網路安全中漏報是指

❶ 什麼是漏報,瞞報,虛報,假報

對於安全事故報告的其他的情形，在《〈生產安全事故報告和調查處理條例〉罰款處罰暫行規定》中第五條也有所規定:「《條例》所稱的遲報、漏報、謊報和瞞報，依照下列情形認定:(一)報告事故的時間超過規定時限的，屬於遲報;(二)因過失對應當上報的事故或者事故發生的時間、地點、類別、傷亡人數、直接經濟損失等內容遺漏未報的，屬於漏報;(三)故意不如實報告事故發生的時間、地點、初步原因、性質、傷亡人數和涉險人數、直接經濟損失等有關內容的，屬於謊報;(四)隱瞞已經發生的事故，超過規定時限未向安全監管監察部門和有關部門報告，經查證屬實的，屬於瞞報。」所以在事故發生後，事故單位應當及時報告事故情況，以便有關機關及時採取有效的方法減少損失，建立健全相關的安全措施預防事故單位以後的安全事故的發生。

《〈生產安全事故報告和調查處理條例〉罰款處罰暫行規定》

第五條《條例》所稱的遲報、漏報、謊報和瞞報，依照下列情形認定:(一)報告事故的時間超過規定時限的，屬於遲報;……

(四)隱瞞已經發生的事故，超過規定時限未向安全監管監察部門和有關部門報告，經查證屬實的，屬於瞞報。

生產經營單位在發生安全事故後應當及時向負有安全監督管理職責的部門報告事故信息，不隱瞞，不虛報。以便負有安全監督管理職能的部門掌握事故發生的全面信息，立即展開救援工作，組織救援。

