3.3 防范威脅，控制風險

由網絡安全意識定義可知，網絡安全意識還應該表現為預防網絡安全威脅的能力，要了解、掌握并靈活運用已知的相關網絡安全技術應對潛在風險。

全球信息化已成為世界發展大趨勢，網絡安全的命運共同體表現也越來越突出，為進一步實現網絡強國戰略，我國需要進一步加強網絡安全技術、人才培養等網絡安全基礎建設。國家層面應對網絡安全風險，需要進一步完善頂層設計，鼓勵和創新網絡安全服務體系規劃，需要進一步建設網絡身份體系，創建可信網絡空間；需要進一步提升核心技術自主研發能力，形成自主可控的網絡安全產業生態體系；需要進一步加強網絡攻防能力，構建攻防兼備的網絡安全防御體系；需要進一步加強網絡空間國際化合作，逐步提升網絡空間國際話語權。

除了需要國家層面給予一定程度的網絡安全政策和戰略支持，對于個人而言，關鍵是面對網絡風險應當如何采取安全技術進行預防，從而規避風險。網絡安全意識，歸根結底是人員的網絡安全意識。預防或控制威脅的能力，歸根結底是人員對于網絡威脅的安全處置能力，所以，對于網絡公民而言，不僅要知道網絡安全風險，更需要具備一定的網絡安全技術處置能力。由于不同職業的民眾面對的網絡安全風險威脅不一致，對于網絡安全意識層次的要求也有高有低，普通民眾可能只需要掌握基礎的安全防護知識和技能，而長期從事IT的白領或者網絡安全工程師則需要掌握一定高度的知識和技能。為方便讀者交流、學習，本節將闡述典型的網絡安全應對技術。

3.3.1 網絡安全技術

1．身份認證技術

身份認證技術就是對通信雙方進行真實身份鑒別，是網絡信息資源的第一道安全屏障，目的就是驗證、辨識使用網絡信息的用戶的身份是否具有真實性和合法性。如果是合法用戶將給予授權，使其能訪問系統資源，如果用戶不能通過識別，則無法訪問資源。由此可知，身份認證在安全管理中是重要的、基礎的安全服務。

隨著可信計算的研究與發展，身份認證技術將不斷提高其安全性、穩定性、效率性和實用性，認證終端向小型化發展。其發展方向可以歸納為以下幾個方面。

（1）生物認證技術。生物特征指的是人體自帶的生理屬性特征和行為屬性特征。因為每個人的生物特征都具有唯一性，以此對用戶進行驗證，具有可靠、穩定等特點，是安全性較高的身份認證方法。但是，截至目前沒有任何一種生物認證的方法可以保證完全正確。因此，提高識別算法和硬件水平，以保證高正確率的生物認證技術是網絡安全技術的重中之重。

（2）非生物認證技術。非生物認證一般是采用密碼認證方式，現在傳統的身份認證技術就是使用密碼認證。密碼認證方法具有簡單、可操作性強等特點。認證者首先需要擁有用戶使用的賬號，還需要保證使用賬號在用戶數據庫里是唯一的。密碼認證方式一般分為兩種：一種是動態密碼，即用戶在使用網絡安全系統時，需要輸入的密碼是變化的，這樣，即便某一次輸入的密碼被他人獲得，也無法再次使用相同的密碼獲得認證；另一種是靜態密碼，靜態密碼一經設置，便在指定時間內不發生任何變化。靜態密碼可以長期使用，雖然不如動態密碼安全，但勝在操作簡單。

（3）多因素認證。多因素認證是指綜合利用各類認證技術，增強認證的安全性。常用的手機短信認證和Web密碼認證等就是多因素認證，這兩種方式已經得到廣泛應用，在一定程度上提高了網絡安全性，但同時存在一定的安全問題，比如說A撿到了B的手機，A通過手機短信認證甚至可以獲取更多B的權限。

2．訪問控制技術

訪問控制（Access Control），是指系統對用戶身份及其所屬的預先定義的策略組限制其使用數據資源能力的方法，通常被系統管理員用來控制用戶對服務器、目錄、文件等網絡資源的訪問。訪問控制是保證系統保密性、完整性、可用性和合法使用性的重要基礎，是網絡安全防范和資源保護的關鍵策略之一。

