wlan網絡系統主要由以下部分組成：

• WLAN終端設備：終端設備需要安裝WLAN的網絡卡，WLAN網絡卡需要符合IEEE802.11系列標準，同時與WLAN接入系統設備相兼容。WLAN網絡卡要支持IEEE802.11b協議，當采用基于802.1x機制的認證方式時，WLAN網絡卡需要支持動態WEP加密。WLAN終端也需要安裝相應的認證客戶端軟件，支持SIM認證方式或用戶名/密碼認證方式。

• WLAN接入系統：WLAN接入系統主要由接入點（AccessPoint，AP）設備和業務控制設備（AC）組成，完成WLAN用戶的接入、接入控制、計費信息采集及業務管理與控制。

• Portal服務器：Portal服務器提供強制Portal服務、認證頁面推送、用戶認證及下線通知等功能。

• RADIUS用戶認證服務器：在用戶名/密碼認證方式中，RADIUS用戶認證服務器接受來自AC的用戶認證服務請求，對WLAN用戶進行認證，并將認證結果通知AC。

• SIM認證服務器：當對WLAN用戶采用基于SIM卡的認證方式時，認證服務器（AS）接受來自AP/AC的用戶認證服務請求，對WLAN用戶進行認證，并將認證結果通知AP/AC。

• HLR/AUC：當對WLAN用戶采用基于SIM卡的認證方式時，AS利用HLR/AUC中現有的用戶認證信息，和HLR/AUC協作實現對SIM用戶的認證。

信息安全等級保護堅持以下原則：

• 自主保護原則：信息系統的安全責任主體是信息系統運營、使用單位及其主管部門。“自主”體現在運營使用單位及其主管部門按照相關標準自主定級、自主保護。在等級保護工作中，信息系統運營使用單位及其主管部門按照相關標準自主定級、自主保護。在等級保護工作中，信息系統運營使用單位和主管部門按照“誰主管誰負責，誰運營誰負責”的原則開展工作，并接受信息安全監管部門對開展等級保護工作的監督。運營使用單位和主管部門是信息系統安全的第一負責人，對所屬信息安全系統安全負有直接責任；公安、保密、密碼部門對運營使用單位和主管部門開展等級保護工作進行監督、檢查、指導，對重要信息系統安全負監管責任。由于重要信息系統的安全運行不僅影響本行業、本單位的生產和工作秩序，也影響國家安全、社會穩定、公共利益，因此，國家需要對重要信息系統的安全進行監管。

• 重點保護原則：重點保護就是要解決我國信息安全面臨的主要威脅和存在的主要問題，實行國家對重要信息系統進行重點安全保障的重大措施，有效體現“適度安全、保護重點”的目的，將有限的財力、物力、人力投放到重要信息系統安全保護中，依據相關標準建設安全保護體系，建立安全保護制度，落實安全責任，加強監督檢查，有效保護重要信息系統安全，有效保護重要信息系統安全，有效提高我國信息系統安全建設的整體水平。優化信息安全資源的配置，重點保障基礎信息網絡和關系國家安全、經濟命脈、社會穩定等方面的重要信息系統的安全。

• 同步建設原則：信息安全建設的特點要求在信息化建設中必須同步規劃、同步實施，信息系統在新建、改建、擴建時應當同步規劃和設計安全方案，投入一定比例的資金建設信息安全設施，保障信息安全與信息化建設相適應，避免重復建設而帶來的資源浪費。

• 動態調整原則：跟蹤信息系統的變化，調整安全保護措施。由于信息系統的應用類型、數量、范圍等會根據實際需要而發生相應調整，當調整和變更的內容發生較大變化時，應當根據等級保護的管理規范和技術標準的要求，重新確定信息系統的安全保護等級，根據信息系統安全保護等級的調整情況，重新實施安全保護。同時，信息安全本身也具有動態性，不是一成不變的，當信息安全技術、外部環境、安全威脅等因素發生變化時，需要信息安全策略、安全措施進行相應的調整，以滿足安全需求的變化。

WEP 的加密過程如下：

1. 數據校驗階段。對明文（Plaintext）M求CRC32校驗值IVC=C（M），并將其與M連接，得到P=（IVC||M）。

2. 加密密鑰生成階段。選擇一個IV，以IV||SK作為偽隨機數產生器（PRNG）的種子，生成密鑰序列（Key Sequence，KS），即KS=RC4（EV||SK），這是一個與P等長的偽隨機序列。

