入侵檢測系統在進行檢測時只會收集通過自己的數據包和網絡報文這些數據，他不同于其他安全設備或者軟件會對日志信息或者其他數據進行檢測，入侵檢測只是深入網絡數據內部，查找它所認識的攻擊代碼特征，過濾有害數據流，丟棄有害數據包，并進行記載，以便事后分析，所以入侵檢測在執行工作時只會收集數據包進行分析，并將存在攻擊的數據包的特征碼記錄，以入侵檢測設備應當掛接在所有所關注流量都必須流經的鏈路上。

入侵檢測可以檢測以下這些攻擊：

• 拒絕服務：利用域名解析服務器不驗證請求源的弱點，攻擊者偽裝成攻擊目標域名向全世界數以百萬計的域名解析服務器發送查詢請求，域名服務器返回的數據要遠大于請求的數據，導致目標遭受了放大數十倍的DDoS攻擊。被利用的域名服務器因此每天會收到大量的惡意請求，它也不斷的遭受較小規模的DDoS攻擊；

• 分布式拒絕服務：是指處于不同位置的多個攻擊者同時向一個或數個目標發動攻擊，或者一個攻擊者控制了位于不同位置的多臺機器并利用這些機器對受害者同時實施攻擊。由于攻擊的發出點是分布在不同地方的，這類攻擊稱為分布式拒絕服務攻擊，其中的攻擊者可以有多個；

• 暴力拆解：是指攻擊者通過系統的組合所有可能性（例如登錄時用的賬戶名.密碼），嘗試所有的可能性破解用戶的賬戶名.密碼等敏感信息，攻擊者會經常使用自動化腳本組合出正確的用戶名和密碼；

• 端口掃描：端口掃描是指某些別有用心的人發送一組端口掃描消息，試圖以此侵入某臺計算機，并了解其提供的計算機網絡服務類型（這些網絡服務均與端口號相關）。端口掃描是計算機解密高手喜歡的一種方式。攻擊者可以通過它了解到從哪里可探尋到攻擊弱點。實質上，端口掃描包括向每個端口發送消息，一次只發送一個消息。接收到的回應類型表示是否在使用該端口并且可由此探尋弱點；

• 嗅探攻擊：嗅探器可以獲取網絡上流經的數據包。用集線器hub組建的網絡是基于共享的原理的，局域網內所有的計算機都接收相同的數據包，而網卡構造了硬件的“過濾器“通過識別MAC地址過濾掉和自己無關的信息，嗅探程序只需關閉這個過濾器，將網卡設置為“混雜模式“就可以進行嗅探。用交換機switch組建的網絡是基于“交換“原理的，交換機不是把數據包發到所有的端口上，而是發到目的網卡所在的端口，這樣嗅探起來會麻煩一些，嗅探程序一般利用“ARP欺騙“的方法，通過改變MAC地址等手段，欺騙交換機將數據包發給自己，嗅探分析完畢再轉發出去；

• 病毒攻擊：病毒是人為制造的，有破壞性，又有傳染性和潛伏性的，對計算機信息或系統起破壞作用的程序。它不是獨立存在的，而是隱蔽在其他可執行的程序之中。計算機中病毒后，輕則影響機器運行速度，重則死機系統破壞；

信息安全涉密安全保密管理制度有以下這些：

• 內部工作人員管理制度：主要對內部涉密人員的錄用、教育、培訓、流動、離崗等工作提出規定，同時明確涉密信息系統中每個工作人員的責任、義務以及獎懲原則。

• 周邊環境管理制度：主要對涉密信息系統周邊環境的監控、防護以及出入控制提出明確要求及規定，保證涉密信息系統周邊環境安全。

• 涉密場所管理制度：主要對保密要害部門和涉密信息系統內的要害部位的管理和防護提出明確要求和規定，保證涉密場所的安全。

• 涉密信息系統保障設施管理制度：主要對涉密信息系統保障設施的使用、維護和維修提出明確要求和規定，保證涉密信息系統保障設施發揮最佳效用。

• 設備與介質管理制度：要解決涉密設備與介質的安全保密問題，需結合本單位的實際情況，制定嚴格、周密可行的管理制度，將涉密設備與介質的管理責任落實到人，嚴格要求，嚴格檢查，包括采購與選型管理制度、操作與使用制度、保密與保存制度以及維修與報廢制度。

