數據庫防火墻，簡稱為DBF，是對數據庫進行查詢過濾和安全審計的安全產品。通過數據庫防火墻可以攔截SQL注入攻擊，對敏感數據脫敏，阻止高危數據刪除操作，記錄并發現違規行為等。相比于WAF和RASP，數據庫防火墻提供了最后一層對SQL注入的安全防護能力。簡單來說數據庫防火墻應該在入侵在到達數據庫之前將其阻斷，至少需要在入侵過程中阻斷，目的是將來自外部的攻擊阻斷隔離。

實現數據庫安全的基本方法有以下這些：

• 身份認證：在開放共享的物聯網環境下，數據庫系統必須要求用戶進行身份認證。是一個訪問數據庫的第一道防線，目的是防止非法用戶訪問數據庫。可以說身份認證是安全系統防止非法用戶侵入的第一道安全防線。它的目的是識別系統授權的合法用戶、防止非法用戶訪問數據庫系統。用戶要登錄系統時，必須向系統提供用戶標識和鑒別信息，以供安全系統識別認證。

• 訪問控制：訪問控制是指系統內部的訪問控制，或者是系統內部主體對客體訪問所受到的控制。實施訪問控制是維護系統安全、保護系統資源的重要技術手段，也是物聯網系統中數據庫安全機制的核心。保護的主要目標是被訪問的客體。其主要任務是對存取訪問權限的確定、授予和實施。其目的就是在保證系統安全的前提下，最大限度地給予資源共享。

• 數據加密：所有數據以可讀的原始形式存儲在數據庫中，某些用戶尤其是一些內部用戶（包括DBA）仍可能成為高明的入侵者從數據庫系統的內存中導出所需要的信息，或者采用其他方式越權打入數據庫，從系統的后備存儲器上竊取數據或篡改數據。這樣也沒法保護數據的真實性、可靠性。因此，對于敏感數據的加密保護，也成為數據庫安全策略的重要任務之一。

• 審計追蹤和攻擊檢測：審計追蹤和攻擊檢測便成了一個十分重要的安全措施，也是任何一個安全系統中不可缺少的最后一道防線。審計功能在系統運行時，可以自動對數據庫的所有操作記錄在審計日志中，它用來監視各用戶對數據庫施加的動作。攻擊檢測系統則是根據審計數據分析檢測內部和外部攻擊者的攻擊企圖，再現導致系統現狀的事件，分析發現系統安全的弱點，追查相關責任者。

• 數據庫備份與恢復：數據備份與恢復是實現信息安全運行的重要技術之一，能保證信息系統因各種原因遭到破壞時，能盡快投入使用。任何一個數據庫在使用過程中，都可能因各種原因而使數據庫受到破壞，從而導致系統崩潰，這時就需要對數據庫進行相應的安全恢復。

• 分布式事務管理：物聯網工程應用中，各應用節點采用分布式結構有機關聯，因此，其數據庫安全策略應該重視分布式事務管理技術。分布事務管理的目的在于保證事務的正確執行及執行結果的有效性，主要解決系統可靠性、事務并發控制及系統資源的有效利用等問題。分布式事務管理首先要分解為多個子事務到各個站點上去執行，各個服務器之間還必須采取合理的算法進行分布式并發控制和提交，以保證事務的完整性，確保整個物聯網數據庫系統的安全穩定。

可以執行人員身份驗證的不同方式有：

• 靜態密碼：用戶的密碼是由用戶自己設定的。在網絡登錄時輸入正確的密碼，計算機就認為操作者就是合法用戶。

• 智能卡：智能卡認證是通過智能卡硬件不可復制來保證用戶身份不會被仿冒。

• 短信密碼：短信密碼以手機短信形式請求包含隨機數的動態密碼，客戶在登錄或者交易認證時候輸入此動態密碼，從而確保系統身份認證的安全性。

• 動態口令：動態口令是應用最廣的一種身份識別方式，一般是長度為5-8的字符串，由數字、字母、特殊字符、控制字符等組成。

• USB KEY：采用軟硬件相結合、一次一密的強雙因子認證模式，很好地解決了安全性與易用性之間的矛盾。

• 生物識別：通過可測量的身體或行為等生物特征進行身份認證的一種技術。

• 雙因素：所謂雙因素就是將兩種認證方法結合起來，進一步加強認證的安全性。

運維安全審計產品有以下功能：

• 字符會話審計：審計SSHTelnet等協議的操作行為，審計內容包括訪問起始和終止時間、用戶名、用戶IP、設備名稱、設備IP、協議類型、危險等級和操作命令等。

• 圖形操作審計：審計RDPVNC等遠程桌面以及HTTP/HTTPS協議的圖形操作行為，審計內容包括訪問起始和終止時間、用戶名、用戶IP、設備名稱、設備IP、協議類型、危險等級和操作內容等。

