①出差之前備份好重要數據。

②不要登錄不安全的無線網絡。

③在上網瀏覽時不要選擇“記住用戶名和密碼”選項。

④使用互聯網瀏覽器后，應清空歷史記錄和緩存內容。

⑤使用公用電腦時，當心擊鍵記錄程序和跟蹤軟件。

1.必須為每個網絡應用服務都專門設計、開發相應的應用代理服務軟件，開發的工作量大，而且對新協議，必須重新開發相應的應用代理。

2.應用代理程序的使用，降低了透明性。

3.由于基于協議的應用層工作，導致網絡性能的下降。

4.需要專用的硬件(服務器)來承擔。

第四級工業控制系統危害最大，會對關鍵領域的工業生產運行造成重大損害，或者對環境安全、社會秩序、公共利益和人員生命造成特別嚴重損害，或者對國家安全（特別是其中的國家經濟安全）造成嚴重損害。

工業控制系統信息安全分為四個等級1-4級，與國內信息安全等級保護的等級劃分基本一致（信息系統安全保護等級劃分為5級，實際使用的是1-4級），與國際標準IEC-62443中工業控制系統信息安全等級劃分保持一致（劃分為1-4級）。

• 第一級工業控制系統：會對一般領域的工業生產運行造成損害，或者對公民、企業和其他組織的合法權益及重要財產造成損害，但不會損害國家安全（特別是其中的國家經濟安全）、環境安全、社會秩序、公共利益和人員生命。

• 第二級工業控制系統：會對一般領域的工業生產運行造成重大損害，或者對重點領域的工業生產運行造成損害，或者對公民、企業和其他組織的合法權益及重要財產造成嚴重損害，或者對環境安全、社會秩序、公共利益和人員生命造成損害，但不會損害國家安全（特別是其中的國家經濟安全）。

• 第三級工業控制系統：會對重點領域的工業生產運行造成重大損害，或者對關鍵領域的工業生產運行造成損失，或者對環境安全、社會秩序、公共利益和人員生命造成嚴重損害，或者會對國家安全（特別是其中的國家經濟安全）造成損害。

• 第四級工業控制系統：會對關鍵領域的工業生產運行造成重大損害，或者對環境安全、社會秩序、公共利益和人員生命造成特別嚴重損害，或者對國家安全（特別是其中的國家經濟安全）造成嚴重損害。

網絡安全縱深防御體系相關技術有以下這些：

• 網絡流量可視化技術：網絡流量可視化是支撐網絡縱深防御的重要基礎。看得清流量，方能識得準威脅，部得全能力，配得嚴策略，擋得住風險；通過在網絡各節點部署流量分析措施，可實現全局網絡流量數據的捕獲、解密、處理和按需輸出，統一支撐網絡資產發現、網絡安全威脅分析、網絡行為審計、數據泄露檢測等工作的開展。

• 網絡隔離細粒度化技術：全面梳理網絡中的資產，根據資產暴露位置、業務功能、重要等級等屬性，進行網絡安全域的細粒度劃分，實現功能組、工作負載級的網絡隔離；并在網絡區域邊界上實施嚴格的隔離防護措施，實現網絡訪問權限的最小化，收縮網絡攻擊面，限制安全威脅的影響范圍。

• 場景覆蓋全面化技術：梳理網絡邊界的各種訪問連接模式，針對每種模式的不同場景設計網絡安全能力。同時整合相同/相似連接類型的網絡邊界，收斂應用服務及接口的協議類型，統籌部署網絡安全防護能力，全面覆蓋網絡邊界的主要安全防護需求。

• 網絡防御縱深化技術：增加網絡防御縱深，多層級部署防護措施，形成異構、協同聯動的防護機制。在一層防護措施失效情況下，仍然有下一層的防護措施保障，充分保障關鍵資產的安全。同時在每個層級上嚴格實施網絡訪問控制策略，收縮網絡攻擊面，減少橫向移動的范圍。

• 安全集群標準化技術：設計標準化、模塊化的網絡安全防護集群，部署于網絡各節點，以適配本節點的安全防護需求。實現安全服務鏈的靈活編排，支撐安全能力的彈性擴展，適應復雜網絡的組網環境。

• 策略管理自動化技術：統一管理網絡各節點的標準化安全防護集群，并通過北向接口的適配或改造，集中納管已有的網絡安全資源，實現網絡安全防護策略的全局控制。匯聚安全告警、網絡流量、安全情報等信息，進行關聯分析、智能推理、研判和決策，形成安全防護策略，并自動裝配、下發執行，實現全局協同防護和聯動。

