1OWASP介绍OWASP被视为Web应用安全领域的权威参考，在2009年发布的美国国家和国际立法、标准、准则、委员会和行业实务守则参考引用了OWASP。美国联邦贸易委员会(FTC)强烈建议所有企业需遵循OWASP十大WEB弱点防护守则。国际信用卡数据安全技术PCI标准更将其列为必要组件。OWASP组织为英国GovCERTUK提供SQL注入参考和为欧洲网络与信息安全局（ENISA),

概述在《软件定义安全》中介绍了，所有的安全产品本质上就是对安全业务的软件开发，既然是软件开发就会遵守软件开发的逻辑和过程。我们抛开复杂的产品宣传，来直接分析下每种安全产品最核心的逻辑是什么，这样有助于对安全产品有更深入的理解。在《软件定义安全》中也提到了，很多产品和方案是混合在一起的，就是传统上的一个产品在新的一些产品中变成了一个模块，这个时候对产品的理解就增加了复杂度，这里先介绍一下单独的一个产品功能，理解了一系列单独的产品逻辑后，后面的组合产品的功能就容易理解了。1防火墙的作用防火墙，直接含义是阻挡火的蔓延，此词起源于建筑领域，用来隔离火灾，阻止火势从一个区域蔓延到另一个区域。安全中的防火墙也是形象化地体现了这一特点，通常用于两个网络之间的隔离。当然，这种隔离是网络访问，阻止非法的访问，保证合法的访问。这里的“火”是指网络中的各种攻击，而“合法”是指正常的通信报文。防火墙有隔离、防守的属性，灵活应用于网络边界、子网隔离等位置，具体如企业网络出口、大型网络内部子网隔离、数据中心边界等等。操作系统内外访问通常也有防火墙，主流的操作系统都自带强大的防火墙，只是由于管理问题，目前为止没有受到太大的重视。随着东西向的重视，诞生了很多微隔离技术，其实主机防火墙是天生的非常好的微隔离方案，最起码可以做到主机层级的微隔离。2防火墙技术传统意义上的防火墙技术分为三大类：“包过滤”（Packet

概述大多数的安全产品都和软件有关系，现在很多公司卖的安全硬件盒子也是操作系统加安全软件的结合体，操作系统本身也是软件。所以软件是安全的一个重要组成部分，甚至在某种程度上说软件决定安全产品，软件定义安全。1软件无处不在在这个瞬息万变的时代，软件扮演着越来越重要的角色，人们可以随时随地用手机或平板电脑办公，手机或平板上运行的都是软件。在很多业务领域中，都需要打通PC和移动平台。凭借互联网和云计算解决方案，企业可以实现软件产品的本地化和全球部署发布。随着信息技术的发展，世界正在变得更加“智慧”，万事万物间感知化、互联化和智能化的程度不断加深。物联网，智能家居，车联网的发展也延展了软件的应用领域。我们现在正处在一个“软件无处不在”的时代，如今，全球经济体的创新越来越依赖于软件的创新：无论是在系统工程领域，还是在其他的科学研究领域，全球的创新在很大的程度上是以软件的开发、变更和监控为基础。随着信息技术的发展，工业产品已经变得更加“智慧”，这使得系统软件的复杂性及开发难度与日俱增。以汽车为例，现在一辆普通汽车都要有数百万行代码，比过去一架航天飞机拥有的代码还多；而一辆功能先进的医疗急救车甚至需要超过5000万行软件代码。2软件发展历史计算机软件技术发展大概有七十年了，早期计算机只能被计算机专家使用，今天，计算机的使用非常普遍，甚至没有上学的小孩都可以灵活操作；六十年前，文件不能方便地在两台计算机之间进行交换，甚至在同一台计算机的两个不同的应用程序之间进行交换也很困难，今天，数据在两个平台和应用程序之间提供了无缝连接；五十年前，多个应用程序不能方便地共享相同的数据，今天，数据库技术使得多个用户、多个应用程序可以同时使用和操作数据。1、第一代软件（1946－1953）第一代软件是用机器语言编写的，机器语言是内置在计算机电路中的指令，由0和1组成。