訪問控制的主要目的是限制主體對客體的訪問，從而保障數據資源在合法范圍內得到有效使用和管理。訪問控制需要完成兩個任務：識別和確認訪問系統的用戶、決定該用戶對某一系統資源進行何種類型的訪問。

1）訪問控制的三要素：主體、客體和控制策略

（1）主體S（Subject）：提出訪問資源具體請求，是某一操作動作的發起者，但不一定是動作的執行者，可以是某一用戶，也可以是用戶啟動的進程、服務和設備等。

（2）客體O（Object）：被訪問資源的實體。所有被操作的信息、資源、對象等都可以是客體。客體可以是信息、文件、記錄等集合體，也可以是網絡上硬件設施、無線通信的終端，甚至可以包含另外一個客體。

（3）控制策略A（Attribution）：主體對客體的相關訪問規則的集合，即屬性集合。訪問策略體現了一種授權行為，也是客體對主體某些操作行為的默認。

2）訪問控制的功能及原理

訪問控制的主要功能包括保證合法用戶訪問受保護的網絡資源，防止非法主體進入受保護的網絡資源，或防止合法用戶對受保護的網絡資源進行非授權的訪問。訪問控制首先需要對用戶身份的合法性進行驗證，并利用控制策略進行選用和管理工作；在對用戶身份和訪問權限進行驗證之后，還需要對越權操作進行監控。因此，訪問控制的內容包括認證、控制策略和安全審計。

（1）認證：包括主體對客體的識別及客體對主體的檢驗確認。

（2）控制策略：通過合理地設定控制規則集合，確保用戶對信息資源在授權范圍內的合法使用。既要確保授權用戶的合理使用，又要防止非法用戶侵權進入系統，泄露重要信息資源。同時，合法用戶也不能越權使用權限以外的功能及訪問范圍。

（3）安全審計：系統可以自動根據用戶的訪問權限，對計算機網絡環境下的有關活動或行為進行系統的、獨立的檢查驗證，并做出相應評價與審計。

3）訪問控制類型

訪問控制有自主訪問控制、強制訪問控制、基于角色的訪問控制和綜合性訪問控制策略等類型。

（1）自主訪問控制。自主訪問控制（Discretionary Access Control，DAC）是指由客體的屬主對自己的客體進行管理，由屬主決定是否將自己的客體訪問權或部分訪問權授予其他主體，這種控制方式是自主的。也就是說，在自主訪問控制下，用戶可以按自己的意愿有選擇地與其他用戶共享文件資源等。用戶有權對自身所創建的文件、數據表等對象進行訪問，并可將其訪問權授予其他用戶或收回訪問權限。允許訪問對象的屬主制定針對該對象訪問的控制策略，通常可通過訪問控制列表來限定針對客體可執行的操作。

DAC提供了適合多種系統環境的靈活方便的數據訪問方式，是一種應用廣泛的訪問控制策略。然而，它所提供的安全性可被非法用戶繞過，授權用戶在獲得訪問某資源的權限后，可能傳送給其他用戶，這是因為在自主訪問控制策略中用戶獲得訪問文件的權限后并沒有限制對該文件信息的操作，即不限制數據信息的分發。所以，DAC安全性相對較低，無法對系統資源提供嚴格保護。

（2）強制訪問控制。強制訪問控制（Mandatory Access Control，MAC）是系統強制主體服從的訪問控制策略，是由系統對用戶所創建的對象，按照規定的規則控制用戶權限及操作對象的訪問。強制訪問控制的主要特征是對所有主體及其所控制的進程、文件、設備等客體實施強制訪問控制。在MAC中，每個用戶及文件都被賦予一定的安全級別，只有系統管理員才可確定用戶和組的訪問權限，用戶不能改變自身或任何客體的安全級別。系統通過比較用戶和訪問文件的安全級別，決定用戶是否可以訪問該文件。此外，MAC不允許通過進程生成共享文件，避免通過共享文件在進程中傳遞信息。MAC可通過使用敏感標簽對所有用戶和資源強制執行安全策略，一般采用3種方法，即限制訪問控制、過程控制和系統控制。MAC常用于多級安全軍事系統，對專用或簡單系統比較有效，但對大型系統或通用型系統的效果并不好。

