時間:2024-04-17 15:35:19
緒論:在尋找寫作靈感嗎?愛發(fā)表網(wǎng)為您精選了8篇網(wǎng)絡安全與攻防,愿這些內(nèi)容能夠啟迪您的思維,激發(fā)您的創(chuàng)作熱情,歡迎您的閱讀與分享!
關鍵詞:主動防御;網(wǎng)絡安全;攻擊;防御
中圖分類號:TP393.08文獻標識碼:A 文章編號:1009-3044(2010)20-5442-02
Design of Network Safety Attack and Defense Test Platform based on Active Defense
WANG Chao-yang
(5 Department 43 Team, Artillery Academy of the P.L.A, Hefei 230031, China)
Abstract: Now traditional passive defense technology will not reply the behavior of unceasing increase large-scale network attack. According to the characteristic and the advantage of active defense, the article has introduced a kind of design scheme test platform abort network safety attack and defense based on the technology of active defense, and the design and realization of system from the two pieces of experiment modular abort attack and defense.
Key words: active defense; network safety; attack; defense
目前,伴隨著計算機網(wǎng)絡的大量普及與發(fā)展,網(wǎng)絡安全問題也日益嚴峻。而傳統(tǒng)的、被動防御的網(wǎng)絡安全防護技術也將越來越無法應對不斷出現(xiàn)的新的攻擊方法和手段,網(wǎng)絡安全防護體系由被動防御轉(zhuǎn)向主動防御是大勢所趨。因此,立足現(xiàn)有網(wǎng)絡設備進行攻防實驗平臺的設計和研究,對于未來網(wǎng)絡安全防護技術的研究具有深遠的指導意義。
1 系統(tǒng)功能設計概述
1.1 主動防御技術的概念
主動防御技術是一種新的對抗網(wǎng)絡攻擊的技術,也是當今網(wǎng)絡安全領域新興的一個熱點技術。它源于英文“Pro-active Defense”,其確切的含義為“前攝性防御”,是指由于某些機制的存在,使攻擊者無法完成對攻擊目標的攻擊。由于這些前攝性措施能夠在無人干預的情況下預防安全事件,因此有了通常所說的“主動防御”[1]。網(wǎng)絡安全主動防御技術能夠彌補傳統(tǒng)被動防御技術的不足,采用主機防御的思想和技術,增強和保證本地網(wǎng)絡安全,及時發(fā)現(xiàn)正在進行的網(wǎng)絡攻擊,并以響應的應急機制預測和識別來自外部的未知攻擊,采取各種應對防護策略阻止攻擊者的各種攻擊行為。
1.2 系統(tǒng)設計目標
目前關于主動防御的網(wǎng)絡安全防御策略理論研究的較多,但是對于很多實際應用方面還缺乏實戰(zhàn)的指導和經(jīng)驗。網(wǎng)絡安全攻防實驗平臺主要依據(jù)主動防御技術體系為策略手段,針對現(xiàn)有網(wǎng)管軟件存在的問題,進行主動防御技術體系優(yōu)化,其核心在于在實驗中實現(xiàn)系統(tǒng)的漏洞機理分析、安全性檢測、攻擊試驗、安全應急響應和提供防御應對策略建議等功能,能夠啟發(fā)實驗者認識和理解安全機理,發(fā)現(xiàn)安全隱患,并進行系統(tǒng)安全防護。
1.3 實驗平臺功能
基于主動防御的網(wǎng)絡安全攻防實驗平臺是一個網(wǎng)絡攻擊與防御的模擬演示平臺,在單機上模擬出基本的網(wǎng)絡節(jié)點(設備),然后在這個模擬的網(wǎng)絡環(huán)境中演示出網(wǎng)絡攻擊與防御的基本原理和過程,并以可視化的結(jié)果呈現(xiàn)出來。該實驗平臺所仿真的機理和結(jié)果能夠依據(jù)網(wǎng)絡安全的需求,最終用于網(wǎng)絡攻防測評和實戰(zhàn)的雙重目的。并可以為網(wǎng)絡攻擊和防護技能人才更好的學習提供一定的參考。為完整地體現(xiàn)網(wǎng)絡戰(zhàn)攻防的全過程,該平臺分為攻擊模塊與防御模塊兩部分。
攻擊模塊部分包括主機端口的掃描、檢測、Web/SMB攻擊模塊和IDS等。其主要功能是實現(xiàn)對于目標系統(tǒng)的檢測、漏洞掃描、攻擊和與防護端的通訊等[2]。
防御模塊部分主要是基于主動防御技術的功能要求,實現(xiàn)檢測、防護和響應三種功能機制。即能夠檢測到有無攻擊行為并予以顯示、給出陷阱欺騙可以利用的漏洞和提供防護應對策略等,如: 網(wǎng)絡取證、網(wǎng)絡對抗、補丁安裝、系統(tǒng)備份、防護工具的選購和安裝、響應等。
2 攻防實驗平臺模型設計
2.1 設計方案
要實現(xiàn)網(wǎng)絡攻防的實驗,就必須在局域網(wǎng)環(huán)境構建仿真的Internet環(huán)境,作為攻防實驗的基礎和實驗環(huán)境。仿真的Internet環(huán)境能實現(xiàn)www服務、FTP、E-mail服務、在線交互通信和數(shù)據(jù)庫引擎服務等基本功能。依據(jù)系統(tǒng)的功能需求分析,該平臺要實現(xiàn)一個集檢測、攻擊、防護、提供防護應對策略方案等功能于一體的軟件系統(tǒng)。主要是除了要實現(xiàn)基本的檢測、攻擊功能外,還必須通過向?qū)С绦蛞龑в脩粽J識網(wǎng)絡攻防的機理流程,即:漏洞存在―漏洞檢測(攻擊模塊)―攻擊進行(攻擊模塊)―系統(tǒng)被破壞―補救措施(防御模塊)―解決的策略方案(防御模塊)[3],以更好的達到實驗效果。
平臺整體采用C/S模式,攻擊模塊為客戶端,防御模塊為服務器端。攻擊模塊進行真實的掃描、入侵和滲透攻擊,防御模塊從一定程度上模擬并顯示受到的掃描、攻擊行為,其模擬的過程是動態(tài)的,讓實驗者看到系統(tǒng)攻擊和被攻擊的全部入侵過程,然后提供響應的防護應對策略。攻防實驗平臺模型如圖1所示。
2.2 基于主動防御的網(wǎng)絡安全體系
根據(jù)本實驗平臺設計的思想和策略原理,為實現(xiàn)主動防御的檢測、防護和響應功能機制,構建基于主動防御技術的網(wǎng)絡安全策略體系(如圖2所示)。安全策略是網(wǎng)絡安全體系的核心,防護是整個網(wǎng)絡安全體系的前沿,防火墻被安置在局域網(wǎng)和Internet網(wǎng)絡之間,可以監(jiān)視并限制進出網(wǎng)絡的數(shù)據(jù)包,并防范網(wǎng)絡內(nèi)外的非法訪問[4-5]。主動防御技術和防火墻技術相結(jié)合,構建了一道網(wǎng)絡安全的立體防線,在很大程度上確保了網(wǎng)絡系統(tǒng)的安全,對于未來的網(wǎng)絡安全防護具有深遠的意義。檢測和響應是網(wǎng)絡安全體系主動防御的核心,主要由網(wǎng)絡主機漏洞掃描(包括對密碼破解)、Web/SMB攻擊、IDS、網(wǎng)絡取證、蜜罐技術等應急響應系統(tǒng)共同實現(xiàn),包括異常檢測、模式發(fā)現(xiàn)和漏洞發(fā)現(xiàn)。
2.3 攻防模塊設計
該實驗平臺的攻擊模塊和防御模塊利用C/S模式采用特定端口進行通訊。攻擊端以動作消息的形式,把進行的每一個動作發(fā)往防御端,防御模塊從數(shù)據(jù)庫中調(diào)用相關數(shù)據(jù)進行模擬、仿真,讓實驗者看到和體會到自身系統(tǒng)受到的各種攻擊。攻防模塊經(jīng)過TCP/IP建立連接后,開始進行掃描、檢測、Web/SMB攻擊和IDS等入侵行為,攻擊端每一個消息的啟動都會發(fā)給防御端一個標志位,防御模塊經(jīng)判斷后,調(diào)用相關的顯示和檢測模塊進行處理,并提供相應的防護應對策略。
3 平臺的實現(xiàn)
3.1 主動防御思想的實現(xiàn)
在一個程序中,必須要通過接口調(diào)用操作系統(tǒng)所提供的功能函數(shù)來實現(xiàn)自己的功能。同樣,在平臺系統(tǒng)中,掛接程序的API函數(shù),就可以知道程序的進程將有什么動作,對待那些對系統(tǒng)有威脅的動作該怎么處理等等。實驗中,采取掛接系統(tǒng)程序進程的API函數(shù),對主機進程的代碼進行真實的掃描,如果發(fā)現(xiàn)有諸如SIDT、SGDT、自定位指令等,就讓進程繼續(xù)運行;接下來就對系統(tǒng)進程調(diào)用API的情況進行監(jiān)視,如果發(fā)現(xiàn)系統(tǒng)在數(shù)據(jù)的傳輸時違反規(guī)則,則會提示用戶進行有針對性的操作;如果發(fā)現(xiàn)一個諸如EXE的程序文件被進程以讀寫的方式打開,說明進程的線程可能想要感染PE文件,系統(tǒng)就會發(fā)出警告;如果進程調(diào)用了CreateRemoteThread(),則說明它可能是比較威脅的API木馬進程,也會發(fā)出警告。
3.2 攻擊程序模塊實現(xiàn)
網(wǎng)絡安全攻防實驗平臺的設計是基于面向?qū)ο蟮乃枷耄捎脛討B(tài)連接庫開發(fā)掃描、檢測、攻擊等功能模塊。利用套接字變量進行TCP/IP通信,調(diào)用DLL隱式連接和顯示連接,采用在DLL中封裝對話框的形式,也就是把掃描、檢測、攻擊等功能和所需要的對話框同時封裝到DLL中,然后主程序直接調(diào)用DLL[6]。實驗中,可以在攻擊程序模塊中指定IP范圍,并輸入需要攻擊的主機IP地址和相應的其他參數(shù),對活動主機漏洞進行掃描和密碼攻擊(如圖3所示);并指定IP,對其進行Web/SMB攻擊,然后輸出攻擊的結(jié)果和在攻擊過程中產(chǎn)生的錯誤信息等。
3.3 防御程序模塊實現(xiàn)
在程序的運行中,采取利用網(wǎng)絡偵聽機制監(jiān)聽攻擊模塊的每一次動作消息的形式,自動顯示給用戶所偵聽到外部攻擊行為(如圖4所示:Web/SMB攻擊)。該模塊同樣使用了WinSock類套接字進行通訊,在創(chuàng)建了套接字后,賦予套接字一個地址。攻擊模塊套接字和防御模塊套接字通過建立TCP/IP連接進行數(shù)據(jù)的傳輸。然后防御模塊根據(jù)接收到的標志信息,在數(shù)據(jù)庫中檢索對應的記錄,進行結(jié)果顯示、網(wǎng)絡取證、向用戶提供攻擊的類型及防護方法等多種應對策略。其中的蜜罐響應模塊能夠及時獲取攻擊信息,對攻擊行為進行深入的分析,對未知攻擊進行動態(tài)識別,捕獲未知攻擊信息并反饋給防護系統(tǒng),實現(xiàn)系統(tǒng)防護能力的動態(tài)提升。
4 結(jié)束語
基于主動防御的網(wǎng)絡安全攻防實驗平臺主要是針對傳統(tǒng)的被動式防御手段的不完善而提出的思想模型。從模型的構建、平臺的模擬和實驗的效果來看,其系統(tǒng)從一定程度上真實的模擬了網(wǎng)絡設備的攻防功能,可以為網(wǎng)絡管理者和學習者提供一定的參考和指導。
參考文獻:
[1] 楊銳,羊興.建立基于主動防御技術的網(wǎng)絡安全體系[J].電腦科技,2008(5).