❷ 入侵檢測的分類情況

入侵檢測系統所採用的技術可分為特徵檢測與異常檢測兩種。 （警報）
當一個入侵正在發生或者試圖發生時，IDS系統將發布一個alert信息通知系統管理員。如果控制台與IDS系統同在一台機器，alert信息將顯示在監視器上，也可能伴隨著聲音提示。如果是遠程式控制制台，那麼alert將通過IDS系統內置方法（通常是加密的）、SNMP（簡單網路管理協議，通常不加密）、email、SMS（簡訊息）或者以上幾種方法的混合方式傳遞給管理員。 （異常）
當有某個事件與一個已知攻擊的信號相匹配時，多數IDS都會告警。一個基於anomaly（異常）的IDS會構造一個當時活動的主機或網路的大致輪廓，當有一個在這個輪廓以外的事件發生時，IDS就會告警，例如有人做了以前他沒有做過的事情的時候，例如，一個用戶突然獲取了管理員或根目錄的許可權。有些IDS廠商將此方法看做啟發式功能，但一個啟發式的IDS應該在其推理判斷方面具有更多的智能。 （IDS硬體）
除了那些要安裝到現有系統上去的IDS軟體外，在市場的貨架上還可以買到一些現成的IDS硬體，只需將它們接入網路中就可以應用。一些可用IDS硬體包括CaptIO、Cisco Secure IDS、OpenSnort、Dragon以及SecureNetPro。 ArachNIDS是由Max Visi開發的一個攻擊特徵資料庫，它是動態更新的，適用於多種基於網路的入侵檢測系統。
ARIS：Attack Registry & Intelligence Service（攻擊事件注冊及智能服務）
ARIS是SecurityFocus公司提供的一個附加服務，它允許用戶以網路匿名方式連接到Internet上向SecurityFocus報送網路安全事件，隨後SecurityFocus會將這些數據與許多其它參與者的數據結合起來，最終形成詳細的網路安全統計分析及趨勢預測，發布在網路上。它的URL地址是。 （攻擊）
Attacks可以理解為試圖滲透系統或繞過系統的安全策略，以獲取信息、修改信息以及破壞目標網路或系統功能的行為。以下列出IDS能夠檢測出的最常見的Internet攻擊類型：
攻擊類型1－DOS（Denial Of Service attack，拒絕服務攻擊）：DOS攻擊不是通過黑客手段破壞一個系統的安全，它只是使系統癱瘓，使系統拒絕向其用戶提供服務。其種類包括緩沖區溢出、通過洪流（flooding）耗盡系統資源等等。
攻擊類型2－DDOS（Distributed Denial of Service，分布式拒絕服務攻擊）：一個標準的DOS攻擊使用大量來自一個主機的數據向一個遠程主機發動攻擊，卻無法發出足夠的信息包來達到理想的結果，因此就產生了DDOS，即從多個分散的主機一個目標發動攻擊，耗盡遠程系統的資源，或者使其連接失效。
攻擊類型3－Smurf：這是一種老式的攻擊，還時有發生，攻擊者使用攻擊目標的偽裝源地址向一個smurf放大器廣播地址執行ping操作，然後所有活動主機都會向該目標應答，從而中斷網路連接。
攻擊類型4－Trojans（特洛伊木馬）：Trojan這個術語來源於古代希臘人攻擊特洛伊人使用的木馬，木馬中藏有希臘士兵，當木馬運到城裡，士兵就湧出木馬向這個城市及其居民發起攻擊。在計算機術語中，它原本是指那些以合法程序的形式出現，其實包藏了惡意軟體的那些軟體。這樣，當用戶運行合法程序時，在不知情的情況下，惡意軟體就被安裝了。但是由於多數以這種形式安裝的惡意程序都是遠程式控制制工具，Trojan這個術語很快就演變為專指這類工具，例如BackOrifice、SubSeven、NetBus等等。 （自動響應）
除了對攻擊發出警報，有些IDS還能自動抵禦這些攻擊。抵禦方式有很多：首先，可以通過重新配置路由器和防火牆，拒絕那些來自同一地址的信息流；其次，通過在網路上發送reset包切斷連接。但是這兩種方式都有問題，攻擊者可以反過來利用重新配置的設備，其方法是：通過偽裝成一個友方的地址來發動攻擊，然後IDS就會配置路由器和防火牆來拒絕這些地址，這樣實際上就是對「自己人」拒絕服務了。發送reset包的方法要求有一個活動的網路介面，這樣它將置於攻擊之下，一個補救的辦法是：使活動網路介面位於防火牆內，或者使用專門的發包程序，從而避開標准IP棧需求。 （Computer Emergency Response Team，計算機應急響應小組）
這個術語是由第一支計算機應急反映小組選擇的，這支團隊建立在Carnegie Mellon大學，他們對計算機安全方面的事件做出反應、採取行動。許多組織都有了CERT，比如CNCERT/CC（中國計算機網路應急處理協調中心）。由於emergency這個詞有些不夠明確，因此許多組織都用Incident這個詞來取代它，產生了新詞Computer Incident Response Team（CIRT），即計算機事件反應團隊。response這個詞有時也用handling來代替，其含義是response表示緊急行動，而非長期的研究。 （Common Intrusion Detection Framework；通用入侵檢測框架）
CIDF力圖在某種程度上將入侵檢測標准化，開發一些協議和應用程序介面，以使入侵檢測的研究項目之間能夠共享信息和資源，並且入侵檢測組件也能夠在其它系統中再利用。 （Computer Incident Response Team，計算機事件響應小組）
CIRT是從CERT演變而來的，CIRT代表了對安全事件在哲學認識上的改變。CERT最初是專門針對特定的計算機緊急情況的，而CIRT中的術語incident則表明並不是所有的incidents都一定是emergencies，而所有的emergencies都可以被看成是incidents。 （Common Intrusion Specification Language，通用入侵規范語言）
CISL是CIDF組件間彼此通信的語言。由於CIDF就是對協議和介面標准化的嘗試，因此CISL就是對入侵檢測研究的語言進行標准化的嘗試。 （Common Vulnerabilities and Exposures，通用漏洞披露）
關於漏洞的一個老問題就是在設計掃描程序或應對策略時，不同的廠商對漏洞的稱謂也會完全不同。還有，一些產商會對一個漏洞定義多種特徵並應用到他們的IDS系統中，這樣就給人一種錯覺，好像他們的產品更加有效。MITRE創建了CVE，將漏洞名稱進行標准化，參與的廠商也就順理成章按照這個標准開發IDS產品。 （自定義數據包）
建立自定義數據包，就可以避開一些慣用規定的數據包結構，從而製造數據包欺騙，或者使得收到它的計算機不知該如何處理它。 （同步失效）
Desynchronization這個術語本來是指用序列數逃避IDS的方法。有些IDS可能會對它本來期望得到的序列數感到迷惑，從而導致無法重新構建數據。這一技術在1998年很流行，已經過時了，有些文章把desynchronization這個術語代指其它IDS逃避方法。 （列舉）
經過被動研究和社會工程學的工作後，攻擊者就會開始對網路資源進行列舉。列舉是指攻擊者主動探查一個網路以發現其中有什麼以及哪些可以被他利用。由於行動不再是被動的，它就有可能被檢測出來。當然為了避免被檢測到，他們會盡可能地悄悄進行。 （躲避）
Evasion是指發動一次攻擊，而又不被IDS成功地檢測到。其中的竅門就是讓IDS只看到一個方面，而實際攻擊的卻是另一個目標，所謂明修棧道，暗渡陳倉。Evasion的一種形式是為不同的信息包設置不同的TTL（有效時間）值，這樣，經過IDS的信息看起來好像是無害的，而在無害信息位上的TTL比要到達目標主機所需要的TTL要短。一旦經過了IDS並接近目標，無害的部分就會被丟掉，只剩下有害的。 （漏洞利用）
對於每一個漏洞，都有利用此漏洞進行攻擊的機制。為了攻擊系統，攻擊者編寫出漏洞利用代碼或腳本。
對每個漏洞都會存在利用這個漏洞執行攻擊的方式，這個方式就是Exploit。為了攻擊系統，黑客會利用漏洞編寫出程序。
漏洞利用：Zero Day Exploit（零時間漏洞利用）
零時間漏洞利用是指還未被了解且仍在肆意橫行的漏洞利用，也就是說這種類型的漏洞利用當前還沒有被發現。一旦一個漏洞利用被網路安全界發現，很快就會出現針對它的補丁程序，並在IDS中寫入其特徵標識信息，使這個漏洞利用無效，有效地捕獲它。 （漏報）
漏報是指一個攻擊事件未被IDS檢測到或被分析人員認為是無害的。
False Positives（誤報）
誤報是指實際無害的事件卻被IDS檢測為攻擊事件。
Firewalls（防火牆）
防火牆是網路安全的第一道關卡，雖然它不是IDS，但是防火牆日誌可以為IDS提供寶貴信息。防火牆工作的原理是根據規則或標准，如源地址、埠等，將危險連接阻擋在外。 （Forum of Incident Response and Security Teams，事件響應和安全團隊論壇）
FIRST是由國際性政府和私人組織聯合起來交換信息並協調響應行動的聯盟，一年一度的FIRST受到高度的重視。 （分片）
如果一個信息包太大而無法裝載，它就不得不被分成片斷。分片的依據是網路的MTU（Maximum Transmission Units，最大傳輸單元）。例如，靈牌環網（token ring）的MTU是4464，乙太網（Ethernet）的MTU是1500，因此，如果一個信息包要從靈牌環網傳輸到乙太網，它就要被分裂成一些小的片斷，然後再在目的地重建。雖然這樣處理會造成效率降低，但是分片的效果還是很好的。黑客將分片視為躲避IDS的方法，另外還有一些DOS攻擊也使用分片技術。 （啟發）
Heuristics就是指在入侵檢測中使用AI（artificial intelligence，人工智慧）思想。真正使用啟發理論的IDS已經出現大約10年了，但他們還不夠「聰明」，攻擊者可以通過訓練它而使它忽視那些惡意的信息流。有些IDS使用異常模式去檢測入侵，這樣的IDS必須要不斷地學習什麼是正常事件。一些產商認為這已經是相當「聰明」的IDS了，所以就將它們看做是啟發式IDS。但實際上，真正應用AI技術對輸入數據進行分析的IDS還很少很少。 （Honeynet工程）
Honeynet是一種學習工具，是一個包含安全缺陷的網路系統。當它受到安全威脅時，入侵信息就會被捕獲並接受分析，這樣就可以了解黑客的一些情況。Honeynet是一個由30餘名安全專業組織成員組成、專門致力於了解黑客團體使用的工具、策略和動機以及共享他們所掌握的知識的項目。他們已經建立了一系列的honeypots，提供了看似易受攻擊的Honeynet網路，觀察入侵到這些系統中的黑客，研究黑客的戰術、動機及行為。 （蜜罐）
