網絡安全法以下企業需要做等級保護：

• 政府機關：各大部委、各省級政府機關、各地市級政府機關、各事業單位等。

• 金融行業：金融監管機構、各大銀行、證券、保險公司等。

• 電信行業：各大電信運營商、各省電信公司、各地市電信公司、各類電信服務商等。

• 能源行業：電力公司、石油公司、煙草公司。

• 企業單位：大中型企業、央企、上市公司等。

• 其它有信息系統定級需求的行業與單位。

1.信息收集

一般先運行端口掃描和漏洞掃描獲取可以利用的漏洞。多利用搜索引擎

端口掃描

有授權的情況下直接使用 nmap 、masscan 、自己寫py腳本等端口掃描工具直接獲取開放的端口和獲取服務端的 banner 信息。

漏洞掃描

使用北極熊掃描器、Nessus、awvs等漏掃工具直接掃描目標，可以直接看到存活主機和主機的漏洞情況。

2.漏洞攻擊

如果只是使用端口掃描，只是發現開放的端口，在獲取 banner 信息后需要在漏洞庫（seebug，ExploitDB ）上查找對應 CVE，后面就是驗證漏洞是否存在。安全檢查一般是盡可能的發現所有漏洞，對漏洞的風險進行評估和修復。入侵的話只關注高危遠程代碼執行和敏感信息泄露漏洞等可以直接利用的漏洞。漏洞驗證可以找對應的 CVE 編號的 POC、EXP，利用代碼在 ExploitDB 、seebug上查看或者在 github 上搜索是否有相關的漏洞驗證或利用的工具。

3.提權權限維持

（1）建立后門/端口轉發

端口轉發及代理類工具

• LCX：windows下面的端口轉發軟件。
• sockscap：主要針對windows平臺的端口轉發和代理轉發。
• proxifier：跨平臺的端口轉發和代理工具，適用windows，linux， Macos平臺，代理轉發利器
• Rsscoks：＊nix平臺下的端口轉發和代理工具，配合proxychains好用 到不行。
• Proxychains：＊nix平臺下老牌的socks代理工具，一般的系統都會自 帶，誰用誰知道。
• ssh proxy：通過ssh做端口代理和轉發，一般＊nix系統都自帶。
• netcat：socat，hping，在很多情況下可以做端口轉發和數據代理轉 發。
• metasploit：metasploit的后滲透模塊中有不少代理模塊和端口轉發 模塊。

在中轉服務器上下載端口轉發工具（加密壓縮）：

• 能連接互聯網下載
• 通過 mstsc 的磁盤加載
• 通過入口服務器中轉
• 通過遠程控制軟件上傳

（2）傳輸文件

文件打包

關于打包

• Rar文件打包，壓縮d:\data\目錄下所有2013-01-01后修改的doc文件，100M/包密碼為Pass，-x為排除選項
• rar.exe a–r –v100m new.rar –ta20130101000000 –hpPass –n.doc –x.exe d:\data
• 7z加密，壓縮d:\data下所有文件，密碼為Pass，分卷100M/包
• 7z.exe a c:\xx.7z -pPass -mhe d:\data -v100m
• Linux用 tar 打包文件是可以加密碼，要跟openssl結合使用。
• tar -zcvf – pma|openssl des3 -salt -k password | dd of=pma.des3
• 使用 tar 對加密文件解壓：
• dd if=pma.des3 |openssl des3 -d -k password|tar zxf –

• 3.4.2 文件傳輸 幾個思路

• 使用端口轉發直接傳送數據；
• 搭建 FTP、HTTP 協議；
• 上傳到云端再下載；

（3）制作后門/木馬程序

一般用Matisploit 的 msfvenom

SET 也可以生成后門程序，另外也可以關注一下最新的 Office、PDF 的漏洞

4.日志清理

在做日志清理前需要了解以下的內容：

• 攻擊和入侵很難完全刪除痕跡，沒有日志記錄本身就是一種入侵特征；
• 刪除或清理入侵系統的本地日志不代表刪除了痕跡，在網絡設備、安全設備、集中化日志系統上仍然留存記錄；
• 留存的后門本身會有攻擊者的信息；
• 使用的代理或跳板可能會被反向入侵;
• 在操作前檢查是否有管理員登錄；
• 刪除上傳的工具，使用磁盤覆寫的功能刪除；

