Python是一門編程語言，是一種跨平臺的計算機程序設計語言，并不屬于軟件。是由荷蘭數學和計算機科學研究學會的Guido van Rossum設計，提供高效的高級數據結構，能簡單有效地面向對象編程。

Python是一種解釋型腳本語言，可以應用于Web 和 Internet開發、科學計算和統計、人工智能、教育、桌面界面開發、軟件開發、后端開發等領域。

因為python的腳本特性，python易于配置，對字符的處理也非常靈活，加上python有豐富的網絡抓取模塊，所以爬蟲和Python經常聯系在一起。

優點主要包括以下幾點：

簡單：Python是一種代表簡單主義思想的語言。閱讀一個良好的Python程序就感覺像是在讀英語一樣。它使你能夠專注于解決問題而不是去搞明白語言本身。

易學：Python極其容易上手，因為Python有極其簡單的說明文檔。

速度快：Python 的底層是用 C 語言寫的，很多標準庫和第三方庫也都是用 C 寫的，運行速度非常快。

免費、開源：Python是FLOSS（自由/開放源碼軟件）之一。使用者可以自由地發布這個軟件的拷貝、閱讀它的源代碼、對它做改動、把它的一部分用于新的自由軟件中。FLOSS是基于一個團體分享知識的概念。

高層語言：用Python語言編寫程序的時候無需考慮諸如如何管理你的程序使用的內存一類的底層細節。

可移植性：由于它的開源本質，Python已經被移植在許多平臺上（經過改動使它能夠工作在不同平臺上）。

個人用戶對蠕蟲病毒的防范措施有以下這些：

• 購買合適的殺毒軟件：網頁病毒越來越防不勝防，也使得用戶對殺毒軟件的要求越來越高，目前國內的殺毒軟件也具有了相當高的水平，在殺毒的同時整合了防火墻功能，從而對蠕蟲兼木馬程序有很大克制作用。

• 經常升級病毒庫：殺毒軟件對病毒的查殺是以病毒的特征碼為依據的，而病毒每天都不斷出現，尤其是在網絡時代，蠕蟲病毒的傳播速度快、變種多，所以必須隨時更新病毒庫，以便能夠查殺最新的病毒。

• 提高防殺毒意識：當運行IE時，把安全級別由“中”改為“高”。對于含有惡意代碼的ActiveX或Applet、 JavaScript的網頁文件，在IE設置中將ActiveX插件和控件、JavaScript等全部禁止就可以大大減少被網頁惡意代碼感染的幾率。

• 不隨意查看陌生郵件：尤其是帶有附件的郵件，由于有的病毒郵件能夠利用IE和Outlook Express的漏洞自動執行，所以計算機用戶需要升級IE、Outlook Express程序及常用的其他應用程序。

• 保證系統漏洞及時更新：由于蠕蟲病毒利用的是系統漏洞進行攻擊，所以需要在第一時間內保持系統和應用軟件的安全性，保持各種操作系統和應用軟件的更新。

工業互聯網安全服務落地要點如下：

• 企業認知：部分企業和基層部門對工業互聯網的認識理解、實施路徑、發展方向等存在認知偏差，對工業互聯網的基本認識都不到位，更別提應用工業互聯網賦能產業和企業發展。從企業層面看，作為工業互聯網建設和應用的主體，受技術發展水平和企業家認知限制，不少工業企業對工業互聯網的認識，還停留在買自動化設備、上ERP和MES軟件的層面，在打通和利用設計、開發、生產、銷售等全流程數據方面還存在很大不足。從政府層面看，不少基層從事工業和信息化建設工作的人員對“什么是工業互聯網”“如何做工業互聯網”的理解不深不透，有些認為“工業互聯網”就是互聯網在工業中的應用，可以直接參考消費互聯網的發展路徑。

• 安全顧慮：工業互聯網安全包括網絡安全、設備安全、控制安全、應用安全、數據安全，比一般的“網絡安全”更加復雜。大量企業，特別是中小企業還處于解決上云用云階段，對網絡安全的重視程度和投入都不夠。大多數企業都談到安全方面的顧慮，認為接入其他企業搭建的工業互聯網平臺，在數據確權、知識產權、信息安全等方面存有隱憂，擔心自己的生產數據、客戶關系等商業秘密被泄露。目前數據安全監管滯后，企業上云上平臺后的數據資產是屬于平臺方還是企業方沒有依據，數據開放程度只能協商，缺少政府信用背書，“上”還是“不上”很矛盾。企業信息安全、商業安全、數據安全得不到保障，成為當前企業“不敢上”的主要障礙。

