交換機通過以下三種方式進行交換：

• 直通式：

直通方式的以太網交換機可以理解為在各端口間是縱橫交叉的線路矩陣電話交換機。它在輸入端口檢測到一個數據包時，檢查該包的包頭，獲取包的目的地址，啟動內部的動態查找表轉換成相應的輸出端口，在輸入與輸出交叉處接通，把數據包直通到相應的端口，實現交換功能。由于不需要存儲，延遲非常小、交換非常快，這是它的優點。它的缺點是，因為數據包內容并沒有被以太網交換機保存下來，所以無法檢查所傳送的數據包是否有誤，不能提供錯誤檢測能力。由于沒有緩存，不能將具有不同速率的輸入 / 輸出端口直接接通，而且容易丟包。

• 存儲轉發：

存儲轉發方式是計算機網絡領域應用最為廣泛的方式。它把輸入端口的數據包先存儲起來，然后進行 CRC（循環冗余碼校驗）檢查，在對錯誤包處理后才取出數據包的目的地址，通過查找表轉換成輸出端口送出包。正因如此，存儲轉發方式在數據處理時延時大，這是它的不足，但是它可以對進入交換機的數據包進行錯誤檢測，有效地改善網絡性能。尤其重要的是它可以支持不同速度的端口間的轉換，保持高速端口與低速端口間的協同工作。

• 碎片隔離：

這是介于前兩者之間的一種解決方案。它檢查數據包的長度是否夠 64 個字節，如果小于 64 字節，說明是假包，則丟棄該包；如果大于 64 字節，則發送該包。這種方式也不提供數據校驗。它的數據處理速度比存儲轉發方式快，但比直通式慢。

GFS分布式文件系統包括以下系統管理技術：

• 大規模集群安裝技術：安裝GFS的集群中通常有非常多的節點。因此迅速地安裝、部署一個GFS的系統，以及迅速地進行節點的系統升級等，都需要相應的技術支撐。

• 故障檢測技術：GFS是構建在不可靠的廉價計算機之上的文件系統，由于節點數目眾多，故障發生十分頻繁，如何在最短的時間內發現并確定發生故障的Chunk Server，需要相關的集群監控技術。

• 節點動態加入技術：當有新的Chunk Server加入時，如果需要事先安裝好的系統，那么系統擴展將是一件十分煩瑣的事情。如果能夠做到只需將裸機加入，就會自動獲取系統并安裝運行，那么將會大大減少GFS維護的工作量。

• 節能技術：有關數據表明，服務器的耗電成本大于當初的購買成本，因此谷歌采用了多種機制來降低服務器的能耗，例如對服務器主板進行修改，采用蓄電池代替昂貴的UPS，提高能量的利用率。

• GFS采用副本的方式實現ChunkServer的容錯：每一個Chunk有多個存儲副本（默認為三個），分布存儲在不同的Chunk Server上。副本的分布策略需要考慮多種因素，如網路的拓撲、機架的分布、磁盤的利用率等。對于每一個Chunk，必須將所有的副本全部寫入成功，才視為成功寫入。之后，如果相關的副本出現丟失或不可恢復等情況，Master自動將該副本復制到其他的Chunk Server，從而確保副本保持一定的個數。

IP協議的特性如下：

• 無連接：IP協議提供無連接數據報服務，各個數據報獨立傳輸，可能沿著不同的路徑到達目的地，也可能不會按序到達目的地。

• 不可靠：IP協議不含錯誤檢測或錯誤恢復的編碼，屬于不可靠的協議。所謂不可靠，是從數據傳輸的可靠性不能保證的角度而言的，查詢的延誤及其他網絡通信故障都有可能導致所傳數據的丟失。對這種情況，IP協議本身不處理。它的不可靠并不能說明整個TCP/IP協議不可靠。如果要求數據傳輸具有可靠性，則要在IP的上面使用TCP協議加以保證。位于上一層的TCP協議則提供了錯誤檢測和恢復機制。

• 點對點協議：作為一種點對點協議，雖然IP數據報攜帶源IP地址和目的IP地址，但進行數據傳輸時的對等實體一定是相鄰設備（同一網絡）中的對等實體。

• 效率高：IP協議的效率非常高，實現起來也較簡單。這是因為IP協議采用了盡力傳輸的思想，隨著底層網絡質量的日益提高，IP協議的盡力傳輸的優勢體現得更加明顯。

• 無狀態：通信雙方不同步傳輸數據的狀態信息，無法處理亂序和重復的IP數據包;IP數據包提供了標識字段，用來唯一標識IP數據包，用來處理IP分片和重組，不指示接收順序。

