無文件攻擊方式有：

• 完全無文件攻擊：完全無文件的攻擊可以被視為不需要在磁盤上寫入文件的惡意軟件。第一種情況是沒有借助外部設備的完全無文件攻擊。例如，目標計算機接收利用EternalBlue漏洞的惡意網絡數據包，導致DoublePulsar后門的安裝，該后門最終僅駐留在內核內存中。在這種情況下，沒有文件或任何數據寫入文件。另一種情況是利用設備來感染系統，其中惡意代碼可能隱藏在設備固件（例如BIOS），USB外設（例如BadUSB攻擊）甚至網卡固件中。所有這些示例都不需要磁盤上的文件即可運行，并且理論上只能駐留在內存中，即使重新啟動，重新格式化磁盤和重新安裝OS也能幸免。

• 利用間接文件：惡意軟件還有其他方法可以在機器上實現無文件存在，并且無需進行大量的工程工作。這種類型的無文件惡意軟件不會直接在文件系統上寫入文件，但最終可能會間接使用文件。Poshspy后門就是這種情況。攻擊者在WMI存儲空間中放置了惡意的PowerShell命令，WMI存儲庫存儲在物理文件上，該物理文件是CIM對象管理器管理的中央存儲區域，通常包含合法數據。因此，盡管感染鏈從技術上確實使用了物理文件，但出于實際目的，考慮到WMI存儲庫無法簡單地檢測和刪除的多用途數據容器，另外并配置了WMI篩選器以定期運行該命令。通過這種無文件后門技術，攻擊者可以構造一個非常獨立的后門，并與他們之前的普通后門結合使用，確保在普通后門失效后還能實現對目標的持久性滲透。

• 僅操作需要的文件：一些惡意軟件可以具有某種無文件的持久性，但并非不使用文件進行操作。這種情況的一個示例是Kovter，Kovter最常見的感染方法之一是來自基于宏的惡意垃圾郵件的附件。一旦單擊了惡意附件（通常是受損的Microsoft Office文件），惡意軟件就會在通常位于％ApplicationData％或％AppDataLocal％的隨機命名的文件夾中安裝快捷方式文件，批處理文件和帶有隨機文件擴展名的隨機文件。基于隨機文件擴展名的注冊表項也安裝在“HKEY_CLASSES_ROOT”中，以指導隨機文件的執行以讀取注冊表項。這些組件用于執行惡意軟件的外殼生成技術。這是該攻擊的第一階段。在第二個階段中，將為隨機文件創建注冊表項，其中包含執行KOVTER進程的惡意腳本。這意味著當受感染的計算機重新啟動或觸發快捷方式文件或批處理文件時，注冊表項中的惡意腳本就會加載到內存中。惡意腳本包含外殼程序代碼，惡意軟件將其注入到PowerShell進程中。隨后，外殼程序代碼將解密位于同一注冊表項中的二進制注冊表項被注入到一個創建的進程中（通常為regsvr 32.exe），生成的regsvr32.exe將嘗試連接各種URL，這是其點擊欺詐活動的一部分。

工控蜜罐防止被識別方法有以下這些：

• 如果蜜罐服務要部署在外網，盡量避免使用云服務廠商提供的服務。

• 如果蜜罐服務部署在企業內網，盡量在蜜罐服務或者仿真程序前面部署一個vxworks系統的設備，并在上面開啟端口轉發服務，或者利用Qmenu模擬運行vxworks操作系統，使攻擊者誤以為掃描到的工控設備使用的是vxworks實時操作系統。

• 定期修改蜜罐內部特征，如conpot蜜罐模板信息，conpot源碼中返回報文的協議特征。同一個ip蜜罐節點，盡量只開放如真實plc設備的端口和服務，如502、80、161等端口，避免開放過多及無效的應用端口，被攻擊者快速識別蜜罐。

• 修改宿主機mac地址，盡可能修改成西門子、GE等工控設備的MAC地址，增加攻擊者識別蜜罐的難度。

• 服務蜜罐盡可能實現協議規約必須的功能碼，如施耐德plc的17、42、90信息獲取功能碼任何一個。

• 盡可能實現高交付服務蜜罐，也可以采用虛實結合部署方式進行部署，增加蜜罐識別難度。

避免網絡癱瘓的措施有以下這些：

• 堵住安全漏洞：限制系統物理訪問是確保路由器安全的最有效方法之一。限制系統物理訪問的一種方法就是將控制臺和終端會話配置成在較短閑置時間后自動退出系統。避免將調制解調器連接至路由器的輔助端口也很重要。一旦限制了路由器的物理訪問，用戶一定要確保路由器的安全補丁是最新的。漏洞常常是在供應商發行補丁之前被披露，這就使得黑客搶在供應商發行補丁之前利用受影響的系統，這需要引起用戶的關注。

