HTTP更安全一點。FTP沒有針對數據傳輸或存儲的本地加密，潛在地暴露了保密信息，同時 FTP 發送的用戶和密碼也有泄露風險。另外FTP還缺乏審核功能，因此無法確保發送的數據是否合規，數據流向不可控，存在數據泄露的風險。現FTP已逐漸走向消亡。

FTP，即 File Transfer Protocol，文件傳輸協議，是一種用于互聯網上的控制文件的雙向傳輸技術。TCP/IP協議中，FTP標準命令TCP端口號為21，Port方式數據端口為20，FTP的任務是從一臺計算機將文件傳送到另一臺計算機，不受操作系統的限制。

HTTP協議：超文本傳輸協議，是基于TCP的協議，默認為80端口。它的作用是用來規定客戶端和服務器的數據傳輸格式。是一種用于請求與響應模式的、無狀態、無連接 的應用層協議。由于HTTP協議是一種請求-響應模式，所以一般需要關注HTTP請求和HTTP響應。

HTTP協議的主要特點可概括如下：

• 支持客戶/服務器模式

• 簡單快速：客戶向服務器請求服務時，只需傳送請求方法和路徑。請求方法常用的有GET、HEAD、POST。每種方法規定了客戶與服務器聯系的類型不同。由于HTTP協議簡單，使得HTTP服務器的程序規模小，因而通信速度很快

• 靈活：HTTP允許傳輸任意類型的數據對象。正在傳輸的類型由Content-Type加以標記。

• 無連接：無連接的含義是限制每次連接只處理一個請求。服務器處理完客戶的請求，并收到客戶的應答后，即斷開連接。采用這種方式可以節省傳輸時間。

• 無狀態：HTTP協議是無狀態協議。

  無狀態是指協議對于事務處理沒有記憶能力。缺少狀態意味著如果后續處理需要前面的信息，則它必須重傳，這樣可能導致每次連接傳送的數據量增大。另一方面，在服務器不需要先前信息時它的應答就較快。

數據防泄漏能夠從數據安全的“識別、防護、監測、處置、恢復”維度，幫助用戶進行數據安全能力提升，實現“數據安全可管、可控、可視”的保障目標。同時，幫助用戶滿足《網絡安全法》、《數據安全法》對數據安全的合規要求。數據防泄漏主要功能有：

• 文檔加密傳輸

  由于在辦公中，企業的信息通常以電子文檔的形式儲存和呈現，所以對文檔的加密行為必不可少，一般企業會通過封鎖文檔外發渠道或對源文檔進行透明加密來實現文檔數據防泄漏。

• 移動儲存管控

  U盤、移動硬盤、儲存卡等在企業辦公中的應用也非常廣泛且頻繁，管理起來也有一定的難度。通常企業會規定只能使用公司自帶設備拷貝資料，或者是對公司電腦設備加設權限，使得移動存儲設備無法拷貝電腦資料。

• 電子郵件管理

  電子郵件在日常辦公中必不可少，郵件類別有很多，但是無論哪種都存在著安全風險。當前企業對于電子郵件的管控，一般會建立公司專用郵箱，或者對向外傳播的電子郵件過濾關鍵字。

• 日常通訊管控

  微信、QQ等即時通訊軟件已成為人們生活和工作中不可或缺的通訊工具，隨著移動辦公的普及，通過即時通訊工具泄露企業信息的現象越來越高發。出于數據防泄漏的目的，部分企業會直接禁止員工在辦公時使用此類通訊軟件，還有企業會要求使用特定的通訊工具或限定某一項功能。

ARP防火墻設備有以下功能：

• 攔截攻擊：在系統內核層攔截外部虛假ARP數據包，保障系統不受ARP欺騙攻擊的影響，保持網絡暢通及通信安全。在系統內核層攔截本機對外的ARP攻擊數據包，以減少感染惡意程序后對外攻擊給用戶帶來的麻煩。

