防御App獲取后端數據的方法有以下三種：

• 不能相信任何用戶的輸入，服務器端必須做校驗。為了防止提交URL篡改；

• 為了防止為重放攻擊，請求中增加一次性的Token，或者短時間內有效的Token。需要提取用戶手機特征，但是iphone最好不要提取IMEI，因為蘋果權限控制，很多時候為失效狀態，導致URL簽名沒有變化；

• 客戶端最好不要存儲任何有價值的數據。存儲也必須加密。

基于SIP的VoIP安全威脅：

• 注冊攻擊：SIP的注冊機制是根據From域中的標識ID來決定是否添加或者修改To域中的Contact地址。SIP協議允許第三方代表用戶注冊聯系信息，From字頭又可以由用戶代理（User Agent，UA）的所有者改寫，這就給攻擊者惡意注冊提供了方便。注冊攻擊就是攻擊者向注冊服務器偽造注冊行為，例如，攻擊者注冊其設備作為被攻擊對象的聯系地址，同時注銷被攻擊對象的聯系地址。這樣所有的發向被攻擊者的請求都將被導向到攻擊者的設備。

• 偽造：攻擊者改變消息的頭域和消息體，接收者則認為是非發起者發出的請求。請求偽造就是模仿消息發出者的身份欺騙合法的接收者。

• 篡改：用戶代理向某服務器請求通信時，攻擊者可以假冒該服務器做出應答，而用戶代理無法識別該應答是否來自于期望的服務器。攻擊者篡改應答消息，并在該應答中增加Record-Route字段頭，就可以使該攻擊者始終處于信令路徑上，從而進行有效的監聽。

• 監聽：SIP消息頭會暴露通信方式（如網絡的拓撲結構）等信息，SIP消息體也會暴露一些不能公開的用戶信息（如媒體流格式、編碼方式、IP地址和端口等），甚至是會話加密密鑰。這些信息都面臨監聽的威脅，需要保密。

• DoS攻擊：SIP代理服務器接受來自因特網的請求，因此成為潛在的DoS攻擊的目標。攻擊者可以發出包含偽IP地址及其相關的Via頭域的請求，這個Via頭域標志了被攻擊的主機地址。當攻擊者發送這個請求給大量的SIP節點，SIP的UA或者代理服務器就會給被攻擊的主機產生大量的垃圾應答，從而形成拒絕服務攻擊。與此類似，攻擊者偽造的請求中Route頭域值來標志被攻擊的目的主機，并且把這個消息發送到分支代理服務器，這些分支代理服務器會加大請求數量發送給目標主機。SIP支持派生代理，即一個Invite請求，可以被該派生代理生成出多個請求發給該用戶的不同位置，派生代理的開銷比較大，攻擊者只要簡單向SIP服務器提交大量的服務請求，導致DoS攻擊。

• 保密性-secrecy

這個屬性指的就是要求所保護的信息不能被未經授權的個人、實體或者過程利用或熟悉的特性。比如在電視劇《神話》當中，秦始皇陵完整的圖紙只有負責整個項目的總監造才允許看，手下其他三人只有部分圖紙，不能看到完整圖紙，要是看到了就要挖去雙眼，這個體現的就是保密性。

• 完整性-integrity

這個屬性指的是保護資產的準確和完整的特性，在信息傳輸的過程中，如果信息的完整性受到影響，比如企業的各類報表，如果缺少了一部分，那影響也是巨大的，出現這種問題，我們也可以看做是信息安全受到了威脅。

• 可用性-availability

這個屬性指的是已經授權的實體要求可訪問和利用的特性。信息要方便、快捷，不能因為其他特性影響了數據的正常使用，這個也同樣要求即時是未授權的人或者實體獲得了，那對方也無法使用或者查看你的信息內容。

• Palo Alto Networks 防火墻

Palo Alto Networks 防火墻提供一個可用于執行防火墻管理功能的帶外管理端口 (MGT)。通過使用該MGT 端口，可以將防火墻的管理功能與數據處理功能分開，從而保護對防火墻的訪問權并提高性能。

• Checkpoint 防火墻

Check Point 的下一代防火墻 (NGFW) 繼續側重于增強威脅防護技術，包括反勒索軟件和 CPU 級仿真能力，提供跨所有網絡分段的最具創新性和有效性的安全防護，能夠隨時隨地保護客戶免受任何威脅。

