緒論:在尋找寫作靈感嗎�����?愛發(fā)表網(wǎng)為您精選了8篇網(wǎng)絡(luò)安全與攻防���,愿這些內(nèi)容能夠啟迪您的思維�,激發(fā)您的創(chuàng)作熱情��,歡迎您的閱讀與分享�!
篇1
關(guān)鍵詞:主動(dòng)防御;網(wǎng)絡(luò)安全��;攻擊�;防御
中圖分類號:TP393.08文獻(xiàn)標(biāo)識碼:A 文章編號:1009-3044(2010)20-5442-02
Design of Network Safety Attack and Defense Test Platform based on Active Defense
WANG Chao-yang
(5 Department 43 Team, Artillery Academy of the P.L.A, Hefei 230031, China)
Abstract: Now traditional passive defense technology will not reply the behavior of unceasing increase large-scale network attack. According to the characteristic and the advantage of active defense, the article has introduced a kind of design scheme test platform abort network safety attack and defense based on the technology of active defense, and the design and realization of system from the two pieces of experiment modular abort attack and defense.
Key words: active defense; network safety; attack; defense
目前,伴隨著計(jì)算機(jī)網(wǎng)絡(luò)的大量普及與發(fā)展�����,網(wǎng)絡(luò)安全問題也日益嚴(yán)峻��。而傳統(tǒng)的�����、被動(dòng)防御的網(wǎng)絡(luò)安全防護(hù)技術(shù)也將越來越無法應(yīng)對不斷出現(xiàn)的新的攻擊方法和手段�,網(wǎng)絡(luò)安全防護(hù)體系由被動(dòng)防御轉(zhuǎn)向主動(dòng)防御是大勢所趨。因此��,立足現(xiàn)有網(wǎng)絡(luò)設(shè)備進(jìn)行攻防實(shí)驗(yàn)平臺的設(shè)計(jì)和研究��,對于未來網(wǎng)絡(luò)安全防護(hù)技術(shù)的研究具有深遠(yuǎn)的指導(dǎo)意義�。
1 系統(tǒng)功能設(shè)計(jì)概述
1.1 主動(dòng)防御技術(shù)的概念
主動(dòng)防御技術(shù)是一種新的對抗網(wǎng)絡(luò)攻擊的技術(shù),也是當(dāng)今網(wǎng)絡(luò)安全領(lǐng)域新興的一個(gè)熱點(diǎn)技術(shù)�。它源于英文“Pro-active Defense”,其確切的含義為“前攝性防御”,是指由于某些機(jī)制的存在�,使攻擊者無法完成對攻擊目標(biāo)的攻擊。由于這些前攝性措施能夠在無人干預(yù)的情況下預(yù)防安全事件�����,因此有了通常所說的“主動(dòng)防御”[1]�����。網(wǎng)絡(luò)安全主動(dòng)防御技術(shù)能夠彌補(bǔ)傳統(tǒng)被動(dòng)防御技術(shù)的不足�,采用主機(jī)防御的思想和技術(shù),增強(qiáng)和保證本地網(wǎng)絡(luò)安全����,及時(shí)發(fā)現(xiàn)正在進(jìn)行的網(wǎng)絡(luò)攻擊,并以響應(yīng)的應(yīng)急機(jī)制預(yù)測和識別來自外部的未知攻擊����,采取各種應(yīng)對防護(hù)策略阻止攻擊者的各種攻擊行為。