• 攔截IP地址沖突：在系統內核層攔截IP地址沖突數據包，保障系統不受IP地址沖突攻擊的影響。

• DoS攻擊抑制：在系統內核層攔截本機對外的TCP SYN/UDP/ICMP/ARP DoS攻擊數據包，定位惡意發動DoS攻擊的程序，從而保證網絡的暢通。

• 安全模式：除了網關外，不響應其他機器發送的ARP Request，達到隱身效果，減少受到ARP攻擊的概率。

• ARP數據分析：分析本機接收到的所有ARP數據包，掌握網絡動態，找出潛在的攻擊者或中毒的機器。

• 監測緩存：自動監測本機ARP緩存表，如發現網關MAC地址被惡意程序篡改，將報警并自動修復，以保持網絡暢通及通信安全。

• 主動防御：主動與網關保持通信，通告網關正確的MAC地址，以保持網絡暢通及通信安全。

• 追蹤攻擊者：發現攻擊行為后，自動快速鎖定攻擊者的IP地址。

• 病毒專殺：發現本機有對外攻擊行為時，自動定位本機感染的惡意程序、病毒程序。

SDP安全架構可以為使用者提供以下服務：

• 阻止網絡攻擊：SDP的安全模型融合了設備身份驗證、基于身份的訪問和動態配置連接三大組件，阻止大部分類型的網絡攻擊，類似像DDos攻擊、中間人攻擊、服務器查詢、OWASP、ATP等。

• 提供多種身份驗證：SDP要求用戶拿出多種身份驗證信息，比如時間、位置、終端情況等等，用以證實該用戶的身份，或者驗證用戶能否被信任。

• 腳本化檢測設備多種信息：SDP還能夠腳本化，以便能夠檢查除設備信息之外的更多情況。

• 收集并分析數據提供用戶授權：SDP能夠收集并分析其他數據源，以提供上下文，幫助進行用戶授權動作。這能確保在合法用戶試圖訪問新設備或不同設備上資源的時候，有足夠的信息可供驗證用戶并授權訪問。

• 加強企業隧道的安全性：SDP在用戶和所請求的資源間創建一條安全的加密隧道，保護二者之間的通信。而且，網絡的其他部分則被設為不可見。

• 隱藏網絡資源減少攻擊面：通過隱藏網絡資源，SDP可減小攻擊界面，并清除用戶掃描網絡和在網絡中橫向移動的可能性。

針對跨站請求偽造攻擊的防御手段有以下這些：

• 增加Token驗證：對關鍵操作增加Token參數，token必須隨機，每次都不一樣；

• 關于安全的會話管理，避免會話被利用：不要在客戶端保存敏感信息，比如身份驗證信息。退出、關閉瀏覽器時的會話過期機制，設置會話過機制，比如15分鐘無操作，則自動登錄超時；

• 訪問控制安全管理：敏感信息的修改時需要身份進行二次認證，比如修改賬號密碼，需要判斷舊密碼。建議敏感信息的修改使用POST，而不是GET，建議通過HTTP頭部中的REFERER來限制原頁面；

• 增加驗證碼：一般在登錄主要防暴力破解，也可以用在其他重要信息操作的表單中，但是需要考慮可用性；

• 驗證HTTP Referer字段：HTTP頭中的Referer字段記錄了該HTTP請求的來源地址。在通常情況下，訪問一個安全受限頁面的請求來自于同一個網站，而如果黑客要對其實施CSRF攻擊，他一般只能在他自己的網站構造請求。因此，可以通過驗證Referer值來防御CSRF攻擊。

• 在HTTP頭中自定義屬性并驗證：這種方法也是使用token并進行驗證，這里并不是把token以參數的形式置于HTTP請求中，而是把它放到HTTP頭中自定義的屬性里。通過XMLHttpRequest這個類，可以一次性給所有該類請求加上csrftoken這個HTTP頭屬性，并把token值放入其中。通過XMLHttpRequest請求的地址不會被記錄到瀏覽器的地址欄，也不用擔心token會透過Referer泄露到其他網站中去。

