1、端口扫描器：Nmap

Nmap是"Network Mapper"的缩写，众所周知，它是一款非常受欢迎的免费开源黑客工具。Nmap被用于发现网络和安全审计。据数据统计，全世界成千上万的系统管理员使用nmap发现网络、检查开放端口、管理服务升级计划，以及监视主机或服务的正常运行时间。

Nmap是一种使用原始IP数据包的工具，以非常创新的方式决定网络上有哪些主机，主机上的哪些服务（应用名称和版本）提供什么数据、什么操作系统、什么类型、什么版本的包过滤/防火墙正在被目标使用。使用nmap有什么好处，其中一个就是管理员用户能够确定网络是否需要打包。所有的黑客电影中都出现了nmap的身影，尤其是最近的Mr.Robot系列中。

2、网络漏洞扫描器：Acunetix

Acunetix是一款非常受欢迎并且非常使用的自动漏洞扫描器，Acunetix通过抓取和扫描网站和Web应用的SQL注入、XSS、XXE、SSRF和主机头攻击和其他500多个web漏洞。更新！Acunetic爱好者发布了一个100%免费的视频课程，所以你可以有效的学习如何使用这个非常棒的网络漏洞扫描器啦！更多关于Acunetix信息的链接以及注册Acunetix。

3、漏洞监测工具：Metasploit

Metasploit项目是一个非常受欢迎且受众很广的渗透测试以及攻击框架。如果你刚刚接触Metasploit，你会认为它是一个可用于执行各种任务的"黑客工具总汇"。Metasploit被专业的网络安全研究人员以及大量黑客使用，并且它被认为是研究安全的必学内容。

Metasploit本质上是一个为用户提供已知安全漏洞主要信息的计算机安全项目（框架），并且Metasploit帮助指定渗透测试和IDS监测计划、战略以及利用计划。Metasploit的优点太多，小编就不一一列举啦，希望下面的视频可以帮助你学习Metasploit。如果你是一个初学者，这里还有更多的初学者教程供你使用。

4、取证：Maltego

Maltego跟其他取证工具不同，因为它在数字取证范围内工作。Maltego被设计用来把一个全面的网络威胁图片传给企业或者其他进行取证的组织的局部环境，它是一个平台。

Maltego非常棒的一点，同时也是它非常受欢迎（因为它在Kali里排名前十）的原因是它的独特视角因为它同时提供了基于实体的网络和源，聚合了整个网络的信息-无论是网络的脆弱路由的当前配置，还是当前你的员工的国际访问，Maltego都可以定位，汇总并可视化这些数据！小编建议有兴趣的同学同时也学习OSINT网络安全数据。

5、网络漏洞扫描器：OWASPZed

Zed的代理攻击(ZAP)是现在最流行的OWASP项目之一。你看到这页说明你有可能是一个经验丰富的网络安全研究人员哦，所以你可能非常熟悉OWASP。当然，OWASP在威胁列表中排名前十，它被作为学习web应用安全的指导手册。这个攻击渗透工具非常有效并且用起来非常简单。

ZAP受欢迎是因为它有很多扩展支持，OWASP社区真的是一个非常棒的资源地来进行网络安全研究。ZAP提供自动扫描以及很多允许你进行专业发现网络安全漏洞的工具。好好理解这个工具并成为使用这个工具的大师非常有利于让渗透测试员的事业。如果你是一个开发者，那么这个工具会让你成为非常棒的黑客。

6、手动分析包工具：Wireshark

如果说nmap排名黑客工具的第一名，那Wireshark肯定是第二受欢迎的工具。Wireshark已经存在了很长一段时间，并且他被成千上万的安全研究者用于排查、分析网络问题和网络入侵。Wireshark是个抓包工具，或者更确切的说，它是一个有效的分析数据包的开源平台。

值得一提的是，Wireshark跨平台，我们本来以为它智能在GNU/Linux中运行，但是我们是错的，无论是Windows还是Linux甚至OSX都有Wireshark，还有一个类似于Wireshark的终端版本叫做TShark。这里有非常多的关于Wireshark的信息可以帮助你成为Wireshark专家。

7、网络漏洞扫描器：Burp Suite

Burp Suite在某种程度上很像Maltego，因为它也有一堆帮助渗透测试者和黑客的工具。Burp Suite中有两个常用应用，一个叫"Burp Suite Spider"，它可以通过监测cookie、初始化这些web应用的连接列举并绘制出一个网站的各个页面以及它的参数；另一个叫"Intruder"，它可以自动执行web应用攻击。同样，如果你是网络安全研究员或者正在进行渗透测试，Burp Suite也是一个必学工具。