• 避免身份危機：黑客常常利用弱口令或默認口令進行攻擊。加長口令、選用30到60天的口令有效期等措施有助于防止這類漏洞。另外，一旦重要的IT員工辭職，用戶應該立即更換口令。用戶應該啟用路由器上的口令加密功能，這樣即使黑客能夠瀏覽系統的配置文件，他仍然需要破譯密文口令。實施合理的驗證控制以便路由器安全地傳輸證書。在大多數路由器上，用戶可以配置一些協議，如遠程驗證撥入用戶服務，這樣就能使用這些協議結合驗證服務器提供經過加密、驗證的路由器訪問。驗證控制可以將用戶的驗證請求轉發給通常在后端網絡上的驗證服務器。驗證服務器還可以要求用戶使用雙因素驗證，以此加強驗證系統。雙因素的前者是軟件或硬件的令牌生成部分，后者則是用戶身份和令牌通行碼。其他驗證解決方案涉及在安全外殼(SSH)或IPSec內傳送安全證書。

• 禁用服務：擁有眾多路由服務是件好事，但近來許多安全事件都凸顯了禁用不需要本地服務的重要性。需要注意的是，禁用路由器上的CDP可能會影響路由器的性能。另一個需要用戶考慮的因素是定時。定時對有效操作網絡是必不可少的。即使用戶確保了部署期間時間同步，經過一段時間后，時鐘仍有可能逐漸失去同步。用戶可以利用名為網絡時間協議(NTP)的服務，對照有效準確的時間源以確保網絡上的設備時針同步。不過，確保網絡設備時鐘同步的最佳方式不是通過路由器，而是在防火墻保護的非軍事區(DMZ)的網絡區段放一臺NTP服務器，將該服務器配置成僅允許向外面的可信公共時間源提出時間請求。在路由器上，用戶很少需要運行其他服務，如SNMP和DHCP。只有絕對必要的時候才使用這些服務。

• 限制邏輯訪問：限制邏輯訪問主要是借助于合理處置訪問控制列表。限制遠程終端會話有助于防止黑客獲得系統邏輯訪問。SSH是優先的邏輯訪問方法，但如果無法避免Telnet，不妨使用終端訪問控制，以限制只能訪問可信主機。因此，用戶需要給Telnet在路由器上使用的虛擬終端端口添加一份訪問列表。控制消息協議(ICMP)有助于排除故障，但也為攻擊者提供了用來瀏覽網絡設備、確定本地時間戳和網絡掩碼以及對OS修正版本作出推測的信息。為了防止黑客搜集上述信息，只允許以下類型的ICMP流量進入用戶網絡：ICMP網無法到達的、主機無法到達的、端口無法到達的、包太大的、源抑制的以及超出生存時間(TTL)的。此外，邏輯訪問控制還應禁止ICMP流量以外的所有流量。

• 使用質量較高的硬件：選擇水晶頭、網線等硬件設備時盡量選擇符合國標質量的產品，保證網絡不會因為硬件產品的質量導致網絡癱瘓，當使用非標準的或劣質的水晶頭的工作站的數據流量很大時，會導致網絡阻塞，質量沒有問題的水晶頭則不會產生這種問題。網線的選擇盡量使用屏蔽雙絞線網線，這樣可以最大程度上降低因為電磁干擾來降低網絡癱瘓的可能性。

網絡釣魚屬于社會工程學攻擊的一種，網絡釣魚就是攻擊者利用欺騙性的電子郵件和偽造的 Web 站點來進行網絡詐騙活動，受騙者往往會泄露自己的私人資料，如信用卡號、銀行卡賬戶、身份證號等內容。詐騙者通常會將自己偽裝成網絡銀行、在線零售商和信用卡公司等可信的品牌，騙取用戶的私人信息。

