對(duì)于攻擊者來(lái)說(shuō),慣于使用病毒等惡意程序?qū)ο到y(tǒng)和網(wǎng)絡(luò)進(jìn)行攻擊。隨著技術(shù)的發(fā)展,攻擊者明顯提高了惡意軟件的復(fù)雜性。例如曾經(jīng)引起全球巨大安全問(wèn)題的某勒索軟件,采用加密蠕蟲(chóng)技術(shù)技術(shù)可以更加輕松地進(jìn)行大范圍攻擊操作,其特點(diǎn)不僅僅是勒索錢財(cái),而是刪除系統(tǒng)和數(shù)據(jù),給用戶造成很大的損失。
例如WannaCrypt勒索軟件會(huì)通過(guò)釣魚(yú)網(wǎng)站或垃圾郵件,利用社會(huì)工程學(xué)技術(shù)將惡意的URL/PDF/HTA的數(shù)據(jù)發(fā)送給用戶,用戶點(diǎn)擊該URL或打開(kāi)附件后,就會(huì)下載并釋放該蠕蟲(chóng)。當(dāng)WannaCrypt運(yùn)行后,即開(kāi)始執(zhí)行后續(xù)攻擊行為,其特點(diǎn)是釋放加密模塊,對(duì)本地文件進(jìn)行加密并進(jìn)行勒索。之后該蠕蟲(chóng)會(huì)掃描局域網(wǎng)中的IP地址,利用SMB等系統(tǒng)漏洞,通過(guò)自我復(fù)制來(lái)攻擊其他主機(jī)。此外,其還會(huì)生成隨機(jī)的互聯(lián)網(wǎng)IP地址,對(duì)Internet上隨機(jī)主機(jī)進(jìn)行攻擊。可以看出該惡意軟件將釣魚(yú)、垃圾郵件、加密勒索和蠕蟲(chóng)等特點(diǎn)結(jié)合在了一起,使其擁有更加危險(xiǎn)的功能。
攻擊者會(huì)通過(guò)各種方法讓惡意程序避開(kāi)用戶追蹤。例如有些木馬會(huì)利用各種沙盒逃避技術(shù)(例如只有在文件關(guān)閉時(shí)才會(huì)觸發(fā)等),讓沙盒檢測(cè)軟件對(duì)其視而不見(jiàn)。此外大量的使用加密技術(shù),可以讓黑客更好的隱藏命令和控制指令。攻擊者還會(huì)采用合法的Internet服務(wù)的C2渠道來(lái)加密惡意流量。例如對(duì)于新型木馬來(lái)說(shuō),會(huì)自動(dòng)定時(shí)到GitHub端下載更新程序來(lái)強(qiáng)化該木馬的功能,同時(shí)將盜取的數(shù)據(jù)發(fā)送到GitHub云端中。
因?yàn)镚itHub、Dropbox等均是合法的Internet服務(wù),并提供了加密傳輸功能,所以黑客可以借此混跡其中來(lái)逃避追捕。當(dāng)然,黑客也可能使用MITM插入技術(shù),在正常訪問(wèn)因特網(wǎng)服務(wù)流量中插入非法指令來(lái)避開(kāi)防火墻等設(shè)備的監(jiān)控。
因 此, 將 合 法 的Internet服務(wù)變成發(fā)起惡意攻擊工具,是黑客技術(shù)發(fā)展的一大趨勢(shì)。對(duì)于很多企業(yè)來(lái)說(shuō),會(huì)依賴和使用云服務(wù)、物聯(lián)網(wǎng)和公共網(wǎng)絡(luò)。這些網(wǎng)絡(luò)網(wǎng)絡(luò)存在很多漏洞,很容易遭到黑客的攻擊。例如,黑客利用黑客可以籍此建立僵尸網(wǎng)絡(luò),來(lái)發(fā)起更大范圍的DDoS攻擊。