8、密码破解：THC Hydra

THC Hydra是一个非常流行的密码破解，它被一只非常活跃且经验丰富的开发团队开发。基本上THC Hydra是一个快速稳定的网络登录攻击工具，它使用字典攻击和暴力攻击，尝试大量的密码和登录组合来登录页面。攻击工具支持一系列协议，包括邮件（POP3，IMAP等），数据库，LDAP，SMB，VNC和SSH。

9、密码破解：Aircrack-ng

进行Wifi破解的Aircrack组件是攻击工具中的传奇，因为它非常有效！对于不太了解无效攻击的新手来说，Aircrack-ng是一个802.11 WEP和WPA-PSK密钥破解攻击工具并且可以在捕捉到足够数据包时恢复密钥。对于正在钻研无线网络的渗透和审计的朋友们来说，aircrack-ng将成为你最好的伙伴。Aircrack-ng利用标准FMS攻击对KoreK攻击进行了优化，并且让PTW攻击变得更有效。

如果你是一个普通黑客，你可以在几分钟内破解WEP，你应该非常精通破解WPA/WPA2。如果你对无线网络攻击很感兴趣，我们强烈建议你看看Reaver，它也是一款非常受欢迎的黑客工具。

10、密码破解：John The Ripper

John The Ripper（开膛手约翰）获得了最酷名字奖！大家一般把它成为"John"，它也是一款非常流行的密码破解渗透测试工具，经常被用于执行字典攻击。John the Ripper把文本字符串作为样本（来自文本文件的样本，被称为单词列表，包含在字典中找到的流行的、复杂的词汇或者之前破解时被用到的词汇），使用和加密方式相同的破解方式（包括加密算法和密钥）进行破解，然后对比加密字符串的输出得到破解密钥。这个工具也可以用来执行变种的字典攻击。

计算机数据取证

自计算机应用至今，计算机内存储数据就面临各类人为破坏、外部网络因素以及其他病毒、黑客的威胁，对于丢失后的数据恢复，目前国内相关技术可以解决，但要根据数据丢失的原因以及具体破坏程度而定。

如果只是用户不小心删除或格式化了数据，这类简单的故障，可以借助网上免费的数据恢复软件，如Easy Recovery、Final data等软件，但如果是遭遇比较严重的破坏或故障问题，譬如电机损坏、磁头不稳定以及盘片有划伤等问题，就必须考虑采用专用的数据恢复设备来进行恢复处理了。

当然如果涉及到司法领域的取证问题，无论是简单的恢复还是疑难故障恢复最好通过专用取证设备来提取数据，否则稍有不慎，便可能造成所有数据彻底丢失，给司法取证工作的进一步开展带来困扰。目前，国外的计算机数据取证产品以及专业的计算机数据取证实验室已经非常多了，应用也十分普遍，几乎每个警察机构都配有专用的计算机数据取证实验室，用于提取电子数据。

在国内，虽然没有那么发达，但也已经有恢复取证技术研发厂商推出了司法领域专用的计算机数据取证设备，如效率源科技推出的“3+1司法取证方案”、SDII9000F电子鹰眼司法取证设备等，在我国的司法领域同样得到了良好的应用，据我所知，目前计算机数据取证设备还没有对外销售，只是针对司法机构提供，价格从几万到几十万不等。

公安网警主要破案的技术手段是什么

网络警察就是主要以网络技术为主要手段，包括打击犯罪和管理防范等多位一体的综合性实战警种。除了侦破案件外，监控公共信息、参与互联网有害信息专项清理整治工作，协调有关部门、网站删除有害信息、加强公安科技建设等都是网络警察的重大职责。

记者接触过的网络警察，大都显得文质彬彬，不像刑警队和派出所里的民警们那样走路都带着风。由于网络犯罪的特殊性，网络警察既要拥有相关的计算机专业知识，又要具备一定的网络案件办理经验。他们看似平和，甚至带有知识分子的气质，但实际上他们每个人都拥有一个装满尖端科技的大脑，对计算机、网络了如指掌。

网警们每天最主要的工作就是进行网上搜寻，防范犯罪幽灵；对网吧进行管理，检索出网上的淫秽、反动等有害信息，根据线索对网络犯罪协查破案。对网吧进行管理，是网络警察的重要工作之一。

