整理了幾款比較常見的挖掘漏洞工具：

PHP Vulnerability Hunter

PHP Vulnerability Hunter是一款高級自動化的白盒模糊測試工具，它幾乎可以檢測在advisories頁面中列出的web應用程序漏洞，特別是php web應用程序中的可利用漏洞。只需較少的配置就可以開始掃描。PHP Vulnerability Hunter甚至不需要用戶指定起始url。

IOCTL Fuzzer

IOCTL Fuzzer是一個自動化的windows內核驅動漏洞挖掘工具，它利用自己的驅動hook了NtDeviceIoControlFile， 目的是接管整個系統所有的IOCTL請求。當處理IOCTL請求時，一旦符合配置文件中定義的條件，IOCTL Fuzzer回用隨機產生的fuzz數據去替換IOCTL的原始請求數據。IOCTL Fuzzer只替換輸入數據并不會改變IOCTL數據包的其他數據。IOCTL Fuzzer可以工作在windows XP、2003、vista和2008服務器上。

easyfuzzer

easyfuzzer是一款基于windows平臺的二進制漏洞挖掘工具，之前的全球爆發的勒索病毒，相信大家都見識到了網絡病毒的危害有多大吧，而這就是利用windows漏洞入侵的。easyfuzzer能夠快速地挖出系統中的漏洞，并進行清理，而且easyfuzzer提供了三大模塊，分別為：文件fuzz模塊、智能fuzz模塊、FTPfuzz模塊。非常的實用，可以讓你的設備隨時保持著在健康的的環境下運行。不僅如此easyfuzzer還可以幫助軟件開發者測試所開發產品中存在的相關漏洞。

安全責任分配的基本原則是“誰主管，誰負責”。安全生產責任制是根據我國的安全生產方針“安全第一，預防為主，綜合治理”和安全生產法規建立的各級領導、職能部門、工程技術人員、崗位操作人員在勞動生產過程中對安全生產層層負責的制度。

安全生產責任制是企業崗位責任制的一個組成部分，是企業中最基本的一項安全制度，也是企業安全生產、勞動保護管理制度的核心。企業單位各生產小組都應該設有不脫產的安全員。小組安全員在生產小組長的領導和勞動保護干部的指導下，應當在安全生產方面以身作則，起模范帶頭作用，并協助小組長做好工作。

經常對本組工人進行安全生產教育；督促他們遵守安全操作規程和各種安全生產制度；正確地使用個人防護用品；檢查和維護本組的安全設備；發現生產中有不安全情況的時候，及時報告；參加事故的分析和研究，協助領導上實現防止事故的措施。

全國各地先后發生了一些安全事故，不但給這些單位的財產帶來嚴重損失，也給廣大人民群眾生命安全造成傷害。這些事實，不但再次為安全生產工作敲響了警鐘，更證明了部分人頭腦中存在的“安全管理工作是安全管理部門和安全管理人員的事，和我沒什么關系”這一認識的嚴重錯誤和由此帶來的不良后果。當前，安全生產形勢不容樂觀，要有效遏制各類安全生產事故，必須要充分認識和落實好誰主管誰負責這一原則:

“誰主管認負責”的認識要再深化

“誰主管誰負責”是安全生產的一項基本原則。1979年8月中共中央在批轉中央宣傳部教育部、文化部、公安部、國家勞動總局、全國總工會、共青團中央、全國婦聯等8個單位的相關文件時，就明確指出了這一原則。中央政法委也明確了首問責任，誰承辦誰負責，誰主管誰負責。

“誰主管、誰負責”的分工要再明確

“誰主管、誰負責”，就是各級領導對所管轄的范圍，負有安全管理主體責任。在實際管理工作中，不能認為安全管理只是主管安全的領導和安全主管部門的工作，領導班子分工對所分管單位或部門同樣負有安全管理主體責任。只有企業分管領導和各單位、部門領導的法制觀念、主體責任意識和安全意識增強了，對安全生產法律、法規充分了解了，才能關心和支持安全工作，才能把企業安全生產工作，作為一項重要工作來抓，確保各項安全經費的落實、各項安全管理制度的嚴格執行和各項安全措施落到實處;才能在思想上實現“要我安全”到“我要安全”的轉變;才能在追求企業經濟效益的同時，更加注重社會效益，變被動承擔安全生產主體責任為主動承擔，真正實現企業的安全發展。