3. 加密階段。將KS與P作XOR（異或）運算即可產生密文C=KS⊕P。發送時將密文和IV一起傳輸，即傳輸：IV||C。

關閉本機不用的端口

默認情況下Windows有很多端口是開放的， 一旦你上網， 黑客可以通過這些端口連上你的電腦， 因此你應該封閉這些端口。主要有：TCP 139、445、593、1025端口和UDP 123、137、138、445、1900端口、一些流行病毒的后門端口(如TCP2513、2745、3127、6129端口)以及遠程服務訪問端口3389。關閉的方法是：

①137、138、139、445端口：它們都是為共享而開放的，你應該禁止別人共享你的機器，所以要把這些端口全部關閉，方法是：單擊“開始→控制面板→系統→硬件→設備管理器”，單擊“查看”菜單下的“顯示隱藏的設備”，雙擊“非即插即用驅動程序”，找到并雙擊NetBios over Tcpip在打開的“NetBios over Tcpip屬性”窗口中， 單擊選中“常規”標簽下的“不要使用這個設備(停用)”，單擊“確定”按鈕后重新啟動后即可。

②關閉UDP 123端口：單擊“開始→設置→控制面板”， 雙擊“管理工具→服務”， 停止WindowsTime服務即可。關閉UDP123端口，可以防范某些蠕蟲病毒。

③關閉UDP 1900端口：在控制面板中雙擊“管理工具→服務”， 停止SSDPDiscovery Service服務即可。關閉這個端口， 可以防范DDoS攻擊。

④其他端口：你可以用網絡防火墻來關閉，或者在“控制面板”中，雙擊“管理工具→本地安全策略”，選中“IP安全策略，在本地計算機”，創建IP安全策略來關閉。

重定向本機默認端口，保護系統安全

如果本機的默認端口不能關閉，你應該將它“重定向”。把該端口重定向到另一個地址，這樣即可隱藏公認的默認端口，降低受破壞機率，保護系統安全。

例如你的電腦上開放了遠程終端服務(Terminal Server) 端口(默認是3389) ， 可以將它重定向到另一個端口(例如1234)，方法是：

• 本機上(服務器端)修改

定位到下列兩個注冊表項，將其中的PortNumber全部改成自定義的端口(例如1234)即可：

(HKEY_LOCAL_MACHINE  SYSTEM  CurrentControlSet  Control  Terminal  Server  Wds  rdpwd  Tds  tcp)

HKEY_LOCAL_MACHINE  SYSTEM  CurrentControlSet  Control  Terminal  Server  Win Stations  RDP-Tep)

• 客戶端上修改

依次單擊“開始一程序→附件→通訊一遠程桌面連接”，打開“遠程桌面連接”窗口，單擊“選項”按鈕擴展窗口，填寫完相關參數后，單擊“常規”下的“另存為”按鈕，將該連接參數導出為.rdp文件。用記事本打開該文件， 在文件最后添加一行：server port

• 重點落實通信網絡的安全評估：在展開無線通信傳輸網絡安全管理的過程中，相關人員要依托傳輸網絡的實際情況，重點落實網絡的安全性評估，包括網絡用戶的安全性評估、潛在用戶的安全性評估等,實現所有信息來源的評估。在此基礎上，要把握安全評估的深度，盡可能保證評估的精準、具體。通過這樣的方式，能夠推動無線通信傳輸網絡安全評估結果的精確性與真實性。另外，在安全評估中需要重點注意的是，必須要切實了解無線網絡運行的現實情況，并對其中存在的問題落實針對性解決。特別要重視網絡病毒產生影響的綜合性評估，實現及時預警,盡可能降 低病毒對無線通信傳輸安全產生負面影響。

• 積極引入身份認證技術：依托身份認證技術，能夠在登錄時核查用戶的身份，有效避免無線通信傳輸中出現非法占用、信息非法修改的問題，降低信息泄漏的概率，更好地保障了無線通信傳輸的安全性。身份認證技術是應用系統安全的第一道關口，是所有安全的基礎，能夠組織非法人員的登錄操作。在無線通信傳輸中，身份認證技術主要完成了以下幾項工作:在信息數據的傳輸、接收過程中，可以判斷信息數據的真偽;評價信息數據的完善程度，防止傳輸過程中被入侵或非法占有,預防非法人員利用偽造身份登錄系統并展開信 息數據的竊取。