除了定期与其他部门对网吧进行突击检查外，每天，网警们都要通过与网吧前端过滤系统相连的方式，对网吧进行监控。在上网检索信息的过程中，如果发现有害信息要及时通知有关部门，这样可以有效遏制治安案件的发生。

扩展资料

走进网络警察的世界 看环翠网警如何破案

由于犯罪的特殊性，网络警察既要拥有计算机相关专业学历，又要具备一定的案件办理经验。他们或许没有过人的擒拿本领，从外表上看更像是科研机构的知识分子，但他们却拥有一个装满尖端科技的头脑，对计算机、网络及通讯工具了如指掌。

威海市公安局环翠分局网安大队接淄博桓台县公安局通报：该局在办理一起非法经营“伪基站”的案件过程中，发现一台“伪基站”设备通过物流销至威海。

接到该线索后，网安大队民警立即展开侦查，并在市局网安支队、竹岛派出所的大力支持下，于5月15日16时许将犯罪嫌疑人韩某（某广告公司负责人）、王某抓获，并当场查获“伪基站”1台及做案用笔记本电脑1部。

经查，韩某以营利为目的，为招揽业务，替公司客户发布商业广告，于今年4月份通过互联网联系到销售“伪基站”的厂家，以8000元的价格购买了一台“伪基站”设备，并多次在其办公室使用该设备群发信息，2014年5月14日，韩某又指使王某驾车携带设备到荣成等地群发信息。

5月15日网安民警连夜对扣押的伪基站设备进行电子取证，经核查，该二人共群发信息数量达20余万条，严重干扰了通信用户正常运行，危害公共安全，涉嫌破坏公用电信设施罪。目前，该两名嫌疑人已被刑事拘留，受到法律严惩。

参考资料：大众网-走进网络警察的世界 看环翠网警如何破案

参考资料：中国网-中国的网络警察什么样？

电子证据的固定和保全方法有哪些?

　　帮你找到一篇文章：http://wenku.baidu.com/view/69237c39376baf1ffc4fadf4.html

　　常见电子证据的收集方法

　　来源：http://hi.baidu.com/zhangkai769805/blog/item/37a06作者： 李丽 樊文龙

　　随着计算机技术和网络技术的普及，信息化时代使社会生活的各个方面发生巨大变化，小到信用卡、智能卡的使用，通过电子信箱的通讯，通过因特网的小宗交易；大到电子数据交换（EDI）、政府机构的文件管理，以及扑面而来的以因特网为基础的现代电子商务，使得难以数计的传统术语被进行了全新的阐释。在诉讼领域，自从计算机步入社会生活之时起，以计算机为基础的证据形式就已经存在。计算机在政府部门、公司、其他组织和个人制作文件、保存档案、交易、通讯中被广泛、频繁地使用，使这种以计算机为基础的证据形式在信息化时代将成为发现真实的重要途径。结合日常生活中的电子证据，有关电子证据的收集有以下方法：

　　一、收集电子证据专用工具

　　1、收集电子证据专用工具

　　电子证据是由技术发展引发的，在取证过程中，必须借助一些专用工具。

　　数据提取和分析工具是网络取证专家工具包中最基本的工具。其中既包括操作系统中已经存在的一些命令行工具，也包括专门的工具软件和工具包。

　　网络取证用到的专用工具还有扫描工具等。

　　2、其他工具

　　主要有：适用于不同驱动器的空磁盘、可移动式刻录机、扫描仪、笔记本电脑、调制解调器等等。

　　二、由于电子证据表现形式的多样性，因此在收集时应区别对待： 1、手机短信形式电子证据的收集。近年来，手机短信成为人们的重要联络方式，由于其具有便捷性和隐蔽性，也被犯罪分子作为重要的犯罪手段和犯罪工具使用，如利用短信指挥犯罪活动或者直接进行诈骗活动。在这类案件中，若能收集该类证据，对证实案件往往起到一锤定音的作用，因为每个手机用户的手机号码和入网证号都是唯一的，短信发出后，接收者手机又能显示对方的手机号码。这样就可以确定发送者是谁，起到证实案件事实的作用。在收集该类证据时，可以采取以下方法：一是在接收信息者未将短信删除的情况下，直接将此信息予以储存，并将手机封存，作为最终审判的证据材料。二是在与案件有关的短信被删除的情况下，可以通过手机短信运行商来调取短信内容。在收集时，可以通过运行商的储存信息将对应的手机短信的发送时间、双方手机号及内容打印出来，并由在场的工作人员签字盖章证实出处，以供侦查和审判使用。

