可以使用以下幾種技巧進行 Linux 性能調優：

關閉daemons

有些運行在服務器中的daemons (后臺服務)，并不是完全必要的。關閉這些daemons可釋放更多的內存、減少啟動時間并減少CPU處理的進程數。減少daemons數量的同時也增強了服務器的安全性。缺省情況下，多數服務器都可以安全地停掉幾個daemons。

關閉GUI

只要有可能，就不要在Linux server上啟動GUI圖形，通常在Linux server上，沒有必要啟動GUI。所有的管理任務均可在命令行方式下完成、或者通過重定向X和Web瀏覽器界面。有幾個可用的基于Web的工具(例如webmin, Linuxconf, 和SWAT)。

需要的時候啟動GUI，用完馬上關閉GUI。多數情況，服務器運行在runlevel 3，即在機器啟動的時候不進入GUI。

改變內核參數

Linux內核是操作系統的核心，對所有的Linux發行版本是通用的。內核參數可以改變，在命令行下執行sysctl 命令。

處理器子系統調優

處理器對于應用和數據庫服務器來講是最重要的硬件子系統之一。然而在這些系統中，CPU經常是性能的瓶頸。在配有Xeon處理器的高端服務器中，你可以啟用或者關閉Hyper-Threading（超線程功能）。

內存子系統的調優

內存子系統的調優需要不停地監測來保證內存的改變不會對服務器的其他子系統造成負面影響。如果要改變虛擬內存參數(在/proc/sys/vm)，建議您每次只改變一個參數然后監測效果。

網絡子系統的調優

操作系統安裝完畢，就要對網絡子系統進行調優。對其它子系統的影響：影響CPU利用率，尤其在有大量TCP連接、塊尺寸又非常小時，內存的使用會明顯增加。

文件系統的調優

所有數據都要從磁盤獲取并都要保存到磁盤。磁盤訪問速度通常以毫秒來計算，比其它組件要慢上千倍（如內存、PCI操作是以納秒或者微秒來計算的）。Linux文件系統定義了數據存儲和訪問的方式。

Linux 可用的文件系統有多種，它們的性能和可擴展性各不相同。除了保存和管理磁盤數據，文件系統還負責保證數據的完整性。新版的Linux缺省安裝已經包括日志 文件系統（journaling file systems），日志文件系統可防止系統崩潰時導致的數據不一致問題。對文件系統元數據（metadata）的更改都被保存在一份單獨的日志里，當發生 系統崩潰時可以根據日志正確地恢復數據。除此之外，日志使系統重新啟動時不必進行文件系統的檢查，從而縮短了恢復時間。

緩解網絡警報疲勞的措施有以下這些：

• 可操作的警報：減少警報疲勞的第一步是確保所有警報都是可操作的。沒有什么比發現您的SOC人員花費大量時間來關閉不可操作的警報更糟糕的了。盡管這似乎是一個小問題，但分析師可能需要30分鐘以上的時間來審查和調查警報，然后才能確定是否需要采取措施來解決它。有時，他們甚至可能需要聯系其他團隊成員或IT人員，這會導致額外的時間浪費。

• 警報優先級矩陣：優先級矩陣（也稱為事件優先級矩陣或事件評分系統）可顯著減少優先級警報（嚴重和高危），減少工作時間和非工作時間的警報。因此，盡管開發優先級矩陣需要時間并且必須進行定期審查，但絕對值得投入。設計優先級矩陣的方法有，但通常都是根據所涉及的系統和用戶（的級別和規模）來確定安全事件的嚴重性和關鍵程度。例如，如果SOC在5分鐘內收到超過20個網絡釣魚警報，則其優先級顯然要高于針對單個用戶的網絡釣魚警報。

• 使用閾值：如前所述，單次事件可能被視為低危或中危，但如果該事件連續發生或在指定時間范圍內多次發生，團隊可能會決定配置讓其觸發警報。使用閾值檢測多次出現的可疑行為有助于顯著減少SIEM（安全信息和事件管理）生成的低優先級警報和誤報的數量。通常，企業不愿設置閾值是因為害怕錯過重要的檢測。如果團隊認同單次或兩次事件的發生是良性的，隨后合作定義了需要介入調查的發生次數，他們可以據此實施閾值并根據需要進行調整。這種做法使團隊對警報的必要性達成共識的同時，能夠設置合適的檢測/預防閾值，提高警報的價值。