防范措施：

• 殺毒軟件要安裝。安裝殺毒軟件并定期更新病毒庫，開啟殺毒軟件對郵件附件的掃描功能。同時定期下載和安裝系統和軟件的更新；

• 登錄口令要保密。要做到不向任何人主動或輕易地泄露郵箱的密碼信息。不要將登錄口令貼在辦公桌或者易于被發現的記事本上。辦公郵箱的密碼要定期更換。

• 郵箱賬號要綁定手機。將郵箱帳號與個人手機號碼綁定，不光可以找回密碼，也可以接收“異地登錄提醒”信息。

• 公私郵箱要分離。不用工作郵箱注冊公共網站的服務，也不要用工作郵箱發送私人郵件。

• 重要文件要做好防護。（1）及時清空收件箱、發件箱和垃圾箱內不再使用的重要郵件；（2）備份重要文件，防止被攻擊后文件丟失；（3）重要郵件或附件應加密發送，且正文中不能附帶解密密碼。

• 不要輕信發件人地址中顯示的“顯示名”。因為顯示名實際上是可以隨便設置的，要注意閱讀發件郵箱全稱。

• 不要輕易點開陌生郵件中的鏈接。正文中如果有鏈接地址，切忌直接打開，大量的釣魚郵件使用短鏈接或帶鏈接的文字來迷惑用戶。如果接到的郵件是郵箱升級、郵箱停用等辦公信息通知類郵件，在點開鏈接時，還應認真比對鏈接中的網址是否為單位網址，如果不是，則可能為釣魚郵件。

• 不要放松對“熟人”郵件的警惕。攻擊者常常會利用攻陷的組織內成員郵箱發送釣魚郵件，如果收到了來自信任的朋友或者同事的郵件，你對郵件內容表示懷疑，可直接撥打電話向其核實。

• 不要使用公共場所的網絡設備執行敏感操作。在無法確定其安全性的前提下，請不要在連接Wi-Fi后進行登錄和收發郵件，慎防免費無線網絡因疏于管理被別有用心人士使用數據截留監偵手段獲取用戶信息。

• 不要將敏感信息發布到互聯網上。用戶發布到互聯網上的信息和數據會被攻擊者收集。攻擊者可以通過分析這些信息和數據，有針對性的向用戶發送釣魚郵件。

中招后續處理：

• 及時報告。及時報給郵箱管理員，請專業的安全人員進一步處理和開展后續系統清理以及恢復工作。

• 修改登錄密碼。郵箱的登錄密碼可能已經泄露，應在另外的機器上及時修改密碼，防止攻擊者獲取郵箱中的郵件、聯系人等敏感信息，遏制黑客進一步的攻擊滲透。

• 全盤殺毒。釣魚郵件中的鏈接或者附件等可能帶有病毒、木馬或勒索程序。發現異常應及時做全盤掃描殺毒，最好使用多個殺毒軟件交叉殺毒。

• 隔離網絡。切斷受感染設備的網絡連接（拔掉網線或者禁用網絡），避免網絡內其他設備被感染滲透，使安全事件范圍得到控制，防止敏感文件被竊取，降低安全事件帶來的損失。

內網都有以下常見的安全問題：

• 缺乏有效身份認證機制：對內部主機使用者缺乏特定的身份識別機制，只需一根網線或者在局域網AP信號覆蓋的范圍之內，即可連入內部網絡獲取機密文件資料。內網猶如一座空門大宅，任何人都可以隨意進入。往往管理者都比較注重終端訪問服務器時的身份驗證，一時之間，CA、電子口令卡、radius等均大行其道，在這種環境下，被扔在墻角的終端之間非認證互訪則成為了機密泄露和病毒傳播的源頭，而終端之間的聯系恰巧就是網絡。

• 缺乏訪問權限控制機制：許多單位的網絡大體上可以分為兩大區域：其一是辦公或生產區域，其二是服務資源共享區域，上述兩大邏輯網絡物理上共存，并且尚未做明確的邏輯上的隔離，辦公區域的人員往往可隨意對服務器區域的資源進行訪問。另外需要的注意的是，來賓用戶在默認情況下，只要其接入內部網絡并開通其網絡訪問權限，相應的內部服務資源的訪問權限也將一并開通，內網機密文件資源此時將赤裸暴露于外部。

• 內網主機漏洞：內網安全的管理與外網相比存在一定的難度，究其主要原因就在于，內網的管理面比較大，終端數較多，終端使用者的IT技能水平層次不齊，而這在領導看來往往會歸結到管理的層面，因此實施起來壓力大，抵觸情緒多，并且會形成各種各樣的違規對策，單槍匹馬的”管理”往往身體懸在半空，心也懸在半空。技術人員往往亟需技術手段的輔助來形成一個立體化的安全模型，也需要有更為開闊的思路看待內網的安全問題。

