包過濾防火墻優缺點如下：

• 利用路由器本身的包過濾功能，以ACL方式實現；

• 處理速度較快；

• 對于安全要求低的網絡采用路由器自帶防火墻功能時；

• 對于用戶來說是透明的。

• 無法阻止ip欺騙；

• 路由器的過濾規則的設置和配置十分復雜；

• 不支持應用層協議，無法發現基于應用層的攻擊；

• 實施的是靜態的、固定的控制；

• 不支持用戶認證。

內網服務器如果對外提供服務則要放在 DMZ 區，如果對內提供服務則需要放在 Trust 區，比如 web 和郵件服務器放 DMZ 區，財務，企業文件服務器、辦公服務器就放 trust 區。

DMZ 區：DMZ，是英文 “demilitarized zone” 的縮寫，中文名稱為 “隔離區”，也稱 “非軍事化區”。它是為了解決安裝防火墻后外部網絡的訪問用戶不能訪問內部網絡服務器的問題，而設立的一個非安全系統與安全系統之間的緩沖區。該緩沖區位于企業內部網絡和外部網絡之間的小網絡區域內。在這個小網絡區域內可以放置一些必須公開的服務器設施，如企業 Web 服務器、FTP 服務器和論壇等。另一方面，通過這樣一個 DMZ 區域，更加有效地保護了內部網絡。因為這種網絡部署，比起一般的防火墻方案，對來自外網的攻擊者來說又多了一道關卡。

Trust 區：本身代表的就是內網，一般指的就是安全可信任的區域，一般防火墻等內網安全設備默認情況下是阻止從 untrust 到 trust 的訪問，當有服務器在 trust 區域的時候，一旦出現需要對外提供服務的時候就比較麻煩。所以對內的服務的服務器一般存放在 trust 區。

攻防演練防護方它是不限制防御方式、監控全網攻擊、及時發現并處理問題、避免內部系統被攻陷。防守方的評分規則：發現類、消除類、應急處置類、追蹤溯源類、演習總結類攻擊。防護方普遍存在的困難點：

• 防御與監測覆蓋不全：防護以邊界為主，內部防護較為薄弱，未覆蓋完整業務場景。

• 資產管理難度大：缺少體系化、全面化資產發現手段，特別是互利網資產的管控不足，攻擊面大、敏感信息泄露未關注，例如 github、微信公眾號、網盤、APP、小程序。

• 人員意識技能不足：保障過程要求多樣化安全專業人才，對分析及溯源人員提出更高要求，安全能力不足成為存在被社工風險。

• 自動化處置率低：無穩定可靠的保障威脅情報來源，對攻擊威脅情報處置滯后，依托人工分析效率低，事件檢出率低。

• 弱口令存在率高：除了內網的弱口令問題外，防守方對云平臺、大數據、物聯網等弱口令問題重視程度不夠。

SFTP和FTP非常相似，都支持批量傳輸（一次傳輸多個文件），文件夾/目錄導航，文件移動，文件夾/目錄創建，文件刪除等。但還是存在著差異，SFTP和FTP之間的區別：

• 鏈接方式不同

  FTP使用TCP端口21上的控制連接建立連接。而SFTP是在客戶端和服務器之間通過SSH協議(TCP端口22)建立的安全連接來傳輸文件。

• 安全性不同

  SFTP使用加密傳輸認證信息和傳輸的數據，所以使用SFTP相對于FTP是非常安全。

• 效率不同

  SFTP這種傳輸方式使用了加密解密技術，所以傳輸效率比普通的FTP要低得多。

• 使用的協議不同

  FTP使用TCP / IP協議。而，SFTP是SSH協議的一部分，它是一種遠程登錄信息。

• 安全通道

  FTP 不提供任何安全通道來在主機之間傳輸文件；而SFTP協議提供了一個安全通道，用于在網絡上的主機之間傳輸文件。

特殊的IP地址主要有：

• 網絡地址：每個網絡都有一個IP地址，其主機ID部分全為0。此類地址用于標識網絡，不能分配給主機，因此不能作為數據的源地址和目的地址。它主要用于路由，可以減小路由表的規模。A、B、C類網絡地址格式分別為：網絡ID.0.0.0、網絡ID.0.0、網絡ID.0。可見每個地址塊的第一個地址就是網絡地址，如202.102.68.0。

