2401_84434570的博客

原创 一文读懂敏感标记和强制访问控制，让你恍然大悟。

是由等级和范围构成，标记是可以比较的，其比较结果的含义是代表了数据的敏感程度。安全管理员可以给用户授予标记权限，以决定用户可以何种形式（读或写）访问想要访问的数据。当表中的数据被标记标识后，只有用户被授予了访问该标记的权限后，可以读取到或者写该数据。当数据具有多个数据标记时，用户必须具有所有标记的权限才可以访问该数据。通俗的来说，在强制访问控制下，用户（或其他主体）与元组（或其他客体）都被标记了固定的安全属性（如安全级、访问权限等），在每次访问发生时，系统检测安全属性以便确定一个用户是否有权访问该元组。

原创 网络安全等级保护基本要求之各个等级的安全物理环境

原创 一文读懂黑龙江等保到底是什么？为什么你的系统要过等保三级

是对信息和信息载体按照重要性等级分级别进行保护的一种工作，指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。由于对客体的侵害是通过对等级保护对象的破坏实现的，因此对客体的侵害外在表现为对等级保护对象的破坏，通过侵害方式、侵害后果和侵害程度加以描述。政府机关和能源、金融、交通、水利、卫生医疗、教育、社保、环境保护、公用事业等行业领域的单位；

原创 等保测评中的常见误区及应对策略

ISO 27001标准是自愿性的，适用于全球范围内的各类组织，强调风险管理和控制措施的实施，以保护组织的信息资产。总的来说，等保测评更侧重于中国国内的法律遵从性和信息系统的安全保护，而ISO 20000和ISO 27000系列则提供了更为国际化和全面的管理框架，分别关注服务管理和信息安全管理。根据“谁运营谁负责、谁使用谁负责、谁主管谁负责”的原则，系统运营者应当继续履行网络安全保护责任和义务，确保系统的稳定运行和数据的安全保护。：设立专门的安全管理机构，配备合格的安全管理人员，负责日常的安全管理工作。

原创 学习干货|等保测评2.0技术自查阶段(中)

等级保护测评是根据我国网络安全体系制订的一系列保护流程，对于已有和将上线的业务服务的基础设施(系统、数据库、中间件等)进行的一系列检查、安全需要合规。一般来说：业务系统的组成是由系统和数据库及中间件组成，被攻击的情况下，攻击者也是向此作为目的进行攻击。无主体客体之间的关系。

原创 等保测评中的常见问题与建议

有些单位可能没有充分评估自己的建设整改资源，包括人力资源、物力资源、财力资源等，或者没有合理分配和利用自己的建设整改资源，导致建设整改过程中出现人员不足、设备不够、资金不够等问题，影响建设整改的进度和质量。等级保护整改没有什么资质要求，只要公司可以按照等级保护要求来进行相关网络安全建设，由谁来实施，是没有要求的。定级的过程是根据《信息安全技术网络安全等级保护定级指南》，确定等级保护对象，明确受侵害的客体和对客体造成侵害的程度，并根据业务信息安全等级和系统服务安全等级的矩阵表，确定最终的安全保护等级。

原创 等保测评中的问题与建议

有些单位可能没有充分评估自己的建设整改资源，包括人力资源、物力资源、财力资源等，或者没有合理分配和利用自己的建设整改资源，导致建设整改过程中出现人员不足、设备不够、资金不够等问题，影响建设整改的进度和质量。各单位应该充分评估自己的建设整改资源，包括人力资源、物力资源、财力资源等，并根据需求进行合理分配和利用，尽量提高资源利用率和效率。有些单位可能没有根据自己的建设整改进度和效果，选择合适的等级测评时间，或者没有及时进行等级测评，导致等级测评与建设整改脱节或滞后，影响等级测评的时效性和有效性。

原创 常见的计算机网络协议

网络层协议IP 、 ICMP、IGMP、IS-IS、IPsec、 ARP、 RARP、RIP、VRRP等传输层协议TCP、 UDP、TLS、SSL、OSPF 等应用层协议DHCP 、DNS 、FTP、 HTTP、POP3、 SNMP 、SSH 、TELNET 、 BGP 、GLBP、HSRP等IP协议IP指网际互连协议，Internet Protocol的缩写，是TCP/IP体系中的网络层协议。IPsec协议。

