麦捷深度分析

Ⅰ 无间道3剧情分析

无间道3剧情:

陈永仁(梁朝伟饰)被杀后许久，刘建明(刘德华饰)也被警队内部调查，因此被派做没有权利的事务性工作。

而与妻子MARY的婚姻破裂，使得身心俱疲的刘建明，每日的生活十分痛苦。而警队内，一颗明日之星正在崛起——不到四十岁的年轻警司杨锦荣(黎明饰)一步一步迈向警队高层，刘建明忽然想起了以前的自己……

一次机缘，刘建明与杨锦荣成为好友，却发现杨锦神秘的一面，于是他开始了调查荣的过程……，却因为始终得不到最终的答案，开始对自己产生怀疑。 陈永仁：陈永仁作卧底跟随韩琛。

(1)麦捷深度分析扩展阅读:

幕后花絮

“浪费了这么多好演员！”这是电影结束后还没开灯的黑暗里爆出的第一句评论。21世纪初港产片里的地标性建筑终于在仓促的第三部中露出了疲态。

我至今也不敢肯定，坚持要把陈永仁和刘健明的故事讲得那么清楚到底是刘伟强还是庄澄的意思。我们当然不能把无间系列的后两部归为狗尾续貂，但你显然不能睁着眼睛把导演充满自信广告词的自作为客观评价。短短的100分钟终极之旅后，留在我心里的仅仅是大银幕后面隐隐约约的一丝诚意。

说实话，将无间道第一部的品质丝毫不差地延续到以后的两部中基本是个不可能的任务。第一集原是最低潮潮中厚积薄发之作，承载的不但有希望，还有一点破釜沉舟的意味。

到了第二部，已带上了挥之不去的富贵气。而年底的《终极无间》，只要看看臃肿的演员名单，就知道刘伟强、麦兆辉哥俩儿这次做的是“佛跳墙”一类的东东。

正宗佛跳墙需要密封在瓦罐内蒸上一天一夜，可惜《终极无间》选择了速成的捷径，偏偏编导们的激情还没修成星星在食神中那样的功力，结果自然可想而知。

Ⅱ 同花顺免费股票软件和深度分析版有什么确保

没什么确保，如果你是想花钱买了深度版后有赚钱保障的话。股票有风险，赢赔均自负。深度版就是可以看到更多盘口交易状况，还有一些交易数据和指标。不是股票老鸟来说深度版没用，因为你都不会做“宏观”（分析国内金融、经济形势和官方主要是银行的导向），和做“微观”（主要是从上市公司的财务指标、30/60/日/周K线、MACD、RSI等指标预测股票走向），要那些深度数据有什么用，只会越看越迷糊。免费版也有五档盘口的各种交易信息，你看得懂吗？看不懂的话用深度版就更不懂了，比如庄的拖拉机单，盘口摆在那里了，但不会看反而会被拉进去。 我从1997年炒股的，现在还是用同花顺免费版。去年年底和今年年初，大形势上是国家经济下行压力沉重但有两会召开，因此重要报纸和券商都透漏了2015年“形势倒逼政策出利好”的信息；然后看月K和周K，加上前几年大熊2000点是政策贴底，就可以看出大盘已筑底了，那么年内“牛市”肯定要有（即便没有，大盘按规律也要作两个年报行情的多少要涨），就选了业绩不错的几个买入，然后放到6月份股指冲到4800－5000点“大妈大爷们举着钱跑步进场”时卖出（历史规律，当散户们一拥而上同时指数呈现顶背离时就是要落袋为安的时候了）。散户炒股就这么简单，掌握必须要会的知识和技术，然后放下贪婪的心，做中长线，一年只做一个或两个波段，赚30-50%就收。

Ⅲ 深度解析大数据在公安领域的应用

深度解析大数据在公安领域的应用

近一两年，大数据开始在公安等行业领域得到普及应用，除了行业自身的特殊要求外，大数据也带动了相关行业的需求发展。未来，基于大数据的行业应用会变得更加深入，更多的相关厂商也会涉及其中，大数据在公安领域的商业模式架构逐渐清晰起来。

在安防的细分领域中，大数据在公安及智能交通探索应用得比较早，相关的解决方案和技术也比较成熟，在广西等地也已经有相关的项目落地，大数据应用系统已经上线运营，取得了预期的效果。