對(duì)于上述攻擊行為來(lái)說(shuō),必須采取對(duì)應(yīng)的手段加以防御。例如,通過(guò)實(shí)施可擴(kuò)展的一線防御工具來(lái)保護(hù)網(wǎng)絡(luò)安全。因?yàn)楹芏嗥髽I(yè)都使用基于云的網(wǎng)絡(luò)技術(shù),所以可以利用云安全平臺(tái),針對(duì)云端操作進(jìn)行管控和認(rèn)證,限制內(nèi)部用戶對(duì)企業(yè)公有云上的資源的訪問(wèn)。通過(guò)防火墻等設(shè)備對(duì)網(wǎng)絡(luò)進(jìn)行分段來(lái)降低安全風(fēng)險(xiǎn),針對(duì)應(yīng)用程序,系統(tǒng)和網(wǎng)絡(luò)設(shè)備進(jìn)行漏洞的修復(fù),防止惡意入侵。
傳統(tǒng)的基于靜態(tài)或動(dòng)態(tài)特征碼技術(shù)已經(jīng)無(wú)法防御新一代的病毒攻擊,所以采用下一代終端進(jìn)程管控工具,可以通過(guò)對(duì)特征和行為進(jìn)行多重分析,包括使用人工智能機(jī)器學(xué)習(xí)等手段來(lái)發(fā)現(xiàn)和識(shí)別可疑程序。對(duì)于很多安全廠商來(lái)說(shuō),在不斷提高安全產(chǎn)品性能的同時(shí),也在不斷深入了解最新的黑客技術(shù),針對(duì)新型的入侵方式,利用AI和機(jī)器學(xué)習(xí)等方法對(duì)其進(jìn)行深入分析,掌握最新的安全動(dòng)態(tài),來(lái)精準(zhǔn)的獲取威脅情況信息。
因此,對(duì)于安全人員來(lái)說(shuō),及時(shí)訪問(wèn)和了解這些威脅情報(bào)數(shù)據(jù),熟悉其運(yùn)作流程,就可以更加有效的監(jiān)控相關(guān)的安全事件。
對(duì)出現(xiàn)的安全問(wèn)題及時(shí)加以審核并有效加以解決,對(duì)重要的數(shù)據(jù)進(jìn)行備份可以有效應(yīng)對(duì)勒索病毒的侵襲,對(duì)安全技術(shù)實(shí)施第三方的測(cè)試審查來(lái)降低供應(yīng)鏈攻擊風(fēng)險(xiǎn),對(duì)微服務(wù)/云服務(wù)/應(yīng)用管理系統(tǒng)進(jìn)行掃描,對(duì)安全系統(tǒng)進(jìn)行不間斷審核。因?yàn)閻阂廛浖赡軐?shù)據(jù)封裝在加密流量中,企業(yè)內(nèi)部不法員工會(huì)使用云端來(lái)竊取機(jī)密信息,因此安全人員需要使用相關(guān)工具來(lái)及時(shí)檢測(cè)這些利用加密技術(shù)進(jìn)行的破壞活動(dòng)。
惡意軟件變得更加復(fù)雜,其類型和數(shù)量不斷膨脹,面對(duì)處于混亂狀態(tài)的安全形勢(shì),對(duì)于安全防御提出了新的挑戰(zhàn)。對(duì)于將惡意程序和蠕蟲(chóng)技術(shù)集成于一身的勒索病毒來(lái)說(shuō),可以讓黑客發(fā)起新型的自傳播式的攻擊行為。傳統(tǒng)的惡意軟件一般是通過(guò)常規(guī)下載,垃圾郵件或U盤(pán)介質(zhì)等方法進(jìn)行傳輸,用戶防御起來(lái)也比較簡(jiǎn)單。
但是現(xiàn)在的攻擊者采用的傳播手段更加復(fù)雜,例如黑客可以在某些軟件的更新包中內(nèi)嵌惡意代碼,讓用戶在進(jìn)行正常升級(jí)過(guò)程中中招。黑客甚至可以直接修改某些系統(tǒng)的更新源文件,將其指向黑客精心設(shè)置的惡意更新源。對(duì)于Linux來(lái)說(shuō),在安裝軟件時(shí)用戶經(jīng)常會(huì)使用“Yum”或“Apt-get”等指令,在實(shí)際操作時(shí)可能會(huì)出現(xiàn)打錯(cuò)字符的情況,黑客會(huì)總結(jié)用戶經(jīng)常手誤的指令名稱,在更新源上設(shè)置對(duì)應(yīng)的下載包,利用用戶誤操作來(lái)自動(dòng)下載惡意程序。
