• 使用未經授權的個人設備辦公，缺乏安全防護

游戲PC、各種存在后門的盜版軟件等。疫情突發，很多員工在家中辦公無法做好完善的辦公設備準備工作，不少人使用的是缺乏專業安全防護及控制的個人設備開展工作。更有甚者，安全意識薄弱的員工，連設置開機密碼等最基礎的安全操作都沒有。

• 家人誤操作、寵物趴鍵盤造成數據丟失

關于在家辦公的寫照與吐槽在網絡上層出不窮，熊孩子動電腦、寵物趴鍵盤、“辦公桌”上放著牛奶等營養物資等。以上任意誤操作，都會帶來工作中斷、數據丟失等風險。

• 使用家庭Wi-Fi風險加劇

為了便于記憶，很多家庭Wi-Fi密碼設置簡單，安全漏洞也多年未曾修補（固件更新），除了有被人蹭網的風險外，還有可能會被黑客攻擊，偽造成家庭的網關，所有數據如通過這個偽造網關，會出現信息被劫持、以及被釣魚、被詐騙等惡劣影響。

• 使用微信等即時通訊工具造成數據泄漏

特殊時期，同事之間在線交流的頻率和次數達到了高峰，利用微信等即時通訊工具的便利性，快速上傳下達，很多網絡安全要求與規定被拋之腦后，直接用微信傳遞機密文件，造成數據泄漏的事件最近時有爆出。

• 使用社交媒體帶來的信息被收集的風險

在家遠程辦公，情緒一時難以在公私之間自由轉換和隔離，很多人一時興起會通過社交媒體抒發自己的工作情況甚至是內容，而這些看似零散的信息，卻是黑客收集的資料對象，進行針對性的魚叉釣魚的數據跳板。

• 釣魚風險激增

近期，打著企業復工給員工買口罩的旗號、冒充管理員升級賬號、冒充領導索要資料等的釣魚層出不窮，儼然即將成為網絡安全的重災區。員工如網絡安全意識不強，面對形形色色的釣魚，很難分辨真偽，規避風險。

• 利用公共云盤傳輸資料造成數據泄漏

很多企業并沒有部署專業的遠程傳輸資料工具或平臺，無論是基于便利性，還是其他原因，在家遠程辦公期間，利用公共云盤傳輸資料成為了很多人不得已的選擇，但其中蘊含的數據泄漏風險巨大，不法分子甚至提供云盤內容檢索服務，可以搜索下載個人用戶存放在云盤中的敏感數據。

• 設備突發狀況，自行處理，沒有及時上報

疫情期間，辦公設備出現問題雖屬于突發情況，可一旦出現，就沒有平時現場辦公時那么方便得到專業人士的支援并且能夠得到完善的解決，隨之帶來的是，員工自己排查或找“他人”幫忙處理，造成數據丟失或泄漏。

• 個人設備接入公司內部網絡的風險

按照各地的管理規定，目前復工的企業，基本上是一部分員工在公司辦公，一部分員工是居家辦公。居家辦公的員工就會有個人設備接入公司內部網絡的可能，而這帶來的網絡安全風險不言而喻。

• 系統、軟件更新不及時造成漏洞的風險

遠程辦公，及時進行系統升級、軟件更新這些必要的安全操作，在有些員工的意識中不復存在，容易造成漏洞，成為黑客攻擊的跳板。

當入侵檢測系統檢測到加密流量后會通過基于負載隨機性檢測的方法、基于有效負載的分類方法、基于數據包分布的分類方法、基于機器學習的分類方法、基于主機行為的分類方法，以及多種策略相結合的混合方法對加密流量進行識別來確定里面沒有木馬或者病毒，因為目前加密能夠像隱藏其他信息一樣隱藏惡意流量所以入侵檢測會對加密流量進行識別以檢測。

入侵檢測系統識別加密流量：

• 加密與未加密流量，識別出哪些流量屬于加密的，剩余則是未加密的；

• 識別加密流量所采用的加密協議，如 QUIC，SSL，SSH，IPSec；

• 識別流量所屬的應用程序，如Skype，Bittorrent和YouTube。這些應用還可以進一步精細化分類，如Skype可以分為即時消息，語音通話，視頻通話和文件傳輸；

