代碼靜態分析采用的技術有以下這些：

• 詞法分析技術：從左至右一個字符一個字符地讀入源程序，對構成源程序的字符流進行掃描，通過使用正則表達式匹配方法將源代碼轉換為等價的符號（Token）流，生成相關符號列表。

• 語法分析技術：判斷源程序結構上是否正確，通過使用上下文無關語法將相關符號整理為語法樹。

• 抽象語法樹分析技術：將程序組織成樹形結構，樹中的相關結點代表了程序中的相關代碼。

• 語義分析技術：對結構上正確的源程序進行上下文有關性質的審查。

• 控制流分析技術：生成有向控制流圖，用結點表示基本代碼塊，結點間的有向邊代表控制流路徑，反向邊表示可能存在的循環；還可生成函數調用關系圖，表示函數間的嵌套關系。

• 數據流分析技術：對控制流圖進行遍歷，記錄變量的初始化點和引用點，保存相關數據信息。通過靜態模擬應用程序的執行路徑，幫助用戶找到運行時才能暴露的一些嚴重錯誤，如資源泄漏、空指針異常、SQL注入及其他的安全性漏洞等潛在的運行時錯誤。

• 污點分析技術：“污點”是指所有來自不可靠數據源的數據，如用戶輸入、網絡等。基于數據流圖判斷源代碼中哪些變量可能受到攻擊，是驗證程序輸入、識別代碼表達缺陷的關鍵。

• 程序切片技術：將一個程序中用戶感興趣的代碼都抽取出來組成一個新的程序，這個新的程序就是源程序的切片，根據切片規則的不同，生成的切片也各不相同。

企業在 OT 安全管理方面普遍存在的問題是：

• 工業設備資產可視性嚴重不足：工業設備可視性不足嚴重阻礙了安全策略的實施。工業企業的 IT 團隊一般不負責 OT 的資產，而是由 OT 團隊負責 OT 資產。但因為生產線系統是歷經多年由多個自動化集成商持續建設的，因此 OT 團隊對 OT 資產的可視性十分有限，甚至沒有完整的 OT 資產清單，關于 OT 資產的漏洞基本無人負責和收集，也不能及時發現安全問題。在出現問題時，也僅能靠人員經驗排查，且排查過程耗費大量人力成本、時間成本。

• 工業設備缺乏安全設計：各類機床數控系統、PLC、運動控制器等所使用的控制協議、控制平臺、控制軟件等，在設計之初可能未考慮保密性、完整性、身份校驗等安全需求，存在輸入驗證不嚴格，許可、授權與訪問控制不嚴格，沒有身份驗證，配置維護不足，憑證管理不嚴，加密算法過時等安全隱患。例如，國產數控系統所采用的操作系統可能是基于某一版本的 Linux 系統進行裁剪的，所使用的內核、文件系統、對外服務等，一旦穩定后均不再修改，可能持續使用多年，有的甚至超過十年，而這些內核、文件系統、對外服務多年來暴露出的漏洞并未得到更新，安全隱患長期存在。

• OT 安全制度不完善管理不到位：在很多大中型工業企業中，IT 安全制度和管理措施一般比較到位，但 OT 安全制度和管理措施卻較為欠缺。目前，還未形成完整的制度保障 OT 安全，缺乏工業控制系統規劃、建設、運維、廢止全生命周期的安全需求和管理，欠缺配套的管理體系、處理流程、人員責任等規定。

• IT 和 OT 安全責任模糊：很多工業企業的信息中心管理 OT 網絡和服務器的連接與安全，但往往對于 OT 網絡中的生產設備與控制系統的連接沒有管轄權限。而這些設備、控制系統也是互聯的，有些就是基于 IT 實現的，如操作員站、工程師站等。因此，常見的 IT 威脅對 OT 系統也有影響。OT 的運維團隊一般會對生產有效性負責，但往往并不會對網絡安全性負責。對于很多工業企業來說，生產有效性通常都比網絡安全性更重要。

