分別從以下五個方面對等級保護工作進行分析：

1. 定級：信息系統運營使用單位按照等級保護管理辦法和定級指南，自主確定信息系統的安全保護等級。有上級主管部門的，應當經上級主管部門審批。跨省或全國統一聯網運行的信息系統可以由其主管部門統一確定安全保護等級。雖然說的是自主定級，但是也得根據系統實際情況去定級，有行業指導文件的根據指導文件來，沒有文件的根據定級指南來，總之一句話合理定級，該是幾級就是幾級，不要定的高也不要定的低。

2. 備案：第二級以上信息系統定級單位到所在地所在地設區的市級以上公安機關辦理備案手續。省級單位到省公安廳網安總隊備案，各地市單位一般直接到市級網安支隊備案，也有部分地市區縣單位的定級備案資料是先交到區縣公安網監大隊的，具體根據各地市要求來。備案的時候帶上定級資料去網安部門，一般兩份紙質文檔，一份電子檔，紙質的首頁加蓋單位公章。

3. 系統安全建設：信息系統安全保護等級確定后，運營使用單位按照管理規范和技術標準，選擇管理辦法要求的信息安全產品，建設符合等級要求的信息安全設施，建立安全組織，制定并落實安全管理制度。

4. 等級測評：信息系統建設完成后，運營使用單位選擇符合管理辦法要求的檢測機構，對信息系統安全等級狀況開展等級測評。測評完成之后根據發現的安全問題及時進行整改，特別是高危風險。測評的結論分為：不符合、基本符合、符合。當然符合基本是不可能的，那是理想狀態。

5. 監督檢查：公安機關依據信息安全等級保護管理規范及《網絡安全法》相關條款，監督檢查運營使用單位開展等級保護工作，定期對信息系統進行安全檢查。運營使用單位應當接受公安機關的安全監督、檢查、指導，如實向公安機關提供有關材料。

其中定級、備案工作原則上是由用戶單位自己填寫定級備案表交給公安網監部門去進行備案工作，但考慮到實際情況，絕大多數情況下都是用戶單位在測評機構的協助下完成這些工作。系統安全建設和等級測評的工作不一定要嚴格按照這個順序開展，可以先測評再整改，也可以先建設再測評。具體還是根據自身實際情況來辦。

網絡安全應急處理的過程主要有準備、檢測、抑制、根除、恢復、總結六個階段：

• 準備階段：準備階段的目標是在安全事件真正發生之前為處理安全事件做好準備工作。準備階段的主要工作包括建立合理的防御/控制措施、建立適當的策略和程序、獲得必要的資源和組建響應隊伍等。該階段的控制點包括：應急響應需求界定、服務合同或協議簽訂、應急服務方案制定、人員和工具準備。

• 檢測階段：檢測階段的目標是對網絡安全事件做出初步的動作和響應，根據獲得的初步材料和分析結果，預估事件的范圍和影響程度，制定進一步的響應策略，并且保留相關證據。

• 抑制階段：抑制階段的目標是限制攻擊的范圍，抑制潛在的或進一步的攻擊和破壞。抑制措施十分重要，因為安全事件很容易擴散和失控。攻擊抑制措施可以在以下幾個方面發揮作用，阻止入侵者訪問被攻陷系統、限制入侵的程度、防止入侵者進一步破壞等。

• 根除階段：根除階段的目標是在事件被抑制之后，通過對有關惡意代碼或行為的分析結果，找出導致網絡安全事件發生的根源，并予以徹底消除。對于單機上的事件，可以根據各種操作系統平臺的具體檢查和根除程序進行操作即可。但是大規模爆發的帶有蠕蟲性質的惡意程序，要根除各個主機上的惡意代碼，則需投入更多的人力和物力。

• 恢復階段：恢復階段的目標是將網絡安全事件所涉及的系統還原到正常狀態。恢復工作應該十分小心，避免出現誤操作，導致數據的丟失。恢復階段的行動集中于建立臨時業務處理能力、修復原系統損害、在原系統或新設施中恢復運行業務能力等應急措施。

• 總結階段：總結階段的目標是回顧網絡安全事件處理的全過程，整理與事件相關的各種信息，并盡可能地把所有情況記錄到文檔中。這些記錄的內容，不僅對有關部門的其他處理工作具有重要意義，而且對將來應急工作的開展也是非常重要的積累。

