針對工控主機攻擊面有：

• 工控蠕蟲：工控蠕蟲攻擊是一種不依賴于計算機，只通過像西門子這樣的PLC設備進行攻擊和傳播的工控蠕蟲病毒，可以繞過當前的網絡安全防御系統。首先，攻擊者通過攻擊目標PLC設備，向目標PLC設備中寫入該蠕蟲病毒，然后通過西門子通信端口102嘗試建立連接，如果連接建立成功，則檢查目標PLC是否已被感染。如連接未建立成功，或目標PLC已被感染，則選擇新IP重新嘗試建立連接。如目標PLC未被感染，則停止目標PLC，下裝病毒程序，最后重新啟動目標PLC。

• 工控邏輯炸彈：該惡意軟件將攻擊代碼者注入到目標PLC上的現有控制邏輯中，改變控制動作或者等待特定的觸發信號來激活惡意行為。攻擊者可以通過LLB篡改合法的傳感器讀數等一系列惡意操作。

• 工控勒索病毒：這種勒索病毒一般指針對工控系統，但是和普通勒索病毒一樣，都具備普通勒索病毒的所有特性和特點，并且這種病毒對工控系統危害巨大。

• 工控Payload分發：工控payload分發是一種將payload注入到工控設備中，然后通過使目標機訪問來執行攻擊腳本的方式。攻擊者從互聯網上尋找一個具有足夠的空間來存儲payload的PLC，將payload上傳到PLC的內存。 攻擊者用dropper感染一個主機，然后利用stager與Modbus進行“交流”，從PLC中下載并執行該stage。

等級保護是我們國家的基本網絡安全制度、基本國策，也是一套完整和完善的網絡安全管理體系。簡單來說就是根據信息系統在國家安全、經濟建設、社會生活中的重要程度；遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權 益的危害程度；將信息系統劃分為不同的安全保護等級并對其實施不同的保護和監管。

信息安全等級保護的主要作用有以下這些：

• 驗證信息系統是否滿足相應安全保護等級，要求不同安全等級的信息系統應具有不同的安全保護能力。

• 能夠有效地提高我國信息和信息系統安全建設的整體水平。

• 有利于在信息化建設過程中同步建設信息安全設施，保障信息安全與信息化建設相協調，為信息系統安全建設和管理提供系統性、針對性、可行性的指導和服務，有效控制信息安全建設成本。

• 優化信息安全資源配置，對信息系統分級實施保護，重點保障基礎信息網絡和關系國家安全、經濟命脈、社會穩定等方面重要信息系統的安全。

• 明確國家、法人和其他組織、公民的信息安全責任，加強信息安全管理，推動信息安全產業的發展，逐步探索出一條適應我國社會主義市場經濟發展的信息安全模式。

入侵檢測系統部署的過程如下：

1. 定義入侵檢測的目標：不同的組網應用可能使用不同的規則配置，所以用戶在配置入侵檢測系統前應先明確自己的目標。

2. 選擇監視內容：選擇監視的網絡區域；選擇監視的數據包類型；根據網絡數據包的內容進行檢測。

3. 部署入侵檢測：集中監控多個子網流量，內部局域網中劃分了多個不同的只能的子網，有些子網訪問某些子網資源量希望收到監控和保護，假設具體進行監控。

1. 進入window設置界面

點擊開始菜單，選擇設置，進入window設置界面。

2. 點擊更新和安全選項

在window設置界面中，點擊更新和安全選項。

3. 點擊恢復選項

進入更新和安全界面后，點擊左側欄的恢復選項。

4. 立即重新啟動

來到恢復頁面后，點擊立即重新啟動選項。

5. 點擊疑難解答

在“選擇選項”屏幕，依次單擊疑難解答–高級選項–啟動設置選項。

6. 點擊啟用安全模式選項

進入啟動設置，使用數字鍵4選擇啟用安全模式，開機后即進入安全模式。

SSRF會造成以下危害：

• 內網探測：攻擊者若利用SSRF漏洞可以對內網服務器、辦公機進行端口掃描、資產掃描、漏洞掃描，發現服務器內部的可用端口和漏洞等；

• 竊取本地和內網敏感數據：攻擊者實施SSRF攻擊后可以訪問和下載內網的敏感數據，利用文件傳輸協議訪問服務器本地文件，上傳木馬或者病毒。

• 攻擊服務器本地或內網應用：攻擊者借助SSRF漏洞發現服務器內部存在的其他漏洞，然后利用發現的漏洞進一步發起攻擊利用。

• 跳板攻擊：借助存在 SSRF 漏洞的服務器對內或對外發起攻擊，以隱藏自己真實IP地址用來防止受害者溯源和追蹤。

• 繞過安全防御：如果利用SSRF漏洞攻擊者可以很簡單的繞過常見的防御措施和設備，直接對內網進行攻擊。

防御SSRF漏洞的方法有以下這些：

• 過濾返回信息，驗證遠程服務器對請求的響應是比較容易的方法。如果web應用是去獲取某一種類型的文件。那么在把返回結果展示給用戶之前先驗證返回的信息是否符合標準。

