通過THC-Hydra查找PhpMyAdmin用戶名。登錄頁面代碼為：

            <label for="input_username">Username:</label>
            <input type="text" name="pma_username" id="input_username" value="" size="24" class="textfield">
        </div>
        <div class="item">
            <label for="input_password">Password:</label>
            <input type="password" name="pma_password" id="input_password" value="" size="24" class="textfield">

用下面的命令：

$ hydra -L /usr/share/dict/cracklib-small -p 123 192.168.56.5 http-post-form '/phpmyadmin/index.php:pma_username=^USER^&pma_password=^PASS^:incorrect'

建立完整數據安全政策文件體系包括以下工作：

• 建立政策總綱，建立數據分級和分類標準，明確數據Owner的定義與權利、職責。

• 建立數據安全的管理政策，包括建立最小化權限以及權限分離的相關政策。

• 建立數據安全算法/協議標準、產品標準、開發規范、運維規范。

• 建立和完善數據生命周期管理制度，從源頭開始對數據保護，覆蓋數據生成、存儲、使用、傳輸、共享審核、銷毀等。

• 建立針對法律、監管/行管所需要的合規要求（網絡安全法、PCI-DSS等），可單獨發文或整合到上述規范中去。

• 數據分級和分類清單的建立與例行維護，并考慮建立/完善數據安全管理系統，或者整合到數據管理中臺（所謂中臺，是相對于前臺和后臺而言的，是統一的中間層基礎設施）。

• 風險管理與閉環：基于分級管理，例行開展指標化風險運營，建立并完善風險閉環跟進流程。

• 將安全要求融入到產品開發發布的流程中去。我們可基于業務實際情況，建立適合業務需要的SDL流程，對關鍵控制點進行裁剪或取舍，串行或并行開展安全質量保障、質量控制活動。

CORS是一個W3C標準，全稱是”跨域資源共享”（Cross-origin resource sharing）。

它允許瀏覽器向跨源服務器，發出XMLHttpRequest請求，從而克服了AJAX只能同源使用的限制。

CORS需要瀏覽器和服務器同時支持。目前，所有瀏覽器都支持該功能，IE瀏覽器不能低于IE10。

整個CORS通信過程，都是瀏覽器自動完成，不需要用戶參與。對于開發者來說，CORS通信與同源的AJAX通信沒有差別，代碼完全一樣。瀏覽器一旦發現AJAX請求跨源，就會自動添加一些附加的頭信息，有時還會多出一次附加的請求，但用戶不會有感覺。

因此，實現CORS通信的關鍵是服務器。只要服務器實現了CORS接口，就可以跨源通信。

瀏覽器將CORS請求分成兩類：簡單請求（simple request）和非簡單請求（not-so-simple request）。

對于簡單請求，瀏覽器直接發出CORS請求。具體來說，就是在頭信息之中，增加一個Origin字段。

非簡單請求是那種對服務器有特殊要求的請求，比如請求方法是PUT或DELETE，或者Content-Type字段的類型是application/json。

非簡單請求的CORS請求，會在正式通信之前，增加一次HTTP查詢請求，稱為”預檢”請求（preflight）。

如何處置信息泄露，這里通過”互聯網商城系統訂單信息泄露事件”案例來具體介紹信息泄露處置過程。處置過程如下。

1. 負責人員首先與公司領導進行面對面溝通，明確本次應急響應需要達成的關鍵目標和注意事項，公司應盡可能地安排專門接口人進行協助。

2. 負責人員與網絡運維人員進行溝通，梳理內部網絡安全防護情況及對應服務器區域的防護級別，最好能獲取整個內部網絡的拓撲或能繪制并提供簡單的拓撲，梳理可能的入侵路徑，初步評估其難度。

3. 負責人員與服務器管理員溝通，確認服務器開放的服務和端口（特別是已映射至互聯網的），商城系統上線是否做過安全測試，是否開啟了系統日志、Web訪問日志和其他審計日志等，導出相關日志，以便后續分析使用。

