軟路由和硬路由的對比分析：

購置途徑不同：軟路由器在購置過程中需要自行組裝硬件，所以用戶只需要為所購置的配件付費；而硬路由的硬件搭配由路由器的生產商一手包辦，無需用戶動手，而且所有配件無論需要用到與否都必須一次性付費。

軟件安裝與維護方式不同：軟路由的用戶必須自行安裝軟件，有些是免費軟件，有些則是付費軟件，軟件的安裝與維護用戶需要自行解決；而硬路由使用者則無須自行安裝軟件，軟件內含在產品的閃存里，而維護方面也無需用戶自理，由系統廠商維護，使用者只需進行軟件升級。

性質不同：軟路由器的硬件架構是通用的，不是專為路由器而設計的，各種不同的應用軟件都可以隨意安裝使用；而硬路由器的硬件架構則是專為路由器而設計的，有些 CPU 更是針對某種網絡應用而特意開發的。

原理不同：軟路由通常是使用普通的計算機，使用通用的操作系統，配合相關的軟件經過專業人士配置而成的；而硬件路由器是采用專門的系統架構，再配合系統廠商自行開發的路由軟件而實現的。

工作環境不同：軟件路由器只能工作于以太網絡，實現局域網之間的互聯；而硬件路由器擁有豐富的接口類型，因此適用于各種類型的網絡，這樣看起來軟路由器的使用面似乎比硬路由要狹窄許多，但是以目前的網絡使用情況來看，以太網是現今最主流的網絡技術，能滿足以太網使用需要，就基本上可以滿足國內用戶的使用需求，而具有豐富的接口看起來確實是底氣十足，但是如果用不上的話就等于形同虛設了。

應用不同：軟路由器的使用對象沒有等級之分，效能依據用戶所選擇的計算機以及軟件而定，對于不同的用戶網絡可以選擇不同的軟件配置，設備比較保值，可以游刃于不同的網絡之間；而硬件路由則一般都會為用戶網絡劃分不同的等級，開發不同等級的路由器，專用性很強。

針對網絡通信過程的攻擊方式有以下這些：

• 網絡監聽：網絡監聽是指黑客使用監聽工具監視網絡中的通信數據，以獲得敏感信息的行為。

• 分布式拒絕服務攻擊：分布式拒絕服務攻擊是指通過消耗帶寬或者惡意占用資源使得正常用戶無法訪問既定資源的一種攻擊方式。

• DNS挾持：DNS挾持又稱域名劫持，是指在劫持的網絡范圍內攔截域名解析的請求，分析請求的域名，給針對特定網絡的請求返回虛假地址或者不予返回應答，造成用戶無法正常訪問或者訪問虛假頁面。DNS挾持往往會進一步發展成為網絡釣魚攻擊。

• ARP欺騙：ARP欺騙是指在ARP解析過程中讓用戶收到假的MAC地址，導致用戶數據無法正常到達正確的目的主機。常見的ARP欺騙有針對路由器ARP表的欺騙和針對內網計算機ARP表的欺騙。

• TCP會話挾持：TCP會話挾持是一種基于TCP的攻擊技術，是指攻擊者介入已經建立好的TCP連接會話中，冒充會話雙方的某一方與另一方進行通信，繼而實施攻擊。

加強網絡通信安全的措施有以下這些：

• 加強局域網安全防范：網絡監聽首先需要一臺局域網內的主機被設置為監聽裝置，利用這臺主機對整個局域網實時監聽。因此，加強局域網的整體安全是首要任務。

• 在局域網部署時建議使用交換機：從網絡監聽在兩種網絡工作模式中的實施可以看出，想要在交換機工作模式下實施網絡監聽需要額外做很多準備。因而，在部署局域網時應該采用交換機，使局域網工作于交換機模式，加大網絡被監聽的難度，也就減少了被監聽的可能性。