• 自動化：自動化是網絡安全行業的一個流行詞，也是減少警報疲勞的主要方法之一。安全程序可以各種方式實現自動化。對于初級用戶，它可以自動關閉低優先級警報。通常，安全團隊出于審計目的需要某些警報，因此數據可用于臨時或計劃的審查，但不想查看每個單獨的警報。在這些情況下，自動關閉警報是有意義的，可以為SOC團隊成員節省一點時間。

• 持續審查和改進：處理良性警報和誤報最簡單的方法是關閉它們。安全人員應該不斷質疑那些看上去是警報實際上是信息的“警報”的價值，探究為什么會收到如此多的誤報，等等。提出這些問題并要求其他團隊成員和領導層共同參與回答這些問題，就相關警報的必要性或調整方式開展更積極，更有價值的討論。

物聯網物理層數據保護的方法有以下這些：

• 文件級備份：文件級的備份，即備份軟件只能感知到文件這一層，將磁盤上所有的文件，通過調用文件系統接口備份到另一個介質上。所以文件級備份軟件，要么依靠操作系統提供的API來備份文件，要么本身具有文件系統的功能，可以識別文件系統元數據。文件級備份軟件的基本機制就是將數據以文件的形式讀出，然后再將讀出的文件存儲在另外一個介質上。這些文件在原來的介質上，存放可以是不連續的，各個不連續的塊之間的鏈關系由文件系統來管理。而如果備份軟件將這些文件備份到新的空白介質上，那么這些文件很大程度上是連續存放的，不管是備份到磁帶還是磁盤上。

• 塊級備份：所謂塊級備份，就是備份塊設備上的每個塊，不管這個塊上有沒有數據，也不管這個塊上的數據是屬于什么文件。塊級別的備份不考慮也不用考慮文件系統層次的邏輯，原塊設備有多少容量，就備份多少容量。在這里“塊”的概念，對于磁盤來說就是扇區（Sector）。塊級的備份是最底層的備份，它拋開了文件系統，直接對磁盤扇區進行讀取，并將讀取到的扇區寫入新的磁盤對應的扇區。

• 遠程文件復制：遠程文件復制，是把需要備份的文件通過網絡傳輸到異地容災站點。典型的代表是rsync異步遠程文件同步軟件。它是一個運行在Linux下的文件遠程同步軟件。它可以監視文件系統的動作，將文件的變化通過網絡同步到異地的站點；它可以只復制一個文件中變化過的內容，而不必整個文件都復制，這在同步大文件的時候非常有用。

• 遠程磁盤鏡像：遠程磁盤鏡像是基于塊的遠程備份，即通過網絡將備份的塊數據傳輸到異地站點。遠程鏡像（遠程實時復制）又可以分為同步復制和異步復制。同步復制，即主站點接受的上層IO寫入數據，必須等這份數據成功地復制傳輸到異地站點并寫入成功之后，才通報上層IO成功消息。異步復制，就是上層IO主站點寫入成功，即向上層通報成功，然后在后臺將數據通過網絡傳輸到異地。前者能保證兩地數據的一致性，但是對上層響應較慢；而后者不能實時保證兩地數據的一致性，但是對上層響應很快。所有基于塊的備份措施，一般都是在底層設備上進行，而不耗費主機資源。

• 快照數據保護：遠程鏡像或者本地鏡像，確實是對生產卷數據的一種很好的保護，一旦生產卷故障，可以立即切換到鏡像卷。但是這個鏡像卷，一定要保持一直在線狀態，主卷有寫IO操作，那么鏡像卷也有寫IO操作。如果某時刻想對整個鏡像卷進行備份，需要停止讀/寫主卷的應用，使應用不再對卷產生IO操作，然后將兩個卷的鏡像關系分離，這就是拆分鏡像。拆分過程是很快的，所以短暫的IO暫不會對應用產生太大的影響。

