1)设备安全

信息系统设备的安全是信息系统安全的

(1)设备的稳定性：设备在一定时间内不出故障的概率。

(2)设备的可靠性：设备能在一定时问内正常执行任务的概率。

(3)设备的可用性：设备随时可以正常使用的概率。

信息系统的设备安全是信息系统安全的物质基础。除了硬件设备外，软件系统也是一种设备，也要确保软件设备的安全。

2)数据安全

其安全属性包括秘密性、完整性和可用性。很多情况下，即使信息系统设备没有受到损坏，但其数据安全也可能已经受到危害，如数据泄露、数据篡改等。由于危害数据安全的行为具有较高的隐蔽性，数据应用用户往往并不知情，因此，危害性很高。

3)内容安全

内容安全是信息安全在政治、法律、道德层次上的要求。

4)行为安全

数据安全本质上是一种静态的安全，而行为安全是一种动态安全。

众所周知，后门攻击很难检测到。实际上，许多用户在攻击发生前几周，几个月甚至几年都没有意识到系统中存在的后门。

1.使用防病毒软件 您应该拥有 可以检测并防止恶意软件和恶意攻击的高级防病毒软件。许多后门是通过RAT，木马和其他类型的恶意软件安装的，因此，必须安装能够检测到此类威胁的防病毒工具，这一点至关重要。

2.使用防火墙和网络监视工具

您的防病毒软件应提供防火墙和网络监视功能，并将其作为安全套件的一部分。防火墙仅将访问权限授予授权用户。一个强大的网络监控工具可以帮助保证任何可疑的活动-如擅自上传或下载。

如果你的电脑或者服务器里面的文件被黑客看中且已经中了勒索病毒，这个要看这个病毒的版本和种类，现在很多病毒一旦把你的磁盘锁了如果不给黑客付款很少有办法把文件恢复出了。

这种情况只有提高自身安全意识，现在勒索病毒种类太多，版本太多。可以提前在计算器上安装杀毒软件或者反勒索软件，一旦发现计算机有中毒症状先拔掉网线，最后还是要加强自身安全意识，不要访问不安全的网站和随便在网站上下载软件。

另外最重要的是日常要养成备份的好习惯。

DOM型xss其实是一种特殊类型的反射型xss,它是基于DOM文档对象模型的一种漏洞。DOM型的xss实现都在前台执行先看文本框，查看源码。源码如下：

cinput name=' 'search" type=" text" value="ABCDEFG" required="">

我们将其闭合:

"><scrip>alert(document.cookie)</script>

将其放在搜索框里即可,这就是常见payload构建。

网闸是一个缩写，网闸的全称是（安全隔离与信息交换系统），使用一种专用的隔离芯片在电路上切断内外网连接的一种设备，并能够在网络间进行安全适度的应用数据交换。

网闸是一种网络隔离技术，网闸对于每个应用都是在应用层进行处理，并且策略需按照应用逐个下达，同时对于目的地址也要特别指定，因此内部主机上的木马是无法实现将数据外泄的。并且木马主动发起的对外连接也将直接被隔离设备切断。由于隔离网闸的主机系统把TCP/IP协议头全部剥离，以原始数据方式在两主机系统间进行“摆渡”，网闸的接受请求的主机系统与请求主机之间建立会话。

钓鱼邮件指利用伪装的电邮，欺骗收件人将账号、口令等信息回复给指定的接收者；或引导收件人连接到特制的网页，这些网页通常会伪装成和真实网站一样，如银行或理财的网页，令登录者信以为真，输入信用卡或银行卡号码、账户名称及密码等而被盗取。这种电子邮件，就叫做钓鱼邮件。

从某种意义来说，一封成功的钓鱼邮件和日常普通的邮件并没有什么太多的不同。不过我们还是可以通过很多细节去分辨。

如何辨别钓鱼邮件

1、看发件人地址。如果是公务邮件，发件人多数会使用工作邮箱，如果发现对方使用的是个人邮箱帐号或者邮箱账号拼写很奇怪，那么就需要提高警惕。钓鱼邮件的发件人地址经常会进行伪造，比如伪造成本单位域名的邮箱账号或者系统管理员账号。

2、看发件的日期。公务邮件通常接收邮件的时间在工作时间内，如果收到邮件是非工作时间，需要提高警惕。比如，凌晨3点钟。

4、看正文内容。不要轻易点邮件中的链接地址，若包含“&redirect”字段，很可能就是钓鱼链接；有些垃圾邮件正文中的“退订”按钮可能是虚假的，点击之后可能会收到更多的垃圾邮件，或者被植入恶意代码。

5、看附件内容。不要随意点击下载邮件中的附件，word、pdf、excel、PPT、rar等文件都可能植入木马或间谍程序，尤其是附件中直接带有后缀为.exe、.bat的可执行文件，千万不要点击。

