• 采用安全交換機

由于內網的信息傳輸采用廣播技術，數據包在廣播域中很容易受到監聽和截獲，因此需要使用安全交換機，利用網絡分段及VLAN的方法從物理上或邏輯上隔離網絡資源，以加強內網的安全性。

• 操作系統的安全

從終端用戶的程序到服務器應用服務、以及網絡安全的很多技術，都是運行在操作系統上的，因此，保證操作系統的安全是整個安全系統的根本。除了不斷增加安全補丁之外，還需要建立一套對系統的監控系統，并建立和實施有效的用戶口令和訪問控制等制度。

• 對重要資料進行備份

在內網系統中數據對用戶的重要性越來越大，實際上引起電腦數據流失或被損壞、篡改的因素已經遠超出了可知的病毒或惡意的攻擊，用戶的一次錯誤操作，系統的一次意外斷電以及其他一些更有針對性的災難可能對用戶造成的損失比直接的病毒和黑客攻擊還要大。

為了維護企業內網的安全，必須對重要資料進行備份，以防止因為各種軟硬件故障、病毒的侵襲和黑客的破壞等原因導致系統崩潰，進而蒙受重大損失。

對數據的保護來說，選擇功能完善、使用靈活的備份軟件是必不可少的。目前應用中的備份軟件是比較多的，配合各種災難恢復軟件，可以較為全面地保護數據的安全。

• 使用代理網關

使用代理網關的好處在于，網絡數據包的交換不會直接在內外網絡之間進行。內部計算機必須通過代理網關，進而才能訪問到Internet ，這樣操作者便可以比較方便地在代理服務器上對網絡內部的計算機訪問外部網絡進行限制。

在代理服務器兩端采用不同協議標準，也可以阻止外界非法訪問的入侵。還有，代理服務的網關可對數據封包進行驗證和對密碼進行確認等安全管制。

• 設置防火墻

防火墻的選擇應該適當，對于微小型的企業網絡，可從Norton Internet Security 、 PCcillin 、天網個人防火墻等產品中選擇適合于微小型企業的個人防火墻。

下面列舉幾種主要的網絡安全威脅方式:

• 偽裝或假冒

  某個未授權實體偽裝或假冒成另一個被授權實體，從而非法獲取系統的訪問權限或得到額外的特權。它通常和消息的重放及篡改等主動攻擊形式同時使用。

• 否認或抵賴

  網絡用戶虛假地否認發送過的信息或接收到的信息。威脅源可以是用戶和程序，受威脅對象是用戶。

• 破壞完整性

  對正確存儲的數據和通信的信息流進行非法的篡改、刪除或插人等操作，從而使得數據的完整性遭到破壞。

• 破壞機密性

  用戶通過搭線竊聽、網絡監聽等方法非法獲得網絡中傳輸的非授權數據的內容.或者通過非法登錄他人系統得到系統中的明文信息。

• 信息量分析

  攻擊者通過觀察通信中信息的形式，如信息長度、頻率、來源地、目的地等，而不是通信的內容.來對通信進行分析。

• 重放

  攻擊者利用身份認證機制中的漏洞.先把別人有用的密文消息記錄下來，過一段時間后再發送出去，以達到假冒合法用戶登錄系統的目的。

• 重定向

  網絡攻擊者設法將信息發送端重定向到攻擊者所在計算機,然后再轉發給接收者。例如,攻擊者偽造某個網上銀行域名,用戶卻以為是真實網站，按要求輸人賬號和口令.攻擊者就能獲取相關信息。

• 拒絕服務

  攻擊者對系統進行非法的、根本無法成功的大量訪問嘗試而使系統過載，從而導致系統不能對合法用戶提供正常訪問。

• 惡意軟件

  通過非法篡改程序的方式來破壞操作系統通信軟件或應用程序,從而獲得系統的控制權。主要的惡意軟件有病毒、蠕蟲、特洛伊木馬間諜程序以及其他黑客程序等。

• 社會工程

  所謂社會T程(social engineering).是指利用說服或欺騙的方式，讓網絡內部的人(如安全意識薄弱的職員)來提供必要的信息，從面獲得對信息系統的訪問。它其實是高級黑客技術的一種,往往使得看似處在嚴密防護下的網絡系統出現致命的突破口。

