工業控制系統信息安全分級規范：

• 分級規范中工業控制系統信息安全級別是依據風險影響等級來界定的，分為四級。同時對1-4級工業控制系統的特征進行了界定，主要從受破壞后的影響程度、抵御威脅程度、安全防護能力和上級監管四個維度進行特征的區分和定義，對工業企業的防護粒度、上級監管力度上有顯著的等級差異，為用戶方和監管單位提供參考。

分級規范中工業控制系統信息安全級別分為以下四級：

• 第一級工業控制系統：會對一般領域的工業生產運行造成損害，或者對公民、企業和其他組織的合法權益及重要財產造成損害，但不會損害國家安全（特別是其中的國家經濟安全）、環境安全、社會秩序、公共利益和人員生命。

• 第二級工業控制系統：會對一般領域的工業生產運行造成 重大損害，或者 對重點領域的工業生產運行造成損害，或者對公民、企業和其他組織的合法權益及重要財產造成 嚴重損害，或者 對環境安全、社會秩序、公共利益和人員生命造成損害，但不會損害國家安全（特別是其中的國家經濟安全）。

• 第三級工業控制系統：會對重點領域的工業生產運行造成 重大損害，或者 對關鍵領域的工業生產運行造成損失，或者對環境安全、社會秩序、公共利益和人員生命造成 嚴重損害，或者 會對國家安全（特別是其中的國家經濟安全）造成損害。

• 第四級工業控制系統：會對關鍵領域的工業生產運行造成重大損害，或者對環境安全、社會秩序、公共利益和人員生命造成 特別嚴重損害，或者對國家安全（特別是其中的國家經濟安全） 造成嚴重損害。

提高內網安全性方法如下：

• 采用安全的交換機；

• 使用正版操作系統經常更新補丁；

• 對內部重要資料進行備份，如果有條件可以異地備份；

• 使用代理網關；

• 設置防火墻規則，盡可能詳細的設計規則可以大大加強內網安全；

• 信息保密工作做好，做的外部u盤不能隨意接入內網，加強數據量信息的保密防護。

商用密碼應用安全性評估，是指在采用商用密碼技術、產品和服務集成建設的網絡和信息系統中，對其密碼應用的合規性、正確性和有效性等進行評估。涉及國家安全和社會公共利益的重要領域網絡和信息系統的建設、使用、管理單位，應當健全密碼保障體系，實施商用密碼應用安全性評估。

關鍵信息基礎設施、網絡安全等級保護第三級及以上信息系統，每年至少評估一次，測評機構可將商用密碼應用安全性評估與關鍵信息基礎設施網絡安全測評、網絡安全等級保護測評同步進行。其他信息系統定期開展檢查和抽查。

密評主要包括哪些工作內容：

• 方案評估

  對于新建/改造信息系統，密碼應用建設方案/改造方案，一般由責任單位組織商用密碼從業單位編寫, 包括：《密碼應用解決方案》、《實施方案》和《應急處置方案》。責任單位編寫密碼應用建設方案/改造方案后，應委托測評機構對方案進行評估。

• 系統評估

  依據GM/T0054-2018《信息系統密碼應用基本要求》等標準，系統評估主要從物理和環境、網絡和通信、設備和計算、應用和數據、密鑰管理、安全管理等方面開展。

  測評機構完成系統評估后，出具評估報告。在密評活動結束30個工作日內，將評估結果報密碼管理部門等相關部門備案。

對于新建系統，在規劃階段，網絡運營者（責任單位）應當依據商用密碼應用安全性有關標準, 制定商用密碼應用建設方案, 組織專家或委托測評機構進行評估，評估結果作為項目規劃立項的重要依據和申報使用財政性資金項目的必備材料。

對于已建系統，網絡運營者（責任單位）應委托密評機構開展商用密碼應用安全性評估，根據國家密碼相關法律法規、政策、標準及整改建議制定密碼應用整改（改造）方案，組織專家或委托密評機構對方案進行評審，并根據評審通過整改方案進行整改。

