云計算的五大特征如下：

• 按需自助服務：流程自動化對日常事務的處理是對復雜的非常規事物進行處理的基礎。信息的記錄和比對、模型的參考和自動決策等輔助措施，都能對人們在處理緊急突發事件時起到決定性作用。自助服務使消費者可單方面按需部署處理能力，如服務器時間和網絡存儲，而不必與每個服務供應商進行人工交互。

• 通過網絡訪問：可以通過互聯網獲取各種能力，再通過標準方式訪問，以便通過眾多瘦客戶端或富客戶端推廣使用（例如移動電話、筆記本電腦、PDA等）。被請求的資源是來自于“云”，而不是任何固有形態的實體。硬件和軟件這些資源是以服務的方式通過互聯網提供給用戶的。應用是在“云”中的某處得以運行的，而對于實際用戶來講是完全透明的，也并不需要擔心應用運行的具體位置。

• 與地點無關的資源池：用戶一般無法控制或了解資源的確切位置，這些資源包括存儲、處理器、內存、網絡帶寬和虛擬機器等。云計算可根據訪問用戶的數量來增減相應的IT資源，這些資源包括CPU、存儲、帶寬和中間件應用等。供應商的計算資源被集中后，以多用戶租用模式服務于所有客戶，同時不同的物理和虛擬資源可根據客戶的需求來動態分配和重新分配。這些資源實際上雖是通過分布式的共享方式而存在的，但最終在邏輯方面會以單一整體的形式呈現出來，并可根據用戶業務的需要進行動態擴展和配置。

• 快速伸縮性云資源：可以迅速、彈性地進行能力提供，既能快速擴展，也能快速釋放以實現快速縮小。云計算模式使得在IT資源的規模動態伸縮方面具有極大的靈活性，適用于各個開發和部署階段的各種類型和規模的應用程序。提供者可以根據用戶的需要及時部署資源，最終用戶也可按照各自不同的需要進行選擇。對客戶而言，可租用的資源幾乎是無限的，并可隨時購買任意數量的資源。當此理想化目標得以實現時，用戶幾乎可以隨時需要隨時使用，需要什么就能用到什么，量體裁衣，取舍有度，很好地杜絕了資源浪費現象。

• 按使用付費：當資源得以高效利用時，相應的付出就顯得非常合理了。用戶對云中的資源各取所需，按實際使用量付費，而無需管理它們，這會節約不少預算。能力的收費方式是按照計量的一次一付方式，或按照廣告的收費模式進行，以便促進資源的合理利用。

計算機信息系統的運營、使用單位應當采取下列安全保護技術措施：

• 系統運行和用戶使用日志記錄保存六十日以上措施；

• 記錄用戶賬號、主叫電話號碼和網絡地址的措施；

• 系統重要部分的冗余或者備份措施；

• 身份登記和識別確認措施；

• 垃圾信息、有害信息防治措施；

• 計算機病毒防治措施；

• 網絡攻擊防范和追蹤措施；

• 安全審計和預警措施；

• 信息群發限制措施。

信息系統等級保護的好處如下：

• 對于企業來說，實施信息安全等級保護測評能夠有效地提高單位信息和信息系統安全建設的整體水平，有效控制企業信息安全建設成本；有利于明確國家、法人和其他組織、公民的信息安全責任，加強企業信息安全管理。

• 對于信息系統來說，通過等級保護測評可及時發現信息系統安全狀況并制定方案進行整改，當信息系統完全達到安全保護能力要求時，信息系統就基本可做到“進不來、拿不走、改不了、看不懂、跑不了、可審計、打不垮”。

網絡自身的脆弱性主要體現在以下方面：

• 操作系統的脆弱性：操作系統的脆弱性主要來源于其體系結構上的不足，體現在動態鏈接、創建進程、空密碼和遠程過程調用、超級用戶。

• 計算機系統本身的脆弱性：計算機系統的硬件和軟件故障可影響系統的正常運行，嚴重時系統會停止工作。系統的硬件故障通常包括電源故障、芯片主板故障、驅動器故障等；系統的軟件故障通常包括操作系統故障、應用軟件故障和驅動程序故障等。