Windows日志類型

• web日志：IIS、Apache以及其它web日志
• 操作日志：3389登錄列表、最近訪問文件、IE等瀏覽 器訪問日志、文件訪問日志
• 登陸日志：系統應用日志-安全日志等
• 攻擊前和狀態還原，盡量保持一致

Linux操作日志

• Linux歷史操作
• unset HISTORY HISTFILE HISTSAVE HISTZONE HISTORY HISTLOG; export HISTFILE=/dev/null;
• SSHD登陸記錄 刪除~/.ssh/known_hosts中記錄
• 修改文件時間戳 touch –r 原文件要修改文件
• 刪除臨時使用文件，尤其是tmp目錄
• logtamper

防火墻主要作用是保障網絡邊界安全，實施防火墻主要采用以下技術：

• 代理技術：代理系統是一種將信息從防火墻的一側傳送到另一側的軟件模塊。新一代防火墻采用了兩種代理機制，一種用于代理從內部網絡到外部網絡的連接，另一種用于代理從外部網絡到內部網絡的連接。前者采用網絡地址轉換(NAT)技術來解決，后者采用非保密的用戶定制代理或保密的代理系統技術來解決。

• 多級過濾技術：為保證系統的安全性和防護水平，新一代防火墻采用了三級過濾措施，并輔以鑒別手段。在 分組過濾一級，能過濾掉所有的源路由分組和假冒的IP源地址。在應用級網關一級，能利用FTP、SMTP等各種網關，控制和監測Internet提供的所用通用服務;在電路網關一級，實現內部主機與外部站點的透明連接，并對服務的通行實行嚴格控制。

• 多端口技術：具有兩個或三個獨立的網卡，內外兩個網卡可不作IP轉化而串接于內部網與外部網之間，另一個網卡可專用于對服務器的安全保護。

• NAT轉換技術：利用NAT技術能透明地對所有內部地址作轉換，使外部網絡無法了解內部網絡的內部結構，同時允許內部網絡使用自己定制的IP地址和專用網絡，防火墻能詳盡記錄每一個主機的通信，確保每個分組送往正確的地址。同時使用NAT的網絡，與外部網絡的連接只能由內部網絡發起，極大地提高了內部網絡的安全性。 NAT的另一個顯而易見的用途是解決IP地址匱乏問題。

• 透明訪問技術：防火墻利用了透明的代理系統技術，從而降低了系統登錄固有的安全風險和出錯概率。

CDMA物聯網安全通信技術包括以下方面的技術：

• 前向快速功率控制技術：CDMA2000采用快速功率控制方法。其方法是移動臺測量收到業務信道的Eb/Nt，并與門限值比較，根據比較結果，向基站發出調整基站發射功率的指令，功率控制速率可以達到800bit/s。由于使用快速功率控制，可以達到減少基站發射功率、減少總干擾電平，從而降低移動臺信噪比要求，最終可以增大系統容量。

• 前向快速尋呼信道技術：尋呼或睡眠狀態的選擇。基站使用快速尋呼信道向移動臺發出指令，決定移動臺是處于監聽尋呼信道還是處于低功耗狀態的睡眠狀態，這樣移動臺便不必長時間連續監聽前向尋呼信道，可減少移動臺激活時間和節省移動臺功耗。

