三禾工作室

抓取特定DNS查询包：tcpdum vs wireshark近期，在办公网络中出现网络不稳定问题，经过分析发现是网内大量的终端安装的安全软件，每秒钟都定期进行地址探测，其中需要探测taobao.com之类的域名地址，造成大量的DNS查询，如果终端数上千之后，很快防火墙的并发连接数都超过了300万（类似UDP攻击）。为解决问题，先用抓包工具对DNS协议进行了一点研究。DNS UDP包基本分析DNS包DNS协议的详细分析，参考：https://www.jianshu.com/p/43d316f8ed

一、SSH协议原理1. SSH协议2. SSH协议两种级别的验证方法第一种级别（基于口令的安全验证）：只要你知道自己帐号和口令，就可以登录到远程主机。所有传输的数据都会被加密，但是不能保证你正在连接的服务器就是你想连接的服务器。可能会有别的服务器在冒充真正的服务器，也就是受到“中间人攻击”这种方式的攻击。第二种级别（基于密钥的安全验证）：你必须为自己创建一对密钥，并把公钥放在需要访问的服务器上。如果你要连接到SSH服务器上，客户端软件就会向服务器发出请求，请求用你的密钥进行安全验证。服务器收

自网络诞生之日，网络安全就如影相随。进入互联网时代，网络已经渗透到社会每一个角落，国家、社会、组织和个人都离不开网络，而网络安全风险无处不在，网络安全事件也层出不穷。1. 漏洞、后门、病毒和木马系统漏洞：指软件或是操作系统设计上的缺陷或在编写时产生的错误（芯片等硬件部件具有程序和逻辑，一样可能存在漏洞），这个缺陷或错误被不法者或者电脑黑客利用，通过植入木马、病毒等方式攻击或控制整个电脑，从而窃取电脑中的重要资料甚至破坏电脑。后门：指绕过安全性控制而获取对程序或系统访问的方法，后门是程序编写人员

防火墙有两种，一种是网络防火墙，主要部署在网络的出口处，另外就是主机防火墙，是运行在主机上的，主机防火墙可以阻止未授权用户通过网络访问计算机来保护您的计算机，Windows和Linux都有自带的防火墙。通过防火墙可以阻止大量的攻击。|提示|：为降低来自网络的攻击风险，按照最小化原则，应关闭不需要的系统服务、默认共享和高危端口。中标麒麟操作系统中，【控制面板】→【服务】，弹出【服务配置窗口】，可以看到大量的Linux服务，和windows service类似，很多系统服务都是本地使用的，如网络、日志、

“保密”这个词语比较通用，在不同语境有不同的含义，需要加以区分。1. 广义的“保密”，简而言之就是指对秘密的保护，使“秘密”存在时间周期内始终处于“隐秘”和不为外人所知状态。广义/通用意义上的“保密”对应的“保密性”概念，是信息安全完整性、保密性、可用性、可控性和不可抵赖性等属性之一。网络安全法保护的是网络信息安全，包括保密性（普适：个人 企业 工作 国家非密......），其中，涉及国家秘密的（专指）遵循国家保密法。2. 对于机关工作中的“保密”，实际上是“保守国家秘密”的意思，是法定意义上的“保密”

站在信息技术管理部门角度，以终端生命周期、国家法规和标准、厂商产品三个视角对政务终端安全管理进行考量。总结出以终端生命周期为全局视图，以分级保护等级保护标准为基本要求，灵活选择各种安全产品和安全措施，建立整体的终端安全管理体系，并在运行中不断完善和优化。一、政务终端的生命周期在信息安全工作中，一般采用PDR(保护、检测和响应)、PPDR(安全策略、保护、检测和响应)、PDRR(保护、检测、响应和恢复)、MPDRR(管理、保护、检测、响应和恢复)和WPDRRC等动态可适应安全模型，指导信息安全实践..

保密管理“三员”是以最小特权和权值分离为原则，将管理员分为系统管理员、安全管理员和安全审计管理员，各司其责，防止某一身份的管理员权限过大，引起安全威胁。同一设备或系统的系统管理员和安全审计员不能由同一人兼任，安全管理员和安全审计员不得由同一人兼任。 在实际涉密网络中，尤其是使用了信创终端环境下，“三员”可以用在设备或系统的不同层面：①终端层面：终端操作系统一般都有超级系统管理员，windows是administrator，Linux是root账户。基于SELinux技术，信创终端在本机划分管理三员...