防范信息收集型攻擊的方法有以下這些：

• 限制IP地址單位時間的訪問次數：正常訪問很難在一秒內訪問多次，通過限制訪問次數來防止對方進行信息收集，但是這種缺點是阻止搜索引擎對網站的收錄和降低網站傳播度。

• 屏蔽ip：通過后臺計數器，記錄來訪者ip和訪問頻率，人為分析來訪記錄，屏蔽可疑Ip。或者直接建立白名單來限制網站的訪問人員，缺點就是網站管理員工作量會增大。

• 利用js加密網頁內容：通過在開發時使用js代碼將網站中的敏感信息進行加密，防止該類數據被有心人收集利用。

• 隱藏網站敏感信息：將網站的版權信息和一些報錯信息全部隱藏，檢測網站有沒有404網站，將404網站替換為自己編寫的網站而不是服務器自身的報錯信息。

• 用戶登錄才能訪問網站內容：建議網站的信息需要用戶實名登錄后才可以訪問，這樣可以有效降低攻擊者收集信息；

• 利用腳本語言做分頁：使用腳本語言對網站進行分頁隱藏，但是這樣會影響搜索引擎對網頁的收錄，但是可以降低攻擊者通過代碼分析來獲取信息。

• 使用高防IP服務：最直接的就是購買高防IP服務，把域名解析到高防IP服務器上，然后配置轉發規則，將惡意攻擊流量在高防IP上進行清洗過濾后，把正常訪問流量返回給源站IP，確保源站IP能正常穩定訪問的安全防護。

• 使用CDN技術：隱藏真實的IP等信息，使攻擊者無法分析真的ip地址來進行信息收集，同時又為網站提高的了用戶的訪問速度以一種高效的形式為用戶提供服務，缺點就是價格略貴。

物聯網三層技術架構相關的四大公共技術有以下這些：

• 物聯網架構技術：物聯網架構技術目前處于概念發展階段。物聯網需具有統一的架構、清晰的分層，支持不同系統的互操作性，適應不同類型的物理網絡，適應物聯網的業務特性。

• 標識和解析技術：標識和解析技術是對物理實體、通信實體和應用實體賦予的或其本身固有的一個或一組屬性，并能實現正確解析的技術。物聯網標識和解析技術涉及不同的標識體系、不同體系的互操作、全球解析或區域解析、標識管理等。

• 安全和隱私技術：安全和隱私技術包括安全體系架構、網絡安全技術、“智能物體”的廣泛部署對社會生活帶來的安全威脅、隱私保護技術、安全管理機制和保證措施等。

• 網絡管理技術：網絡管理技術重點包括管理需求、管理模型、管理功能、管理協議等。為實現對物聯網廣泛部署的“智能物體”的管理，需要進行網絡功能和適用性分析，開發適合的管理協議。

物聯網安全技術體系框架包括以下層次：

• 感知層：感知層的自組網通信技術主要包括針對局部區域內各類終端間的信息交互而采用的調制、編碼、糾錯等通信技術；實現各終端在局部區域內的信息交互而采用的媒體多址接入技術；實現各個終端在局部區域內信息交互所需的組網、路由、拓撲管理、傳輸控制、流控制等技術。感知層信息處理技術主要指在局部區域內各終端完成信息采集后所采用的模式識別、數據融合、數據壓縮等技術，以提高信息的精度、降低信息冗余度，實現原始級、特征級、決策級等信息的網絡化處理。

• 網絡層：網絡層主要用于實現感知層各類信息進行廣域范圍內的應用和服務所需的基礎承載網絡，包括移動通信網、互聯網、衛星網、廣電網、行業專網，以及形成的融合網絡等。根據應用需求，可作為透傳的網絡層，也可升級滿足未來不同內容傳輸的要求。經過十余年的快速發展，移動通信、互聯網等技術已比較成熟，在物聯網的早期階段基本能夠滿足物聯網中數據傳輸的需要。