• 專業人才數量質量：工業互聯網橫跨信息技術和制造業兩大領域，需要大量既懂工業機理又懂信息技術的專業人才，沉入企業生產一線提煉管理、生產、工藝等行業知識，完成系統搭建和技術迭代升級。無論是在平臺服務端還是企業端，都需要IT與OT（運營技術）結合的復合型人才。現實情況是，這樣的人才極其稀缺，存在巨大缺口。人才短板既存在于工業企業中也表現在平臺方。一些平臺企業由于缺少懂工業機理的人才，搭建的平臺只能為企業提供訂單、銷售功能，無法為企業生產制造賦能。

• 協議：一些主流工控協議本身存在一些缺陷，同時主流工控協議總體數量也相對較多，不同的生產商的設備會采用不同的協議，這就給安全防護帶來了極大的難度。大部分工業互聯網安全廠商都能做到對協議的識別，但是落實到安全能力的實現時，就需要對協議進行深度的識別——而大量不同的協議無疑是對廠商協議研究、分析能力的一大挑戰。除了主流協議以外，還存在一些私有協議，就更需要安全廠商有能力對陌生的工控協議有學習協議規則和行為的能力，從而建立新的安全模型。

• 底層防護：工業互聯網另一個難點在于底層防護更為困難。工業設備往往使用年限會很長，會積累大量沒有修復的漏洞。同時，由于受限于工業互聯網本身的業務可持續性要求，以及過去缺乏的安全意識，使得對這些漏洞的全面修復幾乎成為不可能。如果無法從底層對工業設備和系統進行防護，就只能將安全能力附加在設備和系統之上，難以給底層賦予安全能力，通過自身的安全性提升對威脅的抵抗能力。最終，安全無法從最佳位置開始賦能。

• 企業是否適合接入工業互聯網：企業工業設備老舊帶來的另一個問題，在于老舊設備與當下的IT以及OT能力的不兼容，這些老舊設備不具備接入工業互聯網的條件。但是，對于相當數量的企業而言，替換這批設備需要高額的成本，帶來極大的經濟負擔，因此會繼續使用這些工業設備，導致這些企業本身也不適合接入工業互聯網。

網絡安全策略執行主要任務如下:

• 確定在一個組織內實施什么樣的安全，即確定安全的實施；

• 是讓組織內的員工行動一致，懂得需要什么樣的安全，使員工的行動一致；

• 物理安全策略的目的是保護計算機系統、網絡服務器、打印機等硬件實體和通信鏈路免受自然災害、人為破壞和搭線攻擊；

• 驗證用戶的身份和使用權限、防止用戶越權操作。

包過濾防火墻一般在路由器上實現，用以過濾用戶定義的內容，如IP地址。分為：

• 靜態包過濾防火墻：使用分組報頭中存儲的信息控制網絡傳輸。當過濾設備接收到分組時，把報頭中存儲的數據屬性與訪問控制策略對比（稱為訪問控制表或ACL），根據對比結果的不同，決定該傳輸是被丟棄還是允許通過。

• 動態包過濾防火墻：通過包的屬性和維護一份連接表來監視通信會話的狀態而不是簡單依靠標志的設置。針對傳輸層的，所以選擇動態包過濾時，要保證防火墻可以維護用戶將要使用的所有傳輸的狀態，如TCP，UDP，ICMP等。

等級保護要做以下事情：

• 定級（定級是等級保護的首要環節）：確定定級對象。

• 備案（備案是等級保護的核心）：備案要填寫一張表跟網站備案信息有點類似，主要是應用名稱，單位主體，域名，IP，負責人等等，表的格式參照當地公安機關。到屬地公安機關遞交備案材料。

• 建設整改（建設整改是等級保護工作落實的關鍵）：準備好整改的備案材料，到屬地公安機關遞交備案材料。

• 等級測評（等級測評是評價安全保護狀況的方法）：運營、使用單位或者主管部門應當選擇合規測評機構，定期對信息系統安全等級狀況開展等級測評。測評機構應當出具測評報告，并出具測評結果通知書，明示信息系統安全等級及測評結果。