1.2 系統(tǒng)設(shè)計(jì)目標(biāo)
目前關(guān)于主動(dòng)防御的網(wǎng)絡(luò)安全防御策略理論研究的較多����,但是對于很多實(shí)際應(yīng)用方面還缺乏實(shí)戰(zhàn)的指導(dǎo)和經(jīng)驗(yàn)。網(wǎng)絡(luò)安全攻防實(shí)驗(yàn)平臺主要依據(jù)主動(dòng)防御技術(shù)體系為策略手段����,針對現(xiàn)有網(wǎng)管軟件存在的問題��,進(jìn)行主動(dòng)防御技術(shù)體系優(yōu)化,其核心在于在實(shí)驗(yàn)中實(shí)現(xiàn)系統(tǒng)的漏洞機(jī)理分析��、安全性檢測���、攻擊試驗(yàn)�、安全應(yīng)急響應(yīng)和提供防御應(yīng)對策略建議等功能��,能夠啟發(fā)實(shí)驗(yàn)者認(rèn)識和理解安全機(jī)理��,發(fā)現(xiàn)安全隱患�����,并進(jìn)行系統(tǒng)安全防護(hù)����。
1.3 實(shí)驗(yàn)平臺功能
基于主動(dòng)防御的網(wǎng)絡(luò)安全攻防實(shí)驗(yàn)平臺是一個(gè)網(wǎng)絡(luò)攻擊與防御的模擬演示平臺,在單機(jī)上模擬出基本的網(wǎng)絡(luò)節(jié)點(diǎn)(設(shè)備)�����,然后在這個(gè)模擬的網(wǎng)絡(luò)環(huán)境中演示出網(wǎng)絡(luò)攻擊與防御的基本原理和過程,并以可視化的結(jié)果呈現(xiàn)出來���。該實(shí)驗(yàn)平臺所仿真的機(jī)理和結(jié)果能夠依據(jù)網(wǎng)絡(luò)安全的需求�����,最終用于網(wǎng)絡(luò)攻防測評和實(shí)戰(zhàn)的雙重目的�。并可以為網(wǎng)絡(luò)攻擊和防護(hù)技能人才更好的學(xué)習(xí)提供一定的參考��。為完整地體現(xiàn)網(wǎng)絡(luò)戰(zhàn)攻防的全過程�����,該平臺分為攻擊模塊與防御模塊兩部分����。
攻擊模塊部分包括主機(jī)端口的掃描、檢測��、Web/SMB攻擊模塊和IDS等��。其主要功能是實(shí)現(xiàn)對于目標(biāo)系統(tǒng)的檢測����、漏洞掃描�、攻擊和與防護(hù)端的通訊等[2]���。
防御模塊部分主要是基于主動(dòng)防御技術(shù)的功能要求���,實(shí)現(xiàn)檢測、防護(hù)和響應(yīng)三種功能機(jī)制����。即能夠檢測到有無攻擊行為并予以顯示�����、給出陷阱欺騙可以利用的漏洞和提供防護(hù)應(yīng)對策略等�,如: 網(wǎng)絡(luò)取證、網(wǎng)絡(luò)對抗�����、補(bǔ)丁安裝���、系統(tǒng)備份��、防護(hù)工具的選購和安裝����、響應(yīng)等。
2 攻防實(shí)驗(yàn)平臺模型設(shè)計(jì)
2.1 設(shè)計(jì)方案
要實(shí)現(xiàn)網(wǎng)絡(luò)攻防的實(shí)驗(yàn)�,就必須在局域網(wǎng)環(huán)境構(gòu)建仿真的Internet環(huán)境,作為攻防實(shí)驗(yàn)的基礎(chǔ)和實(shí)驗(yàn)環(huán)境���。仿真的Internet環(huán)境能實(shí)現(xiàn)www服務(wù)����、FTP��、E-mail服務(wù)�、在線交互通信和數(shù)據(jù)庫引擎服務(wù)等基本功能。依據(jù)系統(tǒng)的功能需求分析���,該平臺要實(shí)現(xiàn)一個(gè)集檢測�����、攻擊�����、防護(hù)�����、提供防護(hù)應(yīng)對策略方案等功能于一體的軟件系統(tǒng)����。主要是除了要實(shí)現(xiàn)基本的檢測、攻擊功能外�,還必須通過向?qū)С绦蛞龑?dǎo)用戶認(rèn)識網(wǎng)絡(luò)攻防的機(jī)理流程,即:漏洞存在―漏洞檢測(攻擊模塊)―攻擊進(jìn)行(攻擊模塊)―系統(tǒng)被破壞―補(bǔ)救措施(防御模塊)―解決的策略方案(防御模塊)[3]�����,以更好的達(dá)到實(shí)驗(yàn)效果���。
