时间:2024-04-17 15:35:19
绪论:在寻找写作灵感吗?爱发表网为您精选了8篇网络安全与攻防,愿这些内容能够启迪您的思维,激发您的创作热情,欢迎您的阅读与分享!
关键词:主动防御;网络安全;攻击;防御
中图分类号:TP393.08文献标识码:A 文章编号:1009-3044(2010)20-5442-02
Design of Network Safety Attack and Defense Test Platform based on Active Defense
WANG Chao-yang
(5 Department 43 Team, Artillery Academy of the P.L.A, Hefei 230031, China)
Abstract: Now traditional passive defense technology will not reply the behavior of unceasing increase large-scale network attack. According to the characteristic and the advantage of active defense, the article has introduced a kind of design scheme test platform abort network safety attack and defense based on the technology of active defense, and the design and realization of system from the two pieces of experiment modular abort attack and defense.
Key words: active defense; network safety; attack; defense
目前,伴随着计算机网络的大量普及与发展,网络安全问题也日益严峻。而传统的、被动防御的网络安全防护技术也将越来越无法应对不断出现的新的攻击方法和手段,网络安全防护体系由被动防御转向主动防御是大势所趋。因此,立足现有网络设备进行攻防实验平台的设计和研究,对于未来网络安全防护技术的研究具有深远的指导意义。
1 系统功能设计概述
1.1 主动防御技术的概念
主动防御技术是一种新的对抗网络攻击的技术,也是当今网络安全领域新兴的一个热点技术。它源于英文“Pro-active Defense”,其确切的含义为“前摄性防御”,是指由于某些机制的存在,使攻击者无法完成对攻击目标的攻击。由于这些前摄性措施能够在无人干预的情况下预防安全事件,因此有了通常所说的“主动防御”[1]。网络安全主动防御技术能够弥补传统被动防御技术的不足,采用主机防御的思想和技术,增强和保证本地网络安全,及时发现正在进行的网络攻击,并以响应的应急机制预测和识别来自外部的未知攻击,采取各种应对防护策略阻止攻击者的各种攻击行为。
1.2 系统设计目标
目前关于主动防御的网络安全防御策略理论研究的较多,但是对于很多实际应用方面还缺乏实战的指导和经验。网络安全攻防实验平台主要依据主动防御技术体系为策略手段,针对现有网管软件存在的问题,进行主动防御技术体系优化,其核心在于在实验中实现系统的漏洞机理分析、安全性检测、攻击试验、安全应急响应和提供防御应对策略建议等功能,能够启发实验者认识和理解安全机理,发现安全隐患,并进行系统安全防护。
1.3 实验平台功能
基于主动防御的网络安全攻防实验平台是一个网络攻击与防御的模拟演示平台,在单机上模拟出基本的网络节点(设备),然后在这个模拟的网络环境中演示出网络攻击与防御的基本原理和过程,并以可视化的结果呈现出来。该实验平台所仿真的机理和结果能够依据网络安全的需求,最终用于网络攻防测评和实战的双重目的。并可以为网络攻击和防护技能人才更好的学习提供一定的参考。为完整地体现网络战攻防的全过程,该平台分为攻击模块与防御模块两部分。
攻击模块部分包括主机端口的扫描、检测、Web/SMB攻击模块和IDS等。其主要功能是实现对于目标系统的检测、漏洞扫描、攻击和与防护端的通讯等[2]。
防御模块部分主要是基于主动防御技术的功能要求,实现检测、防护和响应三种功能机制。即能够检测到有无攻击行为并予以显示、给出陷阱欺骗可以利用的漏洞和提供防护应对策略等,如: 网络取证、网络对抗、补丁安装、系统备份、防护工具的选购和安装、响应等。
2 攻防实验平台模型设计
2.1 设计方案
要实现网络攻防的实验,就必须在局域网环境构建仿真的Internet环境,作为攻防实验的基础和实验环境。仿真的Internet环境能实现www服务、FTP、E-mail服务、在线交互通信和数据库引擎服务等基本功能。依据系统的功能需求分析,该平台要实现一个集检测、攻击、防护、提供防护应对策略方案等功能于一体的软件系统。主要是除了要实现基本的检测、攻击功能外,还必须通过向导程序引导用户认识网络攻防的机理流程,即:漏洞存在―漏洞检测(攻击模块)―攻击进行(攻击模块)―系统被破坏―补救措施(防御模块)―解决的策略方案(防御模块)[3],以更好的达到实验效果。
平台整体采用C/S模式,攻击模块为客户端,防御模块为服务器端。攻击模块进行真实的扫描、入侵和渗透攻击,防御模块从一定程度上模拟并显示受到的扫描、攻击行为,其模拟的过程是动态的,让实验者看到系统攻击和被攻击的全部入侵过程,然后提供响应的防护应对策略。攻防实验平台模型如图1所示。
2.2 基于主动防御的网络安全体系
根据本实验平台设计的思想和策略原理,为实现主动防御的检测、防护和响应功能机制,构建基于主动防御技术的网络安全策略体系(如图2所示)。安全策略是网络安全体系的核心,防护是整个网络安全体系的前沿,防火墙被安置在局域网和Internet网络之间,可以监视并限制进出网络的数据包,并防范网络内外的非法访问[4-5]。主动防御技术和防火墙技术相结合,构建了一道网络安全的立体防线,在很大程度上确保了网络系统的安全,对于未来的网络安全防护具有深远的意义。检测和响应是网络安全体系主动防御的核心,主要由网络主机漏洞扫描(包括对密码破解)、Web/SMB攻击、IDS、网络取证、蜜罐技术等应急响应系统共同实现,包括异常检测、模式发现和漏洞发现。
2.3 攻防模块设计
该实验平台的攻击模块和防御模块利用C/S模式采用特定端口进行通讯。攻击端以动作消息的形式,把进行的每一个动作发往防御端,防御模块从数据库中调用相关数据进行模拟、仿真,让实验者看到和体会到自身系统受到的各种攻击。攻防模块经过TCP/IP建立连接后,开始进行扫描、检测、Web/SMB攻击和IDS等入侵行为,攻击端每一个消息的启动都会发给防御端一个标志位,防御模块经判断后,调用相关的显示和检测模块进行处理,并提供相应的防护应对策略。
3 平台的实现
3.1 主动防御思想的实现
在一个程序中,必须要通过接口调用操作系统所提供的功能函数来实现自己的功能。同样,在平台系统中,挂接程序的API函数,就可以知道程序的进程将有什么动作,对待那些对系统有威胁的动作该怎么处理等等。实验中,采取挂接系统程序进程的API函数,对主机进程的代码进行真实的扫描,如果发现有诸如SIDT、SGDT、自定位指令等,就让进程继续运行;接下来就对系统进程调用API的情况进行监视,如果发现系统在数据的传输时违反规则,则会提示用户进行有针对性的操作;如果发现一个诸如EXE的程序文件被进程以读写的方式打开,说明进程的线程可能想要感染PE文件,系统就会发出警告;如果进程调用了CreateRemoteThread(),则说明它可能是比较威胁的API木马进程,也会发出警告。
3.2 攻击程序模块实现
网络安全攻防实验平台的设计是基于面向对象的思想,采用动态连接库开发扫描、检测、攻击等功能模块。利用套接字变量进行TCP/IP通信,调用DLL隐式连接和显示连接,采用在DLL中封装对话框的形式,也就是把扫描、检测、攻击等功能和所需要的对话框同时封装到DLL中,然后主程序直接调用DLL[6]。实验中,可以在攻击程序模块中指定IP范围,并输入需要攻击的主机IP地址和相应的其他参数,对活动主机漏洞进行扫描和密码攻击(如图3所示);并指定IP,对其进行Web/SMB攻击,然后输出攻击的结果和在攻击过程中产生的错误信息等。
3.3 防御程序模块实现
在程序的运行中,采取利用网络侦听机制监听攻击模块的每一次动作消息的形式,自动显示给用户所侦听到外部攻击行为(如图4所示:Web/SMB攻击)。该模块同样使用了WinSock类套接字进行通讯,在创建了套接字后,赋予套接字一个地址。攻击模块套接字和防御模块套接字通过建立TCP/IP连接进行数据的传输。然后防御模块根据接收到的标志信息,在数据库中检索对应的记录,进行结果显示、网络取证、向用户提供攻击的类型及防护方法等多种应对策略。其中的蜜罐响应模块能够及时获取攻击信息,对攻击行为进行深入的分析,对未知攻击进行动态识别,捕获未知攻击信息并反馈给防护系统,实现系统防护能力的动态提升。
4 结束语
基于主动防御的网络安全攻防实验平台主要是针对传统的被动式防御手段的不完善而提出的思想模型。从模型的构建、平台的模拟和实验的效果来看,其系统从一定程度上真实的模拟了网络设备的攻防功能,可以为网络管理者和学习者提供一定的参考和指导。
参考文献:
[1] 杨锐,羊兴.建立基于主动防御技术的网络安全体系[J].电脑科技,2008(5).