網頁防篡改實現手段如下：

給正常文件一個通行證

  將正常的程序文件數量、名稱記錄下來，并保存每一個正常文件的MD5散列做成數字簽名存入數據庫；如果當遇到黑客攻擊修改主頁、掛馬、提交webshell的時候，由于這些文件被修改過或者是新提交的，沒有在數據庫中存在，則將其刪除或者恢復以達到防護效果。

檢測和防護SQL注入攻擊

  通過過濾SQL危險字符如：“’、select、where、insert、,、;”等等將其進行無害化編碼或者轉碼，從源頭遏止；對提交到web服務器的數據報進行過濾檢測是否含有“eval、wscript.shell、iframe”等等。

檢測和防護DNS攻擊解析

  不斷在本地通過nslookup解析域名以監視域名的指向是否合法。

檢測和防護ARP攻擊

  綁定MAC地址，檢測ARP攻擊并過濾掉危險的ARP數據報。

過濾對WEB服務器的請求

  設置訪問控制列表，設置IP黑名單和白名單過濾掉非法訪問后臺的IP；對web服務器文件的請求進行文件預解析，對比解析的文件與原文件差異，存在差異的取源文件返回請求。

做好集群或者數據庫加密

  對于NT系統設置好文件夾權限，控制因操作失誤所帶來的損失；對于SQL 2005可以設置管理IP和數據庫加密，切斷數據庫篡改的源頭。

等級保護的意義如下：

• 開展等保的最重要原因是為了通過等級保護測評工作，發現單位系統內、外部存在的安全風險和脆弱性，通過整改之后，提高信息系統的信息安全防護能力，降低系統被各種攻擊的風險。

• 國家法律法規、相關政策制度要求我們去開展等級保護工作，不做就不合規，就違法。

• 降低信息安全風險，提高信息系統的安全防護能力。

• 很多行業主管單位要求行業客戶開展等級保護工作，目前已經下發行業要求文件的有:金融、電力、廣電、醫療、教育等行業，還有一些主管單位發過相關文件或通知要求去做。 另外信息安全主管單位要求我們去開展等級保護工作，主要有:公安、網信辦、經信委、通管局等行業主管單位。

• 合理地規避風險。

• 滿足國家相關法律法規和制度的要求。

• 滿足相關主管單位和行業要求。

• 合理地規避或降低風險。

公鑰密碼體制在實際應用中包含數字簽名和數字信封兩種方式。

1. 數字信封（Digital Eavelop)的功能類似于普通信封。特通信封在法律的約束下保證只有收信人才能閱讀信的內容；數字信封時則采用密碼技術保證了只有規定的接收人才能閱讀信息的內容。數字信封中采用子單鑰密碼體制和公鑰密碼體制。信息發送者首先利用隨機產生的對稱密碼加密信息，再利用接收方的公鑰加密對稱密碼，被公鑰加密后的對稱密碼被稱之為數字信封。在傳遞信息時，信息接收方要解密信息時，必須先用自己的私鑰解密數字信封，得到對稱密碼。才能利用對稱密碼解密所得到的信息。這樣就保證了數據傳輸不可抵賴性。

2. 數字簽名(Digital Signature)是指用戶用自己的私鑰對原始數據的哈希摘要進行加密所得的數據。信息接收者使用信息發送者的公鑰對附在原始信息后的數字簽名進行解密后獲得哈希摘要，并通過與自己用收到的原始數據產生的哈希哈希摘要對照，便可確信原始信息是否被篡改。這樣就保證了消息來源的真實性和數據傳輸的完整性。

網頁防篡改網關是一種基于前置網關的頁面防篡改方法和系統，屬于信息安全技術領域，網關按設定的周期對目標網站頁面和鏡像網站頁面的校驗值進行比較，當發現不同時，將校驗值不同的目標網站頁面的訪問請求重定向至鏡像網站中的相應頁面。所述網關包括初始化模塊、篡改檢測模塊和請求重定向模塊。

網頁防篡改采用以下三種技術：

外掛輪詢技術：用一個網頁讀取并檢測程序，再用輪詢的方式讀取要監測的網頁，將該網頁和真實網頁相比較后判斷網頁內容的完整性，如果發現網頁被篡改，則對于被篡改的網頁進行報警和恢復。但是這種網頁防篡改技術明顯的缺點是：當網頁規模很大時，算法運行起來非常耗時且困難，且對于特定的網頁，每兩次檢查的時間間隔很長，不法分子完全有機會進行篡改，對網頁造成嚴重影響。

