工業物聯網中IAM的區別性特征有以下這些：

• 工業物聯網端點的多樣性：IIoT部署包括需要唯一標識和驗證的各種端點，包括占用資源少、通常被部署在遠端以及通常是電池供電的現場設備，如連接的傳感器、油泵以及執行器。這些設備與物理環境交互，易受物理環境訪問和篡改的影響。在這些端點中，處于較高端的是服務器和網關，它們具有高內存和較強的處理能力，通常位于保證物理安全的數據中心設施中。

• 關于資源受限和棕地的考慮：處于低端的工業微控制器和物聯網傳感器會受到內存和其他資源的限制。為了確定用于管理設備標識的加密框架，我們必須考慮端點的內存和計算能力。非對稱加密算法通常會消耗大量計算能力、內存和電力資源，而某些基于對稱加密的技術能夠以更低的計算和功耗成本提供相互的身份認證。

• 物理安全性和可靠性：網絡物理系統的完整性會對系統可靠性以及環境和人類安全產生直接影響。與IT基礎設施不同，惡意端點可能在OT設置中產生災難性的影響。有些數據也可能導致嚴重后果，例如，來自欺騙性傳感器的數據，或者來自欺騙性的或受控的PLC的控制命令。

• 自治和可擴展性：在企業IT網絡中，端點（筆記本電腦、移動設備等）可以通過與員工關聯的公司憑據（如用戶名和密碼、令牌或者生物識別）來識別。在自治的M2M世界中，設備端點必須通過不需要人工交互的方式進行身份識別，這些標識符包括射頻識別（RFID）、對稱密鑰、X.509證書或者燒錄在基于硬件信任根保險絲中的公鑰。

• 缺少事件記錄：傳統工業設備通常不生成用于報告的日志式數據，在ICS和SCADA系統中，通常并不維護事件事務歷史數據。歷史記錄數據包括處理歷史記錄，但它更多的是跟蹤控制器命令輸出（如閥門打開/關閉），這不是設備可見性所需的事件日志式的歷史記錄。與賬戶相關的事件監控是IAM不可或缺的一部分，任何惡意或錯誤的活動或者功能異常都需要被及時標記。該領域需要進一步創新和強化。

• 基于風險的訪問控制策略：實現身份識別和訪問控制可能代價高昂，這就是“通過評估和優先考慮威脅來使IAM戰略與風險水平保持一致”十分重要的原因。工業事故中的威脅對象有更大的動機和更多的資金，因此小型智能風電場的身份違規風險可能遠低于智能城市能源網。IIoT部署架構通常要確定邊緣地和云的邊界。在使用公共數據中心和云提供商（如AWS和Microsoft Azure）的情況下，云提供商可能已經擁有共享安全模型，并且其中也考慮了部分管理身份識別和訪問控制。

IPSec在網絡安全中有以下作用：

• 訪問控制：如果沒有正確的密碼就不能訪問一個服務或系統。通過調用安全協議來控制密鑰的安全交換，用戶身份認證也用于訪問控制。

• 無連接的完整性：使用IPSec，可以在不參照其他數據包的情況下，對任一單獨的IP包進行完整性校驗。此時每個數據包都是獨立的，能夠通過自身來確認，此功能通過使用安全散列技術來完成。

• 數據源身份認證：通過數字簽名的方法對IP包內的數據來源進行標識。

• 抗重發攻擊：重發攻擊是指攻擊者發送一個目的主機已接收過的包，通過占用接收系統的資源，使系統的可用性受到損害。作為無連接協議，IP很容易受到重發攻擊的威脅。為此，IPSec提供了包計數器機制，以便抵御抗重發攻擊。

• 保密性：確保數據只能為預期的接收者使用或讀出，而不能為其他任何實體使用或讀出。保密機制是通過使用加密算法來實現的。

A類：對計算機機房的安全有嚴格的要求，有完善的計算機機房安全措施。該類機房放置需要最高安全性和可靠性的系統和設備。

B類：對計算機機房的安全有較嚴格的要求，有較完善的計算機機房安全措施。它的安全性介于A類和C類之間。

C類：對計算機機房的安全有基本的要求，有基本的計算機機房安全措施。該類機房存放只需要最低限度的安全性和可靠性的一般性系統。

為確保信息的傳輸安全必須防止下列網絡現象發生：

• 冒充：這是一種以假冒身份訪問網絡的現象。冒充者假裝成消息發送者直接向對方發送消息，用以欺騙對方進而獲取相應的服務和資源。冒充常伴隨著重演和篡改現象發生，從而使數據失去真實性。

