針對Web服務器的攻擊可收集的信息主要包括以下幾類：

• 地址信息：包括服務器的IP地址、DNS域名、打開的端口號及對應的服務進程等。

• 系統信息：包括操作系統類型及版本、Web服務器軟件類型及版本、Web應用程序及版本、Web應用程序的開發工具及版本、Web應用程序架構（是靜態HTML頁面，還是PHP、APS、JSP動態頁面等）、數據庫管理系統的類型及版本等。

• 賬戶信息：包括操作系統的登錄賬戶、數據庫管理系統的賬戶、應用系統的管理賬戶等。

• 配置信息：包括網絡拓撲結構、地址映射表（當Web服務器位于內部局域網中使用私有IP地址時）、服務配置信息、共享資源、防火墻類型及配置信息、身份認證與訪問控制方式、加密及密碼管理機制等。

• 其他信息：包括安全漏洞（軟件漏洞和管理漏洞）、DNS注冊信息、網絡管理員聯系方式等。

以下常見的軟件問題可能導致網絡缺陷：

• 軟件開發安全意識淡薄：傳統軟件開發更多的重視軟件功能，而不注重對安全風險的管理。軟件開發公司工期緊、任務重，為爭奪客戶資源、搶奪市場份額而倉促發布軟件。軟件開發人員將軟件功能視為頭等大事，對軟件安全架構、安全防護措施認識不夠，只關注是否實現需要的功能，不從“壞人”的角度來思考軟件安全問題。

• 軟件開發缺乏安全知識：傳統軟件公司中，公司管理層和軟件開發人員都缺乏軟件安全開發知識，不知道如何才能更好地實現安全的軟件。公司管理層缺乏軟件安全開發的管理流程、方法和技巧，缺少正確的安全經驗積累和培訓教材。軟件開發人員大多數僅僅從學校學會編程技巧，不了解如何將軟件安全需求、安全特性和編程方法進行結合。

• 軟件趨向大型化和復雜化：現代軟件功能越來越強，功能組件越來越多，軟件也變得越來越復雜。可以看出，操作系統的代碼量是相當驚人的，而且隨著版本的更新，代碼量迅速增加。現在基于網絡的應用系統更多地采用了分布式、集群和可擴展架構，使得軟件的內部結構錯綜復雜。研究顯示，軟件漏洞的增長同軟件復雜性、代碼行數的增長呈現正相關的關系，即“代碼行越多，缺陷也就越多”。

• 軟件第三方擴展增多：目前軟件應用向可擴展化方向發展，成熟的軟件也可以接受開發者或第三方的擴展，系統功能得到擴充，以滿足用戶不同的需求。如Firefox和chrome瀏覽器支持第三方插件、Windows操作系統支持動態加載第三方驅動程序、Word和Excel等軟件支持第三方腳本和組件運行等，這些可擴展性在增加軟件功能的同時，也加重了軟件的安全問題。

• 軟件使用場景更具威脅：計算機網絡技術拓展了軟件的功能范圍和使用的方便程度，軟件應用獲得了極大的發展。與此同時，網絡環境也給攻擊者帶來了更多的機會，給軟件帶來了更大風險。由于軟件被應用于各種環境，會面對不同層次的使用者，這使得軟件開發需要考慮更多的安全問題。同時，黑客和惡意攻擊者可以比以往獲得更多的時間和機會來訪問軟件系統，并嘗試發現軟件中存在的安全漏洞。

滲透測試者必須：

保留在其專業工作中獲得的私人和機密信息。
切勿故意使用非法或不道德獲得或保留的軟件或過程。
不要與惡意黑客聯系，也不要從事任何惡意活動。
確保所有滲透測試活動均得到授權并在法律限制內。
確保在所有職業任務中始終保持道德操守和職業關懷，而不會產生偏見。
僅在擁有所有者的知識和同意的前提下，以適當的授權方式使用客戶或雇主的財產。

開源防火墻產品主要以軟件模式存在，防火墻的主要產品類型如下：

• 網絡防火墻

  網絡防火墻的產品特點是部署在不同安全域之間，解析和過濾經過防火墻的數據流，具備網絡層訪問控制及過濾功能的網絡安全產品。

• Web 應用防火墻

  Web 應用防火墻的產品特點是根據預先定義的過濾規則和安全防護規則，對所有訪問 Web 服務器的 HTTP 請求和服務器響應進行 HTTP 協議和內容過濾，并對 Web 服務器和 Web 應用提供安全防護的網絡安全產品。