• 應用無線通信傳輸加密技術：加密技術是無線通信傳輸安全保證中的一項重要技術，能夠促使傳輸信息轉變為加密信息，以此達到保護通信信息安全性的效果。在無線通信傳輸加密技術中，最重要的內容就是加密算法。目前，常使用的加密算法能夠劃分成兩種類型,即對稱算法以及非對稱算法。其中，對于對稱算法來說，在加密以及解密(傳輸端與接收端)使用的密鑰相同;對于非對稱算法來說在加密以及解密中使用的密鑰存在差異。依托加密技術，能夠避免不法人員侵入無線通信傳輸網絡系統中獲取明文信息。

• 權限設置：在實際的訪問過程中,用戶普遍會受到一定的權限限制，此時，需結合實際情況，完成用戶接受條件的合理設定，并對用戶發出的信號展開加密處理。通過這樣的方式，能夠避免未授權用戶登錄系統并獲取、接受相關信息，避免不法人員侵入無線通信傳輸網絡系統，進一步保障傳輸的安全性與可靠性。

• 信息備份：為了避免由于多種因素導致的信息丟失問題，必須要在無線通信傳輸網絡系統中引入信息備份與復原技術，主要包括在線備份技術、增量備份技術、全備份技術、并行技術、數據克隆技術等等，避免由于數據丟失而導致的多種損失，提升無線通信傳輸網絡系統的安全程度。

常見的指紋識別方式有以下幾種：

特定文件的 MD5

一些網站的特定圖片文件、js 文件、CSS 等靜態文件，如 favicon.ico、css、logo.ico、js 等文件一般不會修改，通過爬蟲對這些文件進行抓取并比對 md5 值，如果和規則庫中的 Md5 一致則說明是同一 CMS。這種方式速度比較快，誤報率相對低一些，但也不排除有些二次開發的 CMS 會修改這些文件。

正常頁面或錯誤網頁中包含的關鍵字

先訪問首頁或特定頁面如 robots.txt 等，通過正則的方式去匹配某些關鍵字，如 Powered by Discuz、dedecms 等。\ 或者可以構造錯誤頁面，根據報錯信息來判斷使用的 CMS 或者中間件信息，比較常見的如 tomcat 的報錯頁面。

請求頭信息的關鍵字匹配

根據網站 response 返回頭信息進行關鍵字匹配，whatweb 和 Wappalyzer 就是通過 banner 信息來快速識別指紋，之前 fofa 的 web 指紋庫很多都是使用的這種方法，效率非常高，基本請求一次就可以，但搜集這些規則可能會耗時很長。而且這些 banner 信息有些很容易被改掉。

根據 response header 一般有以下幾種識別方式：

• 查看 http 響應報頭的 X-Powered-By 字段來識別；

• 根據 Cookies 來進行判斷，比如一些 waf 會在返回頭中包含一些信息，如 360wzws、Safedog、yunsuo 等；

• 根據 header 中的 Server 信息來判斷，如 DVRDVS-Webs、yunjiasu-nginx、Mod_Security、nginx-wallarm 等；

• 根據 WWW-Authenticate 進行判斷，一些路由交換設備可能存在這個字段，如 NETCORE、huawei、h3c 等設備。

部分 URL 中包含的關鍵字

比如 wp-includes、dede 等 URL 關鍵特征。

通過規則庫去探測是否有相應目錄，或者根據爬蟲結果對鏈接 url 進行分析，或者對 robots.txt 文件中目錄進行檢測等等方式，通過 url 地址來判別是否使用了某 CMS，比如 wordpress 默認存在 wp-includes 和 wp-admin 目錄，織夢默認管理后臺為 dede 目錄，solr 平臺可能使用 /solr 目錄，weblogic 可能使用 wls-wsat 目錄等。

開發語言的識別

web 開發語言一般常見的有 PHP、jsp、aspx、asp 等，常見的識別方式有：

• 通過爬蟲獲取動態鏈接進行直接判斷是比較簡便的方法。比如：asp 判別規則如下]?href=(‘|”)[^http][^>]?.asp(?|#|\1)，其他語言可替換相應 asp 即可。

