• TCP洪水攻擊（SYN Flood）

TCP洪水攻擊是當前最流行的DoS（拒絕服務攻擊）與DDoS（分布式拒絕服務攻擊）的方式之一，這是一種利用TCP協議缺陷，發送大量偽造的TCP連接請求，常用假冒的IP或IP號段發來海量的請求連接的第一個握手包（SYN包），被攻擊服務器回應第二個握手包（SYN+ACK包），因為對方是假冒IP，對方永遠收不到包且不會回應第三個握手包。導致被攻擊服務器保持大量SYN_RECV狀態的“半連接”，并且會重試默認5次回應第二個握手包，塞滿TCP等待連接隊列，資源耗盡（CPU滿負荷或內存不足），讓正常的業務請求連接不進來。

• 反射性攻擊（DrDoS）

反射型的 DDoS 攻擊是一種新的變種，與DoS、DDoS不同，該方式靠的是發送大量帶有被害者IP地址的數據包給攻擊主機，然后攻擊主機對IP地址源做出大量回應，形成拒絕服務攻擊。黑客往往會選擇那些響應包遠大于請求包的服務來利用，這樣才可以以較小的流量換取更大的流量，獲得幾倍甚至幾十倍的放大效果，從而四兩撥千斤。一般來說，可以被利用來做放大反射攻擊的服務包括DNS服務、NTP服務、SSDP服務、Chargen服務、Memcached等。

• CC攻擊（HTTP Flood）

HTTP Flood又稱CC攻擊，是針對Web服務在第七層協議發起的攻擊。通過向Web服務器發送大量HTTP請求來模仿網站訪問者以耗盡其資源。雖然其中一些攻擊具有可用于識別和阻止它們的模式，但是無法輕易識別的HTTP洪水。它的巨大危害性主要表現在三個方面：發起方便、過濾困難、影響深遠。

• UDP 洪水攻擊(UDP Flood)

UDP Flood 是目前主要的 DDoS 攻擊手段，攻擊者通過受控主機向目標發送大量的 UDP 請求，以達到拒絕服務器的目的。通常，攻擊者會使用小包和大包的攻擊方法。小包是指以太網傳輸數據值最小數據包，即 64 字節的數據包。在相同流量中，數據包越小，使用數量也就越多。同時，由于網絡設備需要對數據包進行檢查，因此使用小包可增加網絡設備處理數據包的壓力，容易產生處理緩慢、傳輸延遲等拒絕服務效果。大包是指大小超過了以太網最大傳輸單元（MTU）的數據包，即 1500 字節以上的數據包。使用大包攻擊能夠嚴重消耗網絡帶寬資源。在接收到大包后需要進行分片和重組，因此會消耗設備性能，造成網絡擁堵。

• 直接僵尸網絡攻擊

僵尸網絡就是我們俗稱的“肉雞”，現在“肉雞”不再局限于傳統PC，越來越多的智能物聯網設備進入市場，且安全性遠低于PC，這讓攻擊者更容易獲得大量“肉雞”，也更容易直接發起僵尸網絡攻擊。根據僵尸網絡的不同類型，攻擊者可以使用它來執行各種不同的攻擊，不僅僅是網站，還包括游戲服務器和任何其他服務。

