應急響應常用工具有以下十種：

• ProcessHacker

  功能：ProcessHacker是一款不錯的進程分析工具，可查看所有進程信息，包括進程加載的dll、進程打開的文件、進程讀寫的注冊表……，也可以將特定進程的內存空間Dump到本地，此外還可以查看網絡連接。

• ProcessExplorer

  功能：ProcessExplorer是一款不錯的進程分析工具，微軟官方推薦工具，穩定性和兼容性相對不錯。可查看所有進程的信息，包括其加載的dll、創建的線程、網絡連接……，同樣可以Dump出進程的內存空間到本地。

• ProcessMonitor

  功能：ProcessMonitor是一款實時刷新的進程信息監控工具，微軟官方推薦工具，穩定性和兼容性也是相對出色。展示的信息很全面，且每一個打開的句柄、注冊表、網絡連接……都與具體的進程關聯起來。

• XueTr

  功能：XueTr是一個Windows系統信息查看軟件，可協助排查木馬、后門等病毒，功能包含：

  進程、線程、進程模塊、進程窗口、進程內存、定時器、熱鍵信息查看，殺進程、殺線程、卸載模塊等功能

  內核驅動模塊查看，支持內核驅動模塊的內存拷貝

  SSDT、Shadow SSDT、FSD、Keyboard、TCPIP、Classpnp、Atapi、Acpi、SCSI、Mouse、IDT、GDT信息查看，并能檢測和恢復ssdt hook和inline hook

  CreateProcess、CreateThread、LoadImage、CmpCallback、BugCheckCallback、Shutdown、Lego等Notify Routine信息查看，并支持對這些Notify Routine的刪除

  端口信息查看

  查看消息鉤子

  內核模塊的iat、eat、inline hook、patches檢測和恢復

  磁盤、卷、鍵盤、網絡層等過濾驅動檢測，并支持刪除

  注冊表編輯

  進程iat、eat、inline hook、patches檢測和恢復

  文件系統查看，支持基本的文件操作

  查看（編輯）IE插件、SPI、啟動項、服務、Host文件、映像劫持、文件關聯、系統防火墻規則、IME

  它一些手工殺毒時需要用到的功能，如修復LSP、修復安全模式等

• PCHunter

  功能：XueTr的增強版，功能和XueTr差不多，可參考上圖。推薦更多使用PCHunter，減少出故障的概率。

• Wireshark

  功能：Wireshark是一款常用的網絡抓包工具，同時也可以用于流量分析。

• AutoRuns

  功能：一款不錯的啟動項分析工具，微軟官方推薦。只要涉及到啟動項相關的信息，事無巨細，通通都可以查詢得到，非常方便找到病毒的啟動項。

• FastIR

  功能：收集操作系統的關鍵日志、關鍵信息，方便后續取證和排查分析。

• Hash

  功能：文件hash計算工具，可計算文件MD5、SHA1、CRC值，可用于輔助判斷文件是否被篡改，或者使用哈希值到威脅情報網站查看是否為惡意文件。

• D盾

  功能：D盾是迪元素科技的一款Webshell查殺工具。

加強網絡通信安全的措施有以下這些：

• 加強局域網安全防范：網絡監聽首先需要一臺局域網內的主機被設置為監聽裝置，利用這臺主機對整個局域網實時監聽。因此，加強局域網的整體安全是首要任務。

• 在局域網部署時建議使用交換機：從網絡監聽在兩種網絡工作模式中的實施可以看出，想要在交換機工作模式下實施網絡監聽需要額外做很多準備。因而，在部署局域網時應該采用交換機，使局域網工作于交換機模式，加大網絡被監聽的難度，也就減少了被監聽的可能性。

• 使用加密技術：攻擊者通過網絡監聽獲得數據報文之后就是進行數據分析，很多協議默認使用明文進行傳輸，也就導致了敏感信息的泄露。如果在協議報文傳輸過程中對敏感信息進行加密，那么，即使攻擊者捕獲了通信報文，也無法獲知報文中的內容。現在，很多廠商已經認識到了這個問題，比如瀏覽器中使用的HTTPS協議，使用Netscape的安全套接字（SSL）作為HTTP應用層的子層，對數據進行加解密、壓縮解壓縮等，很好地保證了用戶數據的安全性。

• 檢測局域網中是否存在實施監聽的主機：由于正常的計算機網卡只響應發給主機的報文，而處于混雜模式的計算機網卡則可以響應任意報文，因而，用戶或者網絡管理人員可以通過使用偽造的MAC地址發送ICMP請求報文或者非廣播的ARP報文去探測局域網中是否存在實施監聽的主機。當然，也可以使用一些反監聽軟件進行檢測，如Anti-Sniff。

