僵尸掃描：

• 端口掃描是主動掃描的重要一部分，而僵尸掃描是主動信息收集下的一種及其隱蔽的TCP掃描方式，相對于全連接掃描和隱蔽掃描而言，執行僵尸掃描的條件非常苛刻。一個合格的僵尸機是實現僵尸掃描的關鍵因素，僵尸至少要保證在進行掃描階段不會產生其他的IP包，即是不會與我們主機之外的任何機器進行第三層的IP通訊，至少在我們控制其進行掃描的階段不可以，否則將直接導致我們的掃描結果不可靠。

僵尸掃描的過程：

• 最開始掃描者主機對Zombie(僵尸機)發送SYN/ACK包，然后Zombie（假設此時系統產生的IPID為x）會回個主機一個RST，主機將會得到Zombie的IPID；

• 然后掃描主機向目標機器發送一個SYN包，有所不同的是，此時掃描主機會偽造一個偽裝成Zombie的IP(即是x)向目標主機發送SYN包。

• 如果目標的端口開放，便會向Zombie返回一個SYN/ACK包，但是人家Zombie并沒有發送任何的包啊，zombie會覺得莫名其妙，于是向目標主機發送一RST過去詢問，此時Zombie的IPID將會增加1(x+1)。若果目標主機的端口并未開放，那么目標主機也會想Zombie發送一個RST包，但是Zombie收到RST包不會有任何反應，所以IPID不會改變(依舊是x)。

• 最后掃描者主機再向Zombie發送一個SYN/ACK，同樣的Zombie會摸不著頭腦，然后在懵懂中向掃描者主機發送一個RST包，此時Zombie的IPID將變成(x+2)。最后我們在zombies的迷惘中我們已經知道了我們想知道的。

跳板機（Jump Server），也稱堡壘機，是一類可作為跳板批量操作遠程設備的網絡設備，是系統管理員或運維人員常用的操作平臺之一。跳板機是網絡中容易受到侵害的主機，所以跳板機也必須是自身保護完善的主機。通常至少配備兩塊網卡設備，分別具備不同的網絡連接。一個連接外網，用以對目標服務器的遠程登錄及維護；另一個則連接內網，便于內部網絡的管理、控制和保護，通過網關服務提供從私網到公網，或從公網到私網的特殊協議路由服務。

運維堡壘主機作用：

運維堡壘主機執行的任務對于整個網絡安全系統至關重要。由于堡壘主機完全暴露在外網安全威脅之下，需要做許多工作來設計和配置堡壘主機，使它遭到外網攻擊成功的風險性減至低。甚至，些網絡管理員會用堡壘主機做犧牲品來換取網絡的安全。這些主機吸引入侵者的注意力，耗費攻擊真正網絡主機的時間并且使追蹤入侵企圖變得更加容易。

嚴格控制、安全審計，才能從源頭真正解決問題。運維堡壘主機的嚴格控制機制和安全審計功能，可以在發生重大服務器操作事故中，發現問題找到事故真正原因所在，及更好的從源頭上真正解決服務器安全問題。

內部應用服務器。運維堡壘主機存在于內部網絡中，通常還會用到作為內網中的專用服務器使用，比如：搭建OA辦公系統、內部郵件系統，以及內部協同工作服務器等。

復合型防火墻有以下技術：

• 防火墻技術：防火墻技術是通過有機結合各類用于安全管理與篩選的軟件和硬件設備，幫助計算機網絡于其內、外網之間構建一道相對隔絕的保護屏障，以保護用戶資料與信息安全性的一種技術。防火墻技術的功能主要在于及時發現并處理計算機網絡運行時可能存在的安全風險、數據傳輸等問題，其中處理措施包括隔離與保護，同時可對計算機網絡安全當中的各項操作實施記錄與檢測，以確保計算機網絡運行的安全性，保障用戶資料與信息的完整性，為用戶提供更好、更安全的計算機網絡使用體驗。

