日志審計是對網絡系統中的網絡設備運行狀況、網絡流量、用戶行為等進行日志記錄：

• 日志審計是信息安全管理的需要：因為日志審計是日常信息安全管理中最為重要的環節之一；能從紛繁復雜的日志中萃取出具有價值的部分是各類信息安全管理者、參與者、相關者最大的訴求，故選擇一款高可靠、高性能、具備強大功能的日志集中審計系統就成為必須；

• 日志審計是是安全技術保障體系建設要求的需要：一個完整的信息安全技術保障體系應由檢測、保護和響應三部分組成，而日志審計是檢測安全事件的不可或缺重要手段之一。目前，大部分信息系統的所依賴的IDS/IPS系統只能檢測部分來之網絡的入侵事件，對運維人員的違規操作、系統運行異常、設備故障等安全事件缺乏監控能力，而這些異常事件恰恰是對內部信息系統安全威脅的最大部分。日志審計系統通過分析各設備、系統、應用、數據庫產生的運行日志，能夠及時發現檢測系統檢測到的各類安全隱患，并及時給予告警，從而避免安全事件的發生；

• 日志審計是是各種規范符合性要求的需要：如《信息安全等級保護》（幾乎各級均要求提供審計功能）、《信息安全風險管理規范》、《基于互聯網電子政務信息安全指南》、《銀行業金融機構信息系統管理指引》等等。此外，國際上的相關標準、規范也均明確提出信息安全審計系統的重要性，如ISO27001等均要求企業對重要系統、設備的運日志進行保留，并且周期性地進行第三方審計。

域名解析系統存在以下自身缺陷：

• 單點故障：DNS采用層次化的樹形結構，由樹葉走向樹根就可以形成一個完全合格域名（Fully Qualified Domain Name， FQDN），DNS服務器作為該FQDN唯一對外的域名數據庫和對內部提供遞歸域名查詢的系統，其安全和穩定就存在單點故障的風險。

• 無認證機制：DNS沒有提供認證機制，查詢者在收到應答時無法確認應答信息的真假，黑客可以將一個虛假的IP地址作為應答信息返回給請求者，從而引發DNS欺騙。

• DNS本身漏洞：DNS是域名軟件，它在提供高效服務的同時也存在許多安全性漏洞。現已證明在DNS版本4和版本8上存在缺陷，攻擊者利用這些缺陷能成功地進行DNS欺騙攻擊。

• 緩存中毒：DNS使用超高速緩存，當一個名稱服務器收到有關域名和IP的映射信息時，它會將該信息存放在高速緩存中。這種映射表是動態更新的，但刷新有一個周期，假冒者如果在下次更新之前成功修改了這個映射表，就可以進行DNS欺騙。

• 信息泄露：DNS的默認設置允許任何人進行區傳送（區傳送一般用于主服務器和輔服務器之間的數據同步），而區傳送可能會造成信息泄露。

• 不安全的動態更新：隨著DHCP的出現，客戶計算機由DHCP服務器動態分配IP地址，使原來手工更新其A（Address）記錄和PTR（反向解析）記錄變得很難管理，為此提出了DNS的動態更新，即DNS客戶端在IP地址或名稱出現更改的任何時候都可利用DNS服務器來注冊和動態更新其資源記錄。但黑客可以利用IP欺騙偽裝成DNS服務器信任的主機對區數據進行添加、刪除和替換。

加強域名解析服務器安全的措施有以下這些：

• 采用DNS轉發器：DNS轉發器是為其余DNS服務器實現DNS查找的DNS服務器。采用DNS轉發器的關鍵目的是減輕DNS處置的壓力，把查詢要求從DNS服務器轉給轉發器，從DNS轉發器潛在地更大DNS高速緩存中獲益。

• 基于特征的DNS攻擊檢測：針對已知的攻擊模式，保護方案采用特征檢測，攔截和響應攻擊。確保DNS服務器在面對已知威脅時能夠在不被篡改的情況下保持運行。

• 威脅情報：面對不斷變化和更新的攻擊手段，威脅適應技術借助威脅情報進行防御。通過對新技術的研究和分析，以及客戶自身網絡環境的變化，威脅適應技術可以自動升級以應對新的攻擊。重要的是，威脅適應技術的安全升級不需要補丁或離線，大大保證了業務的連續性。

