智能終端常見的攻擊方式有：

• 云端攻擊：通過DDoS攻擊使云端服務不可用拖庫撞庫使數據丟失或泄露。

• 網絡劫持：劫持DNS解析、攻擊WiFi、 篡改網絡數據，從而劫持終端內容。

• 系統漏洞：利用非法提權等系統漏洞劫持終端。

• 高危服務：通過ADB接口、遠程調試等高危服務攻擊終端。

• OTA攻擊：利用OTA本身或升級中的安全漏洞對終端進行接管。

• 惡意應用：誘導用戶安裝惡意應用，導致用戶機器卡頓竊取用戶隱私數據私數據。

智能終端安全的措施如下：

• 加強終端安全防護措施：移動智能終端需要加強自身安全防護，使用安全機制和綠色軟件，加強終端的安全能力，消除操作系統、外圍接口以及應用軟件等安全隱患。任何終端都沒有絕對安全的可能性，特別是智能終端，用戶可以隨意安裝應用軟件，其感染病毒的可能性遠遠超過普通終端，所以用戶需要安裝殺毒軟件，定期檢測和更新病毒庫。

• 加強互聯網安全保護措施：若用戶要防止數據損壞或者丟失，最便捷的方式便是聯網進行數據備份。目前大多數運營商都為智能終端提供數據備份業務，用戶可以隨時隨地的將短信息、通訊錄、備忘錄上傳到備份服務器，若數據丟失便可以通過網絡恢復數據。移動終端應配備遠程保護程序，若手機被盜或遺失，能夠遠程鎖定移動智能終端，遠程銷毀用戶數據或者取回相關數據;此外還應配備安全聯動系統，從源頭杜絕網絡安全威脅。

• 總是使用可信的數據網絡：對于移動終端來說，可信的網絡包括無線服務提供商的數據網絡以及公司、居家和可信地點提供的 Wi-Fi 連接。這樣就可以確保用于進行數據傳輸的網絡沒有安全威脅，也無法被攻擊者用來獲取所傳輸的敏感數據。

• 賦予應用程序最少的訪問權限：當從應用市場中下載和安裝應用程序時，確保只給予應用程序運行所需的最少權限。如果一個應用的權限要求過度，用戶可以選擇不安裝該應用或者將該應用標記為可疑，不要輕易確認應用程序提及的訪問權限。

云安全基礎服務可以分為：

• 云用戶身份管理服務：主要涉及身份的供應、注銷以及身份認證過程。在云環境下，實現身份聯合和單點登錄可以支持云中合作企業之間更加方便地共享用戶身份信息和認證服務，并減少重復認證帶來的運行開銷。

• 云訪問控制服務：云訪問控制服務的實現依賴于如何妥善地將傳統的訪問控制模型和各種授權策略語言標準擴展后移植到云環境。

• 云審計服務：由于用戶缺乏安全管理與舉證能力，要明確安全事故責任就要求服務商提供必要的支持，因此，由第三方實施的審計就顯得尤為重要。云審計服務必須提供滿足審計事件列表的所有證據以及證據的可信度說明。云審計服務也是保證云服務商滿足各種合規性要求的重要方式。

• 云口令服務：除典型的加、解密算法服務外，口令運算中密鑰管理與分發、證書管理及分發等都以基礎類云安全服務的形式存在。云口令服務不僅為用戶簡化了口令模塊的設計與實施，也使得口令技術的使用更集中、規范，更易于管理。

IoT 無線通信協議有：

• Wi-Fi：多年以來，Wi-Fi一直是眾多設備最常采用的無線技術，其通常使用2.4GHz或5GHz ISM頻段。同時也提出了多套Wi-Fi協議標準，例如802.11a、802.11b、802.11g、802.11n和802.11ac等。其中802.11b和802.11g協議使用2.4GHz頻段，802.11a、802.11n和802.11ac協議使用5GHz頻段。2.4GHz頻段根據不同頻率又分為14個無線子信道。在部分地區，Wi-Fi路由器還必須采用特定的廣播信道。