短信驗證碼加固手段有以下這些：

• 加鹽：通過使用鹽技術可以輕松地防止彩虹表攻擊，該技術是將隨機數據與純文本一起傳遞到哈希函數中的方法。這樣可以確保每個密碼都有一個唯一的生成的哈希值，因此可以防止彩虹表攻擊，該攻擊原理是防止多個文本可以具有相同的哈希值。

• 放棄哈希加密算法：已知彩虹表是應用于主流的哈希算法的，那么通過對哈希算法進行修改，自然能夠防御彩虹表破解。但這樣存在某些隱患，例如，黑客可以將產品的算法通過逆向工程提取出來，通過算法生成特定的彩虹表。如果私有加密算法強度不夠或是有設計缺陷的，屆時密碼破解將比使用彩虹表更加容易。

• 創建強密碼：保護登錄信息的最佳辦法，是創建強密碼，或者使用雙因子身份驗證（2FA）。作為網站擁有者，你可以要求用戶同時設置強密碼和2FA，以便緩解網絡罪犯猜出密碼的風險。

• 主要保護口令安全：無論是用戶還是管理員必須要保存好自己的密碼，一個密碼不要重復在多個網站使用，不要將密碼記錄在任何位置，定期修改密碼，企業可以嘗試選擇一款密碼管理器來管理密碼。

• 多次加密：彩虹表攻擊主要是哈希算法的數據庫，可以對密碼進行多次不同算法的加密，這會增加攻擊者的破解難度，并且很難通過單一數據庫就破解成功。

• 采用多因素認證：增加登錄安全功能有助于進行憑證填充防護。啟用雙因素身份驗證等功能，并在登錄時要求用戶填寫CAPTCHA（驗證碼），這兩種機制也有助于阻止惡意機器人。雖然這兩項機制會給用戶帶來諸多不便，但多數人承認，這能最大限度地減少安全威脅，即使不便也值得。

滲透測試利用目標系統架構中存在的漏洞，而漏洞掃描（或評估）則檢查已知漏洞，產生風險形勢報告。

滲透測試范圍是針對性的，而且總有人的因素參與其中。這個世界上沒有自動化滲透測試這種東西。滲透測試需要使用工具，有時候要用到很多工具，但同樣要求有極具經驗的專家來進行測試。

漏洞掃描是在網絡設備中發現潛在漏洞的過程，比如防火墻、路由器、交換機、服務器、各種應用等等。該過程是自動化的，專注于網絡或應用層上的潛在及已知漏洞。漏洞掃描不涉及漏洞利用。漏洞掃描器只識別已知漏洞，因而不是為了發現零日漏洞利用而構建的。

滲透測試在應用層面或網絡層面都可以進行，也可以針對具體功能、部門或某些資產。或者，也可以將整個基礎設施和所有應用囊括進來。只不過，受成本和時間限制，這在現實世界中是不切實際的。

漏洞掃描在全公司范圍進行，需要自動化工具處理大量的資產。其范圍比滲透測試要大。漏洞掃描產品通常由系統管理員或具備良好網絡知識的安全人員操作，想要高效使用這些產品，需要擁有特定于產品的知識。

• bWAPP

免費和開源的web應用程序安全項目。它有助于安全愛好者及研究人員發現和防止web漏洞。

地址：http://www.itsecgames.com/

• Damn Vulnerable iOS App (DVIA)

DVIA是一個iOS安全的應用。它的主要目標給移動安全愛好者學習iOS的滲透測試技巧提供一個合法的平臺。APP涵蓋了所有常見的iOS安全漏洞，它免費并開放源碼,漏洞測試和解決方案覆蓋到iOS 10版本。

地址：http://damnvulnerableiosapp.com/

• Damn Vulnerable Web Application (DVWA)

基于 php 和 mysql 的虛擬 Web 應用，“內置”常見的 Web 漏洞，如 SQL 注入、xss 之類，可以搭建在自己的電腦上。

地址：http://www.dvwa.co.uk/

• 網絡信息安全攻防學習平臺

提供基礎知識考查、漏洞實戰演練、教程等資料。實戰演練以 Web 題為主，包含基礎關、腳本關、注入關、上傳關、解密關、綜合關等。

地址：http://hackinglab.cn/index.php

• Game of Hacks

基于游戲的方式來測試你的安全技術，每個任務題目提供了大量的代碼,其中可能有也可能沒有安全漏洞！

地址：http://www.gameofhacks.com/

• Google Gruyere

一個看起來很low的網址，但充滿了漏洞,目的是為了幫助那些剛開始學習應用程序安全性的人員。

地址：http://google-gruyere.appspot.com/

• HackThis!!