项目应用前景看好

以相关的案例来讲，在广西公安厅投入使用的大数据系统中，整个项目是以自治区的总数据为出发点，对每天在所有卡口过道产生的上千万条数据，每年大概三十亿条的数据进行分布式存储和快速检索。在此基础上，后续可以给公安用户提供进一步的解决方案和增值服务，比如已经推出的卡口过车大数据、视频图像大数据和公安情报大数据三方面的解决方案。这些方案提供多种功能的查询，以及基于测控的分析和基站行业的服务，目的就是让公安能快速科学地侦破案件。

在智能交通领域，目前主要应用于车辆的疏导，比如基于不同道路、路口车流量的统计(时、日、月统计等)，根据这些统计可以分析不同时段某条道路实时的车流密度、发展方向和趋势等。这些项目的应用已经在很多大城市落地，比如平时大家在公交上看到的移动电视里播放的上下班高峰路段实时画面，就是基于大数据的技术分析所得。从应用上看，用户切实感到便捷好用，所以市场潜力很大，未来的应用会更加广泛。

大数据应用存在的难题

大数据本身是针对数据的存储、检索、关联、推导等有价值的挖掘，这些数据本身来说是通用的。但在安防领域，哪些数据是有用的，哪些是我们需要关心和提取的，这是目前在摸索的问题。也就是说，当前的困难在于如何让技术热点和相关业务进行结合，以提取更有价值的数据。

从技术上分析，有两个技术难点：

第一个难点是如何从非结构化的数据中提取结构化的数据出来。所谓非结构化数据是指在视频里面进行特征的提取，这些可能是人类不能理解和不能处理的;结构化数据则是人可以理解和处理的，比如在视频里有几个活动目标、是人还是车。如果是人，身上穿的是什么样的衣服;如果是车，车牌号是多少、什么样的品牌型号、颜色、行进速度、方向等数据，这些都是可以转化为结构化数据为人所用。目前，安防的数据很多涉及到视频数据，而视频数据本身是不能够被结构化的数据，也就不能被计算机直接所处理。所以未来摆在技术人员面前的课题是如何把视频数据转换成计算机能够处理的结构化或者半结构化数据。

第二个难点是寻找这些数据之间的关联和价值。数据是有关联没关联之分的，我们只能通过工具来找。所有这些存储的特征数据，包括公安行业、平安城市中每天产生的海量视频数据，可以为很多案件的侦查提供有价值的线索。现在技术需要攻克的难题就是能不能把这些数据通过相应的工具模块，通过大数据技术把原来被忽视的数据信息关联起来，找到或提取这些数据之间的相关性，为案件的侦破和方案决策提供科学的数据依据。

公安数据流动的单向性

公安行业每天获取的数据数以千万，如何确保这些数据信息的安全成为行业共同关注的热点。从传统意义上讲，数据产生之后，首先要确保数据本身的安全，目前行业内有非常成熟的技术和解决方案。在海量数据面前，如果你对数据不了解，就算把这些数据摆在面前，你也很难去提取有用的数据，但这并不能作为行业忽视其重要性的借口。因为对安防厂商而言，很多有价值的数据是需要提供保护的，也就是对数据应用模式采取高规格的保护措施，因为这些数据一旦被不法分子挖掘并关联起来，可能整个地区的安全漏洞就会被利用。

现在，公安的数据一般在局域网内运行，并有相关的保护措施来提供安全保障。如会把数据分成不同的网络和不同的层次，让数据在不同的网络安全系统之间，从低安全性网络向高安全性网络实行单向流动，最后在公安的核心网络里汇集所有的数据(这个安全等级是最高的，通过安全边界、物理隔离来保护)。同时在外围的视频网，主要以视频数据为主，辅以视频相关的业务，这些数据只有进入公安网后才与其他的数据发生关联，才能发掘出一些有价值的数据。比如办案民警在视频网络上，可以获取犯罪嫌疑人的照片，但这个人是谁，他的信息是什么，只有进入公安网以后才能获取，才能将相关信息匹配关联起来，然后通过其他数据库的关联，进一步挖掘出他在哪个网吧出现过，在哪个酒店居住过……以上信息都可以挖掘出来，但这种挖掘只能在高安全性网络中进行，这种信息流动都是单向的。

