區別如下：

1. 端口轉發，有時被稱為做隧道，是安全殼（SSH）為網絡安全通信使用的一種方法。簡單來說，端口轉發就是將一個端口收到的流量轉發到另一個端口。

2. 端口映射是NAT的一種，功能是把在公網的地址轉成私有地址。簡單來說，端口映射就是將一個端口映射到另一個端口供他人使用。

發現個人電腦感染病毒,斷開網絡的目的是防止計算機內的數據被泄露同時阻止計算機進一步被損壞，目前的計算機病毒將入侵后獲得的信息一般是通過網絡傳送到攻擊者的手上，當發現計算機被病毒感染后應該第一時間將計算機斷網，并開啟殺毒軟件進行斷網掃描，如果確認病毒已經被清除后在連接網絡。

除了斷開網絡，另外：

• 打開殺毒軟件對全盤進行掃描查殺。對于普通病毒，一般的掃描殺毒即可恢復系統狀態，如果病毒比較棘手，導致系統死機、運行緩慢、甚至連殺毒軟件都不能工作，這時需要重啟操作系統。在計算機通電后，啟動操作系統前，有的殺毒軟件會提示是否進行掃描殺毒，這種殺毒方式稱為BootScan。由于病毒依賴于操作系統才能運行，在系統未啟動前，病毒沒有被激活，只是普通的硬盤文件，可用該方式輕易清除病毒。如果你的計算機沒有安裝殺毒軟件或者不具備BootScan功能，可將硬盤拆下后掛載到另外一臺計算機上作為普通硬盤進行查殺操作。

• 清除完病毒后，導出重要的文件進行備份。把掃描過的硬盤掛載為普通硬盤，將其中的重要文件資料進行備份。備份時僅備份文檔、照片等非程序數據文件，程序文件不要備份。

• 重新安裝操作系統，徹底清理系統分區。一般而言，病毒都會駐留隱藏在系統分區，重新安裝操作系統是最徹底的清除辦法。重裝完系統后要及時安裝殺毒軟件，更新系統補丁。然后將所有的帳號密碼進行更換，包括郵箱帳號密碼、社交帳號、網盤帳號等，并對所有曾經連接過感染主機的U盤、移動硬盤進行查殺掃描，徹底清除遺留病毒文件。

電腦病毒防范措施：

• 經常更新操作系統補丁和應用軟件的版本。操作系統廠商會定期推出升級補丁，這些升級補丁除了提升操作系統性能外，很重要的任務是堵塞可能被惡意利用的操作系統漏洞。同理，把軟件升級到最新版本，也會讓很多病毒望而卻步，因為新版本軟件會優化內部代碼，使病毒暫無可乘之機。

• 安裝防火墻和殺毒軟件。防火墻與殺毒軟件就像大門的警衛，會仔細甄別出入系統的文件程序，發現異常及時警告并處置。比如你在訪問惡意網站或運行可疑程序時，殺毒軟件都會進行警告；當你下載或收到可疑文件時，殺毒軟件也會先行掃描；當你的操作系統需要更新或應用程序需要升級時，殺毒軟件也會提示。

• 經常備份重要的數據。越是重要的文件，越要多做備份，而且備份之間相距越遠越好。就像我們在編輯文檔時經常點擊保存一樣，一旦遇到突發情況，起碼可以將損失降到最低，不至于全文皆丟。作為事后補救的措施，及時備份是一種很好的習慣和方法。

• 隱秘文件要加密。一定要樹立“凡是上網即意味公開”的意識，堅守“涉密不上網，上網不涉密”的原則，沒經過加密的文件在硬盤上存儲或網絡上傳輸是明文狀態，竊取、截獲、還原非常容易；不要對網絡硬盤過于信任，凡在掌控范圍以外的地方就是公之于眾的地方；謹慎開啟文字編輯軟件的云盤備份功能，不然你編輯一份，就在云盤備份一份。最簡單的加密方式就是用壓縮軟件對隱秘文件進行加密壓縮，目前主流壓縮軟件采用橢圓曲線加密算法，加密強度較高，能夠很好的保障文件隱秘安全。

• 使用復雜的密碼。密碼越復雜，被破解的幾率越小，因此對自己的操作系統、郵箱、社交賬號要設置長度12位以上字符、數字、特殊符號混雜的密碼，且不要用相同密碼、生日密碼等易被猜解的密碼，更不要將銀行、社保等現實生活密碼與網絡密碼混為一談。