云計算的關鍵支撐技術有以下這些：

• 虛擬化技術：云計算最重要的特點包括資源虛擬化和應用虛擬化，每一個應用部署的環境和物理平臺是沒有關系的，通過虛擬平臺進行管理對應用進行擴展、遷移、備份，均通過虛擬化層次完成。虛擬化技術將物理資源進行了替換，呈現給用戶的是一個與物理資源有相同功能和接口的虛擬資源，可能是建立在一個實際的物理資源上，也可能是跨多個物理資源，用戶不需要了解底層的物理細節。虛擬化技術根據對象不同，可分為存儲虛擬化、操作系統虛擬化和應用虛擬化等。

• 多租戶技術：多租戶技術可以使大量用戶能夠共享同一堆棧的軟硬件資源，每個用戶按需使用資源，能夠對軟件服務進行客戶化配置，而不影響其他用戶的使用。多租戶技術的核心包括數據隔離、客戶化配置、架構擴展和性能定制。

• 分布式存儲技術：分布式存儲技術并不是將數據存儲在某個或多個特定的節點上，而是通過網絡使用企業中每臺機器的磁盤空間，并將其構成一個虛擬的存儲設備、數據分散存儲在企業的各個角落。分布式存儲的目的是利用云環境中多臺服務器的存儲資源來滿足單臺服務器所不能滿足的存儲需求，其特征是存儲資源能夠被抽象表示和統一管理，并且能夠保證數據讀寫與操作的安全性、可靠性等各方面要求。云計算催生了性能優異的分布式文件系統和云存儲服務，最典型的云計算平臺分布式文件系統是Google的GFS和開源的HDFS。

• 彈性規模擴展技術：云計算提供了一個巨大的資源池，而應用的使用又有不同的負載周期，根據負載對應用的資源進行動態伸縮（高負載時動態擴展資源，低負載時釋放多余的資源），將可以顯著提高資源的利用率。彈性規模擴展技術為不同的應用架構設定不同的集群類型，每一種集群類型都有特定的擴展方式，然后通過監控負載的動態變化，自動為應用集群增加或者減少資源。彈性規模擴展技術為基于云計算的物聯網應用實現了真正意義上的資源按需分配，并不是簡簡單單的憑空復制，對于應用服務來說，增加服務器個數只是增加資源的計算能力，還需要傳統意義上的“集群”技術將它聯合成一個整體對外提供服務。

• 分布式計算技術：基于云平臺的最典型的分布式計算模式是 MapReduce 編程模型。MapReduce 將大型任務分成很多細粒度的子任務，這些子任務分布式地在多個計算節點上進行調度和計算，從而在云平臺上獲得對海量數據的處理能力。

iptables包含以下幾種表：

• raw表：具有精準的標記功能，其唯一目的是提供一種標記數據包的機制，以便選擇退出連接跟蹤。構建在netfilter框架之上的連接跟蹤功能，允許iptables將數據包視為正在進行的連接或會話的一部分，而不是作為離散的無關數據包。連接跟蹤邏輯通常在數據包到達網絡接口后很快應用。

• filter表：默認使用的表，是廣泛使用的表之一。該表用于決定是否讓數據包繼續到達預期目的地或拒絕其請求，在防火墻用語中稱為“過濾”數據包。該表提供了人們在討論防火墻時所考慮的大部分功能。

• nat表：用于實現網絡地址轉換規則。當數據包進入網絡堆棧時，該表中的規則將確定如何修改數據包的源地址或目標地址，以便修改數據包和任何響應流量的路由方式。

• mangle表：用于以各種方式來更改數據包的IP標頭。例如，用戶可以調整數據包的TTL值，或者延長、縮短數據包可以承受的有效網絡跳數。其他IP標頭頭可以用類似的方式更改。

• security表：用于在數據包上設置內部SELinux安全上下文的標記，這將決定SELinux安全上下文的系統該如何處理數據包。

針對物聯網的漏洞防御措施有以下這些：

• 感知層認證機制：很多RFID安全協議都忽略了認證安全的重要性，許多RFID芯片都無法抵抗偽造攻擊。成功克隆目標芯片只需要簡單的閱讀目標芯片，以后再重放就可以得到結果。所以應該設置RFID讀寫器與標簽之間雙向認證的機制。