• 直接廣播地址：主機ID各位全部為1的IP地址用于廣播，稱為直接廣播地址（Direct Broadcast Address）。它只能作為目的地址使用，用于向指定網絡上的所有主機發送數據。A、B、C類網絡直接廣播地址格式分別為：網絡ID.255.255.255、網絡ID.255.255、網絡ID.255。路由器將IP直接廣播地址轉換為物理網絡廣播地址，所指向的目的網絡上所有節點都將接收和處理數據包。

• 受限廣播地址：32位全為1的IP地址255.255.255.255用于本網絡內的廣播，稱為受限廣播地址（Limited Broadcast Address）。它只能作為目的地址使用，用于本網絡內部廣播。路由器將隔離受限廣播，不將受限廣播數據包轉發到其他子網。

• 本網絡特定主機地址：網絡ID全為0的IP地址表示本網絡上的特定主機。它只能作為目的地址，用于某個主機向同一網絡上的其他主機發送數據包。A、B、C類網絡的本網絡特定主機地址格式分別為：0．主機ID、0.0．主機ID、0.0.0．主機ID。

• 本網絡本主機地址：32位全為0的IP地址0.0.0.0表示本網絡本主機，只能作為源地址。當某個主機在運行引導程序時不知道自己的IP地址，為了要發現自己的地址，就給引導服務器發送IP數據包，并使用這樣的地址0.0.0.0作為源地址，使用受限廣播地址255.255.255.255作為目的地址。

• 環回地址：A類地址網絡ID 127專門為環回接口預留。環回接口允許運行在同一臺主機上的客戶程序和服務器程序通過TCP/IP進行通信。根據慣例，大多數系統把IP地址127.0.0.1分配給這個接口，并命名為Localhost。它只能用目的地址。一個傳給環回接口的IP數據包不會發送到網絡上，而是在離開網絡層時將其回送給本機的有關進程，也就是說數據包不會離開當前主機。因此，環回地址一般用來做循環測試。

• 支持業務不同

一般的高防CDN主要是針對網站業務，主要是通過域名訪問的防御，所以限定開放端口是80、443，這兩個端口主要是HTTP和HTTPS的端口。所以那些使用別的端口的業務是沒辦法使用高防CDN的。而高防IP是支持全端口轉發的，可以自義端口轉發防護，比如某客戶的游戲業務端口是3388，那么可以設置轉發3388的端口，一樣是可以正常使用。而高防IP針對的是服務器的IP防護，而不是域名，所以支持的業務比較多，像APP、網站業務、游戲、軟件等都是可以的。

• 重點防御類別不同

高防IP主要防御的攻擊類型是DDOS攻擊，而高防CDN主要是防御CC攻擊。當然除了主要防御的攻擊類型外，也可以防御少量的其他類型的攻擊。

• 誤殺率區別

雖然說高防IP的防御能力強，但是就誤殺率來說，是遠要比防御CDN高上很多的，一旦開啟了嚴格模式以后，會將許多WIFI和公用IP鏈接都直接屏蔽了，相比之下，防御CDN的誤殺率就很低了，也更適合企業來使用。

測評項目大概可以分成三大類

1：物理安全

2：系統安全

3：漏洞檢測

網絡安全等級保護工作內容如下：

• 測評準備活動階段：首先，被測評單位在選定測評機構后，雙方需要先簽訂《測評服務合同》，合同中對項目范圍(系統數量)、項目內容(差距測評?驗收測評?協助整改?)、項目周期(什么時間進場?項目計劃做多長時間?)、項目實施方案(測評工作的步驟)、項目人員(項目實施團隊人員)、項目驗收標準、付款方式、違約條款等等內容逐一進行約定。

• 方案編制活動階段：方案編制活動的目的是整理測評準備活動中獲取的定級對象資料，為現場測評活動提供最基礎文檔和測評方案。方案編制活動包括測評對象確定、測評指標確定、測評內容確定、工具測試方法確定、測評指導書開發、測評方案編制六項主要任務。

