• 數據泄露

  “風險軟件”應用程序便對移動用戶造成了切實的麻煩。移動用戶為這些應用程序提供了全面的權限，卻往往忽視了安全性。

  數據泄露還可能通過企業簽名的惡意移動應用程序發生。在這種情況下，移動惡意軟件使用常用移動操作系統（例如 iOS 和 Android）本身的分發代碼在企業網絡內傳播重要數據，卻不會發出危險信號。為避免這種情況發生，僅為應用程序提供必要的權限，如果任何程序要求不必要的權限，應予以拒絕。

• 不安全的 Wi-Fi

  如果有無線熱點，沒人會愿意耗盡自己的蜂窩移動數據，但免費的 Wi-Fi 網絡通常是不安全的。

• 網絡欺騙

  網絡欺騙是指黑客在高流量公共地點（例如咖啡店、圖書館和機場）設置虛假接入點（看似 Wi-Fi 網絡，但實際上是陷阱的連接）。接下來，網絡犯罪分子會給接入點起一個常見的名字，比如“免費機場 Wi-Fi”或“咖啡屋”，吸引用戶連接。在某些情況下，攻擊者要求用戶創建一個“帳戶”，才能訪問這些免費服務，并且要求輸入密碼。毫無疑問，很多用戶會使用相同的電子郵箱和密碼組合來訪問多種服務，這就使黑客有機會入侵用戶的電子郵箱、電子商務和其他安全信息。除了在連接任何免費 Wi-Fi 時保持警惕，切勿提供個人信息，如果要求創建登錄名，為防萬一，務必創建唯一的密碼。

• 網絡釣魚攻擊

  由于移動設備始終處于開機狀態，所以容易受到網絡釣魚攻擊。據 CSO 報道，移動用戶更易受到攻擊，因為他們通常首先收到看似合法的電子郵件并上鉤。每天或隔天才會查收一次電子郵件的桌面用戶通常在點擊前都會收到新聞網站或安全公告的警示。電子郵件監控至關重要。切勿點擊不熟悉的電子郵件鏈接。因移動設備屏幕更小，所以鏈接更難驗證。務必手動輸入網址，盡可能保證安全。

• 間諜軟件

  當很多移動用戶擔心惡意軟件會將數據流發送回外國勢力或國際網絡犯罪分子時，其實有一個關鍵威脅更顯迫在眉睫：間諜軟件。在很多情況下，用戶應該擔心的不是惡意軟件，而是配偶、同事或雇主安裝間諜軟件來跟蹤其身在何處及使用方式。下載可靠（及合法）的反病毒和惡意軟件檢測套件，幫助檢測和消除這類程序，使之沒有機會收集您的數據。

• 破解加密

  當應用程序開發人員使用薄弱的加密算法，或者使用高強度加密卻未正確實施時，加密就可能被破解。 在第一種情況下，開發人員使用有已知漏洞的加密算法來加快應用程序開發進程，便可能造成伺機而動的攻擊者破解密碼及獲得訪問權限。在第二種情況下，開發人員使用高度安全的算法，但留下了其他“后門”，反而限制了算法的效用。舉例來說，黑客原本無法破解密碼，但若開發人員在代碼中留下了缺陷，使黑客能夠修改高級別的應用程序功能（例如發送或接收文本消息），縱使沒有密碼也能出現問題。因此，開發人員和組織有責任在部署應用程序前執行加密標準。

• 不當會話處理

  為便于訪問移動設備交易，很多應用程序會采用“令牌”技術，使用戶無需重新驗證其身份便能執行多項操作。與密碼類似，令牌由應用程序生成，是識別設備的一種方式。安全的應用程序為每次訪問嘗試或“會話”生成新令牌，并且應保持機密。

