的轉換條件(導致系統進入被入侵狀態必須執行的操作/特征事件);然后用狀態轉換圖來表示每一個狀態和特征事件。

• 入侵誘騙技術：用特有的特征吸引攻擊者，同時對攻擊者的各種攻擊行為進行分析，并進而找到有效的對付方法。

• 主動響應：入侵檢測系統在檢測到入侵后能夠阻斷攻擊、影響進而改變攻擊的進程。

• 被動響應：入侵檢測系統僅僅簡單地報告和記錄所檢測出的問題。

常見的 VPN 網絡拓撲有點對點 VPN 、中心型 VPN 、遠程接入 VPN 。

• 點對點 VPN

點對點 VPN（ site-to-site VPN ）是通過 IPsec 隧道連接兩個網絡的拓撲結構。網絡的網關，通常是路由器或防火墻等網絡設備，在兩個網絡間，使用點對點的拓撲結構，建立 IPsec 隧道。

這里的網絡，是指不在同一個局域網的網絡，比如：成都機構或廣州總部的任意一個站點。因為是站點（ site ）之間的連接，所以叫做點對點 VPN 。

• 中心型 VPN

中心型 VPN（ hub and spoke VPN ）是星型拓撲結構，也就是一個中心站點的設備，連接多個遠程站點的設備，形成的網絡結構。中心站點（ center site ）位于總部的網絡，也就是數據中心，成為整個結構的核心站點。一般是電信供應商提供的 VPN 業務，以電信供應商的基礎設施為中心站點，通過 VPN 連接其它站點。

• 遠程接入 VPN

在家里，或出差在外時，通過互聯網使用 PC 上的軟件，與公司的 VPN 設備建立 IPsec 隧道，能夠訪問公司內部網絡的拓撲結構，叫做遠程接入 VPN 。

遠程接入的 IPsec-VPN 需要在 PC 上安裝 VPN 客戶端軟件，而 SSL-VPN 是通過 Web 瀏覽器，使用 SSL 連接到公司的 VPN ，通過 SSL（ HTTPS ）和公司的內部網絡進行連接。

日志審計系統的主要功能就是解決企業為了正常運轉，通常會采用多種系統。各系統各司其職，發揮著不同的作用從而導致不同系統有不同的日志信息，日志審計系統是專業日志審計產品。日志審計系統能夠實時不間斷地采集匯聚企業中不同廠商不同種類的網絡設備、主機、操作系統、用戶業務系統的日志信息，協助用戶進行分析及合規審計，及時、有效的發現異常事件及審計違規。

日志審計系統提供了眾多基于日志分析的強大功能，如日志的集中采集、分析挖掘、合規審計、實時監控及告警等，系統配備了全球IP歸屬及地理位置信息數據，為事件的分析、溯源提供了有力支撐，日志審計系統能夠同時滿足企業實際運維分析需求及審計合規需求，是企業日常信息工作的重要支撐平臺。

文件的任意上傳和下載漏洞有以下這些危害：

• 代碼執行：上傳文件是web腳本語言，服務器的web容器解釋并執行了用戶上傳的腳本，導致代碼執行，甚至導致網站甚至整個服務器被控制。

• 域控制：上傳文件是flash的策略文件crossdomiain.xml，黑客用以控制flash在該域下的行為。

• 網站掛馬：上傳文件是病毒、木馬，黑客用以誘騙用戶或者管理員下載執行。

• 釣魚：上傳文件是釣魚圖片或為包含了腳本的圖片，在某些版本的瀏覽器中會被作為腳本執行，被用于釣魚和欺詐。

數據庫系統的安全目標是保護數據庫系統的安全運行及數據資源的安全性。通常來說，數據庫的安全需求主要如下。

數據庫標識與鑒別

標識與鑒別用于數據庫用戶身份識別和認證，用戶只有通過認證后才能對數據庫對象進行操作。

數據庫訪問控制

對數據資源及系統操作進行訪問授權及違規控制。數據庫系統一般提供自主訪問控制、強制訪問控制、角色訪問控制等多種訪問控制模式。

數據庫安全審計

數據庫系統提供安全審計機制，按照審計安全策略，對相關的數據庫操作進行記錄，形成數據庫審計文件。審計記錄的主要信息包括審計的操作類型、執行操作的用戶標識、操作的時間、客體對象等用戶行為相關信息。