計算機網絡安全審計（Audit）是指按照一定的安全策略，利用記錄、系統活動和用戶活動等信息，檢查、審查和檢驗操作事件的環境及活動，從而發現系統漏洞、入侵行為或改善系統性能的過程。網絡安全審計對可能存在的潛在攻擊者起到威懾和警示作用，核心是風險評估，測試系統的控制情況，及時進行調整，保證與安全策略和操作規程協調一致。

網絡安全審計系統有以下這些功能：

• 采集多種類型的日志數據：能采集各種操作系統的日志，防火墻系統日志，入侵檢測系統日志，網絡交換及路由設備的日志，各種服務和應用系統日志。

• 日志管理：多種日志格式的統一管理。自動將其收集到的各種日志格式轉換為統一的日志格式，便于對各種復雜日志信息的統一管理與處理。

• 日志查詢：支持以多種方式查詢網絡中的日志記錄信息，以報表的形式顯示。

• 入侵檢測：使用多種內置的相關性規則，對分布在網絡中的設備產生的日志及報警信息進行相關性分析，從而檢測出單個系統難以發現的安全事件。

• 自動生成安全分析報告：根據日志數據庫記錄的日志數據，分析網絡或系統的安全性，并輸出安全性分析報告。報告的輸出可以根據預先定義的條件自動地產生、提交給管理員。

• 網絡狀態實時監視：可以監視運行有代理的特定設備的狀態、網絡設備、日志內容、網絡行為等情況。

• 事件響應機制：當審計系統檢測到安全事件時候，可以采用相關的響應方式報警。

• 集中管理：審計系統通過提供一個統一的集中管理平臺，實現對日志代理、安全審計中心、日志數據庫的集中管理，包括對日志更新、備份和刪除等操作。

理論上，堡壘機和防火墻都不能防病毒，防病毒要部署防毒墻。因為傳統防火墻的局限性的問題，一般作為防火墻的模塊出現，或集成到UTM，IPS等模塊中。防護網絡層的病毒，包括郵件、網頁、QQ、等病毒的傳播，對數據包進行檢測，把病毒隔絕在最外面。

堡壘機作為IT系統看門人的堡壘機其嚴格管控能力十分強大,能在很大程度上的攔截非法訪問和惡意攻擊,對不合法命令進行命令阻斷,過濾掉所有對目標設備的非法訪問行為,并對內部人員誤操作和非法操作進行審計監控,以便事后責任追蹤。

防火墻一般都是指網絡防火墻，是一個位于計算機和它所連接的網絡之間的軟件。計算機流入流出的所有網絡通信均要經過網絡防火墻。防火墻對流經它的網絡通信進行掃描，這樣能夠過濾掉一些攻擊，以免其在目標計算機上被執行。防火墻還可以關閉不使用的端口。而且它還能禁止特定端口的流出通信。最后，它可以禁止來自特殊站點的訪問，從而防止來自不明入侵者的所有通信。

防火墻是私有網絡與公網之間的門衛，而堡壘機是內部運維人員與私網之間的門衛。

防火墻墻所起的作用是隔斷，無論誰都過不去，但是堡壘機就不一樣了，他的職能是檢查和判斷是否可以通過，只要符合條件就可以通過，堡壘機更加靈活一些。

總的來說，公司內部的網絡與公司外部的網絡之間可以通過防火墻來做一些網絡的限制，公司內部網絡內的電腦可以通過堡壘機來做統一訪問的入口，并提供運維審計與危險指令攔截等功能。

主動防御有以下作用：

• 讓入侵者的入侵速度變慢或入侵脫軌，使其無法繼續入侵或者完成入侵行動，從而增加入侵者犯錯的概率并暴露其存在（IP地址）或暴露他們的入侵媒介。

• 增加入侵成本。主動防御也可能意味著”非對稱防御”，通過增加入侵者攻擊的成本和時間。

• 可以檢測和阻止內外威脅。不僅能檢測和阻止互聯網中（外部威脅）的入侵者對局域網的入侵行為，還能檢測局域網中（內部威脅）的攻擊行為，包括勒索軟件，勒索和加密劫持等。

• 收集取證入侵者犯罪行為。主動防御使系統能夠提前主動檢測和破壞入侵行動，收集和了解了入侵手法和威脅情報并記錄到主動防御系統的數據庫中，主動防御系統會做出對應防范策略，以防止類似事件再次發生。