• 使用加密技術：攻擊者通過網絡監聽獲得數據報文之后就是進行數據分析，很多協議默認使用明文進行傳輸，也就導致了敏感信息的泄露。如果在協議報文傳輸過程中對敏感信息進行加密，那么，即使攻擊者捕獲了通信報文，也無法獲知報文中的內容。現在，很多廠商已經認識到了這個問題，比如瀏覽器中使用的HTTPS協議，使用Netscape的安全套接字（SSL）作為HTTP應用層的子層，對數據進行加解密、壓縮解壓縮等，很好地保證了用戶數據的安全性。

• 檢測局域網中是否存在實施監聽的主機：由于正常的計算機網卡只響應發給主機的報文，而處于混雜模式的計算機網卡則可以響應任意報文，因而，用戶或者網絡管理人員可以通過使用偽造的MAC地址發送ICMP請求報文或者非廣播的ARP報文去探測局域網中是否存在實施監聽的主機。當然，也可以使用一些反監聽軟件進行檢測，如Anti-Sniff。

• 部署防火墻：通過防火墻技術能夠收集計算機網絡在運行的過程當中的數據傳輸、信息訪問等多方面的內容，同時對收集的信息進行分類分組，借此找出其中存在安全隱患的數據信息，采取針對性的措施進行解決，有效防止這些數據信息影響到計算機網絡的安全。

網頁被篡改的原因有如下幾點：

• 攻擊者獲取經濟利益：經濟利益一直是攻擊者攻擊的主要動機之一，搜索引擎一般占據了互聯網入口的大部分流量，我們在日常使用搜索引擎時，通常會優先選擇排名靠前的搜索結果，因此有些黑色產業（網絡賭博、色情等）經營者會通過與攻擊者合作，購買攻陷站點來批量篡改頁面，實現非法站點推廣，從而獲得巨大的經濟利益。另外，隨著虛擬貨幣的不斷發展，讓很多不法分子看到了商機。攻擊者會向被篡改站點網頁嵌入瀏覽器挖礦腳本或在網站中加入一段JavaScript代碼，用戶通過瀏覽器訪問這些站點時，腳本會在后臺執行，并占用大量資源，出現計算機運行變慢、卡頓，CPU 利用率飆升的情況，進而使用戶計算機淪為挖礦的“肉雞”，且用戶很難察覺。

• 攻擊者展現能力損壞他人形象：例如，攻擊者會通過修改相關機構的門戶網站主頁，來展示自己的攻擊能力，并損壞網站擁有者的形象。或者通過網頁篡改，以權威部門的名義發布惡意或不良信息，以達到抹黑權威部門的意圖。