• 重演：這是一種以獲取合法信息為主的攻擊行為。它首先將截獲到的信息復制到指定的存儲介質上，然后再將所截獲的信息原封不動地重新發給對方，用以欺騙對方進而達到非法訪問資源的目的。例如，截獲存款單，然后反復發送存款單，待時機成熟，冒領存款。

• 篡改：這是一種以增加、刪除或修改數據信息為主的攻擊行為。它首先截獲別人的數據信息，接著將其篡改，然后再轉發給對方，使對方得到虛假信息。這種篡改直接導致合法數據的完整性喪失。

• 截獲：這是一種以分析信息內容和業務流量為主的攻擊行為。它只對截獲到的信息做復制處理而不做任何改動就直接將其轉發出去，其目的是為了分析出信息內容或進行業務流量分析。這種現象是很難被發現的，它將使數據失去保密性。

• 中斷：這是一種以拒絕服務為主的攻擊行為。它通過各種手段（如破壞網絡硬件設施、發送大量的垃圾請求）讓網絡失去可用性，使合法信息不能抵達目的地。

• 抵賴：這是一種否認自己的發送或接收行為的現象。當信息發送者將信息發送出去后，并不承認是自己發送的信息。或信息接收者接收到信息后，也不承認自己收到了信息。不論是發送者還是接收者，當出現抵賴現象時，都會導致嚴重的爭執，造成責任混亂。

ISSAF的主要特性與優勢如下：

• ISSAF 主要測試當前安全控制措施中的嚴重漏洞，所以它在保障系統安全方面的意義重大。

• 它關注信息安全范疇內的各個關鍵領域，涵蓋了風險評估、業務結構和管理、控制評估、服務管理、安全策略的開發和常規的最佳實踐。

• ISSAF 滲透測試方法論評估網絡、系統或應用程序的安全性。應用該框架可以無阻礙地把精力重點放在特定技術上，如路由器、交換機、防火墻、入侵檢測和防御系統、存儲區域網絡、虛擬專用網絡、各種操作系統、Web 應用服務器、數據庫等。

• 通過必要的控制和處理，它可以統一技術層和管理層這兩方面人員對安全測試的理解。

• 它可幫助管理人員理解當前邊界防御體系的現有風險，并可指出可能影響業務完整性的安全弱點，從而幫助人們主動地減少風險。

計算機中郵件病毒后有以下癥狀：

• CPU使用率始終保持在95％以上：當CPU使用率始終保持在95％以上時，用戶就要考慮系統中是否存在計算機病毒了，這可能是因為某些計算機病毒會不斷地占用CPU使用率和系統內存，直至計算機死機。如果計算機處于死機狀態，而主機箱上的硬盤指示燈仍然長時間地閃動，則有可能是潛在系統中的計算機病毒已被激活。

• 殺毒軟件被屏蔽：殺毒軟件往往都具有針對性，也就是說，殺毒軟件只能查殺自身病毒庫內已經保存的病毒，無法查殺不在該庫中的病毒。因此，很多病毒通過層層偽裝來躲避殺毒軟件的檢測和查殺，一旦成功運行，殺毒軟件將會被屏蔽，即殺毒軟件無法正常掃描和查殺病毒。一旦出現這種情況，就只能重裝系統或使用在線查殺病毒功能了。

• 系統中的文件圖標變成統一圖標：某些病毒會導致磁盤中所保存文件的圖標都變成統一的圖標，并且無法使用或打開。例如多年前盛行的“熊貓燒香”就是這樣一種病毒，當系統中的“熊貓燒香”病毒成功運行后，磁盤分區中的所有文件都會顯示為熊貓燒香的圖標。

• IE瀏覽器窗口連續打開：當某些病毒被激活后，一旦用戶啟動IE瀏覽器，程序就會自動打開無限多個窗口，既占用了系統資源，又影響用戶的正常工作。即使用戶手動關閉窗口，但是程序還會彈出窗口。遇到這種情況時，則需要使用殺毒軟件進行掃描并查殺。

