門戶網(wǎng)站安全防護技術分享

門戶網(wǎng)站安全防護技術交流湖北中網(wǎng)科技有限公司蘇飛

2010年4月主題一、網(wǎng)絡安全問題概述二、門戶網(wǎng)站主要安全威脅與對策三、門戶網(wǎng)站具體防護技術手段四、常用安全分析軟件介紹五、安全產(chǎn)品（硬件）介紹六、漏洞及攻擊演示

一、網(wǎng)絡安全問題概述背景、安全問題的嚴重性；漏洞威脅概念、種類、安全問題種類及損失；衡量信息安全的標準；安全及安全防護的變化趨勢。背景網(wǎng)絡已全面融入生活、工作中網(wǎng)絡帶來巨大變革網(wǎng)絡是一把雙刃劍帶來巨大的威脅國內(nèi)安全形勢不容樂觀2007年，我國境內(nèi)與互聯(lián)網(wǎng)連接的用戶有60%以上的用戶受到境外用戶的攻擊。

僅2009年我國被境外控制的計算機ＩＰ地址就達100多萬個，被黑客組織篡改的網(wǎng)站多達4．2萬個；在受網(wǎng)絡病毒威脅方面，去年我國僅被“飛客”蠕蟲一種網(wǎng)絡病毒感染的計算機數(shù)量每月就達1800萬臺，占全球感染主機總量的30％，位列全球第一。

漏洞多，木馬、病毒猖獗；網(wǎng)絡癱瘓、網(wǎng)站被篡改、系統(tǒng)被入侵；網(wǎng)銀轉款、網(wǎng)上詐騙等。

國內(nèi)安全形勢不容樂觀Internet設計初衷：開放、自由、無國界、無時間、空間限制；虛擬性；技術設計缺陷：TCP/IP、漏洞；攻擊（工具）軟件易獲得性；計算機運算速度的加快:猜口令（8位小寫字母及數(shù)字窮舉，時間通常不超過30小時）；應用的復雜性；對網(wǎng)絡的依賴性增強；易安置后門。為什么如此脆弱后門與漏洞

后門：美國等西方發(fā)達國家的情報機構，明確要求各大信息技術公司，在計算機通信、軟件研究開發(fā)中，要按照他們的旨意設置后門和陷阱。windows計算機操作系統(tǒng)中都有可能預留了后門程序。

漏洞：IBM公司專家認為大型軟件1000-4000行程序就存在一個漏洞，象windwos系統(tǒng)5000萬源程序可能存在20000個漏洞；

微軟Vista已報道發(fā)現(xiàn)的缺陷達到2萬個。網(wǎng)絡安全存在的威脅網(wǎng)絡、信息系統(tǒng)內(nèi)部、外部泄密拒絕服務攻擊邏輯炸彈特洛伊木馬黑客攻擊計算機病毒信息丟失、篡改、銷毀后門、隱蔽通道蠕蟲木桶原則最大容積取決于最短的木快攻擊者—“最易滲透原則”目標：提高整個系統(tǒng)的“安全最低點”。動態(tài)性性原則則安全是是相對對的，，不可可能一一勞永永逸；；道高一一尺，，魔高高一丈丈；安全策策略不不斷變變化完完善；；安全投投入不不斷增增加（（總投投入的的20％－25%）。二、門門戶網(wǎng)網(wǎng)站主主要安安全威威脅與與對策策1、利用用漏洞洞進行行入侵侵安全事事件：：2005年7月至10月，某某某間間諜情情報機機關曾曾對我我境內(nèi)內(nèi)76所高校校和研研究單單位所所在的的222個網(wǎng)段段反復復掃描描，利利用漏漏洞控控制了了北大大、清清華、、北師師大等等高校校的大大量主主機，，從中中搜獲獲、竊竊取了了包括括863課題研研究計計劃在在內(nèi)的的45份違規(guī)規(guī)上互互聯(lián)網(wǎng)網(wǎng)的文文件和和數(shù)千千份資資料。。