• 應用層：應用層主要將物聯網技術與行業專業系統相結合，實現廣泛的物物互聯的應用解決方案。主要包括業務中間件和行業應用領域。其中物聯網應用支持子層用于支撐跨行業、跨應用、跨系統之間的信息協同、共享、互通的功能。物聯網應用包括智能交通、智能醫療、智能家居、智能物流、智能電力等行業應用。

• 支撐技術層：物聯網支撐技術包括嵌入式系統、微機電系統（Micro Electro Mechanical Systems，MEMS）、軟件和算法、電源和儲能、新材料技術等。嵌入式系統可滿足物聯網對設備功能、可靠性、成本、體積、功耗等的綜合要求，可以按照不同應用定制裁剪的嵌入式計算機技術，是實現物體智能的重要基礎。微機電系統可實現對傳感器、執行器、處理器、通信模塊、電源系統等的高度集成，是支撐傳感器節點微型化、智能化的重要技術。

• 公共技術層：公共技術不屬于物聯網技術的某個特定層面，而是與物聯網技術架構的三層都有關系，主要包括架構技術、標識和解析、安全和隱私、網絡管理技術等。物聯網架構技術目前處于概念發展階段。物聯網需具有統一的架構、清晰的分層，支持不同系統的互操作性，適應不同類型的物理網絡，適應物聯網的業務特性。標識和解析技術是對物理實體、通信實體和應用實體賦予的或其本身固有的一個或一組屬性，并能實現正確解析的技術。物聯網標識和解析技術涉及不同的標識體系、不同體系的互操作、全球解析或區域解析、標識管理等。

UDP和TCP傳遞數據的差異類似于電話和明信片之間的差異。

• TCP就像電話，必須先驗證目標是否可以訪問后才開始通訊。UDP就像明信片， 信息量很小而且每次傳遞成功的可能性很高，但是不能完全保證傳遞成功。

• UDP通常由每次傳輸少量數據或有實時需要的程序使用。在這些情況下，UDP的低開銷比TCP更適合。UDP與TCP提供的服務和功能直接對比。

災難恢復軟件的優勢：

• 安裝方便、界面友好、使用靈活。

• 穩定性和可靠性。備份軟件一定要與操作系統100%兼容，其次，當事故發生時，能夠快速有效地恢復系統及數據。

• 支持各種操作系統、數據庫和典型應用。

• 提供集中管理方式，用戶在一臺計算機上就可以備份從服務器到工作站整個網絡數據。

• 支持快速的災難恢復。備份軟件應提供一種機制，可以使用戶在災難發生后在非常短的時間內恢復服務器和整個網絡上的系統軟件和數據。

• 支持異機恢復。在大多數情況下，很難確保在同一臺機器或同一型號的機器上進行系統和數據恢復，因此備份軟件應能支持將備份的數據和系統恢復到不同的硬件平臺、虛擬化平臺上。

• 能夠保證備份數據的完整性。對某些大型數據庫系統，數據文件是彼此相關聯的，如果只備份其中的一個，所備份的數據很可能無法使用。

• 全面保護操作系統內核數據。對操作系統的備份不僅僅是數據的備份，還有系統內核數據，如NETWARE中的NDS信息，WINDOWSNT中的注冊表信息等。

• 支持在文件和數據庫正被使用時的實時備份。對于許多7X24系統，可能在備份期間仍有文件和數據庫被打開使用，系統應該能夠備份這些文件和數據庫，否則會導致數據不完整。

• 支持多種備份介質，如：磁帶、MO光盤等。

• 具有相應的功能進行設備管理。包括對磁帶機、磁帶庫、磁帶陣列等的管理，并能夠保存設備活動情況記錄，如首次格式化日期和格式化次數等。還應能夠提供對重要備份介質的保護，防止誤刪除，誤格式化。