身份認證設計

• 用戶身份認證的強度設計
• 對高價值交易和進入保護區域的用戶需要進行重新認證
• 認證失敗后的處理方式
• 使用強口令策略
• 使用圖片驗證碼
• 敏感信息加密處理

訪問控制

• 限制普通用戶對資源的訪問;
• 應用軟件啟動權限最小化
• 敏感功能IP地址控制
• 盡量采用統一的訪問控制機制
• 資源請求數量限制
• 在服務器端實現訪問控制

會話管理

• 限制會話壽命
• 確保會話的安全創建
• 確保會話數據的存儲安全
• 確保會話的安全終止
• WEB頁面應避免跨站請求偽造
• WEB系統確保會話憑證的安全

數據安全

• 盡量避免明文存儲敏感信息
• 避免在代碼中存儲敏感信息
• WEB系統,不要在永久性cookie中存儲敏感數據
• 避免在配置文件中明文存儲數據庫連接、口令或密鑰
• 確保通信通道的安全
• 禁止自創加密算法

USG防火墻最多支持32個安全區域。華為防火墻默認預定義了四個固定的安全區域，分別為：

• Trust:該區域內網絡的受信任程度高，通常用來定義內部用戶所在的網絡。

• Untrust:該區域代表的是不受信任的網絡，通常用來定義Internet 等不安全的網絡。

• DMZ（Demilitarized非軍事區）:該區域內網絡的受信任程度中等，通常用來定義內部服務器(公司OA系統，ERP系統等)所在的網絡。

• Local:防火墻上提供了Local 區域，代表防火墻本身。比如防火墻主動發起的報文（我們在防火墻執行ping測試）以及抵達防火墻自身的報文（我們要網管防火墻telnet、ssh、http、https）。

注意：默認的安全區域無需創建，也不能刪除，同時安全級別也不能重新配置。

windows安全審計指的是可以根據需要實時地將發生在系統中的事件記錄下來。可以通過查看與安全相關的日志文件的內容,來分析、查找系統和應用程序故障以及各類安全事件,發現黑客的入侵和入侵后的行為。

windows安全審計的測評項

應啟用安全審計功能，審計覆蓋到每個用戶，對重要的用戶行為和重要安全事件進行審計；

審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息；

應對審計記錄進行保護，定期備份，避免受到未預期的刪除、修改或覆蓋等；

應對審計進程進行保護，防止未經授權的中斷。

日志審計產品功能如下：

• 日志監控：提供日志監控能力，支持對采集器、采集器資產的實時狀態進行監控，支持查看CPU、磁盤、內存總量及當前使用情況；支持查看資產的概覽信息及資產關聯的事件分布；

• 日志采集：提供全面的日志采集能力：支持網絡安全設備、網絡設備、數據庫、windows/linux主機日志、web服務器日志、虛擬化平臺日志以及自定義等日志；提供多種的數據源管理功能：支持數據源的信息展示與管理、采集器的信息展示與管理以及agent的信息展示與管理；提供分布式外置采集器、Agent等多種日志采集方式；支持IPv4、IPv6日志采集、分析以及檢索查詢；

• 日志存儲：提供原始日志、范式化日志的存儲，可自定義存儲周期，支持FTP日志備份以及NFS網絡文件共享存儲等多種存儲擴展方式

• 日志檢索：提供豐富靈活的日志查詢方式，支持全文、key-value、多kv布爾組合、括弧、正則、模糊等檢索；提供便捷的日志檢索操作，支持保存檢索、從已保存的檢索導入見多條件等；

• 日志分析：提供便捷的日志分析操作，支持對日志進行分組、分組查詢以及從葉子節點可直接查詢分析日志；

• 日志轉發：支持原始日志、范式化日志轉發

• 日志事件告警：內置豐富的單源、多源事件關聯分析規則，支持自定義事件規則，可按照日志、字段布爾邏輯關系等方式自定義規則；支持時間的查詢、查詢結果統計以及統計結果的展示等；支持對告警規則的自定義，可設置針對事件的各種篩選規則、告警等級等；