• IT 安全措施在 OT 領域幾乎無效：較多工業企業在 OT 設置中使用 IT 安全措施，但沒有考慮其對 OT 的影響。例如，國內某汽車企業，IT 安全團隊按照 IT 安全要求主動掃描 OT 網絡，結果導致汽車生產線 PLC 出現故障，引起停產。

• 工業主機幾乎 “裸奔”：工業企業的 OT 網絡中存在著大量工業主機，如操作員站、工程師站、歷史數據服務器、備份服務器等。這些 PC 或服務器中運行實時數據庫、監視系統、操作編程系統等，向上對 IT 網絡提供數據，向下對 OT 中的控制設備及執行器進行監視和控制，它們是連接信息世界和物理世界的 “關鍵之門”。但在實際生產環境中，這些工業主機基本沒有任何安全防護措施，即使有一部分有防護措施，也常因沒有及時更新而失效，工業主機幾乎處在 “裸奔” 狀態。近年來不斷發生的各類工業安全事件中，首先遭到攻擊或受影響的往往都是工業主機。

• 設備聯網混亂，缺乏安全保障：工業控制系統中越來越多的設備與網絡相連，如各類數控系統、PLC、應用服務器通過有線網絡或無線網絡連接，形成工業網絡；工業網絡與辦公網絡連接，形成企業內部網絡；企業內部網絡與外部云平臺、第三方供應鏈、客戶網絡連接，形成工業互聯網。但很多工業企業的 IT 和 OT 網絡并沒有進行有效的隔離，部分工業企業雖然進行了分隔，并設置了訪問策略，但有的員工為方便，私自設置各類雙網卡機器，使得 IT、OT 網絡中存在許多不安全、不被掌握的通信通道。

• OT 缺乏安全響應預案和恢復機制 IT 工作計劃和 OT 工作計劃往往是兩張皮，IT 安全事件響應計劃與 OT 之間的協調往往十分有限。很多 OT 網絡在制定生產事故應對計劃時，都沒有考慮過網絡安全事件的處理。同時，由于缺乏備份和恢復機制，OT 中的網絡安全事件恢復速度往往很慢。

• IT 和 OT 人員安全培訓普遍缺失：隨著智能制造的網絡化和數字化發展，OT 與 IT 在工業互聯網中高度融合。企業內部人員，如工程師、管理人員、現場操作員、企業高層管理人員等，其 “有意識” 或 “無意識” 的行為，可能會破壞工業系統、傳播惡意軟件或忽略異常情況。由于網絡的廣泛使用，這些影響將被放大。很多企業雖然有 IT 組織負責 IT 網絡安全，但其往往會忽視 IT 和 OT 之間的差異。IT 和 OT 人員的安全培訓普遍缺失。

• 工業數據面臨丟失、泄露、篡改等安全威脅：工業互聯網中的生產管理數據、生產操作數據，以及客戶信息和訂單數據等各類數據（無論數據是通過大數據平臺存儲的，還是分布在用戶、生產終端和設計服務器等多種設備中），都可能面臨丟失、泄露和篡改等安全威脅。

• 第三方人員管理體制不完善：大部分的企業會將設備的建設運維工作外包給設備商或集成商，尤其針對國外廠商，企業多數情況并不了解工業控制設備的技術細節，對于所有的運維操作無控制、無審計，留有安全隱患。

企業在 OT 安全管理方面存在問題的解決措施如下：

• 落實安全規章制度：都說無規矩不成方圓，在哪里都要守規矩，這一點在企業里尤為重要，企業辦法安全規章制度，員工們要嚴格遵守制度，包括外來人員進入企業也要遵守公司規章制度。如果企業規章制度成了一種形式，員工遵不遵守都可以，這樣還能確保安全問題嗎。另外，在有可能出現安全事故的地方，貼上標語等一些提醒物。避免安全事故的發生。

