開發平臺虛擬化技術具有以下特性：

• 通用接口：支持各種通用的開發工具和由其開發的軟件，包括C、C++、Java、C#、Delphi、Basic等。

• 內容審核：各種開發軟件（服務）在接入平臺前都將被嚴格審核，包括上傳人的身份認證，以保證軟件及服務非盜版、無病毒及合法。

• 測試環境：一項服務在正式推出之前必須在一定的測試環境中經過完整的測試才行。

• 服務計費：完整合理的計費系統可以保證服務提供人獲得準確的收入，而虛擬平臺也可以得到一定比例的管理費。

• 排名打分：有一整套完整合理的打分機制對各種服務進行排名打分。排名需要給用戶客觀的指導性意見，嚴禁有誤導用戶的行為。

• 升級更新：允許服務提供者不斷完善自己的服務，平臺要提供完善的升級更新機制。

• 管理監控：整個平臺需要有一個完善的管理監控體系以防出現非法行為。

保護web服務器的安全措施如下：

從基本做起

這是最保險的方式。將服務器上含有機密數據的區域都轉換成NTFS格式；防毒程序也必須按時更新，建議同時在服務器和桌面計算機上安裝防毒軟件，這些軟件可設定成每天自動下載最新的病毒定義文件。郵件服務器上也安裝上防毒軟件。

另一個保護網絡的好方法是限定使用者登錄網絡的權限。存取網絡上的任何數據都必須通過密碼登錄。在設定密碼時，混用大小寫字母、數字和特殊字符。還要設定定期更新密碼，密碼長度不得少于8個字符。

保護備份

最好利用密碼保護好磁盤，若備份程序支持加密功能，還可以將數據進行加密。

使用RAS的回撥功能

如果遠端用戶經常是從家里或是固定的地方上網,可以使用回撥功能。

另一個辦法是限定遠端用戶只能存取單一服務器。最后就是在RAS服務器上使用“另類”網絡協議。

執行最新修補程序

在微軟公司內部有一組工作人員專門檢查并修補安全漏洞，這些修補程序(補丁)有時會被收集成服務包(service pack)發布。

頒布嚴格的安全政策

制定一個強有力的安全策略，確保每一個人都了解,并強制執行。

檢查防火墻

仔細檢查防火墻的設置。不要公布非必要的IP地址。要查看所有的通信端口，確定不常用的已經全部關閉。

網絡防毒墻的主要作用如下：

• 網關處攔截病毒：在網關處對病毒進行初次攔截，將絕大數病毒徹底剿滅在企業網絡之外，幫助企業將病毒威脅降至最低。

• 自動過濾病毒郵件：防毒墻可幫助用戶直接攔截帶毒郵件，不但徹底解決病毒入侵問題，而且可杜絕多單位之間的交叉感染問題。

• 避免大型網絡節點中毒全網感染：幫助用戶建立多層次分級防護體系，在總部與下屬單位同時部署防毒墻，可使總部的網絡不受病毒干擾，下屬單位與總部之間也不會造成病毒的交叉感染。

• 保護重點服務器：防毒墻串接在網絡出口處及接在重點服務器前，可實現一機多用。在保護企業在上網的同時，服務器也可免遭病毒威脅。

• 有效處置ARP病毒傳播：ARP病毒有兩種傳播方式，首先是通過互聯網方式，內部計算機會下載具有ARP欺騙性質的病毒體文件；其次是通過欺騙網關的形式將內部計算機請求的正常頁面中嵌入含有木馬的URL，當內部計算機訪問互聯網時，會自動打開含有木馬的頁面，木馬會通過Windows系統漏洞進入終端計算機。可以利用防毒墻日志系統定位感染源。

• 為訪客建立網絡隔離區：當訪客在企業內部進行互聯網訪問時，由于外來設備可能存在病毒風險，企業將面臨內網染毒問題，造成內部資源或者服務器企業遭到攻擊。這種情況下，可在隔離區出口處部署防毒墻，保護內部終端安全。