原创 下一代防火墙与其他具有相同防护功能安全设备的区别

六大特征库更完整安全：（漏洞 2800+、应用 2000+、病毒库10万、web攻击2000+、URL+恶意网址10万、敏感信息）NGAF：解决保护系统层面的入侵防御系统，和对应用层攻击防护不足，及应用层攻击漏判误判的问题！Web攻击模块（web攻击防护、敏感信息、防篡改、应用信息隐藏、自动建模（新））应用层攻击防护能力（漏洞防护、 web攻击防护、病毒木马蠕虫）Web攻击防护，尤其是各类逃逸攻击（注入逃逸、编码逃逸）的防护。NGAF：解决定位于防护 Web攻击的Web应用防火墙。

原创 计算机网络核心概念-数据链路层和物理层

虚拟局域网（VLAN）是一组逻辑上的设备和用户，这些设备和用户并不受物理位置的限制，可以根据功能、部门及应用等因素将它们组织起来，相互之间的通信就好像它们在同一个网段中一样，所以称为虚拟局域网。：一种差错检测方式，多用于计算机硬件的错误检测中，奇偶校验通常用在数据通信中来保证数据的有效性。：以太网是一种当今最普遍的局域网技术，它规定了物理层的连线、电子信号和 MAC 协议的内容。：CRC ，一种现如今正在使用的差错检测技术，使用多项式来进行差错检测。：媒体访问控制协议，它规定了帧在链路上传输的规则。

原创 计算机网络核心概念-基础概念

时延指的是一个报文或者分组从网络的一端传递到另一端所需要的时间，时延分类有发送时延、传播时延、处理时延、排队时延，总时延的计算方式：总时延 = 发送时延 + 传播时延 + 处理时延 + 排队时延。：是通信网中最早出现的一种交换方式，一般多用于电话网，电路交换的过程中，数据交换是独占信道的，电路交换方式的优点是数据传输可靠、迅速，数据不会丢失，缺点是电路空闲时信道容量容易被浪费。：我们一般小时候经常会广播体操，这就是广播的一个事例，主机和与他连接的所有端系统相连，主机将信号发送给所有的端系统。

原创 计算机网络核心概念-网络传输层

英文 sliding window，它是一种流量控制技术，在互联网早期，通信双方通常不会考虑网络情况，一般都会直接进行通信，同时发送数据，很容易导致阻塞，谁也发不了数据，针对这种现象，提出了滑动窗口，通过滑动窗口，接收方会告诉发送方自己能够接收多少数据。：拥塞控制说的是，当某一段时间网络中的分组过多，使得接收端来不及处理，从而引起部分甚至整个网络性能下降的现象时采取的一种抑制发送端发送数据，等过一段时间或者网络情况改善后再继续发送报文段的一种方法。：网际协议的第四个版本，也是被广泛使用的一个版本。

原创 计算机网络核心概念-网络应用层

因为 TELNET 有一个非常明显的缺点，那就是在主机和远程主机的发送数据包的过程中是明文传输，未经任何安全加密，这样的后果是容易被互联网上不法分子嗅探到数据包来搞一些坏事，为了数据的安全性，我们一般使用。把系统中的不同端系统区分为客户和服务器两类，客户向服务器发出服务请求，由服务器完成所请求的服务，并把处理结果回送给客户。：由于 IP 地址是计算机能够识别的地址，而我们人类不方便记忆这种地址，所以为了方便人类的记忆，使用 DNS 协议，来把我们容易记忆的网络地址映射称为主机能够识别的 IP 地址。

原创 国产操作系统（统信UOS）网络安全等级保护基础安全加固

统一操作系统UOS是由多家企业共同打造的中文国产操作系统。一、设置口令复杂度策略和有效期首先安装libpam-pwquality依赖包口令复杂度策略通过libpam-pwquality依赖包进行设置依赖包的安装命令：sudo apt-get install libpam-pwquality。依赖包的查看方式执行命令：dpkg -l libpam-pwquality。执行命令：vim etc/pam.d/common-passwd。

原创 华为网络设备基于网络安全等级保护安全加固

原创 安全管理中心高风险整改建议指南

根据系统场景需要，部署IPS、应用防火墙、防毒墙（杀毒软件）、垃圾邮件网关、新型网络攻击防护等提供集中安全管控功能的防护设备，对网络中发生的各类安全事件进行识别、报警和分析，对相关安全事件进行及时发现，及时处置。各设备应开启安全审计功能，统一将审计数据发送到外部审计系统中，根据需要集中分析，并通过部署日志服务器等方式，统一收集各设备的审计数据，进行集中存储和分析，留存时间至少6个月。对网络链路、安全设备、网络设备和服务器等的运行状况无任何监控措施，发生故障 后无法及时对故障进行定位和处理。