[2] 裴斐,郑秋生,等.网络攻防训练平台设计[J].中原工学院学报,2004(2).
[3]Stuart McClure, Joel Scambray, George Kurtz. 黑客大曝光―网络安全的机密与解决方案[ M].北京:清华大学出版社,2002
[4] 张常有.网络安全体系结构[M].成都:电子科技大学出版社,2006(15).
[5] 黄家林,张征帆.主动防御系统及应用研究[J].网络安全技术与应用,2007(3).
关键词: 网络工程; 网络安全与管理; 知识结构; 课程体系
中图分类号:G642 文献标志码:A 文章编号:1006-8228(2013)10-62-02
0 引言
网络工程专业从1998年教育部批准开设以来,发展十分迅速。截止2012年,全国已有329所高等学校设置了网络工程专业,其中重点院校超过50所。经过十多年的发展,网络工程从原来计算机专业的一个专业方向发展成为全国性的大专业。2011年教育部将网络工程专业列入高等学校本科专业基本目录,标志着网络工程专业已经成为一个稳定发展的基本本科专业[1]。
网络工程专业在快速发展的同时,也面临着一些普遍性的困难与问题。比如:网络工程专业与计算机科学与技术、软件工程、信息安全等其他信息类专业的差异区分不够明显,办学特色不够鲜明。因此,有必要从专业方向和课程体系建设入手,结合自身办学优势,制定特色鲜明的网络工程专业人才培养方案。这样,才能培养出合格的网络工程专业人才。
笔者所在学院2012年获批了中央支持地方高校发展专项资金,重点建设“网络与信息安全”实验室,改善网络工程专业的实践教学条件。网络工程系以此为契机,结合已有的信息安全师资优势,凝练出网络安全与管理方向,并开展相应的专业课程体系改革。本文以此为背景,探讨网络工程专业网络安全与管理方向的人才培养方案。
1 网络安全与管理方向人才培养要求
与其他信息类专业类似,网络工程专业网络安全与管理方向的人才培养要求从素质和能力两方面入手。
1.1 基本素质
网络工程专业人才要求具备的基本素质包括思想政治素质、人文素质、职业道德素质、专业素质、心理素质和身体素质等[2]。
思想政治素质要求政治立场坚定,热爱祖国,增强社会责任感,树立崇高理想,培养高尚情操,养成正确的人生观和价值观。人文素质要求具有深厚的文化底蕴,高雅的文化气质,良好的人际交往能力和团队合作精神。职业道德素质要求遵纪守法,遵守社会公德,坚持职业道德的底线,具备实事求是,坚持真理的品格,具有爱岗敬业的精神,一丝不苟的作风,以及服务社会的意识。专业素质要求掌握科学的思维方式和研究方法,养成良好的学习习惯和工作风格,具备较好的创新思维和踏实严谨的实干精神。心理素质和身体素质要求具有健康的体魄,乐观向上的心态,坚忍不拔的毅力和身体力行的风格。
1.2 基本能力
网络工程专业人才要求具备的基本能力包括学习能力、分析解决问题的能力、阅读写作能力、协同工作能力、专业适应能力、创新能力[2]。
学习能力是指自学能力,即知识和技术的获取能力、理解能力与应用能力。分析解决问题的能力是指通过专业调研、理论分析、设计开发、仿真实验等方法解决网络工程领域实际问题的能力。阅读写作能力是指专业技术文档的阅读能力与写作能力。协同工作能力包括专业表达能力、问题沟通能力、协作能力、组织管理能力。专业适应能力是指在学习网络工程专业知识和技术的基础上,能够从事并适应相关领域的研究、开发与管理工作,并能适应网络工程专业技术和市场不断发展变化的能力。创新能力包括创新思维能力和创新实践能力。
1.3 专业能力
网络安全与管理专业方向的人才培养除了满足网络工程专业人才培养基本要求外,还需要注重培养两方面的专业能力:网络系统安全保障能力和网络管理维护能力[3]。网络系统安全保障能力是指熟悉信息安全基本理论和常见网络安全技术的工作原理,掌握主流网络安全产品的安装、配置和使用方法,能初步设计开发网络安全产品。网络管理维护能力是指熟悉常见网络设备与系统的工作原理,掌握网络管理的主流模型、系统功能、以及各类管理技术与方法,能初步管理和维护网络与信息系统。
2 网络安全与管理方向专业课程体系
2.1 知识结构
网络工程专业网络安全与管理专业方向人才要求具备的知识可分为三大类:公共基础知识、专业基础知识、专业知识。
公共基础知识相对固定,具体知识包括政治理论知识、人文社科知识、自然科学知识。其中,政治理论知识包括基本原理、中国近现代史纲要、思想和中国特色社会主义理论。人文社科知识包括大学英语、大学生心理健康、思想道德修养与法律基础、社会和职业素养、军事理论、体育。自然科学知识包括高等数学、线性代数、概率论与数理统计、大学物理、大学物理实验。
专业基础知识根据网络工程专业人才的专业能力要求制定,具体包括电子技术基础、计算技术基础、计算机系统基础。其中,电子技术基础包括数字电路、模拟电路和电路基础,技术技术基础包括数据结构、离散数学、程序设计、算法分析与设计,计算机系统基础包括计算机组成原理、操作系统、数据库原理、软件工程。
专业知识相对灵活,通常根据所在院校的专业特色和办学条件制定,具体包括专业核心知识、专业方向知识、专业实践环节[1]。下面重点讨论这部分内容。
2.2 课程体系
依据上述知识结构,结合笔者所在学院的师资力量、办学条件和专业特色,制定了网络工程专业网络安全与管理方向的专业课程体系,如图1所示。由于公共基础课程基本固定不变,在此不再列出。
2.3 专业方向课程知识点
网络工程专业网络安全与管理方向可分为网络安全和网络管理两个分支。其中,网络安全分支课程包括信息安全基础[4]、网络安全技术[5]、网络攻防技术,每门课程的主要知识点如表1所示。网络管理分支课程包括网络管理[6]、网络性能测试与分析、网络故障诊断与排除,每门课程的主要知识点如表1所示。
3 结束语
本文以笔者所在学院的网络工程专业建设为背景,分析了网络工程专业人才培养的基本要求。在此基础上,说明了网络安全与管理专业方向人才培养的专业能力要求,进而得出与之相适应的知识体系结构和课程体系内容。最后重点介绍了网络安全与管理专业方向主要课程的知识单元与相应的知识点。接下来的工作是将该课程体系落实到网络工程专业培养方案中,并在具体实施过程中发现问题,解决问题,分段调整,逐步完善。希望本文所作的研究与探讨能给兄弟院校的网络工程专业建设提供有价值的参考。
参考文献:
[1] 教育部高等学校计算机科学与技术教学指导委员会.高等学校网络工程专业规范[M].高等教育出版社,2012.