不同的计算机使用不同的机器语言，程序员必须记住每条机器语言指令的二进制数字组合，因此，只有少数专业人员能够为计算机编写程序，这就大大限制了计算机的推广和使用。用机器语言进行程序设计不仅枯燥费时，而且容易出错。想一想如何在一页全是0和1的纸上找一个打错的字符？在这个时代的末期出现了汇编语言，它使用助记符（一种辅助记忆方法，采用字母的缩写来表示指令）表示每条机器语言指令。2、第二代软件（1954－1964）当硬件变得更强大时，就需要更强大的软件工具使计算机得到更有效地使用。汇编语言向正确的方向前进了一大步，但是程序员还是必须记住很多汇编指令。第二代软件开始使用高级程序设计语言（简称高级语言，相应地，机器语言和汇编语言称为低级语言）编写，高级语言的指令形式类似于自然语言和数学公式，不仅容易学习，方便编程，也提高了程序的可读性。每种高级语言都有配套的翻译程序（称为编译器），编译器可以把高级语言编写的语句翻译成等价的机器指令。系统程序员的角色变得更加明显，系统程序员编写诸如编译器这样的辅助工具，使用这些工具编写应用程序的人，称为应用程序员。随着包围硬件的软件变得越来越复

概述随着企业对IT的依赖程度越来越高，对安全的投入也越来越高。安全建设的投入应该是多少呢？这个不能一概而论，需要根据企业的业务和阶段来分析，这个可以参考之前的《安全建设的原则》和《安全建设的任务》。1业界情况以美国白宫公布的2021财政年预算为例，美国联邦政府一直高度重视网络安全投入，其2021财年IT总预算为922亿美元，其中网络安全领域总预算188亿美元，比2020财年高出14亿美元。网络安全预算占IT预算的20.4%，也就是说，美国政府在IT上每投入10块钱，就有2块钱花在安全上。事实上，美国政府在网络安全上的实际花费往往高于公布的预算，2020财年美国联邦政府申请的网络安全预算是174亿美元，但实际支出184亿美元。我国网络安全投入占信息化的比重低于世界平均水平。IDC数据显示，我国网络安全市场占信息市场的比重为1.87%，和美国政府20.4%的比重相差十倍，同时也低于全球3.74%的平均水平，无法满足数字化发展的需求。所以在政协北京市第十三届委员会第四次会议上，北京市政协委员、奇安信集团董事长齐向东建议：在重大信息化项目和关键信息基础设施中，将网络安全投入占比提高至15%以上，打造标杆项目。2国内政策国内等级保护是对网络安全投入建设的一个主要法律法规。等级保护的分成五个级别：第一级

引言在《安全建设的任务》一文提到了安全建设的一个很重要的任务是资产管理，但是在和很多客户沟通的过程中发现，资产管理很难做。那为什么资产管理难做呢？本文主要分析这块内容，并提出一些参考做法。资产管理的一些术语：配置管理数据库(CMDB)：Configuration

引言之前介绍了安全的本质和安全建设的原则，了解了安全的本质是对数据的机密性、完整性、可用性的防护能力；安全建设的原则主要是：关注结果，关注整体，最小化原则，发挥优势，保持乐观。那安全建设应该做什么呢？这就是本文的主要内容，安全建设的任务。这些任务是在安全本质和安全建设原则的基础上提炼而来。安全的内容涵盖很多方面，企业的规模和性质也各不相同，本文提到的任务尽量忽略各个企业的特点，找到一些对所有企业都普遍适用的任务。这些任务包括：设定目标、决策、人的培养、资产管理、收集检测和响应。1设定目标毋容置疑，在安全建设中最重要的一个任务应该是设定目标。这里的目标，主要是指企业对安全的合理诉求和期望。在企业发展的过程中，可以根据发展阶段对目标进行调整，设定不同的目标。每个公司的业务不一样，资源不一样，对安全的诉求也是不一样的。对大多数国内的国企，政府等企事业单位，最基本的需求是要符合《网络安全法》的要求，满足等级保护制度中相应级别的要求，所以他们的最基本目标是满足网络安全法，过等保；金融、证券等牌照行业，需要接受严格的政府监管，除了最基本的网络安全法之外，还要受到直接主管部门的制度要求，所以他们的要求除了过等保外，还要符合业内的政策要求；同时，由于企业的发展严重依赖业务的持续稳健，所以需要以建设保障业务安全运行为目标。