• 刷新DNS服務器緩存：使用該方法可以防止類似緩存投毒攻擊，防止緩存投毒攻擊只需要刷新DNS服務器緩存即可，將解析記錄的TTL值配置為相對較小的數值，縮短緩存存在時間，從而便可以避免持續被投毒攻擊影響。

• 解析鎖定：使用解析鎖定可以對抗域名劫持攻擊，以保證DNS服務器不被修改，甚至解析也無法隨意變更。選擇正規專業的DNS服務商，可以獲得性能較為強大的域名解析和域名監測服務，及時發現域名異常狀態并快速解決。

• 安裝SSL證書：SSL證書具備服務器身份認證功能，可以使DNS劫持導致的連接錯誤情況及時被發現和終止，同時HTTPS協議可以在數據傳輸中對數據進行加密傳輸，保護數據不被竊取和修改。

憑證填充攻擊和蠻力攻擊最大的區別就是可以利用收集到被攻擊者相關的泄露數據，有針對性的指定攻擊字典，可以在攻擊字典上和測試數量上大大精簡。而蠻力攻擊是在無任何線索下按照常規密碼設置建議隨機套用字符進行測試。從統計學上講，憑證填充攻擊和蠻力攻擊的成功率都非常低，但是這種類型的攻擊操作比較簡單，即使只有一小部分破解帳戶帶來可盈利的數據也值得發動這種攻擊進，并且反復進行這一過程。

企業防止憑證填充攻擊的措施有：

• 公司可以建議其用戶使用獨特的密碼，但通常不能有效地強制執行此操作。某些應用程序對提交的密碼在已知的受損密碼數據庫里進行比對，作為防護憑證填充的方法，但這并不是萬無一失的–用戶可能會在尚未受損的服務中重復使用密碼。

• 增加登錄安全功能有助于進行憑證填充防護。啟用雙因素身份驗證等功能，并在登錄時要求用戶填寫 CAPTCHA（驗證碼），這兩種機制也有助于阻止惡意機器人。雖然這兩項機制會給用戶帶來諸多不便，但多數人承認，這能最大限度地減少安全威脅，即使不便也值得。

• 采用機器人管理服務，防范憑證填充的最強保護機制是機器人管理服務。機器人管理機制采用速率限制和IP信譽數據庫相結合的方式，在不影響合法登錄的情況下，阻止惡意機器人嘗試登錄。

• 對文檔進行加密，能對計算機中常用的文件類型進行加密，從而使該類型文件下的文件在打開后自動加密，并且不影響員工目前局域網電腦的正常使用，主要是為了限制員工私自外發行為，未經審批的文件在終端電腦打開后都是亂碼。

• 對文檔操作審計，對于工作人員在電腦上使用的文件進行操作審計，如打開后添加或刪除文件都可進行操作記錄，這樣可以有效防止信息泄露，也可以降低憑證攻擊的可能性。

• 從用戶角度而言，防御憑證填充的方法十分簡單。用戶應一律為各項不同的服務設置唯一密碼（要實現這一目標，一個簡單的方法就是使用密碼管理器）。如果用戶一律設置唯一密碼，憑證填充則不會危及其帳戶。另有一種安全措施是，鼓勵用戶盡可能啟用雙因素身份驗證。

非對稱密碼算法指加密和解密使用不同密鑰的加密算法，也稱為公私鑰加密。假設兩個用戶要加密交換數據，雙方交換公鑰，使用時一方用對方的公鑰加密，另一方即可用自己的私鑰解密。常見的非對稱加密算法：RSA、ECC（移動設備用）、Diffie-Hellman、El Gamal、DSA（數字簽名用）。