• 傳輸層的數據機密性、數據完整性保護機制：傳輸層數據機密性要保證被傳輸的數據在傳輸過程中不被泄露其內容，數據完整性要保證數據在傳輸過程中不被非法篡改。一般采用視圖機制，把要保護的數據對無權存取的用戶隱藏起來，其次對傳輸的數據進行加密，最后在數據接收方對數據進行完整性和合法性驗證。

• 加強傳感網機密性：加強傳感網安全控制可以對物聯網感知層進行安全防護，傳感網的數據傳輸需要加密，從而保證內部通信的安全。在物聯網感知層建立臨時性會話秘鑰，進一步確保數據安全可靠。

• 加強節點的認證和訪問控制機制：無線傳感器極易受到攻擊，而認證和訪問控制機制正好可以有效防止未授權的用戶訪問物聯網的感知層的節點信息，從而保障了信息安全。根據實際要求在無線感知節點設置防線。可通過加密方式對傳感網完成節點認證，可使用的加密案有對稱密碼和非對稱密碼。在敏感場所，物聯網感知層節點控制的時候可以設置封鎖，甚至遇到威脅程序時自毀，攻擊者以你次沒有辦法繼續分析和控制節點。

• 建立完善的安全路由器機制：建議加強對安全路由器的控制，對于物聯網感知層來說，幾乎所有的傳感網內部運行都離不開路由技術。建立安全的路由器機制是很有必要的，現如今無線傳感網絡協議因其簡單而易受攻擊，所以應該設置更加復雜安全的路由算法。

• 訪問控制機制：訪問控制機制在物聯網環境下被賦予新的內涵，主要給機器人進行訪問授權，有限制的分配、交互共享數據，同時添加安全認證機制。

• 密碼和身份認證技術：在考慮物聯網環境安全時，為了避免使用廠商配置的默認密碼，應該定期的進行修改密碼，并對密碼的復雜度嚴格要求。對于身份認證，如果認證對象是人，常見的認證技術有你說知道的（口令）、你所擁有的（密碼卡，密碼本等）、自身特征（指紋，虹膜等）；若認證對象是物，則一半使用挑戰應答機制，即認證者發起一個挑戰，被認證者進行應答，認證者對應答進行檢驗，如果符合要求，則通過認證；否則拒絕。

• 隱私信息保護：物聯網隱私信息安全的問題是信息泄露和用戶跟蹤。信息泄露的一半解決方法就是在RFID標簽上僅僅保存一個ID，而將真正意義的信息存放在后臺數據庫中，必須通過ID來提取。

• 保護物聯網網絡：通過配置一些安全類軟件如反惡意軟件，防病毒軟件，入侵防御和防火墻等來保護網絡收到攻擊。另外因為物聯網上的數據經常在各平臺之間進行交互，所以在數據傳輸過程中會出現數據巔峰，因此需要在不同的網絡條件下對網絡性能與相關的基礎設施進行測試，確保能及時作出響應，并保證數據穿的完整性，防止DOS攻擊。

• 應用層的漏洞常見的有權限濫用，其防御措施也多種多樣例如：對于攝像頭拍照，可在攝像頭前有不透光貼紙蓋住；對于工控類重大系統，可在核心功能的調用上進行二次密碼的驗證，引入指紋鑒定，虹膜等生物鑒別系統。

• 對物聯網智能終端安全狀態的檢測：應能夠進入到操作系統內核層面，可以通過軟件方式埋入適合物聯網智能終端的輕量級安全偵探，威脅預警傳感器監測用戶應用對操作系統內核層面的一切行為，并將檢測到的信息上傳至安全管理后臺。然后通過后臺識別并控制子而寫行為是否是惡意攻擊，從而最大限度的避免出現異常。

Hydra對應的英文意思是九頭蛇，它是一款爆破神器，可以對多種服務的賬號和密碼進行爆破，包括Web登錄、數據庫、SSH、FTP等服務，支持Linux、Windows、Mac平臺安裝，其中Kali Linux中自帶Hydra。Hydra官方不支持Windows版，需要在GitHub上下載。這款軟件是在滲透測試中必備的，這款軟件只要使用的字典足夠強大和豐富即可快速的破解密碼，在滲透測試中測試密碼強度。

以下是該工具的參數詳解：

-R 根據上一次進度繼續破解

-S 使用SSL協議連接

-s 指定端口

-l 指定用戶名

-L 指定用戶名字典(文件)

-p 指定密碼破解

-P 指定密碼字典(文件)

-e 空密碼探測和指定用戶密碼探測(ns)

-C 用戶名可以用:分割(username:password)可以代替-l username -p password

-o 輸出文件

-t 指定多線程數量，默認為16個線程

-vV 顯示詳細過程

server 目標IP

service 指定服務名(telnet ftp pop3 mssql mysql ssh ssh2......)

