解決Nosql數據庫不安全的方法有以下這些：

• 限制遠程訪問數據庫服務器：對于大多數的企業或者個人用戶，不需要通過不安全的開放網絡來訪問數據庫服務器，所以可以通過配置防火墻等一些外部防護設備將數據庫只能從內部網絡訪問，如需遠程訪問也要選擇更加安全的SSH隧道來進行遠程訪問。

• 不要授予非管理員用戶文件/高級/程序權限：文件，高級和程序權限都不應該被濫用。文件權限讓用戶可以在文件系統中的任何一個地方編寫文件，而程序權限讓用戶在任何時候都能夠查看服務器活動，終止客戶端連接甚至更改服務器操作。為了數據庫安全，這些權限只能授予給管理員賬戶。

• 限制或禁用顯示數據庫權限：顯示數據庫特權可以用于收集數據庫信息，所以攻擊者通常利用它來竊取數據并準備進一步攻擊。應該把這個權限授予那些真正需要的人，或者直接禁用這個權限，你只需要把skip-show-database添加到MySQL數據庫中的/etc/my.cnf配置文件中。對于Windows操作系統來說，則需要添加到my.ini文件中。

• 限制管理員和所有其他用戶的權限：即使是管理員，也不要在同一賬戶中授予所有權限。最好降低管理員賬戶訪問數據的權限。其他的用戶，檢查所有他們擁有的權限，以確保一切都是合適的。

• 減少管理員賬戶：管理員賬戶越多，風險越大，應該保持盡可能最少的帳戶數量，只有為那些真正需要它的人創建賬戶。需要定期檢查并清理那些不必要的賬戶。

• 加強所有的密碼：除了管理員帳戶，還需要加強所有其他用戶的密碼，檢查所有的用戶名和密碼，必要的時候重置安全強度低的賬戶密碼。

云計算帶來以下計算模式：

• 大型計算機中央計算模式：大型計算機中央計算模式是最早出現的計算模式。大型計算機由大型主機和多個用戶終端組成，其CPU、內存、外存等計算資源全部集中于大型主機，用戶終端是“啞終端”，不需要任何計算資源，僅用于輸入接收數據并輸出計算結果。大型計算機所采用的中央計算模式具有安全性好、可靠性高、計算和數據存儲能力強、系統維護和管理費用低等優點。但其缺點也同樣突出，如初始階段的硬件投資額極高、可移植性差、資源利用效率低等，特別是其高昂的價格令其無法實現大面積的普及應用。

• 個人計算機分散計算模式：PC滿足了用戶的個性化計算需求，使之前由昂貴的大型計算機集中提供的計算能力快速分散到數量巨大且廉價的PC，更為重要的是PC迅速地普及了計算機及相關技術。不同于大型計算機，PC的單機分散計算模式難以實施資源共享及數據的安全管理，也不利于降低維護成本。

• C/S計算模式：C/S計算模式是基于局域網的兩層計算模式，分為兩個組成部分：前端為運行客戶端程序的客戶機，后端為提供數據庫查詢及管理、規模計算等服務的服務器。這種計算模式實現了數據存取與客戶業務邏輯相分離，即服務器完成數據操作，而客戶端執行應用業務邏輯。

• 三層結構的瘦C/S計算模式：隨著分布式技術的快速發展，在大型企業的管理系統中產生了三層結構的C/S計算模式，即“痩”客戶端/服務器計算模式。其基本思想是，在將數據存取與客戶業務邏輯分離的基礎上，進一步將客戶業務邏輯中的用戶界面同企業業務邏輯分離，即將信息系統劃分為用戶界面、業務邏輯處理、數據操作三個獨立部分，并分別由客戶端、業務邏輯服務器、數據庫服務器進行處理。

• B/S計算模式：這種結構的最大特點是終端設備無須安裝任何專用的應用用戶界面，而是統一使用WWW瀏覽器來實現。其特點是用戶可以在任何地點通過瀏覽器實施操作，從而擺脫了對應用客戶端的依賴；無須開發和安裝專門的用戶操作界面，減小了系統升級維護的工作量，降低了成本；應用與用戶軟硬件平臺無關，可以跨平臺訪問。

• 云計算模式：通過將互聯網上大量的服務器作為一個巨大的抽象計算資源池，云計算以Web服務的形式為用戶提供IT基礎架構、服務平臺、應用軟件等不同層次的應用服務。可見，云計算的交付和使用與其他計算模式明顯不同，其他計算模式中計算資源所需的專業技術能力和先期基礎設施投入，在云計算環境中以計算服務的方式提供給用戶，并且當需求變化時，僅需要用戶調整其訂購項目而已。

