Meltdown是特定于IntelCPU的漏洞。當要求IntelCPU預取數據時，它們會在檢查用戶特權之前讀取數據。盡管特權數據不會傳遞給非特權用戶，但CPU會根據獲取的特定數據進行不同的操作。攻擊者可以在邊通道中監視處理器的性能，并了解有關數據的重要細節。此信息可以提高后續攻擊成功的機會。Spectre與Meltdown相似，但它沒有攻擊芯片的專有行為，而是針對基本CPU設計范例以前未知的弱點。

被網絡攻擊后因從以下方面入手：

• 建立良好的安全習慣：不要輕易打開一些來歷不明的郵件及其附件，不要輕易登陸陌生的網站。從網上下載的文件要先查毒再運行。

• 關閉或刪除系統中不需要的服務：默認情況下，操作系統會安裝一些輔助服務，如FTP客戶端、Telnet和Web服務器。這些服務為攻擊者提供了方便，而又對大多數用戶沒有用。刪除它們，可以大大減少被攻擊的可能性。

• 經常升級安全補丁：據統計，大部分網絡病毒都是通過系統及IE安全漏洞進行傳播的，如沖擊波、震蕩波、SCO炸彈AC/AD等病毒。如果機器存在漏洞則很可能造成病毒反復感染，無法清除干凈。因此一定要定期登陸微軟升級網站下載安裝最新的安全補丁。同時也可以使用瑞星等殺毒軟件附帶的“漏洞掃描”模塊定期對系統進行檢查。

• 設置復雜的密碼：有許多網絡病毒是通過猜測簡單密碼的方式對系統進行攻擊。因此設置復雜的密碼（大小寫字母、數字、特殊符號混合，8位以上），將會大大提高計算機的安全系數，減少被病毒攻擊的概率。

• 迅速隔離受感染的計算機：當您的計算機發現病毒或異常情況時應立即切斷網絡連接，以防止計算機受到更嚴重的感染或破壞，或者成為傳播源感染其它計算機。

• 經常了解一些反病毒資訊：經常登陸信息安全廠商的官方主頁，了解最新的資訊。這樣您就可以及時發現新病毒并在計算機被病毒感染時能夠作出及時準確的處理。比如了解一些注冊表的知識，就可以定期查看注冊表自啟動項是否有可疑鍵值；了解一些程序進程知識，就可以查看內存中是否有可疑程序。

• 最好是安裝專業的防毒軟件進行全面監控：在病毒技術日新月異的今天，使用專業的反病毒軟件對計算機進行防護仍是保證信息安全的最佳選擇。用戶在安裝了反病毒軟件之后，一定要開啟實時監控功能并經常進行升級以防范最新的病毒，這樣才能真正保障計算機的安全。

XSStrike是：

• XSStrike是一款檢測Cross Site Scripting的高級檢測工具。它集成了payload生成器、爬蟲和模糊引擎功能。XSStrike不是像其他工具那樣注入有效負載并檢查其工作，而是通過多個解析器分析響應，然后通過與模糊引擎集成的上下文分析來保證有效負載。除此之外，XSStrike還具有爬行，模糊測試，參數發現，WAF檢測功能。它還會掃描DOM XSS漏洞。

XSStrike的特點如下：

• 對參數進行模糊測試之后構建合適的payload

• 使用payload對參數進行窮舉匹配

• 內置爬蟲功能

• 檢測并嘗試繞過WAF

• 同時支持GET及POST方式

• 大多數payload都是由作者精心構造

• 誤報率極低

根據《國家安全法》第56條規定，國家建立國家安全風險評估機制，定期開展各領域國家安全風險調查評估。有關部門應當定期向中央國家安全領導機構提交國家安全風險評估報告。

其他內容：

第五十五條 國家制定完善應對各領域國家安全風險預案。

第五十七條 國家健全國家安全風險監測預警制度，根據國家安全風險程度，及時發布相應風險預警。

第五十八條 對可能即將發生或者已經發生的危害國家安全的事件，縣級以上地方人民政府及其有關主管部門應當立即按照規定向上一級人民政府及其有關主管部門報告，必要時可以越級上報。

• 公共WiFi

若在智能手機的網絡設置中選擇了WiFi自動連接功能，就會自動連接公共場所WiFi。但WiFi安全防護功能比較薄弱，黑客只需憑借一些簡單設備，就可盜取WiFi上任何用戶名和密碼。