linux系統添加第三方用戶日志審計功能方法步驟如下：

1. 創建用戶審計文件存放目錄和審計日志文件 ；

    mkdir -p /var/log/usermonitor/

2. 創建用戶審計日志文件；

    echo usermonitor >/var/log/usermonitor/usermonitor.log

3. 將日志文件所有者賦予一個最低權限的用戶；

    chown nobody:nobody /var/log/usermonitor/usermonitor.log

4. 給該日志文件賦予所有人的寫權限；

    chmod 002 /var/log/usermonitor/usermonitor.log

5. 設置文件權限,使所有用戶對該文件只有追加權限 ；

    chattr +a /var/log/usermonitor/usermonitor.log

6. 編輯vim /etc/profile文件，添加如下腳本命令；

    export HISTORY_FILE=/var/log/usermonitor/usermonitor.log
    export PROMPT_COMMAND='{ date "+%y-%m-%d %T ##### $(who am i |awk "{print \$1\" \"\$2\" \"\$5}")  #### $(whoami)  #### $(history 1 | { read x cmd; echo "$cmd"; })"; } >>$HISTORY_FILE'

7. 使配置生效

    source  /etc/profile

• 成本和價值

  雖然較低的成本總是會產生興趣和驅動決策，但不能忽視一個供應商提供的整體價值。許多CA機構經常在競爭情況下定價，但如果購買到的證書并不能滿足網站對安全的要求，或者僅僅是因為價格低廉就去購買這是得不償失的。因此，購買證書錢必須評估網站的即時需求，以及未來的中短期需求。可以在CA機構提供的內容進行比較，例如，證書功能，優勢，服務級別和客戶支持，然后衡量它們是否適合自己的網站。

• 功能和優點

  利用CA機構不同的功能和優勢評估哪個CA機構能提供最大的整體價值，就例如某個CA可以提供提供的免費SSL證書，并不是每個CA機構都會提供免費SSL證書。還有要考慮不需要的功能因為一些提供商會拋出額外的功能，只是為了收取更多的服務費用。例如服務器許可證。

• 服務和支持

  CA機構出色的服務和支持可以建立持久的業務關系，應該是用戶與CA機構關系的重要組成部分。SSL證書部署需要訂購，安裝和續訂，有時用戶需要支持或服務來處理可能出現的任何問題。用戶最不希望的是在整個證書生命周期中不能獲得所需的幫助。

  雖然有些證書的成本似乎要便宜很多，但原因可能是CA機構通過不提供支持或不支持任何售后服務而得來的成本。

• 信任和兼容性

  使用正確的工具，任何人都可以成為SSL提供商或CA機構. 那么是什么讓一個特定的公司比另一個公司更好更具誘惑力？像Mozilla和Chrome這樣的主流瀏覽器一起決定了他們信任的特定CA機構. 通過這些入根的CA機構頒發的證書將與大多數主流瀏覽器和設備兼容。CA機構受越多的瀏覽器信任越好，能夠兼容到的瀏覽器就越多。

  一定要向CA機構詢問其證書與哪些瀏覽器和設備兼容。如果并沒有兼容到很多的瀏覽器，那么這個CA機構就沒有太多的證據來證明他們可以信任。

訪問控制（Access Control）指系統對用戶身份及其所屬的預先定義的策略組限制其使用數據資源能力的手段。訪問控制的內容包括三個方面：

• 認證：包括主體對客體的識別認證和客體對主體檢驗認證。

• 控制策略的具體實現：如何設定規則集合從而確保正常用戶對信息資源的合法使用，既要防止非法用戶，也要考慮敏感資源的泄漏，對于合法用戶而言，更不能越權行使控制策略所賦予其權利以外的功能。

• 安全審計:使系統自動記錄網絡中的“正常”操作、“非正常”操作以及使用時間、敏感信息等。

訪問控制的主要目的是限制訪問主體對客體的訪問，從而保障數據資源在合法范圍內得以有效使用和管理。為了達到上述目的，訪問控制需要完成兩個任務：識別和確認訪問系統的用戶、決定該用戶可以對某一系統資源進行何種類型的訪問。

訪問控制的主要功能包括：保證合法用戶訪問受保護的網絡資源，防止非法的主體進入受保護的網絡資源，或防止合法用戶對受保護的網絡資源進行非授權的訪問。

訪問控制的實現過程和內容：首先需要對用戶身份的合法性進行驗證，同時利用控制策略進行選用和管理工作，當用戶身份和訪問權限驗證之后，還需要對越權操作進行監控。訪問控制的內容包括認證、控制策略實現和安全審計等。