• 數據庫防火墻

  數據庫防火墻的產品特點是基千數據庫協議分析與控制技術，可實現對數據庫的訪問行為控制和危險操作阻斷的網絡安全產品。

• 主機防火墻

  主機防火墻的產品特點是部署在終端計算機上，監測和控制網絡級數據流和應用程序訪問的網絡安全產品。

• 工控防火墻

  工控防火墻的產品特點是部署在工業控制環境，基千工控協議深度分析與控制技術，對工業控制系統、設備以及控制域之間的邊界進行保護，并滿足特定工業環境和功能要求的網絡安全產品。

• 下一代防火墻

  代防火墻的產品特點是部署在不同安全域之間，解析和過濾經過防火墻的數據流，集成應用識別和管控、惡意代碼防護、入侵防護、事件關聯等多種安全功能，同時具備網絡層和應用層訪問控制及過濾功能的網絡安全產品。

• 家庭防火墻

  家庭防火墻的產品特點是防火墻功能模塊集成在智能路由器中，具有 IP 地址控制、 MAC地址限制、不良信息過濾控制、防止躇網、智能家居保護等功能的網絡安全產品。

工業生產網安全防護建設要點有：

• 調整優化工控網絡架構：合理劃分網絡區域，建立進出工業控制生產網的安全控制點。在控制網與IT網之間進行安全邏輯隔離或者單向物理隔離；建立控制網與IT網之間可控的應用與數據交換區（視業務特點與數據重要程度）；在控制網內進行無線局域網（WLAN）安全組網與嚴格訪問權限控制；對現場控制設備與非現場控制設備分離組網，通過獨立管理區進行現場設備的控制管理（視網絡規模與管理復雜度而定）。

• 建立工控網絡縱深防御體系：對進出控制網的網絡流量進行白名單控制，部署威脅檢測、行為監測、訪問控制以及安全審計設備，阻擋外網與控制網絡的不安全通信。完整審計通信記錄，實現對控制系統的安全防護與異常追溯。

• 加強工控主機安全防護：對工程師站、操作站（HMI）、SCADA服務器、MES服務器、實時數據庫服務器等工業主機實施病毒查殺、白名單管控、系統加固、U盤與外設管控等安全措施，確保工業主機與服務器設備的穩定運行。

• 建設工控網絡遠程訪問安全接入點：在安全接入點對進出控制網的流量進行身份認證、數據加解密、訪問控制以及威脅檢測。若遠端設備通過有線或無線撥號連接控制網，則建立VPN隧道，實現對遠程運維接入和遠程終端單元（RTU）數據傳輸的風險控制。

• 建設工業互聯網安全接入點：在接入點對企業網與工業互聯網平臺之間的流量進行身份認證、數據加密、訪問控制以及威脅檢測。控制網內通過無線（WLAN、4G/5G）發送的數據，則統一導流至邊緣計算安全網關，保障聯網的工業設備、工業應用免受互聯網威脅，保障工業數據的安全傳輸與使用。

• 建立工控網絡安全監測體系：在控制網部署工業安全流量探針、日志探針，實時監測網絡攻擊行為，采集設備安全日志，獲取工控資產、系統漏洞信息，監測非法設備接入（如非受控U盤、第三方運維設備）以及控制網設備非法外聯。所有監測數據匯總至工業安全態勢感知平臺，實現工控網絡安全可視，滿足法律合規要求。

• 建設工業安全態勢感知平臺：采集工控網絡的資產、漏洞、威脅、行為等數據，統一匯總至工業安全態勢感知平臺集中分析，并進行可視化呈現，實現對控制網的整體安全監控；對工業互聯網安全態勢監管平臺開放接口，實現與行業監管機構的事件通報和處置聯動。