[2] 裴斐,鄭秋生,等.網(wǎng)絡攻防訓練平臺設計[J].中原工學院學報,2004(2).
[3]Stuart McClure, Joel Scambray, George Kurtz. 黑客大曝光―網(wǎng)絡安全的機密與解決方案[ M].北京:清華大學出版社,2002
[4] 張常有.網(wǎng)絡安全體系結(jié)構[M].成都:電子科技大學出版社,2006(15).
[5] 黃家林,張征帆.主動防御系統(tǒng)及應用研究[J].網(wǎng)絡安全技術與應用,2007(3).
關鍵詞: 網(wǎng)絡工程; 網(wǎng)絡安全與管理; 知識結(jié)構; 課程體系
中圖分類號:G642 文獻標志碼:A 文章編號:1006-8228(2013)10-62-02
0 引言
網(wǎng)絡工程專業(yè)從1998年教育部批準開設以來,發(fā)展十分迅速。截止2012年,全國已有329所高等學校設置了網(wǎng)絡工程專業(yè),其中重點院校超過50所。經(jīng)過十多年的發(fā)展,網(wǎng)絡工程從原來計算機專業(yè)的一個專業(yè)方向發(fā)展成為全國性的大專業(yè)。2011年教育部將網(wǎng)絡工程專業(yè)列入高等學校本科專業(yè)基本目錄,標志著網(wǎng)絡工程專業(yè)已經(jīng)成為一個穩(wěn)定發(fā)展的基本本科專業(yè)[1]。
網(wǎng)絡工程專業(yè)在快速發(fā)展的同時,也面臨著一些普遍性的困難與問題。比如:網(wǎng)絡工程專業(yè)與計算機科學與技術、軟件工程、信息安全等其他信息類專業(yè)的差異區(qū)分不夠明顯,辦學特色不夠鮮明。因此,有必要從專業(yè)方向和課程體系建設入手,結(jié)合自身辦學優(yōu)勢,制定特色鮮明的網(wǎng)絡工程專業(yè)人才培養(yǎng)方案。這樣,才能培養(yǎng)出合格的網(wǎng)絡工程專業(yè)人才。
筆者所在學院2012年獲批了中央支持地方高校發(fā)展專項資金,重點建設“網(wǎng)絡與信息安全”實驗室,改善網(wǎng)絡工程專業(yè)的實踐教學條件。網(wǎng)絡工程系以此為契機,結(jié)合已有的信息安全師資優(yōu)勢,凝練出網(wǎng)絡安全與管理方向,并開展相應的專業(yè)課程體系改革。本文以此為背景,探討網(wǎng)絡工程專業(yè)網(wǎng)絡安全與管理方向的人才培養(yǎng)方案。
1 網(wǎng)絡安全與管理方向人才培養(yǎng)要求
與其他信息類專業(yè)類似,網(wǎng)絡工程專業(yè)網(wǎng)絡安全與管理方向的人才培養(yǎng)要求從素質(zhì)和能力兩方面入手。
1.1 基本素質(zhì)
網(wǎng)絡工程專業(yè)人才要求具備的基本素質(zhì)包括思想政治素質(zhì)、人文素質(zhì)、職業(yè)道德素質(zhì)、專業(yè)素質(zhì)、心理素質(zhì)和身體素質(zhì)等[2]。
思想政治素質(zhì)要求政治立場堅定,熱愛祖國,增強社會責任感,樹立崇高理想,培養(yǎng)高尚情操,養(yǎng)成正確的人生觀和價值觀。人文素質(zhì)要求具有深厚的文化底蘊,高雅的文化氣質(zhì),良好的人際交往能力和團隊合作精神。職業(yè)道德素質(zhì)要求遵紀守法,遵守社會公德,堅持職業(yè)道德的底線,具備實事求是,堅持真理的品格,具有愛崗敬業(yè)的精神,一絲不茍的作風,以及服務社會的意識。專業(yè)素質(zhì)要求掌握科學的思維方式和研究方法,養(yǎng)成良好的學習習慣和工作風格,具備較好的創(chuàng)新思維和踏實嚴謹?shù)膶嵏删瘛P睦硭刭|(zhì)和身體素質(zhì)要求具有健康的體魄,樂觀向上的心態(tài),堅忍不拔的毅力和身體力行的風格。
1.2 基本能力
網(wǎng)絡工程專業(yè)人才要求具備的基本能力包括學習能力、分析解決問題的能力、閱讀寫作能力、協(xié)同工作能力、專業(yè)適應能力、創(chuàng)新能力[2]。
學習能力是指自學能力,即知識和技術的獲取能力、理解能力與應用能力。分析解決問題的能力是指通過專業(yè)調(diào)研、理論分析、設計開發(fā)、仿真實驗等方法解決網(wǎng)絡工程領域?qū)嶋H問題的能力。閱讀寫作能力是指專業(yè)技術文檔的閱讀能力與寫作能力。協(xié)同工作能力包括專業(yè)表達能力、問題溝通能力、協(xié)作能力、組織管理能力。專業(yè)適應能力是指在學習網(wǎng)絡工程專業(yè)知識和技術的基礎上,能夠從事并適應相關領域的研究、開發(fā)與管理工作,并能適應網(wǎng)絡工程專業(yè)技術和市場不斷發(fā)展變化的能力。創(chuàng)新能力包括創(chuàng)新思維能力和創(chuàng)新實踐能力。
1.3 專業(yè)能力
網(wǎng)絡安全與管理專業(yè)方向的人才培養(yǎng)除了滿足網(wǎng)絡工程專業(yè)人才培養(yǎng)基本要求外,還需要注重培養(yǎng)兩方面的專業(yè)能力:網(wǎng)絡系統(tǒng)安全保障能力和網(wǎng)絡管理維護能力[3]。網(wǎng)絡系統(tǒng)安全保障能力是指熟悉信息安全基本理論和常見網(wǎng)絡安全技術的工作原理,掌握主流網(wǎng)絡安全產(chǎn)品的安裝、配置和使用方法,能初步設計開發(fā)網(wǎng)絡安全產(chǎn)品。網(wǎng)絡管理維護能力是指熟悉常見網(wǎng)絡設備與系統(tǒng)的工作原理,掌握網(wǎng)絡管理的主流模型、系統(tǒng)功能、以及各類管理技術與方法,能初步管理和維護網(wǎng)絡與信息系統(tǒng)。
2 網(wǎng)絡安全與管理方向?qū)I(yè)課程體系
2.1 知識結(jié)構
網(wǎng)絡工程專業(yè)網(wǎng)絡安全與管理專業(yè)方向人才要求具備的知識可分為三大類:公共基礎知識、專業(yè)基礎知識、專業(yè)知識。
公共基礎知識相對固定,具體知識包括政治理論知識、人文社科知識、自然科學知識。其中,政治理論知識包括基本原理、中國近現(xiàn)代史綱要、思想和中國特色社會主義理論。人文社科知識包括大學英語、大學生心理健康、思想道德修養(yǎng)與法律基礎、社會和職業(yè)素養(yǎng)、軍事理論、體育。自然科學知識包括高等數(shù)學、線性代數(shù)、概率論與數(shù)理統(tǒng)計、大學物理、大學物理實驗。
專業(yè)基礎知識根據(jù)網(wǎng)絡工程專業(yè)人才的專業(yè)能力要求制定,具體包括電子技術基礎、計算技術基礎、計算機系統(tǒng)基礎。其中,電子技術基礎包括數(shù)字電路、模擬電路和電路基礎,技術技術基礎包括數(shù)據(jù)結(jié)構、離散數(shù)學、程序設計、算法分析與設計,計算機系統(tǒng)基礎包括計算機組成原理、操作系統(tǒng)、數(shù)據(jù)庫原理、軟件工程。
專業(yè)知識相對靈活,通常根據(jù)所在院校的專業(yè)特色和辦學條件制定,具體包括專業(yè)核心知識、專業(yè)方向知識、專業(yè)實踐環(huán)節(jié)[1]。下面重點討論這部分內(nèi)容。
2.2 課程體系
依據(jù)上述知識結(jié)構,結(jié)合筆者所在學院的師資力量、辦學條件和專業(yè)特色,制定了網(wǎng)絡工程專業(yè)網(wǎng)絡安全與管理方向的專業(yè)課程體系,如圖1所示。由于公共基礎課程基本固定不變,在此不再列出。
2.3 專業(yè)方向課程知識點
網(wǎng)絡工程專業(yè)網(wǎng)絡安全與管理方向可分為網(wǎng)絡安全和網(wǎng)絡管理兩個分支。其中,網(wǎng)絡安全分支課程包括信息安全基礎[4]、網(wǎng)絡安全技術[5]、網(wǎng)絡攻防技術,每門課程的主要知識點如表1所示。網(wǎng)絡管理分支課程包括網(wǎng)絡管理[6]、網(wǎng)絡性能測試與分析、網(wǎng)絡故障診斷與排除,每門課程的主要知識點如表1所示。
3 結(jié)束語
本文以筆者所在學院的網(wǎng)絡工程專業(yè)建設為背景,分析了網(wǎng)絡工程專業(yè)人才培養(yǎng)的基本要求。在此基礎上,說明了網(wǎng)絡安全與管理專業(yè)方向人才培養(yǎng)的專業(yè)能力要求,進而得出與之相適應的知識體系結(jié)構和課程體系內(nèi)容。最后重點介紹了網(wǎng)絡安全與管理專業(yè)方向主要課程的知識單元與相應的知識點。接下來的工作是將該課程體系落實到網(wǎng)絡工程專業(yè)培養(yǎng)方案中,并在具體實施過程中發(fā)現(xiàn)問題,解決問題,分段調(diào)整,逐步完善。希望本文所作的研究與探討能給兄弟院校的網(wǎng)絡工程專業(yè)建設提供有價值的參考。
參考文獻:
[1] 教育部高等學校計算機科學與技術教學指導委員會.高等學校網(wǎng)絡工程專業(yè)規(guī)范[M].高等教育出版社,2012.