• 前向鏈路發射分集技術：使用前向鏈路發射分集技術可以減少發射功率，抗瑞利衰落，增大系統容量。CDMA2000采用直接擴頻發射分集技術，正交發射分集方式。其方法是先分離數據流再用不同的正交Walsh碼對兩個數據流進行擴頻，并通過兩根發射天線發射。空時擴展分集方式。使用空間兩根分離天線發射已交織的數據，使用相同原始Walsh碼信道。

• 反向相干解調：基站利用反向導頻信道發出擴頻信號捕獲移動臺的發射，再用梳狀（Rake）接收機實現相干解調，與IS-95采用非相干解調相比，提高了反向鏈路性能，降低了移動臺發射功率，提高了系統容量。

• 連續的反向空中接口波形：在反向鏈路中，數據采用連續導頻，使信道上數據波形連續，此措施可減少外界電磁干擾，改善搜索性能，支持前向功率快速控制以及反向功率控制連續監控。

• Turbo碼使用：Turbo碼具有優異的糾錯性能，適于高速率對譯碼時延要求不高的數據傳輸業務，并可降低對發射功率的要求、增加系統容量。

• 靈活的幀長：與IS-95不同，CDMA2000支持5ms、10ms、20ms、40ms、80ms和160ms多種幀長，不同類型信道分別支持不同幀長。前向基本信道、前向專用控制信道、反向基本信道、反向專用控制信道采用5ms或20ms幀，前向補充信道、反向補充信道采用20ms、40ms或80ms幀，話音信道采用20ms幀。較短幀可以減少時延，但解調性能較低；較長幀可降低對發射功率的要求。

• 增強的媒體接入控制功能：媒體接入控制子層控制多種業務接入物理層，保證多媒體的實現。它實現話音、分組數據和電路數據業務、同時處理、提供發送、復用和QoS控制、提供接入程序。與IS-95相比，可以滿足更寬帶和更多業務的要求。

SSL證書是數字證書中的一種,SSL證書一般是通過在客戶端瀏覽器和Web服務器之間建立一條SSL安全通道（Secure socket layer(SSL)。

ssl證書申請的3個主要步驟：

1.制作CSR文件

所謂CSR就是由申請人制作的Certificate Secure Request證書請求文件。制作過程中，系統會產生2個密鑰，一個是公鑰就是這個CSR文件，另外一個是私鑰，存放在服務器上。要制作CSR文件，申請人可以參考WEB SERVER的文檔，一般APACHE等，使用OPENssl命令行來生成KEY+CSR2個文件，Tomcat，JBoss，Resin等使用KEYTOOL來生成JKS和CSR文件，IIS通過向導建立一個掛起的請求和一個CSR文件。

2.CA認證

將CSR提交給CA，CA一般有2種認證方式：

1)域名認證：一般通過對管理員郵箱認證的方式，這種方式認證速度快，但是簽發的證書中沒有企業的名稱;

2)企業文檔認證：需要提供企業的營業執照。

也有需要同時認證以上2種方式的證書，叫EV ssl證書，這種證書可以使IE7以上的瀏覽器地址欄變成綠色，所以認證也最嚴格。

3.證書安裝

在收到CA的證書后，可以將證書部署上服務器，一般APACHE文件直接將KEY+CER復制到文件上，然后修改httpD.CONF文件;TOMCAT等，需要將CA簽發的證書CER文件導入JKS文件后，復制上服務器，然后修改SERVER.XML;IIS需要處理掛起的請求，將CER文件導入。

使用ssl證書不僅能讓信息的安全性更有保障，還可以提高用戶對于網站的信任度。但鑒于對建站成本的考慮，很多站長對其望而卻步。在網絡上免費始終是一個永遠不過時的市場，主機空間有免費的，而ssl證書自然也有免費的，此前，便有消息稱，Mozilla、思科、Akamai、IdenTrust、EFF、以及密歇根大學的研究人員將開啟Let’s Encrypt CA項目，計劃從今夏開始，為網站提供免費ssl證書以及證書管理服務(注：如需更高級的復雜證書，則需付費)。另外，沃通wosign目前已經推出了3年期的多域名免費ssl證書，證書到期后可以免費續期，支持綁定多個域名、支持證書狀態在線查詢協議(OCSP)、支持中文、全球瀏覽器信任，任何個人都可以從沃通CA申請到免費的ssl證書，只要你有網站。