• 對數據量大的備份，應支持高速備份及超高速備份，如網絡負載自動檢測、磁盤映像備份、支持磁帶庫備份等。

• 支持備份的安全性，在備份時應能夠設置備份的密碼以防止未授權的恢復。

運行安全管理需要管理的內容有以下這些：

• 故障管理：故障管理是對信息系統中的問題或故障進行定位的過程，包含發現問題、分離問題、找出失效的原因、解決問題（如有可能）幾項內容。使用故障管理技術，并且借助排障工具，管理者可以更快地定位問題和解決問題。

• 性能管理：性能管理可以測量系統中硬件、軟件和媒體的性能。運用性能管理信息，管理者可以保證系統具有足夠滿足用戶的需要的能力。

• 變更管理：信息系統始終處于一種不斷變化的狀態。無論變化是出于內部因素還是外部因素，管理員都要花費大量的時間去調查、推斷和排除對系統的影響。理想情況是，為系統的所有變化做出計劃和預算；但是實際上，許多系統變化是來自突發的意外的需求。例如，一個秘密的泄露將會導致所有操作系統的防火墻必須升級，所有系統的登錄權限必須被仔細檢查。如何迅速解決由于系統不斷變化而產生的問題，這就是變更管理涉及的內容。

漏洞掃描器一般由以下模塊組成：

• 漏洞數據庫模塊：漏洞數據庫包含各種操作系統和應用程序的漏洞信息，以及如何檢測漏洞的指令。新的漏洞會不斷出現，因此該數據庫需要經常更新，以便能檢測到新發現的漏洞。這一點非常類似于病毒庫的升級。

• 掃描引擎模塊：掃描引擎是掃描器的主要部件。根據用戶配置控制臺部分的相關設置，掃描引擎組裝好相應的數據包，發送到目標系統，將接收到的目標系統的應答數據包和漏洞數據庫中的漏洞特征進行比較，從而判斷所選擇的漏洞是否存在。

• 用戶配置控制臺模塊：用戶配置控制臺與安全管理員進行交互，用來設置要掃描的目標系統，以及掃描哪些漏洞。

• 當前活動的掃描知識庫模塊：通過查看內存中的配置信息，該模塊監控當前活動的掃描，將要掃描的漏洞的相關信息提供給掃描引擎，同時接收掃描引擎返回的掃描結果。

• 結果存儲器和報告生成工具：報告生成工具利用當前活動掃描知識庫中存儲的掃描結果，生成掃描報告。掃描報告將告訴用戶配置控制臺設置了哪些選項，根據這些設置，在掃描結束后，就可以知道在哪些目標系統上發現了何種漏洞。

網絡安全（Cyber Security）是指網絡系統的硬件、軟件及其系統中的數據受到保護，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統連續可靠正常地運行，網絡服務不中斷。

網絡安全應具有以下五個方面的特征：

　　保密性：信息不甚露給非授權用戶、實體或過程，或供其利用的特性。

　　完整性：數據未經授權不能進行改變的特性。即信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性。

　　可用性：可被授權實體訪問并按需求使用的特性。即當需要時能否存取所需的信息。例如網絡環境下拒絕服務、破壞網絡和有關信息的正常運行等都屬于對可用性的攻擊;

　　可控性：對信息的傳播及內容具有控制能力。

　　可審查性：出現的安全問題時提供依據與手段。

網絡安全威脅：

• 信息泄露：信息被泄露或透露給某個非授權的人或實體。這種威脅來自諸如竊聽、搭線或其他更加錯綜復雜的信息探測攻擊。

• 完整性破壞：數據的一致性通過非授權的增刪、修改或破壞而受到損壞。

• 拒絕服務：對信息或資源的訪問被無條件地阻止。這可能由以下攻擊所致：攻擊者通過對系統進行非法的、根本無法成功的訪問嘗試使系統產生過量的負荷，從而導致系統的資源在合法用戶看來是不可使用的。拒絕服務也可能是因為系統在物理上或邏輯上受到破壞而中斷服務。

• 非法使用：某一資源被某個非授權的人或以某種非授權的方式使用。例如，侵入某個計算機系統的攻擊者會利用此系統作為盜用電信服務的基點，或者作為侵入其他系統的 “橋頭堡”。