“誰主管誰負責”責任要再分清

安全管理部門是負責企業安全生產的綜合管理部門，他們的職責是認真貫徹執行國家安全生產方針、政策、法律、法規和各項安全生產管理制度，落實分公司安全生產委員會的指示。各項決議，并監督各單位貫徹執行和落實，檢查、指導、幫助、督促各單位做好安全管理，協助企業負責人或分管負責人履行安全生產管理職責，制定各項安全生產規章制度和安全技術操作規程;參與新建、改建、擴建的建設項目安全設施的審查;查找安全工作的薄弱環節和存在的安全隱患，提出切實可行的整改方案;開展安全生產宣傳、教育、培訓，總結推廣安全生產經驗等。

“誰主管誰負責”的意識要再加強

企業安全管理人員的主體責任意識、工作能力和工作責任心的提高是勢在必行。因企業安全管理人員是企業各項安全工作的執行者，起著承上啟下的作用，其責任心的好壞，工作能力的高低，將直接影響該企業的安全管理。因此，作為企業的安全管理人員，要加強自身的學習，充分認識安全工作的重要性，不斷增強責任感、使命感;不斷提高自身素質，提升業務水平，來推動企，安全管理工作不斷向更高的層次發展。

“誰主管誰負責”的能力要再提高

企業員工是企業的生產者，設備的操作者，能夠在實際生產過程中，首先發現并能在第一時間排除安全隱患，及時把安全隱患消除在明牙狀態，因此，培養企業品量的安全意識，提高其發現、排除安全隱患的能力顯得尤為重要。

一是要通過開展對新員工的三級安全教育和老員工的日常教育等一系列教育活動，強化培養員工的安全意識，使其在生產過程中時時刻刻繃緊安全生產這根弦不放松，牢記安全第一的工作原則。

二是通過崗前安全教育，讓員工充分了解自己所在崗位的危險因素、危害程度、預防措施及處置方法等相關知識，從而使員工從心底里真真切切感受到嚴格遵守操作規程、正確使用勞動防護用品等安全規章制度的重要性。

三是員工要在日常工作中能夠自覺地規范行為，提高安全識別和處置能力，在遇到險情時，能夠不慌亂，沉著冷靜地應對，在第一時間把問題消除在初始階段，防止事態的擴大，充分體現安全工作從我做起，以我為主的責任意識，使安全生產主體責任在企業中得到進一步深化，為企業的穩步發展提供堅強有力的安全保障。

滲透測試使用whois命令可以獲得以下信息：

• 支持基于查詢中指定的位置或者人員的社交網絡攻擊，識別物理攻擊的位置。

• 識別用于war dialing攻擊，或者社交工程攻擊的電話號碼。

• 實施遞歸的研究來定位其他托管在同一個服務器的域，例如目標或者由同一個用戶操作的服務器；如果它們是不安全的，攻擊者可以利用它們得到服務器管理員的權限，然后攻克目標服務器。

• 在域到期的情況下，攻擊者可以試圖改變域的大小，并創建一個外觀相似的網站來危害訪問者，這些訪問者以為他們訪問的是原來的網站。

• 攻擊者將用權威的DNS服務器來幫助DNS勘測，權威服務器有需要查找的那個域的記錄。

云平臺將安全域劃分為以下這些區：

• 互聯網接入區：主要包括接入交換機、路由器、網絡安全設備等，負責實現與163、169、CMNET等互聯網的互聯。

• 內聯網接入區：主要包括接入交換機、路由器、網絡安全設備等，負責實現與組織內部網絡的互聯。

• 廣域網接入區：主要包括接入交換機、路由器、網絡安全設備等，負責與本組織集團或其他分支網絡的接入。

• 外聯網接入區：主要包括接入交換機、路由器、網絡安全設備等，負責本組織第三方合作伙伴網絡的接入。

• 外聯網接入區：主要包括接入交換機、路由器、網絡安全設備等，負責本組織第三方合作伙伴網絡的接入。

• 核心交換區：由支持虛擬交換的高性能交換機組成，負責整個云計算系統內部之間、內部與外部之間的通信交換。

• 生產區：主要包括一系列提供正常業務服務的虛擬主機、平臺及應用軟件，使提供IaaS、PaaS、SaaS服務的核心組件。根據業務主體、安全保護等級的不同，可以進行進一步細分。