• 建立邊緣計算云平臺安全防護體系：在邊緣計算中心搭建可持續運營的彈性的云安全管理與服務平臺，覆蓋云外南北向訪問控制、云內東西向訪問控制、主機防護、漏洞管理、Web安全防護以及流量與行為審計，通過虛擬安全資源池的方式為不同應用按需提供安全防護能力。在云平臺部署零信任身份認證管理系統，嚴格控制用戶訪問云平臺應用權限；部署數據泄露防護系統，保護工業大數據安全。

• 建設工控安全仿真驗證平臺：按照生產場景等比例搭建仿真環境，模擬實際生產控制過程，對工控網絡安全進行全面滲透評估，對安全防護方案進行可行性研究與充分測試驗證。除了評估現網系統的安全，仿真平臺還可以進行核心控制設備（PLC、DCS）的可靠性研究，以及工藝安全研究。

網絡安全協議數據報結構包括以下方面：

• IP：IP協議面向無連接，主要負責在主機間尋址并為數據包設定路由，在交換數據前它并不建立會話，因為它不保證正確傳遞；另一方面，當數據被收到時，IP不需要收到確認，所以它是不可靠的。

• ARP：ARP用于獲得在同一物理網絡中的主機的硬件地址。要在網絡上通信必須知道對方主機的硬件地址，地址解析就是將主機IP地址映射為硬件地址的過程。

• ICMP：ICMP用于報告錯誤并對消息進行控制。ICMP是IP層的一個組成部分，它負責傳遞差錯報文及其他需要注意的信息。ICMP報文通常被IP層或更高層協議（TCP或UDP）使用，一些ICMP報文把差錯報文返回給用戶進程。

• IGMP：IGMP把信息傳給別的路由器，以使每個支持組播的路由器獲知哪個主機組處于哪個網絡中。

• TCP：TCP提供一種面向連接的、可靠的字節流服務。面向連接意味著兩個使用TCP的應用在彼此交換數據之前必須先建立一個TCP連接。

• UDP：UDP是一個簡單的面向數據報的傳輸層協議，進程的每個輸出操作都產生一個UDP數據報，并組裝成一份待發送的IP數據報。這與面向流字符的協議（如TCP）不同，應用程序產生的全體數據與真正發送的單個數據報可能沒有什么聯系。

計算機病毒一般由以下三個模塊組成：

• 引導模塊：當被感染的軟硬盤，應用程序開始工作時，病毒的引導模塊將病毒由外存引入存，并使病毒程序成為相對獨立于宿主程序的部分，從而使病毒的傳染模塊和破壞模塊進入待機狀態。在某些病毒中，尤其是傳染引導區的計算機病毒，其引導模塊還承擔將分開存儲的病毒程序片斷鏈接的任務。

• 傳染模塊：由于計算機病毒具有復制自身（或變形后的自身）的能力，因此它能使其他程序同樣具備這種傳染能力。這一點是判斷一個程序是否為病毒程序的必要條件，所以，這部分程序對一個病毒程序來說是不可缺少的。這部分程序主要負責捕捉傳染的條件和傳染的對象，在保證被傳染程序可正常運行的情況下完成計算機病毒的復制傳播任務。

• 破壞與表現模塊：破壞與表現模塊是病毒程序的核心部分，也是病毒設計者意圖的體現部分。這里的破壞并不僅毀壞系統的軟、硬件和磁盤上的數據、文件，而且還表現在顯著地降低了整個系統的運行效率。這部分程序負責捕捉進入破壞程序的條件，在條件滿足時開始進行破壞系統或數據的工作，甚至可以毀掉包括病毒程序本身在內的系統資源。

信息系統物理層安全風險主要包括以下方面：

• 地震、水災、火災等環境事故造成設備損壞。

• 電源故障造成設備斷電以至操作系統引導失敗或數據庫信息丟失。

• 設備被盜、被毀造成數據丟失或信息泄露。

• 電磁輻射可能造成數據信息被竊取或偷閱。

• 監控和報警系統的缺乏或者管理不善可能造成原本可以避免的事故。

信息系統物理層安全風險的防護措施如下：

• 物理安全控制。物理安全控制是指為保證系統各種設備和環境設施的安全而采取的措施。

• 人員及管理控制。主要指用戶合法身份的確認和檢驗。用戶合法身份檢驗是防止有意或無意的非法進入系統的最常用的措施。

• 存取控制。通過用戶鑒別，獲得使用計算機權的用戶，應根據預先定義好的用戶權限進行存取，稱為存取控制。

• 數據加密。數據加密由加密（編碼）和解密（解碼）兩部分組成。加密是將明文信息進行編碼，使它轉換成一種不可理解的內容。這種不可理解的內容稱為密文。解密是加密的逆過程，即將密文還原成原來可理解的形式。

