最近有个小项目，需要爬取页面上相应的资源数据后，保存到本地，然后将原始的HTML源文件保存下来，对HTML页面的内容进行修改将某些标签整个给替换掉。

对于这类需要对HTML进行操作的需求，最方便的莫过于BeautifulSoup4的库了。

样例的HTML代码如下：

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

<html>
<body>
    <a class="videoslide" href="http://www.test.com/wp-content/uploads/1020/1381824922.JPG">
       <img src="http://www.test.com/wp-content/uploads/1020/1381824922_zy_compress.JPG" data-zy-media-id="zy_location_201310151613422786"/>
    </a>
    <a href="http://www.test.com/wp-content/uploads/1020/第一张_1381824798.JPG">
       <img data-zy-media-id="zy_image_201310151613169945" src="http://www.test.com/wp-content/uploads/1020/第一张_1381824798_zy_compress.JPG"/></a>
    <a href="http://www.test.com/wp-content/uploads/1020/第二张_1381824796.jpg">
       <img data-zy-media-id="zy_image_201310151613163009" src="http://www.test.com/wp-content/uploads/1020/第二张_1381824796_zy_compress.jpg"/>
    </a>
    <a href="http://www.test.com/wp-content/uploads/1020/第三张.jpg">
       <img data-zy-media-id="zy_image_201312311838584446" src="http://www.test.com/wp-content/uploads/1020/第三张_zy_compress.jpg"/>
    </a>
</body>
</html>

这里主要包括了<a >标签，<a >标签里面嵌入了<img >标签，其中有<a class="videoslide">的标识该标签实际是可以播放动画的。需要根据class="videoslide" 来判断将整个<a >标签换成播放器的<video >标签，将没有class="videoslide" 的<a >标签换成<figure>标签。

也就是将带有的<a class="videoslide" ...><img ... /></a>标签换成

1
2
3
4
5
6

<div class="video">
<video controls width="100%" poster="视频链接的图片地址.jpg">
    <source src="视频文件的静态地址.mp4" type="video/mp4" />
    您的浏览器不支持H5视频，请使用Chrome/Firefox/Edge浏览器。
</video>
</div>

将<a ....><img .../></a>标签换成

1
2
3
4

<figure>
    < img src="图片地址_compressed.jpg" data-zy-media-id="图片地址.jpg">
    <figcaption>文字说明（如果有）</figcaption>
</figure>

这里通过BeautifulSoup4 的select()方法找到标签，通过get()方法获取标签及标签属性值，通过replaceWith来替换标签，具体代码如下：
首先安装BeautifulSoup4的库，BeautifulSoup4库依赖于lxml库，所以也需要安装lxml库。

1
2

pip install bs4
pip install lxml

具体代码实现如下：

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53

import os
from bs4 import BeautifulSoup
htmlstr='<html><body>' \
        '<a class="videoslide" href="http://www.test.com/wp-content/uploads/1020/1381824922.JPG">' \
        '<img src="http://www.test.com/wp-content/uploads/1020/1381824922_zy_compress.JPG" data-zy-media-id="zy_location_201310151613422786"/></a>' \
        '<a href="http://www.test.com/wp-content/uploads/1020/第一张_1381824798.JPG">' \
        '<img data-zy-media-id="zy_image_201310151613169945" src="http://www.test.com/wp-content/uploads/1020/第一张_1381824798_zy_compress.JPG"/></a>' \
        '<a href="http://www.test.com/wp-content/uploads/1020/第二张_1381824796.jpg">' \
        '<img data-zy-media-id="zy_image_201310151613163009" src="http://www.test.com/wp-content/uploads/1020/第二张_1381824796_zy_compress.jpg"/></a>' \
        '<a href="http://www.test.com/wp-content/uploads/1020/第三张.jpg">' \
        '<img data-zy-media-id="zy_image_201312311838584446" src="http://www.test.com/wp-content/uploads/1020/第三张_zy_compress.jpg"/></a>' \
        '</body></html>'

def procHtml(htmlstr):
    soup = BeautifulSoup(htmlstr, 'lxml')
    a_tags=soup.select('a')
    for a_tag in a_tags:
        a_tag_src = a_tag.get('href')
        a_tag_filename = os.path.basename(a_tag_src)
        a_tag_path = os.path.join('src', a_tag_filename)
        a_tag['href']=a_tag_path
        next_tag=a_tag.next
        #判断是视频还是图片，如果a标签带了class="videoslide" 是视频否则是图片
        if a_tag.get('class') and 'videoslide'==a_tag.get('class')[0]:
            # 处理视频文件
            media_id = next_tag.get('data-zy-media-id')
            if media_id:
                media_url = 'http://www.test.com/travel/show_media/' + str(media_id)+'.mp4'
                media_filename = os.path.basename(media_url)
                media_path = os.path.join('src', media_filename)
                # 将div.video标签替换a标签
                video_html = '<div class=\"video\"><video controls width = \"100%\" poster = \"' + a_tag_path + '\" ><source src = \"' + media_path + '\" type = \"video/mp4\" /> 您的浏览器不支持H5视频，请使用Chrome / Firefox / Edge浏览器。 </video></div>'
                video_soup = BeautifulSoup(video_html, 'lxml')
                a_tag.replaceWith(video_soup.div)
        else:
            #获取图片信息
            if 'img'==next_tag.name:
                img_src=next_tag.get('src')
                # 判断是否路径是否为本地资源 data:image和file:
                if img_src.find('data:image') == -1 and img_src.find('file:') == -1:
                    img_filename = os.path.basename(img_src)
                    img_path = os.path.join('src', img_filename)
                    # 将<figure><img>标签替换a标签
                    figcaption=''
                    figure_html='<figure><img src=\"'+img_path+'\" data-zy-media-id=\"'+a_tag_path+'\"><figcaption>'+figcaption+'</figcaption></figure>'
                    figure_soup = BeautifulSoup(figure_html, 'lxml')
                    a_tag.replaceWith(figure_soup.figure)
    html_content = soup.contents[0]
    return html_content

if __name__ == '__main__':
    pro_html_str=procHtml(htmlstr)
    print(pro_html_str)

结果:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20

<html>
<body>
<div class="video">
<video controls="" poster="src\1381824922.JPG" width="100%">
<source src="src\zy_location_201310151613422786.mp4" type="video/mp4"/> 您的浏览器不支持H5视频，请使用Chrome / Firefox / Edge浏览器。 
</video>
</div>
<figure>
<img data-zy-media-id="src\第一张_1381824798.JPG" src="src\第一张_1381824798_zy_compress.JPG"/>
<figcaption></figcaption>
</figure>
<figure>
<img data-zy-media-id="src\第二张_1381824796.jpg" src="src\第二张_1381824796_zy_compress.jpg"/>
<figcaption></figcaption></figure>
<figure>
<img data-zy-media-id="src\第三张.jpg" src="src\第三张_zy_compress.jpg"/>
<figcaption></figcaption>
</figure>
</body>
</html>

博客地址：http://xiejava.ishareread.com/

一、什么是运维安全管理与审计系统

运维安全管理与审计系统（俗称 “堡垒机”）：是采用新一代智能运维技术框架，基于认证、授权、访问、审计的管理流程设计理念，实现对企事业IT中心的网络设备、数据库、安全设备、主机系统、中间件等资源统一运维管理和审计；通过集中化运维管控、运维过程实时监管、运维访问合规性控制、运维过程图形化审计等功能，为企事业IT中心运维构建一套事前预防、事中监控、事后审计完善的安全管理体系。

简单的说，运维安全管理与审计系统（堡垒机）就是用来控制哪些人可以登录哪些资产（事先防范和控制），以及录像记录登录资产后做了什么事情（事中监控和事后溯源）的系统。其核心是可控及审计。可控是指权限可控、行为可控。权限可控指可以方便的设置、回收运维操作人员的权限；行为可控，比如需要集中禁用某个危险命令；可审计，指有权限操作的人员对资产的所有操作都有记录，能够被监控和审计。

二、为什么需要运维安全管理与审计系统

当企业的IT资产越来越多，当参与运维的岗位越来越多样性，运维团队达到一定的规模，不同的人员如运维人员、开发人员、第三方代维、厂商支撑人员需要控制访问不同的资产及权限，如果没有一套好的机制，就会产生混乱。无法有效的做到“哪些人允许以什么样的身份访问哪些设备”，更加没有办法知道“哪些人登录设备后做了哪些事情”，出了问题以后无法回溯。

运维安全管理与审计系统（堡垒机）是从跳板机（也叫前置机）的概念演变过来的。早在2000年左右，一些中大型企业为了能对运维人员的远程登录进行集中管理，会在机房部署一台跳板机。跳板机其实就是一台unix/linux/windows操作系统的服务器，所有运维人员都需要先远程登录跳板机，然后再从跳板机登录其他服务器中进行运维操作。

跳板机解决了远程登录集中管理访问的问题，但跳板机并没有实现对运维人员操作行为的控制和审计，使用跳板机过程中还是会有误操作、违规操作导致的操作事故，一旦出现操作事故很难快速定位原因和责任人。此外，跳板机存在严重的安全风险，一旦跳板机系统被攻入，则将后端资源风险完全暴露无遗。同时，对于个别资源（如telnet）可以通过跳板机来完成一定的内控，但是对于更多更特殊的资源（ftp、rdp等）来讲就显得力不从心了。

人们逐渐认识到跳板机的不足，进而需要更新、更好的安全技术理念来实现运维操作管理。需要一种能满足角色管理与授权审批、信息资源访问控制、操作记录和审计、系统变更和维护控制要求，并生成一些统计报表配合管理规范来不断提升IT内控的合规性的产品。在这些理念的指导下，2005年前后，运维安全管理与审计系统（堡垒机）开始以一个独立的产品形态被广泛部署，有效地降低了运维操作风险，使得运维操作管理变得更简单、更安全。

运维安全管理与审计系统（堡垒机）承担了运维人员在运维过程中唯一的入口，通过精细化授权以明确“哪些人以什么身份访问了哪些设备”，从而让运维混乱变得有序起来，堡垒机不仅可以明确每一个运维人员的访问路径，还可以将每一次访问及操作过程变得可以“审计”，就像飞机中的黑匣子，汽车上的行车记录仪，能够做到针对运维人员的每次一操作均可以录像、全程审计，一但出了问题，可以追踪溯源。

运维安全管理与审计系统的目标可以概括为5W，主要是为了降低运维风险。具体如下：

• 审计：你做了什么？（What）
• 授权：你能做哪些？（Which）
• 账号：你要去哪？（Where）
• 认证：你是谁？（Who）
• 来源：访问时间？（When）