根據《信息安全等級保護管理辦法》中涉及到的管理有涉密信息系統的分級保護管理、信息安全等級保護的密碼管理。

涉密信息系統的分級保護管理

第二十四條

涉密信息系統應當依據國家信息安全等級保護的基本要求，按照國家保密工作部門有關涉密信息系統分級保護的管理規定和技術標準，結合系統實際情況進行保護。

非涉密信息系統不得處理國家秘密信息等。

第二十五條

涉密信息系統按照所處理信息的最高密級，由低到高分為秘密、機密、絕密三個等級。

涉密信息系統建設使用單位應當在信息規范定密的基礎上，依據涉密信息系統分級保護管理辦法和國家保密標準BMB17-2006《涉及國家秘密的計算機信息系統分級保護技術要求》確定系統等級。對于包含多個安全域的涉密信息系統，各安全域可以分別確定保護等級。

保密工作部門和機構應當監督指導涉密信息系統建設使用單位準確、合理地進行系統定級。

第二十六條

涉密信息系統建設使用單位應當將涉密信息系統定級和建設使用情況，及時上報業務主管部門的保密工作機構和負責系統審批的保密工作部門備案，并接受保密部門的監督、檢查、指導。

第二十七條

涉密信息系統建設使用單位應當選擇具有涉密集成資質的單位承擔或者參與涉密信息系統的設計與實施。

涉密信息系統建設使用單位應當依據涉密信息系統分級保護管理規范和技術標準，按照秘密、機密、絕密三級的不同要求，結合系統實際進行方案設計，實施分級保護，其保護水平總體上不低于國家信息安全等級保護第三級、第四級、第五級的水平。

第二十八條

涉密信息系統使用的信息安全保密產品原則上應當選用國產品，并應當通過國家保密局授權的檢測機構依據有關國家保密標準進行的檢測，通過檢測的產品由國家保密局審核發布目錄。

第二十九條

涉密信息系統建設使用單位在系統工程實施結束后，應當向保密工作部門提出申請，由國家保密局授權的系統測評機構依據國家保密標準BMB22-2007《涉及國家秘密的計算機信息系統分級保護測評指南》，對涉密信息系統進行安全保密測評。

涉密信息系統建設使用單位在系統投入使用前，應當按照《涉及國家秘密的信息系統審批管理規定》，向設區的市級以上保密工作部門申請進行系統審批，涉密信息系統通過審批后方可投入使用。已投入使用的涉密信息系統，其建設使用單位在按照分級保護要求完成系統整改后，應當向保密工作部門備案。

第三十條

涉密信息系統建設使用單位在申請系統審批或者備案時，應當提交以下材料：

（一）系統設計、實施方案及審查論證意見；

（二）系統承建單位資質證明材料；

（三）系統建設和工程監理情況報告；

（四）系統安全保密檢測評估報告；

（五）系統安全保密組織機構和管理制度情況；

（六）其他有關材料。

第三十一條

涉密信息系統發生涉密等級、連接范圍、環境設施、主要應用、安全保密管理責任單位變更時，其建設使用單位應當及時向負責審批的保密工作部門報告。保密工作部門應當根據實際情況，決定是否對其重新進行測評和審批。

第三十二條

涉密信息系統建設使用單位應當依據國家保密標準BMB20-2007《涉及國家秘密的信息系統分級保護管理規范》，加強涉密信息系統運行中的保密管理，定期進行風險評估，消除泄密隱患和漏洞。

第三十三條

國家和地方各級保密工作部門依法對各地區、各部門涉密信息系統分級保護工作實施監督管理，并做好以下工作：

（一）指導、監督和檢查分級保護工作的開展；

（二）指導涉密信息系統建設使用單位規范信息定密，合理確定系統保護等級；

（三）參與涉密信息系統分級保護方案論證，指導建設使用單位做好保密設施的同步規劃設計；

（四）依法對涉密信息系統集成資質單位進行監督管理；

（五）嚴格進行系統測評和審批工作，監督檢查涉密信息系統建設使用單位分級保護管理制度和技術措施的落實情況；

（六）加強涉密信息系統運行中的保密監督檢查。對秘密級、機密級信息系統每兩年至少進行一次保密檢查或者系統測評，對絕密級信息系統每年至少進行一次保密檢查或者系統測評；