• ZigBee：ZigBee是基于IEEE 802.15.4協議為物理層和媒體接入控制層實現的規范，支持低功耗無線Mesh網絡。不同地區的ZigBee協議使用不同的ISM頻段，但主要還是在全球使用2.4GHz頻段，在美國使用915MHz頻段，歐盟使用868MHz頻段。ZigBee網絡由協調器（ZigBee Coordinator，ZC）、路由器（ZigBee Router，ZR）和終端節點（ZigBee End Device，ZED）組成。建立ZigBee網絡時協調器自動啟動進行組網。每個網絡只允許有一個協調器，它是整個網絡的信任中心，負責對入網節點的認證與驗證，并且擁有唯一的入網密鑰。路由器主要負責在各節點之間傳送數據，并將協調器與終端節點連接起來。

• Z-Wave：Z-Wave是另一種低功耗無線通信協議，該協議支持主從模型的Mesh網絡。Z-Wave使用低于1GHz的頻段，具體頻段因地區而異（美國使用916 MHz頻段，歐盟使用868.42MHz頻段）。基于Z-Wave協議實現的物理層和媒體接入控制層經ITU認可成為國際標準G.9959。采用Z-Wave協議的設備最遠通信距離能夠達到328英尺（約100米），但在Mesh網絡中，當流量通過Z-Wave設備時最遠距離能夠達到600英尺（約200米）。Z-Wave網絡采用4字節（32比特）的HomeID進行標識，該標識也是控制器或主節點的唯一標識。每個節點加入網絡時，控制器會為其分配1字節（8比特）的NodeID。HomeID不同的節點間不能通信。Z-Wave協議可以采用AES加密算法，這也是Z-Wave Hub所支持的加密算法，但是到底是否實現對于廠商而言是可選的。Z-Wave協議還具有良好的信號干擾檢測特性，能夠防止拒絕服務（Denial of Service，DoS）攻擊。

• 藍牙：藍牙是一種常用的短距離數據通信的無線技術標準（IEEE 802.15.1）。藍牙在2.4GHz～2.485GHz頻段進行廣播，最遠通信距離可以達到100米，但常用于10米以內的通信。

虛擬機軟件具有以下這些基本特性：

• 分區：可在一臺物理機上運行多個操作系統，并在多個虛擬機之間分配系統資源。同一臺物理服務器上可以同時運行多臺虛擬機，也意味著虛擬化層擁有為虛叔機劃分底層服務器資源的能力我們把這個能力叫做分區。

• 隔離：雖然多個虛擬機可以共享一臺計算機的物理資源，但它們相互之間保持完全隔離。由于隔離的原因，虛擬環境中運行的應用在可用性和安全性方面遠優于在傳統的非虛擬化系統中運行的應用。同一服務器上的虛叔機若有一臺故障或者中病毒, 不會影響到其他虛批機的使用。這就要求虛擬機具備最基本的隔離能力。

• 封裝：虛擬機實質上是一個軟件容器，它將一整套虛擬硬件資源與操作系統及其所有應用捆綁或封裝在一起。通過封裝，虛擬機獲得了超強的移動性并且易于管理。

• 硬件抽象化：虛擬機完全獨立于其底層物理硬件。可以為虛擬機配置與底層硬件上存在的物理組件完全不同的虛擬組件。可以運行C/S方式的應用，也可以在同一臺計算機上，使用另一臺虛擬機的所有資源。

• 獨立:在遷移虛擬機后無需對服務器做任何修改即可運行虛擬機(相當于上層操作系統與硬件解耦合)，所以這里的獨立主要指的是獨立于硬件。

安全的手機操作系統應該具有如下幾種特征：

• 身份驗證特征：確保所有訪問的用戶身份真實可信。不同角色用戶訪問智能手機之前，智能手機應對用戶的身份進行認證，識別用戶所對應的角色，然后根據用戶的角色對用戶進行授權。可以采用的身份認證方式有口令認證、智能卡認證、生物特征識別（如指紋識別）及實體認證機制4種方式，可根據手機要達到的安全要求，以及不同的角色選用其中的一種或者幾種的組合。

• 最小特權特征：每個用戶在通過身份驗證后，只擁有恰好能完成其工作的權力，即將其擁有的權力的最小化。

• 安全審計特征：對指定操作的錯誤嘗試次數及相關安全事件進行記錄、分析。通過分析記錄結果，移動終端可判斷發生了哪些安全相關活動，并采取預先沒定的安全措施。另外檢查審計記錄結果還可以幫助分析潛在攻擊。