• 數據庫運維審計：審計OracleMSSQLServerIBMDB2PostgreSQL等各主流數據庫的操作行為，審計內容包括訪問起始和終止時間、用戶名、用戶IP、設備名稱、設備IP協議類型、危險等級和操作內容等。

• 文件傳輸審計：審計FTPSFTP等協議的操作行為，審計內容包括訪問起始和終止時間、用戶名、用戶IP、設備名稱、目標設備IP、協議類型、文件名稱、危險等級和操作命令等。

• 合規審計：根據上述審計內容，參照相關的安全管理制度，對運維操作進行合規檢查，給出符合性審查。

彩虹表是一個數據庫，用于通過破解密碼哈希來獲得身份驗證。它是一個預先計算的明文密碼及其對應的哈希值字典，可用于查找產生特定哈希值的明文密碼。由于一個以上的文本可以產生相同的哈希值，因此知道原始密碼的真實含義并不重要，只要它產生相同的哈希值即可。與蠻力攻擊不同，蠻力攻擊通過計算與它們一起出現的每個字符串的哈希函數，計算其哈希值，然后在每一步將其與計算機中的哈希值進行比較來進行工作。

預防彩虹表攻擊的方法有以下這些：

• 加鹽：通過使用鹽技術可以輕松地防止彩虹表攻擊，該技術是將隨機數據與純文本一起傳遞到哈希函數中的方法。這樣可以確保每個密碼都有一個唯一的生成的哈希值，因此可以防止彩虹表攻擊，該攻擊原理是防止多個文本可以具有相同的哈希值。

• 放棄哈希加密算法：已知彩虹表是應用于主流的哈希算法的，那么通過對哈希算法進行修改，自然能夠防御彩虹表破解。但這樣存在某些隱患，例如，黑客可以將產品的算法通過逆向工程提取出來，通過算法生成特定的彩虹表。如果私有加密算法強度不夠或是有設計缺陷的，屆時密碼破解將比使用彩虹表更加容易。

• 創建強密碼：保護登錄信息的最佳辦法，是創建強密碼，或者使用雙因子身份驗證（2FA）。作為網站擁有者，你可以要求用戶同時設置強密碼和2FA，以便緩解網絡罪犯猜出密碼的風險。

• 主要保護口令安全：無論是用戶還是管理員必須要保存好自己的密碼，一個密碼不要重復在多個網站使用，不要將密碼記錄在任何位置，定期修改密碼，企業可以嘗試選擇一款密碼管理器來管理密碼。

• 多次加密：彩虹表攻擊主要是哈希算法的數據庫，可以對密碼進行多次不同算法的加密，這會增加攻擊者的破解難度，并且很難通過單一數據庫就破解成功。

• 采用多因素認證：增加登錄安全功能有助于進行憑證填充防護。啟用雙因素身份驗證等功能，并在登錄時要求用戶填寫 CAPTCHA（驗證碼），這兩種機制也有助于阻止惡意機器人。雖然這兩項機制會給用戶帶來諸多不便，但多數人承認，這能最大限度地減少安全威脅，即使不便也值得。

保障Web應用程序訪問控制的安全措施有以下這些：

• 仔細評估并記錄每個應用程序功能單元的訪問控制要求。這包括誰能合法使用這些功能，以及用戶通過這些功能能夠訪問哪些資源。

• 通過用戶會話做出所有訪問控制決定。

• 使用一個中央應用程序組件檢查訪問控制。

• 通過這個組件處理每一個客戶端請求，確認允許提出請求的用戶訪問他請求的功能和資源。

• 使用編程技巧確保前面的方法沒有例外。一種有效的方法是規定每個應用程序頁面必須采用一個由中央訪問控制機制查詢的界面。強制開發者將訪問控制邏輯代碼寫入每個頁面，不得找借口省略這些代碼。

• 對于特別敏感的功能，例如管理頁面，可以通過IP地址進一步限制訪問，確保只有特殊網絡范圍內的用戶能夠訪問這些功能，不管他們是否登錄。

• 如果靜態內容需要得到保護，有兩種方法可提供訪問控制。首先，用戶可通過向執行相關訪問控制邏輯的服務器端動態頁面傳送一個文件名，間接訪問靜態文件。其次，可通過使用HTTP驗證或應用程序服務器的其他特性隱藏進入的請求，并在允許訪問前檢查資源許可，控制用戶直接訪問靜態文件。

• 無論何時通過客戶端傳送，指定用戶所希望訪問資源的標識符都容易遭到篡改。服務器應只信任完整的服務器端數據。任何時候通過客戶端傳送這些標識符，都需要對它們進行重新確認，以確保用戶擁有訪問被請求資源的授權。