运维安全管理与审计系统实现：

• 事前预防：建立“自然人-资源-资源账号”关系，实现统一认证和授权
• 事中控制：建立“自然人-操作-资源”关系，实现操作审计和控制
• 事后审计：建立“自然人-资源-审计日志”关系，实现事后溯源和责任界定

三、运维安全管理与审计系统原理

原理

运维安全管理与审计系统（堡垒机），主要采用4A管理模型，对IT运维操作进行访问控制和行为审计的合规性管控系统，主要用来解决企业IT运维部门账号管理混乱，身份冒用、滥用，授权控制不明确，操作行为不规范，事件责任无法定位等问题。
4A 是指认证 Authentication、授权 Authorization、账号 Account、审计 Audit，中文名称为统一安全管理平台解决方案。即将身份认证、授权、记账和审计定义为网络安全的四大组成部分，从而确立了身份认证在整个网络安全系统中的地位与作用。
具体来说：

• 集中认证 (authentication) 管理
  可以根据用户应用的实际需要，为用户提供不同强度的认证方式，既可以保持原有的静态口令方式，又可以提供具有双因子认证方式的高强度认证（一次性口令、数字证书、动态口令），而且还能够集成现有其它如生物特征等新型的认证方式。不仅可以实现用户认证的统一管理，并且能够为用户提供统一的认证门户，实现企业信息资源访问的单点登录。
• 集中权限 (authorization) 管理
  可以对用户的资源访问权限进行集中控制。它既可以实现对 B/S、C/S 应用系统资源的访问权限控制，也可以实现对数据库、主机及网络设备的操作的权限控制，资源控制类型既包括 B/S 的 URL、C/S 的功能模块，也包括数据库的数据、记录及主机、网络设备的操作命令、IP 地址及端口。
• 集中帐号（account）管理
  为用户提供统一集中的帐号管理，支持管理的资源包括主流的操作系统、网络设备和应用系统；不仅能够实现被管理资源帐号的创建、删除及同步等帐号管理生命周期所包含的基本功能，而且也可以通过平台进行帐号密码策略，密码强度、生存周期的设定。
• 集中审计 (audit) 管理
  将用户所有的操作日志集中记录管理和分析，不仅可以对用户行为进行监控，并且可以通过集中的审计数据进行数据挖掘，以便于事后的安全事故责任的认定。

技术架构

实现的技术架构如下：

核心功能

主要核心功能包括：
1、访问控制
通过对访问资源的严格控制，堡垒机可以确保运维人员在其账号有效权限、期限内合法访问操作资源，降低操作风险，以实现安全监管目的，保障运维操作人员的安全、合法合规、可控制性。
2、账号管理
当运维人员在使用堡垒机时，无论是使用云主机还是局域网的主机，都可以同步导入堡垒机进行账号集中管理与密码的批量修改，并可一键批量设置SSH秘钥对等。
3、资源授权
支持云主机、局域网主机等多种形式的主机资源授权，并且堡垒机采用基于角色的访问控制模型，能够对用户、资源、功能作用进行细致化的授权管理，解决人员众多、权限交叉、资产繁琐、各类权限复制等众多运维人员遇到的运维难题。
4、指令审核
对运维人员的账号使用情况，包括登录、资源访问、资源使用等。针对敏感指令，堡垒机可以对非法操作进行阻断响应或触发审核的操作情况，审核未通过的敏感指令，堡垒机将进行拦截。
5、审计录像
除了可以提供安全层面外，还可以利用堡垒机的事前权限授权、事中敏感指令拦截外，以及堡垒机事后运维审计的特性。运维人员在堡垒机中所进行的运维操作均会以日志的形式记录，管理者即通过日志对微云人员的操作进行安全审计录像。
6、身份认证
为运维人员提供不同强度的认证方式，既可以保持原有的静态口令方式，还可以提供微信、短信等认证方式。堡垒机不仅可以实现用户认证的统一管理，还能为运维人员提供统一一致的认证门户，实现企业的信息资源访问的单点登录。
7、操作审计
将运维人员所有操作日志集中管理与分析，不仅可以对用户行为进行监控与拦截，还可以通过集中的安全审计数据进行数据挖掘，以便于运维人员对安全事故的操作审计认定。

四、运维安全管理与审计系统部署方式

1、单机部署

堡垒机主要都是旁路部署，旁挂在交换机旁边，只要能访问所有设备即可。
部署特点：
旁路部署，逻辑串联。
不影响现有网络结构。

2、HA高可靠部署

旁路部署两台堡垒机，中间有心跳线连接，同步数据。对外提供一个虚拟IP。用户通过堡垒机虚拟IP进行访问，堡垒机自动进行会话负载分配和数据同步、冗余存储。
部署特点：
两台硬件堡垒机，一主一备/提供VIP。
当主机出现故障时，备机自动接管服务。

五、常见运维安全管理与审计系统产品

商用

奇安信[运维安全管理与审计系统]：https://www.qianxin.com/product/detail/pid/385
亚信安全[信磐堡垒机]：https://www.asiainfo-sec.com/product/detail-27.html
绿盟[绿盟运维安全管理系统]：https://www.nsfocus.com.cn/html/2019/212_0926/20.html
启明星辰[堡垒机]：https://www.venustech.com.cn/new_type/blj/

开源

麒麟堡垒机：http://www.secvpn.com.cn/
飞致JumpServer堡垒机：https://fit2cloud.com/jumpserver/index.html

博客地址：http://xiejava.ishareread.com/

一、信息系统安全保障相关概念

信息系统是用于采集、处理、存储、传输、分发和部署信息的整个基础设施、组织结构、人员和组件的总和。随着当前社会信息化程度的不断提高，各类信息系统越来越成为其所从属的组织机构生存和发展的关键因素，信息系统的安全风险也成为组织风险的一部分。同时，信息系统受来自于组织内部与外部环境的约束，信息系统的安全保障除了要充分分析信息系统本身的技术、业务、管理等特性，还要考虑这些约束条件所产生的要求。为了保障组织机构完成使命，系统安全管理人员必须针对信息系统面临的各种各样的风险制定相应的策略。

信息系统安全保障是在信息系统的整个生命周期中，通过对信息系统的风险分析，制定并执行相应的安全保障策略，从技术、管理、工程和人员等方面提出信息安全保障要求，确保信息系统的保密性、完整性和可用性，把安全风险降到可接受的程度，从而保障系统能够顺利实现组织机构的使命。

信息系统安全保障工作就是针对信息系统在运行环境中所面临的各种风险，制定信息安全保障策略体系，在策略指导下，设计并实现信息安全保障架构或模型，采取技术、管理等安全保障措施，将风险降至预定可接受的程度，从而保障其使命要求。策略体系是组织机构在对风险、资产和使命综合理解的基础上所做出的指导文件。策略体系的制定，反映了组织机构对信息系统安全保障及其目标的理解，它的制定和贯彻执行对组织机构信息系统安全保障起着纲领性的指导作用。

信息系统安全保障工作的基础和前提是风险管理。信息安全策略必须以风险管理为基础，针对可能存在的各种威胁和自身存在的弱点，采取有针对性的防范措施。

二、信息系统安全保障模型

信息系统安全保障模型包含保障要素、生命周期和安全特征3个方面。

信息系统安全保障模型的主要思路是以风险和策略为基础，在整个信息系统的生命周期中实施技术、管理、工程和人员保障要素。通过信息系统安全保障实现信息安全的安全特征：信息的保密性、完整性和可用性特征，从而达到保障组织机构执行其使命的根本目的。

模型特点：

• 将风险和策略作为信息系统安全保障的基础和核心。
• 强调信息系统安全保障应贯穿于整个信息系统生命周期的全过程。
• 强调综合保障的观念。通过综合技术、管理、工程和人员要素来保障信息系统安全。

1、基于信息系统生命周期的信息安全保障

信息系统的生命周期层面和保障要素层面不是相互孤立的，而是相互关联、密不可分的。

在信息系统生命周期模型中，将信息系统的整个生命周期抽象成计划组织、开发采购、实施交付、运行维护和废弃5个阶段，加上在运行维护阶段的变更产生的反馈，形成信息系统生命周期完整的闭环结构。在信息系统生命周期中的任何时间点上，都需要综合信息系统安全保障的技术、管理、工程和人员保障要素。

• 计划组织阶段 ：根据组织机构的业务要求、法律法规的要求、系统所存在的风险等因素，产生了信息系统安全保障需求。在此阶段，信息安全策略应加入信息系统建设和使用的决策中。从信息系统建设开始，就应该综合考虑系统的安全保障要求，确保信息系统建设和信息系统安全保障建设同步规划、同步实施。也就是我们平时讲的信息系统和安全保障要“三同步”–同步规划、同步建设、同步使用。
• 开发采购阶段：此阶段是计划组织阶段的细化和具体体现。在此阶段中，进行系统安全需求分析、系统安全体系设计以及相关预算申请和项目准备等活动。在此阶段，应克服传统拘泥于具体技术的片面性，要综合考虑系统的风险和安全策略，将信息系统安全保障作为一个个整体，进行系统地设计，建立信息系统安全保障整体规划和全局视野。组织机构可根据具体要求，对系统整体的技术、管理安全保障规划或设计进行评估，以保证对信息系统的整体规划满足组织机构的建设要求和相关国家与行业的要求。
• 实施交付阶段：在此阶段，组织机构可通过对承建方进行信息安全服务资格要求和人员专业资格要求以确保施工组织的服务能力；组织机构还可通过信息系统安全保障工程保障对实施施工过程进行监理和评估,最终确保所交付系统的安全性。
• 运行维护阶段：信息系统进人运行维护阶段后，对信息系统的管理、运行维护和使用人员的能力等方面进行综合保障,是信息系统得以安全正常运行的根本保证。
• 变更：信息系统投入运行后并不是- - 成不变的，它随着业务和需求的变更、外界环境的变更产生新的要求或增强原有的要求，重新进人信息系统组织计划阶段(即规划阶段)。
• 废弃阶段：当信息系统不再满足业务要求时，信息系统进入废弃阶段，在这个阶段，需要考虑信息安全销毁等要素。

