數據安全從以下方面評估：

• 數據源：企業必須要對進入企業數據庫的各個數據源的質量保持深刻的理解，因為數據源的我們評估風險的關鍵之一。企業每天收集到的數據信息是龐雜的，如果對數據源不清楚，將會導致數據在處理和保護過程中出現遺漏的情況，另外，企業還要為數據進入系統做好一個規劃，避免花費大量的時間來校正數據。

• 數據健康：企業的業務大多在互聯網平臺上開展，業務數據、用戶數據等信息會被專業的程序提取后，再存儲到企業的數據庫里。如果數據庫混進了不健康的數據，會發生什么情況?所以企業需要對所有進入數據庫的數據進行檢測，以確保信息的正確、安全，避免存儲了錯誤的信息。同時，提高數據管理的技術和能力。

• 數據管理：數據泄露的原因大多是人為造成的，為此，企業對數據的管理制度也成為評估風險的一個重點。如果數據源、數據健康沒有問題，仍然出現數據泄露的情況，那么，這樣的情況與企業混亂的數據管理脫不了干系，企業可以使用更先進的訪問技術來為數據加密。

不管是從業務的角度還是企業信譽的角度來說，數據安全對企業都是十分重要的，通過定時或者不定時的風險評估，企業可以及時發現數據安全存在的漏洞，避免發生不良事件，影響到企業的業務開展。

網絡安全日志管理特指硬件和軟件的日志，管理員可以通過它來檢查錯誤發生的原因，或者尋找受到攻擊時攻擊者留下的痕跡。日志管理包括管理系統日志、應用程序日志、安全日志、日志審計、網絡日志等。平時企業工作中使用的設備，如路由器、交換機、防火墻和服務器，業務運行的應用程序，如數據庫和web服務器，都需要進行日志管理。

網絡空間安全新技術有以下這些：

• 智能移動終端惡意代碼檢測技術：針對智能移動終端惡意代碼研發的新型惡意代碼檢測技術，是在原有PC已有的惡意代碼檢測技術的基礎上，結合智能移動終端的特點引入的新技術。在檢測方法上分為動態監測和靜態檢測。由于智能移動終端自身的計算能力有限，手機端惡意代碼檢測經常需要云查殺輔助功能。用手機數據銷毀相應的取證也有著極為重要的應用，在手機取證中，手機卡、內外存設備和服務提供商都是取證的重要環節。

• 生物特征識別技術：是指用生物體本身的特征對用戶進行身份驗證，如指紋識別技術。英特爾等將其應用于可穿戴設備，近年又新興了如步態識別、臉像識別和多模態識別技術等。可穿戴設備可對用戶的身份進行驗證，若驗證不通過將不提供服務。

• 入侵檢測與病毒防御工具：在設備中引入異常檢測及病毒防護模塊。由于可穿戴設備中本身的計算能力有限，因此，嵌入在可穿戴設備中的入侵檢測或病毒防護模塊只能以數據收集為主，可穿戴設備通過網絡或藍牙技術將自身關鍵結點的數據傳入主控終端中，再由主控終端分析出結果，或通過主控終端進一步傳遞到云平臺，最終反饋給可穿戴設備，實現對入侵行為或病毒感染行為的警示及阻止。

• 云容災技術：用物理隔離設備和特殊算法，實現資源的異地分配。當設備意外損毀時，可利用存儲在其他設備上的冗余信息恢復出原數據。如基于Hadoop的云存儲平臺，其核心技術是分布式文件系統（HDFS）。在硬件上，此技術不依賴具體設備，且不受地理位置限制，使用很便捷。

• 可搜索加密與數據完整性校驗技術：可通過關鍵字搜索云端的密文數據。新的可搜索加密技術應注重關鍵詞的保護，支持模糊搜索，允許用戶搜索時誤輸入，并支持多關鍵詞檢索，對服務器的返回結果進行有效性驗證。為進行數據完整性驗證，用戶無需完全下載存儲在云端的數據，而是基于服務器提供的證明數據和自己本地的少部分后臺數據。未來新的完整性審計技術可支持用戶對數據的更新，并保證數據的機密性。

• 基于屬性的加密技術：支持一對多加密模式，在基于屬性的加密系統中，用戶向屬性中心提供屬性列表信息或訪問結構，中心返回給用戶私鑰。數據擁有者選擇屬性列表或訪問結構對數據加密，將密文外包給云服務器存儲。在基于屬性的環境中，不同用戶可擁有相同的屬性信息，可具有同樣的解密能力，導致屬性撤銷和密鑰濫用的追蹤問題。