未来的商业模式

从传统的安防业务来讲，还是以公安客户投资建设系统为主，厂商提供产品和集成的解决方案，最终由集成商来做落地实施，最后交付给客户使用并进行相应的维护。同时，未来行业对大数据中数据的获取、存储、分析、处理会变得更加的专业，用户本身在处理和应用时可能会遇到各种困难，那么针对这类问题可能会有一些小型的服务公司出现，给终端用户提供各种各样专业的数据服务。比如专业的视频提取会有专业的公司切入，用专业的算法工具帮助你把视频里面的数据提取出来，或者有那些专业的通讯厂商对数据进行挖掘和处理，包括提供一些工具和服务的模式(未来会更倾向于服务的模式)。但限于公安行业的特点，这些公共服务在公安行业目前还比较难做，不过未来也可以由一些厂家对整个应用系统进行构建，以运营服务收费的方式与公安客户或者政府机构进行合作。

对于大型、特别大型的项目，比如涉及到一个城市、一个省乃至全国范围的项目，一般来说可能会找专业的IT厂商来做，特别是互联网公司(现在也有牵涉其中)，他们更多是以技术提供商的角色参与，安防厂商侧重点放在业务上。这样大家分工比较明确，因为即使是技术比较领先的行业厂商，它也很难或者没有必要投大量的研发在大数据基础的研发上，而是应该将重点放在大数据的基础应用或业务解决方案上，然后底层的基础架构由IT厂商来分担完成。彼此互利共赢，持续发展。