• 通過 X-Powered-By 進行識別比較常見的有 X-Powered-By: ASP.NET 或者 X-Powered-By: PHP/7.1.8

• 通過 Set-Cookie 進行識別

這種方法比較常見也很快捷，比如 Set-Cookie 中包含 PHPSSIONID 說明是 php、包含 JSESSIONID 說明是 java、包含 ASP.NET_SessionId 說明是 aspx 等。

信息安全管理體系文件編制需遵循以下原則：

• 符合性原則：符合性即符合信息安全相關標準和法律法規的要求，并符合組織的信息安全方針和信息安全目標。

• 確定性原則：在描述任何信息安全的活動過程時，必須具有確定性，即什么時間、什么地點、由哪個部門的哪個人來做什么，以及做這件事依據的是什么文件、使用了哪些資源、具體的操作流程是什么、對事件如何記錄等，都必須加以明確規定，排除隨意性，這樣才能保證過程的一致性。缺少任何一個描述環節，都會使文件變得不充分，可操作性不強。

• 相容性原則：信息安全管理體系文件之間應保持良好的相容性，做到不相互矛盾，協調一致，并且承擔各自為實現總目標的相應任務。

• 可操作性原則：要符合組織的實際情況，具體的控制要求應以滿足組織需要為主，而不是越多越好。要從實際出發，切忌脫離實際，按照外來文件照搬照抄。

• 系統性原則：信息安全管理體系文件是一個層次分明的整體，不同文件與不同層級，形成一定的秩序，同層文件之間應具有清晰的邏輯關系，因此要站在系統的高度，注意系統方法、過程方法的有效結合，對過程的輸入／輸出、過程之間的接口、相互關系，以及對文件的層次、支持關系加以有效控制，使信息安全管理體系文件形成一個有機整體。

我國云計算生態系統涉及以下方面：

• 硬件：云計算相關硬件包括服務器、存儲設備、網絡設備、數據中心成套裝備以及提供和使用云服務的終端設備。目前，我國已形成較為成熟的電子信息制造產業鏈，設備提供能力大幅提升，基本能夠滿足云計算發展需求，但低功耗CPU、GPU等核心芯片技術與國外相比尚有較大差距，新型架構數據中心相關設備研發較為滯后，規范硬件性能、功能、接口及測評等方面的標準尚未形成。

• 軟件：云計算相關軟件主要包括資源調度和管理系統、云平臺軟件和應用軟件等。資源調度管理系統和云平臺軟件方面，我國已在虛擬彈性計算、大規模存儲與處理、安全管理等關鍵技術領域取得一批突破性成果，擁有了面向云計算的虛擬化軟件、資源管理類軟件、存儲類軟件和計算類軟件，但綜合集成能力明顯不足，與國外差距較大。云應用軟件方面，我國已形成較為齊全的產品門類，但云計算平臺對應用移植和數據遷移的支持能力不足，制約了云應用軟件的發展和普及。

• 服務：服務包括云服務和面向云計算系統建設應用的云支撐服務。云服務方面，各類IaaS、PaaS和SaaS服務不斷涌現，云存儲、云主機、云安全等服務實現商用，阿里云、百度云、騰訊云等公有云服務能力位居世界前列，但國內云服務總體規模較小，需要進一步豐富服務種類，拓展用戶數量。同時，服務質量保證、服務計量和計費等方面依然存在諸多問題，需要建立統一的SLA（服務水平協議）、計量原則、計費方法和評估規范，以保障云服務按照統一標準交付使用。云支撐服務方面，我國已擁有覆蓋云計算系統設計、部署、交付和運營等環節的多種服務，但尚未形成自主的技術體系，云計算整體解決方案供給能力薄弱。

• 網絡：云計算具有泛在網絡訪問特性，用戶無論通過電信網、互聯網或廣播電視網，都能夠使用云服務。“寬帶中國”戰略的實施為我國云計算發展奠定堅實的網絡基礎。與此同時，為了進一步優化網絡環境，需要在云內、云間的網絡連接和網絡管理服務質量等方面加強工作。