防范方法:公共場所盡量不使用無需密碼的免費WiFi。使用WiFi登錄網銀或者支付寶時，可以通過專門的APP客戶端訪問。最好把WiFi連接設為手動。

• 舊手機

換新手機時，很多人會將舊手機轉賣。盡管你將舊手機恢復到“出廠默認設置”，甚至將其格式化，但通過技術手段，專業人員還是可以把舊手機里的短信、通訊錄、軟件甚至瀏覽記錄等全部恢復，就連支付賬號、信用卡信息也可能被還原。

防范方法:存儲有個人賬戶資料的手機，盡量避免轉賣。如果確有出售必要，在轉賣之前，務必做好徹底清理工作。

• 社交媒體

通過微博、QQ空間、貼吧等和熟人互動時，有時會不自覺說出或標注對方姓名、職務、工作單位等真實信息。有些家長在朋友圈曬的孩子照片包含孩子姓名、就讀學校、所住小區;曬火車票、登機牌，卻忘了將姓名、身份證號、二維碼等進行模糊處理。

防范方法:在微博、QQ空間等社交網絡要盡可能避免透露或標注真實身份信息。朋友圈曬照片，一定要謹慎。

• 網絡調查

上網時經常會碰到各種填寫調查問卷、玩測試小游戲、購物抽獎，或申請免費郵寄資料、申請會員卡等活動，一般要求填寫詳細聯系方式和家庭住址等個人信息。

防范方法:參與此類活動前，要選擇信譽可靠的網站認真核驗對方的真實情況，不要貿然填寫導致個人信息泄露。

• 簡歷

目前，很多人通過網上投簡歷找工作，簡歷中的個人信息一應俱全，有些公司在面試的時候還會要求你填寫一份所謂的“個人信息表”，上面有你的家庭關系說明、父母名字、個人電話、住址、畢業學校甚至身份證號等信息。

防范方法:一般情況下，簡歷上只提供必要的信息，不要過于詳細填寫本人具體信息。

• 各類單據

快遞單、車票、登機牌、購物小票、辦理手機卡的業務單、水電費賬單……這些單據都可能導致個人信息泄露。

防范方法:快遞收貨地址不必留得太詳細。無用的單據可以直接碎掉，或將姓名、電話、地址等個人信息涂黑再丟棄。有用的單據妥善保存，切勿亂丟亂放!

• 身份證復印件

銀行、電信運營商營業廳、各類考試報名等，很多地方都需要留存你的身份證復印件，甚至一些打字店、復印店利用便利，將暫存在復印店的客戶信息資料存檔留底。

防范方法:當你需要提交給他人身份證復印件時，要在復印件上寫上簽注，內容應該包括三個方面，一是提供給哪個單位，二是提供的用途是什么，三是要注明他用無效。

虛擬機主要存在以下安全問題：

• 流量的安全監控困難:傳統基于硬件的網絡會通過監測防火墻、路由器等設備的流量進行安全分析，但在虛擬環境中，大量流量僅在內部進行交換，不經過外部的防火墻、路由器等設備，對此部分流量的安全監控比較困難。

• 虛擬機中敏感數據保護難度大:虛擬機的鏡像文件中不應包含一些敏感信息，如系統密碼、密鑰、證書及用戶的隱私信息等，只有在虛擬機啟動時才注入虛擬機中，這些敏感信息的保護和分發難度很大，因為黑客或非授權的內部員工很容易通過在虛擬機鏡像中注入惡意代碼后獲取這些敏感數據。此外，鏡像文件的私鑰分配也存在問題，不同的鏡像是否采用不同的私鑰，這也需要結合具體的應用場景來確定。

• 虛擬化安全策略的動態調整:虛擬機動態地被創建、遷移及喚醒，安全措施、安全參數無法相應地自動創建、自動遷移、自動更新。隨著虛擬機的動態增加，Hypervisor實現的虛擬安全組策略不能自動調整，沒有實現真正的彈性。

• 虛擬機間嗅探:同一物理服務器上的虛擬機之間可以不需要經過防火墻而與交換機設備相互訪問。利用簡單的數據分組探測器，攻擊者可以很輕松地讀取虛擬機網絡上所有的明文傳輸信息。