• 網頁掛馬：攻擊者通過網頁篡改，在Web網頁中嵌入惡意腳本，從而可以實施網頁掛馬。

• 水坑攻擊：攻擊者通過網頁篡改，在Web服務器上植入攻擊代碼，從而實施水坑攻擊。

• 網絡釣魚：攻擊者通過網頁篡改，在Web網頁中嵌入網絡釣魚代碼，從而實施網絡釣魚。

石油石化行業保障網絡安全的方法如下：

• 入侵防護：在生產數據網的邊界部署具有入侵防御功能的設備，抵御來自外部網絡的威脅。

• 邊界隔離：在網絡縱向各層之間進行邊界隔離，部署具有工業控制協議深度解析功能的工業防火墻。

• 主機防護：對服務器、上位機進行安全加固，部署“白名單”工業主機安全防護軟件。

• 安全監測：在生產網交換機中部署基于鏡像流量機制的工業安全監測設備，進行協議審計、流量審計，掌握監控網安全信息。

• 運維審計：部署安全運維審計系統，實現資產管理、身份管理、訪問控制與授權、運維操作審計等。

• 安全管理：集中管理工業控制安全設備，主要進行規則部署和日志收集，便于維護。

• 安全檢查：配備工業安全檢查工具，定期對工業控制網絡內的局域網進行檢查。

服務器硬件固件防護手段有以下這些：

• 硬件固件基線掃描：定期對硬件和固件基本信息及相應版本進行掃描，檢測可能的異常硬件固件信息。

• 高性能GPU實例保護：虛擬機的GPU關鍵寄存器保護，確保虛擬機除了進行高性能計算之外，無法篡改GPU的固件程序等重要資源。

• BIOS固件驗簽：確保只有廠家簽名過的BIOS固件才可以被刷寫在相關服務器上，從而避免了惡意的BIOS固件刷寫。

• BMC固件保護：確保在主機操作系統中，無法對BMC固件進行非授權的惡意刷寫。

1.檢查生產線服務器，然后進行病毒提取。2.停止病毒服務。3.手動刪除病毒。4.對于在線終端，第一時間推送病毒庫更新和漏洞補丁庫，并及時采取封端口、打補丁等措施，避免再次感染。

一、問題分析

經過對各生產線的實地查看和網絡分析可知，當前網絡中存在的主要問題如下。

1.網絡中的交換機未進行基本安全配置，未劃分虛擬局域網（VLAN），各條生產線互聯互通，無明顯邊界和基本隔離。

2.生產線為了遠程維護方便，分別開通了3個運營商ADSL撥號，控制網絡中的主機在無安全措施下訪問外網。

3.控制網中提供網線接入，工程師可隨意使用自己的便攜機接入網絡。

4.U盤隨意插拔，無制度及管控措施。

5.員工安全意識不高。

6.信息系統、控制系統的權限劃分不清晰。

二、解決方案

攻擊目標是經過精心選擇的，該目標承載了企業的核心業務系統，企業一旦“中招”須繳納贖金或者自行解密，否則業務將面臨癱瘓。生產線處于停產狀態，需以“處置不對工業生產造成影響或造成最小影響”為原則，進行處理。

1.檢查生產線服務器，然后進行病毒提取。

2.停止病毒服務。

3.手動刪除病毒。

4.對于在線終端，第一時間推送病毒庫更新和漏洞補丁庫，并及時采取封端口、打補丁等措施，避免再次感染。

漏洞掃描工具有以下這些：

• Whisker/libwhisker

  Libwhisker是一個Perla模塊，適合于HTTP測試。它可以針對許多已知的安全漏洞，測試HTTP服務器，特別是檢測危險CGI的存在。Whisker是一個使用libwhisker的掃描程序。

• Burpsuite

  這是一個可以用于攻擊Web應用程序的集成平臺。Burp套件允許一個攻擊者將人工的和自動的技術結合起來，以列舉、分析、攻擊Web應用程序，或利用這些程序的漏洞。各種各樣的burp工具協同工作，共享信息，并允許將一種工具發現的漏洞形成另外一種工具的基礎。

• Wikto

  可以說這是一個Web服務器評估工具，它可以檢查Web服務器中的漏洞，并提供與Nikto一樣的很多功能，但增加了許多有趣的功能部分，如后端miner和緊密的Google集成。它為MS.NET環境編寫，但用戶需要注冊才能下載其二進制文件和源代碼。

• Acunetix Web Vulnerability Scanner

  這是一款商業級的Web漏洞掃描程序，它可以檢查Web應用程序中的漏洞，如SQL注入、跨站腳本攻擊、身份驗證頁上的弱口令長度等。它擁有一個操作方便的圖形用戶界面，并且能夠創建專業級的Web站點安全審核報告。

• Watchfire AppScan

  這也是一款商業類的Web漏洞掃描程序。AppScan在應用程序的整個開發周期都提供安全測試，從而測試簡化了部件測試和開發早期的安全保證。它可以掃描許多常見的漏洞，如跨站腳本攻擊、HTTP響應拆分漏洞、參數篡改、隱式字段處理、后門/調試選項、緩沖區溢出等等。