• 識別加密流量所屬的服務類型，如網頁瀏覽，流媒體，即時通訊，網絡存儲；

• 識別HTTPS協議下的網頁瀏覽，如 Facebook，YouTube，谷歌搜索，淘寶網，鳳凰網或中國銀行等；

• 異常流量識別就是識別出 DDoS，APT，Botnet 等惡意流量；

• 內容參數識別就是對應用流量從內容參數上進一步分類，如視頻清晰度，圖片格式。

IDS是依照一定的安全策略，對網絡、系統的運行狀況進行監視，盡可能發現各種攻擊企圖、攻擊行為或者攻擊結果，以保證網絡系統資源的機密性、完整性和可用性。IDS應該具有以下基本特征：

• 準確性：檢測系統對發現的攻擊行為不應出現誤報和漏報現象。

• 可靠性：一個檢測系統對管理員應該是透明的，并且能在無人監控的情況下正確運行，只有這樣才可以運行在被檢測的系統環境中。

• 容錯性：檢測系統必須具有良好的容錯性，不論所監控的系統處于何種狀態，檢測系統本身必須具備完整性，保證檢測用的知識庫系統不會受到干擾和破壞。

• 可用性：檢測系統的整體性能不應受系統狀態的變化而產生較大波動或嚴重降低。

• 可驗證性：檢測系統必須允許管理員適時監視攻擊行為。

• 安全性：檢測系統能保護自身安全和具有較強的抗欺騙攻擊的能力。

• 可適應性：檢測系統可隨時跟蹤系統環境的變化和及時調整檢測策略。

• 靈活性：檢測系統可根據具體情況，定制不同的且與防御機制相適應的使用模式。

數字簽名機制主要解決以下安全問題：

• 防偽造：其他人不能偽造對消息的簽名，因為私有密鑰只有簽名者自己知道，所以其他人不可能構造出正確的簽名結果數據。

• 防篡改：數字簽名與原始文件或摘要一起發送給接收者，一旦信息被篡改，接收者可通過計算摘要和驗證簽名來判斷該文件無效，從而保證了文件的完整性。

• 防抵賴：數字簽名既可以作為身份認證的依據，也可以作為簽名者簽名操作的證據。要防止接收者抵賴，可以在數字簽名系統中要求接收者返回一個自己簽名的表示收到的報文，給發送者或受信任第三方。如果接收者不返回任何消息，此次通信可終止或重新開始，簽名方也沒有任何損失，由此雙方均不可抵賴。

• 保密性：手寫簽字的文件一旦丟失，文件信息就極可能泄露，但數字簽名可以加密要簽名的消息，在網絡傳輸中，可以將報文用接收方的公鑰加密，以保證信息機密性。

• 身份認證：在數字簽名中，客戶的公鑰是其身份的標志，當使用私鑰簽名時，如果接收方或驗證方用其公鑰進行驗證并獲通過，那么可以肯定，簽名人就是擁有私鑰的那個人，因為私鑰只有簽名人知道。

計算機網絡安全的主要措施有預防、檢測和恢復三類：

• 預防：是一種行之有效的、積極主動的安全措施，它可以排除各種預先能想到的威脅。例如，訪問控制、安全標記、防火墻等都屬預防措施。

• 檢測：也是一種積極主動的安全措施，它可預防那些較為隱蔽的威脅。例如，基于主機的入侵檢測、病毒檢測器、系統脆弱性掃描等都屬檢測措施。檢測分邊境檢測、境內檢測和事故檢測三個階段。邊境檢測階段主要是針對進出網絡邊界的各種行為進行安全檢查和驗證，境內檢測階段主要針對在網絡區域內的各種操作行為進行監視、限制和記錄，事故檢測主要是用于安全管理、分析等的檢測。