4. 負責人員與業務運營管理員進行溝通，梳理擁有訪問訂單數據權限的人員，確認系統是否有設置單獨的審計人員，是否存在關聯的業務系統或引用商城系統數據的情況。

5. 負責人員與系統開發商溝通，確認商城系統是否有做過專業的軟件測試和安全測試，相關服務是否使用了硬編碼和弱密碼。

6. 通過匯總現場溝通素材，結合以往事件處置經驗，可以得出一個數據泄露源頭的初步結論，并進行匯報。

7. 對導出的系統日志和Web訪問日志進行全覆蓋分析，對審計日志進行人工篩選審計，通過日志分析得出一個相對準確的結論，再結合現場得出的結論，進行判斷。若分歧較大，則可考慮再次與存在明顯分歧的人員溝通確認。

8. 通過日志分析定位出異常訪問的IP地址，若是內部網絡，則請求網絡運維人員協助調查IP地址在特定時段內的使用人員；若是外部網絡且有必要繼續追查，則可向相關網絡安全部門報案，并進行進一步追查。

9. 對上述處置分析過程進行匯總，編制應急響應報告和匯報材料，向公司領導進行匯報，應急響應工作結束。

密碼安全技術方案使用時需要注意以下這些：

• 凡是采用標簽數據更新機制的方案由于需要解決數據同步問題，因此稍有疏忽就會留下很多漏洞。而且即使解決了數據同步問題，仍然存在最致命的問題就是EEPROM的讀出電壓為3～5V，寫入電壓高達17V。目前絕大多數標簽均采用EEPROM，實踐發現其讀出距離將降低一半左右，因此標簽數據更新機制應盡量予以避免。

• 不少方案需要利用數據庫完成對標簽的認證。其中很多方案需要針對所有標簽進行暴力計算。暴力搜索方案僅僅適合標簽數量較少的場合，如一個單位的門禁系統，但是對于生產、物流、零售、交通標簽很多的場合則并不實用。有些方案讓所有標簽共享相同的密鑰以避免暴力搜索，這種方案存在的問題則是一旦一個標簽的密鑰被破解，則整個系統就會面臨危險。另一個問題是，數據庫搜索方案一般都需要數據庫實時在線，對于有些應用系統來說很難實現。還有一些方案則對每個標簽保存了很多條記錄，大大增加了數據量，也是不利于實際實現的。

• 不少方案都利用了秘密值、密碼、別名或密鑰等概念。這里存在的問題是，如果所有標簽共享相同的秘密值，則系統安全性面臨較大威脅。如果每個標簽的秘密值不同，則它們的管理難度較大。系統不僅要處理秘密值的生成，寫入標簽，更難的是它們的更新。在同一個地點要確定合適的更新周期，移動到新的地點則要處理后臺密鑰的傳輸。

• 有些方案采用了一些非常簡單的運算作為加密函數或Hash函數，如CRC和一些自行設計的簡單變換。對于這種方案即使其協議設計完善，但由于其算法未經驗證，難以在實踐中采用。

• 很多采用別名的方案存在別名數量難以確定的問題。增加別名數量有利于安全性的提高，但卻需要增加標簽容量。如果采用EPC碼96位作為一個別名，則1KB的標簽僅能存儲10多個標簽，對于很多應用來說是遠不能達到需求。

• 有些方案對標簽要求太高，基本不能使用，如需要進行3次以上的Hash運算，還有的需要存儲數百千比特的公鑰。

• 有些方案（如PUF方案）目前尚不成熟，難以實際采用。當然也有些方案設計比較完善，幾乎沒有漏洞，也有較佳的實用性，這種方案一般都基于傳統的挑戰響應協議和經典的密碼算法。另外，基于公鑰的算法密鑰管理簡單，如果運算速度較快，密鑰較短的算法也應優先采用。

開展等級保護工作主要分為五個階段，包括：定級、備案、建設整改、測評和監督審查。所以備案后應該進行以下工：

• 建設整改:信息系統安全保護等級確定后，運營使用單位按照管理規范和技術標準，選擇管理辦法要求的信息安全產品，建設符合等級要求的信息安全設施，建立安全組織，制定并落實安全管理制度。

• 等級測評:信息系統建設完成后，運營使用單位選擇符合管理辦法要求的檢測機構，對信息系統安全等級狀況開展等級測評。測評完成之后根據發現的安全問題及時進行整改，特別是高危風險。測評的結論分為：不符合、基本符合、符合。當然符合基本是不可能的，那是理想狀態。