蜜罐是一個包含漏洞的系統，它模擬一個或多個易受攻擊的主機，給黑客提供一個容易攻擊的目標。由於蜜罐沒有其它任務需要完成，因此所有連接的嘗試都應被視為是可疑的。蜜罐的另一個用途是拖延攻擊者對其真正目標的攻擊，讓攻擊者在蜜罐上浪費時間。與此同時，最初的攻擊目標受到了保護，真正有價值的內容將不受侵犯。
蜜罐最初的目的之一是為起訴惡意黑客搜集證據，這看起來有「誘捕」的感覺。但是在一些國家中，是不能利用蜜罐收集證據起訴黑客的。 （IDS分類）
有許多不同類型的IDS，以下分別列出：
IDS分類1－Application IDS（應用程序IDS）：應用程序IDS為一些特殊的應用程序發現入侵信號，這些應用程序通常是指那些比較易受攻擊的應用程序，如Web伺服器、資料庫等。有許多原本著眼於操作系統的基於主機的IDS，雖然在默認狀態下並不針對應用程序，但也可以經過訓練，應用於應用程序。例如，KSE（一個基於主機的IDS）可以告訴我們在事件日誌中正在進行的一切，包括事件日誌報告中有關應用程序的輸出內容。應用程序IDS的一個例子是Entercept的Web Server Edition。
IDS分類2－Consoles IDS（控制台IDS）：為了使IDS適用於協同環境，分布式IDS代理需要向中心控制台報告信息。許多中心控制台還可以接收其它來源的數據，如其它產商的IDS、防火牆、路由器等。將這些信息綜合在一起就可以呈現出一幅更完整的攻擊圖景。有些控制台還將它們自己的攻擊特徵添加到代理級別的控制台，並提供遠程管理功能。這種IDS產品有Intellitactics Network Security Monitor和Open Esecurity Platform。
IDS分類3－File Integrity Checkers（文件完整性檢查器）：當一個系統受到攻擊者的威脅時，它經常會改變某些關鍵文件來提供持續的訪問和預防檢測。通過為關鍵文件附加信息摘要（加密的雜亂信號），就可以定時地檢查文件，查看它們是否被改變，這樣就在某種程度上提供了保證。一旦檢測到了這樣一個變化，完整性檢查器就會發出一個警報。而且，當一個系統已經受到攻擊後，系統管理員也可以使用同樣的方法來確定系統受到危害的程度。以前的文件檢查器在事件發生好久之後才能將入侵檢測出來，是「事後諸葛亮」，出現的許多產品能在文件被訪問的同時就進行檢查，可以看做是實時IDS產品了。該類產品有Tripwire和Intact。
IDS分類4－Honeypots（蜜罐）：關於蜜罐，前面已經介紹過。蜜罐的例子包括Mantrap和Sting。
IDS分類5－Host-based IDS（基於主機的IDS）：這類IDS對多種來源的系統和事件日誌進行監控，發現可疑活動。基於主機的IDS也叫做主機IDS，最適合於檢測那些可以信賴的內部人員的誤用以及已經避開了傳統的檢測方法而滲透到網路中的活動。除了完成類似事件日誌閱讀器的功能，主機IDS還對「事件/日誌/時間」進行簽名分析。許多產品中還包含了啟發式功能。因為主機IDS幾乎是實時工作的，系統的錯誤就可以很快地檢測出來，技術人員和安全人士都非常喜歡它。基於主機的IDS就是指基於伺服器/工作站主機的所有類型的入侵檢測系統。該類產品包括Kane Secure Enterprise和Dragon Squire。
IDS分類6－Hybrid IDS（混合IDS）：現代交換網路的結構給入侵檢測操作帶來了一些問題。首先，默認狀態下的交換網路不允許網卡以混雜模式工作，這使傳統網路IDS的安裝非常困難。其次，很高的網路速度意味著很多信息包都會被NIDS所丟棄。Hybrid IDS（混合IDS）正是解決這些問題的一個方案，它將IDS提升了一個層次，組合了網路節點IDS和Host IDS（主機IDS）。雖然這種解決方案覆蓋面極大，但同時要考慮到由此引起的巨大數據量和費用。許多網路只為非常關鍵的伺服器保留混合IDS。有些產商把完成一種以上任務的IDS都叫做Hybrid IDS，實際上這只是為了廣告的效應。混合IDS產品有CentraxICE和RealSecure Server Sensor。
IDS分類7－Network IDS（NIDS，網路IDS）：NIDS對所有流經監測代理的網路通信量進行監控，對可疑的異常活動和包含攻擊特徵的活動作出反應。NIDS原本就是帶有IDS過濾器的混合信息包嗅探器，但是它們變得更加智能化，可以破譯協議並維護狀態。NIDS存在基於應用程序的產品，只需要安裝到主機上就可應用。NIDS對每個信息包進行攻擊特徵的分析，但是在網路高負載下，還是要丟棄些信息包。網路IDS的產品有SecureNetPro和Snort。
IDS分類8－Network Node IDS（NNIDS，網路節點IDS）：有些網路IDS在高速下是不可靠的，裝載之後它們會丟棄很高比例的網路信息包，而且交換網路經常會妨礙網路IDS看到混合傳送的信息包。NNIDS將NIDS的功能委託給單獨的主機，從而緩解了高速和交換的問題。雖然NNIDS與個人防火牆功能相似，但它們之間還有區別。對於被歸類為NNIDS的個人防火牆，應該對企圖的連接做分析。例如，不像在許多個人防火牆上發現的「試圖連接到埠xxx」，一個NNIDS會對任何的探測都做特徵分析。另外，NNIDS還會將主機接收到的事件發送到一個中心控制台。NNIDS產品有BlackICE Agent和Tiny CMDS。
IDS分類9－Personal Firewall（個人防火牆）：個人防火牆安裝在單獨的系統中，防止不受歡迎的連接，無論是進來的還是出去的，從而保護主機系統。注意不要將它與NNIDS混淆。個人防火牆有ZoneAlarm和Sybergen。
IDS分類10－Target-Based IDS（基於目標的IDS）：這是不明確的IDS術語中的一個，對不同的人有不同的意義。可能的一個定義是文件完整性檢查器，而另一個定義則是網路IDS，後者所尋找的只是對那些由於易受攻擊而受到保護的網路所進行的攻擊特徵。後面這個定義的目的是為了提高IDS的速度，因為它不搜尋那些不必要的攻擊。 （Intrusion Detection Working Group，入侵檢測工作組）
入侵檢測工作組的目標是定義數據格式和交換信息的程序步驟，這些信息是對於入侵檢測系統、響應系統以及那些需要與它們交互作用的管理系統都有重要的意義。入侵檢測工作組與其它IETF組織協同工作。 （事件處理）
檢測到一個入侵只是開始。更普遍的情況是，控制台操作員會不斷地收到警報，由於根本無法分出時間來親自追蹤每個潛在事件，操作員會在感興趣的事件上做出標志以備將來由事件處理團隊來調查研究。在最初的反應之後，就需要對事件進行處理，也就是諸如調查、辯論和起訴之類的事宜。 （事件響應）
對檢測出的潛在事件的最初反應，隨後對這些事件要根據事件處理的程序進行處理。 （孤島）
孤島就是把網路從Internet上完全切斷，這幾乎是最後一招了，沒有辦法的辦法。一個組織只有在大規模的病毒爆發或受到非常明顯的安全攻擊時才使用這一手段。 （混雜模式）
默認狀態下，IDS網路介面只能看到進出主機的信息，也就是所謂的non-promiscuous（非混雜模式）。如果網路介面是混雜模式，就可以看到網段中所有的網路通信量，不管其來源或目的地。這對於網路IDS是必要的，但同時可能被信息包嗅探器所利用來監控網路通信量。交換型HUB可以解決這個問題，在能看到全面通信量的地方，會都許多跨越（span）埠。
Routers（路由器）
路由器是用來連接不同子網的中樞，它們工作於OSI 7層模型的傳輸層和網路層。路由器的基本功能就是將網路信息包傳輸到它們的目的地。一些路由器還有訪問控制列表（ACLs），允許將不想要的信息包過濾出去。許多路由器都可以將它們的日誌信息注入到IDS系統中，提供有關被阻擋的訪問網路企圖的寶貴信息。 （掃描器）
掃描器是自動化的工具，它掃描網路和主機的漏洞。同入侵檢測系統一樣，它們也分為很多種，以下分別描述。
掃描器種類1－NetworkScanners（網路掃描器）：網路掃描器在網路上搜索以找到網路上所有的主機。傳統上它們使用的是ICMP ping技術，但是這種方法很容易被檢測出來。為了變得隱蔽，出現了一些新技術，例如ack掃描和fin掃描。使用這些更為隱蔽掃描器的另一個好處是：不同的操作系統對這些掃描會有不同的反應，從而為攻擊者提供了更多有價值的信息。這種工具的一個例子是nmap。
掃描器種類2－Network Vulnerability Scanners（網路漏洞掃描器）：網路漏洞掃描器將網路掃描器向前發展了一步，它能檢測目標主機，並突出一切可以為黑客利用的漏洞。網路漏洞掃描器可以為攻擊者和安全專家使用，但會經常讓IDS系統「緊張」。該類產品有Retina和CyberCop。
掃描器種類3－Host VulnerabilityScanners（主機漏洞掃描器）：這類工具就像個有特權的用戶，從內部掃描主機，檢測口令強度、安全策略以及文件許可等內容。網路IDS，特別是主機IDS可以將它檢測出來。該類產品有SecurityExpressions，它是一個遠程Windows漏洞掃描器，並且能自動修復漏洞。還有如ISS資料庫掃描器，會掃描資料庫中的漏洞。 （腳本小子）
有些受到大肆宣揚的Internet安全破壞，如2000年2月份對Yahoo的拒絕服務攻擊，是一些十來歲的中學生乾的，他們干這些壞事的目的好象是為了揚名。安全專家通常把這些人稱為腳本小子（Script Kiddies）。腳本小子通常都是一些自發的、不太熟練的cracker，他們使用從Internet 上下載的信息、軟體或腳本對目標站點進行破壞。黑客組織或法律實施權威機構都對這些腳本小孩表示輕蔑，因為他們通常都技術不熟練，手上有大把時間可以來搞破壞，他們的目的一般是為了給他們的朋友留下印象。腳本小子就像是拿著搶的小孩，他們不需要懂得彈道理論，也不必能夠製造槍支，就能成為強大的敵人。因此，無論何時都不能低估他們的實力。 （躲避）
躲避是指配置邊界設備以拒絕所有不受歡迎的信息包，有些躲避甚至會拒絕來自某些國家所有IP地址的信息包。 （特徵）
IDS的核心是攻擊特徵，它使IDS在事件發生時觸發。特徵信息過短會經常觸發IDS，導致誤報或錯報，過長則會減慢IDS的工作速度。有人將IDS所支持的特徵數視為IDS好壞的標准，但是有的產商用一個特徵涵蓋許多攻擊，而有些產商則會將這些特徵單獨列出，這就會給人一種印象，好像它包含了更多的特徵，是更好的IDS。大家一定要清楚這些。 （隱藏）
隱藏是指IDS在檢測攻擊時不為外界所見，它們經常在DMZ以外使用，沒有被防火牆保護。它有些缺點，如自動響應。

