面向實戰化的全局態勢感知體系建設的技術要點：

• 建立安全大數據：通過安全數據收集和處理系統，收集流量日志、流量告警、系統日志、應用日志、安全告警、漏洞信息、威脅情報、資產信息等安全數據，并能夠對數據進行自動化的分析處理，形成不同的數據庫，并以標準接口的形式提供數據服務。

• 建設安全分析能力：建設安全分析能力，以統計、聚類、時序、線性、耦合等分析引擎為基礎，實現基于資產脆弱性和暴露面的基礎架構安全實時監測分析，自動化模擬各種最新的攻擊手法，以持續整體驗證全網安全架構和安全策略的有效性并持續進行優化，快速分析安全威脅，處置安全事件，主動安全狩獵以發現潛在安全威脅。

• 建設可視化分析能力：使用可視化交互分析系統，通過一維分析、二維分析、多維分析的各種分析圖表以及拓線、鉆取等交互式分析方法，安全運行人員能夠對安全事件快速分類、定位、處置決策、溯源，安全獵殺人員也能夠更有效地發現潛在未知威脅。

• 利用威脅情報：通過多源威脅情報處理系統，收集多維度、多來源威脅情報，并對情報數據進行清洗、融合、分析、沖突處理、驗證，以給出前瞻性預測和決斷依據，保障輸出情報的準確性和及時性，并適配至數據處理、數據分析、安全運行的各個環節。

• 建立自動化編排能力：針對可預定義、可重復執行的分析和處置操作，建設安全預案和安全劇本，通過自動化編排引擎使得安全運行人員能更加高效準確地完成安全事件的分析、處理和處置工作。

開放式重定向漏洞有以下危害：

• 網絡釣魚：使用開放重定向的最明顯方法是將受害者從原始站點轉移到看起來相同的站點，竊取用戶憑據，然后返回漏洞站點，就像什么也沒發生一樣。

• 服務器端請求偽造（SSRF）：開放重定向可用于逃避SSRF篩選器。

• 內容安全策略繞過：如果使用CSP防御XSS，并且列入白名單的域之一具有開放重定向，則可以使用此漏洞繞過CSP。

• CRLF注入：如果重定向參數允許換行，攻擊者可能會嘗試執行響應頭拆分。

• 跨站點腳本（XSS）：如果重定向允許使用data：或javascript：協議，并且客戶端在重定向中支持此類協議，則攻擊者可以執行XSS攻擊。

提升Samba服務器安全性常用辦法有以下幾種：

• 不要使用明語密碼。

• 盡量不使用共享級別安全。

• 盡量不要瀏覽器服務訪問。

• 通過網絡接口控制Samba訪問。

• 通過主機名稱和IP地址列表控制Samba訪問。

• 使用pam_smb對WindowsNT/2000服務器的用戶進行驗證。

• 為Samba配置防范病毒軟件。

• 使用Iptables防火墻保護Samba。

• 使用Gsambad管理監控Samba服務器。

• 使用SSL加固Samba。

一般企事業單位的網絡安全投入主要包括網絡安全專家咨詢、網絡安全測評、網絡安全系統研發、網絡安全產品購買、網絡安全服務外包、網絡安全相關人員培訓、網絡安全資料購買、網絡安全應急響應、網絡安全崗位人員的人力成本等。網絡安全建設主要的工作內容如下：

• 網絡安全策略及標準規范制定和實施；

• 網絡安全組織管理機構的設置和崗位人員配備；

• 網絡安全項目規劃、設計、實施；

• 網絡安全方案設計和部署；

• 網絡安全工程項目驗收測評和交付使用。

為了保證系統的機密性，抵抗密碼分析，一個安全的保密系統至少應當滿足以下基本要求：

• 系統即使達不到理論上是不可破的，也應當是實際上不可破的。也就是說，從截獲的密文或某些已知明文-密文對，要確定密鑰或任意明文在計算上是不可行的。

• 系統的保密性不依賴于對加密體制或算法的保密，而依賴于對密鑰的保密。

• 系統既易于實現又便于使用。

完整性是指信息在傳輸、交換、存儲和處理過程保持非修改、非破壞和非丟失的特性，即保持信息原樣性，使信息能正確生成、存儲、傳輸，這是最基本的安全特征。

完整性的目的是通過阻止威脅或探測威脅，保護可能遭到不同方式危害的數據的完整性和數據相關屬性的完整性。許多開放系統應用都有依賴于數據完整性的安全需求。這類需求可以提供包括用于其它安全服務(如認證、訪問控制、機密性、審計和不可否認性)中的數據完整性保護。這里所闡述的完整性是以一個數據值的恒定特性來定義的，數據值恒定性的概念包括了數據值被認為等效的不同表達式的所有情況。