• 安全：云安全涉及服務可用性、數據機密性和完整性、隱私保護、物理安全、惡意攻擊防范等諸多方面，是影響云計算發展的關鍵因素之一。云安全不是單純的技術問題，只有通過技術、服務和管理的互相配合，形成共同遵循的安全規范，才能營造保障云計算健康發展的可信環境。

• 定性評估方法

定性評估方法的優點是避免了定量方法的缺點，可以挖掘出一些蘊藏很深的思想，使評估的結論更全面、更深刻;但它的主觀性很強，對評估者本身的要求很高。

定性的評估方法主要根據研究者的經驗、知識、政策走向、歷史教訓及特殊變例等非量化資料對系統風險狀況做出判斷的過程。它主要以與調查對象的深入訪談做出個案記錄為基本資料，之后通過一個理論推導演繹的分析框架，對資料進行編碼整理，在此基礎上做出調查結論。

定性分析方法主要有邏輯分析法、德爾斐法、因素分析法、歷史比較法。

• 定量評估方法

定量的評估方法是指運用數量指標來對風險進行評估。

定量的評估方法的優點是用直觀的數據來表述評估的結果，看起來比較客觀，而且一目了然，定量分析方法的采用，可以使研究結果更嚴密，更科學，更深刻。有時，一個數據所能夠說明的問題可能是用一大段文字也不能夠闡述清楚的;但常常為了量化，使本來比較復雜的事物簡單化、模糊化了，有的風險因素被量化以后還可能被誤解和曲解。

定量分析方法主要有等風險圖法、決策樹法、因子分析法、時序模墅、回歸模型、聚類分析法等。

• 定性與定量相結合的綜合評估方法

在信息系統信息安全風險評估過程中，層次分析法經常被用到，它是一種綜合的評佑方法，這是一種定性與定量相結合的多目標決策分析方法，其核心是將決策者的經驗判斷給予量化，從而為決策者提供定量形式的決策依據。該方法對系統進行分層次、擬定量、規范化處理，在評估過程中經歷系統分解、安全性判斷和綜合判斷三個階段。

• 不執行任何可能引起業務中斷的攻擊（包括資源耗竭型DoS，畸形報文攻擊，數據破壞）。

• 測試驗證時間放在業務量最小的時間進行。

• 測試執行前確保相關數據進行備份。

• 所有測試在執行前和維護人員進行溝通確認。

• 在測試過程中出現異常情況時立即停止測試并及時恢復系統。

• 對原始業務系統進行一個完全的鏡像環境，在鏡像環境上進行滲透測試。

常見導致網絡癱瘓的原因有以下這些：

• 劣質水晶頭：非標準的或劣質的水晶頭可導致網絡上傳輸的大量數據幀被反射或串擾所破壞，使網絡流量大幅增加，當使用非標準的或劣質的水晶頭的工作站的數據流量很大時，會導致網絡阻塞。因此，水晶頭要選擇標準的Cat5+RJ-45接頭，不可隨意替代。

• 未使用非屏蔽網線：雙絞線是由4對線嚴格而合理地緊密絞和在一起的，以減少串擾和背景噪音的影響。以太網一般使用兩對雙絞線，排列在1、2、3、6的位置。其中1、2用于發送，3、6用于接收，1、2必須來自一個繞對，3、6必須來自一個繞對，不能破壞線纜的雙絞關系，并保證外包皮與水晶頭銜接良好。使用非標準的、劣質的網線，或者不按正確標準制作網線將線對分開使用形成纏繞，就會產生較大的串擾，信號耦合到鄰近線對引起高頻信號傳輸失敗，致使網速變慢，甚至會使網絡癱瘓。

• 網卡損壞：網卡損壞后比較常見的現象有兩種，一種是不響應通信信號，也不向網絡發送任何數據，這樣只有本機無法上網，不會影響網速。另一種是不停地發送廣播包，而大量占用網絡帶寬，即所謂的導致廣播風暴，使網絡通信陷于癱瘓 。

• 集線器距離過遠或使用量少：在10mbps以太網中任意兩個網絡設備之間經過的集線器的數量不應超過4個，使用HUB的最大距離為600m；在100nbps快速以太網中只允許對兩個100M的HUB進行級聯，而且兩個100MHUB之間的連接距離不能>5m，所以100M局域網在使用HUB時最大距離為205m。如果實際連接距離不符合以上要求會產生芻菊鏈效應，即數據傳輸的時間超長而引發的網絡錯誤現象，導致網絡無法連接。