• Cisco ASA 防火墻

Cisco ASA 5500 系列自適應安全設備提供了整合防火墻、入 侵保護系統（IPS）、高級自適應威脅防御服務，其中包括應用安全和簡化網絡安全解決方案的VPN服務。

• H3C 防火墻

H3C 新一代F100系列防火墻是H3C公司推出的新一代防火墻產品，能夠滿足中小企業不斷變化的網絡環境和日益豐富網絡應用的需要。新一代F100系列防火墻繼承H3C一貫的高性能、高可靠硬件平臺，能夠為用戶提供線速、穩定的應用體驗。新一代F100系列防火墻不但可以提供傳統的基礎安全功能，如狀態檢測、NAT、VPN、鏈路負載均衡等；同時通過統一的軟件平臺和處理引擎，新一代F100系列防火墻有效整合防火墻、入侵防御、應用層流量識別與控制、防病毒功能，為用戶提供一體化的應用安全防護。

• 山石防火墻

山石網科 Web 應用防火墻（WAF）是新一代專業的Web 應用安全防護產品，在Web資產發現、漏洞評估、流量學習、威脅定位等方面全面應用智能分析和語義分析技術，幫助用戶輕松應對應用層風險，確保網站全天候的安全運營。

• 綠盟防火墻

綠盟Web應用防火墻（簡稱WAF），用黑、白名單機制相結合的完整防護體系，將多種Web安全檢測方法連結成一套完整（COMPLETE）的解決方案，并整合成熟的DDoS攻擊抵御機制，能在IPv4、IPv6及二者混合環境中全面防御包括OWASP TOP10在內的多種Web攻擊，保衛您的Web應用免遭當前和未來的安全威脅。

• 天融信防火墻

天融信防火墻是天融信公司憑借多年以來積累的安全產品研發與部署經驗，為適應各個行業不同的網絡應用環境，以及滿足各類用戶差異化的安全 防護需求，設計并研發的多業務高性能千兆防火墻系列產品。通過天融信防火墻產品來解決客戶的具體安全需求。

• 主機審計

主機審計包含 Windows、Linux、Unix 等操作系統類型。包含客戶機和服務器的審計。當然針對服務器的又衍生出了獨立的服務器審計、服務器加固產品。

• 網絡審計

目前網絡審計和入侵檢測的融合度非常高，但是一般而言，除了入侵行為審計，還應具備 HTTP 審計、POP3/SMTP 審計、Telnet 審計、FTP 審計等。當然這里又有的地方和上網行為管理、上網行為審計有關。

• 數據庫審計

數據庫審計的形式一般有兩種：硬件旁路、軟件 Agent。前者部署便捷對主機無損耗、后者功能強大但易有兼容性問題。

• 運維審計

常見的產品名稱一般為：內控堡壘主機、運維操作審計。主要針對的設備：路由器、交換機、Windows 服務器、Unix 服務器、利用命令行操作的數據庫等。操作方式兼容：SSH、Telnet、RDP、X-Win、VNC、Rlogin、FTP 等。

• 日志審計

通過 syslog、SNMP Trap、FTP、Agent 等方式接收網絡中 “幾乎所有設備、軟件、應用” 的日志信息。

• 業務審計

針對企業的 OA、ERP、財務軟件、繳費軟件等具體業務做審計，幾乎全部需要定制開發，所以市面上做的不算特別多，即使在做一般也不會大張旗鼓的宣傳。

• 配置審計

如果是基于等級保護來做，那么公安的檢查標準里面有一項是針對 Windows、Linux 主機的安全檢查。

對抗網絡釣魚的多層、縱深防御方法的三大要素：

• 安全政策、流程和文件

  企業必須為員工和供應商制定關于設備、服務，以及個人責任范圍內允許和不允許的行為指導方針。

  可接受使用政策(AUP)是一個關鍵組成部分，每個人每年都必須對其進行記錄、閱讀、簽署和審查。員工必須就安全意識培訓的重要性、他們的流程將如何被監控，以及未能通過模擬練習和測試任何潛在的后果（進一步培訓、咨詢、互聯網訪問被鎖定等）進行透明的交流。