• 非生產區：非生產區主要是為系統開發、測試、試運行等提供的邏輯區域。根據實際情況，非生產區一般可分為系統開發子區、系統測試子區、系統試運行子區。

• 支撐服務區：該區域主要為云平臺及其組件提供共性的支撐服務，通常按照所提供的功能的不同，可以細分為通用服務子區，一般包括數字證書服務、認證服務、目錄服務等；運營服務子區，一般包括用戶管理、業務服務管理、服務編排等。

• 管理區：主要提供云平臺的運維管理、安全管理服務，一般可分為運維管理子區，一般包括運維監控平臺、網管平臺、網絡控制器等；安全管理子區，一般包括安全審計、安全防病毒、補丁管理服務器、安全檢測管理服務器等。

• 資源區：主要包括各種虛擬化資源，涉及主機、網絡、數據、平臺和應用等各種虛擬化資源。按照各種資源安全策略的不同，可以進一步細分為生產資源、非生產資源、管理資源。不同的資源區對應不同的上層區域，如生產區、非生產區、管理區等。

• DMZ區：主要包括提供給Internet用戶、外部用戶訪問代理服務器、Web服務器組成。一般情況下Internet、Intranet用戶必須通過DMZ區服務器才能訪問內部主機或服務。

• 堡壘區：主要提供內部運維管理人員、云平臺租戶的遠程安全接入以及對其授權、訪問控制和審計服務，一般包括VPN服務器、堡壘機等。

網絡系統安全規劃的意義：

• 保證網絡系統具有完善的功能、較高的可靠性和安全性，為高質量、高水平的網絡系統奠定重要的基礎。

• 保證解決網絡系統運行中所出現的問題，而且可使網絡系統發揮出更大的潛力，能擴大新的應用范圍。

• 保證網絡系統具有先進的技術支持，并具有強大的防護能力和靈活的升級能力，使網絡系統安全運營。

• 規劃設計是保質保量按時完成系統建設的直接保證，也是杜絕浪費、減少失誤的第一道屏障。

• 對本地網絡信息的訪問、讀寫等操作受到保護和控制，避免出現“陷門”、病毒、非法存取、拒絕服務和網絡資源非法占用和非法控制等威脅，制止和防御網絡黑客的攻擊。

入侵檢測通過以下三種技術手段分析用戶行為等信息：

• 模式匹配方法：就是將收集到的信息與已知的網絡入侵和系統已有模式數據庫進行比較，從而發現違背安全策略的行為。該過程可以很簡單（如通過字符串匹配以尋找一個簡單的條目或指令），也可以很復雜（如利用正規的數學表達式來表示安全狀態的變化）。一般來講，一種進攻模式可以用一個過程（如執行一條指令）或一個輸出（如獲得權限）來表示。該方法的一大優點是只需收集相關的數據集合，顯著減少系統負擔，且技術已相當成熟。它與病毒防火墻采用的方法一樣，檢測準確率和效率都相當高。但是，該方法存在的弱點是需要不斷地升級以對付不斷出現的黑客攻擊手法，不能檢測到從未出現過的黑客攻擊手段。

• 統計分析方法：首先給系統對象（如用戶、文件、目錄和設備等）創建一個統計描述，統計正常使用時的一些測量屬性（如訪問次數、操作失敗次數和延時等）。在比較這一點上與模式匹配有些相似之處。測量屬性的平均值將被用來與網絡、系統的行為進行比較，任何觀察值在正常值范圍之外時，就認為有入侵發生。例如，本來都默認用GUEST賬號登錄的，突然用ADMIN賬號登錄。這樣做的優點是可檢測到未知的入侵和更為復雜的入侵，缺點是誤報、漏報率高，且不適應用戶正常行為的突然改變。具體的統計分析方法如基于專家系統的、基于模型推理的和基于神經網絡的分析方法，目前正處于研究熱點和迅速發展之中。