• 向入侵者發動反擊。某些特殊場合，主動防御系統會向入侵者發動反擊行為。這通常是為軍事和執法部門保留的權利，這些部門有資源也有權限確認攻擊來源并采取適當的行動。

由于緩沖區溢出攻擊可能帶來嚴重的后果，所以要采取措施對緩沖區溢出攻擊進行防御。目前有如下幾種措施可以保護緩沖區免受緩沖區溢出的攻擊和影響。

關閉不必要的端口或服務

管理員應該知道自己的系統上安裝了什么，并且哪些服務正在運行。

及時更新漏洞補丁

安裝軟件廠商的補丁,漏洞一公布，大的廠商就會及時提供補丁。

過濾特殊的流量

在防火墻上過濾特殊的流量,無法阻止內部人員的溢出攻擊。

編寫正確的代碼

編寫正確的代碼是一件非常有意義但耗時的工作，特別像編寫C語言那種具有容易出錯傾向的程序。盡管花了很長的時間使得人們知道了如何編寫安全的程序，具有安全漏洞的程序依舊出現。因此需要開發了一些工具和技術來幫助經驗不足的程序員編寫安全、正確的程序。

非執行的緩沖區

通過使被攻擊程序的數據段地址空間不可執行，從而使得攻擊者不可能執行植入被攻擊程序輸入緩沖區的代碼，這種技術被稱為非執行的緩沖區技術。但Windows系統為了實現更好的性能和功能，往往在數據段中動態地放入可執行的代碼。但為了保持程序的兼容性，不可能使所有程序的數據段不可執行，所以緩沖區漏洞還是存在的。

數組邊界檢查

該種方式和非執行緩沖區的不同在于：數組邊界檢查完全放置了緩沖區溢出的產生和攻擊。所以只要數組不溢出，溢出攻擊也就無從談起。為了實現數組邊界檢查，則所有的對數組的讀寫操作都應該進行檢查，以確保對數組的操作在正確的范圍內。最直接的方法是檢查所有的數組操作，但是通常可以采用一些優化的技術來減少檢查的次數。

程序指針完整性檢查

程序指針完整性檢查和邊界檢查略微不同：程序指針完整性檢查在程序指針被引用之前檢測到它的改變。即使一個攻擊者成功地改變了程序的指針，由于系統事先檢測到了指針的改變，所以這個指針將不會被使用。程序指針完整性檢查不能解決所有的緩沖區溢出問題，但是這種方法在性能上有很大的優勢，而且其兼容性也很好。

入侵檢測系統的模型如下：

• Denning入侵檢測模型：入侵檢測模型最早由Dorthy Denning在1987年提出，目前的各種入侵檢測技術和體系都是在這個基礎上的擴展和細化。Denning提出的模型是一個基于主機的入侵檢測模型。首先對主機事件按照一定的規則學習產生用戶行為模型，然后將當前的事件和模型進行比較，如果不匹配則認為是異常入侵。Denning入侵檢測模型是一個基于規則的匹配系統。該模型沒有包含攻擊方法和系統漏洞。它主要由主體、對象、審計記錄、活動剖面、異常記錄和規則集處理引擎六個部分組成。

• 層次式入侵檢測模型：層次式入侵模型對收集到的數據進行加工抽象和關聯操作，簡化了對跨域單機的入侵行為識別。層次化模型將IDS分為六個層次，由低到高分別是數據層、事件層、主體層、上下文層、威脅層和安全狀態層。

• 管理式入侵檢測模型：管理式入侵檢測模型英文名稱叫作SNMP-IDSM，它從網絡管理的角度出發解決多個IDS協同工作的問題。SNMP-IDSM以SNMP協議為公共語言來實現IDS之間的消息交換和協同檢測。