• 監督檢查:公安機關依據信息安全等級保護管理規范及《網絡安全法》相關條款，監督檢查運營使用單位開展等級保護工作，定期對信息系統進行安全檢查。運營使用單位應當接受公安機關的安全監督、檢查、指導，如實向公安機關提供有關材料。保護測評，由測評機構出具等級測評報告。最后，根據等級測評報告對系統進行整改加固，并根據系統保護等級定期開展等級保護測評工作。

PKI提供的安全服務包括以下這些：

• 可認證性：PKI利用數字證書、可信CA確認發送者和接收者的真實身份。

• 不可抵賴性：PKI基于公鑰密碼體制及可信第三方CA，確保發送方不能否認其發送的消息。

• 機密性：PKI將用戶的公鑰和數字證書綁定，數字證書上都有可信CA的數字簽名，保證了公鑰不可被偽造，從而確保數據不能被非授權的第三方訪問，保證了機密性。

• 數據完整性：PKI用公鑰對會話密鑰進行加密，確保數據在傳輸過程中不能被修改，保證了數據完整性。

防火墻上有以下路由協議：

• RIP：RIP很早就被用在Internet上，是最簡單的路由協議。它是“路由信息協議（RouteInformationProtocol）”的簡寫，主要傳遞路由信息，通過每隔30秒廣播一次路由表，維護相鄰路由器的位置關系，同時根據收到的路由表信息計算自己的路由表信息。RIP是一個距離矢量路由協議，最大跳數為15跳，超過15跳的網絡則認為目標網絡不可達。此協議通常用在網絡架構較為簡單的小型網絡環境。現在分為RIPv1和RIPv2兩個版本，后者支持VLSM技術以及一系列技術上的改進。RIP的收斂速度較慢。

• OSPF：OSPF協議是“開放式最短路徑優先（OpenShortestPathFirst）”的縮寫，屬于鏈路狀態路由協議。OSPF提出了“區域（area）”的概念，每個區域中所有路由器維護著一個相同的鏈路狀態數據庫（LSDB）。區域又分為骨干區域（骨干區域的編號必須為0）和非骨干區域（非0編號區域），如果一個運行OSPF的網絡只存在單一區域，則該區域可以是骨干區域或者非骨干區域。如果該網絡存在多個區域，那么必須存在骨干區域，并且所有非骨干區域必須和骨干區域直接相連。OSPF利用所維護的鏈路狀態數據庫，通過最短路徑優先算法（SPF算法）計算得到路由表。OSPF的收斂速度較快。由于其特有的開放性以及良好的擴展性，目前OSPF協議在各種網絡中廣泛部署。

• IS-IS：IS-IS協議是Intermediatesystemtointermediatesystem（中間系統到中間系統）的縮寫，屬于鏈路狀態路由協議。標準IS-IS協議是由國際標準化組織制定的ISO/IEC10589:2002 所定義的，標準IS-IS不適合用于IP網絡，因此IETF制定了適用于IP網絡的集成化IS-IS協議（IntegratedIS-IS）。和OSPF相同，IS-IS也使用了“區域”的概念，同樣也維護著一份鏈路狀態數據庫，通過最短生成樹算法（SPF）計算出最佳路徑。IS-IS的收斂速度較快。集成化IS-IS協議是ISP骨干網上最常用的IGP協議。

• IGRP：IGRP協議是“內部網關路由協議（InteriorGatewayRoutingProtocol）”的縮寫，由Cisco于二十世紀八十年代獨立開發，屬于Cisco私有協議。IGRP和RIP一樣，同屬距離矢量路由協議，因此在諸多方面有著相似點，如IGRP也是周期性的廣播路由表，也存在最大跳數（默認為100跳，達到或超過100跳則認為目標網絡不可達）。IGRP最大的特點是使用了混合度量值，同時考慮了鏈路的帶寬、延遲、負載、MTU、可靠性5個方面來計算路由的度量值，而不像其他IGP協議單純的考慮某一個方面來計算度量值。目前IGRP已經被Cisco獨立開發的EIGRP協議所取代，版本號為12.3及其以上的CiscoIOS（InternetworkOperatingSystem）已經不支持該協議，現在已經罕有運行IGRP協議的網絡。