• 企業定期舉行安全教育會議：安全問題是一項不可忽視的重要問題，但是這個問題往往不被人重視。只有一遍一遍的強調才能深入人心。企業可以定期舉行教育會議，在會議上要不厭其煩的強調安全問題的重要性。另外還可以在通過宣傳欄宣布安全生產責任制，提高員工的安全意識，同時還要派專人監督，嚴格實施各項措施。

• 從細節做起：有的時候細節決定成敗。一個人如果細心，在周圍能發現很多別人發現不了的事情。在安全管理上如果能注重細節，一定會減少安全事故的發生。在工廠里，像一根鐵絲如果不小心同樣會引發安全事故，一個未掐滅的煙頭如果扔在易燃物旁邊，很可能會引發火災，到時候對企業造成的損失是不可估量的。企業里要安排人定期對線路進行排查，由于線路老化加上下雨同樣有可能會引發火災，這些都是微不足道的小事，但是往往這些小事會造成大問題。

• 實施安全獎懲制度：定期對安全管理的員工進行績效檢查，同時進行獎賞和懲罰，用來維護規章制度的嚴肅性，確保規章制度的實施。對于在公司違規的人進行處罰，不管是物質上的還是精神上的，都可以調動員工的積極性。雖然這種行為可能會造成一些員工的不滿，但是這確實是一種有效的方法，可以避免很多安全問題的發生。

網絡監聽是指監視網絡狀態、數據流程，以及網絡上信息傳輸。通常需要將網絡設備設定成監聽模式，就可以截獲網絡上所傳輸的信息。這是滲透測試使用的最好的方法。WiFi網絡有其特殊性，本文介紹如何監聽WiFi網絡。網絡監聽原理：

由于無線網絡中的信號是以廣播模式發送，所以用戶就可以在傳輸過程中截獲到這些信息。但是，如果要截獲到所有信號，則需要將無線網卡設置為監聽模式。只有在這種模式下，無線網卡才能接收到所有流過網卡的信息。

• 網卡的工作模式

  無線網卡是采用無線信號進行數據傳輸的終端。無線網卡通常包括4種模式，分別是廣播模式、多播模式、直接模式和混雜模式。如果用戶想要監聽網絡中的所有信號，則需要將網卡設置為監聽模式。監聽模式就是指混雜模式。

  （1）廣播模式（Broad Cast Model）：它的物理地址（Mac）是0Xffffff的幀為廣播幀，工作在廣播模式的網卡接收廣播幀。

  （2）多播傳送（MultiCast Model）：多播傳送地址作為目的物理地址的幀可以被組內的其他主機同時接收，而組外主機卻接收不到。但是，如果將網卡設置為多播傳送模式，它可以接收所有的多播傳送幀，而不論它是不是組內成員。

  （3）直接模式（Direct Model）：工作在直接模式下的網卡只接收目的地址是自己Mac地址的幀。

  （4）混雜模式（Promiscuous Model）：工作在混雜模式下的網卡接收所有的流過網卡的幀，通信包捕獲程序就是在這種模式下運行的。

  網卡的默認工作模式包含廣播模式和直接模式，即它只接收廣播幀和發給自己的幀。如果采用混雜模式，一個站點的網卡將接收同一網絡內所有站點所發送的數據包。這樣，就可以到達對于網絡信息監視捕獲的目的。

• 工作原理

  由于在WiFi網絡中，無線網卡是以廣播模式發射信號的。當無線網卡將信息廣播出去后，所有的設備都可以接收到該信息。但是，在發送的包中包括有應該接收數據包的正確地址，并且只有與數據包中目標地址一致的那臺主機才接收該信息包。所以，如果要想接收整個網絡中所有的包時，需要將無線網卡設置為混雜模式。

  WiFi網絡由無線網卡、無線接入點（AP）、計算機和有關設備組成，在該網絡中，正常情況下每個客戶端在接收數據包時，只能接收發給自己網卡的數據。如果要開啟監聽模式，將會收到所有主機發出去的信號。大部分的無線網卡都支持在Linux下設置為混雜模式，但是如果無線網卡的功率小的話，發射和接收信號都比較弱。如果用戶捕獲遠距離的數據包，接收到的信號又強，則建議使用一個功率較大的無線網卡。如拓實G618和拓實N95，都是不錯的大功率無線網卡。