• 涉密信息系統運行與開發管理制度：針對涉密信息系統進行開發與日常運行維護的管理要求，制定科學完善的涉密信息系統運行與開發管理制度，保障涉密信息系統開發和運行的每個環節都按照國家保密標準BMB17-2006和BMB20-2007的要求，進行科學化管理，確保涉密信息系統的安全保密。制度主要包括涉密信息系統運行使用制度、涉密信息系統開發管理制度和涉密信息系統異常事件管理制度。

• 定密制度：該制度依據《保密法》及其實施辦法，按照本部門、本行業保密范圍，為確定系統中涉密信息的密級和保密期限提供依據。同時明確如何根據涉密信息的密級和實際業務工作的需要，確定人員知悉范圍。

• 密級標志管理制度：該制度明確涉密系統中存儲、處理、傳遞和輸出的涉密信息及其介質應有相應的密級標志，同時明確規定電子文件密級標志應與信息主體不可分離，保證涉密信息系統的密級標志管理符合國家保密要求。

• 用戶管理與授權管理制度：主要對涉密信息系統的用戶管理、用戶標識符管理和用戶授權管理等提出明確的要求和規定，保證涉密信息系統的用戶管理與授權管理符合國家保密要求。

工業互聯網安全主要對以下進行保護：

• 設備安全：設備安全包括工廠內單點智能器件、成套智能終端等智能設備的安全，以及智能產品的安全，具體涉及操作系統/應用軟件安全與硬件安全兩方面。

• 控制安全：控制安全包括控制協議安全、控制軟件安全及控制功能安全。

• 網絡安全：網絡安全包括承載工業智能生產和應用的工廠內部網絡、外部網絡及標識解析系統等的安全。

• 應用安全：工業互聯網應用主要包括工業互聯網平臺與軟件兩大類，其范圍覆蓋智能化生產、網絡化協同、個性化定制、服務化延伸等方面。

• 數據安全：數據安全包括生產管理數據安全、生產操作數據安全、工廠外部數據安全，涉及采集、傳輸、存儲、處理等各個環節的數據及用戶信息的安全。

APP滲透測試過程中服務端面臨以下威脅：

• 不安全的中間件：服務器為提供完整的服務所使用的各個中間件，由于未及時更新或未啟用安全的配置可能引發安全漏洞，導致服務器存在遭受攻擊的風險，如IIS文件名解析漏洞、Weblogic反序列化漏洞、SMB遠程命令執行漏洞等，攻擊者可通過這些漏洞獲取服務器敏感信息、執行惡意命令，甚至獲取服務器管理員權限。

• 認證與會話管理：服務器提供的身份認證和會話管理機制存在安全漏洞，如系統關鍵組件或應用使用弱口令，對于高安全級別的系統未采用雙因子認證方式，無防止認證口令或驗證碼暴力破解攻擊的機制，未對SessionID的生成、過期和銷毀進行安全配置等，攻擊者可利用這些漏洞在非授權的情況下登錄系統并執行惡意操作。

• 訪問控制：開發者未對用戶登錄系統后的操作進行進一步的訪問權限控制，服務端對從客戶端收到的對數據進行增、刪、改、查詢等操作的請求未進行鑒權處理，導致攻擊者可執行超出自身賬戶權限的操作。

• 注入：應用運行時可能需要調用一些向前端寫入內容、查詢數據或執行系統命令的函數，如果用戶能控制這些函數的輸入，而開發者未對輸入的內容進行嚴格的過濾，攻擊者可以在前端提交惡意構造的輸入，進行XSS注入、SQL注入、命令注入等攻擊，從而導致服務器重要數據泄露或執行惡意命令。

• 應用層拒絕服務：服務器未對應用的最大連接數或發起請求的IP和頻率進行限制，攻擊者通過并發大量的請求或構造畸形的數據包，如CC攻擊、Slowloris攻擊，造成系統資源耗盡，導致服務器拒絕服務。