入侵檢測系統的組成如下：

• 事件產生器：它的目的是從整個計算環境中獲得事件，并向系統的其他部分提供此事件。

• 事件分析器：接收事件信息，經過分析得到數據，并產生分析結果，并將判斷的結構轉變為警告信息。

• 響應單元：它是對分析結果作出反應的功能單元，它可以作出切斷連接、改變文件屬性等強烈反應，也可以只是簡單的報警。

• 事件數據庫：事件數據庫是存放各種中間和最終數據的地方的統稱，它可以是復雜的數據庫，也可以是簡單的文本文件。

編碼階段預防XSS漏洞的措施有以下這些：

• 將Cookie設置為HttpOnl：攻擊Web應用大多數是為了獲得合法用戶的Cookie信息，所以應該減少將大量的數據存儲在Cookie中，在任何可能的時候使用HttpOnly Cookie。HttpOnly Cookie是某些瀏覽器所支持的一種防御機制，應用程序能使用它來防止XSS攻擊。當一個Cookie以這種方式標記時，支持它的瀏覽器將阻止客戶端JavaScript直接訪問Cookie。雖然瀏覽器仍然會在請求的HTTP消息頭中提交這個Cookie，但它不會出現在document.cookie返回的字符串中。

• 謹慎使用DOM操：基于DOM的XSS是利用DOM操作實現的針對客戶端的XSS注入，由于被處理的數據不在服務器控制范圍內，因此不能通過在服務器端部署防御策略來解決，這就要求開發人員要謹慎、合理地使用DOM操作，盡可能避免使用DOM進行客戶端重定向、文檔操作或調用本地數據等敏感操作，轉而將這些行為放到服務器端使用動態頁面的方式來實現。

• 采用白名單對輸入數據進行驗證：例如在服務器端，如果UserName字段僅允許字母數字字符，且不區分大小寫，則使用以下正則表達式^［ a-zA-Z0-9］*$進行驗證。

• 使用黑名單對輸入數據進行安全檢查或過濾：例如在服務器端，針對非法的HTML代碼包括單雙引號等，應編寫函數對其進行檢查或過濾。需要檢查或過濾的特殊字符至少包含以下字符’、”、<、>、空格鍵、TAB鍵、script、&、#、%、+、$、（、）、xss、expression等。

• 采用開發框架自帶的標簽輸出方：禁止采用<%=pValue %>不安全的輸出方式，應該采用標簽形式輸出，例如<s:hidden name="id" value="%{secAppConf.id}" />，采用標簽方式輸出時，系統默認會自動對數據做HTML轉換。

• 對輸出數據進行凈：應對輸出數據進行過濾和轉義，將敏感字符轉換為其對應的實體字符來清理HTML特殊字符。例如，將HTML標簽最關鍵的字符＜、＞、&編碼為&lt、&gt、&amp。

GandCrab 勒索病毒是：

• GandCrab勒索病毒最早出現在2018年年初，僅半年的時間，就連續出現了V1.0、V2.0、V2.1、V3.0、V4.0等變種。病毒采用Salsa 20和RSA-2048算法對文件進行加密，并修改文件后綴為.GDCB、.GRAB、.KRAB或5～10位隨機字母，同時將感染的主機桌面背景替換為勒索信息圖片。GandCrab V5.1及之前版本可解密，GandCrab V5.2版本無法解密。

GandCrab 勒索病毒感染的防護建議如下：

• 盡量避免RDP端口對外開放，利用IPS、防火墻等設備對RDP端口進行防護；

• 開啟windows系統防火墻，通過ACL等方式，對RDP及SMB服務訪問進行加固；

• 通過windows組策略配置賬戶鎖定策略，對短時間內連續登陸失敗的賬戶進行鎖定；

• 加強主機賬戶口令復雜度及修改周期管理，并盡量避免出現通用或規律口令的情況；

• 修改系統管理員默認用戶名，避免使用admin、administrator、test等常見用戶名；

• 安裝具備自保護的防病毒軟件，防止被黑客退出或結束進程，并及時更新病毒庫；

• 加強企業員工安全意識培訓，不輕易打開陌生郵件或運行來歷不明的程序；

• 及時更新操作系統及其他應用的高危漏洞安全補丁；

• 定時對重要業務數據進行備份，防止數據破壞或丟失。

可以使用以下類型的信息進行身份驗證：

• 靜態口令(password)

  基于口令的認證方式是較常用的一種技術。用戶首先在系統中注冊自己的用戶名和登錄口令。系統將用戶名和口令存儲在內部數據庫中，這個口令一般是長期有效的，因此也稱為靜態口令。基于靜態口令的身份認證技術因其簡單和低成本而得到了廣泛使用。但這種方式存在嚴重的安全問題, 安全性僅依賴于口令，口令一旦泄露，用戶就可能被假冒。

