密碼是一種用來混淆的技術，使用者希望將正常的（可識別的）信息轉變為無法識別的信息。但這種無法識別的信息部分是可以再加工并恢復和破解的。密碼在中文里是“口令”（password）的通稱。

對于密碼破解目前最好的防御方法如下：

• 設置足夠復雜的密碼，密碼的長度要大于8位最好大于20位。密碼的復雜度是密碼要盡可能有數字、大小寫字母和特殊符號；

• 修改服務器或者計算機的默認端口號；

• 設置計算機登陸時盡量使用普通賬戶登陸嚴格控制權限；

• 如果可以盡量將計算機或者系統設置為物理密鑰方式登陸；

• 借助第三方的工具來防護；

密碼設置的訣竅：

• 聯想法

  可以是某句你非常喜歡的詞句的首字母，或者是這些詞句的演化表達。

  比如：“一支紅杏出墻來”的拼音首字母，記憶變成“1zhxcqL”其中將“一”替換成數字“1”，同時最后的一個字母“l”也使用了大寫。

• 錯位記憶法

  選了一個容易記憶的基礎密碼之后，鍵入時將手指在鍵盤上再向上移一格。

  比如：基礎密碼是單詞“dog“，那么在鍵盤上稍作錯位變化之后，就變成了”e9t“。只要記住單詞和規則就不用擔心遺忘。

• 中英搭配法

  以“我愛工作”為例，演化成“woLovework7”，簡單解釋下其中“我”用拼音表示，其余三個字用英文“Love work”兩個單詞表達，love的“l”大寫，并在最后加上數字7，是的意思就是我愛一周7天工作，又簡單又好記有沒有。

常見的漏洞掃描技術有以下這些：

• 基于應用的檢測技術：它采用被動的、非破壞性的辦法檢查應用軟件包的設置，發現安全漏洞。

• 基于主機的檢測技術：它采用被動的、非破壞性的辦法對系統進行檢測。通常，它涉及到系統的內核、文件的屬性、操作系統的補丁等。這種技術還包括口令解密、把一些簡單的口令剔除。因此，這種技術可以非常準確地定位系統的問題，發現系統的漏洞。它的缺點是與平臺相關，升級復雜。

• 基于目標的漏洞檢測：它采用被動的、非破壞性的辦法檢查系統屬性和文件屬性，如數據庫、注冊號等。通過消息文摘算法，對文件的加密數進行檢驗。這種技術的實現是運行在一個閉環上，不斷地處理文件、系統目標、系統目標屬性，然后產生檢驗數，把這些檢驗數同原來的檢驗數相比較。一旦發現改變就通知管理員。

• 基于網絡的檢測技術：它采用積極的、非破壞性的辦法來檢驗系統是否有可能被攻擊崩潰。它利用了一系列的腳本模擬對系統進行攻擊的行為，然后對結果進行分析。它還針對已知的網絡漏洞進行檢驗。網絡檢測技術常被用來進行穿透實驗和安全審記。這種技術可以發現一系列平臺的漏洞，也容易安裝。但是，它可能會影響網絡的性能。

Snort防DDoS體系由以下模塊組成：

• 數據包嗅探模塊：大規模的應用程序很少采用單機運行模式，Snort通常采用分布式體系對網絡進行入侵檢測。最典型的安裝方式是3層體系，即傳感器層、服務器層、分析員控制臺。通常數據包采集模塊和包解碼器運行在傳感器上，負責對抓來的包進行解釋。由于傳感器必須放置在被監控的網段，為了保證安全，通常只安裝Snort和在它之下運行的支撐應用程序。傳感器的兩塊網卡中的一塊用作被動采集數據包，接口不分配IP地址，另一塊用作管理接口，需要分配IP地址。數據包采集程序運行在Libpcap平臺上，由于Libpcap平臺的獨立性使得Snort可以被移植到任何地方，成為一個真正與平臺無關的應用程序。