簡單來說計算機病毒包括以下基本特征：

• 繁殖性：計算機病毒可以像生物病毒一樣進行繁殖，當正常程序運行時，它也在進行自我復制。是否具有繁殖、感染的特征，是判斷某段程序是否為計算機病毒的首要條件。

• 破壞性：計算機中毒后，可能會導致正常的程序無法運行，并刪除計算機內的文件或使其受到不同程度的損壞。如破壞引導扇區及BIOS、破壞硬件環境。

• 傳染性：計算機病毒的傳染性是指計算機病毒通過修改別的程序將自身的副本或其變體傳染到其他無毒的對象上，這些對象可以是一個程序也可以是系統中的某一個部件。

• 潛伏性：計算機病毒的潛伏性是指計算機病毒可以依附于其他媒體寄生的能力，侵入后的病毒會一直潛伏下去，直到條件成熟才發作，從而使計算機進行變慢。

• 隱蔽性：計算機病毒具有很強的隱蔽性，通過病毒軟件只能檢查出來少數，而且隱蔽性強的計算機病毒時隱時現、變化無常，處理起來非常困難。

• 可觸發性：編制計算機病毒的人，一般都為病毒程序設定了一些觸發條件，例如，系統時鐘的某個時間或日期、系統運行了某些程序等。一旦條件滿足，計算機病毒就會“發作”，使系統遭到破壞。

SN1PER

Sn1per是一種漏洞掃描程序，在掃描漏洞時非常適合進行滲透測試。

JOHN THE RIPPER

John the Ripper，簡稱為“John”，是一種流行的密碼破解測試工具，最常用于執行字典攻擊。

THC HYDRA

基本上THC Hydra是一個快速穩定的網絡登錄破解工具，它將使用字典或暴力攻擊來針對登錄頁面嘗試各種密碼和登錄組合。

CAIN AND ABEL HACKING TOOL

Cain和Abel是Microsoft Windows的密碼恢復工具，但它也可以被用作各種黑客用途，例如，白帽和黑帽黑客使用Cain使用網絡數據包嗅探等方法破解許多類型密碼，并使用該工具破解哈希密碼。

漏洞掃描是指基于漏洞數據庫，通過掃描等手段對指定的遠程或者本地計算機系統的安全脆弱性進行檢測，發現可利用漏洞的一種安全檢測(滲透攻擊)行為。漏洞掃描主要功能包括：

定期的網絡安全自我檢測、評估

配備漏洞掃描系統，網絡管理人員可以定期的進行網絡安全檢測服務，安全檢測可幫助客戶最大可能的消除安全隱患，盡可能早地發現安全漏洞并進行修補，有效的利用已有系統，優化資源，提高網絡的運行效率。

網絡建設和網絡改造前后的安全規劃評估和成效檢驗

網絡建設者必須建立整體安全規劃，以統領全局，高屋建瓴。在可以容忍的風險級別和可以接受的成本之間，取得恰當的平衡，在多種多樣的安全產品和技術之間做出取舍。配備網絡漏洞掃描/網絡評估系統可以讓您很方便的進行安全規劃評估和成效檢驗。

網絡承擔重要任務前的安全性測試

網絡承擔重要任務前應該多采取主動防止出現事故的安全措施，從技術上和管理上加強對網絡安全和信息安全的重視，形成立體防護，由被動修補變成主動的防范，最終把出現事故的概率降到最低。配備網絡漏洞掃描/網絡評估系統可以讓您很方便的進行安全性測試。