江蘇人人陳某某租住住武漢漢，2007年7月，在在網(wǎng)上上找到到黑客客，委委托其其將某某重點點大學學的招招生網(wǎng)網(wǎng)站上上的數(shù)數(shù)據(jù)庫庫中的的11名學生生信息息刪除除，同同時非非法追追加另另外8名學生生。然然后給給家長長驗證證已被被錄取取。2008年12月5日，荊荊州市市商務務局網(wǎng)網(wǎng)站，，局領領導變變成一一名三三點式式女郎郎。而而局長長致辭辭則成成了一一封““為女女朋友友慶生生喝酒酒”的的召集集函。。1、利用用漏洞洞進行行入侵侵防范對對策：：定期備備份和和檢查查相關關訪問問和應應用日日志；；及時對對計算算機操操作系系統(tǒng)和和應用用程序序“打打補丁丁”；；安裝防防火墻墻和殺殺毒軟軟件，，并及及時更更新特特征庫庫；關閉不不必要要的端端口和和服務務。2、利用用協(xié)議議缺陷陷進行行DOS攻擊案例：：2009年5月19日全國國大面面積網(wǎng)網(wǎng)絡故故障，，6月25日，湖湖北、、湖南南、廣廣西、、海南南和上上海等等全國國多個個省市市區(qū)出出現(xiàn)網(wǎng)網(wǎng)絡緩緩慢或或癱瘓瘓現(xiàn)象象。2009年7月7日－9日韓國國總統(tǒng)統(tǒng)府、、國防防部、、外交交通商商部等等政府府部門門和主主要銀銀行、、媒體體網(wǎng)站站同時時遭分分布式式拒絕絕服務務（DDoS）攻擊擊。美國財財政部部、特特工處處、聯(lián)聯(lián)邦貿(mào)貿(mào)易委委員會會和交交通部部網(wǎng)站站7月４日日起遭遭到黑黑客持持續(xù)攻攻擊，，截至至當?shù)氐貢r間間７日日仍處處于不不同程程度癱癱瘓狀狀態(tài)。。兩國共共有大大約２２５家家網(wǎng)站站受攻攻擊，，其中中１１１家為為韓國國網(wǎng)站站。韓韓國主主要情情報機機構說說，韓韓國１１.２萬臺臺個人人電腦腦和國國外８８００００臺臺個人人電腦腦遭黑黑客““俘虜虜”，，成為為傀儡儡主機機，淪淪為攻攻擊工工具。。利用協(xié)議議缺陷進進行DOS攻擊什么是DOS攻擊：攻擊者利利用因特特網(wǎng)上成成百上千千的“Zombie”(僵尸)-即被利用用主機，，對攻擊擊目標發(fā)發(fā)動威力力巨大的的拒絕服服務攻擊擊。DenialofService(DoS)拒絕服務務攻擊DistributedDenialofService(DDoS)分布式拒絕服服務攻擊攻擊者利用大大量的數(shù)據(jù)包包“淹沒”目標主機，耗耗盡可用資源源乃至系統(tǒng)崩崩潰，而無法法對合法用戶戶作出響應。。DdoS攻擊過程主控主機掃描程序黑客Internet非安全主機被控主機應用服務器2、利用協(xié)議缺缺陷進行DOS攻擊防范措施：在門戶網(wǎng)站前前面部署防DOS攻擊設備。桌面機及時修修補漏洞，免免得受控成為為肉雞。加強追查打擊擊力度。荊州人趙蓉的的網(wǎng)上銀行帳帳戶上的資金金被劃走：：2004年7月，黑龍江人人付某使用了了一種木馬程程序，掛在自自己的網(wǎng)站上上；荊州人趙蓉下下載付某的軟軟件，木馬就就“進入”電電腦；屏幕上敲入的的信息通過郵郵件發(fā)出：賬賬戶、密碼；；付某成功劃劃出1萬元；抓獲付某時時，他已獲獲取7000多個全國各各地儲戶的的網(wǎng)上銀行行密碼。