• 現場測評活動：現場測評活動通過與測評委托單位進行溝通和協調，為現場測評的順利開展打下良好基礎，然后依據測評方案實施現場測評工作，將測評方案和測評工具等具體落實到現場測評活動中。現場測評工作應取得分析與報告編制活動所需的、足夠的證據和資料。

• 報告編制活動：測評人員在初步判定單項測評結果后，還需進行單元測評結果判定、整體測評、系統安全保障評估等方法，找出整個系統的安全保護現狀與相應等級的保護要求之間的差距，并分析這些差距導致被測系統面臨的風險，從而給出等級測評結論，形成測評報告文本。

信息安全評估機構不少于10人，信息安全風險評估是信息安全保障的基礎性工作和重要環節，貫穿于網絡和信息系統建設運行的全過程。服務提供者通過對信息系統提供風險評估服務，信息安全風險評估服務資質級別是衡量服務提供者服務能力的尺度，資質級別分為一級、二級、三級共三個級別，其中一級最高，三級最低。

風險評估的一般工作流程可以大概地分為如下九個步驟。

1. 對信息系統特征進行描述，也就是分析信息系統本身的特征以及確定信息系統在組織中的業務戰略。對信息系統本身的特征，包括軟件、硬件、系統接口、數據和信息、人員和系統的使命，都要有清楚地描述。這個步驟需要產生一系列的文檔，包括系統邊界、系統功能的描述、系統和數據的關鍵性描述、系統和數據的敏感性描述（數據和系統本身的重要程度，在整個組織里占據什么地位）。

2. 識別評估系統所面臨的威脅。分析內容包括系統被攻擊的歷史和來自信息咨詢機構和大眾信息的數據。比如，網上銀行系統，根據一些信息咨詢機構和媒體、網絡銀行范圍和手段，以這些信息作為基礎，對系統所面臨的威脅進行標志和分類。這個步驟需要輸出一系列的威脅說明，系統可能遭受什么樣的威脅，包括天災人禍、管理上的威脅和人員上的威脅等，都需要按照規范做出威脅程度和性質的說明。

3. 對內在的脆弱性進行識別。脆弱性識別包括：以前風險評估的報告和新的風險評估需要參考以前的風險評估報告，因為，以前的脆弱性可能是系統固有的；同時來源于安全檢查過程中，提出的一些整改意見和安全漏洞；以及根據組織本身已有的安全要求和安全期限（Deadline），在系統上線和運行的過程中進行安全測試，如漏洞掃描等。這個步驟還需要輸出可能的脆弱性列表，對系統本身的可能脆弱性進行歸一化整理。

4. 分析當前和規劃中的安全防護措施。這個步驟需要輸出當前和規劃中的安全防護措施的分析報告，作為下一步安全防護的依據。

5. 主要目的是確定威脅利用脆弱性對資產發生破壞導致負面影響發生的可能性。這個可能性需要對每一項威脅利用每一個安全事件的可能事件，構建一個安全矩陣，在矩陣上的每一個交點確定可能性的級別。這個步驟需要輸出可能性級別的分析文檔，這個安全事件最有可能發生，或者是基本不可能發生。

6. 分析影響。這個步驟需要分析風險對整個組織的影響，評估資產的關鍵性、數據的關鍵性和數據的敏感性。這個步驟需要輸出影響級別的分析包括，作為影響級別的矩陣，根據影響和可能性的函數，以及安全防護的措施情況，來確定安全風險。最后形成風險分析結果，包括評價縫隙結果和給出風險等級，以及建議風險控制的措施。

