第一篇：信息安全測評期末總結

信息安全工程與測評實踐報告

（總結報告）

姓 名 班 級 學 號 完成日期

一、實驗目的

1． 使用各種工具對目標網頁進行漏洞掃描和滲透測試。

2． 了解掃描原來，熟悉掃描操作，掌握各種工具的特點和不足。3． 學會在不同場合使用最適合的工具。

二、實驗工具

本學期的實驗中，我使用了多種不同風格掃描工具，其中包括了Nmap、PortScan、X-Scan、SuperScan等端口掃描工具，Wireshark等抓包軟件以及百度殺毒這種針對本機的保護軟件。

三、實驗內容

實驗中，我更傾向于掃描目標網站的端口信息，其中，我最為喜歡的是Nmap掃描工具，它的功能應當是我所使用的掃描工具中最為強大的，可以使用不同的命令使用不同的掃描方式以得到自己所需要的掃描結果。它的主界面如下所示：

在該圖片中，我已經使用了 –sS –sU –T4 –top-ports 61.135.169.125 命令對IP地址61.135.169.125進行端口掃描，也得出了該IP的2個開放端口80和443，以及它們所提供的服務即它們的作用。同時，這個命令中，-sS表示使用TCP SYN方式掃描TCP端口，-sU表示掃描UDP端口。-T4指定掃描過程使用的時序，可以使用的時序共有6個級別即0-5，級別越高，掃描速度越快，但是也容易被防火墻或IDS檢測到并屏蔽掉。另外，61.135.169.125即百度。

而在我使用的掃描工具中，有一款老而彌堅的，那就是PortScan，在使用它同樣對百度網站進行掃描的過程中，它的操作比Nmap簡單了很多。

這是它的主界面：

很明顯，這款工具還有其他一些功能，但我們在這里只要使用它的端口掃描功能，也就是Scan Ports標簽下的內容。很明顯的看出來，只需要輸入目標IP就能對其進行掃描。另外提一句，PortScan的默認掃描端口是從1到65535。掃描結果是這樣的：

同樣可以掃描出2個開放的端口即80和443。然而在實際使用中，我也明顯的發(fā)現(xiàn)了它的不足，它的掃描速度相對于Nmap而言差距是十分明顯的，而且掃描結果的驚喜程度上是遠遜于Nmap的。

在實驗使用的所有端口掃描工具中，Nmap的表現(xiàn)無疑是十分突出的，但是還有一款掃描工具也是十分的強大，那就是X-Scan。

X-Scan是國內最著名的綜合掃描器之一，它完全免費，是不需要安裝的綠色軟件、界面支持中文和英文兩種語言、包括圖形界面和命令行方式。主要由國內著名的民間黑客組織“安全焦點”完成，從2000年的內部測試版X-Scan V0.2到目前的最新版本X-Scan 3.3-cn都凝聚了國內眾多黑客的心血。最值得一提的是，X-Scan把掃描報告和安全焦點網站相連接，對掃描到的每個漏洞進行“風險等級”評估，并提供漏洞描述、漏洞溢出程序，方便網管測試、修補漏洞。

在實際使用中，它給出的風險評估等級報告是最震撼我的，它把掃描的結果直接進行了分析，并給出了結果，令人一眼就能看懂，下面是我對我自己的電腦進行掃描獲得的掃描報告：

而這只是詳盡的報告中的一部分，因而我認為，X-Scan是一款十分值得推薦的工具，它強大的性能、多種多樣的功能以及詳盡的報告分析都決定了它將成為收人歡迎的掃描工具，也更適合網絡安全管理員使用。

另外，SuperScan也是一款性能強大的掃描工具，但是它的主界面的確是有點復雜了：

幸好在執(zhí)行簡單的掃描任務時，所需要使用到的模塊并不太多，只要IP、Scan type模塊就可以了，在無視其他模塊的情況下，它的操作還是畢竟簡單的。就同樣對百度進行掃描而言，在IP模塊輸入IP地址后，再在Scan type模塊下改變掃描模式到All list ports from 1 65535。最后單擊Start也就可以開始掃描了，當然了，這只是這款軟件的簡單使用，在今后若有需要也應當對它進行更深入的了解和學習。

總而言之，SuperScan功能強大，但是，在掃描的時候，一定要考慮到網絡的承受能力和對目標計算機的影響。

最后在這里介紹下對百度殺毒的使用感覺，總而言之就是傻瓜式操作，它只會告訴你存在什么危險，并提供選擇是否解決這個問題。雖然這十分的方便，也非常適合電腦小白的使用，也能完成它應當完成的任務，但是對于我們這些從事或者正在學習這方面的人而言，是不適合的，我們應當去了解而非傻瓜式的解決。

這也就說明上面這些掃描工具的強大性，畢竟它們還能對本機進行掃描，能加深對自己電腦的了解，并及時了解存在的安全隱患并通過自己的努力去解決這些安全隱患，也能完善自己在這方面的技巧。

四、實驗總結

在使用過這么多的掃描軟件完成作業(yè)之后，我也用他們對自己的電腦進行了掃描，主要是使用X-Scan，通過它給出的風險評估報告上看到的結果真的是嚇了我一跳，平常使用360安全衛(wèi)士等進行掃描時給出的結果總是不存在風險，但是通過專業(yè)掃描軟件的所掃描出來的危險因素真是多到嚇人。這也展現(xiàn)了這些掃描軟件的強大之處，然而我們應當使用它們進行安全測試，防范于未然，而非將它們當作一種工具手段。也就是正確的使用它們。

第二篇：國家信息安全測評

國家信息安全測評

信息安全服務資質申請指南

（風險評估一級）

?版權2014—中國信息安全測評中心

2014年5月1日

中國信息安全測評中心(CNITSEC)信息安全服務資質申請指南（安全風險評估一級）

目錄

目錄 2 引言 3

一、認定依據(jù)................................................................................................................................4

二、級別劃分................................................................................................................................4三、一級資質要求........................................................................................................................4

3.1 基本資格要求...................................................................................................................5 3.2 基本能力要求...................................................................................................................5

3.2.1 組織與管理要求.....................................................................................................5 3.2.2 技術能力要求.........................................................................................................5 3.2.3 人員構成與素質要求.............................................................................................6 3.2.4 設備、設施與環(huán)境要求.........................................................................................6 3.2.5 規(guī)模與資產要求.....................................................................................................6 3.2.6 業(yè)績要求.................................................................................................................6 3.3 安全風險評估過程能力要求...........................................................................................6 3.4 項目和組織過程能力要求...............................................................................................7

四、資質認定................................................................................................................................8

4.1認定流程圖........................................................................................................................8 4.2申請階段.............................................................................................................................9 4.3資格審查階段.....................................................................................................................9 4.4能力測評階段.....................................................................................................................9