• 安全域隔離特征：安全域隔離分為物理隔離和邏輯隔離。物理隔離是指對移動終端中的物理存儲空間進行劃分，不同的存儲空間用于存儲不同的數據或代碼，而邏輯隔離主要包括進程隔離、數據的分類存儲。

• 可信連接特征：對于無線連接（藍牙、紅外、WLAN等），默認屬性應設為“隱藏”或者“關閉”以防非法連接；在實際連接時，需要有安全認證能力，對所有請求連接進行身份認證；所有外部連接發起都要有相應提示，智能手機有權選擇是否接受該連接。

網絡通信線路連接著網絡系統中的各節點，是網絡信息和數據交換的基礎。網絡通信線路常見的物理安全威脅主要如下：

• 網絡通信線路被切斷：網絡通信線路被鼠蟲咬斷、被人為割斷、自然災害損壞等。

• 網絡通信線路被電磁干擾：網絡通信線路受到電磁干擾而非正常傳輸信息。

• 網絡通信線路泄露信息：網絡通信線路泄漏電磁信號，導致通信線路上的傳輸信息泄密。

網絡通信線路常見的物理安全威脅的防護措施如下：

• 創建安全的網絡環境：營造一個安全的網絡環境十分重要,依靠網絡公司監控用戶、設置權限、身份識別、設置訪問控制、監控路由器等,震懾對網絡安全形成威脅的行為。同時需要國家制定相關法律法規,對利用網絡進行犯罪的行為堅決打擊,肅清網絡中的歪風邪氣,保障廣大人民群眾的切身利益。只要大家共同努力便可以將網絡變成安全、干凈的網絡。

• 計算機病毒防治：計算機病毒是利用系統或者應用軟件的漏洞編寫出來的,加之現在計算機與網絡技術快速發展,病毒出現的數量、頻率、危害程度及傳播的速度都呈上升趨勢。現在最常見防范措施就是安裝殺毒軟件,對計算機進行殺毒、排查漏洞,在一定程度上治療與防范病毒感染。另一個方面,使用計算機時注意不安裝來歷不明或者盜版軟件,不登陸未知網站,不打開陌生人的郵件,不使用陌生人的U盤等。做到這兩點雙管齊下,感染病毒的幾率就會大大減小。

• 設置防火墻：防火墻是由軟件和硬件設備組合而成的,它位于內部網絡系統與外部網絡之間的交換機與路由器,主要由服務訪問規則、驗證工具、包過濾和應用網關4個部分組成。通過防火墻可以監控外網與內網之間的數據交換信息,隔離入侵者與有威脅的數據信息,放行對網絡無威脅的信息。它是一種將內網與外網分開的方法,實際上是一種隔離技術,防止內網系統內部的漏洞被外來病毒或者黑客入侵。

• 數據加密：這是計算機的最后一道防護措施。當網絡病毒、黑客入侵計算機后,會對計算機內部系統文件造成損害,許多重要的資料文檔可能會隨之被破壞或者盜用,從而給人們帶來巨大的損失。數據加密技術就像給數據加上了一個保護罩,阻止非正常渠道調用數據或者破壞數據的完整性。

等級安全信息保護2.0主要歸屬公安部管，公安部一般指中華人民共和國公安部，是國務院組成部門，是全國公安工作的最高領導機關和指揮機關，監督管理公共信息網絡的安全監察工作，根據1995年八屆人大第12次會議通過的《中華人民共和國人民警察法》第六條第12項規定，公安機關人民警察依法履行“監督管理計算機信息系統的安全保護工作”職責。

具體職責：

• 宣傳計算機信息系統安全保護法律、法規和規章；
• 檢查計算機信息系統安全保護工作；
• 管理計算機病毒和其他有害數據的防治工作；
• 監督、檢查計算機信息系統安全專用產品銷售活動；
• 查處危害計算機信息系統安全的違法犯罪案件；
• 依法應當履行的其他職責。