• N-Stealth

  N-Stealth是一款商業級的Web服務器安全掃描程序。它比一些免費的Web掃描程序，如Whisker/libwhisker、 Nikto等的升級頻率更高，它宣稱含有“30000個漏洞和漏洞程序”以及“每天增加大量的漏洞檢查”，不過這種說法令人質疑。還要注意，實際上所有通用的VA工具，如Nessus, ISS Internet Scanner, Retina, SAINT, Sara等都包含Web 掃描部件。(雖然這些工具并非總能保持軟件更新，也不一定很靈活。)N-Stealth主要為Windows平臺提供掃描，但并不提供源代碼。

網絡安全體系的主要特征如下：

• 整體性：網絡安全體系從全局、長遠的角度實現安全保障，網絡安全單元按照一定的規則，相互依賴、相互約束、相互作用而形成人機物一體化的網絡安全保護方式。

• 協同性：網絡安全體系依賴于多種安全機制，通過各種安全機制的相互協作，構建系統性的網絡安全保護方案。

• 過程性：針對保護對象，網絡安全體系提供一種過程式的網絡安全保護機制，覆蓋保護對象的全生命周期。

• 全面性：網絡安全體系基于多個維度、多個層面對安全威脅進行管控，構建防護、檢測、響應、恢復等網絡安全功能。

• 適應性：網絡安全體系具有動態演變機制，能夠適應網絡安全威脅的變化和需求。

保障用戶登錄安全可以實施的以下安全措施：

• 設置用戶業務認證登錄策略，限定失敗登錄次數（按賬戶、IP、設備）、鎖定時間、解鎖方式。

• 在異常登錄行為發生后，可以支持用戶主動通過其他方式（如電話）凍結賬號功能。

• 如果是移動設備，使用自定義的隨機鍵盤，啟用移動OS的防截圖功能。

• 設置用戶業務認證登錄失敗提醒策略，當用戶登錄失敗超過限定次數時發送短信。

• 設置用戶不在常用登錄地址的提請功能。

• 提醒用戶在不同終端登錄的情況。

• 根據業務重要情況，可以增加登錄提醒功能。

電信網絡安全含義必須滿足以下要求：

• 可靠性：可靠性是指網絡在規定的條件下和規定的時間內完成規定功能的能力，或者網絡在質量允許范圍內正常工作的能力。可靠性是電信網絡安全最基本的要求之一，任何安全措施都必須建立在可靠性的基礎上才能實施。可靠性是面向網絡和設備的安全性能。

• 可控性：可控性是對網絡信息的傳播及內容具有控制能力的特性。

• 可用性：可用性是面向用戶的安全性能。它是指網絡信息服務在需要時，允許授權用戶或實體使用的特性，或者是網絡部分受損或需要降級使用時，網絡仍能夠保障最低程度的安全，并為授權用戶提供有效的信息和通信服務。電信網絡的安全必須滿足用戶的通信要求，用戶若無法通信，則根本談不上電信網絡的安全。從某種意義上講，可用性是電信網絡可靠性的更高要求，特別是在重要的場合下，特殊用戶的可用性顯得十分重要。為此，電信網絡需要采用科學合理的網絡拓撲結構，必要的冗余、容錯和備份措施及網絡自愈技術、分散配置和負荷分擔、各種完善的物理安全和應急措施等。此外，還要輔以身份識別與確認、訪問控制、業務流控制、路由選擇控制和審計跟蹤等安全機制，從用戶使用的角度出發，保證電信網絡的安全。

• 機密性：機密性是面向網絡上承載的數據和信息的安全特征，防止信息泄漏或提供給非授權個人或實體，保證信息只允許授權用戶使用。機密性是在可靠性和可用性的基礎上保障電信網絡中信息安全的重要手段。電信網絡不僅要保障用戶信息的機密性，網絡信息的機密性同樣重要。常用的保密技術包括防偵收、防輻射、信息加密和物理保密等。