[2] 姜腊林,王静,徐蔚鸿.网络工程专业物联网方向课程改革研究[J].计算机教育,2011.19:48-50
[3] 曹介南,蔡志平,朱培栋等.网络工程专业与计算机专业差异化教学研究[J].计算机教育,2010.23:139-142
[4] 教育部信息安全类专业教学指导委员会.信息安全类专业指导性专业规范[M].高等教育出版社,2010.
关键词: 网络信息安全; 计算机; APT; 安全防御; 恶意威胁
中图分类号: TN711?34 文献标识码: A 文章编号: 1004?373X(2015)21?0100?05
Threat to network information security and study on new defense
technologies in power grid enterprises
LONG Zhenyue1, 2, QIAN Yang1, 2, ZOU Hong1, 2, CHEN Ruizhong1, 2
(1. Key Laboratory of Information Testing, China Southern Power Grid Co., Ltd., Guangzhou 510000, China;
2. Information Center, Guangdong Power Grid Co., Ltd., Guangzhou 510000, China)
Abstract: With the continuous development of management informationization of the power grid enterprises, automatic power grid operation and intelligent electrical equipment, the information security has become more important. For the serious situation of network information security, the new?type defense technologies are studied, which are consisted of advanced persistent threat (APT) protection technology and vulnerability scanning technology. Combining with the advantages and disadvantages of these technologies, the strategy of defense effectiveness analysis based on the minimum attack cost is proposed, which can compute the defense capability of the network.
Keywords: network information security; computer; APT; safety defense; malicious threat
0 引 言
随着电网企业管理信息化、电网运行自动化、电力设备智能化的不断发展,电网企业信息安全愈发重要。信息化已成为电力企业工作中的重要组成部分,各类工作对网络的高度依赖,各类信息以结构化、非结构化的方式储存并流转于网络当中,一旦信息网络被攻破,则往往导致服务中断、信息泄漏、甚至指令错误等事件,严重威胁生产和运行的安全。因此,保障网络信息安全就是保护电网企业的运行安全,保障网络安全是电网企业的重要职责[1]。
目前的网络信息安全形势依然严峻,近年来,业务从单系统到跨系统,网络从零星分散到大型化、复杂化,单纯的信息安全防护技术和手段已经不能满足企业安全防护的需要,应针对性地研究具有纵深防御特点的安全防护体系,以信息安全保障为核心,以信息安全攻防技术为基础,了解信息安全攻防新技术,从传统的“知防不知攻”的被动防御向“知攻知防”的纵深积极防御转变,建立全面的信息安全防护体系。
1 概 述
从广义层面而言,网络信息安全指的是保障网络信息的机密性、完整性以及有效性,涉及这部分的相关网络理论以及技术都是网络信息安全的内容。从狭义层面而言,网络信息安全指的是网络信息的安全,主要包括网络软硬件及系统数据安全[2]。网络信息安全需要保证当网络受到恶意破坏或信息泄露时,网络系统可以持续正常运行,为企业提供所需的服务。
通过对我国某电网企业及其下辖电力单位的调研,以及对近5年电力信息资产信息安全类测评结果的统计得知,电网企业现存的网络安全情况主要分为以下3类:网络安全风险与漏洞弱点事件、数据安全风险与漏洞弱点事件、管理类安全风险与漏洞弱点事件。整体上看,电网企业的信息安全问题仍不容乐观,近年来随着网络的复杂化,攻击的新型化和专业化,网络安全防护的情况亟待加强。总体而言,首先要加强并提升网络、应用等方面安全水平,保证信息源头的安全情况;其次加强管理类安全,特别是人员管理、运维管理等方面;最后研究分析最新攻防技术的特点,结合电网实际现状,构建适用于现有网络环境与架构的信息安全纵深防御体系。
本文主要针对第三点展开论述,研究包括高级持续威胁(APT)防护技术、漏洞扫描技术等新型的攻击及其防护技术,提取在复杂网络系统中的防御共同点,并给出一类策略用于分析网络信息安全防御的有效性。
2 信息安全的攻防新技术
电网企业所依赖的信息安全隔离与防御技术主要包括数据加密技术、安全隔离技术、入侵检测技术、访问控制技术等。一方面,通过调研与统计分析。目前电网的信息安全建设主要以防止外部攻击,通过区域划分、防火墙、反向、入侵检测等手段对外部攻击进行防御,对内部的防御手段往往滞后,电网内部应用仍然存在一定的安全风险与漏洞弱点。如果一道防线失效,恶意的攻击者可能通过以内部网络为跳板威胁电网企业的安全;另一方面,电网企业中目前使用的防御技术一般是孤立的,未形成关联性防御,而目前新型的攻击往往会结合多个漏洞,甚至是多个0day漏洞进行组合攻击,使得攻击的隐蔽性、伪装性都较强。因此,要构建信息安全防御体系,仅凭某单一的防护措施或技术无法满足企业的安全要求,只有构建完整的信息安全防护屏障,才能为企业提供足够的信息安全保障能力。
经过分析,目前针对电网企业的新型攻防技术有如下几类:
2.1 高级持续威胁攻击与防护技术
高级持续威胁(APT)是针对某一项有价值目标而开展的持续性攻击,攻击过程会使用一切能被利用的手段,包括社会工程学攻击、0day漏洞攻击等,当各攻击点形成持续攻击链后,最终达到攻击目的。典型的APT攻击案例如伊朗核电项目被“震网(Stuxnet)”蠕虫病毒攻击,通过攻击工业用的可编程逻辑控制器,导致伊朗近[15]的核能离心机损坏。
根据APT攻击的特性,企业可以从防范钓鱼攻击、识别邮件中的恶意代码、识别主机上的恶意代码、监测网络数据渗出等多个环节进行检测,主要涉及以下几类新型技术。
2.1.1 基于沙箱的恶意代码检测技术
恶意代码检测中最具挑战性的是检测利用0day漏洞的恶意代码,传统的基于特征码的恶意代码检测技术无法应对0day攻击。目前最新的技术是通过沙箱技术,构造模拟的程序执行环境,让可疑文件在模拟环境中运行,通过软件所表现的外在行为判定是否是恶意代码。
2.1.2 基于异常的流量检测技术