以上是小编为大家分享的关于 深度解析大数据在公安领域的应用的相关内容，更多信息可以关注环球青藤分享更多干货

Ⅳ 震网病毒的深度分析

2010年10月，国内外多家媒体相继报道了Stuxnet蠕虫对西门子公司的数据采集与监控系统SIMATIC WinCC进行攻击的事件，称其为“超级病毒”、“超级工厂病毒”，并形容成“超级武器”、“潘多拉的魔盒”。
Stuxnet蠕虫（俗称“震网”、“双子”）在2010年7月开始爆发。它利用了微软操作系统中至少4个漏洞，其中有3个全新的零日漏洞；伪造驱动程序的数字签名；通过一套完整的入侵和传播流程，突破工业专用局域网的物理限制；利用WinCC系统的2个漏洞，对其开展破坏性攻击。它是第一个直接破坏现实世界中工业基础设施的恶意代码。据赛门铁克公司的统计，截止到2010年09月全球已有约45000个网络被该蠕虫感染， 其中60%的受害主机位于伊朗境内。伊朗政府已经确认该国的布什尔核电站遭到Stuxnet蠕虫的攻击。
安天实验室于7月15日捕获到Stuxnet蠕虫的第一个变种，在第一时间展开分析，发布了分析报告及防范措施，并对其持续跟踪。截止至本报告发布，安天已经累计捕获13个变种、600多个不同哈希值的样本实体。 2.1 运行环境
Stuxnet蠕虫在以下操作系统中可以激活运行： Windows 2000、Windows Server 2000 Windows XP、Windows Server 2003 Windows Vista Windows 7、Windows Server 2008 当它发现自己运行在非Windows NT系列操作系统中，即刻退出。
被攻击的软件系统包括： SIMATIC WinCC 7.0 SIMATIC WinCC 6.2 但不排除其他版本存在这一问题的可能。
2.2 本地行为
样本被激活后，典型的运行流程如图1 所示。
样本首先判断当前操作系统类型，如果是Windows 9X/ME，就直接退出。
接下来加载一个主要的DLL模块，后续的行为都将在这个DLL中进行。为了躲避查杀，样本并不将DLL模块释放为磁盘文件然后加载，而是直接拷贝到内存中，然后模拟DLL的加载过程。
具体而言，样本先申请足够的内存空间，然后Hookntdll.dll导出的6个系统函数： ZwMapViewOfSection ZwCreateSection ZwOpenFile ZwClose ZwQueryAttributesFile ZwQuerySection 为此，样本先修改ntdll.dll文件内存映像中PE头的保护属性，然后将偏移0x40处的无用数据改写为跳转代码，用以实现hook。
进而，样本就可以使用ZwCreateSection在内存空间中创建一个新的PE节，并将要加载的DLL模块拷贝到其中，最后使用LoadLibraryW来获取模块句柄。
图1 样本的典型运行流程
此后，样本跳转到被加载的DLL中执行，衍生下列文件：
%System32%driversmrxcls.sys %System32%driversmrxnet.sys%Windir%infoem7A.PNF%Windir%infmdmeric3.PNF %Windir%infmdmcpq3.PNF%Windir%infoem6C.PNF 其中有两个驱动程序mrxcls.sys和mrxnet.sys，分别被注册成名为MRXCLS和MRXNET的系统服务，实现开机自启动。这两个驱动程序都使用了Rootkit技术，并有数字签名。
mrxcls.sys负责查找主机中安装的WinCC系统，并进行攻击。具体地说，它监控系统进程的镜像加载操作，将存储在%Windir%infoem7A.PNF中的一个模块注入到services.exe、S7tgtopx.exe、CCProjectMgr.exe三个进程中，后两者是WinCC系统运行时的进程。
mrxnet.sys通过修改一些内核调用来隐藏被拷贝到U盘的lnk文件和DLL文件（图2 ）。
图2驱动程序隐藏某些lnk文件
图3 样本的多种传播方式
2.3 传播方式Stuxnet蠕虫的攻击目标是SIMATIC WinCC软件。后者主要用于工业控制系统的数据采集与监控，一般部署在专用的内部局域网中，并与外部互联网实行物理上的隔离。为了实现攻击，Stuxnet蠕虫采取多种手段进行渗透和传播，如图3所示。
整体的传播思路是：首先感染外部主机；然后感染U盘，利用快捷方式文件解析漏洞，传播到内部网络；在内网中，通过快捷方式解析漏洞、RPC远程执行漏洞、打印机后台程序服务漏洞，实现联网主机之间的传播；最后抵达安装了WinCC软件的主机，展开攻击。