• 后量子密碼技術：量子計算機的高度并行計算能力，可將計算難題化解為可求解問題。以量子計算復雜度為基礎設計的密碼系統具有抗量子計算優點，可有效地提高現代密碼體制的安全。未來研究將關注實用量子密鑰分發協議、基于編碼的加密技術和基于編碼的數字簽名技術等。

企業入侵檢測系統一般部署在邊際防火墻之內其他防火墻之外，主要部署在存在網絡中樞或者安全級別要求較高的子網內，如果有需要特別保護的應用系統也會將入侵檢測系統安裝在該系統服務器的入口處，如沒有特殊要求則會部署在整改內網的入口處來全面的保護整個內部網絡，這里的上下內外是指在拓撲圖中，實際部署需根據自身網絡環境來進行調整。

入侵檢測系統的優點如下：

• 可以檢測基于網絡的入侵檢測系統不能檢測的攻擊；

• 可以對網絡、系統的運行狀況進行監視；

• 可以發現各種攻擊企圖、攻擊行為或者攻擊結果；

• 保證網絡系統資源的機密性、完整性和可用性；

• 可以基于歷史數據做事后分析；

• 能夠使現有的安防體系更完善；

• 能夠更好地掌握系統的情況；

• 能夠追蹤攻擊者的攻擊線路；

• 一般來說界面友好，便于建立安防體系。

日志審計系統收集日志的方法有以下這些：

• 主動信息采集：對網絡設備的日志采用SYSLOG（UDP514）和OPSEC LEA協議來進行自動采集；

• 本地安裝Agent采集：在需要采集日志的日志源上安裝Agent采集工具來收集日志信息并上傳到日志審計系統；

• 性能狀態探測：直接獲取設備的CPU、內存、端口使用頻率、應用響應時間等等性能參數，自行記錄直接分析。

• 從業人員安全認知不足

  作為金融機構，銀行始終承擔著重要的社會角色，但一些銀行從業人員信息安全技能和信息安全意識，遠遠沒有達到該有的水平。不少銀行從業人員認為，信息安全核心是技術問題，與非技術主管部門無關，忽略了“信息安全，人人有責”的基本原則，“木桶效應”中最短板的地方，也就是整個信息安全體系最脆弱的地方。

• 復合型人才匱乏

  對于銀行而言，銀行業務及流程具有復雜而專業的特性。而多數IT行業從業人員對銀行業務較為陌生，這不利于銀行整個信息安全相關工作的開展。要做好銀行業的信息安全相關工作，不僅需要引入專業信息安全人員，還需要熟知銀行系統各項業務流程的復合型人才。但實際情況是這類人才較為缺乏，往往需要先引入、再培養。

• 系統繁雜難于管理

  銀行作為基礎金融機構，存在機構多、網點多、分散廣的特點。其外部和內部信息系統繁雜。多數銀行，其不同等級的單位具有各自的系統開發和發布權限，這也導致了存在維護難、升級難、自查難等難于精細化管理的客觀情況。銀行信息系統的漏洞修復工作，非常難于做到全面覆蓋，甚至有些銀行單位在使用早已停止服務的操作系統，這些都對銀行的整個信息安全情況埋下了較大的隱患。

• 攻擊成本愈發降低

  在移動互聯網化的大背景下，人們可以隨時隨地使用互聯網資源，銀行的業務場景也在此大背景下愈發移動化，通過網絡攻擊銀行的方式越來越容易，攻擊成本越來越低，攻擊嘗試越來越多。這些都對銀行信息系統的信息安全保護水平提出了越來越高的要求。

• 信息資源的“透明化”

  大數據時代的來臨，為人們的日常生活帶來了便利，同時也帶來了個人信息易暴露的風險。為了順應互聯網時代的發展，銀行將面臨著經營模式的挑戰。越來越多的銀行與各行各業開展合作、共享信息、共享渠道、力求發展。然而，在業務開展過程中，系統對接的信息安全防護水平參差不齊，合作單位的信息安全建設水平參差不齊，信息、渠道共享后的管理難度大，這也對公民信息安全的保護帶來了較大的風險隱患。

