計算機病毒按照攻擊的系統可以分為：

• 攻擊DOS系統的計算機病毒：這類計算機病毒出現最早、最多，變種也最多，此類計算機病毒占計算機病毒總數的相當大的一部分。

• 攻擊Windows系統的計算機病毒：由于Windows的圖形用戶界面（GUI）和多任務操作系統深受用戶的歡迎，因此Windows系統也成為計算機病毒攻擊的主要對象，利用Windows系統的漏洞進行攻擊的案例也愈來愈多，手段也越來越隱蔽。

• 攻擊UNIX系統的計算機病毒：UNIX系統應用非常廣泛，許多大型的應用系統均采用UNIX作為其主要的操作系統，所以UNIX系統計算機病毒的出現，對人類的信息處理也是一個嚴重的威脅。

• 攻擊OS/2系統的計算機病毒：世界上已經發現第一個攻擊OS/2系統的計算機病毒，它雖然簡單，但也是一個不祥之兆。

• 攻擊Macintosh系統的病毒：這類病毒的例子出現在蘋果機上。Mac OS上曾有過3個低危病毒；在Mac OS X上有過一個通過iChat傳播的低危病毒。越來越多的證據表明，網絡罪犯越來越有興趣開始創造機會攻擊Mac電腦，看看是否能為其帶來經濟收益。例如一種木馬病毒，利用Apple Remote Desktop agent（ARD）上的弱點，以名為ASthtv05的匯編AppleScript的形式或以名為AStht_v06的捆綁應用程序的形式來傳播。該ARD允許木馬病毒以root形式運行。

• 攻擊其他操作系統的病毒：包括手機病毒、PDA病毒等。在主流智能手機操作系統中，安卓系統成為智能手機病毒的“重災區”。安卓手機的用戶正在成為手機病毒瘋狂攻擊的重點，九成以上的手機病毒是針對安卓系統，并且病毒的數量還在快速增長。例如“安卓吸費王”惡意扣費軟件會連續植入多款應用軟件中進行傳播；“安卓蠕蟲群”惡意軟件一旦入侵用戶手機，會自動外發大量扣費短信。

大部分下一代防火墻提供的一體化的安全策略，在傳統防火墻的五元組策略基礎上，增加了應用、用戶、內容的三個維度的匹配條件，一條策略可同時對應用、用戶和內容進行匹配，減少了策略配置條目、降低維護成本，通過細粒度的安全管控使藏匿于流量中的危險分子無所遁形。

一體化的安全策略能夠通過應用、用戶、內容、威脅等多個維度的識別將模糊的網絡環境映射為實際的業務環境，從而實現精準的訪問控制和安全檢測。

一體化的安全策略應用在全局，安全區域與 IP 地址等一樣只是作為可選的匹配條件。而且安全區域支持多選。

補充：五元組包括：（源地址、目的地址、源端口、目的端口、協議類型）的訪問控制

未來安全策略將在在一體化、智能化、多維度管控的道路上繼續發展，基于地理位置的控制、根據實際網絡流量類型自動調整策略配置的智能策略已經有廠商推出。

防火墻常見的部署方法有以下這些：

• 橋模式：橋模式也可叫作透明模式。最簡單的網絡由客戶端和服務器組成，客戶端和服務器處于同一網段。為了安全方面的考慮，在客戶端和服務器之間增加了防火墻設備，對經過的流量進行安全控制。正常的客戶端請求通過防火墻送達服務器，服務器將響應返回給客戶端，用戶不會感覺到中間設備的存在。工作在橋模式下的防火墻沒有IP地址，當對網絡進行擴容時無需對網絡地址進行重新規劃，但犧牲了路由、VPN等功能。

• 網關模式：網關模式適用于內外網不在同一網段的情況，防火墻設置網關地址實現路由器的功能，為不同網段進行路由轉發。網關模式相比橋模式具備更高的安全性，在進行訪問控制的同時實現了安全隔離，具備了一定的私密性。