沙盒技術(shù)可以有效識(shí)別惡意軟件,但越來(lái)越多的惡意軟件通過(guò)使用文檔關(guān)閉觸發(fā)技術(shù)來(lái)規(guī)避沙盒的檢測(cè)。此外,黑客還會(huì)通過(guò)偽裝存在惡意負(fù)載的文件來(lái)避開(kāi)沙盒的檢測(cè)。例如攻擊者會(huì)將存問(wèn)題的Word文件內(nèi)嵌到PDF文檔中,沙盒雖然可以對(duì)PDF進(jìn)行檢測(cè),但是對(duì)于內(nèi)嵌的Word文件卻不能進(jìn)行有效分析。因此,使用包含內(nèi)容感知功能的沙盒軟件,可以讓利用這些惡意策略的不法文件漏出馬腳。
對(duì)于正規(guī)廠商的商業(yè)軟件來(lái)說(shuō),出現(xiàn)安全問(wèn)題,會(huì)及時(shí)發(fā)布補(bǔ)丁包進(jìn)行修復(fù)。但對(duì)于開(kāi)源軟件來(lái)說(shuō),即使出現(xiàn)安全漏洞,安全更新發(fā)布的也會(huì)很緩慢。而且開(kāi)源軟件經(jīng)常大量使用第三方的控件,這大大增加了安全風(fēng)險(xiǎn)的發(fā)生率。對(duì)于黑客來(lái)說(shuō),可以在其中任何一個(gè)環(huán)節(jié)(例如更新源、補(bǔ)丁包、第三方控件等)進(jìn)行惡意破壞,就會(huì)讓惡意程序大行其道。對(duì)于修改更新源,篡改更新包等基于供應(yīng)鏈的攻擊方式,其危害性很大,但是卻經(jīng)常被用戶所忽視。
對(duì)于安全人員來(lái)說(shuō),應(yīng)保證使用的軟件和硬件來(lái)自安全可靠的組織和企業(yè)。用戶在使用更新源和更新包之前需要對(duì)其進(jìn)行檢測(cè),來(lái)發(fā)現(xiàn)其中是否存在惡意代碼,否則這種基于供應(yīng)鏈的攻擊形式會(huì)讓用戶防不勝防。對(duì)于勒索軟件來(lái)說(shuō),其目標(biāo)不僅僅是普通用戶,還包括開(kāi)發(fā)及運(yùn)行平臺(tái),因?yàn)楝F(xiàn)在的開(kāi)發(fā)者往往基于云端操作,大量的數(shù)據(jù)(包括郵件、網(wǎng)站、財(cái)務(wù)系統(tǒng)、辦公系統(tǒng)、數(shù)據(jù)庫(kù)等)保存在云中,很多開(kāi)發(fā)及運(yùn)行平臺(tái)在為外界服務(wù),黑客可以針對(duì)這些云端數(shù)據(jù)進(jìn)行攻擊加密和勒索。所以需要采取諸如及時(shí)修復(fù)和更新開(kāi)發(fā)運(yùn)行技術(shù),積極掃描漏洞,實(shí)現(xiàn)更加嚴(yán)格的安全部署方案,對(duì)公共基礎(chǔ)設(shè)備加以關(guān)注等。
據(jù)統(tǒng)計(jì),現(xiàn)在網(wǎng)上50%的流量均處于加密狀態(tài),這給黑客進(jìn)行隱藏命令與控制行為帶了極大的便利。據(jù)分析,現(xiàn)在的惡意軟件大約70%都經(jīng)過(guò)了加密處理,這樣就可以逃避安全監(jiān)測(cè)。
更危險(xiǎn)的是,如果相關(guān)安全公司的私鑰和證書(shū)被黑客竊取的話,其危害性將更大。面對(duì)這種復(fù)雜的安全局勢(shì),比較好的應(yīng)對(duì)策略是使用人工智能和機(jī)器學(xué)習(xí)來(lái)識(shí)別海量加密流量中惡意攻擊活動(dòng)的異常模式。