• 內網邏輯邊界不完整：國內定義的網絡邊界防護由于《等保》的詮釋往往被理解為網絡出口保護，而在現實情況中的邊界早已超越了”出口”這一狹隘的概念，而真正擴展到全網，其中的關鍵就是內網的邊界——網絡的入口。換言之，邊界防護更應該是所有網絡邊界的防護并側重于內網入口的防護。

內網安全通過以下方式來保障：

• 為合作企業網建立內網型的邊界防護：合作企業網也是造成內網安全問題的一大原因。例如安全管理員雖然知道怎樣利用實際技術來完固防火墻，保護MS-SQL，但是Slammer蠕蟲仍能侵入 內網，這就是因為企業給了他們的合作伙伴進入內部資源的訪問權限。由此，既然不能控制合作者的網絡安全策略和活動，那么就應該為每一個合作企業創建一個 DMZ，并將他們所需要訪問的資源放置在相應的DMZ中，不允許他們對內網其他資源的訪問。

• 自動跟蹤的安全策略：智能的自動執行實時跟蹤的安全策略是有效地實現網絡安全實踐的關鍵。它帶來了商業活動中一大改革，極大的超過了手動安全策略的功效。商業活動的現狀需要 企業利用一種自動檢測方法來探測商業活動中的各種變更，因此，安全策略也必須與相適應。例如實時跟蹤企業員工的雇傭和解雇、實時跟蹤網絡利用情況并記錄與 該計算機對話的文件服務器。總之，要做到確保每天的所有的活動都遵循安全策略。

• 注意內網安全與網絡邊界安全的不同：內網安全的威脅不同于網絡邊界的威脅。網絡邊界安全技術防范來自Internet上的攻擊，主要是防范來自公共的網絡服務器如HTTP或SMTP的攻 擊。網絡邊界防范(如邊界防火墻系統等)減小了資深黑客僅僅只需接入互聯網、寫程序就可訪問企業網的幾率。內網安全威脅主要源于企業內部。惡性的黑客攻擊 事件一般都會先控制局域網絡內部的一臺Server，然后以此為基地，對Internet上其他主機發起惡性攻擊。因此，應在邊界展開黑客防護措施，同時 建立并加強內網防范策略。

• 建立安全過客訪問：對于過客不必給予其公開訪問內網的權限。許多安全技術人員執行的“內部無Internet訪問”的策略，使得員工給客戶一些非法的訪問權限，導致了內網實時跟蹤的困難。因此，須在邊界防火墻之外建立過客訪問網絡塊。

• 限制VPN的訪問：虛擬專用網(VPN)用戶的 訪問對內網的安全造成了巨大的威脅。因為它們將弱化的桌面操作系統置于企業防火墻的防護之外。很明顯VPN用戶是可以訪問企業內網的。因此要避免給每一位 VPN用戶訪問內網的全部權限。這樣可以利用登錄控制權限列表來限制VPN用戶的登錄權限的級別，即只需賦予他們所需要的訪問權限級別即可，如訪問郵件服 務器或其他可選擇的網絡資源的權限。

• 關掉無用的網絡服務器：大型企業網可能同時支持四到五個服務器傳送e-mail，有的企業網還會出現幾十個其他服務器監視SMTP端口的情況。這些主機中很可能有潛在的郵件服 務器的攻擊點。因此要逐個中斷網絡服務器來進行審查。若一個程序(或程序中的邏輯單元)作為一個window文件服務器在運行但是又不具有文件服務器作用 的，關掉該文件的共享協議。

• 建立可靠的無線訪問：審查網絡，為實現無線訪問建立基礎。排除無意義的無線訪問點，確保無線網絡訪問的強制性和可利用性，并提供安全的無線訪問接口。將訪問點置于邊界防火墻之外，并允許用戶通過VPN技術進行訪問。

• 創建虛擬邊界防護：主機是被攻擊的主要對象。與其努力使所有主機不遭攻擊(這是不可能的)，還不如在如何使攻擊者無法通過受攻擊的主機來攻擊內網方面努力。于是必須解決企 業網絡的使用和在企業經營范圍建立虛擬邊界防護這個問題。這樣，如果一個市場用戶的客戶機被侵入了，攻擊者也不會由此而進入到公司的R&D。因此 要實現公司R&D與市場之間的訪問權限控制。大家都知道怎樣建立互聯網與內網之間的邊界防火墻防護，現在也應該意識到建立網上不同商業用戶群之間 的邊界防護。