• 動態口令(one time password)

  為克服靜態口令帶來的種種安全隱患，動態口令認證逐漸成為口令認證的主流技術。用戶每次登錄系統的口令都不一樣，具有“一次一密”的特點，有效保證了用戶身份的安全性。在銀行支付、網上銀行轉賬、交易時一般采用靜態口令+動態口令組合的方式進行認證，這種雙重保障的方式可以大大提高使用的安全性。

• 個人信息的問題驗證

  個人信息的問題驗證方式有效減少了人工參與，降低了金融機構的成本，也為用戶帶來更便捷的服務方式。雖然可能會因申請主體無法準確記憶所涉及的驗證信息給其帶來不便，但由于此種驗證方式所涉及的信息與個人經歷相關，給他人造假造成一定難度，對于身份認證而言其具有一定的準確性。

  個人信息的問題驗證方式存在的最大問題在于，其驗證的準確性與金融機構用以核驗的問題的隱私程度有關：隱私性越強，驗證的準確性越高。在互聯網和大數據技術高度發展的今天，個人隱私數據的取得并非難事，如果私密程度不高，很容易會被第三方獲取，如果問題的私密性過高，又要求金融機構必須依法獲取足夠多且隱私性足夠強的個人信息，這同時又會引發金融機構如何獲取此類信息以及取得是否合法合規的問題。因此，從某種程度上來說，此種身份驗證方式對于大量的金融機構來說并不太適用。

• 圖形驗證

  圖形驗證碼主要用于區分用戶是計算機還是人的全自動程序。基于CAPTCHA(全自動區分計算機和人類的圖靈測試)設計。圖形驗證碼利用程序生成只有人類才能解答的評判問題，是現在很多網站必備的一種驗證方式。

• 各類證照

  如身份證、工作證、護照、駕照等。由國家、行政單位、公司等發放，在一定范圍內具有法律效力。一般都包含持證人的面部信息，用于核查身份真實性。存在偽造證件的情況。

• 手機(SIM卡)

  目前智能手機發展迅速，已具備計算機的絕大多數功能。個人的核心信息幾乎全部都在手機中存儲或可在手機中查詢。手機有逐漸取代證照、卡片的趨勢。

  丟失或更換SIM卡號碼后處理比較麻煩。

• 生物識別技術驗證

  生物識別技術是通過可測量的身體或行為等生物特征進行身份驗證的一種技術。生物特征是指唯一的可以測量或可自動識別和驗證的生理特征或行為方式，生物特征分為身體特征和行為特征兩類。目前常用的為身體特征包括：指紋、視網膜、面部識別等。

  出于對用戶隱私和安全的保護的需要，越來越多的手機廠商通過軟件和硬件的研發以實現生物識別技術驗證身份的功能。目前，指紋識別、面部識別技術已在逐漸成熟和完善之中，其他各類型更便捷、更安全的生物識別技術也在研發過程中，利用生物識別技術進行身份驗證已在手機的賬戶登錄、信息保護、手機支付等功能上被廣泛采用。在此需要特別說明的是，由于目前的生物識別技術仍不完美，現實操作中誤認和拒認的情況時有發生，如果生物特征識別失敗，為保證用戶體驗，往往還是選擇以預設的靜態密碼來完成相關指令。

• USB Key

  USB Key方式的優點在于代表用戶身份的私鑰在USB Key產生，安全強度高。由于用戶私鑰保存在密碼鎖中，理論上使用任何方式都無法讀取，因此保證了用戶驗證的安全性，雖然USB Key并非絕對安全，也存在被破解的可能，但破解的難度非常大，因此其安全等級最高。而且，由于USB Key攜帶不便，使用麻煩，與終端設備的兼容性等問題，也導致大量銀行用戶放棄使用此種方式完成支付。

GandCrab 勒索病毒是：

• GandCrab勒索病毒最早出現在2018年年初，僅半年的時間，就連續出現了V1.0、V2.0、V2.1、V3.0、V4.0等變種。病毒采用Salsa 20和RSA-2048算法對文件進行加密，并修改文件后綴為.GDCB、.GRAB、.KRAB或5～10位隨機字母，同時將感染的主機桌面背景替換為勒索信息圖片。GandCrab V5.1及之前版本可解密，GandCrab V5.2版本無法解密。