網絡安全防范技術：

• 防火墻技術

防火墻是一種用來保護內部網絡操作環境的網絡安全部件，其功能是加強網絡之間的訪問控制，防止外部網絡用戶以非法手段通過外部網絡進入內部網絡或訪問內部網絡資源。防火墻系統一方面可以保護自身網絡資源不受外部的入侵，另一方面還能攔截被保護網絡向外傳輸的重要相關信息。

• 數據加密技術

數據加密技術是通過變換和置換等方法將被保護的信息轉換成密文，然后再對信息進行存儲或傳送，既可以防止信息在存儲或傳輸過程中被非授權人員截獲，也可以保護信息的不被他人識別，很大程度上提高了其安全性。是一種最基本的網絡安全防護技術，它是信息安全的核心。

• 網絡入侵檢測技術

它是一種通過硬件或軟件對網絡上的數據流進進行實時檢測，并與系統中的入侵特征數據庫進行驗證，能有效將入侵地數據包進行過濾與抵擋的網絡實時監控技術。入侵檢測并對入侵行為進行發覺警報處理是其最明顯的技術特點。但它只是網絡安全防護的一個重要部件之一，一般情況下還需要通過和防火墻系統進行結合，以達到最佳的實時防護效果。

• 網絡安全掃描技術

此技術的主要防護功能是通過對網絡的全面系統掃描，網絡管理員能在有效了解網絡安全配置與運行的應用服務的情況下，及時發現安全漏洞，即時進行風險等級評估，并采取相應的防護措施進行處理以降低系統的安全風險。安全掃描技術與防火墻、入侵檢測系統的互相配合，能有效提高網絡安全的技術防范機制與安全性。

• 防病毒技術

普遍使用的防病毒軟件，因其功能的不同一般分為網絡防病毒軟件和單機防病毒軟件兩大類。網絡防病毒軟件側重于一旦有病毒入侵或從網絡向其它資源傳染，網絡防病毒軟件可以即時檢測到并及時進行刪除清理。單機防病毒軟件一般是對本地和本地工作站連接的遠程資源進行分析掃描檢測并清除病毒。

當前計算機網絡的功能主要有以下幾個方面：

• 資源共享：計算機網絡最具吸引力的功能是進入計算機網絡的用戶可以共享網絡中各種硬件和軟件資源，使網絡中各部分的資源互通、分工協作，從而提高系統資源的利用率。

• 數據傳輸：數據傳輸是計算機網絡的基本功能之一，用以實現計算機與終端或計算機與計算機之間傳送各種信息，從而提高了計算機系統的整體性能，也大大方便了人們的工作和生活。

• 集中管理：計算機網絡技術的發展和應用，已使得現代辦公、經營管理等發生了很大的變化。目前，已經有了許多MIS系統、OA系統等，通過這些系統可以將地理位置分散的生產單位或業務部門連接起來進行集中控制和管理，提高工作效率，增加經濟效益。

• 分布處理：對于綜合性的大型問題可以采用合適的算法，將任務分散到網絡中不同的計算機上進行分布式處理，以達到均衡使用網絡資源、實現分布處理的目的。

• 負載平衡：負載平衡是指任務被均勻地分配給網絡上的各臺計算機。網絡控制中心負責分配和檢測，當某臺計算機負載過重時，系統會自動轉移部分工作到負載較輕的計算機中去處理。

• 提高安全與可靠性：建立計算機網絡后，還可減少計算機系統出現故障的概率，提高系統的可靠性。另外對于重要的資源可將它們分布在不同地方的計算機上。這樣，即使某臺計算機出現故障，用戶在網絡上可通過其他路徑來訪問這些資源，不影響用戶對同類資源的訪問。

1,避免被針對版本直接使用漏洞
修改nginx.conf文件
在http模塊中添加如下信息
server_tokens off；

2,某些目錄為運維頁面，不要公開訪問
編輯nginx.conf
在server標簽內添加如下內容

location ~ /attachments/.*\.(php|php5)?$ { 
deny all; 
}
location ~ /(attachments|upload)/.*\.(php|php5)?$ { 
deny all; 
}