• 資源耗盡風險:虛擬進程消耗的物理資源不可控，可能導致可用性降低。當其部署在多個虛擬機上時，資源密集型軟件可能會耗盡物理服務器的資源。

• 虛擬機逃逸:服務商很難辨別虛擬機申請者的真實身份。如果Hypervisor存在漏洞，則攻擊者會突破Hypervisor，獲得主機操作系統管理權限，并控制主機上運行的其他虛擬機。攻擊者也可以利用虛擬機攻擊物理機，或對外發起攻擊。

• 虛擬機被濫用:虛擬機資源被用于對外發起攻擊，如DDoS攻擊；虛擬機也容易被用于發送垃圾郵件，或被用于破解各種密碼。

• 虛擬機鏡像文件或自身防護不足:創建虛擬機時的鏡像文件自身已感染病毒或木馬等，以及虛擬機自身的安全防護措施不當或未啟用安全防護，導致虛擬機被黑客入侵。同時整個虛擬網絡的安全性可能會因不安全的鏡像文件的大量復制而降低。

• 虛擬機從離線或休眠狀態被喚醒面臨的脆弱性威脅。如果虛擬機長時間離線或休眠，系統漏洞和補丁可能得不到及時的更新，此時的系統相對于其他時刻而言顯得更加脆弱，易遭受攻擊。

虛擬機攻擊的防御方法如下：

• 構建防護層：在VMware環境中構建了多層防護而非僅僅是一個大掛鎖。每一層防護都從外部訪問開始，然后轉向內部網絡、存儲、虛擬主機、客戶虛擬機并對數據進行防護。基于最小權限原則設置訪問權限可能是最常見的選擇。

• 檢查事件日志：通過自動化工具或者手動檢查事件日志，了解整體運行狀況并在出現異常時尋找蛛絲馬跡。網絡安全設備比如入侵防護系統以及入侵檢測系統確保了網絡安全，你要依賴這些設備識別潛在的入侵行為。確保能夠定期開展行為審計，然后可能會發現之前錯過的問題。

• 使用復雜密碼：密碼策略需要在各個層次設置復雜的密碼，而且通過監控策略并對追蹤到的不符合要求的密碼進行報告，可以強制設置密碼變更頻率。嚴密防護特權帳號比如root，如果有可能，可以禁用或者偽裝這些帳號。

網絡安全策略有以下方面：

• 物理安全策略:制定物理安全策略的目的是保護計算機系統、交換機、路由器、服務器、打印機等硬件實體和通信鏈路免受自然災害、人為破壞和搭線竊聽等攻擊；驗證用戶身份和使用權限，防止用戶越權操作；確保網絡設備有一個良好的電磁兼容環境；建立完備的機房安全管理制度，防止非法人員進入網絡中心進行偷竊和破壞活動等。

• 訪問控制策略:訪問控制的主要任務是保證網絡資源不被非法使用和訪問。它通過減少用戶對資源的訪問來降低資源被攻擊的概率，以達到保護網絡系統安全的目的。訪問控制策略是保證網絡安全最重要的核心策略之一，是維護網絡系統安全、保護網絡資源的重要手段。

• 信息加密策略:信息加密的目的是要保護網絡系統中存儲的數據和在通信鏈路上傳輸的數據安全。網絡加密可以在數據鏈路層、網絡層和應用層實現，用戶可根據不同的需要，選擇適當的加密方式。加密是實現網絡安全的最有效的技術之一。

• 安全管理策略:在網絡安全中，加強網絡的安全管理，制定有關規章制度，對確保網絡的安全、可靠運行，起到十分有效的作用。使用計算機網絡的各企事業單位，應建立相應的網絡安全管理辦法，加強內部管理，提高整體網絡安全意識。網絡安全管理策略包括：確定安全管理等級和安全管理范圍，制定有關網絡操作使用規程和人員出入機房管理制度，制定網絡系統的維護制度和應急措施等。

除了以上所述的安全策略之外，制定嚴格的法律、法規也是保證網絡安全的有效方法。網絡上計算機犯罪已經逐漸成為當今社會的主要犯罪形式之一，因此，必須建立相關的法律、法規，使非法分子懾于法律的威嚴，不敢輕舉妄動。

防火墻目前在網絡環境中的具體應用就是作為內部網絡和外部網絡分隔開來的一種方法，它實際上是一種建立在現代通信網絡技術和信息安全技術基礎上的應用性安全技術，隔離技術。而防火墻技術是通過有機結合各類用于安全管理與篩選的軟件和硬件設備，幫助計算機網絡于其內、外網之間構建一道相對隔絕的保護屏障，以保護用戶資料與信息安全性的一種技術，這個就是防火墻目前在網絡環境中最主要的應用。