密碼分析學中將攻擊密碼分為以下四種類型：

• 已知明文攻擊：攻擊者不僅可以得到一些消息的密文，而且也知道對應的明文。

• 僅知密文攻擊：攻擊者有一些消息的密文，這些密文都是用相同的加密算法進行加密得到。

• 選擇明文攻擊：攻擊者不僅可以得到一些消息的密文和相應的明文，而且還可以選擇被加密的明文。

• 選擇密文攻擊：攻擊者能夠選擇一些不同的被加密的密文并得到與其對應的明文信息，攻擊者的任務是推算出加密密鑰。

上傳文件的時候，如果服務器端腳本語言，未對上傳的文件進行嚴格的驗證和過濾，就有可能上傳惡意的腳本文件，從而控制整個網站，甚至是服務器。文件上傳漏洞的危害：

• 代碼執行

  上傳文件是web腳本語言，服務器的web容器解釋并執行了用戶上傳的腳本，導致代碼執行，甚至導致網站甚至整個服務器被控制。

• 域控制

  上傳文件是flash的策略文件crossdomiain.xml，黑客用以控制flash在該域下的行為。

• 網站掛馬

  上傳文件是病毒、木馬，黑客用以誘騙用戶或者管理員下載執行。

• 釣魚

  上傳文件是釣魚圖片或為包含了腳本的圖片，在某些版本的瀏覽器中會被作為腳本執行，被用于釣魚和欺詐。

PKI（Public Key Infrastructure ）即“公開密鑰體系”，是一種遵循既定標準的密鑰管理平臺，它能夠為所有網絡應用提供加密和數字簽名等密碼服務及所必需的密鑰和證書管理體系，完整的PKI系統必須具有:

• 認證機構（CA）：即數字證書的申請及簽發機關，CA必須具備權威性的特征。

• 數字證書庫：用于存儲已簽發的數字證書及公鑰，用戶可由此獲得所需的其他用戶的證書及公鑰。

• 密鑰備份及恢復系統：如果用戶丟失了用于解密數據的密鑰，則數據將無法被解密，這將造成合法數據丟失。為避免這種情況，PKI提供備份與恢復密鑰的機制。但須注意，密鑰的備份與恢復必須由可信的機構來完成。并且，密鑰備份與恢復只能針對解密密鑰，簽名私鑰為確保其性而不能夠作備份。

• 證書作廢系統：證書作廢處理系統是PKI的一個必備的組件。與日常生活中的各種身份證件一樣，證書有效期以內也可能需要作廢，原因可能是密鑰介質丟失或用戶身份變更等。為實現這一點，PKI必須提供作廢證書的一系列機制。

• 應用接口（API）：PKI的價值在于使用戶能夠方便地使用加密、數字簽名等安全服務，因此一個完整的PKI必須提供良好的應用接口系統，使得各種各樣的應用能夠以安全、一致、可信的方式與PKI交互，確保安全網絡環境的完整性和易用性。

網絡安全一般是指網絡系統的硬件軟件及其系統中的數據受到保護，不因偶然的或者惡意的原因而遭受破壞、更改、泄漏，系統連續可靠正常地運行，網絡服務不中斷。網絡安全從其本質上來講就是網絡上的信息安全。從廣義來說，凡是涉及到網絡上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是網絡安全的研究領域。網絡安全是計算機網絡技術發展中一個至關重要的問題，也是Internet 的一個薄弱環節。

網絡存在的安全風險有以下這些：

• 安全策略設置不嚴密，網絡訪問控制權限和內外網的隔離未采取嚴格的安全措施，導致網絡系統存在大量的安全盲點和誤區。

• 有人可能會利用網絡中存在的安全漏洞進行攻擊或盜竊數據，威脅網絡和數據的安全。雖然防火墻是一種有效的安全工具，可以隱藏內部網絡結構，限制外部網絡到內部網絡的訪問，但是對于內部網絡之間的訪問或利用系統漏洞進行入侵和攻擊，防火墻往往無能為力而且很難發覺和防范。