7. 確定風險的級別，例如，高風險、低風險，還是其他級別的。

8. 根據所確定的風險的級別，建議和提出相應的安全防護措施。安全措施落實以后，需要進行殘余風險的分析，判斷殘余風險是否可以接受。

9. 對風險評估的整個過程進行結果記錄，這個步驟需要輸出一份完整的風險評估報告。

在實際落實風險評估時，以上各步驟必須通過一個體系化的工作流程，有效、有序地進行。

IoT中對于感知層的安全設計具有以下要求：

• 禁止通用密碼：設備使用唯一的默認密碼，而不是通用密碼，以使對手無法廣泛控制數百個設備。

• 保護每個接口：在使用過程中，無論其目的如何，都應對所有接口進行加密和認證。

• 使用經過驗證的加密方法：建議使用行業認可的開放式加密標準和算法。

• 默認情況下的安全性：產品出廠發運時應啟用最高級別的安全性。

• 已簽名軟件的更新：應該對無線軟件更新進行簽名，以便接收設備可以在應用更新之前對其進行身份驗證。

• 自動軟件更新：設備應自動進行經過身份驗證的軟件更新，以維護最新的安全補丁程序，而不是將更新任務留給消費者。

• 漏洞報告方案：產品制造商應為用戶提供一種報告潛在安全問題的方法，以加快更新速度。

• 安全到期日：與保修計劃一樣，安全條款也應在某個時候到期。制造商可以提供擴展的支持方案，以幫助順延連續的安全支持和更新的成本。

數據全生命周期安全合規要求如下：

• 制度建立:建立健全全流程數據安全管理制度，落實數據安全保護責任，組織開展數據安全教育培訓，采取相應的技術措施和其他必要措施保障數據安全。

• 收集使用：任何組織、個人收集數據必須釆取合法、正當的方式，不得竊取或者以其他非法方式獲取數據。法律、行政法規對收集、使用數據的目的、范圍有規定的，應當在法律、行政法規規定的目的和范圍內收集、使用數據。

• 數據交易：數據服務商或交易機構，要提供并說明數據來源證據，要審核相關人員身份并留存記錄。

• 配合調查：要求依法配合公安、安全等部門進行犯罪調查。境外執法機構要調取存儲在中國的數據，須先審核。

• 存儲加工：委托他人存儲、加工或提供政務數據，要先審批，并做好監督。

• 審批與監督：委托他人建設、維護系統，或涉及存儲、加工數據，應當經過嚴格的批準程序，并監督受托方、數據接收方履行相應的數據安全保護義務。

• 風險監測：對數據處理活動中出現的缺陷、漏洞等風險，要釆取補救措施；發生數據安全事件要按規定上報。

• 風險評估：對數據處理活動定期開展風險評估并上報風評報告。

物聯網安全對日常生活的影響如下：

• 銀行卡（信用卡）信息和密碼保護。只有具備十分安全的保護手段，風險十分小之后，人們才會廣泛地進行大額度的電子支付（網上銀行、移動支付），不然人們永遠只會在網上買些便宜物品。

• 移動用戶既需要知道（或被合法知道）其位置信息，又不愿意讓非法用戶獲取該信息。如果這些信息被惡意用戶獲取，就可能從中挖掘出人們的生活習慣，帶來隱私泄露等問題。

• 智能家居、智能汽車等將給人們帶來方便。但如果相關信息被別人惡意獲取和使用之后，將給個人的生活帶來嚴重不便，輕則損壞設備，重則帶來生命危險。

• 用戶既需要證明自己合法使用某種業務，又不想讓他人知道自己在使用某種業務，如在線游戲。

• 患者急救時需要及時獲得該患者的電子病歷信息，但又要保護該病歷信息不被他人非法獲取，包括病歷數據管理員；事實上，電子病歷數據庫的管理員可能有機會獲得電子病歷的內容，但隱私保護采用某種管理和技術手段使病歷內容與患者身份信息在電子病歷數據庫中無關聯。

• 許多業務需要匿名，如網絡投票。很多情況下，用戶信息是認證過程的必需信息，如何對這些信息提供隱私保護，是一個具有挑戰性的問題，但又是必須要解決的問題。例如，醫療病歷的管理系統既需要患者的相關信息來獲取正確的病歷數據，又要避免該病歷數據與患者的身份信息相關聯。在應用過程中，主治醫生知道患者的病歷數據，這種情況下對隱私信息的保護具有一定困難性，但可以通過密碼技術手段防止醫生泄露患者病歷信息。