对于满足法律法规行业要求的这些目标统称为合规目标，这些几乎是过去20多年驱动网络安全市场增长最重要的因素，对安全市场的贡献大约在70%以上。随着HW行动的开展，以及勒索病毒等安全事件的发生等，很多单位从原来的仅仅为了合规要求，随便买些合规设备，过渡到认真考察对比谁家的产品防护效果更好，从而决定采购，这些改变的目的就是为了在HW中取得更好名次以及实际使用中取得较好的效果。对于很多互联网行业，由于对业务很重视，所以安全建设的主要目标是为了保证业务运行，但他们的系统中保存了很多重要的民生资源，所以也需要过等保，但他们的安全建设主要目标并不是为了过等保。还有很多中小企业IT建设永远是满足业务需求为先，要先让业务能跑起来，等到业务功能满足得差不多了，IT预算空出来一部分，才会考虑安全建设的问题。这种特性有点像奢侈品，只有当其基础需求充分满足后，才会考虑更昂贵的投入，提前奢侈消费的还是属于少数人。其实他们的安全目标没有考虑太仔细，或者考虑了，但是由于经费问题只做最少量投入。不管怎么说，设定目标是安全建设的第一步的任务，只有安全目标设定后，才有可能围绕安全目标进行建设，建设的过程可以参考安全建设的原则。2决策在设定好安全目标后，就需要做决策。任何公司的资源都是有限的，投入到安全建设上的资源就更少了，根据IDC数据，美国网安投入大约占整个IT投入的4.78%，中国只有1.84%。在资源有限的情况下，做什么不做什么就是非常重要的选择了。做决策有多种方法可以选择，下面介绍几种最常用的决策方法，但哪个适合自己还需要根据情况来定。决策的系统化方法GPAG（Goal）目标：确立一个明确、共享的目标

引言在很多安全分析类产品建设的过程中都会涉及到关联分析，比如日志分析、SOC、态势感知、风控等产品。之前的文章中阐述过五种最常见的关联分析模型，在文中也介绍了：要想达到很好的关联分析效果，前提是对采集过来的日志进行标准化解析。解析的维度越多、内容越准确，对关联分析的支撑性就越强。下面就来介绍一下日志解析的一些常用内容。1概述很多公司在自己的产品介绍中描述产品有多少种日志解析规则等等，当然，这种内置的解析规则对这类产品发挥了很重要的作用。但这种方式也存在一些问题：首先，经过时间的推移就会发现，每年市场上都会产生不少的新的安全设备和型号，导致厂家很难实现全部预制好的解析规则；其次，很多设备会经常升级，升级后会导致日志种类的增加和调整；最后，很多设备的日志种类非常之多，如果全部内置到系统中，几乎是不可能完成的任务。所以大多数的产品，只内置了部分的日志解析规则。比如思科ASA防火墙日志从官网看就有好几百种日志格式，如果内置都解析，是很大的工作量，何况有时候也没有必要全部解析。根据以上分析可以得出，只在产品中内置默认的解析规则是不够的，在很多时候需要根据客户的实际环境进行调整。这种情况下，日志解析的灵活性、准确性、扩展性就显得非常重要了。下面介绍一下日志解析中常用的内容。2日志解析关键点标准化解析，也叫范式化解析，解析的目标是把日志中的直接信息和间接信息解析出来，作为单独的字段进行存储。对应数据库中就是“列”的概念。传统上来说，存储大多用关系数据库，比如：oracle、mysql。随着大数据平台的发展，最近几年，存储都是放在大数据平台上的，比如：hive、elasticsearch等。下面举个linux下一条常用的登录日志作为例子：May