• 對于安全性很關鍵的應用程序功能（如在銀行應用程序中創建一個新的匯款收款人）考慮對每筆交易執行重復驗證和雙重授權，進一步確保該功能不會被未授權方使用。這樣做還可以減輕其他可能的攻擊（如會話劫持）造成的后果。

• 記錄每一個訪問敏感數據或執行敏感操作的事件。這些記錄有助于檢測并調查潛在的訪問控制違反事件。

服務器安全防御方法有以下這些：

• 制定內部數據安全風險管理制度：制定公司內部數據泄露和其他類型的安全風險協議，包括分配不同部門以及人員管理賬號、密碼等權限，定期更新密碼避免被黑客盜取，以及其他可行措施。

• 及時更新軟件版本：及時更新軟件版本，以避免你的服務器安全處于危險之中，使其漏洞被黑客利用并入侵。使用專業的安全漏洞掃描程序是一種保持軟件實時更新的方式之一。

• 定期對服務器進行備份：為防止不能預料的系統故障或用戶不小心的非法操作，必須對系統進行安全備份。除了對全系統進行每月一次的備份外，還應對修改過的數據進行每周一次的備份。同時，應該將修改過的重要系統文件存放在不同服務器上，如果原始數據不幸損壞、丟失等情況發生時，你可以利用備份數據保證業務正常運行。

• 定期安全檢測：定期進行安全檢測，確保服務器安全，在非默認端口上設置標準和關鍵服務、保證防火墻處于最佳設置等，定期進行安全掃描，防止病毒入侵。

• 關閉不需要的服務和端口：服務器操作系統在安裝時，會啟動一些不需要的服務，這樣會占用系統的資源，而且也會增加系統的安全隱患。對于一段時間內完全不會用到的服務器，可以完全關閉。

• 安裝和設置防火墻：現在有許多基于硬件或軟件的防火墻，很多安全廠商也都推出了相關的產品。對服務器安全而言，安裝防火墻非常必要。這樣進入服務器中的流量都是經常防火墻過濾之后的流量，防火墻內其他的流量直接被隔離出來，防火墻中一定要安裝入侵檢測和入侵防御系統，這樣才能發揮防火墻的最大作用。在安裝防火墻之后，你需要根據自身的網絡環境，對防火墻進行適當的配置以達到最好的防護效果。

• 安裝網絡殺毒軟件：現在網絡上的病毒非常猖獗，這就需要安裝商業級反惡意軟件和反病毒引擎，對服務器進行實時保護。同時，在網絡殺毒軟件的使用中，必須要定期或及時升級殺毒軟件，并且每天自動更新病毒庫。

• 監測系統日志：通過運行系統日志程序，系統會記錄下所有用戶使用系統的情形，包括最近登錄時間、使用的賬號、進行的活動等。日志程序會定期生成報表，通過對報表進行分析，你可以知道是否有異常現象。