• 交換機端口與網卡雙攻方式不一致：交換機的端口設置應和網卡速率及雙工方式保持一致。如果交換機的端口設置和網卡速率及雙工方式不一致，傳輸方式不匹配，會導致網速變慢。

• 光纖接頭污染：光纖接頭被水侵蝕或被灰塵污染，信號不能正常傳輸會導致網絡癱瘓，要保證光纖接線箱密封良好。單模光纖鏈路和多模光纖鏈路由于傳輸的光模式、優勢波長和衰減機理完全不同，不可以混用。單模光纖和多模光纖的混用，可導致網絡通信中斷。

• UPS凈化能力下降：UPS對電源的凈化能力下降時，內諧波容易從電源系統串入網絡系統，當大量的內諧波功率疊加串入網絡系統后，一方面侵蝕網絡帶寬，使網速變慢，當以太網的網絡總流量高于80%時，會導致絕大多數的網絡癱瘓；另一方面，串入的內諧波將干擾正常數據傳輸，導致數據出錯。

避免網絡癱瘓的措施有以下這些：

• 堵住安全漏洞：限制系統物理訪問是確保路由器安全的最有效方法之一。限制系統物理訪問的一種方法就是將控制臺和終端會話配置成在較短閑置時間后自動退出系統。避免將調制解調器連接至路由器的輔助端口也很重要。一旦限制了路由器的物理訪問，用戶一定要確保路由器的安全補丁是最新的。漏洞常常是在供應商發行補丁之前被披露，這就使得黑客搶在供應商發行補丁之前利用受影響的系統，這需要引起用戶的關注。

• 避免身份危機：黑客常常利用弱口令或默認口令進行攻擊。加長口令、選用30到60天的口令有效期等措施有助于防止這類漏洞。另外，一旦重要的IT員工辭職，用戶應該立即更換口令。用戶應該啟用路由器上的口令加密功能，這樣即使黑客能夠瀏覽系統的配置文件，他仍然需要破譯密文口令。實施合理的驗證控制以便路由器安全地傳輸證書。在大多數路由器上，用戶可以配置一些協議，如遠程驗證撥入用戶服務，這樣就能使用這些協議結合驗證服務器提供經過加密、驗證的路由器訪問。驗證控制可以將用戶的驗證請求轉發給通常在后端網絡上的驗證服務器。驗證服務器還可以要求用戶使用雙因素驗證，以此加強驗證系統。雙因素的前者是軟件或硬件的令牌生成部分，后者則是用戶身份和令牌通行碼。其他驗證解決方案涉及在安全外殼(SSH)或IPSec內傳送安全證書。

• 禁用服務：擁有眾多路由服務是件好事，但近來許多安全事件都凸顯了禁用不需要本地服務的重要性。需要注意的是，禁用路由器上的CDP可能會影響路由器的性能。另一個需要用戶考慮的因素是定時。定時對有效操作網絡是必不可少的。即使用戶確保了部署期間時間同步，經過一段時間后，時鐘仍有可能逐漸失去同步。用戶可以利用名為網絡時間協議(NTP)的服務，對照有效準確的時間源以確保網絡上的設備時針同步。不過，確保網絡設備時鐘同步的最佳方式不是通過路由器，而是在防火墻保護的非軍事區(DMZ)的網絡區段放一臺NTP服務器，將該服務器配置成僅允許向外面的可信公共時間源提出時間請求。在路由器上，用戶很少需要運行其他服務，如SNMP和DHCP。只有絕對必要的時候才使用這些服務。

• 限制邏輯訪問：限制邏輯訪問主要是借助于合理處置訪問控制列表。限制遠程終端會話有助于防止黑客獲得系統邏輯訪問。SSH是優先的邏輯訪問方法，但如果無法避免Telnet，不妨使用終端訪問控制，以限制只能訪問可信主機。因此，用戶需要給Telnet在路由器上使用的虛擬終端端口添加一份訪問列表。控制消息協議(ICMP)有助于排除故障，但也為攻擊者提供了用來瀏覽網絡設備、確定本地時間戳和網絡掩碼以及對OS修正版本作出推測的信息。為了防止黑客搜集上述信息，只允許以下類型的ICMP流量進入用戶網絡：ICMP網無法到達的、主機無法到達的、端口無法到達的、包太大的、源抑制的以及超出生存時間(TTL)的。此外，邏輯訪問控制還應禁止ICMP流量以外的所有流量。