传统的入侵检测系统IDS都是基于特征(签名)的深度包检测(DPI)分析,部分会采用到简单深度流检测(DFI)技术。面对新型威胁,基于DFI技术的应用需要进一步深化。基于异常的流量检测技术,是通过建立流量行为轮廓和学习模型来识别流量异常,进而识别0day攻击、C&C通信以及信息渗出等恶意行为。
2.1.3 全包捕获与分析技术
由于APT攻击的隐蔽性与持续性,当攻击行为被发现时往往已经持续了一段时间;因此需要考虑如何分析信息系统遭受的损失,利用全包捕获及分析技术(FPI),借助海量存储空间和大数据分析(BDA)方法,FPI能够抓取网络定场合下的全量数据报文并存储,便于后续的历史分析或者准实时分析。
2.2 漏洞扫描技术
漏洞扫描技术是一种新型的、静态的安全检测技术,攻防双方都会利用它尽量多地获取信息。一方面,攻击者利用它可以找到网络中潜在的漏洞;另一方面,防御者利用它能够及时发现企业或单位网络系统中隐藏的安全漏洞。以被扫描对象分类,漏洞扫描主要可分为基于网络与基于主机的安全漏洞扫描技术。
2.2.1 基于网络的安全漏洞扫描技术
基于网络的安全漏洞扫描技术通过网络扫描网络设备、主机或系统中的安全漏洞与脆弱点。例如,通过扫描的方式获知OpenSSL心脏出血漏洞是否存在。基于网络的安全漏洞扫描技术的优点包括:易操作性,扫描在执行过程中,无需目标网络或系统主机Root管理员的参与;维护简便,若目标网络中的设备有调整或变化,只要网络是连通的,就可以执行扫描任务。但是基于网络的扫描也存在一些局限性:扫描无法直接访问目标网络或系统主机上的文件系统;其次,扫描活动不能突破网络防火墙[3]。
2.2.2 基于主机的安全漏洞扫描技术
基于主机的安全漏洞扫描技术是通过以系统管理员权限登录目标主机,记录网络或系统配置、规则等重要项目参数,通过获取的信息与标准的系统安全配置库进行比对,最终获知系统的安全漏洞与风险。
基于主机的安全漏洞扫描技术的优点包括:可使用的规则多,扫描结果精准度高;网络流量负载较小,不易被发现。该技术也存在一些局限性:首先,基于主机的安全漏洞扫描软件或工具的价格昂贵;其次,基于主机的安全漏洞扫描软件或工具首次部署的工作周期较长。
3 基于最小攻击代价的网络防御有效性分析策略
恶意攻击总是以某一目标为导向,恶意攻击者为了达到目标会选择各种有效的手法对网络进行攻击。在复杂网络环境下,如果可以尽可能大地提高恶意攻击者的攻击代价,则对应能达到提高有效防御的能力。基于这个假设,这里展示一种在复杂网络环境下分析攻击有效性的策略,并依此计算从非安全区到目标区是否存在足够小的攻击代价,让恶意攻击可以获取目标。如果存在,则可以被恶意攻击利用的路径将被计算出来;如果不存在,则证明从非安全区到目标区的安全防御能力是可以接受的。
以二元组的形式描述网络拓扑图[4][C,]其中节点是网络中的各类设备,边表示设备间的关联关系。假设非安全区域为[Z,]目标区域为[D。]在网络中,攻击者如果能达到目标,必然至少存在一条从非安全区节点到目标节点[d]的通路[p,]且这条通路上的攻击代价小于值[w。]其中,攻击代价指攻击者能够利用攻击工具、系统缺陷、脆弱性等信息,实现其对目标的入侵行为所付出的代价。直观地,由于攻击行为往往会因遇到安全设备和安全策略的阻拦,而导致其成功实现其攻击目的的时间、精力甚至资金成本提高,攻击者为达到其攻击目标所付出的所有的行为成本即攻击代价。
在图[G]中,每一个节点[v]具有输入权限[q]和获利权限[q](如表1所示)、本身的防护能力[pr]以及风险漏洞数L(L≥0)。攻击者能力是指攻击者通过输入权限[q,]通过任意攻击手段,在节点[v]上所能获取的最高权限值(获利权限)[q′。]直观地,输入权限代表攻击者在对某节点进行攻击前所拥有的权限,如Web服务器一般均具有匿名访问权限;获利权限代表攻击者最终可以利用的系统权限。
最短攻击路径是从非安全区域[Z]中任意节点[z]到目标节点[d]所有攻击路径中,防护成功率最低的[Pr]所对应的路径。最短攻击路径所对应耗费的攻击代价为最小攻击代价[4],也是该网络的防护能力有效性分值。
攻击代价阈值:一旦攻击者付出的攻击代价超过其预期,攻击者很大程度上将会停止使得攻击代价超限的某一攻击行为,转而专注于攻击代价较小的其他攻击路径。攻击代价阈值即攻击者为达到目标可接受的最大攻击代价。如果防护能力有效性分值小于攻击代价阈值,则说明攻击目标可以达到。
攻击代价阈值一般可以通过人工方式指定,本文采用德尔斐法,也被称为专家咨询法的方式来确定。经过专家分析和评判,将攻击代价阈值设定为[t,]当攻击路径防护能力小于[t]即认为攻击者会完成攻击行为并能成功实施攻击行为。
4 网络防御有效性分析应用
假设在电网企业复杂网络环境场景下存在一类新型的APT攻击,网络中使用两种策略A,B进行攻击防御。策略A采用了现有的隔离与防御技术,策略B是在现有基础上增加应用了APT防御技术。计算两类策略下的最小攻击代价,并进而对APT防护效果进行分析。
4.1 策略选取
4.1.1 策略A
图1为一个简化的复杂网络环境实例拓扑,其中DMZ区部署的Web服务器为内、外网用户提供Web服务,电网地市局局域网的内部用户不允许与外网直接连接,限网。各安全域之间具体访问控制策略如下:
(1) 只允许地市局局域网用户访问DMZ区Host2(H2)上的IIS Web服务和Host3(H3)上的Tomcat服务;
(2) DMZ 区的H2 允许访问H3上的Tomcat服务和IDC区Host4(H4)上的Oracle DB服务;
(3) 禁止H2和H3访问Domino服务器Host5(H5);
(4) H5允许访问DMZ的H2和H3及IDC区的H4。
4.2 效果分析
通过上述计算结果表明,在应用策略A与B情况下,局域网用户到DMZ区域目标主机存在的攻击路径的防护有效性分值分别是(0.3,0.3,0.51)与(0.93, 0.93,0.979)。在策略A的情况下,通过DMZ区的H2为跳板,攻击IDC的目标主机H4,最短攻击路径的防护有效性分值只有0.51,说明局域网内的攻击者能在花费较小代价的情况下,轻易地获取内网DMZ或IDC服务器的系统权限,从而造成较大的危害。而增加APT防护设备之后,通过DMZ区的H2为跳板,攻击IDC的目标主机H4,防护有效性分值提升为0.979,其他攻击路径的防护有效性也有明显提高。
策略A与策略B的对比结果表明,在DMZ区域有APT防护技术情况下,网络环境下整体的隔离与防御能力得到了明显提升,从而验证了隔离与防御新技术的防护效果。
5 结 语
在新形势、新技术下,我国电网企业网络信息安全仍面临着严峻的挑战,应当高度重视网络信息安全工作,不断发展完善信息安全防御新技术,改善网络信息安全的水平。单纯使用某种防御技术,往往已无法应对快速变化的安全防御需求,只有综合运用各种新型的攻防技术,分析其关联结果,并通过网内、网间各类安全设备、安全措施的互相配合,才能最终建立健全网络信息安全防范体系,最大限度减少恶意入侵的威胁,保障企业应用的安全、稳定运行。
参考文献
[1] 高子坤,杨海洲,王江涛.计算机网络信息安全及防护策略分析[J].科技研究,2014,11(2):155?157.
[2] 彭晓明.应对飞速发展的计算机网络的安全技术探索[J].硅谷,2014,15(11):86?87.
[3] 范海峰.基于漏洞扫描技术的网络安全评估方法研究[J].网络安全技术与应用,2012,8(6):9?11.
[4] 吴迪,冯登国,连一峰,等.一种给定脆弱性环境下的安全措施效用评估模型[J].软件学报,2012,23(7):1880?1898.