• 系統時間被篡改：有些病毒會自動修改系統顯示的時間，一旦該類病毒運行，則用戶每次啟動計算機后系統都會顯示指定時間，即使將其修改為準確時間，但是重新啟動計算機后系統還是會顯示指定時間。

• 計算機運行速度變慢：在硬件設備沒有損壞或更換的情況下，本來運行速度很快的計算機，運行同樣的應用程序，速度明顯變慢，而且重啟后依然很慢。這可能就是計算機病毒占用了大量的系統資源，并且自身的運行占用了大量的處理器時間，造成了系統資源不足，運行變慢。

• 以前能正常運行的軟件經常發生內存不足的錯誤：某個以前能正常運行的程序，程序激活時或使用應用程序中的某個功能時卻報告內存不足。這很可能是由于計算機病毒駐留后占用了系統中大量的內存空間造成的。

• 操作系統無法正常激活：關機后重新啟動，操作系統報告缺少必要的激活文件，或者激活文件受損，系統無法激活。這可能是計算機病毒感染系統文件后，文件結構發生了變化，無法使操作系統加載和引導。

開展密評，是為了解決商用密碼應用中存在的突出問題，為網絡和信息系統的安全提供科學評價方法，逐步規范商用密碼的使用和管理。從根本上改變商用密碼應用不廣泛、不規范、不安全的現狀，確保商用密碼在網絡和信息系統中有效使用，切實構建起堅實可靠的網絡安全密碼屏障。

1. 《密碼法》第二十七條 法律、行政法規和國家有關規定要求使用商用密碼進行保護的關鍵信息基礎設施，其運營者應當使用商用密碼進行保護，自行或者委托商用密碼檢測機構開展商用密碼應用安全性評估。

2. 第二十一條 重要領域網絡和信息系統包括：基礎信息網絡、涉及國計民生和基礎信息資源的重要信息系統、重要工業控制系統、面向社會服務的政務信息系統，以及關鍵信息基礎設施、網絡安全等級保護第三級及以上信息系統。

3. 第三條規定范圍之外的其他網絡和信息系統，其責任單位可以參考本辦法自愿開展商用密碼應用安全性評估。

4. 《商用密碼應用安全性評估管理辦法(試行)》第三條 涉及國家安全和社會公共利益的重要領域網絡和信息系統的建設、使用、管理單位（以下簡稱責任單位）應當健全密碼保障體系，實施商用密碼應用安全性評估。

LDAP注入的主要原因是數據從不可靠來源(包括但不局限于不可靠用戶的輸入信息或是不可靠用戶可能更改的文件)進入應用程序，并且該數據未經過濾或不正確地過濾特殊字符后，直接使用進行LDAP查詢這樣就會導致LDAP注入。攻擊者可能輸入更改LDAP查詢的惡意數據，從而允許執行非預期的命令或代碼，允許讀取或修改敏感數據，或導致其他非預期行為。

sql 注入防范措施有以下這些：

• 把應用服務器的數據庫權限降至最低，盡可能地減少 SQL 注入攻擊帶來的危害。

• 避免網站打印出SQL錯誤信息，比如類型錯誤、字段不匹配等，把代碼里的SQL語句暴露出來，以防止攻擊者利用這些錯誤信息進行SQL注入。

• 對進入數據庫的特殊字符（’’尖括號&*;等）進行轉義處理，或編碼轉換。

• 所有的查詢語句建議使用數據庫提供的參數化查詢接口，參數化的語句使用參數而不是將用戶輸入變量嵌入到SQL語句中，即不要直接拼接SQL語句。

• 在測試階段，建議使用專門的 SQL 注入檢測工具進行檢測。網上有很多這方面的開源工具，例如sqlmap、SQLninja等。

• 善用數據庫操作庫，有些庫包可能已經做好了相關的防護，我們只需閱讀其文檔，看是否支持相應的功能即可。

• 檢測父進程與子進程的進程鏈(父子進程鏈)