这样，通过在信息系统生命周期所有阶段融人信息系统安全保障概念，确保了信息系统的持续动态安全保障。

2、信息安全保障要素

1）信息安全技术

信息安全技术体系包括以下几个方面。

• 密码技术：密码技术及应用涵盖了数据处理过程的各个环节，如数据加密、密码分析、数字签名、身份识别、秘密分享等。通过以密码学为核心的信息安全理论与技术保证数据的机密性和完整性等要求。
  访问控制技术：在为用户对系统资源提供最大限度共享的基础上，对用户的访问权进行管理，防止对信息的非授权篡改和滥用。访问控制对经过身份鉴别后的合法用户提供所需要的且经过授权的服务,拒绝用户越权的服务请求，保证用户在系统安全策略下有序工作。
• 审计和监控技术：审计是事后认定违反安全规则行为的分析技术，在检测违反安全规则方面、准确发现系统发生的事件以及对事件发生的事后分析方面，审计都发挥着巨大的作用。审计技术的发展，来源于对访问的跟踪，这些访问包括对保存在计算机系统中敏感及重要信息的访问和对计算机系统资源的访问。网络安全监控包括主动监控和被动监控。它依赖于在任何给定时间内网络组件和检测器记录下已经发生的事情，接收日志信息，并对它进行分析。
• 网络安全技术：这些技术包括网络协议安全、防火墙技术、人侵检测系统/人侵防御系统( Intrusion Detection System/Intrusion Prevention System, IDS/IPS )安全管理平台( Security Operations Center， SOC )、统一威胁管理( Unified Threat Management, UTM )等。网络安全技术主要是保护网络的安全，防止入侵攻击行为的发生。防火墙是一个位于可信网络和不可信网络之间的边界防护系统。防病毒网关防止基于HTTP/FTP/SMTP/POP3/HTTPS等网络协议侵人网络内部的病毒进行过滤。人侵检测系统是一种对网络传输进行即时监视，在发现可疑传输时发出警报措施的网络安全设备。人侵防御系统是监视网络传输行为的安全技术，它能够即时地中断、调整或隔离一些异常或是具有伤害性的网络传输行为。
• 操作系统与数据库安全技术：操作系统安全技术主要包括身份鉴别、访问控制 、文件系统安全、安全审计等方面。数据库安全技术包括数据库的安全特性和安全功能，数据库完整性要求和备份恢复，以及数据库安全防护、安全监控和安全审计等。
• 安全漏洞与恶意代码：包括安全漏洞的成因、分类、发掘方法，以及如何修复等;以及恶意代码的加载、隐藏和自我保护技术,恶意代码的检测原理及清除方法等。
• 软件安全开发：包括软件安全开发模型、软件安全开发关键阶段的安全控制措施等内容。

2）信息安全管理

信息安全管理体系，是组织在整体或特定范围内建立信息安全方针和目标，以及完成这些目标所用方法的体系。基于对业务风险的认识、ISMS包括建立、实施、操作、监视、复查、维护和改进信息安全等一系列的管 理活动，并且表现为组织结构、策略方针、计划活动、目标与原则、人员与责任、过程与方法、资源等诸多要素的集合。

风险管理是指以风险为主线进行信息安全的管理，它的实施目标就是要依据安全标准和信息系统的安全需求，对信息、信息载体、信息环境进行安全管理，以达到安全目标。

风险管理贯穿于整个信息系统生命周期，包括对象确立、风险评估、风险控制、审核批准、监控与审查、沟通与咨询等6个方面的内容。其中，对象确立、风险评估、风险控制和审核批准是信息安全风险管理的4个基本步骤，监控与审查、沟通与咨询则贯穿于这4个基本步骤中。

3）信息安全工程

信息安全工程涉及系统和应用的开发、集成、操作、管理、维护和进化以及产品的开发、交付和升级。

系统安全工程能力成熟模型(Systems Security Engineering Capability Maturity Model，SSE-CMM)描述了一个组织的系统安全工程过程必须包含的基本特征。这些特征是完善的安全工程保证，也是系统安全工程实施的度量标准，同时还是一个易于理解的评估系统安全工程实施的框架。

4）信息安全人才

信息安全保障诸要素中，人是最关键也是最活跃的要素。网络攻防对抗，最终较量的是攻防两端的人，而不是设备。对组织机构来说，应建立一个完整的信息安全人才体系。
信息安全人才体系应包括以下方面。

• 所有员工：需要进行信息安全保障意识教育，具体可以采用内部培训、在组织机构网站上发布相关信息等措施来增强所有员工的安全意识。
• 涉及信息系统的岗位和职责的员工：需要进行相应的信息安全保障的基本技能培训。
• 信息安全专业人员：应建立更全面、更专业的信息安全保障知识和经验。

本文节选自：
《信息安全技术 信息系统安全保障评估框架：简介和一般模型》GB_T 20274.1 200
《CISP培训教材》

博客地址：http://xiejava.ishareread.com/

1947年冯·诺依曼建立计算机系统结构理论时认为，计算机系统也有天生的类似基因的缺陷，也可能在使用和发展过程中产生意想不到的问题。20世纪七八十年代，早期黑客的出现和第一个计算机病毒的产生，软件漏洞逐渐引起人们的关注。在各种产品、主机、网络和复杂信息系统中，安全漏洞以不同形式存在，而且数量逐年增加，利用漏洞造成的各类安全事件层出不穷。攻击行为或网络安全事件的发生正越来越多地受到利益驱动的影响，这种“黑色产业链”的兴起，导致越来越多的网络终端受害，大量机密信息被窃取，敏感数据信息在互联网上传播，并在黑市中待价而沽。工业控制领域以及新技术新应用的安全漏洞，特别是基础核心系统的安全漏洞已经成为危害国家经济和发展安全的重要因素。在安全运营过程中一个最重要的工作就是漏洞管理。

一、什么是安全漏洞

安全漏洞（Vulnerability）也被称为脆弱性。
根据国标-信息安全技术-安全漏洞标识与描述规范[GB/T 28458-2012]对安全漏洞的定义，安全漏洞是计算机信息系统在需求、设计、实现、配置运行等过程中，有意或无意产生的缺陷。这些缺陷以不同形式存在于计算机信息系统的各个层次和环节之中，一旦被恶意主体所利用，就会对计算机信息系统的安全造成损害，从而影响计算机信息系统的正常运行，危害信息产品或系统及信息的安全属性。

有时漏洞也被称作错误( Error)、缺陷 ( Fault)、 弱点( Weakness )或是故障( Failure )等，这些术语很容易引起混淆。在许多情况下，人们习惯于将错误、缺陷、弱点都简单地称为漏洞。需要指出的是，严格地说，错误、缺陷、弱点和故障并不等于漏洞。错误、缺陷和弱点是产生漏洞的条件，漏洞被利用后必然会破坏安全属性，但不一定能引起产品或系统故障。

二、安全漏洞标识与描述

以下为国标-信息安全技术-安全漏洞标识与描述规范[GB/T 28458-2012] 对安全漏洞标识与描述的定义：
安全漏洞描述项包括标识号、名称、发布时间、发布单位、类别、等级、影响系统等必须的描述项，并可更具需要扩充（但不限于）相关编号、利用方法、解决方案建议、其他描述等描述项。

标识号
CVD-YYYY-NNNNNN格式为标识号。CVD为Common V ulnerabilities Description 的缩写；YYYY为4位十进制数字，表示产生本安全漏洞的年份；NNNNNN为6位十进制数字,表示当年内产生的安全漏洞的序号。
名称
安全漏洞标题，概括性描述安全漏洞信息的短语,例如InternetExplorer8.0缓冲区溢出漏洞。
发布时间
安全漏洞信息发布日期。
发布单位
发布安全漏洞的单位全称。
类别
安全漏洞所属分类，说明安全漏洞分类归属的信息。
等级
安全漏洞危害级别，说明安全漏洞能够造成的危害程度。
影响系统
安全漏洞所影响系统的信息，例如厂商、产品名称和版本号等。
相关编号
安全漏洞的其他相关编号,例如Bugtraq编号、CVE编号等。
利用方法
安全漏洞利用的方法，例如安全漏洞攻击方案或利用代码。
解决方案建议
安全漏洞的解决方案，例如补丁信息等。
其他描述
安全漏洞描述需要说明的其他相关信息，例如安全漏洞产生的具体原因。

三、安全漏洞的分类分级

分类

网络安全漏洞分类是基于漏洞产生或触发的技术原因对漏洞进行划分，分类如下：

分级

网络安全漏洞分级是指采用分级的方式对网络安全漏洞潜在危害的程度进行描述，包括技术分级
和综合分级两种分级方式，每种方式均分为超危（严重）、高危、中危和低危四个等级,具体内容如下:
超危（严重）：漏洞可以非常容易地对目标对象造成特别严重后果；
高危：漏洞可以容易地对目标对象造成严重后果；
中危：漏洞可以对目标对象造成一般后果，或者比较困难地对目标造成严重后果；
低危：漏洞可以对目标对象造成轻微后果，或者比较困难地对目标对象造成一般严重后果，或
者非常困难地对目标对象造成严重后果。

四、安全漏洞的生命周期

依据信息安全漏洞从产生到消亡的整个过程，信息安全漏洞生命周期分以下几个阶段：
a)漏洞的发现：通过人工或者自动的方法分析、挖掘漏洞的过程，并且该漏洞可以被验证和重现。
b)漏洞的利用：利用漏洞对计算机信息系统的保密性、完整性和可用性造成损害的过程。
c)漏洞的修复：通过补丁、升级版本或配置策略等对漏洞进行修补的过程，使得该漏洞不能够被
恶意主体所利用。
d)漏洞的公开：通过公开渠道(如网站、邮件列表等)公布漏洞信息的过程。

五、安全漏洞的闭环管理

根据漏洞生命周期中漏洞所处的不同状态，将漏洞管理行为对应为预防、收集、消减和发布等活动。

预防是指通过各种安全手段提高信息系统的安全水平，避免漏洞的产生和恶意利用。
收集是针对已发现的漏洞进行信息的及时跟踪与获取。
消减是指在漏洞被发现后积极采取补救措施,最大限度减少漏洞带来的损失。
发布是指在遵循一定的发布策略的前提下,对漏洞及其修复信息进行发布。
用户、厂商和漏洞管理组织可以根据漏洞的状态及管理活动建立符合自身特点的漏洞处理策略和处理流程。
对于企业组织安全运营来说可以参考以下漏洞处理流程：

发现漏洞

一般由渗透测试工程师通过漏洞扫描工具或渗透测试发现系统漏洞，提交渗透测试报告。由安全工程师进行漏洞验证，确定系统漏洞是否真实存在。

漏洞录入

在漏洞验证完成后，安全工程师需要根据企业内部的漏洞等级划分标准，将存在的漏洞录入漏洞管理系统。

漏洞分发

漏洞管理系统根据漏洞所影响的业务系统、主机IP等匹配到系统负责部门和修复人。通知系统负责人进行修复加固等。

漏洞跟进及修复

根据漏洞等级设定的时效性，设置修复计划时间，漏洞复验时间，在漏洞管理系统中进行管理和跟进。漏洞修复人修复完成后提交安全工程师进行漏洞复验，验证漏洞是否确实已经修复。如果漏洞在目前的技术条件下确实无法修复，提交系统负责进行风险确认，采取其他规避风险的措施，如调整访控策略、下线等。

