堡壘機主要就是為了做統一運維入口，所以登錄堡壘機就支持靈活的身份認證方式。堡壘機支持的認證方式如下：

• 本地認證：本地賬號密碼認證，一般支持強密碼策略。

• 遠程認證：一般可支持第三方AD/LDAP/Radius認證。

• 雙因子認證：UsbKey、動態令牌、短信網關、手機APP令牌等。

• 第三方認證系統：OAuth2.0、CAS等。

要堡壘機的用途如下：

• 集中管理難主機分散（多中心，云主機）；運維入口分散，辦公網絡、家庭網絡均需要訪問。

• 權限管理難賬號多人共享；高權限賬號濫用；越權操作、誤操作等。

• 第三方外包運維外包；賬號泄露；操作不透明；無審計；發生事故，難以定位追責。

• 法律法規企業運維需要監控；等級保護要求；合規性要求。

公鑰基本結構 (PKI) 包含用于管理證書、公鑰和私鑰的技術和標準，以驗證電子交易所涉及的各方身份。發送數據時加解密過程如下：

先假設三個對象A是發送方、B是接收方、D是數據。

1. B給A自己的CA證書
2. A隨機生成一個KEY，用此KEY加密D
3. A用B的公鑰加密KEY
4. A用自己的私鑰對KEY進行HASH，發送給B
5. A把自己的CA證書發送給D
6. B用A的公鑰解開簽名，得到HASH
7. B用自己的私鑰解開KEY得到D
8. B對比自己得到的數據和HASH是否相同
9. 完成數據傳輸

不可以。我國相關法律沒有明確規定網站存儲兒童個人信息的期限，但不得超過實現其收集、使用目的所必需的期限。簡單來說就是使用存儲兒童的個人信息前需要規定一個期限，在其期限內可以合法的使用和存儲這些信息，超過這個期限則不可再次使用。并且根據《兒童個人信息網絡保護規定》的要求網絡運營者不得收集與其提供的服務無關的兒童個人信息，不得違反法律、行政法規的規定和雙方的約定收集兒童個人信息。

網絡運營者還應當遵循《兒童個人信息網絡保護規定》的以下要求：

• 任何組織和個人不得制作、發布、傳播侵害兒童個人信息安全的信息。

• 網絡運營者收集、存儲、使用、轉移、披露兒童個人信息的，應當遵循正當必要、知情同意、目的明確、安全保障、依法利用的原則。

• 網絡運營者收集、使用、轉移、披露兒童個人信息的，應當以顯著、清晰的方式告知兒童監護人，并應當征得兒童監護人的同意。

• 網絡運營者應當采取加密等措施存儲兒童個人信息，確保信息安全。

• 網絡運營者使用兒童個人信息，不得違反法律、行政法規的規定和雙方約定的目的、范圍。因業務需要，確需超出約定的目的、范圍使用的，應當再次征得兒童監護人的同意。

• 網絡運營者對其工作人員應當以最小授權為原則，嚴格設定信息訪問權限，控制兒童個人信息知悉范圍。工作人員訪問兒童個人信息的，應當經過兒童個人信息保護負責人或者其授權的管理人員審批，記錄訪問情況，并采取技術措施，避免違法復制、下載兒童個人信息。

1.認證機構（CA）
2.數字證書庫
3.密鑰備份及恢復系統
4.證書作廢系統
5.應用接口（API）
6.證書注冊機構（RA）
7.證書庫

現在做網絡空間測繪的廠商或者說有能力的個人越來越多，這種技術就如同雨后春筍般勃勃生機，這里就關系到里面使用的協議。大家很容易進入一個誤區，就是追求數量而不是質量，貪圖數量總會貪多嚼不爛，無論是以前的漏洞數量還是現在的指紋規則數都是多而不精。就比如Wireshark和nmap這兩款軟件加起來可以支持上千甚至更多的協議規則，但是實際上意義不大。說的簡單一些，就是局域網的一些協議都沒有識別全面，一款基本的路由器交換機防火墻放在你面前你都無法識別他，還談什么識別所有。