引言在很多安全分析类产品建设的过程中都会涉及到关联分析，比如日志分析、soc、态势感知、风控等产品。关联分析可以认为是这类产品中最核心的能力之一。这个概念从命名上看就知道，千人千面，每个人的想法和理解都各不相同。很多甲方都会提关联分析，如果再细问要做什么样的关联分析，估计大多数甲方都不太能详细描述出来，很多乙方对此也是藏着掖着，可能是核心机密不愿意细说。下面就来聊一下我对关联分析模型的一点思考。1概述有很多公司在自己的产品介绍中说自己的产品有多少种内置规则等等，仔细分析就会发现，很多规则是一个模型演变出来的，比如主机密码猜测、数据库密码猜测、网络设备密码猜测等，这些规则背后可以理解为一个模型。所以，我认为评价一个产品分析规则好坏的关键点不全是内置多少种有效的规则，对关联规则模型支持的多少也可以作为评价的一个重要指标，正如道生一，一生二，二生三，三生万物。当然，分析规则的分析能力还要依托于日志解析的准确度和广度，日志解析得越准确，广度越广，对分析的支撑能力就越强。关联分析模型从大的分类看大概有以下

安全建设包含的内容很多，其中包含技术、管理、人员、流程等诸多方面。有些特征在很多工作中都比较通用，这些特征包括：任务、工具、原则。这些特征在不同行业、不同规模的企业以及企业中不同的岗位工作都可以适用。本文主要介绍安全建设的一些原则，这些原则可以规范建设任务完成的质量以及工具的使用情况。我们在做安全建设前可以问一个问题：什么原则是对所有安全建设都需要的？这个原则适用于所有领域、所有行业的、所有规模的公司。要回答这个问题，我先介绍下安全的本质是什么。在之前的《安全的本质》（链接：安全的本质）文中介绍了安全的本质是对数据的机密性、完整性、可用性的防护能力，所以安全建设的目标就是围绕提升安全能力而展开的。提升安全建设能力的原则我认为主要有以下几个方面：关注结果，关注整体，最小化原则，发挥优势，保持乐观。1关注结果对结果的关注是所有成功者共同的思维和行动方向，对安全建设依然适用。每家公司的情况不一样，有大型互联网公司，管理着数万台服务器，他们的主要业务来源都是网上的业务系统，大多数是web系统，他们关注的更多的是业务安全，包括账号安全、交易风控、征信、反价格爬虫、反作弊反bot程序、反欺诈、反钓鱼、反垃圾信息、舆情监控（内容信息安全）、防游戏外挂、打击黑色产业链、安全情报等；有很多传统的设计制造企业，他们的服务器不多，对外也只有一个网站，很多时候还是托管的或者是静态的网站，他们关注的更多的是内部数据安全，有没有人一直惦记着我们的图纸、设计、内部文档等；还有很多中小企业，自身的盈利能力很弱，所以对安全没有啥大的需求，最多就是我的财务软件能用就好，中病毒了大不了重装一下系统，当然最好不要中病毒影响我的工作。对每家企业来说，首先要制定切实可行的目标，确定一个合理的期望结果，然后重点关注结果。但对大多数人来说，“以结果为导向”不是理所当然的事情吗？其实不是，大多数人的本性更倾向于对投入的重视。相比产出和结果来说，人们更愿意把大部分注意力集中在工作消耗、个人投入的精力和努力上。就算是公司的每个员工都很努力的工作，也不一定能说明他们就一定能取得好结果。比较不幸的是安全行业的结果是不好衡量的。引用一句安全圈常说的话：世界上有两种企业：一种知道已被黑客入侵，一种还不知道已被黑客入侵。这也是很多企业不重视安全依然感觉状态很好的原因。很多人把安全看成是事件驱动的主要原因，也是因为安全事前不好衡量，但不是不能衡量。所以需要在安全建设的过程中要想好安全的结果如何判断，我们安全建设的目标是否有效，如何从目标实现结果等等。2关注整体在信息安全的攻防对抗中，攻防是极其不对称的。对攻击者来说，只要找到企业中的一个弱点并加以利用，就可能达到入侵的目标，这个弱点不一定是系统弱点，也可以是人的弱点，比如社工，开发人员无意识的公网备份等。但对于防守人员来说，必须找到企业中的所有弱点，并加以防护，才有可能不被攻击成功。但也不用过于悲观，不是所有弱点都能被利用，比如漏洞利用，能写EXP的人也不多。