防火墻能做的工作如下：

• 網絡安全的屏障：一個防火墻（作為阻塞點、控制點）能極大地提高一個內部網絡的安全性，并通過過濾不安全的服務而降低風險。由于只有經過精心選擇的應用協議才能通過防火墻，所以網絡環境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的NFS協議進出受保護網絡，這樣外部的攻擊者就不可能利用這些脆弱的協議來攻擊內部網絡。防火墻同時可以保護網絡免受基于路由的攻擊，如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。防火墻應該可以拒絕所有以上類型攻擊的報文并通知防火墻管理員。

• 強化網絡安全策略：通過以防火墻為中心的安全方案配置，能將所有安全軟件（如口令、加密、身份認證、審計等）配置在防火墻上。與將網絡安全問題分散到各個主機上相比，防火墻的集中安全管理更經濟。例如在網絡訪問時，一次一密口令系統和其它的身份認證系統完全可以不必分散在各個主機上，而集中在防火墻一身上。

• 監控審計工作：如果所有的訪問都經過防火墻，那么，防火墻就能記錄下這些訪問并作出日志記錄，同時也能提供網絡使用情況的統計數據。當發生可疑動作時，防火墻能進行適當的報警，并提供網絡是否受到監測和攻擊的詳細信息。另外，收集一個網絡的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火墻是否能夠抵擋攻擊者的探測和攻擊，并且清楚防火墻的控制是否充足。而網絡使用統計對網絡需求分析和威脅分析等而言也是非常重要的。

• 防止內部信息的外泄：通過利用防火墻對內部網絡的劃分，可實現內部網重點網段的隔離，從而限制了局部重點或敏感網絡安全問題對全局網絡造成的影響。再者，隱私是內部網絡非常關心的問題，一個內部網絡中不引人注意的細節可能包含了有關安全的線索而引起外部攻擊者的興趣，甚至因此而暴漏了內部網絡的某些安全漏洞。使用防火墻就可以隱蔽那些透漏內部細節如Finger，DNS等服務。防火墻可以同樣阻塞有關內部網絡中的DNS信息，這樣一臺主機的域名和IP地址就不會被外界所了解。除了安全作用，防火墻還支持具有Internet服務性的企業內部網絡技術體系VPN（虛擬專用網）。

• 日志記錄與事件通知：進出網絡的數據都必須經過防火墻，防火墻通過日志對其進行記錄，能提供網絡使用的詳細統計信息。當發生可疑事件時，防火墻更能根據機制進行報警和通知，提供網絡是否受到威脅的信息。

ICMP差錯報告報文有以下幾種：

• 終點不可達：當路由器或主機不能交付數據報時就向源站發送終點不可達報文。

• 源站抑制：當路由器或主機由于擁塞而丟棄該數據報時，就向源站發送源站抑制報文，使源站知道應當將數據報的發送速率放慢。

• 時間超過：當路由器收到生存時間為零的數據報時，除丟棄數據報外，還要向源站發送時間超過報文。當目的站在預先規定的時間內不能收到一個數據報的全部數據報片時，就把已收到的數據片都丟棄，并向源站發送時間超過報文。

• 參數問題：當路由器或目的主機收到的數據報的首部中，有的字段的值不正確時，就丟棄該數據報，并向源站發送參數問題報文。

• 改變路由（重定向）：路由器把改變路由報文發送給主機，讓主機知道下次應將數據報發送給另外的路由器（可通過更好的路由）。

Android數據保護辦法如下：

• 不要在客戶端存放登錄密碼（即使加密之后），最好以token的形式；

• 數據傳輸一定要加密；

• 重要數據存放在內置存儲中，不要外置存儲。

• 對存放在xml和數據庫中的重要信息進行加密；

• 對于中小企業而言，沒有專門的安全人員去研究對抗方案，選擇市面上成熟的加固方案是一個不錯的選擇。

• 對于大型企業，內部早已有了自己的安全中心，自然也有自己的一系列對抗方案，包括在后端生成每個用戶的畫像來判斷用戶類型等等。

全息誘捕欺騙防御技術主要有以下優點：

• 高準確性：任何試圖識別、查驗、輸入、查看任何陷阱或利用誘餌的客體都將立即被識別。任何人觸摸這些陷阱或誘餌都是不允許的，因此，大大降低了其誤報性，同時也因為其低接觸性，使得安全事件的取證成為一個簡單而直接的過程。