MAC的安全級別常定義為四大級別，分別是絕密級、機密級、秘密級和公開，所有系統中的主體（用戶、進程）和客體（文件、數據）都分配安全標簽，以標識等級。

在實際應用中，我們通常將MAC和DAC相結合，并實施一些附加的、高強度的訪問控制。一個主體只有通過自主與強制性訪問限制檢查后才可以訪問其客體。用戶可利用DAC防范其他用戶對本客體的攻擊，由于用戶不能直接改變強制訪問控制屬性，因此，強制訪問控制提供了一個不可逾越的安全保護層。

（3）基于角色的訪問控制。角色，一般是指完成一項任務必須訪問的資源及相應操作的權限集合。角色作為一個用戶和權限的代理層，表示為權限和用戶的關系，所有的授權應該給角色，而并非直接給用戶或用戶組。

基于角色的訪問控制（Role-Based Access Control，RBAC）是實施面向企業安全策略的一種有效的訪問控制方式。其基本思想是，對系統操作的各種權限不是直接授予具體的用戶，而是在用戶集合與權限集合之間建立一個角色集合。每一種角色對應一組相應的權限。一旦用戶被分配了適當的角色，該用戶就擁有此角色的所有操作權限。這樣做的好處是，不必在每次創建用戶時都進行分配權限的操作，只需分配用戶相應的角色即可，而且角色的權限變更比用戶的權限變更要少得多，這樣將簡化用戶的權限管理，減少系統的開銷。

RBAC支持3個著名的安全原則：最小權限原則、責任分離原則和數據抽象原則。最小權限原則之所以被RBAC所支持，是因為RBAC可以將其角色配置成其完成任務所需要的最小的權限集。責任分離原則可以通過調用相互獨立互斥的角色來共同完成敏感的任務而體現，比如要求一個記賬員和一名財務管理員共同參與對賬工作。數據抽象原則可以通過權限的抽象來體現，如財務操作用借款、存款等抽象權限，而不用操作系統提供的典型的讀、寫、執行權限。這些原則必須通過RBAC各部件的詳細配置才能得以體現。

RBAC有許多部件（BUCU），這使得RBAC的管理多面化。尤其是，我們要分割這些問題來討論：用戶與角色的指派、角色與權限的指派、為定義角色的繼承進行的角色與角色的指派。這些活動都要求把用戶和權限聯系起來。然而在很多情況下它們最好由不同的管理員或管理角色來做。對角色指派權限是典型的應用管理者的職責。在銀行應用中，把借款、存款操作權限指派給出納角色，把批準貸款操作權限指派給經理角色。而將具體人員指派給相應的出納角色和管理者角色是人事管理的范疇。角色與角色的指派包含用戶與角色的指派、角色與權限的指派的一些特點。一般來說，角色與角色的關系體現了更廣泛的策略。

（4）綜合性訪問控制。綜合性訪問控制集成了多種主流訪問控制技術的優點，有效解決了網絡空間安全領域的訪問控制問題，保護了數據的保密性和完整性，保證授權主體能夠訪問客體并拒絕非授權訪問。綜合性訪問控制策略具有良好的靈活性、可維護性、可管理性和更細粒度的訪問控制性，主要包括入網訪問控制、網絡的權限控制、目錄級安全控制、屬性安全控制、網絡服務器安全控制、網絡監控和鎖定控制、網絡端口和節點的安全控制等。

4）訪問控制應用

網絡訪問控制的典型應用是防火墻。目前市場主流的“統一認證系統”、用于內部網絡管理的“上網行為管理/流控”、用于網絡隔離的“網閘”、可在公用網絡上建立專用網絡的VPN等都屬于防火墻產品。除實體產品外，交換機上的VLAN、微軟的“域控”技術等軟性技術其實也是防火墻的一種。

3．入侵檢測技術

入侵檢測是指“通過對行為、安全日志、審計數據或其他網絡上可以獲得的信息進行操作，檢測到對系統的闖入或闖入的企圖”，其作用包括威懾、檢測、響應、損失情況評估、攻擊預測和起訴支持。入侵檢測技術是為保證計算機系統的安全而設計與配置的一種能夠及時發現并報告系統中未授權或異常現象的技術，是一種用于檢測計算機網絡中違反安全策略行為的技術。

