什么是二次漏洞

二次漏洞指的是攻擊者需要事先構造木馬或者病毒代碼等攻擊手段，利用代碼寫入網站保存，在第二次或多次請求后調用攻擊代碼觸發或者修改配置觸發的漏洞。二次漏洞的出現歸根結底是開發者在可信數據的邏輯上考慮不全面，開發者認為這個數據來源或者這個配置是不會存在問題的，而沒有想到另外一個漏洞能夠修改這些“可信”數據。這樣的漏洞沒有很大的邏輯關聯，所以在發現和修補上面都比一般的直接利用的漏洞相對復雜一點。

加強操作系統安全減少漏洞的措施有以下這些：

• 系統的管理員應指定專人負責，密碼應該定期更換：系統的用戶應分為賬號管理員、數據管理員、權限管理員、安全審計員、普通分級用戶，應杜絕設置超級管理員。重要的用戶或管理員需要二次認證，即采取雙人管理方式，增加生物特征識別、動態驗證碼，要定期提示用戶更換密碼。

• 建立特定功能的專用用戶：比如數據庫用戶，當對數據庫進行操作時，應使用數據庫專用用戶的身份，避免使用超級用戶身份。

• 應設置好系統中用戶的權限：系統在設置用戶的權限時，應注意用戶的權限設置要恰當，應保證普通用戶對用戶文件不能有可寫、可刪除的權限，各賬戶之間相互獨立。

• 操作系統的選擇，應與系統的安全性要求相匹配：應選用能滿足用戶安全要求的操作系統，且管理員要時刻了解操作系統及其他系統軟件發布的動態及漏洞更新，及時安裝補丁程序。

• 權限分配：新建用戶及用戶組、新建角色可為多層嵌套結構，按不同用戶級別和組級別進行權限分配。

• 權限管理：系統中不應存在超級用戶，角色的權限應遵循最小權限分配原則，管理員級用戶應相互制約。

• 傳輸的數據安全：對于傳輸的數據安全，根據用戶的需要，可采取特種防護設備，比如，使用端到端加密技術對數據進行防護，即需要在有一定距離的兩個安全域之間傳遞信息時，在這兩個安全域的邊界分別加上數據加解密設備對傳輸的數據進行安全防護，以此來達到在兩個安全域之間安全傳輸數據的目的。

回答所涉及的環境：聯想天逸510S、Windows 10。