• 接入專業的高防服務：目前DDOS還沒有什么徹底解決的方法，只能通過專業的網絡高防服務進行防御。

影響防火墻攻擊有以下這些：

• ip地址欺騙：主要是通過修改數據包來假冒內部主機地址；

• ip隧道攻擊：在80端口發送能產生穿過防火墻的ip隧道程序；

• ip碎片攻擊：有意發送總長度超過65535的ip碎片來使服務器崩潰和拒絕服務；

• ip分片攻擊：通過發送第一個合法的ip分片騙過防火墻的檢測接著發送惡意數據來穿透防火墻；

• 報文攻擊：報文攻擊又稱為路由攻擊是攻擊者發動一些報文從而改變或干擾路由器的路線選擇；

• 數據驅動攻擊：攻擊者把有害數據隱藏在普通正常數據中傳送到防火墻來造成攻擊；

• 特洛伊木馬攻擊：在某一合法程序內完成偽裝預定功能的代碼段來造成攻擊；

• 基于堡壘機的web服務器的攻擊：攻擊者設想吧堡壘主機web服務器轉變成避開防火墻內外部路由器作用影響的系統；

• 口令字攻擊：通過內部或者外部接口來枚舉防火墻的管理口令字；

• SYN Flood洪水攻擊：DDoS攻擊中最流行且常用的一種，模仿大量數據訪問流使被攻擊方的CPU或內存耗盡而宕機；

• 電污染攻擊：防火墻自身的原因，可能在使用時自身出現誤碼、死機、芯片損壞等問題或者電磁、無線電干擾等電污染；

• 郵件詐騙：釣魚攻擊常用手段之一，也是成功率最高的手段之一，不針對防火墻而是針對使用者。

工控態勢感知系統部署方法有以下這些：

• 數據采集子系統部署：數據采集子系統通常采用分布式部署的方式，主要是根據被采集對象的種類、分布和采集方式決定的。常用的采集方式包括主動采集、被動采集和其他設備推送導入。主動采集的方式主要為部署流量探針采集局域網內流量信息，部署Agent監控設備運行、軟硬件配置、檢測出的惡意文件以及近期用戶執行指令等。被動采集的方式包括通過外部威脅情報數據庫獲得脆弱性信息，通過日志采集器以標準接口查詢形式獲得網絡中的主機設備、網絡設備、安全設備、應用系統日志，以及通過高級威脅檢測設備自動探測網絡流量中可能涉及潛在入侵、攻擊和濫用的行為。此外，還可以通過其他設備將網絡安全態勢感知系統可能需要的數據推送導入，滿足后續的分析要求。

• 數據處理子系統部署：數據處理子系統的部署方式較為靈活，例如，如果數據采集子系統部署在大型企事業單位的下屬機構，則可以在數據采集結束后先由分布式的數據處理子系統分別進行處理，再統一存儲至數據存儲子系統；也可以由集中式的數據處理子系統統一接收多個數據采集子系統采集的數據進行處理，再統一存儲至數據存儲子系統。以上兩種方式通常都可以獲得較好的效果，具體主要取決于本地計算和遠程通信的成本和效率。

• 數據挖掘分析子系統部署：數據挖掘分析子系統可以采用集中分析的部署方式，也可以采用分布式分析的部署方式，主要取決于所要分析的數據量和分析能力。具體的挖掘分析算法適合采用哪種方式也是一個很重要的考慮因素。目前，很多計算架構同時支持分布式數據存儲與并行的高性能計算，因此也可以將數據挖掘分析子系統與數據存儲子系統合并部署。

• 數據存儲子系統部署：對于數據量較少（尤其是需保存的歷史數據量較少）的場景，數據存儲子系統可以采用集中存儲的部署方式。但鑒于目前網絡安全態勢感知的復雜性，大部分系統采用分布式存儲的部署方式。

• 態勢指標提取子系統部署：態勢指標提取子系統的部署方式較為靈活，例如，可以采用集中提取的部署方式，直接將提取出的態勢指標以可視化方式進行呈現；而對于一些需要分布式呈現或者通過不同層面呈現的場景，大多采用分布式提取的部署方式，可以實現更為靈活的功能。

• 策略設置子系統部署：策略設置子系統的部署方式根據使用方對策略管理的需要而設計，對于采用統一策略管理的單位，通常都是采用集中部署、統一管理的方式；對于下屬機構相對獨立或聯盟性質的單位聯合體，通常都是采用分布式部署的方式。此外，比較常見的還有總部統一進行策略設置，但將策略分布式下發到分支機構分別執行的方式，也可以看作統一策略管理的一個變形。

• 可視化展示子系統部署：可視化展示子系統可以根據呈現方式采用集中式部署或分布式部署方式。目前由總部統一管理的級聯式單位采用集中式部署的方式較多，而針對行業或區域的聯合體采用分布式部署的方式較多。

• 系統管理子系統部署：系統管理子系統采用集中式部署的方式較多，而對于不同批次部署或項目來源不同的子系統組成的聯合體形式的網絡安全態勢感知系統，由于歷史原因采用分布式系統管理子系統較多。

防火墻常用的過濾技術有包過濾技術和應用層過濾技術，包過濾技術原理在于利用路由器監視并過濾網絡上流入流出的 IP 包，拒絕發送可疑的包，而應用層過濾技術是通過對文件類型、內容和 URL 進行過濾的一種技術。防火墻過濾技術目前常用的只有這兩種，并且應用層過濾技術并不普及，只有少數防火墻有該技術，大部分防火墻還是采用包過濾技術來。

防火墻除過濾技術外，還包括：

• 應用代理技術:應用代理 (Application Proxy) 技術是指在 web 服務器上或某一臺單獨主機上運行代理服務器軟件，對網絡上的信息進行監聽和檢測，并對訪問內網的數據進行過濾，從而起到隔斷內網與外網的直接通信的作用，保護內網不受破壞。在代理方式下，內部網絡的數據包不能直接進入外部網絡，內網用戶對外網的訪問變成代理對外網的訪問。同樣，外部網絡的數據也不能直接進入內網，而是要經過代理的處理之后才能到達內部網絡。所有通信都必須經應用層代理軟件轉發，應用層的協議會話過程必須符合代理的安全策略要求，因此在代理上就可以實現訪問控制、網絡地址轉換 (NAT) 等功能。