物聯網網絡層對安全的需求可以涵蓋為以下方面：

• 業務數據在承載網絡中的傳輸安全：需要保證物聯網業務數據在承載網絡傳輸過程中數據內容不被泄露、不被非法篡改及數據流量信息不被非法獲取。

• 承載網絡的安全防護：病毒、木馬、DDoS攻擊是網絡中最常見的攻擊現象，未來在物聯網中將會更突出，物聯網中需要解決的問題如何對脆弱傳輸節點或核心網絡設備的非法攻擊進行安全防護。

• 終端及異構網絡的鑒權認證：在網絡層，為物聯網終端提供輕量級鑒別認證和訪問控制，實現對物聯網終端接入認證、異構網絡互連的身份認證、鑒權管理及對應用的細粒度訪問控制是物聯網網絡層安全的核心需求之一。

• 異構網絡下終端安全接入：物聯網應用業務承載包括互聯網、移動通信網、WLAN網絡等多種類型的承載網絡，在異構網絡環境下大規模網絡融合應用需要對網絡安全接入體系結構進行全面設計，針對物聯網M2M的業務特征，對網絡接入技術和網絡架構都需要改進和優化，以滿足物聯網業務網絡安全應用需求。其中包括網絡對低移動性、低數據量、高可靠性、海量容量的優化，包括適應物聯網業務模型的無線安全接入技術、核心網優化技術，包括終端尋址、安全路由、鑒權認證、網絡邊界管理、終端管理等技術，包括適用于傳感器節點的短距離安全通信技術，以及異構網絡的融合技術和協同技術等。

• 物聯網應用網絡統一協議棧需求：物聯網是互聯網的延伸，在物聯網核心網層面是基于TCP/IP，但在網絡接入層面，協議類別五花八門，有GPRS/CDMA、短信、傳感器、有線等多種通道，物聯網需要一個統一的協議棧和相應的技術標準，以此杜絕通過篡改協議、協議漏洞等安全風險威脅網絡應用安全。

• 大規模終端分布式安全管控：物聯網和互聯網的關系是密不可分、相輔相成的。互聯網基于優先級管理的典型特征使得其對于安全、可信、可控、可管都沒有要求，但是，物聯網對于實時性、安全可信性、資源保證性等方面卻有很高的要求。物聯網的網絡安全技術框架、網絡動態安全管控系統對通信平臺、網絡平臺、系統平臺和應用平臺等提出安全要求。物聯網應用終端的大規模部署，對網絡安全管控體系、安全管控與應用服務統一部署、安全檢測、應急聯動、安全審計等方面提出了新的安全需求。

數據庫數據邏輯描述的模式有以下三種：

• 模式：概念模式又稱模式或邏輯模式，對應于概念級。也稱邏輯模式或概念模式，是數據庫中全體數據的邏輯結構和特征的描述，是所有用戶的公共數據視圖。

• 外模式：外模式又稱子模式或用戶模式，對應于用戶級。外模式描述的是數據的局部邏輯結構，也稱用戶模式，它是數據庫用戶能夠看見和使用的局部數據的邏輯結構和特征的描述，是數據庫用戶的數據視圖，是與某一應用有關的數據的邏輯表示。外模式也是模式的子集。

• 內模式：內模式又稱存儲模式，對應于物理級。內模式又稱存儲模式，該模式在數據庫中只有一個，它是數據物理結構和存儲方式的描述，是數據在數據庫內部的表示方式。

下面以阿里云云盾堡壘機為例：

1. 在本地Windows系統主機中打開遠程桌面連接工具（Mstsc）， 輸入<云盾堡壘機運維地址>:63389，并單擊連接。

   

2. 在遠程桌面連接提示框中，單擊是。

   

3. 輸入云盾堡壘機的用戶名和密碼，單擊登錄。

   

4. 可選：如果RAM用戶開啟了MFA二次驗證，需要輸入從已綁定的MFA設備（即阿里云App）中獲取的安全碼，單擊確認。

   

5. 選擇主機。

   

6. 在資產管理界面，雙擊您需要登錄的已授權服務器主機，登錄目標主機。

   