完整性信息包括：

(1)屏蔽完整性信息，它用于屏蔽數據的信息，包括私鑰、密鑰、算法標識等、相關密碼參數、時變參數(如時間戳)等。

(2)變換檢測完整性信息，它用于證實受完整性保護數據的信息，包括公鑰和私鑰。

(3)去屏蔽完整性信息，它用于對完整性保護數據去屏蔽的信息，包括公鑰和私鑰。

通過如下行為，完成完整性服務：

(1)屏蔽，從數據生成受完整性保護的數據。

(2)證實，對受完整性保護的數據進行檢查，以檢測完整性故障。

(3)去屏蔽，從受完整性保護的數據中重新生成數據。

這些行為不一定使用密碼技術。當使用密碼技術時，就不必對數據進行變換。例如，屏蔽操作可以通過對數據添加封印或者數字簽名完成。在這種情況下，在成功證實之后，去屏蔽通過拆去密封或數字簽名實現。

NFVI的安全威脅有以下這些：

• 虛擬機鏡像文件或自身防護不足：比如在創建虛擬機時，鏡像文件已感染病毒或木馬等，以及虛擬機自身的安全防護措施不當或未啟用，導致虛擬機被黑客入侵。

• 虛擬機被濫用：虛擬機資源被攻擊者利用，即攻擊者通過該虛擬機對外發起攻擊，如DDoS攻擊。攻擊者也可以利用虛擬機發送垃圾郵件或者破解各種密碼等。

• 虛擬化安全策略的動態調整：當虛擬機動態地被創建和遷移時，安全措施卻無法相應地自動創建、自動遷移。另外，隨著虛擬機的動態增加，Hypervisor實現的虛擬安全組策略不能自動調整，無法實現真正的彈性。

• 虛擬機逃逸：攻擊者攻破Hypervisor，獲得宿主機操作系統管理權限，并進而控制宿主機上運行的其他虛擬機。此時，攻擊者還可以利用虛擬機攻擊物理機，或對外發起攻擊。

• 虛擬機間嗅探：同一物理服務器上的虛擬機之間可以不經過防火墻，實現與交換機設備的相互訪問。攻擊者可以利用簡單的數據分組探測器，輕松地讀取虛擬機網絡上所有的明文傳輸信息。

• Hypervisor安全威脅：虛擬化軟件Hypervisor是用來運行虛擬機的內核，代替傳統操作系統管理底層物理硬件，是服務器虛擬化的核心環節。攻擊者可以利用Hypervisor的漏洞取得高級別的運行等級，從而獲得對物理資源的訪問控制；同時，攻擊者可以控制某個虛擬機，并利用該虛擬機對外發起攻擊。

• 硬件資源的安全威脅：硬件資源即傳統服務器和存儲設備，它們的安全威脅與傳統物理服務器的安全威脅一樣，比如遭受DoS/DDoS、蠕蟲、病毒、物理設備被偷竊等；但是安全威脅的來源相比傳統物理服務器來說，會遭受來自VM發起的安全威脅，如DDoS、病毒等。

信息系統PKI-CA結構包括以下系統：

• 簽發系統：簽發服務器簽發系統的核心。負責簽發和管理證書CRL，并負責管理CA的簽字密鑰以及一般用戶的加密密鑰對。系統管理終端簽發服務器的客戶端。以界面的方式向簽發服務器發送系統配置和系統管理請求，完成簽發系統的配置管理功能。業務管理終端簽發服務器的客戶端。以界面的方式向簽發服務器發送系統配置和業務管理請求，完成簽發系統的配置和業務管理功能。