虛擬蜜罐誘騙攻擊者的方法有以下這些：

• 模擬端口：這是最常使用的誘騙攻擊者攻擊的手段。攻擊者掃描端口，試圖發現系統漏洞或者服務漏洞，并利用這些漏洞進行連接。

• 模擬系統漏洞和網絡服務：模擬系統漏洞和網絡服務可以做出一些端口無法做出的響應，并且可以預期一些活動，為攻擊者提供的交互能力很高。

• IP空間欺騙：利用計算機的多宿主能力，虛擬蜜網可以在塊網卡上分配多個IP地址，建立一個虛擬網段。

• 流量仿真：可以采用實時或重現的方式復制真正的網絡流量，或者遠程偽造流量。

• 社會工程：能對簡單的社會工程學攻擊有識別能力，或者可以模仿一些簡單社工攻擊來欺騙攻擊者。

虛擬專用網絡技術有以下這些特點：

• 安全性高：VPN使用通信協議、身份驗證和數據加密三方面技術保證了通信的安全性。當客戶機向VPN服務器發出請求時，該服務器響應請求并向客戶機發出身份質詢，然后客戶機將加密的響應信息發送到VPN服務器端，該服務器根據數據庫檢查該響應。如果賬戶有效，VPN服務器將檢查該用戶是否具有遠程訪問的權限，如果該用戶擁有遠程訪問的權限，該服務器接受此連接。在身份驗證過程中產生的客戶機和服務器的公有密鑰將用于對數據進行加密。

• 費用低廉：遠程用戶可以利用VPN通過Internet訪問公司局域網，而費用僅是傳統網絡訪問方式的一部分，而且，企業可以節省購買和維護通信設備的費用。

• 管理便利：構建VPN不僅只需要很少的網絡設備及物理線路，而且網絡管理也變得簡單方便。不論分公司還是遠程訪問用戶，都只需通過一個公用網絡端口或Internet路徑即可進入企業網絡。關鍵是獲得所需的帶寬，網絡管理的主要工作將由公用網承擔。

• 靈活性強：可支持通過各種網絡的任何類型數據流，支持多種類型的傳輸媒介，可以同時滿足傳輸語音、圖像和數據等的需求。

• 可擴充性和靈活性好：虛擬專用網絡支持通過Internet和Extranet的任何類型的數據流。

• 可管理性高：虛擬專用網絡可以從用戶和運營商角度方便進行管理。

• 服務質量佳：可為企業提供不同等級的服務質量（QoS）保證。不同用戶和業務對服務質量保證的要求差別較大，如對移動用戶，提供廣泛連接和覆蓋性是保證VPN服務的一個主要因素。對于擁有眾多分支機構的專線VPN，交互式內部企業網應用則要求網絡能提供良好的穩定性，而視頻等其他應用則對網絡提出了更明確的要求，如網絡延時及誤碼率等，這些網絡應用均要求根據需要提供不同等級的服務質量。

一、LNMP：Nginx二級目錄偽靜態

1、只需要添加這個二級目錄的偽靜態就可以了，這里以LNMP環境的 nginx.conf 配置文件為例子；

只需要添加如下代碼：

location /二級網站目錄/ {
　　index index.html index.php;
　　if (-f $request_filename/index.html){
　　rewrite (.*) $1/index.html break;
　　}

　　if (-f $request_filename/index.php){
　　rewrite (.*) $1/index.php;
　　}

　　if (!-f $request_filename){
　　rewrite (.*) /二級網站目錄/index.php;
　　}
　　}

2、重啟nginx；

注意：LNMP的Nginx下面也有很多類似的偽靜態配置文件，我們也可以直接 include 有引入。

例如：wordpress.conf、wp2.conf、dedecms.conf、discuz.conf 、ecshop.conf……等等，如下圖：

二、寶塔面板：Nginx二級目錄偽靜態

注意：如果你用的是寶塔面板，你用第一種上面的偽靜態規則，是會報類似如下這樣的錯誤：

nginx: [emerg] unknown directive “　　index” in

/www/server/panel/vhost/rewrite/www. xxx.com.conf:7

nginx: configuration file /www/server/nginx/conf/nginx.conf test failed

如果你用的是寶塔面板，你的偽靜態只需要直接選擇“wp2“即可！

這里很多人或許會有疑問？寶塔偽靜態wordpress與wp2的區別是什么？答案是：wordpress 是標準的偽靜態，wp2 是代表的把 WordPress 裝在子目錄的偽靜態。

rewrite ^.*/files/(.*)$ /wp-includes/ms-files.php?file=$1 last;
if (!-e $request_filename){
    rewrite ^.+?(/wp-.*) $1 last;
    rewrite ^.+?(/.*\.php)$ $1 last;
    rewrite ^ /index.php last;
}