• 密碼算法和密鑰管理：應用使用已被證明為不安全的密碼算法對重要數據的傳輸和存儲進行加解密，如使用MD5算法對用戶口令進行存儲，使用DES算法對數據進行加密傳輸，可能導致攻擊者獲取密文后短時間內恢復出明文信息；應用使用不安全的方式進行密鑰管理，如將系統使用的密鑰明文編碼在應用代碼中或在服務器配置文件中明文存儲，將導致攻擊者輕易獲取數據加解密密鑰，進而得到加密數據的明文信息。

WAF防護主動檢測方式有以下這些：

• 網絡行為歸類方式：正常的訪問流量中，用戶的正常流量占據主要份額。因此，WAF可將正常行為進行歸類識別，并形成對應正常行為的字符串。再利用識別后得到的字符串進行匹配，對通過設備的流量進行預篩選，提高檢測效率。

• 不同位置的主動檢測方式：主動檢測技術可通過在任意的HTTP頭部字段、HTTP BODY字段中插入flag的方式對敏感行為進行標記，并針對后續行為進行觀察，確認流量的合法性。

• 多種檢測條件的邏輯組合方式：WAF支持將多個檢測條件組合使用，并支持復雜規則的定義，用于為各類站點提供定制化的防護體系。

• 自定義規則檢測方式：支持正則表達式，通過自己編寫正則表達式來自定義要檢測的位置和內容，可在復雜業務場景下實現防護規則的自定義。

• 定期輪詢方式：用一個網頁讀取和檢測程序，以輪詢方式讀出要監控的網頁，與已經緩存好的真實網頁進行比較，從而判斷網頁內容的完整性，對其中的修改內容進行合法性判斷，并對被篡改的網頁進行報警和恢復。

• 軟件監控方式：將篡改檢測模塊安裝在Web服務器中，針對每次訪問都進行完整性檢查。對篡改網頁及在線攻擊行為進行實時訪問阻斷，并予以報警和恢復。在使用效果方面，這種方式類似于使用一套WAF系統，只不過是以軟件形式，部署在服務器的網卡出口處進行防護。

混合云的目標架構有以下優勢：

• 降低成本：降低成本是云計算最吸引人的優勢之一，也是驅使企業管理層考慮云服務的重要因素。升級預置基礎設施的增量成本很高，增加預置的計算資源需要購置額外的服務器、存儲、配套電源，甚至在某些極端情況下需要新建數據中心。混合云可以幫助企業降低成本，利用即用即付的模式來減少購買本地資源的投資。

• 增加存儲可擴展性：混合云為企業擴展存儲提供了經濟高效的方式，云存儲的成本相比等量本地存儲要低得多，是備份、復制虛擬機和數據歸檔的不錯選擇。除此之外，云存儲沒有前置成本和建設本地資源的需求。

• 提高可用性和訪問能力：雖然云計算目前并不能保證服務永遠正常，但公有云通常會比大多數本地基礎設施具有更高的可用性。云內置有冗余功能，并提供關鍵數據的異地數據同步。另外，像Hyper-V副本和SQL Server Always On可用性組等技術可以利用云計算來改進高可用性并進行災備。云還提供了幾乎無處不在的連接，使全球組織幾乎可以從任何位置訪問云服務。

• 提高敏捷性和靈活性：混合云最大的好處之一就是靈活。混合云使用戶能夠將資源和工作負載從本地遷移到云端，反之亦然。對于開發和測試而言，混合云使開發人員能夠輕松搞定新的虛擬機和應用程序，而無需 IT運維人員的協助。此外，用戶還可以利用具有彈性伸縮的混合云，將部分應用程序擴展到公有云中，以應對峰值處理需求。混合云還提供了各種各樣的服務，如高性能計算、智能制造、游戲開發、云上辦公、企業云盤、物聯網應用等，用戶可以隨時使用這些服務，而不用自己構建。