防火墻有以下安全隱患：

• ip地址欺騙：主要是通過修改數據包來假冒內部主機地址；

• ip隧道攻擊：在80端口發送能產生穿過防火墻的ip隧道程序；

• ip碎片攻擊：有意發送總長度超過65535的ip碎片來使服務器崩潰和拒絕服務；

• ip分片攻擊：通過發送第一個合法的ip分片騙過防火墻的檢測接著發送惡意數據來穿透防火墻；

• 報文攻擊：報文攻擊又稱為路由攻擊是攻擊者發動一些報文從而改變或干擾路由器的路線選擇；

• 數據驅動攻擊：攻擊者把有害數據隱藏在普通正常數據中傳送到防火墻來造成攻擊；

• 特洛伊木馬攻擊：在某一合法程序內完成偽裝預定功能的代碼段來造成攻擊；

• 基于堡壘機的web服務器的攻擊：攻擊者設想吧堡壘主機web服務器轉變成避開防火墻內外部路由器作用影響的系統；

• 口令字攻擊：通過內部或者外部接口來枚舉防火墻的管理口令字；

• SYN Flood洪水攻擊：DDoS攻擊中最流行且常用的一種，模仿大量數據訪問流使被攻擊方的CPU或內存耗盡而宕機；

• 電污染攻擊：防火墻自身的原因，可能在使用時自身出現誤碼、死機、芯片損壞等問題或者電磁、無線電干擾等電污染；

• 郵件詐騙：釣魚攻擊常用手段之一，也是成功率最高的手段之一，不針對防火墻而是針對使用者。

IP地址欺騙的防御辦法有以下這些：

• 防范源路由欺騙：設置路由器禁止使用源路由，防范信任關系欺騙，不使用信任關系或不允許通過外部網絡使用信任關系。

• 防范會話劫持攻擊：進行加密，如果攻擊者不能讀取傳輸數據，那么進行會話劫持攻擊也是十分困難的。

• 使用安全協議：像SSH（Secure Shell）這樣的協議或是安全的Telnet都可以使系統免受會話劫持攻擊。

• 限制保護措施：允許從網絡上傳輸到用戶單位內部網絡的信息越少，那么用戶將會越安全，這是個最小化會話劫持攻擊的方法。

• 開啟垃圾郵件過濾器：這將防止大多數欺騙郵件進入你的收件箱。

• 檢查通信：如果潛在的欺騙攻擊包含語法錯誤或句子結構異常的跡象，則可能是非法的請求。另外，請務必仔細檢查網站的URL地址或電子郵件發件人地址。

• 確認信息：如果有可疑的郵件或電話，給發件人發個短信或打個電話，確認你收到的信息是否合法。

• 點擊前懸停：如果某個網址看起來可疑，請將鼠標懸停在該鏈接上，以便在點擊該鏈接之前可以確切地知道該頁面將帶你到哪里。

• 設置雙因素身份驗證：設置雙因素身份驗證是一種在密碼中添加另一層密碼的好方法。。然而，它并不是完全萬無一失的，所以確保你還考慮了其他安全措施。

• 網絡安全軟件：安裝網絡安全軟件是保護自己免受在線欺詐的最大防御手段。如果遇到麻煩，請下載惡意軟件清除或防病毒軟件以保護計算機免受任何惡意威脅或病毒的攻擊。

• 不要點擊不熟悉的鏈接或下載：如果鏈接或下載文件看起來不合法，請不要點擊它們。如果它們來自詐騙者，它們通常會包含惡意軟件或其他病毒，這些病毒可能會感染你的計算機。

• 不要接聽來自無法識別的發件人的電子郵件或電話：如果發件人無法識別，請不要接聽電話或電子郵件，這可以幫助防止與潛在的詐騙者進行任何通信。

• 不要泄漏個人信息：避免泄漏你的個人和私人信息，除非你確定它是可信任的來源。

• 不要重用密碼：為你的登錄設置更強的密碼，讓詐騙者更難猜到。經常更換它們，避免在大多數登錄時使用相同的密碼。

數據安全密切的相關技術主要有以下這些：

• 訪問控制技術：該技術主要用于控制用戶可否進入系統以及進入系統的用戶能夠讀/寫的數據集。

• 數據流控制技術：該技術和用戶可訪問數據集的分發有關，用于防止數據從授權范圍擴散到非授權范圍。

• 推理控制技術：該技術用于保護可統計的數據庫，以防止查詢者通過精心設計的查詢序列推理出機密信息。

• 數據加密技術：該技術用于保護機密信息在傳輸或存儲時被非授權泄露。

• 數據保護技術：該技術主要用于防止數據遭到意外或惡意的破壞，保證數據的可用性和完整性。

雙重認證，又譯為雙重驗證、雙因素認證、二元認證，也是一種又稱兩步驟驗證，是一種認證方法。電腦訪問控制的方法，用戶要通過兩種以上的認證機制之后，才能得到授權，使用電腦資源。例如，用戶要輸入PIN碼，插入銀行卡，最后再經指紋比對，通過這三種認證方式，才能獲得授權。這種認證方式可以提高安全性。多重要素驗證的概念也廣泛應用于計算機系統以外的各領域。