安全配置操作系統服務時有以下這些注意事項：

• 根據服務的描述以及業務的需求，確定是否使用此服務。

• 具體每個服務的內容和功能，請參考微軟的說明和咨詢業內安全專家。

• 禁止或者設置成手動啟動的方式處理系統非必須的服務。

• 如對系統可能造成的影響不了解，在測試環境中測試驗證通過以后，再在應用環境中部署。

• 對于安裝應用程序同步安裝的服務，如無必要，應將其關閉。

加強操作系統安全性的方法有以下這些：

• 更換默認密碼：如此之多的設備和應用程序使用的還是默認的用戶名和密碼，這種情況多少有些令人驚訝。網絡攻擊者也清楚地認識到這一點。如果不相信的話，可以在網上搜索默認密碼，就會明白更換它們的重要性了。采用有效的密碼策略是最好的辦法;對于網絡安全來說，任何字符串密碼與默認密碼相比，都是向正確方向邁出的一大步。

• 不要重復使用密碼：相同的用戶名/密碼組合被頻繁地重復使用，這樣做可以帶來很大的方便。但不法之徒也會了解到這一點。如果他們獲得了一個用戶名/密碼組合，就會在其它地方進行嘗試。不要為他們提供方便。很多有用的密碼助手只需要記住可以進入的主密碼就可以了。此后，只要選擇對應的項目就可以完成整個操作。

• 在員工離職時，立即禁用其帳戶：當攻擊者獲得內部信息的時間，更容易造成安全漏洞。因此，必須在員工離開的時間，禁用其使用的所有帳戶。這與員工的整個離職過程是否友好并沒有關系。

• 審查安全日志：優秀的系統管理員了解基線的位置并且會天天對系統日志進行審查。由于本文講述的是安全漏洞的相關內容，因此，在這里，特別強調安全日志，因為它們是安全的第一道防線。舉例來說，當審查Windows服務器安全日志時，系統管理員發現了529起事件(未知用戶名或錯誤密碼導致的登陸失敗)。這就是一個警告。系統管理員應該確認是有用戶忘記了密碼，還是攻擊者正試圖進行連接。

• 定時進行網絡掃描：對于系統基線目錄來說，對網絡掃描結果進行對比是非常重要的。它可以讓系統管理員了解網絡的實際情況，并在流氓設備出現于網絡中時立即給予警告。掃描網絡的一種方法是使用微軟內置的net view命令。另一種方法是采用免費工具。他們采用了圖形用戶截面，擁有的功能也更加豐富。

• 監控網絡外部流量：惡意軟件正在變得越來越隱蔽，以防止被發現。對其進行監測的一種方法就是監控網絡外部流量。當外部數據流量偏離正常的基線時，就需要提高警惕了。說實話，這可能是敏感信息被竊取或電子郵件群發器正在濫發郵件的唯一跡象了。

• 定期安裝補丁和更新軟件：保證操作系統及應用軟件的及時更新，是挫敗來自網絡外部邊界(因特網)攻擊企圖的最佳方式。就這么簡單。如果操作系統和應用軟件不存在缺陷，漏洞就無法起作用。

堡壘機是一種運維安全審計系統。主要的功能是對運維人員的運維操作進行審計和權限控制。同時堡壘機還有賬號集中管理，單點登陸的功能。堡壘機不僅集中管理和分配全部賬號，更重要的是能對運維人員的運維操作進行嚴格審計和權限控制，確保運維的安全合規和運維人士的最小化權限管理，堡壘機出現可以解決許多切實的問題。

