三级安全加固

等保三级的技术要求
- 《中华人民共和国网络安全法》第二十七条
- 《中华人民共和国刑法》第一百一十条
- 相关设备作用/配置/介绍
- 边界拓扑图
- FW应用防火墙
- FW攻击拦截案例
- 入侵检测
- 工业防火墙
- 数据库审计
- 华为华三网口聚合
- 华为三层交换安全加固推举
- 堡垒机
- 网闸（全称：安全隔离与信息交换系统）
- 光闸（全称：安全隔离与信息单向导入系统）
- 数据交换平台
- 漏洞扫描
- IPSecVPN （国密隧道加密）
- **中国算法VS欧美算法**
- 工业主机卫士
- 开源蜜罐（开源诱捕）
- 其他（单主机加固、应用加固、应用密钥、数字签名等）
- 勒索问题排查分析过程
- 模拟攻击测试
- 最后简单介绍一下社工学
- 其他产品待整理资料

等保三级的技术要求

技术要求包括物理、网络、主机、应用、数据5个方面。
1.物理安全：
机房应区域划分至少分为主机房和监控区两个部分；
机房应配备电子门禁系统、防盗报警系统、监控系统；
机房不应该有窗户，应配备专用的气体灭火、备用发电机；
2.网络安全：
应绘制与当前运行情况相符合的拓扑图；
交换机、防火墙等设备配置应符合要求，例如应进行Vlan划分并各Vlan逻辑隔离，应配置Qos流量控制策略，应配备访问控制策略，重要网络设备和服务器应进行IP/MAC绑定等；
应配备网络审计设备、入侵检测或防御设备；
交换机和防火墙的身份鉴别机制要满足等保要求，例如用户名密码复杂度策略，登录访问失败处理机制、用户角色和权限控制等；
网络链路、核心网络设备和安全设备，需要提供冗余性设计。
3.主机安全：
服务器的自身配置应符合要求，例如身份鉴别机制、访问控制机制、安全审计机制、防病毒等，必要时可购买第三方的主机和数据库审计设备；
服务器（应用和数据库服务器）应具有冗余性，例如需要双机热备或集群部署等；
服务器和重要网络设备需要在上线前进行漏洞扫描评估，不应有中高级别以上的漏洞（例如windows系统漏洞、apache等中间件漏洞、数据库软件漏洞、其他系统软件及端口漏洞等）；
应配备专用的日志服务器保存主机、数据库的审计日志。
4.应用安全：
应用自身的功能应符合等保要求，例如身份鉴别机制、审计日志、通信和存储加密等；
应用处应考虑部署网页防篡改设备；
应用的安全评估（包括应用安全扫描、渗透测试及风险评估），应不存在中高级风险以上的漏洞（例如SQL注入、跨站脚本、网站挂马、网页篡改、敏感信息泄露、弱口令和口令猜测、管理后台漏洞等）；
应用系统产生的日志应保存至专用的日志服务器。
5.数据安全：
应提供数据的本地备份机制，每天备份至本地，且场外存放；
如系统中存在核心关键数据，应提供异地数据备份功能，通过网络等将数据传输至异地进行备份；
6.等保三级的管理制度要求
安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理。

《中华人民共和国网络安全法》第二十七条

任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动;不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具;明知他人从事危害网络安全的活动的，不得为其提供技术支持、广告推广、支付结算等帮助。

《中华人民共和国刑法》第一百一十条

有下列间谍行为之一，危害国家安全的，处十年以上有期徒刑或者无期徒刑;情节较轻的，处三年以上十年以下有期徒刑:
（一）参加间谍组织或者接受间谍组织及其代理人的任务的;
（二）为敌人指示轰击目标的。
第一百一十一条为境外的机构、组织、人员窃取、刺探、收买、非法提供国家秘密或者情报的，处五年以上十年以下有期徒刑;情节特别严重的，处十年以上有期徒刑或者无期徒刑;情节较轻的，处五年以下有期徒刑、拘役、管制或者剥夺政治权利。

第二百一十九条有下列侵犯商业秘密行为之一，给商业秘密的权利人造成重大损失的，处三年以下有期徒刑或者拘役，并处或者单处罚金;造成特别严重后果的，处三年以上七年以下有期徒刑，并处罚金:
（一）以盗窃、利诱、胁迫或者其他不正当手段获取权利人的商业秘密的;
（二）披露、使用或者允许他人使用以前项手段获取的权利人的商业秘密的;
（三）违反约定或者违反权利人有关保守商业秘密的要求，披露、使用或者允许他人使用其所掌握的商业秘密的。
明知或者应知前款所列行为，获取、使用或者披露他人的商业秘密的，以侵犯商业秘密论。
本条所称商业秘密，是指不为公众所知悉，能为权利人带来经济利益，具有实用性并经权利人采取保密措施的技术信息和经营信息。
本条所称权利人，是指商业秘密的所有人和经商业秘密所有人许可的商业秘密使用人。
##常见拓扑
注意：禁止私自复制部分图/字，否则追责
2007年，公安部下发《公安信息通信网边界接入平台安全规范》，要求社企和党/政/军机关必须通过接入平台以数据交换的方式进行数据传输。

2014年，国家电子政务外网管理中心发布的《国家电子政务外网跨网数据安全交换技术要求与实施指南》针对政务外网互联网接入区、公用网络区数据中心内服务器的跨网数据同步与安全交换提出技术要求。

1、文件数据交换
2、数据库数据交换
3、服务数据交换
4、音视频数据交换
4.1单向音视频传输（庭审直播等业务）
4.2双向音视频传输（视频会议等业务）
4.3音视频简易模式（此模式为纯音视频信号传输方式，不使用网络协议传输，不涉及光闸和前、后置服务器等产品）

边界拓扑图

FW应用防火墙

防火墙技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备，帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障，以保护用户资料与信息安全性的一种技术。
防火墙技术的功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题，其中处理措施包括隔离与保护，同时可对计算机网络安全当中的各项操作实施记录与检测，以确保计算机网络运行的安全性，保障用户资料与信息的完整性，为用户提供更好、更安全的计算机网络使用体验。

对流经它的网络通信进行扫描，这样能够过滤掉一些攻击，以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信，封锁特洛伊木马。最后，它可以禁止来自特殊站点的访问，从而防止来自不明入侵者的所有通信。

一、基于IP明细化进出;
1、允许所有用户>1网口>源IP 192.168.1.0/24>2网口>目的所有0.0.0.0 （允许1号网口1网段出2网口出公网）
2、允许所有用户>1网口>源IP 192.168.2.0/24>2网口>目的所有0.0.0.0 （允许1号网口2网段出2网口出公网）
3、允许所有用户>2网口>源IP 0.0.0.0 >1网口>目的所有192.168.1.0/24 （允许2号网口所有地址进1网口进内网,一般配合SNAT使用）
4、禁止允许所有用户>所有网口>源0.0.0.0>目的0.0.0.0 （禁止所有IP上网,一般FW策略是由上到下匹配规则,匹配不中的禁止进出网）

二、安全加固策略推举
1、禁止DNAT,SNAT开放内网高危端口到出口,如3389,22,445,21,3306等，容易遭密码暴力破解；
2、检查所有特征库版本,开启自动更新;
3、开启病毒过滤,URL过滤，WEB防护，DDOS防护（TCP并发5千/秒，UDP并发5千/秒,ICMP并发300/秒根据实际业务量估算），恶意扫描端口3/秒，爆破3/秒错误3次拉黑IP，ARP攻击防护等
4、关闭公网https访问FW远程控制，开启三权登陆操作（操作员，审计员，用户管理员）；
5、开启SNMP
6、开启syslog,所有上网行为流量外发syslog服务器分析，存储180天+，方便后期溯源攻击来源；
7、必要的话开启VPN访问内网,或者异地VPN隧道；
8、其他看情况加，如邮箱预警，出现紧急事件邮件预警；
三、路由相关
静态路由,策略路由自行根据业务配置；
四、故障排查思路,一般FW流程思路
接收报文–>黑名单–>服务器负载均衡–>静态NAT–>目的NAT–>白名单–>策略路由–>负载均衡–>路由（直连、静态、动态）–>链路负载均衡–>IPV4控制–>IPS–>SNAT–报文发出