　　2、电子邮件形式电子证据的收集。电子邮件是基于因特网而产生的一种新型通信方式，其与传统的通信方式的区别在于，它把人们所要表达的意思转化为数字信号，并通过网络传输呈现在对方的电脑屏幕上。电子邮件在民事诉讼中已经得到确认，如我国《合同法》规定合同的书面形式包括电子数据邮件形式。在刑事诉讼领域中，司法机关的解释中也有所体现，但对如何收集并未规定。收集时应首先了解电子邮件的特征，电子邮件区别于其他形式电子证据的特点是每个电子邮件使用者必有一个电子信箱，而每个电子信箱其用户名、账户名以及密码是唯一的，纯电子邮件的信头都带有收发件人、网址及收发时间。任何人掌握了某一注册用户的用户名、账户名、密码，就可以收发或删除邮件。当然，对于一般人来说，直接在收件箱中修改文件并不是容易的事，因为收件箱中的文件为只读文件，拒绝修改。即使将其另存，也只改变其位置，并不能改变其属性。

　　针对电子邮件的上述特点，在收集时必须有一个前提，即保证所收集的电子邮件是在安全环境下的邮件，也就是说该邮件所存在的计算机硬件运行系统是安全的，电子邮件没有遭到病毒或黑客侵袭，否则收集到的证据材料是缺乏意义的。要满足这种条件，收集的人员必须具备一定的计算机和网络技术，同时还要有一定的设备。在民事诉讼中，最高人民法院在《关于民事诉讼证据的若干规定》中规定了专家出庭作证的做法，这种做法在国外称为技术顾问制度。在收集电子证据中聘请专门技术人员，在出庭时由其对收集情况进行说明。专业人员收集时，可以通过打印或拷贝的方法将其固定起来，在法庭上可以通过多媒体示证的方式将电子邮件的内容及用户名等直接显示出来。

　　3、网络聊天形式电子证据材料的收集。网络聊天是随网络技术的发展出现的一种及时双向沟通的通信方式，主要有两种：聊天室聊天和QQ聊天。聊天室聊天是通过网站上开设的聊天室进行“一人对多人”的公聊，而QQ聊天是指“一对一”的私聊，相对于电子邮件来讲，存在的环境更加开放，收集起来更难。因此，在收集网络聊天证据时要收集三类证据：一是聊天内容证据，包括聊天对话的内容，也包括聊天者简单的个人信息，当然这些信息一般是虚假的，须借助收集到的上网IP地址及上网使用的网络进行佐证；第二类是系统环境证据，即我们借助的计算机硬件和软件数据是否正常，用以辅助证明网络聊天证据的可靠性；第三类是附属信息证据，如IP地址、所借助的服务器、上网账号、信息传递的路径等，从而将聊天者与某个特定的行为人联系起来。对于聊天内容，可以通过网络服务商以拷贝、打印的方式收集，在网络服务商未保存的情况下，可以从聊天者双方电脑记录中收集，并将其以拷贝或打印的方式固定下来。对于被篡改的聊天记录，可以聘请专门技术人员对其进行恢复，因为当前的技术足以证实每一次硬盘的擦写记录都可以进行恢复，计算机对文件的修改也不是完全意义的删除或覆盖。对此收集的证据，我们可以由相关专家出具鉴定结论的方式予以固定，在运用时可以作为再生证据加以运用。

　　本文作者：朔州市公安局科技处

　　李丽 樊文龙

学习网络安全具体可以做什么？哪里学这个比较好？

一般大学里这个科目叫信息安全，就业方面，主要要看你个人对网络以及各个系统的了解程度，你想要朝网络安全方面发展的话，建议多去查看关于安全方面的学习资料，最主要的是实践，我举个例子，假如现在无法上网，你需要怎么样的思路去思考这个问题呢，是被病毒感染，是DDOS攻击，还是一般的网络故障呢，所以说要学好安全就把各个系统都学好，不要求精通，至少出现问题的时候，可以自己解决，常见的系统有Windows 系列 、linux 、mac os 、solaris要做网络安全，路由器、防火墙、交换机的学习是必不可少的，因为路由也可以帮你实现安全访问，例如ACL访问控制列表，防火墙可以过滤端口，还可以防止一些DDOS攻击，等。。。多看一些关于黑客攻防方面的知识，因为你了解怎么攻击，就知道怎么防，对症下药。。。呵呵看个人的精力，如果能花时间去学精一到两门编程语言最好，例如C语言或者JAVA这两种语言的优点在于跨平台性好，在windows 下面可以运行的程序也可以移植到linux 或者solaris上去，