漏洞修复周期

漏洞修复周期，包括漏洞的验证、评估、分发、复验、修复和关闭的各个环节。漏洞的修复周期，会根据漏洞等级确定。
参考如下：

漏洞数据分析

对于漏洞管理整个流程来说，漏洞缓解或已解决后，关闭工单不是最终的目的，需要对漏洞数据进行分析，持续运营，可以从以下几个方面考虑：
1）统计一段时间内，外网系统出现的次数最多的Top10漏洞排名，分析漏洞出现的原因；
如外网系统中出现多次SQL注入漏洞，可以检查WAF的规则库是否及时更新？规则是否生效？此外网系统是否在WAF的防护之内？对外的系统为何不做严格的字符过滤机制等。
2）统计一段时间内，自主开发系统中漏洞数量最多的Top10系统排名，分析造成的原因；
如弱口令次数过多，是安全意识宣传不够？研发人员不重视？
3）哪些供应商的开发的系统漏洞数量最多？分析存在的原因；
是否需要约谈供应商沟通，是安全开发能力的问题，还是研发安全意识不够？
4）哪些框架被利用造成的漏洞过多？
是情报问题？还是应急响应机制的原因？是否可以替换为其他框架？

参考资料
信息安全技术 安全漏洞分类 GBT 33561-2017
信息安全技术 安全漏洞标识与描述规范 GB∕T 28458-2012
信息安全技术 安全漏洞等级划分指南 GB∕T 30279-2013
信息安全技术 信息安全漏洞管理规范 GB/T 30276-2013
安惞《浅谈企业内部安全漏洞的运营（一）：规范化》

博客地址：http://xiejava.ishareread.com/

基于时间的安全模型是基于”任何安全防护措施都是基于时间的，超过该时间段，这种防护措施是可能被攻破的“这样的前提。该模型主要给出了信息系统的攻防时间表。攻击时间指的是在系统采取某种防守措施，通过不同的攻击手段来计算攻破该防守措施所需要的时间。防守时间指的是，对于某种固定攻击手法，通过采取不同的安全防护措施，来计算该防护措施所能坚守的时间。

基于时间的安全模型主要包括PDR和后来改进的PPDR模型，PDR模型是源自美国国际互联网安全系统公司ISS提出的自适应网络安全模型ANSM（AdaptiveNetwork Security Model），是一个可量化、可数学证明、基于时间的安全模型。美国ISS公司（后被IBM收购）提出的。PPDR模型是PDR的模型上发展起来的，也称P2DR，加入的P是Policy策略。

一、PDR模型

保护-检测-响应( Protection-Detection-Response, PDR )模型是信息安全保障工作中常用的模型，是最早体现主动防御思想的一种网络安全模型，其思想是承认信息系统中漏洞的存在，正视信息系统面临的威胁，通过采取适度防护、加强检测工作、落实对安全事件的响应、建立对威胁的防护来保障系统的安全。
模型图如下图所示：

P-protection，保护就是采用一切可能的措施来保护网络、系统以及信息的安全。通常采用的技术及方法主要包括加密、认证、访问控制、防火墙及防病毒等。

D-detect，检测可以了解和评估网络和系统的安全状态，为安全防护和安全响应提供依据。常用的检测技术主要包括入侵检测、漏洞检测及网络扫描等技术。

R-response，应急响应在安全模型中占有重要地位，是解决安全问题的最有效办法。解决安全问题就是解决紧急响应和异常处理问题，因此，建立应急响应机制，形成快速安全响应的能力，对网络和系统至关重要。

PDR模型直观、实用，建立了一个所谓的基于时间的可证明的安全模型，定义了防护时间Pt(攻击者发起攻击时，保护系统不被攻破的时间)、检测时间Dt(从发起攻击到检测到攻击的时间)和响应时间Rt(从发现攻击到做出有效响应的时间)3个概念，并给出了评定系统安全的计算方式，当Pt>Dt+Rt时，即认为系统是安全的，也就是说，如果在攻击者攻破系统之前发现并阻止了攻击的行为，那么系统就是安全的。

局限性：系统的Pt、Dt、Rt 很难准确定义，面对不同攻击者和不同种类的攻击，这些时间都是变化的，其实还是不能有效证明-一个系统是否安全。并且该模型对系统的安全隐患和安全措施采取相对固定的前提假设，难于适应网络安全环境的快速变化。

二、PPDR模型

策略-保护检测-响应模型( Policy-Protection-Detection-Response, PPDR )是在PDR模型的基础_上发展出来的模型，也称为P2DR模型。模型的核心思想是所有的防护、检测、响应都是依据安全策略实施的，模型包括4个主要部分: Policy (策略)、Protection ( 保护)、Detection(检测)和Response(响应)。
模型图如下图所示：

策略（Policy）：模型的核心，所有的防护、检测和响应都是依据安全策略实施的。安全策略一般由总体安全策略和具体安全策略两部分组成。
保护（Protection）：保护是根据系统可能出现的安全问题而采取的预防措施，这些措施通过传统的静态安全技术实现。采用的防护技术通常包括数据加密、身份认证、访问控制、授权和虚拟专用网(VPN)技术、防火墙、安全扫描和数据备份等。
检测（Detection）：当攻击者穿透防护系统时，检测功能就发挥作用，与防护系统形成互补。检测是动态响应的依据。
响应（Response）：系统一旦检测到人侵，响应系统就开始工作，进行事件处理。响应包括应急响应和恢复处理，恢复处理又包括系统恢复和信息恢复。

PPDR模型是在整体的安全策略的控制和指导下，在综合运用防护工具(如防火墙、操作系统身份认证、加密等)的同时，利用检测工具(如漏洞评估、人侵检测等)了解和评估系统的安全状态，通过适当的反应将系统调整到“最安全”和“风险最低”的状态。保护、检测和响应组成了一个完整的、动态的安全循环，在安全策略的指导下保证信息系统的安全。

该理论的最基本原理就是信息安全相关的所有活动，不管是攻击行为、防护行为、检测行为和响应行为等都要消耗时间,因此可以用时间来衡量一个体系的安全性和安全能力。假设系统的防护、检测和反应时间分别是Pt、Dt和Rt。系统被对手成功攻击后的时间为暴露时间(Et)，那么PPDR模型就可以用典型的数学公式来表达安全的要求：如果Pt>Dt+Rt,那么系统是安全的。

P2DR模型中的数学法则：
假设S系统的防护、检测和反应的时间分别是
• Pt（防护时间、有效防御攻击的时间）
• Dt（检测时间、发起攻击到检测到的时间）
• Rt（反应时间、检测到攻击到处理完成时间）
假设系统被对手成功攻击后的时间为
• Et（暴露时间）
则该系统防护、检测和反应的时间关系如下：
• 如果Pt＞Dt＋Rt，那么S是安全的；
• 如果Pt＜Dt＋Rt，那么Et＝（Dt＋Rt）－Pt。

PPDR给出了安全的全新定义：“及时的检测和响应就是安全”，”及时的检测和恢复就是安全”。这样的定义给出了解决安全问题的明确方向:提高系统的防护时间Pt，降低检测时间Dt和响应时间Rt。

与PDR模型相比，PPDR模型更强调控制和对抗，即强调系统安全的动态性，并且以安全检测、漏洞监测和自适应填充“安全间隙”为循环来提高网络安全。值得指出的是，在PPDR模型中，考虑了管理因素,它强调安全管理的持续性、安全策略的动态性，以实时监视网络活动、发现威胁和弱点来调整和填补网络漏洞。另外，该模型强调检测的重要性，通过经常对信息系统的评估把握系统风险点，及时弱化甚至消除系统的安全漏洞。但该模型忽略了内在的变化因素，如人员的流动、人员的素质和策略贯彻的不稳定性。系统本身安全能力的增强、系统和整个网络的优化，以及人员在系统中最重要角色的素质提升，都是该安全系统没有考虑到的问题。

不管是PDR还是PPDR，总体来说还是局限于从技术上考虑信息安全问题。随着信息化的发展，人们越来越意识到信息安全涉及面非常广，除了技术，管理、制度、人员和法律等方面也是信息安全必须考虑的因素，就像一个由多块木块构成的“木桶”，木桶的容量由最短的那块板决定。在处理信息安全问题时，必须全面考虑各方面的因素，任何一个方面的遗漏都有可能形成“短板”。

一、零信任产生的背景

对于资源的访问保护，传统方式是划分安全区域，不同的安全区域有不同的安全要求。在安全区域之间就形成了网络边界，在网络边界处部署边界安全设备，包括防火墙、IPS、防毒墙、WAF等，对来自边界外部的各种攻击进行防范，以此构建企业网络安全体系，这种传统方式可称为边界安全理念。在边界安全理念中网络位置决定了信任程度，在安全区域边界外的用户默认是不可信的（不安全的），没有较多访问权限，边界外用户想要接入边界内的网络需要通过防火墙、VPN等安全机制；安全区域内的用户默认都是可信的（安全的），对边界内用户的操作不再做过多的行为监测，但是这就在每个安全区域内部存在过度信任（认为是安全的，给予的权限过大）的问题。同时由于边界安全设备部署在网络边界上，缺少来自终端侧、资源侧的数据，且相互之间缺乏联动，对威胁的安全分析是不够全面的，因此内部威胁检测和防护能力不足、安全分析覆盖度不够全面成为了边界安全理念固有的软肋。甚至很多企业只是非常粗粒度的划分了企业内网和外网（互联网），这种风险就更为明显。

另外，随着云计算、物联网以及移动办公等新技术新应用的兴起，企业的业务架构和网络环境也随之发生了重大的变化，这给传统边界安全理念带来了新的挑战。比如云计算技术的普及带来了物理安全边界模糊的挑战，远程办公、多方协同办公等成为常态带来了访问需求复杂性变高和内部资源暴露面扩大的风险，各种设备（BYOD、合作伙伴设备）、各种人员接入带来了对设备、人员的管理难度和不可控安全因素增加的风险，高级威胁攻击（钓鱼攻击、水坑攻击、0day漏洞利用等）带来了边界安全防护机制被突破的风险，这些都对传统的边界安全理念和防护手段，如部署边界安全设备、仅简单认证用户身份、静态和粗粒度的访问控制等提出了挑战，亟需有更好的安全防护理念和解决思路。