舉個例子，我們內部把協議分為ABC三類協議，A類協議屬于你必須發一個正確的request包，服務器才會返回response，比如rdp協議；B類協議就是主動response，不需要你請求的，比如ssh協議；C類協議就是你需要你發request，但是哪怕格式不對也會返回錯誤信息的response，比如http協議。對于一個開放了非標準端口的A類協議，你如何確認是哪一個？你是準備幾百個協議挨個遍歷嗎？如果考慮網絡等待超時，一個端口的協議識別一次需要幾分鐘？這個問題將來可能會有一個算法來解決這個問題，但是現在還沒有，最后就是協議不在多而是在精確識別，你只要把幾個協議掌握好不要在乎協議數量。

軟件等級保護測評（簡稱“等級測評”）是指測評機構依據國家網絡安全等級保護制度規定，按照有關管理規范和技術標準，對非涉及國家秘密軟件信息系統安全等級保護狀況進行檢測評估的活動。通過進行網絡安全等級保護測評活動，能夠對信息系統安全防護體系能力進行分析與確認；發現存在的安全隱患；幫助運營使用單位認識不足，及時改進；有效提升其網絡安全防護水平；遵循國家等級保護有關規定的要求，對信息系統安全建設進行符合性測評。

軟件等級保護測評流程：

1.測評準備活動

測評準備活動的目標是順利啟動測評項目，收集定級對象相關資料，準備測評所需資料，為編制測評方案打下良好的基礎。測評準備活動包括工作啟動、信息收集和分析、工具和表單準備三項主要任務。

2.方案編制活動

方案編制活動的目標是整理測評準備活動中獲取的定級對象相關資料，為現場測評活動提供最基本的文檔和指導方案。方案編制活動包括測評對象確定、測評指標確定、測評內容確定、工具測試方法確定、測評指導書開發及測評方案編制六項主要任務。

3.現場測評活動

現場測評活動通過與測評委托單位進行溝通和協調，為現場測評的順利開展打下良好基礎，依據測評方案實施現場測評工作，將測評方案和測評方法等內容具體落實到現場測評活動中。現場測評工作應取得報告編制活動所需的、足夠的證據和資料。現場測評活動包括現場測評準備、現場測評和結果記錄、結果確認和資料歸還三項主要任務。

4.報告編制活動

在現場測評工作結束后，測評機構應對現場測評獲得的測評結果（或稱測評證據）進行匯總分析，形成等級測評結論，并編制測評報告。測評人員在初步判定單項測評結果后，還需進行單元測評結果判定、整體測評、系統安全保障評估，經過整體測評后，有的單項測評結果可能會有所變化，需進一步修訂單項測評結果，而后針對安全問題進行風險評估，形成等級測評結論。分析與報告編制活動包括單項測評結果判定、單元測評結果判定、整體測評、系統安全保障評估、安全問題風險評估、等級測評結論形成及測評報告編制七項主要任務。

狀態檢測防火墻主要檢測的信息如下：

• 應用狀態：能夠理解并學習各種協議和應用，以支持各種最新的應用；能從應用程序中收集狀態信息并存入狀態表中，以供其他應用或協議做檢測策略。

• 操作信息：狀態監測技術采用強大的面向對象的方法。

• 通信信息：防火墻的檢測模塊位于操作系統的內核，在網絡層之下，能在數據包到達網關操作系統之前對它們進行分析。

• 通信狀態：狀態檢測防火墻在狀態表中保存以前的通信信息，記錄從受保護網絡發出的數據包的狀態信息。

狀態檢測防火墻的優點如下：

• 安全性好：狀態檢測防火墻工作在數據鏈路層和網絡層之間，它從這里截取數據包，因為數據鏈路層是網卡工作的真正位置，這樣防火墻確保了截取和檢查所有通過網絡的原始數據包。防火墻截取到數據包就處理它們，首先根據安全策略從數據包中提取有用信息，保存在內存中；然后將相關信息組合起來，進行一些邏輯或數學運算，獲得相應的結論，進行相應的操作。狀態檢測防火墻雖然工作在協議棧較低層，但它檢測所有應用層的數據包，從中提取有用信息，如IP地址、端口號等，這樣安全性得到很大提高。