云計算安全IaaS具有以下基本功能：

• 資源抽象：在搭建基礎設施層時，為實現高層次的管理邏輯，必須對各種物理資源進行抽象，即進行硬件資源虛擬化。

• 資源監控：資源監控是保證高效工作的關鍵，是優化負載的前提。基礎設施層需要針對不同資源實施不同的監控方法，如CPU需要監控其使用率，而內存和存儲除需要監控使用率外還需要監控其讀/寫操作。

• 負載管理：在基礎設施層，如果太多節點資源利用率過低或彼此負載差異過大，則會產生嚴重的后果。一方面，太多節點負載過低將浪費寶貴的計算資源，因此需要提供自動的負載平衡機制完成負載合并且關閉整合后的閑置資源。另一方面，若資源利用率差異過大，將造成部分節點負載過高，影響其服務性能，而其他節點負載過低，未充分利用資源，此時需要負載平衡機制實施自動的負載轉移，使所有資源在整體負載和利用率上趨于平衡。

• 數據管理：在云計算環境中，數據的完整性、可靠性和可管理性是其基本要求。而現實軟件系統的數據類型各異，并且不同基礎設施層的功能不同，使得數據管理的實現差異巨大，導致其數據完整性、可靠性和可管理性的實現極富挑戰。

• 資源部署：資源部署是指通過自動化部署流程將資源交付給上層應用的過程，即使基礎設施服務變得可用的過程。資源部署方法隨構建基礎設施層所采用技術的不同而不同，如使用虛擬化技術構建的基礎設施層和未使用這些技術的傳統物理環境有很大的差別，前者的資源部署更多是虛擬機的部署和配置過程，而后者的資源部署則涉及從操作系統到上層應用整個軟件堆棧的所有自動化部署和配置。相較而言，虛擬化的基礎設施層的資源部署更易于實現。

• 安全管理：安全管理的目標是保證基礎設施資源被合法地訪問和使用。云計算需要提供可靠的安全防護機制以保證云中數據的安全，并提供安全審查機制以保證對云數據的所有操作被授權且可被追蹤。

• 計費管理：云計算按量計費，通過監控上層使用情況，計算某時段應用所消耗的存儲、網絡、內存等資源，并根據計算結果收費。在具體實施過程中，云計算提供商往往采用某些適當的方式來保證用戶業務的順利完成，同時減少其支付的費用。

根據架設環節不同將負載均衡分為以下類型：

• 數據鏈路層負載均衡：數據鏈路層負載均衡使用虛擬MAC地址的方式提供服務，請求數據包中的二層目的地址封裝的是對外服務的虛擬MAC地址，負載均衡接收請求后，會將請求分配到具有實際MAC地址的設備上進行響應。在這個過程中，負載均衡利用修改目的MAC地址的方式進行請求轉發，而不修改IP，因為組建這樣的負載均衡模型時，真實物理服務器集群的IP和負載均衡服務IP是一致的。這種方式的好處是不需要修改數據包的源IP和目的IP就可以實現數據分發。

• 網絡層負載均衡：網絡層負載均衡（三層負載均衡）采用虛擬IP地址的方式提供服務。請求數據包中的IP地址為負載均衡服務IP，并且請求將通過實際互聯IP地址分配到后端實際的服務器上進行響應。在這一原理中，請求數據包將被負載均衡服務器的內核進行處理，通過負載均衡算法得到一個目標真實服務器的地址，并修改請求數據包中的目的IP為真實服務器IP，來完成請求的分發。而真實服務器處理請求后，會將響應返回給負載均衡服務器，在負載均衡服務器上再次完成源IP的修改，用負載均衡自身的服務IP對客戶端進行回應。

• 反向代理負載均衡：利用反向代理實現負載均衡已經成為很多云平臺廠商常用的方法。反向代理位于服務提供側，部署在服務器的前端，替服務接收HTTP請求。服務器也不直接暴露于公網提供服務，因此并不需要部署外網IP，所以反向代理還有保護網站安全的作用。反向代理得到服務器的響應內容后，同時可以緩存到本地，當內容再次被請求時，代理可以通過緩存內容對用戶進行響應，很大程度上降低了服務器的負載。

• DNS負載均衡：DNS負載均衡是利用處理DNS域名解析請求的同時進行負載均衡。可以在DNS服務中為同一個域名配置多條A記錄，使得每一次的域名解析請求根據負載均衡算法分配到不同的服務IP。

• HTTP重定向負載均衡：HTTP重定向負載均衡中需要有一個重定向服務器來完成HTTP請求的重定向任務，通過重定向建立連接的目的地址來完成負載均衡。但是這一過程會使客戶端的瀏覽器發起兩次鏈接請求才能正常訪問，并且即使是重定向的過程，對于重定向服務器而言也是一次標準的HTTP請求響應過程，重定向服務器會回復302響應狀態碼給瀏覽器。