防火墻有以下作用：

• 保護脆弱的服務

  通過過濾不安全的服務，Firewall可以極大地提高網絡安全和減少子網中主機的風險。例如，Firewall可以禁止NIS、NFS服務通過，Firewall同時可以拒絕源路由和ICMP重定向封包。

• 控制對系統的訪問

  Firewall可以提供對系統的訪問控制。如允許從外部訪問某些主機，同時禁止訪問另外的主機。例如，Firewall允許外部訪問特定的Mail Server和Web Server。

• 集中的安全管理

  Firewall對企業內部網實現集中的安全管理，在Firewall定義的安全規則可以運行于整個內部網絡系統，而無須在內部網每臺機器上分別設立安全策略。Firewall可以定義不同的認證方法，而不需要在每臺機器上分別安裝特定的認證軟件。外部用戶也只需要經過一次認證即可訪問內部網。

• 增強的保密性

  使用Firewall可以阻止攻擊者獲取攻擊網絡系統的有用信息，如Figer和DNS。

• 記錄和統計網絡利用數據以及非法使用數據

  Firewall可以記錄和統計通過Firewall的網絡通訊，提供關于網絡使用的統計數據，并且，Firewall可以提供統計數據，來判斷可能的攻擊和探測。

• 策略執行

  Firewall提供了制定和執行網絡安全策略的手段。未設置Firewall時，網絡安全取決于每臺主機的用戶。

訪問控制是網絡安全防范和保護的主要策略，它的主要任務是保證網絡資源不被非法使用和訪問。訪問控制涉及的技術手段包括：

入網訪問控制

入網訪問控制為網絡訪問提供了第一層訪問控制。它控制那些能夠登錄到服務器并獲取網絡資源的用戶，控制準許用戶入網的時間和準許他們在哪臺工作站入網。用戶的入網訪問控制可分為三個步驟：用戶名的識別與驗證、用戶口令的識別與驗證、用戶賬號的缺省限制檢查。三道關卡中只要任何一關未過，該用戶便不能進入該網絡。對網絡用戶的用戶名和口令進行驗證是防止非法訪問的第一道防線。用戶還可采用一次性用戶口令，也可用便攜式驗證器（如智能卡）來驗證用戶的身份。網絡管理員可以控制和限制普通用戶的賬號使用、訪問網絡的時間和方式。用戶賬號應只有系統管理員才能建立。用戶口令應是每用戶訪問網絡所必須提交的“證件”，用戶可以修改自己的口令，但系統管理員應該可以控制口令的以下幾個方面的限制：最小口令長度、強制修改口令的時間間隔、口令的惟一性、口令過期失效后允許入網的寬限次數。用戶名和口令驗證有效之后，再進一步履行用戶賬號的缺省限制檢查。網絡應能控制用戶登錄入網的站點、限制用戶入網的時間、限制用戶入網的工作站數量。網絡應對所有用戶的訪問進行審計。如果多次輸入口令不正確，則認為是非法用戶的入侵，應給出報警信息。

權限控制

網絡的權限控制是針對網絡非法操作所提出的一種安全保護措施。用戶和用戶組被賦予一定的權限。網絡控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源。可以指定用戶對這些文件、目錄、設備能夠執行哪些操作。受托者指派和繼承權限屏蔽（IRM）可作為兩種實現方式。受托者指派控制用戶和用戶組如何使用網絡服務器的目錄、文件和設備。繼承權限屏蔽相當于一個過濾器，可以限制子目錄從父目錄那里繼承哪些權限。我們可以根據訪問權限將用戶分為以下幾類：特殊用戶（即系統管理員）；一般用戶，系統管理員根據他們的實際需要為他們分配操作權限；審計用戶，負責網絡的安全控制與資源使用情況的審計。用戶對網絡資源的訪問權限可以用訪問控制表來描述。