常用的入侵檢測命令有：

• last：可用于查看我們系統的成功登錄、關機、重啟等情況，本質就是將/var/log/wtmp文件格式化輸出，因此如果該文件被刪除，則無法輸出結果。

• lastb：用于查看登錄失敗的情況，本質就是將/var/log/btmp文件格式化輸出。

• lastlog：用于查看用戶上一次的登錄情況，本質就是將/var/log/lastlog文件格式化輸出。

• who：用戶查看當前登錄系統的情況，本質就是將/var/log/utmp文件格式化輸出。主要用來查看當前用戶名稱，以及登陸的ip地址信息，w命令與who一樣，會更詳細一些。

• history：查看歷史命令記錄，其實就是查看root/.bash_history文件內容，刪除這個文件，記錄就沒了。

• find / -mtime 0：0代表目前時間，表示從現在開始到24小時以前，有改動過內容的文件全都會被列出來。如果是3天前24小時內，則使用find / -mtime 3

• find /etc -newer /etc/passwd：查找/etc下面文件日期比/etc/passwd新的文件

• less /etc/passwd：查看是否有新增用戶

• grep :0 /etc/passwd：查看是否有特權用戶（root權限用戶）

• ls -l /etc/passwd：查看passwd最后修改時間

• awk -F: ‘$3==0 {print $1}’ /etc/passwd：查看是否存在特權用戶

• awk -F: ‘length($2)==0 {print $1}’ /etc/shadow：查看是否存在空口令用戶

• ps -aux 或 top：查看進程

• crontab -u root -l：查看root用戶的計劃任務

• tar -cvf log.tar /var/log：打包其他信息

• fdisk -l：查看U盤路徑

• monut /dev/sdb4 /mnt：掛載U盤

• cd /mnt：進入U盤

• umount /mnt：退出U盤

移動終端惡意軟件帶來的危害大致可分為以下幾類：

• 經濟類危害：攻擊者通過盜打電話、惡意訂購SP 業務、群發短信等直接造成用戶的經濟損失。

• 信用類危害：攻擊者通過發送惡意信息、不良信息、詐騙信息等造成用戶的信用受到損失。

• 信息類危害：惡意軟件會造成用戶個人信息受到損失、泄露等。

• 設備類危害：惡意軟件會造成移動終端死機、運行慢、功能失效、通訊錄被破壞、重要文件被刪除、系統格式化或頻繁自動重啟等。

• 網絡危害：大量惡意軟件程序發起的拒絕服務攻擊會占用大量的移動網絡資源。如果惡意軟件感染移動終端，強制移動終端不斷向所在通信網絡發送垃圾信息(如騷擾電話、垃圾信息等)，勢必會導致通信網絡信息堵塞，影響用戶的通信服務。

阻止惡意軟件的措施有以下這些：

• 隔離感染主機：已中毒計算機盡快隔離，關閉所有網絡連接，禁用網卡。

• 切斷傳播途徑：關閉潛在終端的SMB 445等網絡共享端口，關閉異常的外聯訪問，可開啟IPS和僵尸網絡功能，進行封堵。

• 查找攻擊源：手工抓包分析或借助安全感知來查找攻擊源。

• 查殺病毒：推薦使用殺毒軟件進行查殺，或者使用專殺工具進行查殺。

• 修補漏洞：打上以下漏洞相關補丁，漏洞包括“永恒之藍”漏洞，JBoss反序列化漏洞、JBoss默認配置漏洞、Tomcat任意文件上傳漏洞、Weblogic WLS組件漏洞、apache Struts2遠程代碼執行漏洞。

• 卸載相關工具：此勒索病毒會通過PSEXEC.EXE工具感染其它主機，建議卸載禁用此工具。

• 安裝專業防護設備：安裝專業的終端安全防護軟件，為主機提供端點防護和病毒檢測清理功能。

SeLinux全稱Security-Enhanced Linux即安全增強型Linux，它是一個Linux內核模塊，也是Linux的一個安全子系統。SELinux主要作用就是最大限度地減小系統中服務進程可訪問的資源，設想一下，如果一個以root身份運行的網絡服務存在0day漏洞，黑客就可以利用這個漏洞，以root的身份在您的服務器上為所欲為了，SeLinux就是來解決這種問題的。