進行入侵檢測的軟件與硬件的組合便是入侵檢測系統（Intrusion Detection System，IDS）。IDS可被定義為對計算機和網絡資源的惡意使用行為進行識別、監控、檢測，發現可疑數據并及時采取相應處理措施的系統。IDS通過對網絡數據流的分析，發現對網絡系統產生威脅的數據，然后進行檢測和排除，從而在計算機網絡中對網絡數據流進行深度檢測、實時分析，對網絡中的攻擊行為進行主動防御。IDS主要是對應用層的數據流進行深度分析，動態地保護來自內部和外部網絡攻擊行為的網關設備。

入侵檢測是防火墻的合理補充，幫助系統對付網絡攻擊，擴展了系統管理員的安全管理能力（包括安全審計、監視、進攻識別和響應），提高了信息安全基礎結構的完整性。它從計算機網絡系統中的若干關鍵點收集信息，并分析這些信息，查看網絡中是否存在違反安全策略的行為和遭到攻擊的跡象。入侵檢測被認為是防火墻之后的第二道安全閘門，在不影響網絡性能的情況下能對網絡進行監測（持續進行監控與檢測），從而為內部攻擊、外部攻擊和誤操作提供實時保護。

1）異常檢測

異常檢測，又稱為基于行為的檢測，其基本假設是入侵者的活動異于正常主體的活動，而且認為這種差異性是可以區分的。根據這一理論建立主體正常活動的檔案，將當前主體的活動狀況與活動檔案相比對，一旦違反其統計規律，該活動會被認為是入侵行為。但是，并不能奢望入侵者的攻擊行為同正常主體使用資源之間存在明顯清晰的界限，甚至在某些方面存在重合。異常檢測的難點在于如何構建正常主體的活動檔案，設計統計算法，避免將正常操作判定為入侵行為，或忽略了真實的入侵行為。

2）特征檢測

特征檢測，又稱為基于知識的檢測和違規檢測。這一檢測的基本假設是具有能夠精確地按某種方式編碼的攻擊，可以通過捕獲攻擊及重新整理，確認入侵活動是基于同一弱點進行攻擊的入侵方法的變種。入侵者活動通過入侵模式來表示，入侵模式說明了那些導致安全風險或其他違規事件中的特征、條件、排列和事件間的關系。入侵檢測系統的目標就是檢測主體活動是否符合這些模式，一個不完整的模式可能表明存在入侵的企圖，它可以將已有的入侵方法檢查出來，但對新的入侵方法無能為力。特征檢測有多種模式構造方法，難點在于如何設計模式，使之既能夠表達入侵現象又不包含正常的活動。

3）文件完整性檢查

文件完整性檢查，系統地檢查計算機中自上次檢查后文件是否存在變化情況。這一檢查系統保存每個文件的數字文摘數據庫，每次檢查時，它重新計算文件的數字文摘并將它與數據庫中的值進行比對，如果數值不同，則表明文件已被修改，如果數值相同，則表明文件未發生變化。文件的數字文摘通過Hash函數計算，它的Hash函數計算結果是一個固定長度的數字。與加密算法不同，Hash算法是一個不可逆的單向函數。采用安全性高的Hash算法，如使用MD5加密和SHA加密時，兩個不同的文件幾乎不可能得到相同的Hash結果。因此，文件一旦被修改，就能夠被檢測出來。

入侵檢測系統和防火墻是兩種完全獨立的安全網關設備。防火墻更多的是進行細粒度的訪問控制，同時提供網絡地址轉換、應用服務代理和身份準入控制等功能。入侵檢測系統重點關注網絡攻擊行為，尤其是對應用層協議進行分析，并主動阻斷攻擊行為。防火墻是實施訪問控制策略的系統，對流經的網絡流量進行檢查，攔截不符合安全策略的數據包，而入侵防護系統則傾向于提供主動防護，預先對入侵活動和攻擊性網絡流量進行攔截，避免其造成損失，而不是簡單地在惡意流量傳送時或傳送后才發出警報。

入侵檢測系統以旁路方式部署，被動監聽網絡上所有實時傳輸數據。雖然很多IDS設備可以和防火墻進行策略聯動，在IDS發現攻擊行為后，通知防火墻生成阻斷規則或者以TCP Reset方式對攻擊行為進行防護，但這些方式都存在滯后性。在更多的情況下，IDS通常為用戶提供全面的信息展現，為改善用戶網絡的風險控制環境提供決策依據，同時對網絡中所發生的攻擊事件進行事后審計。在實際部署中，企業可以根據網絡環境，充分發揮防火墻和入侵防護系統各自的技術優勢，進行混合部署。