• NAT模式：NAT(Network Address Translation)地址翻譯技術由防火墻對內部網絡的IP地址進行地址翻譯，使用防火墻的IP地址替換內部網絡的源地址向外部網絡發送數據;當外部網絡的響應數據流量返回到防火墻后，防火墻再將目的地址替換為內部網絡的源地址。NAT模式能夠實現外部網絡不能直接看到內部網絡的IP地址，進一步增強了對內部網絡的安全防護。同時，在NAT模式的網絡中，內部網絡可以使用私網地址，可以解決IP地址數量受限的問題。

• 高可靠性設計：防火墻都部署在網絡的出入口，是網絡通信的大門，這就要求防火墻的部署必須具備高可靠性。一般IT設備的使用壽命被設計為3至5年，當單點設備發生故障時，要通過冗余技術實現可靠性，可以通過如虛擬路由冗余協議(VRRP)等技術實現主備冗余。目前，主流的網絡設備都支持高可靠性設計。

1. 網神SecGate3600 FZ；

2. 網神SecGate3600 A1500-T260P-GS；

3. 網神SecGate3600 A3000-T550M-GS；

4. 網神SecGate3600 F3-2683；

5. 網神SecGate3600 A1500-T080P-GS；

6. 網神SecGate3600 A3000-T350M-GS；

7. 網神SecGate3600 A3000-T350P-GS；

8. 網神SecGate3600 A1500-T110P-GS；

9. 網神SecGate3600 A5000-T610M-GS；

10. 網神SecGate3600 A5000-T610P-GS。

在tcp/ip參考模型中,與osi參考模型的網絡層對應的也是網絡層，因為osi采用的是七層模型分別是應用層、表示層、會話層、傳輸層、網絡層、數據鏈路層和物理層。tcp/ip采用的是四層模型分別是應用層、傳輸層、網絡層和網絡接口層，其中應用層對應osi的應用層、表示層和會話層，傳輸層對應osi的傳輸層，網絡層對應osi的網絡層，網絡接口層對應osi的數據鏈路層和物理層。

OSI參考模型與TCP／IP參考模型基本相似，因為它負責為用戶提供真正的端到端通信服務，并從更高的層次屏蔽底層網絡的實現細節。不同的權重是TCP／IP參考模型的傳輸層構建在網絡互連層之上，只提供無連接的網絡服務。因此，在TCP協議中充分實現了面向連接的功能。當然，TCP／IP傳輸層也提供無連接的服務，比如UDP。相反，OSI參考模型的傳輸層構建在網絡層之上，網絡層同時提供面向連接和無連接的服務，而傳輸層只提供面向連接的服務。

軟件模糊測試有以下特點：

• 模糊測試的測試目標是二進制可執行代碼，比基于源代碼的白盒測試適用范圍更廣。

• 模糊測試是動態實際執行的，不存在靜態分析技術中存在的大量誤報問題。

• 模糊測試的原理簡單，沒有大量的理論推導和公式計算，不存在符號執行技術中的路徑狀態爆炸問題。

• 模糊測試自動化程度高，不需要逆向工程中大量的人工參與。

• 訪問控制漏洞的發現能力有限。通過模糊測試技術挖掘出的漏洞大多是傳統的溢出類漏洞，由于該技術的邏輯感知能力有限，對于違反權限控制的安全漏洞，如后門、繞過認證等漏洞的發現能力有限。

• 設計邏輯缺陷的發現能力有限。糟糕的邏輯往往并不會導致程序崩潰，而模糊測試發現漏洞的一個最重要依據就是監測目標程序的崩潰，因此，模糊測試對這種類型的漏洞也無能為力。

• 多階段安全漏洞的發現能力有限。模糊測試對識別單獨的漏洞很有用，但對那些小的漏洞序列構成的高危漏洞的發現能力有限。

• 多點觸發漏洞的發現能力有限。識別模糊測試技術不能準確地發現多條件觸發的漏洞。而且通常只能判斷出待測試軟件中存在何種漏洞，并不能準確地定位到程序源代碼中漏洞的位置。

