【正文】 上保證計算機安全。并用工具軟件關(guān)閉用不到的端口，進(jìn)一步提高系統(tǒng)的安全新。因為IP和計算機的關(guān)系就好比身份證上的身份證號和人的關(guān)系，當(dāng)一個攻擊則通過掃描工具確定了一臺主機的IP地址后，相當(dāng)于他已經(jīng)找到了攻擊的目標(biāo)，并通過IP向目標(biāo)主機發(fā)動各種進(jìn)攻，所以隱藏內(nèi)網(wǎng)中的IP地址至關(guān)重要。 隱藏IP地址 使用代理服務(wù)器將內(nèi)網(wǎng)中的IP地址進(jìn)行隱藏，在內(nèi)網(wǎng)中的主機上和遠(yuǎn)程服務(wù)器之間架設(shè)一個“中轉(zhuǎn)站”，當(dāng)內(nèi)網(wǎng)中的主機向遠(yuǎn)程服務(wù)器提出服務(wù)后，代理服務(wù)器首先截取內(nèi)網(wǎng)主機的請求，然后代理服務(wù)器將服務(wù)請求轉(zhuǎn)交遠(yuǎn)程服務(wù)器，從而實現(xiàn)內(nèi)部網(wǎng)絡(luò)中的主機和遠(yuǎn)程服務(wù)器之間的聯(lián)系。 禁止建立空連接 將內(nèi)網(wǎng)的所有計算機上禁止建立空連接。 漏洞的防護(hù)（1）內(nèi)部主機的設(shè)置關(guān)閉“文件和打印共享” 文件和打印共享可以實現(xiàn)內(nèi)網(wǎng)中同一網(wǎng)段中的各個成員之間的文件的傳輸，使用起來很方便，所以很多時候企業(yè)都會采用這樣的方式進(jìn)行文件的傳輸，但在不需要它的時候，文件和打印共享就成了攻擊者入侵內(nèi)部網(wǎng)絡(luò)的很好的安全漏洞。并定期對服務(wù)器進(jìn)行評估和審計。（3）日志管理及漏洞檢查對服務(wù)器日志進(jìn)行統(tǒng)一管理，管理員需定期的歲服務(wù)器進(jìn)行日志分析。定期對服務(wù)器的賬戶、密碼進(jìn)行檢查，看看是否存在異常情況。從而發(fā)現(xiàn)系統(tǒng)存在和可能存在的漏洞，因為運用軟件掃描有時有可能會出現(xiàn)誤差（3）流量監(jiān)測定期對網(wǎng)絡(luò)進(jìn)行流量監(jiān)測，因為通過檢測出進(jìn)或者出口的流量情況，有助于網(wǎng)絡(luò)安全管理員分析WEB的運行情況，發(fā)現(xiàn)進(jìn)出口的流量是否存在異常。制定一個統(tǒng)一的賬戶、密碼管理體系，對后臺的訪問做一些控制，防止惡意攻擊者進(jìn)行暴力猜解。合理地選擇相對穩(wěn)定，安全的WEB框架，以及web服務(wù)器軟件，為選擇好WEB運行程序制定安全的配置方案和加固方案，以及維護(hù)方案，確保系統(tǒng)能夠安全、穩(wěn)定地運行。所以在開發(fā)WEB應(yīng)用程序時，應(yīng)該要有嚴(yán)格的安全編碼規(guī)范標(biāo)準(zhǔn)，避免注入、上傳、文件包含、遠(yuǎn)程、本地代碼執(zhí)行、XSS等漏洞安全問題的產(chǎn)生。所以我們在路由器上安裝了防火墻，實現(xiàn)了對服務(wù)器的安全控制和監(jiān)測。禁止員工使用自帶的便攜設(shè)備，如U盤，移動硬盤，手機等，應(yīng)該使用統(tǒng)一的移動設(shè)備，因為自帶的便攜設(shè)備很有可能會把病毒帶到內(nèi)網(wǎng)中 ，在內(nèi)網(wǎng)進(jìn)行文件傳輸、共享的時候，應(yīng)該按照文件的安全等級要求，進(jìn)行加密傳輸（9）劃分VLAN為各個部門劃分VLAN，保證網(wǎng)絡(luò)能夠高效，穩(wěn)定，安全地運行。若發(fā)現(xiàn)異常，立即向主管領(lǐng)導(dǎo)反映，并分析被攻擊因素，及時修復(fù)漏洞，并根據(jù)異常日志，追蹤攻擊源(7）員工主機安全制定相應(yīng)的主機加固和管理方案。同時制定一些制度，規(guī)定員工發(fā)郵件時不帶鏈接、附件等。