堡壘機一般支持的協議有圖形（RDP/VNC/X11）、字符（SSH/TELNET）、文件（FTP/SFTP）和一些數據庫協議（MySQL、Oracle）等等。

目前國內專業做堡壘機的廠商有綠盟、思福迪、齊智、江南科友等。在產品的選擇方面，考慮的因素有易用性、安全性等。因為堡壘機本身具有很高的權限，因此在安全性方面特別需要注意。建議選擇一些有專業網絡安全背景的廠商的產品。例如綠盟等。

邊緣計算以下特征決定是云計算的拓展：

• 邊緣分布、位置感知、低延遲：邊緣計算由許多分布式的終端節點組成邊緣網絡。邊緣節點在網絡邊緣為終端設備提供豐富的服務，因此，可以實現低延遲和環境感知的特性。

• 分層組織結構：分層代表了邊緣計算不同組成部分的不同特征和計算能力，云中心提供集中化海量資源，綜合情況作全局決策。邊緣節點使得數據的處理和服務更加靠近終端設備以降低時耗和功耗。

• 地理分布密集：隨著萬物互聯的進一步發展，移動終端設備的數量達到了前所未有的程度，邊緣的服務和應用分布式部署以應對地理密集的服務請求。

• 實時交互：在邊緣計算很多應用場景中，必須實現毫秒級的反應和交互，應用批處理必不可少。比如，車聯網中的路邊單元監控實時路況，必須做到多因素全方位檢測并與來往行人車輛及時交互。

• 高異構性：邊緣節點可能屬于不同地理位置上分離的服務提供商，形成大規模異構的計算網絡。邊緣節點在網絡架構的不同層中是高動態且異構的。

• 安全性：通過減少信息需要傳輸的距離，竊聽的幾率會大幅度降低。利用基于鄰近距離的認證技術，身份驗證會得到增強。邊緣計算的其他特性天然地增強了其安全性。 邊緣計算實現的驅動力量得益于不同類型的技術。

OT/IT環境的問題根源來自以下方面:

• 大約50%的工控系統漏洞屬于二級漏洞（針對感應器的攻擊，改動他們的讀數或者相關數值設定）。而即使如此，這些漏洞依然被標記為了“高危”。另外，攻擊者也會通過攻擊工控系統逐漸攻入整個核心系統，造成更大的影響。

• 在針對OT系統的攻擊當中，有74%的攻擊采用了“注入意外項目”的攻擊方式。與IT相關的攻擊進行類比來看，這種攻擊類似于SQL注入：通過在命令中惡意輸入其他數據來嘗試擾亂與控制系統。安全廠商和企業顯然要針對這個攻擊進行防護，對指令的輸入等進行監控和過濾。

• 攻擊者主要來自于外部人員——超過90%的攻擊來自于外部人員。這些外部人員包括資金充裕的黑客、有組織的犯罪集團和民族國家攻擊者等。同時我們必須注意到，在剩下的9%的攻擊人員中，有5%是因為疏忽的內部人員以及4%的惡意人員。

OT安全的解決理念：

• 集中式補丁修復，注意數據輸入“衛生”：既然知道了現在最多的攻擊類型是注入型攻擊，那么企業就應該進行相對應的防御。而針對于這類攻擊，最直接的防御方式就是對系統進行補丁升級與漏洞修復。然而，正如前面所言，工控系統的問題之一是設備繁多，設計相對封閉與獨立，不易于統一進行升級，那么在選取相關的安全廠商時，則需要尋找有相對能力的安全廠商。

• 終端與事件的響應：工控數據的復雜性造成了對于注入型攻擊的識別困難，但是終端需要通過快速識別和檢測注入來應對這種最主流的攻擊方式。另一方面，這些OT系統本身的性質決定了他們無法隨意地進行阻斷或者停止服務來阻止攻擊的擴散。所以，企業需要一支專業的響應團隊來應對事件的發生。

• 威脅情報進行攻擊預防：考慮到很多的工控攻擊是來自于有組織的外部攻擊者，如果企業有威脅情報進行輔助，就能在攻擊發生前意識到自己面臨的風險，從而進行相對應的防護。