• 性能高效：狀態檢測防火墻工作在協議棧的較低層，通過防火墻的所有的數據包都在低層處理，而不需要協議棧的上層處理任何數據包，這樣減少了高層協議頭的開銷，執行效率提高很多；另外在這種防火墻中一旦一個連接建立起來，就不用再對這個連接做更多工作，系統可以去處理別的連接，執行效率明顯提高。

• 擴展性好：狀態檢測防火墻不像應用網關式防火墻那樣，每一個應用對應一個服務程序，這樣所能提供的服務是有限的，而且當增加一個新的服務時，必須為新的服務開發相應的服務程序，這樣系統的可擴展性降低。狀態檢測防火墻不區分每個具體的應用，只是根據從數據包中提取出的信息、對應的安全策略及過濾規則處理數據包，當有一個新的應用時，它能動態產生新的應用的新的規則，而不用另外寫代碼，所以具有很好的伸縮性和擴展性。

• 配置方便,應用范圍廣：狀態檢測防火墻不僅支持基于TCP的應用，而且支持基于無連接協議的應用。狀態檢測防火墻實現了基于UDP應用的安全，通過在UDP通信之上保持一個虛擬連接來實現。防火墻保存通過網關的每一個連接的狀態信息，允許穿過防火墻的UDP請求包被記錄，避免大量的無效連接占用過多的網絡資源，可以很好的降低DOS和DDOS攻擊的風險。

計算機病毒的生命周期可以分為以下幾個時期：

• 開發期：在幾年前，制造一個病毒需要計算機編程語言的知識。但是今天有一點計算機編程知識的人都可以制造一個病毒。通常，計算機病毒是一些試圖傳播計算機病毒和破壞計算機的個人或組織制造的。

• 傳染期：在一個病毒制造出來后，病毒的編寫者將其復制并確認其已被傳播出去。通常的辦法是感染一個流行的程序，然后再將其放到BBS站點、校園網和其他大型組織當中以達到分發其復制物的目的。

• 潛伏期：病毒是自然復制的。一個設計良好的病毒可以在活化前的很長一個時期里被復制。這就給了它充裕的傳播時間。這時病毒的危害在于暗中占據存儲空間。

• 發作期：帶有破壞機制的病毒會在滿足某一特定條件時發作。一旦遇上某種條件，比如遇到某個日期或用戶采取的某種特定行為，病毒就被活化了。沒有感染程序的病毒處于沒有活化的狀態，這時病毒的危害在于暗中占據存儲空間。

• 發現期：通常情況下，當一個病毒被檢測到并被隔離出來后，它會被送到計算機安全協會或反病毒廠家，在那里病毒被通報和描述給反病毒研究工作者。通常，發現病毒是在病毒成為計算機界的災難之前完成的。

• 分析期：在這一階段，反病毒開發人員修改他們的軟件以使其可以檢測到新發現的病毒。這個階段的長短取決于開發人員的素質和病毒的類型。

• 消亡期：若是所有用戶安裝了最新版的殺毒軟件，那么任何病毒都將被掃除，因此沒有什么病毒可以廣泛地傳播。但有一些病毒在消失之前有一個很長的消亡期。至今，還沒有哪種病毒已經完全消失，但是某些病毒已經在很長時間里不再是一個重要的威脅了。

主機型安全漏洞掃描器主要的功能：

• 重要資料鎖定：利用安全的Checksum（SHA1）來監控重要資料或程序的完整及真實性，如Index.html等。

• 密碼檢測：采用結合系統信息、字典和詞匯組合的規則來檢測易猜的密碼。

• 系統日志文件和文字文件分析：能夠針對系統日志文件，如UNIX的syslogs及NT的事件檢視（event log），及其他文字文件（Text files）的內容做分析。