平臺整體采用C/S模式,攻擊模塊為客戶端��,防御模塊為服務(wù)器端����。攻擊模塊進(jìn)行真實(shí)的掃描、入侵和滲透攻擊����,防御模塊從一定程度上模擬并顯示受到的掃描��、攻擊行為�����,其模擬的過程是動(dòng)態(tài)的��,讓實(shí)驗(yàn)者看到系統(tǒng)攻擊和被攻擊的全部入侵過程��,然后提供響應(yīng)的防護(hù)應(yīng)對策略���。攻防實(shí)驗(yàn)平臺模型如圖1所示。
2.2 基于主動(dòng)防御的網(wǎng)絡(luò)安全體系
根據(jù)本實(shí)驗(yàn)平臺設(shè)計(jì)的思想和策略原理��,為實(shí)現(xiàn)主動(dòng)防御的檢測�、防護(hù)和響應(yīng)功能機(jī)制,構(gòu)建基于主動(dòng)防御技術(shù)的網(wǎng)絡(luò)安全策略體系(如圖2所示)�。安全策略是網(wǎng)絡(luò)安全體系的核心,防護(hù)是整個(gè)網(wǎng)絡(luò)安全體系的前沿�,防火墻被安置在局域網(wǎng)和Internet網(wǎng)絡(luò)之間,可以監(jiān)視并限制進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包�����,并防范網(wǎng)絡(luò)內(nèi)外的非法訪問[4-5]����。主動(dòng)防御技術(shù)和防火墻技術(shù)相結(jié)合�����,構(gòu)建了一道網(wǎng)絡(luò)安全的立體防線��,在很大程度上確保了網(wǎng)絡(luò)系統(tǒng)的安全�,對于未來的網(wǎng)絡(luò)安全防護(hù)具有深遠(yuǎn)的意義�。檢測和響應(yīng)是網(wǎng)絡(luò)安全體系主動(dòng)防御的核心,主要由網(wǎng)絡(luò)主機(jī)漏洞掃描(包括對密碼破解)��、Web/SMB攻擊�����、IDS��、網(wǎng)絡(luò)取證����、蜜罐技術(shù)等應(yīng)急響應(yīng)系統(tǒng)共同實(shí)現(xiàn)�,包括異常檢測、模式發(fā)現(xiàn)和漏洞發(fā)現(xiàn)����。
2.3 攻防模塊設(shè)計(jì)
該實(shí)驗(yàn)平臺的攻擊模塊和防御模塊利用C/S模式采用特定端口進(jìn)行通訊�。攻擊端以動(dòng)作消息的形式�����,把進(jìn)行的每一個(gè)動(dòng)作發(fā)往防御端���,防御模塊從數(shù)據(jù)庫中調(diào)用相關(guān)數(shù)據(jù)進(jìn)行模擬�、仿真�,讓實(shí)驗(yàn)者看到和體會(huì)到自身系統(tǒng)受到的各種攻擊。攻防模塊經(jīng)過TCP/IP建立連接后���,開始進(jìn)行掃描�、檢測���、Web/SMB攻擊和IDS等入侵行為�����,攻擊端每一個(gè)消息的啟動(dòng)都會(huì)發(fā)給防御端一個(gè)標(biāo)志位����,防御模塊經(jīng)判斷后,調(diào)用相關(guān)的顯示和檢測模塊進(jìn)行處理����,并提供相應(yīng)的防護(hù)應(yīng)對策略。
3 平臺的實(shí)現(xiàn)
3.1 主動(dòng)防御思想的實(shí)現(xiàn)