• 敏感信息保護：制造業除了維持日常生產的安全，還要對自己的商業機密進行額外的保護。因此，企業需要一套對數據資產的保護措施，從數據的生成、存儲、使用、共享、歸檔與銷毀，建立完善的數據保護制度，并根據相對應的要求，從技術上對數據進行保護。

企業在OT安全管理方面普遍存在的問題是：

• 工業設備資產可視性嚴重不足：工業設備可視性不足嚴重阻礙了安全策略的實施。工業企業的IT團隊一般不負責OT的資產，而是由OT團隊負責OT資產。但因為生產線系統是歷經多年由多個自動化集成商持續建設的，因此OT團隊對OT資產的可視性十分有限，甚至沒有完整的OT資產清單，關于OT資產的漏洞基本無人負責和收集，也不能及時發現安全問題。在出現問題時，也僅能靠人員經驗排查，且排查過程耗費大量人力成本、時間成本。

• 工業設備缺乏安全設計：各類機床數控系統、PLC、運動控制器等所使用的控制協議、控制平臺、控制軟件等，在設計之初可能未考慮保密性、完整性、身份校驗等安全需求，存在輸入驗證不嚴格，許可、授權與訪問控制不嚴格，沒有身份驗證，配置維護不足，憑證管理不嚴，加密算法過時等安全隱患。例如，國產數控系統所采用的操作系統可能是基于某一版本的Linux系統進行裁剪的，所使用的內核、文件系統、對外服務等，一旦穩定后均不再修改，可能持續使用多年，有的甚至超過十年，而這些內核、文件系統、對外服務多年來暴露出的漏洞并未得到更新，安全隱患長期存在。

• OT安全制度不完善管理不到位：在很多大中型工業企業中，IT安全制度和管理措施一般比較到位，但OT安全制度和管理措施卻較為欠缺。目前，還未形成完整的制度保障OT安全，缺乏工業控制系統規劃、建設、運維、廢止全生命周期的安全需求和管理，欠缺配套的管理體系、處理流程、人員責任等規定。

• IT和OT安全責任模糊：很多工業企業的信息中心管理OT網絡和服務器的連接與安全，但往往對于OT網絡中的生產設備與控制系統的連接沒有管轄權限。而這些設備、控制系統也是互聯的，有些就是基于IT實現的，如操作員站、工程師站等。因此，常見的IT威脅對OT系統也有影響。OT的運維團隊一般會對生產有效性負責，但往往并不會對網絡安全性負責。對于很多工業企業來說，生產有效性通常都比網絡安全性更重要。

• IT安全措施在OT領域幾乎無效：較多工業企業在OT設置中使用IT安全措施，但沒有考慮其對OT的影響。例如，國內某汽車企業，IT安全團隊按照IT安全要求主動掃描OT網絡，結果導致汽車生產線PLC出現故障，引起停產。

• 工業主機幾乎“裸奔”：工業企業的OT網絡中存在著大量工業主機，如操作員站、工程師站、歷史數據服務器、備份服務器等。這些PC或服務器中運行實時數據庫、監視系統、操作編程系統等，向上對IT網絡提供數據，向下對OT中的控制設備及執行器進行監視和控制，它們是連接信息世界和物理世界的“關鍵之門”。但在實際生產環境中，這些工業主機基本沒有任何安全防護措施，即使有一部分有防護措施，也常因沒有及時更新而失效，工業主機幾乎處在“裸奔”狀態。近年來不斷發生的各類工業安全事件中，首先遭到攻擊或受影響的往往都是工業主機。

• 設備聯網混亂，缺乏安全保障：工業控制系統中越來越多的設備與網絡相連，如各類數控系統、PLC、應用服務器通過有線網絡或無線網絡連接，形成工業網絡；工業網絡與辦公網絡連接，形成企業內部網絡；企業內部網絡與外部云平臺、第三方供應鏈、客戶網絡連接，形成工業互聯網。但很多工業企業的IT和OT網絡并沒有進行有效的隔離，部分工業企業雖然進行了分隔，并設置了訪問策略，但有的員工為方便，私自設置各類雙網卡機器，使得IT、OT網絡中存在許多不安全、不被掌握的通信通道。