【关键词】计算机网络;信息安全;攻击方式;应对策略
一、当前网络信息面临的安全威胁
1、软件本身的脆弱性。各种系统软件、应用软件随着规模不断扩大,自身也变得愈加复杂,只要有软件,就有可能存在安全漏洞,如Windows、Unix、XP等操作系统都或多或少的漏洞,即使不断打补丁和修补漏洞,又会不断涌现出新的漏洞,使软件本身带有脆弱性。2、协议安全的脆弱性。运行中的计算机都是建立在各种通信协议基础之上的,但由于互联网设计的初衷只是很单纯的想要实现信息与数据的共享,缺乏对信息安全的构思,同时协议的复杂性、开放性,以及设计时缺少认证与加密的保障,使网络安全存在先天性的不足。3、人员因素。由于网络管理人员和用户自身管理意识的薄弱,以及用户在网络配置时知识与技能的欠缺,造成配制时操作不当,从而导致安全漏洞的出现,使信息安全得不到很好的保障。4、计算机病毒。当计算机在正常运行时,插入的计算机病毒就像生物病毒一样,进行自我复制、繁殖,相互传染,迅速蔓延,导致程序无法正常运行下去,从而使信息安全受到威胁,如“熊猫烧香病毒”
二、常见网络攻击方式
1、网络链路层。MAC地址欺骗:本机的MAC地址被篡改为其他机器的MAC地址。ARP欺骗:篡改IPH和MAC地址之间的映射关系,将数据包发送给了攻击者的主机而不是正确的主机。2、网络层。IP地址欺骗:是通过伪造数据包包头,使显示的信息源不是实际的来源,就像这个数据包是从另一台计算机上发送的。以及泪滴攻击、ICMP攻击和RIP路由欺骗。3、传输层。TCP初始化序号预测:通过预测初始号来伪造TCP数据包。以及TCP端口扫描、land攻击、TCP会话劫持、RST和FIN攻击。4、应用层。DNS欺骗:域名服务器被攻击者冒充,并将用户查询的IP地址篡改为攻击者的IP地址,使用户在上网时看到的是攻击者的网页,而不是自己真正想要浏览的页面。以及电子邮件攻击和缓冲区溢出攻击。5、特洛伊木马。特洛伊木马病毒是当前较为流行的病毒,和一般病毒相比大有不同,它不会刻意感染其他文件同时也不会自我繁殖,主要通过自身伪装,从而吸引用户下载,进而使用户门户被病毒施种者打开,达到任意破坏、窃取用户的文件,更有甚者去操控用户的机子。6、拒绝服务攻击。有两种表现形式:一是为阻止接收新的请求,逼迫使服务器缓冲区满;另一种是利用IP地进行欺骗,逼迫服务器对合法用户的连接进行复位,从而影响用户的正常连接。
三、网络安全采取的主要措施
1、防火墙。是网络安全的第一道门户,可实现内部网和外部不可信任网络之间,或者内部网不同网络安全区域之间的隔离与访问控制,保证网络系统及网络服务的可用性。2、虚拟专用网技术。一个完整的VPN技术方案包括VPN隧道技术、密码技术和服务质量保证技术。先建立一个隧道,在数据传输时再利用加密技术对其进行加密,使数据的私有性和安全性得到保障。3、访问控制技术。是机制与策略的结合,允许对限定资源的授权访问,同时可保护资源,阻止某些无权访问资源的用户进行偶然或恶意的访问。4、入侵检测技术。是指尽最大可能对入侵者企图控制网络资源或系统的监视或阻止,是用于检测系统的完整性、可用性以及机密性等方式的一种安全技术,同时也是一种发现入侵者攻击以及用户滥用特权的方法。5、数据加密技术。目前最常用的有对称加密和非对称加密技术。使用数字方法来重新组织数据[2],使得除了合法使用者外,任何其他人想要恢复原先的“消息”是非常困难的。6、身份认证技术。主要有基于密码和生物特征的身份认证技术。其实质是被认证方的一些信息,如果不是自己,任何人不能造假。四、总结网络信息安全是一个不断变化、快速更新的领域,导致人们面对的信息安全问题不断变化,攻击者的攻击手段也层出不穷,所以综合运用各种安全高效的防护措施是至关重要的。为了网络信息的安全,降低黑客入侵的风险,我们必须严阵以待,采取各种应对策略,集众家之所长,相互配合,从而建立起稳固牢靠的网络安全体系。
参考文献
[1]王致.访问控制技术与策略[N].网络世界,2001-07-23035.
[2]马备,沈峰.计算机网络的保密管理研究[J].河南公安高等专科学校学报,2001,05:22-29.
[3]衷奇.计算机网络信息安全及应对策略研究[D].南昌大学,2010.
【关键词】客运专线;CTC网络安全防御系统;功能研究
1引言
CTC又名分散自律调度系统,该系统的功能主要是确保列车安全正常地行驶,调度生产业务系统。这一系统具有2大特点,即独立成网及封闭运行,并且其主要组件并不强大[1]。客运专线的行车安全主要在于系统的保密性、完整性、可用性3点,按照我国等级保护防御区划分原则和信息系统的功能、安全性能等标准,客运专线CTC系统必须具备防火墙、入侵检测、动态口令、安全漏洞、SAV网络病毒防护5个安全系统。
2防火墙及入侵检测系统
CTC的安全防御系统中,防火墙和入侵检测系统属于基本安全设施,这对于构建安全密实的网络系统十分必要。防火墙的功能是过滤数据包,对链接状态进行检查,并检查入侵的行为和会话。防火墙按照用户定义对一些数据实行允许进入或阻拦,以确保内部网络设备及系统不会遭受非法攻击,从而影响访问。此外,可以实现每个通过防火墙的链接都可以快速地建立对应的状态表。如果链接异常,会话遭到威胁或攻击后,防火墙可以很快地阻断非法链接。通过入侵行为的特点,入侵系统可以及时地对每一个数据包进行认真检查,如果数据包对系统存在攻击性,入侵检测系统必须及时断开这一链接,并且由管理人员定义的处理系统会尽快获取幕后攻击者的详细信息,同时,为要得到处理的事件提供对应数据。CTC网络的结构性质为双通道冗余结构,CTC中心和沿线的各个车站数量庞大,并且有着海量的数据流量,业务连接安全性要求很高,CTC中心和沿线车站的各个接口都安置了4台中心防火墙,每网段安置2台;CTC中心和其他系统接口各安置2台防火墙,采用透明模式进行接入。客运专线CTC系统防火墙详见图1。
3安全漏洞评估
安全漏洞的评估系统是一个漏洞及风险评估的有效工具,主要用来对网络的安全漏洞进行发现、报告以及挖掘,主要作用是对目标网络设备安全漏洞实行检测,并提出具体检测报告以及安全可行的漏洞解决方案,使系统管理员可以提前修补可能引发黑客进入的多个网络安全漏洞,避免黑客入侵带来损失。客运专线CTC系统中心完整地部署了一整套安全漏洞评估系统,基于全面以及多角度的网络关键服务器漏洞分析的评估基础,确保CTC以及TDCS等系统安全运行。还能对黑客的进攻方式进行模拟,并提交相应的风险评估报告,提出对应的整改措施。预防性的安全检查暴露了目前网络系统存在的安全隐患,对此必须实行相应的整改,最大程度地降低网络的运行风险。漏洞评估组需要在网络安全集中管理平台下实现统一监测,并且汇总漏洞威胁时间,结合实际情况及设施制定相应的安全策略。当前存在的安全漏洞扫描一定要从技术底层实现有效划分,分别对主机及网络漏洞进行扫描。主机漏洞评估EVP,针对文件权限、属性、登录设置的值和使用者账号等使用主机型漏洞评估扫描器进行评估。网络型漏洞扫描器NSS,在网络漏洞基础上的评估扫描器采用黑客入侵观点,自动对网上系统和服务实行扫描,对一般性的入侵和具体入侵场景实行真实模拟,最重要的是测试网络基础设施的安全漏洞,会提供相应的修补漏洞意见,扫描图形视图的完整显示过程,扫描相应漏洞而且对漏洞的出现原因进行查找,提供具有实际执行可行性的管理报告,针对多个系统实施扫描。
4反病毒网络系统
根据病毒具有的特征以及多层保护需求,客运专线CTC系统必须要统一、集中监控、多面防护,正对整体以及全面反病毒系统实现积极有效的安排,并融合各层面,覆盖CTC中心、下属车站等。并且还要在客运专线的中心部署2台SAV反病毒服务器,二者相互辅助。对服务器设备和车站终端等实施统一的SAV客户端,并且对网络内存的所有病毒实行统管理、分析,监控、查杀[2]。以整体反病毒解决方案为依据,网络反病毒系统的部署具体要从下面几项开展,多操作系统的服务器、反病毒软件、集中监管的多个系统。
5动态口令
身份认证属于安全防御线的第一道保护。我国的CTC安全建设在最初的使用中运用的是静态密码认证,每一系统和设备都具备自身的专属密码,管理很不方便。大量的管理和维护导致操作人员难以实现方便快捷的使用,因此,出于使用便利,会将设备密码设置为统一密码,系统内各种网络设备和服务器的密码基本上人人都知道;另外,静态口令极易被人猜出、截获、破解,黑客可以通过对密码的猜测或使用成熟破译软件破解用户口令,导致CTC面临极大的隐患。在CTC系统网络中,对CTC系统中心设置相应的动态口令,随后客户端认证请求会自动地分配到认证服务器,该模式充分降低了服务器的工作负荷,提升了系统性能。身份证的依据和访问控制组能通过网络安全集中管理平台发挥监测、报警等功能。安全策略的集中配备,对安全事件进行统一响应,并且充分实现分层、统一用户管理、访问认证授权AAA等策略。动态口令身份认证在AAA认证中的功能为双因素认证,有效解决了静态口令存在的多种问题,提升了系统的安全性。客运专线CTC系统运用动态口令后,实现了对整个网络、运用和主机等的统一覆盖,实现了安全的身份认证控制访问组件,统一身份认证和授权统一,同时还提供了集中身份认证等,通过授权严格对多个访问资源权限实施限制。
6结语
目前,客运专线CTC中心网络运用安全,正处于建立知识信息安全系统和确保信息化的重要阶段,在这一进程的后期阶段还要满足国家等级保护政策需求,对纵深防护体系进行深入研究,确保铁路运输生产业务顺利开展,充分实现铁路信息化运行,将铁路运行的安全性实现提升。
【参考文献】
【1】戴启元.客运专线CTC系统网络安全设计[J].铁道通信信号,2010,46(4):66-68.