4.4.1靜態(tài)評估..................................................................................................................9 4.4.2現(xiàn)場審核................................................................................................................10 4.4.3綜合評定................................................................................................................10 4.4.4資質審定................................................................................................................10 4.5證書發(fā)放階段...................................................................................................................10

五、監(jiān)督、維持和升級..............................................................................................................11

六、處置......................................................................................................................................11

七、爭議、投訴與申訴..............................................................................................................11

八、獲證組織檔案......................................................................................................................12

九、費用及周期..........................................................................................................................12

十、聯(lián)系方式..............................................................................................................................13

發(fā)布日期：2014年5月1日

中國信息安全測評中心(CNITSEC)信息安全服務資質申請指南（安全風險評估一級）

引言

中國信息安全測評中心是經中央批準成立的國家信息安全權威測評機構，職能是開展信息安全漏洞分析和風險評估工作，對信息技術產品、信息系統(tǒng)和風險評估的安全性進行測試與評估。對信息安全服務和人員的資質進行審核與評價。

中國信息安全測評中心的主要職能是：

1.為信息技術安全性提供測評服務； 2.信息安全漏洞分析； 3.信息安全風險評估；

4.信息技術產品、信息系統(tǒng)和風險評估安全測試與評估； 5.信息安全服務和信息安全人員資質測評； 6.信息安全技術咨詢、風險評估監(jiān)理與開發(fā)服務。

“信息安全服務資質認定”是對信息安全服務的提供者的技術、資源、法律、管理等方面的資質、能力和穩(wěn)定性、可靠性進行評估，依據(jù)公開的標準和程序，對其安全服務保障能力進行評定和確認。為我國信息安全服務行業(yè)的發(fā)展和政府主管部門的信息安全管理以及全社會選擇信息安全服務提供一種獨立、公正的評判依據(jù)。

本指南適用于所有向CNITSEC申請信息安全服務資質（風險評估一級）的境內外組織。

發(fā)布日期：2014年5月1日

中國信息安全測評中心(CNITSEC)信息安全服務資質申請指南（安全風險評估一級）

一、認定依據(jù)

信息安全服務（風險評估類）資質認定是對信息安全風險評估服務提供者的資格狀況、技術實力和信息安全風險評估實施過程質量保證能力等方面的具體衡量和評價。

信息安全服務（風險評估類）資質級別的評定，是依據(jù)《信息安全服務資質評估準則》和不同級別的信息安全服務資質（風險評估類）具體要求，在對申請組織的基本資格、技術實力、信息安全風險評估服務能力以及安全風險評估項目的組織管理水平等方面的評估結果基礎上的綜合評定后，由中國信息安全測評中心給予相應的資質級別。

二、級別劃分

信息安全服務（風險評估類）資質認定是對信息安全風險評估服務提供者的綜合實力的客觀評價和確認，信息安全服務（風險評估類）資質級別反映了信息安全風險評估服務提供者從事信息安全風險評估服務保障能力的成熟程度。資質級別劃分的主要依據(jù)包括：基本資格與基本能力要求、安全風險評估過程能力要求、項目與組織管理能力要求和其他補充要求等。

信息安全服務資質分為五個級別，由一級到五級依次遞增，一級是最基本級別，五級為最高級別。

一級：基本執(zhí)行級 二級：計劃跟蹤級 三級：充分定義級 四級：量化控制級 五級：持續(xù)改進級三、一級資質要求

申請信息安全服務（風險評估一級）資質的組織需要在基本資格和基本能力、發(fā)布日期：2014年5月1日

中國信息安全測評中心(CNITSEC)信息安全服務資質申請指南（安全風險評估一級）

安全風險評估過程能力和項目與組織過程能力等幾個方面符合《信息安全服務資質具體要求（風險評估一級）》的規(guī)定。

3.1 基本資格要求

申請信息安全服務（風險評估一級）資質的組織必須是一個獨立的實體，具有工商行政管理部門頒發(fā)的營業(yè)執(zhí)照，并遵守國家現(xiàn)行法律法規(guī)。

3.2 基本能力要求 3.2.1 組織與管理要求

1.必須擁有健全的組織和管理體系，為持續(xù)的信息安全風險評估服務提供保障；

2.必須具有專業(yè)從事信息安全風險評估服務的隊伍和相應的質量保證； 3.與安全風險評估服務相關的所有成員要簽訂保密合同，并遵守有關法律法規(guī)。

3.2.2 技術能力要求

1.了解信息系統(tǒng)技術的最新動向，有能力掌握信息系統(tǒng)的最新技術； 2.具有不斷的技術更新能力；

3.具有對信息系統(tǒng)的狀況進行調研、分析和描述的能力；

4.具有對信息系統(tǒng)面臨的安全威脅、存在的安全隱患進行信息收集、識別、分析能力；

5.具有對信息系統(tǒng)的資產及其影響進行識別、分析和評估的能力； 6.具有對信息系統(tǒng)的脆弱性進行識別分析和評估的能力； 7.具有根據(jù)信息安全風險的結果提出應對安全措施的能力； 8.具有應用國際國內最新信息安全風險評估方法的能力； 9.有跟蹤、了解、掌握、應用國際、國家和行業(yè)標準的能力。

發(fā)布日期：2014年5月1日

中國信息安全測評中心(CNITSEC)信息安全服務資質申請指南（安全風險評估一級）

3.2.3 人員構成與素質要求

1.具有充足的人力資源和合理的人員結構；

2.所有與信息安全服務有關的管理和銷售人員應具有基本的信息安全知識；

3.有相對穩(wěn)定的從事信息安全風險評估服務的技術隊伍；

4.技術骨干人員應系統(tǒng)地掌握信息系統(tǒng)安全基礎理論和核心技術，并有足夠的專業(yè)工作經驗；

5.必須有2名以上(含2名)專職的注冊信息安全專業(yè)人員(CISP)。

3.2.4 設備、設施與環(huán)境要求

1.具有固定的工作場所和良好的工作環(huán)境；

2.具有實施信息安全風險評估服務的相關工具和設備。

3.2.5 規(guī)模與資產要求

1.有足夠的注冊資金和充足的流動資金；

2.具有與所申請安全服務業(yè)務范圍、承擔的安全風險評估規(guī)模相適應的服務體系；

3.有足夠的人員從事直接與信息安全風險評估服務相關的活動。

3.2.6 業(yè)績要求

1.應有從事信息安全風險評估服務的經驗；

2.近3年內在信息安全風險評估服務方面，沒有出現(xiàn)驗收未通過的情況。

3.3 安全風險評估過程能力要求

安全風險評估過程能力是評價信息安全風險評估服務專業(yè)水平高低的標志。申請組織應能實施以下6個安全風險評估過程域： 1.風險評估準備

發(fā)布日期：2014年5月1日

中國信息安全測評中心(CNITSEC)信息安全服務資質申請指南（安全風險評估一級）

2.評估系統(tǒng)資產的影響； 3.評估系統(tǒng)存在的脆弱性； 4.評估系統(tǒng)面臨的安全威脅； 5.評估系統(tǒng)已有的安全措施； 6.評估系統(tǒng)的安全風險。