• 感染病毒、蠕蟲或被植入木馬和間諜軟件。病毒是可執行代碼，可破壞計算機系統。蠕蟲比病毒更為普遍，利用受感染系統的文件傳輸功能自動進行傳播，從而導致網絡流量大幅增加直到網絡癱瘓。木馬程序可以捕捉密碼和其它個人信息，使未授權遠程用戶能夠入侵網絡系統。間諜軟件則是惡意病毒代碼，它們可以監控系統性能，并將用戶數據發送給間諜軟件開發者。

• 頻繁接收外部數據。企業納稅戶在報送有關數據時使用自己的U盤，如果對U盤查殺病毒不徹底，接收數據的主機就有可能感染病毒，進而在網絡中進行擴散。

常見的web防火墻有：

ModSecurity

  ModSecurity已經有10多年的歷史，最開始是一個Apache的安全模塊，后來發展成為開源的、跨平臺的WEB應用防火墻。它可以通過檢查WEB服務接收到的數據，以及發送出去的數據來對網站進行安全防護。

HiHTTPS

  hihttps是一款少有完整源碼的高性能WEB應用 + MQTT物聯網防火墻，兼容ModSecurity規則并開源。

Naxsi

  Naxsi 是一款基于Nginx模塊的防火墻，有自己規則定義，崇尚低規則。項目由C語言編寫，需要熟練掌握Nginx源碼的才能看懂。

OpenWAF

  OpenWAF是基于Nginx_lua API分析HTTP請求信息,由行為分析引擎和規則引擎兩大功能引擎構成，其中規則引擎主要對單個請求進行分析，行為分析引擎主要負責跨請求信息追蹤。

FreeWAF

  FeeWAF是一款開源的WEB應用防火墻產品，其命名為FreeWAF，它工作在應用層，對HTTP進行雙向深層次檢測。

ESAPI WAF

  這是OWASP ESAPI 項目提供的一個開源WAF，基于J2EE實現，其主要利用XML的配置方式驅動防火墻。

unixhot

  unixhot是使用Nginx+Lua實現自定義WAF，一句話描述，就是解析HTTP請求（協議解析模塊），規則檢測（規則模塊），做不同的防御動作（動作模塊），并將防御過程（日志模塊）記錄下來，非常簡單。

X-WAF

  X-WAF是一款適用中、小企業的云WAF系統，讓中、小企業也可以非常方便地擁有自己的免費云WAF。

根據《網絡安全法》第二十一條規定，采取監測、記錄網絡運行狀態、網絡安全事件的技術措施，并按照規定留存相關網絡日志不少于六個月，且相對于要儲存的系統日志內容，應該是采用檢測、紀錄互聯網運轉情況、網絡安全情況的技術措施。

等級保護要求中只對3級系統軟件有清晰儲存時長上的要求（即安全防護管理處的解決細化在每一個機器設備上的審計數據信息開展搜集歸納和集中化解析，并確保審計紀錄的存留時長合乎相關法律法規要求”要求），因而，應該是3級系統軟件上判風險等級高。相對于3級及以上系統軟件，機器設備系統日志和APP系統日志都需要最少儲存6個月。

暴力攻擊有優缺點如下：

• 優點：暴力攻擊的最大優勢在于它們執行起來相對簡單，并且由于有足夠的時間加上缺乏針對性的防護策略，它們總是能夠成功。每個基于密碼的系統和加密密鑰都可以通過蠻力攻擊來破解。

• 缺點：暴力攻擊非常緩慢，因為在達到目標之前，它們可能必須經歷所有可能的字符組合。隨著目標字符串中字符數的增加（字符串只是字符的組合），這種遲緩變得更加復雜。

防范暴力攻擊方法如下：

• 管理授權系統的開發人員可鎖定登錄失敗次數過多的IP地址，以及在密碼檢查軟件中納入延時機制；

• Web服務用戶可選擇更長的復雜密碼來降低暴力攻擊風險；

• 建議啟用雙因素身份驗證，并為每項服務設定唯一密碼；

• 用戶還應避免在任何未使用強大加密密鑰保護其數據的 Web 服務中輸入密碼或個人信息；