3,敏感目錄使用白名單訪問
修改nginx.conf文件
在server中添加
location /upload {
allow 192.168.1.0/24;
allow 10.1.1.1/32;
deny all;
}

4,防止通過瀏覽器直接查看目錄內容
編輯nginx.conf文件
在http模塊下添加一行內容
autoindex off;

5,制作重定向，防止默認頁面存在安全隱患
編輯nginx.conf
在server模塊下加入

error_page   404  /404.html;
        location = /404.html {
        root   /usr/local/nginx/html;
        }

6,修改日記格式，便于審計
編輯nginx.conf文件
在http模塊內啟用標簽main的log_format格式
log_format main ‘$remote_addr - $remote_user [$time_local] “$request” ‘ ‘$status $body_bytes_sent “$http_referer” ‘ ‘“$http_user_agent” “$http_x_forwarded_for”’;
在server標簽內調用
access_log logs/host.access.log main

7,只允許常用的get和post方法，減少漏洞
編輯nginx.conf
在server模塊中加入判斷信息
if ($request_method !~* GET|POST) {??????????? return 403;
}

8,減緩被ddos攻擊時資源消耗速度
編輯nginx.conf文件
在http模塊中聲明
limit_req_zone $binary_remote_addr zone=allips:10m rate=20r/s;
添加在server的location中
location / {
limit_req zone=allips burst=5 nodelay;
limit_rate 20k;
}
定義一個名為allips的limit_req_zone用來存儲session，大小是10M內存，
以$binary_remote_addr 為key,限制平均每秒的請求為20個，
1M能存儲16000個狀態，rete的值必須為整數，
如果限制兩秒鐘一個請求，可以設置成30r/m limit_req_zone $binary_remote_addr zone=allips:10m rate=20r/s;
限制每ip每秒不超過20個請求，漏桶數burst為5
brust的意思就是，如果第1秒、2,3,4秒請求為19個，
第5秒的請求為25個是被允許的。
但是如果你第1秒就25個請求，第2秒超過20的請求返回503錯誤。
nodelay，如果不設置該選項，嚴格使用平均速率限制請求數，
第1秒25個請求時，5個請求放到第2秒執行，
設置nodelay，25個請求將在第1秒執行。
limit_req zone=allips burst=5 nodelay; … } … } … }
例如：如果想設置用戶下載文件的前10m大小時不限速，大于10m后再以128kb/s限速可以增加以下配內容，修改nginx.conf文件
location /download {
limit_rate_after 10m;
limit_rate 128k; }

9,緩解ddos造成的影響
編輯nginx.conf文件
在http模塊中設置

client_body_timeout 10; 
client_header_timeout 10; 
keepalive_timeout 5 5; 
send_timeout10; 

10,防止通過其他途徑使用本網站資源

location ~* \.(jpg|jpeg|png|gif|bmp|swf|rar|zip|doc|xls|pdf|gz|bz2|mp3|mp4|flv)$ {
valid_referers none blocked 192.168.0.1 *.baidu.com;
 if ($invalid_referer) { 
rewrite ^/ https://site.com/403.jpg;
 # return 403;
 }
 root /usr/share/nginx/img; 
}

11,防止高權限運行nginx進程
編輯nginx.conf
在http模塊下修改
user nobody;

12,防止非法后綴被服務器識別
1） 將php.ini文件中的cgi.fix_pathinfo的值設為0
2） 將/etc/php5/fpm/pool.d/www.conf中security.limit_ectensions后面的值設為.php

網絡安全（Cyber Security）是指網絡系統的硬件、軟件及其系統中的數據受到保護，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統連續可靠正常地運行，網絡服務不中斷。

網絡安全應具有以下五個方面的特征：

　　保密性：信息不甚露給非授權用戶、實體或過程，或供其利用的特性。

　　完整性：數據未經授權不能進行改變的特性。即信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性。

　　可用性：可被授權實體訪問并按需求使用的特性。即當需要時能否存取所需的信息。例如網絡環境下拒絕服務、破壞網絡和有關信息的正常運行等都屬于對可用性的攻擊;