• 完整性分析方法：主要關注某個文件或對象是否被更改，這經常包括文件和目錄的內容及屬性，它在發現被更改的、被特洛伊化的應用程序方面特別有效。完整性分析利用強有力的加密機制，稱為消息摘要函數（例如MD5），它能識別哪怕是微小的變化。其優點是不管模式匹配方法和統計分析方法能否發現入侵，只要是成功地攻擊導致了文件或其他對象的任何改變，它都能夠發現。缺點是一般以批處理方式實現，用于事后分析而不用于實時響應。盡管如此，完整性檢測方法還應該是網絡安全產品的必要手段之一。例如，可以在每一天的某個特定時間內開啟完整性分析模塊，對網絡系統進行全面的掃描檢查。

漏洞掃描在滲透測試中屬于漏洞挖掘或者叫漏洞探測階段，在滲透測試屬于在收集到了足夠多的信息之后對目標站存在的漏洞通過漏掃等方法來發現這些漏洞，為接下來的漏洞利用階段打好基礎。漏洞掃描是指基于漏洞數據庫，通過掃描等手段對指定的遠程或者本地計算機系統的安全脆弱性進行檢測，發現可利用漏洞的一種安全檢測的行為。

常見漏洞挖掘手段如下：

• 靜態檢測，也就是常說的白盒測試，通過技術直接分析軟件源代碼，通過對編程源代碼中的語法來發現漏洞；

• 動態檢測，也就是常說的黑盒測試，在不了解軟件情況下通過經驗和網絡搜索來發現漏洞；

• 混合檢測，這種方法是不是單純將上述兩種方法結合起來，而是在結合二者優點后衍生出來的新檢測方法。

網絡安全性需求分析表現在以下方面：

• 物理上安全需求：針對重要信息可能通過電磁輻射或線路干擾等泄露，需要對存放機密信息的機房進行必要的設計，如構建屏蔽室，采用輻射干擾機，防止電磁輻射泄露機密信息；對重要的設備進行備份，對重要系統進行備份等安全保護；確保租用電路和無線鏈路的通信安全。

• 訪問控制需求：企業內部合法用戶的非授權訪問是指合法用戶在沒有得到許可的情況下訪問了他本不該訪問的資源。因此，要采取一定的訪問控制手段，防范來自非法用戶的攻擊，嚴格控制只有合法用戶才能訪問合法資源。

• 加密傳輸需求：加密傳輸是網絡安全重要手段之一。信息的泄露很多都是在鏈路上被搭線竊取的，數據也可能因為在鏈路上被截獲、被篡改后傳輸給對方，造成數據真實性、完整性得不到保證。如果利用加密設備對傳輸數據進行加密，使得在網上傳的數據以密文傳輸，即使在傳輸過程中被截獲，入侵者也讀不懂，而且加密機還能通過先進的技術手段，對數據傳輸過程中的完整性、真實性進行鑒別，可以保證數據的保密性、完整性及可靠性。因此，必須配備加密設備對數據進行傳輸加密。

• 入侵檢測系統需求：也許有人認為，網絡配置防火墻就安全了，就可以高枕無憂了。其實，這是一種錯誤的認識，網絡安全是整體的、動態的，不是單一產品能夠完全實現的。所以為了確保網絡更加安全，就必須配備入侵檢測系統，對通過防火墻的攻擊進行檢測并做相應反應（記錄、報警、阻斷）。

• 安全風險評估系統需求：網絡系統存在安全漏洞是黑客入侵者攻擊屢屢得手的重要因素。因此，必須配備網絡安全掃描系統檢測網絡中存在的安全漏洞，并采用相應的措施填補系統漏洞，對網絡設備等存在的不安全配置重新進行安全配置。