• 保護重要資源：若一個內網上連了千萬臺 (例如30000臺)機子，那么要期望保持每一臺主機都處于鎖定狀態和補丁狀態是非常不現實的。大型企業網的安全考慮一般都有擇優問題。這樣，首先要對服 務器做效益分析評估，然后對內網的每一臺網絡服務器進行檢查、分類、修補和強化工作。必定找出重要的網絡服務器(例如實時跟蹤客戶的服務器)并對他們進行 限制管理。這樣就能迅速準確地確定企業最重要的資產，并做好在內網的定位和權限限制工作。

• 可靠的安全決策：網絡用戶也存在著安全隱患。有的用戶或 許對網絡安全知識非常欠缺，例如不知道RADIUS和TACACS之間的不同，或不知道代理網關和分組過濾防火墻之間的不同等等，但是他們作為公司的合作 者，也是網絡的使用者。因此企業網就要讓這些用戶也容易使用，這樣才能引導他們自動的響應網絡安全策略。另外，在技術上，采用安全交換機、重要數據的備份、使用代理網關、確保操作系統的安全、使用主機防護系統和入侵檢測系統等等措施也不可缺少。

DBMS的安全性主要體現在四個方面：

• 保密性：保護存儲在數據庫中的數據不被泄露和未授權的獲取。

• 一致性：確保存儲在數據庫中的數據滿足實體完整性、參照完整性和用戶定義完整性要求。

• 可用性：確保存儲在數據庫中的數據不因人為的和自然的原因對授權用戶不可用。

• 完整性：保護存儲在數據庫中的數據不被破壞和刪除。

DBMS的安全性是由數據庫管理系統決定的，一般包括訪問控制、安全認證、用戶管理、權限分配、系統日志和審計等基本功能。

海蓮花一直針對中國的敏感目標進行攻擊活動的apt型網絡攻擊，APT攻擊，即高級可持續威脅攻擊,也稱為定向威脅攻擊，指某組織對特定對象展開的持續有效的攻擊活動。這種攻擊活動具有極強的隱蔽性和針對性,通常會運用受感染的各種介質、供應鏈和社會工程學等多種手段實施先進的、持久的且有效的威脅和攻擊。

預防抵抗APT攻擊的方法有以下這些：

• 使用威脅情報：這包括APT操作者的最新信息、從分析惡意軟件獲取的威脅情報、已知的C2網站、已知的不良域名、電子郵件地址、惡意電子郵件附件、電子郵件主題行、以及惡意鏈接和網站。威脅情報在進行商業銷售，并由行業網絡安全組共享。企業必須確保情報的相關性和及時性。威脅情報被用來建立“絆網”來提醒你網絡中的活動。

• 建立強大的出口規則：除網絡流量（必須通過代理服務器）外，阻止企業的所有出站流量，阻止所有數據共享和未分類網站。阻止SSH、FTP、Telnet或其他端口和協議離開網絡。這可以打破惡意軟件到C2主機的通信信道，阻止未經授權的數據滲出網絡。

• 收集強大的日志分析：企業應該收集和分析對關鍵網絡和主機的詳細日志記錄以檢查異常行為。日志應保留一段時間以便進行調查。還應該建立與威脅情報匹配的警報。

• 聘請安全分析師：安全分析師的作用是配合威脅情報、日志分析以及提醒對APT的積極防御。這個職位的關鍵是經驗。

• 對未知文件進行檢測：一般通過沙箱技術罪惡意程序進行模擬執行，通過對程序的行為分析和評估來判斷未知文件是否存在惡意威脅。

• 對終端應用監控：一般采用文件信譽與嘿白名單技術在終端上檢測應用和進程。

• 使用大數據分析方法：基于大數據分析的方法，通過網路取證，將大數據分析技術和沙箱技術結合全面分析APT攻擊。

數據庫安全配置問題有以下這些：

• 漏洞：系統漏洞正是造成數據泄露的罪魁禍首之一。近年來，數據泄露事件屢屢發生，數據泄露數量不斷增加，波及眾多行業，給企業和用戶帶來了不可估量的嚴重后果。在計算機領域，漏洞特指系統存在的弱點或缺陷，一般被定義為硬件、軟件、協議的具體實現或系統安全策略上存在的缺陷。