• 統一錯誤信息，避免用戶可以根據錯誤信息來判斷遠端服務器的端口狀態。

• 限制請求的端口為http常用的端口，比如，80、443、8080、8090等端口。

• 黑名單內網ip。避免應用被用來獲取獲取內網數據，攻擊內網。

• 禁用不需要的協議。僅僅允許http和https請求。可以防止類似于file:///、gopher://、ftp://等引起的問題。

樹狀網絡拓撲結構的優點如下：

• 易于擴展：本身這種結構就是其他網絡拓撲的延伸，因此這種結構可以延伸出很多分支和子分支，新的結點和新的分支非常容易加入到網絡內。

• 故障隔離方便：如果某一分支的結點或線路發生故障，很容易將這個分支和整個系統隔離開來。

• 網絡層次清楚：由于結點按層次進行連接，網絡層次較容易理順，信息交換主要在上、下結點之間進行。

樹狀網絡拓撲結構的缺點如下：

• 依賴于根結點：如果根發生故障，將導致全網不能正常工作，因此要求根結點有較高的可靠性和冗余性。

• 時延大：由于數據在傳輸過程中要經過多條鏈路，因此時延相對較大。

EA在SDLC的各階段中都有具體應用，但最主要影響的范圍還是在前期。

（1）初始階段。便于管理人員的理解，獲得高層管理者的支持和人力物力的支持，所有涉項人員形成安全共識；提出信息系統的預期目標，并在SDLC中各階段都關注其實現情況。

（2）需求分析階段。進行安全目標分析和安全需求分析。啟動立項以及之前的安全需求分類，是構建信息系統過程中最重要的階段。很多信息系統構建失敗的原因是需求不完整或不正確，因此，通過 EA 將對業務和業務需求有更深刻的了解。安全需求是由機構體系結構四個層次的需求提取匯集而來的，分別是業務需求、信息需求、解決方案需求、信息技術需求。這些需求共同決定了信息系統的安全需求。

（3）系統設計階段。利用框架描述目前信息系統，包括所面臨的問題、安全分類、集成方式等信息。從信息技術體系結構這一層面的分析對系統的設計和實現尤其重要，將關系到新的信息系統的設計和實現。具體需要了解的內容或領域包括：網絡，系統和網絡管理環境，基礎應用程序，物理安全環境。

此外，在SDLC各階段還需提供管理層易于理解的和基于業務考慮的風險評估審計報告。

可以利用

* https://company.com/?redirect=http://attacker.com
* https://company.com/?redirect=http://company.com.attacker.com
* https://company.com/?redirect=https://company.com@attacker.com
* https://company.com/?redirect=//attacker.com
* https://company.com/?redirect=//attacker.com
* https://company.com/?redirect=http://attacker.com#company.com
* https://company.com/?redirect=http://attacker.com?company.com
* https://company.com/?redirect=http://attacker.com/company.com
* https://company.com/?redirect=http://????????.???

Using special characters:
① ② ③ ④ ⑤ ⑥ ⑦ ⑧ ⑨ ⑩ ? ? ? ? ? ? ? ? ? ? 
⑴ ⑵ ⑶ ⑷ ⑸ ⑹ ⑺ ⑻ ⑼ ⑽ ⑾ ⑿ ⒀ ⒁ ⒂ ⒃ ⒄ ⒅ ⒆ ⒇ 
⒈ ⒉ ⒊ ⒋ ⒌ ⒍ ⒎ ⒏ ⒐ ⒑ ⒒ ⒓ ⒔ ⒕ ⒖ ⒗ ⒘ ⒙ ⒚ ⒛ 
? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 
? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 
? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 
? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 。

入侵檢測系統的特點有以下幾種：

• 能夠檢測那些來自網絡的攻擊和超過授權的非法訪問。

• 不需要改變服務器等主機的配置，也不會影響主機性能。由于這種檢測技術不會在業務系統的主機中安裝額外的軟件，從而不會影響這些機器的CPU、I/O與磁盤等資源的使用，不會影響業務系統的性能。