• 預處理程序模塊：預處理程序是Snort的一類插件。它在Snort運行檢測引擎之前對數據進行處理，并且努力與不斷變化的漏洞和攻擊保持同步。用戶可以添加新的協議為Snort提供支持，它既能對數據包操作以便檢測引擎能正確分析數據包，又能檢測特征檢測所不能單獨發現的可疑流量。新的攻擊方法和IDS躲避技術不斷涌現，以至Snort的檢測引擎要么不能檢測，要么檢測效率不高。預處理程序可以將數據標準化以便檢測引擎能正確對其進行分析。此外，一些病毒制造者為了躲避反病毒程序的特征匹配引擎而引入多態病毒；同樣的技術也被用于遠程利用，shell代碼具有多種形態。Fnord預處理程序能檢測出變異的NO-OP Sled，從而避免了由于緩沖區溢出使處理器強制執行惡意代碼導致的程序崩潰。NO-OP Sled能被許多IDS輕易地檢測到，除非它在每次被使用時都做修改。如果沒有Fnord預處理，Snort將無法檢測多態Shell代碼。

• 檢測引擎模塊：檢測引擎是Snort的主要組件。它有兩個主要功能：規則分析和特征檢測。檢測引擎通過分析Snort規則來建立攻擊特征。Snort規則被載入到檢測引擎并以樹形數據結構分類。規則按功能分為兩個部分：規則頭（規則樹節點）和規則選項（選項樹節點）。規則頭包含特征應用的條件信息。樹形結構通過最小化發現可疑行為的必要檢測次數來提高效率。惡意行為被發現后，Snort將入侵數據寫入不同的輸出插件。最有效的檢測攻擊的方法是基于特征的檢測。基于特征的檢測的基礎是異常或惡意網絡流量符合一種獨特的模式，而正常或良性流量不符合。對Snort來說，一個惡意流量特征可以被創建成一個規則以載入它的檢測引擎，用于進行特征匹配。通過特征檢測出可疑流量后，還可以進一步檢測可疑的數據包內容字段。

• 數據聚合模塊：以一種工業標準格式從許多完全不同的安全設施聚合數據，從而進行事件關聯。

• 報警模塊：Snort有兩種主要的報警方法，即Syslog和Swatch報警、入侵數據庫控制臺報警。Swatch是一種簡單且功能強大的工具，它能積極地監控系統日志，當發生了事先配置的事件時就發出報警。

• 分層報警模塊：入侵檢測系統領域的報警分為3類，無優先級報警、嚴格編碼的優先級報警、可定制的優先級報警。無優先級報警不能按嚴重程度進行分類，通告會變得非常多，無法采用緊急時間自動通知機制；嚴格編碼的優先級報警由銷售商決定哪些報警重要，程序員可以進行排序和篩選，但這種“one fits all”的方法對于報警并不適合；可定制的優先級報警是現代網絡的模塊化和獨特性所需要的。報警能基于事先設置的優先級進行排序。Snort自帶了32種預定義的警報分類。

密碼是一種用來混淆的技術，使用者希望將正常的（可識別的）信息轉變為無法識別的信息。但這種無法識別的信息部分是可以再加工并恢復和破解的。密碼在中文里是“口令”（password）的通稱。

對于密碼破解目前最好的防御方法如下：

• 設置足夠復雜的密碼，密碼的長度要大于8位最好大于20位。密碼的復雜度是密碼要盡可能有數字、大小寫字母和特殊符號；

• 修改服務器或者計算機的默認端口號；

• 設置計算機登陸時盡量使用普通賬戶登陸嚴格控制權限；

• 如果可以盡量將計算機或者系統設置為物理密鑰方式登陸；

• 借助第三方的工具來防護；

密碼設置的訣竅：

• 聯想法

  可以是某句你非常喜歡的詞句的首字母，或者是這些詞句的演化表達。

  比如：“一支紅杏出墻來”的拼音首字母，記憶變成“1zhxcqL”其中將“一”替換成數字“1”，同時最后的一個字母“l”也使用了大寫。

• 錯位記憶法

  選了一個容易記憶的基礎密碼之后，鍵入時將手指在鍵盤上再向上移一格。

  比如：基礎密碼是單詞“dog“，那么在鍵盤上稍作錯位變化之后，就變成了”e9t“。只要記住單詞和規則就不用擔心遺忘。

• 中英搭配法

  以“我愛工作”為例，演化成“woLovework7”，簡單解釋下其中“我”用拼音表示，其余三個字用英文“Love work”兩個單詞表達，love的“l”大寫，并在最后加上數字7，是的意思就是我愛一周7天工作，又簡單又好記有沒有。