• 使用Ghost系統或系統還原。Ghost系統也稱影子系統，就是在你剛剛安裝系統完畢后，將純凈的系統制作一張系統光盤，一旦系統受損，可用影子系統快速恢復。系統還原就是操作系統會定期將系統的狀態進行備份，備份的狀態點被稱為系統還原點，系統受損后直接點擊還原點就能快速恢復系統上次的狀態。

• 上網要提高安全意識這根弦。作為現實世界的鏡像，互聯網也充斥著現實中的陰暗角落。不要接收來歷不明的文件，不要打開可疑的鏈接，不要暴露真實的身份信息，不要訪問提示“危險”的網站，要相信殺毒軟件給出的警示信息，切莫一意孤行造成損害。

堡壘機權限用戶有以下這些：

• 超級管理員：具有添加和管理超級管理員、堡壘機配置員、普通用戶、運維操作審計員、堡壘機日志審計員等角色，有訪問授權、用戶管理、設備管理、策略定義、組態報表、系統設置、單點登陸、審計管理等功能權限。

• 堡壘機配置員：具有添加角色、訪問授權規則添加、設備管理、策略定義、管理訪問控制、管理權限控制（字符設備命令防火墻）、SSH密鑰異常管理等權限。

• 運維操作審計員：具有操作審計、審計管理信息查看、審計信息導出Excel、產品資源與注冊文件管理等權限。

• 堡壘機日志審計員：具有查看堡壘機日志審計信息、堡壘機日志審計信息導出Excel、查看操作日志等權限。

• 普通用戶：根據配置管理員設定的訪問控制規則訪問不同的設備，實現單點登陸權限。

蜜罐防止攻擊者收集信息的措施有以下這些：

• 構建陷阱：通過構造含有敏感詞、非關鍵源代碼、系統配置文件等信息的蜜罐系統作為吸引攻擊者訪問的陷阱。

• 投放誘餌：在投遞誘餌信息的時候，考慮到通過瀏覽器ID進行溯源成功概率更高，可更多的將誘餌投遞到相關信息共享平臺上。

• 暴露假代碼信息：在軟件或者項目管理平臺故意暴露代碼信息，并“忘記”做脫敏處理，暴露出一些配置信息。比如賬號設置、維護記錄、名稱設置方法和關鍵字匹配等，甚至是郵箱的用戶名和密碼，也是很好的“原料”。

• 投放域名誘餌：在攻擊者做子域名爆破時設計和投放域名誘餌，想辦法保證域名不被搜索引擎抓取，但可以被基于字典的子域名爆破工具發現。

• 擾亂攻擊者視線：在某些公開位置放置名稱和內容與企業的某業務系統（蜜罐）相關的文檔，在文檔中“無意間”暴露若干“有價值”的信息，也能實現擾亂視線的效果。

預防攻擊者對網絡物理層攻擊的措施有以下這些：

• 屏蔽：用金屬網或金屬板將信號源包圍，利用金屬層來阻止內部信號向外發射，同時也可以阻止外部信號進入金屬層內部。通信線路的屏蔽通常有兩種方法，一是采用屏蔽性能好的傳輸介質，二是把傳輸介質、網絡設備、機房等整個通信線路安裝在屏蔽的環境中。

• 物理隔離：物理隔離技術的基本思想是如果不存在與網絡的物理連接，網絡安全威脅便可大大降低。物理隔離技術實質就是一種將內外網絡從物理上斷開，但保持邏輯連接的信息安全技術。物理隔離的指導思想與防火墻不同，防火墻是在保障互聯互通的前提下，盡可能安全，而物理隔離的思路是在保證必須安全的前提下，盡可能互聯互通。物理隔離是一種隔離網絡之間連接的專用安全技術。這種技術使用一個可交換方向的電子存儲池。存儲池每次只能與內外網絡的一方相連。通過內外網絡向存儲池復制數據塊和存儲池的擺動完成數據傳輸。這種技術實際上是一種數據鏡像技術。它在實現內外網絡數據交換的同時，保持了內外網絡的物理斷開。

• 設備和線路冗余：設備和線路冗余主要指提供備用的設備和線路。主要有3種冗余，網絡設備部件冗余有電源和風扇、網卡、內存、CPU、磁盤等、網絡設備整機冗余、網絡線路冗余。