4．監控審計技術

監控審計技術通過監視網絡活動、審計系統的配置和安全漏洞、分析網絡用戶和系統的行為，并定期進行統計和分析，進而評估網絡的安全性和敏感數據的完整性，發現潛在的安全威脅，識別攻擊行為，并對異常行為進行統計，對違反安全法規的行為進行報警，使系統管理員可以有效地管理和評估系統。系統通過對網絡數據的采樣和分析，實現了對網絡用戶的行為監測，并通過對主機日志和代理服務器日志等審計，對危害系統安全的行為進行記錄并報警，以此提高網絡安全防護水平。

通俗地講，網絡安全審計就是在一個特定的網絡環境下（如企業網絡），為了保障網絡和數據不受來自外網和內網用戶的入侵和破壞，運用技術手段實時收集、監控網絡環境中每一個組成部分的系統狀態、安全事件，以便集中分析處理。

目前常用的安全審計技術有以下幾類：

（1）日志審計：目的是收集日志，通過SNMP、SYSLOG、OPSEC或者其他日志接口從各種網絡設備、服務器、用戶計算機、數據庫、應用系統和網絡安全設備中收集日志進行統一管理、分析和報警。

（2）主機審計：通過在服務器、用戶計算機或其他審計對象中安裝客戶端的方式來進行審計，審計安全漏洞、審計合法和非法行為（包括入侵檢測、監控上網行為和內容、拷貝文件）、監控用戶非工作行為等。事實上，主機審計在某種程度上已經包括了日志審計、主機漏洞掃描、主機防火墻和主機IDS/IPS的安全審計功能、主機上網和上機行為監控等功能。

（3）網絡審計：通過旁路和串接的方式實現對網絡數據包的捕獲，進行協議分析和還原，可達到審計服務器、用戶計算機、數據庫、應用系統，審計安全漏洞、審計非法的入侵操作、監控上網行為和內容、監控用戶非工作行為等目的。根據該定義，網絡審計包括網絡漏洞掃描、防火墻和IDS/IPS中的安全審計功能、互聯網行為監控等功能。

5．蜜罐技術

蜜罐技術是一種保障網絡安全的重要手段。蜜罐包括兩層含義：首先，要引誘攻擊者，使其能夠較為容易地找到網絡漏洞，一個不易被攻擊的蜜罐是沒有意義的。其次，蜜罐不修補攻擊所造成的損傷，從而最大可能地獲得攻擊者的信息。蜜罐在整個系統中扮演情報采集員的角色，故意引誘攻擊，當入侵者得逞后，蜜罐會對攻擊者進行詳細分析。

蜜罐的概念于20世紀90年代初被提出，主要優勢在于它能通過誘騙的手段追蹤到攻擊者。早期的蜜罐采用的都是實際的主機和系統。從1998年開始，隨著蜜罐技術的發展，出現了一系列蜜罐產品，這些初期的蜜罐產品可以模擬網絡服務和操作系統，跟蹤黑客攻擊，但虛擬蜜罐工具存在著交互程度低，很容易被黑客識別的缺點。所以，從2000年開始，研究人員傾向使用真實的計算機和操作系統而應用蜜罐技術。但與以前不同的是，在分析攻擊者數據來源上加強了整體改革，使被攻擊者可以更方便地追蹤到入侵的黑客。

蜜罐按照應用平臺可分為實系統蜜罐和偽系統蜜罐。

1）實系統蜜罐

實系統蜜罐技術利用一個真實的主機或操作系統來誘騙攻擊者，本質上是用計算機固有的系統漏洞做誘餌，讓攻擊者入侵。一般主機系統不會安裝任何補丁，有時甚至會故意在系統中添加漏洞，目的就是讓攻擊者較容易發現漏洞。相反地，作為黑客而言，對于漏洞過多的計算機系統或者明顯不應該存在的漏洞應當心存戒備。當然，這種技術可以準確地分析出攻擊者的身份，但因主機采用的是真實的操作系統，所以對系統的威脅性相對也會比較大。