• 技術防御

  雖然策略是防止網絡釣魚的重要戰略基礎，但擁有適當的技術防御可以有效地對抗網絡釣魚攻擊。流行的縱深防御方法有惡意軟件緩解、內容過濾、電子郵件客戶端特定保護、多因素身份驗證、信譽服務、密碼管理器等等。

• 安全意識培訓

  僅靠技術保障不足以提供針對網絡釣魚的最終保護，模擬網絡釣魚有助于培養懷疑態度，并將員工的網絡釣魚傾向(PPP)降低。雇主的積極強化，例如特別公眾認可、禮券、披薩派對，甚至現金獎勵，都可以對采取健康的安全態勢產生積極影響。

  網絡釣魚易感性與智商無關。更高的智商并不意味著你不會被釣魚；一些最聰明的人已經成為網絡釣魚攻擊的犧牲品。幫助組織的是采用多層次的方法——將正確的政策和技術防御與發展肌肉記憶相結合，使人們習慣于識別、拒絕和報告網絡釣魚企圖。縱深防御方法是提高公司網絡彈性的良好開端。

數據防泄漏設備必備以下功能：

• 透明加解密技術功能：為機密或敏感文檔提供加密保護，在不影響用戶正常使用的情況下，達到防止機密數據資產被盜、丟失的效果。

• 文檔保護功能：通過文檔讀寫控制、拖放、剪貼板控制、打印控制、截屏控制、內存竊取控制等技術，防止機密數據泄露。

• 強制訪問控制功能：根據用戶的身份和權限，以及文檔的保密級別，可以對機密文檔進行多種訪問權限控制，如共享與交流、帶出或解密等。

• 文件審計功能：可以有效審計用戶對加密文件的日常操作事件。

• 郵件監控功能：監控并自動分析所有外發的電子郵件，對違反數據安全策略的郵件立即阻止或發起人工審批過程。

• 文檔傳播全過程審計：細致記錄文檔通過打印機、外部設備、即時通訊工具、郵件等工具進行傳播的過程，有效警惕重要資料被隨意復制、移動造成外泄。

• 桌面行為全面審計：還擁有屏幕監視功能，能夠對用戶的行為進行全面且直觀的審計。通過對屏幕進行監視，企業甚至可以了解到用戶在ERP系統或者財務系統等信息系統中執行了哪些操作。

• 文檔操作管控：控制用戶對本地、網絡等各種位置的文件甚至文件夾的操作權限，包括訪問、復制、修改、刪除等，防范非法的訪問和操作，企業可以根據用戶不同的部門和級別設置完善的文檔操作權限。

物聯網網絡層面臨的主要威脅有以下方面：

• 拒絕服務攻擊：物聯網終端數量巨大且防御能力薄弱，攻擊者可將物聯網終端變為傀儡，向網絡發起拒絕服務攻擊。

• 假冒基站攻擊：2G GSM網絡中終端接入網絡時的認證過程是單向的，攻擊者通過假冒基站騙取終端駐留其上，并通過后續信息交互竊取用戶信息。

• 基礎密鑰泄露威脅：物聯網業務平臺WMMP協議以短信明文方式向終端下發所生成的基礎密鑰。攻擊者通過竊聽可獲取基礎密鑰，任何會話無安全性可言。

• 隱私泄露威脅：攻擊者攻破物聯網業務平臺之后，竊取其中維護的用戶隱私及敏感信息。

• IMSI暴露威脅：物聯網業務平臺基于IMSI驗證終端設備、SIM卡及業務的綁定關系，這就使網絡層敏感信息IMSI暴露在業務層面，攻擊者據此獲取用戶隱私。

物聯網安全威脅的防護措施如下：

• 密碼技術：密碼技術可以有效保障數據的機密性和完整性，物聯網雖區別于傳統網絡，但其仍依托于互聯網，所以傳統的密碼防護技術對其仍然適用。基于密碼技術對認證機制和加密機制進行安全加固，能夠實 現數據傳輸的可用性、機密性、完整性、不可否認性、數據新鮮性。一是通過數據編碼和校驗提高數據的完整性。二是通過數據加密技術確保數據的安全保密性。三是建立專用的數據傳輸通信協議，提高傳輸信道的抗干擾能力。四是采取數據加密認證技術，確保用戶的合法接入。開發人員可以調用安 全應用程序編程接口（Application Programming Interface，API）來實現加密、認證等功能以確保數據在存儲和傳輸過程中的完整性。通常API會被封裝為基礎加密庫，可以在各種管理、網絡或數據應用的二進制文件中調用，也可以將基礎加密庫嵌入安全芯片。