• 部署防火墻：通過防火墻技術能夠收集計算機網絡在運行的過程當中的數據傳輸、信息訪問等多方面的內容，同時對收集的信息進行分類分組，借此找出其中存在安全隱患的數據信息，采取針對性的措施進行解決，有效防止這些數據信息影響到計算機網絡的安全。

DHCP的設計目標有以下這些：

• DHCP應該是一種機制而不是策略，它必須允許本地系統管理員控制配置參數，本地系統管理員應該能夠對所希望管理的資源進行有效管理。

• 客戶不需要進行手工配置，客戶應該在不參與的情況下發現合適于本地機的配置參數，并利用這些參數加以配置。

• 不需要對單個客戶配置網絡。在通常情況下，網絡管理員沒有必須輸入任何預先設計好的用戶配置參數。

• DHCP不需要在每個子網上要一個服務器。為了經濟的原因，DHCP服務器必須可以和路由器、BOOTP轉發代理一起工作。

• DHCP客戶必須可能對多個DHCP服務器提供的服務做出響應。出于網絡穩定與安全的考慮，有時需要為網絡加入多個DHCP服務器。

• DHCP必須靜態配置，而且必須以現存的網絡協議實現。

• DHCP必須能夠和BOOTP轉發代理互操作。

• DHCP必須能夠為現有的BOOTP客戶提供服務。下面幾個設計目標是對于網絡層參數的設計而言的，在網絡層參數上，DHCP必須可以做到以下幾點。

• 不允許有幾個客戶同時使用一個網絡地址。

• 在DHCP客戶重新啟動后，仍然能夠保留它原先的配置參數，如果可能，客戶應該被指定為相同的配置參數。

• 在DHCP服務器重新啟動后，仍然能夠保留客戶的配置參數，如果可能，即使DHCP機制重新啟動，也應該能夠為客戶分配原有的配置參數。

• 能夠為新加入的客戶自動提供配置參數。

信息安全等級保護是指對國家安全、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統分等級實行安全保護，對信息系統中使用的信息安全產品實行按等級管理，對信息系統中發生的信息安全事件分等級響應、處置。

保護標準如下：

• 計算機信息系統安全等級保護劃分準則 （GB 17859-1999） （基礎類標準）

• 信息系統安全等級保護實施指南 （GB/T 25058-2010） （基礎類標準）

• 信息系統安全保護等級定級指南 （GB/T 22240-2008） （應用類定級標準）

• 信息系統安全等級保護基本要求 （GB/T 22239-2008） （應用類建設標準）

• 信息系統通用安全技術要求 （GB/T 20271-2006） （應用類建設標準）

• 信息系統等級保護安全設計技術要求 （GB/T 25070-2010） （應用類建設標準）

• 信息系統安全等級保護測評要求 （應用類測評標準）

• 信息系統安全等級保護測評過程指南 （應用類測評標準）

• 信息系統安全管理要求 （GB/T 20269-2006） （應用類管理標準）

• 信息系統安全工程管理要求 （GB/T 20282-2006） （應用類管理標準）

網絡安全評估服務主要包括如下內容：

• 審核企業安全架構中相關的人員及過程，包括策略、組織、人員、資產、風險評估及最小化、物理安全、訪問控制、網絡和計算機的管理、事物的連續性、系統發展的規劃、最佳實踐及調整的順序。