3.4 項目和組織過程能力要求

項目和組織過程能力是評價信息安全風險評估服務規(guī)范性和質量保證成熟度標志。

申請組織應能實施以下6個項目和組織過程域： 1.質量保證； 2.管理項目風險； 3.規(guī)劃技術活動； 4.監(jiān)控技術活動；

5.提供不斷發(fā)展的技能和知識； 6.與供應商協(xié)調。

發(fā)布日期：2014年5月1日

中國信息安全測評中心(CNITSEC)信息安全服務資質申請指南（安全風險評估一級）

四、資質認定

4.1認定流程圖

申請委托人申請不受理形式化審查申請階段資格審查階段受理決定受理靜態(tài)評估現(xiàn)場審核限期整改綜合評定不通過綜合評定通過資質審定不通過發(fā)證決定抽樣檢查通過證書發(fā)放不予發(fā)證能力測評階段證書發(fā)放階段公告證后監(jiān)督證后監(jiān)督階段

發(fā)布日期：2014年5月1日

中國信息安全測評中心(CNITSEC)信息安全服務資質申請指南（安全風險評估一級）

4.2申請階段

申請組織應首先到CNITSEC網站（http://004km.cnITSEC，同時提交申請費。在向CNITSEC遞交申請書前，須逐項檢查所填報的材料的完整性和正確性。

4.3資格審查階段

CNITSEC接到正式申請書及相關資料以及申請費后，根據(jù)所提交的資料進行資格審查，以確認申請單位是否滿足資質的基本資格要求，提交資料是否完整。

資格審查包括對申請單位所提交資料進行的形式化審查以及對申請單位的進一步調查和溝通。如果資格審查階段發(fā)現(xiàn)有不符合要求的內容，CNITSEC將要求申請組織補充資料等。

當通過資格審查階段后，CNITSEC將與申請組織簽訂合同，正式受理該申請，并通知相關費用的繳納事宜等。

4.4能力測評階段

當申請組織通過資格審查并繳納了相關費用后，資質申請進入能力測評階段。

能力測評階段包括靜態(tài)評估、現(xiàn)場審核、綜合評定和資質審定四個步驟。

4.4.1靜態(tài)評估

靜態(tài)評估是對申請組織資料進行符合性審查，是對申請組織的信息安全風險評估服務能力做出基本判斷，初步確定申請組織的信息安全風險評估服務能力水 發(fā)布日期：2014年5月1日

中國信息安全測評中心(CNITSEC)信息安全服務資質申請指南（安全風險評估一級）

平狀況，為現(xiàn)場審核做準備。如果在靜態(tài)評估階段發(fā)現(xiàn)申請組織的信息安全風險評估能力不能滿足資質要求，將要求申請組織進行整改，待整改完成達到后進入現(xiàn)場審核階段。

4.4.2現(xiàn)場審核

現(xiàn)場審核是對申請組織從事信息安全風險評估服務的綜合能力（包括技術能力、管理能力、質量保證、設施設備、工作環(huán)境、人員構成及素質、經營業(yè)績、資產狀況等方面）進行核實和確認。

通過靜態(tài)評估后，CNITSEC將與申請組織溝通現(xiàn)場審核事宜，安排審核組進行現(xiàn)場審核。

現(xiàn)場審核若發(fā)現(xiàn)需整改的不符合項，審核組將對申請組織提出限期整改的要求，并對整改效果進行驗證。

4.4.3綜合評定

在綜合評定階段，將依據(jù)靜態(tài)評估和現(xiàn)場審核結果，對申請組織的基本資格、基本能力、信息安全風險評估服務能力以及資質所要求的其他內容進行綜合評定，出具綜合評定報告。

對評定結果不符合的，CNITSEC將要求申請組織限期整改。申請組織完成整改并向CNITSEC提交整改報告后，CNITSEC將對整改結果進行驗證，整改仍不符合的，將不能通過能力測評。逾期未整改的，視作整改不符合。

4.4.4資質審定

根據(jù)綜合評定的報告，CNITSEC技術委員會將組織技術專家對申請組織的信息安全風險評估服務資質進行審查，并最終做出是否通過的決定。

4.5證書發(fā)放階段

資質審定通過后，CNITSEC將進行資質證書的制作、審批和發(fā)放，并在網站、報刊雜志等媒體上公布獲證組織的相關信息。

發(fā)布日期：2014年5月1日

中國信息安全測評中心(CNITSEC)信息安全服務資質申請指南（安全風險評估一級）

五、監(jiān)督、維持和升級

獲得資質的組織需通過持續(xù)發(fā)展自身信息安全服務體系以保持基本能力及安全風險評估過程能力。CNITSEC將通過申訴系統(tǒng)、現(xiàn)場見證以及對信息安全服務項目進行抽樣檢查來驗證每個獲得資質組織的能力。

證書在三年有效期內實行年確認制度，每三年進行一次維持換證。獲證后，每年在證書簽發(fā)之日前30天內，獲證組織要向CNITSEC提交調查表，并到CNITSEC辦理年檢。CNITSEC年檢中發(fā)現(xiàn)獲證組織不符合資質認定要求的，將要求其限期整改，整改后仍不合格，CNITSEC將暫?；蛉∠C書。

在證書有效期屆滿前90天內，由獲證組織提出維持換證申請。CNITSEC將依據(jù)信息安全服務資質維持有關政策進行評審，以確定獲證組織符合信息安全風險評估服務能力一級資質要求的持續(xù)性。

若獲證組織相關資料變動時，須及時通知CNITSEC，并申請更改。若獲證組織實體發(fā)生變化，需要進行資質證書的轉移，可到CNITSEC網站（http://004km.cnITSEC申請二級資質。

六、處置

獲證組織存在違規(guī)行為時，CNITSEC有權視組織違規(guī)情節(jié)輕重予以以下處置：警告、限期整改、暫停證書、取消證書。

七、爭議、投訴與申訴

對CNITSEC所作的評審、復查、處置等決定有異議時，可向CNITSEC提出書面申訴。CNITSEC將會責成與所申訴、投訴事項無利益相關的人員進行調查，CNITSEC在調查基礎上做出結論。

發(fā)布日期：2014年5月1日

中國信息安全測評中心(CNITSEC)信息安全服務資質申請指南（安全風險評估一級）

獲證組織應妥善處理因自身行為而發(fā)生的投訴，保留記錄并采取措施防止問題的再發(fā)生。CNITSEC將在必要時查閱獲證組織的申訴/投訴記錄。

八、獲證組織檔案

CNITSEC將對每個獲證組織建立專項檔案，所有資料將保存10年以上。

九、費用及周期

信息安全服務資質認定收費劃分為如下四個部分：

（一）申請費：2000元

（二）測評費：3000元/人日

（三）審定與注冊費（含證書費）：3000元

（四）年金（含標志使用費）：5000元/年

未獲得安全工程類服務資質的機構，首次申請風險評估資質（一級）費用： 2000（申請費）＋3000×3×2(三人二日測評費)+3000（審定與注冊費）+15000（三年年金）＝38000元。