物聯網的分類方法有以下這些：

• 以設備為中心的分類：這種方法在設備層面提供有用的特征(例如能源、通訊、功能屬性、本地接口、硬件和軟件資源)，但也提供有關設備的角色、物理或架構位置以及它所使用的部門的信息；

• 以物聯網堆棧為中心的分類：雖然該方法解決的一些特征(如服務、數據、交互和事物)可能是有價值的，但該堆棧與普度模型中描述的傳統IACS層次結構不相關。這個分類中的服務概念是有缺陷的，因為特定的設備可能有助于實現多個業務目標；

• 物聯網傳感器分類：該方法所使用的特征(如運動、位置、環境、質量測量和生物傳感器)對具有傳感能力的設備非常有用，但這只是IIoT設備范圍的一個子集；

• 基于物聯網的智能環境分類：從安全的角度來看，這是有限的效用，因為它的重點是對網絡元素的分類(例如通信使能器、網絡類型、技術、本地無線標準、目標和特征)，技術要素非常廣泛，目標(例如降低成本)很難在設備層面而不是在系統層面進行分配；

• 物聯網體系結構分類：它結合了業務體系結構和技術特征(例如應用程序、支持技術、業務目標、體系結構需求、物聯網平臺體系結構類型和網絡拓撲)，但僅使用六個分類元件對分類裝置的價值有限；

• 工業物聯網分類法分類：在分類標準(如可靠性、實時性、數據項規模、模塊規模、運行時集成、分布焦點和收集焦點)方面是不成熟的，每個標準只有一個例子，而這六個標準并不能為我們提供足夠的粒度來比較和對比單個設備的安全配置文件；

• 域或基于物聯網分類：這有助于解決業務設備正在使用，但是這種分類并不解決技術或架構方面的設備設計和部署標識設備的類型而不是其特點。

堡壘機審計日志需要保存不少于六個月，因為根據《網絡安全法》第二十一條規定，采取監測、記錄網絡運行狀態、網絡安全事件的技術措施，并按照規定留存相關網絡日志不少于六個月，且相對于要儲存的系統日志內容，應該是采用檢測、紀錄互聯網運轉情況、網絡安全情況的技術措施。也就是說無論是審計日志還是數據庫日志等日志都需要留存不少于六個月。

審計日志包括以下信息：

• 記錄由應用程序產生的事件。例如，某個數據庫程序可能設定為每次成功完成備份后都向應用程序日志發送事件記錄信息。應用程序日志中記錄的時間類型由應用程序的開發者決定，并提供相應的系統工具幫助用戶查看應用程序日志。

• 記錄由操作系統組件產生的事件，主要包括驅動程序、系統組件和應用軟件的崩潰以及數據丟失錯誤等。系統日志中記錄的時間類型由操作系統預先定義。

• 記錄與安全相關的事件，包括成功和不成功的登錄或退出、系統資源使用事件(系統文件的創建、刪除、更改)等。與系統日志和應用程序日志不同，安全日志只有系統管理員才可以訪問。在WindowsXP中，事件是在系統或程序中發生的、要求通知用戶的任何重要事情，或者是添加到日志中的項。事件日志服務在事件查看器中記錄應用程序、安全和系統事件。通過使用事件查看器中的事件日志，用戶可以獲取有關硬件、軟件和系統組件的信息，并可以監視本地或遠程計算機上的安全事件。事件日志可幫助您確定和診斷當前系統問題的根源，還可以幫助用戶預測潛在的系統問題。WindowsNT/2000的系統日志由事件記錄組成。每個事件記錄為三個功能區：記錄頭區、事件描述區和附加數據區，表14-3-1描述了事件記錄的結構。