網絡安全事故后的分析調查

網絡安全事故后可以通過網絡漏洞掃描/網絡評估系統分析確定網絡被攻擊的漏洞所在，幫助彌補漏洞，盡可能多得提供資料方便調查攻擊的來源。

重大網絡安全事件前的準備

重大網絡安全事件前網絡漏洞掃描/網絡評估系統能夠幫助用戶及時的找出網絡中存在的隱患和漏洞，幫助用戶及時的彌補漏洞。

企業安全管理日志的原則有以下這些：

• 敏感數據模糊化：禁止在業務日志中記錄服務密碼等敏感信息。如果確實需要記錄敏感信息，則應進行模糊化處理。

• 防止業務日志欺騙：如果在生成業務日志時需要引入來自非受信源的數據，則應進行嚴格校驗，防止欺騙攻擊。

• 記錄關鍵業務操作日志：應記錄關鍵業務操作的日志，例如登錄成功與失敗、關鍵業務辦理、敏感數據查詢、敏感數據導入與導出等。

• 記錄應用系統運行日志：應記錄應用系統的啟停、異常、資源使用情況等。

• 業務日志安全存儲與訪問：禁止將業務日志保存到網頁目錄下，確保業務日志數據的安全存儲并嚴格限制業務日志數據的訪問權限。應對業務日志記錄進行簽名來實現防篡改。日志記錄應在線至少保存半年，離線保存 1 年。

• 確保日志完整性：在考慮業務系統穩定運行的前提下，應確保日志記錄完整，滿足安全管理要求。

• 禁止存儲敏感信息：日志記錄中禁止包含業務的敏感信息，避免因日志分析導致業務敏感數據泄密。

數字化終端及接入環境安全的預期成效有以下這些：

• 終端安全管理一體化：作為一個在數字化時代能夠保障業務安全有序運轉的機構，應充分考慮組織的管理模式和文化，在確保為終端用戶提供良好用戶體驗的基礎上，建設跨數字化終端類別的統一安全管理體系。終端安全管理一體化能夠充分考慮到辦公終端的多樣性，可以擬合PC終端、啞終端、服務器終端、移動終端，針對異構外設提供統一的安全管理能力；能夠在終端和接入環境上構建面向終端硬件、操作系統、應用軟件、數據資源、用戶身份、操作行為和末梢網絡的一體化安全技術棧；能夠充分考慮到終端管理的復雜性與完備性，提供殺毒、加固、管控、運維、準入、外設管理等多種管理能力，形成完備的終端管理一體化，充分支持企業安全治理工作。

• 終端威脅防御立體化：終端是安全的最后防線，所有威脅都會通過網絡空間的連接直接與終端發生關系。終端威脅防御立體化能夠在終端上提供架構安全防護、數據安全防護、被動防御、主動防御、行為管控、操作隔離等威脅立體化防御能力；能夠基于威脅維度、設備維度、數據維度、身份維度、大數據分析維度，充分解決已知、未知和APT（Advanced Persistent Threat，高級持續性威脅）攻擊等威脅。

• 終端安全運營數字化：基于數字化管理思想和指標化度量思想，制定和落實標準納管、分權操作、分級管控、集中分析、全局可視的安全運營目標，通過指標化運營提高整個終端安全建設的有效性。

• 終端安全建設協同化：充分利用終端的安全能力和數據資源，實現與企業數據安全、系統安全、身份安全、行為安全等其他安全運營目標的有效銜接和深度聚合，進而從容應對組織數字化轉型過程中不斷變化的邊緣側網絡安全風險。

網絡傳輸安全防護措施有以下四種：

• 加密機制：加密技術是將通信明文轉換成密文，信息以加密密文的方式在信道中傳輸，最終通過解密密鑰將密文解密為明文的過程。加密機制是一種基本的安全機制，可保障信息在信道中加密傳輸。加密算法需要進行復雜的運算，由于移動通信網絡中計算環境和通信環境有限，使得無線通信網絡在選用加密技術保護網絡保障網絡的安全性時必須選擇能夠適應無線通信網絡特點的密碼算法。