2.3.1. 快捷方式文件解析漏洞（MS10-046）
这个漏洞利用Windows在解析快捷方式文件（例如.lnk文件）时的系统机制缺陷，使系统加载攻击者指定的DLL文件，从而触发攻击行为。具体而言，Windows在显示快捷方式文件时，会根据文件中的信息寻找它所需的图标资源，并将其作为文件的图标展现给用户。如果图标资源在一个DLL文件中，系统就会加载这个DLL文件。攻击者可以构造这样一个快捷方式文件，使系统加载指定的DLL文件，从而执行其中的恶意代码。快捷方式文件的显示是系统自动执行，无需用户交互，因此漏洞的利用效果很好。
Stuxnet蠕虫搜索计算机中的可移动存储设备（图4）。一旦发现，就将快捷方式文件和DLL文件拷贝到其中（图5）。如果用户将这个设备再插入到内部网络中的计算机上使用，就会触发漏洞，从而实现所谓的“摆渡”攻击，即利用移动存储设备对物理隔离网络的渗入。
图4 查找U盘
拷贝到U盘的DLL文件有两个：~wtr4132.tmp和~wtr4141.tmp。后者Hook了kernel32.dll和ntdll.dll中的下列导出函数：
FindFirstFileW FindNextFileW ZwQueryDirectoryFile 实现对U盘中lnk文件和DLL文件的隐藏。因此，Stuxnet一共使用了两种措施（内核态驱动程序、用户态Hook API）来实现对U盘文件的隐藏，使攻击过程很难被用户发觉，也能一定程度上躲避杀毒软件的扫描。
图5 拷贝文件到U盘
2.3.2. RPC远程执行漏洞（MS08-067）与提升权限漏洞
这是2008年爆发的最严重的一个微软操作系统漏洞，具有利用简单、波及范围广、危害程度高等特点。
图6 发动RPC攻击
具体而言，存在此漏洞的系统收到精心构造的RPC请求时，可能允许远程执行代码。在Windows 2000、Windows XP和Windows Server 2003系统中，利用这一漏洞，攻击者可以通过恶意构造的网络包直接发起攻击，无需通过认证地运行任意代码，并且获取完整的权限。因此该漏洞常被蠕虫用于大规模的传播和攻击。
Stuxnet蠕虫利用这个漏洞实现在内部局域网中的传播（图6）。利用这一漏洞时，如果权限不够导致失败，还会使用一个尚未公开的漏洞来提升自身权限（图1），然后再次尝试攻击。截止本报告发布，微软尚未给出该提权漏洞的解决方案。
2.3.3. 打印机后台程序服务漏洞（MS10-061）
这是一个零日漏洞，首先发现于Stuxnet蠕虫中。
Windows打印后台程序没有合理地设置用户权限。攻击者可以通过提交精心构造的打印请求，将文件发送到暴露了打印后台程序接口的主机的%System32%目录中。成功利用这个漏洞可以以系统权限执行任意代码，从而实现传播和攻击。
图7 利用打印服务漏洞
Stuxnet蠕虫利用这个漏洞实现在内部局域网中的传播。如图7所示，它向目标主机发送两个文件：winsta.exe、sysnullevnt.mof。后者是微软的一种托管对象格式（MOF）文件，在一些特定事件驱动下，它将驱使winsta.exe被执行。
2.3.4.内核模式驱动程序（MS10-073）
2.3.5.任务计划程序漏洞（MS10-092）
2.4 攻击行为
Stuxnet蠕虫查询两个注册表键来判断主机中是否安装WinCC系统（图8）：
HKLMSOFTWARESIEMENSWinCCSetup
HKLMSOFTWARESIEMENSSTEP7
图8 查询注册表，判断是否安装WinCC
一旦发现WinCC系统，就利用其中的两个漏洞展开攻击：
一是WinCC系统中存在一个硬编码漏洞，保存了访问数据库的默认账户名和密码，Stuxnet利用这一漏洞尝试访问该系统的SQL数据库（图9）。
二是在WinCC需要使用的Step7工程中，在打开工程文件时，存在DLL加载策略上的缺陷，从而导致一种类似于“DLL预加载攻击”的利用方式。最终，Stuxnet通过替换Step7软件中的s7otbxdx.dll，实现对一些查询、读取函数的Hook。
图9 查询WinCC的数据库
2.5 样本文件的衍生关系
本节综合介绍样本在上述复制、传播、攻击过程中，各文件的衍生关系。
如图10所示。样本的来源有多种可能。
对原始样本、通过RPC漏洞或打印服务漏洞传播的样本，都是exe文件，它在自己的.stud节中隐形加载模块，名为“kernel32.dll.aslr.<随机数字>.dll”。