影響防火墻安全的攻擊有以下這些：

• ip地址欺騙：主要是通過修改數據包來假冒內部主機地址；

• ip隧道攻擊：在80端口發送能產生穿過防火墻的ip隧道程序；

• ip碎片攻擊：有意發送總長度超過65535的ip碎片來使服務器崩潰和拒絕服務；

• ip分片攻擊：通過發送第一個合法的ip分片騙過防火墻的檢測接著發送惡意數據來穿透防火墻；

• 報文攻擊：報文攻擊又稱為路由攻擊是攻擊者發動一些報文從而改變或干擾路由器的路線選擇；

• 數據驅動攻擊：攻擊者把有害數據隱藏在普通正常數據中傳送到防火墻來造成攻擊；

• 特洛伊木馬攻擊：在某一合法程序內完成偽裝預定功能的代碼段來造成攻擊；

• 基于堡壘機的web服務器的攻擊：攻擊者設想吧堡壘主機web服務器轉變成避開防火墻內外部路由器作用影響的系統；

• 口令字攻擊：通過內部或者外部接口來枚舉防火墻的管理口令字；

• SYN Flood洪水攻擊：DDoS攻擊中最流行且常用的一種，模仿大量數據訪問流使被攻擊方的CPU或內存耗盡而宕機；

• 電污染攻擊：防火墻自身的原因，可能在使用時自身出現誤碼、死機、芯片損壞等問題或者電磁、無線電干擾等電污染；

• 郵件詐騙：釣魚攻擊常用手段之一，也是成功率最高的手段之一，不針對防火墻而是針對使用者。

入侵檢測最大數據處理能力包括以下四方面：

• 最大網絡流量：最大網絡流量是指NIDS的網絡傳感器單位時間內能夠處理的最大數據流量，一般用每秒兆比特（Mbit/s）表示最大網絡流量。如果應用環境的網絡流量超過網絡傳感器可接收的最大網絡流量，就有可能產生數據丟失現象，從而會降低IDS的檢測精度。

• 最大采集分組數：最大采集分組數是指NIDS的網絡傳感器單位時間內能夠采集的最大網絡分組數，用每秒分組數（pps）表示最大采集分組數。最大網絡流量等于最大采集分組數乘以網絡分組的平均大小，因此，最大網絡流量與最大采集分組數是兩個不同的概念。在最大采集分組數相同的條件下，網絡分組的平均值越小，最大網絡流量就越小。所以，小分組處理能力才真正反映了IDS的數據處理能力。

• 最大網絡連接數：最大網絡連接數是指NIDS單位時間內能夠監控的最大網絡連接數，最大網絡連接數反映了IDS分組重組與連接跟蹤的能力。數據重組與連接跟蹤是網絡協議解析和應用層入侵分析的基礎，因此，最大網絡連接數反映了IDS在網絡連接記錄層次和應用層檢測入侵的能力。

• 最大事件數：最大事件數是指NIDS單位時間內能夠處理的最大報警事件數，最大事件數反映了入侵檢測分析引擎處理攻擊事件和事件日志記錄的能力。NIDS發現攻擊或可疑事件后，將產生報警信號，同時將攻擊或可疑事件記錄到后臺的安全事件日志中，以便安全人員進行進一步分析。

數據庫加密有以下要求：

• 數據庫數據保存的時限相對可以認為是無窮長，加密幾乎不可能采取一次加密的方式，所以對于加密強度的要求就更加嚴格和苛刻，最好是無法破譯的。數據庫數據的加密技術對強度的要求是最主要的，或者說是第一位的。

• 數據庫中數據最大量的使用方式是隨機訪問，因此對加密或解密的時間要求是比較高的，否則數據加密、解密過程可能導致整個數據庫系統的性能大幅度下降。數據庫加密、解密技術要能夠保證不會明顯降低系統性能，其中數據庫操作中解密操作與查找操作是成正比的，所以解密速度對于數據庫而言尤為重要。

• 數據庫數據組織結構對于數據庫管理系統而言不能有大的變動，如果可能，應當盡量做到明文和密文長度相等，至少要相當。

• 數據庫中的數據處于開放的數據共享的環境中，一個數據庫中的數據是由多個用戶所共享的，并且大多數用戶又只能訪問數據庫中的一小部分數據，因此數據庫中的加密機制要和數據庫的存取訪向控制機制包括授權機制有機地配合和集成在一起，從某種角度上說應當是不可分割的。

• 數據庫系統中也要求密鑰管理機制，并且要求更加靈活和堅固。數據庫系統加密體制中采用的密鑰比通信系統中的密鑰要更加復雜，由于其時限需要認為是無窮長，所以密鑰的管理也就相對而言更加復雜。密鑰管理中的失誤，例如密鑰丟失，會導致信息的泄露和失密;密鑰管理的混亂則又會導致數據服務的中斷、拒絕服務的發生。