• 使用質量較高的硬件：選擇水晶頭、網線等硬件設備時盡量選擇符合國標質量的產品，保證網絡不會因為硬件產品的質量導致網絡癱瘓，當使用非標準的或劣質的水晶頭的工作站的數據流量很大時，會導致網絡阻塞，質量沒有問題的水晶頭則不會產生這種問題。網線的選擇盡量使用屏蔽雙絞線網線，這樣可以最大程度上降低因為電磁干擾來降低網絡癱瘓的可能性。

網絡安全和信息安全的區別主要有以下方面：

• 隸屬關系不同：信息安全和網絡安全最本質的區別就是兩者的隸屬關系不同，簡單來說就是包含關系不一樣，信息安全包含網絡安全，信息安全還包括操作系統安全，數據庫安全，硬件設備和設施安全，物理安全，人員安全，軟件開發，應用安全等。

• 針對設備不同：針對的設備不同，網絡安全側重于研究網絡環境下的計算機安全，信息安全側重于計算機數據和信息的安全。網絡安全是指網絡系統的硬件、軟件及其系統中的數據受到保護，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統連續可靠正常地運行，網絡服務不中斷。

• 側重點不同：網絡安全更注重在網絡層面，例如通過部署防火墻、入侵檢測等硬件設備來實現鏈路層面的安全防護，而信息安全的層面要比網絡安全的覆蓋面大的多，信息安全是從數據的角度來看安全防護。

• 工作內內容不同：對網絡系統進行安全評估和安全加固，設計安全的網絡解決方案；在出現網絡攻擊或安全事件時，提高服務，幫助用戶恢復系統及調查取證。

網絡攻擊的攻擊過程一般可以歸納為：

1. 確定目標主機或系統，就像盜賊在企圖搶劫之前會“實地考察”珠寶店那樣。然后，攻擊者進行數據收集與分析，如確定主機的位置、操作系統的類型及其提供的服務等。通常攻擊者會通過社會工程學、釣魚軟件、假冒網站、惡意軟件等手段，利用掃描器等工具獲得攻擊目標的相關信息，為下一步攻擊做好充分準備。

2. 獲取控制權攻擊者首先要獲取目標主機的一個賬號和密碼，進行登錄，獲得控制權，以便進行后續的攻擊行為。攻擊者有時通過盜竊賬號文件進行破解，從中獲取某用戶的賬號和密碼，再尋覓合適的時機以此身份進入主機。利用某些工具或系統漏洞登錄主機也是攻擊者常用的一種技法，如利用FTP、Telnet等工具突破系統漏洞進入目標主機系統。

3. 權限升級與保持攻擊者獲得了某個系統的訪問權限后，會對權限進行升級，進而訪問可能受到限制的部分網絡和執行攻擊行為。攻擊者一般會通過更改某些系統設置、在系統中植入特洛伊木馬或其他遠程控制程序等手段，以便日后不被察覺地再次進入系統。

4. 實施攻擊攻擊者在獲取相應的權限后，開始實施竊取或破壞敏感信息、癱瘓網絡、修改系統數據和程序等攻擊行為。

5. 消除痕跡完成網絡攻擊后，攻擊者通常會通過清除日志、刪除復制的文件等各種手段來隱藏自己的痕跡，并為今后可能的訪問留下控制權限。

供應鏈作為工業制造領域不可缺少的組織形態，隨著工業互聯網的不斷發展，安全問題更加凸顯。工業互聯網存在的供應鏈安全問題有：

供應鏈斷供

我國工業基礎薄弱，雖然建立了大而全的工業體系，但是在關鍵基礎材料、精密零部件、芯片、高端生產設備以及核心控制設備、工業操作系統、工業軟件等產品還是依靠國外進口，技術受制于人。

工業盜版軟件

由于受國外技術壟斷、價格高，不法人員破解國外工業軟件，從設計、研發、仿真、生產、運行、管理等環節無不例外，如設計 CAD、輔助制造 CAM/CAE、仿真 ANSYS、以及生產 MES、DNC、SCADA 軟件等。在一段時間內，工業盜版軟件確實解決了我國制造業 “有沒有” 和 “卡脖子” 的問題，但工業盜版軟件也給我國制造業供應鏈埋下安全隱患。