• 動態式的警訊：當遇到違反掃描政策或安全弱點時提供實時警訊并利用email、SNMP traps、呼叫應用程序等方式回報給管理者。

• 分析報表：產生分析報表，并告訴管理者如何去修補漏洞。

• 加密：提供控制臺和代理之間的TCP/IP連接認證、確認和加密等功能。

• 安全知識庫的更新：主機型掃描器由中央控管并更新各主機代理的安全知識庫。

計算機信息系統安全保護等級最高是五級。信息系統受到破壞后，會對國家安全造成特別嚴重損害。國家信息安全監管部門對該級信息系統安全等級保護工作進行專門監督、檢查。

信息系統的安全保護等級分為以下五級，一至五級等級逐級增高：

第一級，信息系統受到破壞后，會對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會秩序和公共利益。第一級信息系統運營、使用單位應當依據國家有關管理規范和技術標準進行保護。

第二級，信息系統受到破壞后，會對公民、法人和其他組織的合法權益產生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全。國家信息安全監管部門對該級信息系統安全等級保護工作進行指導。

第三級，信息系統受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害。國家信息安全監管部門對該級信息系統安全等級保護工作進行監督、檢查。

第四級，信息系統受到破壞后，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害。國家信息安全監管部門對該級信息系統安全等級保護工作進行強制監督、檢查。

第五級，信息系統受到破壞后，會對國家安全造成特別嚴重損害。國家信息安全監管部門對該級信息系統安全等級保護工作進行專門監督、檢查。

攻擊型漏洞探測技術的原理如下：

• 該探測技術的主要思想是模擬網絡入侵的一般過程，對目標系統進行無惡意攻擊嘗試，若攻擊成功則表明相應安全漏洞必然存在。

• 模擬攻擊是最直接的漏洞探測技術，其探測結果的準確率也是最高的。

• 模擬攻擊技術也有其局限性，首先，模擬攻擊行為難以做到面面俱到，因此就有可能存在一些漏洞無法探測到；其次，模擬攻擊過程不可能做到完全沒有破壞性，對目標系統不可避免地會帶來一定的負面影響。模擬攻擊主要通過專用攻擊腳本語言、通用程序設計語言和成形的攻擊工具來進行。

信息型漏洞探測原理如下：

• 該探測技術的主要思想是大部分的網絡安全漏洞都與特定的目標狀態直接相關，因此只要對目標的此類信息進行準確探測就可以在很大程度上確定目標存在的安全漏洞。

• 該技術具有實現方便、對目標不產生破壞性影響的特點，廣泛應用于各類網絡安全漏洞掃描軟件中。

• 其不足之處是對于具體某個漏洞存在與否，難以做出確定性的結論。這主要是因為該 技術在本質上是一種間接探測技術，探測過程中某些不確定因素的影響無法完全消除。

• 為提高漏洞探測的準確率和效率，引進如下兩種改進措施： 順序掃描 技術，可以將收集到的漏洞和信息用于另一個掃描過程以進行更深層次的掃描 ——即以并行方式收集漏洞信息，然后在多個組件之間共享這些信息。 多重服務檢測技術，即不按照RFC 所指定的端口號來區分目標主機所運行的服務，而是 按照服務本身的真實響應來識別服務類型。

計算機網絡性能指標有以下這些：

• 速率：速率是指連接在計算機網絡上的主機在數字信道上傳送數據的速率。是計算機網絡中最重要的一個性能指標。當數據率較高時，就常常在bit/s的前面加上一個字母。速率往往是指額定速率或標稱速率，并非網絡上實際上運行的速率。

• 帶寬：帶寬：本意是指某個信號具有的頻帶寬度在計算機網絡中，帶寬指網絡的通信線路傳送數據的能力（單位時間內從網絡中的某一個點到另外一個點所能通過的最高數據率,帶寬的單位為bit/s）。