（5）Mail安全在信息技術(shù)高度發(fā)展的今天，Email已成為我們生活和工作中必不可少的一部分了，很多人不懂安全的人事，很難想象一封Email中所隱藏的安全隱患，到底有多大，所以應(yīng)當(dāng)對郵件進(jìn)行過濾。部署WSUS服務(wù)器，幫助內(nèi)部網(wǎng)絡(luò)的用戶機及時、快速地更新/升級windows，能防止網(wǎng)內(nèi)用戶不打漏洞補丁的問題，提高了辦公網(wǎng)絡(luò)的PC安全系數(shù)。（2）架設(shè)入侵檢測系統(tǒng)利用入侵檢測系統(tǒng)對網(wǎng)絡(luò)的安全情況進(jìn)行全天的監(jiān)測，網(wǎng)絡(luò)安全管理員應(yīng)該定期對網(wǎng)絡(luò)進(jìn)行模擬滲透，即使發(fā)現(xiàn)系統(tǒng)漏洞，然后針對漏洞做出相應(yīng)的加固方案。蠕蟲、病毒，往往會掃描服務(wù)器，從而造成信息泄漏，低權(quán)限管理員有可能利用此權(quán)限，進(jìn)行越權(quán)、高危操作。管理員權(quán)限過大，可通過在交換機鏡像或ARP欺騙的方式捕獲內(nèi)部人員的賬號和密碼，管理員可直接在服務(wù)器上讀取OA、EMail等的敏感信息。對服務(wù)器、應(yīng)用系統(tǒng)的資源占用、響應(yīng)無實時監(jiān)控手段。還有將自帶設(shè)備帶入內(nèi)部網(wǎng)絡(luò)，并自動攻擊內(nèi)部主機、服務(wù)器，并將重要資料復(fù)制到自帶的設(shè)備中，并通過外網(wǎng)回傳到黑客指定地址。最常見的還有遠(yuǎn)程辦公帶來的安全威脅。主機IP地址和MAC地的威脅，因為它們很容易被篡改，造成運行與維護(hù)上的不安全，刻錄機帶來的安全風(fēng)險。 存在的威脅（1）外網(wǎng)帶來的威脅外網(wǎng)的威脅可能有木馬、病毒、蠕蟲，他們會正常的隱藏在word，等正常的軟件中。接下來就是做出進(jìn)一步的防護(hù)第四章 APT防護(hù)方案設(shè)計 網(wǎng)絡(luò)拓?fù)鋱D： 沒加防護(hù)設(shè)備的網(wǎng)絡(luò)拓?fù)鋱D，主要劃分兩個網(wǎng)段，是主要的攻擊目標(biāo)。從而識別出攻擊者將攻擊行為包裝成成正常行為的行為。 依靠數(shù)據(jù)流量的異常檢測模塊，篩選、 刪除一些無用的數(shù)據(jù)流量，從而進(jìn)一步提高檢測的性能（3）報警將原先保存下來的與APT攻擊行為有關(guān)的數(shù)據(jù)進(jìn)行一個后續(xù)的詳細(xì)分析，制定相關(guān)的匹配規(guī)則。還可以為已經(jīng)發(fā)生的，但在分析時沒有受到安全管理員的重視，偶爾會出現(xiàn)可疑情況的數(shù)據(jù)流量進(jìn)行關(guān)聯(lián)性的技術(shù)分析，從而實現(xiàn)有效識別。 該方案采取擴(kuò)大檢測領(lǐng)域不但提高發(fā)現(xiàn)可疑行為的概率。 全流量審計組要是對全過程流量施以應(yīng)用上的識別與還原， 從而檢測出異常的可能會對系統(tǒng)造成危害的行為?；谟洃浀臋z測系統(tǒng)， 是由全流量審計與日志審計相結(jié)合形成的， 它對抗 APT 的關(guān)鍵方法就是以時間對抗時間[10]。 基于記憶的檢測： 記憶檢測流程圖在檢測中APT 攻擊過程中，APT攻擊遺留下來的暴露點包括攻擊過程中的攻擊路徑和時序，APT 攻擊一般不會對系統(tǒng)的安全防御系統(tǒng)進(jìn)行暴力破解，攻擊過程的大部分貌似正常操作；不是所有的異常操作都能立即被檢測；被檢測到的異常也許是在APT攻擊過后才檢測到，因為APT具有很強的隱蔽性。攔截病毒數(shù)量、本地病毒庫的更新狀態(tài)、已發(fā)現(xiàn)的潛在威脅、 病毒來源，或已知的攻擊等都屬于。