• 獲得應用集成優勢：大多應用程序都提供了內置的混合云集成功能，例如 Hyper-V副本和 SQL Server Always On可用性組。SQL Server的 Stretch Database功能也能夠將數據庫從內部部署到云中。混合云已經成為許多企業 IT基礎架構的核心組件。混合云即付即用的模式使其成為一種低成本高效益的選擇，可以為各類企業帶來諸多好處。

X.800定義了以下五類安全服務：

• 認證：認證服務與保證通信的真實性有關。在單條消息下，如一條警告或報警信號認證服務是向接收方保證消息來自所聲稱的發送方。對于正在進行的交互，如終端和主機連接，就涉及兩個方面的問題：首先，在連接的初始化階段，認證服務保證兩個實體是可信的，也就是說，每個實體都是它們所聲稱的實體；其次，認證服務必須保證該連接不受第三方的干擾，例如，第三方能夠偽裝成兩個合法實體中的一方，進行非授權的傳輸或接收。2022-12-13 16:07:42 星期二

• 訪問控制：在網絡安全中，訪問控制對那些通過通信連接對主機和應用的訪問進行限制和控制。這種保護服務可應用于對資源的各種不同類型的訪問。例如，這些訪問包括使用通信資源、讀/寫或刪除信息資源或處理信息資源的操作。為此，每個試圖獲得訪問控制權限的實體必須要在經過認證或識別之后，才能獲取其相應的訪問控制權限。

• 數據保密性：保密性是防止傳輸的數據遭到諸如竊聽、流量分析等被動攻擊。對于數據傳輸，我們可以提供多層的保護。最常使用的方法是在某個時間段內對兩個用戶之間所傳輸的所有用戶數據提供保護。例如，若兩個系統之間建立了TCP連接，這種最通用的保護措施可以防止在TCP連接上傳輸用戶數據的泄露。此外，還可以采用一種更特殊的保密性服務，它可以對單條消息或對單條消息中的某個特定的區域提供保護。這種特殊的保護措施與普通的保護措施相比，所使用的場合更少，而且實現起來更復雜、更昂貴。保密性的另外一個用途是防止流量分析。它可以使攻擊者觀察不到消息的信源和信宿、頻率、長度或通信設施上的其他流量特征。

• 數據完整性：與數據的保密性相比，數據完整性可以應用于消息流、單條消息或消息的選定部分。同樣，最常用和直接的方法是對整個數據流提供保護。 面向連接的完整性服務保證收到的消息和發出的消息一致，不存在對消息進行復制、插入、修改、倒序、重發和破壞。因此，面向連接的完整性服務也能夠解決消息流的修改和拒絕服務兩個問題。另一方面，用于處理單條消息的無連接完整性服務通常僅防止對單條消息的修改。另外，我們還可以區分有恢復功能的完整性服務和無恢復功能的完整性服務。因為數據完整性的破壞與主動攻擊有關，所以重點在于檢測而不是阻止攻擊。如果檢測到完整性遭到破壞，那么完整性服務能夠報告這種破壞，并通過軟件或人工干預的辦法來恢復被破壞的部分。在后面我們可以看到，有些安全機制可以用來恢復數據的完整性。通常，自動恢復機制是一種非常好的選擇。

• 不可否認性：不可否認性防止發送方或接收方否認傳輸或接收過某條消息。因此，當消息發出后，接收方能證明消息是由所聲稱的發送方發出的。同樣，當消息接收后，發送方能證明消息確實是由所聲稱的接收方收到的。

交換機和路由器的實際操作雖然不同但是他們的啟動過程卻是大致相同的。交換機和路由器的啟動過程包括：

1. 加電自檢：ROM運行加電自檢程序，檢查路由器的處理器、接口、內存等硬件設備。

2. 執行引導：程序查找并載入IOS。引導程序（Bootstrap）搜索IOS并載入主內存，路由器中的IOS可從Flash ROM中載入，或從ROM中載入，也可從TFTP服務器中載入，默認是從Flash ROM中載入。