旨在教你如何破解、轉儲和涂改,以及保護網站的黑客技巧，提供超過50種不同的難度水平。

地址：https://www.hackthis.co.uk/

• Hack This Site

是一個合法和安全的測試黑客技能的網站，并包含黑客資訊、文章、論壇和教程,旨在幫助你學習黑客技術。

地址：https://www.hackthissite.org/

• Hellbound Hackers

提供了各種各樣的安全實踐方法和挑戰,目的是教你如何識別攻擊和代碼的補丁建議。主題包含應用程序加密和破解,社工和rooting。社區有接近10萬的注冊會員,也是最大的一個黑客社區之一。

地址：https://www.hellboundhackers.org/

• McAfee HacMe Sites

邁克菲提供的各類黑客及安全測試工具

地址：http://www.mcafee.com/us/downloads/free-tools/index.aspx

• Mutillidae

mutillidaemutillidae是一個免費，開源的Web應用程序，提供專門被允許的安全測試和入侵的Web應用程序 。其中包含了豐富的滲透測試項目，如SQL注入、跨站腳本、clickjacking、本地文件包含、遠程代碼執行等.

地址：https://sourceforge.net/projects/mutillidae/

• OverTheWire

基于游戲的讓你學習安全技術和概念的黑客網站

地址：http://overthewire.org/wargames/

• Peruggia

一個提供安全、合法攻擊的黑客網站

地址：https://sourceforge.net/projects/peruggia/

• Root Me

通過超過200名黑客的挑戰和50個虛擬環境來提高你黑客技巧和網絡安全知識的網站

地址：https://www.root-me.org/

• Try2Hack

最古老的黑客網站之一,提供多種安全挑戰。

地址：http://www.try2hack.nl/

• Vicnum

OWASP項目之一，簡單框架,針對不同的需求，并基于游戲的方式來引導安全開發者學習安全技術。

地址：http://vicnum.ciphertechs.com/

• WebGoat

最受歡迎的OWASP項目，提供了一個真實的安全教學環境，指導用戶設計復雜的應用程序安全問題

地址：http://webappsecmovies.sourceforge.net/webgoat/

• i春秋

國內比較好的安全知識在線學習平臺，把復雜的操作系統、工具和網絡環境完整的在網頁進行重現，為學習者提供完全貼近實際環境的實驗平臺，

地址：http://www.ichunqiu.com/main

• XCTF_OJ 練習平臺

XCTF-OJ （X Capture The Flag Online Judge）是由XCTF組委會組織開發并面向XCTF聯賽參賽者提供的網絡安全技術對抗賽練習平臺。XCTF-OJ平臺將匯集國內外CTF網絡安全競賽的真題題庫，并支持對部分可獲取在線題目交互環境的重現恢復，XCTF聯賽后續賽事在賽后也會把賽題離線文件和在線交互環境匯總至XCTF-OJ平臺，形成目前全球CTF社區唯一一個提供賽題重現復盤練習環境的站點資源。

地址：http://oj.xctf.org.cn/

黑客分為黑帽子黑客和白帽子黑客。

白帽黑客是指那些專門研究或者從事網絡、計算機技術防御的人，他們通常受雇于各大公司，是維護世界網絡、計算機安全的主要力量。很多白帽還受雇于公司，對產品進行模擬黑客攻擊，以檢測產品的可靠性。

黑帽黑客專門研究病毒木馬、研究操作系統，尋找漏洞，并且以個人意志為出發點，攻擊網絡或者計算機。

黑帽子黑客是反面的網絡安全技術很厲害的人的代名詞。而白帽子則是正面的網絡技術很厲害的人的代名詞。

信息安全最關心的三屬性如下：

• 保密性：是指網絡信息不被泄露給非授權的用戶、實體或過程。即信息只為授權用戶使用；

• 完整性：完整性原則指用戶、進程或者硬件組件具有能力，能夠驗證所發送或傳送的東西的準確性，并且進程或硬件組件不會被以任何方式改變；

• 可用性：可用性是在某個考察時間，系統能夠正常運行的概率或時間占有率期望值。

在信息安全等級保護工作中，根據信息系統的保密性（Confidentiality）、完整性（Integrity）、可用性（Availability）來劃分信息系統的安全等級，三個性質簡稱CIA。