• 監督檢查（監督檢查是保護能力不斷提高的保障）：接受公安機關定期的網絡安全檢查，主動開展每年的定期測評。

二級等保測評兩年測評一次，三級等保測評每年測評一次，目前二級，三級會比較多。

針對移動設備安全管理措施有：

• 工作與生活信息分開，劃清界限：顯然，移動技術的發展使得人們難以區分工作和生活的界限。因此，企業IT部門應該對公司的數據進行劃分或隔離，為員工提供流暢的移動體驗。員工可以使用相同的移動設備訪問個人和公司數據，但在后端必須明確區分兩者。如果員工離職，IT部門應該可以刪除公司的數據；如果員工丟失了設備，IT部門會刪除設備上的所有數據。

• 集中管理所有的企業資產：從目前來看，移動設備涉及智能手機、平板電腦、筆記本電腦、可穿戴設備等，這些設備必須與臺式電腦無縫連接，才能最大限度地提高工作效率。IT部門可以從中央控制臺連接到任何設備，跟蹤分配人員的資產，管理數據訪問和密碼，以及創建用戶或部門。

• 防止病毒攻擊：如果看到猖獗的“黑客”，移動終端更容易成為病毒攻擊的目標。企業IT部門必須實時監控設備，記錄所有用戶的行為。當發現異常威脅行為時，會第一時間產生告警通知。自動更新病毒庫并修復安全漏洞。總之，移動設備管理必須引起企業足夠的重視，才能在既定的發展軌道上穩步前行。

VPN的出現使用戶可以從以下幾方面獲益：

• 實現網絡安全：它在隧道的起點，在現有的企業認證服務器上，提供對分布用戶的認證。VPN支持安全和加密協議，如SecureIP（IPsec）和Microsoft點對點加密（MPPE）。

• 簡化網絡設計：網絡管理者可以使用VPN替代租用線路來實現分支機構的連接。這樣就可以將對遠程鏈路進行安裝、配置和管理的任務減少到最小，僅此一點就可以極大地簡化企業廣域網的設計。另外，VPN通過撥號訪問來自于ISP或NSP的外部服務，減少了調制解調器池，簡化了所需的接口，同時也簡化了與遠程用戶認證、授權和記賬相關的設備和處理。

• 降低成本：VPN可以立即且顯著地降低成本，通過公用網來建立VPN，就可以節省大量的通信費用，而不必投入大量的人力和物力去安裝和維護廣域網設備并遠程訪問設備。

• 主要設備成本：VPN通過支持撥號訪問外部資源，使企業可以減少不斷增長的調制解調器費用。另外，它還允許一個單一的WAN接口服務多種目的，從分支網絡互連、商業伙伴的外連網終端、本地提供高帶寬的線路連接到撥號訪問服務提供者。因此，只需要極少的WAN接口和設備。由于VPN可以完全管理，并且能夠從中央網站進行基于策略的控制，因此可以大幅度地減少在安裝配置遠程網絡接口所需設備上的開銷。另外，由于VPN獨立于初始協議，這就使得遠端的接入用戶可以繼續使用傳統設備，保護了用戶在現有硬件和軟件系統上的投資。

• 容易擴展：如果企業想擴大VPN的容量和覆蓋范圍。企業只需與新的ISP簽約，建立賬戶；或者與原有的ISP重簽合約，擴大服務范圍。在遠程辦公室增加VPN能力也很簡單，幾條命令就可以使Extranet路由器擁有Internet和VPN能力，路由器還能對工作站自動進行配置。

• 可隨意與合作伙伴連網：在過去，企業如果想與合作伙伴連網，雙方的信息技術部門就必須協商如何在雙方之間建立租用線路或幀中繼線路。有了VPN之后，這種協商就毫無必要，真正達到了要連就連，要斷就斷。

• 完全控制主動權：借助VPN，企業可以利用ISP的設施和服務，同時又完全掌握著自己網絡的控制權。比方說，企業可以把撥號訪問交給ISP去做，由自己負責用戶的查驗、訪問權、網絡地址、安全性和網絡變化管理等重要工作。