而需要高級別ssl 證書的往往是大中型網站，如網上銀行、購物網站、金融證券、政府機構等，諸如個人博客之類的小型站點完全可以先嘗試免費ssl證書。

釣魚郵件指利用偽裝的電郵，欺騙收件人將賬號、口令等信息回復給指定的接收者，或引導收件人連接到特制的網頁，這些網頁通常會偽裝成和真實網站一樣，如銀行或理財的網頁，令登錄者信以為真，輸入信用卡或銀行卡號碼、賬戶名稱及密碼等而被盜取。這種電子郵件，就叫做釣魚郵件。

如何辨別釣魚郵件的方法如下：

• 看發件人地址：如果是公務郵件，發件人多數會使用工作郵箱，如果發現對方使用的是個人郵箱帳號或者郵箱賬號拼寫很奇怪，那么就需要提高警惕。釣魚郵件的發件人地址經常會進行偽造，比如偽造成本單位域名的郵箱賬號或者系統管理員賬號。

• 看發件的日期：公務郵件通常接收郵件的時間在工作時間內，如果收到郵件是非工作時間，需要提高警惕。比如，凌晨3點鐘。

• 看正文目的：一般正規的發件人所發送的郵件是不會索要收件人的郵箱登錄賬號和密碼的，所以在收到郵件后要留意索要密碼之類的要求，避免上當。

• 看正文內容：不要輕易點郵件中的鏈接地址，若包含“&redirect”字段，很可能就是釣魚鏈接；有些垃圾郵件正文中的“退訂”按鈕可能是虛假的，點擊之后可能會收到更多的垃圾郵件，或者被植入惡意代碼。

• 看附件內容：不要隨意點擊下載郵件中的附件，word、pdf、excel、PPT、rar等文件都可能植入木馬或間諜程序，尤其是附件中直接帶有后綴為.exe、.bat的可執行文件，千萬不要點擊。

安全審計系統中應解決如下關鍵技術：

• 網絡監聽:是安全審計的基礎技術之一。它應用于網絡審計模塊，安裝在網絡通信系統的數據匯聚點，通過抓取網絡數據包進行典型協議分析、識別、判斷和記錄，Telnet、HTTP、Emai1、FTP、網上聊天、文件共享等的檢測，流量監測以及對異常流量的識別和報警、網絡設備運行的監測等，另外也可以進行數據庫網絡操作的審計。

• 內核驅動技術:是主機審計模塊、操作系統審計模塊的核心技術，它可以做到和操作系統的無縫連接，可以方便的對硬盤、CPU、內存、網絡負載、進程、文件拷貝/打印操作、通過 Modem擅自連接外網的情況、非業務異常軟件的安裝和運行等進行審計。

• 應用系統審計數據讀取技術:大多數的多用戶操作系統(Windows、UNIX等)、正規的大型軟件(數據庫系統等)、多數安全設備(防火墻、防病毒軟件等)都有自己的審計功能，日志通常用于檢查用戶的登錄、分析故障、進行收費管理、統計流量、檢查軟件運行情況和調試軟件，系統或設備的審計日志通常可以用作二次開發的基礎，所以如何讀取多種系統和設備的審計日志將是解決操作系統審計模塊、數據庫審計模塊、應用審計模塊的關鍵所在。

• 完善的審計數據分析技術:審計數據的分析是一個安全審計系統成敗的關鍵，分析技術應該能夠根據安全策略對審計數據具備評判異常和違規的能力，分為實時分析和事后分析。實時分析指提供或獲取審計數據的設備和軟件應該具備預分析能力，并能夠進行第一道篩選;事后分析指統一管理平臺模塊對記錄在數據庫中的審計記錄進行事后分析，包括統計分析和數據挖掘。