❸ 安全事故漏報和瞞報怎麼區分

1、因過失對應當上報的事故或者事故發生的時間、地點、類別、傷亡人數、直接經濟損失等內容遺漏未報的，屬於漏報；故意隱瞞已經發生的事故，並經有關部門查證屬實的，屬於瞞報。
2、安全事故是指生產經營單位在生產經營活動(包括與生產經營有關的活動)中突然發生的，傷害人身安全和健康，或者損壞設備設施，或者造成經濟損失的，導致原生產經營活動(包括與生產經營活動有關的活動)暫時中止或永遠終止的意外事件。
更多關於安全事故漏報和瞞報怎麼區分，進入：https://www.abcgonglue.com/ask/fa36101616092106.html?zd查看更多內容

❹ Web安全問題解答

很多新手都覺得自己的電腦web經常被木馬侵襲，所以下面我為大家帶來電腦基礎知識學習之Web安全問題，讓你了解下如何安全的保護好自己的電腦。

1、什麼叫Web應用系統?

答：Web應用系統就是利用各種動態Web技術開發的，基於B/S(瀏覽器/伺服器)模式的事務處理系統。用戶直接面對的是客戶端瀏覽器，使用Web應用系統時，用戶通過瀏覽器發出的請求，其之後的事務邏輯處理和數據的邏輯運算由伺服器與資料庫系統共同完成，對用戶而言是完全透明的。運算後得到的結果再通過網路傳輸給瀏覽器，返回給用戶。比如：ERP系統、CRM系統以及常見的網站系統(如電子政務網站、企業網站等)都是Web應用系統。

2、為什麼Google把我的網站列為惡意網站

答：Google在對網站內容進行搜索時，同時也會檢查是否含有惡意軟體或代碼(這些惡意軟體或代碼可能威脅該網站的訪問者)。如果該網站存在這樣的惡意軟體或代碼，就會在用戶搜索到該網站時，加上一個標記：“該網站可能含有惡意軟體，有可能會危害您的電腦”。這將會使網站信譽受損，並導致潛在的用戶流失。

3、Web威脅為什麼難以防範

答：針對Web的攻擊已經成為全球安全領域最大的挑戰，主要原因有如下兩點：

1. 企業業務迅速更新，需要大量的Web應用快速上線。而由於資金、進度、意識等方面的影響，這些應用沒有進行充分安全評估。

2. 針對Web的攻擊會隱藏在大量正常的業務行為中，而且使用各種變形偽裝手段，會導致傳統的防火牆和基於特徵的入侵防禦系統無法發現和阻止這種攻擊。

4、黑客為什麼要篡改網站頁面

答：當黑客獲取網站的控制許可權後，往往會更改網站頁面，可能的動機有：

1. 宣稱政治主張;

2. 炫耀技術，建立“聲望”;

3. 宣洩情緒;

4. 經濟利益，通過網站釋放木馬，從而獲取經濟利益。

5、黑客實施網站掛馬的目的是什麼

答：網站掛馬的主要目的是控制訪問該網站的用戶的計算機，從而可以進一步獲取用戶的計算機隱私信息而獲利，或者將這些用戶的計算機作為“肉雞”，對 其它 伺服器或網路進行DDos攻擊。

6、為什麼我網站的資料庫表內容被大量替換?

答：如果排除了管理員誤操作的可能性，則可能是網站伺服器被自動化攻擊工具(如SQL注入工具等)攻擊的結果。目前已經有自動化的工具對網站進行攻擊，如果網站存在漏洞的話，攻擊工具能夠獲得對網站資料庫訪問的許可權。如果發現這種情況，應該仔細核查網站伺服器和資料庫伺服器日誌，找出更改記錄。

7、在Web威脅防禦中防火牆的優點和不足

答：防火牆可以過濾掉非業務埠的數據，防止非Web服務出現的漏洞，目前市場上可選擇的防火牆品牌也較多。但對於目前大量出現在應用層面上的SQL注入和XSS漏洞，防火牆無法過濾，因而無法保護Web伺服器所面臨的應用層威脅。

8、常見發布系統之IIS

答：IIS 是Internet Information Server的縮寫，是由微軟開發的一種Web伺服器(Web server)產品，用以支持HTTP、FTP和SMTP服務發布。 它主要運行在微軟的 操作系統 之上，是最流行的Web伺服器軟體之一。

9、常見Web伺服器之Apache

答：Apache是Web伺服器軟體。它可以運行在幾乎所有廣泛使用的計算機平台上。Apache源於NCSAhttpd伺服器，經過多次修改，已成為世界上最流行的Web伺服器軟體之一。

10、Apache是不是比IIS要安全

答：早期的IIS在安全性方面存在著很大的問題，如果使用默認設置，黑客可以輕松趁虛而入。不過在IIS6中，微軟公司對其安全方面進行了大幅改進。只要保證操作系統補丁更新及時，就可以將網站安全系數盡可能地提高。

Apache在安全方面一直做得比較好，更主要的原因是很多用戶都是在linux系統下使用Apache。相對於微軟的操作系統，Linux系統被發布的安全按漏洞更少一些。

從技術角度講，兩個Web伺服器的安全性沒有本質區別，一個完整的Web系統的安全性更取決於Web程序的安全性以及Web伺服器配置的正確性。

11、什麼叫應用防火牆

答：應用防火牆的概念在上個世紀九十年代就已經被提出，但在最近幾年才真正走向成熟和應用。應用防火牆的概念與網路防火牆相對，網路防火牆關注網路層的訪問控制，應用防火牆則關注應用層數據的過濾與控制。

12、什麼叫網站防篡改系統

答：網站防篡改系統通過實時監控來保證Web系統的完整性，當監控到Web頁面被異常修改後能夠自動恢復頁面。網站放篡改系統由於其設計理念的限制，對靜態頁面的防護能力比較好，對動態頁面的防護則先天不足。

13、我的Web伺服器被訪問速度變慢，經常出現連接失敗的現象，可能是什麼原因造成的呢?

答：這可能有兩個方面的情況，一種是網路方面的原因，如運營商的線路故障，或帶寬消耗型的DDOS攻擊;另外一種情況是伺服器方面的原因，如感染病毒，或資源消耗型的拒絕服務攻擊。

14、我的Web伺服器部署了木馬查殺軟體，為什麼還被掛了木馬?

答：所謂的網頁被掛馬，很多情況下並不是有木馬程序或代碼被放到了Web伺服器上，而是有一段跳轉代碼(本身不包含攻擊信息)被放在了Web伺服器上網頁中。當遠程用戶訪問帶有跳轉代碼的頁面時，將會執行這段代碼，從另外一個地址下載並執行木馬。所以，即使在Web伺服器上部署了木馬查殺軟體，也會由於木馬本身並不存在於伺服器上，而無法避免網站被掛馬。

15、我的Web伺服器前端部署了入侵防禦產品設備，入侵防禦產品設備中包含了幾百條的SQL注入攻擊防禦特徵庫，為什麼我的Web系統還是被SQL注入攻擊成功了呢?

答：SQL注入是一種沒有固定特徵的攻擊行為，對安全設備來說，就是屬於變種極多的攻擊行為。所以，基於數據特徵的SQL注入檢測 方法 是沒有辦法窮盡所有組合的，會存在大量的誤報、漏報可能。如果採用的入侵防禦產品設備採用的是基於數據特徵的檢測方法，即使包含了數百條SQL注入特徵庫，也會有漏報出現。

16、黑客為什麼喜歡攻擊網站?