• 狀態檢測技術:狀態檢測技術是防火墻近幾年才應用的新技術。傳統的包過濾防火墻只是通過檢測 IP 包頭的相關信息來決定數據流的通過還是拒絕，而狀態檢測技術采用的是一種基于連接的狀態檢測機制，將屬于同一連接的所有包作為一個整體的數據流看待，構成連接狀態表，通過規則表與狀態表的共同配合，對表中的各個連接狀態因素加以識別。這里動態連接狀態表中的記錄可以是以前的通信信息，也可以是其他相關應用程序的信息，因此，與傳統包過濾防火墻的靜態過濾規則表相比，它具有更好的靈活性和安全性。

漏洞掃描主要有以下功能：

• 定期的網絡安全自我檢測、評估:配備漏洞掃描系統，網絡管理人員可以定期的進行網絡安全檢測服務，安全檢測可幫助客戶最大可能的消除安全隱患，盡可能早地發現安全漏洞并進行修補，有效的利用已有系統，優化資源，提高網絡的運行效率。

• 安裝新軟件、啟動新服務后的檢查:由于漏洞和安全隱患的形式多種多樣，安裝新軟件和啟動新服務都有可能使原來隱藏的漏洞暴露出來，因此進行這些操作之后應該重新掃描系統，才能使安全得到保障。

• 網絡建設和網絡改造前后的安全規劃評估和成效檢驗:網絡建設者必須建立整體安全規劃，以統領全局，高屋建瓴。在可以容忍的風險級別和可以接受的成本之間，取得恰當的平衡，在多種多樣的安全產品和技術之間做出取舍。配備網絡漏洞掃描/網絡評估系統可以讓您很方便的進行安全規劃評估和成效檢驗。

• 網絡承擔重要任務前的安全性測試:網絡承擔重要任務前應該多采取主動防止出現事故的安全措施，從技術上和管理上加強對網絡安全和信息安全的重視，形成立體防護，由被動修補變成主動的防范，最終把出現事故的概率降到最低。配備網絡漏洞掃描/網絡評估系統可以讓您很方便的進行安全性測試。

• 網絡安全事故后的分析調查:網絡安全事故后可以通過網絡漏洞掃描/網絡評估系統分析確定網絡被攻擊的漏洞所在，幫助彌補漏洞，盡可能多得提供資料方便調查攻擊的來源。

• 重大網絡安全事件前的準備:重大網絡安全事件前網絡漏洞掃描/網絡評估系統能夠幫助用戶及時的找出網絡中存在的隱患和漏洞，幫助用戶及時的彌補漏洞。

• 公安、保密部門組織的安全性檢查:互聯網的安全主要分為網絡運行安全和信息安全兩部分。網絡運行的安全主要包括以ChinaNet、ChinaGBN、CNCnet等10大計算機信息系統的運行安全和其它專網的運行安全；信息安全包括接入Internet的計算機、服務器、工作站等用來進行采集、加工、存儲、傳輸、檢索處理的人機系統的安全。網絡漏洞掃描/網絡評估系統能夠積極的配合公安、保密部門組織的安全性檢查。

1,信息泄漏.
bool phpinfo ([ int $what = INFO ALL ] )
輸出PHP當前狀態的大量信息,包含了PHP編譯選項、啟用的擴展、PHP版本、服務器信息和環境變量(如
果編譯為-個模塊的話)、PHP環境變量、操作系統版本信息、path 變量、配置選項的本地值和主值、HTTP
頭和PHP授權信息(License)。
2,軟連接-讀取文件內容
bool symlink ( string $target , string $link )
symlink(對于已有的target建立-個名為link的符號連接。
string readlink ( string $path )
readlink)和同名的C函數做同樣的事,返回符號連接的內容。
3,環境變量
string getenv ( string $varname )
獲取一個環境變量的值。
bool putenv ( string $setting )
添加setting到服務器環境變量。環境變量僅存活于當前請求期間。 在請求結束時環境會恢復 到初始狀態。
4,加載擴展
bool dl ( string $library )
載入指定參數library的PHP擴展。

物聯網系統中常用的身份認證方式主要有以下6種：

RFID智能卡認證

RFID智能卡是一種內置集成電路的芯片，芯片中存有與用戶身份相關的數據。智能卡由專門的廠商通過專門的設備生產，是不可復制的硬件。智能卡由合法用戶隨身攜帶，用戶登錄時必須將智能卡插入專用的讀卡器讀取其中的信息，以驗證用戶的身份。智能卡認證基于“what you have”的手段，通過智能卡硬件的不可復制性來保證用戶身份不會被仿冒。然而，由于每次從智能卡中讀取的數據均是靜態的，通過內存掃描或網絡監聽等技術很容易截取用戶的身份驗證信息，因此，智能卡也存在安全隱患。