3. 載入啟動配置文件：IOS載入后接管系統控制權，開始查找并載入啟動配置文件startup-config，該文件存儲在NVRAM中。

4. 執行配置文件：把啟動配置文件startup-config載入主內存成為運行的配置文件running-config，配置命令被系統執行，完成IOS初始化。

工業大數據有以下特點：

• 數據容量大（volume）：數據的大小決定所考慮的數據的價值和潛在的信息。工業數據體量比較大，大量機器設備的高頻數據和互聯網數據持續涌入，大型工業企業的數據集將達到PB級甚至EB級別。

• 多樣（variety）：指數據類型的多樣性和來源廣泛。工業數據分布廣泛，分布于機器設備、工業產品、管理系統、互聯網等各個環節，并且結構復雜，既有結構化和半結構化的傳感數據，也有非結構化數據。

• 快速（velocity）：指獲得和處理數據的速度。工業數據處理速度需求多樣，生產現場級要求分析時限達到毫秒級，管理與決策應用需要支持交互式或批量數據分析。

• 價值密度低（value）：工業大數據更強調用戶價值驅動和數據本身的可用性，包括：提升創新能力和生產經營效率及促進個性化定制、服務化轉型等智能制造新模式變革。

• 時序性（sequence）：工業大數據具有較強的時序性，如訂單、設備狀態數據等。

• 強關聯性（strong-relevance）：一方面，產品生命周期同一階段的數據具有強關聯性，如產品零部件組成、工況、設備狀態、維修情況、零部件補充采購等；另一方面，產品生命周期的研發設計、生產、服務等不同環節的數據之間需要進行關聯。

• 準確性（accuracy）：主要指數據的真實性、完整性和可靠性，更加關注數據質量以及處理、分析技術和方法的可靠性。對數據分析的置信度要求較高，僅依靠統計相關性分析不足以支撐故障診斷、預測預警等工業應用，需要將物理模型與數據模型結合，挖掘因果關系。

• 閉環性（closed-loop）：包括產品全生命周期橫向過程中數據鏈條的封閉和關聯以及智能制造縱向數據采集和處理過程中，需要支撐狀態感知、分析、反饋、控制等閉環場景下的動態持續調整和優化。

等級保護的作用如下：

• 等級保護是國家信息安全保障工作的基本制度、基本國策，是開展信息安全工作的基本方法 ，是促進信息化、維護國家信息安全的根本保障 。

• 實行信息安全等級保護制度，能夠有效提高我國信息和信息系統安全建設的整體水平。有利于在進行信息化建設的同時建設新的安全設施，保障信息安全和信息化建設相協調；有利于為信息系統安全建設和管理提供系統性、針對性、可行性的指導和服務，有效控制信息安全建設成本；有利于優化安全資源的配置，有利于保障基礎信息網絡和關系國家安全、經濟命脈、社會穩定等方面重要信息系統的安全等。

• 通過開展信息安全等級保護工作，可以有效解決我國信息安全面臨的威脅和存在的主要問題，充分體現“適度安全、重點保護”的目的。

• 信息安全等級保護是國家意志的體現，在國家信息安全保障工作中只有等級保護制度是強制實施的，實行信息安全等級保護制度，能夠充分調動國家、法人、其他組織和公民的積極性，發揮各方面的作用，達到有效保護的目的，增強安全保護的整體性、針對性和實效性，是新系統安全建設更加突出重點、 統一規范、科學合理，對促進我國信息安全的發展起到重要的推動作用。

是否要留著邁克菲主要根據自身需求來決定，邁克菲本身會和其他殺毒軟件沖突，如果有企業級殺毒軟件則可以將邁克菲卸載，如果是沒有更好的替代者可以留著邁克菲，邁克菲提供一年免費使用權限，如果影響正常工作可以關閉實施掃描功能，其次，McAfee是需要學習成本的，并不是那么容易上手。