入侵檢測系統的功能有以下幾種：

• 識別黑客常用入侵與攻擊手段：入侵檢測技術通過分析各種攻擊的特征，可以全面快速地識別探測攻擊、拒絕服務攻擊、緩沖區溢出攻擊、電子郵件攻擊、瀏覽器攻擊等各種常用攻擊手段，并做相應的防范。一般來說，黑客在進行入侵的第一步探測、收集網絡及系統信息時，就會被IDS捕獲,向管理員發出警告。

• 監控網絡異常通信：IDS系統會對網絡中不正常的通信連接做出反應，保證網絡通信的合法性；任何不符合網絡安全策略的網絡數據都會被IDS偵測到并警告。

• 鑒別對系統漏洞及后門的利用：IDS系統一般帶有系統漏洞及后門的詳細信息，通過對網絡數據包連接的方式、連接端口以及連接中特定的內容等特征分析，可以有效地發現網絡通信中針對系統漏洞進行的非法行為。

• 完善網絡安全管理：IDS通過對攻擊或入侵的檢測及反應，可以有效地發現和防止大部分的網絡犯罪行為，給網絡安全管理提供了一個集中、方便、有效的工具。使用IDS系統的監測、統計分析、報表功能，可以進一步完善網絡管理。

絕密機密秘密這種定級方法稱之為分級保護：

涉密信息系統分級保護是指涉密信息系統的建設使用單位根據分級保護管理辦法和有關標準，對涉密信息系統分等級實施保護，各級保密工作部門根據涉密信息系統的保護等級實施監督管理，確保系統和信息安全。

涉密信息系統按照所處理信息的最高密級，由低到高劃分為秘密、機密和絕密三個等級。

涉密信息系統建設使用單位應當依據涉密信息系統分級保護管理規范和技術標準，按照秘密、機密、絕密三級的不同要求, 結合系統實際進行方案設計，實施分級保護，其保護水平總體上不低于國家信息安全等級保護第三級、第四級、第五級的水平。

內生安全對數據安全的防護有以下相關技術：

• 數據庫風險識別和加固：對數據的載體進行風險核查，識別隱患并迅速進行修補能力的建設。對數據資產所在環境的風險狀況進行梳理，并突破傳統的核查手段僅對數據庫的漏洞進行檢查的局限，引入對整體安全狀況的核查機制，包括相關安全配置、連接狀況、人員變更狀況、權限變更狀況、代碼變更狀況等全方面的安全狀況評估。建立安全基線，實現安全變化狀況的報告與分析。

• 數據脫敏處理：通過靜態脫敏技術，可以有效防止內部對隱私數據的濫用，防止隱私數據在未經脫敏的情況下從生產環境流出。靜態數據脫敏既能保護隱私數據，又能滿足監管合規要求。同時通過引入數據動態脫敏技術可以有效解決數據在展示層外泄的隱患，還可以避免對業務系統和數據庫系統的改造。

• 數據訪問控制：基于最小權限原則對數據的訪問權限進行嚴格化管控。通過賬號管理和數據訪問控制策略，管理員針對不同的業務情況分配不同的數據使用權限，實現細粒度的認證授權機制，最大程度地降低越權操作的可能，保證數據、用戶權限的隔離和管控。

• 數據操作留痕審計：對所有的數據操作進行全生命周期的日志記錄，實現所有數據操作的可追溯、可審計、可定責。同時，針對操作行為的日志記錄進行風險分析與識別，嚴格保障數據安全。

• 結果申報審核：提供申報審核機制來嚴格檢查流出結果。若數據分析師試圖取走分析結果，則需要向系統申報。方案平臺采用基于白名單機制的人機審核方式以及基于反隱私隱藏技術的智能深度審核方式，可嚴格審核得取走的結果是否夾帶隱私數據，確保隱私數據不流出。

• 數據置換：針對結構化數據和文本類型等非結構化數據，使用自然語言處理（NLP）技術自動識別敏感實體，然后使用匿名化、格式保全加密等方法對敏感實體進行處理。針對圖像等非結構化數據，使用圖像識別和自然語言處理等技術提取并處理圖像中的隱私信息，確保隱私信息不會流出組織內部。

• 數據加密：數據安全防護的最后一道防線是數據加密，密鑰管理與密碼應用技術是保證數據加密與完整性、安全認證的前提。組織應采用密碼技術保證重要數據在傳輸和存儲過程中的保密性，包括但不限于鑒別數據、重要業務數據和重要個人信息等；應采用校驗技術或密碼技術保證重要數據在存儲過程中的完整性，包括但不限于鑒別數據、重要業務數據、重要審計數據、重要配置數據、重要視頻數據和重要個人信息等。