五、相关原理介绍
ARP/ND攻击防护
在IPv4局域网中，通过ARP协议将IP地址转换为MAC地址。ARP协议对网络安全具有重要的意义，但是当初ARP方式的设计没有考虑到过多的安全问题，留下很多隐患，使得ARP攻击成为当前网络环境中遇到的一个非常典型的安全威胁。
在IPv6局域网中，通过ND协议将IP地址转换为MAC地址。由于 ND 协议并未提供认证机制，导致网络中的节点不可信，也使攻击者有机可乘，可针对 ND 协议发起一系列攻击。
通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量，使网络阻塞，攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存，造成网络中断或中间人攻击。
受到ARP攻击后会出现无法正常上网、ARP包爆增、不正常或错误的MAC地址、一个MAC地址对应多个IP、IP冲突等情况。ARP攻击因为技术门槛低，易于实现，在现今的网络中频频出现，有效防范ARP攻击已成为确保网络畅通的必要条件。
设备的防ARP/ND攻击功能有效识别ARP/ND欺骗攻击和ARP/ND flood攻击，对疑似攻击的行为告警，并配合IP-MAC绑定、主动保护发包及关闭ARP/ND学习等，有效防范ARP/ND攻击造成的损害。
扫描攻击防护
扫描攻击是指，攻击者运用扫描工具对网络进行主机地址或端口的扫描，通过准确定位潜在目标的位置，探测目标系统的网络拓扑结构和启用的服务类型，为进一步侵入目标系统做准备。设备可以有效防范以上攻击，从而阻止外部的恶意攻击，保护设备和内网。当检测到此类扫描探测时，向用户进行报警提示。
DoS攻击防护
DoS攻击是指，攻击者在短时间内向目标系统发送大量的虚假请求，导致目标系统疲于应付无用信息，而无法为合法用户提供正常服务，即发生拒绝服务。
当前支持对以下四种攻击进行有效防范：
1、SYN Flood攻击
由于资源的限制，TCP/IP协议栈只能允许有限个TCP连接。SYN Flood攻击者向服务器发送伪造源地址的SYN报文，服务器在回应SYN ACK报文后，由于目的地址是伪造的，因此服务器不会收到相应的ACK报文，从而在服务器上产生一个半连接。若攻击者发送大量这样的报文，被攻击服务器上会出现大量的半连接，耗尽其系统资源，使正常的用户无法访问，直到半连接超时。
2. ICMP Flood攻击
ICMP Flood攻击是指，攻击者在短时间内向特定目标发送大量的ICMP请求报文，使其忙于回复这些请求，致使目标系统负担过重而不能处理正常的业务。
3. UDP Flood攻击
UDP Flood攻击是指，攻击者在短时间内向特定目标发送大量的UDP报文，致使目标系统负担过重而不能处理正常的业务。
4. DNS Flood攻击
DNS Query Flood 攻击采用的方法是向被攻击的DNS 服务器发送大量的域名解析请求，通常请求解析的域名是随机生成或者是网络上根本不存在的域名。被攻击的DNS 服务器在接收到域名解析请求时，首先会在服务器上查找是否有对应的缓存，如果查找不到并且该域名无法直接由服务器解析时，DNS 服务器会向其上层DNS 服务器递归查询域名信息。域名解析的过程给服务器带来了很大的负载，每秒钟域名解析请求超过一定的数量就会造成DNS 服务器解析域名超时。

行为模型
行为模型（又名DNS隧道），是隐蔽信道的一种，通过将其它协议封装在DNS协议中传输建立通信。因为在我们的网络世界中DNS是一个必不可少的服务，所以大部分防火墙和入侵检测设备很少会过滤DNS流量，这就给DNS作为一种隐蔽信道提供了条件，从而可以利用它实现诸如远程控制，文件传输等操作，现在越来越多的研究证明DNS 隧道也经常在僵尸网络和APT攻击中扮演者重要的角色，因此DNS隐蔽隧道检测势在必行。
设备通过对DNS隐蔽隧道特征的提取和特征综合分析，来实现对DNS隐蔽隧道的检测，从而阻止DNS隧道带来的威胁。

防暴力破解
暴力破解是指攻击者通过穷举的方法登录相应服务从而获得可以登录的用户名密码对。通过检测出流量中的暴力破解行为并进行阻断。用户可配置是否开启暴力破解防御，服务类型，支持的服务类型包括ftp、telnet、smtp、http、imap、mssql、mysql、oracle、pop3、postgres，各个服务单独配置暴力破解检测时长和阈值，配置是否把攻击者加入黑名单。

FW攻击拦截案例

注意：禁止私自复制部分图/字，否则追责

入侵检测

入侵检测系统可以对传统网络和工业网络的运行状况进行监视，发现并阻断各种入侵攻击、异常流量、非法操作或异常行为的软硬件一体化设备，可实时检测内部和外部攻击。产品通过深入分析网络上捕获的数据包，结合特征库进行相应的行为匹配，实现入侵行为检测、web 攻击检测、安全风险评估、安全威胁可视化等功能，提供给用户全面的信息展现，为改善用户网络的风险控制环境提供决策依据。

基于全球和内网维度进行威胁分析和统计，事前帮助管理员了解安全态势
通过威胁情报查询IP、域名、文件Hash等安全状态；

注：入侵检测特征库，病毒库，URL特征库等与防火墙几乎一致，功能与防火墙几乎一致，因有些攻击来自外来PC，外出人员带入，不是从公网进入，防火墙检测不到，一般入侵检测旁挂内网核心三层上进行内网外网所有流量分析

工业防火墙

注意：禁止私自复制部分图/字，否则追责
工业防火墙是一款适用于工业控制网络与外部网络、工业控制网络内部不同业务网络边界的边界防护类产品，基于白名单的访问控制、工业协议精准识别和深度检测、工控威胁特征快速匹配等技术，对进出控制网络的应用协议和数据流量进行细粒度控制，识别各种针对工业控制系统的攻击和威胁，有效阻止网络攻击向关键生产区域蔓延，有效防护内部生产区域的重要信息向外部泄漏。
简介:针对工业协议明文解析控制,基于IP，深度解析控制；
如:OPC DA/UA、Modbus、IEC 60870-5-104、IEC 61850 MMS、DNP3、S7等
简单点，Modbus的指令控制,读线圈，写线圈。
与传统应用墙区别目前市场,工业墙不进行流的查杀毒,没有木马特征库,仅白名单放行工业协议,而传统墙是不支持工业协议,只能做到放行端口;

数据库审计

注意：禁止私自复制部分图/字，否则追责

适用场景
业务审计（医院统方、高校成绩篡改、交警消分、财政平账、国土用地审批……）
运维审计（全审计，业务系统BUG、非法工具接入、敏感数据篡改……）
通讯审计（发现数据库服务器的异常连接）
安全审计（撞库、拖库、口令猜解、特权账号访问……）
辅助决策（语句重复统计、SQL性能分析）
简介:旁挂模式或探针，核心三层镜像流量分析,针对高危库的操作指令审计，预警

针对SQL语法分析，自动识别并抽取数据库句式语意相同但参数不同的语句，实现SQL语句的归类及合并，形成SQL模版库。对一个业务系统来说，每天都有大量重复的语句，这些重复的原始SQL语句极大的占用存储空间，经SQL模版化，被原始SQL语句占据的空间大大减少，节省了大量的存储空间。同时，数据查询效率大幅提升。
通过SQL模版库管理，基于语句波动情况，进行有效的分析和深入的挖掘。可协助管理员处理，将大量、常见的语句设置为安全规则或过滤规则，规则准确度，优化系统识别规则库，形成安全语句和敏感语句管理，对信任语句正常执行，对敏感语句及时告警。