• 恢復：是一種消極的安全措施，它是在受到威脅后采取的補救措施。例如，重新安裝系統軟件、重發數據、打補丁、清除病毒等都屬恢復措施。

一個安全策略可采用不同類型的安全措施，或聯合使用，或單獨使用，至于選擇何種安全措施取決于該策略的目的和所采用的安全機制。網絡環境下可以采用的安全機制包括：加密機制、密鑰管理、數字簽名、訪問控制、數據完整性、認證交換、通信業務填充、路由選擇控制、公證機制、物理安全與人員可靠，以及可信任的硬件與軟件等內容。

持久存儲數據的隔離防護包括以下方面：

• 數據隔離：不同虛擬機之間共享同一存儲資源時，應當進行數據隔離，確保虛擬機不能直接或間接訪問其他虛擬機的數據。

• 數據訪問控制：當控制面或用戶面對存儲資源進行訪問時，需做好相應的訪問控制，包括強身份認證和細粒度授權（如對數據庫的訪問可控制到表、列級別）。

• 數據加密存儲：可根據數據的不同安全級別采用不同的存儲加密機制。如對于重要程度低的數據，可以明文存儲；對于核心關鍵數據，應進行加密存儲并提供完整性驗證能力。

• 數據備份與恢復：應提供完備的數據備份和恢復機制來保障數據的可用性。一旦發生數據丟失或破壞，可以利用備份進行數據恢復。

• 數據殘留與銷毀：虛擬機遷移后，存儲資源上原有的數據應徹底刪除，防止數據被非法恢復。

網絡資產安全遠程掃描檢測方法有以下這些：

• ARP協議檢測：向目標資產發送ARP請求包，如果在檢測包超時之前接收到目標資產的響應包，則該資產是活動的。

• TCPSYN/ACK協議檢測：向目標資產發送TCPSYN/ACK檢測包，如果檢測包超時前目標資產的TCP響應消息是RST包或SYN/ACK包，則該資產將繼續存在。

• ICMP協議檢測：向目標資產發送ICMP請求包，根據響應消息的類型確定資產的活動狀態。

• UDP協議檢測：向目標資產發送UDP檢測包，如果在檢測包超時之前接收到目標資產的UDP響應包，則該資產將繼續存在。

• SCTP協議檢測：向目標資產發送檢測包，如果在檢測包超時之前接收到目標資產的SCTP響應包，則該資產將繼續存在。

動態測試具有以下四種特點：

• 生成測試數據、分析測試結果工作量大，開展測試工作費時、費力。

• 動態測試涉及多方面的工作，涉及的人員多、數據多、設備多，要求有較好的管理和工作規程。

• 實際運行被測試程序，得到程序運行的真實情況、動態情況，進而進行分析。這是動態測試的優勢，也帶來一定的要求。實際運行被測試程序需要運行環境、輸入數據及輸出處理手段，有時還需要運行控制手段。

• 必須生成測試數據來運行程序，測試質量依賴于測試數據。

當這個信息系統受到破壞后，對公民、法人和其他組織的合法權益造成損害或者會損壞國家安全、社會秩序和公共利益和對國家安全造成特別嚴重損害的信息系統必要要根據《網絡安全法》的規定進行不同的等保定級。如果根據企業或者單位需要可以去相關單位自主審請等級保護認證，但是如果信息系統內部存儲的信息關系到國家、公民等安全則需要強制保護。

信息系統的安全保護等級分為以下五級：

• 第一級，信息系統受到破壞后，會對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會秩序和公共利益。第一級信息系統運營、使用單位應當依據國家有關管理規范和技術標準進行保護。

• 第二級，信息系統受到破壞后，會對公民、法人和其他組織的合法權益產生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全。國家信息安全監管部門對該級信息系統安全等級保護工作進行指導。

• 第三級，信息系統受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害。國家信息安全監管部門對該級信息系統安全等級保護工作進行監督、檢查。

• 第四級，信息系統受到破壞后，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害。國家信息安全監管部門對該級信息系統安全等級保護工作進行強制監督、檢查。