3、利用木馬馬進行攻擊擊安全事件：：付某：3、利用木馬馬進行攻擊擊生么是“木木馬”？木馬與傳說說中的木馬馬一樣,他們會在用用戶毫不知知情的情況況下悄悄的的進入用戶戶的計算機機,進而反客為為主,竊取機密數(shù)數(shù)據(jù),甚至控制系系統(tǒng)。3、利用木馬馬進行攻擊擊“木馬”的主主要危害：：盜取文件資資料；盜取用戶帳帳號和密碼碼；監(jiān)控用戶行行為，獲取取用戶重要要資料；發(fā)送QQ、msn尾巴，騙取取更多人訪訪問惡意網(wǎng)網(wǎng)站下載木木馬；3、利用木馬馬進行攻擊擊防范對策：：嚴禁將涉密密計數(shù)機接接入互聯(lián)網(wǎng)網(wǎng)；不隨意打開開不明電子子郵件，尤尤其是不輕輕易打開郵郵件附件；；不點擊和打打開陌生圖圖片和網(wǎng)頁頁；必須安裝殺殺毒軟件并并及時升級級更新，及及時打補丁丁；所有外網(wǎng)PC安裝360軟件，定期期查殺木馬馬程序。4、利用“嗅嗅探”技術術竊密安全事件：：某單位干部部葉某，在在聯(lián)接互聯(lián)聯(lián)網(wǎng)的計算算機上處理理涉密信息息，被某間間諜情報機機關植入““嗅探”程程序。致使使其操作電電腦的一舉舉一動均被被監(jiān)控，并并造成大量量涉密信息息被竊。4、利用“嗅嗅探”技術術竊密“嗅探”技術術：“嗅探”是指指秘密植入入特定功能能程序，用用來記錄諸諸如網(wǎng)絡內(nèi)內(nèi)部結構、、鍵盤操作作、口令密密碼等信息息的竊密技技術。攻擊者首先先利用漏洞洞或木馬在在計算機中中植入“鍵鍵盤記錄程程序”該程程序會自動動隱藏生成成記錄鍵盤盤信息的文文件。一旦計算機機重新聯(lián)網(wǎng)網(wǎng)，攻擊者者就可以從從目標計算算機下載鍵鍵盤記錄文文件，并還還原出編輯輯過的穩(wěn)定定內(nèi)容。4、利用“嗅嗅探”技術術竊密防范對策：：嚴禁將涉密密計數(shù)機接接入互聯(lián)網(wǎng)網(wǎng)；用戶聯(lián)接互互聯(lián)網(wǎng)的計計算機，任任何情況下下不得處理理涉密信息息；定期對上網(wǎng)網(wǎng)計算機操操作系統(tǒng)進進行重裝處處理；PC安裝360軟件，定期期惡意代碼碼程序。5、利用數(shù)據(jù)據(jù)恢復技術術安全事件：：陳冠希：2006年曾托助手手將其外殼殼彩色的手手提電腦，，送到中環(huán)環(huán)一間計算算機公司維維修，其后后有人把計計算機中的的照片制作作成光盤，，發(fā)放予朋朋友及其它它人士觀賞賞。5、利用數(shù)據(jù)據(jù)恢復技術術數(shù)據(jù)恢復技技術：數(shù)據(jù)恢復是是指運用軟軟、硬件技技術對刪除除或因介質質損壞等丟丟失的數(shù)據(jù)據(jù)予以還原原的過程。。U盤或計算機機硬盤存儲儲的數(shù)據(jù)即即使已被刪刪除或進行行格式化處處理，使用用專用軟件件仍能將其其恢復，這這種方法也也因此成為為竊密的手手段之一。。例如，竊密密者使用從從互聯(lián)網(wǎng)下下載的恢復復軟件對目目標計算機機的已被格格式化的U盤進行格式式化恢復操操作后，即即可成功的的恢復原有有文件。5、利用數(shù)據(jù)據(jù)恢復技術術防范對策：：嚴禁在接入入互聯(lián)網(wǎng)的的計算機上上使用處理理過涉密信信息的移動動存儲介質質。