• 機房和賬戶安全管理：建立機房安全管理制度和賬戶安全管理制度。如網絡管理員職責、機房操作規定、網絡檢修制度、賬號管理制度、服務器管理制度、日志文件管理制度、保密制度、病毒防治、電器安全管理規定等。

• 網絡分段：網絡分段是保證安全的一項重要措施，同時也是一項基本措施，其指導思想是將非法用戶與網絡資源互相隔離，從而達到限制用戶非法訪問的目的。網絡分段可以分為物理和邏輯兩種方式。物理分段通常是指將網絡從物理層和數據鏈路層（ISO/OSI模型中的第1層和第2層）上分為若干網段，各網段之間無法進行直接數據通信。目前，許多交換機都有一定的訪問控制能力，可以實現對網絡的物理分段。

保護信息安全的手段有以下這些：

• 網站服務器和計算機之間需要設置公安部認證的防火墻并做好安全策略；

• 在網站的服務器及工作站上均安裝了正版的防病毒軟件；

• 做好審查日志的留存和備份；

• 對沒有合法手續和不具備條件的電子公告服務進行立即關閉；

• 網站服務器或者防火墻最好可以支持雙機熱備機制；

• 關閉網站中暫時或者一直不使用的服務和端口，及時修復系統漏洞；

• 保管好服務器的密碼并定期進行殺毒；

• 網站針對不同的應用系統、終端、操作人員設置相應不同的密碼口令；

• 機房環境必須要符合機房建設，內部必須要有不間斷電源、高靈敏度的煙霧報警系統和消防系統，定期進行電力、防火、防潮、防塵檢測。

信息安全主要問題有以下幾種：

• 個人信息沒有得到規范采集：例如詐騙電話、大學生“裸貸”問題、推銷信息以及人肉搜索信息等均對個人信息安全造成影響。

• 公民欠缺足夠的信息保護意識：網絡上個人信息的肆意傳播、電話推銷源源不絕等情況時有發生，從其根源來看，這與公民欠缺足夠的信息保護意識密切相關，目前已經在逐步改善。

• 相關部門監管不力：政府針對個人信息采取監管和保護措施時，可能存在界限模糊的問題，這主要與管理理念模糊、機制缺失聯系密切。

堡壘機解決了以下四個問題：

• 帳號共享及缺乏身份的問題

  在單位的機房中，存在著大量的網絡設備、主機操作系統和應用系統，分別屬于不同的部門。各應用系統都有一套獨立的帳號體系，用戶為了方便登錄，經常出現多人共用帳號的情況。多人同同時使用一個系統帳號在帶來方便性的同時，導致用戶身份唯一性無法確定。如果其中任何一個人離職或者將帳號告訴其他無關人員，會使這個帳號的安全性無法保證。由于共享帳號是多人共問使用，發生問題后，無法準確定位惡意操作或誤操作的責任人。更改密碼需要通知到每一個需要使用此帳號的人員，帶來了密碼管理的復雜化。因為整個運維過程的不確定因素太多，所以使得整個運維過程不可控。這不僅給運維人員帶來了巨大的麻煩，而且讓系統管理人員也無法準確定位故障責任人，如果長期在這種傳統的運維模式下進行運維，這將會給單位帶來巨大的損失，甚至還無法追究相關當事人的責任。

• 授權不清晰引發的問題

  領導者如何進行授權，是企業管理的一個深刻命題。做過管理的人都應該知道，授權在企業管理中是非常重要的。但是，很多企業管理者在授權時，要么顧慮重重，對誰也不放心；要么授權不當，缺乏監督制度，造成企業管理混亂。很多單位的信息化運維工作也存在著類似的問題，讓每個運維人員在自己責任范圍內正確安全的使用自己的每一個權限十分重要。在運維模式中，授權是不清晰的，例如：運維人員登錄某臺服務器或核心交換機等關鍵性設備時，擁有很高的或N-是超越自己權限范圍的權限，一旦執行了非法操作或是誤操作，都會導致嚴重的后果。面對上述運維模式中存在授權不清晰的問題，也引起『我們的足夠重視。我們直在尋找一個理想的運維模式，在這個模式下，可以對我們運維人員的訪問操作權限進行精確的劃分。