（七）了解掌握各級各類涉密信息系統的管理使用情況，及時發現和查處各種違規違法行為和泄密事件。

信息安全等級保護的密碼管理

第三十四條

國家密碼管理部門對信息安全等級保護的密碼實行分類分級管理。根據被保護對象在國家安全、社會穩定、經濟建設中的作用和重要程度，被保護對象的安全防護要求和涉密程度，被保護對象被破壞后的危害程度以及密碼使用部門的性質等，確定密碼的等級保護準則。

信息系統運營、使用單位采用密碼進行等級保護的，應當遵照《信息安全等級保護密碼管理辦法》、《信息安全等級保護商用密碼技術要求》等密碼管理規定和相關標準。

第三十五條

信息系統安全等級保護中密碼的配備、使用和管理等，應當嚴格執行國家密碼管理的有關規定。

第三十六條

信息系統運營、使用單位應當充分運用密碼技術對信息系統進行保護。采用密碼對涉及國家秘密的信息和信息系統進行保護的，應報經國家密碼管理局審批，密碼的設計、實施、使用、運行維護和日常管理等，應當按照國家密碼管理有關規定和相關標準執行；采用密碼對不涉及國家秘密的信息和信息系統進行保護的，須遵守《商用密碼管理條例》和密碼分類分級保護有關規定與相關標準，其密碼的配備使用情況應當向國家密碼管理機構備案。

第三十七條

運用密碼技術對信息系統進行系統等級保護建設和整改的，必須采用經國家密碼管理部門批準使用或者準于銷售的密碼產品進行安全保護，不得采用國外引進或者擅自研制的密碼產品；未經批準不得采用含有加密功能的進口信息技術產品。

第三十八條

信息系統中的密碼及密碼設備的測評工作由國家密碼管理局認可的測評機構承擔，其他任何部門、單位和個人不得對密碼進行評測和監控。

第三十九條

各級密碼管理部門可以定期或者不定期對信息系統等級保護工作中密碼配備、使用和管理的情況進行檢查和測評，對重要涉密信息系統的密碼配備、使用和管理情況每兩年至少進行一次檢查和測評。在監督檢查過程中，發現存在安全隱患或者違反密碼管理相關規定或者未達到密碼相關標準要求的，應當按照國家密碼管理的相關規定進行處置。

系統安全審計策略的核心是日志分析或者說是日志審計，日志審計是安全審計中的主要手段之一因為可以從一條日志中發現很多信息例如訪問者的ip、訪問的時間、訪問的目標網頁或者是服務器、來源的地址以及訪問者所使用的client的UserAgent信息等等，這些信息都可以很有效的幫助完成安全審計這項工作，也是安全審計在指定策略時需要著重考慮的。

信息安全審計有以下作用：

• 取證:利用審計工具，監視和記錄系統的活動情況；

• 威懾:通過審計跟蹤，并配合相應的責任追究機制，對外部的入侵者以及內部人員的惡意行為具有威懾和警告作用；

• 發現系統漏洞:安全審計為系統管理員提供有價值的系統使用日志，從而幫助系統管理員及時發現系統入侵行為或潛在的系統漏洞；

• 發現系統運行異常:通過安全審計，為系統管理員提供系統運行的統計目志，管理員可根據日志數據庫記錄的日志數據，分析網絡或系統的安全性，輸出安全性分析報告因而能夠及時發現系統的異常行為，并采敢箱應的處理措施。

• 定期掃描清查安全漏洞

要定期掃描現有的網絡主節點，清查可能存在的安全漏洞，對新出現的漏洞及時進行清理。骨干節點的計算機因為具有較高的帶寬，是黑客利用的最佳位置，因此對這些主機本身加強主機安全是非常重要的。而且連接到網絡主節點的都是服務器級別的計算機，所以定期掃描漏洞就變得更加重要了。

• 在骨干節點配置防火墻

防火墻本身能抵御DdoS攻擊和其他一些攻擊。在發現受到攻擊的時候，可以將攻擊導向一些犧牲主機，這樣可以保護真正的主機不被攻擊。當然導向的這些犧牲主機可以選擇不重要的，或者是linux以及unix等漏洞少和天生防范攻擊優秀的系統。

• 過濾不必要的服務和端口

過濾不必要的服務和端口，即在路由器上過濾假IP……只開放服務端口成為目前很多服務器的流行做法，例如WWW服務器那么只開放80而將其他所有端口關閉或在防火墻上做阻止策略。