在一個(gè)程序中���,必須要通過接口調(diào)用操作系統(tǒng)所提供的功能函數(shù)來實(shí)現(xiàn)自己的功能�����。同樣�����,在平臺系統(tǒng)中�,掛接程序的API函數(shù)���,就可以知道程序的進(jìn)程將有什么動(dòng)作���,對待那些對系統(tǒng)有威脅的動(dòng)作該怎么處理等等�����。實(shí)驗(yàn)中,采取掛接系統(tǒng)程序進(jìn)程的API函數(shù)�,對主機(jī)進(jìn)程的代碼進(jìn)行真實(shí)的掃描,如果發(fā)現(xiàn)有諸如SIDT��、SGDT����、自定位指令等,就讓進(jìn)程繼續(xù)運(yùn)行����;接下來就對系統(tǒng)進(jìn)程調(diào)用API的情況進(jìn)行監(jiān)視,如果發(fā)現(xiàn)系統(tǒng)在數(shù)據(jù)的傳輸時(shí)違反規(guī)則��,則會(huì)提示用戶進(jìn)行有針對性的操作����;如果發(fā)現(xiàn)一個(gè)諸如EXE的程序文件被進(jìn)程以讀寫的方式打開,說明進(jìn)程的線程可能想要感染PE文件�,系統(tǒng)就會(huì)發(fā)出警告;如果進(jìn)程調(diào)用了CreateRemoteThread()�����,則說明它可能是比較威脅的API木馬進(jìn)程,也會(huì)發(fā)出警告����。
3.2 攻擊程序模塊實(shí)現(xiàn)
網(wǎng)絡(luò)安全攻防實(shí)驗(yàn)平臺的設(shè)計(jì)是基于面向?qū)ο蟮乃枷耄捎脛?dòng)態(tài)連接庫開發(fā)掃描�����、檢測���、攻擊等功能模塊��。利用套接字變量進(jìn)行TCP/IP通信���,調(diào)用DLL隱式連接和顯示連接,采用在DLL中封裝對話框的形式�����,也就是把掃描���、檢測�����、攻擊等功能和所需要的對話框同時(shí)封裝到DLL中�����,然后主程序直接調(diào)用DLL[6]����。實(shí)驗(yàn)中��,可以在攻擊程序模塊中指定IP范圍�,并輸入需要攻擊的主機(jī)IP地址和相應(yīng)的其他參數(shù),對活動(dòng)主機(jī)漏洞進(jìn)行掃描和密碼攻擊(如圖3所示)����;并指定IP,對其進(jìn)行Web/SMB攻擊�����,然后輸出攻擊的結(jié)果和在攻擊過程中產(chǎn)生的錯(cuò)誤信息等����。
3.3 防御程序模塊實(shí)現(xiàn)
在程序的運(yùn)行中,采取利用網(wǎng)絡(luò)偵聽機(jī)制監(jiān)聽攻擊模塊的每一次動(dòng)作消息的形式����,自動(dòng)顯示給用戶所偵聽到外部攻擊行為(如圖4所示:Web/SMB攻擊)���。該模塊同樣使用了WinSock類套接字進(jìn)行通訊,在創(chuàng)建了套接字后��,賦予套接字一個(gè)地址�。攻擊模塊套接字和防御模塊套接字通過建立TCP/IP連接進(jìn)行數(shù)據(jù)的傳輸。然后防御模塊根據(jù)接收到的標(biāo)志信息���,在數(shù)據(jù)庫中檢索對應(yīng)的記錄�,進(jìn)行結(jié)果顯示��、網(wǎng)絡(luò)取證�、向用戶提供攻擊的類型及防護(hù)方法等多種應(yīng)對策略。其中的蜜罐響應(yīng)模塊能夠及時(shí)獲取攻擊信息���,對攻擊行為進(jìn)行深入的分析���,對未知攻擊進(jìn)行動(dòng)態(tài)識別,捕獲未知攻擊信息并反饋給防護(hù)系統(tǒng)�����,實(shí)現(xiàn)系統(tǒng)防護(hù)能力的動(dòng)態(tài)提升。
4 結(jié)束語
基于主動(dòng)防御的網(wǎng)絡(luò)安全攻防實(shí)驗(yàn)平臺主要是針對傳統(tǒng)的被動(dòng)式防御手段的不完善而提出的思想模型���。從模型的構(gòu)建�、平臺的模擬和實(shí)驗(yàn)的效果來看�����,其系統(tǒng)從一定程度上真實(shí)的模擬了網(wǎng)絡(luò)設(shè)備的攻防功能����,可以為網(wǎng)絡(luò)管理者和學(xué)習(xí)者提供一定的參考和指導(dǎo)�����。
參考文獻(xiàn):
[1] 楊銳,羊興.建立基于主動(dòng)防御技術(shù)的網(wǎng)絡(luò)安全體系[J].電腦科技,2008(5).