工作原理如下：

1. A要向B發送信息，A和B都要產生一對用于加密和解密的公鑰和私鑰。

2. A的私鑰保密，A的公鑰告訴B；B的私鑰保密，B的公鑰告訴A。

3. A要給B發送信息時，A用B的公鑰加密信息，因為A知道B的公鑰。

4. A將這個消息發給B（已經用B的公鑰加密消息）。

5. B收到這個消息后，B用自己的私鑰解密A的消息。其他所有收到這個報文的人都無法解密，因為只有B才有B的私鑰。

堡壘機主動退出直接點擊界面的退出按鈕即可，如要設置超時退出步驟如下：

1. 登錄堡壘機控制臺，并使用管理員賬號登錄堡壘機。

2. 在右上角單擊【系統管理】，進入系統管理頁面。

3. 在系統管理頁面，選擇【安全設置】>【超時設置】，進入超時設置頁面。

4. 在超時設置頁面，輸入時間后，單擊【保存】完成配置，到達所設置的時間后，系統將自動退出登錄。

PS：超時時間配置需要重啟 Web 服務后才能生效，并且時間范圍為10分鐘 - 1440分鐘。

TCSEC是美國的計算機安全評估機構和安全標準制定機構，其評估依據包含以下幾項:

• 安全策略：必須有一個明確的、確定的由系統實施的安全策略。

• 識別：必須唯一而可靠地識別每個主題，以便檢查主體/客體的訪問請求。

• 標記：給每個客體個標號，并指明該客體的安全級別。

• 可檢查性：系統對影響安全的活動必須維持完全而安全的記錄。

• 保障措施：系統含實施安全性的機制并能評價其有效性。

• 連續的保護：實現安全性的機制必須受到保護以防止未經批準的改變。

工業控制平臺脆弱性體現在以下方面：

• 管理網絡與控制網絡之間存在弱分離：ICS用于現場控制時幾乎不與管理網絡交互，隨著信息化和智能化發展以及工業互聯的需要，控制網絡與管理網絡的通道被建立，但是由于缺少有效的防護手段，入侵者也可以很容易地進入控制網絡。

• 活動組件之間缺乏認證：由于傳統的現場總線網絡總是處于封閉的環境中，所以沒有必要對網絡上連接的不同元素集成身份驗證機制。例如，操作員站、工程師站、服務器、執行控制器、工控數據交換服務器。缺乏身份驗證意味著體系架構的漏洞，該漏洞很容易被利用，以進行任何形式的損害。

• 系統缺陷：系統缺陷、錯誤配置或對設備平臺（包括硬件、操作系統和工業控制系統應用程序）的錯誤操作引起。這些脆弱性可以通過多種信息安全措施得以減少，如操作系統和應用程序的修補、物理層訪問控制以及信息安全軟件（如白名單軟件）的使用。

• 工控操作系統在沒有發現明顯安全問題之前，仍正常使用：因為工業控制系統軟件的復雜性和可能給其運行的操作系統環境帶來的修改，它的任何變化都必須經過全面的回歸測試，但是由于此類回歸測試和后續大規模分布式軟件升級過程所耽誤的時間，將產生一個很長的、引發脆弱性的窗口期。

• 沒有對操作系統的信息安全進行及時的升級打補丁操作：長期未升級打補丁的操作系統可能隱藏新的、未被發現且極易造成破壞的脆弱性，因此需對工業控制系統信息安全升級打補丁操作及維護過程制定規范。

加強工業網絡方法有以下這些：

• 工業主機白名單控制：工業主機由于長期不間斷運行，不能及時打補丁，并且受到聯網條件的限制，無法實時更新病毒庫，因此傳統殺毒機制不適用于工業主機。比較有效的方式是采用白名單控制技術，對工業軟件相關的進程文件進行掃描識別，為每個可信文件生成唯一的特征碼，特征碼的集合構成特征庫，即白名單。只有白名單內的軟件才可以運行，其他進程都被阻止，以防止病毒、木馬、違規軟件的攻擊。

• 工控協議識別與控制：為了保障數據傳輸的可靠性與實時性，工業生產網已發展了多套成熟的通信協議，主流的有幾十種，大致分為工業總線協議和工業以太網協議兩大類，如Modbus、S7、OPC、Profinet、IEC104等。工控協議的識別能力是安全設備工作的基礎，也是評價產品能力的重要指標。