• 查找攻擊源

要根據自身經驗和綜合判斷能力，通過分析系統日志或登錄日志文件，找出可疑信息，分析可疑程序。

• 分析入侵原因和途徑

一定要查清楚遭受攻擊的具體原因和途徑，有可能是系統漏洞或程序漏洞等多種原因造成的，只有找到問題根源，才能夠及時修復系統。

• 限制SYN/ICMP流量

用戶應在路由器上配置SYN/ICMP的最大流量來限制SYN/ICMP封包所能占有的最高頻寬，這樣，當出現大量的超過所限定的SYN/ICMP流量時，說明不是正常的網絡訪問，而是有黑客入侵。早期通過限制SYN/ICMP流量是最好的防范DOS的方法，雖然目前該方法對于DdoS效果不太明顯了，不過仍然能夠起到一定的作用。

網際層包含以下幾個核心協議：

• 網際協議：網際協議IP是網際層的重要協議，主要功能是進行尋址和路由選擇，并將數據包從一個網絡轉發到另一個網絡。IP是不可靠和無連接的數據報傳輸協議。它將報文傳輸到目的主機后，不管傳輸正確與否都不進行檢查，不回送確認，沒有流量控制和差錯控制功能。這些功能留給上層協議TCP來完成。IP只是盡力傳輸數據到目的地，但不提供任何保證。

• 網際控制報文協議IP數據包在實際傳輸過程中有可能出現差錯、故障和發生擁塞等。網際控制報文協議ICMP就是為IP協議提供差錯報告和控制，處理路由，協助IP協議實現提出報文傳輸的控制機制。

• 地址解析協議：局域網使用介質訪問控制方法，通過物理地址（MAC地址或網卡地址）確定報文的發送目的地。但知道IP地址還并不能確定接收主機的MAC地址，地址解析協議ARP（Address Resolution Protocol）的任務就是完成IP地址向物理地址的轉換。ARP采用廣播消息的方法，完成IP地址到局域網物理地址的映射工作。

• 逆向地址解析協議：逆向地址解析協議RARP主要解決物理地址到IP地址的轉換。RARP協議也采用廣播消息的方法，來獲取MAC地址相對應的網絡IP地址。RARP協議對于在系統引導時無法知道自己IP地址的站點來說顯得尤其重要，如無盤工作站或撥號上網的計算機，IP地址是不能從本機獲得的。

• 網際組報文協議：網際組報文協議IGMP是用來幫助組播路由器標識LAN中的主機，這些主機是組播組的成員，它與IP協議一起使用。

國家安全信息等級保護堅持以下四個原則：

• 自主保護原則：信息系統運營、使用單位及其主管部門按照國家相關法規和標準，自主確定信息系統的安全保護等級，自行組織實施安全保護；

• 重點保護原則：根據信息系統的重要程度、業務特點，通過劃分不同安全保護等級的信息系統，實現不同強度的安全保護，集中資源優先保護涉及核心業務或關鍵信息資產的信息系統；

• 同步建設原則：信息系統在新建、改建、擴建時應當同步規劃和設計安全方案，投入一定比例的資金建設信息安全設施，保障信息安全與信息化建設相適應；

• 動態調整原則：要跟蹤信息系統的變化情況，調整安全保護措施。由于信息系統的應用類型、范圍等條件的變化及其他原因，安全保護等級需要變更的，應當根據等級保護的管理規范和技術標準的要求，重新確定信息系統的安全保護等級，根據信息系統安全保護等級的調整情況，重新實施安全保護。

根據實現方式的不同，可以將后門分為以下類型：

• 網頁后門：網頁后門主要通過服務器上正常的Web服務來構造自己的連接方式。腳本語言是為了縮短傳統的“編寫—編譯—鏈接—運行”（edit-compile-link-run）過程而創建的計算機編程語言，即腳本語言是一種解釋性的語言，常見的腳本語言有Python、VBScript、JavaScript、InstallshieldScript、ActionScript等。不像C、C++等編程語言需要編譯成二進制代碼才可以執行，腳本語言不需要編譯，可以直接調用，具體由解釋器來負責解釋。早期的腳本語言經常被稱為批處理語言或工作控制語言，目前的腳本語言已經成熟到可以編寫一些復雜的程序。由于腳本語言具有簡單、易學、易用及使用廣泛等特點，不但成為大多數編程人員首選的工具，也成為提供后門的有效方法。另外，由于腳本語言不像編程語言那樣需要嚴格的語法和復雜的規則，相對松散的代碼為后門程序的隱藏創造了一定的條件。例如，HTML（Hyper Text Mark-upLanguage，超文本標記語言）就是一種腳本語言，瀏覽器就是它的解釋器。此外，隨著動態網頁技術的發展，ASP、JSP、PHP等嵌入網頁的腳本語言也被廣泛使用，不過這些腳本要通過Web Server解釋。凡是熟悉網頁編程的讀者都知道，利用這些腳本語言來預留后門是比較容易實現的。