以騰訊云堡壘機為例實現用戶認證方式如下：

1. 登錄騰訊云堡壘機控制臺，并使用管理員賬號登錄堡壘機。

2. 單擊【用戶管理】，進入用戶管理頁面。

3. 找到您要設置角色的用戶賬號，在其所在行中，單擊，即可進入用戶信息編輯頁面。

4. 單擊【設置認證方式】，進入設置用戶認證方式頁面為用戶勾選認證方式，認證方式支持以下幾種：

   • 靜態口令認證：靜態密碼是系統默認設置的登錄方式，選擇其他三種任意認證方式后，都要與靜態口令進行組合認證。

   • OTP認證（一次性口令）：動態口令，使用此方式進行認證，需先配置OTP服務和為用戶獲取賬號唯一標識碼。

   • 證書認證：使用此方式進行認證，需先配置證書服務和為用戶獲取個人證書。

   • AD域認證：使用此方式進行認證，需先配置域服務。

使用網頁防篡改系統需要注意以下方面：

• 防篡改客戶端必須連接防火墻并匹配防篡改策略后才會生效，防篡改客戶端生效后，即使防火墻不在線，功能依然生效。

• 若網站本身有webshell未刪除，則防篡改客戶端無法攔截webshell的文件篡改行為。

• Windows系統中，防篡改客戶端可能無法通過控制面板卸載程序進行卸載，需要在安裝目錄中進行卸載，卸載時可能需要輸入客戶端密碼。

• Linux系統中，在防篡改功能開啟前已經建立的會話或者連接，防篡改功能不會生效。新的會話或者連接才生效。

• 安裝部署過程對用戶的要求比較高，如果操作失誤會導致用戶的源站掛掉，風險很大需要注意。

• 防護效果有限，僅僅針對網站的指定目錄下文件進行防護，如果網站有其他的漏洞還是會被改掉。

• 安裝完成后用戶的網站程序更新需要告知網站程序維護商不能采用原來的維護模式，需要從防篡改服務器的備份目錄下進行修改自動同步。

防火墻的主要性能指標如下：

• 吞吐量：在不丟包的情況下能夠達到的最大速率。吞吐量是衡量防火墻性能的重要指標之一，吞吐量小就會造成網絡新的瓶頸，以致影響到整個網絡的性能。

• 時延：入口處輸入幀最后1個比特到達出口處輸出幀的第一個比特輸出所用的時間間隔。時延體現了防火墻處理數據的速度。

• 丟包率：在連續負載的情況下，防火墻設備由于資源不足應轉發但卻未轉發的幀百分比。丟包率對防火墻的穩定性和可靠性有很大的影響。

• 并發連接數：指穿越防火墻的主機之間或主機與防火墻之間能同時建立的最大連接數。并發連接數的大小體現了防火墻建立和維持TCP連接的性能，同時也反映了防火墻對來自于客戶端的TCP連接請求的響應能力。

• 最大并發連接數建立速率：指穿越防火墻的主機之間或主機與防火墻之間單位時間內建立的最大連接數。最大并發連接數建立速率體現了防火墻單位時間內建立和維持TCP連接的能力。

數據庫的安全體系主要由以下幾個環節組成：

• 訪問控制：由于數據庫是把各種用戶的數據按某種規則集中在一起統一管理的，各種用戶根據需要將會不斷對數據庫進行訪問，為了保護用戶數據的安全，數據庫系統必須采取措施對每個用戶的訪問加以限制，只允許用戶訪問屬于自己的數據。

• 安全認證：一般情況下，用戶對數據庫的訪問需要經過兩層認證，一是在DBMS外由操作系統完成的認證；二是由DBMS自身完成的認證。由于DBMS本身也是操作系統中的一個用戶，所以DBMS并不能完全信賴操作系統對用戶的身份認證，應該擁有自己的認證機制，特別是對安全性要求較高的數據庫系統，更需要由DBMS來完成對用戶身份的認證。