• 吞吐量：吞吐量表示單位時間內通過某個網絡（通信線路、接口）的實際的數據量。吞吐量受制于帶寬或者網絡的額定速率。

• 時延：時延(delay 或 latency)是指數據（一個報文或分組，甚至比特）從網絡(或鏈路)的一端傳送到另一端所需的時間。有時也稱為延遲或遲延。 時延由發送時延、傳播時延、處理時延、排隊時延組成。

• 時延帶寬積：時延帶寬積指傳播時延帶寬，表示一條鏈路上傳播的所有比特（以比特為單位）。如下圖，將管道的長度看做鏈路的傳播時延，管道的截面積是鏈路的帶寬，則時延帶寬積代表管道的體積，即表示這樣的鏈路可以容納多少個比特 ，不難看出，管道中的比特數表示從發送端發出的但未到達接收端的比特（因此鏈路的時延帶寬積又稱為以比特為單位的鏈路長度）。 對于一條正在傳送數據的鏈路，只有在代表鏈路的管道都充滿比特時，鏈路才得到了充分的利用。

• 往返時間RTT：往返時延 RTT (Round-Trip Time) 表示從發送端發送數據開始，到發送端收到來自接收端的確認（接收端收到數據后立即發送確認），總共經歷的時延。

• 利用率信道：利用率指出某信道有百分之幾的時間是被利用的（有數據通過）。完全空閑的信道的利用率是零。網絡利用率則是全網絡的信道利用率的加權平均值。信道利用率并非越高越好。

apt攻擊路徑渠道有以下這些：

• 以智能手機、平板電腦和USB等移動設備為目標和攻擊對象繼而入侵企業信息系統的方式。

• 社交工程的惡意郵件是許多APT攻擊成功的關鍵因素之一，隨著社交工程攻擊手法的日益成熟，郵件幾乎真假難辨。從一些受到APT攻擊的大型企業可以發現，這些企業受到威脅的關鍵因素都與普通員工遭遇社交工程的惡意郵件有關。黑客剛一開始，就是針對某些特定員工發送釣魚郵件，以此作為使用APT手法進行攻擊的源頭。

• 利用防火墻、服務器等系統漏洞繼而獲取訪問企業網絡的有效憑證信息是使用APT攻擊的另一重要手段。

預防抵抗APT攻擊的方法有以下這些：

• 使用威脅情報：這包括APT操作者的最新信息；從分析惡意軟件獲取的威脅情報；已知的C2網站；已知的不良域名、電子郵件地址、惡意電子郵件附件、電子郵件主題行；以及惡意鏈接和網站。威脅情報在進行商業銷售，并由行業網絡安全組共享。企業必須確保情報的相關性和及時性。威脅情報被用來建立“絆網”來提醒你網絡中的活動。

• 建立強大的出口規則：除網絡流量（必須通過代理服務器）外，阻止企業的所有出站流量，阻止所有數據共享和未分類網站。阻止SSH、FTP、Telnet或其他端口和協議離開網絡。這可以打破惡意軟件到C2主機的通信信道，阻止未經授權的數據滲出網絡。

• 收集強大的日志分析：企業應該收集和分析對關鍵網絡和主機的詳細日志記錄以檢查異常行為。日志應保留一段時間以便進行調查。還應該建立與威脅情報匹配的警報。

• 聘請安全分析師：安全分析師的作用是配合威脅情報、日志分析以及提醒對APT的積極防御。這個職位的關鍵是經驗。

• 對未知文件進行檢測：一般通過沙箱技術罪惡意程序進行模擬執行，通過對程序的行為分析和評估來判斷未知文件是否存在惡意威脅。

• 對終端應用監控：一般采用文件信譽與嘿白名單技術在終端上檢測應用和進程。

• 使用大數據分析方法：基于大數據分析的方法，通過網路取證，將大數據分析技術和沙箱技術結合全面分析APT攻擊。

訪問控制技術主要有3種類型分別為：

• 自主訪問控制

  自主訪問控制（Discretionary Access Control，DAC）是這樣的一種控制方式，由客體的屬主對自己的客體進行管理，由屬主自己決定是否將自己的客體訪問權或部分訪問權授予其他主體，這種控制方式是自主的。也就是說，在自主訪問控制下，用戶可以按自己的意愿，有選擇地與其他用戶共享他的文件。