• 入侵檢測技術：入侵檢測是防火墻的合理補充，幫助系統對付網絡攻擊，擴展了系統管理員的安全管理能力(包括安全審計、監視、進攻識別和響應)，提高了信息安全基礎結構的完整性。它從計算機網絡系統中的若干關鍵點收集信息，并分析這些信息，看看網絡中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測被認為是防火墻之后的第二道安全閘門，在不影響網絡性能的情況下能對網絡進行監測，從而提供對內部攻擊、外部攻擊和誤操作的實時保護。

• 安全評估技術：安全評估分狹義和廣義二種。狹義指對一個具有特定功能的工作系統中固有的或潛在的危險及其嚴重程度所進行的分析與評估，并以既定指數、等級或概率值作出定量的表示，最后根據定量值的大小決定采取預防或防護對策。廣義指利用系統工程原理和方法對擬建或已有工程、系統可能存在的危險性及其可能產生的后果進行綜合評價和預測，并根據可能導致的事故風險的大小，提出相應的安全對策措施，以達到工程、系統安全的過程。安全評估又稱風險評估、危險評估，或稱安全評價、風險評價和危險評價。

• 虛擬專用網技術：虛擬專用網指的是在公用網絡上建立專用網絡的技術。其之所以稱為虛擬網，主要是因為整個VPN網絡的任意兩個節點之間的連接并沒有傳統專網所需的端到端的物理鏈路，而是架構在公用網絡服務商所提供的網絡平臺，如Internet、ATM(異步傳輸模式〉、Frame Relay （幀中繼）等之上的邏輯網絡，用戶數據在邏輯鏈路中傳輸。

數據采用磁帶備份有以下優點：

• 磁帶備份技術成熟，作為傳統備份介質的地位根深蒂固。磁帶作為數據備份的介質至今已經有50多年，經受住了時間的考驗。許多單位一直并將繼續在傳統用途上使用磁帶進行數據備份、歸檔、災難恢復和合規。

• 磁帶容量大、成本低，能夠有效地節約成本。隨著磁帶技術的發展，磁帶的容量、性能及可靠性等都在不斷提高，使得它在成本上越來越具有經濟性。LTO（Linear Tape Open，線性磁帶開放協議）6磁帶容量能達到2.5TB，壓縮后容量能達到6.25TB。因此，對于有大容量需求的用戶，采用磁帶進行數據備份能夠有效地節約成本，仍是這部分用戶的首選。

• 用磁帶對數據進行離線保存更加安全。使用磁帶能提供最后一道防線，以支持業務連續性和災難恢復。

• 磁帶保存時間長（一般可穩定地存儲10年以上），是進行數據歸檔及數據長期保存的理想介質。

• 可以隨時提前，目前磁帶機使用的都是抽取式磁帶，也就是說一旦數據存儲在磁帶中后就可以直接從系統中取走，不會破壞系統。并且磁帶的存儲不需要擔心震動和搖晃對磁帶的損壞。

windows安全審計的作用是：

• 審計子系統結構：在Windows系統中，幾乎每一項事務都可以在一定程度上被審計。

• 審計日志和記錄格式：Windows的審計日志由一系列的事件記錄組成。每一個事件記錄分為三個功能部分：頭、事件描述和可選的附加數據項。

• 事件日志管理特征：Windows為系統管理員管理操作系統事件日志機制提供了大量特征。

• 安全日志的審計策略：安全日志由審計策略支配。審計策略可以通過配置審計策略對話框中的選項來建立。審計策略規定日志的事件類型并可以根據動作、用戶和目標進一步具體化。