目錄級安全控制

網絡應允許控制用戶對目錄、文件、設備的訪問。用戶在目錄一級指定的權限對所有文件和子目錄有效，用戶還可進一步指定對目錄下的子目錄和文件的權限。對目錄和文件的訪問權限一般有八種：系統管理員權限、讀權限、寫權限、創建權限、刪除權限、修改權限、文件查找權限、訪問控制權限。用戶對文件或目標的有效權限取決于以下兩個因素：用戶的受托者（獲準訪問文件、目錄或對象的用戶成為受托者，即Trustee）指派、用戶所在組的受托者指派，以及繼承權限屏蔽取消的用戶權限。一個網絡管理員應當為用戶指定適當的訪問權限，這些訪問權限控制著用戶對服務器的訪問。八種訪問權限的有效組合可以讓用戶有效地完成工作，同時又能有效地控制用戶對服務器資源的訪問，從而加強了網絡和服務器的安全性。

屬性安全控制

當使用文件、目錄和網絡設備時，網絡系統管理員應給文件、目錄等指定訪問屬性。屬性安全在權限安全的基礎上提供更進一步的安全性。網絡上的資源都應預先標出一組安全屬性。用戶對網絡資源的訪問權限對應一張訪問控制表，用以表明用戶對網絡資源的訪問能力。屬性設置可以覆蓋已經指定的任何受托者指派和有效權限。屬性往往能控制以下幾個方面的權限：向某個文件寫數據、拷貝一個文件、刪除目錄或文件、查看目錄和文件、執行文件、隱含文件、共享、系統屬性等。

服務器安全控制

網絡允許在服務器控制臺上執行一系列操作。用戶使用控制臺可以裝載和卸載模塊，可以安裝和刪除軟件。網絡服務器的安全控制包括可以設置口令鎖定服務器控制臺，以防止非法用戶修改、刪除重要信息或破壞數據；可以設定服務器登錄時間限制、非法訪問者檢測和關閉的時間間隔。

網絡安全通用的測評類型分為以下幾個：

• 系統級漏洞測評：主要檢測計算機系統的漏洞、系統安全隱患和基本安全策略及狀況等。

• 網絡級風險測評：主要測評相關的所有計算機網絡及信息基礎設施的風險范圍方面的情況。

• 機構的風險測評：對整個機構進行整體風險分析，分析對其信息資產的具體威脅和隱患，分析處理信息漏洞和隱患，對實體系統及運行環境的各種信息進行檢驗。

• 實際入侵測試：檢驗具有成熟系統安全程序的機構，檢驗該機構對具體模式的網絡入侵的實際反映能力。

• 審計：深入實際檢查具體的安全策略和記錄情況，以及該組織具體執行的情況。

保密防火墻設置應遵循以下這原則：

• 策略配置必須按照要求配置不要依賴ISA；

• 仔細檢查每一條策略看規則是否符合需求；

• 拒絕規則要放在允許規則前；

• 優先使用顯式拒絕；

• 匹配度高的規則要放在最前方，但不能影響防火墻策略執行；

• 針對用戶的策略要放在普通策略前，但不能影響防火墻策略執行；

• 在需求不變的前提下盡量簡化規則；

• 如果配置策略可以實現就不要在建立自定義規則；

• ISA的訪問規則是獨立的不會被其他規則影響；

• 永遠不要讓任何網絡包括內網訪問ISA本機所有協議；

• 盡量配置客戶為web代理客戶或者防火墻客戶；

• 最好使用IP地址來作為規則中的目的地址或者源地址；

• 防火墻策略在正式使用是要進行測試。

域名被盜的原因有很多歸納為以下幾點：

• 黑客通過某些手段獲取到郵箱密碼和域名注冊商的密碼，在域名商后臺直接申請域名轉出，將密碼轉移走。

• 域名商網站被黑或者域名商網站因為漏洞而導致數據泄露引起的域名丟失。

• 域名注冊商存在漏洞，會員賬號密碼隨意被修改，域名任意劫持，危害等級高。

• 偽造域名所有人資料，然后直接聯系域名商更換所有人并轉走域名。

數字簽名本質上是：

• 所謂數字簽名就是附加在數據單元上的一些數據，或是對數據單元所做的密碼變換。這種數據或變換允許數據單元的接收者用以確認數據單元的來源和數據單元的完整性并保護數據，防止被人（例如接收者）進行偽造。