关键词:黑客;攻击;防范;计算机;扫描
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2013)17-3953-02
凡事都具有两面性,有利有弊。internet就是典型的有利有弊的事物。internet改变了人们的生活,改变了世界,让世界变小,让人们的地理距离变近。方便了人们的生活,人们足不出户就能办理众多业务,能够买到衣服,也能交水费、电费、手机费等。大大节约了人们的时间,也节约了很多成本。这是internet有利的一面。同时internet还存在弊端的一面,就是安全系数不够高,容易被一些不法分子利用,让网上交易存在一定的风险。如果电子邮件被截,就会泄露重要的商业信息;如果购物时的交易信息被截,就会导致金钱的损失。为了尽量避免损失,人们也在研究黑客攻击的手段,也在做一些防范措施。该文就针对黑客攻击的手段以及应该怎样防范进行阐述。
1 黑客的概念
熟悉网络的人都了解hacker这个词,甚至一些不经常使用计算机的人也多少对黑客有一些了解。对于hacker的定义,应该分为两个阶段,前一个阶段对黑客应该定义为:计算机领域的探索者,追求计算机的最大性能的发挥,是人类智慧与计算机的较量。从感彩来说,这个阶段的hacker是值得称赞的,是计算机不懈努力的探索者。但是经过internet的发展,一些人利用黑客技术达到一些不良的目的,于是随着网络的复杂化,黑客变成了人人避之不及的一类人群。
现在的黑客定义为:利用一些手段非法窃取别人计算机的重要信息,达到控制计算机的目的。一旦计算机被黑客控制,信息被外露,就会给计算机的使用者带来损失,或者是专业知识或者是金钱。
2 黑客攻击的手段
2.1通过计算机漏洞进行攻击
黑客攻击计算机的主要途径是通过系统漏洞。每个计算机或多或少都存在一些安全隐患,一些安全隐患是由于系统性能的不完备造成的,也就是先天存在的隐患。对于这些漏洞,计算机的使用者无法弥补。还有一种情况就是计算机的使用者后期造成的,在使用计算机的过程中不及时安装补丁,给黑客以可乘之机。利用公开的工具:象Internet的电子安全扫描程序IIS、审计网络用的安全分析工具SATAN等这样的工具,可以对整个网络或子网进行扫描,寻找安全漏洞通过系统的漏洞,黑客就能轻松进入电脑,获取一些重要信息,达到控制计算机的目的。有些黑客是通过扫描器来发现目标计算机的漏洞的。
扫描原理:
1)全TCP连接
2)SYN扫描(半打开式扫描)
发送SYN,远端端口开放,则回应SYN=1,ACK=1,本地发送RST给远端,拒绝连接
发送SYN,远端端口未开放,回应RST
3)FIN扫描(秘密扫描)
本地发送FIN=1,远端端口开放,丢弃此包,不回应
本地发送FIN=1,远端端口未开放,返回一个RST包
2.2通过专门的木马程序侵入电脑
除了利用计算机的漏洞之外,黑客还可以通过专门的木马程序对计算机进行攻击。现在用户使用计算机大部分联网的,随着internet功能的不断完善,用户在internet上可以阅读,可以购物,可以看视频,这些开放的端口就给黑客提供了机会。黑客会利用用来查阅网络系统的路由器的路由表,了解目标主机所在网络的拓扑结构及其内部细节的snmp协议,能够用该程序获得到达目标主机所要经过的网络数和路由器数的traceroute程序。
2.3利用一些管理工具进行大面积攻击
在办公区域或者学校等会使用局域网,在这些区域网中,会有管理者。管理者为了方便管理,会在区域网内安装网络监测器。网络监测器的初衷是为了便于管理者的管理,提高局域网内计算机的安全系数。但是如果网络监测器被黑客利用,就会造成严重的后果。黑客掌握了网络监测器的信息后,就能控制主机,通过控制主机,再去控制局域网内的其他机器。通过网络监测器,黑客就能轻而易举地控制多台机器,截获大量重要信息甚至商业机密。现在计算机虽然很普遍,使用的人数也在逐年增多,但是人们对计算机的安全性能不是很少了解,很多用户在使用计算机时都不设置密码,让黑客很容易就能进入。
3 遭到黑客攻击的危害
提高黑客,计算机的使用者很头疼,都害怕侵入自己的计算机。之所以人们会害怕黑客,是因为黑客的攻击会给人们造成很大的损失。一个损失就是计算机的瘫痪。在遭受到黑客的攻击之后,计算机无法正常使用,速度或者性能都大大下降。严重影响工作效率。另一个损失就是机密材料被窃取。很多人都把自己的资料存储到计算机中,因为这样方便使用和管理。但是一旦被黑客控制,就面临机密资料的泄密,给公司或者个人都会造成重大的损失。黑客攻击还会造成的损失就是钱财的损失。为了节约时间,很多人会在网上购物、交费等,网上交易时会涉及到银行卡以及个人账户的用户名和密码,如果信息被黑客控制,会造成金钱上的损失。正因为黑客攻击会给计算机的使用者造成过大或过小的损失,计算机的使用者应该加强防范,尽量避免遭受黑客的攻击,尽量降低自己的损失。对黑客的防范,大多数计算机的使用者不了解专门的工具或者比较专业的防范措施,只能从身边最简单、最常用的做起。
4 防范黑客攻击的方法
4.1每天为计算机体检,采用专业技术避免入侵
黑客是具有高超的计算机技术的,而一般的计算机使用者没有过多的专业知识,因此,计算机使用者在和黑客的斗争中并不占优势。只能做一些力所能及的事情。最常用的防范措施就是每天体检,杀毒。每个计算机上都会装有杀毒软件,要充分利用这些杀毒软件,将有可能入侵的木马程序拦截,将已经如今的病毒杀死。做到每天体验,及时修复系统漏洞,这样受到黑客攻击的概率就会小很多了。另外,还可以采用专业技术,来避免黑客的入侵。例如为了保护气象行政许可专门设计的系统,基于.NET技术,采用功能模块化的管理,将功能模块的权限授予使用者,权限使用Session验证,系统将数据逻辑都写在程序代码中,数据库采用SQL Server 2005。
4.2检查端口,及时停止黑客的攻击
除了每天体检外,计算机的使用者还应该经常检查计算机的端口,看看是否有自己没使用的,如果有程序是自己没使用的,就说明存在了外来程序,要及时阻断这些程序对计算机的入侵,可以马上杀毒,或者断掉与internet的连接,没有了网络,黑客就不能继续控制电脑了。网络连接断开后,对计算机进行彻底清理,所有的黑客程序都清理掉,再重新上网。另外要注意,尽量减少开放的端口,像木马Doly 、trojan、Invisible FTP容易进入的2l端口,(如果不架设FTP,建议关掉它)。23端门、25端口、135端口(防止冲击波)。137端口,139端口。3389端口,4899端口、8080端口等,为了防止黑客,还不影响我们上网,只开放80端口就行了,如果还需要上pop再开放l09、1l0。,不常用的或者几乎不用的全部关掉,不给黑客攻击提供机会。
4.3加强防范,不随便安装不熟悉的软件
对于经常使用计算机的人,面临黑客攻击的概率也比较高。防范黑客攻击的有效方法就是加强警惕,不随便安装不熟悉的软件。当浏览网页时,尽量不打开没有经过网络验证的网页,这样的网页存在着很大的风险。另外,在使用某些工具时,不安装网页上提醒的一些附加功能。这些附加功能存在的风险也比较高。比如安装下载工具就下载,不安装此软件具有的其他看电影或者玩游戏的功能,这样就能大大降低受到黑客攻击的风险。如果已经确定受到黑客的攻击,要及时断掉与internet的连接,将自己的重要信息转移或者对计算机的信息进行更改,让黑客无法继续控制计算机,将自己的损失降到最小。
5 结论
internet虽然存在弊端,但是带给人们生活的更多的是便利。internet技术在目前还不是很成熟,存在着很多漏洞,所以才被黑客利用。相信随着internet的发展,internet的安全技术也会得到很大的提升。internet的安全技术提升了,计算机的使用者就不容易遭受黑客的攻击了。相信在不久的将来,internet的运行环境会很安全,人们将会更安心地使用internet。
参考文献:
[1] 李振汕.黑客攻击与防范方法研究[J].网络安全技术与应用,2008(01):5-11.