云時代下僵尸網絡有以下特點：

• 云的資源獲取容易：云的資源獲取容易，僵尸網絡可以按需開通，按時付費。比如可以自己買一臺云的資源，而且這些云主機缺乏監管，在云上的價格很低，可以按月來開通。相比傳統的方式，在成本上對僵尸網絡的擁有者是很大程度的降低。這實際上是大部分的僵尸網絡利用了云的可擴展性。

• 資源容易銷毀：資源的銷毀會導致取證困難。傳統的IPC，物理機是不能銷毀的，但在云服務里用戶可以徹底撤銷云主機。現在公安部也在制定關于云端取證的標準和規定，目的也是為了讓運營商可以保留足夠的取證的證據。另外，事后取證、溯源和傳統的方式不同，也增強了查殺和防御的難度。

• 云服務商信任度較高：云服務商的域名通常被防火墻或者各種安全策略標記為可信任。如果把惡意軟件，或者是控制端放在云上的話，很有可能被對方的防火墻給放掉。這也是云服務商面臨的一個新的問題。像木馬的控制，他們會利用云服務商的主機來制作、生成和分發這種木馬。當然，對于云服務商來說，我們也會對我們的服務進行樣本掃描和檢測，來發現這種大量傳播的惡意木馬和腳本。

• 云服務的漏洞造成資源獲取簡單：云主機缺乏可靠的登錄機制和安全防護，導致黑客容易獲取到資源。用戶從傳統的服務器遷移到云上來，因為各個云的安全水平是不一樣的，它能提供給用戶的安全基線也是不一樣的。所以如果用戶不了解云防護或者云安全的邊界，可能會采用弱口令等方式登錄，造成登錄方式脆弱。另外，用戶還可能暴露一些高危端口。那么，黑客會利用這種漏洞和錯誤的配置來批量入侵用戶的主機。所以云服務商和用戶必須共同努力提升自己服務的安全基線，來增強黑客獲取資源的難度。

Sandbox即安全沙盒，它的主要作用是對軟件運行環境做隔離限制，通過嚴格控制執行的程序所訪問的資源來達到限制惡意行為的目的。安全沙盒有用于多用戶多進程隔離以確保安全運行的，也有用于惡意軟件行為識別的。對于主機層的沙盒，Sandboxie是微軟系統上的老牌安全沙盒，可以隔離運行不可信的軟件，防止系統感染病毒。微軟便使系統自帶了該沙盒，后來在內核層又實現了Hyper-V的虛擬化沙盒。

檢測程序是否在沙箱運行的辦法有以下這些：

• 檢測運行時間：在各類檢測沙箱中，檢測運行的時間往往是比較短的，因為其沒有過多資源可以供程序長時間運行，如果運行時間長則說明不存在沙箱；

• 檢測開機時間：許多沙箱檢測完畢后會重置系統，我們可以檢測開機時間來判斷是否為真實的運行狀況；

• 檢測物理內存：當今大多數pc具有4GB以上的RAM，我們可以檢測RAM是否大于4GB來判斷是否是真實的運行機器，否則則為沙箱；

• 檢測CPU核心數：大多數pc擁有4核心cpu，許多在線檢測的虛擬機沙盤是2核心，我們可以通過核心數來判斷是否為真實機器或檢測用的虛擬沙箱；

• 檢測臨時文件數：正常使用的系統，其中用戶的臨時文件夾中有一定數量的臨時文件，可以通過判斷臨時文件夾內的文件數量來檢測是否在沙箱中運行。

采用安全交換機

由于內網的信息傳輸采用廣播技術，數據包在廣播域中很容易受到監聽和截獲，因此需要使用安全交換機，利用網絡分段及VLAN的方法從物理上或邏輯上隔離網絡資源，以加強內網的安全性。

操作系統的安全

從終端用戶的程序到服務器應用服務、以及網絡安全的很多技術，都是運行在操作系統上的，因此，保證操作系統的安全是整個安全系統的根本。除了不斷增加安全補丁之外，還需要建立一套對系統的監控系統，并建立和實施有效的用戶口令和訪問控制等制度。