• 電磁泄漏：計算機網絡中的網絡端口、傳輸線路和各種處理機都有可能因屏蔽不嚴或未屏蔽而造成電磁信息輻射，從而造成有用信息甚至機密信息泄露。

• 數據的可訪問性：進入系統的用戶可方便地復制系統數據而不留任何痕跡；網絡用戶在一定條件下可以訪問系統中的所有數據，并可將其復制、刪除或破壞。

• 通信系統和通信協議的弱點：網絡系統的通信線路面對各種威脅顯得非常脆弱，非法用戶可對線路進行物理破壞、搭線竊聽、通過未保護的外部線路訪問系統內部信息等。

• 數據庫系統的脆弱性：由于數據庫管理系統對數據庫的管理是建立在分級管理的概念上，因此，DBMS的安全必須與操作系統的安全配套，這無疑是一個先天的不足之處。黑客通過探訪工具可強行登錄或越權使用數據庫數據，會給用戶帶來巨大損失；數據加密往往與DBMS的功能發生沖突或影響數據庫的運行效率。由于瀏覽器/服務器（B/S）結構中的應用程序直接對數據庫進行操作，因此，使用B/S結構的網絡應用程序的某些缺陷可能威脅數據庫的安全。

• 網絡存儲介質的脆弱性：各種存儲器中存儲大量的信息，這些存儲介質很容易被盜竊或損壞，造成信息的丟失；存儲器中的信息也很容易被復制而不留痕跡。

加強物聯網安全監管要做到以下幾點：

• 交換默認密碼：增強物聯網安全性的最重要步驟是通過明智的方法。建議企業執行允許更改默認密碼的程序。應該為網絡上存在的每個物聯網設備實施此操作。此外，更新后的密碼需要及時更改。為了增加安全性，可以將密碼簡單地存儲在密碼庫中。此步驟可以防止未經授權的用戶訪問有價值的信息。

• 分離企業網絡：將其視為將公司網絡與不受管理的IoT設備分開的必不可少的步驟。這可以包括安全攝像機，HVAC系統，溫度控制設備，智能電視，電子看板，安全NVR和DVR，媒體中心，網絡照明和網絡時鐘。企業可以利用VLAN來分離并進一步跟蹤網絡上活動的各種IoT設備。這還允許分析重要功能，例如設施操作，醫療設備和安全操作。

• 將不必要的Internet接入限制到IoT設備：許多設備在過時的操作系統上運行。由于可能故意將任何此類嵌入式操作系統擴展到命令和直接位置，因此這可能成為威脅。過去曾發生過這樣的事件，即這些系統在從其他國家運出之前已經遭到破壞。徹底清除IoT安全威脅是不可能的，但是可以防止IoT設備在組織外部進行通信。這種預防措施顯著降低了潛在的物聯網安全漏洞的風險。

• 控制供應商對IoT設備的訪問：為了提高IoT安全性，一些企業限制了訪問不同IoT設備的供應商數量。作為一個明智的選擇，您可以將訪問權限限制在已經熟練工作的員工的嚴格監督之下。如果非常需要遠程訪問，請檢查供應商是否使用與內部人員相似的相同解決方案。這可能包括通過公司VPN解決方案的訪問。此外，企業應指派一名員工定期監督遠程訪問解決方案。該人員應精通軟件測試的某些方面，以熟練地完成任務。

• 整合漏洞掃描程序：使用漏洞掃描程序是檢測鏈接到網絡的不同類型設備的有效方法。這可以被視為企業提高IoT安全性的有用工具。漏洞掃描程序與常規掃描計劃配合使用，能夠發現與連接的設備相關的已知漏洞。您可以輕松訪問市場上幾種價格合理的漏洞掃描儀。如果不是漏洞掃描程序，請嘗試訪問免費的掃描選項，例如NMAP。

• 利用網絡訪問控制（NAC）：組織可以通過實施由適當的交換機和無線同化組成的NAC解決方案來成功提高IoT安全性。此設置可以幫助檢測大多數設備并識別網絡中有問題的連接。NAC解決方案（例如ForeScout，Aruba ClearPass或CISCO ISE）是保護企業網絡安全的有效工具。如果NAC解決方案不在預算范圍內，則可以利用漏洞掃描程序來實現此目的。

• 管理更新的軟件：擁有過時的軟件可以直接影響您組織的IoT安全。嘗試通過使它們保持最新狀態并更換硬件來管理IoT設備，以確保平穩運行。延遲更新可以證明是保護數據并引發嚴重的網絡安全漏洞的關鍵因素。