华为华三网口聚合

华三交换机配置手工(静态)链路聚合：（部分安全设备只支持静态聚合）
int bridge-aggregation 1
port link-type acc
port acc vlan 100 （注意VLAN）
int g1/0/1
port link-aggregation group 1

华为交换机配置手工链路聚合：
int eth-trunk 1
portswitch
port link-ty acc
port defau vlan 100 （注意VLAN）
mode manual load-balance
int g0/0/1
eth-trunk 1

华三交换机配置动态链路聚合：
int bridge-aggregation 1
port link-type acc
port acc vlan 100
link-aggregation mode dynamic
int g1/0/1
port link-aggregation group 1

华为交换机配置动态链路聚合：
int eth-trunk 1
portswitch
port link-ty acc
port default vlan 100
mode lacp
int g0/0/1
eth-trunk 1

华为三层交换安全加固推举

注意先测试在上线，会影响业务

1、三层开关WEB SSH
[Quidway]aaa //配置用户信息
[Quidway-aaa]local-user huawei password cipher huawei
[Quidway-aaa]local-user admin service-type http ssh telnet
[Quidway-aaa]local-user huawei privilege level 15
[Quidway-aaa]quit
[Quidway]stelnet server enable
[Quidway]user-interface vty 0 4
[Quidway-ui-vty0-4]authentication-mode aaa
[Quidway-ui-vty0-4]protocol inbound all
[Quidway-ui-vty0-4]quit
[Quidway]rsa local-key-pair create //创建公钥，以便分发给客户端
The range of public key size is (512 ~ 2048).
[Quidway]ssh user huawei authentication-type password //配置ssh验证及业务，非常重要
[Quidway]ssh user huawei service-type stelnet

2、华为路由DNAT
interface GigabitEthernet0/0/0
nat server protocol tcp global current-interface www inside 192.168.1.109 www
interface GigabitEthernet0/0/1
nat server protocol tcp global interface GigabitEthernet 0/0/0 www inside 192.168.1.109 www
注释：防止DNAT回环

3、镜像流量（接入侵检测使用）

observe-port 1 interface g 0/0/46
[quidway]port-group 1
[quidway-port-group-1]group-member g 0/0/1 to g 0/0/45
[quidway-port-group-1]port-mirroring to observe-port 1 both
配置镜像口（把交换机1口到45口的流量镜像到46进行分析）

4、黑洞MAC禁止通信
dis ip po name vlan66 all 查找对应IP-MAC
dis arp | include 172.16.66.177 查找对应IP-MAC
mac-address blackhole f875-a461-3x6a vlan 50 加入黑洞
display mac-address blackhole 查看被加入的MAC
undo mac-address blackhole 98fa-9bae-1826 vlan 172 删除放开

session 1 ARP安全
一、配置基于源MAC地址的arp报文限速，防止设备收到不断变化的源ip地址的arp攻击时被耗尽cpu资源
[Huawei]arp speed-limit source-mac maximum 100 限制所有MAC地址报文100个/s
[Huawei]arp speed-limit source-mac 0001-0002-0003 maximum 10 限制单个MAC地址报文10个/s

二、配置基于源ip地址的arp报文限速
[Huawei]arp speed-limit source-ip maximum 100 限制所有ip地址报文100个/s
[Huawei]arp speed-limit source-ip 0001-0002-0003 maximum 10 限制单个ip地址报文10个/s

三、基于端口、vlan或全局的arp限速
1、基于接口的arp限速
[Huawei]arp anti-attack rate-limit enable 全局下开启arp限速功能
[Huawei-GigabitEthernet0/0/1]arp anti-attack rate-limit enable 接口下开启arp限速功能
[Huawei-GigabitEthernet0/0/1]arp anti-attack rate-limit 200 10 block timer 60 限速10s内允许通过最大200个arp报文，超过丢弃，持续60s（默认是1s）
[Huawei-GigabitEthernet0/0/1]quit
2、基于vlan的arp限速
[Huawei]arp anti-attack rate-limit enable
[Huawei-Vlanif2]arp anti-attack rate-limit enable
[Huawei-Vlanif2]arp anti-attack rate-limit 200 10
[Huawei-Vlanif2]quit
3、基于全局的arp限速
[Huawei]arp anti-attack rate-limit enable
[Huawei]arp anti-attack rate-limit 200 10

四、dhcp snooping联动动态检测
1、防止arp中间人攻击，与dhcp snooping联动动态检测，利用dhcp生成的绑定表项检查收到的arp报文是否和dhcp的绑定表
[Huawei-GigabitEthernet0/0/1]arp anti-attack check user-bind enable 开启dhcp snooping的arp检测
[Huawei-GigabitEthernet0/0/1]arp anti-attack check user-bind alarm enable 开启dhcp snooping的arp检测告警功能
[Huawei-GigabitEthernet0/0/1]quit
dhcp snooping的配置也很简单，配置好dhcp服务器、地址池后开启dhcp的snooping功能（思科中默认开启）
[Huawei]dhcp snooping enable 全局启用
[Huawei-vlan2]dhcp snooping enable 在vlan中启用snooping功能
最后记得在交换机级联的接口上配置snooping信任，允许接口收发dhcp offer报文
[Huawei-GigabitEthernet0/0/1]dhcp snooping trusted 配置端口为dhcp snooping的信任端口，允许接口收发dhcp offer报文
补充，静态绑定dhcp snooping列表命令：
[Huawei]user-bind static ip-address 1.1.1.1 mac-address 0001-0002-0003 interface g0/0/1 vlan 2
查看命令：
[Huawei]display arp anti-attack configuration check user-bind interface GigabitEthernet 0/0/1
arp anti-attack check user-bind enable
arp anti-attack check user-bind alarm enable
[Huawei]display arp anti-attack statistics check user-bind interface GigabitEthernet 0/0/1
Dropped ARP packet number is 0
Dropped ARP packet number since the latest warning is 0

五、限速之QOS
华为路由（上下行限速）
qos car inbound destination-ip-address range 192.168.5.3 to 192.168.5.254 per-address cir 2048 pir 40000 cbs 20000 pbs 40000 green pass yellow pass red discard基于IP段限速cir 2048 pir 40000 cbs 20000 pbs 40000

六、三层接口阻止广播风暴
unicast-suppression cir 1000 cbs 188000 单播流量抑制
unicast-suppression 80 单播流量抑制80%
multicast-suppression cir 1000 cbs 188000 组播流量抑制
multicast-suppression 80 组播流量抑制80%
broadcast-suppression cir 1000 cbs 188000 广播流量抑制
broadcast-suppression 80 广播流量抑制80%
storm-control interval 90 风暴控制的检测时间间隔
storm-control action block 风暴控制的动作为阻塞报文
storm-control enable log 风暴控制时记录日志的功能
display flow-suppression interface gigabitethernet 2/0/12 流量抑制配置情况测试查看
qos lr outbound cir 819200 cbs 8192000 上下行接口限速800M
qos lr inbound cir 819200 cbs 8192000

接口案例
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 2 to 4094
arp anti-attack rate-limit enable
arp anti-attack rate-limit packet 5000 interval 20 block-timer 60
unicast-suppression cir 1000 cbs 188000
multicast-suppression cir 1000 cbs 188000
broadcast-suppression cir 1000 cbs 188000
storm-control interval 90
storm-control action block
storm-control enable log
port-mirroring to observe-port 1 inbound
port-mirroring to observe-port 1 outbound

堡垒机

注意：禁止私自复制部分图/字，否则追责
等保要求

一、简介
对服务器、网络设备、安全设备的操作监控，实现账号集中管理、高强度认证加固、细粒度访问授权控制、加密和图形操作协议的审计等功能，让内部人员、第三方人员的操作处于可管、可控、可见、可审的状态下，规范了运维的操作步骤，避免了误操作和非授权操作带来的隐患。
注释：主要针对SSH RDP MySQL sql server oracel 远程登陆操作进行审计，录像，WEB只需要输入一次账号密码可管理自己范围内设备，无需物理设备密码；（WEB支持双因子认证）
二、部署拓扑