对U盘传播的样本，当系统显示快捷方式文件时触发漏洞，加载~wtr4141.tmp文件，后者加载一个名为“shell32.dll.aslr.<随机数字>.dll”的模块，这个模块将另一个文件~wtr4132.tmp加载为“kernel32.dll.aslr.<随机数字>.dll”。
图10 样本文件衍生的关系
模块“kernel32.dll.aslr.<随机数字>.dll”将启动后续的大部分操作，它导出了22个函数来完成恶意代码的主要功能；在其资源节中，包含了一些要衍生的文件，它们以加密的形式被保存。
其中，第16号导出函数用于衍生本地文件，包括资源编号201的mrxcls.sys和编号242的mrxnet.sys两个驱动程序，以及4个.pnf文件。
第17号导出函数用于攻击WinCC系统的第二个漏洞，它释放一个s7otbxdx.dll，而将WinCC系统中的同名文件修改为s7otbxsx.dll，并对这个文件的导出函数进行一次封装，从而实现Hook。
第19号导出函数负责利用快捷方式解析漏洞进行传播。它释放多个lnk文件和两个扩展名为tmp的文件。
第22号导出函数负责利用RPC漏洞和打印服务漏洞进行传播。它释放的文件中，资源编号221的文件用于RPC攻击、编号222的文件用于打印服务攻击、编号250的文件用于提权。 3.1 抵御本次攻击
西门子公司对此次攻击事件给出了一个解决方案，链接地址见附录。下面根据我们的分析结果，给出更具体的措施。
1.使用相关专杀工具或手工清除Stuxnet蠕虫
手工清除的步骤为： 使用Atool管理工具，结束系统中的父进程不是winlogon.exe的所有lsass.exe进程； 强行删除下列衍生文件：
%System32%driversmrxcls.sys
%System32%driversmrxnet.sys
%Windir%infoem7A.PNF
%Windir%infmdmeric3.PNF
%Windir%infmdmcpq3.PNF
%Windir%infoem6C.PNF 删除下列注册表项：
HKEY_LOCAL_
HKEY_LOCAL_ 2. 安装被利用漏洞的系统补丁
安装微软提供的下列补丁文件： RPC远程执行漏洞（MS08-067） 快捷方式文件解析漏洞（MS10-046） 打印机后台程序服务漏洞（MS10-061） 内核模式驱动程序漏洞（MS10-073） 任务计划程序程序漏洞（MS10-092） 3. 安装软件补丁
安装西门子发布的WinCC系统安全更新补丁，地址见附录。
3.2 安全建议
此次攻击事件凸显了两个问题： 即便是物理隔离的专用局域网，也并非牢不可破； 专用的软件系统，包括工业控制系统，也有可能被攻击。 因此，我们对有关部门和企业提出下列安全建议：
加强主机（尤其是内网主机）的安全防范，即便是物理隔离的计算机也要及时更新操作系统补丁，建立完善的安全策略；
安装安全防护软件，包括反病毒软件和防火墙，并及时更新病毒数据库；
建立软件安全意识，对企业中的核心计算机，随时跟踪所用软件的安全问题，及时更新存在漏洞的软件；
进一步加强企业内网安全建设，尤其重视网络服务的安全性，关闭主机中不必要的网络服务端口；
所有软件和网络服务均不启用弱口令和默认口令；
加强对可移动存储设备的安全管理，关闭计算机的自动播放功能，使用可移动设备前先进行病毒扫描，为移动设备建立病毒免疫，使用硬件式U盘病毒查杀工具。 相比以往的安全事件，此次攻击呈现出许多新的手段和特点，值得我们特别关注。
4.1 专门攻击工业系统
Stuxnet蠕虫的攻击目标直指西门子公司的SIMATIC WinCC系统。这是一款数据采集与监视控制（SCADA）系统，被广泛用于钢铁、汽车、电力、运输、水利、化工、石油等核心工业领域，特别是国家基础设施工程；它运行于Windows平台，常被部署在与外界隔离的专用局域网中。
一般情况下，蠕虫的攻击价值在于其传播范围的广阔性、攻击目标的普遍性。此次攻击与此截然相反，最终目标既不在开放主机之上，也不是通用软件。无论是要渗透到内部网络，还是挖掘大型专用软件的漏洞，都非寻常攻击所能做到。这也表明攻击的意图十分明确，是一次精心谋划的攻击。
4.2 利用多个零日漏洞
Stuxnet蠕虫利用了微软操作系统的下列漏洞： RPC远程执行漏洞（MS08-067） 快捷方式文件解析漏洞（MS10-046） 打印机后台程序服务漏洞（MS10-061） 内核模式驱动程序漏洞（MS10-073） 任务计划程序程序漏洞（MS10-092） 后四个漏洞都是在Stuxnet中首次被使用，是真正的零日漏洞。如此大规模的使用多种零日漏洞，并不多见。