• 認證機制：完整性檢測技術用于提供消息認證的安全機制，為了抵抗惡意攻擊，完整性檢測技術需要加入秘密消息，攻擊者不知道秘密消息，所以不能生成有效的消息完整性碼。消息認證碼是典型的完整性檢測技術，將消息通過一個帶密鑰的雜湊函數產生一個消息完整性碼，并就這個消息完整性碼附在消息之后一起傳給接收方，接收方在收到消息后可以重新計算消息完整性碼，如果不相等，接收方就知道消息在傳輸過程中被篡改了。另外一種完整性檢測的方式是在雜湊函數生成的雜湊值的基礎上，對雜湊值進行加密，將信息和加密后的消息完整性碼一同發給接收方，接收方對消息完整性碼進行解密，與重新計算出的雜湊值進行比較，如果相同，則消息未被篡改，反之則被篡改。

• 數字簽名機制：數字簽名技術用于提供服務不可否認性的安全機制，使用較多的數字簽名技術是基于公鑰密碼技術。用戶利用密鑰對一個消息或該消息的雜湊值進行簽名，然后將消息和簽名一起傳給驗證方，驗證方利用簽名者公開的密鑰就可以鑒別簽名的真偽。

• 訪問控制策略：在移動通信網絡中，訪問控制的目的是為防止對網絡資源進行非授權的訪問，訪問控制支持數據的保密性及完整性。訪問控制能夠阻止非法用戶進入系統、允許合法用戶進入系統、使合法用戶按照各自的權限進行各項活動。訪問控制策略包括主動訪問控制和強制訪問控制。主動訪問控制由資源擁有者在辨別各用戶的基礎上實現接入控制，每個用戶的接入權限由資源的擁有者來設定；強制訪問控制由系統管理員統一管理系統的資源，并集中分配接入權限。

物聯網應用層的安全問題包括以下四個方面：

• 物聯網系統硬件安全：涉及信息存儲、傳輸、處理等過程中的各類物聯網硬件、網絡硬件以及存儲介質的安全。要保護這些硬件設施不受損壞，能正常提供各類服務。

• 物聯網系統軟件安全：涉及物聯網信息存儲、傳輸、處理的各類操作系統、應用程序以及網絡系統不被篡改或破壞，不被非法操作或誤操作，功能不會失效，不被非法復制。

• 物聯網系統運行安全：物聯網中的各個信息系統能夠正常運行并能及時、有效、準確地提供信息服務。通過對物聯網系統中各種設備的運行狀況進行監測，及時發現各類異常因素并能及時報警，采取修正措施保證物聯網系統正常對外提供服務。

• 物聯網系統數據安全：保證物聯網數據在存儲、處理、傳輸和使用過程中的安全。數據不會被偶然或惡意地篡改、破壞、復制和訪問等。

加強物聯網系統安全措施有以下這些：

• 交換默認密碼：增強物聯網安全性的最重要步驟是通過明智的方法。建議企業執行允許更改默認密碼的程序。應該為網絡上存在的每個物聯網設備實施此操作。此外，更新后的密碼需要及時更改。為了增加安全性，可以將密碼簡單地存儲在密碼庫中。此步驟可以防止未經授權的用戶訪問有價值的信息。

• 分離企業網絡：將其視為將公司網絡與不受管理的IoT設備分開的必不可少的步驟。這可以包括安全攝像機，HVAC系統，溫度控制設備，智能電視，電子看板，安全NVR和DVR，媒體中心，網絡照明和網絡時鐘。企業可以利用VLAN來分離并進一步跟蹤網絡上活動的各種IoT設備。這還允許分析重要功能，例如設施操作，醫療設備和安全操作。

• 將不必要的Internet接入限制到IoT設備：許多設備在過時的操作系統上運行。由于可能故意將任何此類嵌入式操作系統擴展到命令和直接位置，因此這可能成為威脅。過去曾發生過這樣的事件，即這些系統在從其他國家運出之前已經遭到破壞。徹底清除IoT安全威脅是不可能的，但是可以防止IoT設備在組織外部進行通信。這種預防措施顯著降低了潛在的物聯網安全漏洞的風險。