答：Web業務已經成為當前互聯網最為流行的業務，大量的在線應用業務都依託於Web服務進行。並且一些大型網站的日訪問量可達百萬之巨，不論是直接攻擊網站(如網路銀行，在線游戲伺服器)還是通過網站掛馬竊取訪問者信息，都可以使黑客獲得直接的經濟利益。另外一方面，網站是機構的網路形象，通過攻擊篡改網站頁面，也可以得到最大范圍的名聲傳播。對於那些企圖出名的黑客，攻擊網站是一項不錯的選擇。

17、如何判斷自己的Web伺服器是否已經成為肉雞?

答：如果發現自己的Web伺服器上開啟了一些奇怪的進程，發現Web伺服器總是有大量從內往外的連接，發現Web伺服器不定時系統緩慢，諸如此類的現象，可使用木馬清除軟體進行檢查和查殺。

細分攻擊形式：

18、目前國內Web應用系統存在哪些最突出的安全問題?

答：Web應用程序的漏洞是很難避免的，系統的安全隱患主要在三方面：

首先是網路運維人員或安全管理人員對Web系統的安全狀況不清楚。哪些頁面存在漏洞，哪些頁面已經被掛馬，他們不能夠清晰的掌握，從而及時採取改正 措施 ;

其次，在安全設備的部署方面，沒有選用專業的、針對Web業務攻擊的防禦產品對網站進行保護，而是寄託於防火牆這種訪問控制類的網關安全設備;

另外，從安全響應來看，Web安全事件發生後的應急與處理也存在欠缺。沒有相應的頁面恢復系統，也沒有處理Web安全事件的專業安全服務團隊。很多單位沒有制定實時監控的網站安全管理制度。

19、什麼叫SQL注入

答：SQL注入就是利用現有應用程序，將惡意的SQL命令注入到網站後台資料庫引擎執行的能力。SQL注入利用的是正常的HTTP服務埠，表面上看來和正常的Web訪問沒有區別，隱蔽性極強，不易被發現。

20、SQL注入有哪些危害

答：SQL注入的主要危害包括：

 未經授權狀況下操作資料庫中的數據;

 惡意篡改網頁內容;

 私自添加系統帳號或者是資料庫使用者帳號;

 網頁掛木馬;

21、什麼叫XSS

答：跨站腳本攻擊(XSS)是攻擊者將惡意腳本提交到網站的網頁中，使得原本安全的網頁存在惡意腳本;或者是直接添加有惡意腳本的網頁並誘使用戶打開，用戶訪問網頁後，惡意腳本就會將用戶與網站的會話COOKIE及其它會話信息全部截留發送給攻擊者，攻擊者就可以利用用戶的COOKIE正常訪問網站。攻擊者有時還會將這些惡意腳本以話題的方式提交到論壇中，誘使網站管理員打開這個話題，從而獲得管理員許可權，控制整個網站。跨站腳本漏洞主要是由於沒有對所有用戶的輸入進行有效的驗證所造成的，它影響所有的Web應用程序框架。

22、XSS有哪些危害

答：XSS攻擊的危害包括：

 盜取各類用戶帳號，如機器登錄帳號、用戶網銀帳號、各類管理員帳號;

 控制企業數據，包括讀取、篡改、添加、刪除企業敏感數據的能力;

 盜竊企業重要的具有商業價值的資料;

 非法轉賬;

 強制發送電子郵件;

 網站掛馬;

 控制受害者機器向其它網站發起攻擊。

23、什麼叫Shellcode

答：Shellcode實際是一段代碼(也可以是填充數據)，可以用來發送到伺服器，利用已存在的特定漏洞造成溢出，通稱“緩沖區溢出攻擊”中植入進程的代碼。這段代碼可以是導致常見的惡作劇目的的彈出一個消息框彈出，也可以用來刪改重要文件、竊取數據、上傳木馬病毒並運行，甚至是出於破壞目的的格式化硬碟等等。

24、什麼叫網站漏洞

答：隨著B/S模式被廣泛的應用，用這種模式編寫Web應用程序的程序員也越來越多。但由於開發人員的水平和 經驗 參差不齊，相當一部分的開發人員在編寫代碼的時候，沒有對用戶的輸入數據或者是頁面中所攜帶的信息(如Cookie)進行必要的合法性判斷，導致了攻擊者可以利用這個編程漏洞來入侵資料庫或者攻擊Web應用程序的使用者，由此獲得一些重要的數據和利益。

25、什麼叫木馬

答：木馬(Trojan)這個名字來源於古希臘 傳說 ，在互聯網時代它通常是指通過一段特定的程序(木馬程序)來控制另一台計算機。木馬通常有兩個可執行程序：一個是客戶端，即控制端，另一個是服務端，即被控制端。木馬的設計者為了防止木馬被發現，而採用多種手段隱藏木馬。木馬的服務一旦運行並被控制端連接，其控制端將享有服務端的大部分操作許可權，例如給計算機增加口令，瀏覽、移動、復制、刪除文件，修改注冊表，更改計算機配置等。

26、什麼叫網站掛馬

答：“掛馬” 就是黑客入侵了一些網站後，將自己編寫的網頁木馬嵌入被黑網站的主頁中。當訪問者瀏覽被掛馬頁面時，自己的計算機將會被植入木馬，黑客便可通過遠程式控制制他們的計算機來實現不可告人的目的。網頁木馬就是將木馬和網頁結合在一起，打開網頁的同時也會運行木馬。最初的網頁木馬原理是利用IE瀏覽器的ActiveX控制項，運行網頁木馬後會彈出一個控制項下載提示，只有點擊確認後才會運行其中的木馬。這種網頁木馬在當時網路安全意識普遍不高的情況下還是有一點威脅的，但是其缺點顯而易見，就是會出現ActiveX控制項下載提示。現在很少會有人去點擊那莫名其妙的ActiveX控制項下載確認窗口了。在這種情況下，新的網頁木馬誕生了。這類網頁木馬通常利用IE瀏覽器的漏洞，在運行的時候沒有絲毫提示，因此隱蔽性極高。

27、什麼叫DOS./DDOS攻擊?

答：DoS即Denial Of Service，拒絕服務的縮寫。DoS是指利用網路協議實現的缺陷來耗盡被攻擊對象的資源，目的是讓目標計算機或網路無法提供正常的服務或資源訪問，使目標系統服務系統停止響應甚至崩潰。在此攻擊中並不包括侵入目標伺服器或目標網路設備。這些被大量消耗的服務資源包括網路帶寬、文件系統空間容量、開放的進程或者允許的連接。這種攻擊會導致資源的匱乏，無論計算機的處理速度多快、內存容量多大、網路帶寬有多高，都無法避免這種攻擊帶來的後果。

DDoS(Distributed Denial Of Service)又把DoS又向前發展了一大步，這種分布式拒絕服務攻擊是黑客利用在已經被侵入並已被控制的、不同的高帶寬主機(可能是數百，甚至成千上萬台)上安裝大量的DoS服務程序，它們等待來自中央攻擊控制中心的命令。中央攻擊控制中心再適時啟動全體受控主機的DoS服務進程，讓它們對一個特定目標發送盡可能多的網路訪問請求，形成一股DoS洪流沖擊目標系統，猛烈地DoS攻擊同一個網站。被攻擊的目標網站會很快失去反應而不能及時處理正常的訪問甚至系統癱瘓崩潰。

28、什麼叫網路釣魚

答：網路釣魚(Phishing‎，又名釣魚法或釣魚式攻擊)是通過傳播“聲稱來自於銀行或其他知名機構”的欺騙信息，意圖引誘受害者泄漏出敏感信息(如用戶名、口令、帳號 ID 、 ATM PIN 碼或信用卡詳細信息)的一種攻擊方式。最典型的網路釣魚攻擊將受害者引誘到一個與其目標網站非常相似的釣魚網站上，並獲取受害者在此網站上輸入的個人敏感信息。通常這個攻擊過程不會讓受害者警覺。它是“社會工程攻擊”的一種形式。