原创 等保测评中安全计算环境高风险分析

例如，数据库中存储的客户信息如果没有得到恰当的加密和访问控制，一旦被黑客攻击，可能会导致大量客户隐私泄露，给企业带来严重的法律和声誉风险。例如，一个使用旧版本操作系统且未打补丁的主机，很可能成为黑客攻击的目标，一旦被攻破，可能会导致整个信息系统的沦陷。没有审计功能，就无法对重要的用户行为和重要安全事件进行记录和追踪，一旦发生安全事件，将难以确定事件的源头和过程，无法进行有效的事后分析和责任追究。如果第三方服务提供商的安全措施不到位，可能会导致数据泄露或者被攻击，进而影响到使用其服务的企业信息系统的安全。

原创 Oracle数据库三级等保测评

Oracle是以关系数据库为数据存储和管理作为构架基础，构建出的数据库管理系统。1.数据库基础数据库由一批数据构成有序的集合，这些数据被存放在结构化的数据表里。数据表之间相互关联，反映了客观事物间的本质联系。数据库系统提供对数据的安全控制和完整性控制。1.1 什么是数据库数据库（DataBase，DB） 是一个长期存储在计算机内的、有组织的、有共享的、统一管理的数据集合。它是一个按数据结构来存储和管理数据的计算机软件系统。即数据库包含两层含义：保管数据的“仓库”，以及数据管理的方法和技术。

原创 Linux等保测评与加固

它是一种基于系统级别的强制性访问控制，不受用户或进程的自主决策的影响，确保系统中的资源只能被授权用户或进程访问，而不依赖于用户或进程的标签或权限。然而，目录和文件的默认权限属性是不同的，因为对于一个目录来说它的x权限也就是执行权限是很重要的，进入目录等操作都是需要目录具有执行权限的，而对于文件来说，一般情况都是用于数据的记录操作，所以一般不需要执行权限。密码（已被加密，所以看到是一堆乱码，CentOS7以上都是采取的SHA256加密算法进行加密），如果是有些用户在这段是x，*，！上次修改口令的时间；

原创 应用系统等保测评方法

新建一个已存在账户的同名账户这里还有一个隐藏的要求是，查看有没有空口令账户需要关注安全策略需要测试前台、后台功能是否正常火狐、谷歌等浏览器都有元素审查的功能，可以看到直接写在页面中的 Js。

原创 主流网络设备三级等保测评指导与加固

通过display version命令的回显，查看交换机的版本信息。打开网络浏览器，输入交换机的IP地址，输入具有管理权限的用户名和密码，即可查看交换机的配置状态。在PC上打开浏览器，输入交换机的IP地址，进入Web网管登录界面。通过Console口连接交换机，使用命令行配置Web登录的IP地址和接口。为确保网络设备的安全，必须对网络设备的每个用户进行有效的标识与鉴别。只有通过鉴别的用户，才能被赋予相应的权限进入网络设备，并在规定的权限范围内进行操作。

原创 密码算法在等保测评中的应用

操作系统鉴别数据全部符合，默认都是使用哈希算法，业务系统的鉴别数据，一般核查下数据库表，部分系统可能仍然是明文存储，至于业务数据、审计数据之类基本实践中未见过使用加密存储，一来没有必要 二来会影响性能，所以一般不符合。1、测评中，主要核查是否采用TLS、SSH等加密协议进行数据传输，window如果开启了远程桌面服务，需采用加密的RDP协议，参看此R此文中C部分进行校验，Windows的RDP安全主要有安全层和加密级别两个参数，其中安全层有RDP安全层、协商和TLS1.0共3个值，默认值为协商。

原创 等保2.0 三级等保和二级等保，传统+工业，设备套餐+详解

在互联网出口的增加一台防火墙保证出口防火墙的高可用性，在ISP运营商接入处部署一台负载均衡用于链路负载，保证链路的高可用性，在DMZ区部署一台网闸用于内部数据的摆渡及白名单访问控制，在核心交换机旁路部署一台APT或威胁情报分析系统来替换传统的入侵检测系统，对新型的网络攻击进行检测和分析攻击者的路径、来源和身份等信息；为了保护数据，在安全管理中心还增加了一台数据备份系统，对应用系统进行实时的数据备份，以防止数据丢失和被攻击，有条件的还可购买应用级的灾备一体机，以进一步强化数据备份能力。