三、Nginx try_files實現二級目錄偽靜態

當然，也可以用以下代碼實現偽靜態。至于 try_files 和 rewrite 哪個效率更高？目前不得而知，需要做進一步的了解。

location /fujieace/ {
  index  index.php;
  try_files $uri $uri/ /fujieace/index.php?$args;
}

或者可以直接采用 LNMP 程序下的配置文件：wp2.conf；

location /cmp/ {
        try_files $uri $uri/ /cmp/index.php?$args;
}

# Add trailing slash to */wp-admin requests.
rewrite /wp-admin$ $scheme://$host$uri/ permanent;

總結：

有一點大家需要注意，現在nginx配置分為 http 和 https兩個地方，有時候很多人把配置偽靜態規則 放在的是 http server中的，結果 https server中卻忘記了配置，恰好他的網站又是以https為主的，這樣的話，會造成就算你重新加載了nginx配置后，偽靜態規則卻不會生效。

按網絡覆蓋范圍和使用人數有以下分類：

• PAN（個人局域網）：這樣的網絡允許存在于一定范圍內的人的設備之間的連接。例如，通過藍牙連接的手機。

• LAN（局域網）：LAN 是在建筑物內或附近建筑物之間工作的私有網絡。例如，在家中、辦公室或工廠。

• MAN（城域網）：顧名思義，城域網是一種存在于整個城市的網絡。例如，城市中的電纜連接。

• WAN（廣域網）：它分布在一個很大的地理區域。例如，遍布全國的 Internet 服務。

• GAN（全球區域網絡）：最著名的 GAN 之一是互聯網本身，它借助衛星連接整個世界/全球。互聯網也稱為廣域網網絡。

社會工程學常見的的信息收集手段有：

• 搜索引擎：搜索引擎在幫助大眾快速檢索真實信息的同時，也成為個人信息泄露的重要出口。真實姓名、個人電話、住址、電話、個人愛好、常用賬號ID等私密信息，都有可能通過搜索引擎被查找到。社交媒體、個人主頁中一般都有個人信息，甚至很多生活細節。這些信息中的大部分內容都是真實的，這也就為社會工程學攻擊者進行冒充和偽裝提供了極大的便利。

• 個人信息泄露：身份證號、家庭住址、手機號碼、電子郵件等個人敏感信息，本來是個人隱私，應當予以保護，但是在某些掌握客戶資料的企業或管理機構的管理下，個人信息的保護措施形同虛設，更有甚者，無視職業道德和社會倫理，把客戶的個人信息變成牟利的工具，出售客戶資料造成個人信息的泄露。

• 網絡攻擊：網絡攻擊者利用網絡釣魚或者特定的木馬、病毒等惡意軟件搜集相關敏感信息，特別是密碼信息。根據心理學研究，成年人的密碼記憶個數一般為3至5個，為了記憶方便，人們通常使用姓名、生日、電話等相關信息作為密碼，而且還有可能會把多處的密碼都設置成一樣的。正是因為這個普遍的心理特點，受害者往往會出現一個密碼泄露，造成全部密碼丟失的后果，攻擊者因而就獲得多種賬號的使用權，甚至可能直接就進入系統內部。

• 詐騙電話：攻擊者可以通過偽造電話號碼，冒充技術人員或重要人物，打電話從其他用戶那里獲得他所需要的資料，也可以打電話給網絡管理員騙取重要信息，或是偽裝成機構內部人員，打電話欺騙公司的管理員獲得所需的信息。

• 上門訪問：當攻擊者無法通過以上手段獲取相關信息時，攻擊者會親自上門冒充為顧客咨詢而獲取攻擊目標的詳細情況，或者冒充計算機應用系統的維護人員進入攻擊目標的主機，趁工作人員不備安裝后門或者木馬軟件，甚至可以簡單地觀察其他管理員輸入密碼并在偷偷記住之后從容地離開。