• 工控漏洞利用識別與防護：工控系統漏洞是工控網絡安全問題的主要來源。由于工控設備很少升級或者不升級，因此普遍存在可被攻擊的漏洞，而由于技術的專業性和封閉性，這些漏洞很容易被作為0day利用。因此工控安全產品對工控漏洞利用行為的識別能力，以及相應的防護能力，是工控安全防護能力建設的核心。

• 工控網絡流量采集與分析：獲取網絡流量是發現網絡攻擊的前提，流量采集與分析廣泛應用于網絡安全方案，是一項比較成熟的技術。對于工控網絡，除了基本的流量識別與統計分析外，還需要理解生產過程的操作功能碼，根據業務邏輯判斷是否發生異常。此外，根據設備間通信的規律建立流量基線模型，對多源數據進行關聯分析，能夠有效地識別異常行為和網絡攻擊。

• 工業網絡安全態勢感知：態勢感知是安全防御的重要手段，對于工控網絡，通過安全態勢感知平臺，可以直觀地了解網絡中的資產分布、漏洞分布、網絡攻擊事件，對網絡的整體風險水平進行量化評估。態勢感知平臺需要多種核心能力支持，包括完善的數據獲取能力、大數據分析與建模能力、網絡攻擊溯源分析能力、安全事件閉環處理能力等，是工控網絡安全防護的核心產品。

以windows10系統為例，臺式電腦設置密碼步驟如下：

1. 進入開始菜單

   點擊windows桌面左下角的開始圖標選擇設置圖標；
   

2. 選擇賬戶設置

   在windows設置中選擇賬戶模塊；
   

3. 登錄選項設置

   在賬戶信息設置中選擇登錄選項設置；
   

4. 設置密碼

   在登錄選項界面中選擇密碼選項進入密碼設置界面；
   

5. 輸入當前密碼

   在更改密碼界面中輸入當前密碼；
   

6. 更改密碼

   在更改密碼界面中輸入新密碼和確認密碼后在輸入一個密碼提示即完整密碼的更改。
   

MAC系統設置開機密碼方式如下：

1. 進入系統偏好設置

   選擇Mac桌面上左上角的蘋果圖標在下拉選項中選擇系統偏好設置并進入；
   

2. 用戶與群組設置

   進入系統偏好設置后找的用戶與群組設置進入即可；
   

3. 更改密碼選項

   在彈出的用戶與群組對話框中點擊用戶頭像的右側的更改密碼選項，來進行修改密碼；
   

4. 輸入新密碼

   在彈出更改密碼對話框中輸入新密碼和重復密碼，如果有舊密碼要先輸入，輸入完成后即可完成開機密碼的設置；
   

保護網絡區域邊界安全的方式有以下這些：

• 在區域邊界設置身份認證和訪問控制措施，例如部署防火墻對來訪者進行身份認證。

• 在區域邊界部署人侵檢測系統以發現針對安全區域內的攻擊行為。

• 在區域邊界部署防病毒網關以發現并過濾數據中的惡意代碼。

• 使用VPN設備以確保安全的接人，部署抗拒絕服務攻擊設備以應對拒絕服務攻擊。

• 流量管理、行為管理等其他措施，合理規劃以確保骨干網可用性。

• 使用安全的技術架構，例如在使用無線網絡時考慮安全的技術架構。

• 使用冗余設備提高可用性，使用虛擬專網 (VPN)保護通信。

• 安裝并使用安全的操作系統和應用軟件。

• 在服務器上部署主機入侵檢測系統、防病毒軟件及其他安全防護軟件。

• 定期對系統進行漏洞掃描或者補丁加固，以避免系統脆弱性。

• 定期對系統進行安全配置檢查，確保最優配置，部署或配置對文件的完整性保護，定期對系統和數據進行備份等。

系統漏洞端口掃描常用方式有以下這些：

• TCP connect掃描：是最基本的TCP掃描方式。connect()是一種系統調用，由操作系統提供，用來打開一個連接。如果目標端口有程序監聽，connect()就會成功返回，否則這個端口是不可達的。優點就是編程簡單，是需要一個API connect()，比較可靠，因為TCP是可靠協議，當丟包的時候，會重傳SYN幀。缺點是因為TCP的可靠性，所以當端口不存在的時候，源主機會不斷嘗試發SYN幀企圖得到ack的應答，多次嘗試后才會放棄，因此造成了掃描的時間較長。并且，connect的掃描方式可能較容易被目標主機發現。