桌面安全管理(又称终端安全管理)是为企业级用户提供全面高效的计算机设备管理手段，监控企业内IT环境的变化，保障计算机设备正常运行，大幅度降低维护成本，帮助企业用户管理好计算机设备。

桌面安全管理系统是基于企业电脑桌面端的内网安全管理软件系统。一般分为桌面端应用策略管理、远程桌面维护、网络访问策略、移动存储设备管理、系统补丁统一分发和企业资产管理等等功能。

而桌面安全管理系统的应用策略管理和网络访问策略管理功能保证企业计算机使用和访问授权应用程序和网站，这就极大的避免了风险程序的运行和传播，保证了企业的信息安全。

同时，桌面安全管理系统中的移动存储设备管理功能是为了防止企业敏感数据通过移动存储设备外泄而产生，使得企业计算机能够在授权和监控下使用U盘等设备，极大了保证企业的数据安全。并且，很多桌面安全管理系统如Enhance的桌面安全管理产品还具备如http、smtp、ftp等多种形式的网络文件传输监测技术，能够在不影响企业使用互联网高效便捷特性的同时避免企业数据在联网情况下非法传出。

身份识别的限制：门锁，门禁，保险箱，登录密码，看门的狗
付费识别限制：点餐小票，地铁闸机，年费会员，一只干净的碗
顺序限制：号码牌，预约短信，九连环，象棋规则
行为限制：法律，列车烟雾报警，围墙，屏风，足球规则。

SSL验证发件人的身份，但是一旦将数据传输到服务器，它就不提供安全性。最好使用服务器端加密和散列来保护服务器免遭数据泄露。

SSL协议实现的安全机制包括：

数据传输的机密性：利用对称密钥算法对传输的数据进行加密。

身份验证机制：基于证书利用数字签名方法对服务器和客户端进行身份验证，其中客户端的身份验证是可选的。

消息完整性验证：消息传输过程中使用MAC算法来检验消息的完整性。

DHCP饱和攻击

第一次攻击包括用大量请求耗尽DHCP服务器的IP地址池。

攻击者使用不同的MAC地址发送许多DHCP请求，从而导致使用所有可用的IP地址。所有将尝试连接到网络的新计算机都将没有任何IP。

然后，攻击者可以将其工作计算机配置为服务于新计算机的新DHCP服务器。

在DHCP租约中，将传输有关默认网关和DNS的信息。攻击者可以向新手提出租约，说他是默认网关，该网关允许“中间人”攻击：主机发送的每个数据包都将通过攻击者计算机。

DHCP流氓服务器攻击

攻击的目标是在网络中引入恶意DHCP服务器，该服务器将响应客户端请求。

为了获得成功，您必须比初始DHCP服务器更快地响应DHCP发现请求。这可以通过多种方式完成：

通过对当前的DHCP服务器发起DoS攻击：这将导致更长的响应时间，这为您带来了优势。

通过在攻击者计算机上重新实现DHCP：DHCP服务器通常会执行其他操作（DNS，网关…）。基本上，与简单的DHCP服务器相比，它们花费更多的时间进行响应。此外，他们必须查看其缓存以查看IP地址是否已被分配，等等。因此，通过实现一个DHCP服务器，该服务器将使用硬编码的IP地址直接响应DHCP发现请求，有可能快点。

实际上，您必须提高两倍速度：答复DHCP发现并发送DHCP确认以确认报价。

周期性地检查你的账户，包括信用卡记录，银行账单，下载你的免费信用记录以及为你的财政账号设立一个改动通知

你的社会安全码或者名字，用以伪造身份。犯罪分子可能利用你的名字来申请信用卡，使用你的赋税基金或使用你的个人信息来得到医疗护理。在有人冒用你的个人信息之后，你可能并不会发现，直到你的信用卡里多了一笔奇怪的扣款、接到一个意料之外的欠费电话或者个人信用分数降低的通知。

相反，安装SSL证书后网站访问速度不仅不会变慢，而且速度会加快。

想要了解这个问题就要知道SSL证书的工作原理。

SSL证书可确保Web服务器和Web浏览器之间的安全连接。为了进行此安全连接，必须进行TLS握手。TLS握手是一个术语，用于表示双方同意通过交换公钥来启动安全通信的过程。用Layman的语言，TLS握手就像同级握手一样。只有他们知道拍手的具体组合，击掌动作以及将它们视为小组成员的其他动作。

TLS握手的任务是执行一些加密功能，这些功能有助于使您网站的访问者能够通过HTTPS协议连接到网站。第一个密码功能是特定参数和密码套件的交换。此功能是建立服务器和访客浏览器都支持的加密功能的关键。TLS握手过程还涉及交换双方的身份验证。最后的加密功能是交换公共密钥以及生成对称会话密钥。对称会话密钥对于在TLS握手后执行通信加密和解密角色非常重要。