• 注冊系統：注冊服務器是注冊系統的核心部分。負責審核用戶，用戶申請信息的錄入，接收簽發服務器的返回信息并通知用戶。RA系統管理終端注冊服務器的客戶端。以界面的方式向注冊服務器發送系統配置和系統管理請求，完成注冊系統的配置管理功能。RA業務管理終端注冊服務器的客戶端。以界面的方式向注冊服務器發送系統配置和業務管理請求，完成注冊系統的配置和業務管理功能。RA業務處理終端注冊服務器的客戶端。主要負責處理日常證書業務，可面對面地處理用戶的證書申請、注銷、恢復、更新以及證書授權碼發放等證書業務。

• 密鑰管理中心系統：密鑰管理中心服務器是密鑰管理中心的核心部分。為簽發系統的簽發服務器提供密鑰管理服務；為密鑰管理中心管理終端提供系統配置和管理服務。密鑰管理中心管理終端密鑰管理中心服務器的客戶端。以界面的方式實現KMC服務器的系統配置、管理和審計功能。密鑰管理中心提供的對外接口。

• 證書發布系統：收發服務器是證書發布系統的核心部分。以Web方式（B/S模式）與Internet用戶交互，用于處理在線證書業務，方便用戶對證書進行申請、下載、查詢、注銷、恢復等操作。制證終端收發服務器的客戶端。向收發服務器發送請求，用于為客戶發放證書，以及密鑰恢復。

• 在線證書狀態查詢系統：在線證書查詢服務器是向外提供在線證書狀態查詢的服務系統。通過訪問服務器用戶可以實時查詢與訪問服務器相綁定的CA頒發的證書的狀態。OCSP API本接口是在PKI-CA在線證書協議需求基礎之上建立的，為用戶提供一個廣泛的、獨立的接口。

一般企事業單位的網絡安全投入主要包括網絡安全專家咨詢、網絡安全測評、網絡安全系統研發、網絡安全產品購買、網絡安全服務外包、網絡安全相關人員培訓、網絡安全資料購買、網絡安全應急響應、網絡安全崗位人員的人力成本等。網絡安全建設主要的工作內容如下：

• 網絡安全策略及標準規范制定和實施；

• 網絡安全組織管理機構的設置和崗位人員配備；

• 網絡安全項目規劃、設計、實施；

• 網絡安全方案設計和部署；

• 網絡安全工程項目驗收測評和交付使用。

• 檢查IP包的每個字段的能力，并遵從基于包中信息的過濾規則。

• 識別帶有欺騙性源 IP 地址包的能力。

• 包過濾防火墻是兩個網絡之間訪問的唯一來源。因為所有的通信必須通過防火墻，繞過是困難的。

• 基于應用程序信息驗證一個包的狀態的能力，例如基于一個已經建立的FTP連接，允許返回的FTP包通過。

• 基于應用程序信息驗證一個包狀態的能力,例如允許一個先前認證過的連接繼續與被授予的服務通信。

• 記錄有關通過的每個包的詳細信息的能力。基本上，防火墻用來確定包狀態的所有信息都可以被記錄，包括應用程序對包的請求，連接的持續時間，內部和外部系統所做的連接請求等。

• 性能不同：云服務器支持彈性擴展，按需付費，虛擬主機不支持，從穩定性和安全性來講，云服務器要好些；

• 權限不同：為防止資源浪費和受到攻擊，虛擬主機開放權限較少，云服務器則沒有這個問題，但搭建環境要麻煩些；

• 配置環境不同：云服務器需手動配置環境，虛擬主機無需手動配置；

• 享受資源不同：云服務器是獨享資源，虛擬主機是共享；

• 辦理方式不同：云服務器可遠程桌面辦理，虛擬主機選用ftp辦理；

一般可以用防火墻來解決內網和外網之間的安全防護問題，防火墻是通過有機結合各類用于安全管理與篩選的軟件和硬件設備，幫助計算機網絡于其內、外網之間構建一道相對隔絕的保護屏障，以保護用戶資料與信息安全性的一種技術。但是單純部署防火墻也不能達到完全保證安全，可以配合IDS和IPS或者一些防病毒網關等硬件來加強內網和外網之間的安全，如果保證內網與外網的數據交換安全可以使用網閘等數據交換設備。