大部分人是拿来主义和修正主义，所以判断漏洞是否需要修复的一个重要原则是：是否有公开的POC代码样本，如果有就尽量修复，如果没有就可以暂时不修复。但也不是所有有POC的漏洞都需要修复，当然能修复最好。有些情况是不能修复的，比如一旦修复了需要重启服务器，要影响业务，这个时候是不能修复的，这个时候就要看是否有别的方式来防护，比如前面的WAF是否可以防住这个漏洞。在《安全的本质#安全是成本》一文（链接：安全的本质）中也介绍了，攻防的成本差异是极其巨大的，比如花费一万元去防护一个价值只有五千元的系统是没有意义的。根据防护价值的高低去选择防护重要的数据，也不一定所有的弱点都需要去处理。由于攻防的不对称，投入资源精力有限的情况下，更要从整体考虑，哪些是最重要的资产，最重要的数据，我们优先把这些问题解决掉。关注整体最重要的一点是平衡。如何平衡业务和安全，如何平衡各方面的投入，如何平衡投入和利旧，如何平衡自研和购买，如何平衡加人还是加设备，如何平衡优势和劣势等。我们需要从多个视角进行综合考虑，需要做出妥协的地方就做出妥协。需要在无法避免的模糊性和不确定性中求生存。随着安全产品的分类越来越多，功能越来越交叉，对整体的把握就越来越容易被忽略，因而就越有可能出现结果和整体目标毫无关系的危险情况。为了避免这种情况发生，必须通过不断地复盘，不断地分析进行有意识的调整。所以管理上有句话叫“从正确的做事到做正确的事情”值得借鉴。在整个安全建设过程中，从整体上看个人认为需要最先关注的几点是：资产、业务、重要的事件、重要的数据等几个重点和他们之间的交互等。3最小化原则最小权限原则在安全建设中有非常重要的作用，很多安全问题对内看是权限滥用和越权访问的问题，它就是违反最小化原则；对外看是开放了不该开放的端口，暴露了不该暴露的接口等等。最小化原则的精神是所有的东西都应该是明确的、有意义的，不要有模糊的放大，因此这种放大很可能会造成滥用或者未知的错误。但遗憾的是，最小权限原则会增加一些成本，但很多时候我感觉是安全意识的问题，而不是成本问题，成本的增加在绝大多数情况下应该是可控的。下面列出来一些常用的最小化原则：安装操作系统的时候最小化安装；开机自启动服务最小化；操作命令最小化；程序服务运行最小化；公网暴露的端口尽可能的小；数据库查询尽可能增加限制条件；安装软件尽量用权限最小的普通用户安装；后台管理页面尽量用白名单限制；管理权限交叉，几个管理用户动态控制系统管理，互相制约；创建新的账号权限尽量的小；暴露在外面的接口尽量少，接口参数尽量的少；Linux系统文件及目录的权限设置最小化；最小化授权时间；安全策略最小化，降低告警误报率；最明确的“用户同意”：收集个人信息的时候一定要说明收集方式、范围，对用户身份证号、银行账号、行踪轨迹等敏感信息更要特别说明，这种说明应该以显著的形式确保用户知悉；最少化的信息要素采集：采集信息时需要服务方区分基础性服务和非必要服务，进而区分制定隐私政策和用户告知方式，合法收集用户信息用于自身业务；最安全的存储和传输：减少数据的传输次数，避免明文数据的传输。4发挥优势每个组织都是不同的，有各自的背景，各自的环境。有的公司创立之日起就有非常强的IT能力，有的公司IT的使用还非常初级，在这种情况下，每个公司在对安全建设的能力上有不同的优势和劣势。正是这种情况，所以发挥优势也是安全建设的一个重要原则。安全虽然在整个IT建设中占的比例非常小，但安全所包括的内容非常广泛，就像开头说的包括技术、管理、人员、流程等。光信息安全产品按照公安三所的销售许可证分类，大概有77个分类，每个分类下面还有细分，还有些新兴的产品分类没有包含进来。从安全建设的投入来看，我们发现有很多公司有自己的想法和目标，也有的公司不确定应该怎么做，毕竟安全很难被标准化。