雙因素認證的方式有以下這些：

• 驗證另一個賬號的所有權：典型的實現方式是認為同一個用戶擁有另一個系統的賬號，驗證另一賬號即可。

• 驗證當前用戶的生物特征:人臉識別、指紋識別、聲音識別 隨著人工智能的興起，生物特征識別也能簡單實現，可以使用人臉、指紋、聲音等生物特征進行識別。但該方法容易引起用戶反感，大多數用戶都不愿意讓應用輕易使用自己的生物特征等敏感信息。

• 驗證以前初始化的一個動態令牌的掌握情況：使用的是同一種形式，即在初始化時將隨機密碼傳遞給用戶，并且在服務端儲存一份。在需要驗證時，客戶端根據密碼+時間+特定的加密算法單向運算出一個校驗碼，用戶輸入該校驗碼，服務端通過相同的密碼+時間+加密算法也進行相同的計算，比較兩者是否相同，即可實現二次驗證。

反應性網絡風險管理方法包括以下階段：

• 遏制損害階段：遏制攻擊造成的損害有助于遏制其他損害。快速保護重要的數據、軟件和硬件。最大程度地減少計算機應用資源的中斷是一個重要的考慮因素，但是在攻擊期間保持系統運行可能會導致比長期運行時更為廣泛傳播的問題。例如，如果環境感染了蠕蟲病毒，可以通過斷開服務器與網絡的連接來遏制損害。但是，有時斷開服務器可能導致更大損害而無益。請使用最好的判斷力及對自己網絡與系統的了解做出此決定。如果確定沒有副作用，或措施的正面效果超過了負面效果，在安全事件期間應通過從網絡斷開受影響的系統盡快開始實施遏制措施。如果不能通過隔離服務器來遏制損害，確保積極監視攻擊者的行動以便能夠盡可能快地消除損害。在任何事件中，確保在關閉任何服務器之前保存所有日志文件，以保留這些文件所含的信息，作為以后你（或你的律師）需要的證據。

• 評估損害階段：立即制作受到攻擊的任何服務器中硬盤的副本，并將這些副本另放他處以便以后鑒定時使用，然后評估損害。應在遏制情形并復制硬盤后盡快確定攻擊造成的損害程度，這樣便可以盡快恢復組織的運作，同時保留硬盤的副本以便進行調查。如果不能及時評估損害，應當實施應變計劃，以便可以維持正常的業務運營和工作效率。此時，組織可能想對事件實施法律行動。但是，應當在事件發生前與有權管轄組織業務的法律實施機構建立并維護工作關系，這樣便可在發生嚴重問題時知道向誰聯系及如何與他們協同工作。也應當立即通知相關的法律部門，這樣他們便可確定是否可以因損害而向肇事者提起民事訴訟。

• 確定損害原因階段：為了確定攻擊的起源，必須弄清此次攻擊瞄準的是哪些資源，以及它是通過什么安全漏洞來獲得訪問權或中斷服務的。在直接受影響的系統以及向系統傳輸數據流量的網絡設備上檢查系統配置、修補程序級別、系統日志和審核記錄。這些檢查通常有助于發現攻擊源于系統中的哪一位置以及還有其他哪些資源受到了影響。應在適當計算機系統上執行此操作，必須使那些驅動器保持為未經使用狀態以便進行鑒定，這樣執法部門或律師可用這些驅動器來跟蹤攻擊者并將其繩之以法。如果需要建立一個用于測試的備份以確定損害原因，請從原來的系統建立第二個備份。