[2] 裴斐,鄭秋生,等.網(wǎng)絡(luò)攻防訓(xùn)練平臺設(shè)計(jì)[J].中原工學(xué)院學(xué)報(bào),2004(2).
[3]Stuart McClure, Joel Scambray, George Kurtz. 黑客大曝光―網(wǎng)絡(luò)安全的機(jī)密與解決方案[ M].北京:清華大學(xué)出版社��,2002
[4] 張常有.網(wǎng)絡(luò)安全體系結(jié)構(gòu)[M].成都:電子科技大學(xué)出版社,2006(15).
[5] 黃家林,張征帆.主動(dòng)防御系統(tǒng)及應(yīng)用研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2007(3).
篇2
關(guān)鍵詞: 網(wǎng)絡(luò)工程�����; 網(wǎng)絡(luò)安全與管理��; 知識結(jié)構(gòu)�����; 課程體系
中圖分類號:G642 文獻(xiàn)標(biāo)志碼:A 文章編號:1006-8228(2013)10-62-02
0 引言
網(wǎng)絡(luò)工程專業(yè)從1998年教育部批準(zhǔn)開設(shè)以來,發(fā)展十分迅速�。截止2012年,全國已有329所高等學(xué)校設(shè)置了網(wǎng)絡(luò)工程專業(yè)���,其中重點(diǎn)院校超過50所����。經(jīng)過十多年的發(fā)展�,網(wǎng)絡(luò)工程從原來計(jì)算機(jī)專業(yè)的一個(gè)專業(yè)方向發(fā)展成為全國性的大專業(yè)。2011年教育部將網(wǎng)絡(luò)工程專業(yè)列入高等學(xué)校本科專業(yè)基本目錄����,標(biāo)志著網(wǎng)絡(luò)工程專業(yè)已經(jīng)成為一個(gè)穩(wěn)定發(fā)展的基本本科專業(yè)[1]。
網(wǎng)絡(luò)工程專業(yè)在快速發(fā)展的同時(shí)����,也面臨著一些普遍性的困難與問題。比如:網(wǎng)絡(luò)工程專業(yè)與計(jì)算機(jī)科學(xué)與技術(shù)�、軟件工程、信息安全等其他信息類專業(yè)的差異區(qū)分不夠明顯����,辦學(xué)特色不夠鮮明����。因此�����,有必要從專業(yè)方向和課程體系建設(shè)入手�,結(jié)合自身辦學(xué)優(yōu)勢,制定特色鮮明的網(wǎng)絡(luò)工程專業(yè)人才培養(yǎng)方案����。這樣���,才能培養(yǎng)出合格的網(wǎng)絡(luò)工程專業(yè)人才�����。
筆者所在學(xué)院2012年獲批了中央支持地方高校發(fā)展專項(xiàng)資金�����,重點(diǎn)建設(shè)“網(wǎng)絡(luò)與信息安全”實(shí)驗(yàn)室��,改善網(wǎng)絡(luò)工程專業(yè)的實(shí)踐教學(xué)條件��。網(wǎng)絡(luò)工程系以此為契機(jī)�����,結(jié)合已有的信息安全師資優(yōu)勢�����,凝練出網(wǎng)絡(luò)安全與管理方向��,并開展相應(yīng)的專業(yè)課程體系改革����。本文以此為背景,探討網(wǎng)絡(luò)工程專業(yè)網(wǎng)絡(luò)安全與管理方向的人才培養(yǎng)方案���。
1 網(wǎng)絡(luò)安全與管理方向人才培養(yǎng)要求
與其他信息類專業(yè)類似�����,網(wǎng)絡(luò)工程專業(yè)網(wǎng)絡(luò)安全與管理方向的人才培養(yǎng)要求從素質(zhì)和能力兩方面入手��。