• 運維人員操作過程無審計的問題

  因為各部門獨立運維和管理自已的業務應用信息系統，所以各系統的審計也是相互獨立的。每個網絡設備，每個主機系統都分別進行審計，安全事故發生后需要排查各系統的日志，但是系統本身記錄的日志，不能最終定位到具體的操作人員。另外各系統的日志記錄能力各不相同，例如對于Linux系統來說，日志記錄就存在以下問題：Linux系統中，用戶在服務器上的操作有一個歷史命令記錄的文件，但是root用戶不僅僅可以修改自己的歷史記錄，甚至還可以修改他人的歷史記錄，系統本身的歷史記錄文件已經變的不可信；無法記錄操作人員、操作時間、操作結果等。

• 第三方人員管理隱患

  目前，很多單位各部門已經將一些業務應用系統外包給代維公司，在享受便利的同時，也帶來了很大的安全問題：代維人員流動性大、缺少操作行為監控、代維人員的權限過大等等，這些問題帶來的，安全風險日益凸現。因此，我們需要通過格的權限控制和操作行為審計，加強對代維人員的行為管理而達到消除隱患、規避風險的目的。

企業網絡防病毒系統的主要功能需求有:

• 對新病毒的反應能力是考察一個防病毒軟件好壞的重要方面。供應商對用戶發現的新病毒的反應周期不僅體現了廠商對新病毒的反應速度，實際上也反映了廠商對新病毒查殺的技術實力。

• 智能安裝、遠程識別。由于企業網絡中服務器、客戶端承擔的任務不同，在防病毒方面的要求也不大一樣。因此在安裝時如果能夠自動區分服務器與客戶端，并安裝相應的軟件，這對管理員來說將是一件十分方便的事。遠程安裝、遠程設置，這也是網絡防毒區分單機防毒的一點。這樣做可以大大減輕管理員“奔波”于每臺機器進行安裝、設置的繁重工作，既可以對全網的機器進行統一安裝，又可以有針對性地設置。

• 對現有資源的占用情況。防病毒程序進行實時監控都或多或少地要占用部分系統資源，這就不可避免地要帶來系統性能的降低。尤其是對郵件、網頁和FTP文件的監控掃描，由于工作量相當大，因此對系統資源的占用較大。如一些單位上網速度感覺太慢，有一部分原因是防病毒程序對文件“過濾”帶來的影響。另一部分原因是升級信息的交換，下載和分發升級信息都將或多或少地占用網絡帶寬。

• 貫徹“層層設防，集中控管，以防為主，防治結合”的企業防毒策略。在全企業網絡中所有可能遭受病毒攻擊的點或通道中設置對應的防病毒軟件，通過全方位、多層次的防毒系統配置，使企業網絡免遭所有病毒的入侵和危害。

• 應用先進的“實時監控”技術，在“以防為主”的基礎上，不給病毒入侵留下任何可乘之機。

信息系統安全中常用的被動防護技術有以下這些：

• 防火墻技術：我國公共安全行業標準中對防火墻的定義為：“設置在兩個或多個網絡之間的安全阻隔，用于保證本地網絡資源的安全，通常是包含軟件部分和硬件部分的一個系統或多個系統的組合”。其基本工作原理是在可信任網絡的邊界（即常說的在內部網絡和外部網絡之間，通常認為內部網絡是可信任的，而外部網絡是不可信的）建立起網絡控制系統，隔離內部和外部網絡，執行訪問控制策略，防止外部的未授權節點訪問內部網絡和非法向外傳遞內部信息，同時也防止非法和惡意的網絡行為導致內部網絡的運行被破壞。

• 防病毒技術：防病毒技術就是系統管理及下發防病毒服務器組內的防病毒服務器及各個客戶端的防病毒策略，通過設定防病毒升級服務器進行防病毒組內的服務器端及客戶端的病毒代碼更新，通過搜索來確定網絡內的防病毒服務器組，搜集防病毒服務器的運行日志。

• 入侵檢測技術：入侵檢測，顧名思義，是對入侵行為的發覺。現在對入侵的定義已大大擴展，不僅包括被發起攻擊的人（如惡意的黑客）取得超出合法范圍的系統控制權，也包括收集漏洞信息，造成拒絕服務（DoS）等對計算機系統造成危害的行為。入侵檢測技術是通過從計算機網絡和系統的若干關鍵點收集信息并對其進行分析，從中發現網絡或系統中是否有違反安全策略的行為或遭到入侵的跡象，并依據既定的策略采取一定的措施的技術。