• 修復損壞部分階段：在多數情況下，非常重要的是要盡快修復損壞部分，以便恢復正常的業務運營，并修復攻擊期間丟失的數據。組織的業務連續性計劃和步驟應包括此恢復策略。還應有事件響應小組來處理修復和恢復過程，或向負責小組提供恢復過程指導。在恢復期間，需要執行應急步驟以遏制損害的擴展并將損害隔離起來。將修復后的系統投入服務后，請通過確保已解決在事件發生期間被利用的任何漏洞，使系統不會立即被重新感染。

• 審查響應和更新策略階段：在文檔制作和恢復階段完成之后，應全面審查整個流程。與小組成員一起討論哪些步驟成功了，以及出現了哪些疏漏。在任何情況下，都會發現整個過程總是存在需要修改的地方。只有不斷完善，才能更好地應對將來可能發生的事件。將不可避免地發現事件響應計劃中存在弱點。這是這種事后方法的關鍵——正在尋求改善的機會。任何缺陷將推動另一輪事件響應規劃流程，這樣便可更加順暢地處理將來的事件。

防火墻殺毒軟件有：

• 安全狗防火墻：安全狗云安全平臺（服云），提供專業的云安全服務，解決在混合云、私有云、公有云及傳統環境下可能遇到的各種安全與管理問題。

• 360網絡防火墻：360網絡防火墻是一款保護用戶上網安全的產品，在用戶看網頁、玩網絡游戲、聊天時阻截各類網絡風險；

• 云鎖：云鎖是基于操作系統內核加固技術的免費服務器安全管理軟件，由國內信息安全廠商椒圖科技自主研發；

• 護衛神：是一款以分離權限為基礎，通過一系列獨特技術手段，保障網站不被入侵的安全防護軟件。適用于各類采用ASP和PHP編寫的程序，如帝國CMS、織夢CMS(dedecms)、PHPCMS、馬克斯電影系統、Discuz、Phpwind、EcShop、Shopex、最土團購程序、MYMPS等等；

• BitDefender：殺毒軟件是來自羅馬尼亞的老牌殺毒軟件，二十四萬超大病毒庫，它將為你的計算機提供最大的保護，具有功能強大的反病毒引擎以及 互聯網過濾技術，為你提供即時信息保護功能，通過回答幾個簡單的問題，你就可以方便的進行安裝，并且支持在線升級；

• 卡巴斯基：它提供了所有類型的抗病毒防護，抗病毒掃描儀、監控器、行為阻段、完全檢 驗、E-mail通路和防火墻。它支持幾乎是所有的普通操作系統；

• F-Secure AntiVirus：來自Linux的故鄉芬蘭的殺毒軟件，集合AVP,LIBRA,ORION,DRACO四套殺毒引擎,其中一個就是Kaspersky的殺毒內核，而 且青出于藍勝于藍，個人感覺殺毒效率比Kaspersky要好，該軟件采用分布式防火墻技術，對網絡流行病毒尤其有效。

• 使用高防高性能高速網絡服務器

如果自己經濟條件允許，可以使用高防高性能高速網絡服務器。此類服務器性能好，寬帶速度快，防御性也比較好，可有效防御CC攻擊。

• 隱藏服務器IP

隱藏自己的服務器IP，ping自己的網站域名時不會顯示自己的網站IP，也可以有效避免CC攻擊。

• 做好網站程序和服務器自身維護

做好網站程序和服務器自身維護，盡可能把網站做成靜態頁面。做好服務器漏洞防御，服務器權限設置，最好把數據庫和程序單獨拿出根目錄，更新使用的時候再放進去，也可有效防御CC攻擊，不過此舉操作較為麻煩。

相比VPN，零信任網絡安全架構具備以下三大優點：

• 不存在網絡橋接，不會劫持用戶流量。

• VPN設備的一大問題，在于需要匹配專有軟件/操作系統配置——這類配置正是阻礙自動修復程序的元兇，而零信任架構可以選擇的OpenSSH安全記錄要好得多。

• 與VPN一旦用戶登錄就獲得完全授信不同，零信任的主機保護解決方案會對每個應用程序進行嚴密監控，記錄應用的所有活動并執行流量過濾。如此一來，即使攻擊者成功侵入私有云VPC網絡入口點位置，其實也沒有什么后續空間可以利用。