1.1 基本素質(zhì)
網(wǎng)絡(luò)工程專業(yè)人才要求具備的基本素質(zhì)包括思想政治素質(zhì)����、人文素質(zhì)、職業(yè)道德素質(zhì)��、專業(yè)素質(zhì)�����、心理素質(zhì)和身體素質(zhì)等[2]��。
思想政治素質(zhì)要求政治立場堅(jiān)定����,熱愛祖國,增強(qiáng)社會(huì)責(zé)任感���,樹立崇高理想,培養(yǎng)高尚情操��,養(yǎng)成正確的人生觀和價(jià)值觀��。人文素質(zhì)要求具有深厚的文化底蘊(yùn)���,高雅的文化氣質(zhì)�����,良好的人際交往能力和團(tuán)隊(duì)合作精神���。職業(yè)道德素質(zhì)要求遵紀(jì)守法���,遵守社會(huì)公德,堅(jiān)持職業(yè)道德的底線���,具備實(shí)事求是����,堅(jiān)持真理的品格����,具有愛崗敬業(yè)的精神,一絲不茍的作風(fēng)��,以及服務(wù)社會(huì)的意識�。專業(yè)素質(zhì)要求掌握科學(xué)的思維方式和研究方法,養(yǎng)成良好的學(xué)習(xí)習(xí)慣和工作風(fēng)格����,具備較好的創(chuàng)新思維和踏實(shí)嚴(yán)謹(jǐn)?shù)膶?shí)干精神���。心理素質(zhì)和身體素質(zhì)要求具有健康的體魄,樂觀向上的心態(tài)����,堅(jiān)忍不拔的毅力和身體力行的風(fēng)格。
1.2 基本能力
網(wǎng)絡(luò)工程專業(yè)人才要求具備的基本能力包括學(xué)習(xí)能力�����、分析解決問題的能力��、閱讀寫作能力���、協(xié)同工作能力�、專業(yè)適應(yīng)能力�、創(chuàng)新能力[2]。
學(xué)習(xí)能力是指自學(xué)能力�����,即知識和技術(shù)的獲取能力�、理解能力與應(yīng)用能力�����。分析解決問題的能力是指通過專業(yè)調(diào)研、理論分析����、設(shè)計(jì)開發(fā)、仿真實(shí)驗(yàn)等方法解決網(wǎng)絡(luò)工程領(lǐng)域?qū)嶋H問題的能力��。閱讀寫作能力是指專業(yè)技術(shù)文檔的閱讀能力與寫作能力�。協(xié)同工作能力包括專業(yè)表達(dá)能力、問題溝通能力�����、協(xié)作能力�、組織管理能力。專業(yè)適應(yīng)能力是指在學(xué)習(xí)網(wǎng)絡(luò)工程專業(yè)知識和技術(shù)的基礎(chǔ)上����,能夠從事并適應(yīng)相關(guān)領(lǐng)域的研究、開發(fā)與管理工作�,并能適應(yīng)網(wǎng)絡(luò)工程專業(yè)技術(shù)和市場不斷發(fā)展變化的能力。創(chuàng)新能力包括創(chuàng)新思維能力和創(chuàng)新實(shí)踐能力����。
1.3 專業(yè)能力
網(wǎng)絡(luò)安全與管理專業(yè)方向的人才培養(yǎng)除了滿足網(wǎng)絡(luò)工程專業(yè)人才培養(yǎng)基本要求外��,還需要注重培養(yǎng)兩方面的專業(yè)能力:網(wǎng)絡(luò)系統(tǒng)安全保障能力和網(wǎng)絡(luò)管理維護(hù)能力[3]�����。網(wǎng)絡(luò)系統(tǒng)安全保障能力是指熟悉信息安全基本理論和常見網(wǎng)絡(luò)安全技術(shù)的工作原理�,掌握主流網(wǎng)絡(luò)安全產(chǎn)品的安裝����、配置和使用方法,能初步設(shè)計(jì)開發(fā)網(wǎng)絡(luò)安全產(chǎn)品�����。網(wǎng)絡(luò)管理維護(hù)能力是指熟悉常見網(wǎng)絡(luò)設(shè)備與系統(tǒng)的工作原理��,掌握網(wǎng)絡(luò)管理的主流模型����、系統(tǒng)功能、以及各類管理技術(shù)與方法��,能初步管理和維護(hù)網(wǎng)絡(luò)與信息系統(tǒng)�����。