確保互聯網安全可信的PKI技術的具體措施如下：

• 加密所有通信，服務器部署SSL證書加密所有http通信、加密POP /SMTP/IMAP等，確保機密數據傳輸安全；同時，服務器上機密數據用證書加密存儲，解密后在https下瀏覽。

• 所有電子郵件都必須有數字簽名來確保郵件的真實身份，含有機密信息的電子郵件都必須用證書加密發送。

• 所有機密文件都必須轉換成PDF格式后并用證書加密，徹底解決內網物理隔離解決不了泄密問題。

• 各種軟件（包括PC代碼和移動代碼）都要有數字簽名，以保證代碼的真實可信身份和防止代碼被惡意篡改。

• 所有網上提交的各種申請和各種材料都可以用數字簽名來代替手寫簽名，確保網上辦事的法律效力和不可抵賴性；

• 所有聯網設備都應有一個可信計算芯片和可信身份證書，用于證明設備可信身份和加密各種數據與各種通信。

防火墻五元組和通信術語上的五元組相同，即源IP地址，源端口，目的IP地址，目的端口，和傳輸層協議這五個量組成的一個集合。

五元組能夠區分不同的會話，并且對應的會話是唯一且確定的，防火墻一般使用五元組來做過濾策略。

基于網絡的掃描器就是通過網絡來掃描遠程計算機中的漏洞，基于網絡的漏洞掃描器的主要特點就是價格相對來說比較便宜，并且在操作過程中，不需要涉及到目標系統的管理員，在檢測過程中不需要在目標系統上安裝任何東西就可以直接進行漏洞掃描，這樣既可以減少掃描過程時間并且減少工作量，最主要的是基于網絡的漏洞掃描器維護簡單不需要過多的人力來維護。

一個完整的漏洞掃描器通常由以下幾部分組成。

• 漏洞數據庫：漏洞數據庫包括漏洞的具體信息、漏洞掃描評估腳本、安全漏洞危害評分等信息，該漏洞數據庫會在新的漏洞被公布后及時更新。漏洞數據庫一般需要與CVE保持兼容。

• 掃描引擎模塊：掃描引擎模塊是漏洞掃描器的核心部件。一般的掃描器同時提供了主機掃描、端口掃描、操作系統掃描和網絡服務探測等功能。

• 用戶控制臺：通過控制臺，用戶可以定義被掃描對象并設置相關參數。對被掃描對象發送掃描用探測數據包，并從接收到的被掃描對象返回的應答數據包中提取漏洞信息，然后與漏洞數據庫中的漏洞特征進行比對，以判斷目標對象是否存在漏洞。