• OT缺乏安全響應預案和恢復機制IT工作計劃和OT工作計劃往往是兩張皮，IT安全事件響應計劃與OT之間的協調往往十分有限。很多OT網絡在制定生產事故應對計劃時，都沒有考慮過網絡安全事件的處理。同時，由于缺乏備份和恢復機制，OT中的網絡安全事件恢復速度往往很慢。

• IT和OT人員安全培訓普遍缺失：隨著智能制造的網絡化和數字化發展，OT與IT在工業互聯網中高度融合。企業內部人員，如工程師、管理人員、現場操作員、企業高層管理人員等，其“有意識”或“無意識”的行為，可能會破壞工業系統、傳播惡意軟件或忽略異常情況。由于網絡的廣泛使用，這些影響將被放大。很多企業雖然有IT組織負責IT網絡安全，但其往往會忽視IT和OT之間的差異。IT和OT人員的安全培訓普遍缺失。

• 工業數據面臨丟失、泄露、篡改等安全威脅：工業互聯網中的生產管理數據、生產操作數據，以及客戶信息和訂單數據等各類數據（無論數據是通過大數據平臺存儲的，還是分布在用戶、生產終端和設計服務器等多種設備中），都可能面臨丟失、泄露和篡改等安全威脅。

• 第三方人員管理體制不完善：大部分的企業會將設備的建設運維工作外包給設備商或集成商，尤其針對國外廠商，企業多數情況并不了解工業控制設備的技術細節，對于所有的運維操作無控制、無審計，留有安全隱患。

企業在OT安全管理方面存在問題的解決措施如下：

• 落實安全規章制度：都說無規矩不成方圓，在哪里都要守規矩，這一點在企業里尤為重要，企業辦法安全規章制度，員工們要嚴格遵守制度，包括外來人員進入企業也要遵守公司規章制度。如果企業規章制度成了一種形式，員工遵不遵守都可以，這樣還能確保安全問題嗎。另外，在有可能出現安全事故的地方，貼上標語等一些提醒物。避免安全事故的發生。

• 企業定期舉行安全教育會議：安全問題是一項不可忽視的重要問題，但是這個問題往往不被人重視。只有一遍一遍的強調才能深入人心。企業可以定期舉行教育會議，在會議上要不厭其煩的強調安全問題的重要性。另外還可以在通過宣傳欄宣布安全生產責任制，提高員工的安全意識，同時還要派專人監督，嚴格實施各項措施。

• 從細節做起：有的時候細節決定成敗。一個人如果細心，在周圍能發現很多別人發現不了的事情。在安全管理上如果能注重細節，一定會減少安全事故的發生。在工廠里，像一根鐵絲如果不小心同樣會引發安全事故，一個未掐滅的煙頭如果扔在易燃物旁邊，很可能會引發火災，到時候對企業造成的損失是不可估量的。企業里要安排人定期對線路進行排查，由于線路老化加上下雨同樣有可能會引發火災，這些都是微不足道的小事，但是往往這些小事會造成大問題。

• 實施安全獎懲制度：定期對安全管理的員工進行績效檢查，同時進行獎賞和懲罰，用來維護規章制度的嚴肅性，確保規章制度的實施。對于在公司違規的人進行處罰，不管是物質上的還是精神上的，都可以調動員工的積極性。雖然這種行為可能會造成一些員工的不滿，但是這確實是一種有效的方法，可以避免很多安全問題的發生。

HTTP的連接方式有以下三種：

• 持久性連接：即在一個連接中，可以進行多次文檔的請求和響應。服務器在發送完響應后，并不立即釋放連接，瀏覽器可以使用該連接繼續請求其他文檔。連接保持的時間可以由雙方進行協商。

• 無狀態性：是指同一個客戶端(瀏覽器)第二二次訪問同一個Web服務器上的頁面時，服務器無法知道這個客戶曾經訪問過。HTTP的無狀態性簡化了服務器的設計，使其更容易支持大量并發的HTTP請求。