• 數據庫系統的加密機制應當保證數據庫的查詢、檢索、修改、更新等數據訪問的基本操作效率。同時要保證數據共享訪問的完整性和數據訪問操作的粒度上的靈活性。

物理隔離指公共網絡和專網在網絡物理連線上是完全隔離的，且沒有任何公用的存儲信息。邏輯隔離指公共網絡和專網在物理上是有連線的，通過技術手段保證在邏輯上是隔離的。邏輯隔離部件的安全功能應保證被隔離的計算機資源不能被訪問，只能進行隔離器內外的原始應用數據交換。物理隔離部件的安全功能應保證被隔離的計算機資源不能被訪問（至少應包括硬盤、軟盤和光盤），計算機數據不能被重用（至少應包括內存）。

常用的網絡安全隔離方法有以下這些：

• 雙機雙網隔離：雙機雙網隔離技術方案是指通過配置兩臺計算機來分別連接內網和外網環境，再利用移動存儲設備來完成數據交互操作，然而這種技術方案會給后期系統維護帶來諸多不便，同時還存在成本上升、占用資源等缺點，而且通常效率也無法達到用戶的要求。

• 雙硬盤隔離：雙硬盤隔離技術方案的基本思想是通過在原有客戶機上添加一塊硬盤和隔離卡來實現內網和外網的物理隔離，并通過選擇啟動內網硬盤或外網硬盤來連接內網或外網網絡。由于這種隔離技術方案需要多添加一塊硬盤，所以對那些配置要求高的網絡而言，就造成了成本浪費，同時頻繁地關閉、啟動硬盤容易造成硬盤的損壞。

• 單硬盤隔離：單硬盤隔離技術方案的實現原理是從物理層上將客戶端的單個硬盤分割為公共和安全分區，并分別安裝兩套系統來實現內網和外網的隔離，這樣就具有了較好的可擴展性，但是也存在數據是否安全界定困難、不能同時訪問內、外兩個網絡等缺陷。

• 集線器級隔離：集線器級隔離技術方案的一個主要特征在客戶端只需使用一條網絡線就可以部署內網和外網，然后通過遠端切換器來選擇連接內、外雙網，避免了客戶端要用兩條網絡線來連接內、外網絡。

• 服務器端隔離：服務器端隔離技術方案的關鍵內容是在物理上沒有數據連通的內、外網絡下，如何快速、分時地處理和傳遞數據信息，該方案主要是通過采用復雜的軟、硬件技術手段來在服務器端實現數據信息過濾和傳輸任務，以達到隔離內、外網的目的。

xss漏洞掃描就是使用漏洞掃描工具對xss漏洞進行掃描，絕大多數Web漏洞掃描器都可以檢測出某一網站是否存在XSS漏洞，網上也能找到很多專用的XSS檢測工具，常用的xss漏洞掃描工具有XSSer、BruteXSS、AppScan等。

XSS是一個非常常見的Web漏洞，各大互聯網公司對XSS的重視程度差別很大，有的作為高危，有的最多當中危甚至當低危，原因無非是這兩方面：一方面是XSS雖然數量過多但是利用時需要很多前置條件，不容易成功利用；另一方面一但被成功利用危害又較大，會造成盜取帳號、控制數據、盜竊資料、網站掛馬等危害。

xss 分類：

• 反射型XSS：<非持久化>攻擊者事先制作好攻擊鏈接, 需要欺騙用戶自己去點擊鏈接才能觸發XSS代碼（服務器中沒有這樣的頁面和內容），一般容易出現在搜索頁面。

• 存儲型XSS：<持久化>代碼是存儲在服務器中的，如在個人信息或發表文章等地方，加入代碼，如果沒有過濾或過濾不嚴，那么這些代碼將儲存到服務器中，每當有用戶訪問該頁面的時候都會觸發代碼執行，這種XSS非常危險，容易造成蠕蟲，大量盜竊cookie（雖然還有種DOM型XSS，但是也還是包括在存儲型XSS內）。