未獲得安全工程類服務資質的機構，風險評估資質（一級）維持費用： 2000（申請費）＋3000×2×2.5(二人二日半測評費)+3000（審定與注冊費）+5000（三年年金）＝35000元。

已獲得安全工程類服務資質的機構，申請風險評估資質（一級）費用（首次申請和維持）：

2000（申請費）＋3000×3×0.5(三人二日測評費)+3000（審定與注冊費）=9500元

已獲得安全工程類服務資質的機構申請風險評估資質時不再重復收取年金。

申請組織還應承擔因現(xiàn)場審核活動審核組成員所發(fā)生的交通和食宿費用。

從受理到頒發(fā)證書的周期為四個月，但由于申請方原因（如，資料補充需要的時間等）造成的時間延誤不計算在內。發(fā)布日期：2014年5月1日

中國信息安全測評中心(CNITSEC)信息安全服務資質申請指南（安全風險評估一級）

十、聯(lián)系方式

名 稱：中國信息安全測評中心 資質評估處 地 址：中國北京市海淀區(qū)上地西路8號院1號樓 郵 編：100085 傳 真：010－82341100 咨詢電話：

資質受理： 010－82341582、010－82341568 證后管理： 010－82341553

發(fā)布日期：2014年5月1日

第三篇：信息安全等級測評實施細則(稿)

信息安全等級保護等級測評實施細則

第一章 總則

第一條【目的】為加強信息安全等級測評機構建設和管理，規(guī)范等級測評活動，保障信息安全等級保護制度的貫徹落實，根據(jù)《信息安全等級保護管理辦法》等有關規(guī)范制訂本實施細則。

第二條【適用范圍】本細則適用于等級測評機構、測評人員和測評活動的規(guī)范管理。

第三條【等級測評定義】等級測評是測評機構依據(jù)國家信息安全等級保護制度規(guī)定，受有關單位委托，按照有關管理規(guī)范和技術標準，對信息系統(tǒng)安全等級保護狀況進行檢測評估的活動。

第四條【測評機構定義】測評機構是經有關部門能力認可，經有關部門推薦，在一定范圍內從事信息系統(tǒng)安全等級測評等工作的專業(yè)技術機構。

第五條【基本原則】測評機構應當按照有關規(guī)定和統(tǒng)一標準提供“客觀、公正、安全”的測評服務，按照統(tǒng)一的測評報告模版出具測評報告。

第六條【保密要求】測評機構和測評人員應當遵守《國家保密法》的規(guī)定，保守在測評活動中知悉的國家秘密、商業(yè)秘密、敏感信息和個人隱私等。

第七條【管理體制】測評機構應當接受各級信息安全等級保護協(xié)調（領導）小組和公安網安部門的監(jiān)督管理，并接受有關部門的業(yè)務管理和技術指導。

第二章 測評機構

第八條【總體要求】測評機構分為地區(qū)性、行業(yè)性測評機構，按照屬地管理和行業(yè)管理相結合的原則進行建設和管理。

第九條【職責分工】國家信息安全等級保護協(xié)調小組辦公室主管等級測評機構的建設和管理工作，指導行業(yè)等級測評機構的建設和管理工作，并委托專門的技術能力審驗機構對測評機構的技術能力進行評估、審查并確認。

各?。▍^(qū)、市）等級保護協(xié)調（領導）小組辦公室負責本地等級測評機構的建設管理工作。

第十條【基本條件】申請成為等級測評機構的單位（以下簡稱申請單位）應當具備以下基本條件：

（一）在中華人民共和國境內注冊成立（港澳臺地區(qū)除外）；

（二）由中國公民投資、中國法人投資或者國家投資的企事業(yè)單位（港澳臺地區(qū)除外）；

（三）產權關系明晰，注冊資金100萬元以上；

（四）從事信息系統(tǒng)檢測評估相關工作兩年以上；

（五）單位法人及主要工作人員僅限于中華人民共和國境內的中國公民，且無犯罪記錄；

（六）具有勝任等級測評工作的專業(yè)技術人員和管理人員，大學本科（含）以上學歷所占比例不低于80%。其中測評技術人員不少于10人；

（七）具備必要的辦公環(huán)境、設備、設施及完備的安全管理制度；

（八）對國家安全、社會秩序、公共利益不構成威脅;

（九）應當具備的其他條件。

第十一條【申請?zhí)峤弧康胤缴暾垎挝粦驅俚厥。▍^(qū)、市）等級保護協(xié)調（領導）小組辦公室提交申請，行業(yè)申請單位向國家信息安全等級保護工作協(xié)調小組辦公室提交申請，并填寫申請書，申請成為等級測評機構。

第十二條【申請材料】申請單位在申請時應提供以下材料，并對申請材料的真實性負責。

（一）《信息安全等級保護測評機構申請書》；

（二）當?shù)毓簿W安部門的推薦意見；

（三）營業(yè)執(zhí)照及其他注冊證明文件；

（四）《內設組織機構與崗位設置情況表》；

（五）《工作人員基本情況表》、證明材料和聲明；

（六）《辦公場地、設備與設施情況表》；

（七）《安全測評設備、工具配備情況表》；

（八）信息系統(tǒng)安全測評能力報告；

（九）保密管理、項目管理、質量管理、人員管理和培訓教育等相關管理文件；

（十）需要提供的其他材料。

第十三條【初審】省級（含）以上等級保護協(xié)調（領導）小組辦公室收到申請材料后，應在30日內完成初審。

第十四條【技術能力審驗】初審通過的，由技術能力審驗機構評估、審查并確認申請單位的技術能力。

技術能力審驗周期最長為一個月。審驗期滿前，技術能力審驗機構應向等級保護協(xié)調（領導）小組辦公室出具審驗意見，并加蓋專門印章。

第十五條【核準】省級（含）以上等級保護協(xié)調（領導）

小組辦公室對通過技術能力審驗的申請單位進行復核，并出具核準意見。

第十六條【目錄公布】測評機構實行目錄管理。各省級信息安全等級保護協(xié)調（領導）小組辦公室公布本地等級測評機構目錄，并向國家信息安全等級保護工作協(xié)調小組辦公室備案。國家信息安全等級保護工作協(xié)調小組辦公室公布《全國信息安全等級測評機構目錄》。

第十七條【業(yè)務范圍】測評機構應當在規(guī)定的業(yè)務范圍內開展測評業(yè)務。

（一）地方測評機構在本地開展測評業(yè)務，行業(yè)測評機構在行業(yè)內開展測評業(yè)務。行業(yè)測評機構在地方開展測評業(yè)務前，應與本地等級保護協(xié)調（領導）小組辦公室協(xié)調；