网闸（全称：安全隔离与信息交换系统）

注意：禁止私自复制部分图/字，否则追责
一、简介
工业安全隔离装置（以下简称“工业安全隔离装置”）由内、外网处理单元和安全数据交换单元组成。安全数据交换单元在内外网主机间按照指定的周期进行安全数据的摆渡。从而在保证内外网隔离的情况下，实现可靠、高效的安全数据交换，而所有这些复杂的操作均由隔离系统自动完成，用户只需依据自身业务特点定制合适的安全策略既可实现内外网络的安全数据通信，在保障用户信息系统安全的同时，最大限度保证客户应用的方便性。
工业安全隔离装置采用专用的安全通道进行内外网信息交换，业务数据通过物理隔离、协议隔离、内容隔离等措施使外网网络数据及有害数据信息无法进入内网。工业安全隔离装置采用双重安全防护机制，白名单的防护机制保护客户业务系统。工业安全隔离装置采用具备丰富工业协议的采集与转发模块进行工业数据采集与转发，保障工业生产环境安全、高效的运行。
防止穿透性TCP连接：禁止两个应用网关之间直接建立TCP连接，将内外两个应用网关之间的TCP连接分解成内外两个应用网关分别到工控专用隔离工业安全隔离装置内外两个网卡的两个TCP连接。

注意：禁止私自复制部分图/字，否则追责

注意：禁止私自复制部分图/字，否则追责

简介原理:当访问172.168.1.200 TCP时代理到192.168.2.100 TCP，网闸采用两块主板，中间采用隔离卡（类似网卡）
工作模式简介:网桥，路由，代理
功能简介：IP代理，文件同步（FTP、SMB、NFS、SFTP等），数据库表同步，国标音视频视频代理，工业协议代理等
二、安全加固部署
1、明细IP，可为网段（默认拒绝所有）
如图:只允许源172.168.1.X,2.X，外网侧主板1口访问内网侧主板1口目的192.168.2.100:80
原理：当访问172.168.1.200:80代理到192.168.2.100:80，192.168.2.100:80收到的源IP为内网侧接口IP：172.168.1.200
2、如FTP同步
外网侧172.168.1.200采集办公区172.168.1.100FTP文件（剪切复制）摆渡到外网侧服务器区192.168.2.100 FTP上
网闸在传输FTP时会先采集到外网172.168.1.200主板内存缓存里，瞬间通过内连卡1.0.0.101传输缓存到内网主板上，内网主板通过内网侧IP172.168.1.200在传输到内网服务器192.168.2.100，传输过程中数据不会落地到网闸磁盘里。
3、其他数据库同步同原理。

光闸（全称：安全隔离与信息单向导入系统）

注意：禁止私自复制部分图/字，否则追责

随着电子政务的深化以及两化融合的发展，原本独立运行的各种网络、业务系统均需要互相交互数据，或单向或双向。总理提出的“让数据多跑路，让群众少跑腿”就是打通信息孤岛，发挥数据价值。
包括等保2.0对工业控制系统也提出了区域划分，区域之间使用单向隔离设备的要求

保密局针对政府、企业互联网做敏感信息监控，通过把间隔时间的抓包传送到保密局内网的分析系统，分析系统根据抓包处理并展示检测结果。数据是从互联网采集传给保密局内网的分析系统。但近期标准可能有变化。
BMB17-2006《涉及国家秘密的信息系统分级保护技术要求》
BMB20-2007《涉及国家秘密的信息系统分级保护管理规范》
BMB16-2004《涉及国家秘密的信息系统安全隔离与信息交换产品技术要求》

单向摆渡数据

双向TCP

由于光闸单设备性能不足，功能不足等，增加前置后置
注意：双向需要两台光闸，单向仅需单台光闸
注意：禁止私自复制部分图/字，否则追责

数据交换平台

注意：禁止私自复制部分图/字，否则必追责
公安信息通信网与应用服务区之间禁止通信协议交互，仅采用数据文件方式单向导入。数据文件导入采用物理单向传输技术进行安全隔离，由导入前置机、单向传输设备和导入服务器三部件构成。

法院295：1.规范跨网信息交换。法院专网与互联网、移动专网、外部专网及其他网络的信息交换必须采用基于单向光导技术的隔离交换传输平台，使用网闸等不符合规定交换设备的，必须立即制定计划限期整改。严禁直接连接，严禁边界端口映射，严禁使用通用网络协议穿透。所有网络出口和信息交换通道应当形成完整台账。2.加强安全边界防护。法院专网接入区必须串接防火墙；重要业务系统应当划分独立安全域，与其他网络区域之间必须串接防火墙或网关等边界控制设备；边界控制设备的策略应当采用“白名单”机制，阻断非正常业务访问……

检察院26：接入平台可划分为安全管理区、安全防护区、安全检测区、安全隔离交换区。其中：1安全管理区：实现对接入平台的统一集中监控与审计。2安全防护区：实现接入平台与外部网络的网络隔离与防护。3安全检测区：实现对接入平台的综合安全检测和日志采集。4安全隔离交换区：实现外部网络对文件、数据库、音视频等数据的交换服务。安全隔离交换系统：部署安全隔离交换系统，阻断外部网络与检察工作网之间的所有直接网络连接；对网络协议进行剥离或转化，保证网络安全隔离与数据安全交换。支持不同网络之间的安全隔离；支持对网络流量的隔离和过滤防护；支持不同网络之间的单向及双向数据传输。

网络互联互通是大势所趋——将传统封闭网络和互联网连接，打破信息壁垒，联通信息孤岛，实现数据共享，是IT信息化建设的必然趋势。
2016年9月国务院关于加快推进“互联网+政务服务”工作的指导意见。
2016年11月公安部《关于进一步推进“互联网＋公安政务服务”工作的实施意见》
2016年12月国务院印发了《“十三五”国家信息化规划》
等级保护，分级保护要求
中央办公厅，17号文《国家信息化领导小组关于我国电子政务建设指导意见》
国家保密局，《计算机信息系统国际互联网保密管理规定》

注意：禁止私自复制部分图/字，否则追责

漏洞扫描

信息系统面临的安全风险对所有的安全管理员来说越来越重要，而风险管理中漏洞管理的重要性已经使其成为标准的核心要素。漏洞扫描产品是实现漏洞自动化管理的工具，它不仅可以帮助信息系统管理人员随时掌握当前系统中的漏洞情况，并且能够模拟黑客的行为，对系统设置进行攻击测试，以帮助管理员在黑客攻击之前，找出网络中存在的漏洞。这样的工具可以远程评估网络的安全级别，生成评估报告，并提供相应的整改措施。

针对漏洞扫描，添加需要扫描的目标，填写形式为单个主机或者主机组，配置任务名称，选择漏洞扫描插件模板并提交扫描。

IPSecVPN （国密隧道加密）

注意：禁止私自复制部分图/字，否则追责

密码算法是保障信息安全的核心技术，尤其是最关键的银行业核心领域长期以来都是沿用3DES、SHA-1、RSA等国际通用的密码算法体系及相关标准。2010年底，国家密码管理局公布了我国自主研制的“椭圆曲线公钥密码算法”（SM2算法）。为保障重要经济系统密码应用安全，国家密码管理局于2011年发布了《关于做好公钥密码算法升级工作的通知》，要求“自2011年3月1日起，在建和拟建公钥密码基础设施电子认证系统和密钥管理系统应使用国密算法。自2011年7月1日起，投入运行并使用公钥密码的信息系统，应使用SM2算法。”

