网络安全

一：敏感信息泄露 1.1什么属于敏感信息 只要这些数据可以被黑客看到，并且对黑客的攻击有帮助的信息，都属于敏感信息。 1.2什么是敏感信息泄露 敏感信息泄露，是指人们把不该公开的信息，给放入到公开的信息库中，造成敏感信息泄露。 1.3怎样检查敏感信息是否加密 需要通过抓包工具，检查数据在传输过程中是否加密。 1.4 常见敏感信息分类 1.4.1 软件泄漏 软件类： 1. 操作系统版本 ， 2.中间件的类型、版本 ， 3.Web程序(cms类型及版本、敏感文件) 1.4.2 Web敏感信息 phpinfo()信息泄漏 描述：Web站点的某些测试页面可能会使用到PHP的phpinfo()函数，会输出服务器的关键信息。如下图所示： 检测方法：访问http://[ip]/test.php 以及http://[ip]/phpinfo.php看是否成功。 修复方案：删除该PHP文件。 2.测试页面泄漏在外网 描述：一些测试页面泄漏到外网，导致外界误传公司被黑客入侵。如下图所示： http://parts.baby.qzoneapp.com/test.php http://other.baby.qzoneapp.com 检测方法：检测页面内容，看是否是测试页面。 修复方案：删除测试页面，例如test.cgi，phpinfo.php，info.pho， .svn/entries等。

网络层及网络层协议 网络层接收传输层的数据报文，分段为合适的大小，用IP报文头部封装，交给数据链路层。设备是路由器。 IP协议工作在网络层 。。。。ARP协议，RARP协议，ICMP协议。 ARP协议：地址解析协议，存在于IPv4中。IPv6中有NDP。 RARP协议：反向地址转换协议， ICMP协议：是一种面向无连接的协议，用于传输出错报告控制信息。 借的书本时常不在身边，本文转向计算机网络技术（吉大版） 数据同步方式 同步传输 ：以数据块为单位，数据块之间的时间间隔固定，每个数据库带有时序信息。数据块成为数据帧，或简称为帧。 异步传输 ：以字符为单位，接收方通过 字符起始和停止 确定接受信息 总线型拓扑结构- CSMA/CD ：应用在数据链路层，其原理：先听后发，边听边发，冲突停发，随机延迟后重发。 发生冲突时， 退避算法 。 FDDI ：（局域网），由光纤组成，基本结构为逆向双环。 令牌环 ： 异步传输模式ATM :在LAN和WAN上传送声音，视频图像和数据的宽带技术。它是一项信元中继技术，数据分组大小固定。分层：物理层，ATM层，ATM适配层。 VPI（虚通道标识符）和VCI（虚同路表示符）一起唯一地标识一条虚通路。 IP地址 ：IPv4和IPv6。 子网掩码 :32位IP地址和32位子网掩码做“与”运算，得到该IP地址的网络地址。可以判断是否属于同一网段。 网络号位

一、背景概述 1、需求分析 电网目前的系统现状如下： （1）主要分生产环境和测试环境（地市）两个机房，两个机房物理隔离，但目前存在某些跳板机制，从测试环境机房，可以拿到存在堡垒机的一些信息，达到获取数据的目的，是一个不可忽视的安全隐患。 （2）数据库目前将近300多套，以Oracle（其中大部分版本为11.0.2.0.4，小部分为12C）为主，有少量SQL Server，DB2，MySQL，还有4套达梦数据库（其中两套用于生产环境）。 （3）服务器大约有200台，其中以Linux、X86居多，重要的应用服务器AIX（小型机）为主，约50-60台，主要跑企业级的应用，如生产、营销、人力资源、资产等6+1全省集中的业务系统。 二、总体设计 针对电网的安全需求，为了保证电网信息系统的数据安全，中安威士构建数据安全防护平台，通过可视、可控、存储安全的方式达到数据的安全防护。 1、数据可视化：无论是生产环境、测试环境，还是通过堡垒机访问数据库，都可以实时记录数据库的访问情况及风险状况，及时发现数据的异常活动状况和风险，并进行告警；还能针对各种异常活动提供事后追查的机制。 2、数据可控化：对敏感数据进行脱敏处理，确保运维及开发、测试人员只能看到模糊化后的数据，防止真实数据的外泄及损坏。 3、数据存储安全：针对存储大量重要数据的数据库，需要有选择地将敏感内容进行加密存储