企業內網安全防護措施如下：

• 注意內網安全與網絡邊界安全的不同：內網安全的威脅不同于網絡邊界的威脅。網絡邊界安全技術防范來自 Internet 上的攻擊，主要是防范來自公共的網絡服務器如 HTTP 或 SMTP 的攻擊。網絡邊界防范 (如邊界防火墻系統等) 減小了資深黑客僅僅只需接入互聯網、寫程序就可訪問企業網的幾率。內網安全威脅主要源于企業內部。惡性的黑客攻擊事件一般都會先控制局域網絡內部的一臺 Server，然后以此為基地，對 Internet 上其他主機發起惡性攻擊。因此，應在邊界展開黑客防護措施，同時建立并加強內網防范策略。

• 限制 VPN 的訪問：虛擬專用網 (VPN) 用戶的訪問對內網的安全造成了巨大的威脅。因為它們將弱化的桌面操作系統置于企業防火墻的防護之外。很明顯 VPN 用戶是可以訪問企業內網的。因此要避免給每一位 VPN 用戶訪問內網的全部權限。這樣可以利用登錄控制權限列表來限制 VPN 用戶的登錄權限的級別，即只需賦予他們所需要的訪問權限級別即可，如訪問郵件服務器或其他可選擇的網絡資源的權限。

• 為合作企業網建立內網型的邊界防護：合作企業網也是造成內網安全問題的一大原因。例如安全管理員雖然知道怎樣利用實際技術來完固防火墻，保護 MS-SQL，但是 Slammer 蠕蟲仍能侵入內網，這就是因為企業給了他們的合作伙伴進入內部資源的訪問權限。由此，既然不能控制合作者的網絡安全策略和活動，那么就應該為每一個合作企業創建一個 DMZ，并將他們所需要訪問的資源放置在相應的 DMZ 中，不允許他們對內網其他資源的訪問。

• 自動跟蹤的安全策略：智能的自動執行實時跟蹤的安全策略是有效地實現網絡安全實踐的關鍵。它帶來了商業活動中一大改革，極大的超過了手動安全策略的功效。商業活動的現狀需要企業利用一種自動檢測方法來探測商業活動中的各種變更，因此，安全策略也必須與相適應。例如實時跟蹤企業員工的雇傭和解雇、實時跟蹤網絡利用情況并記錄與該計算機對話的文件服務器。總之，要做到確保每天的所有的活動都遵循安全策略。

• 關掉無用的網絡服務器：大型企業網可能同時支持四到五個服務器傳送 e-mail，有的企業網還會出現幾十個其他服務器監視 SMTP 端口的情況。這些主機中很可能有潛在的郵件服務器的攻擊點。因此要逐個中斷網絡服務器來進行審查。若一個程序 (或程序中的邏輯單元) 作為一個 Windows 文件服務器在運行但是又不具有文件服務器作用的，關掉該文件的共享協議。

• 首先保護重要資源：若一個內網上連了千萬臺 (例如 30000 臺) 機子，那么要期望保持每一臺主機都處于鎖定狀態和補丁狀態是非常不現實的。大型企業網的安全考慮一般都有擇優問題。這樣，首先要對服務器做效益分析評估，然后對內網的每一臺網絡服務器進行檢查、分類、修補和強化工作。必定找出重要的網絡服務器 (例如實時跟蹤客戶的服務器) 并對他們進行限制管理。這樣就能迅速準確地確定企業最重要的資產，并做好在內網的定位和權限限制工作。

• 建立可靠的無線訪問：審查網絡，為實現無線訪問建立基礎。排除無意義的無線訪問點，確保無線網絡訪問的強制性和可利用性，并提供安全的無線訪問接口。將訪問點置于邊界防火墻之外，并允許用戶通過 VPN 技術進行訪問。

• 建立安全過客訪問：對于過客不必給予其公開訪問內網的權限。許多安全技術人員執行的 “內部無 Internet 訪問” 的策略，使得員工給客戶一些非法的訪問權限，導致了內網實時跟蹤的困難。因此，須在邊界防火墻之外建立過客訪問網絡塊。

