“诚，做人之本；信，为人之根，做个诚信的人是我们的根本。”在一春一夏，我们注重每一位客户提出的每个需求，我们充分考虑客户的每一个细节，我们一直在思考如何为客户创造更大的价值，意在让我们的每一位客户都成为我们的朋友...

信息安全

1. 信息安全原则策略 1.1 原则 1.2 策略 1.3 访问控制 1.4 区域划分 1.5 密码分级 1.6 区域划分 1.7 变更与控制管理 1.8 保护机制 1.9 政策与法规 1.10 安全角色与职责2. 网络安全防护 2.1 经典的网络安全事件 2.2 构建自己的防御体系 2.3 网络安全威胁类型 2.4 网络安全产品 ←←本文3. 终端安全 3.1 终端安全管理 3.2 操作系统和数据库安全管理4. 信息安全管理体系

WEB应用防火墙WAF

WEB应用防火墙 (WAF) 旨在提供7层应用层级别的防护，主要是对web类型的应用的保护，好比web应用的贴身保镖，waf的安全能力是强大的，可对SQL注入、XSS跨站、CSRF,获取敏感信息、利用开源组件漏洞，暴力破解，爬虫，0day，webshell 进行防护。

WAF是一道位于应用层的防线，能够理解和分析HTTP流量，并在数据达到服务器之前预先拦截恶意请求。

WAF如何判断恶意流量

WAF通过一系列的策略、规则和过滤机制来区分和阻止恶意流量，同时允许安全流量通过。它能够识别和拦截诸如SQL注入、跨站脚本（XSS）、文件包含、无效的用户输入等安全威胁，以下是WAF如何判断流量性质的几种方法：

1. 签名基础检测：WAF使用签名（已知的攻击模式和恶意负载的特征）来识别已知攻击。这类似于杀毒软件的方式，WAF会将流过的请求与恶意请求的数据库进行比对，一旦发现匹配，该请求就被标识为恶意的并被阻止。

2. 异常检测：通过设置正常Web应用流量的基线（比如正常请求的速率、用户通常的行为等），WAF能够检测到异常行为。这种方法依赖于统计分析，一旦流量行为偏离了既定的正常模式，WAF可能会将其视为潜在的攻击。

3. IP声誉和地理位置过滤：WAF可能会参考IP地址的声誉数据库，拦截来自已知为恶意源或位于特定国家/地区的请求。IP声誉列表经常更新，以确保由于新发现的攻击活动而封禁或解封IP。

WAF工作机制

WAF 通过过滤、监控和拦截恶意 HTTP 或 HTTPS 流量对 Web 应用的访问来保护您的 Web 应用，并能够阻止未经授权的数据离开应用。

WAF 的操作方式与代理服务器类似，虽然同为“中介”，但后者旨在保护客户端身份，前者却被称为反向代理，因为其使命在于保护 Web 应用服务器免受潜在恶意客户端的影响。

WAF 不拘泥于形式，是软件、设备，亦是即服务。策略可定制，以满足对 Web 应用或 Web 应用组合的独特需求。

虽然许多 WAF 要求您定期更新策略以解决新的漏洞，但机器学习的进步使一些 WAF 能够自动更新。随着威胁环境愈发复杂和不确定，这种自动化变得越来越重要。

WAF部署方式

1、透明模式，通过将硬件串接在用户网络中，这种模式下无需改变用户的内网环境，实施简单，但是也带来了新的故障点，增加了问题排查复杂度。

蜜罐

蜜罐是一种通过伪装正常应用来迷惑攻击者的手段，可以是应用服务器，如OA， vcenter,gitlab,vpn等应用。也可以是文件形式，让攻击者获取到以后误以为得到机密文件，而将自己的信息暴露给防守者。

蜜罐如何诱惑攻击者并留下攻击者信息的

迷惑攻击者的方法：

设立诱饵: 蜜罐通常被设计成看起来包含有价值信息的系统或网络资源，如数据库服务器、Web服务等，以吸引攻击者的注意力。

伪装技术: 它们采用各种伪装技术让自己看起来与目标网络中的真实系统一样或是略显脆弱，从而更具诱惑力。

模拟真实服务: 通过模拟真实的网络服务和应用程序的响应，蜜罐能够让攻击者相信自己正在与真实的系统互动。

低交互与高交互: 蜜罐既可以是低交互的，提供有限的交互能力；也可以是高交互的，允许攻击者进行更深入的探索，从而记录更详细的活动。

蜜罐工作机制

蜜罐通过模拟一个或多个看似真实但实际上是受控的系统环境，吸引并交互攻击者，从而实现其目标。这些系统既可以模拟软件、操作系统的脆弱性，也可以模拟网络服务、甚至整个网络环境。

服务模拟：蜜罐软件可以模拟各种网络服务（如HTTP、SSH、FTP等），使攻击者认为他们正在与真实服务进行交互。

系统模拟：通过模拟操作系统的响应，蜜罐能让攻击者相信他们正在与真正的目标系统互动，从而执行进一步的攻击动作。

蜜罐如何部署

蜜罐通常部署在内网的各个区域，正常情况下这些蜜罐是没人会去访问的，只有潜入公司的黑客通过端口扫描等探测手段发现在这些蜜罐，所以蜜罐一旦有告警，就需要特别注意了。

推荐Hfish是一款不错的免费蜜罐。

网络漏洞扫描工具

漏洞评估通常分为白盒和黑盒，网络漏扫则属于黑盒的一种，它可以快速发现企业中的IT资产的脆弱性，让相关人员了解漏洞情况并进行整改，提高企业整体的安全能力。

安全事件管理系统（SIEM）

SIEM(security information and event management)安全事件管理是一种解决方案，可帮助组织在有机会破坏业务运营之前识别潜在的安全威胁和漏洞。

它可以发现用户行为异常并使用人工智能来自动化与威胁检测和事件响应相关的许多手动流程，并已成为现代安全运营中心 (SOC) 用于安全和合规管理用例的主要内容。

SIEM包括日志管理，关联事件分析，事件监控和安全警报，合规管理和报告。之前提到的Eastic可以作为SIEM平台。

【一春一夏】我们以网站定制开发、APP/小程序系统定制开发为核心业务。我们坚持为“您”提供一站式系统解决方案。我们奉行“登上峰顶，不是为了饱览风光，是为了寻找更高的山峰”为理念，让我们始终阔步向前。