• EIGRP：由于IGRP協議的種種缺陷以及不足，Cisco開發了EIGRP協議（增強型內部網關路由協議）來取代IGRP協議。EIGRP屬于高級距離矢量路由協議（又稱混合型路由協議），繼承了IGRP的混合度量值，最大特點在于引入了非等價負載均衡技術，并擁有極快的收斂速度。EIGRP協議在Cisco設備網絡環境中廣泛部署。

信息資產的三個安全屬性是保密性、完整性、可用性。

• 保密性

具有一定保密程度的信息只能讓有權讀到或更改的人讀到和更改。不過，這里提到的保密信息，有比較廣泛的外延：它可以是國家機密，是一個企業或研究機構的核心知識產權，是一個銀行個人賬號的用戶信息，或簡單到你建立這個博客時輸入的個人信息。因此，信息保密的問題是每一個能上網的人都要面對的。

• 完整性

是指在存儲或傳輸信息的過程中，原始的信息不能允許被隨意更改。這種更改有可能是無意的錯誤，如輸入錯誤，軟件瑕疵，到有意的人為更改和破壞。在設計數據庫以及其他信息存儲和傳輸應用軟件時，要考慮對信息完整性的校驗和保障。

• 可用性

得到授權的實體在需要時可以訪問數據，即攻擊者不能占用所有的資源而阻礙授權者的工作。

工控安全與傳統安全的區別如下：

• 工控安全特殊性：網絡通訊協議不同，大量的工控系統采用私有協議、系統穩定性要求高，網絡安全造成誤報等同于攻擊、系統運行環境不同，工控系統運行環境相對落后、網絡結構和行為相對穩定，不能頻繁變動調整、網絡防護要求高，無法通過補丁來解決安全問題。

• 防護目標的區別：極端情況下保護對象的不同，主要在于工控安全要保護生產業務的正常可用，而傳統網絡安全要保護信息不泄露。對信息的實時性要求不同，主要是工控安全需要保證實時性，而傳統安全對實時性沒有特殊的要求。

• 防護手段區別：因為工控網絡中只有制定的一些設備能夠訪問，其他所有的設備過來都是禁止訪問的，因此選擇做白名單機制，會更加的方便和高效。

• 網絡架構區別：工控網絡安全更為復雜，多種網絡混合包括有線、無線、衛星通信、無線電通信等，同時通信協議也很復雜，設備復雜所以和傳統安全不太一樣。

• 數據傳輸區別：工控安全實時性要求高，不允許延遲基本無加密認證機制，指令、組態、采集數據為主，并且流向明確基本無交叉。

安全協議根據功能分為：

密鑰安全協議

• 指參與協議的雙方或多方之間建立的通信中的會話密鑰。

認證協議

• 主要用來在信息交換過程中防止信息的假冒、篡改或否認。

密鑰交換和認證協議

• 將密鑰技術與認證技術相結合，同時完成信息的加密與認證的功能。

病毒軟件如果被下載沒有安裝那將其刪除清理回收站沒事了，如果已經安裝則需要按照以下步驟清除：

1. 斷開網絡連接：現在的木馬主要是以盜取計算機中的信息為目的，因此，發現中毒后，首先要做的就是斷開網絡。斷開網絡最簡單的辦法就是撥掉網線，也可以將“本地連接”設為“禁用”。

2. 拷貝重要數據：如果PC里存有重要的數據，在斷開網絡后應立即將其備份到移動硬盤或U盤上。盡管這些文件可能有病毒，但是這些可以后期處理，避免被殺毒軟件刪除。

3. 全盤掃描殺毒：如果這時你的殺毒軟件還能啟動的話，可以選擇全盤掃描，對包含病毒的文件處理方式選為“清除病毒”或“隔離”，而不是直接“刪除文件”，這樣可以避免重要文件被刪除。如果這時你的殺毒軟件已經不能打開，那么可以考慮將硬盤摘下來，掛到別的計算機上去查殺病毒。