• 高密度：傳統蜜罐的部署過于笨拙，需要cpu資源、內存資源、存儲資源，還需要安裝操作系統，再進行一系列相對復雜的配置，才算是完成一個蜜罐。這就導致了傳統的蜜罐不可能在網絡中大規模的部署。通過全息誘捕技術，可以自動實現大規模部署，并且可以覆蓋網絡中所有的VLAN。

• 高命中率：傳統蜜罐部署在網絡后，由于數量太少，攻擊者或惡意程序觸發蜜罐的幾率太低，而全息誘捕的高密度交錯式集群式部署，可以使命中率無限接近于100%。

• 高效能：全新誘捕中的虛擬陷阱不依靠傳統的虛擬化計算資源，而是通過內置的網卡芯片陣列基于網絡層創建，因此即便啟用了大量的陷阱主機，占用系統硬件本身的計算資源也不會超過1%。

• 積極防御：傳統的蜜罐本身是沒有攔截、阻斷這種處置功能的，大多都是只能起到一個告警的作用。而的全息誘捕技術則可以進行主動的攔截和防御。

OSI參考模型具有以下特點：

• 網絡中異構的每個結點均有相同的層次，相同層次具有相同的功能。

• 同一結點內相鄰層次之間通過接口通信。

• 相鄰層次間接口定義原語操作，由低層向高層提供服務。

• 不同結點的相同層次之間的通信由該層次的協議管理。

• 每層次完成對該層所定義的功能，修改本層次功能不影響其他層。

• 僅在最低層進行直接數據傳送。

• 定義的是抽象結構，并非具體實現的描述。

防火墻涉及多種技術其中關鍵技術主要有以下幾種：

• 深度包檢測：深度包檢測是一種用于對包的數據內容及包頭信息進行檢查分析的技術方法。傳統檢查只針對包的頭部信息，而 DPI 對包的數據內容進行檢查，深入應用層分析。 DPI 運用模式（特征）匹配、協議異常檢測等方法對包的數據內容進行分析。 DPI已經被應用到下一代防火墻、 Web 防火墻、數據庫防火墻、工控防火墻等中，屬于防火墻的核心技術之一。

• 操作系統：防火墻的運行依賴于操作系統，操作系統的安全性直接影響防火墻的自身安全。目前，防火墻的操作系統主要有 Linux Windows 、設備定制的操作系統等。操作系統的安全增強是防火墻的重要保障。

• 網絡協議分析：防火墻通過獲取網絡中的包，然后利用協議分析技術對包的信息進行提取，進而實施安全策略檢查及后續包的處理。

u 盤使用時的注意事項有:

• 不要觸摸U盤USB接口，以免接觸汗水氧化以致接觸不良，引起電腦識別不到U盤。

• 不使用U盤時，應該用蓋子把U盤蓋好，放在干燥陰涼的地方，避免陽光直射U盤。

• 在移動U盤的時候要注意小心輕放，防止跌落造成外殼松動。

• U盤使用完畢后應先刪除電腦右下方的硬件后再拔U盤，否則易造成文件丟失。

• U盤在電腦上使用完畢(一般不要超過10分鐘)就應將其拔出USB接口，一方面避免燒壞U盤主板，一方 面也能夠防止U盤接口老化。

• U盤只是數據傳輸中介，不建議用以長期存放數據，平時還應注意殺毒以及備份。

• 不要隨意對U盤進行格式化，以防止U盤中的防病毒腳本在格式化時被誤刪。

網絡廣播風暴產生原因如下：

• 誤將智能型集線器作為交換機引發廣播風暴：采購人員或者奸商將智能型集線器當作交換機使用，這樣，當網絡稍微繁忙時，由于集線器的天生缺陷，故引發了廣播風暴（廣播風暴不是由集線器引起的，而交換機也只是起到隔離廣播的作用）。