• 非持久性連接：即瀏覽器每請求一個Web文檔，就創建一個新的連接，當文檔傳輸完畢后，連接就立刻被釋放。HTTP1.0、HTTP0.9采用此連接方式。對于請求的Web頁中包含多個其他文檔對象(如圖像.聲音、視頻等)的鏈接的情況，由于請求每個鏈接對應的文檔都要創建新連接，效率低下。

強制瀏覽包括避開瀏覽器導航對應用程序功能訪問順序實施的任何限制。應使用強制瀏覽測試多階段過程或其他區域中的錯誤假設。通常，這些假設會導致可以通過使用強制瀏覽加以利用的訪問控制漏洞。

強制瀏覽是一種針對受保護程度不佳的網站和Web應用程序的攻擊技術，它使攻擊者能夠訪問他們不應該訪問的資源。這些資源可能包含敏感信息。強制瀏覽是由粗心的編碼引起的常見Web應用程序安全性問題。

強制瀏覽由Mitre在CWE-425中正式定義。在來自Open Web Application Security Project的最新OWASP Top-10 2017中，強制瀏覽不視為單獨的類別，而是包含在類別A5：2017-Broken Access Control中。

以下是強制瀏覽攻擊的一些示例。

使用難以猜測的URL

網站或Web應用程序的開發人員使用非常規的文件名和目錄名，很難為有價值的資源創建URL。該URL無需身份驗證即可訪問特權功能。例如：

https://www.example.com/administration/administersite.php

開發人員認為該URL太復雜，無法猜測，沒有鏈接，沒有索引或未提交給Google，因此肯定沒有人會找到它。但是，攻擊者會發現此URL（例如，使用社交工程或其他技術以及諸如蠻力目錄枚舉，文件枚舉，資源枚舉之類的掃描工具）來訪問該URL，并獲得管理員訪問權限。盡管許多開發人員都認為，對于熟練的攻擊者來說，識別資源并不困難。

可預測的資源位置

網站或Web應用程序的開發人員使用簡單身份驗證。用戶通過身份驗證后，便可以訪問網站的任何URL。

攻擊者是該站點的用戶。他們首先訪問以下網頁：

https://www.example.com/userdata.php?id=2258

然后，他們在瀏覽器地址欄中輸入以下URL，嘗試使用代表另一個用戶的URL參數：

https://www.example.com/userdata.php?id=2262

如果身份驗證過于簡單，則他們可以訪問屬于任何其他用戶的敏感數據。他們還可以嘗試以下ID：

https://www.example.com/userdata.php?id=1

在許多情況下，ID = 1可能屬于管理員用戶，并且該頁面可能包含有價值的信息，這些信息將使攻擊者能夠升級其攻擊。

訪問公用文件和目錄

強制瀏覽與其他類似的Web應用程序安全性問題（例如不安全的直接對象引用和目錄列表）密切相關。例如，如果Web服務器打開了目錄列表，則強制瀏覽可能使攻擊者能夠訪問關鍵信息。這里有些例子：

• https://www.example.com/source-code/

  在此示例中，Web服務器打開了目錄列表，攻擊者猜測了通用目錄名稱source-code，從而可以訪問Web應用程序的整個源代碼結構。

• https://www.example.com/configuration/

  在這種情況下，攻擊者可以訪問所有Web應用程序配置文件。其中一些文件可能包含敏感信息，例如數據庫的訪問密碼。

• https://www.example.com/backup/

  這次，攻擊者可以訪問Web應用程序的所有備份文件，例如，可以包括數據庫轉儲。

如何避免強制瀏覽

為了避免強行瀏覽攻擊，開發人員必須永遠不要認為簡單的解決方案足以滿足應用程序數據安全性：

• 開發人員必須永遠不要假定不可能找到公共可訪問的URL。如果存在，則可以找到。身份驗證是必須的。
• 開發人員必須永遠不要假設用戶通過身份驗證后，就不需要任何其他訪問控制。對于訪問的每個網頁，開發人員必須確保已認證的用戶有權訪問內容。