• 審核整個企業內部網絡中每臺聯網主機的開放端口及存在的相應的安全隱患。

• 審核整個企業內部網絡中每臺聯網主機使用的網絡協議及應用，確保應用與安全的統一，保證安全的最大化。

• 審核整個企業內部網絡的設計，確定以業務功能為基礎的資產分段和訪問上的有效性。

• 詳細正式的評估報告，包括詳細的長期及短期改進的建議。

針對僵尸網絡的反制方法有以下這些：

• 采用Web過濾服務：Web過濾服務是迎戰僵尸網絡的最有力武器。這些服務掃描Web站點發出的不正常的行為，或者掃描已知的惡意活動，并且阻止這些站點與用戶接觸；

• 轉換瀏覽器：防止僵尸網絡感染的另一種策略是瀏覽器的標準化，而不是僅僅依靠主流的瀏覽器廠商來進行還是要加強自身瀏覽器的安全；

• 禁用腳本：這是一種極端的防御措施，直接禁用瀏覽器腳本功能，這樣可以完全防止瀏覽器被僵尸程序控制，但這會影響到正常的工作效率；

• 部署防御系統：調整你的入侵檢測系統和入侵防御系統的規則，使之查找有僵尸特征的活動。這樣可以從邊界處解決僵尸網絡的入侵和傳播；

• 保護用戶生成的內容：保護你內網或者web網絡的使用者所產生的各種信息，將這些信息保護并檢查，以防止僵尸程序借助這些信息來傳播，使這些用戶成為幫兇；

• 使用補救工具：如果你發現了一臺被感染的計算機，那么一個臨時應急的重要措施就是如何進行補救，一般就是使用專門針對僵尸網絡的查殺工具進行掃描查殺；

• 限制用戶的訪問：不要讓你的用戶訪問已知的惡意站點，并監視網絡中的可疑行為，保護你的公共站點免受攻擊，你的網絡就基本上處于良好狀態。

訪問堡壘機一般使用ssh協議也就是使用的22端口，如果是通過網頁使用https則是443端口，http則是80端口，這些端口號都是默認情況下，如果堡壘機進行了設置或者不是第一次使用的堡壘機用這些端口是無法進行訪問的。還有部分堡壘機的訪問端口是隨機的這種情況就需要給用戶關聯兩個端口，分別是登錄端口和高端口，這樣當網絡出現問題，用戶不能登錄的時候，就可以采用受管機器提供的高端口進行訪問。

堡壘機有六大核心功能：登錄功能、賬號管理、身份認證、資源授權、訪問控制、操作審計。

• 登錄功能

  支持對X11、linux、unix、數據庫、網絡設備、安全設備等一系列授權賬號進行密碼的自動化周期更改，簡化密碼管理，讓使用者無需記憶眾多系統密碼，即可實現自動登錄目標設備，便捷安全。

• 賬號管理

  設備支持統一賬戶管理策略，能夠實現對所有服務器、網絡設備、安全設備等賬號進行集中管理，完成對賬號整個運行周期的監控，并且可以對設備進行特殊角色設置如：審計巡檢員、運維操作員、設備管理員等自定義設置，以滿足審計需求。

• 身份認證

  設備提供統一的認證接口，對用戶進行認證，支持身份認證模式包括動態口令、靜態密碼、硬件key 、生物特征等多種認證方式。設備具有靈活的定制接口，可以與其他第三方認證服務器之間結合。安全的認證模式，有效提高了認證的安全性和可靠性。

• 資源授權

  設備提供基于用戶、目標設備、時間、協議類型IP、行為等要素實現細粒度的操作授權，最大限度保護用戶資源的安全。

• 訪問控制

  設備支持對不同用戶進行不同策略的制定。細粒度的訪問控制能夠最大限度地保護用戶資源的安全，嚴防非法、越權訪問事件的發生。

• 操作審計

  設備能夠對字符串、圖形、文件傳輸、數據庫等全程操作行為審計。通過設備錄像方式實時監控運維人員對操作系統、安全設備、網絡設備、數據庫等進行的各種操作，對違規行為進行事中控制。對終端指令信息能夠進行精確搜索，進行錄像精確定位。

TLS 協議有以下功能：

慢啟動：

每當建立一個TCP連接時或一個TCP連接發生超時重傳后，該連接便進入慢啟動階段。進入慢啟動后，TCP實體將擁塞窗口的大小初始化為一個報文段，即：cwnd=1。此后，每收到一個報文段的確認（ACK），cwnd值加1，即擁塞窗口按指數增加。當cwnd值超過慢啟動閩值（sshterhs）或發生報文段丟失重傳時，慢啟動階段結束。前者進人擁塞避免階段，后者重新進人慢啟動階段。

擁塞避免：

在慢啟階段，當cwnd值超過慢啟動闡值（ssthresh）后，慢啟動過程結束，TCP連接進入擁塞避免階段。在擁塞避免階段，每一次發送的cwnd個報文段被完全確認后，才將cwnd值加1。在此階段，cwnd值線性增加。

快速重傳：

快速重傳是對超時重傳的改進。當源端收到對同一個報文的三個重復確認時，就確定一個報文段已經丟失，因此立刻重傳丟失的報文段，而不必等到重傳定時器（RTO）超時。以此減少不必要的等待時間。

快速恢復：

快速恢復是對丟失恢復機制的改進。在快速重傳之后，不經過慢啟動過程而直接進人擁塞避免階段。每當快速重傳后，置sshtesrh=cwnd/2、ewnd=ssthresh+3。此后，每收到一個重復確認，將cwnd值加1，直至收到對丟失報文段和其后若干報文段的累積確認后，置cwnd=ssthesrh，進人擁塞避免階段。