• 強制訪問控制

  強制訪問控制（英語：mandatory access control，縮寫MAC）在計算機安全領域指一種由操作系統約束的訪問控制，目標是限制主體或發起者訪問或對對象或目標執行某種操作的能力。在實踐中，主體通常是一個進程或線程，對象可能是文件、目錄、TCP/UDP端口、共享內存段、I/O設備等。主體和對象各自具有一組安全屬性。每當主體嘗試訪問對象時，都會由操作系統內核強制施行授權規則——檢查安全屬性并決定是否可進行訪問。任何主體對任何對象的任何操作都將根據一組授權規則（也稱策略）進行測試，決定操作是否允許。在數據庫管理系統中也存在訪問控制機制，因而也可以應用強制訪問控制；在此環境下，對象為表、視圖、過程等。

• 基于角色訪問控制

  RBAC（Role-Based Access Control，基于角色的訪問控制），就是用戶通過角色與權限進行關聯。簡單地說，一個用戶擁有若干角色，每一個角色擁有若干權限。這樣，就構造成“用戶-角色-權限”的授權模型。在這種模型中，用戶與角色之間，角色與權限之間，一般者是多對多的關系。在系統訪問中，最終判斷的是當前用戶擁有哪些權限，以使用相關的權限進行業務處理。

軟件定義網絡涉及的安全技術有以下這些：

• 網絡建模和開放API技術：采用軟件定義網絡實現自動化主要依賴于軟件定義網絡控制器及協同層軟件系統。通過逐層向上抽象網絡建模以屏蔽下層技術實現細節，基于網絡模型的多層開放API來分解軟件定義網絡軟件系統復雜性和簡化可編程的相關問題，從而構建開放、可演進并支持多技術、多廠商、多域的軟件定義網絡軟件系統平臺。網絡建模是對網絡抽象的過程，因其抽象層次、抽象目標的不同而形成了不同的網絡抽象模型。

• 網絡虛擬化技術：下一代網絡虛擬化平臺的核心理念是將云計算的虛擬化思想應用到網絡領域，為用戶提供一個充分自控的虛擬網絡環境，徹底解決基礎網絡能力的開放問題，允許用戶自定義拓撲、自定義路由、自定義轉發。

• 多維路由算法技術：MCRA基于軟件定義網絡控制器獲得全網拓撲信息和鏈路使用信息，為每條業務計算滿足業務SLA需求的合理路徑，同時盡可能滿足一定的整網工程目標。例如，語音業務要求時延短，MCRA就會盡可能將其調度到最短路徑上。

• 可編程轉發平面技術：與傳統IP網絡轉發平面相比，控制與轉發分離后的軟件定義網絡轉發平面具有硬件結構更簡單、流量控制能力更精細、配置接口更開放等特點。目前主流的軟件定義網絡轉發平面主要由OpenFlow專用交換機，或者支持OpenFlow協議的交換機組成。前者專用于獨立的OpenFlow網絡環境；后者保留了傳統通用交換機的控制和管理功能，同時支持OpenFlow協議及其流表定義，因此又稱為混合交換機。

• 控制器相關技術：在軟件定義網絡的實際部署中，為了滿足擴展性和隱私性好以及網絡故障隔離等需求，通常將大的網絡劃分為多個自治域，每個域由一個或者多個控制器控制。每個軟件定義網絡控制器只能直接掌握本地的網絡視圖（如網絡拓撲、可達性、交換機處理能力、流表項以及網絡狀態等），為了向網絡用戶提供端到端的服務，不同域中的控制器之間需要進行一定的交互，從而構建全局的網絡視圖。東西向接口即軟件定義網絡控制器之間的接口，用于交換相關的控制信息。