IPSec 简介
（Internet Protocol Security）是IETF（Internet Engineering Task Force）制定的一组开放的网络安全协议，在IP层通过数据来源认证、数据加密、数据完整性和抗重放功能来保证通信双方Internet上传输数据的安全性。
IPSec VPN体系结构主要由AH（Authentication Header）、ESP（Encapsulating Security Payload）和IKE（Internet Key Exchange）协议套件组成。通过AH和ESP这两个安全协议来实现IP数据报文的安全传送。

国密支持VPN-IPSec支持SM1 SM2 SM3 SM4算法进行隧道通信
注意：禁止私自复制部分图/字，否则追责

中国算法VS欧美算法

国际算法简介
1、MD5（MD5由美国密码学家罗纳德·李维斯特（Ronald Linn Rivest）设计，于1992年公开）MD5消息摘要算法，属Hash算法一类。 MD5算法对输入任意长度的消息进行运行，产生一个128位的消息摘要(32位的数字字母混合码)。
一个MD5理论上的确是可能对应无数多个原文的，因为MD5是有限多个的而原文可以是无数多个。比如主流使用的MD5将任意长度的“字节串映射为一个128bit的大整数。也就是一共有2^{128种可能，大概是3.4*10}38，这个数字是有限多个的，而但是世界上可以被用来加密的原文则会有无数的可能性。

2、DES（一种使用密钥加密的块算法，1977年被美国联邦政府的国家标准局确定为联邦资料处理标准（FIPS），并授权在非密级政府通信中使用，随后该算法在国际上广泛流传开来）
DES是一个分组加密算法，典型的DES以64位为分组对数据加密，加密和解密用的是同一个算法。密钥长64位，密钥事实上是56位参与DES运算（第8、16、24、32、40、48、56、64位是校验位，使得每个密钥都有奇数个1），分组后的明文组和56位的密钥按位替代或交换的方法形成密文组。

3、3DES（DES向AES过渡的加密算法，1999年，NIST将3-DES指定为过渡的加密标准-美国）
DES算法的密钥长度为64位（实际有效长度为56位，因为每隔8位中有1位为校验位，使用的是奇偶校验法）。其实3DES就是DES的升级版，所利用的技术原理是一样的。3DES原理：其实就是对明文进行三次DES算法运算，主要是通过增加DES密钥的长度来使破解更难。3DES算法使用的密钥有效长度为112位，虽然进行了三次DES算法运算，但是只使用了两种不同密钥（由于效率问题），一种密钥的有效长度为56位，两种就为56*2=112位，其中密钥K1=K3。

4、AES 128 192 256（美国联邦政府采用的一种区块加密标准）
70年代中期美国人开创的DES（数据加密标准）逐渐由繁荣走向衰落。在已有的加密算法中,DES的密钥太短,T一DES太慢,IDEA受专利保护且速度不快,为此1997年1月2号，美国国家标准技术研究所宣布希望征集一个安全性能更高的加密算法（AES）用以取代DES，同时要求每一种候选算法应当支持128、192和256比特的密钥长度。AES得到了全世界很多密码工作者的响应，先后有很多人提交了自己的设计方案。最终经过严格的性能测评，Rijndael算法获胜，因此AES算法也叫Rijndael，是一个对称分组密码算法。本文主要对AES-128算法进行原理分析以及脆弱性分析，后两种基本原理与AES-128相同，只是在加密轮数有所区别。高级加密标准(AES,Advanced Encryption Standard)为最常见的对称加密算法(微信小程序加密传输就是用这个加密算法的)。

我国算法简介
1、国密算法的分类
为了保障商用密码的安全性，国家商用密码管理办公室制定了一系列密码标准，包括SM1（SCB2）、SM2、SM3、SM4、SM7、SM9、祖冲之密码算法ZUC。其中SM1、SM4、SM7、祖冲之密码（ZUC）是对称算法；SM2、SM9是非对称算法；SM3是哈希算法。国密SSL证书采用上述国密SM签名算法，安全自主可控，并且基于ECC算法，加密强度更高、签名速度更快，并且可兼容所有国产操作系统。

2、SM1 为对称加密其加密强度与AES相当。
该算法不公开，调用该算法时，需要通过加密芯片的接口进行调用。

3、SM2算法SM2椭圆曲线公钥密码算法是我国自主设计的公钥密码算法
包括SM2-1椭圆曲线数字签名算法，SM2-2椭圆曲线密钥交换协议，SM2-3椭圆曲线公钥加密算法，分别用于实现数字签名密钥协商和数据加密等功能。SM2算法与RSA算法不同的是，SM2算法是基于椭圆曲线上点群离散对数难题，相对于RSA算法，256位的SM2密码强度已经比2048位的RSA密码强度要高。基于ECC。该算法已公开。由于该算法基于ECC，故其签名速度与秘钥生成速度都快于RSA。ECC 256位（SM2采用的就是ECC 256位的一种）安全强度比RSA 2048位高，但运算速度快于RSA。旧标准的加密排序C1C2C3 新标准 C1C3C2，C1为65字节第1字节为压缩标识，这里固定为0x04，后面64字节为xy分量各32字节。C3为32字节。C2长度与原文一致。

4、SM3算法中华人民共和国政府采用的一种密码散列函数标准，由国家密码管理局于2010年12月17日发布。
相关标准为“GM/T 0004-2012 《SM3密码杂凑算法》”。SM3杂凑算法是我国自主设计的密码杂凑算法，适用于商用密码应用中的数字签名和验证消息认证码的生成与验证以及随机数的生成，可满足多种密码应用的安全需求。为了保证杂凑算法的安全性，其产生的杂凑值的长度不应太短，例如MD5输出128比特杂凑值，输出长度太短，影响其安全性。SHA-1算法的输出长度为160比特，SM3算法的输出长度为256比特，因此SM3算法的安全性要高于MD5算法和SHA-1算法。

5、SM4算法密码管理局在2012年公布了无线局域网产品使用的SM4密码算法——商用密码算法。
SM4分组密码算法是我国自主设计的分组对称密码算法，用于实现数据的加密/解密运算，以保证数据和信息的机密性。要保证一个对称密码算法的安全性的基本条件是其具备足够的密钥长度，SM4算法与AES算法具有相同的密钥长度分组长度128比特，因此在安全性上高于3DES算法。

6、SM7对称密码SM7算法，是一种分组密码算法，分组长度为128比特，密钥长度为128比特。
SM7适用于非接触式IC卡，应用包括身份识别类应用(门禁卡、工作证、参赛证)，票务类应用(大型赛事门票、展会门票)，支付与通卡类应用（积分消费卡、校园一卡通、企业一卡通等）。

7、SM9标识密码算法标识密码将用户的标识（如邮件地址、手机号码、QQ号码等）作为公钥，省略了交换数字证书和公钥过程，使得安全系统变得易于部署和管理，非常适合端对端离线安全通讯、云端数据加密、基于属性加密、基于策略加密的各种场合。
2008年标识密码算法正式获得国家密码管理局颁发的商密算法型号：SM9(商密九号算法)，为我国标识密码技术的应用奠定了坚实的基础。8、ZUC祖冲之算法祖冲之序列密码算法是中国自主研究的流密码算法,是运用于移动通信4G网络中的国际标准密码算法,该算法包括祖冲之算法(ZUC)、加密算法(128-EEA3)和完整性算法(128-EIA3)三个部分。目前已有对ZUC算法的优化实现，有专门针对128-EEA3和128-EIA3的硬件实现与优化。

8、ZUC祖冲之算法祖冲之序列密码算法是中国自主研究的流密码算法,是运用于移动通信4G网络中的国际标准密码算法,该算法包括祖冲之算法(ZUC)、加密算法(128-EEA3)和完整性算法(128-EIA3)三个部分。目前已有对ZUC算法的优化实现，有专门针对128-EEA3和128-EIA3的硬件实现与优化。