工業設備、軟件、系統等產品在研發設計時存在缺陷

工業控制系統以及工業協議在早期設計研發時，并沒有考慮安全問題，先天就缺失加密、授權、認證機制以及不斷暴露出的安全漏洞。據 CNVD 統計，目前工業控制系統被爆出 3100 多個安全漏洞，主要涉及 DCS、PLC、工業交換機、HMI、組態軟件等，以及剛爆出的 Apache Log4j 漏洞。Log4j 是一個開源 Java 日志庫，也廣泛應用于工業領域，西門子、羅克韋爾、施耐德等廠商相繼發表聲明，其部分產品存在 Log4j 漏洞。這些設計上的缺陷和漏洞，不排除被國外勢力利用，窺視我國工業生產。

供應商、渠道商在交付時被黑客劫持

工業關鍵生產設備、控制系統等產品在生產、采購、銷售、物流、交付等供應渠道環節中被黑客劫持。如伊朗震網事件，是美國和以色列軍方針對設備供應商和系統集成商精心策劃的一起網絡攻擊，并植入 “震網” 病毒，由工程師帶到調試環境中，并潛伏實施攻擊。

工業控制系統在上線、運行、使用階段，網絡安全防護不足

由于工業控制系統長時間處于獨立封閉環境，以及企業運營人員安全認知不足等原因，工業控制系統幾乎沒有任何保護措施，處于 “裸奔” 狀態。整體上缺乏從系統調試、上線、運行、使用等環節的管控機制，無供應鏈風險評估機制以及上線檢測、安全評估、安全加固等措施。隨著工業設備、應用逐漸上云，產業上下游企業不斷互聯互通，不法分子正瞄準這一時機，利用供應鏈攻擊。

工業設備、機器、系統在運維階段常被盜取數據和惡意攻擊

一方面，關鍵生產設備、控制設備、工業應用軟件等產品常常被國外廠商以遠程運維或診斷為由，對生產設備、工業應用遠程訪問，窺視我國的工業生產過程。國內曾發生過多起安全事件，如某風電場的風機運行數據被遠程傳到國外。另一方面，工業軟件常被 “污染”，工具包、協議棧、升級包、固件庫等組件常被植入惡意程序，用戶下載后不經測試直接使用，導致系統被攻擊。

防火墻有以下局限性或者說是缺點：

• 防火墻可以阻斷攻擊，但不能消滅攻擊源： “各掃自家門前雪，不管他人瓦上霜”，就是目前網絡安全的現狀。互聯網上病毒、木馬、惡意試探等等造成的攻擊行為絡繹不絕。設置得當的防火墻能夠阻擋他們，但是無法清除攻擊源。

• 防火墻不能抵抗最新的未設置策略的攻擊漏洞：就如殺毒軟件與病毒一樣，總是先出現病毒，殺毒軟件經過分析出特征碼后加入到病毒庫內才能查殺。防火墻的各種策略，也是在該攻擊方式經過專家分析后給出其特征進而設置的。

• 防火墻的并發連接數限制容易導致擁塞或者溢出：由于要判斷、處理流經防火墻的每一個包，因此防火墻在某些流量大、并發請求多的情況下，很容易導致擁塞，成為整個網絡的瓶頸影響性能。而當防火墻溢出的時候，整個防線就如同虛設。

• 防火墻對服務器合法開放的端口的攻擊大多無法阻止：某些情況下，攻擊者利用服務器提供的服務進行缺陷攻擊。例如利用開放了 3389 端口取得沒打過 sp 補丁的 win2k 的超級權限、利用 asp 程序進行腳本攻擊等。

• 防火墻對的內部主動發起的連接攻擊一般無法阻止：防火墻對外部的一些攻擊可以進行有效的防御，但是那些木馬通過內部實施的攻擊行為則無法進行防護。

• 防火墻本身也會出現問題和受到攻擊：防火墻也是一個交互系統，也有硬件和軟件系統因此也存在漏洞和 BUG，所以其本身也可能受到攻擊和出現軟硬件方面故障。