• 物理安全：是電信網絡安全最根本的保障，對應于網絡基礎設施和設備的可靠性及網絡運營大環境的保護，包括了網絡拓撲結構等技術因素。

• 系統安全：是電信網絡基礎設施之上的運營系統，如承載網技術和交換技術等，從技術上保障網絡安全運營和服務提供的有效性和網絡的可控性。

• 信息安全：是面向電信網絡的服務對象，保障信息和數據在傳輸交換和存儲過程中的保密性、完整性和不可抵賴性等特性。

• 內容安全：是更高層次的安全要求，由于電信網絡在國家基礎設施中的重要地位，要求對網絡中信息的傳播行為及信息內容達到可控性，防止和控制非法和有害信息的傳播，維護社會道德、國家法規和人民利益。

計算機網絡安全審計（Audit）是指按照一定的安全策略，利用記錄、系統活動和用戶活動等信息，檢查、審查和檢驗操作事件的環境及活動，從而發現系統漏洞、入侵行為或改善系統性能的過程。網絡安全審計對可能存在的潛在攻擊者起到威懾和警示作用，核心是風險評估，測試系統的控制情況，及時進行調整，保證與安全策略和操作規程協調一致。

網絡安全審計系統有以下這些功能：

• 采集多種類型的日志數據：能采集各種操作系統的日志，防火墻系統日志，入侵檢測系統日志，網絡交換及路由設備的日志，各種服務和應用系統日志。

• 日志管理：多種日志格式的統一管理。自動將其收集到的各種日志格式轉換為統一的日志格式，便于對各種復雜日志信息的統一管理與處理。

• 日志查詢：支持以多種方式查詢網絡中的日志記錄信息，以報表的形式顯示。

• 入侵檢測：使用多種內置的相關性規則，對分布在網絡中的設備產生的日志及報警信息進行相關性分析，從而檢測出單個系統難以發現的安全事件。

• 自動生成安全分析報告：根據日志數據庫記錄的日志數據，分析網絡或系統的安全性，并輸出安全性分析報告。報告的輸出可以根據預先定義的條件自動地產生、提交給管理員。

• 網絡狀態實時監視：可以監視運行有代理的特定設備的狀態、網絡設備、日志內容、網絡行為等情況。

• 事件響應機制：當審計系統檢測到安全事件時候，可以采用相關的響應方式報警。

• 集中管理：審計系統通過提供一個統一的集中管理平臺，實現對日志代理、安全審計中心、日志數據庫的集中管理，包括對日志更新、備份和刪除等操作。

requests調用代理

　　import requests

　　proxy='123.58.10.36:8080' #本地代理

　　#proxy='username:password@123.58.10.36:8080'

　　proxies={

　　'http':'http://'+proxy,

　　'https':'https://'+proxy

　　}

　　try:

　　response=requests.get('http://httpbin.org/get',proxies=proxies)

　　print(response.text)

　　except requests.exceptions.ConnectionError as e:

　　print('錯誤:',e.args)

Selenium調用代理
selenium加上代理，selenium主要是實現自動化登錄驗證等操作

from selenium import webdriver
proxy='123.58.10.36:8080'
chrome_options=webdriver.ChromeOptions()
chrome_options.add_argument('--proxy-server=http://'+proxy)
browser=webdriver.Chrome(chrome_options=chrome_options)
browser.get('http://httpbin.org/get')

調用 ProxyHandler 添加 代理

from urllib import request

url = 'www.baidu.com'

# 設置代理
handler = request.ProxyHandler({'http':'ip:port'})
opener = request.bulid_opener(handler)

# 發送請求
req = request.Request(url=url)
response = opener.open(req)

在 scrapy下載中間件添加代理
middlewares.py 自定義一個代理類，重寫 process_request 方法

class MyDaiLi(object):
  """docstring for MyDaiLi"""
   # 重寫這個方法
   def process_request(self, request, spider):
         request.meta['proxy'] = 'http://ip:port'

settings.py （第55行）打開下載中間件，并將自定義的 MyDaiLi添加進去

DOWNLOADER_MIDDLEWARES = {   'daili_loginproject.middlewares.MyDaiLi': 543,
 }

• 基線評估

安全基線是諸多標準規范中規定的一組安全控制措施或者慣例，這些揩施和慣例適用于特定環境下的所有系統,可以滿足基本的安全需求,使系統能達到一定的安全防護水平。可選的安全基線包括:國際標準和國家標準，例如ISO 27001、信息安全等級保護;