• 模糊測試技術不能保證畸形輸入數據能夠覆蓋到所有的分支代碼，這就使得即使通過模糊測試檢驗的軟件仍可能存在未被發現的漏洞。

• 53端口

DNS服務器所開放的端口，入侵者可能是試圖進行區域傳遞（TCP），欺騙DNS（UDP）或隱藏其他的通信。因此防火墻常常過濾或記錄此端口。

• 67端口

通過DSL和Cable modem的防火墻常會看見大量發送到廣播地址255.255.255.255的數據。這些機器在向DHCP服務器請求一個地址。HACKER常進入它們，分配一個地址把自己作為局部路由器而發起大量中間人（man-in-middle）攻擊。客戶端向68端口廣播請求配置，服務器向67端口廣播回應請求。這種回應使用廣播是因為客戶端還不知道可以發送的IP地址。

• 113端口

這是一個許多計算機上運行的協議，用于鑒別TCP連接的用戶。使用標準的這種服務可以獲得許多計算機的信息。但是它可作為許多服務的記錄器，尤其是FTP、POP、IMAP、SMTP和IRC等服務。通常如果有許多客戶通過防火墻訪問這些服務，將會看到許多這個端口的連接請求。記住，如果阻斷這個端口客戶端會感覺到在防火墻另一邊與E-MAIL服務器的緩慢連接。許多防火墻支持TCP連接的阻斷過程中發回RST。這將會停止緩慢的連接。

• 1080端口

這一協議以通道方式穿過防火墻，允許防火墻后面的人通過一個IP地址訪問INTERNET。理論上它應該只允許內部的通信向外到達INTERNET。但是由于錯誤的配置，它會允許位于防火墻外部的攻擊穿過防火墻。

• 1524端口

許多攻擊腳本將安裝一個后門SHELL于這個端口，尤其是針對SUN系統中Sendmail和RPC服務漏洞的腳本。如果剛安裝了防火墻就看到在這個端口上的連接企圖，很可能是上述原因。

Padding Oracle攻擊流程如下：

• 攻擊者可利用該漏洞獲取安全連接當中某些是SSLv3加密后的明文內容。因為兼容性問題，當瀏覽器進行HTTPS連接失敗的時候，將會嘗試使用舊的協議版本，這其中就包括SSL3.0，于是加密協議由更加安全的協議降級成SSL3.0。

• 攻擊者在此漏洞利用中扮演一種中間人的角色，比如A，C進行通信，B（攻擊者）在中間作為一個代理，B截獲A，C之間的通信后經過SSLv3加密后的數據包，利用SSLv3中存在的漏洞，解密得到其數據包的明文信息，而這些明文信息極有可能是用戶的隱私數據，比如Cookie，這樣攻擊者就可以拿到這些隱私數據，進行更深層次的攻擊。

以下是一個會受到Padding Oracle影響的信道：

• A和C溝通，其中含有敏感數據使用SSLv3加密；

• 有一個中間人B代理A和C的通信，其中A和B采用明文傳輸例如http協議（但A不會發送任何敏感數據到B）；

• B可以讓A對C發出多次請求（比如通過腳本化）并且可以通過控制腳本來控制A發出的請求包的長度和敏感信息的位置（請見技術分析中闡述的一個web請求實例）；

• B可以截獲并修改A發送到C的SSL記錄（如果B本身既是代理也是A的出口網關）。

mysql數據庫設定權限要遵循以下原則：

• 只授予能滿足需要的最小權限，防止用戶干壞事。例如，用戶只是需要查詢，那就只給select權限就可以了，不要給用戶賦予update、insert或delete權限。