传统边界安全理念先天能力存在不足，新技术新应用又带来了全新的安全挑战，在这样的背景下，零信任的最早雏形源于2004年成立的耶利哥论坛（Jericho Forum ），其成立的使命正是为了定义无边界趋势下的网络安全问题并寻求解决方案，提出要限制基于网络位置的隐式信任；美国国防信息系统局（DISA）为了解决GIG（全球信息栅格，是美军信息化作战规划中极其重要且宏大的基础设施）中，如何实时、动态地对网络进行规划和重构的问题，发起了BlackCore项目，将基于边界的安全模型转换为基于单个事物安全性的模型，并提出了SDP（Software Defined Perimeter）的概念，该概念后来被云安全联盟（Cloud Security Alliance）采纳。2010年，由著名研究机构Forrester的首席分析师John Kindervag最早提出了零信任（Zero Trust）的概念，并由Google在BeyondCorp项目中率先得到了应用，很好的解决了边界安全理念难以应对的安全问题。

二、零信任的定义

根据NIST《零信任架构标准》中的定义：零信任（Zero Trust，ZT）提供了一系列概念和思想，在假定网络环境已经被攻陷的前提下，当执行信息系统和服务中的每次访问请求时，降低其决策准确度的不确定性。零信任架构（ZTA）是一种企业网络安全的规划，它基于零信任理念，围绕其组件关系、工作流规划与访问策略构建而成。

零信任代表了新一代的网络安全防护理念，并非指某种单一的安全技术或产品，其目标是为了降低资源访问过程中的安全风险，防止在未经授权情况下的资源访问，其关键是打破信任和网络位置的默认绑定关系。

在零信任理念下，网络位置不再决定访问权限，在访问被允许之前，所有访问主体都需要经过身份认证和授权。身份认证不再仅仅针对用户，还将对终端设备、应用软件等多种身份进行多维度、关联性的识别和认证，并且在访问过程中可以根据需要多次发起身份认证。授权决策不再仅仅基于网络位置、用户角色或属性等传统静态访问控制模型，而是通过持续的安全监测和信任评估，进行动态、细粒度的授权。安全监测和信任评估结论是基于尽可能多的数据源计算出来的。

零信任理念的基本假设、基本原则如下：
1、零信任理念的基本假设
a) 内部威胁不可避免；
b) 从空间上，资源访问的过程中涉及到的所有对象（用户、终端设备、应用、网络、资源等）默认都不信任，其安全不再由网络位置决定；
c) 从时间上，每个对象的安全性是动态变化的（非全时段不变的）。
2、零信任的基本原则
a）任何访问主体（人/设备/应用等），在访问被允许之前，都必须要经过身份认证和授权，避免过度的信任；
b）访问主体对资源的访问权限是动态的（非静止不变的）；
c）分配访问权限时应遵循最小权限原则；
d）尽可能减少资源非必要的网络暴露，以减少攻击面；
e）尽可能确保所有的访问主体、资源、通信链路处于最安全状态；
f）尽可能多的和及时的获取可能影响授权的所有信息，并根据这些信息进行持续的信任评估和安全响应。

零信任在所有需要对资源访问进行安全防护的场景都可以使用，但是否采用，应根据企业可接受的安全风险水平和投入综合考虑决定。

三、零信任技术体系

目前零信任主要有三大技术体系，分别是SDP（软件定义安全）、IAM（增强身份管理）和MSG（微隔离）。

1、软件定义安全（SDP）

SDP即“软件定义边界”,是国际云安全联盟CSA于2014年提出的基于零信任(Zero Trust)理念的新一代网络安全模型。SDP在使应用程序所有者能够在需要时部署安全边界,以便将服务与不安全的网络隔离开来。SDP将物理设备替换为在应用程序所有者控制下运行的逻辑组件。SDP仅允许在设备验证和身份验证后访问企业应用程序基础架构。SDP的体系结构由两部分组成:SDP主机和SDP控制器。SDP主机可以发起连接或接受连接。这些操作通过安全控制通道与SDP 控制器交互来管理。

SDP安全优势：
1.SDP最大限度地减少攻击面，降低安全风险；
2.SDP通过分离访问控制和数据通道来保护关键资产和基础设施，从而防止潜在的基于网络的攻击；
3.SDP提供了现有安全设备难以实现的整体集成安全架构。
4.SDP提供了一种基于连接的安全体系结构，而不是基于IP的替代方案。由于整个IT环境的爆炸式增长，云环境中缺乏边界使得基于IP的安全性变得脆弱。
5.SDP允许对所有连接进行预检查和控制，从这些连接可以连接设备、服务和设施，因此其整体安全性比传统架构更有利。

2、增强身份管理（IAM）

增强身份管理IAM是大多数组织实现安全和IT运营策略的核心。它使企业可以自动访问越来越多的技术资产,同时管理潜在的安全和合规风险。身份管理为所有用户,应用程序和数据启用并保护数字身份。

身份管理可以帮助组织有效解决复杂业务带来的挑战，并平衡四个关键目标：
1.加强安全，降低风险。
2.提高合规性和审计绩效。
3.提供快速有效的业务访问。
4.降低运营成本。

3、微隔离（MSG）

微隔离是一种网络安全技术，它可以将数据中心在逻辑上划分为各个工作负载级别的不同安全段，然后定义安全控制并为每个唯一段提供服务。微隔离使IT人员可以使用网络虚拟化技术在数据中心内部部署灵活的安全策略,而不必安装多个物理防火墙。微隔离可用于保护每个虚拟机(VM)在具有策略驱动的应用程序级安全控制的企业网络中。微隔离技术可以大大增强企业的抵御能力。

微隔离是在数据中心和云部署中创建安全区域的一种方法。这种方法使企业组织能够分离工作负载并分别保护它们，从而使网络安全更加完善，从而更加有效。
以下是微隔离的一些优点：
1.减少攻击面
2.提高横向运动的安全性
3.安全关键应用
4.提高合规性

四、如何实现零信任体系

零信任的覆盖范围很广，根据企业的实际情况，可参考如下过程执行逐步建立零信任安全体系。

1、建立统一的认证平台，提升基础安全及执行能力
建立统一的认证能力平台，为所有业务系统提供认证能力。所有业务平台对接认证能力平台以获得中级及以上认证能力，大幅降低因认证方式带来的风险。
可结合已经建立的 4A 系统，升级 4A 系统认证体系。使用多因素认证提高安全等级。收集并绑定设备指纹，将每台设备（PC 端或移动 端）与账户关联绑定。通过账号与设备的绑定，实现用 户、账号、设备三位一体的认证体系。建立以零信任网关为核心的控制体系，该方式将大大提高对用户访问行为的控制，弥补现有业务系统在访 控制方面的安全短板。建立采集系统，在用户使用业务系统时，采集行为和环境信息。零信任网关体系可以与 4A 系统和其它业务系统结合，通过代理技术隐藏所有被代理系统的 IP 和端口，并对用户的访问行为进行鉴权检测。

2、升级或部署EDR，加强终端管控和行为风险发现能力
加强客户端监管，可通过升级资产与基线管理平台或部署EDR终端控制接入软件，对终端环境进行基线扫描和检查预警。对于不符合要求的终端，通过统一身份认证平台禁止其接入，同时，给出修复建议。
建立大数据处理系统，并通过该系统将上一阶段收集的用户行为信息进行统计和分析，结合电信内部管理规章制度，制定一套有针对性的基础专家规则。同时，建立规则引擎，规则引擎根据专家规则判断用户当前环境和行为风险。如果在规则中缺少必要信息指标，通过调整采集指标达到目标。
在基础规则基础上，根据不同的业务系统特点，深入挖掘与业务系统紧密相关的规则。结合认证方式在各个接入了认证能力平台的业务系统中实现自适应处置，使用户体会到初级智能化安全。规则引擎与身份认证系统对接，对接完成后，可以通过对用户访问各个业务系统的检测评估发现潜在风险，主要包括冒名访问和违规操作。

3、引入智能工具，从传统安全向智慧安全转变
建立机器学习平台，引入齐全的人工智能模型和可视化工具，利用前期收集的用户数据，训练适配的模型，建立智能规则引擎，对用户请求的行为信息和环境信息进行自动化评估，关联前期部署的规则引擎，验证并改良智能规则和引擎。通过机器学习平台建立无感知认证模型，作为辅助认证方式进一步提高用户体验，从“有认证”升华至“无认证”。通过大数据和机器学习模型，结合深度挖掘技术建立用户画像库，识别用户行为习惯，践行“行为即指纹”理念，实现“零信任”的终极目标。

参考资料来源：
零信任产业标准工作组《零信任实战白皮书》
《零信任架构的3大核心技术》
《零信任网络安全》
《零信任技术系统规范》

博客地址：http://xiejava.ishareread.com/

在信息时代，信息已经成为第一战略资源，信息对组织使命的完成、组织目标的实现起着至关重要的作用，因此信息资产的安全是关系到该组织能否完成其使命的重大因素。资产与风险是对矛盾共同体，资产价值越高，面临的风险就越大。而对于目前的组织机构而言，由于组织的业务运营越来越依赖于信息资产，信息安全相关风险在组织整体风险中所占的比例也越来越高。信息安全风险管理的目的就是将风险控制到可接受的程度，保护信息及其相关资产，最终保障组织能够完成其使命，实现其目标。

一、什么是安全风险

风险定义为事态的概率及其结果的组合。风险的目标可能有很多不同的方面，如财务目标、健康和人身安全目标、信息安全目标和环境目标等；目标也可能有不同的级别，如战略目标、组织目标、项目目标、产品目标和过程目标等。风险经常通过引用潜在事态和后果或这些的组合来描述。影响，是对一个预期的偏离，正面的或负面的偏离。
风险是客观存在的，与不确定性紧密相连，但又不能完全等同。风险带来的影响，通常都是负面的(正面的影响通常不被称为风险)。风险强调的是损害的潜在可能性，而不是事实上的损害。风险不能消除殆尽，包括人为因素带来的风险，也一样不能消除殆尽。衡量风险的两个基本要素就是事件的概率和影响。
威胁利用脆弱性作用于资产产生影响，威胁增加了组织资产的风险，脆弱点能够暴露资产，脆弱性本身不会构成对资产的损害，但是脆弱性被威胁利用就会增加组织资产的风险。

二、如何评估安全风险

根据《信息安全技术信息安全风险评估规范》（GB/T 20984-2007），对评估对象进行安全风险评估分析，风险分析中涉及评估对象的影响范围、威胁、脆弱性三个基本要素。