• DOM型XSS：基于文檔對象模型Document Objeet Model，DOM)的一種漏洞。DOM是一個與平臺、編程語言無關的接口，它允許程序或腳本動態地訪問和更新文檔內容、結構和樣式，處理后的結果能夠成為顯示頁面的一部分。DOM中有很多對象，其中一些是用戶可以操縱的，如uRI ，location，refelTer等。客戶端的腳本程序可以通過DOM動態地檢查和修改頁面內容，它不依賴于提交數據到服務器端，而從客戶端獲得DOM中的數據在本地執行，如果DOM中的數據沒有經過嚴格確認，就會產生DOM XSS漏洞。

Web應用防火墻的部署主要有透明模式、路由模式、旁路監控模式以及HA雙擊模式來滿足用戶的各種不同網絡結構的應用需求。不同的部署方式部署位置分別為：

• 透明部署方式：是在Web服務器和防火墻之間插入WAF，在透明模式下，Web應用防火墻只對流經OSI應用層的數據進行分析，而對其他層的流量不作控制，因此透明模式的最大特點就是快速、方便、簡單。

• 路由部署方式：部署網橋透明模式的WAF的設備，其“透明”概念與網橋透明模式中相似，可以將其看做一個路由設備，將其作為路由器進行部署，同時確保要檢測的HTTP流量(指定IP和端口)經過WAF設備即可。這種部署模式是網絡安全防護中保護程度最高的，但是需要對防火墻和Web應用服務的路由設置做出一定的調整，對網絡管理員的要求較高。

• 旁路部署模式：是將WAF置于局域網交換機下，訪問Web服務器的所有連接通過安全策略指向WAF。它的優點是對網絡的影響較小，但是在該模式下，Web服務器無法獲取訪問者的真實IP地址。

虛擬化為云存儲帶來以下優勢：

• 利用虛擬化技術，云存儲資源以服務的方式提供給用戶，可以極大地提高資源利用效率，從而降低成本，節約能源消耗。

• 可以實現資源的動態分配與靈活調度，從而可以根據實際需要實時進行配置，可滿足不斷變化的業務需求。

• 可以利用專業的安全服務提高安全性。個人用戶很難有專業的安全知識，但云服務提供商可以提供專業的安全解決方案。

• 使得云存儲具有更高的可擴展性，可動態調整資源粒度，并動態進行擴展。

• 更強的互操作性，云存儲可以實現平臺無關性，也可以滿足各種接口和協議的兼容性。

• 云服務提供商具備實現容災備份的條件，可以改善災難恢復效率。

物理方法來保護RFID標簽安全性的方法主要有如下幾類：

• 殺死（Kill）命令機制：由標準化組織Auto-ID Center提出的Kill命令機制是解決信息泄露的一個最簡單的方法。即從物理上毀壞標簽，一旦對標簽實施了Kill毀壞命令，標簽便不能再次使用。例如，超市結賬時禁用附著于商品上的標簽。但是，如果RFID標簽用于標識圖書館中的書籍，當書籍離開圖書館后，這些標簽是不能被禁用的，這是因為當書籍歸還后需要使用相應的標簽再次標識書籍。

• 休眠（Sleeping）機制：讓標簽處于睡眠狀態，而不是禁用，以后可使用喚醒口令將其喚醒。困難在于一個喚醒口令需要和一個標簽相關聯，于是這就需要一個口令管理系統。但是，當標簽處于睡眠狀態時，沒有可能直接使用空中接口將特定的標簽和特定的喚醒口令相關聯。因此需要另一種識別技術，例如條形碼，以標識用于喚醒的標簽。

• 阻塞（Blocking）機制：隱私比特“0”表示標簽接受非限制的公共掃描；隱私比特“1”表示標簽是私有的。以比特“1”開頭的標識符空間指定為隱私區域（Privacy Zone）。當標簽生產出來，并在購買之前，即在倉庫、運輸汽車、存儲貨價的時候，標簽的隱私比特置為“0”。換句話說，任何閱讀器都可掃描它們。當消費者購買了使用RFID標簽的商品時，銷售終端設備將隱私比特設置為“1”，讓標簽處于隱私區域。