[2] 张宁.浅谈黑客攻击与防范[J].科技信息.2009(11):15-18.
[3] 周忠保.黑客攻击与防范[J].家庭电子,2004(05):52.
[4] 蒋建春,黄菁,卿斯汉.黑客攻击机制与防范[J].计算机工程.2002(7):13.
[5] 罗艳梅.浅谈黑客攻击与防范技术[J].网络安全技术与应用.2009(2):26-27.
[6] 张艾斌.浅谈黑客的攻击与防范[J].中国科技博览.2011(33):33-36.
关键词:网络攻击、密码、后门、漏洞、防火墙
互联网发展至今,在人们的生产、学习和生活中以及在国家的政治、经济、文化生活中的作用,已显得十分突出,全社会对互联网的依赖程度也越来越高。同时也出现了一些不可忽视的问题,有人利用互联网故意制作、传播计算机病毒等破坏性程序,攻击计算机系统及通信网络,危害网络运行安全,其中黑客攻击是最令广大网民头痛的事情,它是计算机网络安全的主要威胁。下面着重分析黑客进行网络攻击的几种常见手法及其防范措施。
1、利用网络系统漏洞进行攻击
许多网络系统都存在着这样那样的漏洞,这些漏洞有可能是系统本身所有的,如WindowsNT、UNIX等都有数量不等的漏洞,也有可能是由于网管的疏忽而造成的。黑客利用这些漏洞就能完成密码探测、系统入侵等攻击。
对于系统本身的漏洞,可以安装软件补丁;另外网管员也需要仔细工作,尽量避免因疏忽而使他人有机可乘。
2、解密攻击
在互联网上,使用密码是最常见并且最重要的安全保护方法,用户时时刻刻都需要输入密码进行身份校验。而现在的密码保护手段大都认密码不认人,只要有密码,系统就会认为你是经过授权的正常用户,因此,取得密码也是黑客进行攻击的一重要手法。
取得密码也还有好几种方法,一种是对网络上的数据进行监听。因为系统在进行密码校验时,用户输入的密码需要从用户端传送到服务器端,而黑客就能在两端之间进行数据监听。
但一般系统在传送密码时都进行了加密处理,即黑客所得到的数据中不会存在明文的密码,这给黑客进行破解又提了一道难题。这种手法一般运用于局域网,一旦成功攻击者将会得到很大的操作权益。另一种解密方法就是使用穷举法对已知用户名的密码进行暴力解密。这种解密软件对尝试所有可能字符所组成的密码,但这项工作十分地费时,不过如果用户的密码设置得比较简单,如“123456”、“ABCD”等,那有可能只需一眨眼的功夫就可搞定。
为了防止受到这种攻击的危害,用户在进行密码设置时一定要将其设置得复杂,也可使用多层密码,或者变换思路使用中文密码,千万不要以自己的生日和电话号码甚至姓名作为密码,因为一些密码破解软件可以让破解者输入与被破解用户相关的信息,如身份证号码、电话号码以及生日等,然后对这些数据构成的密码进行优先尝试。另外应该经常更换密码,这样使其被破解的可能性又下降了不少。
3、通过电子邮件进行攻击
电子邮件是互联网上运用得十分广泛的一种通讯方式。黑客可以使用一些邮件炸弹软件或CGI程序向目的邮箱发送大量内容重复、无用的垃圾邮件,从而使目的邮箱被撑爆而无法使用。当垃圾邮件的发送流量特别大时,还有可能造成邮件系统对于正常的工作反映缓慢,甚至瘫痪,这一点和后面要讲到的“拒绝服务攻击(DDoS)比较相似。
对于遭受此类攻击的邮箱,可以使用一些垃圾邮件清除软件来解决,其中常见的有SpamEater、Spamkiller等,另外Outlook、Foxmail等邮件收发软件同样也能达到此目的。
4、拒绝服务攻击
互联网上许多大网站都遭受过此类攻击。实施拒绝服务攻击(DDoS)的难度比较小,但它的破坏性却很大。它的具体手法就是向目的服务器发送大量的数据包,几乎占取该服务器所有的网络宽带,从而使其无法对正常的服务请求进行处理,而导致网站无法进入、网站响应速度大大降低或服务器瘫痪。
现在常见的蠕虫病毒或与其同类的病毒都可以对服务器进行拒绝服务攻击的进攻。它们的繁殖能力极强,一般通过Microsoft的Outlook软件向众多邮箱发出带有病毒的邮件,而使邮件服务器无法承担如此庞大的数据处理量而瘫痪。
对于个人上网用户而言,也有可能遭到大量数据包的攻击使其无法进行正常的网络操作,所以大家在上网时一定要安装好防火墙软件,同时也可以安装一些可以隐藏IP地址的程序,怎样能大大降低受到攻击的可能性。
5、后门软件攻击
后门软件攻击是互联网上比较多的一种攻击手法。Back Orifice2000、冰河等都是比较著名的特洛伊木马,它们可以非法地取得用户电脑的超级用户级权利,可以对其进行完全的控制,除了可以进行文件操作外,同时也可以进行对方桌面抓图、取得密码等操作。
这些后门软件分为服务器端和用户端,当黑客进行攻击时,会使用用户端程序登陆上已安装好服务器端程序的电脑,这些服务器端程序都比较小,一般会随附带于某些软件上。有可能当用户下载了一个小游戏并运行时,后门软件的服务器端就安装完成了,而且大部分后门软件的重生能力比较强,给用户进行清除造成一定的麻烦。
当在网上下载数据时,一定要在其运行之前进行病毒扫描,并使用一定的反编译软件,查看来源数据是否有其他可疑的应用程序,从而杜绝这些后门软件。
参考文献:
[1]《信息网络安全概论》,周良洪 编著,群众出版社
[2]《计算机安全技术及应用》,邵波 编著,电子工业出版社
关键词:网络信息安全;黑客入侵;防范管理
中图分类号:F22 文献标识码:A
公路信息系统是一项庞大的系统工程,是实现公路管理信息化、决策科学化的重要基础,涉及到公路管理的各个方面,应按照高起点、高标准、先进实用的方针进行建设,努力提升管理和服务效能。首先,公路管理信息化应当成为管理公路信息资源的工具,解决所管养公路基础数据的信息化管理问题。这些信息应能同步在电子地图上显示,构建可视化的电子公路,使宏观决策、行业管理等工作更方便、快捷。其次,公路管理信息化应当成为向公众提供信息服务的手段。通过信息化建设,向社会公众提供人性化的出行信息。这既是新形势对公路管理部门提出的新要求,更是体现行业服务理念,树立行业社会形象的重要措施。第三,公路管理信息化应当成为提高决策水平和工作效率的工具。公路管理工作的许多决策以数据为基础。传统的方式往往根据经验和上报情况为主进行决策,工作效率和决策科学化水平均有大幅提高的余地。因此,应开发与日常业务紧密相关的信息管理系统,全面提高公路管理的现代化水平。加快公路信息化建设,是适应经济和社会发展的必然要求,是建设服务型公路行业的重要内容,是实现公路管理现代化的必由之路。笔者就宣城市公路局加强公路信息化基础设施建设情况,对如何加快公路信息化建设作一些思考。