企業使用個人信息時要注意以下事項：

• 對被授權訪問個人信息的人員，應建立最小化授權的訪問控制策略；如默認只能用戶自己操作自己的個人信息（如相冊），但在出現異常的時候，還需要授權客戶服務人員、技術支持人員臨時訪問，且該授權跟流程狀態關聯，只有問題單生成且未解決的情況下才允許參與支持的人員訪問，問題解決后回收權限。

• 對個人信息的重要操作設置內部審批流程，如批量下載。

• 對數據操作、安全管理、審計等角色，執行職責分離，不能由同一人擔任其中兩種重要角色。

• 對個人信息加工處理產生的信息，如能單獨或者結合其他信息識別出自然人的身份，則該信息也認定為個人信息。

• 使用個人信息，如超出收集時向用戶明示的范圍，應再次征得用戶同意。

• 對于個性化定制內容（如推送廣告、新聞或信息服務），應顯著標識個性化展示等字樣，并提供簡單直觀的退出選項。

存儲虛擬化技術具有以下特點：

• 集中存儲：存儲資源統一整合管理、集中存儲，形成數據中心模式。

• 分布式擴展：存儲介質易于擴展，由多個異構存儲服務器實現分布式存儲，以統一模式訪問虛擬化后的用戶接口。

• 綠色環保：服務器和硬盤的耗電量巨大，為提供全時段數據訪問，存儲服務器及硬盤不可以停機。但為了節能減排、綠色環保，需要利用更合理的協議和存儲模式，盡可能減少開啟服務器和硬盤的次數。

• 虛擬本地硬盤：存儲虛擬化應當便于用戶使用，最方便的形式是將云存儲系統虛擬成用戶本地硬盤，使用方法與本地硬盤相同。

• 安全認證：新建用戶加入云存儲系統前，必須經過安全認證并獲得證書。

• 數據加密：為保證用戶數據的私密性，將數據存儲到云存儲系統時必須加密。加密后的數據除被授權的特殊用戶外，其他人一概無法解密。

• 層級管理：支持層級管理模式，即上級可以監控下級的存儲數據，而下級無法查看上級或平級的數據。

設置開機密碼可以在一定程度上防止工作中內容和隱私保護被泄漏，以windows系統筆記本為例，開機密碼設置的步驟：

1.進入設置界面

點擊設置，進入Windows設置界面。

2.選擇賬戶

選擇賬戶，找到登錄選項。

3.進入密碼更改頁面

點擊登錄選項，點擊密碼選項。進入更改。

4.輸入當前密碼

輸入當前密碼，點擊下一頁。

5.確認密碼

驗證通過后，輸入新的密碼,下一步，完成。

站點安全直接關系到車聯網服務平臺的可靠性，其防護措施主要有：

• 利用防火墻技術實現 WEB 應用攻擊防護、DDOS 攻擊防護；

• 利用病毒過濾網關過濾攔截病毒、木馬、間諜軟件等惡意軟件；

• 通過上網行為管理系統進行實時監控，防止非法信息傳播、敏感信息泄漏；

• 通過文件底層驅動技術對 Web 站點目錄提供全方位的保護，防止任何類型的文件被非法篡改和破壞。

NFC技術的特點如下：

• 近距離感應：NFC設備之間的極短距離接觸，讓信息能夠在NFC設備之間實現點對點的快速傳輸。

• 安全通信：極短距離通信是其先天的安全性，為了避免信息遭監控或者竄改，NFC的安全機制可采用加/解密系統來保證設備之間的安全通信。在數據部分可用一些算法（如DES、RSA、DSA、MD5等）來實現安全管理，讀寫器與電子標簽（卡）之間也可相互認證，實現安全通信和存儲。

• 極快的處理速度：NFC移動設備從偵測、身份確認到數據存取只需要0.1s的時間。

• 主/被動工作模式可切換：手機內信息既能被讀寫器讀取，手機也能作為讀寫器，還能實現兩部手機間的近距離通信。

• 服務的配對訪問：通過NFC技術可以在單一移動設備上提供多種應用服務。這些服務一一對應到移動設備上，而啟用每一服務時必須輸入對應的密鑰才能訪問，這種管理模式能夠確保其安全性。

華為交換機將日志指向日志審計方法步驟如下：

1. 使能信息中心功能

<HUAWEI> system-view
[HUAWEI] sysname SwitchA
[SwitchA] info-center enable

2. 配置向日志主機發送Log信息的信息通道和輸出規則

# 命名信息通道。

[SwitchA] info-center channel 6 name loghost1
[SwitchA] info-center channel 7 name loghost2