• 法拉第網罩：防止標簽被追蹤的另一物理方式是使用“靜電屏蔽”（法拉第網罩）。由于無線電波可被傳到材料做成的電容屏蔽，法拉第網罩將貼有RFID標簽的商品放入由金屬網罩或金屬箔片組成的容器中，從而阻止標簽和讀寫器通信。由于每件商品都需使用一個網罩，提高了成本，所以該方法難以大規模實施。

• 主動干擾：標簽用戶通過一個設備主動廣播無線電信號用于阻止或破壞附近的RFID讀寫器操作。但該方法可能干擾附近其他合法RFID系統，甚至阻斷附近其他使用無線電信號的系統。

5G物聯網終端的安全需求包括：

• 物理安全防護：5G物聯網終端需要具備足夠的物理安全防護措施以保證工作期間自身物理實體不被損壞，為終端功能的正常運行提供必要的保障。對于戶外安裝的5G物聯網終端設備，需要具備足夠的防水功能，具有足夠的機械強度。對于只允許專業人員開啟的設備，可以通過加裝鎖具、密封等手段滿足物理防護要求。

• 訪問控制：為防止非授權用戶的訪問，5G物聯網終端需要加強訪問控制，如使用電表采集電量時，需要對電表的默認賬戶密碼進行修改，當其他設備要與之通信時，必須進行身份驗證，防止非授權設備讀取電表計的數據。

• 機密性：在實際生活中，5G物聯網終端廠家在開發加密機制的終端時，需要考慮算法的選擇、密鑰的分發和存儲機制等，這存在一定的研發難度，而且除非出現安全事故，否則用戶一般無法確認物聯網終端是否具有加密機制，這就導致一些終端廠家直接忽略機密性，安全隱患極大。為防止他人竊取數據，獲取用戶機密，5G物聯網終端在傳輸數據時需要重點考慮對傳輸數據進行加密。

• 私密性：5G物聯網終端內存有用戶的私密數據，如身份證號碼、指紋、聲紋、虹膜等個人信息和通信錄等隱私信息。這些私密信息要求物聯網終端必須依靠足夠的安全機制來保證這些信息在無用戶授權的情況下無法被讀取。

• 完整性：5G物聯網終端安全的完整性需求體現在多個方面。例如，應當保證自身軟件的完整性，不被外部惡意程序入侵；對于支持安裝應用的終端，在進行系統軟件升級時要對升級軟件包的完整性進行驗證，另外還需要對應用開發者進行驗證，從而不隨便安裝無法通過驗證和來源不明的應用。對自身的文件系統的完整性也需要有保障方案，如終端開機時，需要對自身的文件系統進行完整性和一致性的檢驗，出錯后可以從備份中恢復受損的文件系統。

• 可用性：一些5G物聯網終端一經部署就進入無人值守的自動工作狀態，這就要求終端具備一定的可靠性，以保證在使用壽命范圍內的持續可用性。

滲透測試主要是測試web應用程序、網絡、計算機系統等設備或者系統中哪些可能會被利用的安全漏洞，通過模擬黑客的攻擊來對被測試系統進行全方位安全測試，來加強設備或者系統的安全性。

滲透測試，是為了證明網絡防御按照預期計劃正常運行而提供的一種機制。不妨假設，你的公司定期更新安全策略和程序，時時給系統打補丁，并采用了漏洞掃描器等工具，以確保所有補丁都已打上。如果你早已做到了這些，為什么還要請外方進行審查或滲透測試呢？因為，滲透測試能夠獨立地檢查你的網絡策略，換句話說，就是給你的系統安了一雙眼睛。而且，進行這類測試的，都是尋找網絡系統安全漏洞的專業人士。

傳統邊界安全主要存在的問題有：

• 黑客可以輕松劫持邊界內的設備并從內部攻擊企業應用。

• 隨著自帶設備（BYOD）、外包人員、合作伙伴的增多，以及邊界內部設備不確定因素的增加，導致安全漏洞不斷增多。

• 企業的業務資源除了部署在傳統數據中心，也在不斷向外部云資源擴展，如PaaS，IaaS和SaaS。因此，邊界安全網絡設備在拓撲上并不能很好地保護企業應用基礎設施。