要發現潛在的漏洞，您應該使用諸如Acunetix之類的工具來進行高效，自動化的Web應用程序漏洞掃描。這將幫助您快速發現大多數問題，并在攻擊者利用它們之前消除它們。您還應該進行手動滲透測試，以發現難以自動發現的問題，例如強制瀏覽。

C程序設計語言是一種高效的、靈活的、強大的系統編程語言，采用了面向過程的編程方式，廣泛的應用在系統性編程項目上。著名的linux內核就采用了C語言編寫。

C程序的設計的基本思想就是把一個問題的解決步驟分為很多個小步驟，每個小步驟就是一個子模塊。另外劃分子模塊的時候應注意模塊的獨立性，也就是如果把程序分為主模塊和子模塊，子模塊應盡量不依賴于其他子模塊來工作，或者子模塊之間的交流要盡量少，獨立性和弱關聯系也就是常說的高內聚、低耦合。

MySQL中刪除數據表有三種方式：

• drop table：drop 是直接刪除表信息，速度最快，但是無法找回數據

  例如刪除 user 表：drop table user;

  希望刪除表結構時，用 drop

• delete from：delete 是刪除表中的數據，不刪除表結構，速度最慢，但可以與where連用，可以刪除指定的行

  例如刪除user表的所有數據：delete from user;

  刪除user表的指定記錄：delete from user where user_id = 1;

  希望保留表結構，但要刪除部分記錄時， 用 delete

• truncate (table)：truncate 是刪除表數據，不刪除表的結構，速度排第二，但不能與where一起使用

  例如刪除 user 表：truncate table user;

  希望保留表結構，但要刪除所有記錄時， 用 truncate

truncate和不帶where子句的delete，drop都會刪除表內的數據；truncate和delete 只刪除數據不刪除表結構，truncate 刪除后將重建索引（新插入數據后id從0開始記起），而 delete不會刪除索引 （新插入的數據將在刪除數據的索引后繼續增加），drop語句將刪除表的結構包括依賴的約束，觸發器，索引等；drop和truncate刪除時不記錄MySQL日志，不能回滾，delete刪除會記錄MySQL日志，可以回滾。

SSL證書簽發后，即可下載并安裝在Tomcat、Nginx、Apache、IIS等服務器上。下面給出在IIS上安裝SSL證書的步驟：

1. 在本地解壓已下載的證書文件。

2. 打開 IIS 服務管理器，單擊計算機名稱，雙擊 “服務器證書”。

3. 雙擊打開服務器證書后，單擊右則的導入。

4. 選擇證書文件，如果輸入申請證書時有填寫私鑰密碼需要輸入密碼，否則輸入文件夾中密碼文件 keystorePass.txt 的密碼內容，單擊確定。

5. 單擊網站下的站點名稱，單擊右則的綁定。

6. 打開網站綁定界面后，單擊添加。

7. 添加網站綁定內容：選擇類型為 HTTPS，端口443和指定對應的 SSL 證書，單擊確定。

8. 添加完成后，網站綁定界面將會看到剛剛添加的內容。

網絡攻防演練是新形勢下網絡安全保障工作的重要組成部分，演練通常是以實際運行的信息系統為保障目標（靶標），在保障業務系統穩定運行的前提下，在既定規則內，采用“不限攻擊路徑，不限攻擊手段”，貼合實戰的方式盡可能模擬真實的網絡攻擊，以此來校驗信息系統實際安全性和運維保障實際有效性，提高網絡安全的綜合防控能力。攻防演練的主要工作內容：