• 創建用戶的時候限制用戶的登錄主機，一般是限制成指定IP或內網IP段。如果有必要可以將ip地址和Mac地址進行綁定來限制登錄主機。

• 初始化數據庫的時候刪除沒有密碼的用戶。安裝完數據庫的時候會自動創建一些用戶，這些用戶默認沒有密碼。

• 為每個用戶設置滿足密碼復雜度的密碼。不要使用弱密碼，定期對密碼進行更新，管理員可以定期要求用戶修改或者幫助用戶修改密碼。

• 定期清理不需要的用戶，回收權限或刪除用戶。定期檢查數據庫中的用戶登錄信息，如長期不登錄則可以對該賬號標記來進行清理。

關于對安全工具“整合”的誤解包括：

• 整合等同于成本節約：整合并不一定能節約成本，因為實際工作中時間也是成本，當需要針某一項進行檢測時，整合的工具會有檢查多項浪費很多時間，所以移除不再需要的舊工具時，可能會降低一些業務成本；

• 只要找到一個提供一切的平臺就可以了：每個企業的網絡規模和復雜性都不同，安全供應商很難設計出一種適合所有情況的解決方案，企業需要根據未來威脅重新評估他們的方法，并找出滿足這些需求的最佳解決方案；

• 如果減少工具，企業將需要更多員工來應對龐大工作量：企業對于每項技術的投資，都需要配置一位專業人員對其進行管理，如果企業正在使用特定的專業工具，那么在整個行業面臨人才短缺的情況下，幾乎不可能找到可供使用的專家。但是，當企業擁有較少獨立工具和更好集成時，情況正好相反，例如當企業自動化流程到位時，企業現有團隊實際上更容易管理這些工具，因此，企業減少工具，并不總是意味著需要更多的員工；

HDFS Encryption Zone 加密空間，即HDFS透明加密，是一種端到端的加密模式，其中加解密過程對于客戶端來說是完全透明的。數據在客戶端寫操作時被加密，數據在客戶端讀操作時被解密，hdfs服務端本省并不是主要參與者。主要作用是保證加密空間內的數據不被非法查詢。

HDFS的透明加密支持兩種方式的加密：靜態（at-rest）數據加密，比如持久化保存在磁盤上的數據，傳輸（in-transit）數據加密，比如通過網絡傳輸的數據。

傳統數據管理軟件或者硬件的加密包含了不同的層級，在不同的層級加密有不同的優點和缺點。

• 應用層加密，這是最安全也是最靈活的方式。加密內容最終由應用程序來控制，并且可以精確的反映用戶的需求。但是，編寫應用程序來實現加密一般都比較困難，而且有些應用程序可能不支持加密。

• 數據庫層加密，類似于應用程序加密。大多數數據庫廠商都提供某種形式的加密，但是可能會有性能問題，另外比如說索引沒辦法加密。

• 文件系統層加密，這種方式對性能影響不大，而且對應用程序是透明的，一般也比較容易實施。但是應用程序細粒度的要求策略，可能無法完全滿足。比如，多租戶應用程序可能需要對最終用戶進行加密，數據庫可能需要對單個文件里的每個列進行不同的加密設置。

• 磁盤層加密，易于部署和高性能，但是相當不靈活，只能防止用戶從物理層面盜竊數據。

HDFS的透明加密屬于數據庫層和文件系統層的加密。它有很多好處，比如不錯的性能，對于現有的應用程序是透明的。在制定策略時，HDFS也比傳統的文件系統有更多的選擇。

HDFS加密可以防止在文件系統或之下的攻擊，也叫操作系統級別的攻擊（OS-level attacks）。操作系統和磁盤只能與加密的數據進行交互，因為數據已經被HDFS加密了。