• 創建虛擬邊界防護：主機是被攻擊的主要對象。與其努力使所有主機不遭攻擊 (這是不可能的)，還不如在如何使攻擊者無法通過受攻擊的主機來攻擊內網方面努力。于是必須解決企業網絡的使用和在企業經營范圍建立虛擬邊界防護這個問題。這樣，如果一個市場用戶的客戶機被侵入了，攻擊者也不會由此而進入到公司的 R&D (人力資源部)。因此要實現公司 R&D 與市場之間的訪問權限控制。大家都知道怎樣建立互聯網與內網之間的邊界防火墻防護，現在也應該意識到建立網上不同商業用戶群之間的邊界防護。

• 可靠的安全決策：網絡用戶也存在著安全隱患。有的用戶或許對網絡安全知識非常欠缺，例如不知道 RADIUS 和 TACACS 之間的不同，或不知道代理網關和分組過濾防火墻之間的不同等等，但是他們作為公司的合作者，也是網絡的使用者。因此企業網就要讓這些用戶也容易使用，這樣才能引導他們自動的響應網絡安全策略。

配置一個安全的DNS服務器的措施有以下這些：

• 隔離DNS服務器：首先應該隔離BIND服務，不應該在DNS服務器上運行其他服務，尤其是允許普通用戶登錄。減少其他服務可以縮小被攻擊的可能性，比如混合攻擊。

• 為BIND創建chroot：chroot是指更改某個進程所能看到的根目錄，即將某進程限制在指定的目錄中，保證該進程只能對該目錄及其子目錄的文件有所動作，從而保證整個服務器的安全。

• 隱藏BIND的版本號：通常軟件的Bug信息是和特定版本相關的，因此版本號是黑客尋求的最有價值的信息。黑客使用dig命令可以查詢BIND的版本號，然后黑客就知道這個軟件有哪些漏洞。因此，隨意公開版本號是不明智的。隱藏BIND版本號比較簡單，只需修改配置文件/etc/named.conf，在option部分添加version聲明，將BIND的版本號信息覆蓋。

• 避免透露服務器的信息：和版本號一樣，也不要輕易透露服務器的其他信息。為了讓潛在的黑客更難得手，建議不要在DNS配置文件中使用HINFO和TXT兩個資源記錄。

• 關閉DNS服務器的glue fetching選項：當DNS服務器返回一個域的域名服務器記錄，并且域名服務器記錄中沒有A記錄，DNS服務器會嘗試用glue fetching獲取一個記錄。攻擊者可以利用glue fetching進行DNS欺騙，關閉glue fetching是一個好方法。

• 控制區域（zone）傳輸：默認情況下BIND的區域（zone）傳輸是全部開放的，如果沒有限制，DNS服務器允許對任何人進行區帶傳輸，那么網絡架構中的主機名、主機IP列表、路由器名和路由IP列表，甚至包括各主機所在的位置和硬件配置等情況都很容易被入侵者得到。因此，要對區帶傳輸進行必要的限制。

• 請求限制：任何人都可以對DNS服務器發出請求，這是不能接受的。限制DNS服務器的服務范圍很重要，可以把許多入侵者拒之門外。

• 為DNS服務器配置DNS Flood Detector：DNS Flood Detector是針對DNS服務器的SYN Flood攻擊的檢測工具，用于偵測惡意地使用DNS的查詢功能。DNS Flood Detector會監控向服務器查詢名稱解析的數量，分成守護進程（daemon）和后臺（bindsnap）模式。守護進程模式會通過syslog發出警示（/var/log/messages）及bindsnap模式：得到接近實時的查詢狀態。

• 建立完整的域名服務器：了提高域名系統的可靠性，應建立輔助域名服務器。當主域名服務器不能正常工作時，輔助域名服務器能夠替代主域名服務器對外提供不間斷的服務，并起到數據備份的作用。當主域名服務器對其所管理的授權區域內的數據進行改動后，輔助域名服務器按照規定的時間間隔使用區帶傳輸從主域名服務器獲取改動后的信息，然后刷新自己相應區域內的數據，從而保持與主域名服務器的一致性。但是必須對“區帶傳輸”加以限制，只允許自己的主/輔助域名服務器進行區帶傳輸。在主/輔助域名服務器的named.conf文件中分別用allow-transfer加以限制。輔助域名服務器的配置與主域名服務器的配置很相似，只是主域名服務器的授權域的type為master，而輔助域名服務器的授權域的type為slave。