• 線程插入后門：線程插入后門是指后門程序在運行時沒有進程，所有操作均插入到其他應用程序的進程中完成。線程插入后門的特點是：在進程管理器中沒有顯示對應的進程，平時也沒有打開的端口，潛伏在系統中很難被安全檢測程序發現。同時，根據應用環境的不同，線程插入后門一般還提供了正向連接和反向連接功能，尤其是利用反向連接功能，后門程序可以主動向外發送連接請求，以防止防火墻對數據包的攔截。因為防火墻的設置一般是“防外不防內”，即防火墻會攔截從外向內發送的違規數據包，而放行從內向外發送的數據包。

• 擴展后門：擴展后門可以看成是多個后門程序的工具集，即將多個后門功能集成到一起，方便攻擊者的控制。擴展后門一般同時集成了文件上傳與下載、系統用戶檢測、HTTP訪問、打開端口、啟動／停止服務等功能。例如，WinEggDropShell.Eternity便是一個經典的擴展后門程序，它能實現進程管理（查看或結束進程）、注冊表管理、服務管理（停止、啟動等）、端口到程序關聯、系統重啟與注銷、嗅探密碼、重定向、HTTP服務等功能。

• C/S后門：C/S（Client/Server）結構是木馬主要使用的工作模式，同時也是后門程序的一種操作方式，尤其是具有控制功能的后門多采用該結構。ICMP Door便是一種典型的C/S后門，它利用ICMP協議，通信過程中不需要打開任何端口，只是利用系統本身的ICMP包進行控制。ICMP Door的另一個應用是實現從外網向內網的滲透，實現對網絡內部主機的控制。由于ICMP Door使用了ICMP協議，如果主機啟用了防火墻，則該后門程序將無法正常工作。

• 賬戶后門：賬戶后門是指攻擊者為了長期控制目標主機，通過后門在目標主機中建立一個備用管理員賬戶的技術。一般采用克隆賬戶方式來實現。克隆賬戶一般有兩種方式：一種是手動克隆賬戶；另一種是使用克隆工具。

堡壘機，即在一個特定的網絡環境下，為了保障網絡和數據不受來自外部和內部用戶的入侵和破壞，而運用各種技術手段監控和記錄運維人員對網絡內的服務器、網絡設備、安全設備、數據庫等設備的操作行為，以便集中報警、及時處理及審計定責。堡壘機有以下作用：

身份認證及授權管理

• 健全的用戶管理機制和靈活的認證方式。為解決企業IT系統中普遍存在的因交叉運維而存在的無法定責的問題,堡壘機提出了采用“集中賬號管理“的解決辦法:集中帳號管理可以完成對帳號整個生命周期的監控和管理，而且還降低了企業管理大量用戶帳號的難度和工作量。同時，通過統的管理還能夠發現帳號中存在的安全隱患，并且制定統的、標準的用戶帳號安全策略。針對平臺中創建的運維用戶可以支持靜態口令、動態口令、數字證書等多種認證方式;支持密碼強度、密碼有效期口令嘗試死鎖、用戶激活等安全管理功能;支持用戶分組管理:支持用戶信息導入導出，方便批量處理。

• 細粒度、靈活的授權。系統提供基于用戶、運維協議、目標主機、運維時間段(年、月、日、周、時間)等組合的授權功能，實現細粒度授權功能，滿足用戶實際授權的需求。授權可基于:用戶到資源、用戶組到資源、用戶到資源組、用戶組到資源組。

• 單點登錄功能是運維人員通過堡壘機認證和授權后，堡壘機根據配置策略實現后臺資源的自動登錄。保證運維人員到后臺資源帳號的一種可控對應，同時實現了對后臺資源帳號的口令統一保護與管理。系統提供運維用戶自動登錄后臺資源的功能。堡壘機能夠自動獲取后臺資源帳號信息并根據口令安全策略，定期自動修改后臺資源帳號口令:根據管理員配置，實現運維用戶與后臺資源帳號相對應，限制帳號的越權使用:運維用戶通過堡壘機認證和授權后，SSA根據分配的帳號實現自動登錄后臺資源。