核心內嵌技術：在WEB服務器軟件里內嵌篡改檢測模塊，在每個網頁流出時都檢查網頁的完整性，如果網頁被篡改，則進行實時訪問阻斷，對于被篡改的網頁進行報警和恢復。這種網頁防篡改技術的優點是：每個網頁在流出時都進行檢查，因此有可能被篡改的網頁完全沒有可能被讀者發現；但是該方式也有缺點，由于在網頁流出時要進行檢測，因此網頁在流出時會延遲一定的時間。

事件觸發技術：利用（操作系統中的）驅動程序接口或文件系統，在網頁文件修改時檢查其合法性，對于非法操作——即篡改的網頁進行報警和恢復。這種網頁防篡改技術的明顯的優點是預防成本非常低，不過其缺點也很明顯，WEB服務器的結構非常復雜，不法分子常常不會選擇從正面進攻，他們會從WEB服務器的薄弱處或者不易發現和檢測的地方進行攻擊，并且還不斷會有新的漏洞被發現，因此上面的防御策略是不能做到萬無一失的。此外，被篡改的網頁一旦混進了WEB服務器，就再也沒有機會對其進行安全檢查了。

強制重啟三次進不去安全模式解決方法如下：

1. 拆機檢查一下BIOS供電電池是否松動或者沒電導致無法進入安全模式；

2. 檢查BIOS芯片或者主板是否燒壞導致無法進入安全模式；

3. 是否是進入安全模式時所按按鍵不對；

4. 檢查是否是計算機開啟了快速啟動而導致來不及進入安全模式；

5. 可以嘗試開機按住shift鍵不放進入安全模式。

這里以Nessus漏掃工具為例掃描網頁漏洞方法如下：

1. 下載Nessus軟件包：去改軟件官方網站下載相應系統版本的安裝包，下載后將其解壓到因為文件夾下，這里以centiOS7為例。

2. 安裝軟件包：打開命令行模塊，進入到軟件所在位置，輸入dpkg -i Nessus按tab鍵補全，回車后自動安裝。

3. 啟動軟件：直接在命令行頁面進入到剛才的安裝目錄，使用start命令啟動該軟件，必須要在軟件所安裝目錄才能啟動成功。

4. 添加策略：找到該軟件的圖形界面，在主界面切換到Policies選項卡上，單擊New Policy按鈕選擇創建策略類型，設置好策略名、可見性和描述信息，然后單擊左側的Plugins標簽后策略新建完成。

5. 新建掃描：在界面切換到Scans選項卡上，該界面可以看到當前沒有任何掃描任務，所以需要添加掃描任務后才能掃描。在該界面單擊New Scan按鈕，設置掃描任務名稱、使用策略、文件夾和掃描的目標，這里的目標可以設置為你要掃描網站的域名或者ip地址，但是如果網站有cdn或者waf則可能會掃描失敗。設置完掃描目標后然后單擊Launch按鈕后可以看到掃描任務的狀態為Running（正在運行），表示Sample Scan掃描任務添加成功。

信息隱藏技術在電子商務安全方面有以下應用：

• 數據保密：在具體電子商務活動中，數據在互聯網上進行傳輸一定要防止非授權用戶截獲并使用，如敏感信息，談判雙方的秘密協議和合同、網上銀行交易中的敏感數據信息，重要文件的數字簽名和個人隱私等。另外，還可以對一些不愿被別人所知道的內容使用信息隱藏的方式進行隱藏存儲。

• 數據的不可抵賴性：在網上交易中，交易雙方的任何一方都不能抵賴自己曾經做出的行為，也不能否認曾經接收到的對方的信息，這是交易系統中的一個重要環節。這可以使用信息隱藏技術中的水印技術，在交易體系的任何一方發送或接收信息時，將各自的特征標記以水印的形式加入傳遞的信息中，這種水印應是不能被去除的，可達到確認其行為的目的。

• 防偽：商務活動中的各種票據的防偽也是信息隱藏技術的用武之地。在數字票據中隱藏的水印經過打印后仍然存在，可以再掃描回數字形式，提取防偽水印，以證實票據的真實性。

• 數據的完整性：對于數據完整性的驗證是要確認數據在網上傳輸或存儲過程中并沒有被修改，對于用脆弱水印技術保護的媒體，一旦被修改就會破壞水印，從而很容易被識別。

• 數據備份：任何數據在長期使用過程中，都存在一定的安全隱患。由于人為操作失誤或系統故障，例如人為錯誤、程序出錯、計算機失敗、災難和偷竊等，經常造成數據丟失，給個人和企業造成災難性的影響。在這種情況下，數據安全問題日益突出。為了能夠對丟失的重要數據進行及時恢復，不影響數據正常使用和企業業務運作，數據備份是一項非常重要的措施。