握手完成后，用户可以安全地向您的网站发送和接收信息，而不会拦截信息。通过HTTPS协议传输的信息也不受中间人攻击，域欺骗和其他旨在拦截信息并将其用于恶意目的的黑客的攻击。TLS将确保与用户交互的网站实际上是他们打算与之交互的网站。TLS还可以防止黑客更改数据。为此，将消息验证码（MAC）附加到正在发送的信息上。

网站安装完ssl证书以后就表示网站从http协议转换成为HTTPS协议了，也就是说网站运行访问过程中越来越安全了，但是很多人不想升级为HTTPS的原因就是觉得HTTPS会比HTTP多一次握手环节，会导致网络访问速度过慢。其实这个环节耗费的时间可能只有几百毫秒，都达不到1秒，甚至你网速都比他慢，所以从根本来说这个ssl证书的安装不会导致网站访问速度过慢。

webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境，也可以将其称做为一种网页后门。

黑客通过浏览器以HTTP协议访问Web Server上的一个CGI文件，是一个合法的TCP连接，TCP/IP的应用层之下没有任何特征，只能在应用层进行检测。黑客入侵服务器，使用webshell，不管是传文件还是改文件，必然有一个文件会包含webshell代码，很容易想到从文件代码入手，这是静态特征检测；webshell运行后，B/S数据通过HTTP交互，HTTP请求/响应中可以找到蛛丝马迹，这是动态特征检测。

静态检测

静态检测通过匹配特征码，特征值，危险函数函数来查找webshell的方法，只能查找已知的webshell，并且误报率漏报率会比较高，但是如果规则完善，可以减低误报率，但是漏报率必定会有所提高。

优点是快速方便，对已知的webshell查找准确率高，部署方便，一个脚本就能搞定。缺点漏报率、误报率高，无法查找0day型webshell，而且容易被绕过。

静态检测配合人工

动态检测

Linux下就是nobody用户起了bash，Win下就是IIS User启动cmd，这些都是动态特征。再者如果黑客反向连接的话，那很更容易检测了，Agent和IDS都可以抓现行。Webshell总有一个HTTP请求，如果我在网络层监控HTTP，并且检测到有人访问了一个从没反问过得文件，而且返回了200，则很容易定位到webshell，这便是http异常模型检测，就和检测文件变化一样，如果非管理员新增文件，则说明被人入侵了。

缺点也很明显，黑客只要利用原文件就很轻易绕过了，并且部署代价高，网站时常更新的话规则也要不断添加。

日志检测

使用Webshell一般不会在系统日志中留下记录，但是会在网站的web日志中留下Webshell页面的访问数据和数据提交记录。日志分析检测技术通过大量的日志文件建立请求模型从而检测出异常文件，称之为：HTTP异常请求模型检测。

语法检测

实现关键危险函数的捕捉方式

统计学检测

webshell由于往往经过了编码和加密，会表现出一些特别的统计特征，根据这些特征统计学习。 典型的代表: NeoPI – https://github.com/Neohapsis/NeoPI

1.防病毒网关是网络协议的数据防范层面，防火墙系统是应用软件的防护层面。

2.一般认为防病毒网关包括以病毒扫描为首要的代理服务器；以及需要与防火墙配合使用的专用防病毒网关；而以防火墙功能为主，辅有部分防病毒过滤功能的产品，一般不认为算是正式的防病毒网关。

3.防病毒网关与防火墙的最大区别，前者主要基于协议栈工作，或称工作在OSI的第七层；而后者基于IP栈工作，即OSI的第三层。因此决定防火墙必须以管理所有的TCP/IP通讯为己任，而防病毒网关却是以重点加强某几种常用通讯的安全性为目的。因此，对于用户而言，两种产品并不存在互相取代的问题，防病毒网关是对防火墙的重要补充，而防火墙是更为基本的安全设备。

4.在实际应用中，防病毒网关的作用在于所监控的协议通讯中所带文件是否含有特定的病毒特征，防病毒网关并不能像防火墙一样组织攻击的发生，也不能防止蠕虫型病毒的侵扰，相反，防病毒网关本身或所在的系统可能成为网络入侵的目标，而这一切的保护，必须有防火墙完成。

常用的堡垒机有收费和开源两类。收费的有行云管家、纽盾堡垒机，开源的有jumpserver。选择的话大家可以去了解一下产品的优缺点，根据自己的需要选择。

这里推荐2款开源堡垒机产品：

1.Jumpserver 是全球首款完全开源的堡垒机，配备了业界领先的 Web Terminal 解决方案，交互界面美观、用户体验好。

2.CrazyEye是基于Python开发的一款简单易用的IT审计堡垒机,通过对原生ssh代码进行了部分修改，从而实现用户在登录堡垒机后，他所有的命令操作都将被实时抓取并写入审计日志，以供后期审计。