• 控制供應商對IoT設備的訪問：為了提高IoT安全性，一些企業限制了訪問不同IoT設備的供應商數量。作為一個明智的選擇，您可以將訪問權限限制在已經熟練工作的員工的嚴格監督之下。如果非常需要遠程訪問，請檢查供應商是否使用與內部人員相似的相同解決方案。這可能包括通過公司VPN解決方案的訪問。此外，企業應指派一名員工定期監督遠程訪問解決方案。該人員應精通軟件測試的某些方面，以熟練地完成任務。

• 整合漏洞掃描程序：使用漏洞掃描程序是檢測鏈接到網絡的不同類型設備的有效方法。這可以被視為企業提高IoT安全性的有用工具。漏洞掃描程序與常規掃描計劃配合使用，能夠發現與連接的設備相關的已知漏洞。您可以輕松訪問市場上幾種價格合理的漏洞掃描儀。如果不是漏洞掃描程序，請嘗試訪問免費的掃描選項，例如NMAP。

• 利用網絡訪問控制（NAC）：組織可以通過實施由適當的交換機和無線同化組成的NAC解決方案來成功提高IoT安全性。此設置可以幫助檢測大多數設備并識別網絡中有問題的連接。NAC解決方案（例如ForeScout，Aruba ClearPass或CISCO ISE）是保護企業網絡安全的有效工具。如果NAC解決方案不在預算范圍內，則可以利用漏洞掃描程序來實現此目的。

• 管理更新的軟件：擁有過時的軟件可以直接影響您組織的IoT安全。嘗試通過使它們保持最新狀態并更換硬件來管理IoT設備，以確保平穩運行。延遲更新可以證明是保護數據并引發嚴重的網絡安全漏洞的關鍵因素。

簡單來說計算機病毒包括以下基本特征：

• 繁殖性：計算機病毒可以像生物病毒一樣進行繁殖，當正常程序運行時，它也在進行自我復制。是否具有繁殖、感染的特征，是判斷某段程序是否為計算機病毒的首要條件。

• 破壞性：計算機中毒后，可能會導致正常的程序無法運行，并刪除計算機內的文件或使其受到不同程度的損壞。如破壞引導扇區及BIOS、破壞硬件環境。

• 傳染性：計算機病毒的傳染性是指計算機病毒通過修改別的程序將自身的副本或其變體傳染到其他無毒的對象上，這些對象可以是一個程序也可以是系統中的某一個部件。

• 潛伏性：計算機病毒的潛伏性是指計算機病毒可以依附于其他媒體寄生的能力，侵入后的病毒會一直潛伏下去，直到條件成熟才發作，從而使計算機進行變慢。

• 隱蔽性：計算機病毒具有很強的隱蔽性，通過病毒軟件只能檢查出來少數，而且隱蔽性強的計算機病毒時隱時現、變化無常，處理起來非常困難。

• 可觸發性：編制計算機病毒的人，一般都為病毒程序設定了一些觸發條件，例如，系統時鐘的某個時間或日期、系統運行了某些程序等。一旦條件滿足，計算機病毒就會“發作”，使系統遭到破壞。