爆破MD5举例MD5碰撞通常用于登陆密码的破解。应用系统的数据库中存储的用户密码通常都是原密码的MD5哈希值，每当用户登录时，验签过程如下：

得到了用户ABC的密码哈希值E10ADC3949BA59ABBE56E057F20F883E，并不需要还原出原密码123456，只需要“碰撞”出另一个原文654321（只是举例）即可。登录时，完全可以使用654321作为登陆密码，欺骗过应用系统的验签。

那么，具体如何来实现MD5摘要的碰撞主要包括暴力枚举法、字典法、彩虹表法等如:黑客利用一个巨大的字典,拆分字典放到超级计算机，分布式撞击，存储尽可能多的原文和对应的哈希值。每次用给定的信息摘要查找字典，即可快速找到碰撞的结果。

工业主机卫士

注意：禁止私自复制部分图/字，否则追责
随着网络黑客的攻击活动方式越来越多，速度越来越快，针对信息资产的漏洞研究和系统安全漏洞的修补，成为了攻与防永恒的主题。但系统漏洞的修补永远晚于漏洞的发现，系统设计的缺陷导致漏洞难以修补，现实稳定运行的信息系统难以接受系统的升级等等，这些原因都造成了现实世界中诸多被暴露了漏洞的系统仍然在持续‘裸奔’中。这如同已经被曝了安全隐患的汽车，无法召回，大家只能祈祷‘厄运’不要降临在自己身上。

以勒索软件为首的恶意软件让企业级用户深受其害。基于签名技术的安全检测手段在面对不断涌现的新威胁时应对乏力，一方面针对目标定向攻击无法提前取得样本，0day 漏洞利用和定制工具无法得到攻击特征;另一方面，多态和变形使威胁特征被现有防护产品难以及时发现，数以亿计的特征库规模使检测引擎无法承载。

震网（Stuxnet）病毒
2010年10月，国内外多家媒体相继报道了Stuxnet蠕虫病毒对数据采集与监视控制系统进行攻击的事件，并称其为“超级病毒”、“超级工厂病毒”，并形容成“超级武器”、“潘多拉的魔盒”。
Stuxnet病毒在2010年7月开始爆发。它利用了微软操作系统中至少4个漏洞，伪造驱动程序的数字签名；通过一套完整的入侵和传播流程，突破工业专用局域网的物理限制；利用WinCC系统的两个漏洞，对其开展破坏性攻击。它是第一个直接破坏现实世界中工业基础设施的恶意代码。
伊朗政府已经确认该国的布什尔核电站遭到Stuxnet蠕虫病毒的攻击。该病毒利用了USB 使用上的管理漏洞渗透进入目标系统，从而修改西门子控制器所连接的变频器，攻击者通过检测变频器的工作状态，改变了变频器的工作参数，欺骗控制中心，使得离心机无法正常工作。

“火焰”病毒
2012年5月，俄罗斯安全专家发现一种威力强大的计算机病毒“火焰”（Flame）在中东地区大范围传播。“火焰”病毒最早可能于2010年3月就被攻击者放出，但一直未被其他网络安全公司发现。除卡巴斯基外，匈牙利的两家反计算机病毒实验室和伊朗反计算机病毒机构也发现了上述全新的蠕虫病毒。
Flame病毒是由许多独立模块组成的非常大的攻击工具包。它能执行各种恶意行为，其中大部分与数据窃取和网络间谍有关。除此之外，它还能使用计算机扩音器来录下对话，提取应用程序细节的截屏，探测网络流量，并能与附近的蓝牙设备进行交流。当感染被反病毒程序保护的计算机时，Flame会停止进行某种行动或执行恶意代码，隐藏自身，以待下次攻击。
注意：禁止私自复制部分图/字，否则追责

以用户身份可信、执行程序可信为基础，通过限制程序及目录的访问控制，实现对目录及程序进程的行为的限制，从而从身份、权限以及安全审计三个层面建立服务器自身主动安全防御机制，降低服务器自身被攻击的风险。

基于可信计算技术，采用白名单机制，提供执行程序可信度量，阻止非授权及不符合预期的执行程序运行，实现对已知/未知恶意代码的主动防御，降低操作系统完整性及可用性被破坏的风险。
采用可信程序保护机制，禁止任何程序或用户对可信程序进行篡改，保障服务器中的程序能够稳定运行；支持基于可信计算技术对服务器中运行的业务程序或其他可信程序进行防篡改检查；拦截以任何方式对服务器中业务程序的删除、修改等危险操作；记录可信程序变更记录，并支持在得到授权允许时恢复可信程序；与可信检测平台联动，通过自动下载可信检测平台中对应程序的保护策略，实现程序防护策略动态调整。
恶意代码防御
提供基于可信计算技术的恶意代码防御机制，对执行程序进行可信检测，确保恶意程序或与业务无关的程序无法在服务器中运行；拦截服务器中可执行程序执行请求，只允许经过可信验证的安全程序才能在服务器中运行，有效拦截已知、未知病毒、木马及其他恶意软件；与可信检测平台联动，通过自动下载程序可信检测平台中的程序知识，转化为服务器本地的安全运行策略，并能够将服务器中的未知程序（即不在白名单里的程序）信息发送给可信检测平台，由可信检测平台进行可信安全分析。

简单说:没有病毒库，没有特征库，不用更新库，我不让你在操作系统运行你就运行不了。
注意：禁止私自复制部分图/字，否则追责
勒索病毒投放测试
系统版本
windows server2012 r2 standard
1、主机防护开启、关键目录保护、基线保护、核心进程保护、禁止使用超级管理（administrator）等
注意操作前先部署好业务使用的软件，然后开启加固，白名单信任服务器所有程序，否则安装程序报错无权限等
2、测试截图账号登陆权限
3、可安装到 XP win7 win8 wi10 win08 win12 win16 win19,linux+,部分国产操作系统

3、执行勒索主程序截图

4、管理员运行测试

5、业务测试，登陆数据库操作，读写正常

6、关闭工业主机卫士，病毒测试文件全部锁死，结果截图

开源蜜罐（开源诱捕）

简介:蜜罐是一个可视化，制作出假得端口，得知谁在攻击
这里使用的Docker部署
docker pull imdevops/hfish
docker run -d --name hfish -p 21:21 -p 22022:22 -p 23:23 -p 69:69 -p 3306:3306 -p 5900:5900 -p 6379:6379 -p 8080:8080 -p 8081:8081 -p 8989:8989 -p 9000:9000 -p 9001:9001 -p 9200:9200 -p 11211:11211 --restart=always imdevops/hfish:latest
21 为 FTP 端口
22 为 SSH 端口
23 为 Telnet 端口
3306 为 Mysql 端口
6379 为 Redis 端口
8080 为暗网端口
8989 为插件端口
9000 为 Web 端口
9001 为系统管理后台端口
11211 为 Memcache 端口
69 为 TFTP 端口
5900 为 VNC 端口
8081 为 HTTP代理池端口
9200 为Elasticsearch端口