• 身份認證與訪問控制技術：采用身份認證和訪問控制技術，能夠有效抑制終端設備被控制、信息被篡改的安全問題。通過預設的認證方式確認用戶真實身份，對感知節點的接入進行合法性檢測認證，達到保護節點安全的作用。對于物聯網的訪問控制技術，很難實現傳統網絡基于角色的靈活訪問控制策略，可以通過設置禁止訪問未授權資源的訪問控制策略，提高物聯網傳輸、存儲信息的安全性。

• 網絡安全接入技術：物聯網路由通常需要跨多種網絡，有基于IP的路由協議，有基于標識的路由算法。多種網絡融合的路由問題，最終都將終端身份標識映射為IP地址，實現基于IP的統一路由。采用完善的路由控制技術，能夠降低非法設備入侵系統對物聯網設備造成安全威脅，實現對非法入侵用戶的阻隔。在物聯網的感知層，傳感器的安全運行幾乎全部依賴于網絡安全接入技術，感知層的路由程序在接收到威脅時會自動阻斷節點或啟動自毀，入侵者則無法繼續從路由節點獲取數據。對于路由安全控制，目前常用輕量級密碼算法、密碼協議和安全加密等技術實現。

• 采用硬件保護措施：采用安全硬件保護機制能夠抵御逆向分析和非授權訪問行為，是物聯網有效的安全控制措施之一。例如采用ARM Trust Zone技術，開發安全驅動程序運行在可信環境中精簡的微內核之上，通過API提供的命令實現可信環境與不可信環境之間的交互。

• 物理安全策略:制定物理安全策略的目的是保護計算機系統、交換機、路由器、服務器、打印機等硬件實體和通信鏈路免受自然災害、人為破壞和搭線竊聽等攻擊；驗證用戶身份和使用權限，防止用戶越權操作；確保網絡設備有一個良好的電磁兼容環境；建立完備的機房安全管理制度，防止非法人員進入網絡中心進行偷竊和破壞活動等。

• 訪問控制策略:訪問控制的主要任務是保證網絡資源不被非法使用和訪問。它通過減少用戶對資源的訪問來降低資源被攻擊的概率，以達到保護網絡系統安全的目的。訪問控制策略是保證網絡安全最重要的核心策略之一，是維護網絡系統安全、保護網絡資源的重要手段。

• 信息加密策略:信息加密的目的是要保護網絡系統中存儲的數據和在通信鏈路上傳輸的數據安全。網絡加密可以在數據鏈路層、網絡層和應用層實現，用戶可根據不同的需要，選擇適當的加密方式。加密是實現網絡安全的最有效的技術之一。

• 安全管理策略:在網絡安全中，加強網絡的安全管理，制定有關規章制度，對確保網絡的安全、可靠運行，起到十分有效的作用。使用計算機網絡的各企事業單位，應建立相應的網絡安全管理辦法，加強內部管理，提高整體網絡安全意識。網絡安全管理策略包括：確定安全管理等級和安全管理范圍，制定有關網絡操作使用規程和人員出入機房管理制度，制定網絡系統的維護制度和應急措施等。

操作系統安全加固要考慮以下方面：

• 端口和進程：網絡操作系統使用進程向外提供服務，減少無用軟件及服務的任務就是要在所有系統進程中找出多余進程。由于進程通過打開網絡端口向外提供服務，所以找出多余進程的最快方法是觀察進程及端口對應表。Netstat命令顯示協議統計和當前的TCP/IP網絡連接，該命令只有在安裝了TCP/IP協議后才可以使用。通過使用該命令可以列出一個系統上所有打開的TCP/IP網絡監聽端口。這些打開著的端口正是入侵者所要攻擊的，因為它們通向系統平臺內部。因此，作為平臺加固的一部分，用戶使用Netstat命令來識別出無關端口，并由此找到需要刪除或禁用的服務。