• 用戶管理：數據庫系統中的用戶是按類別進行管理的，不同類別的用戶享有不同的操作權限，同一類別的用戶對數據庫中數據的管理和使用范圍也不完全相同。數據庫系統一般將用戶分為普通用戶、特權用戶和超級用戶三大類。普通用戶只能查閱數據庫中的部分信息，不能改動數據庫中的任何數據；特權用戶除具有普通用戶的權限外，還具有一定的資源管理權限，如創建數據表、索引等，可在規定的權限范圍內對數據庫進行有限修改和查詢，也可將自己的權限授予其他用戶；超級用戶享有數據庫管理系統的一切權限，包括創建用戶、為用戶授權、創建數據庫、備份數據庫、恢復數據庫，以及數據庫系統審計等。普通用戶和特權用戶都是由超級用戶創建的。

• 權限分配:DBMS是通過為用戶授予權限、撤銷權限和拒絕訪問來限制用戶對數據庫訪問的。凡登錄到數據庫系統中的用戶必須經DBMS授權才能訪問數據庫中的數據信息，未授權的用戶是無法訪問數據庫的。

• 系統日志和審計:系統日志和審計是保護數據庫系統安全的一個重要方面。它通過記錄和監視每個用戶對數據庫所實施的操作為系統管理員提供維護系統的有力證據。數據庫的審計包括用戶審計和系統審計兩個方面。用戶審計主要是記錄每次對數據庫系統實施操作的用戶名、時間、操作代碼及結果等信息；系統審計主要是記錄系統級的操作內容，這些操作都是系統級用戶實施的。

數據庫的安全體系主要由以下幾個環節組成：

• 訪問控制：由于數據庫是把各種用戶的數據按某種規則集中在一起統一管理的，各種用戶根據需要將會不斷對數據庫進行訪問，為了保護用戶數據的安全，數據庫系統必須采取措施對每個用戶的訪問加以限制，只允許用戶訪問屬于自己的數據。

• 安全認證：一般情況下，用戶對數據庫的訪問需要經過兩層認證，一是在DBMS外由操作系統完成的認證；二是由DBMS自身完成的認證。由于DBMS本身也是操作系統中的一個用戶，所以DBMS并不能完全信賴操作系統對用戶的身份認證，應該擁有自己的認證機制，特別是對安全性要求較高的數據庫系統，更需要由DBMS來完成對用戶身份的認證。

• 用戶管理：數據庫系統中的用戶是按類別進行管理的，不同類別的用戶享有不同的操作權限，同一類別的用戶對數據庫中數據的管理和使用范圍也不完全相同。數據庫系統一般將用戶分為普通用戶、特權用戶和超級用戶三大類。普通用戶只能查閱數據庫中的部分信息，不能改動數據庫中的任何數據；特權用戶除具有普通用戶的權限外，還具有一定的資源管理權限，如創建數據表、索引等，可在規定的權限范圍內對數據庫進行有限修改和查詢，也可將自己的權限授予其他用戶；超級用戶享有數據庫管理系統的一切權限，包括創建用戶、為用戶授權、創建數據庫、備份數據庫、恢復數據庫，以及數據庫系統審計等。普通用戶和特權用戶都是由超級用戶創建的。

• 權限分配:DBMS是通過為用戶授予權限、撤銷權限和拒絕訪問來限制用戶對數據庫訪問的。凡登錄到數據庫系統中的用戶必須經DBMS授權才能訪問數據庫中的數據信息，未授權的用戶是無法訪問數據庫的。

• 系統日志和審計:系統日志和審計是保護數據庫系統安全的一個重要方面。它通過記錄和監視每個用戶對數據庫所實施的操作為系統管理員提供維護系統的有力證據。數據庫的審計包括用戶審計和系統審計兩個方面。用戶審計主要是記錄每次對數據庫系統實施操作的用戶名、時間、操作代碼及結果等信息；系統審計主要是記錄系統級的操作內容，這些操作都是系統級用戶實施的。

計算機病毒具有傳播性、隱蔽性、感染性、潛伏性、可激發性、表現性或破壞性，危害表現在：

• 破壞內存

  電腦破壞內存的方法主要是大量占用你的計算機內存、禁止分配內存、修改內存容量和消耗內存4種。病毒在運行時占用大量的內存和消耗大量的內存資源，導致系統資源匱乏，進而導致死機。