1 计算机网络信息安全的概念
简单的说,网络通信安全性就是保护用户在网络上的程序、数据或者设备免遭别人在非授权情况下使用或访问。其内容可以理解为我们常说的信息安全,是指对信息的保密项、完整性和可用性的保护,因此,网络通信安全应包括两个方面:一是网络用户资源不被滥用和破坏;二是网络自身的安全和可靠性。而网络通信安全的含义是对信息安全的引申,即网络通信安全是对网络信息保密性、完整性可可用性的保护。
2网络攻击的特点
2.1攻击快速,手段多样且日益趋向智能化
最初,网络上的攻击者通常用监视他人的上网数据或用非法手段直接截取他人帐号和口令进入别人的计算机系统,以获取他人计算机上的资料和信息。然而,随着计算机科技的迅速发展,近几年来攻击者用来进行网络攻击的工具逐渐的智能化。以前,安全漏洞只在广泛的扫描完成后才被加以利用,而现在攻击者利用这些安全漏洞作为扫描活动的一部分,从而轻易的损害了脆弱的网络计算机系统,加快了攻击网络计算机的速度。更有甚者,攻击者使用分布式攻击的方式管理和协调分布在许多互联网系统上的大量已部署的攻击工具,进而大规模的发动拒绝服务的网络攻击,扫描分布在互联网上的受害者,攻击他们的计算机系统。
2.2攻击工具复杂,主要以软件攻击为主
一般攻击工具具有三个特性,即:多变性、成熟性和隐蔽性。多变性是指攻击工具可以根据随即选择、预先定义的决策路径或者通过入侵者直接管理,来不断变化它们的模式和行为;而不像以前那样总是以单一确定的顺序执行攻击步骤。成熟性是指攻击工具可以通过软件升级或更换部分软件功能的方式来发动迅速变化的攻击,而且会出现多种攻击工具同时运行的情况。隐蔽性是指攻击性工具以任何一种形式出现在任何一种可执行的程序中并且在任何一种操作系统中运行。几乎所有的网络入侵都是通过对软件的截取和攻击从而破坏整个计算机系统的,这一方面也导致了计算机犯罪的隐蔽性。
2.3系统安全漏洞骤增
据统计计算机系统的安全漏洞每一年都成双倍递增的趋势在增长,而且越来越多的新的难以修补的漏洞不断增加并且攻击者会在计算机管理者修补这些漏洞之前就对系统进行攻击。
2.4攻击者对防火墙的肆意入侵
防火墙的概念来自于消防,在消防中防火墙用于隔离火灾区与安全区。对于计算机系统而言,防火墙的功能类似于单位的保安系统,计算机防火墙的功能在于保护局域网中的计算机免遭黑客入侵,保护局域网中的敏感数据和重要文件不被非法读取、窃取或者破坏。防火墙是抵御入侵者最主要也是最基本的防范管理。但是越来越多的攻击技术可以绕过防火墙,例如,IPP(Internet打印协议)和Web DAV(基于Web的分布式创作与翻译)都可以被攻击者利用来绕过防火墙。
3 网络攻击造成的破坏性
1989年全世界第一次计算机病毒高峰期到来,1996年针对微软Office家族的宏病毒出现,1998年首例针对计算机硬件进行破坏的病毒CIH被发现,而后随着因特网的传播,1999年4月26日CIH病毒在我国大范围爆发,造成大规模的破坏和不可估量的损失;1999年3月26日,首例通过因特网进行传播的计算机病毒——美丽杀手面世;此后2001年针对Windows系统漏洞的“红色代码”“尼姆达”给全世界的网络管理员提出了严峻的安全课题;2002年岁末,可以媲美CIH的硬盘杀手——Worm. OpaSoft.d蠕虫病毒出现,该病毒可以利用系统漏洞进行传播,该病毒在Symantec的安全警戒网中提示该病毒的传播范围相当宽,破坏力也相当的大。2003年1月25日,一种使全球互联网趋于瘫痪的病毒——Win32_SQL1434病毒(又称“SQL杀手”)惊现与因特网,其后的1月30日全球互联网因为该病毒而大面积瘫痪和阻塞。
4 网络通信安全的防范管理
4.1计算机终端用户要做好基础性的防护工作
即安装正规的操作系统并打齐所有的补丁;安装干净的办公软件,尽可能的减小系统被入侵的可能性;安装好杀毒软件,设置好时间段自动上网升级;设置好帐号和权限,设置的用户尽可能的少,对用户的权限尽可能的小,密码设置要足够强壮;将软件防火墙的安全级别设置为最高,然后仅开放提供服务的端口,其他一律关闭,对于服务器上所有要访问网络的程序。
4.2定期扫描自己的系统,修补所有已知的漏洞
因为任何一个漏洞对系统来说都可能是致命的。网络管理员要随时了解黑客入侵他人系统所常用的手段和那些可以被利用的漏洞,并经常使用安全性高的扫描工具来检测自己管理的服务器中是否存在这些漏洞。例如系X-scan,snamp,nbsi,PHP注入检测工具等,或者是用当前比较流行的hacker入侵工具检测自己的系统是否存在漏洞。
4.3服务器的远程管理
谨慎使用server自带的远程终端,做好防护,防止被黑客利用。服务器管理者可以用证书策略来限制访问者,给TS配置安全证书,任何客户端访问均需要安全证书,并限制能够访问服务器终端服务的IP地址。
4.4避免出现整个网络配置中的薄弱环节
黑客会利用被控制的网络中的一台机器做跳板,进而对整个网络进行渗透攻击,所以安全的配置网络中的机器也很必要。
4.5利用系统中的网络工具对网络进行监控
一般情况下我们可以从时间查看器中检索到是否有黑客入侵的蛛丝马迹。通过对网络流量是否异常的监控可以发现系统中是否存在蠕虫病毒或者是否有遭受"洪水"等攻击的可能,并利用任务管理器终止那些不明进程,检测出木马程序并清除。
结语
网络管理者是信息安全的运维者,要及时掌握足够的信息安全知识,充分理解相关的安全技术,操作系统和应用软件的安全性能,以便在系统或网络一旦发生故障时,能够迅速判断出问题所在,给出解决方案,使网络迅速恢复正常服务。而计算机使用者也要充实网络通信安全知识,养成安全上网的好习惯。
参考文献
[1]刘保成,王延风,陈晓燕.基于网络的现代远程教育系统的安全研究[J].电子世界,2013.
[2]周伟,张辉,刘孟轲.高校计算机网络安全实验课题研究[J].上海工程技术大学教育研究,2012.
[3]江铁,匡慜.高校校园网安全策略探讨[J].警官文苑,2011.