用戶名/密碼方式

用戶名/密碼是最簡單也是最常用的身份認證方法，是基于“what you know”的驗證手段。每個用戶的密碼均是由用戶自己設定的，只有用戶自己知道。只要用戶能夠正確輸入密碼，計算機就認為操作者是合法用戶。實際上，許多用戶為了防止忘記密碼，經常將諸如生日、電話號碼等容易被猜測的字符串作為密碼，或者把密碼抄在紙上，存放在一個自認為安全的地方，這樣很容易造成密碼泄露。即使能保證用戶密碼不被泄露，由于密碼是靜態的數據，在驗證過程中需要在計算機內存和網絡中傳輸，而每次驗證使用的驗證信息都是相同的，很容易被駐留在計算機內存中的木馬程序或網絡中的監聽設備截獲，因此，從安全性上講，用戶名/密碼方式是一種極不安全的身份認證方式。

動態口令

動態口令技術是一種讓用戶密碼按照時間或使用次數不斷變化、每個密碼只能使用一次的技術。它采用一種叫作動態令牌的專用硬件，內置電源、密碼生成芯片和顯示屏，密碼生成芯片運行專門的密碼算法，可根據當前時間或使用次數生成當前密碼并將其顯示在顯示屏上。認證服務器采用相同的算法認證當前的有效密碼。用戶使用時只需要將動態令牌上顯示的當前密碼輸入客戶端計算機，即可實現身份認證。由于每次使用的密碼必須由動態令牌來產生，只有合法用戶才持有該硬件，因此只要通過密碼驗證就可以認為該用戶的身份是可靠的。而用戶每次使用的密碼都不相同，即使黑客截獲了一次密碼，也無法利用這個密碼來仿冒合法用戶的身份。

動態口令技術采用一次一密的方法，有效保證了用戶身份的安全性。但是如果客戶端與服務器端的時間或次數不能保持良好的同步，就可能發生合法用戶無法登錄的問題。并且用戶每次登錄時需要通過鍵盤輸入一長串無規律的密碼，一旦輸錯就要重新操作，使用起來非常不方便。國內目前應用的較為典型的動態口令技術有VeriSign VIP動態口令技術和RSA動態口令，而VeriSign依托本土的數字認證廠商iTrusChina，對國內的密碼技術進行了改良。

USB Key認證

基于USB Key的身份認證方式是近幾年發展起來的一種方便、安全的身份認證技術。它采用軟硬件相結合、一次一密的強雙因子認證模式，很好地解決了安全性與易用性之間的矛盾。USB Key是一種USB接口的硬件設備，它內置單片機或智能卡芯片，可以存儲用戶的密鑰或數字證書，利用USB Key內置的密碼算法即可實現對用戶身份的認證。基于USB Key的身份認證系統主要有兩種應用模式：一種是基于沖擊/響應的認證模式，另一種是基于PKI體系的認證模式。

生物識別

生物識別技術主要是指通過可測量的身體或行為等生物特征進行身份認證的一種技術。生物特征是指唯一的、可以測量或可自動識別和驗證的生理特征或行為方式。生物特征分為身體特征和行為特征兩類。身體特征包括指紋、掌型、視網膜、虹膜、人體氣味、臉型、血管和DNA等；行為特征包括簽名、語音、行走步態等。目前部分學者將視網膜識別、虹膜識別和指紋識別等歸為高級生物識別技術，將掌型識別、臉型識別、語音識別和簽名識別等歸為次級生物識別技術，將血管紋理識別、人體氣味識別、DNA識別等歸為“深奧的”生物識別技術。

步態識別

步態識別作為一種新興的行為特征識別技術，旨在根據人們走路的姿勢進行身份識別。步態特征是在遠距離情況下唯一可提取的生物特征，早期的醫學研究證明了步態具有唯一性，因此，可以通過對步態的分析來進行人的身份識別。它與其他的生物特征識別方法（如指紋、虹膜、人臉等）相比，具有采集方便、遠距離性、冒犯性、難于隱藏和偽裝獨特的特點。

一個完善的漏洞掃描系統實施方案應該包括以下幾部分：

• 安全應用策略：安全漏洞掃描是指利用現有的安全掃描工具對現有網絡系統里的網絡設備和主機設備進行漏洞掃描，根據掃描結果和實際安全狀況對已經發現的漏洞進行修補，直至漏洞不再存在為止。漏洞掃描其實就是網絡體檢。為了整個企業網絡的安全，必須指定嚴格的安全策略，并保證應用策略可以強制分發和配置。其中有部分設置需要通過手工配置來完成，部分設置則可以通過域策略、網絡管理設備自動完成。