• 它是對電子形式的消息進行簽名的一種方法，一個簽名消息能在一個通信網絡中傳輸。基于公鑰密碼體制和私鑰密碼體制都可以獲得數字簽名，目前主要是基于公鑰密碼體制的數字簽名。包括普通數字簽名和特殊數字簽名。普通數字簽名算法有RSA、ElGamal、Fiat-Shamir、Guillou-Quisquarter、Schnorr、Ong-Schnorr-Shamir數字簽名算法、DES/DSA，橢圓曲線數字簽名算法和有限自動機數字簽名算法等。特殊數字簽名有盲簽名、代理簽名、群簽名、不可否認簽名、公平盲簽名、門限簽名、具有消息恢復功能的簽名等，它與具體應用環境密切相關。顯然，數字簽名的應用涉及到法律問題，美國聯邦政府基于有限域上的離散對數問題制定了自己的數字簽名標準（DSS），其他一些國家如法國和德國已經制定了數字簽名法。

• 在工作流的處理數字簽名過程中，不僅僅有個人單獨簽名的需要，有時也需要多個用戶對同一消息進行簽名認證。能夠實現多個用戶對同一消息進行簽名的數字簽名稱為多重數字簽名。多重數字簽名與現實生活中多人手寫簽名最大的不同之處在于，手寫簽名的長度與簽名人數成正比，而多重數字簽名長度與單個簽名長度一致。對多重數字簽名進行驗證時，也只需驗證這個最終形成的多重數字簽名即可。

• 根據簽名過程的不同，多重數字簽名方案可分為兩類：一類為有序多重數字簽名方案，另一類為廣播多重數字簽名方案。無論是有序多重簽名方案，還是廣播多重簽名方案，都包含消息發送者、消息簽名者和簽名驗證者。在廣播簽名方案中還包含簽名收集者。

• 整合力量，創建高素質審計隊伍。

一是多渠道多層次引進審計人才。除公開招錄年輕審計人員外，可根據崗位需要從其他部門單位引進有所需專業基礎的人才，還可通聘請專業技術人才、法律顧問等人員參與特定審計項目，進一步充實審計人才隊伍。二是優化資源統籌人員配置。根據每名審計人員的專業優勢，科學進行跨專業、跨領域、跨層級的資源優化配置，實現審計人員專業能力的優勢互補，促進形成審計監督合力。三是加強培訓提高人員素質。根據審計項目需求，針對性開展審計業務培訓，不斷創新培訓方式和學習機制，通過舉辦各類理論學習班、輪訓班、審計案例和經驗交流會，開展外單位先進經驗調研活動等，進一步提高審計干部的政治素質和業務素質。

• 強化風險防控意識，打造“質量至上”審計文化。

通過審前培訓、現場管理、效能督察等方式進一步加強審計人員風險防控意識，嚴格落實審計執法要求，要求審計人員在審計實施過程中，要依法、全面、如實、客觀地反映審計工作情況和結果。筑牢“兩復核”風險防線，做好基礎復核工作，加強對審計工作底稿和審計證據的審核復核，把不完善、不規范、不準確的問題解決在審計項目現場結束之前。進一步優化強化審計質量檢查工作機制，促進審計業務質量檢查規范化、常態化開展，結合優秀審計項目評選、審計技能大比武等活動，對審計業務工作進行質量檢查與綜合考評，起到鼓勵先進，鞭策后進的作用，促進在全市系統內形成“質量至上”的審計文化。

• 加大力度，推進審計信息化建設。

整合優化現有審計信息系統，由上至下開發建設功能完善、性能高效的審計數據綜合分析平臺。建立數據收集、共享機制，加強與本級各單位部門之間、上下級審計機關之間的審計業務數據收集、整合、共享，進一步推進大數據審計運用。積極利用現有計算機人才優勢，提高運用大數據核查問題、評價判斷、宏觀分析的能力，為現場審計提供有力支撐。同時，要切實增強安全意識，嚴格落實網絡安全工作責任制，嚴格執行審計業務電子數據管理規定，嚴格數據采集、管理和應用程序，強化訪問權限管理，確保網絡和數據安全。

• 充分與被審計對象溝通，審慎作出審計結論。

除涉及重大違法違紀等保密事項外，對每個審計事項的事實情況應根據實際需要及時與被審計單位的財務、經辦、領導等各層級人員充分溝通，以此有效提升審計證據的完整性與問題定性的準確性。并在審計現場工作結束前，通過召開會議與被審計單位充分交換意見，對存在分歧的事項進一步研究核實有關情況，從源頭上降低行政復議與裁決的風險。同時，要做好“三個區分”重要要求的貫徹落實，堅持以審計認定事實為基礎、以審計證據為支撐，全面、客觀、辯證、歷史地看待審計發現的問題，堅持審計什么、反映什么、評價什么，客觀公正、實事求是地作出審計評價與結論。