• 網線短路：壓制網線時沒有做好，或者網線表面有磨損導致短路，會引起交換機的端口阻塞，因為交換機大多都使用存儲轉發技術，它的工作原理是對某一段數據包進行分析判斷尋址，并進行轉發，在發出前均存儲在交換機的緩沖區內，當網線發生短路時，該交換機將接收到大量的不符合分裝原則的包，造成交換機處理器工作繁忙，數據包來不及轉發，從而導致緩沖區溢出產生丟包現象，導致廣播風暴。

• 接入層拓撲環：當網絡中存在環路，就會造成每一幀都在網絡中重復廣播，引起廣播風暴。要消除這種網絡循環連接帶來的網絡廣播風暴可以使用STP協議（生成樹協議），以網絡中一臺交換機為節點生成一棵轉發樹，這樣所有的數據都只在這棵樹所指示的路徑上傳輸，就不會產生廣播風暴——因為樹沒有環路。但因為STP算法開銷太大，交換機默認都沒啟用該協議。

• 傻瓜交換機：可網管的交換機由于具備生成樹協議功能，可自動切斷級聯交換機環回端口，避免網絡拓撲環的產生，但這個功能，傻瓜交換機并不具備。在同一傻瓜交換機上的不同端口，或傻瓜交換機之間有冗余的連接，就導致網絡拓撲環的發生，進而導致網絡廣播風暴，造成網絡通訊失敗。

• 網絡設備原因：我們經常會有這樣一個誤區，交換機是點對點轉發，不會產生廣播風暴。在我們購買網絡設備時，購買的交換機，通常是智能型的Hub，卻被奸商當做交換機來賣。這樣，在網絡稍微繁忙的時候，肯定會產生廣播風暴了。

• 網卡損壞：如果網絡機器的網卡損壞，也同樣會產生廣播風暴。損壞的網卡，不停向交換機發送大量的數據包，產生了大量無用的數據包，產生了廣播風暴。由于網卡物理損壞引起的廣播風暴，故障比較難排除，由于損壞的網卡一般還能上網，我們一般借用Sniffer局域網管理軟件，查看網絡數據流量，來判斷故障點的位置。

• 網絡環路：一條雙絞線，兩端插在同一個交換機的不同端口上，導致了網絡性能驟下降，打開網頁都非常困難。這種故障，就是典型的網絡環路。網絡環路的產生，一般是由于一條物理網絡線路的兩端，同時接在了一臺網絡設備中，交換機（不是HUB）一般都帶有環路檢測功能。

• 網絡病毒：一些比較流行的網絡病毒，Funlove、震蕩波、RPC等病毒，一旦有機器中毒后，會立即通過網絡進行傳播。網絡病毒的傳播，就會損耗大量的網絡帶寬，引起網絡堵塞，引起廣播風暴。

應對網絡廣播風暴的措施有以下這些：

• 使用MRGT等流量查看軟件可以查看出現短路的端口，如果交換機是可網管的，也可以通過逐個封閉端口來進行處理查找，進而找到有問題的網線。找到短路的網線后，更換一根網線。

• 在接入層啟用樹生成協議，或者在診斷故障時打開樹生成協議，以便協助確定故障點。在廣播風暴發生時，應首先了解發生故障前網絡的改動，建立完善的網絡文檔資料，包括網絡布線圖、IP地址和MAC地址對應表等，可以通過局域網工具軟件來掃描獲取這些信息。