以下参考互联网新技术新业务安全风险评估可以分为确定影响范围->确定威胁->确定脆弱性->计算分险值->形成评估结论，通过定量和定性相结合的方式进行安全风险评估。

1、确定影响范围

影响范围是指评估对象涉及的传播影响，按评估对象支持的用户数计。
对于运营于互联网上的应用系统，参考下表进行赋值。

2、确定威胁

威胁是指可能对评估对象造成损害的外部原因。威胁利用评估对象自身的脆弱性，采用一定的途径和方式，对评估对象造成损害或损失，从而形成风险。如：下表为互联网新技术新业务安全评估涉及的威胁及发生可能性赋值。

为了便于对不同威胁发生的可能性概率数据进行类比、度量，依据经验或专家意见进行赋值，常用准则参照如下表。采用相对等级的方式进行度量，等级值为1-5，1为最低，5为最高。
表：威胁赋值准则

3、确定脆弱性

脆弱性是指评估对象存在一个或多个脆弱的管理、技术、业务方面的漏洞，这些漏洞可能会被威胁所利用。脆弱性依据经验或专家意见进行赋值，常用准则参照如下表。采用相对等级的方式进行度量，等级值为1-3，1为最低，3为最高。
表：脆弱性赋值准则

脆弱性等级

4、计算风险值

风险计算公式：

风险值=影响范围 * 威胁可能性 * 脆弱严重性

根据风险计算公式得出风险值后可以对应其风险等级，如风险值在55-75分，表示风险极高

5、评估结论

评估报告以风险计算得分形式呈现，即：不仅呈现脆弱性问题，并且对于不符合评估标准的项，根据面临威胁赋值和脆弱性赋值，结合评估对象的影响范围计算出风险得分，依据得分给出风险等级（极高、高、中、低、极低）。 任一评估要点匹配对应的企业安全保障能力的脆弱性测算值＞0时，须及时记录并反馈至本级信息安全部门进行报备。任一评估要点的风险值的对应等级为中及其以上程度时，必须纳入整改事项严格贯彻执行，并密切跟踪把握风险变化、持续健全更新与之匹配对应的信息安全管理措施和技术保障手段，根据业务上线后的经营发展情况适时开展安全评估，以确保将信息安全风险控制在中级以下范围内。评估管理部门应组织评估专家审查小组，对“评估结论”进行审核，通过后出具评审结论。

三、为什么要管理安全风险

风险管理的目的是确保不确定性不会使企业的业务目标发生变化。风险管理是风险的识别、评估和优化，然后协调和经济地应用资源，以最小化监测和控制不良事件的可能性及影响，最大限度地实现业务。

风险管理可使信息系统的主管者和运营者在安全措施的成本与资产价值之间寻求平衡，并最终通过对支持其使命的信息系统及数据进行保护而提高其实现使命的能力。

一个单位的领导必须确保本单位具备完成其使命所需的能力。信息安全措施是有成本的，因此对信息安全的成本必须像其他管理决策一样进行全面检查。一套合理的风险管理方法，可以帮助信息系统的主管者和运营者最大程度地提高其信息安全保障能力，以有效实现其使命。

四、如何管理安全风险

信息安全风险管理包括背景建立、风险评估、风险处理、批准监督、监控审查和沟通咨询6个方面的内容。背景建立、风险评估、风险处理和批准监督是信息安全风险管理的4个基本步骤，监控审查和沟通咨询则贯穿于这4个基本步骤中，如下图所示。

1、背景建立

背景建立是信息安全风险管理的第一个步骤，是为了明确信息安全风险管理的范围和对象，以及对象的特性和安全要求，对信息安全风险管理项目进行规划和准备，保障后续的风险管理活动顺利进行。背景是建立在业务需求的基础上，通过有效的风险评估和国家、地区、行业相关法律法规及标准的约束下获得背景依据。
背景建立的过程包括风险管理准备、信息系统调查、信息系统分析和信息安全分析4个阶段。在信息安全风险管理过程中，对象确立过程是一次信息安全风险管理主循环的起始，为风险评估提供输人。

2、风险评估

风险评估确定信息资产的价值、识别适用的威胁和(存在或可能存在的)脆弱点、识别现有控制措施及其对已识别风险的影响，确定潜在后果,对风险进行最终的优先级排序，并按照风险范畴中设定的风险评价准则进行排名。
风险评估的目的是通过风险评估的结果，来获得信息安全需求，信息安全风险管理要依靠风险评估的结果来确定随后的风险处理和批准监督活动。风险评估使得组织能够准确定位风险管理的策略、实践和工具，能够将安全活动的重点放在重要的问题上，能够选择有合理成本效益的和适用的安全对策。基于风险评估的风险管理方法被实践证明是有效的和实用的，已被广泛应用于各个领域。
风险评估的过程包括风险评估准备、风险要素识别、风险分析和风险结果判定4个阶段。在信息安全风险管理过程中，风险评估活动接受背景建立阶段的输出，形成本阶段的最终输出《风险评估报告》，此文档为风险处理活动提供输人。

3、风险处理

风险处理是依据风险评估的结果，选择和实施合适的安全措施。风险处理的目的是为了将风险始终控制在可接受的范围内。风险处理的方式主要有降低、规避、转移和接受4种方式。

• 降低方式:
  组织首先应该选择降低风险，通常通过对面临风险的资产采取保护措施来降低风险。保护措施可以从构成风险的5个方面( 即威胁源、威胁行为、脆弱性、资产和影响)来降低风险。比如，采用法律的手段制裁计算机犯罪(包括窃取机密信息，攻击关键的信息系统基础设施，传播病毒、不健康信息和垃圾邮件等)，发挥法律的威慑作用，从而有效遏制威胁源的动机;采取身份认证措施，从而抵制身份假冒这种威胁行为的能力；及时给系统打补丁(特别是针对安全漏洞的补丁)，关闭无用的网络服务端口，从而减少系统的脆弱性，降低被利用的可能性；采用各种防护措施，建立资产的安全域，从而保证资产不受侵犯，其价值得到保持；采取容灾备份、应急响应和业务连续计划等措施，从而减少安全事件造成的影响程度。

• 规避方式:
  当风险不能被降低时，通过不使用面临风险的资产来避免风险。比如，在没有足够安全保障的信息系统中，不处理特别敏感的信息，从而防止敏感信息的泄漏。再如，对于只处理内部业务的信息系统，不使用互联网，从而避免外部的有害人侵和不良攻击。

• 转移方式:
  只有在风险既不能被降低，又不能被规避时，通过将面临风险的资产或其价值转移到更安全的地方来避免或降低风险。比如，在本机构不具备足够的安全保障的技术能力时，将信息系统的技术体系(即信息载体部分)外包给满足安全保障要求的第三方机构，从而避免技术风险。再如，通过给昂贵的设备上保险，将设备损失的风险转移给保险公司，从而降低资产价值的损失。

• 接受方式:
  是选择对风险不采取进一步的处理措施，接受风险可能带来的结果。接受风险的前提是确定了风险的等级，评估了风险发生的可能性以及带来的潜在破坏，分析了使用每种处理措施的可行性，并进行了较全面的成本效益分析，认定某些功能、服务、信息或资产不需要进一 步保护。

风险处理的过程包括现存风险判断、处理目标确立、处理措施选择和处理措施实施4个阶段。

4、批准监督

批准监督包括批准和持续监督两部分。
批准，是指机构的决策层依据风险评估和风险处理的结果是否满足信息系统的安全要求，做出是否认可风险管理活动的决定。批准应由机构内部或更高层的主管机构的决策层来执行。
持续监督，是指检查机构及其信息系统以及信息安全相关的环境有无变化，监督变化因素是否有可能引入新的安全隐患并影响到信息系统的安全保障级别。监督通常由机构内部管理层和执行层完成，必要时也可以委托支持层的外部专业机构提供支持，这主要取决于信息系统的性质和机构自身的专业能力。
对风险评估和风险处理的结果的批准和持续监督，不能仅依据相关标准进行僵化的对比，而是需要紧紧围绕信息系统所承载的业务，通过对业务的重要性和业务遭受损失后所带来的影响来开展相关工作。批准通过的依据( 原则)有两个：一是信息系统的残余风险是可接受的；二是安全措施能够满足信息系统当前业务的安全需求。

参考资料：
《CISP培训教材》
《信息安全工程师教程（第2版）》
《信息安全技术信息安全风险评估规范》

博客地址：http://xiejava.ishareread.com/

随着信息系统的发展，大家都在说网络安全要覆盖“云”、“管”、“端”，CWPP与EDR是目前非常火的产品，一个面向云端服务器的防护，一个是面向常规终端PC端的防护。

在介绍CWPP与EDR两个产品概念之前，先来简单说明一下主机、服务器、终端几个位置概念：

主机VS服务器。主机是一个统称，所有服务器（虚拟机）都是主机，但并非所有主机都是服务器，也就是主机覆盖服务器。主机和服务器的主要差别在于，主机是连接到网络的计算机或其他设备，而服务器是提供服务的软件或硬件设备，日常所说的服务器一般是指提供服务的主机。由此可见，主机安全并不是一个产品，而是对应一个需要被保护的位置，主机安全即主机侧的安全保护。

终端VS服务器。终端和服务器是两类东西。这里的终端指桌面电脑、笔记本、个人设备等用于访问网络、数据和应用的设备，而服务器则是提供服务、存储、计算的设备。当然，某种程度上来说，广义上的终端概念也可以包括服务器，但常规意义的终端不包括服务器。

对于一般的应用系统来说，服务器就是提供服务的主机如提供WEB、FTP、数据库等服务的服务器，终端就是访问服务的工作站、个人PC等。

一、CWPP的定义

现代数据中心支持运行在物理设备、虚拟机（VM）、容器以及私有云基础架构中的各种工作负载，并且几乎总是涉及一些在一个或多个公有云基础设施即服务（IaaS）提供商中运行的工作负载。
云工作保护平台(Cloud Workload Protection Platform)简称CWPP，市场定义为基于主机的解决方案，主要满足现代混合数据中心架构中，服务器工作负载的保护要求。它为信息安全领导者提供了一种集成的方式，通过使用单个管理控制台和单一方式表达安全策略来保护这些工作负载，而不用考虑工作负载运行的位置。
可以理解成为基于代理（Agent）的底层技术方案，和传统部署在网络边界上的安全产品不一样，CWPP部署在操作系统层，因此可以横跨物理机、公有云、私有云、混合云等多种数据中心环境，部署方式更加灵活、防护层面更加丰富。采用服务端agent+远程控制台的部署模式，agent支持云、物理、混合环境部署，能有效安全加固服务器、抵御黑客攻击和恶意代码。