網絡風險的基本特性表現在以下方面：

• 不確定性：風險最本質、最突出的特性就是不確定性。不確定性就是缺乏或者部分缺乏對事件、事件后果，以及事件發生可能性的相關信息的了解或認知的一種狀態

• 客觀性：風險不以人的意志為轉移，是獨立于人的意識之外的客觀存在。例如，自然界的地震、臺風、洪水，社會領域的戰爭、瘟疫、沖突、意外事故等，都是不以人的意志為轉移的客觀存在。

• 普遍性：人類的歷史就是與各種風險相伴的歷史。風險存在于一切事物之中，并且貫穿于每一事物的整個生命周期，事事有風險，時時有風險。

• 必然性：風險是事物發展、變化過程中不可避免的一種存在趨勢。人們只能在一定的時間和空間內改變風險存在和發生的條件，降低風險發生的頻率和損失程度，但是從總體上說，風險是不可能徹底消除的。

• 相對性：風險的性質會因時間、空間因素的不斷變化而發展變化。

• 時效性：影響風險的各種因素隨著時間的變化而變化，進而導致風險也隨著時間的推移而產生變化。

• 損失性：風險的發生會給人們帶來損失。只要有風險存在，就會有發生損失的可能性。

• 社會性：風險的后果與社會的相關性決定了風險的社會性，具有很大的社會影響。

• 可識別性：通過分析事物的內部因素和外部因素，采取一定的方法可以識別出風險。

• 可控性：通過采取一定的控制措施對風險進行事前識別、預測，并通過一定的手段來防范、化解風險，能夠把風險控制在一定的范圍內。

傳統防火墻存在：

• 無法檢測加密的Web流量

由于網絡防火墻對于加密的SSL流中的數據是不可見的，防火墻無法迅速截獲SSL數據流并對其解密，因此無法阻止應用程序的攻擊，甚至有些網絡防火墻，根本就不提供數據解密的功能。

• 普通應用程序加密后，也能輕易躲過防火墻的檢測

網絡防火墻無法看到的，不僅僅是SSL加密的數據。對于應用程序加密的數據，同樣也不可見。在如今大多數網絡防火墻中，依賴的足靜態的特征庫，與入侵監測系統(IDS, Intrusion Detect System)的原理類似。只有當應用層攻擊行為的特征與防火墻中的數據庫中已有的特征完全匹配時，防火墻才能識別和截獲攻擊數據。

但如今，采用常見的編碼技術，就能夠地將惡意代碼和其他攻擊命令隱藏起來，轉換成某種形式，既能欺騙前端的網絡安全系統，又能夠在后臺服務器中執行。這種加密后的攻擊 代碼，只要與防火墻規則庫中的規則不一樣，就能夠躲過網絡防火墻，成功避開特征匹配。

• 對于Web應用程序，防范能力不足

由于體系結構的原因，即使足最先進的網絡防火墻，在防范Web應用程序時，由于無法全面控制網絡、應用程序和數據流，也無法截獲應用層的攻擊。由于對于整體的應用數據流，缺乏完整的、基于會話(Session)級別的監控能力，因此很難預防新的末知的攻擊。

• 應用防護特性，只適用于簡單情況

目前的數據中心服務器，時常會發生變動，比如:

(1)定期需要部署新的應用程序;

(2)經常需要增加或更新軟件模塊;

(3)QA們經常會發現代碼中的bug，已部署的系統需要定期打補丁。

在這樣動態復雜的環境中，安全專家們需要采用靈活的、粗粒度的方法，實施有效的防護策略。

• 無法擴展帶深度檢測功能

基于狀態檢測的網絡防火墻，如果希望只擴展深度檢測( deep inspection)功能,而沒有相應增加網絡性能，這是不行的。

真正的針對所有網絡和應用程序流量的深度檢測功能，需要空前的處理能力,來完成大量的計算任務，包括以下幾個方面:

(1)SSL加密/解密功能;

(2)完全的雙向有效負載檢測;

(3)確保所有合法流量的正常化;

(4)廣泛的協議性能;

這些任務，在基于標準PC硬件上，是無法高效運行的，雖然一些網絡防火墻供應商采用的是基于ASIC的平臺，但進一步研究，就能發現:舊的基于網絡的ASIC平臺對于新的深度檢測功能是無法支持的。