GandCrab 勒索病毒感染的防護建議如下：

• 盡量避免RDP端口對外開放，利用IPS、防火墻等設備對RDP端口進行防護；

• 開啟windows系統防火墻，通過ACL等方式，對RDP及SMB服務訪問進行加固；

• 通過windows組策略配置賬戶鎖定策略，對短時間內連續登陸失敗的賬戶進行鎖定；

• 加強主機賬戶口令復雜度及修改周期管理，并盡量避免出現通用或規律口令的情況；

• 修改系統管理員默認用戶名，避免使用admin、administrator、test等常見用戶名；

• 安裝具備自保護的防病毒軟件，防止被黑客退出或結束進程，并及時更新病毒庫；

• 加強企業員工安全意識培訓，不輕易打開陌生郵件或運行來歷不明的程序；

• 及時更新操作系統及其他應用的高危漏洞安全補丁；

• 定時對重要業務數據進行備份，防止數據破壞或丟失。

防毒墻離線解決方法主要有以下幾種：

• 先查看防毒墻是否進入了脫機模式，某些防毒墻是支持脫機使用這種情況關閉脫機模式即可；

• 安裝殺毒軟件并連接網絡將殺毒軟件的病毒庫更新到最新級別然后斷網殺毒來解決防毒墻脫機；

• 去其他網絡下載你當前安裝的防毒墻病毒庫最新版本拷貝回來然后進行更新病毒庫也可以解決脫機問題。

針對物理層攻擊的防范措施有以下這些：

• 屏蔽：用金屬網或金屬板將信號源包圍，利用金屬層來阻止內部信號向外發射，同時也可以阻止外部信號進入金屬層內部。通信線路的屏蔽通常有兩種方法，一是采用屏蔽性能好的傳輸介質，二是把傳輸介質、網絡設備、機房等整個通信線路安裝在屏蔽的環境中。

• 物理隔離：物理隔離技術的基本思想是如果不存在與網絡的物理連接，網絡安全威脅便可大大降低。物理隔離技術實質就是一種將內外網絡從物理上斷開，但保持邏輯連接的信息安全技術。物理隔離的指導思想與防火墻不同，防火墻是在保障互聯互通的前提下，盡可能安全，而物理隔離的思路是在保證必須安全的前提下，盡可能互聯互通。物理隔離是一種隔離網絡之間連接的專用安全技術。這種技術使用一個可交換方向的電子存儲池。存儲池每次只能與內外網絡的一方相連。通過內外網絡向存儲池復制數據塊和存儲池的擺動完成數據傳輸。這種技術實際上是一種數據鏡像技術。它在實現內外網絡數據交換的同時，保持了內外網絡的物理斷開。

• 設備和線路冗余：設備和線路冗余主要指提供備用的設備和線路。主要有3種冗余，網絡設備部件冗余有電源和風扇、網卡、內存、CPU、磁盤等、網絡設備整機冗余、網絡線路冗余。

• 機房和賬戶安全管理：建立機房安全管理制度和賬戶安全管理制度。如網絡管理員職責、機房操作規定、網絡檢修制度、賬號管理制度、服務器管理制度、日志文件管理制度、保密制度、病毒防治、電器安全管理規定等。

• 網絡分段：網絡分段是保證安全的一項重要措施，同時也是一項基本措施，其指導思想是將非法用戶與網絡資源互相隔離，從而達到限制用戶非法訪問的目的。網絡分段可以分為物理和邏輯兩種方式。物理分段通常是指將網絡從物理層和數據鏈路層（ISO/OSI模型中的第1層和第2層）上分為若干網段，各網段之間無法進行直接數據通信。目前，許多交換機都有一定的訪問控制能力，可以實現對網絡的物理分段。

信息安全風險評估主要內容依據國家標準GB/T20984-2007，應至少包括：

資產識別

威脅識別

物理脆弱性識別

網絡脆弱性識別

系統脆弱性識別

應用脆弱性識別

管理脆弱性識別

已有安全措施優先性識別

風險分析