# 配置Log信息輸出到日志主機所使用的信息通道。

[SwitchA] info-center loghost 10.1.1.1 channel loghost1
[SwitchA] info-center loghost 10.1.1.2 channel loghost1
[SwitchA] info-center loghost 10.2.1.1 channel loghost2
[SwitchA] info-center loghost 10.2.1.2 channel loghost2

# 配置向日志主機通道輸出Log信息的規則。

[SwitchA] info-center source arp channel loghost1 log level notification
[SwitchA] info-center source aaa channel loghost2 log level warning

3. 配置發送日志信息接口的IP地址

[SwitchA] vlan 100
[SwitchA-vlan100] quit
[SwitchA] interface gigabitethernet 0/0/1
[SwitchA-GigabitEthernet0/0/1] port link-type hybrid
[SwitchA-GigabitEthernet0/0/1] port hybrid pvid vlan 100
[SwitchA-GigabitEthernet0/0/1] port hybrid untagged vlan 100
[SwitchA-GigabitEthernet0/0/1] quit
[SwitchA] interface vlanif100
[SwitchA-Vlanif100] ip address 172.16.0.1 255.255.255.0
[SwitchA-Vlanif100] return

4. 在Server端配置日志主機

   設備會產生大量的Log信息，而設備本身的存儲空間相對有限，就需要配置日志主機實現對設備Log信息的收集。日志主機可以是安裝UNIX或LINUX操作系統的主機，也可以是安裝第三方日志軟件的主機，具體配置步驟請參見相關手冊。

5. 檢測配置結果

# 查看輸出方向為日志主機的配置信息。

<SwitchA> display info-center
Information Center:enabled
Log host:
        10.1.1.1, channel number 6, channel name loghost1,
language English , host facility local7
        10.1.1.2, channel number 6, channel name loghost1,
language English , host facility local7
        10.2.1.1, channel number 7, channel name loghost2,
language English , host facility local7
        10.2.1.2, channel number 7, channel name loghost2,
language English , host facility local7
Console:
        channel number : 0, channel name : console
Monitor:
        channel number : 1, channel name : monitor
SNMP Agent:
        channel number : 5, channel name : snmpagent
Log buffer:
        enabled,max buffer size 1024, current buffer size 512,
current messages 26, channel number : 4, channel name : logbuffer
dropped messages 0, overwritten messages 0
Trap buffer:
        enabled,max buffer size 1024, current buffer size 256,
current messages 11, channel number:3, channel name:trapbuffer
dropped messages 0, overwritten messages 0
logfile:
        channel number : 9, channel name : channel9, language : English  
Information timestamp setting:
        log - date, trap - date, debug - date millisecond

 Sent messages = 273456, Received messages = 284845

 IO Reg messages = 2 IO Sent messages = 11389

SwitchA的配置文件

#
sysname SwitchA
#
info-center channel 6 name loghost1
info-center channel 7 name loghost2
info-center source ARP channel 6 log level notification
info-center source AAA channel 7 log level warning
info-center loghost 10.1.1.1 channel 6
info-center loghost 10.1.1.2 channel 6
info-center loghost 10.2.1.1 channel 7
info-center loghost 10.2.1.2 channel 7
#
vlan batch 100
#
interface Vlanif100                                                             
 ip address 172.16.0.1 255.255.255.0                                              
# 
interface GigabitEthernet0/0/1                                                  
 port link-type hybrid
 port hybrid pvid vlan 100
 port hybrid untagged vlan 100
# 
return

身份鑒別技術在實現上常有基于口令、密碼技術、生物技術等不同方法：

• 基于口令的鑒別方式

  基于口令的認證方式是最簡單的一種技術。安全性僅依賴于口令，口令一旦被泄露，用戶即可能被冒充。這種鑒別方式，其安全性低。

• 基于智能卡的鑒別方式

  智能卡/usbkey具有硬件加密功能，有較高的安全性。這是一種基于公鑰密碼的身份認證技術，智能卡/usbkey中常保存著用戶的證書（公鑰）和密鑰（私鑰）。

• 基于生物特征鑒別方式

  這種認證方式以人體生物特征（如指紋、虹膜、臉部、掌紋等）為依據，采用計算機的強大功能和網絡技術進行圖像處理和模式識別。目前常用的生物識別主要有：指紋識別、虹膜識別、人臉識別、聲紋識別。