（二）承擔有關部門委托的安全測評專項任務；

（三）配合當?shù)毓簿W安部門對信息系統(tǒng)進行監(jiān)督、檢查；

（四）開展風險評估、信息安全培訓、咨詢服務和信息安全工程監(jiān)理；

（五）為當?shù)匦畔踩燃壉Ｗo工作提供技術支持和服務；

（六）其他有關文件規(guī)定的職責任務。

第十八條【禁止行為】測評機構不得從事下列活動：

（一）承擔信息系統(tǒng)安全建設整改工作；

（二）將等級測評任務分包、外包；

（三）信息安全產品開發(fā)、營銷和信息系統(tǒng)集成活動；

（四）限定被測評單位購買、使用其指定的信息安全產品；

（五）未經許可占有、使用有關測評信息、資料及數(shù)據(jù)文件；

（六）其他可能影響測評客觀、公正的活動。第十九條【風險告知】在開展測評過程中，對可能影響信息系統(tǒng)正常運行的，測評機構應當事先告知被測評單位，并協(xié)助其采取相應的預防措施。

第二十條【人員管理】測評機構應當建立完備的人員檔案，嚴格履行人員錄用、考核、離崗等程序，對進入重要信息系統(tǒng)進行測評的人員，應該進行背景審查，確保人員可靠。

第二十一條【制度管理】測評機構應當建立并落實保密管理、項目管理、質量管理、人員管理、培訓教育等管理制度。

第二十二條【能力建設】測評機構要加強技術能力和管理能力建設，應在測評機構推薦目錄公布后兩年內至少通過一項實驗室或檢查機構資質認定。

第三章 人員管理

第二十三條【人員要求】測評人員應遵守國家有關法律法規(guī)、技術標準和測評人員行為準則，認真履行本細則規(guī)定 的責任和義務，為用戶提供安全、客觀、公正的測評服務，保證測評的質量和效果。

第二十四條【個人聲明】測評人員應當提供本人社會背景、工作經歷和獎懲情況的證明材料，聲明相關材料的真實性并承擔法律責任。

第二十五條【持證上崗】測評人員上崗前應接受培訓，培訓合格的由測評機構頒發(fā)上崗證。測評人員持證上崗。

第二十六條【分級管理】測評機構技術人員實行分級管理，由低到高分為初級等級測評師、中級等級測評師和高級等級測評師。

測評技術人員應當接受專門業(yè)務培訓，考試合格的獲得等級測評師證書。

第二十七條【培訓與考試】國家信息安全等級保護協(xié)調小組辦公室制定并公布培訓計劃，指定專門培訓機構具體承擔等級測評師的培訓、考試工作。專門培訓機構向考試合格的人員頒發(fā)等級測評師證書。

第二十八條【證書管理】專門培訓機構依據(jù)等級測評師證書管理辦法辦理證書的審核、頒發(fā)、建檔、公布、查詢、年審、換發(fā)和撤銷，并向省級以上等級保護工作協(xié)調小組辦公室備案。

第二十九條【備案】行業(yè)測評機構每年應將本單位等級測評師培訓、獲證情況向國家信息安全等級保護工作協(xié)調小組辦公室備案。

地方測評機構每年應將本單位等級測評師培訓、獲證情況向本?。▍^(qū)市）等級保護協(xié)調（領導）小組辦公室備案。

各地等級保護協(xié)調（領導）小組辦公室每年應將本地等級測評師培訓、獲證情況向國家等級保護協(xié)調小組辦公室備案。

第三十條【年審管理】等級測評師實行年審制度。專門培訓機構對等級測評師每年進行一次年審，并將年審結果報等級保護協(xié)調（領導）小組辦公室。

對未通過年審的等級測評師，測評機構應暫停其開展測評工作。專門培訓機構應對年審不通過的等級測評師開展培訓。

第三十一條【變更告知】等級測評機構的主要管理人員和技術人員工作變動的，應及時到等級保護協(xié)調（領導）小組辦公室變更備案。

第三十二條【人員法律責任】測評人員在測評工作中具有徇私舞弊、收受賄賂等違反有關法律法規(guī)行為的，應由專門培訓機構撤銷違規(guī)人員等級測評師證書，并按照有關規(guī)定進行處罰。

第四章 測評活動

第三十三條【用戶要求】信息系統(tǒng)運營使用單位應當選擇《等級測評機構推薦目錄》中的等級測評機構，定期對信息系統(tǒng)開展等級測評，并加強對測評過程的監(jiān)督管理。

第三十四條【整改前測評】信息系統(tǒng)安全建設整改前，信息系統(tǒng)運營使用單位可以選擇測評機構進行等級測評，掌握信息系統(tǒng)安全狀況，排查系統(tǒng)安全隱患和薄弱環(huán)節(jié)，明確安全建設整改需求。

第三十五條【整改后測評】信息系統(tǒng)安全建設整改后，信息系統(tǒng)運營使用單位應當再選擇測評機構進行等級測評，檢測系統(tǒng)安全保護狀況與標準要求的符合性，進一步查找安全隱患和問題，并進行風險分析，為進一步整改提供依據(jù)。

第三十六條【定期測評】第三級以上（含）信息系統(tǒng)應當每年至少進行一次等級測評，測評完成后，信息系統(tǒng)運營使用單位應及時向受理備案的公安機關提交測評報告。

第三十七條【測評機構規(guī)范】測評機構應建立規(guī)范的質量管理體系，依據(jù)《信息系統(tǒng)安全等級保護測評要求》等標準規(guī)范對信息系統(tǒng)進行測評，按照公安部制訂的信息系統(tǒng)安全等級測評報告格式編制測評報告。

第三十八條【測評費用】測評機構應當參照國家信息化工程建設項目人工計費標準合理收取測評服務費用。為防止惡意競爭，影響測評質量，測評機構開展測評業(yè)務收費應當不低于最低收費限額。

第三十九條【安全責任】測評機構應當針對等級測評工作制定保密管理規(guī)范，明確保密崗位與職責，定期對工作人員進行保密教育，與其簽訂《保密責任書》，規(guī)定應當履行的安全保密義務和承擔的法律責任，并負責檢查落實。

第五章 監(jiān)督管理

第四十條【監(jiān)管主體】各級等級保護協(xié)調（領導）小組辦公室對等級測評機構、測評人員、測評活動等進行監(jiān)督、檢查，處理對測評機構的投訴。

第四十一條【年審】各級等級保護工作協(xié)調（領導）小組辦公室對備案的測評機構及測評人員實施年審管理，每年對測評機構的能力和工作進行審核、審查，并公布審核、審查結果。