• 詳細評估

對資產進行詳細識別和評價，對可能引起風險的威脅和脆弱性水平進行評估，根據風險評估的結果來識別和選擇安全措施，即識別資產的風險并將風險降到可接受的水平，以此證明管理者所采用的安全措施是恰當的。

• 組合評估

采用基于基線評估與詳細評估兩者之間的評估方式。

方法是組織應先對所有系統進行一次初步的高級風險評估。著眼于信息系統的商務價值和可能面臨的風險，識別出組織內具有高風險或對其商務運作極為關鍵的信息資產(或系統)，這些資產或系統應劃分在詳細風險評估的范圍，而其他系統則可以通過基線風險評估直接選擇安全措施。

VPN和防火墻協作主要的特點有以下這些：

• 關鍵信息在安全域內傳輸。確保關鍵信息只能在受限的安全域內傳輸，以確保信息不會通過網絡泄密。通過制定安全策略，對于特寫類型的信息，只允許在指定的安全域內傳輸，如果信息的發送者試圖向安全域之外發送信息，那么發送請求將被拒絕，同時，這種破壞安全策略的行為將會被記錄到系統日志中。

• 完善的認證與授權體系。無論是外網用戶還是內網用戶，在訪問關鍵的業務資源時，都需要經過嚴格的身份認證和授權檢查。通過RADIUS協議，VPN網關可以與各種認證服務器無縫集成。也可以通過LDAP，支持公鑰證書來認證用戶的身份。這種身份的驗證不僅是驗證用戶的身份，還包括驗證用戶的操作權限及保密級別。

• 嚴密的信息流向審查及系統行為的監控。對于省公司信息網絡系統來說，在保證業務正常進行的前提下，確保信息不失密，同時要監控各類主體（用戶、程序）對關鍵業務信息的存取是至關重要的。VPN和防火墻協作具有功能強大的審計系統，可以記錄關鍵業務主機之間傳遞信息的流向，以及對關鍵業務主機的所有訪問（源IP、用戶、時間、訪問的服務），確保系統的可審計性和可追查性。在發生違反安全策略的事件時，可采用多種方式實時發出報警。

• 通過采用公鑰驗證技術，確保網絡連接的真實性和完整性，包括在連接中傳輸數據的機密性和完整性。在實際操作中，配置防火墻根據IP、協議、服務、時間等因素具體實施區域間邊界訪問控制。

保證網絡信息傳輸安全需要注意以下問題：

• 截獲：對網上傳輸的信息，攻擊者只需在網絡的傳輸鏈路上通過物理或邏輯的手段，就能對數據進行非法的截獲(Interception) 與監聽，進而得到用戶或服務方的敏感信息。

• 偽造：對用戶身份偽造(Fabrication) 這常見的網絡攻擊方式，傳統的對策一般采用身份認證方式來進行防護，但是，用于用戶身份認證的密碼在登錄時常常是以明文的方式在網絡上進行傳輸的，很容易被攻擊者在網絡上截獲，進而可以對用戶的身份進行仿冒，使身份認證機制被攻破。身份認證的密碼90%以上是用代碼形式傳輸的。

• 篡改：攻擊者有可能對網絡上的信息進行截獲并且篡改(Modification)其內容(增加、截去或改寫)，使用戶無法獲得準確、有用的信息或落入攻擊者的陷阱。

• 中斷：攻擊者通過各種方法，中斷(Interruption) 用戶的正常通信，達到自己的目的。

• 重發：信息重發(Repeat)的攻擊方式，即攻擊者截獲網絡上的密文信息后，并不將其破譯，而是把這些數據包再次向有關服務器(如銀行的交易服務器)發送，以實現惡意的目的。