入侵檢測的作用主要體現在以下這些方面：

• 監控、分析用戶和系統的活動；

• 審計系統的配置和弱點；

• 評估關鍵系統和數據文件的完整性；

• 識別攻擊的活動模式；

• 對異常活動進行統計分析；

• 對操作系統進行審計跟蹤和管理，識別違反政策的用戶活動。

以下是在linux系統下使用命令行進行漏洞掃描方法：

1. 打開VMware啟動linux虛擬機；

2. 打開linux的終端窗口；

3. 可以使用”lynis audit system remote 目標地址”命令借助lynis工具進行掃描；

4. 可以使用”nmap -sS -sV -n -p1-65535 -oX tcp.xml 目標地址”命令借助nmap工具掃描目標地址所開放的端口；

5. 可以使用”nikto -host/-h 網站地址”命令借助nikto進行掃描；

確定定級對象安全保護等級的一般流程如下：

1. 確定受到破壞時所侵害的客體

   • 確定業務信息受到破壞時所侵害的客體。

   • 確定系統服務安全受到破壞時所侵害的客體。

2. 確定對客體的侵害程度

   • 根據不同的受侵害客體，分別評定業務信息安全被破壞對客體的侵害程度。

   • 根據不同的受侵害客體，分別評定系統服務安全被破壞對客體的侵害程度。

3. 確定安全保護等級

   • 確定業務信息安全保護等級。

   • 確定系統服務安全保護等級。

   • 將業務信息安全保護等級和系統服務安全保護等級的較高者確定為定級對象的安全保護等級。

安全的數字簽名體制要滿足以下條件：

• 簽名不能偽造：簽名是簽名者對文件內容認同的證明，其他人無法對簽名進行偽造。

• 簽名不可抵賴：這是對簽名者的約束，簽名者對文件施行簽名以后，不能否認自己的簽名行為。

• 文件在簽名后不可改變：在簽名者對文件簽名以后，其他人不能再修改文件內容。

• 簽名不可重復使用：可以采用增加時間標記或者序號標記的方法，防止簽名被攻擊者重復使用。

• 簽名容易驗證：對于簽名的文件，一旦發生簽名真偽性方面的糾紛，任何第三方都可以準確、有效地進行仲裁。

信息系統安全主動防護技術有以下這些：

• 主動防護技術：一般有數據加密、安全掃描、網絡管理、網絡流量分析和虛擬網絡等技術。網絡安全性隱患掃描也稱為網絡安全性漏洞掃描，它是進行網絡安全性風險評估的一項重要技術，也是網絡安全防護技術中的一項關鍵性的技術。其原理是采用模擬黑客攻擊的形式對目標可能存在的已知安全漏洞和弱點進行逐項掃描和檢查。目標可以是工作站、服務器、交換機、數據庫應用等各種對象。根據掃描結果向系統管理員提供周密可靠的安全性分析報告，為提高網絡安全整體水平提供重要依據。

• 網絡管理技術：網絡管理系統具有對整個管理系統的趨勢進行跟蹤并相應采取措施的能力，快速部署應用程序和管理工具，通過提供集成化視圖來管理支持業務程序的IT系統，并視業務政策和目標的變化進行動態調整，能夠根據其監視或檢測到的情況實施管理活動。

• 網絡流量分析技術：網絡流量分析系統提供了用戶上網行為分析、異常流量實時監測、歷史流量分析報表到流量趨勢預警等功能，涵蓋了網絡流量分析的所有細節，可以通過日報、周報、月報的標準報表、對照報表、趨勢分析報表等多種格式報告流量分析結果。

• 帶寬管理技術：帶寬管理系統可以使廣域網或互聯網上運行的應用程序提高運行效率。帶寬管理系統可以控制網絡表現，使之與應用程序的特點、業務運作的要求以及用戶的需求相適應，然后，提供驗證結果。

• VLAN技術：VLAN（虛擬網）把網絡上的用戶（終端設備）劃分為若干個邏輯工作組，每個邏輯工作組就是一個VLAN。可以靈活地劃分VLAN，增加或刪除VLAN成員。當終端設備移動時，無須修改它的IP地址。在更改用戶所加入的VLAN時，也不必重新改變設備的物理連接。

• VPN（虛擬專用網）采用加密和認證技術：利用公共通信網絡設施的一部分來發送專用信息，為相互通信的節點建立起一個相對封閉的、邏輯的專用網絡，通過物理網絡的劃分，控制網絡流量的流向，使其不要流向非法用戶，以達到防范目的。

• 數據加密技術：密碼技術是保護信息安全的主要手段之一，不僅具有信息加密功能，而且具有數字簽名、身份驗證、秘密分存、系統安全等功能。所以，使用密碼技術不僅可以保證信息的機密性，而且可以保證信息的完整性和正確性，防止信息被篡改、偽造或假冒。