使用之前的靜態(tài)簽名和動(dòng)態(tài)簽名技術(shù),只能實(shí)現(xiàn)手工定義,沒(méi)有泛化或者泛化能力有限,無(wú)法可靠阻止大多數(shù)網(wǎng)絡(luò)攻擊。利用機(jī)器學(xué)習(xí),可以執(zhí)行行為簽名處理,即分析軟件的異常行為,能夠基于惡意軟件的的相似性進(jìn)行泛化。通過(guò)對(duì)大量正常流量的學(xué)習(xí)來(lái)檢測(cè)惡意流量的特征,并基于常見(jiàn)可疑行為進(jìn)行泛化來(lái)捕獲可疑流量的通用特征。對(duì)可疑軟件的異常行為進(jìn)行分析和泛化,可有效發(fā)現(xiàn)各種危險(xiǎn)漏洞。
Web攻擊是黑客最常用的活動(dòng)方式之一。Web攻擊主要針對(duì)服務(wù)器和客戶進(jìn)行,對(duì)于服務(wù)器端來(lái)說(shuō),因?yàn)楹芏鄥f(xié)議實(shí)際上沒(méi)有標(biāo)準(zhǔn)化,加之為了實(shí)現(xiàn)各種功能,會(huì)在服務(wù)軟件中添加各種模塊,就會(huì)出現(xiàn)許多潛在的漏洞??蛻舳送狈Ρ匾陌踩庾R(shí),易遭黑客攻擊。
對(duì)于Web攻擊來(lái)說(shuō),主要針對(duì)的是微軟IE瀏覽器。不管威脅形式如何變化,惡意和垃圾郵件堪稱黑客發(fā)布惡意程序的主要工具。
社會(huì)工程學(xué)是黑客常用的手法之一,其威脅是不可忽視的。很多黑客技術(shù)會(huì)隨著時(shí)代發(fā)展而消失,但社會(huì)工程學(xué)只能越來(lái)越得到黑客的重視。和傳統(tǒng)的釣魚(yú)模式不同,現(xiàn)在黑客組織經(jīng)常使用魚(yú)叉式釣魚(yú)模式,即對(duì)目標(biāo)對(duì)象進(jìn)行精準(zhǔn)的分析,了解其特點(diǎn)和愛(ài)好,通過(guò)精心設(shè)計(jì)的情節(jié),對(duì)目標(biāo)進(jìn)行釣魚(yú)操作,其成功率往往很高。
網(wǎng)絡(luò)釣魚(yú)顯著特點(diǎn)是使用的域名數(shù)量較少,但是使用的網(wǎng)址數(shù)量卻很龐大。即通過(guò)隱私服務(wù)注冊(cè)域名來(lái)隱藏域名注冊(cè)信息,這對(duì)實(shí)際的追蹤帶來(lái)了不便。黑客可能使用短網(wǎng)址技術(shù)來(lái)偽裝非法的網(wǎng)址,讓用戶難以識(shí)別。對(duì)于安全防御來(lái)說(shuō),重點(diǎn)關(guān)注的應(yīng)該是對(duì)移動(dòng)設(shè)備的保護(hù),對(duì)公共云中數(shù)據(jù)的保護(hù),以及對(duì)用戶行為的保護(hù)等。
現(xiàn)在很多應(yīng)用和數(shù)據(jù)都遷移到了云端,讓傳統(tǒng)安全技術(shù)難以對(duì)不斷擴(kuò)展的云服務(wù)和物聯(lián)網(wǎng)環(huán)境進(jìn)行安全管控。因?yàn)檫@些云服務(wù)是合法的,不可能被全部阻止,和云服務(wù)相關(guān)的數(shù)據(jù)均進(jìn)行了加密處理,造成難以檢測(cè)的情況。這些云服務(wù)的歸屬變得復(fù)雜化,攻擊者無(wú)需注冊(cè)域名。
為了應(yīng)對(duì)這些威脅,比較有效的方法是對(duì)威脅信息進(jìn)行情報(bào)分析,了解相關(guān)惡意流量的特點(diǎn),熟悉其滲透的方式,之后有針對(duì)性的進(jìn)行APT的防御措施,包括事件關(guān)聯(lián)、沙箱檢測(cè)、終端和網(wǎng)關(guān)威脅防御等。通過(guò)對(duì)惡意軟件的行為和控制的安全檢測(cè),來(lái)抵御潛在的風(fēng)險(xiǎn)。
攻擊者可能會(huì)申請(qǐng)很多域名,但是IP地址資源卻比較有限,因此黑客可以大量重復(fù)的使用不同域名,但是其只能重復(fù)使用少量的IP地址,而IP地址可以供多個(gè)域名使用的。因此只要對(duì)這些IP地址進(jìn)行封堵,就可以有效防御其攻擊。