Gartner定义的产品能力(需求)的金子塔说明了对CWPP产品能力的定义，越是靠近基座的功能越重要，越是靠近塔尖的功能越次要。

CWPP的核心能力：

• Congurationand vulnerability management 配置和漏洞管理
  1.配置，即服务器优化，通过对操作系统进行合理配置，提升操作系统的安全性和抗攻击能力。
  2.漏洞管理，分为操作系统漏洞管理和应用漏洞管理。目前网络攻击主要是通过web服务器或者web应用漏洞发起，因此CWPP产品要能提供标准化、同时支持制定自定义的web应用漏洞防护策略。
• Networksegmentation, isolation and traffic visibility 网络隔离与流可视
  要求CWPP产品首先能图形化管理用户的主机业务资产，并且可以跨物理、虚拟架构、网络定于基于角色的访问策略（微隔离）；对于主机之间的访问关系，可以图形化的展示和控制（流可视化）。
• Systemintegrity measurement， attestation and monitoring 系统完整性检测、认证和监测
  可以保护系统文件或者指定目录、文件不被恶意修改，提供监控模式和防护模式。
• Application control应用防护
  CWPP产品需要能识别到主机上运行的应用，并对不同的应用提供相应的防护策略，如云锁对web应用提供waf防护，对于sshd、remotedesktop提供防暴力破解防护等。
• Capabilities that augment/verify foundational operational controls 增强及验证基础运维能力
  CWPP产品要求不能单纯依靠服务器账号、密码来验证管理员，而需要引入账号密码外的第二套验证机制。比如云锁的登陆防护功能，可以限制登陆服务的用户名、IP范围、登陆时间、登陆服务器使用的PC名称，如果不满足限制条件，即使拿到服务器的管理员账号密码也无法登陆服务器。
• Log management and monitoring日志管理和监测
  要求CWPP产品能提供完整的日志，同时当安全事件发生后，CWPP产品需要关联相关日志最终形成事件IOC，帮助用户回溯攻击过程，快速定位风险点。

二、EDR的定义

根据Gartner的定义，EDR端点检测与响应（Endpoint Detection and Response）简称EDR是一种集成的终端安全解决方案，它将终端数据的实时连续监控和收集与基于规则的自动响应和分析功能相结合。该术语由Gartner的Anton Chuvakin提出，用于描述新兴的安全系统，用于检测和调查终端上的可疑活动，采用高度自动化使安全团队能够快速识别和响应威胁。完全不同于以往的端点被动防护思路，而是通过云端威胁情报、机器学习、异常行为分析、攻击指示器等方式，主动发现来自外部或内部的安全威胁，并进行自动化的阻止、取证、补救和溯源，从而有效对端点进行防护。

相比于传统端点安全防护采用预设安全策略的静态防御技术，EDR加强了威胁检测和响应取证能力，能够快速检测、识别、监控和处理端点事件，从而在威胁尚未造成危害前进行检测和阻止，帮助受保护网络免受零日威胁和各种新出现的威胁。安全模型如图所示：

• 资产发现：定期通过主动扫描、被动发现、手工录入和人工排查等多种方法收集当前网络中所有软硬件资产，包括全网所有的端点资产和在用的软件名称、版本，确保整个网络中没有安全盲点。
• 系统加固：定期进行漏洞扫描、补丁修复、安全策略设置和更新端点软件清单，通过软件白名单限制未经授权的软件运行，通过主机防火墙限制未经授权的服务端口开放，并定期检查和清理内部人员的账号和授权信息。
• 威胁检测：通过端点本地的主机入侵检测和借助云端威胁情报、异常行为分析、攻击指示器等方式，针对各类安全威胁，在其发生前、发生中、发生后进行相应的安全检测动作。
• 响应取证：针对全网的安全威胁进行可视化展示，能够针对安全威胁自动化地进行隔离、修复和补救，自动完成安全威胁的调查、分析和取证工作，降低事件响应和取证分析的技术门槛，不需要依赖于外部专家即可完成快速响应和取证分析。

三、CWPP与EDR的关系与区别

EDR与CWPP主机安全属于网络安全领域两个不同的方向，前者聚焦于常规的终端侧，后者聚焦于主机侧，两者作用于完全不同的位置。EDR的基因是根植于PC等常规终端的，它天然不适配于主机侧。

在安全的需求上，PC类的终端侧与主机侧的安全诉求差别很大。所以，面向终端的EDR产品与面向服务器/工作负载的主机安全产品CWPP，这两者之间有本质的区别，并不能混为一谈。主机侧的安全产品实现不了终端侧的安全防护，EDR也不能实现CWPP的防护效果。
两种产品的区别如下：

CWPP与EDR，一个面向服务器端的防护（CWPP），一个是面向常规终端PC端的防护（EDR）但是对于企业的整体安全防护来说，CWPP和EDR相互作为补充构建企业的云、端防护能力。

博客：http://xiejava.ishareread.com/

一、什么是APT攻击

当今，网络系统面临着越来越严重的安全挑战，在众多的安全挑战中，一种具有组织性、特定目标以及长时间持续性的新型网络攻击日益猖獗，国际上常称之为APT（Advanced Persistent Threat高级持续性威胁）攻击。
APT攻击是一种以商业或者政治目的为前提的特定攻击，其通过一系列具有针对性的攻击行为以获取某个组织甚至国家的重要信息，特别是针对国家重要的基础设施和单位开展攻击，包括能源、电力、金融、国防等等。APT攻击常常采用多种攻击技术手段，包括一些最为先进的手段和社会工程学方法，并通过长时间持续性的网络渗透，一步步的获取内部网络权限，此后便长期潜伏在内部网络，不断地收集各种信息，直至窃取到重要情报。
对于APT攻击比较权威的定义是由美国国家标准与技术研究所( NIST)提出的，该定义给出了APT攻击的4个要素，具体如下。
(1)攻击者：拥有高水平专业知识和丰富资源的敌对方。
(2)攻击目的：破坏某组织的关键设施，或阻碍某项任务的正常进行。
(3)攻击手段：利用多种攻击方式，通过在目标基础设施上建立并扩展立足点来获取信息。
(4)攻击过程：在一个很长的时间段内潜伏并反复对目标进行攻击,同时适应安全系统的防御措施,通过保持高水平的交互来达到攻击目的。

二、APT攻击过程

一般APT攻击过程可概括为3个阶段：攻击前准备阶段、攻击入侵阶段和持续攻击阶段，又可细分为5个步骤：情报收集、防线突破、通道建立、横向渗透、信息收集及外传。

1.情报收集

在实施攻击之前，攻击者会针对特定组织的网络系统和相关员工展开大量的信息搜集。信息搜集方法多种多样，通常包括搜索引擎、爬网系统、网络隐蔽扫描、社会工程学方法等方式。信息来源包括相关员工的微博、博客、社交网站、公司网站，甚至通过某些渠道购买相关信息(如公司通讯录等)。攻击者通过对这些信息的分析，可以清晰地了解攻击目标所使用的应用、防御软件，组织内部架构和人员关系，核心资产存放情况等等。于是，攻击者针对特定目标(一般是内部员工)所使用的应用软件寻找漏洞，并结合特定目标所使用的杀毒软件、防火墙等设计特定木马/恶意代码以绕过防御。同时，攻击者搭建好入侵服务器，开展技术准备工作。

2.防线突破

攻击者在完成情报收集和技术准备后，开始采用木马/恶意代码攻击特定员工的个人电脑，攻击方法主要有：①社会工程学方法，如电子邮件攻击，攻击者窃取与特定员工有关系的人员(如领导、同事、朋友等)电子邮箱，冒充发件人给该员工发送带有恶意代码附件的邮件，一旦该员 工打开附件，员工电脑便感染了恶意软件。②远程漏洞攻击方法，如网站挂马攻击，攻击者在员工常访问的网站上放置木马，当员工再次访问该网站时，个人电脑便受到网页代码攻击。由于这些恶意软件针对的是系统未知漏洞并被特殊处理，因此现有的杀毒软件和防火墙均无法察觉，攻击者便能逐渐获取个人电脑权限，最后直至控制个人电脑。

3.通道建立

攻击者在突破防线并控制员工电脑后，在员工电脑与入侵服务器之间开始建立命令控制通道。通常，命令控制通道采用HTTP/HTTPS等协议构建，以突破电脑系统防火墙等安全设备。一旦攻击者完成通道建立，攻击者通过发送控制命令检查植入的恶意软件是否遭受查杀，并在恶意软件被安全软件检测到前，对恶意软件进行版本升级，以降低被发现的概率。

4.横向渗透

入侵和控制员工个人电脑并不是攻击者的最终目的，攻击者会采用口令窃听、漏洞攻击等多种渗透方法尝试进一步入侵组织内部更多的个人电脑和服务器，同时不断地提升自己的权限，以求控制更多的电脑和服务器，直至获得核心电脑和服务器的控制权。

5.信息收集及外传

攻击者常常长期潜伏，并不断实行网络内部横向渗透，通过端口扫描等方式获取服务器或设备上有价值的信息，针对个人电脑通过列表命令等方式获取文档列表信息等。攻击者会将内部某个服务器作为资料暂存的服务器，然后通过整理、压缩、加密、打包的方式，利用建立的隐蔽通信通道将信息进行外传。在获取这些信息后，攻击者会对这些信息数据进行分析识别，并做出最终的判断，甚至实施网络攻击破坏。

三、APT攻击和传统攻击的区别

APT攻击具有不同于传统网络攻击的5个显著特征：针对性强、组织严密、持续时间长、高隐蔽性和间接攻击。
1.针对性强
APT攻击的目标明确，多数为拥有丰富数据/知识产权的目标，所获取的数据通常为商业机密、国家安全数据、知识产权等。
相对于传统攻击的盗取个人信息，APT攻击只关注预先指定的目标，所有的攻击方法都只针对特定目标和特定系统，针对性较强。
2.组织严密
APT攻击成功可带来巨大的商业利益，因此攻击者通常以组织形式存在，由熟练黑客形成团体，分工协作，长期预谋策划后进行攻击。他们在经济和技术上都拥有充足的资源，具备长时间专注APT研究的条件和能力。
3.持续时间长
APT攻击具有较强的持续性，经过长期的准备与策划，攻击者通常在目标网络中潜伏几个月甚至几年，通过反复渗透，不断改进攻击路径和方法，发动持续攻击，如零日漏洞攻击等。
4.高隐蔽性
APT攻击根据目标的特点，能绕过目标所在网络的防御系统，极其隐藏地盗取数据或进行破坏。在信息收集阶段，攻击者常利用搜索引擎、高级爬虫和数据泄漏等持续渗透，使被攻击者很难察觉；在攻击阶段，基于对目标嗅探的结果，设计开发极具针对性的木马等恶意软件，绕过目标网络防御系统，隐蔽攻击。
5.间接攻击
APT攻击不同于传统网络攻击的直接攻击方式，通常利用第三方网站或服务器作跳板，布设恶意程序或木马向目标进行渗透攻击。恶意程序或木马潜伏于目标网络中，可由攻击者在远端进行遥控攻击，也可由被攻击者无意触发启动攻击。