• 移動RFID系統利用植入RFID讀/寫芯片的智能移動終端獲取標簽中的信息，并通過移動網絡訪問后臺數據庫獲取相關信息；在移動RFID網絡中存在的安全問題主要是假冒與非授權服務。首先，在移動RFID網絡中，讀/寫器與后臺數據之間不存在任何固定物理連接，通過射頻信道傳輸其身份信息，攻擊者截獲一個身份信息時，就可以用這個身份信息來假冒該合法讀/寫器的身份；其次，通過復制他人讀/寫器的信息，可以多次頂替他人消費。另外，由于復制他人信息的代價不高，且沒有任何其他條件限制，因此成為攻擊者常用的手段。

部署入侵檢測系統有以下作用：

• 識別黑客常用入侵與攻擊手段：入侵檢測技術通過分析各種攻擊的特征，可以全面快速地識別探測攻擊、拒絕服務攻擊、緩沖區溢出攻擊、電子郵件攻擊、瀏覽器攻擊等各種常用攻擊手段，并做相應的防范。一般來說，黑客在進行入侵的第一步探測、收集網絡及系統信息時，就會被 IDS 捕獲，向管理員發出警告。

• 監控網絡異常通信：IDS 系統會對網絡中不正常的通信連接做出反應，保證網絡通信的合法性；任何不符合網絡安全策略的網絡數據都會被 IDS 偵測到并警告。

• 鑒別對系統漏洞及后門的利用：IDS 系統一般帶有系統漏洞及后門的詳細信息，通過對網絡數據包連接的方式、連接端口以及連接中特定的內容等特征分析，可以有效地發現網絡通信中針對系統漏洞進行的非法行為。

• 完善網絡安全管理：IDS 通過對攻擊或入侵的檢測及反應，可以有效地發現和防止大部分的網絡犯罪行為，給網絡安全管理提供了一個集中、方便、有效的工具。使用 IDS 系統的監測、統計分析、報表功能，可以進一步完善網絡管理。

保障信息安全最基本、最核心的技術是信息加密技術。

所謂信息加密技術，是指利用數學或物理手段，對電子信息在傳輸過程中和存儲體內進行保護，以防止泄漏的技術。一般來說，保密通信、計算機密鑰、防復制軟盤等都屬于信息加密技術。通信過程中的加密主要是采用密碼，在數字通信中可利用計算機采用加密法，改變負載信息的數碼結構。

計算機信息保護則以軟件加密為主。目前世界上最流行的幾種加密體制和加密算法有rsa算法和ccep算法等。為防止破密，加密軟件還常采用硬件加密和加密軟盤。一些軟件商品常帶有一種小的硬卡，這就是硬件加密措施。在軟盤上用激光穿孔，使軟件的存儲區有不為人所知的局部破壞，就可以防止非法復制。這樣的加密軟盤可以為不掌握加密技術的人員使用，以保護軟件。由于計算機軟件的非法復制、解密及盜版問題日益嚴重，甚至引發國際爭端，因此信息加密技術和加密手段的研究，正在日新月異地發展。

堡壘機的常見運維方式如下：

• B/S 運維：通過瀏覽器運維，目前市面上的堡壘機都有 web 端的圖形交互界面，在瀏覽器中訪問堡壘機的地址，輸入賬號密碼則可以直接在瀏覽器實現運維操作。

• C/S 運維：通過客戶端軟件運維，比如 Xshell，CRT 等，這個一般是借助堡壘機內部的ssh安全外殼協議來進行遠程控制，這種控制方式可能會沒有圖形化界面，需要專業性比較強。

• H5 運維：直接在網頁上可以打開遠程桌面，進行運維。這種方式是通過瀏覽器進行遠程桌面控制堡壘機來進行操作，這種方式需要網絡環境比較好，同時要保證堡壘機支持遠程桌面控制，否則一旦網絡斷連則會出現配置失敗的情況。

• 通過協議運維：無需安裝本地運維工具，只要有瀏覽器就可以對常用協議進行運維操作，支持 ssh、telnet、rlogin、rdp、vnc 協議。

• 網關運維：采用SSH網關方式，實現代理直接登錄目標主機，適用于運維自動化場景。