涉密存儲介介質淘汰報報廢時必須須進行徹底底的物理銷銷毀。嚴禁將秘密密載體當做做廢品出售售。6、利用口令令破解攻擊擊安全事件：：2003年2月，，有有關關部部門門檢檢測測發(fā)發(fā)現(xiàn)現(xiàn)某某間間諜諜情情報報機機關關利利用用口口令令破破解解技技術術，，對對我我某某重重要要網(wǎng)網(wǎng)絡絡進進行行了了有有組組織織的的大大規(guī)規(guī)模模攻攻擊擊，，控控制制了了57臺違違規(guī)規(guī)上上互互聯(lián)聯(lián)網(wǎng)網(wǎng)的的涉涉密密計計算算機機，，竊竊走走1550余份份文文件件資資料料。6、利用口令破破解攻擊口令破解：口令是計算機機系統(tǒng)的第一一道防線，計計算機通過口口令來驗證身身份?？诹钇平馐侵钢敢钥诹顬楣ス裟繕?，進進行猜測破譯譯，或避開口口令驗證，冒冒充合法用戶戶潛入目標計計算機，取得得控制權的過過程。即使計計算機打了““補丁”，安安裝了病毒防防護軟件，設設置了開機口口令密碼，黑黑客仍然可以以通過口令破破解進入你的的計算機，從從而達到破壞壞或竊密的目目的?！氨┝ζ平狻笔沁M行口令破破解用得較多多的方式，是是指應用窮舉舉法將建盤上上的字母、數(shù)數(shù)字、符號按按照一定順序序進行排列組組合實驗，直直至找到正確確的口令。其過程是攻擊者首先啟啟用口令破譯譯軟件，輸入入目標計算機機ip地址，對目標標計算機進行行口令破譯、、口令越長，，口令組合越越復雜，破譯譯難度越大，，所需時間越越多。口令破解的時時間Unix口令:6位小寫字母窮窮舉:36小時8位小寫字母窮窮舉:3年NT口令:8位小寫寫字母母及數(shù)數(shù)字窮窮舉，，時間間通常常不超超過30小時6、利用用口令令破解解攻擊擊防范對對策：：口令密密碼設設置應應當采采用多多種字字符和和數(shù)字字混合合編制制，要要有足足夠的的長度度（至少少8位以上上），并定定期更更換。。涉密信信息系系統(tǒng)必必須按按照保保密標標準，，采取取符合合要求求的口口令密密碼、、智能能卡或或USBKey、生理理特征征的身身份鑒鑒別方方式。。三、門門戶網(wǎng)網(wǎng)站具具體防防護手手段1.保持Windows升級：你必須須在第第一時時間及及時地地更新新所有有的升升級，，并為為系統(tǒng)統(tǒng)打好好一切切補丁丁?？伎紤]將將所有有的更更新下下載到到你網(wǎng)網(wǎng)絡上上的一一個專專用的的服務務器上上，并并在該該機器器上以以web的形式式將文文件發(fā)發(fā)布出出來。。通過過這些些工作作，你你可以以防止止你的的Web服務器器接受受直接接的Internet訪問2.如果你你并不不需要要FTP和SMTP服務，，請卸卸載它它們：：進入計計算機機的最最簡單單途徑徑就是是通過過FTP訪問。。FTP本身就就是被被設計計滿足足簡單單讀/寫訪問問的，，如果果你執(zhí)執(zhí)行身身份認認證，，你會會發(fā)現(xiàn)現(xiàn)你的的用戶戶名和和密碼碼都是是通過過明文文的形形式在在網(wǎng)絡絡上傳傳播的的。SMTP是另一一種允允許到到文件件夾的的寫權權限的的服務務。通通過禁禁用這這兩項項服務務，你你能避避免更更多的的黑客客攻擊擊。3.設置復復雜的的密碼碼：如果有有用戶戶使用用弱密密碼，，那么么黑客客能快快速并并簡單單的入入侵這這些用用戶的的賬號號4.