所以該方案是將文件放在沙盒中執(zhí)行，檢測該文件對系統(tǒng)的所有更改是否是有害的，如果對該系統(tǒng)沒有造成影響，就允許通過，如果有影響，或則會危害到系統(tǒng)的秘密信息，就該文件攔截。因此，無論隔離還是放過，都會對用戶造成困擾。傳統(tǒng)的檢測方案對某些附件或則可執(zhí)行文件對系統(tǒng)可能造成的影響沒有一個準(zhǔn)確的分析，往往會把一些文件隔離起來或者直接放過[20]。 威脅檢測技術(shù)： 威脅檢測流程圖該方案提供了一個統(tǒng)一的接口，可以在不同位置把相關(guān)的日志信息上傳，例如已發(fā)現(xiàn)的病毒或者木馬，可疑的網(wǎng)絡(luò)訪問行為，異常的網(wǎng)絡(luò)流量等。對于員工賬號訪問審計，并進(jìn)一步用于員工賬號訪問異常檢測。通過對該主機流量進(jìn)行特征抽取，與其正常的流量模型比較，從而得到流量異常情況的概率值。該方案的設(shè)計思維就好比現(xiàn)實生活中警察抓壞人的思維方式， 在沒有明確壞人的基本特征的情況下，那就對好人進(jìn)行行為模式的建構(gòu)， 當(dāng)一個人的行為模式偏離好人的正常范圍， 那么這個人就有可能是壞人，然后再對這個有可能是壞人的人進(jìn)行具體的檢測。該模型通過匹配已知異常特征相的模式來檢測異常。 并且沙箱檢測與整個網(wǎng)絡(luò)運行環(huán)境相關(guān)， 操作系統(tǒng)的類型、 瀏覽器的版本、 安裝的插件版本等都對沙箱檢測的結(jié)果起著影響。攻擊者與防護(hù)者的信息不對稱， 因為APT攻擊具有極強的隱蔽性，所以要想發(fā)現(xiàn)APT攻擊如同大海撈針。一共分成五大模塊，沙箱檢測，異常檢測，威脅檢測，記憶檢測還有響應(yīng)?？墒侵灰覀兞粜挠^察，是可以識別文件名的細(xì)微區(qū)別的，例如使用大寫I代替小寫L。因為APT是在很長時間內(nèi)才發(fā)生，也許一年，兩年，甚至五年，才可能發(fā)生，所以我們要在一段時間內(nèi)發(fā)現(xiàn)APT，還是很有難度的，需要對長時間、全流量數(shù)據(jù)進(jìn)行深度分析，針對APT攻擊行為的檢測，需要構(gòu)建一個多維度的安全模型，還可以通過手動檢查文件來識別一些微小的不易發(fā)現(xiàn)的標(biāo)記，并將這些標(biāo)記作為潛在惡意活動的指示?？墒前踩藛T可以快速定位攻擊源頭，并做出對應(yīng)的安全防御策略，但是這些卻無法準(zhǔn)確提取APT攻擊屬性與特征。無論攻擊者的實施的計劃多么縝密，還是會留下點攻擊過程中的痕跡，通常就是我們所說的刑事調(diào)查中的痕跡證據(jù)，這種證據(jù)并不明顯，甚至可能是肉眼看不見的。對于傳統(tǒng)的攻擊行為，安全專家僅需關(guān)注惡意程序的樣本提取并做分析，便可以掌握攻擊者的動機及傳播渠道，可是對于APT攻擊以點概面的安全檢測手段已顯得不合時宜，所以要想在APT攻擊還沒發(fā)生之前，事先檢測到APT攻擊是很困難的，面對APT攻擊威脅，我們應(yīng)當(dāng)有一套更完善更主動更智能的安全防御方案，必須承認(rèn)APT攻擊的發(fā)起者有著超群的智慧和豐富的經(jīng)驗，因此檢測APT攻擊就必須密切關(guān)注攻擊者所釋放的惡意代碼的每一個細(xì)節(jié)。傳統(tǒng)基于攻擊特征的入侵檢測和防御方法在檢測和防御apt方面效果已經(jīng)變得很不理想了。APT 根據(jù)入侵之前采集的系統(tǒng)信息，將滯留過的主機進(jìn)行狀態(tài)還原，并恢復(fù)網(wǎng)絡(luò)配置參數(shù)，清除系統(tǒng)日志數(shù)據(jù)，使事后電子取證分析和責(zé)任認(rèn)定難以進(jìn)行。APT是一種高級的、狡猾的伎倆，利用APT入侵網(wǎng)絡(luò)、逃避“追捕”、悄無聲息不被發(fā)現(xiàn)、隨心所欲對泄露數(shù)據(jù)進(jìn)行長期訪問，最終挖掘到攻擊者想要的資料信息。