原创 等保2.0测评 — WebSphere 中间件

查看版本登录websphere管理平台首页就能看到版本信息可以进入\usr\IBM\WebSphere\AppServer\bin 下执行./versionInfo.sh查看版本正常情况下，访问web界面需要用户名+口令：webphere控制台可以通过修改配置文件做到无账号密码直接进入控制台操作。需要找到websphere安全验证配置文件。该文件在webphere安装目录里，我们的目录，里面的文件：在该文件的第二行里面的查找到修改为。

原创 第一篇TAS中间件等保测评要点来了，赶紧转发、收藏吧

TAS对HTTPS的支持，默认附带一个证书，如果用户需要上传自己的证书，可以将证书上传到TAS安装目录/etc目录内，之后在服务器设置 -> 服务器模块配置页面打开HTTP模块，重启TAS中间件其余配置可以访问TAS列表内的通道设置进行配置。安全保密管理员负责给新创建的用户赋权，配置用户登录时的安全策略。基本涵盖了等保测评中的大部分测评点，传输完整性和保密性自行抓包查看，对于该中间件的测评不难，有控制台的测评还是比较方便的，难点是该中间件也有可能未安装控制台或安装了控制台业主方不知道等。

原创 等保2.0测评之Nginx 中间件

nginx是一款自由的、开源的、高性能的HTTP服务器和反向代理服务器，一般主要功能会有两种，一种作为一个HTTP服务器进行网站的发布处理，另外一种nginx可以作为反向代理进行负载均衡的实现。所以这里填主要功能的时候就要分清。查看Nginx版本：如果系统有配置nginx命令的环境变量，直接 nginx -v 即可查看版本信息若无，我们去nginx主目录下运行cmd，输入nginx -v查看版本。

原创 等保2.0测评 — Apache Tomcat中间件

在我们正式测评之前，首先要做的就是信息收集，但中间件部署位置看运维人员心情，所以第一步我们需要查找到该中间件的部署目录，并确认相应版本信息。利用 find 命令找到对应部署目录，再使用如下命令查询版本根据上图 Apache Tomcat 对应的版本即为8.5.56.0接着我们再去确认是否开启了控制台管理，查看tomcat目录/conf/tomcat-users.xml，上述路径为文件，如果关键字那段上下被-- …… --!包裹，那么可以推断出未使用控制台管理另外我们还可以查看。

原创 等保2.0测评 — IIS 中间件

身份鉴别、访问控制一般是通过本地登录进行管理，这里就主要介绍下安全审计大点（当然IIS也是可以进行远程管理的，文章末尾会简单介绍一下），那么我们就直接进入安全审计。IIS日志的时间与计算机的系统时间不符，比如在中国时区就会相差8小时，具体原因是什么呢？W3C 扩展日志文件定义日志采用GMT时间（即格林尼治标准时间），而中国在GMT +8时区，自然就相差八个小时了。若不选择最大文件大小，将不会覆盖之前的日志信息，默认情况下是每天产生一个日志文件。在装有IIS 中间件的服务器上，我们可以在。

原创 计算机网络核心概念-基础概念

时延指的是一个报文或者分组从网络的一端传递到另一端所需要的时间，时延分类有发送时延、传播时延、处理时延、排队时延，总时延的计算方式：总时延 = 发送时延 + 传播时延 + 处理时延 + 排队时延。：是通信网中最早出现的一种交换方式，一般多用于电话网，电路交换的过程中，数据交换是独占信道的，电路交换方式的优点是数据传输可靠、迅速，数据不会丢失，缺点是电路空闲时信道容量容易被浪费。：我们一般小时候经常会广播体操，这就是广播的一个事例，主机和与他连接的所有端系统相连，主机将信号发送给所有的端系统。

原创 对Ubuntu、统信UOS等操作系统的登陆失败处理和超时退出等保测评要点可能存在误区

例如设置要求：密码输入错误10次，锁定10分钟之后解锁，同时对root用户生效，root用户锁定10分钟后解锁。deny=10 设置普通用户和root用户连续错误登录的最大次数，超过最大次数，则锁定该用户。root_unlock_time=600 设定root用户锁定后，多少时间后解锁，单位是秒。unlock_time=600 设定普通用户锁定后，多少时间后解锁，单位是秒。配置命令：vim /etc/pam.d/login。even_deny_root 也限制root用户。

原创 经常使用的九大命令

简单的说，ping就是一个测试程序，如果ping运行正确，大体上就可以排除网络访问层、网卡、Modem的输入输出线路、电缆和路由器等存在的故障，从而缩小问题的范围。它列出的项目包括传送的数据包的总字节数、错误数、删除数、数据包的数量和广播的数量。而且，如果计算机和所在的局域网使用了动态主机配置协议DHCP，使用ipconfig命令可以了解到你的计算机是否成功地租用到了一个IP地址，如果已经租用到，则可以了解它目前得到的是什么地址，包括IP地址、子网掩码和缺省网关等网络配置信息。