系統漏洞又稱安全缺陷，可對用戶造成不良后果。如漏洞被惡意用戶利用，會造成信息泄漏;黑客攻擊網站即利用網絡服務器操作系統的漏洞，對用戶操作造成不便，如不明原因的死機和丟失文件等。

• 漏洞補丁為最根本的方案，但風險較大。需要在測試環境中進行。確認業務正常后在全網更新；

• 對于大部分無補丁的漏洞 ，可以通過修改配置的方式進行修復；

• 如有必要，事前對服務器進行加固為最有效解決方案，可有效避免漏洞被發現；

• 可以通過訪問控制設置，避免漏洞被外網利用；

• 對于無法修復的漏洞，應盡快予以更新，避免漏洞出現。

• 漏洞處理過程簡單，但帶來的影響不可預知。因此要有切實可行的處理方案可進行。

WebDAV 收縮溢出漏洞是：

• WebDAV壓縮溢出出現的首要是IIS服務提供提供了對WebDAV的支持，WebDAV可以通過HTTP向用戶提供遠程文件存儲的服務，但是該組件不能充分檢查傳遞給部分系統組件的數據，這樣的遠程攻擊者利用這個漏洞就可以對WebDAV進行攻擊，從而獲得LocalSystem權限，完全控制目標主機。

WebDAV 收縮溢出漏洞成因：

• 通過往程序的緩沖區寫超出其長度的內容，造成緩沖區的溢出，從而破壞程序的堆棧，造成程序崩潰或使程序轉而執行其它指令，以達到攻擊的目的。造成緩沖區溢出的原因是程序中沒有仔細檢查用戶輸入的參數。例如下面程序： void function(char *str) { char buffer[16]; strcpy(buffer,str); } 上面的strcpy()將直接把str中的內容copy到buffer中。這樣只要str的長度大于16，就會造成buffer的溢出，使程序運行出錯。存在象strcpy這樣的問題的標準函數還有strcat()，sprintf()，vsprintf()，gets()，scanf()等。 當然，隨便往緩沖區中填東西造成它溢出一般只會出現“分段錯誤”（Segmentation fault），而不能達到攻擊的目的。最常見的手段是通過制造緩沖區溢出使程序運行一個用戶shell，再通過shell執行其它命令。如果該程序屬于root且有suid權限的話，攻擊者就獲得了一個有root權限的shell，可以對系統進行任意操作了。

會降低設備安全性，并可能為黑客或惡意軟件創造機會，使其能夠利用其中一個缺口訪問您的文件，或使用設備將惡意軟件傳播到其他設備。別人可以侵入你的電腦，可以竊取你電腦中的信息，導致信息泄露。

可以采用兩種方法允許應用通過 Windows Defender 防火墻。 這兩種方法都有風險：

• 將應用添加到允許的應用列表中（風險不大）。

• 打開端口（風險較大）。

通常，將應用添加到允許的應用列表中比打開端口更安全。 端口在你關閉之前一直保持打開狀態，但是允許的應用僅在需要時才打開“缺口”。

幫助降低安全風險：

• 僅在確實需要時再允許應用或打開端口，然后按照步驟從允許的應用列表中刪除應用，或者關閉不再需要的端口。

• 切勿允許無法識別的應用通過防火墻進行通信。

常用的性能測試工具有系統自帶的性能監測工具、 Apache JMeter （開源）、 LoadRunner（商業產品）、 SmartBits （商業產品）等。

系統自帶的性能監測工具

性能監測工具主要有： Windows 操作系統的任務管理器、ping 系統命令、 tracert 系統命令、UNIX/Linux 操作系統的 ping 系統命令、 traceroute 系統命令、UnixBench 工具。

Apache JMeter

Apache JMeter 是用于測試 Web 應用性能和功能的工具，能夠支持 Web FTP 、數據庫、LDAP 等性能測試。

LoadRunner

LoadRunner 是軟件測試工具，用于評估系統在不同壓力下的性能狀況，提供負載生成、虛擬用戶創建測試控制、測試分析等功能。

SmartBits

SmartBits 是用于網絡及設備性能測試和評估分析的測量設備。