[2] 姜臘林,王靜,徐蔚鴻.網(wǎng)絡工程專業(yè)物聯(lián)網(wǎng)方向課程改革研究[J].計算機教育,2011.19:48-50
[3] 曹介南,蔡志平,朱培棟等.網(wǎng)絡工程專業(yè)與計算機專業(yè)差異化教學研究[J].計算機教育,2010.23:139-142
[4] 教育部信息安全類專業(yè)教學指導委員會.信息安全類專業(yè)指導性專業(yè)規(guī)范[M].高等教育出版社,2010.
關鍵詞: 網(wǎng)絡信息安全; 計算機; APT; 安全防御; 惡意威脅
中圖分類號: TN711?34 文獻標識碼: A 文章編號: 1004?373X(2015)21?0100?05
Threat to network information security and study on new defense
technologies in power grid enterprises
LONG Zhenyue1, 2, QIAN Yang1, 2, ZOU Hong1, 2, CHEN Ruizhong1, 2
(1. Key Laboratory of Information Testing, China Southern Power Grid Co., Ltd., Guangzhou 510000, China;
2. Information Center, Guangdong Power Grid Co., Ltd., Guangzhou 510000, China)
Abstract: With the continuous development of management informationization of the power grid enterprises, automatic power grid operation and intelligent electrical equipment, the information security has become more important. For the serious situation of network information security, the new?type defense technologies are studied, which are consisted of advanced persistent threat (APT) protection technology and vulnerability scanning technology. Combining with the advantages and disadvantages of these technologies, the strategy of defense effectiveness analysis based on the minimum attack cost is proposed, which can compute the defense capability of the network.
Keywords: network information security; computer; APT; safety defense; malicious threat
0 引 言
隨著電網(wǎng)企業(yè)管理信息化、電網(wǎng)運行自動化、電力設備智能化的不斷發(fā)展,電網(wǎng)企業(yè)信息安全愈發(fā)重要。信息化已成為電力企業(yè)工作中的重要組成部分,各類工作對網(wǎng)絡的高度依賴,各類信息以結(jié)構化、非結(jié)構化的方式儲存并流轉(zhuǎn)于網(wǎng)絡當中,一旦信息網(wǎng)絡被攻破,則往往導致服務中斷、信息泄漏、甚至指令錯誤等事件,嚴重威脅生產(chǎn)和運行的安全。因此,保障網(wǎng)絡信息安全就是保護電網(wǎng)企業(yè)的運行安全,保障網(wǎng)絡安全是電網(wǎng)企業(yè)的重要職責[1]。
目前的網(wǎng)絡信息安全形勢依然嚴峻,近年來,業(yè)務從單系統(tǒng)到跨系統(tǒng),網(wǎng)絡從零星分散到大型化、復雜化,單純的信息安全防護技術和手段已經(jīng)不能滿足企業(yè)安全防護的需要,應針對性地研究具有縱深防御特點的安全防護體系,以信息安全保障為核心,以信息安全攻防技術為基礎,了解信息安全攻防新技術,從傳統(tǒng)的“知防不知攻”的被動防御向“知攻知防”的縱深積極防御轉(zhuǎn)變,建立全面的信息安全防護體系。
1 概 述
從廣義層面而言,網(wǎng)絡信息安全指的是保障網(wǎng)絡信息的機密性、完整性以及有效性,涉及這部分的相關網(wǎng)絡理論以及技術都是網(wǎng)絡信息安全的內(nèi)容。從狹義層面而言,網(wǎng)絡信息安全指的是網(wǎng)絡信息的安全,主要包括網(wǎng)絡軟硬件及系統(tǒng)數(shù)據(jù)安全[2]。網(wǎng)絡信息安全需要保證當網(wǎng)絡受到惡意破壞或信息泄露時,網(wǎng)絡系統(tǒng)可以持續(xù)正常運行,為企業(yè)提供所需的服務。
通過對我國某電網(wǎng)企業(yè)及其下轄電力單位的調(diào)研,以及對近5年電力信息資產(chǎn)信息安全類測評結(jié)果的統(tǒng)計得知,電網(wǎng)企業(yè)現(xiàn)存的網(wǎng)絡安全情況主要分為以下3類:網(wǎng)絡安全風險與漏洞弱點事件、數(shù)據(jù)安全風險與漏洞弱點事件、管理類安全風險與漏洞弱點事件。整體上看,電網(wǎng)企業(yè)的信息安全問題仍不容樂觀,近年來隨著網(wǎng)絡的復雜化,攻擊的新型化和專業(yè)化,網(wǎng)絡安全防護的情況亟待加強。總體而言,首先要加強并提升網(wǎng)絡、應用等方面安全水平,保證信息源頭的安全情況;其次加強管理類安全,特別是人員管理、運維管理等方面;最后研究分析最新攻防技術的特點,結(jié)合電網(wǎng)實際現(xiàn)狀,構建適用于現(xiàn)有網(wǎng)絡環(huán)境與架構的信息安全縱深防御體系。
本文主要針對第三點展開論述,研究包括高級持續(xù)威脅(APT)防護技術、漏洞掃描技術等新型的攻擊及其防護技術,提取在復雜網(wǎng)絡系統(tǒng)中的防御共同點,并給出一類策略用于分析網(wǎng)絡信息安全防御的有效性。
2 信息安全的攻防新技術
電網(wǎng)企業(yè)所依賴的信息安全隔離與防御技術主要包括數(shù)據(jù)加密技術、安全隔離技術、入侵檢測技術、訪問控制技術等。一方面,通過調(diào)研與統(tǒng)計分析。目前電網(wǎng)的信息安全建設主要以防止外部攻擊,通過區(qū)域劃分、防火墻、反向、入侵檢測等手段對外部攻擊進行防御,對內(nèi)部的防御手段往往滯后,電網(wǎng)內(nèi)部應用仍然存在一定的安全風險與漏洞弱點。如果一道防線失效,惡意的攻擊者可能通過以內(nèi)部網(wǎng)絡為跳板威脅電網(wǎng)企業(yè)的安全;另一方面,電網(wǎng)企業(yè)中目前使用的防御技術一般是孤立的,未形成關聯(lián)性防御,而目前新型的攻擊往往會結(jié)合多個漏洞,甚至是多個0day漏洞進行組合攻擊,使得攻擊的隱蔽性、偽裝性都較強。因此,要構建信息安全防御體系,僅憑某單一的防護措施或技術無法滿足企業(yè)的安全要求,只有構建完整的信息安全防護屏障,才能為企業(yè)提供足夠的信息安全保障能力。
經(jīng)過分析,目前針對電網(wǎng)企業(yè)的新型攻防技術有如下幾類:
2.1 高級持續(xù)威脅攻擊與防護技術
高級持續(xù)威脅(APT)是針對某一項有價值目標而開展的持續(xù)性攻擊,攻擊過程會使用一切能被利用的手段,包括社會工程學攻擊、0day漏洞攻擊等,當各攻擊點形成持續(xù)攻擊鏈后,最終達到攻擊目的。典型的APT攻擊案例如伊朗核電項目被“震網(wǎng)(Stuxnet)”蠕蟲病毒攻擊,通過攻擊工業(yè)用的可編程邏輯控制器,導致伊朗近[15]的核能離心機損壞。
根據(jù)APT攻擊的特性,企業(yè)可以從防范釣魚攻擊、識別郵件中的惡意代碼、識別主機上的惡意代碼、監(jiān)測網(wǎng)絡數(shù)據(jù)滲出等多個環(huán)節(jié)進行檢測,主要涉及以下幾類新型技術。
2.1.1 基于沙箱的惡意代碼檢測技術
惡意代碼檢測中最具挑戰(zhàn)性的是檢測利用0day漏洞的惡意代碼,傳統(tǒng)的基于特征碼的惡意代碼檢測技術無法應對0day攻擊。目前最新的技術是通過沙箱技術,構造模擬的程序執(zhí)行環(huán)境,讓可疑文件在模擬環(huán)境中運行,通過軟件所表現(xiàn)的外在行為判定是否是惡意代碼。
2.1.2 基于異常的流量檢測技術
傳統(tǒng)的入侵檢測系統(tǒng)IDS都是基于特征(簽名)的深度包檢測(DPI)分析,部分會采用到簡單深度流檢測(DFI)技術。面對新型威脅,基于DFI技術的應用需要進一步深化。基于異常的流量檢測技術,是通過建立流量行為輪廓和學習模型來識別流量異常,進而識別0day攻擊、C&C通信以及信息滲出等惡意行為。