對于父子進程，在程序運行時首先進入的是父進程，其次是子進程。例如，有兩個可疑的Lsass.exe進程， 但是這兩個進程的父進程并不是winlogo- exe(在Vista系統前的系統)或winitit exe(在Vista系統以及后的系統)。

• 比較PEB結構和VAD結構

PEB結構一般位于該進程的內存中，這結構中保存著進程的磁盤絕對路徑，以及內存加載的基質。

VAD結構則是位于內核中的內存中，包含著進程連續虛擬內存空間的分配信息，如果進程加載了可執行文件，則節點中會記錄有關可執行文件的起始地址、結束地址以及完整的路徑信息。

• 檢測可疑的內存保護屬性

一般的惡意軟件都會將要Process Hollwing的程序的內存保護屬性設為可讀寫執行。任何可執行文件正常加載到內存后都會擁有PAG EXECUTE WRITECOPY的內存保護屬性。

漏洞掃描器根據目標系統的的操作系統平臺和提供的網絡服務，調用漏洞資料庫中已知的各種漏洞進行逐一檢測， 通過對探測響應數據包的分析判斷是否存在已知安全漏洞。目標可以是工作站、服務器、交換機、數據庫應用等各種對象。掃描結果可以給用戶提供周密可靠的安全性分析報告，是提高網絡安全整體水平的重要依據。

一個完整的漏洞掃描器通常由以下幾部分組成。

• 漏洞數據庫：漏洞數據庫包括漏洞的具體信息、漏洞掃描評估腳本、安全漏洞危害評分等信息，該漏洞數據庫會在新的漏洞被公布后及時更新。漏洞數據庫一般需要與CVE保持兼容。

• 掃描引擎模塊：掃描引擎模塊是漏洞掃描器的核心部件。一般的掃描器同時提供了主機掃描、端口掃描、操作系統掃描和網絡服務探測等功能。

• 用戶控制臺：通過控制臺，用戶可以定義被掃描對象并設置相關參數。對被掃描對象發送掃描用探測數據包，并從接收到的被掃描對象返回的應答數據包中提取漏洞信息，然后與漏洞數據庫中的漏洞特征進行比對，以判斷目標對象是否存在漏洞。

• 掃描進程控制模塊：掃描進程控制模塊用于監控掃描進程的任務進展情況，并將當前掃描的進度和結果信息通過用戶控制臺展示給用戶。

• 結果存儲與報告生成模塊：結果存儲與報告生成模塊利用漏洞掃描得到的結果自動生成掃描報告，并告知用戶在哪些目標系統上發現了哪些安全漏洞。

漏洞掃描器一般基于已經公布的系統漏洞信息庫（如CVE），采用模擬攻擊的形式對網絡上目標主機可能存在的已知安全漏洞進行逐項檢查，掃描結果以分析報告形式提供。

• 1Password

  一款來自加拿大的跨平臺密碼管理器，業界標桿，使用AES256位加密，安全性高。

  不管是網站賬戶還是銀行帳戶，1Password都能將它們納入保護范圍，還能夠在注冊新賬戶時創建密碼和更新舊帳戶密碼。

  1Password支持全平臺和移動端，不過它作為一款收費軟件，只有30天的免費使用時間。

• LastPass

  LastPass應該是Chrome應用商店里用戶數最多，綜合評價最好的全平臺密碼管理器。

  使用AES256與PBKDF2加密技術，將數據保存至本地，讓木馬盜取、暴力破解變得毫無可能。甚至連LastPass內部也無法獲取你的帳號密碼信息，你的數據只對你開放。

• bitwarden

  LastPass的最佳開源替代品，功能與以上兩款插件相差無幾，如果你是開源控，請選擇bitwarden。

  數據同樣采用AES256以及PBKDF2加密，同樣支持多個平臺和設備使用，雖然樸素了點，但重在免費安全。

• Enpass

  Enpass的PC版完全免費，iOS、Android等移動版只要20條賬戶以內可以免費使用，高級版是一次買斷。

  同樣是全平臺同步，跨平臺還可以選擇 Dropbox，GoogleDrive，OneDrive。

開展信息系統安全等級保護的環節有：

• 定級

  信息系統運營使用單位按照等級保護管理辦法和定級指南，自主確定信息系統的安全保護等級。有上級主管部門的，應當經上級主管部門審批。跨省或全國統一聯網運行的信息系統可以由其主管部門統一確定安全保護等級。雖然說的是自主定級，但是也得根據系統實際情況去定級，有行業指導文件的根據指導文件來，沒有文件的根據定級指南來，總之一句話合理定級，該是幾級就是幾級，不要定的高也不要定的低。