工業安全監測產品是對工業控制系統的運行數據進行被動無損采集，實時發現信息安全威脅和其造成的系統運行異常，協助運營人員及時進行響應處理，提升工業生產連續性水平。通常具備監聽網絡流量、發現工業資產和漏洞和病毒傳播等功能。主要產品是工業主機防護系統，是通過基于智能匹配的白名單管控技術、運行攔截技術，防范惡意程序的運行、非法外設接入，從而進行全面的工業資產、安全風險集中管理，實現對工業主機的安全防護。

解決工業數控網絡安全風險可以從以下方面入手：

• 數控網絡結構安全：梳理業務流程，優化數控網絡結構，強化分區、分域防護，通過在安全域邊界選擇串行部署數控行業審計保護一體機、工控網絡防護系統、隔離防護與交換產品，以保障數控網絡結構的安全。

• 數控網絡行為安全：加強數控網絡訪問行為、訪問內容的監測，對異常行為、違規操作進行監測、審計與告警，借助與邊界安全防護設備聯動，支撐行為安全防控，提升數控網絡安全。

• 數控網絡本體安全：按照數控網絡的應用特點，加強數控設備、上位機、服務器等主機安全管理，通過選擇部署工控主機安全防護，USB主機防護設備專用安全產品實現主機的安全管理，包括主機防病毒、防第三方軟件非授權安裝，外界USB存儲設備認證管理、操作行為審計，保護主機應用安全與防止數據泄密。

• 數控網絡基因安全：以自主研發、可信計算為設計思路，在高端制造領域未來時機成熟時，可通過采購國產數控設備、網絡設備和安全設備，規避國外廠商的后門風險。基于可信軟件、可信芯片和可信網絡技術，并結合數控網絡業務模型，構建具有可信計算環境、可信存儲環境和可信通信環境的基因安全數控網絡系統。

• 數控白名單安全：采用智能主機白名單和網絡黑白名單技術，具有實時識別移動USB設備的接入、非法的網絡連接、移動設備筆記本電腦和移動智能終端的接入、惡意病毒木馬、非工作范圍軟件入侵主機系統的特點，采取數據加密、內容識別、網絡流文件還原和命令還原技術、基于數控行業主流設備通信協議深度數據包提取解析的智能學習技術、詳細審計日志、網絡操控行為識別與控制等多種技術手段，為用戶提供了針對性的防入侵、防泄密手段以保障加工數據的安全。

不同類型堡壘機管理多臺設備的實現方法如下：

• 傳統堡壘機：管理員手動在表格中填寫好服務器的IP、協議、端口號、賬號和密碼，然后通過堡壘機的導入入口，將編輯好的表格導入至堡壘機中。

• 半傳統堡壘機：類似“IPscan”的原理，自動掃描網絡中的服務器IP、端口、協議，然后自動錄入到堡壘機中。

• 創新型堡壘機：運維人員只需要通過堡壘機登錄過一次服務器，堡壘機就能自動收集這個服務器信息，包括IP、協議、端口號、賬號和密碼。

• 下一代堡壘機：堡壘機提供服務器管理的API接口，使用方在已有的服務器管理系統中開發API同步功能，在服務器管理系統中對服務器進行任何增刪改，堡壘機都能保持服務器信息一致。

企業數據安全保護身份認證方式有以下兩種：

• 簡單口令認證：簡單口令認證是依據“你所了解的”最常用的認證技術，它以登錄名/密碼形式來對客戶開展身份驗證，只要客戶鍵入正確密碼，就判定為合理合法客戶。

• 動態口令認證：動態口令認證是一類一次性口令，以便處理靜態口令安全性難題，動態口令技術讓客戶的密碼依照時間或運用次數連續不斷動態變化，每一密碼只運用一回。動態口令技術關鍵分兩種：同歩口令技術和異步口動態令牌，在其中同歩口令技術又分成時間同步和異步口令技術。

XST滲透測試是指利用XST攻擊對目標站進行測試，XST的全稱是Cross-SiteTracing，中文譯作跨站式追蹤攻擊，具體而言，是客戶端發TRACE/TRACK請求至服務器，如果服務器按照標準實現了TRACE/TRACK響應，則在responsebody里會返回此次請求的完整頭信息。