其他（单主机加固、应用加固、应用密钥、数字签名等）

手工推举脚本
iptables脚本禁止登陆与业务无关
vim firewall.sh
#!/bin/bash
iptables -F
iptables -X
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
#iptables -P PREROUTING ACCEPT
#iptables -P POSTROUTING ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
#iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
#内部端口通信允许
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
#iptables -A INPUT -i lo -d 127.0.0.0/24 -j ACCEPT
#iptables -A OUTPUT -o lo -d 127.0.0.0/24 -j ACCEPT
#允许ping 外部
iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT
#允许ping 内部
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT
iptables -t filter -A INPUT -s 10.0.11.167 -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
#只允许10.0.11.167访问22端口
#iptables -A INPUT -p tcp --dport 2007 -j ACCEPT
iptables -A INPUT -p tcp --dport 2003 -j ACCEPT
iptables -A INPUT -p tcp --dport 3392 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
#iptables -A INPUT -p tcp --dport 3306 -j ACCEPT
iptables-save >/etc/iptables-script

chown 777 firewall.sh 给权限
./firewall.sh 执行
chmod +x /etc/rc.local
vim/etc/rc.local 添加开机启动
#!/bin/sh -e

rc.local
/sbin/iptables-restore /etc/iptables-script
exit 0

基于log日志防止SSH暴力破解
vim /usr/local/bin/secure_ssh.sh
#! /bin/bash
cat /var/log/secure|awk ‘/Failed/{print $(NF-3)}’|sort|uniq -c|awk ‘{print $2"="$1;}’ > /usr/local/bin/black.txt
for i in cat /usr/local/bin/black.txt
do
IP=echo $i |awk -F= '{print $1}'
NUM=echo $i|awk -F= '{print $2}'
if [ $NUM -gt 2 ];then 失败3次会封IP
grep $IP /etc/hosts.deny > /dev/null
if [ ?−gt0];thenecho"sshd:? -gt 0 ];then echo "sshd:?−gt0];thenecho"sshd:IP:deny" >> /etc/hosts.deny
fi
fi
done

touch /usr/local/bin/black.txt 创建记录登录失败次数的文件
crontab -e 添加定时任务：
*/1 * * * * /usr/local/bin/secure_ssh.sh 1分钟执行一次

解锁
/usr/local/bin/black.txt （删除相关IP）
/var/log/secure （删除相关IP）
/etc/hosts.deny （删除相关IP）

SSH密码错误4次自动落锁
ssh 密码错误4次锁此用户含root(普通用户锁86400/秒 root/10800秒)
[root@localhost ~]# cat /etc/pam.d/sshd
#%PAM-1.0
auth required pam_sepermit.so
auth substack password-auth
auth include postlogin
auth required pam_tally2.so deny=4 unlock_time=86400 even_deny_root root_unlock_time=10800 （加这一条）
普通用户封86400秒 root用户108000秒
查看某一用户错误登陆次数
pam_tally2 --user superman
解锁
pam_tally2 --user superman --reset

勒索问题排查分析过程

2022-5-7 09:00，发现主机A出现文件无法读取的问题并弹出文件被加密的提示，进一步确认后判断中了勒索软件病毒，文件、应用、程序均被加密，导致无法使用。

通过主机A的日志进行溯源，确定主机A是被主机B操作的，也就是说主机B是更优先感染的。

随机登录主机B，发现主机B的密码已被攻击者修改，主机B是虚拟化部署，通过挂载PE镜像的方式，进行了密码重置。登录后确定主机B也已被感染。

二、处理过程
1.分析问题
主机B经过检查后，是有3389端口通过防火墙映射(DNAT)在公网，所以重点沿这这一条线进行问题跟踪。影响的感染范围不确定，所以第一步控制勒索病毒不要蔓延。主机A是被445入侵，所以关闭SMB服务，主机B可能是被拿到系统权限，所以做断网处理。
2. 处理过程
2.1 防火墙排查
防火墙是对外出口，首先关闭主机B的3389端口映射，进一步查看防火墙的NAT日志或访问日志。后确认防火墙对于访问类别的日志不会做存储，只会做外发。攻击防护日志仅有泛洪攻击的记录，这条线断掉。
2.2 主机B排查
首先进行勒索文件的样本分析，确认勒索病毒的家族。可通过在线沙箱上传被加密文件，或通过https://edr.sangfor.com.cn/#/information/ransom_search网站，输入加密名称检查。

通过加密文件的格式：” .id[ID序列].[邮箱].后缀后缀包”确定勒索病毒家族为
Phobos（Crysis变种）勒索病毒。此时通过查询此勒索软件加密的文件暂不可逆(恢复)
遂主机B通过虚拟快照的方式恢复，主机A通过备份文件恢复，保证业务恢复。后续根据查到的此勒索软件的特性进行溯源分析。

三、溯源分析
以下通过时间线的顺序阐述
因事件管理器、控制面板、组策略等均因勒索软件修改受限访问，通过通过evtxLogparse工具导出系统日志进行查看。

从可查到的安全事件日志里可得出最早在2022-05-07 凌晨02:36分时有外部尝试通过RDP登录，期间一直尝试通过RDP爆破登录主机B。
TIPS：eventID：4624表示登录成功，4625表示登录失败
通过logparser对日志文件进行分析（此工具支持SQL查询比较方便），得出最早在05-07 凌晨03:04分已爆破成功，通过RDP登录了主机B。

通过聚合查询05-07当天截止中午12:00进行了33509次密码爆破

通过Everthing工具查询最早被锁的文件时间是 2022-05-07 04:13分

共计有43万余个对象被锁

通过第一个被锁定的文件时间2022-05-07 04:13分，查询附近时间新建的文件，锁定了勒索软件的主程序。

通过FireKylinV1.4.0工具导出并分析主机B的相关日志和状态，确定此程序的所有路径及启动项，确定勒索软件设置了开机自启动。

TIPS：也可通过火绒剑，针对勒索软件可直观的看到勒索软件是未签名状态

通过火绒检查主机B的网络连接状态，确认主机B未再感染其他主机

TIPS：Crysis变种勒索病毒是有内网资产扫描的工具，NS-V2.exe，用来范围扫描内网资产，寻求横向感染，但在此V1Fast勒索软件可能存在二次运行，给自己的工具NS-V2.exe资产扫描工具一并进行了加密。

后续通过wireshark等工具进行流量分析，确认主机B未在尝试发起链接。
通过Eventlog确定，尝试进行爆破的均为海外地址(荷兰、美国、俄罗斯等)，且不固定从防火墙也可看到是有主机发起了Post-scan扫描。

暴力破解RDP密码成功后攻击者手动登录进行投毒，分别进行了提权、修改时间、关闭日志记录、关闭组策略、关闭Windows更新

四、总结
被勒索软件成功攻击，核心还是安全意识薄弱，做了RDP 3389远程桌面的外网映射，登录口令不够复杂，导致被多台终端联合进行爆破成功。
勒索软件成功登录主机B后，通过主机B保存的主机A信息，成功对主机A也进行了勒索加密。
.Devos勒索病毒属于Phobos勒索病毒家族，主要通过RDP协议暴力破解进入操作系统，然后运行勒索病毒软件，通过查找本机访问记录、已存储的用户名密码等信息遍历局域网服务器，然后将有读写权限的目录通过软件进行加密。
规避建议
1、不将远程桌面端口开放到互联网，无法避免时通过防火墙限制仅允许特定IP访问或者部署防护服务（RDPGuard），多次登录失败自动锁定IP。
2、开启自动更新服务，及时为系统打补丁。
3、安装杀毒软件，及时更新病毒库。
4、定期对重要文件以及数据库做非本地备份

模拟攻击测试

《中华人民共和国网络安全法》第二十七条
任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动;不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具;明知他人从事危害网络安全的活动的，不得为其提供技术支持、广告推广、支付结算等帮助。
Metasploit
Metasploit是一款开源的安全漏洞检测工具，可以帮助安全和IT专业人士识别安全性问题，验证漏洞的缓解措施，并管理专家驱动的安全性进行评估，提供真正的安全风险情报。这些功能包括智能开发，代码审计，Web应用程序扫描，社会工程。团队合作，在Metasploit和综合报告提出了他们的发现。

Maf> nmap -sV 192.168.66.61 -p 1-65535 (所有端口扫描，收集信息)
PORT(端口) STATE（状态）SERVICE（服务）VERSION（版本号）

如:windows 445端口,安装旧版本windows2008开启SMB或win7开启SMB文件共享，百度2017永恒之蓝SMB漏洞模拟。（这里不复制了）
如:DDOS
在KAIL系统上执行
切记不要在公网执行，被抓或罚款，现在的技术很快锁定你的
hping3 -c 10000 -d 120 -S -w 64 -p 80 --flood --rand-source 192.168.65.54（syn_flood攻击测试）
服务器上会出现大量的半连接，耗尽其系统资源(CPU)，使正常的用户无法访问，直到半连接超时!
hping3 --udp -s 5060 -d 20000 -p 5060 -flood 192.168.65.54 (udp_flood攻击测试)
hping3 --udp -s 6666 -p 5556 -a 8.8.8.8 --flood 192.168.1.107 (udp_flood攻击测试)
hping3 --icmp -d 2000 --flood 192.168.65.54 (icmp_floof攻击测试)