• 破壞文件

  病毒破壞文件的方式主要包括重命名、刪除、替換內容、顛倒或復制內容、丟失部分程序代碼、寫入時間空白、分割或假冒文件、丟失文件簇和丟失數據文件等。受到病毒壞的文件，如果不及時殺毒，將不能使用。

• 影響電腦運行速度

  病毒在電腦中一旦被集火，就會不停的運行，占用了電腦大量的系統資源，使電腦的系統資源，使電腦的運行速度明顯減慢。

• 影響操作系統正常運行

  電腦病毒還會破壞操作系統的正常運行，主要表現方式包括自動重啟電腦、無故死機、不執行命令、干擾內部命令的執行、打不開文件、虛假報警、占用特殊數據區、強制啟動軟件和擾亂各種輸出/入口等。

• 破壞硬盤

  電腦病毒攻擊硬盤主要表現包括破壞硬盤中存儲的數據、不讀/寫盤、交換操作和不完全寫盤等。

• 破壞系統數據區

  由于硬盤的數據區中保存了很多的文件及重要數據，電腦病毒對其進行破壞通常會引起毀滅性的后果。病毒主要攻擊的是硬盤主引導扇區、BOOT扇區、FAT表和文件目錄等區域，當這些位置被病毒破壞的時候，只能通過專業的數據恢復來還原數據了。

現代工業控制系統（ICS）是由各種自動化控制組件以及對實時數據進行采集、監測的過程控制組件，共同構成的確保工業基礎設施自動化運行、過程控制與監控的業務流程管控系統。普遍存在的安全問題主要有：

缺乏足夠的安全考慮，容易被攻擊

與傳統信息系統的需求不同，ICS的設計需要兼顧應用場景與控制管理等多方面因素，優先確保系統的高可用性和業務連續性，對安全性普遍考慮不足。例如，缺少足夠強度的證、加密、授權等防御和數據通信保密措施。當前主流的ICS，通信協議普遍存在安全漏洞，且多為能夠造成遠程攻擊、越權執行的嚴重威脅類漏洞，通信協議容易遭受第三方的竊聽及欺騙性攻擊，面對高級可持續性威脅（Advanced Persistent Threat，APT）缺少有效的防御措施。此外，系統軟件難以及時升級、設備使用周期長，以及系統補丁兼容性差、發布周期長等現實問題造成ICS的補丁管理困難，難以及時處理嚴重的安全漏洞。

國外廠商產品占據市場主導地位，存在一定安全風險

當前，國外工控知名廠商生產的工業控制設備占據我國ICS主導地位，如PLC國內產品市場占有率不到1%，衛星導航系統芯片95%依賴進口。國外工業控制芯片、ICS產品設計和配置等都可能存在安全漏洞，這些漏洞給不法分子利用病毒進行網絡攻擊留下機會，極有可能造成嚴重的后果。我國ICS存在的供應鏈安全問題，除了采用技術手段外，還需要通過加強管理和提高自主產品的研發能力來解決。

缺乏足夠的安全管理制度和技術，人員安全意識淡薄

ICS運行在相對封閉的環境中，由于系統種類繁多、實時性要求高等方面因素，許多現有信息安全產品不能直接應用于該系統中，產品通用性差，需要定制開發。作為一項復雜而繁瑣的系統工程，保障工業系統的安全除了涉及工業自動化過程中所涉及的產品、技術等方面外，企業自身的管理水平更是直接決定了ICS系統的整體安全性。但目前我國ICS系統的安全管理還不成熟，安全風險存在于設計、開發、運維的各個環節。 在2010年“震網”事件發生之前，很少有黑客攻擊工業控制網絡的事件發生，造成人員的安全意識淡薄。這也成為ICS中安全風險的一個重要因素，特別是社會工程學相關的定向釣魚攻擊可能使重要崗位人員淪為外部威脅入侵的跳板。