• 風險低。由于網絡入侵檢測系統不像路由器、防火墻等關鍵設備那樣會成為系統中的一個關鍵路徑，所以網絡入侵檢測系統發生故障時不會影響正常業務的運行。

• 配置簡單。網絡入侵檢測系統近年來有向專門設備發展的趨勢，安裝這樣的一個網絡入侵檢測系統非常方便，只需將定制的設備接上電源，做很少一些配置，將其連到網絡上即可。

加強局域網安全的方案有以下這些：

• 網絡分段方案：網絡分段是保證安全的一項重要措施，同時也是一項基本手段，其指導思想在于將非法用戶與網絡資源相互隔離，從而達到限制用戶非法訪問的目的。網絡分段可分為物理分段和邏輯分段兩種方式。在實際應用過程中，通常采取物理分段與邏輯分段相結合的方法來實現對網絡系統的安全性控制。物理分段通過硬件路由，交換機等組建網絡，邏輯分段通過劃分VLAN劃分廣播域隔絕網絡。

• 網絡層安全防護設計方案：通過FW、IPS模塊實現網絡層訪問控制、惡意代碼防護、入侵防御。 在各個內網安全域邊界處，部署防火墻實現域邊界的網絡層訪問控制。在內網邊界處部署流量監控設備，實現全景網絡流量監控與審計，并對數據包進行解析，通過會話時間、協議類型等判斷業務性能和交互響應時間。

• 主機層安全防護與設計方案：在各個區域的核心交換處部署安全沙箱，實現主機入侵行為和未知威脅分析與預警。通過自適應安全監測系統，對主機操作系統類型、版本、進程、賬號權限、反彈shell、漏洞威脅等進行全面的監控與預警。

• 應用層安全防護與設計方案：在通過外部服務域部署WAF設備實現應用層基于入侵特征識別的安全防護。通過自適應安全監測系統，對應用支撐系統的類型、版本、框架路徑、訪問權限、漏洞威脅等進行全面的監控與預警。

• 數據層安全防護與設計方案：在數據資源域邊界處部署數據庫防護墻實現敏感信息的訪問控制。在數據資源域邊界處部署數據庫審計設備實現數據庫的操作審計。在互聯網接入域部署VPN設備，實現對敏感數據傳輸通道的加密。

• 安全數據分析方案：部署態勢感知系統，根據告警信息定位失陷主機，檢測各類植入攻擊，識別漏洞入侵的惡意代碼。部署全景流量分析系統，建立正常網絡流量模型，設定檢測規則及閾值檢測異常流量并報警處理。

• 安全管控措施方案：基于漏洞檢測的主動防御，云安全防護虛擬資源池提供系統層漏掃、web層漏掃、數據庫漏掃等檢測工具，基于已知或未知風險進行安全策略調整、漏洞修復、補丁更新等主動防御行為內網統一身份認證與權限管理。建立統一身份庫，設立各級權限賬戶唯一身份標識，通過堡壘機實現訪問。外部訪問通過驗證加入外部用戶身份庫，實現資源訪問。

下面就來介紹采用刪除注冊表項來退出亞信防毒墻網絡版的方法（這里以64位計算機為例）：

1. 按下鍵盤的win+R鍵調出運行界面輸入regedit命令打開注冊表編輯頁面；

2. 找到Allow Unistall的值，改選項路徑是HKEY_LOCAL_MACHINE/SOFTWARE/TrendMicro/ PC-cillinNTCorp/CurrentVersion/Misc定位Allow Unistall；

3. 將Allow Unistall的鍵值改為1后，保存關閉注冊表編輯頁面；

4. 找到亞信防毒墻的運行界面直接退出即可，如果要卸載該程序可以去控制面板按正常流程卸載。

身份認證的安全措施有以下這些：

• 身份信息加密以防止信息泄露和篡改數據：需要在認證信息的傳輸和存儲時采用加密技術以保證認證中的數據在傳送或存儲過程中未被泄露和篡改。傳輸中的認證信息加密可以采用對稱密鑰加密體制，也可以采用非對稱密鑰加密體制；往往需要一個可信賴的第三方，通常稱為密鑰分發中心（Key Distribution Center, KDC），實現通信的密鑰管理、分發或協商。其實，認證信息傳輸加密和其他信息加密過程一樣沒有其特殊性，其實現目的也相同。