2 網(wǎng)絡(luò)安全與管理方向?qū)I(yè)課程體系
2.1 知識結(jié)構(gòu)
網(wǎng)絡(luò)工程專業(yè)網(wǎng)絡(luò)安全與管理專業(yè)方向人才要求具備的知識可分為三大類:公共基礎(chǔ)知識�����、專業(yè)基礎(chǔ)知識�、專業(yè)知識。
公共基礎(chǔ)知識相對固定��,具體知識包括政治理論知識����、人文社科知識、自然科學(xué)知識��。其中��,政治理論知識包括基本原理���、中國近現(xiàn)代史綱要�、思想和中國特色社會(huì)主義理論����。人文社科知識包括大學(xué)英語、大學(xué)生心理健康����、思想道德修養(yǎng)與法律基礎(chǔ)����、社會(huì)和職業(yè)素養(yǎng)�����、軍事理論��、體育��。自然科學(xué)知識包括高等數(shù)學(xué)����、線性代數(shù)、概率論與數(shù)理統(tǒng)計(jì)���、大學(xué)物理�、大學(xué)物理實(shí)驗(yàn)�����。
專業(yè)基礎(chǔ)知識根據(jù)網(wǎng)絡(luò)工程專業(yè)人才的專業(yè)能力要求制定,具體包括電子技術(shù)基礎(chǔ)��、計(jì)算技術(shù)基礎(chǔ)�、計(jì)算機(jī)系統(tǒng)基礎(chǔ)��。其中�����,電子技術(shù)基礎(chǔ)包括數(shù)字電路���、模擬電路和電路基礎(chǔ)��,技術(shù)技術(shù)基礎(chǔ)包括數(shù)據(jù)結(jié)構(gòu)���、離散數(shù)學(xué)、程序設(shè)計(jì)����、算法分析與設(shè)計(jì),計(jì)算機(jī)系統(tǒng)基礎(chǔ)包括計(jì)算機(jī)組成原理�����、操作系統(tǒng)、數(shù)據(jù)庫原理���、軟件工程��。
專業(yè)知識相對靈活���,通常根據(jù)所在院校的專業(yè)特色和辦學(xué)條件制定,具體包括專業(yè)核心知識�����、專業(yè)方向知識�����、專業(yè)實(shí)踐環(huán)節(jié)[1]�。下面重點(diǎn)討論這部分內(nèi)容。
2.2 課程體系
依據(jù)上述知識結(jié)構(gòu)�����,結(jié)合筆者所在學(xué)院的師資力量��、辦學(xué)條件和專業(yè)特色��,制定了網(wǎng)絡(luò)工程專業(yè)網(wǎng)絡(luò)安全與管理方向的專業(yè)課程體系,如圖1所示��。由于公共基礎(chǔ)課程基本固定不變���,在此不再列出��。
2.3 專業(yè)方向課程知識點(diǎn)
網(wǎng)絡(luò)工程專業(yè)網(wǎng)絡(luò)安全與管理方向可分為網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理兩個(gè)分支。其中�����,網(wǎng)絡(luò)安全分支課程包括信息安全基礎(chǔ)[4]��、網(wǎng)絡(luò)安全技術(shù)[5]��、網(wǎng)絡(luò)攻防技術(shù)��,每門課程的主要知識點(diǎn)如表1所示��。網(wǎng)絡(luò)管理分支課程包括網(wǎng)絡(luò)管理[6]���、網(wǎng)絡(luò)性能測試與分析����、網(wǎng)絡(luò)故障診斷與排除,每門課程的主要知識點(diǎn)如表1所示�。