例如在云端可以針對(duì)該特點(diǎn)進(jìn)行收集情報(bào),進(jìn)行大數(shù)據(jù)分析之類的工作。黑客除了使用公共云服務(wù)來(lái)傳播木馬等惡意軟件外,企業(yè)內(nèi)部人員往往會(huì)將各種數(shù)據(jù)存放在云端,雖然這方便了用戶的使用,不過(guò)也帶來(lái)了不可忽視的安全問(wèn)題。
例如,云服務(wù)提供商無(wú)法完全保證數(shù)據(jù)的安全性,無(wú)法實(shí)現(xiàn)諸如基于活動(dòng)目錄之類的認(rèn)證機(jī)制,這就會(huì)造成企業(yè)的敏感數(shù)據(jù)存在被竊取、毀壞或泄露的情況。隨著越來(lái)越多的基礎(chǔ)設(shè)施遷移到云中,使用云訪問(wèn)訪問(wèn)安全代理安全代理技術(shù)可以為云環(huán)境增加更好的安全性。這樣,企業(yè)內(nèi)部用戶必須借助于該代理進(jìn)行認(rèn)證及權(quán)限控制和記錄等操作,之后通過(guò)該代理才可以訪問(wèn)云端數(shù)據(jù)。如果數(shù)據(jù)丟失的話,還可以進(jìn)行恢復(fù)。
對(duì)于物聯(lián)網(wǎng)來(lái)說(shuō),其中的很多設(shè)備(例如網(wǎng)絡(luò)攝像頭、打印機(jī)、智能音箱等)處于不間斷運(yùn)行狀態(tài),基本上不會(huì)進(jìn)行升級(jí),因此存在在很多的漏洞和弱密碼。黑客利用這些物聯(lián)網(wǎng)設(shè)備可以構(gòu)建起僵尸網(wǎng)絡(luò),發(fā)起DDoS攻擊。DDoS攻擊分為基于應(yīng)用和網(wǎng)絡(luò)的攻擊,前者為主要攻擊形式?,F(xiàn)在的DDoS攻擊具有短期突發(fā),攻擊頻繁且復(fù)雜等特點(diǎn)。
因?yàn)橛行┚W(wǎng)站(包括云服務(wù)提供商)對(duì)于可用性和延時(shí)性非常敏感,對(duì)于上述DDoS攻擊無(wú)法應(yīng)對(duì)。此外,黑客利用反射放大攻擊(包括DNS放大反射、NTP反射和SSDP反射等),可以有效的隱藏攻擊者。此類攻擊往往依靠UDP協(xié)議進(jìn)行,只要是UDP服務(wù),幾乎都可能被用來(lái)實(shí)現(xiàn)DDoS攻擊。該類攻擊必須依靠地址欺騙技術(shù),有些網(wǎng)絡(luò)(例如教育網(wǎng))對(duì)地址欺騙防護(hù)比較差,這給黑客造成很大的便利。
在攻擊者的眼中,除了常規(guī)的攻擊目標(biāo)外,一些基礎(chǔ)設(shè)施單位(例如發(fā)電廠等),因?yàn)楣た叵到y(tǒng)漏洞等問(wèn)題,使其也處于黑客的攻擊范圍內(nèi)。在這些工控網(wǎng)絡(luò)中同樣存在嚴(yán)重的安全問(wèn)題,其內(nèi)部很多設(shè)備極易遭到攻擊。為提高安全性,必須將這些網(wǎng)絡(luò)隔離開(kāi)來(lái),并實(shí)行嚴(yán)格管控,包括及時(shí)更新系統(tǒng)和應(yīng)用補(bǔ)丁更新,控制移動(dòng)存儲(chǔ)設(shè)備的使用,禁止使用弱密碼,及時(shí)備份重要數(shù)據(jù)等。
在很多企業(yè)內(nèi)部可能存在泄露路徑的問(wèn)題。所謂泄露路徑,指的是在企業(yè)內(nèi)存在某些未知的設(shè)備,并且由此發(fā)生了一些不正常的在允許策略之外的通訊,出現(xiàn)了管理員并不知道的網(wǎng)絡(luò)流量。