原创 Linux常用应急溯源命令

2、查看目录下所有文件：more /etc/cron.daily/*

原创 HP-UX操作系统安全防护基线配置要求

原创 虚拟私有网络（VPC）介绍

在创建VPC之前，您需要根据具体的业务需求规划VPC的数量、子网的数量、IP网段划分和互连互通方式等。

原创 Linux 命令 netstat 的 10 个基本用法

Netstat 是一款命令行工具，可用于列出系统上所有的网络套接字连接情况，包括 tcp, udp 以及 unix 套接字，另外它还能列出处于监听状态（即等待接入请求）的套接字。举个例子，Apache 的 httpd 服务开启80端口，如果你要查看 http 服务是否已经启动，或者 http 服务是由 apache 还是 nginx 启动的，这时候你可以看看进程名。如果想只打印出 TCP 或 UDP 协议的统计数据，只要加上对应的选项（-t 和 -u）即可，so easy。使用 -a 选项即可。

原创 Linux 怎么防止 ssh 被暴力破解

通过对该文件进行的添加，你可以限制 SSH 权限，允许特定 IP 块，或输入单个 IP 并使用拒绝命令阻止所有剩余的 IP 地址。为此，首先，禁用 root 用户的 SSH 访问并创建一个具有 root 权限的新用户。这样，你未来的所有连接都将使用第二个版本的 SSH。另外，你可以通过更改 sshd_config 文件中与密码相关的参数来完全关闭对服务器的密码访问。在你的系统上可能有你不小心创建的没有密码的用户。公钥将上传到你要连接的服务器，而私钥则存储在你将用来建立连接的计算机上。

原创 计算机进制之间的关系

先十进制数（180）减去与十进制数相近的位权数（128），满足不为负进1，剩余52，然后用余数（52）减去第二个最大位权数（64），不满足整减进0，然后用余数（52）减去第三个最大位权数（32），满足不为负进1，剩余20，然后用余数（20）减去第四个最大位权数（16），满足不为负进1，剩余4，然后用余数（4）减去第五个最大位权数（8），不满足整减进0，然后用余数（4）减去第六个最大位权数（4），满足为1，其余都不满足为0.按各位的权列出：（1101）2 =1×2^3+1×2^2+0×2^1+1×2^0。

原创 如何实现不同VLAN间互通？

我们可以在super-VLAN下配置VLAN间ARP代理，代理不同子VLAN之间的ARP请求。由于所有的PC都在同一个网段，当任何一个设备想要和另一个设备通信时，它会首先根据数据交互的流程广播一个ARP请求报文来获取目的设备的MAC地址。由于 PC1 没有得到 10.1.1.2 的 ARP 响应，它向 10.1.1.2 发起另一个 ARP 请求，LSW3 响应这个 ARP 响应。在 LSW3 上配置 VLAN 聚合。配置VLAN 10为super-VLAN，VLAN 2、3、4、5为sub-VLAN。

原创 IP地址与子网掩码详解

MAC（Media Access Control，介质访问控制）地址，或称为物理地址，也叫硬件地址，用来定义网络设备的位置，MAC地址是网卡出厂时设定的，是固定的（但可以通过在设备管理器中或注册表等方式修改，同一网段内的MAC地址必须唯一）。MAC地址采用十六进制数表示，长度是6个字节（48位），分为前24位和后24位。1、前24位叫做组织唯一标志符（Organizationally Unique Identifier，即OUI），是由IEEE的注册管理机构给不同厂家分配的代码，区分了不同的厂家。

原创 核心交换机如何实现链路聚合、冗余、堆叠、热备份？

所以主机仍然保持连接，没有受到故障的影响，这样就较好地解决了核心交换机切换的问题。核心交换机是整个网络的核心和心脏，如果核心交换机发生致命性的故障，将导致本地网络的瘫痪，所造成的损失也是难以估计的。公司有2层楼，分别运行着不同的业务，本来两个楼层的网络是分开的，但都是一家公司难免会有业务往来，这时我们就可以打通两楼之前的网络，使具有相互联系的部门之间高速通信。为了保持网络的稳定性，在多台交换机组成的网络环境中，通常都使用一些备份连接，以提高网络的效率、稳定性，这里的备份连接也称为备份链路或者冗余链路。