設置賬號鎖鎖定的策略略：通過設備windows自帶的安全全策略設置置，可對非非法暴力破破解口令進進行有效的的控制，同同時審計所所有登陸成成功和失敗敗的事件5.使用NTFS安全：缺省地，你你的NTFS驅動器使用用的是EVERY0NE/完全控制權權限，除非非你手工關關掉它們。。關鍵是不不要把自己己鎖定在外外，不同的的人需要不不同的權限限，管理員員需要完全全控制，后后臺管理賬賬戶也需要要完全控制制，系統(tǒng)和和服務各自自需要一種種級別的訪訪問權限，，取決于不不同的文件件。最重要要的文件夾夾是System32，這個文件件夾的訪問問權限越小小越好。在在Web服務器上使使用NTFS權限能幫助助你保護重重要的文件件和應用程程序。6.禁用多余余的管理理員賬號號：如果你你已經(jīng)經(jīng)安裝裝IIS，你可可能產(chǎn)產(chǎn)生了了一個個TSInternetUser賬戶。。除非非你真真正需需要這這個賬賬戶，，則你你應該該禁用用它。。這個個用戶戶很容容易被被滲透透，是是黑客客們的的顯著著目標標。為為了幫幫助管管理用用戶賬賬戶，，確定定你的的本地地安全全策略略沒有有問題題。IUSR用戶戶的的權權限限也也應應該該盡盡可可能能的的小小。。7.網(wǎng)站站目目錄錄權權限限最最小小化化：：在網(wǎng)網(wǎng)站站正正常常運運行行時時：：空空間間應應該該全全部部關關閉閉寫寫入入權權限限，，只只保保留留需需要要寫寫權權限限的的某某幾幾個個目目錄錄，，同同時時被被保保留留寫寫權權限限的的目目錄錄，，必必須須要要關關閉閉執(zhí)執(zhí)行行權權限限。。站站點點需需要要更更新新時時：：開開放放所所有有寫寫入入權權限限，，更更新新完完畢畢后后立立即即關關閉閉寫寫入入權權限限。。原原則則是是：：有寫寫入入權權限限的的目目錄錄，，不不能能有有執(zhí)執(zhí)行行權權限限有執(zhí)執(zhí)行行權權限限的的目目錄錄，，不不能能有有寫寫入入權權限限這樣樣最最大大限限度度的的保保證證了了站站點點的的安安全全性性8.移除除缺缺省省的的Web站點點：：很多多攻攻擊擊者者瞄瞄準準inetpub這個個文文件件夾夾，，并并在在里里面面放放置置一一些些偷偷襲襲工工具具，，從從而而造造成成服服務務器器的的癱癱瘓瘓。。防防止止這這種種攻攻擊擊最最簡簡單單的的方方法法就就是是在在IIS里將將缺缺省省的的站站點點禁禁用用。。如如果果是是一一個個虛虛擬擬主主機機，，并并且且服服務務器器上上放放置置了了多多個個域域名名的的站站點點，，建建議議對對不不同同的的站站點點設設置置不不同同的的賬賬號號權權限限（（讀讀取取和和執(zhí)執(zhí)行行））。。這這樣樣可可保保證證一一個個域域名名上上的的站站點點被被黑黑，，而而不不會會影影響響到到整整個個服服務務器器上上其其它它的的站站點點9.定期期備備份份數(shù)數(shù)據(jù)據(jù)和和程程序序：：至少少以以每每周周一一次次來來定定期期的的備備份份網(wǎng)網(wǎng)站站數(shù)數(shù)據(jù)據(jù)和和程程序序，，對對大大型型數(shù)數(shù)據(jù)據(jù)庫庫可可使使用用專專業(yè)業(yè)的的快快速速導導出出工工具具。。建建議議使使用用WinRAR類型型的的壓壓縮縮軟軟件件進進行行備備份份，，并并同同時時設設定定壓壓縮縮密密碼碼的的加加密密壓壓縮縮方方式式。。