• 日志報表管理：支持豐富的內置報表以及靈活的自定義報表模式，支持編輯報表的目錄接口、引用統計項、設置報表標題、展示頁眉和頁碼、報表配置基本內容（名稱、描述等）；支持實時報表、定時報表、周期性任務報表等方式；支持html，pdf，word格式的報表文件以及報表logo的靈活配置；

支持安全web服務的協議是HTTPS協議，全稱為Hyper Text Transfer Protocol over SecureSocket Layer，該協議是以安全為目標的HTTP 通道，在HTTP的基礎上通過傳輸加密和身份認證保證了傳輸過程的安全性HTTPS在HTTP的基礎下加入SSL，HTTPS的安全基礎是SSL，因此加密的詳細內容就需要SSL。HTTPS是以安全為目標的 HTTP 通道，簡單講是 HTTP 的安全版。

使用 HTTPS 協議主要是為了保護用戶隱私，防止流量劫持。在 HTTP 協議下，中間者可以隨意嗅探用戶搜索內容，竊取隱私甚至篡改網頁。不過 HTTPS 是這些劫持行為的克星，能夠完全有效地防御。HTTPS 協議提供了三個強大的功能來對抗上述的劫持行為：

• 內容加密。瀏覽器到百度服務器的內容都是以加密形式傳輸，中間者無法直接查看原始內容。

• 身份認證。保證用戶訪問的是百度服務，即使被 DNS 劫持到了第三方站點，也會提醒用戶沒有訪問百度服務，有可能被劫持

• 數據完整性。防止內容被第三方冒充或者篡改。

安全態勢感知平臺具備以下功能：

• 可視功能：通過多維度的安全數據儀表盤，將網絡重點環節的實時運行及安全狀態多維度的展示給安全人員，方便安全人員及時掌握網絡整體狀況。

• 可知功能：全量收集各種安全數據，便提供檢索功能，便于安全人員從海量日志中查找到安全事件對應的日志。

• 可管功能：通過監測操作系統、安全設備、網絡設備、應用程序和數據庫的安全配置和安全日志，結合安全基線、威脅情報和知識庫進行多維度安全分析，對發現的漏洞和脆弱性及時處置。

• 可控功能：充分利用大數據的分析模型和機器學習等算法，為用戶建立行為畫像，可以基于已知威脅檢測和異常行為分析來發現多態惡意代碼、APT攻擊等未知威脅攻擊，并對分析出來的安全事件、異常行為等進行實時告警，通過可視化展現、郵件等方式及時通報給相關網絡安全人員進行處置。

• 可塑功能：通過威脅情報、規則匹配和大數據分析模型等技術對給定的安全事件進行追蹤溯源，刻畫網絡安全事件的攻擊路徑，為網絡安全人員采取措施和溯源提供依據。

• 可預警功能：實時動態展示當前網絡安全狀況，并呈現一定時間內整個網絡空間環境安全要素，從已知數據推演分析將要發生的安全事件，實現對安全威脅事件的預測和判斷發生的概率。

軟件開發安全問題包括以下七種：

• 開放系統的重要性

  安全系統應設計為對設備互操作開放。有人認為這意味著系統缺乏網絡安全，但事實恰恰相反。大多數“開放式”系統本質上旨在了解確保持續可用性和網絡抵抗所需的網絡憑證和流程。

  開放系統的另一個好處是允許選擇。集成商和安裝商可以設計出佳的物理安全解決方案，在數據中心需求變化時進行更新和改進。封閉系統的缺點是客戶只能接收供應商可以提供的產品，但如果用戶需要不對外銷售的技術，或者不與封閉系統連接，那么該怎么辦?答案是選擇合適的供應商和合作伙伴。

• 部署有效的端到端物理安全解決方案

  要在數據中心內設計完全端到端的物理安全解決方案，佳實踐意味著在數據中心外部更安全的層和區域管理安全性。端到端解決方案應運行的示例場景可能涉及數據中心管理人員要求維護工程師訪問數據中心以進行定期維護。數據中心管理人員使用其Outlook服務通知其訪問。然后，訪客管理軟件將其邀請推送給工程師，工程師會通過確認回復，并附上工程師的視頻ID，以驗證他們的身份。