2.1.3 全包捕獲與分析技術
由于APT攻擊的隱蔽性與持續(xù)性,當攻擊行為被發(fā)現(xiàn)時往往已經(jīng)持續(xù)了一段時間;因此需要考慮如何分析信息系統(tǒng)遭受的損失,利用全包捕獲及分析技術(FPI),借助海量存儲空間和大數(shù)據(jù)分析(BDA)方法,F(xiàn)PI能夠抓取網(wǎng)絡定場合下的全量數(shù)據(jù)報文并存儲,便于后續(xù)的歷史分析或者準實時分析。
2.2 漏洞掃描技術
漏洞掃描技術是一種新型的、靜態(tài)的安全檢測技術,攻防雙方都會利用它盡量多地獲取信息。一方面,攻擊者利用它可以找到網(wǎng)絡中潛在的漏洞;另一方面,防御者利用它能夠及時發(fā)現(xiàn)企業(yè)或單位網(wǎng)絡系統(tǒng)中隱藏的安全漏洞。以被掃描對象分類,漏洞掃描主要可分為基于網(wǎng)絡與基于主機的安全漏洞掃描技術。
2.2.1 基于網(wǎng)絡的安全漏洞掃描技術
基于網(wǎng)絡的安全漏洞掃描技術通過網(wǎng)絡掃描網(wǎng)絡設備、主機或系統(tǒng)中的安全漏洞與脆弱點。例如,通過掃描的方式獲知OpenSSL心臟出血漏洞是否存在。基于網(wǎng)絡的安全漏洞掃描技術的優(yōu)點包括:易操作性,掃描在執(zhí)行過程中,無需目標網(wǎng)絡或系統(tǒng)主機Root管理員的參與;維護簡便,若目標網(wǎng)絡中的設備有調(diào)整或變化,只要網(wǎng)絡是連通的,就可以執(zhí)行掃描任務。但是基于網(wǎng)絡的掃描也存在一些局限性:掃描無法直接訪問目標網(wǎng)絡或系統(tǒng)主機上的文件系統(tǒng);其次,掃描活動不能突破網(wǎng)絡防火墻[3]。
2.2.2 基于主機的安全漏洞掃描技術
基于主機的安全漏洞掃描技術是通過以系統(tǒng)管理員權限登錄目標主機,記錄網(wǎng)絡或系統(tǒng)配置、規(guī)則等重要項目參數(shù),通過獲取的信息與標準的系統(tǒng)安全配置庫進行比對,最終獲知系統(tǒng)的安全漏洞與風險。
基于主機的安全漏洞掃描技術的優(yōu)點包括:可使用的規(guī)則多,掃描結(jié)果精準度高;網(wǎng)絡流量負載較小,不易被發(fā)現(xiàn)。該技術也存在一些局限性:首先,基于主機的安全漏洞掃描軟件或工具的價格昂貴;其次,基于主機的安全漏洞掃描軟件或工具首次部署的工作周期較長。
3 基于最小攻擊代價的網(wǎng)絡防御有效性分析策略
惡意攻擊總是以某一目標為導向,惡意攻擊者為了達到目標會選擇各種有效的手法對網(wǎng)絡進行攻擊。在復雜網(wǎng)絡環(huán)境下,如果可以盡可能大地提高惡意攻擊者的攻擊代價,則對應能達到提高有效防御的能力。基于這個假設,這里展示一種在復雜網(wǎng)絡環(huán)境下分析攻擊有效性的策略,并依此計算從非安全區(qū)到目標區(qū)是否存在足夠小的攻擊代價,讓惡意攻擊可以獲取目標。如果存在,則可以被惡意攻擊利用的路徑將被計算出來;如果不存在,則證明從非安全區(qū)到目標區(qū)的安全防御能力是可以接受的。
以二元組的形式描述網(wǎng)絡拓撲圖[4][C,]其中節(jié)點是網(wǎng)絡中的各類設備,邊表示設備間的關聯(lián)關系。假設非安全區(qū)域為[Z,]目標區(qū)域為[D。]在網(wǎng)絡中,攻擊者如果能達到目標,必然至少存在一條從非安全區(qū)節(jié)點到目標節(jié)點[d]的通路[p,]且這條通路上的攻擊代價小于值[w。]其中,攻擊代價指攻擊者能夠利用攻擊工具、系統(tǒng)缺陷、脆弱性等信息,實現(xiàn)其對目標的入侵行為所付出的代價。直觀地,由于攻擊行為往往會因遇到安全設備和安全策略的阻攔,而導致其成功實現(xiàn)其攻擊目的的時間、精力甚至資金成本提高,攻擊者為達到其攻擊目標所付出的所有的行為成本即攻擊代價。
在圖[G]中,每一個節(jié)點[v]具有輸入權限[q]和獲利權限[q](如表1所示)、本身的防護能力[pr]以及風險漏洞數(shù)L(L≥0)。攻擊者能力是指攻擊者通過輸入權限[q,]通過任意攻擊手段,在節(jié)點[v]上所能獲取的最高權限值(獲利權限)[q′。]直觀地,輸入權限代表攻擊者在對某節(jié)點進行攻擊前所擁有的權限,如Web服務器一般均具有匿名訪問權限;獲利權限代表攻擊者最終可以利用的系統(tǒng)權限。
最短攻擊路徑是從非安全區(qū)域[Z]中任意節(jié)點[z]到目標節(jié)點[d]所有攻擊路徑中,防護成功率最低的[Pr]所對應的路徑。最短攻擊路徑所對應耗費的攻擊代價為最小攻擊代價[4],也是該網(wǎng)絡的防護能力有效性分值。
攻擊代價閾值:一旦攻擊者付出的攻擊代價超過其預期,攻擊者很大程度上將會停止使得攻擊代價超限的某一攻擊行為,轉(zhuǎn)而專注于攻擊代價較小的其他攻擊路徑。攻擊代價閾值即攻擊者為達到目標可接受的最大攻擊代價。如果防護能力有效性分值小于攻擊代價閾值,則說明攻擊目標可以達到。
攻擊代價閾值一般可以通過人工方式指定,本文采用德爾斐法,也被稱為專家咨詢法的方式來確定。經(jīng)過專家分析和評判,將攻擊代價閾值設定為[t,]當攻擊路徑防護能力小于[t]即認為攻擊者會完成攻擊行為并能成功實施攻擊行為。
4 網(wǎng)絡防御有效性分析應用
假設在電網(wǎng)企業(yè)復雜網(wǎng)絡環(huán)境場景下存在一類新型的APT攻擊,網(wǎng)絡中使用兩種策略A,B進行攻擊防御。策略A采用了現(xiàn)有的隔離與防御技術,策略B是在現(xiàn)有基礎上增加應用了APT防御技術。計算兩類策略下的最小攻擊代價,并進而對APT防護效果進行分析。
4.1 策略選取
4.1.1 策略A
圖1為一個簡化的復雜網(wǎng)絡環(huán)境實例拓撲,其中DMZ區(qū)部署的Web服務器為內(nèi)、外網(wǎng)用戶提供Web服務,電網(wǎng)地市局局域網(wǎng)的內(nèi)部用戶不允許與外網(wǎng)直接連接,限網(wǎng)。各安全域之間具體訪問控制策略如下:
(1) 只允許地市局局域網(wǎng)用戶訪問DMZ區(qū)Host2(H2)上的IIS Web服務和Host3(H3)上的Tomcat服務;
(2) DMZ 區(qū)的H2 允許訪問H3上的Tomcat服務和IDC區(qū)Host4(H4)上的Oracle DB服務;
(3) 禁止H2和H3訪問Domino服務器Host5(H5);
(4) H5允許訪問DMZ的H2和H3及IDC區(qū)的H4。
4.2 效果分析
通過上述計算結(jié)果表明,在應用策略A與B情況下,局域網(wǎng)用戶到DMZ區(qū)域目標主機存在的攻擊路徑的防護有效性分值分別是(0.3,0.3,0.51)與(0.93, 0.93,0.979)。在策略A的情況下,通過DMZ區(qū)的H2為跳板,攻擊IDC的目標主機H4,最短攻擊路徑的防護有效性分值只有0.51,說明局域網(wǎng)內(nèi)的攻擊者能在花費較小代價的情況下,輕易地獲取內(nèi)網(wǎng)DMZ或IDC服務器的系統(tǒng)權限,從而造成較大的危害。而增加APT防護設備之后,通過DMZ區(qū)的H2為跳板,攻擊IDC的目標主機H4,防護有效性分值提升為0.979,其他攻擊路徑的防護有效性也有明顯提高。
策略A與策略B的對比結(jié)果表明,在DMZ區(qū)域有APT防護技術情況下,網(wǎng)絡環(huán)境下整體的隔離與防御能力得到了明顯提升,從而驗證了隔離與防御新技術的防護效果。
5 結(jié) 語
在新形勢、新技術下,我國電網(wǎng)企業(yè)網(wǎng)絡信息安全仍面臨著嚴峻的挑戰(zhàn),應當高度重視網(wǎng)絡信息安全工作,不斷發(fā)展完善信息安全防御新技術,改善網(wǎng)絡信息安全的水平。單純使用某種防御技術,往往已無法應對快速變化的安全防御需求,只有綜合運用各種新型的攻防技術,分析其關聯(lián)結(jié)果,并通過網(wǎng)內(nèi)、網(wǎng)間各類安全設備、安全措施的互相配合,才能最終建立健全網(wǎng)絡信息安全防范體系,最大限度減少惡意入侵的威脅,保障企業(yè)應用的安全、穩(wěn)定運行。
參考文獻
[1] 高子坤,楊海洲,王江濤.計算機網(wǎng)絡信息安全及防護策略分析[J].科技研究,2014,11(2):155?157.
[2] 彭曉明.應對飛速發(fā)展的計算機網(wǎng)絡的安全技術探索[J].硅谷,2014,15(11):86?87.
[3] 范海峰.基于漏洞掃描技術的網(wǎng)絡安全評估方法研究[J].網(wǎng)絡安全技術與應用,2012,8(6):9?11.
[4] 吳迪,馮登國,連一峰,等.一種給定脆弱性環(huán)境下的安全措施效用評估模型[J].軟件學報,2012,23(7):1880?1898.