• 漏洞預警：對于網絡用戶來說，可能沒有及時獲得最新的安全信息，是致使網絡安全沒有得到及時解決的主要原因。因此一個好的網絡安全方案，一定能及時獲取安全信息。一般提供漏洞管理產品的廠商都有漏洞研究、跟蹤，以及提供臨時解決方案的能力，能夠及時獲得最新安全信息。

• 漏洞檢測：網絡漏洞檢測是企業網絡安全方案中的一種重要安全措施，網絡用戶必須周期性地對網絡中的網絡資產進行檢測。因此，進行網絡檢測就要具有較高的準確性，這樣就要求有先進的漏洞檢測管理工具。但并不是檢測到漏洞越多就表明工具越好，要求不僅能對檢測的有效性進行驗證和分析，而且能夠提供必要的解決方案。漏洞檢測工具軟件大致分兩大類，一類是普通漏洞掃描器工具軟件，如NSS、X-Scan等；另一類是專用系統漏洞掃描工具軟件，如MBSA、金山毒霸漏洞掃描工具等。

• 漏洞統計分析：完成漏洞檢測之后，通過具體的報告和數據對資產風險進行評估、分析，清楚顯示漏洞的分布狀況、詳細描述，以及相應的解決方案。現在的漏洞掃描軟件一般都能提供分析報告，當然也可以通過購買專業的漏洞管理軟件或者專業的安全服務系統提供商來完成。

• 漏洞修補：漏洞統計分析的結果是制作切實可行的漏洞修補方案的依據，并以合理的方式通知終端用戶。那么制作過程一定要注意補丁來源的合法性，以及補丁的安全性，并且要對所得到的補丁進行安全性和兼容性測試，確保補丁不會影響到網絡系統的正常運行。漏洞修補一般可以通過操作系統廠商、第三方的補丁管理軟件或專業的安全服務完成。

• 漏洞審計跟蹤：漏洞審計跟蹤就是及時監控網絡用戶安裝漏洞修補程序。

許多工業互聯網系統在安全保護建設方面存在根本性的安全缺陷，這些缺陷可以視為工業互聯網系統的內部安全風險，包括以下方面。

1. 工業設備資產可視性嚴重不足

   工業設備可視性不足嚴重阻礙了安全策略的實施。工業企業的IT團隊一般不負責OT的資產，而是由OT團隊負責OT資產。但因為生產線系統是歷經多年由多個自動化集成商持續建設的，因此OT團隊對OT資產的可視性十分有限，甚至沒有完整的OT資產清單，關于OT資產的漏洞基本無人負責和收集，也不能及時發現安全問題。在出現問題時，也僅能靠人員經驗排查，且排查過程耗費大量人力成本、時間成本。

2. 工業設備缺乏安全設計

   各類機床數控系統、PLC、運動控制器等所使用的控制協議、控制平臺、控制軟件等，在設計之初可能未考慮保密性、完整性、身份校驗等安全需求，存在輸入驗證不嚴格，許可、授權與訪問控制不嚴格，沒有身份驗證，配置維護不足，憑證管理不嚴，加密算法過時等安全隱患。

3. OT安全制度不完善，管理不到位

   在很多大中型工業企業中，IT安全制度和管理措施一般比較到位，但OT安全制度和管理措施卻較為欠缺。目前，還未形成完整的制度保障OT安全，缺乏工業控制系統規劃、建設、運維、廢止全生命周期的安全需求和管理，欠缺配套的管理體系、處理流程、人員責任等規定。

4. IT和OT安全責任模糊

   很多工業企業的信息中心管理OT網絡和服務器的連接與安全，但往往對于OT網絡中的生產設備與控制系統的連接沒有管轄權限。而這些設備、控制系統也是互聯的，有些就是基于IT實現的，如操作員站、工程師站等。因此，常見的IT威脅對OT系統也有影響。OT的運維團隊一般會對生產有效性負責，但往往并不會對網絡安全性負責。對于很多工業企業來說，生產有效性通常都比網絡安全性更重要。

5. IT安全措施在OT領域幾乎無效

   較多工業企業在OT設置中使用IT安全措施，但沒有考慮其對OT的影響。例如，國內某汽車企業，IT安全團隊按照IT安全要求主動掃描OT網絡，結果導致汽車生產線PLC出現故障，引起停產。

   從實踐來看，較多工業企業基本不做OT安全評估，即使做OT安全評估，也是由IT安全服務商執行。而IT安全評估通常不包括OT網絡的過程層和控制層，即使對這兩層進行評估，也只能采用問卷方式，而不能使用自動化工具。執行這些評估的人員通常是IT安全專家，對OT領域也不甚了解。