在国内的绝大多数互联网公司在安全投入上都倾向于投人，一来互联网的业务复杂，网络庞大，如果购买商用产品成本很高，而且有的商用产品在互联网上大并发的能力也不够，难以支撑业务，这种互联网公司可以招聘水平非常高的安全人才，安全人才在这种超大规模的网络中利用自己的优势可以管理更多的设备和数据，反而达到降低成本的目标。比如阿里、腾讯、百度、京东等等，他们都倾向于自建，甚至组建了庞大的安全团队。还有一些中型互联网公司，没有这么大的财力物力，他们更倾向于投人结合专业安全公司的服务包括产品，达到一个平衡。既发挥了人员优势又结合了专业公司的服务。很多金融类企业由于体制限制，包括人员数量和薪资成本控制。他们更倾向于利用安全公司的服务，比如渗透测试，人员外包，购买安全设备等。还有更多的中小企业，没人也没有钱，但他们的优势是业务简单，重要程度不高，这时候可以找些免费甚至开源的产品开使用，如果对数据非常不在意甚至可以裸奔。也有很多公司搞不清楚自己的优势，进行各种尝试，效果也不是特别好，就是没有利用好这个原则。5保持乐观做安全其实是比较枯燥的，安全的领域看似不大其实包含的内容很多。而且大多数安全人员每天的工作相对比较重复，比如每天查看各类安全设备运行是不是正常，有没有什么高危的告警；主机上的系统日志有没有异常，应用程序、进程、端口是否合理；有高危日志要进行查看和处理，处理的过程中还要和别的部门打交道；根据业务要求开通防火墙策略；系统上线进行安全检查；有新的漏洞报出来要全网扫描是否有此漏洞。长时间做此工作后难免产生厌烦的心态。所以安全建设要保持乐观心态，才能更好的做好安全。任何事情都是具有两面性，再糟糕的事情中也有比较美好的一面，消极态度只会把事情做的更糟糕，只有乐观积极的态度才能带来更大的希望。一方面随着国家的重视、法律的健全，企业对安全的投入也会越来越多。这就是安全行业千载难逢的好机会，在安全建设的过程中保持良好心态，每天能有一点点进步，对个人的职业发展都有非常大的帮助。根据2020年的《网络安全人才市场状况研究报告》显示，九成用人单位对网络安全人才需求“看涨”，认为这一需求将在中长期增长，其中58%的用人单位认为，网络安全人才需求会在短期内大幅增长。目前每年网络安全相关专业毕业生仅2万多人，而中国在这方面的缺口高达50万至100万人，尤其是实战型、实用型人才非常急缺，所以对进入这个行业的人来说都是非常好的机会。随着产品和技术的进步，在以前比较难以解决的问题，现在都在逐步的进行解决。比如随着大数据技术的发展，之前对海量数据处理分析上难以取得比较好的效果，现在的分析的效果就好了很多。随着html5的发展，之前在可视化上比较难处理的事情，尤其是感知上就取得了非常大的进步，各大地图炮就很炫。简单插一句：过于关注界面的炫除了给领导看之外好像对安全的分析处理并没有太多实质的帮助。从法律上来看，之前安全野蛮发展，很多人都不重视法律，出现了很多入门者无视法律的情况，这也造成了虚拟世界的乱象丛生。不过随着法律的健全，大家对这块意识都提高了很多，未授权的扫描等行为也减少不少。这些都是比较积极的方面，未来应该会更好。6总结安全建设的原则到底是什么，每个人的观点可能不太一样。这也很正常，一个健康的行业不应该只有一种声音。当然还有很多的原则也很重要，但我认为这几个原则是安全建设中最重要的一些原则，这些原则适用所有的行业，不同规模的公司。在做安全任务、选择安全工具的时候，可以参考这些原则，在这些原则做好后，再逐步添加其他原则，也是一个非常好是思路。相关分享：安全的本质赛克蓝德始终坚持数据改变生活的使命，秉承“互利共赢、服务客户”的经营理念，为客户提供优秀的产品体验。安全运营管理离不开大家相互学习，羿伏安全运营实践群提供了一个技术人员互相交流的平台，欢迎对安全运营有兴趣的朋友入群交流！点个“在看”，一年不宕机