如如果果文文件件較較多多壓壓縮縮時時間間可可能能會會長長，，可可使使用用計計劃劃任任務務自自動動執(zhí)執(zhí)行行或或采采取取存存儲儲壓壓縮縮方方式式對操作系系統(tǒng)建議議每月備備份一次次，可直直接使用用GHOST。對于特特殊的服服務器需需要RAID驅動時，，建議自自制一個個WinPE將RAID驅動加載載在該系系統(tǒng)中。。（有一一定難度度，但很很幫助特特別是安安裝系統(tǒng)統(tǒng)時無需需引導盤盤）10.仔細檢查查*.bat和*．exe文件：每周搜索索一次*.bat和*.exe文件，檢檢查服務務器上是是否存在在黑客最最喜歡，，而對你你來說將將是一場場噩夢的的可執(zhí)行行文件。。在這些些破壞性性的文件件中，也也許有一一些是*．reg文件。如如果你右右擊并選選擇編輯輯，你可可以發(fā)現(xiàn)現(xiàn)黑客已已經(jīng)制造造并能讓讓他們能能進入你你系統(tǒng)的的注冊表表文件。。你可以以刪除這這些沒任任何意義義但卻會會給入侵侵者帶來來便利的的主鍵。。或定期生生成一份份主機的的文件列列表，然然后再進進行文件件比對最簡單的的使用一一條DOS命令:Dirc:/s/a>c:\files20100415.txtFcc:\files20100415.txtc:\files201000301.txt11.定期檢檢查訪訪問日日志對于IIS，其默默認記記錄存存放在在c:\winnt\system32\logfiles\w3svc1，文件件名就就是當當天的的日期期，記記錄格格式是是標準準的W3C擴展記記錄格格式，，可以以被各各種記記錄分分析工工具解解析，，默認認的格格式包包括時時間、、訪問問者IP地址、、訪問問的方方法（（GETorPOST…）、請請求的的資源源、HTTP狀態(tài)（（用數(shù)數(shù)字表表示））等。。建議議定期期使用用專業(yè)業(yè)的日日志分分析工工具來來進行行審計計檢查查異常常的訪訪問現(xiàn)現(xiàn)象。。四、常常用安安全分分析軟軟件介介紹工欲善善其事事,必先利利其器器！autoruns:微軟公公司出出的查查看Windows啟動或或登錄錄時自自動運運行的的程序序它們們CCleaner225:系統(tǒng)優(yōu)優(yōu)化和和隱私私保護護工具具、清清除無無用文文件及及垃圾圾文件件HiJackThis:找惡意意程序序“劫劫持””瀏覽覽器的的入口口go_IceSword:冰刃,檢查非非法進進程procexp:查看進進程和和DLL模塊DwShark230:自動分分析系系統(tǒng)到到處文文本RegistryCleanExpert:注冊表表清理理ComboFix:完全只只能的的修復復系統(tǒng)統(tǒng)工具具（比比360更強））go_RKUnhooker:看系統(tǒng)統(tǒng)hook的go_RootkitRevealer:也是分分析系系統(tǒng)的的msicuu2:WindowsInstaller清理實實用工工具PortableUnlocker:綠色unlock，解文文件鎖鎖的工工具Tcpview:xp上看端端口WinsockXPFix:修復tcp協(xié)議ethereal嗅探Windows自帶命命令netstat-anTCPView工具檢查其其它已已開放放的端端口強制關關閉頑頑固病病毒或或可疑疑進程程IceSword檢查和和關閉閉可疑疑的驅驅動