運維事件事中控制

• 實時監控。監控正在運維的會話，信息包括運維用戶、運維客戶端地址、資源地址、協議、開始時間等:監控后臺資源被訪問情況，提供在線運維操作的實時監控功能。針對命令交互性協議，可以實時監控正在運維的各種操作，其信息與運維客戶端所見完全致。

• 違規操作實時告警與阻斷。針對運維過程中可能存在的潛在操作風險，SSA根據用戶配置的安全策略實施運維過程中的違規操作檢測，對違規操作提供實時告警和阻斷，從而達到降低操作風險及提高安全管理與控制的能力。對于非字符型協議的操作能夠實時阻斷;

• 字符型協議的操作可以通過用戶配置的命令行規則進行規則匹配，實現告警與阻斷。告警動作支持權限提升、會話阻斷、郵件告警、短信告警等。

運維事件事后審計

• 對常見協議能夠記錄完整的會話過程。堡壘機能夠對日常所見到的運維協議如SSH/FTP/Telnet/STHTttptttps/RDPX11/NC等會話過程進行完整的記錄，以滿足日后審計的需求;審計結果可以錄像和日志方式呈現，錄像信息包括運維用戶名稱目標資源名稱客戶端IP、客戶端計算機名稱協議名、運維開始時間、結束時間、運維時長等信息詳盡的會話審計與回放。運維人員操作錄像以會話為單位，能夠對用戶名、日期和內容進行單項查詢和組合式查詢定位。組合式查詢則按運維用戶、運維地址、后臺資源地址、協議、起始時間、結束時間和操作內容中關鍵字等組合方式進行:針對命令字符串方式的協議，提供逐條命令及相關操作結果的顯示:提供圖像形式的回放，真實、直觀、可視地重現當時的操作過程:回放提供快放、慢放、拖拉等方式，針對檢素的鍵盤輸入的關鍵字能夠直接定位定位回放;針對RDP、X11、 VNC協議，提供按時間進行定位回放的功能

• 豐富的審計報表功能。保壘機系統平臺能夠對運維人員的日常操作、會話以及管理員對審計平臺進行的操作配或者是報警次數等做各種報表統計分析。報表包括:日常報表、會話報表、自審計操作報表、告警報表、綜合統計報表，并可根據個性需求設計和展現自定義報表。以上報表可以EXCEL格式輸出，并且可以以折線、柱狀、圓餅圖等圖形方式展現出來。

• 應用發布。針對用戶獨特的運維需求，傻壘機推出了業界虛擬桌面主機安全操作系統設備，通過其配合便壘機進行審計能夠完全達到審計、控制、授權的要求，配合此產品可實現對數據庫維護工具、pcAnywhere. DameWare等不同工具的運維操作進行監控和審計。

根據計算機中的信息的重要程度，對計算機與外部設采取的主要防范措施如下：

整體屏蔽

對于需要高度保密的信息，如軍、政首腦機關的信息中心和駐外使館等地方，應該將信息中心的機房整個屏蔽起來。屏蔽的方法是采用金屬網把整個房間屏蔽起來，為了保證良好的屏蔽效果，金屬網接地要良好，要經過嚴格的測試驗收。整個房間屏蔽的費用比較高，如果用戶承擔不起，可以采用設備屏蔽的方法，把需要屏蔽的計算機和外部設備放在體積較小的屏蔽箱內，該屏蔽箱要很好的接地對于從屏蔽箱內引出的導線也要套上金屬屏蔽網。

距離防護

讓計算機房遠離可能被偵測的地點，這是因為計算機輻射的距離有一定限制。對于一個單位而言，計算機房盡量建在單位轄區的中央地區。若一個單位轄區的半徑少于300米，距離防護的效果就有限。

使用干擾器

在計算機旁邊放置一個輻射干擾器，不斷的向外輻射干擾電磁波，該電磁波可以擾亂計算機發出的信息電磁波，使遠處偵測設備無法還原計算機信號。挑選干擾器時要注意干擾器的帶寬是否與計算機的輻射帶寬相近，否則起不到干擾作用，這需要通過測試驗證。

利用鐵氧體磁環

在屏蔽的電纜線的兩端套上鐵氧體磁環可以進一步減少電纜的輻射強度。