29、什麼叫網路蠕蟲

答：一般認為：蠕蟲病毒是一種通過網路傳播的惡性病毒，它除具有病毒的一些共性外，同時具有自己的一些特徵。如：不利用文件寄生(有的只存在於內存中)、對網路造成拒絕服務，以及與黑客技術相結合，等等。蠕蟲病毒主要的破壞方式是大量的復制自身，然後在網路中傳播，嚴重佔用有限的網路資源，最終引起整個網路的癱瘓，使用戶不能通過網路進行正常的工作。每一次蠕蟲病毒的爆發都會給全球經濟造成巨大損失，因此它的危害性是十分巨大的。有一些蠕蟲病毒還具有更改用戶文件、將用戶文件自動當附件轉發的功能，更是嚴重的地危害到用戶的 系統安全 。

30、什麼叫僵屍網路

答：僵屍網路(英文名稱叫BotNet)，是互聯網上受到黑客集中控制的一群計算機，往往被黑客用來發起大規模的網路攻擊。如：分布式拒絕服務攻擊(DDoS)、海量垃圾郵件等。同時，黑客控制的這些計算機所保存的信息也都可以被黑客隨意“取用”。因此，不論是對網路安全運行還是用戶數據安全的保護，僵屍網路都是極具威脅的隱患。然而，發現一個僵屍網路是非常困難的，因為黑客通常遠程、隱蔽地控制分散在網路上的“僵屍主機”，這些主機的用戶往往並不知情。因此，僵屍網路是目前互聯網上最受黑客青睞的作案工具。

31、什麼是ARP攻擊

答：ARP是地址解析協議，是一種將IP地址轉化為MAC地址的協議。在網路中，當A主機需要向B主機發送報文時，會先查詢本地的ARP緩存表，找到與B主機IP地址對應的MAC地址後，進行數據傳輸。如果未找到，則會發送一個廣播ARP請求報文，請求對應B主機IP的B回應MAC地址。這個廣播包會被整個廣播域中所有主機收到，但只有B主機會發現IP地址對應自己，才會將MAC地址回應給A。此時A收到這個回應並更新自己的ARP緩存，進行下一步的數據傳輸。ARP攻擊應當叫做ARP欺騙，就是冒充網關地址對網路中主機給出ARP查詢回應，使得本來是A->網關的數據走向，變成A->攻擊者->網關。

32、ARP攻擊的危害有哪些?

答：ARP攻擊的危害主要有兩個方面。從ARP攻擊的原理來看，這種攻擊使得受害主機的所有網路數據都將通過攻擊者進行轉發。這樣一來，要竊取信息或控制流量就變得輕而易舉。另一方面，由於ARP緩存會不斷刷新，有的時候，真正的網關會偶爾“清醒”。當真正的網關參與到數據包轉發中來時，由於做了一個切換動作，可能會有頻繁的短暫掉線現象。所以，如果Web伺服器所在網路中發生了ARP攻擊，將導致Web伺服器不可訪問。

細分攻擊介質：

33、WEB應用系統(網站)會面臨來自哪些方面的安全問題

答：網站面臨的安全問題是方方面面的，主要可概括為以下四個方面：

1)操作系統、後台資料庫的安全問題

這里指操作系統和後台資料庫的漏洞，配置不當，如弱口令等等，導致黑客、病毒可以利用這些缺陷對網站進行攻擊。

2)Web發布系統的漏洞

Web業務常用的發布系統(即Web伺服器)，如IIS、Apache等，這些系統存在的安全漏洞，會給入侵者可乘之機。

3)Web應用程序的漏洞

主要指Web應用程序的編寫人員，在編程的過程中沒有考慮到安全的因素，使得黑客能夠利用這些漏洞發起對網站的攻擊，比如SQL注入、跨站腳本攻擊等等。

4)自身網路的安全狀況

網站伺服器所處的網路安全狀況也影響著網站的安全，比如網路中存在的DoS攻擊等，也會影響到網站的正常運營。

34、Web程序漏洞是怎麼形成的

答：Web站點之所以存在如此眾多的安全漏洞，是由下列所示的這些原因造成的：

1、 大部分的中小型網站都是使用某個建站模塊建設的，而這些通用的建站模塊不僅本身存在各種安全漏洞，同時一些使用它們的建站人員根本沒有在建站完成後對站點進行安全加固。

2、 Web站點開發人員對安全不夠重視，在編寫網頁時，沒有對用戶的輸入進行驗證，沒有對數據的大小、類型和字元串進行規范，沒有限制API函數對系統資源的使用，以及對Web伺服器沒有進行相應的資源限制，引起拒絕服務攻擊。

3、 管理員對Web伺服器主機系統及Web應用程序本身配置不當，一些中小企業自己管理的Web站點根本沒有足夠的技術人員來管理它們的安全。

4、 當Web站點是託管在某個電信機房時，對它們進行的遠程管理存在安全風險。

5、 Web站點管理員本身技術水平的限制，對各種針對Web站點的安全攻擊不了解，也沒有端正工作態度，沒能對站點進行認真的安全加固，以及進行日常的安全檢查。

6、 Web站點所處網路大環境的安全設計不合理，以及沒有將安全防範工作融入到站點整個生命周期的各個階段。

7、 企業領導不夠重視，在Web站點的安全防範方面投入的資金太少或不合理，沒有制定一個有效的Web站點安全防範策略，明確Web站點日常管理流程，也沒有對Web站點的管理人員和工作人員進行不斷的安全培訓。

35、黑客主要利用哪些方法對網站進行數據竊取和修改

答：黑客需要使用擁有一定許可權的用戶帳戶才能對網站進行數據竊取和修改，所以可能造成用戶許可權泄漏或提升的漏洞，都可以被黑客利用來進行攻擊，如SQL注入，溢出漏洞、暴力猜解等。

36、目前對Web伺服器威脅較大的SQL注入工具有哪些?

答：網上常見的SQL注入工具有“啊D SQL注入工具”、pangolin、NBSI、HDSI、“管中窺豹注入工具”等。

37、目前對Web伺服器威脅較大的XSS攻擊工具有哪些?

答：網上常見的XSS攻擊工具有sessionIE、Webscan、XSS Inject Scanner 等。

38、怎樣應對Web業務安全事件

答：應對Web業務安全事件，從根本上的解決辦法就是對Web應用程序源代碼進行代碼檢查和漏洞修復，但是這會影響正常Web業務運行，而且費用較高。比較有效的解決方案是通過專業的Web業務安全檢查工具或服務來檢查網站安全狀況，部署專業的Web安全產品。比如基於行為檢測的入侵防禦產品。同時在管理上，要求網管人員實時對網站進行監測，一旦發現網頁被篡改等問題立刻進行頁面恢復、刪除惡意腳本等工作。

39、如何防禦SQL注入

答：要想從根本上解決XSS攻擊，就要對Web應用程序源代碼進行檢查，發現安全漏洞進行修改。但是這種方法在實際中給用戶帶來了不便，如：需要花費大量的人力財力、可能無法找到當時的網站開發人員、需要網站下線等。對代碼進行修改後，由於增加了過濾條件和功能，同時也給伺服器帶來了計算壓力。通常的解決方法是在資料庫伺服器前端部署入侵防禦產品。SQL注入攻擊具有變種多、隱蔽性強等特點，傳統的特徵匹配檢測方式不能有效地進行防禦，需要採用“基於攻擊手法的行為監測”的入侵防禦產品才能夠精確地檢測到SQL注入攻擊。

40、如何防禦XSS

答：要想從根本上解決XSS攻擊，就要對Web應用程序源代碼進行檢查，發現安全漏洞進行修改。但是這種方法在實際中給用戶帶來了不便，如：需要花費大量的人力財力;可能無法找到當時的網站開發人員、需要網站下線等。對代碼進行修改後，由於增加了過濾條件和功能，同時也給伺服器帶來了計算壓力。通常的解決方法是在資料庫伺服器前端部署入侵防禦產品。XSS攻擊具有變種多、隱蔽性強等特點，傳統的特徵匹配檢測方式不能有效地進行防禦，需要採用基於攻擊手法的行為監測的入侵防禦產品產品才能夠精確地檢測到XSS攻擊。