• 路由過濾技術：當兩臺連在不同子網上的計算機需要通信時，必須經過路由器轉發，由路由器把信息分組通過互聯網沿著一條路徑從源端傳送到目的端。路由器中的過濾器對所接收的每一個數據包根據包過濾規則做出允許或拒絕的決定。由于路由器作用在網絡層，具有更強的異種網互連能力、更好的隔離能力、更強的流量控制能力、更好的安全性和可管理維護性。

• 審計與監測技術：計算機安全保密防范的第三道防線是審計跟蹤技術，在系統中保留一個日志文件，與安全相關的事件可以記錄在日志文件中，審計跟蹤是一種事后追查手段，它對涉及計算機系統安全保密的操作進行完整的記錄，以便事后能有效地追查事件發生的用戶、時間、地點和過程，發現系統安全的弱點和入侵點。

大型軟件系統測試中由以下測試組成：

• 模塊測試：在設計得好的軟件系統中，每個模塊完成一個清晰定義的子功能，而且這個子功能和同級其他模塊的功能之間沒有相互依賴關系。因此，有可能把每個模塊作為一個單獨的實體來測試，而且通常比較容易設計檢驗模塊正確性的測試方案。模塊測試的目的是保證每個模塊作為一個單元能正確運行，所以模塊測試通常又稱為單元測試。在這個測試步驟中所發現的往往是編碼和詳細設計的錯誤。

• 子系統測試：子系統測試是把經過單元測試的模塊放在一起形成一個子系統來測試。模塊間的協調和通信是這個測試過程中的主要問題，因此，這個步驟著重測試模塊的接口。

• 系統測試：系統測試是把經過測試的子系統裝配成一個完整的系統來測試。在這個過程中不僅應該發現設計和編碼的錯誤，還應該驗證系統確實能提供需求說明書中指定的功能，而且系統的動態特性也符合預定要求。這個測試步驟中發現的往往是軟件設計中的錯誤，也可能發現需求說明中的錯誤。

• 驗收測試：驗收測試把軟件系統作為單一的實體進行測試，測試內容與系統測試基本類似，但是它是在用戶積極參與下進行的，而且可能主要使用實際數據（系統將來要處理的信息）進行測試。驗收測試的目的是驗證系統確實能夠滿足用戶的需要，在這個測試步驟中發現的往往是系統需求說明書中的錯誤。驗收測試也稱為確認測試。

• 平行運行：所謂平行運行，就是同時運行新開發出來的系統和將被它取代的舊系統，以便比較新舊兩個系統的處理結果。

具有以下特征則說明其軟件是流氓軟件：

• 強制安裝：指未明確提示用戶或未經用戶許可，在用戶計算機或其他終端上安裝軟件的行為。

• 難以卸載：指未提供通用的卸載方式，或在不受其他軟件影響、人為破壞的情況下，卸載后仍然有活動程序的行為。

• 瀏覽器劫持：指未經用戶許可，修改用戶瀏覽器或其他相關設置，迫使用戶訪問特定網站或導致用戶無法正常上網的行為。

• 彈出廣告：指未明確提示用戶或未經用戶許可，利用安裝在用戶計算機或其他終端上的軟件彈出廣告的行為。

• 惡意收集用戶信息：指未明確提示用戶或未經用戶許可，惡意收集用戶信息的行為。

• 惡意卸載：指未明確提示用戶、未經用戶許可，或誤導、欺騙用戶卸載其他軟件的行為。

• 惡意捆綁：指在軟件中捆綁已被認定為惡意軟件的行為。

• 其他侵害用戶軟件安裝、使用和卸載知情權、選擇權的惡意行為。

存儲虛擬化安全的具體安全防護要求如下：

• 提供磁盤鎖定功能：確保同一虛擬機不會在同一時間被多個用戶打開。

• 提供設備冗余功能：當某臺宿主服務器出現故障時，該服務器上的虛擬機磁盤鎖定將被解除，以允許從其他宿主服務器重新啟動這些虛擬機。

• 開啟多個虛擬機對同一存儲系統的并發讀/寫功能：確保安全的并行訪問。

• 提供數據存儲的冗余保護：用戶數據在虛擬化存儲系統中的不同物理位置有多個備份，應不少于2個，并對用戶透明。

• 對存儲容量和存儲服務進行任意擴展：虛擬存儲系統應能在不中斷正常存儲服務的前提下實現對存儲容量和存儲服務進行任意擴展，透明地添加和更替存儲設備，并具有自動發現、安裝、檢測和管理不同類型存儲設備的能力。