• 一次性口令鑒別方式

  為解決固定口令的問題，安全專家提出了一次性口令（OTP：One Time Password）的認證方式。OTP核心思路是在登錄過程中加入不確定因素，使每次登錄過程中傳送的信息都不相同，以提高登錄過程安全性。

• 短信密碼驗證

  身份認證系統以短信形式發送隨機的6位密碼到客戶的手機上，客戶在登錄或者交易認證時候輸入此動態密碼，從而確保系統身份認證的安全性。

內網安全審計根據類型不同審計內容如下：

• 主機審計：主機審計包含 Windows、Linux、Unix 等操作系統類型。包含客戶機和服務器的審計。當然針對服務器的又衍生出了獨立的服務器審計、服務器加固產品。

• 網絡審計：目前網絡審計和入侵檢測的融合度非常高，但是一般而言，除了入侵行為審計，還應具備 HTTP 審計、POP3/SMTP 審計、Telnet 審計、FTP 審計等。當然這里又有的地方和上網行為管理、上網行為審計有關。

• 數據庫審計：數據庫審計的形式一般有兩種：硬件旁路、軟件 Agent。前者部署便捷對主機無損耗、后者功能強大但易有兼容性問題。

• 運維審計：常見的產品名稱一般為：內控堡壘主機、運維操作審計。主要針對的設備：路由器、交換機、Windows 服務器、Unix 服務器、利用命令行操作的數據庫等。操作方式兼容：SSH、Telnet、RDP、X-Win、VNC、Rlogin、FTP 等。

• 日志審計：通過 syslog、SNMP Trap、FTP、Agent 等方式接收網絡中 “幾乎所有設備、軟件、應用” 的日志信息。

• 業務審計：針對企業的 OA、ERP、財務軟件、繳費軟件等具體業務做審計，幾乎全部需要定制開發，所以市面上做的不算特別多，即使在做一般也不會大張旗鼓的宣傳。

• 配置審計：如果是基于等級保護來做，那么公安的檢查標準里面有一項是針對 Windows、Linux 主機的安全檢查。

會話固定攻擊就是利用服務器的session不變機制，獲取他人的sessionid，借助他人之手獲得認證和授權，然后冒充他人進行攻擊。會話攻擊是結合了嗅探以及欺騙技術在內的攻擊手段。在一次正常的會話過程當中，攻擊者作為第三方參與到其中，將會話當中的某一臺主機“踢”下線，然后由攻擊者取代并接管會話，并同另外一臺主機進行通訊交互。這種攻擊方法危害非常大，攻擊者接管會話后可以做很多事情。

過程如下：

1. Attacker先打開一個網站http://www.****.com，然后服務器會回復他一個session id。比如SID=abcdefg。Attacker把這個id記下了。

2. Attacker給UserA發送一個電子郵件，他假裝是什么推銷什么，誘導UserA點擊鏈接http://unsafe/?SID=abcdefg，SID后面是Attacker自己的session id。

3. UserA被吸引了，點擊了http://unsafe/?SID=abcdefg，像往常一樣，輸入了自己的帳號和口令從而登錄到銀行網站。

4. 因為服務器的session id不改變，現在Attacker點擊http://unsafe/?SID=abcdefg后，他就擁有了Alice的身份。可以為所欲為了。

邏輯漏洞：

• 邏輯漏洞是指由于程序邏輯不嚴謹或邏輯太復雜,導致一些邏輯分支不能夠正常處理或處理錯誤。通俗地講:一個系統的功能太多后,程序開發人員難以思考全面，對某些地方可能有遺漏,或者末能正確處理，從而導致邏輯漏洞。邏輯漏洞也可以說是程序開發人員的思路錯誤、程序開發人員的邏輯存在漏洞。

• 邏輯漏洞覆蓋面很廣,一直以來對于邏輯漏洞尚未產生明確的分類。 其大致包括了:繞過功能限制、遍歷、越權、弱口令、信息泄漏、任意用戶密碼重置、競爭性問題等。在一些場景下,由于功能本身設計復雜、易于出現紕漏,導致針對特定場景下的特定邏輯漏洞問題討論,此類風險場景有:支付安全、驗證碼安全等。特性：非常隱蔽，危害巨大

• 代碼之后是人的邏輯，人更容易犯錯，所以邏輯漏洞一直都在，而且由于邏輯漏洞產生的流量多數為合法流量，一般的防護手段或設備無法阻止，也導致了邏輯漏洞成為了企業防護中的難題。