SeLinux有以下三種工作模式：

• enforcing：強制模式，違反SELinux規則的行為將被阻止并記錄到日志中。

• permissive：寬容模式，違反SELinux規則的行為只會記錄到日志中。一般為調試用。SELinux Permissive 模式主要用于審核當前的 SELinux 策略規則；它還能用于測試新應用程序，將 SELinux 策略規則應用到程序時會有什么效果；以及用于解決某一特定服務或應用程序在 SELinux 下不再正常工作的故障

• disabled：關閉SELinux。

為了確保信息傳輸安全必須防止下列現象發生：

• 冒充：這是一種以假冒身份訪問網絡的現象。冒充者假裝成消息發送者直接向對方發送消息，用以欺騙對方進而獲取相應的服務和資源。冒充常伴隨著重演和篡改現象發生，從而使數據失去真實性。

• 重演：這是一種以獲取合法信息為主的攻擊行為。它首先將截獲到的信息復制到指定的存儲介質上，然后再將所截獲的信息原封不動地重新發給對方，用以欺騙對方進而達到非法訪問資源的目的。例如，截獲存款單，然后反復發送存款單，待時機成熟，冒領存款。

• 篡改：這是一種以增加、刪除或修改數據信息為主的攻擊行為。它首先截獲別人的數據信息，接著將其篡改，然后再轉發給對方，使對方得到虛假信息。這種篡改直接導致合法數據的完整性喪失。

• 截獲：這是一種以分析信息內容和業務流量為主的攻擊行為。它只對截獲到的信息做復制處理而不做任何改動就直接將其轉發出去，其目的是為了分析出信息內容或進行業務流量分析。這種現象是很難被發現的，它將使數據失去保密性。

• 中斷：這是一種以拒絕服務為主的攻擊行為。它通過各種手段（如破壞網絡硬件設施、發送大量的垃圾請求）讓網絡失去可用性，使合法信息不能抵達目的地。

• 抵賴：這是一種否認自己的發送或接收行為的現象。當信息發送者將信息發送出去后，并不承認是自己發送的信息。或信息接收者接收到信息后，也不承認自己收到了信息。不論是發送者還是接收者，當出現抵賴現象時，都會導致嚴重的爭執，造成責任混亂。

包過濾防火墻有以下優缺點：

• 安全性較好：包過濾防火墻工作在數據鏈路層和網絡層之間，它從這里截取數據包，因為數據鏈路層是網卡工作的真正位置，網絡層是協議棧的第一層，這樣就確保了防火墻能夠截取和監測所有通過網絡的原始數據包。防火墻在截取到數據包之后就開始處理它們。首先，根據安全策略從數據包中提取有用信息，保存在內存中；然后，將相關信息組合起來，進行一些邏輯或數學運算，獲得相應的結論，進行相應的操作，如允許數據包通過、拒絕數據包、認證連接、加密數據等。包過濾防火墻雖然工作在協議棧的較底層，但它卻可以檢測所有數據包的內容，并從中提取有用信息，如IP地址、端口號等，這樣安全性得到了很大的提高。

• 性能高效：包過濾防火墻工作在協議棧的較底層，通過防火墻的所有的數據包都在底層處理，而不需要協議棧的上層處理任何數據包，這樣減少了高層協議頭的開銷，執行效率提高很多；另外，在這種防火墻中一旦一個連接建立起來，就不用再對這個連接做更多工作，系統可以去處理別的連接，執行效率明顯提高。

• 擴展性好：包過濾防火墻不像應用網關式防火墻那樣，每一個應用都要對應一個服務程序，這樣所能提供的服務是有限的，而且當增加一個新的服務時，必須為新的服務開發相應的服務程序，這樣系統的可擴展性就會降低。包過濾防火墻不區分每個具體的應用，只是根據從數據包中提取出的信息、對應的安全策略及過濾規則來處理數據包，當有一個新的應用時，它能動態產生新的規則，而不用另外編寫代碼，所以具有很好的伸縮性和擴展性。

• 配置方便，應用范圍廣：包過濾防火墻不僅支持基于TCP的應用，而且支持基于無連接協議的應用，如RPC、基于UDP的應用(DNS、WAIS、Archie等)。對于無連接的協議，連接請求和應答沒有區別，包過濾防火墻和應用網關對此類應用要么不支持，要么開放一個大范圍的UDP端口，這樣就暴露了內部網，從而降低了安全性。包過濾防火墻實現了基于UDP應用的安全，通過在UDP通信之上保持一個虛擬連接來實現。防火墻保存通過網關的每一個連接的狀態信息，允許穿過防火墻的UDP請求包被記錄，當UDP包在相反方向上通過時，依據連接狀態表確定該UDP包是否被授權，若已被授權，則通過，否則拒絕。如果在指定的一段時間內響應數據包沒有到達，連接超時，則該連接被阻塞，這樣所有的攻擊都會被阻塞。包過濾防火墻可以控制無效連接的連接時間，避免大量的無效連接占用過多的網絡資源，可以很好地降低DoS和DDoS攻擊的風險。