當(dāng)然,如果路由器或交換機(jī)配置不當(dāng),也會(huì)產(chǎn)生泄露路徑問(wèn)題。如果這些流量被發(fā)送到Internet上,就很可能被黑客竊取。
為了修復(fù)泄露路徑,管理員必須充分知曉企業(yè)中存在哪些設(shè)備,洞悉網(wǎng)絡(luò)流量的走向。將位置的設(shè)備以及不正常的流量找出來(lái),這樣就可以封堵這些泄露路徑。
如今一些下一代防火墻就提供了安全可視化技術(shù),讓管理員可以深入了解全網(wǎng)情況,以便于其快速發(fā)現(xiàn)泄露路徑。
隨著網(wǎng)絡(luò)安全的發(fā)展,諸如移動(dòng)安全性、加密和隱私保護(hù)、防火墻管理、終端保護(hù)、多因素身份驗(yàn)證、終端設(shè)備調(diào)查分析、云訪問(wèn)安全代理、Web應(yīng)用防火墻、入侵防御等安全管控技術(shù)在對(duì)抗黑客入侵方面也正在發(fā)揮著越來(lái)越大的作用。
黑客之所以可以猖狂的發(fā)起攻擊,在很大程度上依靠的是各種安全漏洞。因此,及時(shí)有效的修復(fù)漏洞是極為必要的。
例如對(duì)于WannaCry勒索病毒來(lái)說(shuō),從漏洞的披露到大面積爆發(fā),存在很長(zhǎng)的時(shí)間,但是因?yàn)樾迯?fù)不及時(shí),依然讓其造成了大面積的破壞。對(duì)于某些漏洞(例如請(qǐng)求TCP時(shí)間戳請(qǐng)求、弱HTTPS緩存策略等)來(lái)說(shuō),其嚴(yán)重性較低,但風(fēng)險(xiǎn)較高,不容易引起用戶的重視,往往長(zhǎng)期不對(duì)其進(jìn)行修復(fù)。
當(dāng)然,對(duì)于有些漏洞來(lái)說(shuō),想在30天之內(nèi)進(jìn)行修復(fù)其實(shí)是比較困難的。例如對(duì)于Apache Struts緩沖區(qū)溢出漏洞,是普遍存在的安全漏洞,這很容易導(dǎo)致用戶數(shù)據(jù)被竊取。對(duì)于Java Web框架來(lái)說(shuō),幾乎每年都會(huì)出現(xiàn)漏洞等。此外,對(duì)于緩沖區(qū)錯(cuò)誤、輸入驗(yàn)證、權(quán)限和訪問(wèn)控制、信息泄露、密碼問(wèn)題、OS命令注入、連接跟隨等方面,往往存在容易被黑客利用的漏洞。尤其對(duì)于一些開(kāi)源軟件來(lái)說(shuō),漏洞不僅存在而且難以及時(shí)修補(bǔ)。即使存在相應(yīng)補(bǔ)丁包,也很難在不影響業(yè)務(wù)的情況下快速修復(fù)漏洞。在發(fā)現(xiàn)漏洞和修補(bǔ)完成之間存在巨大的時(shí)間差,黑客完全可以利用從容的對(duì)目標(biāo)發(fā)起攻擊。
最新研究證實(shí),除了常見(jiàn)的系統(tǒng)和程序漏洞外,在物聯(lián)網(wǎng)和第三方軟件庫(kù)中存在數(shù)量眾多的安全漏洞。因此,加強(qiáng)對(duì)于第三方軟件庫(kù)的安全管控,及時(shí)打上補(bǔ)丁,確認(rèn)第三方軟件的安全性,對(duì)于網(wǎng)絡(luò)安全意義重大。
在執(zhí)行更新過(guò)程中,要盡可能通過(guò)加密通道進(jìn)行,而且需要確保軟件經(jīng)過(guò)了數(shù)字簽名處理。值得警惕的是,在處理器硬件層面也存在某些安全漏洞例,例如Meltdown(熔毀)和Spectre(幽靈)等漏洞,讓攻擊者甚至可以讀取處理器內(nèi)部的數(shù)據(jù)。當(dāng)然,這需要在特定的情況下使用特定的攻擊工具,黑客才可以得手。但是,重視和關(guān)注此類漏洞,對(duì)于網(wǎng)絡(luò)安全是不可忽視的。例如,安全人員應(yīng)及時(shí)清查各種控制設(shè)備,記錄其使用配置信息等。