  其邀請包括數據中心的位置和快速反應(QR)編碼。到達數據中心停車場之后，工程師會向監控閘桿的IP監控攝像頭提供QR碼。攝像機既是接收和安全辦公桌的流式饋送，也是QR編碼閱讀器，與控制器互操作，同時檢查訪客管理軟件已經設置的訪問權限。控制器然后升起閘桿，同時自動發送消息或與接收的現場語音交互引導工程師到正確的停車位。在此期間，接待、安保和數據中心管理人員都會收到工程師到達提醒。

• 對開源代碼使用要謹慎

  很多人在開發APP的時候會為了方便省事，就會使用網絡中一些開源代碼程序進行開發，這樣就不用自己再重新敲代碼，直接使用現成的，這樣能夠節省開發時間。但是這樣開發出來的軟件就會有很多系統漏洞，就會導致開發出來的APP安全性不高，當APP出現安全性問題時就會降低用戶對APP的信任度，這樣的APP不能給企業帶來益處還會拖企業的后腿。所以在開發時不要使用網上的開源代碼，盡量進行獨立開發，就算使用開源代碼，也要在使用之前檢查是否存在漏洞。

• 堅持進行升級和更新

  APP開發結束后要堅持進行更新和升級，因為APP在運行過程中總會出現各種各樣的問題，如果不進行更新，時間久了就可能會被攻擊。只有不停地更新APP的版本，對APP的系統升級才能夠保證APP的安全性。同時，APP進行更新與升級，也能給用戶帶來更好地體驗感。

• 軟件的安全性

  在APP發布之前的測試環節也是非常重要的，APP上線之前，要有專門的測試團隊，對APP的安全性進行測試，只有這樣才能保證APP不會出現錯誤代碼導致的系統漏洞等安全問題。

• 緩存清理

  APP在使用過程中，會留下用戶的的使用痕跡，就會在手機里留下緩存，這些緩存很容易被別人獲取，所以在APP中要設置清理緩存的功能，這樣能夠避免別人獲取用戶信息，還能夠更少的占用手機內存，不會出現手機內存不足的情況。

• 服務器的穩定性

  開發APP不僅僅要注意APP自身的安全性能，還要加強對服務器穩定性安全性的關注。因為APP中的數據文件都是儲存在服務器當中的，所以要對服務器的安全性和穩定性要格外注意。

堡壘機等ce、pe設備連接防火墻一般使用靜態路由協議連接，靜態路由（英語：Static routing）是一種路由的方式，路由項（routing entry）由手動配置，而非動態決定。與動態路由不同，靜態路由是固定的，不會改變，即使網絡狀況已經改變或是重新被組態。一般來說，靜態路由是由網絡管理員逐項加入路由表。使用這種方法讓堡壘機連接防火墻比較穩定，不會出現斷連。

靜態路由優缺點如下：

• 優點：使用靜態路由的另一個好處是網絡安全保密性高。動態路由因為需要路由器之間頻繁地交換各自的路由表，而對路由表的分析可以揭示網絡的拓撲結構和網絡地址等信息。因此，網絡出于安全方面的考慮也可以采用靜態路由。不占用網絡帶寬，因為靜態路由不會產生更新流量。靜態路由適用于中小型網絡。

• 缺點：大型和復雜的網絡環境通常不宜采用靜態路由。一方面，網絡管理員難以全面地了解整個網絡的拓撲結構；另一方面，當網絡的拓撲結構和鏈路狀態發生變化時，路由器中的靜態路由信息需要大范圍地調整，這一工作的難度和復雜程度非常高。當網絡發生變化或網絡發生故障時，不能重選路由，很可能使路由失敗。

IPSec可以對網絡安全提供以下安全性服務：

• 訪問控制：如果沒有正確的密碼就不能訪問一個服務或系統。通過調用安全協議來控制密鑰的安全交換，用戶身份認證也用于訪問控制。

• 無連接的完整性：使用IPSec，可以在不參照其他數據包的情況下，對任一單獨的IP包進行完整性校驗。此時每個數據包都是獨立的，能夠通過自身來確認，此功能通過使用安全散列技術來完成。