McAfee Stinger & Raptor(邁克菲殺毒軟件)功能特點：

• 借助一流高級的防惡意軟件保護，遠離特洛伊木馬程序、病毒、間諜軟件、Rootkit 和其他威脅；
• 無需再顧慮性能影響 - 高級掃描引擎在快速檢查威脅的同時，不會降低電池性能；
• 杜絕威脅和僵尸網絡 - 邁克菲主動保護和網絡保護技術充當您的堅實后盾；
• 文件加密，將機密文件鎖定至受密碼保護的存儲庫中，以保障您的身份信息和數據安全；
• 社交網絡保護，借助 URL 縮短器創建簡短可靠的 URL，傳播新聞消息但不傳播垃圾郵件或惡意軟件；
• 無線網絡防護，在連接到開放的無線網絡時防止竊聽器竊取您的密碼和個人文件；
• 隱私和 PC 優化工具，查找并修復 Windows 和應用程序中的漏洞，刪除不必要的文件來提高 PC 的性能；
• 邁克菲文件粉碎機，安全地銷毀諸如稅務文檔之類的敏感文件；
• 阻止少兒不宜的站點并設置互聯網使用的時限，通過一份詳細的使用報告，充分了解孩子的上網活動；
• 查看用戶登錄次數、被禁止站點的訪問嘗試次數以及總在線時間；
• 垃圾郵件和危險電子郵件過濾器，收件箱再也不會遇到危險和討厭的電子郵件了；
• 雙向防火墻，阻擋黑客并防止惡意軟件利用您的操作系統或竊取重要信息；
• 網絡入侵安全，揪出竊取互聯網連接的盜賊 -“我的家庭網絡”顯示所有連接的設備；
• 高級上網保護，針對網站進行紅色、黃色和綠色的安全評級；
• 上網保護插件防止電子郵件和即時消息中的網絡釣魚URL。

1g帶寬的防火墻前吞吐量大概在122M/S， 理論上1M（即1Mb/s）寬帶理論速率是：125KB/s（即1000Kb/s），實際速率（吞吐量）大約為40—100kB/s，其受用戶計算機性能、網絡設備質量、資源使用情況、網絡高峰期、網站服務能力、線路衰耗，信號衰減等多因素的影響而存在誤差。

吞吐量是衡量一款防火墻或者路由交換設備的最重要的指標，它是指網絡設備在每一秒內處理數據包的最大能力。吞吐量意味這臺設備在每一秒以內所能夠處理的最大流量或者說每一秒內能處理的數據包個數。設備吞吐量越高，所能提供給用戶使用的帶寬越大，就像木桶原理所描述的，網絡的最大吞吐取決于網絡中的最低吞吐量設備，足夠的吞吐量可以保證防火墻不會成為網絡的瓶頸。舉一個形象的例子，一臺防火墻下面有100個用戶同時上網，每個用戶分配的是10Mbps的帶寬，那么這臺防火墻如果想要保證所有用戶全速的網絡體驗，必須要有至少1Gbps的吞吐量。

勒索病毒傳播方式有：

• 遠程桌面入侵：攻擊者大多利用弱口令漏洞、系統漏洞等方式獲得遠程登錄用戶名和密碼，之后通過RDP（遠程桌面協議）遠程登錄目標服務器并運行勒索病毒程序。“黑客”一旦能夠成功登錄服務器，就可以在服務器上為所欲為。即使服務器上安裝了安全軟件，也有可能會被黑客第一時間手動退出，以便于后續投毒勒索。

• 共享文件夾入侵：此類病毒通常會結合遠程桌面入侵，對本地磁盤與共享文件夾的所有文件進行加密，導致系統、數據庫文件被加密破壞。

• 網站掛馬：黑客通過在色情網站某些頁面中嵌入惡意代碼文件，當網民、企業員工訪問色情網站時，觸發惡意代碼，導致電腦被勒索病毒感染，嚴重者甚至會感染整個組織機構/企業的網絡。

• 惡意軟件：黑客利用惡意軟件試圖獲取計算機系統和網絡的資源以及在未獲得用戶的許可時得到其私人的敏感信息，如個人信息憑證，并以此進一步入侵網絡，實施勒索病毒入侵。

• 郵件傳播：這種傳播方式也是病毒界老套路的傳播方式。病毒執行體附著于郵件附件的docx、XLS、TXT等文件中，攻擊者以廣撒網的方式大量傳播垃圾郵件、釣魚郵件，一旦收件人打開郵件附件或者點擊郵件中的鏈接地址，勒索軟件會以用戶看不見的形式在后臺靜默安裝，實施勒索。