• 防病毒系統需求：針對網絡病毒危害性極大并且傳播極為迅速的特點，必須配備從單機到服務器的整套防病毒軟件，實現全網的病毒安全防護。

• 安全管理體制需求：人的安全意識是可以通過安全常識培訓來提高的。人的行為的約束只能通過嚴格的管理體制，并利用法律手段來實現。

入侵檢測系統應具備如下的特點：

• 精確地判斷入侵事件：安裝在服務器上的IDS有一個完整的黑客攻擊信息庫，其中存放著各種黑客攻擊行為的特征數據。每當用戶對服務器上的數據進行操作時，IDS就將用戶的操作與信息庫中的數據進行匹配，一旦發現吻合，就認為此項操作為黑客攻擊行為。由于信息庫的內容會不斷升級，因此可以保證新的黑客攻擊方法也能被及時發現。IDS的攻擊識別率可以達到百分之百。

• 可判斷應用層的入侵事件：與防火墻不同，IDS是通過分析數據包的內容來識別黑客入侵行為的。因此，IDS可以判斷出應用層的入侵事件。這樣就極大地提高了判別黑客攻擊行為的準確程度。

• 對入侵可以立即進行反應：IDS以進程的方式運行在服務器上，為系統提供實時的黑客攻擊偵測保護。一旦發現黑客攻擊行為，IDS可以立即做出相應。響應的方法有多種形式，其中包括：報警（如屏幕顯示報警、尋呼機報警）、必要時關閉服務直至切斷鏈路，與此同時，IDS會對攻擊的過程進行詳細記錄，為以后的調查工作提供線索。

• 全方位的監控與保護：防火墻只能隔離來自本網段以外的攻擊行為，而IDS監控的是所有針對服務器的操作，因此它可以識別來自本網段內、其他網段，以及外部網絡的全部攻擊行為。這樣就有效地解決了來自防火墻后由于用戶誤操作或內部人員惡意攻擊所帶來的安全威脅。由于IDS對用戶操作進行詳細記錄，系統管理人員可以清楚的了解每個用戶訪問服務器的意圖，及時發現惡意攻擊的企圖，提前采取必要措施。這一切對于有攻擊企圖的人無疑也起到了強大的震懾作用。

• 針對不同操作系統特點：網絡上運行著各種應用，服務器的操作系統平臺也是多種多樣。IDS根據系統平臺的不同進行有針對性的檢驗，從而提高了工作效率，同時也提高了偵測的準確性。網絡系統安裝了IDS后，可以有效的解決來自網絡安全四個層面上的非法攻擊問題，既可以避免來自外部網絡的惡意攻擊，同時也可以加強內部的安全管理，保證主機資源不受來自內部網絡的安全威脅，防范住了防火墻后面的安全漏洞。

• 不允許占用過多的網絡資源，系統啟動后，網絡速度和不啟動時不應有明顯區別。

• 應盡可能與防火墻設備統一管理、統一配置。

模糊測試器難以發現的典型安全性漏洞有：

• 訪問控制漏洞：有些應用需要分級的權限模型來支持多賬戶或是不同級別的用戶。例如，考慮一個通過Web前端訪問的在線日程安排系統。該應用有一個管理員，管理員可以控制哪些用戶能夠登錄到這個系統。除管理員外，該系統中還有一個特別的用戶組，這組用戶具有創建日程的權限。除此之外，其他用戶只有讀權限。在這個系統中，最基本的權限控制是保證一個普通用戶無法執行管理員才能執行的任務。

• 糟糕的設計邏輯：模糊測試器也不是發現糟糕的邏輯設計的最佳工具。例如，考慮在Veritas Backup Exec中發現的一個安全漏洞。該安全漏洞允許攻擊者遠程控制Windows服務器并能創建、修改、刪除注冊表中的鍵值。這個漏洞導致攻擊者幾乎可以完全控制系統。這個問題產生的原因是 Windows 服務器中一個基于 TCP 實現遠程過程調用的接口，該接口接受修改注冊表的指令，并且完全不需要認證。實際上，這不是一個認證問題。因為 Windows 服務器就是這樣設計的。這只能說是一個不合適的設計決定，該決定可能因為設計者認為攻擊者更愿意花費時間來破譯Microsoft接口描述語言，并據此設計一個工具來與服務器交互，而不是花時間去尋找RPC服務的漏洞。