• 數據源身份認證：通過數字簽名的方法對IP包內的數據來源進行標識。

• 抗重發攻擊：重發攻擊是指攻擊者發送一個目的主機已接收過的包，通過占用接收系統的資源，使系統的可用性受到損害。作為無連接協議，IP很容易受到重發攻擊的威脅。為此，IPSec提供了包計數器機制，以便抵御抗重發攻擊。

• 保密性：確保數據只能為預期的接收者使用或讀出，而不能為其他任何實體使用或讀出。保密機制是通過使用加密算法來實現的。

安全管理技術的五種方法：

• 防火墻技術

  防火墻是建立在內外網絡邊界上的過濾機制,內部網絡被認為是安全和可信賴的而外部網絡被認為是不安全和不可信賴的。防火墻可以監控進出網絡的流量,僅讓安全、核準的信息進入,同時抵制對企業構成威脅的數據。防火墻的主要實現技術有:數據包過濾、應用網關和代理服務等。

  目前防火墻產品主要有堡壘主機、包過濾路由器、應用層網關(代理服務器)、電路層網關、屏蔽主機防火墻、雙宿主機等。

• 信息加密技術

  信息加密的目的是保護網內的數據、文件、口令和控制信息,保護網上傳輸的數據。數據加密技術主要分為數據存儲加密和數據傳輸加密,數據傳輸加密主要是對傳輸中的數據流進行加密。加密是一種主動安全防御策略,用很小的代價即可為信息提供相當大的安全保護,是一種限制網絡上傳輸數據訪問權的技術。

• 身份認證技術

  身份認證是系統核查用戶身份證明的過程,其實質是查明用戶是否具有它所請求資源的使用權。身份識別是指用戶向系統出示自己身份證明的過程。身份認證至少應包括驗證協議和授權協議。當前身份認證技術,除傳統的靜態密碼認證技術以外,還有動態密碼認證技術、IC卡技術、數字證書、指紋識別認證技術等。

• 安全協議

  安全協議的建立和完善是安全保密系統走上規范化、標準化道路的基本因素。一個較為完善的內部網和安全保密系統,至少要實現加密機制、驗證機制和保護機制。目前使用的安全協議有加密協議、密鑰管理協議、數據驗證協議和安全審計協議等。

• 入侵檢測系統

  入侵檢測系統是一種對網絡活動進行實時監測的專用系統。該系統處于防火墻之后,可以和防火墻及路由器配合工作,用來檢查一個LAN網段上的所有通信,記錄和禁止網絡活動,可以通過重新配置來禁止從防火墻外部進入的惡意活動。入侵檢測系統能夠對網絡上的信息進行快速分析或在主機上對用戶進行審計分析,并通過集中控制臺來管理、檢測。

windows防火墻端口可以使用的一共有64511個，因為windows系統的計算機一共有2的16次方總共65535個端口，其中1到1023為Well-Known端口，已經被“知名”服務預定使用，所以除了前1024個端口不能使用，windows防火墻可以隨意設置剩余端口號為自己的服務端口，但是設置時需要查證該端口沒有被其他服務占用否則會導致端口沖突。

一般借助Configuration Manager客戶端，使用以下過程修改Windows防火墻上的端口和程序：

• 在運行防火墻Windows打開”控制面板”。

• 右鍵單擊 Windows 防火墻”，然后單擊”打開 “。

• 配置任何必需的例外和所需的任何自定義程序和端口。

DPI和DFI安全應用識別技術的區別有：

• 識別準確率：DPI識別準確率高，可以準確識別具體的應用，但是DFI不行；

• 識別的誤報率：DPI的誤報率低，DFI可能存在較為相近的流量特征，從而導致誤報率的增大；

• 對計算的要求：DFI不需要逐包檢查所以對計算的要求很低，但DPI需要逐包檢查，要求計算能了強；

• 新應用支持效率：DPI需要對應用進行分析支持新應用能力低，DFI對已經支持的應用不需要檢查可以馬上支持；

• 實現技術：DPI采用基于特征匹配技術，DFI則采用網絡層、傳輸層信息、業務流持續時間、字節長度分布等參數進行統計分析技術；