工控系統與IT系統風險評估的差別：

評估的對象不同

IT系統風險評估的主要評估對象是IT系統的組成部分，如：IT網絡、辦公主機、路由器、交換機、數據庫等，但是在工控系統的風險評估中，上述對象也會存在，但更重要的是工控系統的組成部分：如工控網絡、工業主機、工控設備、生產工藝等。

評估的工具不同

評估對象的不同決定了評估工具也有所差異，首先傳統IT系統風險評估中所使用的評估工具大多數可以應用于工控系統風險評估中；其次部分工具需要根據工控系統的特點進行升級，如漏洞掃描工具在工控系統風險評估中就要有工控的特色，漏洞庫要包含工控相關的漏洞；最后有些工具使用是工控系統風險評估所獨有的，如工控漏洞挖掘工具就是用于對工控設備的未知漏洞挖掘，而一般不會應用于IT系統風險評估中。

評估的標準不同

工控系統往往優先級要高于IT系統，任何對生產造成影響的安全問題都會帶來直接的經濟損失甚至是人員傷亡，因此同樣的評估對象其評估標準可能會有所不同，如：工業控制系統現場中根據實際控制、生產的需要，很多PLC室/DCS室、操作臺等都需要安置在生產一線，這樣就使得防盜報警系統、火災自動消防系統、防水檢測和報警、溫濕度自動調節等被很多實際情況制約，其評估的標準與IT系統的機房就不能一概而論；同樣是主機防護措施，工業主機和辦公主機因為用途不同，U盤使用、軟件安裝的要求就不一樣，防護的要求也有所不同，防病毒軟件往往就不完全適合用于工業主機的安全防護。

網絡安全能力成熟度模型分為以下五個階段：

1. 初始階段：在網絡安全能力方面處于無序、無專業人員、專業設備欠缺的狀態。

2. 合規驅動階段：已經具備了規范的網絡安全能力成熟度建設，但是主要的安全建設聚焦于滿足行業或者國家監管機構的合規要求，即按照監管機構的合規要求開展安全管理、安全技術和安全運維工作。

3. 風險驅動階段：已經從基礎的合規驅動建設，發展到主動探索將面臨的安全風險，并依據當前的安全風險進一步完善安全防護體系。

4. 數據驅動階段：組織在網絡安全方面開始注重精細化管理，通過制定安全運營過程的KPI，基于數據度量安全運營和防御體系的可靠性，圍繞滿足組織安全的數據度量的KPI來改進安全防護和運營體系。數據驅動與風險驅動最大的區別是更注重對網絡安全相關工作的精細化管理和量化管理。

5. 溯源反制階段：網絡安全的本質是網絡對抗，具備自主優化安全防護能力，組織通過內外部的安全團隊開展網絡對抗演練，可以發現安全體系存在的深度安全風險，圍繞對抗過程中發現的風險進行補充，改進安全防護體系。

WAF工作方式是對接收到的數據包進行正則匹配過濾，如果正則匹配到與現有漏洞知識庫的攻擊代碼相同，則認為這個惡意代碼，從而對于進行阻斷。所以，對于基于規則匹配的WAF，需要每天都及時更新最新的漏洞庫。

Waf工作過程：

• 解析HTTP請求

  對接收到數據請求流量時會先判斷是否為HTTP/HTTPS請求，之后會查看此URL請求是否在白名單之內，如果該URL請求在白名單列表里，直接交給后端Web服務器進行響應處理，對于不在白名單之內的對數據包解析后進入到規則檢測部分。

• 匹配規則

  解析后的數據包會進入到檢測體系中進行規則匹配，檢查該數據請求是否符合規則，識別出惡意攻擊行為。

• 防御動作

  如果符合規則則交給后端Web服務器進行響應處理，對于不符合規則的請求會執行相關的阻斷、記錄、告警處理。