這是APT長期潛伏不容易被發(fā)現(xiàn)的特點，來挖掘出最多的資料，而且在這個過程當(dāng)中，通常不會是重復(fù)自動化的過程，而是會有人工的介入對數(shù)據(jù)作分析，以做最大化利用。第五階段：資料發(fā)掘。第四階段：橫向擴(kuò)展。開始尋找實施進(jìn)一步行動的最佳時機。C服務(wù)器通信，并確認(rèn)入侵成功的計算機和Camp。攻擊者成功入侵目標(biāo)網(wǎng)絡(luò)后，通常并不急于獲取敏感信息和數(shù)據(jù)，而是在隱藏自身的前提下找出放有敏感信息的重要計算機。C盡管攻擊手段各不相同，但絕大部分目的是盡量在避免用戶覺察的條件下取得服務(wù)器、網(wǎng)絡(luò)設(shè)備的控制權(quán)第三階段：命令與控制第二階段：進(jìn)入點。攻擊者對鎖定的目標(biāo)和資源采用針對性APT攻擊，使用技術(shù)和社會工程學(xué)手段針對性地進(jìn)行信息收集，目標(biāo)網(wǎng)絡(luò)環(huán)境探測，線上服務(wù)器分布情況，應(yīng)用程序的弱點分析，了解業(yè)務(wù)狀況，員工信息，收集大量關(guān)于系統(tǒng)業(yè)務(wù)流程和使用情況等關(guān)鍵信息，通過網(wǎng)絡(luò)流量、軟件版本、開放端口、員工資料、管理策略等因素的整理和分析[7]，得出系統(tǒng)可能存在的安全弱點。通過對數(shù)據(jù)進(jìn)行壓縮、加密的方式導(dǎo)致現(xiàn)有絕大部分基于特征庫匹配的檢測系統(tǒng)失效，實現(xiàn)數(shù)據(jù)的傳輸總之，高級持續(xù)性威脅(APT)正在通過一切方式，繞過基于代碼的傳統(tǒng)安全方案如防病毒軟件、防火墻、IPS等)，并更長時間的潛伏在系統(tǒng)中，讓傳統(tǒng)防御體系難以偵測[6]。所以通過對目標(biāo)公網(wǎng)網(wǎng)站的SQL注入方式實現(xiàn)APT攻擊。黑客一開始，就是針對某些特定員工發(fā)送的釣魚郵件，以此作為使用APT手法進(jìn)行攻擊的所有源頭。(2)社交工程的惡意郵件是許多APT攻擊成功的關(guān)鍵因素之一，隨著社交工程攻擊手法的日益成熟，郵件幾乎真假難辨。傳統(tǒng)安全事故經(jīng)常是可見的、危害即刻發(fā)生，造成的威脅很??；可是APT攻擊則是不可見，危害在幕后發(fā)生，因為APT攻擊具有很強的隱蔽性，所以悄然間便可竊取被攻擊目標(biāo)的核心數(shù)據(jù)，當(dāng)一個企業(yè)或一個國家知道被攻擊成功時，則造成的危害已經(jīng)不可挽回，他的破壞力是非常強的，在國與國之間沒有真正較量沒有發(fā)生之前時發(fā)作，一旦發(fā)作也許會導(dǎo)致系統(tǒng)不運行，包括金融系統(tǒng)，攻擊的目標(biāo)大多數(shù)是針對國家的要害部門，所以它的危害是非常嚴(yán)重，威脅到國家的信息安全。 APT的危害，APT攻擊的出現(xiàn)，對全球的信息安全的防護(hù)是一個極大的挑戰(zhàn)，因為APT攻擊的目標(biāo)通常會是一個國家的安全設(shè)施，例如：航空航天，或者是重要的金融系統(tǒng)。因為單一的攻擊手段容易被發(fā)現(xiàn)，很難達(dá)到APT攻擊所想要的結(jié)果，所以通常會使用自己設(shè)計、具有極強針對性和破壞性的惡意程序[5]，主動挖掘被攻擊對象受信系統(tǒng)和應(yīng)用程序的漏洞，對目標(biāo)系統(tǒng)實施毀滅性的打擊,APT攻擊的方式可以根據(jù)實際情況進(jìn)行動態(tài)的調(diào)整，從整體上掌控攻擊進(jìn)程，APT攻擊還具備快速編寫所需滲透代碼的能力。應(yīng)對新的威脅，需要有新的思路。APT攻擊和其他的網(wǎng)絡(luò)攻擊相比，他們有著本質(zhì)的區(qū)別，病毒擁有3個基本屬性，APT攻擊在擁有那些基本屬性的同時，也擁有了屬于自己特有的屬性。Threat，APT)產(chǎn)生的背景、攻擊方法與原理進(jìn)行分析，發(fā)現(xiàn)其攻擊規(guī)律，提出