降低域名劫持風險的措施如下：

• 注意查看可疑電子郵件：留意域名注冊中的電子郵件，需要自己輸入登錄密碼的郵件一律要謹慎查看。

• 額外的安全預防措施：在域名注冊商設置多步驗證，額外增加的步驟會更難訪問信息。另外，可以將域名更新設置為鎖定狀態，不允許通過DNS服務商網站修改記錄，不過使用此方法后，做域名解析都需要通過服務商來完成，時效性較差。

• 選擇企業級的注冊表：小企業域名最容易受到劫持，因為他們往往不像大公司那樣擁有高度的安全性，所以將其提升到更高級別可以為域名提供更多保護。

• 隨時關注安全補丁和軟件：確保最新的安全補丁應用在我們的Web服務器，以便黑客無法利用已知的軟件漏洞進行攻擊。

• 設置復雜的密碼：為賬戶和注冊郵箱設置復雜的密碼，而且盡量經常更換。使用單獨的DNS服務也需要對密碼進行上述設置。同時注意最好不要在多個注冊地使用相同的用戶名和密碼。

• 定期檢查域名信息：每天檢查是否有預期外的網頁，或使用檢測工具進行監控，還要及時清理Web網點中存在的可疑文件。詳細檢查網站索引和外鏈信息，有異常一定要檢查清楚，當域名被解析到惡意站點時會第一時間收到報警。

• 將域名更新設置為鎖定狀態：不允許通過DNS服務商網站修改記錄，使用此方法后，需要做域名解析都要通過服務商來完成，時效性較差。

• 配置Web站點文件夾及文件操作權限：操作系統中，使用超級管理員權限， 對Web站點文件及文件夾配置權限，多數設置為讀權限，謹慎使用寫權限，如果無法獲取超級管理員權限，這樣木馬程序便無法生根，域名被劫持的可能便可以降低很多。

網絡殺傷鏈應急響應情報分析方法有以下這些：

• 結構化分析：結構化分析類似那些構成初級科研課題基礎的科學研究方法提出問題，做一些基本的背景研究，形成假設，驗證、評估該假設是否成立，將調研結果形成報告（若無法證明成立，則提出新的假設）。結構化分析也采用相同的通用方法。然而，對假設的驗證和評估，并不總是像物理實驗那樣能夠得出明確的結果。在進行情報分析時，由于經常會引入認知偏見，確定和評估對該主題所做的關鍵假設就變得至關重要。

• 以目標為中心的分析：在以目標為中心的分析的中間位置是目標模型，也稱為概念模型。所謂概念模型，是指對于分析人員思考過程的抽象，以及對于待分析對象的盡可能詳細的描述。概念模型可以詳細描述犯罪組織的層級或結構，也可以說明網絡入侵的時間線。如果需要進一步的或者不同的信息，收集和處理階段則要重復進行，以確保分析人員可以獲得所有必要的信息。

• 競爭性假設分析法：區分未經證實的假設和已經證偽的假設同樣重要。未經證實的假設只是尚無證據證明它是正確的，而已經證偽的假設則是已有證據證明該假設不成立。在ACH過程中，可以存在未經證實的假設，無論該假設多么匪夷所思，但已經證偽的假設則不予考慮。

• 圖形分析：圖形分析有不同的叫法，但實質上是相似的。關聯矩陣、社交網絡分析和關聯分析，描述的都是類似過程。理解組織（無論是恐怖組織還是犯罪組織）之間的關系是非常重要的，所以社交網絡分析在整個情報界以及執法機構中廣泛應用。這種分析方式同樣適用于跟蹤網絡攻擊者，因為他們經常依賴其他人的支持和保障，或者根據需要與不同的組織或團伙合作。圖形分析方法并不僅限于用來分析個人和關系。在情報驅動的事件響應中，分析人員關注的通常是機器或惡意軟件相關的活動，而不是人的活動。

• 反向分析方法：最后一類情報分析包括一些被認為是反向分析的方法，即試圖通過不同視角來反對現有標準或規范。有時，初始分析就是采取反向方法進行的，有時則采用反向方法對現有的判斷提出質疑，以確保分析在各種情況都能成立。