第四十二條【機構違規(guī)】測評機構違反規(guī)定，情節(jié)輕微的，由等級保護協(xié)調領導機構辦公室責令其限期改正或予以通報、警告。

測評機構出現(xiàn)以下情況之一的，按照相應規(guī)定和程序，由等級保護協(xié)調（領導）機構決定撤銷其測評機構資格并及時向社會公告。

（一）違反法律、法規(guī)并被起訴的；

（二）發(fā)生重大泄密事件的；

（三）運營管理不規(guī)范，嚴重影響測評質量，經整改仍無法達到要求的；

（四）與被測評單位共同隱瞞在安全評估過程中發(fā)現(xiàn)的安全漏洞，未按要求寫入評估報告的；

（五）在評估過程中弄虛作假，編造安全評估報告的；

（六）不履行規(guī)定的責任和義務，經通報批評、警告仍不改正的；

（七）測評機構成立后一年內不開展測評業(yè)務的；

（八）由于自身原因主動提出退出的；

（九）連續(xù)兩次年審未通過的；

（十）違反其他有關規(guī)定的。

第四十三條【爭議處理】測評機構應當嚴格遵循申訴、投訴及爭議處理制度，妥善處理爭議事件，及時采取糾正和改進措施。

第四十四條【監(jiān)督自身要求】各級等級保護協(xié)調（領導）小組辦公室應嚴格依照本細則的有關規(guī)定，按照公平、公正的原則開展監(jiān)督檢查工作。

第四十五條【變更】測評機構性質、經營（業(yè)務）范圍、隸屬關系、法定代表人等重要事項發(fā)生變化的，應在30日內向等級保護協(xié)調（領導）機構辦理變更手續(xù)。

第四篇：信息安全等級保護測評

TopSec可信等級體系 天融信等級保護方案

Hacker.cn 更新時間:08-03-27 09:37 來源:硅谷動力 作者:中安網

1.等級保護概述

1.1為什么要實行等級保護？

信息系統(tǒng)與社會組織體系是具有對應關系的，而這些組織體系是分層次和級別的，因此各種信息系統(tǒng)是具有不同等級的重要性和社會、經濟價值的。對信息系統(tǒng)的基礎資源和信息資源的價值大小、用戶訪問權限的大小、大系統(tǒng)中各子系統(tǒng)的重要程度進行區(qū)別對待就是級別的客觀要求。信息安全必須符合這些客觀要求，這就需要對信息系統(tǒng)進行分級、分區(qū)域、分階段進行保護，這是做好國家信息安全的必要條件。

1.2等級保護的政策文件

信息安全等級保護工作非常重要，為此從2003年開始國家發(fā)布了一系列政策文件，具體如下：

2003年9月，中辦國辦頒發(fā)《關于加強信息安全保障工作的意見》（中辦發(fā)[2003]27號），這是我國第一個信息安全保障工作的綱領性文件，戰(zhàn)略目標為經過五年努力，基本形成國家信息安全保障體系，實行等級保護制度。

2004年11月，四部委會簽《關于信息安全等級保護工作的實施意見》（公通字[2004]66號）：等級保護是今后國家信息安全的基本制度也是根本方法、等級保護制度的重要意義、原則、基本內容、工作職責分工、工作要求和實施計劃。2005年9月，國信辦文件，《關于轉發(fā)《電子政務信息安全等級保護實施指南》的通知》（國信辦[2004]25號）：基本原理、定級方法、安全規(guī)劃與設計、實施與運營、大型復雜電子政務系統(tǒng)等級保護過程。

2005年，公安部標準：《等級保護安全要求》、《等級保護定級指南》、《等級保護實施指南》、《等級保護測評準則》。

2006年1月，四部委會簽《關于印發(fā)《信息安全等級保護管理辦法的通知》（公通字[2006]7號）。

1.3 等級保護的管理結構－北京為例

等級保護的實施和落實離不開各級管理機構的指導和監(jiān)督，這在等級保護的相關文件中已經得到了規(guī)定，下面以北京市為例來說明管理機構的組成和職責，具體如下圖所示：

1.4等級保護理論的技術演進

在等級保護理論被提出以后，經過相關部門的努力工作，逐漸提出了一系列原則、技術和框架，已經具備實施等級保護工作的基礎條件了，其具體演進過程如下圖所示：

1.5等級保護的基本需求

一個機構要實施等級保護，需要基本需求。由于等級保護是國家推動的旨在規(guī)范安全工作的基本工作制度，因此各級組織在這方面就存在如下需求：

（1）政策要求－符合等級保護的要求。系統(tǒng)符合《基本要求》中相應級別的指標，符合《測評準則》中的要求。

（2）實際需求－適應客戶實際情況。適應業(yè)務特性與安全要求的差異性，可工程化實施。

1.6基本安全要求的結構

對系統(tǒng)進行定級后，需要通過努力達到相應等級的基本安全要求，在總體上分為技術要求和管理要求，技術上又分為物理安全、網絡安全、主機安全、應用安全、數(shù)據(jù)安全，在管理要求中又分為安全管理機構、安全管理制度等5項，具體如下圖所示：

2.等級保護實施中的困難與出路

由于等級保護制度還處于探討階段，目前來看，尚存在如下困難：

1.標準中從“單個系統(tǒng)”出發(fā)，但實際工作是從組織整體出發(fā)，整體考慮所有系統(tǒng)，否則：

a)各系統(tǒng)單獨保護，將沖突和割裂，形成信息孤島

b)復雜大系統(tǒng)的分解和差異性安全要求描述很困難

c)各系統(tǒng)安全單獨建設，將造成分散、重復和低水平

2.在建立長效機制方面考慮較少，難以做到可持續(xù)運行、發(fā)展和完善

3.管理難度太大，管理成本高

4.大型客戶最關注的關鍵要求指標超出《基本要求》規(guī)定

針對上述問題，在下面幾小節(jié)分別給出了堅決辦法。

2.1安全體系設計方法

需求分析－1

問題1：標準中從“單個系統(tǒng)”出發(fā)，但實際工作是從組織整體出發(fā)，整體考慮所有系統(tǒng)

a)各系統(tǒng)單獨保護，將沖突和割裂，形成信息孤島

需求：從組織整體出發(fā)，綜合考核所有系統(tǒng)

方法：引入體系設計方法

2.2保護對象框架設計方法

需求分析－2

1.標準中從“單個系統(tǒng)”出發(fā)，但實際工作是從組織整體出發(fā)，整體考慮所有系統(tǒng)

a)各系統(tǒng)單獨保護，將沖突和割裂，形成信息孤島

b)復雜大系統(tǒng)的分解和差異性安全要求描述很困難

需求：準確地進行大系統(tǒng)的分解和描述，反映實際特性和差異性安全要求

方法：引入保護對象框架設計方法

保護對象框架－政府行業(yè)

保護對象框架－電信行業(yè)

保護對象框架－銀行業(yè)