这些漏洞并非随意挑选。从蠕虫的传播方式来看，每一种漏洞都发挥了独特的作用。比如基于自动播放功的U盘病毒被绝大部分杀毒软件防御的现状下，就使用快捷方式漏洞实现U盘传播。
另一方面，在安天捕获的样本中，有一部分实体的时间戳是2013年3月。这意味着至少在3月份，上述零日漏洞就已经被攻击者掌握。但直到7月份大规模爆发，漏洞才首次披露出来。这期间要控制漏洞不泄露，有一定难度。
4.3 使用数字签名
Stuxnet在运行后，释放两个驱动文件：
%System32%driversmrxcls.sys
%System32%driversmrxnet.sys
这两个驱动文件伪装RealTek的数字签名（图7）以躲避杀毒软件的查杀。目前，这一签名的数字证书已经被颁发机构吊销，无法再通过在线验证，但目前反病毒产品大多使用静态方法判定可执行文件是否带有数字签名，因此有可能被欺骗。图11 Stuxnet伪造的数字签名
4.4 明确的攻击目标
根据赛门铁克公司的统计，7月份，伊朗感染Stuxnet蠕虫的主机只占25%，到9月下旬，这一比例达到60%。
WinCC被伊朗广泛使用于基础国防设施中。9月27日，伊朗国家通讯社向外界证实该国的第一座核电站“布什尔核电站”已经遭到攻击。据了解，该核电站原计划于2013年8月开始正式运行。因此，此次攻击具有明确的地域性和目的性。 5.1 工业系统安全将面临严峻挑战
在我国，WinCC已被广泛应用于很多重要行业，一旦受到攻击，可能造成相关企业的设施运行异常，甚至造成商业资料失窃、停工停产等严重事故。
对于Stuxnet蠕虫的出现，我们并未感到十分意外。早在去年，安天就接受用户委托，对化工行业仪表的安全性展开过研究，情况不容乐观。
工业控制网络，包括工业以太网，以及现场总线控制系统早已在工业企业中应用多年，目前在电力、钢铁、化工等大型重化工业企业中，工业以太网、DCS（集散控制系统）、现场总线等技术早已渗透到控制系统的方方面面。工业控制网络的核心现在都是工控PC，大多数同样基于Windows-Intel平台，工业以太网与民用以太网在技术上并无本质差异，现场总线技术更是将单片机/嵌入式系统应用到了每一个控制仪表上。工业控制网络除了可能遭到与攻击民用/商用网络手段相同的攻击，例如通过局域网传播的恶意代码之外，还可能遭到针对现场总线的专门攻击，不可轻视。
针对民用/商用计算机和网络的攻击，目前多以获取经济利益为主要目标，但针对工业控制网络和现场总线的攻击，可能破坏企业重要装置和设备的正常测控，由此引起的后果可能是灾难性的。以化工行业为例，针对工业控制网络的攻击可能破坏反应器的正常温度/压力测控，导致反应器超温/超压，最终就会导致冲料、起火甚至爆炸等灾难性事故，还可能造成次生灾害和人道主义灾难。因此，这种袭击工业网络的恶意代码一般带有信息武器的性质，目标是对重要工业企业的正常生产进行干扰甚至严重破坏，其背景一般不是个人或者普通地下黑客组织。
目前，工业以太网和现场总线标准均为公开标准，熟悉工控系统的程序员开发针对性的恶意攻击代码并不存在很高的技术门槛。因此，对下列可能的工业网络安全薄弱点进行增强和防护是十分必要的： 基于Windows-Intel平台的工控PC和工业以太网，可能遭到与攻击民用/商用PC和网络手段相同的攻击，例如通过U盘传播恶意代码和网络蠕虫，这次的Stuxnet病毒就是一个典型的例子。 DCS和现场总线控制系统中的组态软件（测控软件的核心），目前其产品，特别是行业产品被少数公司所垄断，例如电力行业常用的西门子SIMATIC WinCC，石化行业常用的浙大中控等。针对组态软件的攻击会从根本上破坏测控体系，Stuxnet病毒的攻击目标正是WinCC系统。 基于RS-485总线以及光纤物理层的现场总线，例如PROFIBUS和MODBUS（串行链路协议），其安全性相对较好；但短程无线网络，特别是不使用Zigbee等通用短程无线协议（有一定的安全性），而使用自定义专用协议的短程无线通信测控仪表，安全性较差。特别是国内一些小企业生产的“无线传感器”等测控仪表，其无线通信部分采用通用2.4GHz短程无线通信芯片，连基本的加密通信都没有使用，可以说毫无安全性可言，极易遭到窃听和攻击，如果使用，将成为现场总线中极易被攻击的薄弱点。 工业控制网络通常是独立网络，相对民用/商用网络而言，数据传输量相对较少，但对其实时性和可靠性的要求却很高，因而出现问题的后果相当严重。
传统工业网络的安全相对信息网络来说，一直是凭借内网隔离，而疏于防范。因此，针对工业系统的安全检查和防范加固迫在眉睫。