【關鍵詞】計算機網(wǎng)絡;信息安全;攻擊方式;應對策略
一、當前網(wǎng)絡信息面臨的安全威脅
1、軟件本身的脆弱性。各種系統(tǒng)軟件、應用軟件隨著規(guī)模不斷擴大,自身也變得愈加復雜,只要有軟件,就有可能存在安全漏洞,如Windows、Unix、XP等操作系統(tǒng)都或多或少的漏洞,即使不斷打補丁和修補漏洞,又會不斷涌現(xiàn)出新的漏洞,使軟件本身帶有脆弱性。2、協(xié)議安全的脆弱性。運行中的計算機都是建立在各種通信協(xié)議基礎之上的,但由于互聯(lián)網(wǎng)設計的初衷只是很單純的想要實現(xiàn)信息與數(shù)據(jù)的共享,缺乏對信息安全的構思,同時協(xié)議的復雜性、開放性,以及設計時缺少認證與加密的保障,使網(wǎng)絡安全存在先天性的不足。3、人員因素。由于網(wǎng)絡管理人員和用戶自身管理意識的薄弱,以及用戶在網(wǎng)絡配置時知識與技能的欠缺,造成配制時操作不當,從而導致安全漏洞的出現(xiàn),使信息安全得不到很好的保障。4、計算機病毒。當計算機在正常運行時,插入的計算機病毒就像生物病毒一樣,進行自我復制、繁殖,相互傳染,迅速蔓延,導致程序無法正常運行下去,從而使信息安全受到威脅,如“熊貓燒香病毒”
二、常見網(wǎng)絡攻擊方式
1、網(wǎng)絡鏈路層。MAC地址欺騙:本機的MAC地址被篡改為其他機器的MAC地址。ARP欺騙:篡改IPH和MAC地址之間的映射關系,將數(shù)據(jù)包發(fā)送給了攻擊者的主機而不是正確的主機。2、網(wǎng)絡層。IP地址欺騙:是通過偽造數(shù)據(jù)包包頭,使顯示的信息源不是實際的來源,就像這個數(shù)據(jù)包是從另一臺計算機上發(fā)送的。以及淚滴攻擊、ICMP攻擊和RIP路由欺騙。3、傳輸層。TCP初始化序號預測:通過預測初始號來偽造TCP數(shù)據(jù)包。以及TCP端口掃描、land攻擊、TCP會話劫持、RST和FIN攻擊。4、應用層。DNS欺騙:域名服務器被攻擊者冒充,并將用戶查詢的IP地址篡改為攻擊者的IP地址,使用戶在上網(wǎng)時看到的是攻擊者的網(wǎng)頁,而不是自己真正想要瀏覽的頁面。以及電子郵件攻擊和緩沖區(qū)溢出攻擊。5、特洛伊木馬。特洛伊木馬病毒是當前較為流行的病毒,和一般病毒相比大有不同,它不會刻意感染其他文件同時也不會自我繁殖,主要通過自身偽裝,從而吸引用戶下載,進而使用戶門戶被病毒施種者打開,達到任意破壞、竊取用戶的文件,更有甚者去操控用戶的機子。6、拒絕服務攻擊。有兩種表現(xiàn)形式:一是為阻止接收新的請求,逼迫使服務器緩沖區(qū)滿;另一種是利用IP地進行欺騙,逼迫服務器對合法用戶的連接進行復位,從而影響用戶的正常連接。
三、網(wǎng)絡安全采取的主要措施
1、防火墻。是網(wǎng)絡安全的第一道門戶,可實現(xiàn)內(nèi)部網(wǎng)和外部不可信任網(wǎng)絡之間,或者內(nèi)部網(wǎng)不同網(wǎng)絡安全區(qū)域之間的隔離與訪問控制,保證網(wǎng)絡系統(tǒng)及網(wǎng)絡服務的可用性。2、虛擬專用網(wǎng)技術。一個完整的VPN技術方案包括VPN隧道技術、密碼技術和服務質(zhì)量保證技術。先建立一個隧道,在數(shù)據(jù)傳輸時再利用加密技術對其進行加密,使數(shù)據(jù)的私有性和安全性得到保障。3、訪問控制技術。是機制與策略的結(jié)合,允許對限定資源的授權訪問,同時可保護資源,阻止某些無權訪問資源的用戶進行偶然或惡意的訪問。4、入侵檢測技術。是指盡最大可能對入侵者企圖控制網(wǎng)絡資源或系統(tǒng)的監(jiān)視或阻止,是用于檢測系統(tǒng)的完整性、可用性以及機密性等方式的一種安全技術,同時也是一種發(fā)現(xiàn)入侵者攻擊以及用戶濫用特權的方法。5、數(shù)據(jù)加密技術。目前最常用的有對稱加密和非對稱加密技術。使用數(shù)字方法來重新組織數(shù)據(jù)[2],使得除了合法使用者外,任何其他人想要恢復原先的“消息”是非常困難的。6、身份認證技術。主要有基于密碼和生物特征的身份認證技術。其實質(zhì)是被認證方的一些信息,如果不是自己,任何人不能造假。四、總結(jié)網(wǎng)絡信息安全是一個不斷變化、快速更新的領域,導致人們面對的信息安全問題不斷變化,攻擊者的攻擊手段也層出不窮,所以綜合運用各種安全高效的防護措施是至關重要的。為了網(wǎng)絡信息的安全,降低黑客入侵的風險,我們必須嚴陣以待,采取各種應對策略,集眾家之所長,相互配合,從而建立起穩(wěn)固牢靠的網(wǎng)絡安全體系。
參考文獻
[1]王致.訪問控制技術與策略[N].網(wǎng)絡世界,2001-07-23035.
[2]馬備,沈峰.計算機網(wǎng)絡的保密管理研究[J].河南公安高等專科學校學報,2001,05:22-29.
[3]衷奇.計算機網(wǎng)絡信息安全及應對策略研究[D].南昌大學,2010.
【關鍵詞】客運專線;CTC網(wǎng)絡安全防御系統(tǒng);功能研究
1引言
CTC又名分散自律調(diào)度系統(tǒng),該系統(tǒng)的功能主要是確保列車安全正常地行駛,調(diào)度生產(chǎn)業(yè)務系統(tǒng)。這一系統(tǒng)具有2大特點,即獨立成網(wǎng)及封閉運行,并且其主要組件并不強大[1]。客運專線的行車安全主要在于系統(tǒng)的保密性、完整性、可用性3點,按照我國等級保護防御區(qū)劃分原則和信息系統(tǒng)的功能、安全性能等標準,客運專線CTC系統(tǒng)必須具備防火墻、入侵檢測、動態(tài)口令、安全漏洞、SAV網(wǎng)絡病毒防護5個安全系統(tǒng)。
2防火墻及入侵檢測系統(tǒng)
CTC的安全防御系統(tǒng)中,防火墻和入侵檢測系統(tǒng)屬于基本安全設施,這對于構建安全密實的網(wǎng)絡系統(tǒng)十分必要。防火墻的功能是過濾數(shù)據(jù)包,對鏈接狀態(tài)進行檢查,并檢查入侵的行為和會話。防火墻按照用戶定義對一些數(shù)據(jù)實行允許進入或阻攔,以確保內(nèi)部網(wǎng)絡設備及系統(tǒng)不會遭受非法攻擊,從而影響訪問。此外,可以實現(xiàn)每個通過防火墻的鏈接都可以快速地建立對應的狀態(tài)表。如果鏈接異常,會話遭到威脅或攻擊后,防火墻可以很快地阻斷非法鏈接。通過入侵行為的特點,入侵系統(tǒng)可以及時地對每一個數(shù)據(jù)包進行認真檢查,如果數(shù)據(jù)包對系統(tǒng)存在攻擊性,入侵檢測系統(tǒng)必須及時斷開這一鏈接,并且由管理人員定義的處理系統(tǒng)會盡快獲取幕后攻擊者的詳細信息,同時,為要得到處理的事件提供對應數(shù)據(jù)。CTC網(wǎng)絡的結(jié)構性質(zhì)為雙通道冗余結(jié)構,CTC中心和沿線的各個車站數(shù)量龐大,并且有著海量的數(shù)據(jù)流量,業(yè)務連接安全性要求很高,CTC中心和沿線車站的各個接口都安置了4臺中心防火墻,每網(wǎng)段安置2臺;CTC中心和其他系統(tǒng)接口各安置2臺防火墻,采用透明模式進行接入。客運專線CTC系統(tǒng)防火墻詳見圖1。
3安全漏洞評估
安全漏洞的評估系統(tǒng)是一個漏洞及風險評估的有效工具,主要用來對網(wǎng)絡的安全漏洞進行發(fā)現(xiàn)、報告以及挖掘,主要作用是對目標網(wǎng)絡設備安全漏洞實行檢測,并提出具體檢測報告以及安全可行的漏洞解決方案,使系統(tǒng)管理員可以提前修補可能引發(fā)黑客進入的多個網(wǎng)絡安全漏洞,避免黑客入侵帶來損失。客運專線CTC系統(tǒng)中心完整地部署了一整套安全漏洞評估系統(tǒng),基于全面以及多角度的網(wǎng)絡關鍵服務器漏洞分析的評估基礎,確保CTC以及TDCS等系統(tǒng)安全運行。還能對黑客的進攻方式進行模擬,并提交相應的風險評估報告,提出對應的整改措施。預防性的安全檢查暴露了目前網(wǎng)絡系統(tǒng)存在的安全隱患,對此必須實行相應的整改,最大程度地降低網(wǎng)絡的運行風險。漏洞評估組需要在網(wǎng)絡安全集中管理平臺下實現(xiàn)統(tǒng)一監(jiān)測,并且匯總漏洞威脅時間,結(jié)合實際情況及設施制定相應的安全策略。當前存在的安全漏洞掃描一定要從技術底層實現(xiàn)有效劃分,分別對主機及網(wǎng)絡漏洞進行掃描。主機漏洞評估EVP,針對文件權限、屬性、登錄設置的值和使用者賬號等使用主機型漏洞評估掃描器進行評估。網(wǎng)絡型漏洞掃描器NSS,在網(wǎng)絡漏洞基礎上的評估掃描器采用黑客入侵觀點,自動對網(wǎng)上系統(tǒng)和服務實行掃描,對一般性的入侵和具體入侵場景實行真實模擬,最重要的是測試網(wǎng)絡基礎設施的安全漏洞,會提供相應的修補漏洞意見,掃描圖形視圖的完整顯示過程,掃描相應漏洞而且對漏洞的出現(xiàn)原因進行查找,提供具有實際執(zhí)行可行性的管理報告,針對多個系統(tǒng)實施掃描。
4反病毒網(wǎng)絡系統(tǒng)
根據(jù)病毒具有的特征以及多層保護需求,客運專線CTC系統(tǒng)必須要統(tǒng)一、集中監(jiān)控、多面防護,正對整體以及全面反病毒系統(tǒng)實現(xiàn)積極有效的安排,并融合各層面,覆蓋CTC中心、下屬車站等。并且還要在客運專線的中心部署2臺SAV反病毒服務器,二者相互輔助。對服務器設備和車站終端等實施統(tǒng)一的SAV客戶端,并且對網(wǎng)絡內(nèi)存的所有病毒實行統(tǒng)管理、分析,監(jiān)控、查殺[2]。以整體反病毒解決方案為依據(jù),網(wǎng)絡反病毒系統(tǒng)的部署具體要從下面幾項開展,多操作系統(tǒng)的服務器、反病毒軟件、集中監(jiān)管的多個系統(tǒng)。
5動態(tài)口令