2）偽系統蜜罐

偽系統蜜罐技術并不是使用假的系統，而是將蜜罐建立在一個真實的系統之上，但其最大的特點是“平臺與漏洞的非對稱性”。當我們在Windows平臺下利用偽系統蜜罐技術來分析攻擊者時，可以在Windows系統中添加一些其他系統（如Linux、UNIX等）的漏洞，這樣當攻擊者入侵系統時，驅使其攻擊我們所添加的其他系統的漏洞，從而既保證了系統的安全，也獲取了攻擊者的身份。

蜜罐按照部署目的可分為產品型蜜罐和研究型蜜罐。產品型蜜罐的目的是為一個組織的網絡提供安全保護，包括檢測攻擊、防止攻擊造成破壞，同時幫助管理員對攻擊做出及時、正確的響應等。研究型蜜罐專門用于對黑客攻擊的捕獲和分析。部署研究型蜜罐可以對黑客攻擊進行追蹤和分析，還可以捕獲黑客的攻擊記錄，了解黑客所使用的攻擊工具及攻擊方法。與產品型蜜罐不同的是，研究型蜜罐需要研究人員投入大量的時間和精力進行攻擊監視和分析工作。

蜜罐按照交互度的等級可分為低交互蜜罐和高交互蜜罐。交互度反映了黑客在蜜罐上進行攻擊活動的自由度。低交互蜜罐一般只模擬操作系統和網絡服務，部署容易且風險較小，但黑客在低交互蜜罐中能夠進行的攻擊活動有限，因此，通過低交互蜜罐能夠搜集的信息有限。另外，低交互蜜罐屬于虛擬蜜罐，存在一些容易被黑客識別的指紋信息。產品型蜜罐一般屬于低交互蜜罐。高交互蜜罐則完全提供真實的操作系統和網絡服務，不采用任何無用的模擬。在高交互蜜罐中，我們能夠獲得許多黑客攻擊的信息。高交互蜜罐在提升黑客活動自由度的同時，也增加了部署和維護的復雜度及風險。研究型蜜罐一般都屬于高交互蜜罐，也有部分產品蜜罐（如Man Trap）屬于高交互蜜罐。

3.3.2 網絡安全管理常用技術

隨著信息技術的不斷發展和信息化建設的逐步推進，信息系統已經全面滲透于企業運營中，業務應用、辦公系統、商務平臺等也被不斷推出和投入運行。電信、財政、稅務、公安、金融、電力、石油等行業的大中型企業和門戶網站都投入了大量設備來運營關鍵業務，提供電子商務、數據庫、運維管理、ERP和協同工作群件等服務，這是一個必然的發展趨勢。網絡安全意識除了需要具備前述的技術手段預防和保障網絡安全外，還應該了解或掌握一定的網絡管理技術，做好網絡的日常管理，及時發現網絡問題，防微杜漸。

從傳統意義來講，網絡管理是指網絡管理員通過網絡管理程序對網絡上的資源進行集中化管理的操作，包括配置管理、性能和記賬管理、問題管理、操作管理和變化管理等。但對于網絡用戶而言，網絡管理主要是指對自己日常網絡服務的監管。網絡安全管理是網絡安全工作中的重要概念，網絡安全管理控制措施與網絡安全技術控制措施共同構成了網絡安全防護措施的全部。因此，我國將“管理與技術并重”作為網絡安全保障的一項基本原則。

為方便讀者學習，本節所述的網絡管理包括對硬件、軟件和人力的使用、綜合與協調，以便對網絡資源進行監視、測試、配置、分析、評價和控制，這些技術主要應用于各大中型企業、機構、政府等，讀者可根據實際情況加以學習。網絡管理的首要任務是，當網絡出現故障時能夠及時報告和處理，協調、保持網絡系統的高效運行。常用的網絡管理技術主要有以下幾類。

1．日常運維巡檢

日常運維巡檢是指以“專業工具+手工檢測”的方式，對IT設施的健康狀態進行檢測，涉及設備自身硬件資源的使用情況、業務應用服務所占用的網絡資源情況、端口服務開放情況的變更等內容，并實施必要的安全維護操作。巡檢的內容主要包括：設備CPU、內存狀態、開放服務檢測，日志審計，網站監控，系統故障檢查、分析、排除和跟蹤等，定期更新安全設備登錄用戶名及密碼，定期備份和維護安全設備配置，做好版本管理，形成工作日志、維護記錄單。