1、计算机应用、计算机网络、通信、信息安全等相关专业本科学历，三年以上网络安全领域工作经验；

2、精通网络安全技术：包括端口、服务漏洞扫描、程序漏洞分析检测、权限管理、入侵和攻击分析追踪、网站渗透、病毒木马防范等。

3、熟悉tcp/ip协议，熟悉sql注入原理和手工检测、熟悉内存缓冲区溢出原理和防范措施、熟悉信息存储和传输安全、熟悉数据包结构、熟悉ddos攻击类型和原理有一定的ddos攻防经验，熟悉iis安全设置、熟悉ipsec、组策略等系统安全设置；

4、熟悉windows或linux系统，精通php/shell/perl/python/c/c++ 等至少一种语言；

5、了解主流网络安全产品{如fw（firewall）、ids（入侵检测系统）、scanner（扫描仪）、audit等}的配置及使用；

6、善于表达沟通，诚实守信，责任心强，讲求效率，具有良好的团队协作精神；

网络安全工程师：随着互联网发展和IT技术的普及，网络和IT已经日渐深入到日常生活和工作当中，社会信息化和信息网络化，突破了应用信息在时间和空间上的障碍，使信息的价值不断提高。但是与此同时，网页篡改、计算机病毒、系统非法入侵、数据泄密、网站欺骗、服务瘫痪、漏洞非法利用等信息安全事件时有发生。

工作内容：

1、分析网络现状。对网络系统进行安全评估和安全加固，设计安全的网络解决方案；

2、在出现网络攻击或安全事件时，提高服务，帮助用户恢复系统及调查取证；

3、针对客户网络架构，建议合理 的网络安全解决方案；

4、负责协调解决方案的客户化实施、部署与开发，推定解决方案上线；

5、负责协调公司网络安全项目的售前和售后支持。

常用的计算机取证设备有哪些？计算机取证的步骤又是怎样的？

常用的计算机取证设备有ENCASE X-WAYS FTK 效率源DataCompass等工具。

第一、在取证检查中，保护目标计算机系统，避免发生任何的改变、伤害、数据破坏或病毒感染

第二、搜索目标系统中的所有文件。包括现存的正常文件，已经被删除但仍存在于磁盘上（即还没有被新文件覆盖）的文件，隐藏文件，受到密码保护的文件和加密文件；

第三、全部（或尽可能）恢复发现的已删除文件； 　

第四、最大程度地显示操作系统或应用程序使用的隐藏文件、临时文件和交换文件的内容；

第五、如果可能并且如果法律允许，访问被保护或加密文件的内容；

第六、分析在磁盘的特殊区域中发现的所有相关数据。特殊区域至少包括下面两类：①所谓的未分配磁盘空间——虽然目前没有被使用，但可能包含有先前的数据残留；② 文件中的“slack”空间——如果文件的长度不是簇长度的整数倍，那么分配给文件的最后一簇中，会有未被当前文件使用的剩余空间，其中可能包含了先前文件遗留下来的信息，可能是有用的证据；

第七、打印对目标计算机系统的全面分析结果，然后给出分析结论：系统的整体情况，发现的文件结构、数据、和作者的信息，对信息的任何隐藏、删除、保护、加密企图，以及在调查中发现的其它的相关信息； 　　

第八、给出必需的专家证明。 　

上面提到的计算机取证原则及步骤都是基于一种静态的视点，即事件发生后对目标系统的静态分析。随着计算机犯罪技术手段的提高，这种静态的视点已经无法满足要求，发展趋势是将计算机取证结合到入侵检测等网络安全工具和网络体系结构中，进行动态取证。整个取证过程将更加系统并具有智能性，也将更加灵活多样。

参考资料：http://baike.baidu.com/view/908865.htm

计算机网络安全体系结构包括什么、什么、什么、应用程序的安全性和什么。

一、 需求与安全

信息——信息是资源，信息是财富。信息化的程度已经成为衡量一个国家，一个单位综合技术水平，综合能力的主要标志。从全球范围来看，发展信息技术和发展信息产业也是当今竞争的一个制高点。