內網穿透后保護安全方法如下：

• 修改口令：當內網被擊穿后原有的所有口令，無論是是web服務還是ftp服務，建議全部更換當前口令，最好使用強口令；

• 關閉ip直接廣播：服務器是無法分辨指令的來源的，不管是誰發出的指令他都可以執行，這就要求關閉IP直接廣播這樣攻擊者就無法使用假冒的源地址向你的網絡廣播發送指令；

• 關閉路由器的HTTP設置：這一條是在有可能的前提下實現，關閉這個可以減少攻擊者遠程操作路由器來減少內網被攻擊，如果不能關閉則要使用SNMPv3以上的版本協議；

• 封鎖ICMP ping請求：關閉ping請求就可以更容易避開攻擊者的掃描活動或者防御哪些尋找攻擊目標的腳本攻擊；

• 關閉ip源路由：這個功能的合法應用是用于診斷連接故障的，但是該功能應用場景叫啥除非必要使用否則應該關閉這個功能；

• 建立準許進入和外出的地址過濾政策：在你的邊界路由器上建立政策以便根據ip地址過濾進出網絡的違反安全規定行為。

網絡安全管理員影響ROI的因素有以下這些：

• 缺少系統化藍圖，對安全建設的全局以及分解后的輕重沒有感性認知，這是最可能導致頭痛醫頭腳痛醫腳的原因。

• 對管理體系和工具鏈建設沒有整體認知，選擇在錯誤的時間點做正確的事。

• 把安全工作當成checklist而不是風險管理工作，凡事要求絕對安全而不能接受相對風險，對下屬求全責備，大概只有外星人能滿足這種需求。

• 弱于判斷安全建設在實踐環節的好與壞，搞不清楚某個安全機制在業界屬于落后水平，平均水平，還是領先水平，以及某種安全機制對于削減某類風險的作用強弱，容易被執行者忽悠。帶來的結果就是貌似很苦很努力，但收效甚微。

• 個人的職場步調與公司發展的階段不一致，公司處于快速擴張時期，而安全負責人本人則采取保守謹慎的策略。

• 只務內勤，不管外聯，不重視生態關系建設。最后導致小問題，大影響。

信息安全系統開發維護控制的目標有以下這些：

• 信息系統的安全需求：信息系統安全需求的控制目標是確保安全是信息系統的一個有機組成部分。安全需求分析和說明保障這一目標的實現。在新信息系統或增強已有信息系統的業務需求中應包含安全需求。在信息系統的需求分析階段，全面識別并確定信息安全需求，并在需求分析說明書中詳細描述安全需求。

• 應用中的正確處理：應用中的正確處理的控制目標是防止應用系統中信息的錯誤、遺失、非授權修改及誤用，可以通過輸入數據驗證、內部處理的控制、消息完整性驗證、輸出數據驗證等控制措施可保障這一目標的實現。

• 密碼控制：密碼控制的目標是通過密碼方法保護信息的保密性、真實性或完整性。可以使用密碼控制措施是指開發和實施使用密碼控制措施來保護信息的策略。也可以使用密鑰管理控制措施，密鑰管理控制措施是指對密鑰進行管理以支持組織使用密碼技術。

• 系統文件的安全：系統文件的安全的控制目標是確保系統文件的安全，由運行軟件控制措施是指制定程序來控制在運行系統上安裝軟件。系統測試數據的保護，系統測試數據的保護控制措施是指仔細選擇、保護和控制測試數據，以避免因測試引起敏感信息泄露。對程序源代碼的訪問控制，對程序源代碼的訪問控制措施是指限制對程序源代碼的訪問。

• 開發和支持過程中的安全：開發和支持過程中的安全目標是維護應用系統軟件和信息的安全，一般使用變更控制程序、操作系統變更后應用的技術評審、軟件包變更的限制、外包軟件開發等手段來實施保障。