2．漏洞掃描

漏洞掃描是指在日常運維、管理過程中，要定期進行安全漏洞掃描，服務的內容主要包括應用漏洞、系統漏洞、木馬后門、敏感信息等。針對發現的安全漏洞應及時整改，消除安全隱患，規避安全風險。

3．應用代碼審核

應用代碼審核是指分析挖掘業務系統源代碼中存在的安全缺陷及規范性缺陷，使開發人員了解其開發的應用系統可能會面臨的威脅，如API濫用、配置文件缺陷、路徑操作錯誤、密碼明文存儲、不安全的Ajax調用等。

4．系統安全加固

系統安全加固是指根據設備運行狀態的評估結果、配置策略檢查、日志行為的分析來制定安全策略配置措施，動態調整設備安全策略，使設備時刻保持合理的安全配置。

5．等級安全測評

等級安全測評主要檢測和評估信息系統在安全技術、安全管理等方面是否符合已確定的安全等級的要求。對尚不符合要求的信息系統，分析和評估其潛在威脅、薄弱環節，檢查現有安全防護措施，綜合考慮信息系統的重要性和面臨的安全威脅等因素，提出相應的整改建議，并在系統整改后進行復測確認，確保整改措施符合相應安全等級的基本要求。

6．安全監督檢查

安全監督檢查是指網絡安全主管部門、主管單位等，相關機構定期開展的對各級單位的網絡安全監督檢查，檢查內容如下。

（1）網絡安全管理情況：重點檢查網絡安全主管領導、管理機構和工作人員履職情況，網絡安全責任制落實及事故責任追究情況，人員、資產、采購、外包服務等日常安全管理情況，網絡安全經費保障情況。

（2）技術防護情況：主要包括技術防護體系建立情況；網絡邊界防護措施，不同網絡或信息系統之間的安全隔離措施，互聯網接入安全防護措施，無線局域網安全防護策略等；服務器、網絡設備、安全設備等安全策略配置及有效性，應用系統安全功能配置及有效性；終端計算機、移動存儲介質安全防護措施；重要數據傳輸、存儲的安全防護措施等。另外，還包括各單位互聯網安全介入情況。

（3）應急工作情況：檢查網絡安全事件應急預案制、修訂情況，應急預案演練情況；應急技術支撐隊伍、災難備份與恢復措施建設情況，重大網絡安全事件處置及查處情況等。

（4）安全教育培訓情況：重點檢查網絡安全和保密形勢宣傳教育、領導干部和各級人員網絡安全技能培訓、網絡安全管理和技術人員專業培訓情況等。

（5）安全問題整改情況：重點檢查以往網絡安全檢查中發現問題的整改情況，包括整改措施、整改效果及復查情況、類似問題的排查情況等，分析安全威脅和安全風險，進一步評估總體安全狀況。

7．應急響應處置

應急響應處置是指針對網絡、重要信息系統出現的突發問題，及時遏制突發事件的影響范圍，降低問題的嚴重程度，并在可控的范圍內采取措施根除出現的突發問題，恢復網絡和重要信息系統的運行。處置完畢，應對出現的突發問題進行總結。

8．安全配置管理

安全配置管理是指應對所有設備的安全配置進行管理，持續收集資產和資源信息記錄，以及各種設備的運行狀態，通過分析對可能出現的問題進行預警。主要包括以下內容。

（1）資產管理：日常運維中需對硬件資源等資產進行管理。

（2）資源管理：對信息資源進行管理，如服務器的啟動、停止、重啟等，虛擬機的創建、刪除、編輯，虛擬機的啟動、停止、重啟等操作。

（3）服務目錄管理：將計算、網絡、存儲、應用軟件、系統模板等能力抽象為能夠提供的服務，并通過服務目錄管理模塊對這些服務進行管理。

（4）服務請求，服務變更，工作流管理：包括對資源的申請、變更等工作流，還包括運維和管理過程中的工作流，對審核過程進行支持。

（5）監控管理：對硬件資源、虛擬機、存儲、網絡安全等設備的運行狀態進行監控和報警。