四、如何防范APT攻击

随着人们对APT攻击的研究不断深入，已经出现一些有效的防御技术来对抗APT攻击，其核心思想大多是针对APT“攻击链”的某一步骤展开防御。这些技术主要包括：沙箱技术、信誉技术、异常流量分析技术、大数据分析技术等等。

1.沙箱技术

沙箱，又叫做沙盘，被认为是当前防御APT攻击的最有效技术之一。沙箱即是通过虚拟化技术形成一个模拟化的环境，同时将本地系统中的进程对象、内存、注册表等与模拟环境相互隔离，以便在这个虚拟化环境中测试和观察文件、访问等运行行为。沙箱通过重定向技术，将测试过程中生成和修改的文件定向到特定文件夹中，避免了对真是注册表、本地核心数据等的修改。当APT攻击在改虚拟环境发生时，可以及时地观察并分析其特征码，进一步防御其深入攻击。

2.信誉技术

安全信誉是对互联网资源和服务相关实体安全可信性的评估和看法。信誉技术是应用于APT攻击检测具有较好辅助功能的一项技术，通过建立信誉库，包括WEB URL信誉库、文件MD5码库、僵尸网络地址库、威胁情报库等，可以为新型病毒、木马等APT攻击的检测提供强有力的技术辅助支撑，实现网络安全设备对不良信誉资源的阻断或过滤。信誉库的充分利用，将进一步提高安全新品的安全防护能力。

3.主机漏洞防护技术

针对横向移动与内部资料进行挖掘和探测的防御，可采用主机漏洞防护技术，能侦测任何针对主机漏洞的攻击并加以拦截，进而保护未修补的主机。这类解决方案可实现档案 / 系统一致性监控，保护未套用修补程序的主机，防止已知和0day 漏洞攻击。

4.异常流量分析技术

这是一种流量检测及分析技术，其采用旁路接入方式提取流量信息，可以针对帧数、帧长、协议、端口、标识位、IP路由、物理路径、CPU/RAM消耗、宽带占用等进行监测，并基于时间、拓扑、节点等多种统计分析手段，建立流量行为轮廓和学习模型来识别流量异常情况，进而判断并识别0Day漏洞攻击等。

5.数据防泄漏技术（DLP）

针对资料外传的风险，一般可采用加密和资料外泄防护 (DLP)技术，将关键、敏感、机密的数据加密，是降低数据外泄风险的一种方法，DLP 可提供一层额外的防护来防止数据外泄。然而，这类工具通常很复杂，而且有些部署条件，例如：数据要分类，要定义政策和规则等。

6、大数据分析技术

APT攻击防御离不开大数据分析技术，无论是网络系统本身产生的大量日志数据，还是SOC安管平台产生的大量日志信息，均可以利用大数据分析技术进行大数据再分析，运用数据统计、数据挖掘、关联分析、态势分析等从记录的历史数据中发现APT攻击的痕迹，以弥补传统安全防御技术的不足。

我们熟知的APT防御产品主要针对的都是APT攻击链上的某个环节来展开防御，目前来说这是远远不够的。APT攻击防御应该是覆盖APT攻击所有环节，未来发展的趋势，是需要构建基于APT攻击链的多层次、多维度、多角度的纵深防御体系，如态势感知平台等。

博客：http://xiejava.ishareread.com/

随着通信技术和信息技术的发展，极大的改变了人们处理信息的方式和效率。计算机网络尤其是互联网的出现是信息技术发展中一个里程碑事件。计算机网络将通信技术和计算机技术结合起来。信息在计算机上产生、处理，并在网络中传输。网络信息系统安全是通信安全和信息系统安全的综合，网络信息安全已经覆盖了信息资产的生成、处理、传输和存储等各个阶段。包括信息自身的安全、信息应用的安全、计算机信息系统安全、通信网络安全。

网络信息系统安全随着通信技术和信息技术的发展，大致经历了通信保密年代、计算机系统安全年代、信息系统网络安全年代、网络空间安全年代。

一、通信保密年代

1906年，美国物理学家费森登( Fessenden )成功地研究出无线电广播。法国人克拉维尔建立了英法第一条商用无线电线路，推动了无线电技术的进一步发展。
进入20世纪，尤其是在“二战”时期，军事和外交方面的巨大需求，使得无线通信技术得到飞速发展，被广泛用来传递军事情报、作战指令、外交政策等各种关键信息。21世纪，通信技术突飞猛进的发展，移动通信和数字通信成为通信技术的主流，现代世界中通信技术成为支撑整个社会的命脉和根本。
在通信保密年代，网络信息安全面临的主要威胁是攻击者对通信内容的窃取:有线通信容易被搭线窃听、无线通信由于电磁波在空间传播易被监听。保密成为通信安全阶段的核心安全需求。这阶段主要通过密码技术对通信的内容进行加密，保证数据的保密性和完整性，而破译成为攻击者对这种安全措施的反制。

二、计算机系统安全年代

计算机经历了电子计算机、晶体管计算机、集成电路计算机等几个阶段。尤其是在进入20世纪70年代后,随着个人计算机的普及，各行各业都迅速采用计算机处理各种业务。计算机在处理、存储信息数据等方面的应用越来越广泛。美国国家标准局公布了《数据加密标准》( Data Encryption Standard,DES )，标志着信息安全由通信保密阶段进人计算机安全阶段。这个时期，计算机网络尚未大规模普及，相对于电话电报，计算机对信息的处理和存储能力强大，但数据长距离、大容量的传输方式较单一，功能相对较弱(主要通过软盘等形式传输)。因此，计算机阶段主要威胁来自于非授权用户对计算资源的非法使用、对信息的修改和破坏。
20世纪80年代计算机安全的概念开始成熟。计算机安全的主要目的是采取措施和控制以确保信息系统资产(包括硬件、软件、固件和通信、存储和处理的信息)的保密性、完整性和可用性。典型代表措施是通过操作系统的访问控制手段来防止非授权用户的访问。

三、信息系统网络安全年代

计算机网络尤其是互联网的出现是信息技术发展中一个里程碑事件。计算机网络将通信技术和计算机技术结合起来。信息在计算机上产生、处理，并在网络中传输。信息技术由此进人网络阶段，网络阶段利用通信技术将分布的计算机连接在一起，形成覆盖整个组织机构甚至整个世界的信息系统。信息系统安全是通信安全和计算机安全的综合，信息安全需求已经全面覆盖了信息资产的生成、处理、传输和存储等各阶段,确保信息系统的保密性、完整性和可用性。信息系统安全也曾被称为网络安全，主要是保护信息在存储、处理和传输过程中免受非授权的访问，防止授权用户的拒绝服务，同时检测、记录和对抗此类威胁。为了抵御这些威胁，人们开始使用防火墙、防病毒、PKI、 VPN等安全产品。此阶段的主要标志是发布了《信息技术安全性评估通用准则》，此准则即通常所说的通用准则( Common Criteria,CC)，后转变为国际标准ISO/IEC 15408,我国等同采纳此国际标准为国家标准GB/T 18336。

四、网络空间安全年代

随着互联网的不断发展，越来越多的设备被接人并融合，技术的融合将传统的虚拟世界与物理世界相互连接，共同构成了一个新的IT世界。互联网成为个人生活、组织机构甚至国家运行不可或缺的一部分，网络空间随之诞生，信息化发展进人网络空间阶段。网络空间作为新兴的第五空间，已经成为新的国家竞争领域,威胁来源从个人上升到犯罪组织，甚至上升到国家力量的层面。
“网络空间( Cyberspace)”一词，由加拿大作家威廉●吉布森在其短篇科幻小说《燃烧的铬》中创造出来，原意指由计算机创建的虚拟信息空间，体现了Cyberspace 不仅是信息的简单聚合体，也包含了信息对人类思想认知的影响。此后，随着信息技术的快速发展和互联网的广泛应用，Cyberspace 的概念不断丰富和演化。
随着信息化的不断深人，信息系统成为组织机构工作和生活不可或缺的一部分，信息安全威胁来源从个人上升到犯罪组织，甚至国家力量。在这个阶段，人们认识到信息安全保障不能仅仅依赖于技术措施，开始意识到管理的重要性和信息系统的动态发展性，信息安全保障的概念逐渐形成和成熟。
信息安全保障把信息系统安全从技术扩展到管理，从静态扩展到动态，通过各种安全保障技术和安全保障管理措施的综合融合至信息化中，形成对信息、信息系统乃至业务以及使命的保障。信息安全保障时代，其主要标志是《信息保障技术框架》（IATF）。如果说对信息的保护，主要还是处于从传统安全理念到信息化安全理念的转变过程中，那么面向业务的安全保障，就完全是从信息化的角度来考虑信息的安全了。体系性的安全保障理念，不仅是关注系统的漏洞，而且是从业务的生命周期着手，对业务流程进行分析，找出流程中的关键控制点，从安全事件出现的前、中、后三个阶段进行安全保障。面向业务的安全保障不是只建立防护屏障，而是建立一个“深度防御体系”，通过更多的技术手段把安全管理与技术防护联系起来，不再是被动地保护自己，而是主动地防御攻击。也就是说，面向业务的安全防护已经从被动走向主动，安全保障理念从风险承受模式走向安全保障模式。信息安全阶段也转化为从整体角度考虑其体系建设的信息安全保障时代。
2009年5月29日，美国发布《网络空间政策评估:确保信息和通信系统的可靠性和韧性》报告。云计算、虚拟化、物联网、移动互联网、大数据、人工智能等新技术的出现，使得网络空间安全的问题无比复杂。
2016年12月，我国发布了《国家网络空间安全战略》，明确了网络空间是国家安全的新疆域，已经成为与陆地、海洋、天空、太空同等重要的人类活动新领域，国家主权拓展延伸到网络空间，网络空间主权成为国家主权的重要组成部分。