6. 設備聯網混亂，缺乏安全保障

   工業控制系統中越來越多的設備與網絡相連，如各類數控系統、PLC、應用服務器通過有線網絡或無線網絡連接，形成工業網絡；工業網絡與辦公網絡連接，形成企業內部網絡；企業內部網絡與外部云平臺、第三方供應鏈、客戶網絡連接，形成工業互聯網。

   但很多工業企業的IT和OT網絡并沒有進行有效的隔離，部分工業企業雖然進行了分隔，并設置了訪問策略，但有的員工為方便，私自設置各類雙網卡機器，使得IT、OT網絡中存在許多不安全、不被掌握的通信通道。

   OT系統往往由不同集成商在不同時間建設，使用不同的安全標準。因此，當需要集成商進行維修、維護時，工作人員經常會開放遠程維護端口，而且這些端口往往不采用任何安全防護措施，甚至存在將常見端口打開后忘記關閉的情況，從而增加了工業互聯網的攻擊面。

   工業控制系統各子系統之間沒有進行有效的隔離，系統邊界不清楚，邊界訪問控制策略缺失，尤其是采用OPC和Modbus等通信的工業控制網絡，一旦發生安全問題，故障將迅速蔓延。

7. OT缺乏安全響應預案和恢復機制

   IT工作計劃和OT工作計劃往往是兩張皮，IT安全事件響應計劃與OT之間的協調往往十分有限。很多OT網絡在制定生產事故應對計劃時，都沒有考慮過網絡安全事件的處理。同時，由于缺乏備份和恢復機制，OT中的網絡安全事件恢復速度往往很慢。

8. IT和OT人員安全培訓普遍缺失

   隨著智能制造的網絡化和數字化發展，OT與IT在工業互聯網中高度融合。企業內部人員，如工程師、管理人員、現場操作員、企業高層管理人員等，其“有意識”或“無意識”的行為，可能會破壞工業系統、傳播惡意軟件或忽略異常情況。由于網絡的廣泛使用，這些影響將被放大。很多企業雖然有IT組織負責IT網絡安全，但其往往會忽視IT和OT之間的差異。IT和OT人員的安全培訓普遍缺失。

9. 工業數據面臨丟失、泄露、篡改等安全威脅

   工業互聯網中的生產管理數據、生產操作數據，以及客戶信息和訂單數據等各類數據（無論數據是通過大數據平臺存儲的，還是分布在用戶、生產終端和設計服務器等多種設備中），都可能面臨丟失、泄露和篡改等安全威脅。

10. 第三方人員管理體制不完善

    大部分的企業會將設備的建設運維工作外包給設備商或集成商，尤其針對國外廠商，企業多數情況并不了解工業控制設備的技術細節，對于所有的運維操作無控制、無審計，留有安全隱患。

堡壘機要管控交換機需要對交換機做以下設置：

• 通過Console口登錄設備，進入系統視圖，開啟Telnet服務。

<Sysname> system-view

[Sysname] telnet server enable

• 設置通過VTY用戶線登錄交換機使用AAA的認證方式。

[Sysname] line vty 0 63

[Sysname-line-vty0-63] authentication-mode scheme

[Sysname-line-vty0-63] quit

• 創建本地用戶userA，授權其用戶角色為network-admin，為其配置密碼，刪除默認角色。

[Sysname] local-user userA class manage

New local user added.

[Sysname-luser-manage-userA] authorization-attribute user-role network-admin

[Sysname-luser-manage-userA] service-type telnet

[Sysname-luser-manage-userA] password simple 123

[Sysname-luser-manage-userA] undo authorization-attribute user-role network-operator

[Sysname-luser-manage-userA] quit

• 創建用戶角色roleB，權限為允許執行所有特性中讀類型的命令。

[Sysname] role name roleB

[Sysname-role-roleB] rule 1 permit read feature

[Sysname-role-roleB] quit

• 創建本地用戶userB，為其配置密碼，授權其用戶角色為roleB，刪除默認角色。

[Sysname] local-user userB class manage

New local user added.

[Sysname-luser-manage-userB] authorization-attribute user-role roleB

[Sysname-luser-manage-userB] service-type telnet

[Sysname-luser-manage-userB] password simple 123

[Sysname-luser-manage-userB] undo authorization-attribute user-role network-operator

[Sysname-luser-manage-userB] quit

• 創建ACL視圖，定義規則，僅允許來自堡壘機等遠程設備的用戶訪問交換機。

[Sysname] acl basic 2000

[Sysname-acl-basic-2000] rule 1 permit source 192.168.0.46 0

[Sysname-acl-basic-2000] rule 2 permit source 192.168.0.52 0

[Sysname-acl-basic-2000] rule 3 deny source any

[Sysname-acl-basic-2000] quit

• 引用訪問控制列表2000，通過源IP對Telnet用戶進行控制。

[Sysname] telnet server acl 2000