數據庫備份與恢復

數據庫系統具有數據庫備份與恢復機制，當數據庫系統出現故障時，可以實現對備份數據的還原以及利用數據庫日志進行數據庫恢復重建。

數據庫加密

為阻止直接利用操作系統工具竊取或篡改數據庫文件內容，數據庫具有數據加密機制，能夠對數據庫中的敏感數據進行加密處理，并提供密鑰管理服務。授權管理員無法對授權用戶加密存儲的數據進行正常解密，從而保證了用戶數據的機密性。通過數據庫加密，數據庫的備份內容成為密文，從而能減少因備份介質失竊或丟失而造成的損失。

資源限制

資源限制防止授權用戶無限制地使用數據庫服務器處理器(CPU)、共享緩存、數據庫存儲介質等數據庫服務器資源，限制每個授權用戶／授權管理員的并行會話數等功能。避免數據庫系統遭受拒絕服務攻擊。

對數據庫系統進行安全漏洞檢查和修補，防止安全漏洞引入數據庫系統。

數據庫安全管理

數據庫系統提供安全集中管理機制，實現數據庫的安全策略集中配置和管理。

對TSF的保護要求主要有以下四方面：

• 系統設計時不應留“后門”，不能違反或繞過安全規則；

• 安全結構應是一個獨立的、定義完備的系統軟件的一個子集，防止外部干擾；

• 一個進程的虛擬地址空間至少應被分為用戶空間和系統空間兩個部分，而且，兩者需要實行靜態隔離。

• OS應進行分層設計，OS程序和用戶程序要進行隔離；

識別釣魚網站的措施主要有：

• 查詢網站備案信息、世界排名

  一般大型的網上商城網站都是企業，并且網站人氣很高，可以通過查詢網站主體信息中的備案、世界排名，來識別釣魚網站。

• 留意域名

  辨別釣魚網站的最直接的方法就是對比它的域名是不是官方域名，請一定要仔細查看您所打開頁面后的具體網址，而不是只看打開網頁前的網址。如果不是官方域名，哪怕頁面再相似，那么我們都可以斷定其為釣魚網站。如：假冒網站通常將英文字母I被替換為數字1，CCTV被換成CCYV或者CCTV-VIP這樣的仿造域名。

• 查看安全證書

  并不是說有了掛鎖圖標和https開頭的網站就一定是安全的，由于DV SSL證書只需要驗證域名管理權限，不需要驗證網站真實身份，使得很多不法分子網站也部署了DV SSL證書實現了https加密。而OV SSL證書和EV SSL證書需要驗證網站真實身份后才頒發，且在證書中顯示單位名稱。

  因此，要注意留心查看證書詳細信息，如果能看到單位名稱等信息，則說明網站擁有者是一個真實存在的合法實體。如果沒有單位名稱，則要對網站繼續保持懷疑態度。對于企業網站而言，為避免被釣魚網站仿冒或攻擊而造成損失，應為網站部署SSL證書

• 觀察網站內容

  仿冒網站上沒有鏈接，用戶可點擊欄目或圖片中的各個鏈接看是否能打開。并且假冒網站上的字體樣式是不一致的，并且模糊不清。如果發現訪問的網站突然“改版”了，和之前的頁面布局大不相同，就要提高警惕。

• 使用安全軟件保護鑒別

  在電腦中可以安裝安全軟件，會在訪問購物網站時，提示真假，方便用戶快速識別。電腦中安裝了安全軟件后，如果是釣魚網站，一般都會有警告提示。

• 鏈接要小心

  首先，網購要選擇信任的網站，千萬不要貪圖便宜輕信“低價”網站。其次，支付前一定要確認購物網站網址是否正確，切勿單擊來自陌生人的電子郵件和即時消息中的鏈接或所有看上去可疑的鏈接。因為即便是來自朋友和家人的消息也可能是偽造的。