随着国家的重视，法律制度的出台，最近几年国内网络安全特别火，每年各地都会举行各种网络安全大会，甚至国家都设立“中国国家网络安全宣传周”，为了“共建网络安全，共享网络文明”而开展的主题活动，于每年9月第三周在全国各省区市统一举行。那网络安全的本质到底是什么呢？相信这个在很多人眼里是不一样的。有人说安全是漏洞；有人说安全是对抗；有人说安全是信任；有人说安全是风险；有人说安全是人的安全是意识；有人说安全是成本；有人说安全是管理等等。那到底什么是网络安全呢？从字面看网络安全分为两词，一个是网络，一个是安全。在汉语词典中，网络特指由电子元件组成的电路系统。安全是：没有危险；不受威胁；不出事故。在“网络安全法”中：网络是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统，简称就是信息加工系统。下面我们来逐步分析市场上主流的观点。1安全是漏洞有人提出网络安全的本质是漏洞，在很多安全研究人员眼里安全就是漏洞。那什么是漏洞呢？漏洞主要只指安全方面的问题，具体是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而可以使攻击者能够在未授权的情况下访问或破坏系统。原因可以是bug，也可能设计本意如此。比如勒索病毒利用的SMB漏洞，就是软件功能实现上存在错误，导致勒索病

做信息安全的都免不了和计算机打交道，计算机是信息安全的主要防护对象之一，信息安全的工具也是在计算机上进行操作和使用，所以对计算机基础的了解有助于分析安全。计算机经过几十年的发展取得了长久的进步，速度越来越快，功能越来越强，形态差异越来越大。但现代计算机到底有多快，估计大多数人都没有直观概念，本文从计算机中的核心组件来分析下计算机到底有多快。好在计算机的原理这么多年都没有怎么发生过本质的变化，从结构上看，还是cpu，缓存，内存，硬盘，网络等主要内容，下面就逐步分析和介绍这些内容的速度到底是多少。1时间概念首先介绍几个时间概念：纳秒（ns，十亿分之一秒）微秒（μs，百万分之一秒)毫秒（ms，千分之一秒）秒（s）差不多1s

(S)%3C(S+)%3E|(S)%3C(S+)%2F%3E|(S+)|(S+)|onerror|onmouse|expression|alert|document.|prompt\()"

日志是人类关于日常生活的一个记录，也是机器运作时对于事件发生的报告。关于网络设备、系统及服务程序等，在运作时都会产生一个叫log的事件记录；每一行日志都记载着日期、时间、使用者及动作等相关操作的描述。当遇到安全攻击事件时，日志能协助进行安全事件还原，能尽快找到事件发生的时间、原因等，通过大量不同安全设备的联动，日志可以关联分析监测真正有威胁的攻击行为，还原出真实的攻击情况。日志可以反应出很多的安全攻击行为，比如登录错误，异常访问等。日志还能告诉你很多关于网络中所发生事件的信息，包括性能信息、故障检测和入侵检测。日志会成为在事故发生后查明“发生了什么”的一个很好的“取证”信息来源。所以日志采集非常必要。1概述一般系统日志分为三大类：用户行为日志、业务变更日志、系统运行日志。日志文件能够详细记录系统每天发生的各种各样的事件，对设备安全、网络安全等起着非常的重要作用。所以，对与常见的日志的采集，如何更加方便的进行查看。当可以统一查看相关日志时，可以节省大量时间。Windows、linux、交换机作为常见的系统资产，其日志包含的价值信息较多，如何高效无误地采集到这些资产的日志。2常见的日志采集方法1.Windows日志采集方法及工具一、通过Nxlog采集windows日志1、环境准备Windows服务器（windows10）Linux服务器（centos7）Elasticsearch2、环境搭建步骤1）在Windows上安装Nxlog，一直Next即可。补充：Nxlog默认是安装在C:\Program