• 建立容錯和容災機制：虛擬存儲系統應支持按照數據的安全級別建立容錯和容災機制，以克服系統的誤操作、單點失效、意外災難等因素造成的數據損失。

工業ICS高級可持續威脅有以下這些：

• 偽裝攻擊：通過指定路由或偽造假地址，攻擊者以假冒身份與其他主機進行合法通信或發送假數據包，使受攻擊主機出現錯誤動作，如IP欺騙。

• 探測攻擊：通過掃描允許連接的服務和開放的端口，攻擊者能夠迅速發現目標主機端口的分配情況、提供的各項服務和服務程序的版本號以及系統漏洞情況，并找到有機可乘的服務、端口或漏洞后進行攻擊。常見的探測攻擊程序有Nmap、Nessus、Metasploit、Shad-ow Security Scanner、X-Scan等。

• 嗅探攻擊：將網卡設置為混雜模式后，攻擊者對以太網上流通的所有數據包進行嗅探，以獲取敏感信息。常見的網絡嗅探工具有SnifferPro、Tcpdump、Wireshark等。

• 解碼類攻擊：即用口令猜測程序破解系統用戶賬號和密碼。常見工具有L0phtCrack、John the Ripper、Cain＆Abel、Saminside、WinlogonHack等。此外，還可以破解重要支撐軟件的弱口令，例如使用Apache Tomcat Crack破解Tomcat口令。

• 緩沖區溢出攻擊：通過往程序的緩沖區寫入超出其長度的內容，造成緩沖區的溢出，從而破壞程序的堆棧，使程序轉而執行其他的指令。緩沖區攻擊的目的在于擾亂某些以特權身份運行的程序的功能，使攻擊者獲得程序的控制權。

• 欺騙攻擊：利用TCP/IP本身的一些缺陷對TCP/IP網絡進行攻擊，主要方式有ARP欺騙、DNS欺騙、Web欺騙、電子郵件欺騙等。

• 拒絕服務和分布式拒絕服務攻擊：這種攻擊行為通過發送一定數量和序列的數據包，使網絡服務器中充斥了大量要求回復的信息，消耗網絡帶寬或系統資源，導致網絡或系統不勝負荷以至于癱瘓、停止正常的網絡服務。常見的拒絕服務（Denial of Service，DoS）攻擊有SYN Flooding、Smurf等。近年，DoS攻擊有了新的發展，攻擊者通過入侵大量有安全漏洞的主機并獲取控制權，在多臺被入侵的主機上安裝攻擊程序，然后利用所控制的這些大量攻擊源，同時向目標機發起拒絕服務攻擊，稱之為分布式拒絕服務（Distribute Denial of Service，DDoS）攻擊。常見的DDoS攻擊工具有Trinoo、TFN等。

• Web腳本入侵：由于使用不同的Web網站服務器和開放語言，網站中存在的漏洞也不相同，所以使用Web腳本攻擊的方式也很多。例如黑客可以從網站的文章系統下載系統留言板等部分進行攻擊，也可以針對網站后臺數據庫進行攻擊，還可以在網頁中寫入具有攻擊性的代碼，甚至可以通過圖片進行攻擊。Web腳本攻擊常見方式有注入攻擊、上傳漏洞攻擊、跨站攻擊、數據庫入侵等。

• 0day攻擊：0day通常是指還沒有補丁的漏洞，而0day攻擊則是指利用這種漏洞進行的攻擊。提供該漏洞細節或者利用程序的人通常是該漏洞的發現者。0day漏洞的利用程序對網絡安全具有巨大威脅，因此0day不但是黑客的最愛，掌握0day的數量也成為評價黑客技術水平的一個重要參數。

加強工業網絡方法有以下這些：

• 工業主機白名單控制：工業主機由于長期不間斷運行，不能及時打補丁，并且受到聯網條件的限制，無法實時更新病毒庫，因此傳統殺毒機制不適用于工業主機。比較有效的方式是采用白名單控制技術，對工業軟件相關的進程文件進行掃描識別，為每個可信文件生成唯一的特征碼，特征碼的集合構成特征庫，即白名單。只有白名單內的軟件才可以運行，其他進程都被阻止，以防止病毒、木馬、違規軟件的攻擊。