從服務方向劃分社區云解決方案分為以下幾種：

• 云計算需求解決方案：是針對高性能計算HPC、高通量計算HTC及并行計算需求，基于云計算平臺提供的彈性、可擴展的解決方案。方案一般包括硬件平臺、HPC計算軟件平臺、調用接口等。

• 云存儲解決方案：是基于網絡存儲設備構建高效、可擴展和靈活的大規模、分布式存儲服務的解決方案。云存儲解決方案分為兩大類型：一種是高性能應用，如數據庫應用和高速讀寫應用需求；另一種則稱為容量型應用，如文件存儲和備份。

• 云桌面解決方案：是基于虛擬桌面或設備共享技術，通過輕量級終端經網絡來共享服務器資源的模式構建應用環境，常用于辦公、開發、學校等環境的解決方案。

• 云安全解決方案：指構建以數據為中心的安全框架為目標的解決方案，方案通過整合統一的安全框架，來排除數據中心的威脅及提供用戶數據安全保護功能。如趨勢科技、富士通均提供了云安全解決方案。

• 云數據中心解決方案：指通過云計算模式將物理數據中心和邏輯數據中心相結合，提供統一的數據資源管理、分析及服務的解決方案。利用數據資源接入平臺，快速擴展數據資源云節點。并可以通過統一的數據服務總線，使用并行技術，快速、高效地提供信息服務。

子網劃分主要包括的內容有以下三方面：

• 充分使用地址：由于A類網或B類網的地址空間太大，造成在不使用路由器的單一網絡中無法使用全部地址。比如，對于一個B類網絡“172.100.0.0”，可以有216個主機，這么多的主機在單一的網絡下是不能工作的。因此，為了能更有效地使用地址空間，有必要把可用地址分配給更多較小的網絡。

• 劃分管理職責：劃分子網還可以更易于管理網絡。當一個網絡劃分為多個子網時，每個子網就變得更易于控制。每個子網的用戶、計算機及其子網資源可以讓不同的管理員進行管理，減輕了由單人管理大型網絡的管理職責。

• 提高網絡性能：在一個網絡中，隨著網絡用戶的增長、主機的增加，網絡通信也將變得非常繁忙。而繁忙的網絡通信很容易導致沖突，丟失數據包以及數據包重傳，因而降低了主機之間的通信效率。如果將一個大型的網絡劃分為若干個子網，并通過路由器將其連接起來，就可以減少網絡擁塞。

• 合規要求：落實網絡安全等級保護制度，滿足國家法律法規要求。

  網絡安全法第二十一條規定國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求，履行下列安全保護義務，保障網絡免受干擾、破壞或者未經授權的訪問，防止網絡數據泄露或者被竊取、篡改。

• 安全需求：基于等級保護構建安全防護體系，推動安全保障建設，合理規避風險。

  網絡安全等級保護是信息系統安全領域實施的基本國策，是國家信息安全保障工作的基本制度、基本方法。

  網絡運營者依據國家網絡安全等級保護政策和標準，開展組織管理、機制建設、安全規劃、安全監測、通報預警、應急處置、態勢感知、能力建設、監督檢查、技術檢測、安全可控、隊伍建設、教育培訓和經費保障等工作，構建集安全管理體系、安全技術體系、網絡信任體系、風險管理體系等多方位的網絡安全綜合防御體系。

• 推動安全產業發展：等級保護有效的支撐了網絡安全法，作為網絡安全法的抓手，有效推動了可信計算、全網安全態勢感知等新型安全技術的使用，促進“云大物移工”等新應用新技術的安全落地，提升了面對高級持續性威脅與勒索病毒的安全防護能力。

常見內部人員攻擊手段有以下這些：

• 修改數據或者安全機制：內部人員之間使用網絡，具有系統的訪問權，因此內部人員攻擊比較容易實施未授權操作或者破壞數據；

• 擅自連接網絡：擅自將機密網絡與密級較低的網絡或公共網絡連接，違背涉密網絡的安全策略和保密規定；

• 隱通道：隱通道是未授權的通信路徑，用于本地網絡向遠程站點傳輸盜取信息；

• 物理損壞或破壞：直接對系統或者服務器實施斷電、物理損壞等操作；

• 無意識修改數據：機密數據使用者在缺乏知識或者粗心大意的情況下導致數據被修改或者信息系統被破壞；

威脅情報是某種基于證據的知識，包括上下文、機制、標示、含義和能夠執行的建議，這些知識與資產所面臨已有的或醞釀中的威脅或危害相關，可用于資產相關主體對威脅或危害的響應或處理決策提供信息支持。一般威脅情報需要包含威脅源、攻擊目的、攻擊對象、攻擊手法、漏洞、攻擊特征、防御措施等。威脅情報在事前可以起到預警的作用，在威脅發生時可以協助進行檢測和響應，在事后可以用于分析和溯源。