• 后門：如果一個模糊測試器對被測應用的結構只有很少的了解，后門看上去與其他的正常邏輯沒什么不同。考慮一個應用的登錄界面，無論是后門還是正常登錄邏輯，都是接受輸入并返回認證后的身份信息。不僅如此，除非模糊測試器有足夠的信息識別成功的登錄，否則，即使這個模糊測試器偶然發現了一個固定的口令，它仍然沒有辦法識別出這個安全漏洞。在對口令域進行模糊測試時，如果某個輸入導致應用發生崩潰，這種漏洞通常可以被發現；但一個通過隨機猜測可以被發現的，能進入系統的硬編碼的口令就不會被發現。

• 破壞：內存破壞問題通常會導致被測應用的崩潰。這類問題可以根據與拒絕服務類似的癥狀來加以識別和發現。然而，有些內存錯誤問題會被被測應用掩蓋，因此簡單的模糊測試器永遠都發現不了這類問題。

• 多階段安全漏洞：可利用性不總意味著像攻擊單一弱點那么簡單。復雜的攻擊通常通過連續利用若干個安全漏洞來獲得機器的控制權：起先通過漏洞讓機器接受未被授權的訪問，然后利用其他漏洞缺陷獲得更大的權限。模糊測試對識別單獨的漏洞很有用，但通常而言，模糊測試對那些小的漏洞鏈構成的漏洞，或是讓人不感興趣的事件構成的多向量攻擊的識別作用不大。

防火墻可以分為以下三種：

• 軟件防火墻：運行在特定的計算機上，需要客戶預先安裝好的計算機操作系統的支持。一般來說這臺計算機就是整個網絡的網關，俗稱個人防火墻。軟件防火墻像其他軟件產品一樣需要先在計算機上安裝并做好配置才可以使用。防火墻廠商中做網絡版軟件防火墻最出名的莫過于Checkpoint。使用這類防火墻，需要網關對所工作的操作系統平臺比較熟悉。

• 硬件防火墻：硬件防火墻是指“所謂的硬件防火墻”。針對于芯片級防火墻來說加上了“所謂”二字。此處的硬件防火墻與芯片級防火墻的最大的差別在于是否基于專用的硬件平臺。目前市場上大多數防火墻都是這種所謂的硬件防火墻，他們都基于PC架構，就是說，他們和普通的家庭用的PC沒有太大的區別。在這些PC架構計算機上運行一些經過裁剪和簡化的操作系統，最常用的老版本的Unix、Linux和FreeBCD系統。值得注意的是，由于此類防火墻采用的是別人的內核，因此還是會受到OS（操作系統）本身的安全性影響。傳統硬件 防火墻一般至少具備三個端口，分別接內網、外網和DMZ區（非軍事化區），現在一些新的硬件防火墻往往擴展了端口，常見的四端防火墻將第四個端口做為配置口、管理端口。很多防火墻還可以進一步擴展端口數目。

• 芯片級防火墻：芯片級防火墻基于專門的硬件平臺，沒有操作系統。專有的ASIC芯片促使它們比其他種類的防火墻速度更快，處理能力更強，性能更高。做這類防火墻最出名的廠商有NetScreen、FortiNet、Cisco等。這類防火墻由于是專用OS（操作系統），因此防火墻本身的漏洞比較少，不過價格相對比較高昂。