• 備案

  第二級以上信息系統定級單位到所在地所在地設區的市級以上公安機關辦理備案手續。省級單位到省公安廳網安總隊備案，各地市單位一般直接到市級網安支隊備案，也有部分地市區縣單位的定級備案資料是先交到區縣公安網監大隊的，具體根據各地市要求來。備案的時候帶上定級資料去網安部門，一般兩份紙質文檔，一份電子檔，紙質的首頁加蓋單位公章。

• 建設整改

  信息系統安全保護等級確定后，運營使用單位按照管理規范和技術標準，選擇管理辦法要求的信息安全產品，建設符合等級要求的信息安全設施，建立安全組織，制定并落實安全管理制度。

• 等級測評

  信息系統建設完成后，運營使用單位選擇符合管理辦法要求的檢測機構，對信息系統安全等級狀況開展等級測評。測評完成之后根據發現的安全問題及時進行整改，特別是高危風險。測評的結論分為：不符合、基本符合、符合。當然符合基本是不可能的，那是理想狀態。

• 監督檢查

  公安機關依據信息安全等級保護管理規范及《網絡安全法》相關條款，監督檢查運營使用單位開展等級保護工作，定期對信息系統進行安全檢查。運營使用單位應當接受公安機關的安全監督、檢查、指導，如實向公安機關提供有關材料。保護測評，由測評機構出具等級測評報告。最后，根據等級測評報告對系統進行整改加固，并根據系統保護等級定期開展等級保護測評工作。

低代碼與無代碼開發的四個安全隱患是：

• 缺乏可見性

  低代碼和無代碼開發的最大挑戰之一是，企業可能很難掌握他們的員工在構建什么。使用外部開發的平臺總是會有可視性問題。企業只是在使用軟件，但不知道源代碼是怎樣的、相關的安全隱患或者平臺已經完成的測試情況和出現的問題。Juniper Networks的研究主管穆尼爾·哈爾德(Mounir Hahad)表示，部分原因與影子it的整個問題有關。“我們聽到的大多數影子IT都與影子開發有關，”他說。“通常，當員工在公司IT部門建立公共云基礎架構(無論是存儲還是計算)時，通常會伴隨一些允許在云中處理數據的應用程序。”內部低代碼平臺會給企業帶來同樣的可見性問題。

  這個問題可以通過向供應商索要一份SBOM（軟件物料清單）來緩解。SBOM能夠提供關于其所有的軟件組件信息以及其相關漏洞。SBOM的使用數量正在上升，最近Linux Foundation的研究顯示，78%的組織計劃在2022年使用SBOM。這表示，SBOM的使用正在逐漸成熟，行業對操作、流程和工具還有很大的優化空間。

• 不安全的代碼

  和可視性相對應的是代碼的安全性問題。低代碼和無代碼平臺依然會有代碼存在：只不過這些是抽象的代碼，讓終端用戶可以直接使用預設的代碼功能。這對非開發者來說無疑是一個福音，因為他們不必再自己寫代碼了。但是問題就在，使用的代碼可能是不安全的，并且可能會通過低代碼和無代碼平臺跨組織、跨應用進行傳播。

  解決方式之一是和平臺供應商合作，要求平臺中使用代碼的安全掃描結果。SAST和DAST的掃描結果能夠給客戶一定的保證，確保他們不是在復制那些不安全的代碼。在組織控制之外創建的代碼不是什么新鮮事，在開源軟件大量使用的時代十分常見。有近98%的組織使用開源代碼，同時還伴隨著如基礎設施即代碼（infrastructure-as-code, IaC）模板等其他供應鏈相關威脅。