• 應急演練

  這個是評估企業安全負責團隊是不是能夠依據應急預案設定準確以及高效的應急處理工作流程，發現不足之處，及時進行整改。

• 紅藍對抗

  這個是攻防演練中較為關鍵的一個內容，通過模擬真實的攻擊樣式，對公司應對安全攻擊的能力進行評估，發現不足的地方，進行企業適當的安全防護能力建設。

• 護網行動

  這一步也很關鍵，是由監管部門以或是公司總部模擬真實進行攻擊，對被監管部門或是下屬企業應對安全攻擊的能力檢驗，助推被監管部門或是下屬企業進行安全防護能力建設。

• 重要時期特殊保障

  在重要時期要加強安全防護，確保在重要時期能夠準確以及高效地對真實安全攻擊進行及時處理，確保重要時期的公司業務系統能夠穩定地繼續運轉。

• 行業安全檢查

  由行業監管部門按照有關標準或是規范對被監管部門進行合法合規的檢查，助推被監管部門或是下屬企業進行安全防護能力建設。

云存儲的特征如下：

• 分布式并行擴展：在云存儲中，當存儲空間不足時，可采用分布式并行擴展架構，通過橫向增加主機和存儲設備的方式，動態、靈活、按需地擴展存儲資源，以便有效分散數據并提高整個存儲系統的I/O性能。

• 分層存儲：根據數據的重要性和訪問頻率，采用分層存儲的方式進行數據存儲。將經常訪問的數據存儲在存取速度快但成本較高、容量較小的存儲介質中，將歷史數據或歸檔數據存儲在存儲速度慢但成本低、容量大的存儲介質中，并能在不同存儲介質間自動遷移數據，既能滿足用戶在訪問速度和存儲容量方面的需求，又能節省存儲成本。

• 多重冗余容錯：云存儲采用多重冗余容錯技術，創建多個數據副本，并對數據進行編碼糾正，將數據分布在不同的存儲設備上，確保數據不會丟失，從而提高數據的容錯性和可靠性。

• 透明服務：云存儲對用戶提供完全透明的存儲服務，用戶無須知道數據的存儲方式、存儲位置和存儲設備類型，只需使用連網設備便可隨時隨地地獲取云存儲服務。

• 災難恢復：云存儲具備分布式的特性。

• 可擴展性：云存儲空間允許在線動態調整，并按需使用。

• 負載平衡：云存儲通過動態分配可減輕鏈接數據負載。

• 節省成本：云存儲無需眾多的專業IT維護人員，實現快速部署、便捷運維。

• 超大規模：云存儲具有相當的規模，單個系統存儲的數據可以到達千億級別，甚至萬億級。

• 安全：云存儲內部通過用戶鑒權，訪問權限控制，安全通信（HTTPS，TLS協議）等方式保障安全性。

防御 JSON 劫持攻擊我們可以在JavaScript響應的開頭部分插入無效或存在問題的JavaScript；即在針對包含敏感數據的JavaScript對象的請求中包括無法預測的參數；強制使用POST方法來檢索JavaScript對象。

JSON 劫持

json劫持攻擊又為”JSON Hijacking”，攻擊過程有點類似于csrf，只不過csrf只管發送http請求，但是json-hijack的目的是獲取敏感數據。

一些web應用會把一些敏感數據以json的形式返回到前端，如果僅僅通過cookie來判斷請求是否合法，那么就可以利用類似csrf的手段，向目標服務器發送請求，以獲得敏感數據。

比如下面的鏈接在已登錄的情況下會返回json格式的用戶信息：

http://www.test.com/userinfo

攻擊者可以在自己的虛假頁面中，加入如下標簽：

<script src="http://www.test.com/userinfo"></script>

如果當前瀏覽器已經登錄了http://www.test.com，并且cookie未過期，然后訪問了攻擊者的虛假頁面，那么該頁面就可以拿到json形式的用戶敏感信息，因為script標簽會自動解析json數據，生成對應的js對象。然后再通過

Object.prototype.__defineSetter__

這個函數來觸發自己的惡意代碼。

但是這個函數在當前的新版本chrome和firefox中都已經失效了。

防御 JSON 劫持攻擊

1.在JavaScript響應的開頭部分插入無效或存在問題的JavaScript；

2.即在針對包含敏感數據的JavaScript對象的請求中包括無法預測的參數；

3.強制使用POST方法來檢索JavaScript對象。