• TCP SYN掃描：原先是黑客不建立完全連接，用來判斷通信端口狀態的一種手段，現在被用于端口掃描。SYN掃描也稱半開放掃描。在SYN掃描中，惡意客戶企圖跟服務器在每個可能的端口建立TCP/IP連接。這通過向服務器每個端口發送一個SYN數據包，裝作發起一個三方握手來實現。如果服務器從特定端口返回SYN/ACK（同步應答）數據包，則意味著端口是開放的。然后，惡意客戶程序發送一個RST數據包。結果，服務器以為存在一個通信錯誤，以為客戶端決定不建立連接。開放的端口因而保持開放，易于受到攻擊。如果服務器從特定端口返回一個RST數據包，這表示端口是關閉的，不能攻擊。優點就是速度快如果不被防火墻過濾的話，基本都能收到應答包，缺點就是掃描行為容易被發現，是在ip層的，因此不可靠，可能會丟包。

• TCP FIN掃描：也被稱為秘密掃描，在TCP報文結構中，FIN段負責表示發送端已經沒有數據要傳輸了，希望釋放連接。優點就是隱蔽性好、速度快，缺點就是只能用于Linux系統，windows系統下無效，還有就是不可靠，當收不到應答包時，不確定是端口在監聽，還是丟包了。

• UDP recvfrom掃描：給一個端口發送UDP報文，如果端口是開放的，則沒有響應，如果端口是關閉的，對方會回復一個ICMP端口不可達報文。這個優點就是linux和windows都能使用，缺點也很明顯是不可靠的，因為返回的是錯誤信息，所以速度相對于TCP的FIN,SYN掃描要慢一些，如果發送的UDP包太快了，回應的ICMP包會出現大量丟失的現象。

云存儲系統的關鍵技術有以下這些：

• 安全、高效的密鑰生成管理分發機制：數據加密存儲是目前云存儲中解決機密性問題的主流方法。數據加密時必須用到密鑰，在不同系統中，根據密鑰的生成粒度不同，需要管理的密鑰數量級也不一樣。若加密粒度太大，雖然用戶可以很方便地管理，卻不利于密鑰的更新和分發；若加密粒度太小，雖然用戶可以進行細粒度的訪問權限控制，但密鑰管理的開銷也會變得非常大。現有的安全云存儲系統大都采用了粒度偏小或適中的加密方式，系統在這種方式下將會產生大量的密鑰，如何安全、高效地生成密鑰并進行管理與分發是主要的研究方向。

• 基于屬性的加密方式：基于屬性的加密方式（Attribute-based Encryption）是公私鑰加密體系中一種特殊的加密方式。以屬性作為公鑰對用戶數據進行加密，用戶的私鑰也和屬性相關，只有當用戶私鑰具備解密數據的基本屬性時，用戶才能夠解密出數據明文。

• 基于密文的搜索方式：在安全云存儲系統中，為了保證用戶數據的機密性，所有數據都以密文的形式存放在云存儲中。由于加密方式和密鑰的不同，相同的數據明文加密后生成的數據密文不一樣，因此，如果用戶需要數據搜索機制，將無法使用傳統的搜索方式進行數據搜索。

• 基于密文的重復數據刪除技術：為了節省云存儲系統空間，系統有時會采用一些重復數據刪除技術來刪除系統中的大量重復數據。但是在安全云存儲系統中，與數據搜索問題一樣，相同內容的明文會被加密成不同的密文，因此也無法根據數據內容對其進行重復數據刪除操作。比密文搜索更困難的是，即使將系統設計成服務器可以識別重復數據，但由于加密密鑰的不同，服務器依然不能刪除任意一個版本的數據密文，否則有可能出現合法用戶無法解密數據的情況。