相比缺點：

• 架構復雜，實施有一定難度；

• 技術還處于發展期，廠商不多，難以購買；

邊緣計算網關平臺有以下應用場景：

• 工業應用數據的視化場景：在數據可視化時，在沒有邊緣網關平臺的時候，云平臺只能采集原始數據，數據分析人員將需要優化業務流程從而進一步處理數據庫中的原始數據；而通過邊緣流式計算可以很好的解決上述問題，邊緣網關在邊緣側通過流式計算得到一些處理過的數據，然后上報至云平臺，從而可以大大降低數據分析的工作量，提高數據的可視化能力。

• 面向機器的自我診斷能力提升：工控設備測量數據常常由于各種因素（網絡因素、設備自身精度因素）經常會出現抖動情況，如果對設備的實時采集值配置閾值告警，經常會出現誤告警，導致用戶需要處理大量無用告警，逐漸用戶對告警的準確性失去信心，閾值告警形同虛設。而通過使用邊緣網關內的邊緣計算網關平臺，在邊緣側進行自診斷以及自維護，并將診斷后的結果再上報云端，可以大大提升機器的故障診斷與維護能力。

• 工業設備的預測性維護：在工控設備維護場景中，設備的不及時維護以及設備問題的定位往往會給生產帶來極大的不方便以及難以估量的損失。因此，將邊緣計算應用于工業設備的預測維護場景中，邊緣計算不僅可以在短時間預知工業設備的損壞情況，迅速處理出現的情況，及時維護設備；另一方面，方便維修人員定位設備問題并檢修。這樣可以節省設備損耗，提高工業競爭力。

• 安平監控場景：通過在邊緣的視頻預分析，實現園區、住宅、商超等視頻監控場景實時感知異常事件，實現事前布防、預判，事中現場可視、集中指揮調度，事后可回溯、取證等業務優勢。

• 工業視覺場景：傳統的工業制造主要采用人工肉眼檢測產品的缺陷，不僅使得檢測產品速度慢、效率低下，而且在檢測過程中容易出錯，導致誤檢、漏檢等問題，基于機器視覺的質檢方案，通過云端建模分析與邊緣實時決策的結合，實現自動視覺檢測，提升產品質量。

• 文字識別場景：在邊緣完成數據脫敏，對完整圖片進行切片，實現本地化處理和存儲關鍵數據和隱私數據，云端進行文字識別，提供靈活、可擴展、高可用的端到端解決方案。

物聯網中間件具有以下特性：

• 健壯性：在中間件軟件設計中的核心要素是可復用組件的設計，通過引入多種設計模式，體系結構將充分考慮組件復用和職責分配問題。

• 靈活性和可擴展性：其主要體現在引入中間件技術來構建無物聯網應用支撐系統，通過這些中間件可以靈活地組織現有的資源，擴充系統的功能。

• 簡單性：物聯網中間件軟件是為了方便用戶開發各類應用業務，因此簡單性是其核心要求。此外，簡單性還將通過系統的靈活性、可動態的擴展以及自動轉換功能而得以體現。

• 屏蔽異構性：異構性表現在計算機的軟硬件之間的異構性，包括硬件（CPU和指令集、硬件結構、驅動程序等）、操作系統（不同操作系統的API和開發環境）、數據庫（不同的存儲和訪問格式）等。

• 實現互操作性：在物聯網中，同一個信息采集設備所采集的信息可能要供給多個應用系統，不同的應用系統之間的數據也需要相互共享和互通。但是因為異構性，不同應用系統所產生的數據結果依賴于計算環境，使得各種不同軟件之間在不同平臺之間不能移植，或者移植非常困難，而且，因為網絡協議和通信機制的不同，這些系統之間還不能有效地相互集成。通過中間件可建立一個通用平臺，實現各應用系統、應用平臺之間的互操作。

• 數據的預處理性：物聯網的感知層將采集海量的信息，如果把這些信息直接傳輸給應用系統，那應用系統對于處理這些信息將不堪重負，甚至面臨崩潰的危險。而且應用系統想要得到的并不是這些原始數據，而是對其有意義的綜合性信息。這就需要中間件平臺將這些海量信息進行過濾，融合成有意義的事件再傳給應用系統。