通過這種方式，客戶端可以獲取某些敏感的header字段，例如httpOnly的Cookie等。可見XST的攻擊原理非常之簡單，借由XST攻擊獲取到Cookie信息或者其他敏感信息之后，攻擊者可以利用這些信息再發動XSS、CSRF、中間人攻擊等，看似無害，但潛在的危險卻很巨大。僅根據XST攻擊并不會對服務器造成實質性的傷害，它真實的影響是暴露了敏感的header數據，如擁有httpOnly屬性的Cookie，已經禁止前端JavaScript訪問它（如document.cookie），防止它被發送給第三方，但即使在這種情況下，TRACE方法也可用于繞過此保護并訪問cookie。因此XST也被稱作Trace泄露攻擊、Traceheader反射、Trace方法注入（TMI）、TraceHeaderCookie攻擊（THC）。

杜絕XST非常簡單，Web服務器限制Trace、Track方法的請求即可。另如今，XMLHTTPRequest已經杜絕了Trace與Track方法的請求（Chrome25版本及FireFox19之后），如果嘗試用Trace/Track方法請求，會拋出SecurityError異常，這也從根本上杜絕了XST攻擊。

簡單配置入侵檢測方法步驟如下（這里以H3C的設備為例）：

1. 登錄Web管理端：使用https的方式訪問設備的Web管理端地址，使用正確的用戶名和密碼登錄管理系統；

2. 配置指定ip范圍：配置只針對指定IP范圍192.168.0.0/16的IPv4流量和所有IPv6的流量進行網絡入侵攻擊檢測通過頁面上方菜單欄進入“策略 – 檢測策略 – 流量檢測配置”菜單，“流量檢測范圍”配置欄包含當前入侵檢測引擎對于需要進行網絡入侵攻擊檢測的流量的IP范圍過濾，默認為192.168.0.0/16,172.16.0.0/12,10.0.0.0/8,::，即監控IPv4三個標準內網網段流量，以及所有IPv6流量，進行網絡入侵攻擊檢測可以根據需求自行設置；

3. 配置禁用類別為“ActiveX攻擊”的網絡攻擊事件告警：如果發現某一類別的網絡攻擊事件出現大量誤報，可以臨時將該類別的網絡入侵檢測規則禁用，進入“策略 – 檢測策略 – 流量檢測配置”菜單，“流量檢測規則項”配置中包含對于網絡入侵檢測知識庫的規則的相關配置，勾選“ActiveX攻擊”類別，點擊下方的“x”按鈕，禁用“ActiveX攻擊”這一類別的所有規則所能觸發的網絡攻擊事件告警日志；

4. 配置禁用規則名稱為“針對MicroLogix 1100控制器拒絕服務攻擊”的網絡攻擊事件告警：進入“策略 – 檢測策略 – 流量檢測配置”菜單，“流量檢測規則項”配置中包含對于網絡入侵檢測知識庫的規則的相關配置，在規則名稱搜索欄輸入想要禁用的規則名稱，如“針對MicroLogix 1100控制器拒絕服務攻擊”，點擊搜索按鈕，即可定位到該規則所在的類別及其位置，點擊勾選規則名稱前面的勾選框，點擊規則類別內下方的“x”按鈕，或者規則列表欄內的“狀態”按鈕，可禁用“針對MicroLogix 1100控制器拒絕服務攻擊”這一條規則所能觸發的網絡攻擊事件告警日志；

ps：上述只是對入侵檢測系統幾個事件告警進行配置，實際使用中可以根據需求配置不同。

用戶態切換到內核態有3種方式：

• 系統調用

  這是用戶態進程主動要求切換到內核態的一種方式，用戶態進程通過系統調用申請使用操作系統提供的服務程序完成工作，比如前例中fork()實際上就是執行了一個創建新進程的系統調用。而系統調用的機制其核心還是使用了操作系統為用戶特別開放的一個中斷來實現，例如Linux的int 80h中斷。

• 異常

  當CPU在執行運行在用戶態下的程序時，發生了某些事先不可知的異常，這時會觸發由當前運行進程切換到處理此異常的內核相關程序中，也就轉到了內核態，比如缺頁異常。

• 外圍設備的中斷

  當外圍設備完成用戶請求的操作后，會向CPU發出相應的中斷信號，這時CPU會暫停執行下一條即將要執行的指令轉而去執行與中斷信號對應的處理程序，如果先前執行的指令是用戶態下的程序，那么這個轉換的過程自然也就發生了由用戶態到內核態的切換。比如硬盤讀寫操作完成，系統會切換到硬盤讀寫的中斷處理程序中執行后續操作等。

這3種方式是系統在運行時由用戶態轉到內核態的最主要方式，其中系統調用可以認為是用戶進程主動發起的，異常和外圍設備中斷則是被動的。