主要的威脅情報標準如下：

• STIX：Structured Threat Information eXpression (STIX)，結構化的威脅信息表達，當前為2.0版本，主要定義了威脅對象和關系。

• TAXII：Trusted Automated eXchange of Indicator Information (TAXII)，定義了一個應用層協議用于威脅指標信息交換。

• CybOX：Cyber Observable eXpression (CybOX)，網絡指示器表達，定義了包括域名、IP、文件、證書、網絡連接等。CybOX后續整合到STIX 2.0中。

• MAEC：Malware Attribute Enumeration and Characterization (MAEC)，專門用于對惡意代碼屬性的枚舉和特征。

SIM卡全生命周期內制定的網絡安全治理方案是：

1. 卡片生產環節：在SIM卡的生產環節，對生產廠家制定相關標準，要求SIM卡供應商資質達標，規范生產流程，加強對生產廠家的監督及增加廠驗等手段確保SIM卡生產廠家對敏感數據（IMSI、Ki）的安全管理，避免敏感數據在生產過程中發生人為泄露。

2. 卡片（數據）運輸環節：采用實體SIM卡通過物流公司運送，SIM卡數據通過運營商專業系統提交的方法。不但采用實體卡與SIM卡數據分開交付，而且SIM卡數據的收貨采用運營商自己開發的專業系統進行接收，除此之外，數據流可以采用各種加密手段和權限管理手段，降低了泄露風險。

3. 發卡放號環節:目前運營商發卡放號除了營業廳、社會銷售等傳統的發卡渠道，還有一些涉及新技術的發卡渠道，如空白卡遠程寫卡、自助終端寫卡以及遠程寫卡等。傳統的發卡放號渠道由于無法接觸到SIM卡敏感數據Ki，其管理也相對比較完善，主要重點加強操作人員的安全操作意識，防止SIM卡其他數據在內部發生泄露。對于新技術發卡渠道，則要采用新技術手段防止發卡渠道發生SIM卡數據泄密行為。早期的空白卡遠程寫卡系統，后臺的資源系統接收到終端的寫卡請求后，將敏感的SIM卡8元數據組（包含IMSI、Ki在內的8個SIM卡數據）通過明文的方式直接發到遠程電腦客戶端，然后由客戶端寫入空白卡中完成SIM卡發卡放號，由于涉及敏感數據在網絡及終端的傳輸，所以加大了泄密的概率。因此，對于這類新的發卡放號方式必須確保在敏感數據被寫入SIM卡之前都是處于加密狀態，以防止數據在傳輸過程中被泄密。改進的遠程寫卡方式在寫卡放號過程中采用端到端的加密方式，后臺數據采用硬加密機進行加密，加密后的數據只有寫進SIM卡后，由SIM卡本身完成數據解密，然后完成寫卡放號，從而確保在敏感數據被寫入SIM之前都是處于加密狀態，防止數據在傳輸過程中泄密。

4. SIM卡使用環節:SIM卡使用環節是SIM卡整個生命周期中最長的一個環節，其具備了登網通信的功能，并且涉及資費支出，手機用戶將是這個環節的主體，因此避免這個環節中用戶主動或被動復制SIM卡將是防治的重點。引導用戶使用SIM卡開機密碼（PIN），以及培養一些良好的使用手機的習慣，都可以降低被非法復制的概率，避免用戶SIM卡被動復制，造成不必要的經濟損失.

5. SIM卡復制后的監控:當SIM卡被復制后，應通過監控手段發現SIM卡登網異常行為，并進行有效鎖定，以避免更大的損失。主要是通過網絡和計費系統進行監控，重點監控的指標是登網的異常，包括短時間的異地登網，同IMSI的登網，以及話費的異常。通過一系列監控指標可以判斷SIM卡是否被復制，可以將用戶列入黑名單并鎖卡，提示用戶去營業廳完成解鎖，以達到事后監控的目的。