2.3安全平臺的設計與建設方法

需求分析－3

1.標準中從“單個系統(tǒng)”出發(fā)，但實際工作是從組織整體出發(fā)，整體考慮所有系統(tǒng)

a)各系統(tǒng)單獨保護，將沖突和割裂，形成信息孤島

b)復雜大系統(tǒng)的分解和差異性安全要求描述很困難

c)各系統(tǒng)安全單獨建設，將造成分散、重復和低水平

需求：統(tǒng)一規(guī)劃，集中建設，避免重復和分散，降低成本，提高建設水平

方法：引入安全平臺的設計與建設方法

平臺定義：為系統(tǒng)提供互操作性及其服務的環(huán)境

2.4建立安全運行體系

需求分析－4

1.標準中從“單個系統(tǒng)”出發(fā)，但實際工作是從組織整體出發(fā)，整體考慮所有系統(tǒng)

a)各系統(tǒng)單獨保護，將沖突和割裂，形成信息孤島

b)復雜大系統(tǒng)的分解和差異性安全要求描述很困難

c)各系統(tǒng)安全單獨建設，將造成分散、重復和低水平

2.在建立長效機制方面考慮較少，難以做到可持續(xù)運行、發(fā)展和完善

需求：建立長效機制，建立可持續(xù)運行、發(fā)展和完善的體系

方法：建立安全運行體系

2.5安全運維工作過程

需求分析－5

1.標準中從“單個系統(tǒng)”出發(fā)，但實際工作是從組織整體出發(fā)，整體考慮所有系統(tǒng)

a)各系統(tǒng)單獨保護，將沖突和割裂，形成信息孤島

b)復雜大系統(tǒng)的分解和差異性安全要求描述很困難

c)各系統(tǒng)安全單獨建設，將造成分散、重復和低水平

2.在建立長效機制方面考慮較少，難以做到可持續(xù)運行、發(fā)展和完善

3.管理難度太大，管理成本高

需求：需要高水平、自動化的安全管理工具

方法：TSM安全管理平臺

2.6 TNA可信網絡架構模型

需求分析－6

1.標準中從“單個系統(tǒng)”出發(fā)，但實際工作是從組織整體出發(fā)，整體考慮所有系統(tǒng)

a)各系統(tǒng)單獨保護，將沖突和割裂，形成信息孤島

b)復雜大系統(tǒng)的分解和差異性安全要求描述很困難

c)各系統(tǒng)安全單獨建設，將造成分散、重復和低水平

2.在建立長效機制方面考慮較少，難以做到可持續(xù)運行、發(fā)展和完善

3.管理難度太大，管理成本高

4.大型客戶最關注的關鍵指標超出《基本要求》規(guī)定

需求：在《基本要求》基礎上提出更強的措施，滿足客戶最關注的指標

方法：引入可信計算的理念，提供可信網絡架構

3.總體解決方案－TopSec可信等級體系

按照上面解決等級保護目前困難的方法，總體解決方案就是建立TopSec可信等級體系：

遵照國家等級保護制度、滿足客戶實際需求，采用等級化、體系化和可信保障相結合的方法，為客戶建設一套覆蓋全面、重點突出、節(jié)約成本、持續(xù)運行的安全保障體系。

實施后狀態(tài)：一套持續(xù)運行、涵蓋所有安全內容的安全保障體系，是企業(yè)或組織安全工作所追求的最終目標

特質：

等級化：突出重點，節(jié)省成本，滿足不同行業(yè)、不同發(fā)展階段、不同層次的要求

整體性：結構化，內容全面，可持續(xù)發(fā)展和完善，持續(xù)運行

針對性：針對實際情況，符合業(yè)務特性和發(fā)展戰(zhàn)略

3.1可信等級體系設計方法

3.2信息安全保障體系總體框架

3.3體系設計的成果

安全組織體系

安全策略體系

安全技術體系

安全運行體系

3.4安全體系的實現(xiàn)

4.成功案例

某國有大型企業(yè)已經采用了我們的可信等級體系，取得了良好的效果。

第五篇：《網絡信息安全》期末復習總結

《網絡信息安全》期末復習要點

信息安全的任務是保障信息存儲、傳輸、處理等過程中的安全，具體的有： 機密性；完整性；不可抵賴性；可用性。

網絡信息安全系統(tǒng)的三要素:安全服務（安全任務）、安全機制和安全應用域。

網絡安全防范體系層次：根據(jù)網絡的應用現(xiàn)狀和網絡的結構，安全防范體系的層次可劃分為：物理層安全、系統(tǒng)層安全、網絡層安全、應用層安全、安全管理。

網絡信息安全的技術：密碼技術，身份認證，數(shù)字簽名，防火墻，入侵檢測，漏洞掃描。

數(shù)字簽名就是附加在數(shù)據(jù)單元的一些數(shù)據(jù)，或是對數(shù)據(jù)單元所作的密碼變換。這種數(shù)據(jù)或變換云允許數(shù)據(jù)單元的接收者用以確認數(shù)據(jù)單元的來源和數(shù)據(jù)單元的完整性，并保護數(shù)據(jù)，防止被人進行偽造。

基本要求：簽名是可信的；簽名不可偽造；簽名不可重用，簽名是文件的一部分，不能移到別的文件上去；簡明的文件事不可改變的，在文件上簽名就不能改變；簽名是不可抵賴的。

目前使用最多的數(shù)字簽名有兩類：一類是 使用對稱密碼系統(tǒng)和需要仲裁者的簽名方案；還有一類是基于公開秘鑰體制的數(shù)字簽名。

簽名的過程：1發(fā)送者產生文件的單向散列值；2發(fā)送者用私人密鑰對散列加密，以實現(xiàn)對文件的簽名；3發(fā)送者將文件盒散列簽名發(fā)送給接受者；4接受者根據(jù)發(fā)送者發(fā)送的文件產生文件的單向散列值，然后用數(shù)字簽名算法對散列值運算，同時用發(fā)送者的公開密鑰對簽名的散列解密，簽名的散列值語氣產生的散列值匹配，則簽名有效。

公鑰基礎設施PKI 主要的功能組件包括認證機構，證書庫，證書撤銷，密鑰備份和恢復，自動密鑰更新，秘鑰歷史檔案，交叉認證，支持不可否認，時間戳，客戶端軟件等。

PKI從根本上來說，只提供三種主要的核心服務，即認證，完整性，機密性。認證：指向一個實體確認另一份實體確實就是用戶自己；完整性：指向一個實體確保數(shù)據(jù)沒有被有意或則無意的修改。機密性：指向一個實體確保除了接受者，無人能夠讀懂數(shù)據(jù)的關鍵部分。