• 采用安全的認證方式抵御重放攻擊：面對身份認證過程中的重放攻擊，從攻擊方式上理解，加密可以有效防止信息泄露、篡改和假冒，但是卻防止不了重放攻擊。為了抵御重放攻擊，現在的身份認證一般采用挑戰/應答認證模式，另一種采用時間戳方式。

• 數字時間戳方式：數字時間戳（digital time-stamp, DTS）就是用來有效證明電子數據的收發時間內容。身份認證用戶將認證信息發送到專門提供數字時間戳服務的權威機構（如認證機構），該機構對信息加上時間后，加密并發送給原身份認證用戶，用戶解密出加上時間內容的認證信息后，在身份認證報文中附加發送的時間戳；認證服務器接收時只有報文時間戳與本地時間足夠接近時（時間窗的限制值內），才認為是一個合法的新報文，否則認為是重放攻擊報文。

• 管理好個人的身份標識，輕易不要被欺騙泄露或告知他人：尤其是信任物體身份標識硬件，借用或丟失會造成身份冒用。如果前者可以通過第三方認證中心通過公鑰數字證書和私鑰的關系來識別是否是原始合法用戶，從而識別出真假身份，但后者個人身份信息的完全丟失危害是明顯的。

• 提高口令、PIN等身份標識設置的復雜度：提高身份標識的猜測難度，有效地防止身份探測。增加身份認證因素，采用雙因素或多因素的認證方式可以更好克服由于身份信息泄露造成的安全威脅。

應對通信攻擊面的預防措施有以下這些：

• 數據存儲、備份和保護：實際上，網絡攻擊者僅通過從邊緣計算資源中刪除磁盤或插入U盤，就有可能竊取數據庫。由于邊緣計算設備的本地資源有限，因此備份關鍵文件也可能很困難或不可能實現，這意味著如果發生攻擊事件，組織可能沒有備份副本來恢復數據庫。所以要加強數據的備份和保護。

• 加強密碼安全：建議不要使用弱密碼，可以增強密碼的安全性，并且對密碼的存儲要保證存儲的安全。

• 增加身份驗證：由于邊緣計算技術缺乏對用戶的身份驗證，建議可以采取多因素認證或者雙因素認證等方式來加強用戶的身份認證，同時完善用戶的管理和管理員的操作。

• 及時更新補丁：邊緣計算設施出現安全漏洞可能會使數據中心資產的訪問憑據暴露，從而顯著增加安全漏洞的范圍。及時將這些漏洞進行修補以防止數據中心資產的暴露。

• 監視活動操作：監視并記錄所有邊緣計算活動，尤其是與操作和配置有關的活動。組織必須確保對邊緣計算設施的訪問權限，因為總體而言并不能保證其設施的安全。將設備放在安全籠中并在人員進入和退出時進行視頻監視是一個很好的策略，其前提是必須控制對安全籠的訪問，并且采用視頻技術可以識別訪問嘗試。打開安全籠應在組織的IT運營或安全中心觸發警報。用于這一目的的工具與用于數據中心設施安全的工具相同，都采用傳感器和警報。

IT審計的實施需要制定相應的計劃，明確IT審計的任務、采用的方法和預期應當達到的效果。該計劃在提交經營層確認后得以實施。IT審計的審計計劃分為兩種類型：

• 基本計劃：是一個審計年度內相關IT審計活動的計劃，確認年度內IT審計的各項任務及其大致時間安排。基本計劃需要提交經營層批準。它是對整個IT審計年度的活動指引方針。內容包括：審計對象、審計場所、審計原則、日程安排等。

• 詳細計劃（分期計劃）：針對具體項目（系統）或任務，得到IT審計部門領導的許可即可，詳細計劃需要告知被審計對象。詳細計劃的內容包括：審計對象、目的、審計流程、審計要點、審計時間、相關人員、審計報告提交事項等內容。

信息安全管理通常分為宏觀管理和微觀管理，信息安全宏觀管理包括以下四個層次：

• 需要政府制定的相關的信息安全戰略方針，就信息安全提出宏觀的方向、任務、目標；

• 需要依據戰略方針制定的各項政策（等級保護、風險評估、災難恢復、應急響應、信息安全學科設置），政策制定是瞄準方向、完成任務、達到目標的方法；

• 需要體現客觀規律、社會利益和國家意志的法律和規范（等級保護規范、把等級保護作為法律層面的工作、信息安全條例、信息安全法規），法規對機構和個人的行為進行限制、約束，即確認管理主體和管理客體的義務與責任；

• 需要制定各種標準來指導技術和管理行為，用標準來規范行為和技術。