• 支持新興應用：許多專用網對新興應用準備不足，如那些要求高帶寬的多媒體和協作交互式應用。VPN則可以支持各種高級的應用，如IP語音，IP傳真，還有各種協議，如RSIP、IPv6、MPLS、SNMPv3等。

SCTP的主要特征如下：

• 內建多地址主機支持：SCTP中的一對連接稱為關連，關連兩端的主機節點（Endpoint）可以有多個網絡地址，從而使一個 SCTP 關連可以通過多條網絡路徑進行數據傳輸。

• 保留應用層消息邊界：SCTP保留上層數據信息的邊界，上層數據信息稱為“消息”，傳輸的基本單位為有意義的數據段。

• 單個關聯多流機制：SCTP 允許用戶在每個關連中定義子流，數據在子流內按序傳輸。

• 偶聯中支持多數據流和避免擁塞：在一個SCTP的偶聯中可以包含若干用戶數據流，流的數量在偶聯建立時由SCTP用戶規定，不同的數據流在自己的流管道中傳輸，通過流號來區分。在接收端，SCTP把用戶數據流報文按照順序遞交給SCTP用戶。當某個流管道因為等待下一報文而發生阻塞時，其他流管道上的順序遞交不受影響。

• 支持多宿主連接和通路管理：在建立SCTP連接時，連接的雙方都可以聲明多個IP地址。SCTP通路管理功能可以根據SCTP用戶的指令和當前合格的目的地集合的可達性狀態為每個發送的SCTP分組選擇一個目的地傳輸地址，通路管理功能可以通過心跳消息來監視到某個目的地地址的可達性。當端點發起連接請求時，通路管理功能可以向遠端和本地報告對方的傳輸地址。

TCP協議保證數據傳輸可靠性的方式主要有：

• 校驗和:TCP將保持它首部和數據的檢驗和。這是一個端到端的檢驗和，目的是檢測數據在傳輸過程中的任何變化。如果收到段的檢驗和有差錯，TCP將丟棄這個報文段和不確認收到此報文段。

• 序列號:TCP傳輸時將每個字節的數據都進行了編號，這就是序列號。（為了應對延時抵達和排序混亂）。每個連接都會選擇一個初始序列號，初始序列號（視為一個32位計數器），會隨時間而改變（每4微秒加1）。因此，每一個連接都擁有不同的序列號。序列號的作用不僅僅是應答的作用，有了序列號能夠將接收到的數據根據序列號排序，并且去掉重復序列號的數據。這也是TCP傳輸可靠性的保證之一。

• 確認應答:TCP傳輸的過程中，每次接收方收到數據后，都會對傳輸方進行確認應答。也就是發送ACK報文。這個ACK報文當中帶有對應的確認序列號，告訴發送方，接收到了哪些數據，下一次的數據從哪里發。

• 超時重傳:超時重傳機制。簡單理解就是發送方在發送完數據后等待一個時間，時間到達沒有接收到ACK報文，那么對剛才發送的數據進行重新發送。如果是剛才第一個原因，接收方收到二次重發的數據后，便進行ACK應答。如果是第二個原因，接收方發現接收的數據已存在（判斷存在的根據就是序列號，所以上面說序列號還有去除重復數據的作用），那么直接丟棄，仍舊發送ACK應答。那么發送方發送完畢后等待的時間是多少呢？如果這個等待的時間過長，那么會影響TCP傳輸的整體效率，如果等待時間過短，又會導致頻繁的發送重復的包。如何權衡？由于TCP傳輸時保證能夠在任何環境下都有一個高性能的通信，因此這個最大超時時間（也就是等待的時間）是動態計算的。

• 連接管理:說白了就是三次握手四次揮手。

• 流量控制:當接收方來不及處理發送方的數據，能提示發送方降低發送的速率，防止包丟失。

• 擁塞控制:擁塞控制是TCP在傳輸時盡可能快的將數據傳輸，并且避免擁塞造成的一系列問題。是可靠性的保證，同時也是維護了傳輸的高效性。

IPSecVPN在遠程安全訪問時安全性低體現在以下方面：

• IPSec的用戶驗證方式單一并且簡單，它無法明確區分使用該終端的人是否是可授權的指定用戶，管理員無法準確知曉究竟是誰在利用VPN使用內網資源。

• IPSec無法對終端設備軟件系統的安全性做出評估，無法檢查終端用戶的應用環境，斷開VPN連接后，所有曾經訪問過的cookie、URL等均保留在終端，增加了不安全因素。