　　可控性：對信息的傳播及內容具有控制能力。

　　可審查性：出現的安全問題時提供依據與手段。

網絡安全威脅：

• 信息泄露：信息被泄露或透露給某個非授權的人或實體。這種威脅來自諸如竊聽、搭線或其他更加錯綜復雜的信息探測攻擊。

• 完整性破壞：數據的一致性通過非授權的增刪、修改或破壞而受到損壞。

• 拒絕服務：對信息或資源的訪問被無條件地阻止。這可能由以下攻擊所致：攻擊者通過對系統進行非法的、根本無法成功的訪問嘗試使系統產生過量的負荷，從而導致系統的資源在合法用戶看來是不可使用的。拒絕服務也可能是因為系統在物理上或邏輯上受到破壞而中斷服務。

• 非法使用：某一資源被某個非授權的人或以某種非授權的方式使用。例如，侵入某個計算機系統的攻擊者會利用此系統作為盜用電信服務的基點，或者作為侵入其他系統的 “橋頭堡”。

網絡安全防范技術：

• 防火墻技術

防火墻是一種用來保護內部網絡操作環境的網絡安全部件，其功能是加強網絡之間的訪問控制，防止外部網絡用戶以非法手段通過外部網絡進入內部網絡或訪問內部網絡資源。防火墻系統一方面可以保護自身網絡資源不受外部的入侵，另一方面還能攔截被保護網絡向外傳輸的重要相關信息。

• 數據加密技術

數據加密技術是通過變換和置換等方法將被保護的信息轉換成密文，然后再對信息進行存儲或傳送，既可以防止信息在存儲或傳輸過程中被非授權人員截獲，也可以保護信息的不被他人識別，很大程度上提高了其安全性。是一種最基本的網絡安全防護技術，它是信息安全的核心。

• 網絡入侵檢測技術

它是一種通過硬件或軟件對網絡上的數據流進進行實時檢測，并與系統中的入侵特征數據庫進行驗證，能有效將入侵地數據包進行過濾與抵擋的網絡實時監控技術。入侵檢測并對入侵行為進行發覺警報處理是其最明顯的技術特點。但它只是網絡安全防護的一個重要部件之一，一般情況下還需要通過和防火墻系統進行結合，以達到最佳的實時防護效果。

• 網絡安全掃描技術

此技術的主要防護功能是通過對網絡的全面系統掃描，網絡管理員能在有效了解網絡安全配置與運行的應用服務的情況下，及時發現安全漏洞，即時進行風險等級評估，并采取相應的防護措施進行處理以降低系統的安全風險。安全掃描技術與防火墻、入侵檢測系統的互相配合，能有效提高網絡安全的技術防范機制與安全性。

• 防病毒技術

普遍使用的防病毒軟件，因其功能的不同一般分為網絡防病毒軟件和單機防病毒軟件兩大類。網絡防病毒軟件側重于一旦有病毒入侵或從網絡向其它資源傳染，網絡防病毒軟件可以即時檢測到并及時進行刪除清理。單機防病毒軟件一般是對本地和本地工作站連接的遠程資源進行分析掃描檢測并清除病毒。

網絡脆弱性形成的原因歸納起來主要有以下方面：

• 設置錯誤：這主要是指系統管理員或用戶的錯誤設置，這類由于錯誤設置導致的系統脆弱性很受攻擊者喜歡，因此也是最常見的脆弱性。許多產品制造商在將產品推向市場時為用戶設置了許多默認參數，這些設置主要是出于對用戶的充分信任，方便新用戶的使用，但是這些設置可能會給計算機網絡系統帶來很大的安全隱患。

• 設計錯誤：在設計實現時，程序員往往由于自己的疏忽和方便而設計了一些后門，這類脆弱性很難發現，而且一旦發現也很難修補，它們對網絡系統的安全威脅非常大。這類脆弱性只有通過重新設計和實現來解決。