• 建立DNS日志：對于Linux的系統安全來說，日志文件是極其重要的工具。DNS日志可以記錄服務器CPU的占用時間、查詢的統計信息及配置中存在的問題，經常分析日志可以了解服務器的負載、性能、安全性，從而及時地采取措施，糾正錯誤。BIND軟件默認情況下把DNS日志寫到/var/log/messages文件中。

apt攻擊路徑有以下這些：

• 以智能手機、平板電腦和USB等移動設備為目標和攻擊對象繼而入侵企業信息系統的方式。

• 社交工程的惡意郵件是許多APT攻擊成功的關鍵因素之一，隨著社交工程攻擊手法的日益成熟，郵件幾乎真假難辨。從一些受到APT攻擊的大型企業可以發現，這些企業受到威脅的關鍵因素都與普通員工遭遇社交工程的惡意郵件有關。黑客剛一開始，就是針對某些特定員工發送釣魚郵件，以此作為使用APT手法進行攻擊的源頭。

• 利用防火墻、服務器等系統漏洞繼而獲取訪問企業網絡的有效憑證信息是使用APT攻擊的另一重要手段。

預防抵抗APT攻擊的方法有以下這些：

• 使用威脅情報：這包括APT操作者的最新信息；從分析惡意軟件獲取的威脅情報；已知的C2網站；已知的不良域名、電子郵件地址、惡意電子郵件附件、電子郵件主題行；以及惡意鏈接和網站。威脅情報在進行商業銷售，并由行業網絡安全組共享。企業必須確保情報的相關性和及時性。威脅情報被用來建立“絆網”來提醒你網絡中的活動。

• 建立強大的出口規則：除網絡流量（必須通過代理服務器）外，阻止企業的所有出站流量，阻止所有數據共享和未分類網站。阻止SSH、FTP、Telnet或其他端口和協議離開網絡。這可以打破惡意軟件到C2主機的通信信道，阻止未經授權的數據滲出網絡。

• 收集強大的日志分析：企業應該收集和分析對關鍵網絡和主機的詳細日志記錄以檢查異常行為。日志應保留一段時間以便進行調查。還應該建立與威脅情報匹配的警報。

• 聘請安全分析師：安全分析師的作用是配合威脅情報、日志分析以及提醒對APT的積極防御。這個職位的關鍵是經驗。

• 對未知文件進行檢測：一般通過沙箱技術罪惡意程序進行模擬執行，通過對程序的行為分析和評估來判斷未知文件是否存在惡意威脅。

• 對終端應用監控：一般采用文件信譽與嘿白名單技術在終端上檢測應用和進程。

• 使用大數據分析方法：基于大數據分析的方法，通過網路取證，將大數據分析技術和沙箱技術結合全面分析APT攻擊。

NTFS主要采用兩種措施對文件系統進行安全性保護: 1.對文件和目錄的權限設置。2.對文件和目錄進行加密。

1.文件和目錄的權限設置

NTFS文件系統上的每個文件和目錄在創建時創建人就被指定為擁有者。擁有者控制著文件或目錄權限設置，并能賦予其他用戶的訪問權限。

NTFS為了 保證文件和目錄的安全性和可靠性，制定了以下的權限設置規則。

• 只有用戶在被賦予權限或是屬于擁有這種權限的組，才能對文件或目錄進行訪問。

• “拒絕訪問”權限優先級高于其他所有權限。

• 權限是積累的。

• 文件權限始終優先于目錄權限。

• 當用戶在相應權限的目錄中創建新的文件和子目錄時，創建的文件和子目錄繼承該目錄的權限。

• 創建文件和目錄的擁有者，總是可以隨時更改對文件或目錄的權限設置來控制其他用戶對該文件或目錄的訪問。

2.文件內容的加密

Windows 2000增強了文件系統的安全性，采用了加密文件系統(Encrypted File System, EFS)技術。加密文件系統提供的文件加密技術可以將加密的NTFS文件存儲到磁盤上。