霧計算分層算力網絡部署模型有以下特性：

• 層次結構：從計算的角度給出了物聯網系統的邏輯視圖，層級結構自下而上分別為終端設備、監控、運營支持和業務支持。

• 分層部署：列舉了4類霧和云組合應用的場景，用于解決不同領域的情景和業務需求；同時從業務實時性、本地計算要求和終端設備密度3個角度對4類場景進行對比，為算力部署選項提供參考。

• 節點一致性：霧節點內部運行的軟件、任務等能夠遷移到同層次的其他節點上，霧節點能夠在霧層級內部及層級間互相連通。

• 交叉應用與全局智能分析：交叉應用關鍵在于理解和采用智能對象及相關數據模型；全局智能業務分析主要是從不同數據來源中提取可用業務知識，幫助行業中的企業與組織了解其業務和技術流程。

• 層次化管理：在層次化的管理模型中，可以依據管理需求靈活地選擇帶內管理或帶外管理。

• 帶內管理和帶外管理：霧節點的各類管理操作均可以通過帶內管理和帶外管理接口完成；帶內管理接口對一個霧節點系統的軟件和固件是可見的，帶外管理系統可以獨立于霧節點電源狀態保持激活狀態并對霧節點進行系統管理。

企業互聯網數據中臺有以下特點：

• 能夠借助匯聚全局的數據為用戶賦能：數據本身就是能力，從某種程度上講數據比上層的應用更重要，而且打通的全局數據所提供的價值將超過隔離的局部數據的總和。為了打通數據，在工具層，需要提供全局數據存儲、治理分析服務以及數據/應用治理和管理的功能；在業務層，必須讓每個業務部門能夠方便地依據標準提供相關業務數據，自動與其他部門的數據打通并匯總。從這方面講，這不是一個純技術問題，更多的是一個業務問題。

• 實現數據能力的抽象：數據能力的抽象是數據中臺建設中的難點，如何盡可能抽象出通用的功能，又不使抽象的功能過于細碎，這是需要仔細考慮的問題。這個問題有點類似于微服務的拆分，也與編程里抽象出對外API有著異曲同工之妙，拆大了不好，拆小了也有問題。前面我們提到過可以采用兩種方式來進行數據能力的抽象：一種是頂層設計，從公司層面考慮數據能力的抽象；另一種是由業務團隊自主開發，當發現有復用需要時再來抽象。這兩種方式各有利弊，在很多時候可以混合使用，需要根據公司和業務的實際情況選擇。

• 可以通過工具體系讓企業各部門方便地共享抽象出的數據能力：首先，數據能力的共享必須簡單，如果共享很麻煩，那么企業各部門數據的提供者和使用者就不會愿意使用這些功能，共享也就失去了意義。其次，共享的責權利必須要分清。這里涉及的角色有提供者、平臺團隊、使用者三方，而這三方的責權利劃分。

• 能快速發現可復用的數據能力：這樣才能在快速迭代時保證沒有重復的開發，因為只有知道自己有什么輪子，才能避免重復造輪子。為了系統地避免重復開發的情況，一般需要有一定流程的支持。

• 能夠協調復用和效率的矛盾：經常會出現這樣的情況，團隊A開發了一個功能，團隊B覺得可以用，但是需要做些修改，而團隊A暫時沒有資源做這件事，團隊B沒有時間等，只能自己再開發一個。所以，關于共享功能的后續開發一定要有明確的規則和責權劃分。

• 能夠提高復用的效率：比如，如果團隊A共享了一個功能后，其他部門的人天天來找團隊A的人問這個功能怎么用，那么團隊A的效率就會受到很大的影響。因此我們需要考慮共享功能的規范要求，例如共享的數據和應用的文檔必須有一定要求。此外，共享的工具也必須提供迭代提升的功能，例如功能文檔的協同編輯功能。

數字證書在加密中的作用：

• 數字證書對網絡用戶在計算機網絡交流中的信息和數據等以加密或解密的形式保證了信息和數據的完整性和安全性。由于 Internet 網電子商務系統技術使在網上購物的顧客能夠極其方便輕松地獲得商家和企業的信息，但同時也增加了對某些敏感或有價值的數據被濫用的風險。