• 網絡協議自身的缺陷：網絡協議是計算機之間為了互聯而共同遵守的規則，目前計算機網絡大都采用TCP/IP。TCP/IP在設計之初力求開放性和運行效率，缺乏對安全性的總體構想和設計，所以存在許多脆弱性，從而留下很多安全隱患。

• 輸入驗證錯誤：這是指對用戶輸入數據的合法性進行驗證，導致攻擊者非法進入系統。大多數緩沖區溢出脆弱性CGI類脆弱性都是由這種原因引起的。RedHat6.2的dump命令都存在這種脆弱性。

• 訪問驗證錯誤：這是指程序的訪問驗證部分存在可以被利用的邏輯錯誤，從而有可能使非法攻擊者跳過訪問控制進入系統。早期AIX的rlogin就存在這種脆弱性。

• 意外情況處理錯誤：這是指程序在實現邏輯中沒有考慮到一些應該考慮的意外情況，從而造成運行錯誤。這種錯誤很常見，如沒有檢查文件是否存在就直接打開設備文件，從而導致拒絕服務。

• 競爭條件：這是指程序在處理實體時，時序和同步方面存在問題，在處理過程中可能提供一個機會窗給非法攻擊者以可乘之機。早期的Solaris系統的ps命令就存在這種類型的脆弱性。

• 環境錯誤：這是指一些環境變量的錯誤設置而形成的脆弱性。

信息安全策略必須具備確定性、全面性和有效性。信息安全策略是一個組織解決信息安全問題最重要的步驟，也是這個組織整個信息安全體系的基礎。信息安全策略提供信息保護的內容和目標、信息保護的職責落實、實施信息保護的方法、事故的處理。

信息安全策略設計范圍：

物理安全策略：包括環境安全、設備安全、媒體安全、信息資產的物理分布、人員的訪問控制、審計記錄、異常情況的追查等。

網絡安全策略：包括網絡拓撲結構、網絡設備的管理、網絡安全訪問措施（防火墻、入侵檢測系統、VPN等）、安全掃描、遠程訪問、不同級別網絡的訪問控制方式、識別/認證機制等。