病毒拦截测试
https://docs.trendmicro.com/all/ent/de/v1.5/zh-cn/de_1.5_olh/ctm_ag/ctm1_ag_ch8/t_test_eicar_file.htm
右击URL另存为（不要点确定）

ARP欺骗
apt-get install dsniff 安装
arpspoof -i ens192 -t 172.16.66.163 -r 172.16.66.1
注释：
会使对端断网！
ens192 自己设备接口
-t 目的IP
-r 网关

WEB压力测试
Siege是linux下的一个web系统的压力测试工具，支持多链接，支持get和post请求，可以对web系统进行多并发下持续请求的压力测试。
siege -c 200000 -r 100000 http://192.168.1.x:443

设备吞吐测试
iperf 百度安装
UDP单拨、UDP广播测试
目的服务器iperf -u -s -p 5005 -i 1 -t 9999 5005代表端口
源服务器iperf -u -c 192.168.1.107 -p 5008 -i 1 -t 9999 -b 500M 5008代表前置代理端口

UDP组播测试
目的服务器 iperf -s -u -B 224.0.67.67 -i 1 -p 5005 -l 60000
源服务器 iperf -c 224.0.66.66 -u -b 500M -i 1 -p 5008 -t 3600 --ttl 64 -B 192.168.1.107 -l 60000
注释
224.0.66.66 前置代理组播地址端口 5008
224.0.67.67 目的服务器组播地址端口 5005
-l 60000 代表帧长60K

TCP单向IPV4
iperf -c 192.168.1.169 -p 9999 -i 1 -t 300 源端
iperf -s -p 9999 -i 1 目的端

TCP单向IPV6

iperf -c 2001::66:107 -p 9999 -i 1 -t 300 –V -大V代表IPV6
iperf -s -p 9999 -i 1 –V

最后简单介绍一下社工学

以上的安全设备在牛，对社工学来说，都很难拦截，防御
切记《中华人民共和国网络安全法》第二十七条
切记《中华人民共和国刑法》第一百一十条
切记《中华人民共和国刑法》第二百一十九条

社会工程学攻击包括四个阶段：
研究：信息收集（WEB、媒体、垃圾桶、物理），确定并研究目标
钩子：与目标建立第一次交谈（HOOK、下套）
下手：与目标建立信任并获取信息
退场：不引起目标怀疑的离开攻击现场
通常社会工程学攻击可以划分为两类：
基于人的社工：搭载、伪造身份、偷听、窃取、反社工、垃圾桶工程
基于计算机的社工：弹出窗口、内部网络攻击、钓鱼邮件、短信诈骗等
个人建议学习心里学，CISSP，社会工程学，高难度谈判
举例如何进入大门，进入机房呢？
1、公司办公地址网站，邮箱，电话，朋友圈到处都是
2、不使用指纹，刷脸如何进入呢？
在每个楼梯口处有一台门禁机，上面标有zkteco厂家，安装过的都知道，指纹机后边是一条网线，网线接入到了…。
重点来了，一般行政部（管理考勤的人），运维，网管，一般情况下非zkteco厂家人员，一般不会修改zkteco登陆密码，默认为空，不信你可拔下一个来尝试登陆…
如何进入门禁机器呢，IP多少，下载IP扫描整个1段，一般为192.168.1.x，出厂默认IP也是192.168.1.x，实施人员懒一般不会改。
扫描出IP，如何添加指纹还有人脸或者直接添加账号密码呢？？？
百度zkteco官网，下载zkteco最新版本，把大门口网线插入电脑，点击添加设备，点击添加新开门用户，新开门密码，或人脸，扫描出内网所有门禁，同步所有设备新账号密码，然后到机房说芝麻开门…

剩下的自己百度吧

三、跟踪，垃圾桶外卖单带来的信息
1、外卖单上有住址，有了住址门牌号，是不是可以扫描你家无线，无线下边有什么呢？
无线破解，或者借你家一下无线密码，扫描IP，然后同上蒙设备密码，是不是可以进入摄像头，扫地机，电视等家电
金额分析，中午50，晚上80与中午25-30晚上25-30，每天都是25-30的指定没对象
2、获取了你的行为，后边全程可以跟踪记录你的生活。
3、还有一种不容易发现，比如你家无线叫，AAA，隔壁人也启动一个无线叫AAA无密码，信号增强型的，然后会发生什么呢…

四、提醒各位兄弟
切记朋友圈不要乱发，比如火车票，我去哪哪旅游啦！！！不感觉自己跟二缺似的嘛！！！（家里有人还好）
人家正愁不知道啥时候下手呢，呵，你出去玩7天呢
美食，个人照片还好分析出你爱好，进行人性分析，套近乎…，夺取信任！！！

知道防御就好了，切记不要尝试…

其他产品待整理资料

等保三级网络安全相关设备加固笔记相关推荐

三级网络技术刷题笔记
三级网络技术刷题笔记 RPR与FDDI一样使用双环结构在RPR环中,源节点向目的节点成功发出的数据帧要由目的节点从环中收回 RPR中每个节点都执行SRP公平算法 RPR环能够在50ms内实现自愈 O ...
360加固保报错：加固失败11106-添加保护失败，未知错误
背景:最近新用360加固保,不能正常加固,报错,项目中以前用旧版本都ok. 原因:360加固包强制用最新版本,新版使用方式变更解决办法: 1.用工具包,签名apk 2.再正常上传加固 3.加固成功后 ...
印象笔记mac版同步问题_想要多设备同步笔记？这6款云笔记软件了解一下
想要把你的笔记同步到多个设备上方便随时随地查阅吗?今天小编为大家分享推荐几款云笔记软件,让你可以更好的将记录的笔记实现PC,移动设备和云端之间的信息同步.你可以方便的在任何地方任何设备上查阅观看. 1 ...
linux设备树笔记__基于msm8x10的基本分析
由文章,linux设备树笔记__dts基本概念及语法,我们知道了基本概念,知道了大概的设备树节点及其属性,而节点下的属性大多是自定义,除了保留的几个属性,大多从.dts是无法知道其用途的,这个就需要看 ...
[linux驱动]linux块设备学习笔记（二）
1,gendisk结构体在linux内核中,使用gendisk结构体来表示一个实际的磁盘设备的抽象,结构体定义如下所示: [cpp] view plaincopy struct gendisk { ...
设备维保管理系统对于设备正常运行的重要性！
生产过程中,如果设备出现了故障而导致生产停止或者产品质量不合格,一定是个令人无比头疼的事情! 设备的重要性不言而喻,它既是战士手中的"枪",也是巧妇手里的"锅" ...
全国计算机三级网络工程技术复习笔记4
三级网络技术.docx 上传的文件有错误,自己都没发现,感谢网友2767078420的指导,实在抱歉!!!我太大意了.如有问题请留言. 第六章交换机及其配置基础知识交换机的基本概念局域网交换机 ...
二、三级等保建议安全设备及其主要依据（毫无保留版）
二级等保序号建议功能或模块建议方案或产品重要程度主要依据备注安全层面二级分项二级测评指标权重 1 边界防火墙非常重要网络安全访问控制(G2) a)应在网络边界部署访问控制设备 ...
网络安全等级保护制度2.0（简称“等保2.0”）学习笔记
文章目录一.等保背景二.为什么要颁布实施等保2.0? 三.等保2.0相比等保1.0有哪些不变? 四.等保2.0相比等保1.0有哪些区别? 五.网络安全等级保护2.0的要求及所需设备的清单 5.1 ...

等保三级网络安全相关设备加固笔记