• 買方和賣方都必須保證在因特網上進行的一切金融交易運作都是真實可靠的，并且要使顧客、商家和企業等交易各方都具有絕對的信心，因而因特網電子商務系統必須保證具有十分可靠的安全保密技術。也就是說，必須保證網絡安全的四大要素，即信息傳輸的保密性、數據交換的完整性、發送信息的不可否認性、交易者身份的確定性。

• 它以數字證書為核心的加密技術(加密傳輸、數字簽名、數字信封等安全技術)可以對網絡上傳輸的信息進行加密和解密、數字簽名和簽名驗證，確保網上傳遞信息的機密性、完整性及交易的不可抵賴性。使用了數字證書，即使您發送的信息在網上被他人截獲，甚至您丟失了個人的賬戶、密碼等信息，仍可以保證您的賬戶、資金安全。它是能提供在 Internet 上進行身份驗證的一種權威性電子文檔，人們可以在互聯網交往中用它來證明自己的身份和識別對方的身份。

數字證書的功能：

• 信息保密性

  交易中的商務信息均有保密的要求。帳號和用戶名被人知悉，就可能被盜用，訂貨和付款的信息被競爭對手獲悉，就可能喪失商機。而CA中心頒發的數字安全證書保證了電子商務的信息傳播中信息的保密。

• 身份確定性

  網上交易的雙方很可能素昧平生，相隔千里。要使交易成功首先要能確認對方的身份，對商家要考慮 客戶端不能是騙子，而客戶也會擔心網上的商店不是一個玩弄欺詐的黑店。因此能方便而可靠地確認對方身份是交易的前提。對于為顧客或用戶開展服務的銀行、公司和銷售商店，為了做到安全、保密、可靠地開展服務活動，都要進行身份認證的工作。而CA中心頒發的電子簽名可保證網上交易雙方的身份，銀行和公司可以通過CA認證確認身份，放心的開展網上業務。

• 不可否認性

  由于商情的千變萬化，交易一旦達成是不能被否認的。否則必然會損害一方的利益。例如訂購黃金， 訂貨時金價較低，但收到訂單后，金價上漲了，如收單方能否認受到訂單的實際時間，甚至否認收到訂單的事實，則訂貨方就會蒙受損失。因此CA中心頒發的數字安全證書確保了電子交易通信過程的各個環節的不可否認性，使交易雙方的利益不受到損害。

• 不可篡改性

  交易的文件是不可被修改的，如上例所舉的訂購黃金。供貨單位在收到訂單后，發現金價大幅上漲了，如其能改動文件內容，將訂購數1噸改為1克，則可大幅受益，那么訂貨單位可能就會因此而蒙受損失。 因此CA中心頒發的數字安全證書也確保了電子交易文件的不可修改性，以保障交易的嚴肅和公正。

防護Web服務器安全的措施有以下這些：

• 隱藏自己：web服務器首先得學會隱藏自己，對于一些內部系統，如后臺，內部接口等，我們可以通過改端口，限制ip等方式來不讓黑客發現。

• 隱藏身份：對于多數web系統來說，都是提供給外面的訪問的，所以想隱藏自己其實是很難的。但是我們還是要學會隱藏身份，可以通過改banner，該返回信息來隱藏身份來加大黑客攻擊的難度。

• 選用安全的版本及修補一些已知的漏洞：其實前面兩步都是很容易突破，然后獲知一個web系統所使用的web服務器版本的，此時我們能做的就是選擇一個少漏洞的版本，及打上安全補丁。

• 做好安全配置：做好基礎的安全配置，禁止目錄瀏覽，設定默認文檔，上傳目錄限制php執行等等，來阻擋黑客的入侵。

• 合理配置web服務進程賬戶的權限：當黑客已經通過程序漏洞上傳了一個webshell并且已經成功執行了，此時，就只能很好的配置服務進程的賬戶權限，包括磁盤的讀取寫入，特殊程序如sh的執行，等等，這樣可以講危害降到最低。

• 記錄日志：最后，當黑客已經光顧之后，通過日志來分析，看問題出在哪里了。

方法一：

1.在按下電源鍵開機，或者重啟電腦時，出現開機畫面時不停按F2鍵。

2.然后就可以進入到BIOS設置界面。

方法二：

1.按下電源鍵開機或重啟，在啟動過程中，不停按ESC鍵。

2.出現啟動項選擇界面，可以直接選擇啟動項，進入BIOS，選擇Enter Setup這個項，然后按Enter鍵即可進入。

免費的漏洞掃描工具有以下這些：

• AWVS，個人測試版免費但不可以作為商用，商業版據了解一個License一年費用是2萬多。可見總體漏洞掃描概況，也可導出報告，報告提供漏洞明細說明、漏洞利用方式、修復建議。缺點是限制了并行掃描的網站數。