Ⅳ 急！！！

.....................................

Ⅵ 求助关于TCP/IP协议深度分析

TCP/IP（Transmission Control Protocol/Internet Protocol的简写，中文译名为传输控制协议/互联网络协议）协议是Internet最基本的协议，简单地说，就是由网络层的IP协议和传输层的TCP协议组成的。

众所周知，如今电脑上因特网都要作TCP/IP协议设置，显然该协议成了当今地球村“人与人”之间的“牵手协议”。

1997年，为了褒奖对因特网发展作出突出贡献的科学家，并对TCP/IP协议作出充分肯定，美国授予为因特网发明和定义TCP/IP协议的文顿·瑟夫和卡恩“国家技术金奖”。这无疑使人们认识到TCP/IP协议的重要性。

在阿帕网（ARPR）产生运作之初，通过接口信号处理机实现互联的电脑并不多，大部分电脑相互之间不兼容，在一台电脑上完成的工作，很难拿到另一台电脑上去用，想让硬件和软件都不一样的电脑联网，也有很多困难。当时美国的状况是，陆军用的电脑是DEC系列产品，海军用的电脑是Honeywell中标机器，空军用的是IBM公司中标的电脑，每一个军种的电脑在各自的系里都运行良好，但却有一个大弊病：不能共享资源。

当时科学家们提出这样一个理念：“所有电脑生来都是平等的。”为了让这些“生来平等”的电脑能够实现“资源共享”就得在这些系统的标准之上，建立一种大家共同都必须遵守的标准，这样才能让不同的电脑按照一定的规则进行“谈判”，并且在谈判之后能“握手”。

在确定今天因特网各个电脑之间“谈判规则”过程中，最重要的人物当数瑟夫（Vinton G.Cerf）。正是他的努力，才使今天各种不同的电脑能按照协议上网互联。瑟夫也因此获得了与克莱因罗克（“因特网之父”）一样的美称“互联网之父”。

瑟夫从小喜欢标新立异，坚强而又热情。中学读书时，就被允许使用加州大学洛杉矶分校的电脑，他认为“为电脑编程序是个非常激动人心的事，…只要把程序编好，就可以让电脑做任何事情。”1965年，瑟夫从斯坦福大学毕业到IBM的一家公司当系统工程师，工作没多久，瑟夫就觉得知识不够用，于是到加州大学洛杉矶分校攻读博士，那时，正逢阿帕网的建立，“接口信号处理机”（IMP）的研试及网络测评中心的建立，瑟夫也成了著名科学家克莱因罗克手下的一位学生。瑟夫与另外三位年轻人（温菲尔德、克罗克、布雷登）参与了阿帕网的第一个节点的联接。此后不久，BBN公司对工作中各种情况发展有很强判断能力、被公认阿帕网建成作出巨大贡献的鲍伯·卡恩（Bob Kahn）也来到了加州大学洛杉矶分校。 在那段日子里，往往是卡恩提出需要什么软件，而瑟夫则通宵达旦地把符合要求的软件给编出来，然后他们一起测试这些软件，直至能正常运行。当时的主要格局是这样的，罗伯茨提出网络思想设计网络布局，卡恩设计阿帕网总体结构，克莱因罗克负责网络测评系统，还有众多的科学家、研究生参与研究、试验。69年9月阿帕网诞生、运行后，才发现各个IMP连接的时候，需要考虑用各种电脑都认可的信号来打开通信管道，数据通过后还要关闭通道。否则这些IMP不会知道什么时候应该接收信号，什么时候该结束，这就是我们现在所说的通信“协议”的概念。70年12月制定出来了最初的通信协议j 由卡恩开发、瑟夫参与的“网络控制协议”（NCP），但要真正建立一个共同的标准很不容易，72年10月国际电脑通信大会结束后，科学家们都在为此而努力。“包切换”理论为网络之间的联接方式提供了理论基础。卡恩在自己研究的基础上，认识到只有深入理解各种操作系统的细节才能建立一种对各种操作系统普适的协议，73年卡恩请瑟夫一起考虑这个协议的各个细节，他们这次合作的结果产生了目前在开放系统下的所有网民和网管人员都在使用的“传输控制协议”（TCP，Transsmission-Control Protocol）和“因特网协议”（IP，Internet Protocol）即TCP/IP协议。

通俗而言：TCP负责发现传输的问题，一有问题就发出信号，要求重新传输，直到所有数据安全正确地传输到目的地。而IP是给因特网的每一台电脑规定一个地址。1974年12月，卡恩、瑟夫的第一份TCP协议详细说明正式发表。当时美国国防部与三个科学家小组签定了完成TCP/IP的协议，结果由瑟夫领衔的小组捷足先登，首先制定出了通过详细定义的TCP/IP协议标准。当时作了一个试验，将信息包通过点对点的卫星网络，再通过陆地电缆，再通过卫星网络，再由地面传输，贯串欧洲和美国，经过各种电脑系统，全程9.4万公里竟然没有丢失一个数据位，远距离的可靠数据传输证明了TCP/IP协议的成功。

1983年1月1日，运行较长时期曾被人们习惯了的NCP被停止使用，TCP/IP协议作为因特网上所有主机间的共同协议，从此以后被作为一种必须遵守的规则被肯定和应用。正是由于TCP/IP协议，才有今天“地球村”因特网的巨大发展。