• 安裝系統補丁：所有軟件都有缺陷。為了修復這些錯誤，供應商會發布軟件補丁。如果沒有這些補丁，組織很容易遭受攻擊。在有很嚴格的更改控制策略的組織中，及時安裝補丁會是一個問題。對補丁的徹底測試是這個過程的關鍵部分，因為供應商在解決舊問題時，有可能會引入新的問題。而對于和安全缺陷無關的補丁來說沒有問題。但是，入侵者搜索和利用安全弱點的速度很快，所以要求有更快的安全補丁修正過程。企業必須注意安全補丁的發布，并隨時準備快速地使用它們。

• 用戶賬戶：用戶賬戶標識了需要訪問平臺資源的實體（無論是應用程序進程還是人）。操作系統通過權限和優先權將用戶賬戶與其訪問控制系統相關聯。因為用戶賬戶是合法進入系統的機制，所以入侵者常常試圖利用用戶賬戶管理和訪問控制中的缺陷。如果可以作為合法用戶輕松地登錄系統，那么為什么還要浪費時間去做自定義緩沖器溢出攻擊呢？用戶賬戶管理的弱點有5個方面：弱密碼、制造商默認的賬戶、基于角色的賬戶、公司默認賬戶，以及廢棄賬戶。在任何情況下，平臺加固的目標是將用戶賬戶數目減少到所需的絕對最小值。

• 用戶特權：為每一個用戶指派通常只能作為超級用戶運行的特定的應用程序和功能，而不是真正地使用超級用戶賬戶。也可以啟用詳細的日志記錄，使得可以根據任何運行于超級用戶功能追蹤到某個特定的用戶。在特定的應用中，意味著沒有人使用過超級用戶賬戶。

• 文件系統安全：通過在程序文件上設置SUID標志，某一個進程可以臨時提升其特權用以完成某項任務（例如，訪問文件passwd）。當程序執行時，可以暫時得到這些額外的特權而不用被全授予如此高的特權。這個SUID標志常常過度使用，當它與被黑客修改過的軟件包結合時，被修改的程序執行后會使某個用戶得到全時提升的系統權利。UNIX系統可能有很多帶有這個標志的組件，但是通常只需要它們中的一小部分。建議使用命令從整個系統中刪除不需要SUID標志程序的SUID標志。

• 遠程訪問的安全：Telnet和rlogin是UNIX系統上最常用的遠程訪問方式。這些系統都不采用加密技術來保護遠程訪問會話。一種被動的網絡監聽攻擊可以看到用戶在進入Telnet或者rlogin會話中按下的每一個鍵。安全Shell（SSH）是一種在UNIX及Window系統上使用的軟件包，它提供與Telnet和rlogin相同功能，但增加了加密會話功能。這個軟件包已經成為用加密和訪問控制的各種可配置級別進行安全遠程訪問的行業標準。

漏洞掃描和滲透測試主要有以下區別：

• 概念不同：滲透測試這一過程包括對系統的任何弱點、技術缺陷或漏洞的主動分析，而分析是從一個攻擊者可能存在的位置來進行的，并且從這個位置有條件的主動利用安全漏洞。漏洞掃描簡稱漏掃，是指基于漏洞數據庫，通過掃描等手段對指定的遠程或本地計算機系統的安全脆弱性進行檢測、發現可利用漏洞的一種安全檢測手段。漏洞掃描一般可分為網絡掃描和主機掃描。

• 操作方式不同：滲透測試的一般過程主要有明確目標、信息收集、漏洞探測、漏洞驗證、信息分析、獲取所需、信息整理、形成測試報告。漏洞掃描是在網絡設備中發現已經存在的漏洞，比如防火墻、路由器、交換機、服務器等各種應用，該過程是自動化的，主要針對的是網絡或應用層上潛在的及已知的漏洞。漏洞的掃描過程中是不涉及漏洞利用的。

• 性質不同：滲透測試的侵略性要強很多，它會試圖使用各種技術手段攻擊真實生產環境；相反，漏洞掃描只會以一種非侵略性的方式，仔細地定位和量化系統的所有漏洞。

• 消耗的成本時間不同：滲透測試需要前期進行各種準備工作，前期信息資產收集的越全面，后期的滲透就會越深入，不僅是一個由淺入深的過程，更是一個連鎖反應；而漏洞掃描相比來說消耗的時間要少很多。