數據加密策略：包括加密算法、適用范圍、密鑰交換和管理等。

數據備份策略：包括適用范圍、備份方式、備份數據的安全存儲、備份周期、負責人等。

病毒防護策略：包括防病毒軟件的安裝、配置、對軟盤使用、網絡下載等作出的規定等。

系統安全策略：包括WWW訪問策略、數據庫系統安全策略、郵件系統安全策略、應用服務器系統安全策略、個人桌面系統安全策略、其他業務相關系統安全策略等。

身份認證及授權策略：包括認證及授權機制、方式、審計記錄等。

災難恢復策略：包括負責人員、恢復機制、方式、歸檔管理、硬件、軟件等。

事故處理、緊急響應策略：包括響應小組、聯系方式、事故處理計劃、控制過程等。

安全教育策略：包括安全策略的發布宣傳、執行效果的監督、安全技能的培訓、安全意識的教育等。

口令管理策略：包括口令管理方式、口令設置規則、口令適應規則等。

補丁管理策略：包括系統補丁的更新、測試、安裝等。

系統變更控制策略：包括設備、軟件配置、控制措施、數據變更管理、一致性管理等。

商業伙伴、客戶關系策略：包括合同條款安全策略、客戶服務安全建議等。

復查審計策略：包括對安全策略的定期復查、對安全控制及過程的重新評估、對系統日志記錄的審計、對安全技術發展的跟蹤等。

計算機病毒最基本特征如下：

• 繁殖性：計算機病毒可以像生物病毒一樣進行自我復制；

• 破壞性：計算機中毒后，可能會導致正常的程序無法運行文件刪除或受到不同程度的損壞；

• 傳染性：病毒通過修改別的程序將自身的復制品或其變體傳染到其它無毒的對象上；

• 潛伏性：算機病毒可以依附于其它媒體寄生的能力；

• 隱蔽性：隱蔽性計算機病毒時隱時現、變化無常，這類病毒處理起來非常困難；

• 可觸發性：編制計算機病毒的人，一般都為病毒程序設定了一些觸發條件。

物聯網通信子網由以下部分組成：

• 傳輸介質：傳輸介質是數據在傳輸過程中的載體，計算機網絡內常見的傳輸介質分為有線傳輸介質和無線傳輸介質兩種類型。線傳輸介質，是指能夠使兩個通信設備實現互聯的物理連接部分。計算機網絡發展至今，共使用過同軸電纜、雙絞線和光纖3種不同的有線傳輸介質。無線傳輸介質，是一種不使用任何物理連接，而是通過空間進行數據傳輸，以實現多個通信設備互聯的技術，其傳輸介質主要有紅外線、激光、微波等。

• 中繼器：中繼器安裝于傳輸介質之間，其作用是再生放大數字信號，以擴大網絡的覆蓋范圍。中繼器（RP repeater）是工作在物理層上的連接設備。適用于完全相同的兩個網絡的互連，主要功能是通過對數據信號的重新發送或者轉發，來擴大網絡傳輸的距離。 中繼器是對信號進行再生和還原的網絡設備：OSI模型的物理層設備。

• 集線器和交換機：集線器也叫集中器，在網絡內主要用于連接多臺計算機。隨著網絡技術的發展和應用需求的不斷變化，具有更多功能及更高工作效率的交換機已經逐漸取代了集線器。

• 網絡互聯設備：隨著網絡數量的增多，人們開始利用網橋、網關和路由器等網絡互聯設備來連接位于不同地理位置的計算機網絡，以擴大計算機網絡的規模，提高網絡資源的利用率。 網橋用于連接相同結構的局域網，以擴大網絡的覆蓋范圍，并通過降低網絡內冗余信息的通信流量，來提高計算機網絡的運行效率。網關通常位于不同類型的網絡之間，以實現不同網絡內計算機之間的相互通信。

• 調制解調器（Modem）：調制解調器的功能是實現數字信號與模擬信號之間的相互轉換，主要用于傳統的撥號上網方式。

滲透測試和漏洞掃描主要有以下方面的不同：

• 概念不同：滲透測試服務（黑盒測試）是指在客戶授權許可的情況下，利用各種主流的攻擊技術對網絡做模擬攻擊測試，以發現系統中的安全漏洞和風險點，提前發現系統潛在的各種高危漏洞和安全威脅。漏洞掃描是指基于漏洞數據庫，通過掃描等手段對指定的遠程或者本地計算機系統的安全脆弱性進行檢測，發現可利用漏洞的一種安全檢測（滲透攻擊）行為。

• 操作方式不同：一般來說滲透測試操作難度大，而且滲透測試的范圍也是有針對性的，而且是需要人為參與。聽說過漏洞自動化掃描，但你絕對聽不到世界上有自動化滲透測試。

• 范圍不同：滲透測試范圍是針對性的，而且總有人的因素參與其中。這個世界上沒有自動化滲透測試這種東西。滲透測試需要使用工具，有時候要用到很多工具，但同樣要求有極具經驗的專家來進行測試。漏洞掃描在全公司范圍進行，需要自動化工具處理大量的資產。其范圍比滲透測試要大。漏洞掃描產品通常由系統管理員或具備良好網絡知識的安全人員操作，想要高效使用這些產品，需要擁有特定于產品的知識。

• 性質不同：滲透測試的侵略性要強很多，它會試圖使用各種技術手段攻擊真實生產環境；相反，漏洞掃描只會以一種非侵略性的方式，仔細地定位和量化系統的所有漏洞。

• 消耗的成本及時間標題不同：滲透測試需要前期進行各種準備工作，前期信息資產收集的越全面，后期的滲透就會越深入，不僅是一個由淺入深的過程，更是一個連鎖反應；而漏洞掃描相比來說消耗的時間要少很多。