4. 修改重要密碼：即使進行了全面殺毒之后，也不能完全保證資料是否安全，必須將一些重要的密碼，例如網上銀行、QQ等賬戶密碼等重新設置。 經過以上幾步后，你就可以將病毒帶來的損失降低到最小，網絡安全（家庭網絡）必須要時刻小心，不中病毒當然是最好的。

5. 如殺毒軟件不是最新版或查殺無效，只有重裝系統了：裝系統是個費時間、費精力的事情。裝系統時要把C盤全部格式化，安裝完系統后先安裝最新版本的病毒軟件，并為系統打上所有的補丁。切記：在完成這些之前千萬不要打開不受信任的文件。裝好殺毒軟件后，先對整個電腦進行查殺，然后對備份的文件進行查殺，確認無毒后再拷貝到電腦上來。

數據脫敏，是指在不影響數據分析結果的準確性前提下，對原始數據中的敏感字段進行處理，從而降低數據敏感度和減少個人隱私風險的技術措施。常見的數據脫敏方法主要包括：

• 數據替換

  用設置的固定虛構值替換真值。例如將手機號碼統一替換為 13800013800

• 反推斷

  查找可能由某些字段推斷出另一敏感字段的映射，并對這些字段進行脫敏，如從出生日期可推斷出身份證號、性別、地區的場景。

• 偏移和取整

  通過隨機移位改變數字數據，例如日期 2018-01-02 8 : 12 : 25 變為 2018-01-02 8 : 00 : 00，偏移取整在保持了數據的安全性的同時保證了范圍的大致真實性，此項功能在大數據利用環境中具有重大價值。

• 掩碼屏蔽

  掩碼屏蔽是針對賬戶類數據的部分信息進行脫敏時的有力工具，比如銀行卡號或是身份證號的脫敏。將身份證號的出生日期進行掩碼屏蔽脫敏。使用left()函數截取身份證號的左邊 6 位 + 字符串 ****+right()函數截取身份證號右邊 4 位替換源身份證字符串。

• 靈活編碼

  在需要特殊脫敏規則時，可執行靈活編碼以滿足各種可能的脫敏規則。比如用固定字母和固定位數的數字替代合同編號真值。將合同編號進行自定義編碼脫敏。自定義編碼規則：4 位固定碼 + 當前年份 + 源目標字符串 4 位號碼 +9 位數值組成。

• 無效化

  通過對數據值得截斷、加密、隱藏等方式使敏感數據脫敏，使其不再具有利用價值，例如將地址以 ** 代替真值。數據無效化與數據替換所達成的效果基本類似。

• 隨機化

  用隨機數據代替真值，保持替換值的隨機性以模擬樣本的真實性。例如用隨機生成的姓和名代替真值。

• 加密

  指對待脫敏數據進行加密處理，使 外部用戶只看到無意義的加密后數據，同時在特定場 “云計算與大數據”專題 19 2015年第13期 景下，可以提供解密能力，使具有密鑰的相關方可以 獲得原數據。加密的方法存在一定的安全風險（密鑰 泄露或加密強度不夠）；加密本身需要一定的計算 能力，對于大數據集來源會產生很大資源開銷；一般 加密后數據與原始數據格式差異較大，“真實性”較 差。一般情況下，加密的數據脫敏方式應用不多。

• 遮擋

  指對敏感數據的部分內容用掩飾符號（如“X、*”）進行統一替換，從而使 得敏感數據保持部分內容公開。這種方法可以在很大 程度上脫敏的同時，保持原有數據感觀，也是一種廣 泛使用的方法。

外網安全訪問內網方法如下：

1. 使用防火墻等安全設備來加固內網安全來減少泄露和外部攻擊；

2. 劃分網絡邊界留下安全區來交換文件；

3. 使用內網穿透代理軟件來進行訪問；

4. 借助網絡準入控制模塊來解決；

5. 借助內外網安全交換系統。

以下這些原因導致了防火墻不是萬能的：

• 只能防范經過其本身的非法訪問和攻擊，對繞過防火墻的訪問和攻擊無能為力；

• 不能解決來自內部的網絡攻擊和安全問題；

• 不能防止受病毒感染的文件的傳輸；

• 不能防止策略配置不當或錯誤配置引起的安全威脅；

• 不能防止自然或者人為的故意破壞；

• 不能防止本身的安全漏洞威脅。