• 掃描進程控制模塊：掃描進程控制模塊用于監控掃描進程的任務進展情況，并將當前掃描的進度和結果信息通過用戶控制臺展示給用戶。

• 結果存儲與報告生成模塊：結果存儲與報告生成模塊利用漏洞掃描得到的結果自動生成掃描報告，并告知用戶在哪些目標系統上發現了哪些安全漏洞。

漏洞掃描器一般基于已經公布的系統漏洞信息庫（如CVE），采用模擬攻擊的形式對網絡上目標主機可能存在的已知安全漏洞進行逐項檢查，掃描結果以分析報告形式提供。

一次完整的滲透測試包含如下7個階段：

1. 前期交互階段：滲透測試工程師要確定滲透測試的目標和測試范圍。他們要和客戶討論滲透測試的所有關鍵細節。

2. 信息收集階段：滲透測試工程師采用主動和被動兩種方法來收集目標信息，其中被動信息收集可以在完全不接觸目標的情況下進行。

3. 威脅建模階段：滲透測試工程師要根據之前獲得的信息，找出對目標系統威脅最大的弱點，從而確定最為高效的滲透攻擊方式。

4. 漏洞分析階段：滲透測試工程師要找到并確認目標系統上存在的已知的和未知的漏洞，然后在實驗環境中進行驗證。

5. 滲透攻擊階段：滲透測試工程師要利用在上一階段發現的漏洞來入侵目標系統。這通常意味著滲透測試工程師會嘗試獲得目標系統的控制權。

6. 后滲透攻擊階段：滲透測試工程師要開展一些實際的入侵行為。例如，盜取目標計算機的某個機密文件，直接關閉目標系統，或者在目標系統上創建一個新的遠程管理賬戶，等等。總之，滲透測試工程師應該完成滲透攻擊后的所有工作。

7. 報告階段：滲透測試工程師需要將滲透測試的結果匯總為一個文件，并提供漏洞修補和安全升級的解決方案。

數據防泄露措施有：

• 建立敏感信息樣本庫：針對不同類型的數據，可以采用不同的方式定義敏感信息來進行檢測；針對結構化格式數據，采取精確數據匹配的方式；針對非結構化數據，采取索引文件匹配的方式，且對敏感樣本數據庫進行定期更新，保證敏感樣本數據庫始終是最新的。

• 制定監視和防護策略：用戶可以自定義數據訪問策略，每種策略都是檢測規則和響應規則的組合。當違反一種或多種檢測規則時，將發生安全事故。在異常事故中將會通過特定數據和發送人/接收人的“白名單”進行過濾。策略中的每個檢測規則都被指定一個嚴重性等級，事故的總體嚴重性由所引發的最高嚴重性級別確定。用戶還可以定義消息組件，如正文、標題或附件，針對這些組件可以給出檢測規則。

• 部署監視防護策略檢測敏感數據：當用戶創建監控策略后，它們被立即推送到所有適用的服務器上。服務器對掃描入庫、檢索、出庫的消息或文件、破解的內容進行檢測后，將散列數據與掃描服務器中包含的檢測規則進行比較，完成對敏感數據的檢測。

• 網絡數據泄露防護：網絡數據泄露防護系統，又稱數據丟失防護（Data Loss prevention，DLP）系統，是指通過一定的技術手段，防止網絡的指定數據或信息資產，以違反安全策略規定的形式流出的一種系統。

• 存儲數據泄露防護：通過安全策略識別文件服務器、數據庫服務器、數據存儲庫中泄露或駐留的保密數據，來檢查數據是否存在違反安全策略的情況。通過檢測網絡出口的傳輸流量，分析離開網絡的數據流，實現對讀取的文件及其包含的其他數據的掃描。如果發現違反預先制定的數據丟失策略的敏感數據，則會激活自動響應規則，并向管理員發送事故通知，采取事故補救措施，并最終形成報告。

CC攻擊（Distributed HTTP flood，分布式HTTP洪水攻擊）

CC攻擊使用代理服務器向受害服務器發送大量貌似合法的請求（通常為HTTP GET)。攻擊者創造性地使用代理，利用廣泛可用的免費代理服務器發動DDoS攻擊。許多免費代理服務器支持匿名，這使追蹤變得非常困難。
2004年，一位匿名為KiKi的中國黑客開發了一種用于發送HTTP請求的DDoS攻擊工具以攻擊名為“Collapsar”的NSFOCUS防火墻，因此該黑客工具被稱為“Challenge Collapsar”（挑戰黑洞，簡稱CC），這類攻擊被稱作“CC攻擊”。[5]

僵尸網絡攻擊

僵尸網絡是指大量被命令與控制（C&C）服務器所控制的互聯網主機群。攻擊者傳播惡意軟件并組成自己的僵尸網絡。僵尸網絡難于檢測的原因是，僵尸主機只有在執行特定指令時才會與服務器進行通訊，使得它們隱蔽且不易察覺。僵尸網絡根據網絡通訊協議的不同分為IRC、HTTP或P2P類等。
應用程序級洪水攻擊（Application level floods）
與前面敘說的攻擊方式不同，應用程序級洪水攻擊主要是針對應用軟件層的，也就是高于OSI的。它同樣是以大量消耗系統資源為目的，通過向IIS這樣的網絡服務程序提出無節制的資源申請來破壞正常的網絡服務。