身份認證屬于安全防御線的第一道保護。我國的CTC安全建設在最初的使用中運用的是靜態(tài)密碼認證,每一系統(tǒng)和設備都具備自身的專屬密碼,管理很不方便。大量的管理和維護導致操作人員難以實現(xiàn)方便快捷的使用,因此,出于使用便利,會將設備密碼設置為統(tǒng)一密碼,系統(tǒng)內(nèi)各種網(wǎng)絡設備和服務器的密碼基本上人人都知道;另外,靜態(tài)口令極易被人猜出、截獲、破解,黑客可以通過對密碼的猜測或使用成熟破譯軟件破解用戶口令,導致CTC面臨極大的隱患。在CTC系統(tǒng)網(wǎng)絡中,對CTC系統(tǒng)中心設置相應的動態(tài)口令,隨后客戶端認證請求會自動地分配到認證服務器,該模式充分降低了服務器的工作負荷,提升了系統(tǒng)性能。身份證的依據(jù)和訪問控制組能通過網(wǎng)絡安全集中管理平臺發(fā)揮監(jiān)測、報警等功能。安全策略的集中配備,對安全事件進行統(tǒng)一響應,并且充分實現(xiàn)分層、統(tǒng)一用戶管理、訪問認證授權AAA等策略。動態(tài)口令身份認證在AAA認證中的功能為雙因素認證,有效解決了靜態(tài)口令存在的多種問題,提升了系統(tǒng)的安全性。客運專線CTC系統(tǒng)運用動態(tài)口令后,實現(xiàn)了對整個網(wǎng)絡、運用和主機等的統(tǒng)一覆蓋,實現(xiàn)了安全的身份認證控制訪問組件,統(tǒng)一身份認證和授權統(tǒng)一,同時還提供了集中身份認證等,通過授權嚴格對多個訪問資源權限實施限制。
6結(jié)語
目前,客運專線CTC中心網(wǎng)絡運用安全,正處于建立知識信息安全系統(tǒng)和確保信息化的重要階段,在這一進程的后期階段還要滿足國家等級保護政策需求,對縱深防護體系進行深入研究,確保鐵路運輸生產(chǎn)業(yè)務順利開展,充分實現(xiàn)鐵路信息化運行,將鐵路運行的安全性實現(xiàn)提升。
【參考文獻】
【1】戴啟元.客運專線CTC系統(tǒng)網(wǎng)絡安全設計[J].鐵道通信信號,2010,46(4):66-68.
關鍵詞:黑客;攻擊;防范;計算機;掃描
中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2013)17-3953-02
凡事都具有兩面性,有利有弊。internet就是典型的有利有弊的事物。internet改變了人們的生活,改變了世界,讓世界變小,讓人們的地理距離變近。方便了人們的生活,人們足不出戶就能辦理眾多業(yè)務,能夠買到衣服,也能交水費、電費、手機費等。大大節(jié)約了人們的時間,也節(jié)約了很多成本。這是internet有利的一面。同時internet還存在弊端的一面,就是安全系數(shù)不夠高,容易被一些不法分子利用,讓網(wǎng)上交易存在一定的風險。如果電子郵件被截,就會泄露重要的商業(yè)信息;如果購物時的交易信息被截,就會導致金錢的損失。為了盡量避免損失,人們也在研究黑客攻擊的手段,也在做一些防范措施。該文就針對黑客攻擊的手段以及應該怎樣防范進行闡述。
1 黑客的概念
熟悉網(wǎng)絡的人都了解hacker這個詞,甚至一些不經(jīng)常使用計算機的人也多少對黑客有一些了解。對于hacker的定義,應該分為兩個階段,前一個階段對黑客應該定義為:計算機領域的探索者,追求計算機的最大性能的發(fā)揮,是人類智慧與計算機的較量。從感彩來說,這個階段的hacker是值得稱贊的,是計算機不懈努力的探索者。但是經(jīng)過internet的發(fā)展,一些人利用黑客技術達到一些不良的目的,于是隨著網(wǎng)絡的復雜化,黑客變成了人人避之不及的一類人群。
現(xiàn)在的黑客定義為:利用一些手段非法竊取別人計算機的重要信息,達到控制計算機的目的。一旦計算機被黑客控制,信息被外露,就會給計算機的使用者帶來損失,或者是專業(yè)知識或者是金錢。
2 黑客攻擊的手段
2.1通過計算機漏洞進行攻擊
黑客攻擊計算機的主要途徑是通過系統(tǒng)漏洞。每個計算機或多或少都存在一些安全隱患,一些安全隱患是由于系統(tǒng)性能的不完備造成的,也就是先天存在的隱患。對于這些漏洞,計算機的使用者無法彌補。還有一種情況就是計算機的使用者后期造成的,在使用計算機的過程中不及時安裝補丁,給黑客以可乘之機。利用公開的工具:象Internet的電子安全掃描程序IIS、審計網(wǎng)絡用的安全分析工具SATAN等這樣的工具,可以對整個網(wǎng)絡或子網(wǎng)進行掃描,尋找安全漏洞通過系統(tǒng)的漏洞,黑客就能輕松進入電腦,獲取一些重要信息,達到控制計算機的目的。有些黑客是通過掃描器來發(fā)現(xiàn)目標計算機的漏洞的。
掃描原理:
1)全TCP連接
2)SYN掃描(半打開式掃描)
發(fā)送SYN,遠端端口開放,則回應SYN=1,ACK=1,本地發(fā)送RST給遠端,拒絕連接
發(fā)送SYN,遠端端口未開放,回應RST
3)FIN掃描(秘密掃描)
本地發(fā)送FIN=1,遠端端口開放,丟棄此包,不回應
本地發(fā)送FIN=1,遠端端口未開放,返回一個RST包
2.2通過專門的木馬程序侵入電腦
除了利用計算機的漏洞之外,黑客還可以通過專門的木馬程序?qū)τ嬎銠C進行攻擊。現(xiàn)在用戶使用計算機大部分聯(lián)網(wǎng)的,隨著internet功能的不斷完善,用戶在internet上可以閱讀,可以購物,可以看視頻,這些開放的端口就給黑客提供了機會。黑客會利用用來查閱網(wǎng)絡系統(tǒng)的路由器的路由表,了解目標主機所在網(wǎng)絡的拓撲結(jié)構及其內(nèi)部細節(jié)的snmp協(xié)議,能夠用該程序獲得到達目標主機所要經(jīng)過的網(wǎng)絡數(shù)和路由器數(shù)的traceroute程序。
2.3利用一些管理工具進行大面積攻擊
在辦公區(qū)域或者學校等會使用局域網(wǎng),在這些區(qū)域網(wǎng)中,會有管理者。管理者為了方便管理,會在區(qū)域網(wǎng)內(nèi)安裝網(wǎng)絡監(jiān)測器。網(wǎng)絡監(jiān)測器的初衷是為了便于管理者的管理,提高局域網(wǎng)內(nèi)計算機的安全系數(shù)。但是如果網(wǎng)絡監(jiān)測器被黑客利用,就會造成嚴重的后果。黑客掌握了網(wǎng)絡監(jiān)測器的信息后,就能控制主機,通過控制主機,再去控制局域網(wǎng)內(nèi)的其他機器。通過網(wǎng)絡監(jiān)測器,黑客就能輕而易舉地控制多臺機器,截獲大量重要信息甚至商業(yè)機密。現(xiàn)在計算機雖然很普遍,使用的人數(shù)也在逐年增多,但是人們對計算機的安全性能不是很少了解,很多用戶在使用計算機時都不設置密碼,讓黑客很容易就能進入。
3 遭到黑客攻擊的危害
提高黑客,計算機的使用者很頭疼,都害怕侵入自己的計算機。之所以人們會害怕黑客,是因為黑客的攻擊會給人們造成很大的損失。一個損失就是計算機的癱瘓。在遭受到黑客的攻擊之后,計算機無法正常使用,速度或者性能都大大下降。嚴重影響工作效率。另一個損失就是機密材料被竊取。很多人都把自己的資料存儲到計算機中,因為這樣方便使用和管理。但是一旦被黑客控制,就面臨機密資料的泄密,給公司或者個人都會造成重大的損失。黑客攻擊還會造成的損失就是錢財?shù)膿p失。為了節(jié)約時間,很多人會在網(wǎng)上購物、交費等,網(wǎng)上交易時會涉及到銀行卡以及個人賬戶的用戶名和密碼,如果信息被黑客控制,會造成金錢上的損失。正因為黑客攻擊會給計算機的使用者造成過大或過小的損失,計算機的使用者應該加強防范,盡量避免遭受黑客的攻擊,盡量降低自己的損失。對黑客的防范,大多數(shù)計算機的使用者不了解專門的工具或者比較專業(yè)的防范措施,只能從身邊最簡單、最常用的做起。
4 防范黑客攻擊的方法
4.1每天為計算機體檢,采用專業(yè)技術避免入侵
黑客是具有高超的計算機技術的,而一般的計算機使用者沒有過多的專業(yè)知識,因此,計算機使用者在和黑客的斗爭中并不占優(yōu)勢。只能做一些力所能及的事情。最常用的防范措施就是每天體檢,殺毒。每個計算機上都會裝有殺毒軟件,要充分利用這些殺毒軟件,將有可能入侵的木馬程序攔截,將已經(jīng)如今的病毒殺死。做到每天體驗,及時修復系統(tǒng)漏洞,這樣受到黑客攻擊的概率就會小很多了。另外,還可以采用專業(yè)技術,來避免黑客的入侵。例如為了保護氣象行政許可專門設計的系統(tǒng),基于.NET技術,采用功能模塊化的管理,將功能模塊的權限授予使用者,權限使用Session驗證,系統(tǒng)將數(shù)據(jù)邏輯都寫在程序代碼中,數(shù)據(jù)庫采用SQL Server 2005。
4.2檢查端口,及時停止黑客的攻擊
除了每天體檢外,計算機的使用者還應該經(jīng)常檢查計算機的端口,看看是否有自己沒使用的,如果有程序是自己沒使用的,就說明存在了外來程序,要及時阻斷這些程序?qū)τ嬎銠C的入侵,可以馬上殺毒,或者斷掉與internet的連接,沒有了網(wǎng)絡,黑客就不能繼續(xù)控制電腦了。網(wǎng)絡連接斷開后,對計算機進行徹底清理,所有的黑客程序都清理掉,再重新上網(wǎng)。另外要注意,盡量減少開放的端口,像木馬Doly 、trojan、Invisible FTP容易進入的2l端口,(如果不架設FTP,建議關掉它)。23端門、25端口、135端口(防止沖擊波)。137端口,139端口。3389端口,4899端口、8080端口等,為了防止黑客,還不影響我們上網(wǎng),只開放80端口就行了,如果還需要上pop再開放l09、1l0。,不常用的或者幾乎不用的全部關掉,不給黑客攻擊提供機會。
4.3加強防范,不隨便安裝不熟悉的軟件
對于經(jīng)常使用計算機的人,面臨黑客攻擊的概率也比較高。防范黑客攻擊的有效方法就是加強警惕,不隨便安裝不熟悉的軟件。當瀏覽網(wǎng)頁時,盡量不打開沒有經(jīng)過網(wǎng)絡驗證的網(wǎng)頁,這樣的網(wǎng)頁存在著很大的風險。另外,在使用某些工具時,不安裝網(wǎng)頁上提醒的一些附加功能。這些附加功能存在的風險也比較高。比如安裝下載工具就下載,不安裝此軟件具有的其他看電影或者玩游戲的功能,這樣就能大大降低受到黑客攻擊的風險。如果已經(jīng)確定受到黑客的攻擊,要及時斷掉與internet的連接,將自己的重要信息轉(zhuǎn)移或者對計算機的信息進行更改,讓黑客無法繼續(xù)控制計算機,將自己的損失降到最小。
5 結(jié)論
internet雖然存在弊端,但是帶給人們生活的更多的是便利。internet技術在目前還不是很成熟,存在著很多漏洞,所以才被黑客利用。相信隨著internet的發(fā)展,internet的安全技術也會得到很大的提升。internet的安全技術提升了,計算機的使用者就不容易遭受黑客的攻擊了。相信在不久的將來,internet的運行環(huán)境會很安全,人們將會更安心地使用internet。
參考文獻:
[1] 李振汕.黑客攻擊與防范方法研究[J].網(wǎng)絡安全技術與應用,2008(01):5-11.