• 管理和維護審計：通常情況下，Windows不是將所有的事件都記錄日志，而需要手動啟動審計的功能。在啟動Windows的審計功能時，需要仔細選擇審計的內容。

1. 不滿足高可靠性

平均無故障時間 > 10年，使用壽命15 -20年從IT故障關閉到OT故障暢通，處理的原則不同。

2. 不匹配運維要求

不允許頻繁升級,策略穩妥實施，不允許現網調試試錯。訪問控制對時延要求更為敏感。

3. 不支持工控協議

特有的工業協議 (OPC、S7、Modbus、DNP3 等) ，以及存在較多私有協議

4. 不適應物理環境

工業現場環境相對比較惡劣 (如高低溫、粉塵、潮濕、酸堿等) , 要求有專門的硬件設計，做到全密閉、無風扇，支持 40°C~70°C 恒溫。

信息系統的信息保障技術層面分為以下部分：

• 應用環境：包括局域網內所使用的主機、服務器、應用程序和數據操作系統、數據庫等的安全防御。

• 應用區域邊界：通過部署邊界保護措施和監控對內部局域網的訪問，實現局域網在這一層連到廣域網是安全的。

• 網絡和電信傳輸：包括實現局域網互連過程的安全，旨在確保通信的機密性，防止使通信能力中斷的拒絕服務攻擊。

• 安全管理中心：用于保護、分析和響應本地、地區和國家級非法訪問、入侵和網絡攻擊。

• 密碼管理中心：提供一種通用的聯合處理方式，以便安全地創建、分發和管理公鑰證書和傳統的對稱密鑰，使它們能夠為網絡傳輸、應用區域邊界和應用環境提供安全服務。

辦公網絡遭遇勒索病毒攻擊的處置方案如下：

• 使用PE系統登入服務器，使用磁盤工具搜索磁盤，并使用安全工具恢復MBR，解決系統無法啟動的問題。

• 對于未“中招”的服務器，在網絡邊界防火墻上關閉3389端口或3389端口只對特定IP開放。

• 開啟Windows防火墻，盡量關閉3389、445、139、135等不用的高危端口。

• 每臺服務器設置唯一口令，且要求采用大小寫字母、數字或特殊符號混合的組合結構，口令位數足夠長（15位），至少采用兩種組合。

• 安裝終端安全防護軟件。

• 對于已“中招”的服務器進行下線隔離處理。

滲透測試和漏洞掃描主要有以下方面的不同：

• 概念不同：滲透測試服務（黑盒測試）是指在客戶授權許可的情況下，利用各種主流的攻擊技術對網絡做模擬攻擊測試，以發現系統中的安全漏洞和風險點，提前發現系統潛在的各種高危漏洞和安全威脅。漏洞掃描是指基于漏洞數據庫，通過掃描等手段對指定的遠程或者本地計算機系統的安全脆弱性進行檢測，發現可利用漏洞的一種安全檢測（滲透攻擊）行為。

• 操作方式不同：一般來說滲透測試操作難度大，而且滲透測試的范圍也是有針對性的，而且是需要人為參與。聽說過漏洞自動化掃描，但你絕對聽不到世界上有自動化滲透測試。

• 范圍不同：滲透測試范圍是針對性的，而且總有人的因素參與其中。這個世界上沒有自動化滲透測試這種東西。滲透測試需要使用工具，有時候要用到很多工具，但同樣要求有極具經驗的專家來進行測試。漏洞掃描在全公司范圍進行，需要自動化工具處理大量的資產。其范圍比滲透測試要大。漏洞掃描產品通常由系統管理員或具備良好網絡知識的安全人員操作，想要高效使用這些產品，需要擁有特定于產品的知識。

• 性質不同：滲透測試的侵略性要強很多，它會試圖使用各種技術手段攻擊真實生產環境；相反，漏洞掃描只會以一種非侵略性的方式，仔細地定位和量化系統的所有漏洞。

• 消耗的成本及時間標題不同：滲透測試需要前期進行各種準備工作，前期信息資產收集的越全面，后期的滲透就會越深入，不僅是一個由淺入深的過程，更是一個連鎖反應；而漏洞掃描相比來說消耗的時間要少很多。

日志在記錄和存儲過程要遵循以下原則：

• 敏感數據模糊化：禁止在業務日志中記錄服務密碼等敏感信息。如果確實需要記錄敏感信息，則應進行模糊化處理。

• 防止業務日志欺騙：如果在生成業務日志時需要引入來自非受信源的數據，則應進行嚴格校驗，防止欺騙攻擊。

• 記錄關鍵業務操作日志：應記錄關鍵業務操作的日志，例如登錄成功與失敗、關鍵業務辦理、敏感數據查詢、敏感數據導入與導出等。

• 記錄應用系統運行日志：應記錄應用系統的啟停、異常、資源使用情況等。

• 業務日志安全存儲與訪問：禁止將業務日志保存到網頁目錄下，確保業務日志數據的安全存儲并嚴格限制業務日志數據的訪問權限。應對業務日志記錄進行簽名來實現防篡改。日志記錄應在線至少保存半年，離線保存1年。