介绍 当服务器被攻击后，基本都会留下后门，木马程序等，维护人员就需要找到他们并清除。 而对于木马后门，都需要有一个加载选项，例如直接以程序文件的形式运行，插入其他进程中运行，以服务的形式加载，以activex控件形式加载等。 随后木马病毒肯定会访问网络，从我们检查角度一般需要对运行的进程、启动的加载项、端口连接等方面进行。 Autoruns可以查看加载在启动、activex、explorer、logon、services等中的木马程序。 使用 打开autoruns后会看到everything栏，此栏列出了自动启动项，如下图。 木马程序是没有数字签名的，我们可以多关注其description和publisher栏，如果都为空，而又不确定是否为木马程序，则可以选中右键search online进行在线搜索，个人认为如果搜索没有相应的名称结果，则木马可能性比较大，毕竟攻击者随意为木马取个名称是搜不出的。 切换到logon栏列出了登录加载项，查看和排除方式与everything类似。 其他选项也类似，autoruns对于木马常用的加载都有列出，everything启动加载，logon登录加载，explorer windows管理器加载，ie浏览器加载，scheduled tasks定时任务加载，services服务加载，drivers设备加载等。 确认木马病毒后可右键选择删除。 总结

介绍&使用 CurrPorts是一个检测连接工具，可以列出所有TCP和UDP的连接以及打开的端口、应用程序等。 CurrPorts运行后即可看到应用程序的进程名称、进程id、协议、本地端口、本地地址、远程端口、远程地址、进程路径等信息，如下图。 点击标题栏相应的项，可根据相应项进行排序，例如点击进程id后，id会从小到大进行排列，如下图。 选中某一个应用程序，双击可显示其详细信息，例如双击谷歌浏览器进程，显示信息如下图。 对于可疑的应用程序，怀疑为木马病毒时，可以点击右键选择close selected tcp connections，即关闭选定的tcp连接，进行关闭，然后观察该程序是否会打开新的端口，如果还会自动打开新端口，则可以定位到该程序的具体位置，根据程序的路径、名称等信息进行进一步的判断。 Currports也支持多个进程选中进行关闭操作，同时currports也可以将列表信息进行报告导出，为html格式，在view菜单栏下的html report即可导出，如下图。 Procexp 使用 对于currports检测出的可以程序，我们可以使用procexp来进一步判断，判断依据可以根据之前介绍autoruns使用时的方法，看下描述以及公司信息等来确定，如下图。 再一个，可以多关注下进程的数量，如果一个进程有两个进程树，而本地又只登录了一个用户的情况下

扩展： https://pan.baidu.com/s/1e-X379CO3jImpW78oPfp2A 简介 防火墙是设置在不同网络与网络安全域之间的一系列组合，也是不同安全域之间信息的唯一出口。通过检测、限制并更改跨越防火墙的数据流。尽可能地对外屏蔽网络内部的信息、结构和运行状态，且可以有选择的接受外部外部网络的访问。在内外网之间架起一道安全的屏障，以避免发生不知情的情况下进入内部网络，对我们内部网络产生一定的威胁。 从传统意义上来说防火墙分为三类： 包过滤、应用代理、状态检测 。无论一个防火墙的实现过程有多复杂，说到底都是在这三种技术的基础上进行扩展的。 Linux的防火墙 体系主要工作在网络层 ， 属于典型的 包过滤防火墙（ 也称为网络层防火墙），Linux系统的防火墙主要有： firewalld、iptables、ebtables 。不过在CentOS 7 系统中默认使用 firewalld来管理netfilter子系统。 netfilter：指的是Linux内核中实现包过滤防火墙的内部结构，不以程序或文件的形式存在，属于“内核态”的防火墙功能体系。 firewalld：指用于管理Linux防火墙的命令程序，属于“用户态”的防火墙的管理体系。 firewalld概述 1.firewalld简介

防火墙和系统安全防护和优化 1.防火墙是什么 2.防火墙策略优化有什么用 3.防火墙的功能 4.基于linux系统如何进行优化及安全防护呢？ 1）服务器操作建议 2）Linux优化步骤 1.防火墙是什么 防火墙技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备，帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障，以保护用户资料与信息安全性的一种技术。 防火墙技术的功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题，其中处理措施包括隔离与保护，同时可对计算机网络安全当中的各项操作实施记录与检测，以确保计算机网络运行的安全性，保障用户资料与信息的完整性，为用户提供更好、更安全的计算机网络使用体验。 2.防火墙策略优化有什么用 防火墙策略优化与调整是网络维护工作的重要内容，策略是否优化将对设备运行性能产 生显著影响。考虑到企业中业务流向复杂、业务种类往往比较多，因此建议在设置策略时尽量 保证统一规划以提高设置效率，提高可读性，降低维护难度。 3.防火墙的功能 入侵检测功能 网络防火墙技术的主要功能之一就是入侵检测功能，主要有反端口扫描、检测拒绝服务工具、检测CGI/IIS服务器入侵、检测木马或者网络蠕虫攻击、检测缓冲区溢出攻击等功能，可以极大程度上减少网络威胁因素的入侵，有效阻挡大多数网络安全攻击。 网络地址转换功能