• 漏洞傳播：這種傳播方式是這幾年非常流行的病毒傳播方式。通過網絡、系統、應用程序的漏洞攻擊用戶。例如國內曾經泛濫的WannaCry就是這樣的典型：利用微軟445端口協議漏洞，感染傳播網內計算機。

• 捆綁傳播：與其他惡意軟件捆綁傳播，這種傳播方式這兩年有所變化。有用戶使用P2P下載例如Bt、迅雷、電驢等下載工具下載文件后，勒索病毒體同下載文件進行捆綁導致用戶感染。

• 介質傳播（如U盤蠕蟲傳播）：可移動存儲介質、本地和遠程的驅動器以及網絡共享傳播、社交媒體傳播。

面對企業上云需要注意的安全事項包括：

企業上云的可行性與必要性

首先企業應具備上云的認知和意識，要知道自己為什么而上云。企業上云應以提升企業發展能力、解決實際業務問題為出發點，優先選擇業務特征與云計算特點相契合、上云價值效益明顯的信息系統上云。

企業上云應注意科學制定部署模式

企業需要根據自身需求部署云架構。大型企業可建立私有云，部署數據安全要求高的關鍵信息系統；可將連接客戶、供應商、員工的信息系統采用公有云部署，并與私有云共同形成混合云架構。

對于數據安全要求高且需對外連接提供服務的信息系統，可考慮采用數據存儲于私有云、應用部署于公有云的混合云架構。中小企業和創業型企業可依托公有云平臺，按需租用存儲、計算、網絡等基礎設施資源，以便提高經營管理水平和效率，加快形成業務能力，開展業務和服務模式創。

企業應根據自身條件和需求，選擇云服務

云服務分成多種模式，有基礎設施類、平臺系統類、業務應用類等，企業首先要經過自身生產、經營、管理的不同特性進行評估，選擇適合自己的平臺服務類型。

穩妥有序推進企業上云

企業上云應遵循評估分析——選擇平臺——設計上云方案——測試和部署——驗證和總結——運維與安全保障——效果評估的步驟有序進行。

企業開展上云工作，可從性價比、可用性、可擴展性、安全性、合規性等方面進行調研分析，并最終根據自身實際選擇合適步驟，適當簡化流程，有序實施上云。

提升業務支撐能力

服務支撐包含云平臺服務商的技術水平和服務能力，針對不同行業、不同企業差異化需求，基于云計算平臺開展產品、服務和解決方案的開發測試，加快豐富云計算產品服務供給。與此同時，應加強專業人才隊伍建設，以便更好地為上云企業提供方案咨詢和定制服務。

公有云平臺要支持虛擬化技術需要包括以下功能：

• 虛擬機創建：平臺能夠從操作系統安裝鏡像或虛擬機鏡像模板兩種方式為用戶創建虛擬機實例。用戶可以通過針對不同的應用場景創建虛擬機模板（包含操作系統和常用辦公軟件）來提高虛擬機創建效率。

• 虛擬機重新配置：虛擬機創建后，當資源不能滿足用戶需求時，用戶可以按需對資源進行重新配置，如提供更多的CPU、存儲、內存、網絡資源等。

• 虛擬機備份：平臺能夠根據用戶需求，對用戶當前的虛擬機鏡像進行保存，用戶的虛擬機實例所有的應用數據、硬盤數據將作為一個整體被保存下來。用戶虛擬機的內存文件也可以被保存下來，以備用戶選擇時間點進行恢復。

• 虛擬機恢復：平臺能夠根據用戶需求選擇虛擬機備份文件，對虛擬機整體進行恢復。虛擬機恢復時間一般小于10秒，從而保證系統更大的安全性和穩定性。

• 虛擬機遷移：平臺能夠實現虛擬機從一臺物理機遷移到另一臺物理機上的運行。虛擬機遷移是平臺實現負載平衡和容災恢復的基礎。