對重要資料進行備份

在內網系統中數據對用戶的重要性越來越大，實際上引起電腦數據流失或被損壞、篡改的因素已經遠超出了可知的病毒或惡意的攻擊，用戶的一次錯誤操作，系統的一次意外斷電以及其他一些更有針對性的災難可能對用戶造成的損失比直接的病毒和黑客攻擊還要大。

為了維護企業內網的安全，必須對重要資料進行備份，以防止因為各種軟硬件故障、病毒的侵襲和黑客的破壞等原因導致系統崩潰，進而蒙受重大損失。

對數據的保護來說，選擇功能完善、使用靈活的備份軟件是必不可少的。目前應用中的備份軟件是比較多的，配合各種災難恢復軟件，可以較為全面地保護數據的安全。

使用代理網關

使用代理網關的好處在于，網絡數據包的交換不會直接在內外網絡之間進行。內部計算機必須通過代理網關，進而才能訪問到Internet ，這樣操作者便可以比較方便地在代理服務器上對網絡內部的計算機訪問外部網絡進行限制。

在代理服務器兩端采用不同協議標準，也可以阻止外界非法訪問的入侵。還有，代理服務的網關可對數據封包進行驗證和對密碼進行確認等安全管制。

設置防火墻

防火墻的選擇應該適當，對于微小型的企業網絡，可從Norton Internet Security 、 PCcillin 、天網個人防火墻等產品中選擇適合于微小型企業的個人防火墻。

提高內網安全性方法如下：

1. 采用安全的交換機；

2. 使用正版操作系統經常更新補丁；

3. 對內部重要資料進行備份，如果有條件可以異地備份；

4. 使用代理網關；

5. 設置防火墻規則，盡可能詳細的設計規則可以大大加強內網安全；

6. 信息保密工作做好，做的外部u盤不能隨意接入內網，加強數據量信息的保密防護；

7. 安裝apt檢測系統、內網威脅感知系統、遠程安全評估系統等安全防護系統。

常見的加密算法可以分成三類，對稱加密算法，非對稱加密算法和Hash算法。

• 對稱加密

  對稱加密算法 是應用較早的加密算法，又稱為共享密鑰加密算法。在對稱加密算法中，使用的密鑰只有一個，發送和接收雙方都使用這個密鑰對數據進行加密和解密。這就要求加密和解密方事先都必須知道加密的密鑰。對稱加密算法用來對敏感數據等信息進行加密，常用的算法包括：

  • DES（Data Encryption Standard）：數據加密標準，速度較快，適用于加密大量數據的場合；

  • 3DES（Triple DES）：是基于DES，對一塊數據用三個不同的密鑰進行三次加密，強度更高；

  • AES（Advanced Encryption Standard）：高級加密標準，是下一代的加密算法標準，速度快，安全級別高。

• 非對稱加密

  非對稱加密算法，又稱為公開密鑰加密算法。它需要兩個密鑰，一個稱為公開密鑰(public key)，即公鑰，另一個稱為私有密鑰(private key)，即私鑰。

  • RSA：由 RSA 公司發明，是一個支持變長密鑰的公共密鑰算法，需要加密的文件塊的長度也是可變的；

  • DSA（Digital Signature Algorithm）：數字簽名算法，是一種標準的 DSS（數字簽名標準）；

  • ECC（Elliptic Curves Cryptography）：橢圓曲線密碼編碼學。

• Hash算法

  Hash算法特別的地方在于它是一種單向算法，用戶可以通過Hash算法對目標信息生成一段特定長度的唯一的Hash值，卻不能通過這個Hash值重新獲得目標信息。因此Hash算法常用在不可還原的密碼存儲、信息完整性校驗等。

  常見的Hash算法：MD2、MD4、MD5、HAVAL、SHA、SHA-1、HMAC、HMAC-MD5、HMAC-SHA1

常用的單向散列函數有以下這些：

• MD4：MD4是由Rivest于1990年設計的單向散列函數，能夠產生128bit的散列值。不過隨著Dobbertin提出尋找MD4散列的碰撞方法，現在已經不安全了。

• MD5：MD5是由Rivest于1991年設計的單向散列函數，能夠產生128比特的散列值。MD5的強抗碰撞性已經被攻破，也就是說，現在已經能夠產生具備相同散列值的兩條不同的消息，因此它已經不安全了。