41、如何發現網站掛馬

答：伺服器被掛馬，通常情況下，若出現諸如“彈出頁面”，則可以比較容易發現，發現防病毒軟體告警之類，則可以發現伺服器被掛馬;由於漏洞不斷更新，掛馬種類時刻都在變換，通過客戶端的反映來發現伺服器是否被掛馬往往疏漏較大;正確的做法是經常性的檢查伺服器日誌，發現異常信息;經常檢查網站代碼，藉助於專業的檢測工具來發現網頁木馬會大大提高工作效率和准確度。

❺ 什麼是計算機網路安全漏洞

一個較為通俗的網路漏洞的描述性定義是：存在於計算機網路系統中的、可能對系統中的組成和數據造成損害的一切因素。

網路漏洞是在硬體、軟體、協議的具體實現或系統安全策略上存在的缺陷，從而可以使攻擊者能夠在未授權的情況下訪問或破壞系統。具體舉例來說，比如在IntelPentium晶元中存在的邏輯錯誤，在Sendmail早期版本中的編程錯誤，在NFS協議中認證方式上的弱點，在Unix系統管理員設置匿名Ftp服務時配置不當的問題都可能被攻擊者使用，威脅到系統的安全。因而這些都可以認為是系統中存在的安全漏洞。

❻ 什麼是入侵檢測，以及入侵檢測的系統結構組成

入侵檢測是防火牆的合理補充。

入侵檢測的系統結構組成：

1、事件產生器：它的目的是從整個計算環境中獲得事件，並向系統的其他部分提供此事件。

2、事件分析器：它經過分析得到數據，並產生分析結果。

3、響應單元：它是對分析結果作出反應的功能單元，它可以作出切斷連接、改變文件屬性等強烈反應，也可以只是簡單的報警。

4、事件資料庫：事件資料庫是存放各種中間和最終數據的地方的統稱，它可以是復雜的資料庫，也可以是簡單的文本文件。

(6)網路安全中漏報是指擴展閱讀：

入侵檢測系統根據入侵檢測的行為分為兩種模式：異常檢測和誤用檢測。前者先要建立一個系統訪問正常行為的模型，凡是訪問者不符合這個模型的行為將被斷定為入侵。

後者則相反，先要將所有可能發生的不利的不可接受的行為歸納建立一個模型，凡是訪問者符合這個模型的行為將被斷定為入侵。

這兩種模式的安全策略是完全不同的，而且，它們各有長處和短處：異常檢測的漏報率很低，但是不符合正常行為模式的行為並不見得就是惡意攻擊，因此這種策略誤報率較高。

誤用檢測由於直接匹配比對異常的不可接受的行為模式，因此誤報率較低。但惡意行為千變萬化，可能沒有被收集在行為模式庫中，因此漏報率就很高。

這就要求用戶必須根據本系統的特點和安全要求來制定策略，選擇行為檢測模式。現在用戶都採取兩種模式相結合的策略。

❼ 在IDS中什麼是誤報什麼是漏報

一般IDS告警是由分析引擎分析數據包,將特徵跟IDS事件庫中的特徵描述進行匹配,匹配上了就告警相應事件,誤報就是告警的事件跟實際發生的網路行為不相符, 漏報就是實際發生了網路行為,但IDS沒有偵測到. 引起誤報和漏報的原因很多,事件庫的質量,IDS的處理能力,IDS引擎裡面對事件的分析和匹配的演算法等都能引起誤報和漏報,這兩個指標也是衡量IDS質量的兩個主要方面.

❽ 網路安全工作應急預案

網路安全工作應急預案

在平凡的學習、工作、生活中，保不準會發生突發事件，為了避免造成更嚴重的後果，就有可能需要事先制定應急預案。應急預案應該怎麼編制呢？下面是我收集整理的網路安全工作應急預案，僅供參考，大家一起來看看吧。

網路安全工作應急預案1

為確保發生網路安全問題時各項應急工作高效、有序地進行，最大限度地減少損失，根據互聯網網路安全相關條例及教育局文件精神，結合我校校園網工作實際，特製定本預案。

（一）組織機構及職責

1、校園網路安全應急領導小組（下稱領導小組）及職責

組長：校長

副組長：副校級領導

成員：各處室（委、會）、年級組負責人

主要職責及應急程序：

（1）加強領導，健全組織，強化工作職責，完善各項應急預案的制定和各項措施的落實；

（2）充分利用各種渠道進行網路安全知識的宣傳教育，組織指導全校網路安全常識的普及教育，廣泛開展網路安全和有關技能訓練，不斷提高廣大師生的防範意識和基本技能；

（3）認真搞好各項物資保障，嚴格按照預案要求積極配備網路安全設施設備，落實網路線路、交換設備、網路安全設備等物資，強化管理，使之保持良好工作狀態；

（4）採取一切必要手段，組織各方面力量全面進行網路安全事故處理工作，把不良影響與損失降到最低點；

（5）調動一切積極因素，全面保證和促進學校網路安全穩定地運行。

（6）網路安全事故發生後，視情況負責向上級匯報。

2、學校網站不良信息處理小組及職責

組長：分管安全的校長

副組長：分管宣傳的校級領導、招宣處負責人

成員：各處室（委、會）、年級組負責人、網站管理員

主要職責及應急程序：網站管理員應定期巡檢網路信息內容和安全情況，由於我校的對外宣傳網站是建設在成都為人科技（8211），故學校網站一旦發現問題均由學校網站不良信息處理小組指定相關人員與公司溝通，盡快保全證據並處理事故，將影響降到最低。

（1）一旦發現學校網站上出現不良信息（或者被黑客攻擊修改了網頁），網站管理員應要求8211公司立刻切斷學校網站伺服器外網網路連接；

（2）聯系公司備份不良信息出現的目錄、備份不良信息出現時間前後一個星期內的HTTP連接日誌、備份防火牆中不良信息出現時間前後一個星期內的網路連接日誌；

（3）列印不良信息頁面留存；

（4）立刻向領導小組組長匯報，領導小組視情況向上級主管部門匯報或向公安機關報案；

（5）刪除不良信息，並清查整個網站所有內容，確保沒有任何不良信息，重新連接網站伺服器外網網路連接，並測試網站運行；

（6）從事故一發生到處理事件的整個過程，必須保持向領導小組組長匯報、解釋此次事故的發生情況、發生原因、處理過程。

3、網路惡意攻擊事故處理小組及職責

組長：分管安全的校長

副組長：分管現代教育技術的校級領導、現代教育技術中心負責人

成員：各處室（委、會）、年級組負責人、網路管理員

主要職責及應急程序：

網路管理員發現網路惡意攻擊，立刻確定該攻擊來自校內還是校外，受攻擊的設備有哪些，影響范圍有多大。並迅速推斷出此次攻擊的最壞結果，判斷是否需要緊急切斷校園網的伺服器及公網的網路連接，以保護重要數據及信息，迅速向網路惡意攻擊事故處理小組，小組判斷是否須要啟動應急預案。

啟動應急預案後：

（1）緊急切斷校園網的伺服器及公網的網路連接，以保護重要的計算機、學校數據及相關信息；

（2）保全好網路惡意攻擊證據，分析重要數據安全及設備安全情況；

（3）如果網路惡意攻擊來自校外，立刻從防火牆中查出對方IP地址並過濾，同時對防火牆設置對此類攻擊的過濾，並視情況嚴重程度報請領導小組決定是否向上級管理部門匯報和報警；

（4）如果網路惡意攻擊來自校內，立刻確定攻擊源，查出該攻擊出自哪台交換機，出自哪台電腦，出自哪位教師或學生。接著立刻趕到現場，關閉該計算機網路連接，暫時扣留該電腦，並立刻對該計算機帶回進行分析處理，確定攻擊出於無意、有意還是被利用。對該電腦進行分析，保全證據，若為有意，報請領導小組是否報警。若不用報警的重新處理電腦系統，監控測試運行該電腦4小時以上，無問題後歸還該電腦；