• 第五級，信息系統受到破壞后，會對國家安全造成特別嚴重損害。國家信息安全監管部門對該級信息系統安全等級保護工作進行專門監督、檢查。

測評機構及其測評人員不得從事下列活動：

• 影響被測評信息系統正常運行，危害被測評信息系統安全。

• 泄露知悉的被測評單位及被測信息系統的國家秘密和工作秘密。

• 故意隱瞞測評過程中發現的安全問題，或者在測評過程中弄虛作假，未如實出具等級測評報告。

• 未按規定格式出具等級測評報告。

• 非授權占有、使用等級測評相關資料及數據文件。

• 分包或轉包等級測評項目。

• 網絡安全產品開發、銷售和信息系統安全集成。

• 限定被測評單位購買、使用其指定的網絡安全產品。

• 其他危害國家安全、社會秩序、公共利益以及被測單位利益的活動。

在PTES標準中，將滲透測試分為了7個階段，分別是：

• 前期交互階段

  確定滲透測試范圍和目標。

• 情報搜集階段

  使用社交媒體網絡、Google Hacking技術、目標系統踩點。目的是獲知它的行為模式、運行機理、以及最終可以如何被攻擊。

• 威脅建模階段

  主要使用你在情報搜集階段所獲取到的信息，來標識出目標系統上可能存在的安全漏洞與弱點。在進行威脅建模時，確定最為高效的攻擊方法，需要進一步獲取到的信息，以及從哪里攻破目標系統。

• 漏洞分析階段

  確定最佳攻擊方法后，需要考慮如何取得目標系統的訪問權，需要考慮哪些攻擊途徑是可行的。特別是需要重點分析端口和漏洞掃描結果。

• 滲透攻擊階段

  最好是在你基本上能夠確信特定滲透攻擊會成功的時候，才真正對目標系統實施這次滲透攻擊。在你嘗試要觸發一個漏洞時，你應該清晰地了解在目標系統上存在這個漏洞，進行大量漫無目的的滲透嘗試之后，期待奇跡般的出現一個shell根本是癡心妄想。

• 后滲透攻擊階段

  后滲透攻擊階段，從你已經攻陷了客戶組織的一些系統或取得域管理權限之后開始，但離你搞定收工還有很多事情要做。后滲透攻擊階段將以特定的業務系統作為目標，識別出關鍵的基礎設施，并尋找客戶組織最具價值和嘗試進行安全保護的信息和資產，當你從一個系統攻入另一個系統時，您需要演示出能夠對客戶組織造成最重要業務影響的攻擊途徑。 這個階段，也是能夠區別出你是駭客大牛還是駭客小子的階段。

• 報告編制階段

  報告是滲透測試過程中最為重要的因素，你將使用報告文檔來交流你在滲透測試過程中做了哪些，如何做的，以及最為重要的—客戶組織如何修復你所發現的安全漏洞和弱點。你所撰寫的報告至少應該分為摘要、過程展示和技術發現這幾個部分，技術發現將會被你的客戶組織用來修補安全漏洞，但這也是滲透測試過程中真正價值的體現位置。

劃分子網的基本步驟：

1. 確定需要多少網絡ID

• 每個子網都需要一個
• 每個廣域網連接需要一個

2. 確定每個子網的主機數量

• 每個主機需要一個
• 每個路由器接口需要一個

3. 根據以上需求創建

• 整個網絡的子網掩碼
• 每個子網ID
• 每個子網的主機范圍

工控系統安全維護具體防護建議如下：

• 對工控系統進行分層、分域、分等級劃分，通過使用網閘設備、VPN接入設備等手段對工控系統進行隔離訪問與接入控制。

• 對工控系統及設備進行脆弱性評估，及時更新系統，或更新防護設備的虛擬補丁。

• 通過面向工控系統的監控平臺，與其他安全設備一起對工控系統設施進行保護。

• 此外，還要定期進行安全培訓、系統評估，及時發現安全威脅隱患等。

虛擬專用網絡技術有以下特點：

• 安全性高：VPN使用通信協議、身份驗證和數據加密三方面技術保證了通信的安全性。當客戶機向VPN服務器發出請求時，該服務器響應請求并向客戶機發出身份質詢，然后客戶機將加密的響應信息發送到VPN服務器端，該服務器根據數據庫檢查該響應。如果賬戶有效，VPN服務器將檢查該用戶是否具有遠程訪問的權限，如果該用戶擁有遠程訪問的權限，該服務器接受此連接。在身份驗證過程中產生的客戶機和服務器的公有密鑰將用于對數據進行加密。