云原生安全平臺的技術棧側重于以下元素：

• 資源盤點：云原生安全平臺維護SDLC中的資產日志并跟蹤自動資源管理的所有變更。

• 網絡安全：直接從部署平臺獲取流量日志，深度理解云原生防火墻規則，以掃描和監控網絡威脅。

• 合規管理：支持不同的主要合規框架，以監控整個云框架中的安全狀況和合規性。

• 數據安全：利用開箱即用的分類規則來掃描惡意軟件、監控合規性并確保跨部署環境的數據合規性。

• 工作負載安全：通過主動防御生產實例的運行時威脅來保護應用工作負載。

• 身份和訪問管理：管理強大的訪問和身份驗證框架，通過利用多個第三方工具來作為第一道防線保護用戶帳戶。

• 自動檢測、識別和修復：通過利用歷史數據和行業現有的安全生態來支持強大的威脅建模。

• 漏洞管理：從整體的角度識別和保護整個技術棧的脆弱點。

堡壘機一般有以下這些型號：

• 網關型堡壘機：網關型堡壘機主要部署在外部網絡和內部網絡之間，本身不直接向外部提供服務，而是作為進入內部網絡的一個檢查點，用于提供對內部網絡特定資源的安全訪問控制。網關型堡壘機不提供路由功能，將內外網從網絡層隔離開來，除授權訪問外，還可以過濾掉一些針對內網的、來自應用層以下的攻擊，為內部網絡資源提供了一道安全屏障。但由于此類堡壘機需要處理應用層的數據內容，性能消耗很大，所以隨著網絡維護設備進出口處流量越來越大，部署在網關位置的堡壘機逐漸成為了性能瓶頸，因此，網關型的堡壘機逐漸被日趨成熟的防火墻、UTM、IPS、網閘等安全產品所取代。

• 運維審計堡壘機：運維審計型堡壘機，也被稱作”內控堡壘機”，這類堡壘機也是當前應用最為普遍的一種。運維審計型堡壘機被部署在內網中服務器和網絡設備等核心資源的前面，對運維人員的操作權限進行控制和操作行為審計。運維審計型堡壘機即解決了運維人員權限難以控制混亂局面，又可對違規操作行為進行控制和審計；

• 云堡壘機：云堡壘機就是為云計算提供4A級安全管控的系統和組件，其中包含有用戶管理，資源管理還有工單和審計等相關模塊的功能，用于對Windows或Linux等操作系統的主機地提供高效安全的管控保護的。這里的云指代兩層含義：其一，需要堡壘機納管的IT設備對云計算有著更好的支持，包括支持統一納管不同的公有云主機和私有云主機等，同時，需要納管的IT資產也不再僅僅只是主機等IaaS資源，還包括云數據庫、對象存儲等PaaS資源；其二，堡壘機產品自身的體系架構也支持云原生特性，堡壘機自身可以直接部署且易于部署在公有云環境，并能夠充分利用云計算豐富的基礎設施能力；舉例而言，云堡壘機原生支持公有云的Load Balance和Auto Scaling以獲得高并發能力；通過將審計錄像存儲在公有云的對象存儲Bucket之中以獲得海量、廉價的存儲能力等。

云邊端協同框架下數據安全風險有以下這些：

• 數據采集過程中，缺少認證機制，存在非法接入、非法操作等安全風險。

• 數據傳輸過程中缺少加密性和完整性效驗機制，存在明文傳輸現象，存在被非法嗅探和非法篡改風險。

• 數據存儲過程中，存在明文存儲現象，缺少訪問控制和操作審計、數據備份、數據隔離等技術防護手段，存在數據被非法篡改、泄露等風險。

• 數據使用（共享、交換等）過程中，缺少審計、訪問控制、數據脫敏防護手段，存在敏感數據泄露、數據完整性被破壞等風險。

• 在基礎管理中，缺少長效管控機制（如缺少遠程升級、安全配置管理等手段），導致存在安全防護能力弱，而引起的數據完整性、可用性、機密性被破壞的安全風險。

云下加強數據安全的措施有以下這些：

• 建立完善的數據隔離防護系統。：改進云的后端服務器， 根據用戶類型設計處理范圍，對于數據類型隔離傳輸，有針對性地進行數據處理。設置好安全密鑰，對數據進行加密解密，提高用戶訪問限制，設置有限審查數據訪問，對網絡保護系統進行定期檢查、漏洞檢測，提高云數據環境的安全性。