Windows自帶的的驅動動查看看器檢查和和關閉閉可疑疑的驅驅動RKUnhooker企業(yè)級級修復復系統(tǒng)統(tǒng)漏洞洞WSUS是個微微軟推推出的的網(wǎng)絡絡化的的補丁丁分發(fā)發(fā)方案案，是是免費費的，，可以以在微微軟網(wǎng)網(wǎng)站上上去下下載嗅探聽聽包Ethereal五、安安全產(chǎn)產(chǎn)品（（硬件件）介介紹第一代安全產(chǎn)品防火墻、防病毒、IDS第二代安全產(chǎn)品抗dos、漏洞掃描、VPN、存儲備份、主頁防篡改、內(nèi)核加固、流量管理、負載均衡、網(wǎng)管第三代安全產(chǎn)品網(wǎng)閘、IPS、WEB應用防護、系統(tǒng)保護盾（應急保護)、容災備份、UTM、數(shù)據(jù)庫加密、審計、上網(wǎng)行為管理、桌面安全管理、安全管理平臺用于隔隔離兩兩個網(wǎng)網(wǎng)絡，，達到到近似似于物物理隔隔斷的的效果果，同同時又又要實實現(xiàn)數(shù)數(shù)據(jù)的的安全全交換換的隔隔離設設備。。什么是是網(wǎng)閘閘網(wǎng)閘的的組成成及工工作原原理硬件組組成：內(nèi)網(wǎng)機；外網(wǎng)機；控制開關系系統(tǒng)；兩個網(wǎng)卡：分別連接接在內(nèi)網(wǎng)機機和外網(wǎng)機機的主板上上，用于內(nèi)內(nèi)網(wǎng)機和外外網(wǎng)機的輸輸入輸出。。軟件組成：開關控制軟軟件：快速的在在兩個處理理單元之間間交換數(shù)據(jù)據(jù)。外部單邊代代理：接收外部部的請求，，解析出應應用協(xié)議，，過濾數(shù)據(jù)據(jù)內(nèi)容，保保證數(shù)據(jù)中中不包含危危險命令。。內(nèi)部單邊代代理：通過傳輸輸層軟件模模塊接收外外部處理單單元傳入的的請求和數(shù)數(shù)據(jù)，解析析出應用協(xié)協(xié)議，過濾濾數(shù)據(jù)內(nèi)容容，保證數(shù)數(shù)據(jù)中不包包含危險命命令?？尚湃尉W(wǎng)可信任網(wǎng)（（IntranetIntranet））K1K1K2K2開關系統(tǒng)是是通過SCSI控制系統(tǒng)來來實現(xiàn)的。。電子開關控控制系統(tǒng)由于外網(wǎng)與與內(nèi)網(wǎng)是永永遠斷開的的，加上采采用單邊計計算機主機機模式，中中斷了TCP/IP，中斷了應應用連接，，屏蔽了內(nèi)內(nèi)部的網(wǎng)絡絡拓撲結構構，屏蔽了了內(nèi)部主機機的操作系系統(tǒng)漏洞，，使基于網(wǎng)網(wǎng)絡的攻擊擊無機可乘乘。無法ping內(nèi)網(wǎng)的任何何主機；無法穿透網(wǎng)網(wǎng)閘來追蹤蹤路由（traceroute）；無法掃描內(nèi)內(nèi)部網(wǎng)絡；；無法發(fā)現(xiàn)內(nèi)內(nèi)網(wǎng)的任何何主機信息息；無法發(fā)現(xiàn)內(nèi)內(nèi)網(wǎng)主機的的操作系統(tǒng)統(tǒng)信息；無法發(fā)現(xiàn)內(nèi)內(nèi)網(wǎng)應用信信息；無法發(fā)現(xiàn)內(nèi)內(nèi)網(wǎng)內(nèi)部主