• 強化審理機制建設，提高審理工作質效。

一是加強審理隊伍建設。進一步規范審理機構設置，對審理人員從業素質、人員數量、工作內容、承擔責任等方面明確完善，從制度上保障審理人員有足夠的人力資源投入以及工作的獨立性。加強對審理人員財政、金融、工程等法律法規方面的專項培訓力度與上下級審計機關的審理經驗交流指導，及時更新知識儲備，不斷提高勝任審理工作的能力。二是創新審理工作方式方法。對于專業領域的事項可以“開門搞審計”，建立咨詢專家庫，根據需要邀請專業領域行業專家及兼職法律顧問參與審理工作，負責提供審理意見咨詢，以便在開展專業審計項目如重大政策跟蹤審計、自然資源資產審計等項目的審理時提供專業意見。針對審理任務過于集中的情況，通過從業務處室抽調人員等方式探索建立兼職審理人員隊伍，有效緩解審理任務不均衡的壓力。三是壓實審計質量管理層級責任。完善落實《審計執法過錯責任追究制度》，促進各質量控制環節壓實質量管理責任，按各自分工對相應的審計內容、重點、程序等進行深入細致的把關。對因責任落實不到位造成的嚴重質量問題做到有責必究、追責必嚴，以增強各質量控制責任主體責任意識，避免審計質量把關逐級后移。

為降低內網域名系統的安全保密風險，可以采取如下幾種防護措施：

• 合理的網絡結構設計，在DNS服務器前部署防火墻、IPS等防護設備，對網絡流量進行過濾、清洗；主DNS服務器和輔DNS服務器位于不同的網段，部署在不同防火墻后，條件允許的，放置在不同的樓宇；對網絡合理進行分段，在網絡中部署設備接入控制系統。

• 部署DNS安全拓展協議（Domain Name System Security Extensions，DNSSEC），DNSSEC采用數字簽名的方式解決了域名解析記錄傳輸中的安全問題，可以有效防范緩存投毒和DNS ID欺騙等攻擊。

• 加強防火墻的配置，僅開放必要服務和端口，如DNS服務、TCP和UDP的53號端口（未修改DNS服務端口號的情況下）。

• DNS服務器應配置高性能的硬件，確保不被DDoS攻擊輕易攻癱；操作系統僅開放必要服務和端口，啟用偽根目錄，并部署入侵檢測、防病毒軟件等防護系統；嚴格限制對DNS日志、區域傳輸文件的訪問權限。

• 完善DNS軟件的配置，包括及時更新版本、限制域名解析的源IP地址、隱藏DNS軟件版本等。

• 域名到期未及時續費

  域名都有生命周期，如果域名到期未能及時續費，域名解析就會被停止，在規定的期限未能及時贖回，還會面臨域名被刪除、被搶注的風險，后期不但需要花費幾倍的成本購買，期間因為域名掉線造成的業務損失更是難以估量，甚至還要面臨域名爭議影響品牌形象。

• NS記錄篡改和域名劫持

  NS篡改是指攻擊者將域名的權威解析篡改為可控的DNS，從而獲取域名解析權，將網站指向自己的IP。終端客戶打開的網站可能被植入了廣告，也可能是釣魚網站，從而導致隱私數據泄露。域名劫持手段比較隱蔽，往往在收到客戶反饋后才能發現，此時已經對客戶的信息安全、企業形象和業務收入造成了很大影響。

• ** Local DNS緩存窺探和緩存投毒**

  DNS 緩存窺探是指通過查詢DNS 服務器是否緩存了特定DNS記錄，來推斷DNS服務器的所有者(或其用戶)最近所訪問的特定站點。在獲得相關信息后，攻擊者通過向DNS服務器注入非法域名及網絡地址實現緩存投毒攻擊。

• 分布式拒絕服務攻擊

  分布式拒絕服務攻擊(DDoS)是指多個攻擊者同時向一個或數個目標發動攻擊，或者一個攻擊者控制多臺機器并利用這些機器對受害者同時實施攻擊，從而制造高流量無用數據，造成網絡堵塞，遲滯DNS解析過程，從而導致權威解析服務器的響應失敗。