• 做好數據的備份與恢復：隨著科學技術的發展，數據存儲方式也在逐漸增加，數據存儲量的增加造成的破壞風險也在增大，有些數據一旦破壞很難恢復或無法恢復，為了避免系統故障造成的數據丟失，有必要對數據進行分類和備份。

• 加密儲存數據：通過加密存儲數據來防止用戶信息被訪問和篡改。即使它被訪問，由于加密的信息是亂碼，攻擊者也查看不到具體內容。在加密管理上，采用集中式用戶分權機制和密鑰管理，在選擇加密算法時，采用較高加密性能的對稱加密算法，實現對用戶信息存儲的高效、安全的管理和維護。

• 避免所有數據在云端處理：為了保證數據在實際使用中的安全性和穩定性，在數據處理過程中需要對關鍵數據、重要數據進行分類，對重要數據進行備份，不僅在云中保存一個副本，而且還必須采用傳統的數據管理方法保存另一個副本。

• 做好身份認證：隨著組織網絡、系統和應用的擴展，在大數據云計算中，一些權限逐漸分散，數據控制模型和信息管理也出現了問題，這個問題如果不能有效地解決，將影響云計算服務的正常使用，身份認證是基于身份體系結構的，通過對賬戶口令進行認證，保存用戶的賬戶信息，而不是在所有系統中使用，為了實現最終的訪問，有必要建立專門的身份認證模型。

物理位置選擇要求

• 機房場地應選擇在具有防震、防風和防雨等能力的建筑內；

• 機房場地應避免設在建筑物的頂層或地下室，否則應加強防水和防潮措施。

物理訪問控制要求

• 機房出入口應配置電子門禁系統，控制、鑒別和記錄進入的人員。

防盜竊和防破壞

• 應對機房設備或主要部件進行固定，并設置明顯的不易除去的標志；

• 應將通信線纜鋪設在隱蔽處，可鋪設在地下或管道中；

• 應設置機房防盜報警系統或設置有專人值守的視頻監控系統。

防雷擊要求

• 應將各類機柜、設施和設備等通過接地系統安全接地；

• 應采取措施防止感應雷，例如設置防雷保安器或過壓保護裝置等。

防火要求

• 應設置火災自動消防系統，能夠自動檢測火情、自動報警，并自動滅火；

• 機房及相關的工作房間和輔助房間應采用具有耐火等級的建筑材料；

• 應對機房進行劃分區域管理，區域和區域之間設置隔離防火措施。

防水和防潮要求

• 應采取措施防止雨水通過機房窗戶、屋頂和墻壁滲透；

• 應采取措施防止機房內水蒸氣結露和地下積水的轉移與滲透；

• 應安裝對水敏感的檢測儀表或元件，對機房進行防水檢測和報警。

防靜電要求

• 應安裝防靜電地板并采用必要的接地防靜電措施；

• 應采用措施防止靜電的產生，例如采用靜電消除器、佩戴防靜電手環等。

溫、濕度控制要求

機房應設置溫、濕度自動調節設施，使機房溫、濕度的變化在設備運行所允許的范圍之內。

電力供應要求

• 應在機房供電線路上配置穩壓器和過電壓防護設備；

• 應提供短期的備用電力供應，至少滿足設備在斷電情況下的正常運行要求；

• 應設置冗余或并行的電力電纜線路為計算機系統供電。

電磁防護要求

• 電源線和通信線纜應隔離鋪設，避免互相干擾；

• 應對關鍵設備實施電磁屏蔽。

云計算的物理和環境安全要求

• 確保云計算、承載云租戶賬戶信息、鑒別信息、系統信息及運行關鍵業務和數據的物理設備均位于中國境內；

• IDC應具有國家相關部門頒發的IDC運營資質。

移動互聯的物理和環境安全要求

• 應為無線接入設備的安裝選擇合理位置，避免過度覆蓋。