用戶實現網絡設備IOS安全方法有以下這些：

• 配置登錄密碼，主要包括Enable密碼和Telnet密碼，必要時可以以加密方式存儲密碼，以確保其安全性。

• 配置用戶訪問安全級別，為不同的管理賬戶賦予不同的訪問和管理權限。

• 控制終端訪問安全，嚴格控制允許終端連接的數量，以及終端會話超時限制。

• 配置SNMP安全。SNMP字符串用于驗證用戶與交換機的連接，確保其身份的有效性，類似于用戶賬戶和密碼。

• 及時備份IOS映像，以便出現誤操作或遭遇攻擊時可以迅速恢復。

• 升級IOS版本。IOS的系統漏洞是不可避免的，用戶可以通過安裝補丁或升級IOS版本的方法避免由于系統漏洞導致的網絡攻擊。

防御自動化木馬的方法有以下這些：

• 部署針對自動化木馬威脅的防御新技術：將管理納入到企業應用和業務威脅管理架構中，部署能針對自動化威脅進行防護的新技術，結合多重變幻的動態安全防護、威脅態勢感知及人工智能技術，防止漏洞利用、擬人化攻擊等多類應用安全問題，構建集中于商業邏輯、用戶、數據和應用的可信安全架構。

• 以動態技術構建主動防御：通過對網頁底層代碼的動態變幻和實時人機識別技術，隱藏可能的攻擊入口，增加服務器行為的不可預測性。同時，需要保證應用邏輯的正確運行，高效甄別偽裝和假冒正常行為的已知和未知自動化攻擊，直接從來源端阻斷自動化攻擊。

• AI技術助力自動化威脅行為的深度分析和挖掘：融入涵蓋機器學習、智能人機識別、智能威脅檢測、全息設備指紋、智能響應等的AI技術，對客戶端到服務器端所有的請求日志進行全訪問記錄，持續監控并分析流量行為，實現精準攻擊定位和追蹤溯源，并對潛在和更加隱蔽的攻擊行為進行更深層次的分析和挖掘。

• 可編程對抗技術實現靈活便捷的攻防對抗：為企業使用者和用戶構建了一個開放式的簡單編程環境，提供上百個字段用于規則編寫，讓具備一定編程基礎的客戶能夠根據企業自身的情況，實現自我防護需求定制和靈活、便捷的攻防對抗。

• 基于大數據分析的自動化威脅情報：通過大數據分析能力，結合業務威脅的特征，對流量進行實時監控。全方位感知透視自動化攻擊的來源、工具、目的和行為，并對攻擊者進行畫像，建立IP信譽庫、指紋信譽庫和賬號信譽庫，實現安全無死角。

• 從等保合規的角度制定網絡安全防護策略：結合《網絡安全法》、等保2.0等網絡安全相關的法律法規，將風險評估、安全監測、數據防護、應急處置、自主可控等納入企業網絡安全防護策略，提高應對網絡攻擊的防御能力，降低工作流程中的數據泄漏和其他安全風險。

• 強化內網縱深安全保護：從技術層面而言，企業可以通過APT解決方案、內網陷阱等方式，并引入“零信任機制”，強化內網縱深安全保護。此外，內網的Web應用及數據庫服務器更是重點防護對象，以杜絕內部人員或外部滲透黑客竊取或篡改企業的敏感關鍵數據。而從管理層面看，嚴格制定并安全執行各類IT使用規范必不可少。

• 重視IoT及工控設備安全：重視物聯網及工控設備安全，提供設備的資產清查、安全管理、預警與聯防，整體防護物設備、網絡傳輸及云端，避免物聯網及工控設備成為企業信息安全的重大隱患。