5G網絡目前遺留的安全問題是：

• 設備實施風險：5G網絡在標準設計時解決了許多安全問題，但是設備實現時，仍然面臨安全環境假設錯誤、安全功能缺失、系統配置不合理、軟件存在安全缺陷等問題。此外，運營商在采購設備時，還應考慮是否存在設備主動保留超級管理權限、后門等主動脆弱點，以及設備實施是否符合相關法律法規要求。

• 網絡部署風險：在實施5G網絡時，應部署和實施必要的安全機制和安全設備，從而應對網絡架構革新帶來的安全挑戰。例如，5G網絡中基站呈現小型化的特點，出現了CU（集中單元）和DU（分布單元）分離的部署場景，分布式的DU可能被部署到更接近攻擊者的區域。考慮到垂直行業的應用需求，5G網絡架構針對邊緣計算進行了優化設計，使得5G邊緣計算網元也可能被部署到更接近攻擊者的區域。5G核心網引入虛擬化技術，支持SDN技術，實現了服務化架構。這些新技術雖然將5G網絡功能盡可能地解耦，為網絡帶來了動態部署的靈活性和邏輯網絡建設開發的自主性，但也引入了更多的接口和交互，系統服務面臨更容易被越權使用的風險。

• 攻擊者可對核心網網元發起惡意攻擊：5G網絡為面向多樣化的行業需求，提供了全IP的網絡能力開放功能，可便捷地實現與互聯網、業務網以及垂直行業的互聯。這打破了傳統電信網絡能力封閉的特點，攻擊者可利用外部網絡對核心網網元發起惡意攻擊，開放的連接和對外的端口成為了信息泄露的脆弱點。

• 系統運維風險：5G網絡引入的新技術使網絡功能虛擬化、模塊化，5G網絡引入的新場景使網絡架構多樣化，這些都提升了對于網絡運維粒度的要求，同時也可能催生出多個網絡運營角色，如網絡設施運營商、網絡切片運營商、虛擬網絡運營商等。一方面，細粒度的運維要求意味著運維配置錯誤的風險提升，錯誤的安全配置可能導致5G網絡存在安全漏洞，暴露本該隱藏的內部設備和系統，開放不必要的端口和權限等，進而遭受不必要的安全攻擊，如信令風暴、異常信令攻擊、越權操作等。另一方面，甲方錯誤配置可能使乙方網絡遭受攻擊，新的生態環境也造成了責任邊界模糊，使得安全責任劃分的難度增大。另外，新的生態環境也導致網絡設備在進行日常維護管理時，需要引入更多的第三方運維人員。第三方運維人員可控性低，可能對設備進行越權操作，如篡改賬戶、口令等敏感信息，消除日志等非法操作。

• 容易導致信息泄露：4G時代最大的問題當數個人數據信息的安全問題，個人數據、隱私等泄露問題一直貫穿著4G時代的始終。相對于4G技術來講，5G網絡的傳輸的速度更快并得到了廣泛的應用拓展，更多地應用于生活的信息化與智能化，個人信息的公開性和透明度也隨之增強，用戶會與大量的其他用戶進行訪問鏈接，連接的數量越多，安全風險就越大，導致用戶個人的隱私和數據更容易被盜取。例如，在通過5G網絡進行線上支付時會采用人臉識別功能、還有一些線上會議直播、大數據云存儲等新技術，這些功能的實現都建立在使用個人隱私信息的基礎上。例如，要求用戶在“刷臉支付”設置中提供身份證號碼、銀行卡號、電話號碼等信息。然而，這些快速便捷的支付方式的安全防護措施并不是無懈可擊，增加了個人信息泄露的幾率。