• 基于密文的數據持有性證明：用戶數據經加密后存放至云存儲服務器，但其中許多數據用戶可能會極少訪問，例如歸檔存儲等。這使得即使云存儲丟失了這部分用戶數據，用戶也不易發覺，因此用戶有必要每隔一段時間就對自己的數據進行持有性證明檢測。目前的數據持有性證明方案主要有可證明數據持有和數據證明與恢復兩種。

• 數據的可信刪除：目前可信刪除的研究尚在起步階段，需要第三方機構介入，通過刪除密鑰的方式保證數據的可信刪除。因此在實際的安全云存儲系統中，如何引入第三方機構讓用戶相信數據真的已經被可信刪除，或是采用新的架構來保證數據的可信刪除都是未來研究的領域。

iptables傳輸數據包的過程分三步：

• 當一個數據包進入網卡時，它首先進入PREROUTING鏈，內核根據數據包目的IP判斷是否需要轉送出去。

• 如果數據包就是進入本機的，它就會沿著圖向下移動，到達INPUT鏈。數據包到了INPUT鏈后，任何進程都會收到它。本機上運行的程序可以發送數據包，這些數據包會經過OUTPUT鏈，然后到達POSTROUTING鏈輸出。

• 如果數據包是要轉發出去的，且內核允許轉發，數據包就會向右移動，經過FORWARD鏈，然后到達POSTROUTING鏈輸出。

Web 應用服務安全技術有以下這些：

• 身份認證技術：身份認證作為電子商務、網絡銀行應用中最重要的安全技術，目前主要有三種形式，簡單身份認證(帳號/口令)、強度身份認證(公鑰/私銷)、基于生物特征的身份認證。

• 訪問控制技術：指通過某種途徑，準許或者限制訪問能力和范圍的一種方法。通過訪問控制，可以限制對關鍵資源和敏感數據的訪問，防止非法用戶的入侵和合法用戶的誤操作導致的破壞。

• 數據保護技術：主要采用的是數據加密技術。

• 安全代碼技術：指的是在應用服務代碼編寫過程中引入安全編程的思想，使得編寫的代碼免受隱藏字段攻擊、溢出攻擊、參數篡改攻擊的技術。

蜜罐系統組成結構如下：

• 誘餌接口：是攻擊者侵入蜜罐系統的必要通信入口，包括SSH、HTTP、Telnet、USB、藍牙等常見物聯網通信接口。

• 執行環境：是物聯網正常服務或惡意代碼執行的系統依賴環境，包括應用環境、專用操作系統環境和底層硬件環境等。

• 物理業務模型：是表征物理規律及業務流程的約束條件或模型，用于約束物聯網設備的物理信息感知、執行器的物理操作和狀態變化等。物理業務模型是實現高真實度誘餌環境的必要條件，如以水處理業務為參考對象的蜜罐系統需要遵循箱體水位升降的物理規律和業務約束等。

• 數據捕獲：是針對各類安全威脅的行為數據采集組件，常見的數據類型有原始數據包、系統行為記錄、二進制文件等。

• 安全控制：是保障蜜罐中攻擊行為維持在可控范圍內的防護組件，常見的方式有蜜罐外聯網絡隔離、黑白名單等。

網絡病毒常見的破壞性表現在以下方面：

• 劫持IE瀏覽器：首頁被更改，一些默認項目被修改（例如默認搜索）。

• 修改Host文件：導致用戶不能訪問某些網站，或者被引導到“釣魚網站”上。

• 使殺毒軟件和安全工具無法使用：采用映像劫持技術，使多種殺毒軟件和安全工具無法使用。

• 添加驅動保護：使用戶無法刪除某些軟件。

• 修改系統啟動項目：使某些惡意軟件可以隨著系統啟動，常被流氓軟件和病毒采用。

• 在用戶計算機上開置后門：黑客可以通過此后門遠程控制中毒機器，組成僵尸網絡，通過對外發動攻擊、發送垃圾郵件、點擊網絡廣告等牟利。

• 竊取銀行卡等各種信息：記錄用戶的鍵盤、鼠標操作，從而可以竊取銀行卡、網游密碼等各種信息。

• 遠程窺探隱私：記錄用戶的攝像頭操作，可以從遠程窺探隱私。

• 消耗系統資源：使用戶的機器運行變慢，大量消耗系統資源。