• 黑客：黑客攻擊是導致數據泄露的最主要原因。根統計，56%的數據泄露事件是由“惡意的外部入侵者”引發的。泛指擅長IT技術的電腦高手，Hacker們精通各種編程語言和各類操作系統，伴隨著計算機和網絡的發展而產生成長。“黑客”一詞是由英語Hacker音譯出來的，這個英文單詞本身并沒有明顯的褒義或貶義，在英語應用中是要根據上下文場合判斷的，其本意類似于漢語對話中常提到的捉刀者、槍手、能手之類詞語。

• 網絡爬蟲：大數據時代，企業收集數據的方式多種多樣。除了直接通過用戶采集之外，還包括傳感器采集、網絡爬蟲采集等方式。其中，利用網絡爬蟲采集公開信息是企業數據的重要來源。相關數據顯示，50%以上的互聯網流量其實都是爬蟲貢獻的；對于某些熱門網頁，爬蟲的訪問量甚至占據了總訪問量的90%以上。所謂網絡爬蟲又稱網頁蜘蛛、網絡機器人，是一種按照一定規則自動從互聯網上提取網絡信息的程序或腳本。

• 數據黑產：大數據時代，信息的高速流轉和運營創造了空前的價值，隨之而來的信息數據倒賣猖獗，企業大規模數據泄露事件頻發，數據安全如臨深淵。在網絡黑產早期，數據是網絡黑產的重要基礎，貫穿網絡黑產的上中下游，支持攻擊者實施詐騙、騷擾、劫持流量等定向或非定向攻擊。近年來，隨著數據價值的提升，以數據交易、數據清洗、數據分析為核心的數據黑色產業鏈逐漸完善，網絡黑產迎來了以數據黑產為代表的新時代。

1.網盾netsos是一款模塊化架構的局域網管理軟件，共包含12項強大的功能。根據實際需求，你可以用整套軟件的所有功能，也可以選擇模塊組合，按需取用保證IT投資回報率。

2.Ping32內網安全管理系統是啟安軟件自主研發的新一代全面內網安全管理解決方案。Ping32內網安全管理系統集成了主機行為監控審計、桌面管理、補丁管理、文檔安全加密、軟件分發、移動存儲介質管理、運維管理等30多個常用功能模塊，是業界功能最全面、運行最穩定的終端安全管理產品之一。

3.捍衛者所有系統支持移動硬盤、手機同步禁用策略。全面的日志審計功能(包括插盤日志、文件日志等)。

4.IP-guard本身有成熟的內網安全管理解決方案，也擁有很多知名企業案例，在部署時有經驗可以借鑒，穩定性、體驗、功能也能得到保證。

5.威盾內網安全管理系統是上海網騰信息科技有限公司一個對局域網內的主機進行監控和管理的遠程主機監測類軟件產品。用于幫助企事業單位、政府機構更好地管理局域網內部的重要信息資料，提高員工的工作效率，協助IT管理者更方便、快捷地進行電腦、網絡和內部信息的安全管理。

等級保護測評標準一共有以下四項：

1. 方案設計

   • 投標人內部制度和測評方案及技術支持；
   • 優化措施；
   • 測評過程風險說明及風險規避處置措施；

2. 后續服務承諾

   • 承諾協助招標方為完成信息系統整改提供科學合理有效的建議并及時跟進；
   • 培訓及后期技術服務工作；

3. 投標人實例評價

   • 公司資質；
   • 項目組成人員實力；
   • 項目經驗；
   • 行業內評價；

4. 投標文件質量

0day漏洞一般只有一個或者幾個人知道并且沒有被公布，如果利用則可以打穿服務器。0day exp即0day漏洞，是已經被發現(有可能未被公開),而官方還沒有相關補丁的漏洞。 信息安全意義上的0Day 信息安全意義上的0Day是指在系統商在知曉并發布相關補丁前就被掌握或者公開的漏洞信息。Nday就是公布很久，流傳很廣的漏洞，少數不更新的才能用。相對來說，通殺性不高。

計算機用戶保證計算機安全的措施如下：

• 上網時一定要安裝防病毒軟件并及時升級，以保持殺毒軟件的病毒庫是最新的。

• 至少安裝一個防火墻，ADSL用戶最好用路由方式上網，改掉默認密碼。

• 設置安全級別，關掉Cookies。Cookies是在瀏覽過程中被有些網站往硬盤寫入的一些數據，它們記錄下用戶的特定信息，因而當用戶回到這個頁面上時，這些信息就可以被重新利用。