  另一個需要考慮的方面，在于許多低代碼和無代碼平臺通常都是SaaS化提供。這就需要向供應商要求像ISO、SOC2、FedRAMP等其他行業證明。這些能夠給組織的運營和安全控制提供更進一步的保障。SaaS應用本身也會呈現出許多安全風險，需要適當的治理和安全控制。如果對使用的SaaS應用和平臺不進行管制，組織就可能會暴露在風險之下。如果低代碼和無代碼平臺開發的應用會暴露組織或者客戶的敏感數據，就會加劇這種風險。

• 業務中斷

  從業務連續性角度看，依賴低代碼和無代碼平臺的服務可能在平臺發生中斷時，打斷自身的業務。組織需要和包括低代碼和無代碼平臺的供應商，為業務關鍵應用建立SLA。在許多情況下，企業可能看不到低代碼或無代碼平臺供應商提供的代碼和安全控制。為了了解這些供應商的安全性，公司需要依靠他們已經擁有的工具——第三方安全審計、安全和合規性認證、服務水平協議和網絡安全保險。一些低代碼供應商正試圖讓事情變得更加透明。

  轉移到沒有這種透明度的低代碼和無代碼開發平臺會從安全團隊那里拿走一些控制權。這并不一定意味著安全性會受到影響。如果用戶想要一個應用程序，最好使用標準平臺來構建它，而不是自己開發代碼。如果在他們的組件中發現了漏洞，平臺供應商將推出一個補丁，它將更新所有使用這些組件的應用程序。

• 無法監管的影子IT

  由于低代碼和無代碼平臺允許沒有開發背景的人快速創建應用，這就會導致影子IT泛濫。影子IT在業務部門和人員創建的應用同時暴露在內部和外部的時候發生。這些應用可能有組織、客戶或者監管的敏感數據，從而一旦發生泄漏事件，就會對組織形成一系列的負面影響。

安全邊緣計算中從以下四方面判斷節點的處理能力：

• 延時：云中心具有強大的處理能力，但是網絡延時并不單單是處理能力決定的，也包括數據在網絡中傳輸的時間。以智慧城市為例，如果要發尋人信息，在本地的手機上處理，然后把處理結果返回給云平臺，明顯能加快響應速度。

• 帶寬：高帶寬傳輸數據意味著低延時，但是高帶寬也意味著大量的資源浪費。數據在邊緣處理有兩種可能，一種是數據在邊緣完全處理結束，然后邊緣節點上傳處理結果到云端；另外一種結果是數據處理了一部分，然后剩下的一部分內容將會交給云來處理。以上兩種方式的任意一種，都能極大地改善網絡帶寬的現狀，減少數據在網絡中的傳輸，進而增強用戶體驗。

• 能耗：對于給定的任務，需要判定放在本地運算節省資源還是傳輸給其他節點計算節省資源。如果本地空閑，那么當然在本地計算是最省資源的。

• 成本：目前在邊緣計算上的成本包括但不限于邊緣節點的構建和維護、新型模型的開發等。利用邊緣計算的模型，大型的服務提供商在處理相同工作的情況下能夠獲取到更大的利潤。

WAF比較常見的檢測機制特點有以下這些：

• 異常檢測協議：拒絕不符合HTTP標準的請求，也可以只允許符合HTTP協議的部分選項通過，也有一些Web應用防火墻還可以嚴格限定HTTP協議中那些過于松散或未被完全制定的選項。

• 增強輸入驗證：增強輸入驗證，對惡意字符進行攔截。

• 及時補丁：及時屏蔽掉新型漏洞，避免攻擊者進行攻擊，主要依靠WAF廠商對新型漏洞的及時響應速度。

• 基于規則的保護和基于異常的保護：基于規則的保護可以提供各種Web應用的安全規則，WAF生產商會維護這個規則庫，并實時為其更新。用戶可以按照這些規則對應用進行全方面檢測。還有的產品可以基于合法應用數據建立模型，并以此為依據判斷應用數據的異常。但這需要對用戶企業的應用具有十分透徹的了解才可能做到，可在現實中，這是十分困難的一件事情。

• 狀態管理：能夠判斷用戶是否是第一次訪問，將請求重定向到默認登錄頁面并且記錄事件，或對暴力破解行為進行攔截。

• 其他防護技術：如隱藏表單域保護、抗入侵規避技術、響應監視和信息泄露保護。

• 配置規則：可以自定義防護的規則，如是否允許“境外IP”的訪問等。