[2] 張寧.淺談黑客攻擊與防范[J].科技信息.2009(11):15-18.
[3] 周忠保.黑客攻擊與防范[J].家庭電子,2004(05):52.
[4] 蔣建春,黃菁,卿斯?jié)h.黑客攻擊機制與防范[J].計算機工程.2002(7):13.
[5] 羅艷梅.淺談黑客攻擊與防范技術[J].網(wǎng)絡安全技術與應用.2009(2):26-27.
[6] 張艾斌.淺談黑客的攻擊與防范[J].中國科技博覽.2011(33):33-36.
關鍵詞:網(wǎng)絡攻擊、密碼、后門、漏洞、防火墻
互聯(lián)網(wǎng)發(fā)展至今,在人們的生產(chǎn)、學習和生活中以及在國家的政治、經(jīng)濟、文化生活中的作用,已顯得十分突出,全社會對互聯(lián)網(wǎng)的依賴程度也越來越高。同時也出現(xiàn)了一些不可忽視的問題,有人利用互聯(lián)網(wǎng)故意制作、傳播計算機病毒等破壞性程序,攻擊計算機系統(tǒng)及通信網(wǎng)絡,危害網(wǎng)絡運行安全,其中黑客攻擊是最令廣大網(wǎng)民頭痛的事情,它是計算機網(wǎng)絡安全的主要威脅。下面著重分析黑客進行網(wǎng)絡攻擊的幾種常見手法及其防范措施。
1、利用網(wǎng)絡系統(tǒng)漏洞進行攻擊
許多網(wǎng)絡系統(tǒng)都存在著這樣那樣的漏洞,這些漏洞有可能是系統(tǒng)本身所有的,如WindowsNT、UNIX等都有數(shù)量不等的漏洞,也有可能是由于網(wǎng)管的疏忽而造成的。黑客利用這些漏洞就能完成密碼探測、系統(tǒng)入侵等攻擊。
對于系統(tǒng)本身的漏洞,可以安裝軟件補丁;另外網(wǎng)管員也需要仔細工作,盡量避免因疏忽而使他人有機可乘。
2、解密攻擊
在互聯(lián)網(wǎng)上,使用密碼是最常見并且最重要的安全保護方法,用戶時時刻刻都需要輸入密碼進行身份校驗。而現(xiàn)在的密碼保護手段大都認密碼不認人,只要有密碼,系統(tǒng)就會認為你是經(jīng)過授權的正常用戶,因此,取得密碼也是黑客進行攻擊的一重要手法。
取得密碼也還有好幾種方法,一種是對網(wǎng)絡上的數(shù)據(jù)進行監(jiān)聽。因為系統(tǒng)在進行密碼校驗時,用戶輸入的密碼需要從用戶端傳送到服務器端,而黑客就能在兩端之間進行數(shù)據(jù)監(jiān)聽。
但一般系統(tǒng)在傳送密碼時都進行了加密處理,即黑客所得到的數(shù)據(jù)中不會存在明文的密碼,這給黑客進行破解又提了一道難題。這種手法一般運用于局域網(wǎng),一旦成功攻擊者將會得到很大的操作權益。另一種解密方法就是使用窮舉法對已知用戶名的密碼進行暴力解密。這種解密軟件對嘗試所有可能字符所組成的密碼,但這項工作十分地費時,不過如果用戶的密碼設置得比較簡單,如“123456”、“ABCD”等,那有可能只需一眨眼的功夫就可搞定。
為了防止受到這種攻擊的危害,用戶在進行密碼設置時一定要將其設置得復雜,也可使用多層密碼,或者變換思路使用中文密碼,千萬不要以自己的生日和電話號碼甚至姓名作為密碼,因為一些密碼破解軟件可以讓破解者輸入與被破解用戶相關的信息,如身份證號碼、電話號碼以及生日等,然后對這些數(shù)據(jù)構成的密碼進行優(yōu)先嘗試。另外應該經(jīng)常更換密碼,這樣使其被破解的可能性又下降了不少。
3、通過電子郵件進行攻擊
電子郵件是互聯(lián)網(wǎng)上運用得十分廣泛的一種通訊方式。黑客可以使用一些郵件炸彈軟件或CGI程序向目的郵箱發(fā)送大量內(nèi)容重復、無用的垃圾郵件,從而使目的郵箱被撐爆而無法使用。當垃圾郵件的發(fā)送流量特別大時,還有可能造成郵件系統(tǒng)對于正常的工作反映緩慢,甚至癱瘓,這一點和后面要講到的“拒絕服務攻擊(DDoS)比較相似。
對于遭受此類攻擊的郵箱,可以使用一些垃圾郵件清除軟件來解決,其中常見的有SpamEater、Spamkiller等,另外Outlook、Foxmail等郵件收發(fā)軟件同樣也能達到此目的。
4、拒絕服務攻擊
互聯(lián)網(wǎng)上許多大網(wǎng)站都遭受過此類攻擊。實施拒絕服務攻擊(DDoS)的難度比較小,但它的破壞性卻很大。它的具體手法就是向目的服務器發(fā)送大量的數(shù)據(jù)包,幾乎占取該服務器所有的網(wǎng)絡寬帶,從而使其無法對正常的服務請求進行處理,而導致網(wǎng)站無法進入、網(wǎng)站響應速度大大降低或服務器癱瘓。
現(xiàn)在常見的蠕蟲病毒或與其同類的病毒都可以對服務器進行拒絕服務攻擊的進攻。它們的繁殖能力極強,一般通過Microsoft的Outlook軟件向眾多郵箱發(fā)出帶有病毒的郵件,而使郵件服務器無法承擔如此龐大的數(shù)據(jù)處理量而癱瘓。
對于個人上網(wǎng)用戶而言,也有可能遭到大量數(shù)據(jù)包的攻擊使其無法進行正常的網(wǎng)絡操作,所以大家在上網(wǎng)時一定要安裝好防火墻軟件,同時也可以安裝一些可以隱藏IP地址的程序,怎樣能大大降低受到攻擊的可能性。
5、后門軟件攻擊
后門軟件攻擊是互聯(lián)網(wǎng)上比較多的一種攻擊手法。Back Orifice2000、冰河等都是比較著名的特洛伊木馬,它們可以非法地取得用戶電腦的超級用戶級權利,可以對其進行完全的控制,除了可以進行文件操作外,同時也可以進行對方桌面抓圖、取得密碼等操作。
這些后門軟件分為服務器端和用戶端,當黑客進行攻擊時,會使用用戶端程序登陸上已安裝好服務器端程序的電腦,這些服務器端程序都比較小,一般會隨附帶于某些軟件上。有可能當用戶下載了一個小游戲并運行時,后門軟件的服務器端就安裝完成了,而且大部分后門軟件的重生能力比較強,給用戶進行清除造成一定的麻煩。
當在網(wǎng)上下載數(shù)據(jù)時,一定要在其運行之前進行病毒掃描,并使用一定的反編譯軟件,查看來源數(shù)據(jù)是否有其他可疑的應用程序,從而杜絕這些后門軟件。
參考文獻:
[1]《信息網(wǎng)絡安全概論》,周良洪 編著,群眾出版社
[2]《計算機安全技術及應用》,邵波 編著,電子工業(yè)出版社
關鍵詞:網(wǎng)絡信息安全;黑客入侵;防范管理
中圖分類號:F22 文獻標識碼:A
公路信息系統(tǒng)是一項龐大的系統(tǒng)工程,是實現(xiàn)公路管理信息化、決策科學化的重要基礎,涉及到公路管理的各個方面,應按照高起點、高標準、先進實用的方針進行建設,努力提升管理和服務效能。首先,公路管理信息化應當成為管理公路信息資源的工具,解決所管養(yǎng)公路基礎數(shù)據(jù)的信息化管理問題。這些信息應能同步在電子地圖上顯示,構建可視化的電子公路,使宏觀決策、行業(yè)管理等工作更方便、快捷。其次,公路管理信息化應當成為向公眾提供信息服務的手段。通過信息化建設,向社會公眾提供人性化的出行信息。這既是新形勢對公路管理部門提出的新要求,更是體現(xiàn)行業(yè)服務理念,樹立行業(yè)社會形象的重要措施。第三,公路管理信息化應當成為提高決策水平和工作效率的工具。公路管理工作的許多決策以數(shù)據(jù)為基礎。傳統(tǒng)的方式往往根據(jù)經(jīng)驗和上報情況為主進行決策,工作效率和決策科學化水平均有大幅提高的余地。因此,應開發(fā)與日常業(yè)務緊密相關的信息管理系統(tǒng),全面提高公路管理的現(xiàn)代化水平。加快公路信息化建設,是適應經(jīng)濟和社會發(fā)展的必然要求,是建設服務型公路行業(yè)的重要內(nèi)容,是實現(xiàn)公路管理現(xiàn)代化的必由之路。筆者就宣城市公路局加強公路信息化基礎設施建設情況,對如何加快公路信息化建設作一些思考。