• 不要隨便下載軟件，特別是不可靠的FTP站點。即使要下載，也要在下載前用軟件查殺一下，如迅雷自帶的殺毒軟件。

• 要經常對自己的電腦進行漏洞掃描，并安裝補丁。Windows用戶最好將系統設置為自動升級。

• 常用TCPView查看自己電腦的IP連接，防止反彈型木馬。

• UDP協議是不可靠傳輸，沒有狀態，從TCPView中很難看出它是不是在傳輸數據，我們還可以使用IRIS、Sniffer這類的協議分析工具看看是不是有UDP的數據。

• 保持警惕性，不要輕易相信熟人發來的E-mail就一定沒有黑客程序，如Happy99就會自動加在E-mail附件當中。

• 不要將重要口令和資料存放在上網的電腦里。

對于信息安全威脅的主要防范措施如下：

• 區域規劃：在局域網絡內，對不同的信息進行區域規劃，執行嚴格的授權訪問機制。將擁有不同安全訪問權限的用戶劃分至不同的VLAN，并在Trunk端口限制授權訪問的VLAN，將一些敏感信息與其他子網絡相隔離。

• 集中保存在文件服務器：將所有敏感信息都集中保存在網絡內的文件服務器中，既可以有效保證敏感信息的存儲安全，又可以保證在共享文件的同時，嚴格控制其訪問權限。需要注意的是，應杜絕將敏感信息保存在個人計算機上。

• 制定嚴格的文件訪問權限：敏感文件必須存儲在NTFS系統分區，并且為不同用戶或用戶組設置嚴格的NTFS文件權限、NTFS文件夾權限和共享文件權限。

• 安裝RMS服務：嚴格限制對敏感文件的操作。權限管理服務作為組織內的權限策略管理系統提供一個平臺，是在組織中搭建權限管理系統的重要組成部分。

• 其他基于交換機和路由器的安全措施：采用IEEE 802.1x身份認證、IP地址與MAC地址綁定、安全端口、IP或MAC地址訪問列表等技術，限制用戶登錄到網絡，或者限制其對敏感區域的訪問。

• 安裝殺毒軟件：計算機病毒有以下五種特征：寄生性、傳染性、破壞性、可觸發性、可潛伏性。根據計算機病毒的特征，人們摸索出了許多檢測計算機病毒和殺毒的軟件。國內的有瑞星、KV3000、金山毒霸、360殺毒軟件等，國外的有諾頓、卡巴斯基等。但是，沒有哪種殺毒軟件是萬能的，所以當本機的殺毒軟件無法找到病毒時，用戶可以到網上下載一些專殺工具，如木馬專殺工具、蠕蟲專殺工具或宏病毒專殺工具等。值得注意的是，安裝了殺毒軟件后，我們還必須每周至少更新一次殺毒軟件病毒庫，因為防病毒軟件只有最新才是最有效的。每周還要對電腦硬盤進行一次全面的掃描、殺毒，以便及時發現并清除隱藏在系統中的病毒。當不慎感染上病毒時，應立即將殺毒軟件升級到最新版本，然后對整個硬盤進行掃描，清除一切可以查殺的病毒。當受到網絡攻擊時，我們的第一反應就是拔掉網絡連接端口以斷開網絡。

• 安裝網絡防火墻：所謂“防火墻”是指一種將內部網和公眾訪問網分開的方法，它實際上是一種隔離技術。防火墻是在兩個網絡通訊時執行的一種訪問控制尺度，它能允許你“同意”的人和數據進入你的網絡，同時將你“不同意”的人和數據拒之門外，最大限度地阻止網絡中的黑客訪問自己的網絡，防止他們隨意更改、移動甚至刪除網絡上的重要信息。常見的個人網絡防火墻有天網防火墻、瑞星防火墻和360安全衛士等。

• 數據加密：數據加密作為一項基本技術是所有通信安全的基石。數據加密過程是由形形色色的加密算法來具體實施的，它以很小的代價來提供很大的安全保護。在多數情況下，數據加密是保證信息機密性的惟一方法。一般把受保護的原始信息稱為明文，編碼后的稱為密文。數據加密的基本過程包括對明文進行翻譯，譯成密文或密碼的代碼形式。該過程的逆過程為解密，即將該加密的編碼信息轉化為原來的形式的過程。機密資料被加密后，無論是被人通過復制數據、還是采用網絡傳送的方式竊取過去，只要對方不知道你的加密算法，該機密資料就成了毫無意義的亂碼一堆。常見的加密軟件有SecWall、明朝萬達、完美數據加密大師等。