應對5G網絡面臨的安全風險的措施如下：

• 建立健全5G設備安全保障實施標準與認證體系，開展設備安全性檢測，確保設備在入網前具備應有的安全能力。

• 部署滿足5G網絡新技術、新場景需求的安全機制和安全措施，包括優化網絡架構、新技術的通信和傳輸保護、新技術的管理安全、網絡設備安全防護等。

• 建設涵蓋事前、事中及事后的完備的安全防護技術手段，包括威脅防護、監測感知和處置回復。

• 建立健全安全管理制度，確定網絡安全責任和人員，開展網絡與系統的定級備案，配備網絡安全防護措施，完善網絡安全監測手段。

黑客入侵的常用策略有以下這些：

• 利用系統文件攻擊策略：這里以攻擊UNIX系統為例，黑客可以通過Telnet指令操作得知Sendmail的版本號，從而結合已公布的資料了解到操作系統中會有哪些安全漏洞。禁止對可執行文件的訪問雖不能防止黑客對它們的攻擊，但至少可以使這種攻擊變得更困難。

• 偽造信息攻擊策略：黑客可以通過發送偽造的路由信息，構造系統源主機和目標主機的虛假路徑，從面使流向目標主機的數據包均經過攻擊者的系統主機。這樣攻擊者就有可能獲得用戶密碼等敏感信息。

• 利用協議弱點攻擊策略：IP地址的源路徑選項允許IP數據包選擇一條捷徑通往系統目的主機的路徑。假設攻擊者試圖連接到防火墻后面的主機A上，攻擊者只需要在送出的請求報文中設置IP源路徑選項，使報文有一個目的地址指向防火墻，而最終地址是主機A。當報文到達防火墻時被允許通過，因為它指向防火墻而不是主機A。防火墻的IP層處理該報文的源路徑被改變，并被發送到內部網上，報文就這樣到達了主機A。

• 網絡釣魚策略：在被攻擊主機上啟動一個可執行程序或打開一個鏈接，該程序或鏈接顯示個偽造的登錄界面。當用戶在這個偽裝的界面上輸人登錄信息(用戶名、密碼等)后，該程序將用戶輸人的信息傳送到攻擊者主機，然后關閉界面給出提示信息說“系統故障”，要求用戶重新登錄或跳轉到一個真實的界面上。此后才會出現真正的登錄界面。

• 利用系統管理員失誤的攻擊策略：網絡安全的重要因素之一就是人。 網絡安全中常說的句話就是“堡壘最容易從內部攻破”。人為的失誤包括www服務器系統的配置差錯、普通用戶使用權限擴大等。這樣就給黑客造成了可乘之機。黑客常利用系統管理員的失誤收集用于攻擊的信息。

• 利用ICMP報文攻擊策略：黑客利用ICMP報文的重定向消息可以改變路由列表，路由器可以根據這些消息建議主機走另一條更好的路徑。攻擊者可以有效地利用重定向消息把連接轉向一個不可靠的主機或路徑，或造成所有報文通過一個不可常主機進行轉發。

• 利用源路徑選項弱點攻擊策略：一個外部攻擊者可以傳送一個具有內部主機地址的源路徑報文。服務器會相信這個報文并向攻擊者發送回應報文。

• 跳躍式攻擊策略：現在許多網點使用UNIX操作系統。黑客們會設法先登錄到一一臺UNIX的主機上，通過該操作系統的漏洞來取得系統特權，然后再以此為據點訪問其余主機，被稱為“跳躍” (Island- Hopping)。黑客們在到達目的主機之前往往會這樣跳幾次。這樣被攻擊網絡即使發現了黑客是從何處向自己發起了攻擊，管理人員也很難順藤摸瓜找到攻擊者，而且黑客在取得某臺主機的系統特權后，可以在退出時刪掉系統日志，清除痕跡。攻擊者只要能夠登錄到UNIX系統上，就能相對容易地成為超級用戶，這使得它同時成為黑客和安全專家們的關注點。

預防黑客入侵的方法有以下這些：

• 操作系統勤打補丁，同時啟用Windows自動升級功能。現在許多病毒、木馬就是利用Windows操作系統的漏洞進行傳播的，而微軟也會不定期發布相應的補丁程序進行補救。