PKI信任模型：因經CA與CA之間需要相互交流和信任，這就是PKI交互，即PKI信任模型。

PKI信任模型主要有4種模型，即嚴格層次結構、分布式信任結構、WEB模型、以用戶為中心的信任。

PKI嚴密層次結構：嚴格層次結構的CA之間存在嚴格的上下級關系，下級完全聽從并執(zhí)行上級的規(guī)定。在這種結構中，信任關系是單向的。只允許上

一級CA給下一級CA或則終端用戶頒發(fā)證書。

優(yōu)點：1，具備良好的擴展性；2，很容易找到證書路徑 ；3，證書路徑處理相對較短；4，根據(jù)CA位置，隱性地知道使用限制。

缺點：根節(jié)點一旦泄密遺失，PKI崩潰 損失巨大。擴展結構時，部分或所有需要根據(jù)情況調整信任點。

IPSec保護IP數(shù)據(jù)報的安全

IPsec包含三個重要的協(xié)議AH、ESP、IKE。

IEK協(xié)議負責秘鑰管理。

AH為IP數(shù)據(jù)包提供3種服務（AH只認證不加密），無連接的數(shù)據(jù)完整性驗證（哈希函數(shù)產生的校驗）、數(shù)據(jù)源身份認證（添加共享密鑰）、防重放攻擊（AH報頭中的序列號）。

ESP（基本功能是加密）提供AH的三種服務，還包括數(shù)據(jù)包加密、數(shù)據(jù)流加密。

解釋域（DOI）為使用IKE進行協(xié)商的ＳＡ的協(xié)議統(tǒng)一分配標識符。IPSec的兩種運行模式：傳輸模式（保護的只是IP的有效負載），隧道模式（保護整個IP數(shù)據(jù)包）SSL提供Internet通信的安全協(xié)議，用于ｗｅｂ瀏覽器與服務器之間的身份認證和加密數(shù)據(jù)傳輸。

SSL由多個協(xié)議組成并采用兩層體系結構：上層有SSL握手協(xié)議、SSL修改密碼規(guī)格協(xié)議和SSL告警協(xié)議；往下有SSL記錄協(xié)議、TCP,UDP.SSL連接：連接時提供恰當類型服務的傳輸。

SSL回話：ＳＳＬ會話是客戶與服務器之間的關聯(lián)，會話通過握手協(xié)議來創(chuàng)建。

SSL握手協(xié)議兩個階段：第一階段用于建立私密性通信信道；第二階段用于客戶認證。

SSL安全電子交易協(xié)議）協(xié)議目標：SET交易流程：SET中采用了雙重簽名技術

常用的入侵方法：口令入侵、特洛伊木馬術、監(jiān)聽法、Email技術、利用系統(tǒng)漏洞

堆棧、攻擊代碼、函數(shù)調用傳遞的參數(shù)、函數(shù)返回地址、函數(shù)的局部變量、緩沖區(qū)

在函數(shù)返回地址位置重復若干次返回地址，在溢出數(shù)據(jù)中添加前面增加個NOP指令

緩沖溢出原理：借著在程序緩沖區(qū)編寫超出其長度的代碼,造成溢出,從而破壞其堆棧,使程序執(zhí)行攻擊者在程序地址空間中早已安排好的代碼,以達到其目的。

避免的方法：

1、強制寫正確的代碼的方法。

2、通過操作系統(tǒng)使得緩沖區(qū)不可執(zhí)行，從而阻止攻擊者殖入攻擊代碼。

3、利用編譯器的邊界檢查來實現(xiàn)緩沖區(qū)的保護。

4、在程序指針失效前進行完整性檢查

常用的反病毒技術：特征碼技術、實時監(jiān)聽技術、虛擬機技術

防火墻技術只關心端口 源地址 目標地址 數(shù)據(jù)包頭標志位，不關心內容 防火墻一般采用兩種技術：數(shù)據(jù)報過濾和代理服務。IP層，目的地址，端口號，數(shù)據(jù)的對話協(xié)議，數(shù)據(jù)包頭中的標志位

靜態(tài)包過濾型防火墻（IP層）：依據(jù)事先設定的過濾規(guī)則，檢查數(shù)據(jù)流的每個數(shù)據(jù)包，確定是否允許該數(shù)據(jù)報通過。

優(yōu)點是：實現(xiàn)邏輯比較簡單、對網絡性能影響較小、有較強的透明性、與應用層無關、是最快的防火墻。

弱點是：配置時需要對IP、UDP、TCP等各種協(xié)議比較了解、容易被地址欺騙、不能提供應用層用戶的鑒別服務、允許外部用戶直接與內部主機相連。

幾種防火墻的對比：

靜態(tài)包過濾防火墻： 不檢查數(shù)據(jù)區(qū)，包過濾防火墻不建立連接狀態(tài)表，前后報文無關，應用層控制很弱。

動態(tài)包過濾型（狀態(tài)檢測）防火墻：不檢查數(shù)據(jù)區(qū)，建立連接狀態(tài)表，前后報文相關，應用層控制很弱。

應用代理（應用網關）防火墻：不檢查IP、TCP報頭，不建立連接狀態(tài)表，網絡層保護比較弱。

復合型防火墻：可以檢查整個數(shù)據(jù)包內容，根據(jù)需要建立連接狀態(tài)表，網絡層保護強，應用層控制細，會話控制較弱。

ＩＤＳ（入侵檢測系統(tǒng)）技術：通過對計算機網絡或則計算機系統(tǒng)的若干關鍵點搜集信息并對器進行分析，從中發(fā)網絡或系統(tǒng)是否違反安全策略的行為和被攻擊的跡象。

IDS分類：基于網絡的IDS和基于主機的ＩＤＳ

異常檢查是通過計算審計數(shù)據(jù)與一個期望的正常行為描述的模型之間的偏差來判斷入侵與否濫用檢查（特征匹配檢測）是通過掃描審計數(shù)據(jù)看是否與已知攻擊特征來判斷入侵與否。

ＩＤＳ檢測引擎的常用技術：統(tǒng)計方法、專家系統(tǒng)、神經網絡、狀態(tài)轉移分析、Petri網、計算機免疫、Agent技術、其他檢測技術。

蜜罐的特點與分類產品型、研究型、低交互型、高交互型

優(yōu)點： 收集數(shù)據(jù)保真度高，能收集到新的攻擊技術，不需要強大的資源支持，比較簡單，不是單一系統(tǒng)而是一個網絡缺點： 投入精力和時間，視圖有限，不能使用旁路監(jiān)聽等技術對整個網絡監(jiān)控，不能直接防護有漏洞的系統(tǒng)，帶來一定的安全風險

蜜罐的主要技術：網絡欺騙、端口重定向、報警、數(shù)據(jù)控制、數(shù)據(jù)捕獲 s-http和https ：S-HTTP協(xié)議處于應用層，它是HTTP協(xié)議的擴展，它僅適用于HTTP聯(lián)結上，S-HTTP可提供通信保密、身份識 別、可信賴的信息傳輸服務及數(shù)字簽名等。https簡單講是HTTP的安全版。即HTTP下加入SSL層，HTTPS的安全基礎是SSL。