（5）從事故一發生到處理事件的整個過程，必須保持向領導小組組長匯報、解釋此次事故的發生情況、發生原因、處理過程。

（二）網路安全事故應急方案

1、各小組在發現網路安全事故後，第一時間向領導小組匯報。

2、領導小組得悉網路安全緊急情況後立即趕赴現場，各種網路安全事故處理小組迅速集結待命。

3、領導小組迅速了解和掌握事故情況，根據情況依法對外發布有關消息和向上級進行事故匯報，全面組織各項網路安全防禦、處理工作，各有關組織隨時准備執行應急任務；

4、相關小組在領導小組的統一組織指揮下，迅速按各小組職責和應急程序組織事故應急防護：

（1）確保網站和各類數據信息安全為首要任務，關閉WEB伺服器的外網連接、學校公網連接，所有相關成員集中進行事故分析，確定處理方案；

（2）確保校內其它伺服器的信息安全，經過分析，可以迅速關閉、切斷其他伺服器的所有網路連接，防止滋生其他伺服器的安全事故；

（3）分析網路、確定事故源，使用各種網路管理工具，迅速確定事故源，按相關程序進行處理；

（4）事故源處理完成後，逐步恢復網路運行，監控事故源是否仍然存在；

（5）針對此次事故，進一步確定相關安全措施、總結經驗，加強防範；

（6）從事故一發生到處理的整個過程，必須及時向領導小組組長匯報，聽從安排，注意做好保密工作。

5、組織有關人員對校園內外所屬網路硬體軟體設備及接入網路的計算機設備進行全面檢查，封堵、更新有安全隱患的設備及網路環境；

6、積極做好廣大師生的思想宣傳教育工作，迅速恢復正常秩序，全力維護校園網安全穩定。

7、事後迅速查清事件發生原因，查明責任人，並報領導小組根據責任情況進行處理。

（三）其他

在應急行動中，各部門要密切配合，服從指揮，確保政令暢通和各項工作的落實。

網路安全工作應急預案2

為了建立健全我校校園網路與信息安全應急響應工作機制，根據《中華人民共和國計算機信息系統安全保護條例》、《中華人民共和國計算機信息網路國際聯網安全保護管理辦法》、《國家信息化工作領導小組關於加強信息安全保障工作的意見》、公安部、國務院信息化工作辦公室等四部門《關於信息安全等級保護工作的實施意見》和《國家突發公共事件總體應急預案》等有關法規文件精神，結合我校實際情況,特製定本預案。

第一條、本預案立足於防範和消除以下緊急情況的發生：

1、攻擊事件：指校園網路與信息系統因病毒感染、非法入侵等造成學校網站或部門二級網站主頁被惡意篡改、互動式欄目和郵件系統發布有害信息；應用伺服器與相關應用系統被非法入侵，應用伺服器上的數據被非法拷貝、篡改、刪除；在網站上發布的內容違反國家的法律法規、侵犯知識版權並造成嚴重後果等，由此導致的業務中斷、系統宕機、網路癱瘓等情況。

2、故障事件：指校園網路與信息系統因網路設備和計算機軟硬體故障、人為誤操作等導致業務中斷、系統宕機、網路癱瘓等情況。

3、災害事件：指因洪水、火災、雷擊、地震、台風等外力因素導致網路與信息系統損毀，造成業務中斷、系統宕機、網路癱瘓等情況。

第二條、網路信息員要定時巡查和監督網路信息情況，通過以下技術手段保障網路安全：

1、通過對網路行為進行管理，降低安全事件發生的機率。

2、對重要的網路設備進行硬體冗餘，重要的數據定期進行本地和異地雙備份。

3、重要節日或敏感時期由網路信息管理中心對校園網路作24*7監控，暫時關閉含安全隱患的網路服務。

4、網路信息管理中心定期對重要的網路設備和伺服器作入侵防護檢查，及時發現問題和解決問題。

第三條、若網頁被惡意更改，應立即停止主頁服務並恢復正確內容，同時檢查分析被更改的原因，在被更改的原因找到並排除之前，不得重新開放網頁服務。

第四條、信息服務板塊內容發布實行審核制度，未經審核不得發布。各版主負責本版塊的信息安全，預防繞過審核程序的.信息被發布。若出現未經審核信息被發布的情況，應暫時關閉信息發布功能，直至找到原因並排除為止。

第五條、對用戶上網實行有效監控，發現異常情況應立即關閉該用戶的網路連接，及時給與警告並記錄在案，情節嚴重的上報有關安全機構。

第六條、如涉及到在校學生,則由學生處與公安處進行調查處理。

網路安全工作應急預案3

為提高應對突發互聯網網路安全能力，維護網路安全和社會穩定，保障全局各項工作正常開展，特製定本預案。

一、根據互聯網網路安全的發生原因、性質和機理，互聯網網路安全主要分為以下三類:

（1）攻擊類事件：指互聯網網路系統因計算機病毒感染、非法入侵等導致業務中斷、系統宕機、網路癱瘓等情況。

（2）故障類事件：指互聯網網路系統因計算機軟硬體故障、人為誤操作等導致業務中斷、系統宕機、網路癱瘓等情況。

（3）災害類事件：指因爆炸、火災、雷擊、地震、台風等外力因素導致互聯網網路系統損毀，造成業務中斷、系統宕機、網路癱瘓等情況。

二、建立應急聯動機制

成立應急預案工作領導小組，由局長郭光孝擔任組長，秦河擔任副組長，按照「誰主管誰負責」原則，對於較大和一般突發公共事件進行先期處置等工作，並及時報單位領導處理和政府辦信息科備案。發生一般互聯網網路安全事件，事發半小時內向單位主管領導口頭報告，在1小時內向政府信息科書面報告；較大以上互聯網網路安全事件或特殊情況，立即報告。

三、 應急處理流程

出現災情後值班人員要及時通過電話、傳真、郵件、簡訊等方式通知單位領導及相關技術負責人。值班人員根據災情信息，初步判定災情程度。能夠自身解決，要及時加以解決；如果不能自行解決故障，由單位領導現場指揮，協調各部門力量，按照分工負責的原則，組織相關技術人員進入搶險程序。

3.1病毒爆發處理流程

對外服務信息系統一旦發現感染病毒，應執行以下應急處理流程：

(1)立即切斷感染病毒計算機與網路的聯接；

(2)對該計算機的重要數據進行數據備份；

(3)啟用防病毒軟體對該計算機進行殺毒處理，同時通過防病毒軟體對其他計算機進行病毒掃描和清除工作；

(4)如果滿足下列情況之一的，應立即向本單位信息安全負責人通報情況，並向政府辦信息科報告：

1）現行防病毒軟體無法清除該病毒的；

2）網站在2小時內無法處理完畢的；

3）業務系統或辦公系統在4小時內無法處理完畢的。

4)恢復系統和相關數據，檢查數據的完整性；

5)病毒爆發事件處理完畢，將計算機重新接入網路；

6)總結事件處理情況，並提出防範病毒再度爆發的解決方案；

7)實施必要的安全加固。

3.2網頁非法篡改處理流程

本單位對外服務網站一旦發現網頁被非法篡改，應執行以下應急處理流程：

(1)發現網站網頁出現非法信息時，值班人員應立即向本單位信息安全負責人通報情況，並立即向縣公安局網監大隊和政府信息科報告。情況緊急的，應先及時採取斷網等處理措施，再按程序報告；

(2)本單位信息安全負責人應在接到通知後立即趕到現場，做好必要記錄，妥善保存有關記錄及日誌或審計記錄；

四、責任與獎懲

互聯網網路安全事件應急處置工作實行領導負責制和責任追究制。對於遲報、謊報、瞞報、漏報互聯網網路安全事件重要情況或者應急處置工作中有其他失職、瀆職行為的，依法對有關責任人給予行政處分；構成犯罪的，依法追究刑事責任。

;