互联网安全防护与应对手册（执行版）.docxVIP

互联网安全防护与应对手册（执行版）

第1章

1.1网络环境基础认知与风险扫描

需明确“网络环境”是指从用户终端（如手机、电脑）到互联网网关及数据中心之间所构成的物理连接与逻辑系统，它由接入层、传输层、汇聚层及核心层共同组成。②在进行风险扫描前，必须识别出扫描的目标范围，包括内网段（如公司局域网/24）、外网段（如公网IP段）以及可能存在的违规接入设备（如私自搭建的WiFi热点）。扫描工具的选择至关重要，应优先使用支持被动探测的开源工具，如Nmap的nmappassive模式，它能在不主动发起请求的情况下探测端口开放情况，从而降低被攻击者察觉的风险。④扫描过程中必须执行“指纹识别”操作，即通过检测操作系统版本、内核版本、安装软件包列表等特征，判断目标主机当前的安全基线状态，以便制定针对性的加固策略。⑤对于高风险端口，如22（SSH）、3389（RDP）和445（SMB），必须单独进行深度扫描，因为这些端口常被用于暴力破解或远程桌面攻击，需额外配置防火墙策略进行防护。在扫描完成后，需输出详细的扫描报告，报告中应包含目标IP的开放端口列表、服务类型及对应的风险等级，为后续应急响应提供数据支撑。

风险扫描的核心目的是发现网络中的异常流量和潜在漏洞，其标准流程包括初始化连接、执行探测命令、解析结果并可视化报告。②在初始化阶段，必须获取目标主机