科技云报道原创。 SD-WAN安全问题日益受到关注，而Gartner最新提出的SASE技术，能否为云端交付一个既简洁又安全的SD-WAN方案？ ​ 在2019年下半年，Gartner发布了2019年度网络技术成熟度曲线报告。报告中提到了一项新的技术Secure Access Service Edge（SASE），其定义是一个融合了广域网和网络安全功能，以支持数字化企业需求的新兴技术。 根据Gartner的定义，SASE的网络和安全服务需要包括：SD-WAN，安全Web网关，CASB，SDP，DNS保护和FWaaS。对于终端设备，需要有Agent来进行基于策略的访问控制，而本地部署的设备则要具备QoS和智能选路等功能。 ​ Gartner声称，SASE将取代现有的网络和安全模型。这一全新网络安全方式的提出，很快引起了业界热议。 在网络飞速发展的今天，云、移动性以及边缘给传统网络和安全架构带来的压力日益加大。由于网络互联下的跨业务应用程序和工作流程越来越多，从云端连接到远程终端用户和物联网设备，再到SD-WAN连接的分支机构，都可能成为薄弱环节，使整个企业面临威胁。 这也是为什么在SD-WAN快速发展的同时，其安全问题也受到了很多关注。在SD-WAN中融入安全，便是典型的在接入网处开始解决安全问题，而SASE的出现，或许正是解决云端网络和安全的一剂良药。 SASE有何优势？

Telnet起源于ARPANET，是最早的Internet应用之一。 Telnet通常用在远程登录应用中，以便对本地或远端运行的网络设备进行配置、监控和维护。如网络中有多台设备需要配置和管理，用户无需为每一台设备都连接一个用户终端进行本地配置，可以通过Telnet方式在一台设备上对多台设备进行管理或配置。如果网络中需要管理或者配置的设备不在本地时，就可以通过Telnet方式实现对网络中设备的远程维护，极大提高了用户操作的灵活性。 由于Telnet缺少安全的认证方式，而且采用了TCP的明文传输，存在很大安全隐患，单纯提供Telnet服务容易导致主机IP地址欺骗、路由欺骗等恶意攻击。Stelnet是Secure Telnet的简称。在一个传统不安全的网络环境中，服务器通过对用户认证及双向的数据加密，为终端用户提供安全的Telnet服务。 SSH是一个网络安全协议，通过对网络数据的加密，使其能够在一个不安全的网络环境当中，提供安全的远程登录和其他安全网络服务。SSH特性可以提供安全的信息保证和强大的认证功能。SSH数据加密传输，认证机制更加安全，而且可以替代Telnet，已经被广泛使用，成为了当前重要的网络协议之一。基于TCP协议22端口传输数据，支持password认证。 配置Stelnet登录设备： 端口IP地址配置： R1： [Huawei]interface

等保2.0于2019.12.1日起正式实施，与等保1.0的相差甚大，下面将从几个方面对二者的区别进行介绍。 标准名称变化 GB/T 22239-2008 《信息安全技术 信息系统安全等级保护基本要求》 改为 GB/T 22239-2019 《信息安全技术 网络安全等级保护基本要求》 GB/T 25070-2019 《信息安全技术 网络安全等级保护安全设计技术要求》 GB/T 28448-2019 《信息安全技术 网络安全等级保护测评要求》 保护对象变化 等保1.0大部分对象是在体制内的单位，参加测评的也更多是计算机信息系统，而2.0的保护对象向全社会扩展，覆盖各地区、各单位、各部门、各企业、各机构，也上升到了网络空间安全，除了计算机信息系统，还包括网络安全系统、云计算、物联网、工业控制系统、大数据安全等方面。 标准内容变化 安全要求:等保2.0包括安全通用要求和安全扩展要求，各方面更加突出可信计算技术的应用，形成“一个中心，三重防护”的防御体系。 等保2.0也是基于《中华人民共和国网络安全法》制定，针对共性安全保护需求提出安全通用要求，针对云计算、物联网、移动互联、工业控制和大数据等新技术、新应用领域的个性安全保护需求提出安全扩展要求，形成新的网络安全等级保护基本要求标准。 等保1.0：信息系统安全等级保护基本要求 等保2.0：安全通用要求 云计算安全扩展要求