• OWASP Zed（ZAP），來自OWASP項目組織的開源免費工具，提供漏洞掃描、爬蟲、Fuzz功能，該工具已集成于Kali Linux系統。

• Nikto，一款開源軟件，不僅可用于掃描發現網頁文件漏洞，還支持檢查網頁服務器和CGI的安全問題。它支持指定特定類型漏洞的掃描、繞過IDC檢測等配置。該工具已集成于Kali Linux系統。

• BurpSuite個人版本免費，商用需要付費，“Scanner”功能用于漏洞掃描，可設置掃描特定頁面，自動掃描結束，可查看當前頁面的漏洞總數和漏洞明細。雖說也有漏掃功能，但其核心功能不在于此，因此漏掃功能還是不如其他專業漏洞掃描工具。

• Nessus，面向個人免費，面向商業收費的形式，不僅掃描Web網站漏洞，同時還會發現Web服務器、服務器操作系統等漏洞。個人用戶只需在官網上注冊賬號即可獲得激活碼。它是一款Web網站形式的漏洞掃描工具。

擁塞控制曲線有以下三種：

• 理想的擁塞控制;具有理想擁塞控制的網絡，在吞吐量飽和之前，網絡吞吐量應等于提供的負載，故吞吐量曲線是45°的斜線；若提供的負載超過某一限度，由于網絡資源受限，吞吐量不再增長而保持為水平線，即吞吐量達到飽和。在這種理想的擁塞控制作用下，網絡的吞吐量可以維持在其所能達到的最大值。

• 實際的擁塞控制;在實際網絡運行過程中，隨著提供的負載增大，網絡吞吐量的增長速率逐漸減小。在網絡吞吐量還未達到飽和時，就已經有一部分的輸入分組被丟棄了；當網絡的吞吐量明顯小于理想的吞吐量時，網絡就進入了輕度擁塞狀態，其后進入網絡擁塞控制階段。

• 無擁塞控制;提供的負載在網絡吞吐量飽和之前，網絡吞吐量基本等于提供的負載；提供的負載達到某一數值時，網絡的吞吐量反而隨提供的負載的增大而下降，網絡就進入了擁塞狀態；提供的負載繼續增大到某一數值時，網絡的吞吐量就下降到零，進入死鎖狀態，網絡崩潰。

威脅建模是通過識別目標和漏洞來優化系統安全，然后定義防范或減輕系統威脅的對策的過程。威脅建模是分析應用程序安全性的一種方法。這是一種結構化的方法，使您能夠識別，量化和解決與應用程序相關的安全風險。威脅建模不是代碼審查方法，但卻是對安全代碼審查過程的補充。威脅建模是評估，檢測和緩解風險以優化網絡或應用程序安全性的過程。威脅是指可以利用系統漏洞來獲取訪問權限的任何事物。

滲透威脅建模階段主要工作如下：

• 分析業務資產：主要是分析私人身份信息，健康信息和信用卡信息，定義和找出組織的知識產權和企業的關鍵資產。其中企業分關鍵資產也是需要著重關注的部分，包括商業機密，研發和開發，市場計劃，企業銀行卡 / 信用卡賬戶，客戶資料，供應商資料，關鍵雇員（董事會、中間層管理、系統管理員、工程師、技術專家、人力資源、總裁助理）信息等。

• 分析業務流程：這部分主要是分析企業業務上使用的基礎設施，人力基礎設施，使用的第三方平臺。分析這些平臺上的業務流程，可以根據業務流程建立初步模型。

• 威脅對手和社區分析：威脅對手包括企業的內部矛盾和外部競爭對手，國家政府的限制，有組織的犯罪團伙，黑客等。其中公司的內部矛盾體現在內部人員的關系上，需要分析內部人員的關系網。

• 威脅能力分析：威脅能力分析主要是對使用的工具，可用的相關滲透測試代碼和攻擊載荷，通信機制（加密，下載站點，命令控制，安全宿主站點）等進行分析。

• 查找歷史攻擊記錄：這一步主要是查找被測試網站是否被攻擊過，如果被攻擊過可以查找攻擊者的攻擊手法，然后查找這些被攻擊的位置是否被修復，如果沒被修復可以嘗試再次攻擊。