• 檢查所使用的網絡設備是否是交換機，如果不是則更換正確的交換機，切記不要使用集線器。

• 用于級聯交換機的跳線應當做一些特殊標記，最好選擇使用不同顏色的跳線，與其他普通跳線相區別。

• 為每臺計算機安裝殺毒軟件，并配置補丁服務器（WSUS）來保證局域網內所有的計算機都能及時打上最新的補丁。

網絡備份架構的軟件組成包括以下四部分：

• 服務器端備份軟件：安裝在備份服務器中，負責對所有備份進行控制、監視并制定任務計劃。

• 客戶端備份軟件：安裝在需要備份的應用服務器中，負責與備份服務器建立通信后將備份數據送出。

• 數據庫代理軟件：安裝在需要備份的數據庫服務器中，以保證備份的一致性與完整性。

• 帶庫驅動模塊：安裝在備份服務器中，允許備份數據寫入備份設備中。

• 數據包過濾

數據包過濾器是防火墻中應用的一項重要功能，它對 IP 數據包的報頭進行檢查以確定數據包的源地址、目的地址和數據包利用的網絡傳輸服務。傳統的數據包過濾器是靜態的，僅依照數據包報頭的內容和規則組合來允許或拒絕數據包的通過。侵入檢測系統利用數據包過濾技術和通過將數據包與預先定義的特征進行匹配的方法來分析各種數據包，然后對可能的網絡黑客和入侵者予以警告。

• 應用網關

應用層網關（ALG）也叫應用層防火墻，是網絡防火墻從功能面上分類的一種。當內部計算機與外部主機連結時，將由代理服務器（Proxy Server）擔任內部計算機與外部主機的連結中繼者。

• 代理服務器

Internet上的代理服務是防火墻的一種形式，屬于應用級網關，內部網絡與外部網絡之間沒有直接的連接，外部計算機的網絡鏈路只能到達代理服務器，明顯地增加了網絡的安全性，另外，代理服務器相對于包過濾來講，能進行用戶級的認證，即可以限制某些用戶訪問某些Internet站點或使用某種Internet服務等，從而大大提高了網絡的安全性。

防火墻除了一些基本功能以外，還存在一些自身的局限性，具體有以下幾方面：

• 不能解決來自內部網絡的攻擊和安全問題。

• 不能防止策略配置不當或錯誤配置引起的安全威脅。

• 不能防止可接觸的人為或自然的破壞。

• 不能防止利用標準網絡協議中的缺陷進行的攻擊。

• 不能防止利用服務器系統漏洞所進行的攻擊。

• 不能防止受病毒感染的文件的傳輸。

• 不能防止數據驅動式的攻擊。

• 不能防止內部的泄密行為。

• 不能防止本身的安全漏洞的威脅。

• 不能防范不經過防火墻的攻擊。

漏洞掃描服務（Vulnerability Scan Service，簡稱VSS）是針對網站進行漏洞掃描的一種安全檢測服務，目前提供通用漏洞檢測、漏洞生命周期管理、自定義掃描多項服務。用戶新建任務后，即可人工觸發掃描任務，檢測出網站的漏洞并給出漏洞修復建議。

• 漏洞檢測：漏洞檢測可以分為對已知漏洞的檢測和對未知漏洞的檢測。已知漏洞的檢測主要是通過安全掃描技術，檢測系統是否存在已公布的安全漏洞；而未知漏洞檢測的目的在于發現軟件系統中可能存在但尚未發現的漏洞。現有的未知漏洞檢測技術有源代碼掃描、反匯編掃描、環境錯誤注入等。源代碼掃描和反匯編掃描都是一種靜態的漏洞檢測技術，不需要運行軟件程序就可分析程序中可能存在的漏洞；而環境錯誤注入是一種動態的漏洞檢測技術，利用可執行程序測試軟件存在的漏洞，是一種比較成熟的軟件漏洞檢測技術。

• 漏洞生命周期管理：漏洞生命周期對于漏洞的管理有著極其重要的意義。漏洞生命周期包括 5 個基本階段：1. 發現漏洞 2. 彌補漏洞 3. 利用漏洞的病毒大肆爆發 4. 病毒出現變種 5. 逐漸消失

• 自定義掃描：自己選擇需要掃描的文件或文件夾。