Wifi精靈是一款免費的wifi上網軟件，軟件本身是安全的，但使用過程中可能會存在一定的安全隱患。

安全使用才是Wifi精靈安全的首要關鍵。

• 手機在不用WiFi時將WiFi功能關閉，需要時手動打開，可以避免連接設有陷阱的公共釣魚WiFi信號，造成手機存儲的一些敏感數據被盜。
• 避免在公共場所，例如火車站、機場、商場等地使用密碼公開的公用WiFi。此時你和不懷好意的攻擊者處于統一內網，很容易被進行釣魚或者網絡劫持。
• 自用的WiFi，SSID最好設置成中文名稱，可以減低被破解的風險，因為國外的很多破解軟件并不支持中文，會存在亂碼問題。
• 自用的WiFi密碼一定要設置的足夠復雜，甚至像亂碼一樣，避免使用12345678這類弱口令，以及和家庭成員有關的密碼設置，比如手機號、門牌號、姓名拼音等作為密碼。
• 經常查看無線路由器的管理頁面，查看有沒有非授權用戶接入自己的WiFi網絡。
• 如果可能，在公共外出場所盡量使用手機數據流量進行上網，尤其是使用支付寶、登錄某種賬戶等操作時，免費的WiFi總有可能會帶來不安全的因素。

nmap掃描出的不是漏洞而是目標所開放的端口，對結果的分析方法如下：

1. 使用“xsltproc -o r1.htm beautiful.xsl r1.xml”命令用nmap自帶的xsl模板生成HTML報告；

2. 通過報告可以查看端口的詳細情況，open為開放、closed為關閉、filtered為被過濾的；

3. 可以通過探索手段來查看本次使用的方法；

4. 服務則表示本次掃描出的端口代表那個服務；

5. 組件和版本代表當前服務所使用的組件是什么和其版本；

內網是網絡應用中的一個主要組成部分，其安全性也受到越來越多的重視。要提高內網的安全，可以使用的方法很多:

• 保證操作系統的安全：從終端用戶的程序到服務器應用服務、以及網絡安全的很多技術，都是運行在操作系統上的，因此，保證操作系統的安全是整個安全系統的根本。除了不斷增加安全補丁之外，還需要建立一套對系統的監控系統，并建立和實施有效的用戶口令和訪問控制等制度。

• 對重要資料進行備份：在內網系統中數據對用戶的重要性越來越大，實際上引起電腦數據流失或被損壞、篡改的因素已經遠超出了可知的病毒或惡意的攻擊，用戶的一次錯誤操作，系統的一次意外斷電以及其他一些更有針對性的災難可能對用戶造成的損失比直接的病毒和黑客攻擊還要大。為了維護企業內網的安全，必須對重要資料進行備份，以防止因為各種軟硬件故障、病毒的侵襲和黑客的破壞等原因導致系統崩潰，進而蒙受重大損失。

• 使用代理網關：使用代理網關的好處在于，網絡數據包的交換不會直接在內外網絡之間進行。內部計算機必須通過代理網關，進而才能訪問到Internet ，這樣操作者便可以比較方便地在代理服務器上對網絡內部的計算機訪問外部網絡進行限制。在代理服務器兩端采用不同協議標準，也可以阻止外界非法訪問的入侵。還有，代理服務的網關可對數據封包進行驗證和對密碼進行確認等安全管制。

• 設置防火墻：防火墻的選擇應該適當，對于微小型的企業網絡，可從Norton Internet Security 、 PCcillin 、天網個人防火墻等產品中選擇適合于微小型企業的個人防火墻。而對于具有內部網絡的企業來說，則可選擇在路由器上進行相關的設置或者購買更為強大的防火墻產品。對于幾乎所有的路由器產品而言，都可以通過內置的防火墻防范部分的攻擊，而硬件防火墻的應用，可以使安全性得到進一步加強。

• 容災是在線過程；備份是離線過程。

• 容災系統中，兩地的數據是實時一致的；備份的數據則具有一定的時效性。

• 容災保證數據的完整性；備份則只能恢復出備份時間點以前的數據。

• 容災主要針對火災、地震等重大自然災害，因此備份中心與主中心間必須保證一定的安全距離；數據備份在同一數據中心進行。

• 容災系統不僅保護數據，更重要的目的在于保證業務的連續性;而數據備份系統只保護數據的安全性。

• 故障情況下，容災系統的切換時間是幾秒鐘至幾分鐘；而備份系統的恢復時間可能幾小時到幾十小時。