1 計算機網(wǎng)絡信息安全的概念
簡單的說,網(wǎng)絡通信安全性就是保護用戶在網(wǎng)絡上的程序、數(shù)據(jù)或者設備免遭別人在非授權情況下使用或訪問。其內(nèi)容可以理解為我們常說的信息安全,是指對信息的保密項、完整性和可用性的保護,因此,網(wǎng)絡通信安全應包括兩個方面:一是網(wǎng)絡用戶資源不被濫用和破壞;二是網(wǎng)絡自身的安全和可靠性。而網(wǎng)絡通信安全的含義是對信息安全的引申,即網(wǎng)絡通信安全是對網(wǎng)絡信息保密性、完整性可可用性的保護。
2網(wǎng)絡攻擊的特點
2.1攻擊快速,手段多樣且日益趨向智能化
最初,網(wǎng)絡上的攻擊者通常用監(jiān)視他人的上網(wǎng)數(shù)據(jù)或用非法手段直接截取他人帳號和口令進入別人的計算機系統(tǒng),以獲取他人計算機上的資料和信息。然而,隨著計算機科技的迅速發(fā)展,近幾年來攻擊者用來進行網(wǎng)絡攻擊的工具逐漸的智能化。以前,安全漏洞只在廣泛的掃描完成后才被加以利用,而現(xiàn)在攻擊者利用這些安全漏洞作為掃描活動的一部分,從而輕易的損害了脆弱的網(wǎng)絡計算機系統(tǒng),加快了攻擊網(wǎng)絡計算機的速度。更有甚者,攻擊者使用分布式攻擊的方式管理和協(xié)調(diào)分布在許多互聯(lián)網(wǎng)系統(tǒng)上的大量已部署的攻擊工具,進而大規(guī)模的發(fā)動拒絕服務的網(wǎng)絡攻擊,掃描分布在互聯(lián)網(wǎng)上的受害者,攻擊他們的計算機系統(tǒng)。
2.2攻擊工具復雜,主要以軟件攻擊為主
一般攻擊工具具有三個特性,即:多變性、成熟性和隱蔽性。多變性是指攻擊工具可以根據(jù)隨即選擇、預先定義的決策路徑或者通過入侵者直接管理,來不斷變化它們的模式和行為;而不像以前那樣總是以單一確定的順序執(zhí)行攻擊步驟。成熟性是指攻擊工具可以通過軟件升級或更換部分軟件功能的方式來發(fā)動迅速變化的攻擊,而且會出現(xiàn)多種攻擊工具同時運行的情況。隱蔽性是指攻擊性工具以任何一種形式出現(xiàn)在任何一種可執(zhí)行的程序中并且在任何一種操作系統(tǒng)中運行。幾乎所有的網(wǎng)絡入侵都是通過對軟件的截取和攻擊從而破壞整個計算機系統(tǒng)的,這一方面也導致了計算機犯罪的隱蔽性。
2.3系統(tǒng)安全漏洞驟增
據(jù)統(tǒng)計計算機系統(tǒng)的安全漏洞每一年都成雙倍遞增的趨勢在增長,而且越來越多的新的難以修補的漏洞不斷增加并且攻擊者會在計算機管理者修補這些漏洞之前就對系統(tǒng)進行攻擊。
2.4攻擊者對防火墻的肆意入侵
防火墻的概念來自于消防,在消防中防火墻用于隔離火災區(qū)與安全區(qū)。對于計算機系統(tǒng)而言,防火墻的功能類似于單位的保安系統(tǒng),計算機防火墻的功能在于保護局域網(wǎng)中的計算機免遭黑客入侵,保護局域網(wǎng)中的敏感數(shù)據(jù)和重要文件不被非法讀取、竊取或者破壞。防火墻是抵御入侵者最主要也是最基本的防范管理。但是越來越多的攻擊技術可以繞過防火墻,例如,IPP(Internet打印協(xié)議)和Web DAV(基于Web的分布式創(chuàng)作與翻譯)都可以被攻擊者利用來繞過防火墻。
3 網(wǎng)絡攻擊造成的破壞性
1989年全世界第一次計算機病毒高峰期到來,1996年針對微軟Office家族的宏病毒出現(xiàn),1998年首例針對計算機硬件進行破壞的病毒CIH被發(fā)現(xiàn),而后隨著因特網(wǎng)的傳播,1999年4月26日CIH病毒在我國大范圍爆發(fā),造成大規(guī)模的破壞和不可估量的損失;1999年3月26日,首例通過因特網(wǎng)進行傳播的計算機病毒——美麗殺手面世;此后2001年針對Windows系統(tǒng)漏洞的“紅色代碼”“尼姆達”給全世界的網(wǎng)絡管理員提出了嚴峻的安全課題;2002年歲末,可以媲美CIH的硬盤殺手——Worm. OpaSoft.d蠕蟲病毒出現(xiàn),該病毒可以利用系統(tǒng)漏洞進行傳播,該病毒在Symantec的安全警戒網(wǎng)中提示該病毒的傳播范圍相當寬,破壞力也相當?shù)拇蟆?003年1月25日,一種使全球互聯(lián)網(wǎng)趨于癱瘓的病毒——Win32_SQL1434病毒(又稱“SQL殺手”)驚現(xiàn)與因特網(wǎng),其后的1月30日全球互聯(lián)網(wǎng)因為該病毒而大面積癱瘓和阻塞。
4 網(wǎng)絡通信安全的防范管理
4.1計算機終端用戶要做好基礎性的防護工作
即安裝正規(guī)的操作系統(tǒng)并打齊所有的補丁;安裝干凈的辦公軟件,盡可能的減小系統(tǒng)被入侵的可能性;安裝好殺毒軟件,設置好時間段自動上網(wǎng)升級;設置好帳號和權限,設置的用戶盡可能的少,對用戶的權限盡可能的小,密碼設置要足夠強壯;將軟件防火墻的安全級別設置為最高,然后僅開放提供服務的端口,其他一律關閉,對于服務器上所有要訪問網(wǎng)絡的程序。
4.2定期掃描自己的系統(tǒng),修補所有已知的漏洞
因為任何一個漏洞對系統(tǒng)來說都可能是致命的。網(wǎng)絡管理員要隨時了解黑客入侵他人系統(tǒng)所常用的手段和那些可以被利用的漏洞,并經(jīng)常使用安全性高的掃描工具來檢測自己管理的服務器中是否存在這些漏洞。例如系X-scan,snamp,nbsi,PHP注入檢測工具等,或者是用當前比較流行的hacker入侵工具檢測自己的系統(tǒng)是否存在漏洞。
4.3服務器的遠程管理
謹慎使用server自帶的遠程終端,做好防護,防止被黑客利用。服務器管理者可以用證書策略來限制訪問者,給TS配置安全證書,任何客戶端訪問均需要安全證書,并限制能夠訪問服務器終端服務的IP地址。
4.4避免出現(xiàn)整個網(wǎng)絡配置中的薄弱環(huán)節(jié)
黑客會利用被控制的網(wǎng)絡中的一臺機器做跳板,進而對整個網(wǎng)絡進行滲透攻擊,所以安全的配置網(wǎng)絡中的機器也很必要。
4.5利用系統(tǒng)中的網(wǎng)絡工具對網(wǎng)絡進行監(jiān)控
一般情況下我們可以從時間查看器中檢索到是否有黑客入侵的蛛絲馬跡。通過對網(wǎng)絡流量是否異常的監(jiān)控可以發(fā)現(xiàn)系統(tǒng)中是否存在蠕蟲病毒或者是否有遭受"洪水"等攻擊的可能,并利用任務管理器終止那些不明進程,檢測出木馬程序并清除。
結(jié)語
網(wǎng)絡管理者是信息安全的運維者,要及時掌握足夠的信息安全知識,充分理解相關的安全技術,操作系統(tǒng)和應用軟件的安全性能,以便在系統(tǒng)或網(wǎng)絡一旦發(fā)生故障時,能夠迅速判斷出問題所在,給出解決方案,使網(wǎng)絡迅速恢復正常服務。而計算機使用者也要充實網(wǎng)絡通信安全知識,養(yǎng)成安全上網(wǎng)的好習慣。
參考文獻
[1]劉保成,王延風,陳曉燕.基于網(wǎng)絡的現(xiàn)代遠程教育系統(tǒng)的安全研究[J].電子世界,2013.
[2]周偉,張輝,劉孟軻.高校計算機網(wǎng)絡安全實驗課題研究[J].上海工程技術大學教育研究,2012.
[3]江鐵,匡慜.高校校園網(wǎng)安全策略探討[J].警官文苑,2011.