• IPSec VPN隧道一旦建立，用戶的PC就像在公司局域網內部一樣，用戶能夠直接訪問公司全部的應用，由此會大大增加風險。

• VPN登錄之后的所有操作都是直接作用在被訪問資源上的，由于缺乏必要的終端檢查，致使內網資源受損的幾率很高。

• IPSec針對用戶或用戶組的授權訪問，實現起來非常困難，無法根據用戶性質進行分權，這是讓管理員很頭疼的問題，無法實現分權就只能有限地開放網絡資源，網絡不能有效地用于生產生活。

網絡安全網絡安全在多網合一時代的脆弱性體現在網絡安全管理的脆弱性。網絡安全管理是一種保護網絡安全的一種方法，計算機網絡是人們通過現代信息技術手段了解社會、獲取信息的重要手段和途徑。網絡安全管理是人們能夠安全上網、綠色上網、健康上網的根本保證。網絡技術基礎教程主要系統詳細的講述了：計算機網絡概述，網絡體系結構tcp/ip協議，局域網技術，網絡管理與維護，網絡安全與病毒防治等一系列問題。

網絡安全管理條例具體內容有：

• 組織工作人員認真學習《計算機信息網絡國際互聯網安全保護管理辦法》，提高工作人員的維護網絡安全的警惕性和自覺性。

• 負責對本網絡用戶進行安全教育和培訓，使用戶自覺遵守和維護《計算機信息網絡國際互聯網安全保護管理辦法》，使他們具備基本的網絡安全知識。

• 加強對單位的信息發布和BBS公告系統的信息發布的審核管理工作，杜絕違犯《計算機信息網絡國際互聯網安全保護管理辦法》的內容出現。

• 一旦發現從事下列危害計算機信息網絡安全的活動的：（一）未經允許進入計算機信息網絡或者使用計算機信息網絡資源；（二）未經允許對計算機信息網絡功能進行刪除、修改或者增加；（三）未經允許對計算機信息網絡中存儲、處理或者傳輸的數據和應用程序進行刪除、 修改或者增加；（四）故意制作、傳播計算機病毒等破壞性程序的；（五）從事其他危害計算機信息網絡安全的活動。做好記錄并立即向當地公安機關報告。

• 在信息發布的審核過程中，如發現有違反憲法和法律、行政法規的將一律不予以發布，并保留有關原始記錄，在二十四小時內向當地公安機關報告。

• 接受并配合公安機關的安全監督、檢查和指導，如實向公安機關提供有關安全保護的信息、資料及數據文件，協助公安機關查處通過國際聯網的計算機信息網絡的違法犯罪行為. 信息發布登記制度。

文件上傳的防護方法有以下這些：

• 文件上傳的目錄設置為不可執行：最有效的，將文件上傳目錄直接設置為不可執行，對于Linux而言，撤銷其目錄的’x’權限；實際中很多大型網站的上傳應用都會放置在獨立的存儲上作為靜態文件處理，一是方便使用緩存加速降低能耗，二是杜絕了腳本執行的可能性。

• 判斷文件類型：在判斷文件類型時，可以結合使用MIME Type、后綴檢查等方式。在文件類型檢查中，強烈推薦白名單方式，黑名單的方式已經無數次被證明是不可靠的。此外，對于圖片的處理，可以使用壓縮函數或者resize函數，在處理圖片的同時破壞圖片中可能包含的HTML代碼。

• 使用隨機數改寫文件名和文件路徑：文件上傳如果要執行代碼，則需要用戶能夠訪問到這個文件。在某些環境中，用戶能上傳，但不能訪問。如果應用了隨機數改寫了文件名和路徑，將極大地增加攻擊的成本。再來就是像shell.php.rar.rar和crossdomain.xml這種文件，都將因為重命名而無法攻擊。

• 單獨設置文件服務器的域名：由于瀏覽器同源策略的關系，一系列客戶端攻擊將失效，比如上傳crossdomain.xml、上傳包含Javascript的XSS利用等問題將得到解決。