DTD 聲明類型是：

• DTD 是一套關于標記符的語法規則。它是XML1.0版規格的一部分,是XML文件的驗證機制,屬于XML文件組成的一部分。

• DTD 是一種保證XML文檔格式正確的有效方法，可以通過比較XML文檔和DTD文件來看文檔是否符合規范，元素和標簽使用是否正確。XML文件提供應用程序一個數據交換的格式,DTD正是讓XML文件能夠成為數據交換的標準,因為不同的公司只需定義好標準的DTD,各公司都能夠依照DTD建立XML文件,并且進行驗證,如此就可以輕易的建立標準和交換數據，這樣滿足了網絡共享和數據交互。

• DTD文件是一個ASCII的文本文件，后綴名為.dtd。

Web 瀏覽器安全技術有以下這些：

• 安全配置Web服務器：充分利用Web服務器本身擁有的如主目錄權限設定、用戶訪問控制、IP地址許可等安全機制，進行合理的有效的配置，確保Web服務的訪問安全。

• 網頁防篡改技術：將網頁監控與恢復結合在一起，通過對網站的頁面進行實時監控，擊動發現網頁頁面內容是否被非法改動，一旦發現被非法篡改，可立恢復被篡改的網頁。

• 反向代理技術：當外網用戶訪問網站時，采用代理與緩存技術，使得訪問的是反向代理系統，無法直接訪問Web服務器系統，因此也無法對Web服務器實施攻擊。反向代理系統會分析用戶的請求，以確定是直接從本地緩存中提取結果，還是把請求轉發到Web服務器。由于代理服務器上不需要處理復雜的業務邏輯，代理服務器本身被入侵的機會幾乎為零。

• 蜜罐技術：蜜罐系統通過模擬Web服務器的行為，可以判別訪問是否對應用服務器及后臺數據庫系統有害，能有效地防范各種已知及未知的攻擊行為。對于通常的網站或郵件服務器。攻擊流量通常會被合法流量所淹沒。出對店而蜜罐進出的數據大部分是攻擊流量。因而，瀏覽數據、查明攻擊者的實際行為也就容易多了。

默認情況下，安裝完成Windows Server 2008后，系統自動賦予某些用戶賬戶和組部分權限。為了確保系統安全和磁盤安全，建議系統管理員對默認的磁盤權限進行調整，僅授予Administrators和SYSTEM才可以訪問的權限即可。具體操作如下。

1. 打開“我的計算機”窗口，顯示當前系統安裝的所有系統磁盤。右擊“本地磁盤”圖標，在彈出的快捷菜單中選擇“屬性”命令，顯示“磁盤屬性”對話框。切換到“安全”選項卡，單擊“編輯”按鈕，即可編輯希望賦予權限的用戶或組，如圖所示。

2. 選中需要刪除的權限，如Users，單擊“刪除”按鈕，刪除Users訪問權限。

3. 單擊“確定”按鈕，完成權限訪問的設置。

這樣系統磁盤C只有SYSTEM和Administrators的用戶才具備訪問的權限，可以有效地防止非授權用戶的訪問。

網站等級保護的主要目的如下：

• 降低信息安全風險，提高信息系統的安全防護能力：開展信息安全等級保護的最重要原因是為了通過等級保護工作，發現單位系統內部存在的安全隱患和不足，通過安全整改之后，提高信息系統的信息安全防護能力，降低系統被各種攻擊的風險。

• 等級保護是我國關于信息安全的基本政策：《國家信息化領導小組關于加強信息安全保障工作的意見》（中辦發[2003]27 號，以下簡稱“27號文件”）明確要求我國信息安全保障工作實行等級保護制度。2007年6月發布的關于印發《信息安全等級保護管理辦法》的通知（公通字[2007]43號，以下簡稱“43號文件”）。2016年11月7日第十二屆全國人民代表大會常務委員會第二十四次會議通過《中華人民共和國網絡安全法》，網絡安全法第二十一條明確規定：國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求，履行下列安全保護義務，保障網絡免受干擾、破壞或者未經授權的訪問，防止網絡數據泄露或者被竊取、篡改。

• 合理地規避風險：等保工作有沒有開展就是衡量一個企業信息安全與否的一個重要標準，不僅可以有效的解決和規避安全風險，同時等級保護也是是國家基本信息安全制度要求。