计算机信息技术的焦点集中在网络技术，开放系统，小型化，多媒体这四大技术上。

安全——internet的发展将会对社会、经济、文化和科技带来巨大推动和冲击。但同时，internet在全世界迅速发展也引起了一系列问题。由于internet强调它的开放性和共享性，其采用的tcp/ip、snmp等技术的安全性很弱，本身并不为用户提供高度的安全保护，internet自身是一个开放系统，因此是一个不设防的网络空间。随着internet网上用户的日益增加，网上的犯罪行为也越来越引起人们的重视。

对信息安全的威胁主要包括：

内部泄密

内部工作人员将内部保密信息通过e－mail发送出去或用ftp的方式送出去。

“黑客”入侵

“黑客”入侵是指黑客通过非法连接、非授权访问、非法得到服务、病毒等方式直接攻入内部网，对其进行侵扰。这可直接破坏重要系统、文件、数据，造成系统崩溃、瘫痪，重要文件与数据被窃取或丢失等严重后果。

电子谍报

外部人员通过业务流分析、窃取，获得内部重要情报。这种攻击方式主要是通过一些日常社会交往获取有用信息，从而利用这些有用信息进行攻击。如通过窃听别人的谈话，通过看被攻击对象的公报等获取一些完整或不完整的有用信息，再进行攻击。

途中侵扰

外部人员在外部线路上进行信息篡改、销毁、欺骗、假冒。

差错、误操作与疏漏及自然灾害等。

信息战——信息系统面临的威胁大部分来源于上述原因。对于某些组织，其威胁可能有所变化。全球范围 内的竞争兴起，将我们带入了信息战时代。

现代文明越来越依赖于信息系统，但也更易遭受信息战。信息战是对以下方面数据的蓄意攻击：

?机密性和占有性

?完整性和真实性

?可用性与占用性

信息战将危及个体、团体；政府部门和机构；国家和国家联盟组织。信息战是延伸进和经过cyberspace进行的战争新形式。

如果有必要的话，也要考虑到信息战对网络安全的威胁。一些外国政府和有组织的恐怖分子、间谍可能利用“信息战”技术来破坏指挥和控制系统、公用交换网和其它国防部依靠的系统和网络以达到破坏军事行动的目的。造成灾难性损失的可能性极大。从防御角度出发，不仅要考虑把安全策略制定好，而且也要考虑到信息基础设施应有必要的保护和恢复机制。

经费——是否投资和投资力度

信息系统是指社会赖以对信息进行管理、控制及应用的计算机与网络。其信息受损或丢失的后果将影响到社会各个方面。

在管理中常常视安全为一种保障措施，它是必要的，但又令人讨厌。保障措施被认为是一种开支而非一种投资。相反地，基于这样一个前提，即系统安全可以防止灾难。因此它应是一种投资，而不仅仅是为恢复所付出的代价。

二、 风险评估

建网定位的原则：国家利益，企业利益，个人利益。

信息安全的级别：

1.最高级为安全不用

2.秘密级：绝密，机密，秘密

3.内部

4.公开

建网的安全策略，应以建网定位的原则和信息安全级别选择的基础上制定。

网络安全策略是网络安全计划的说明，是设计和构造网络的安全性，以防御来自内部和外部入侵者的行动 计划及阻止网上泄密的行动计划。

保险是对费用和风险的一种均衡。首先，要清楚了解你的系统对你的价值有多大，信息值须从两方面考虑：它有多关键，它有多敏感。其次，你还须测定或者经常的猜测面临威胁的概率，才有可能合理地制定安全策略和进程。

风险分析法可分为两类：定量风险分析和定性风险分析。定量风险分析是建立在事件的测量和统计的基础上，形成概率模型。定量风险分析最难的部分是评估概率。我们不知道事件何时发生，我们不知道这些攻击的代价有多大或存在多少攻击；我们不知道外部人员造成的人为威胁的比重为多少。最近，利用适当的概率分布，应用monte carlo(蒙特卡罗)仿真技术进行模块风险分析。但实用性不强，较多的使用定性风险。

风险分析关心的是信息受到威胁、信息对外的暴露程度、信息的重要性及敏感度等因素，根据这些因素进行综合评价。

一般可将风险分析列成一个矩阵：

将以上权重组合，即：

得分 = ( 威胁 × 透明 ) ＋ ( 重要性 × 敏感度 )