• 下載軟件及驅動程序應該到官方網站或知名大網站下載，不到一些陌生或是不知名的網站下載，并且最好下載官方版本，不隨意使用第三方修改過的版本。

• 安裝軟件之前最好先進行病毒掃描，另外在安裝過程中將每一個步驟都看仔細，不能隨意地一路按回車鍵。

• 不瀏覽非法網站，不安裝任何網站的插件。對于使用Windows操作系統的朋友，應該將所有彈出窗口禁止，這樣不僅可以免去彈出窗口的干擾，而且可有效地避免一不小心就安裝了某個插件。

• 不打開陌生人的郵件，不隨意打開陌生人郵件中的附件。使用郵件客戶端程序時最好不要使用Outlook，至少也要打補丁。

• 使用即時通信軟件如QQ、MSN等，不隨意單擊對方發過來的網址，也不要隨便接收文件，即使接收了，在打開之前也要進行病毒掃描。

• 在網絡中特別是一些論壇中，盡量避免泄露本單位信息，如單位名稱和Email地址等。

• 密碼設置得不要太簡單，至少8位最好是數字、字母和符號組合，最好15位以上，同時關閉文件共享。

核心工業控制系統的加固保障措施有：

• 邊界惡意威脅的防范：部署工業防火墻，對不同安全區之間以及安全區內不同安全域的邊界進行安全防護，阻止網絡攻擊在不同區域間滲透，保障關鍵資產和業務的安全。另外，基于白名單防護策略，工業防火墻能夠阻止一切不可信的數據和操作行為，最大限度地防范未知威脅。

• 網絡攻擊行為的識別：部署APT預警平臺，使用深度檢測技術，能夠進行深度協議解析、Web應用攻擊檢測、郵件攻擊檢測、文件攻擊檢測、0day攻擊檢測、關聯行為分析，判斷APT攻擊行為和攻擊路徑，能檢測到傳統安全設備無法檢測的攻擊。另外，APT預警平臺支持勒索病毒檢測，能通過解析SMB協議分析出惡意攻擊數據包，并檢測到MS17-010遠程溢出漏洞的利用攻擊。

• 惡意風險監測的記錄：部署工控安全監測審計平臺，實時檢測出針對工控協議的網絡攻擊、誤操作、違規操作、非法IP或非法設備接入以及病毒的傳播并實時報警，幫助客戶及時采取應對措施，減少系統異常風險。平臺能夠詳實記錄一切網絡通信行為，包括指令級的工控協議通信記錄，并且提供回溯功能，為工業控制系統的安全事故調查提供堅實的基礎。

• 穩定運行環境的建立：部署工控安全主機衛士，用于保護DCS或PLC操作員站和工程師站等主機免受各種非法攻擊，可以有效管控主機的USB等外部端口。針對Windows主機（操作員站、工程師站、服務器），它提供完全適用于工控行業的安全防護（完全兼容、沒有“刪除、清理”等動作），為保障關鍵業務的運行，它能建立穩定的運行環境，同時它能有效遏止已經爆發過的工控病毒（如“震網”、Havex、“勒索”等）及其變種的運行。

• 脆弱性監測：部署工控漏洞掃描平臺，實時監測網絡中資產的漏洞情況、基線狀態以及資產信息，通過了解資產的脆弱性來完善防護手段，加強安全管理及運營，在發電廠檢修期間及時修補漏洞，同時也可以建立定向漏洞的防護策略，抵御安全風險。

安全電子郵件系統通常提供以下服務:

• 信息機密性：保證只有指定的接收方能夠閱讀信息。

• 信息完整性：保證發出的信息與接收到的信息一致。

• 不可否認性：防止發送者抵賴，否認所發送的信息；防止接收者抵賴，否認所接收的信息。

• 認證：確保信息源的正確性。

公安機關負責受理備案并進行備案管理。

信息系統備案后，公安機關對信息系統的備案情況進行審核，對符合等級保護要求的，頒發信息系統安全保護等級備案證明。發現不符合《管理辦法》及有關標準的，通知備案單位予以糾正。發現定級不準的，通知運營使用單位或其主管部門重新審核確定。

已運營（運行）的第二級以上信息系統，應當在安全保護等級確定后30日內，由其運營、使用單位到所在地設區的市級以上公安機關辦理備案手續。 新建第二級以上信息系統，應當在投入運行后30日內，由其運營、使用單位到所在地設區的市級以上公安機關辦理備案手續。