• 技術脆弱性管理：技術脆弱性管理的控制目標是降低利用公布的技術脆弱性導致的風險。由技術脆弱性控制措施來保障這一目標的實現。技術脆弱性控制是指及時獲取現用信息系統技術脆弱性的信息，評價組織對這些脆弱性的暴露程度，并采取適當的措施來處理相關風險。此項措施的常規控制包括定義和建立與技術脆弱性管理相關的角色、職責和管理過程，包括脆弱性監視、脆弱性評估、安裝補丁和其他責任；定期評估技術脆弱性管理的有效性；若只有脆弱性揭示而沒有相應的補丁，則應及時采取其他臨時保護措施。

保障云端存儲系統安全的方法有以下這些：

• 數據加密：云存儲通常是通過服務的方式由第三方提供給用戶使用，用戶不知道自己的數據存放在何處，這時對數據是否被別人使用就多了一重疑問。為了消除用戶方的顧慮，可以通過加密的方式來實現。

• 密鑰策略：數據加密存儲是解決機密性問題的主流方法，隨之帶來的密鑰管理成為加密環節中必須考慮的重要方面。由于密鑰的粒度不同，需要管理的密鑰數量級也不一樣。現有的安全云端存儲系統大都采用粒度偏小或適中的加密方式，因此，云端存儲系統需要提供安全高效的密鑰管理分發機制來保證數據在存儲與共享過程中的機密性。

• 密文搜索：安全而靈活的數據共享是云存儲不同于其他存儲形式的一大特性。云存儲用戶選擇云存儲的原因除了其提供安全的存儲功能外，還應該能夠進行數據的傳輸與共享，這也是云存儲的競爭優勢。密文搜索是實現信息共享的重要手段，也是加密存儲中必須要解決的問題之一。

• 擦除碼技術：利用傳統加密方法可將加密后的文檔存放于云端，加強單一空間的安全性，或者將文檔切割成數塊存儲在不同云端空間，分散單一空間的風險。然而當使用者欲將文檔分享給多個接收者時，使用傳統加密需要產生多組密鑰并分別產生對應的加密文檔，在空間成本方面的表現明顯不佳。而切割文檔分散存儲雖可減低單一云端空間遭破解時，整份文檔被外泄的可能性，但萬一其中某個空間無法運行，使用者將無法取回完整文檔，反而造成使用上的不便。

• 訪問控制：訪問控制仍然是云計算系統中的基本安全機制之一，通過訪問權限管理來實現系統中數據和資源的保護，防止用戶進行非授權的訪問。云端存儲系統的訪問控制建立在用戶身份認證的基礎之上，在進行系統訪問控制規則的設計過程中，應遵循最小權限原則，也就是說，應該做到每個用戶擁有的權限只能訪問和修改他們所必需的信息或者資源。目前，比較常用的訪問控制模型是訪問控制矩陣、訪問控制列表以及基于角色的訪問控制等。

• 安全日志和審計：安全日志和審計是云存儲安全技術中必不可少的一項技術要求，因為它提供了除用戶和云存儲服務提供商之外的第三方安全監督機制，審計不僅可以監督存儲上對用戶數據安全性做出的承諾和服務是否實現，還會審計用戶的數據是否合法。

• 多副本策略：在分布式云存儲中，因個別節點故障可能造成用戶數據的丟失，因此必須采取技術手段避免單點失敗，保證用戶存儲在云端數據的可恢復性。保證數據可恢復性的最常用方法是提供冗余與容錯能力。副本技術是一種最常用的手段，即每個數據塊在整個集群之上有多個備份，備份的數量可以由用戶自己決定。

• 數據的差異性保存：云存儲出來之前，用戶的數據都是存儲在自己的私有服務器中，為了數據的安全性，數據的保密等級是必不可少的。這種策略可以運用到云存儲上面，將關鍵的數據由用戶自己保存，剩下的普通數據存放在云上，這樣在私有存儲和云存儲上找到一個折中，使安全性和實用性都得到一個很好的保證。

加固Tomcat的方法有以下這些：

• 修改tomcat 的web.xml文件。修改后，再次查看options請求方法，然后重啟Tomcat。

• 修改server.xml文件，connectiontimeout默認是20000ms，此處修改為5000ms，可有效緩解安全問題。

• 針對目錄文件列出漏洞，當false，可避免目錄文件列出。

• 修改默認端口和修改web.xml文件修改這些基本就能解決信息泄露問題。

• 開啟tomcat日志，可以隨時監測用戶訪問情況。