工業互聯網安全主要對以下進行保護：

• 設備安全：設備安全包括工廠內單點智能器件、成套智能終端等智能設備的安全，以及智能產品的安全，具體涉及操作系統 / 應用軟件安全與硬件安全兩方面。

• 控制安全：控制安全包括控制協議安全、控制軟件安全及控制功能安全。

• 網絡安全：網絡安全包括承載工業智能生產和應用的工廠內部網絡、外部網絡及標識解析系統等的安全。

• 應用安全：工業互聯網應用主要包括工業互聯網平臺與軟件兩大類，其范圍覆蓋智能化生產、網絡化協同、個性化定制、服務化延伸等方面。

• 數據安全：數據安全包括生產管理數據安全、生產操作數據安全、工廠外部數據安全，涉及采集、傳輸、存儲、處理等各個環節的數據及用戶信息的安全。

密碼系統的安全性應滿足兩個方面，一方面是系統本身的安全性，即系統抗密碼分析的安全性；另一方面是系統中秘密密鑰的安全性，即秘密密鑰保管的安全性。

一個好的密鑰應具備：

（1）真正隨即、等概率

（2）避免使用特定算法的若密鑰

（3）滿足一定的數學關系

（4）易記而難猜中

（5）采用密鑰揉搓或雜湊技術，將易記的長句子經單向雜湊函數變換成偽隨機數串

選用VPN方案時基于用戶端的解決方案應注意以下幾個問題：

• 集中化策略管理：這是構建大規模VPN解決方案的關鍵。通過全面分布VPN配置和安全策略實現集中控制，策略管理簡化了VPN開通和管理工作。供應商網絡成為一個一體化系統，而不是不同產品拼湊在一起的集合，它能夠為網絡上任何地方的任何服務集中提供支持。

• 強大的安全和認證：VPN解決方案與防火墻一樣關鍵。服務平臺應能夠緊密地與其他企業防火墻和入侵檢測系統實現同步管理。平臺中應包括一個緊密集成的經過ICSA認證的防火墻。為了實現用戶認證功能，平臺應支持Secure ID令牌或X.509數字證書。應避免采用通用操作系統作為VPN設備的基礎，因為這些操作系統可能存在安全漏洞。

• 全面集成：由于VPN是保證商業合作伙伴和企業客戶安全通信的網絡，因此產品線中必須全面集成和管理一套互補的技術和設備。VPN可以使用專用VPN路由器構建，也可以把VPN網關附加連接在現有的路由器上。下一代VPN路由器將是專用的，提供緊密集成的IP路由、安全、防火墻和帶寬管理功能。VPN網關通常是一種低成本設備，它將在過去安裝的IP網絡之上，疊加提供隧道加密和防火墻服務等功能。

• 符合標準：安全VPN采用的標準是網際安全協議（IPSec），這是一項Internet工程任務小組（IETF）標準，并不是所有供應商都部署了帶有128位IPSec加密技術的管理型VPN服務。

• 多個認證中心（CA）支持：企業不應局限于專有的認證中心（CA）或認證注冊協議，通過支持多個CA，如Entrust和VeriSign，網絡管理員可以選擇最優秀的公共密鑰基礎設施（PKI）技術。

• 硬件加速加密：執行加密和解密要求具備密集型處理能力，特別是在執行自動密鑰交換時。對T-3之類的高速應用，服務平臺應具有硬件加速加密功能。低速應用可以運行基于軟件的加密功能。

• 擴充能力：大多數企業面臨著不斷變化的網絡需求，包括更快速的連接和越來越多的連接位置。實現VPN解決方案后，不必更換所有硬件和軟件。VPN體系結構至少應支持數十臺VPN網關和數千個VPN客戶端。

針對Web服務器的攻擊可收集的信息主要包括以下幾類：

• 地址信息：包括服務器的IP地址、DNS域名、打開的端口號及對應的服務進程等。

• 系統信息：包括操作系統類型及版本、Web服務器軟件類型及版本、Web應用程序及版本、Web應用程序的開發工具及版本、Web應用程序架構（是靜態HTML頁面，還是PHP、APS、JSP動態頁面等）、數據庫管理系統的類型及版本等。

• 賬戶信息：包括操作系統的登錄賬戶、數據庫管理系統的賬戶、應用系統的管理賬戶等。

• 配置信息：包括網絡拓撲結構、地址映射表（當Web服務器位于內部局域網中使用私有IP地址時）、服務配置信息、共享資源、防火墻類型及配置信息、身份認證與訪問控制方式、加密及密碼管理機制等。

• 其他信息：包括安全漏洞（軟件漏洞和管理漏洞）、DNS注冊信息、網絡管理員聯系方式等。