= ( 3 × 3 ) ＋ ( 5 × 3) = 24

根据风险分析矩阵可得出风险等级为中风险。

网络安全策略开发必须从详尽分析敏感性和关键性上开始。风险分析，在信息战时代，人为因素也使风险分析变得更难了。

三、体系结构

应用系统工程的观点、方法来分析网络的安全，根据制定的安全策略，确定合理的网络安全体系结构。

网络划分：

1、公用网

2、专用网：

（1）保密网

（2）内部网

建网的原则：

从原则上考虑：例如选取国家利益。

从安全级别上：1，最高级为安全不用，无论如何都是不可取的。2，3，4 全部要考虑。

因此按保密网、内部网和公用网或按专用网和公用网来建设，采用在物理上绝对分开，各自独立的体系结构。

四、公用网

举例说明（仅供参考），建网初期的原则：

1、任何内部及涉密信息不准上网。

2、以外用为主，获取最新相关的科技资料，跟踪前沿科技。

3、只开发e－mail，ftp，www功能，而telnet，bbs不开发，telnet特殊需要的经批准给予临时支持。说明一下，建网时，www功能还没有正常使用。

4、拨号上网严格控制，除领导，院士，专家外，一般不批准。原因是，拨号上网的随意性和方便性使得网络安全较难控制。

5、网络用户严格经领导、保密办及网络部三个部门审批上网。

6、单位上网机器与办公机器截然分开，定期检查。

7、签定上网保证书，确定是否非政治，非保密，非黄毒信息的上网，是否侵犯知识产权，是否严格守法。

8、对上网信息的内容进行审查、审批手续。

为了使更多的科技人员及其他需要的人员上网，采用逐步分阶段实施，在安全设施配齐后，再全面开放。

五、公用网络安全设施的考虑

1. 信息稽查：从国家利益考虑，对信息内容进行审查、审批手续。

信息截获，稽查后，再传输是最好的办法。由于机器速度慢，决定了不可能实时地进行信息交流，因而难于实时稽查。

信息复制再分析是可行的办法。把信件及文件复制下来，再按涉密等关键词组检索进行检查，防止无意识泄密时有据可查。起到威慑作用和取证作用。

2. 防火墙：常规的安全设施。

3. 网络安全漏洞检查：各种设备、操作系统、应用软件都存在安全漏洞，起到堵和防的两种作用。

4. 信息代理：

（1）主要从保密上考虑。如果一站点的某一重要信息，被某一单位多人次的访问，按概率分析，是有必然的联系，因此是否暴露自己所从事的事业。

（2）可以提高信息的交换速度。

（3）可以解决ip地址不足的问题。

5. 入侵网络的安全检查设施，应该有。但是，由于事件和手法的多样性、随机性，难度很大，目前还不具备，只能使用常规办法，加上人员的分析。

六、 专用网络及单机安全设施的考虑，重点是保密网

1，专用屏蔽机房；

2，低信息辐射泄露网络；

3，低信息辐射泄露单机。

七、安全设备的选择原则

不能让外国人给我们守大门

1、按先进国家的经验，考虑不安全因素，网络接口设备选用本国的，不使用外国货。

2、网络安全设施使用国产品。

3、自行开发。

网络的拓扑结构：重要的是确定信息安全边界

1、一般结构：外部区、公共服务区、内部区。

2、考虑国家利益的结构：外部区、公共服务区、内部区及稽查系统和代理服务器定位。

3、重点考虑拨号上网的安全问题：远程访问服务器，放置在什么位置上，能满足安全的需求。

八、 技术和管理同时并举

为了从技术上保证网络的安全性，除对自身面临的威胁进行风险评估外，还应决定所需要的安全服务种类，并选择相应的安全机制，集成先进的安全技术。

归纳起来，考虑网络安全策略时，大致有以下步骤：

? 明确安全问题：明确目前和近期、远期的网络应用和需求；

? 进行风险分析，形成风险评估报告，决定投资力度；

? 制定网络安全策略；

? 主管安全部门审核；

? 制定网络安全方案，选择适当的网络安全设备，确定网络安全体系结构；

? 按实际使用情况，检查和完善网络安全方案。

转载请注明出处51数据库 » 黑客专用电子取证软件 现在黑客常用的软件有什么2015