• SHA-256、SHA-384、SHA-512：該三種函數都是由NIST設計的單向散列函數，它們的散列值長度分別為256bit、384bit、512bit。這些單向散列函數合起來統稱SHA-2，它們的消息長度也存在上限（SHA-256的上限接近于2的64方比特，SHA-384和SHA-512的上限接近于2的128比特）。這些單向散列函數于2002年和SHA-1一起作為FIPS PUB 180-2發布的。

• PIPEMD-160：PIPEMD-160是于1996年設計出的一種能夠產生160bit的散列值的單向散列函數。PIPEMD-160是歐盟PIPE項目所設計的RIPEMD單向散列函數的修訂版。這一系列的函數還包括PIPEMD-128、PIPEMD-256、PIPEMD-320等其他一些版本。在CRYPTREC密碼清單》中，PIPEMD-160已經被列入“可謹慎運用的密碼清單”，即除了用于保持兼容性的目的以外，其他情況都不推薦使用。PIPEMD的強抗碰撞性已經于2004年被攻破，但PIPEMD-160還尚未被攻破。順便一提，比特幣使用的就是PIPEMD-160。

• SHA-3：在2005年SHA-1的強抗碰撞性被攻破的背景下，NIST開始著手制定用于取代SHA-1的下一代單向散列函數SHA-3。SHA-3和AES一樣采用公開競爭的方式進行標準化。SHA-3的選拔于5年后的2012年塵埃落定，一個名叫Keccak的算法勝出，最終成為了SHA-3。

防火墻可以分為以下三種：

• 軟件防火墻：運行在特定的計算機上，需要客戶預先安裝好的計算機操作系統的支持。一般來說這臺計算機就是整個網絡的網關，俗稱個人防火墻。軟件防火墻像其他軟件產品一樣需要先在計算機上安裝并做好配置才可以使用。防火墻廠商中做網絡版軟件防火墻最出名的莫過于Checkpoint。使用這類防火墻，需要網關對所工作的操作系統平臺比較熟悉。

• 硬件防火墻：硬件防火墻是指“所謂的硬件防火墻”。針對于芯片級防火墻來說加上了“所謂”二字。此處的硬件防火墻與芯片級防火墻的最大的差別在于是否基于專用的硬件平臺。目前市場上大多數防火墻都是這種所謂的硬件防火墻，他們都基于PC架構，就是說，他們和普通的家庭用的PC沒有太大的區別。在這些PC架構計算機上運行一些經過裁剪和簡化的操作系統，最常用的老版本的Unix、Linux和FreeBCD系統。值得注意的是，由于此類防火墻采用的是別人的內核，因此還是會受到OS（操作系統）本身的安全性影響。傳統硬件 防火墻一般至少具備三個端口，分別接內網、外網和DMZ區（非軍事化區），現在一些新的硬件防火墻往往擴展了端口，常見的四端防火墻將第四個端口做為配置口、管理端口。很多防火墻還可以進一步擴展端口數目。

• 芯片級防火墻：芯片級防火墻基于專門的硬件平臺，沒有操作系統。專有的ASIC芯片促使它們比其他種類的防火墻速度更快，處理能力更強，性能更高。做這類防火墻最出名的廠商有NetScreen、FortiNet、Cisco等。這類防火墻由于是專用OS（操作系統），因此防火墻本身的漏洞比較少，不過價格相對比較高昂。

除了采用密碼技術的防護措施外還有的其他類型安全防護如下：

• 物理安全：包括門鎖或其他物理訪問控制措施、敏感設備的防篡改和環境控制等。

• 人員安全：包括對工作崗位敏感性的劃分、雇員的篩選，同時也包括對人員的安全性培訓，以增強其安全意識。

• 管理安全：包括對進口軟件和硬件設備的控制，負責調查安全泄露事件，對犯罪分子進行審計跟蹤，并追查安全責任。

• 媒體安全：包括對受保護的信息進行存儲，控制敏感信息的記錄、再生和銷毀，確保廢棄的紙張或含有敏感信息的磁性介質被安全銷毀。同時，對所用媒體進行掃描，以便發現病毒。

• 輻射安全：對射頻（RF）及其他電磁（EM）輻射進行控制（又稱TEMPEST保護）。

• 生命周期控制：包括對可信系統進行系統設計、工程實施、安全評估及提供擔保，并對程序的設計標準和日志記錄進行控制。