• 工控協議識別與控制：為了保障數據傳輸的可靠性與實時性，工業生產網已發展了多套成熟的通信協議，主流的有幾十種，大致分為工業總線協議和工業以太網協議兩大類，如Modbus、S7、OPC、Profinet、IEC104等。工控協議的識別能力是安全設備工作的基礎，也是評價產品能力的重要指標。

• 工控漏洞利用識別與防護：工控系統漏洞是工控網絡安全問題的主要來源。由于工控設備很少升級或者不升級，因此普遍存在可被攻擊的漏洞，而由于技術的專業性和封閉性，這些漏洞很容易被作為0day利用。因此工控安全產品對工控漏洞利用行為的識別能力，以及相應的防護能力，是工控安全防護能力建設的核心。

• 工控網絡流量采集與分析：獲取網絡流量是發現網絡攻擊的前提，流量采集與分析廣泛應用于網絡安全方案，是一項比較成熟的技術。對于工控網絡，除了基本的流量識別與統計分析外，還需要理解生產過程的操作功能碼，根據業務邏輯判斷是否發生異常。此外，根據設備間通信的規律建立流量基線模型，對多源數據進行關聯分析，能夠有效地識別異常行為和網絡攻擊。

• 工業網絡安全態勢感知：態勢感知是安全防御的重要手段，對于工控網絡，通過安全態勢感知平臺，可以直觀地了解網絡中的資產分布、漏洞分布、網絡攻擊事件，對網絡的整體風險水平進行量化評估。態勢感知平臺需要多種核心能力支持，包括完善的數據獲取能力、大數據分析與建模能力、網絡攻擊溯源分析能力、安全事件閉環處理能力等，是工控網絡安全防護的核心產品。

• 保密性：

  信息不泄露給非授權用戶、實體或過程，或供其利用的特性。

• 完整性：

  數據未經授權不能進行改變的特性。即信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性。

• 可用性：

  可被授權實體訪問并按需求使用的特性。即當需要時能否存取所需的信息。例如網絡環境下拒絕服務、破壞網絡和有關系統的正常運行等都屬于對可用性的攻擊;

• 可控性：

  對信息的傳播及內容具有控制能力。

云計算安全服務體系由一系列云安全服務構成，是實現云用戶安全目標的重要技術手段。根據其所屬層次的不同，云安全服務可以進一步分為安全云基礎設施服務、云安全基礎服務以及云安全應用服務3類。

1. 安全云基礎設施服務

   云基礎設施服務為上層云應用提供安全的數據存儲、計算等IT資源服務，是整個云計算體系安全的基石。這里，安全性包含兩個層面的含義：其一是抵擋來自外部黑客的安全攻擊的能力；其二是證明自己無法破壞用戶數據與應用的能力。

   一方面，云平臺應分析傳統計算平臺面臨的安全問題，采取全面嚴密的安全措施。例如，在物理層考慮廠房安全；在存儲層考慮完整性和文件/日志管理、數據加密、備份、災難恢復等；在網絡層應當考慮拒絕服務攻擊、DNS安全、網絡可達性、數據傳輸機密性等，系統層則應涵蓋虛擬機安全、補丁管理、系統用戶身份管理等安全問題，數據層包括數據庫安全、數據的隱私性與訪問控制、數據備份與清潔等；應用層應考慮程序完整性檢驗與漏洞管理等。

   另一方面，云平臺應向用戶證明自己具備某種程度的數據隱私保護能力。例如，在計算服務中證明用戶代碼運行在受保護的內存中等。由于用戶安全需求方面存在著差異，云平臺應具備提供不同安全等級的云基礎設施服務的能力。

2. 云安全基礎服務

   云安全基礎服務屬于云基礎軟件服務層，為各類云應用提供共性信息安全服務，是支撐云應用滿足用戶安全目標的重要手段。比較典型的幾類云安全服務如下：

   • 云用戶身份管理服務

   • 云訪問控制服務

   • 云審計服務

   • 云口令服務

3. 云安全應用服務

   云安全應用服務與用戶的需求緊密結合，種類繁多。典型的服務包括Botnet檢測與監控云服務、云網頁過濾與殺毒應用、內容安全云服務、安全事件監控與預警云服務、云垃圾郵件過濾及防治等。