• 限制用戶上傳文件的類型：指定用戶在上傳時所上傳的文件格式和類型，如果不符合這個格式則不允許上傳，并在上傳后要對文件的后綴名進行檢驗，防止攻擊者雙后綴名繞過。

信息安全等級保護制度，是落實網絡信任體系、安全監控體系、應急處理、風險評估、災難備份、技術開發和產業發展等信息安全保障工作的基礎。開展信息安全等級保護工作是實現國家對重要信息系統重點保護的重大措施。信息安全等級保護制度的核心內容是，國家制定統一的政策，各單位、各部門依法開展等級保護工作，有關職能部門對信息安全等級保護工作實施監督管理。

網絡安全等級保護制度是國家網絡安全工作的基本制度，是實現國家對重要網絡、信息系統、數據資源實施重點保護的重大措施，是維護國家關鍵信息基礎設施的重要手段。網絡安全等級保護制度的核心內容是：國家制定統一的政策、標準；各單位、 各部門依法開展等級保護工作；有關職能部門對網絡安全等級保護工作實施監督管理。

網絡安全等級保護制度是新時期國家網絡安全的基本制度、基本國策，我們將構建網絡安全等級保護新的法律和政策體系、新的標準體系、新的技術支撐體系、新的人才隊伍體系、新的教育訓練體系和新的保障體系。

網絡安全等級保護制度進入2.0時代，其核心內容：

• 一是將風險評估、安全監測、通報預警、案事件調查、數據防護、災難備份、應急處置、自主可控、供應鏈安全、效果評價、綜治考核等重點措施全部納入等級保護制度并實施；

• 二是將網絡基礎設施、信息系統、網站、數據資源、云計算、物聯網、移動互聯網、工控系統、公眾服務平臺、智能設備等全部納入等級保護和安全監管；

• 三是將互聯網企業的網絡、系統、大數據等納入等級保護管理，保護互聯網企業健康發展。

• 從定義上：

  PAM：通過管理和監控特權帳戶和訪問權限，幫助組織提供對關鍵資產的安全特權訪問，并滿足合規性要求。

  堡壘機：綜合了核心系統運維和安全審計管控兩大主干功能。

• 從技術實現上：

  堡壘機：通過切斷終端計算機對網絡和服務器資源的直接訪問，而采用協議代理的方式，接管了終端計算機對網絡和服務器的訪問，堡壘機的發展其中一個原因是由于傳統的旁路審計設備無法審計諸如RDP,SSH等加密協議，又無法給與訪問IP地址身份，導致堡壘機的技術不斷演變至今，另一個原因是由于賬號共用，分散，無法集中管理所引發的。

  IAM：定義和管理個人網絡用戶的角色和訪問權限，以及規定用戶獲得授權（或被拒絕授權）的條件。IAM系統的核心目標是為每個用戶賦予一個身份，從用戶登錄系統到權限授予到登出系統的整個過程中，根據需要在恰當的條件下及時賦予正確的用戶對企業內適當資產的訪問權。該數字身份一經建立，在用戶的整個“訪問生命周期”存續期間都應受到良好的維護、調整與監視。

• 從功能實現上：

  PAM與堡壘機似乎并無太大差別，兩者都在宣傳上都強調可以緩解數據泄露風險，但兩者的側重點是有所不同的。

  • 側重點方面：PAM旨在讓攻擊者更難訪問特權賬戶，并讓安全團隊監測到異常訪問的行為，要求對所有管理員或用戶（包括第三方）實施強制多因素認證，需要做賬號（自然人、應用、系統賬號等）的細粒度分析。而堡壘機在國內大多數，強調訪問控制與運維審計，旨在合規，防止誤操作。

  • 功能方面:PAM的密碼管理設備（HSM），應用程序密碼托管（AAPM）特權賬戶發現和管理，以及風險預測功能應該優于國內堡壘機，但國內堡壘機競爭激烈，為了迎合不同的客戶環境與需求，在功能（包括一些小功能）數量上應該多于PAM。

    IAM與PAM，前者重管理，后者重防御（運維、憑據管理等）。IAM與PAM雖然有些功能重復，比如MFA等，但兩者結合起來，IAM充當管家角色，PAM充當特權治理角色，所有的管理流程由IAM定義。