• 警惕“網絡釣魚”：“網絡釣魚”是通過大量發送聲稱來自于銀行或其他知名機構的欺騙性垃圾郵件，意圖引誘收信人給出敏感信息的一種攻擊方式。黑客就是利用這種欺騙性的電子郵件和偽造的web站點來進行網絡詐騙活動，受騙者往往會泄露自己的私人資料，如信用卡號、銀行卡賬戶、身份證號等內容。黑客通常會將自己偽裝成網絡銀行、在線零售商和信用卡公司等可信的品牌，騙取用戶的私人信息。對此，用戶應該提高警惕，不登錄不熟悉的網站，鍵入網站地址時要認真校對，以防輸入錯誤誤入圈套。

在IIoT系統中威脅對象包括：

• 網絡攻擊者：當前，攻擊的復雜性不斷增加，與暗網相關的金錢交易也在增加。即使不涉及金錢利益，網絡攻擊者也可能進行間諜、欺騙、惡意軟件注入或發起DDoS攻擊。

• 僵尸網絡運營商：發動協同攻擊，以分發網絡釣魚行動、垃圾郵件、導致DDoS攻擊的惡意軟件或勒索軟件攻擊。

• 犯罪和恐怖組織：國家、國際商業間諜和有組織的犯罪組織也能構成威脅，可以控制程序、鑒別信息等，而且常常受到政治利益的驅使。

• 內部人員：內部人員造成的攻擊可能是有意的，也可能是無意的。雖然心懷不滿的內部人士可能是造成嚴重損害的威脅參與者，但WiFi/以太網/USB端口/BYOD可能無意導致惡意攻擊。事實上，在企業中，無意的人為錯誤造成的事故比例更高。其他威脅對象包括釣魚者、垃圾郵件發送者、惡意軟件/間諜軟件作者、工業間諜等。

• 其他威脅對象包括釣魚者、垃圾郵件發送者、惡意軟件/間諜軟件作者、工業間諜等。

內外網可以使用網絡隔離技術，網絡隔離技術有以下幾種：

• 雙機雙網隔離：雙機雙網隔離技術方案是指通過配置兩臺計算機來分別連接內網和外網環境，再利用移動存儲設備來完成數據交互操作，然而這種技術方案會給后期系統維護帶來諸多不便，同時還存在成本上升、占用資源等缺點，而且通常效率也無法達到用戶的要求。

• 雙硬盤隔離：雙硬盤隔離技術方案的基本思想是通過在原有客戶機上添加一塊硬盤和隔離卡來實現內網和外網的物理隔離，并通過選擇啟動內網硬盤或外網硬盤來連接內網或外網網絡。由于這種隔離技術方案需要多添加一塊硬盤，所以對那些配置要求高的網絡而言，就造成了成本浪費，同時頻繁地關閉、啟動硬盤容易造成硬盤的損壞。

• 單硬盤隔離：單硬盤隔離技術方案的實現原理是從物理層上將客戶端的單個硬盤分割為公共和安全分區，并分別安裝兩套系統來實現內網和外網的隔離，這樣就具有了較好的可擴展性，但是也存在數據是否安全界定困難、不能同時訪問內、外兩個網絡等缺陷。

• 集線器級隔離：集線器級隔離技術方案的一個主要特征在客戶端只需使用一條網絡線就可以部署內網和外網，然后通過遠端切換器來選擇連接內、外雙網，避免了客戶端要用兩條網絡線來連接內、外網絡。

• 服務器端隔離：服務器端隔離技術方案的關鍵內容是在物理上沒有數據連通的內、外網絡下，如何快速、分時地處理和傳遞數據信息，該方案主要是通過采用復雜的軟、硬件技術手段來在服務器端實現數據信息過濾和傳輸任務，以達到隔離內、外網的目的。

一次完整的網絡攻擊需要經歷以下七個階段：

• 偵查目標階段：偵查目標，充分利用社會工程學了解目標網絡。

• 制作工具階段：主要是指制作定向攻擊工具，例如帶有惡意代碼的pdf文件或office文件。

• 傳送工具階段：輸送攻擊工具到目標系統上，常用的手法包括郵件的附件、網站（掛馬）、U盤等。

• 觸發工具階段：利用目標系統的應用或操作系統漏洞，在目標系統觸發攻擊工具運行。

• 安裝木馬階段：遠程控制程序（特馬）的安裝，使得攻擊者可以長期潛伏在目標系統中。

• 建立連接階段：與互聯網控制器服務器建立一個C2信道。

• 執行攻擊階段：執行所需要得攻擊行為，例如偷取信息、篡改信息等。