• 費用低廉：遠程用戶可以利用VPN通過Internet訪問公司局域網，而費用僅是傳統網絡訪問方式的一部分，而且，企業可以節省購買和維護通信設備的費用。

• 管理便利：構建VPN不僅只需要很少的網絡設備及物理線路，而且網絡管理也變得簡單方便。不論分公司還是遠程訪問用戶，都只需通過一個公用網絡端口或Internet路徑即可進入企業網絡。關鍵是獲得所需的帶寬，網絡管理的主要工作將由公用網承擔。

• 靈活性強：可支持通過各種網絡的任何類型數據流，支持多種類型的傳輸媒介，可以同時滿足傳輸語音、圖像和數據等的需求。

• 可擴充性和靈活性好：虛擬專用網絡支持通過Internet和Extranet的任何類型的數據流。

• 可管理性高：虛擬專用網絡可以從用戶和運營商角度方便進行管理。

• 服務質量佳：可為企業提供不同等級的服務質量（QoS）保證。不同用戶和業務對服務質量保證的要求差別較大，如對移動用戶，提供廣泛連接和覆蓋性是保證VPN服務的一個主要因素。對于擁有眾多分支機構的專線VPN，交互式內部企業網應用則要求網絡能提供良好的穩定性，而視頻等其他應用則對網絡提出了更明確的要求，如網絡延時及誤碼率等，這些網絡應用均要求根據需要提供不同等級的服務質量。

工業主機安全防護是通過基于智能匹配的白名單管控技術、基于ID 的USB 移動存儲外設管控技術以及入口攔截、運行攔截、擴散攔截關卡式病毒攔截技術，防范惡意程序的運行、非法外設接入，從而進行全面的工業資產、安全風險集中管理，實現對工業主機的安全防護。工業主機安全防護產品類似于PC安全防護的殺毒軟件，是工業環境針對系統的高可用性、連續性等特性專門開發的防護軟件。

解決工業數控網絡安全風險可以從以下方面入手：

• 數控網絡結構安全：梳理業務流程，優化數控網絡結構，強化分區、分域防護，通過在安全域邊界選擇串行部署數控行業審計保護一體機、工控網絡防護系統、隔離防護與交換產品，以保障數控網絡結構的安全。

• 數控網絡行為安全：加強數控網絡訪問行為、訪問內容的監測，對異常行為、違規操作進行監測、審計與告警，借助與邊界安全防護設備聯動，支撐行為安全防控，提升數控網絡安全。

• 數控網絡本體安全：按照數控網絡的應用特點，加強數控設備、上位機、服務器等主機安全管理，通過選擇部署工控主機安全防護，USB主機防護設備專用安全產品實現主機的安全管理，包括主機防病毒、防第三方軟件非授權安裝，外界USB存儲設備認證管理、操作行為審計，保護主機應用安全與防止數據泄密。

• 數控網絡基因安全：以自主研發、可信計算為設計思路，在高端制造領域未來時機成熟時，可通過采購國產數控設備、網絡設備和安全設備，規避國外廠商的后門風險。基于可信軟件、可信芯片和可信網絡技術，并結合數控網絡業務模型，構建具有可信計算環境、可信存儲環境和可信通信環境的基因安全數控網絡系統。

• 數控白名單安全：采用智能主機白名單和網絡黑白名單技術，具有實時識別移動USB設備的接入、非法的網絡連接、移動設備筆記本電腦和移動智能終端的接入、惡意病毒木馬、非工作范圍軟件入侵主機系統的特點，采取數據加密、內容識別、網絡流文件還原和命令還原技術、基于數控行業主流設備通信協議深度數據包提取解析的智能學習技術、詳細審計日志、網絡操控行為識別與控制等多種技術手段，為用戶提供了針對性的防入侵、防泄密手段以保障加工數據的安全。