3 結(jié)束語
本文以筆者所在學(xué)院的網(wǎng)絡(luò)工程專業(yè)建設(shè)為背景,分析了網(wǎng)絡(luò)工程專業(yè)人才培養(yǎng)的基本要求�����。在此基礎(chǔ)上��,說明了網(wǎng)絡(luò)安全與管理專業(yè)方向人才培養(yǎng)的專業(yè)能力要求���,進(jìn)而得出與之相適應(yīng)的知識體系結(jié)構(gòu)和課程體系內(nèi)容���。最后重點(diǎn)介紹了網(wǎng)絡(luò)安全與管理專業(yè)方向主要課程的知識單元與相應(yīng)的知識點(diǎn)。接下來的工作是將該課程體系落實(shí)到網(wǎng)絡(luò)工程專業(yè)培養(yǎng)方案中����,并在具體實(shí)施過程中發(fā)現(xiàn)問題,解決問題�,分段調(diào)整,逐步完善�。希望本文所作的研究與探討能給兄弟院校的網(wǎng)絡(luò)工程專業(yè)建設(shè)提供有價(jià)值的參考。
參考文獻(xiàn):
[1] 教育部高等學(xué)校計(jì)算機(jī)科學(xué)與技術(shù)教學(xué)指導(dǎo)委員會(huì).高等學(xué)校網(wǎng)絡(luò)工程專業(yè)規(guī)范[M].高等教育出版社����,2012.
[2] 姜臘林�����,王靜�,徐蔚鴻.網(wǎng)絡(luò)工程專業(yè)物聯(lián)網(wǎng)方向課程改革研究[J].計(jì)算機(jī)教育����,2011.19:48-50
[3] 曹介南,蔡志平�����,朱培棟等.網(wǎng)絡(luò)工程專業(yè)與計(jì)算機(jī)專業(yè)差異化教學(xué)研究[J].計(jì)算機(jī)教育�����,2010.23:139-142
[4] 教育部信息安全類專業(yè)教學(xué)指導(dǎo)委員會(huì).信息安全類專業(yè)指導(dǎo)性專業(yè)規(guī)范[M].高等教育出版社����,2010.
篇3
關(guān)鍵詞: 網(wǎng)絡(luò)信息安全�; 計(jì)算機(jī); APT���; 安全防御����; 惡意威脅
中圖分類號: TN711?34 文獻(xiàn)標(biāo)識碼: A 文章編號: 1004?373X(2015)21?0100?05
Threat to network information security and study on new defense
technologies in power grid enterprises
LONG Zhenyue1, 2�����, QIAN Yang1�, 2, ZOU Hong1�, 2, CHEN Ruizhong1��, 2
(1. Key Laboratory of Information Testing�����, China Southern Power Grid Co.����, Ltd., Guangzhou 510000���, China���;
2. Information Center�, Guangdong Power Grid Co.�����, Ltd.����, Guangzhou 510000, China)
Abstract: With the continuous development of management informationization of the power grid enterprises�����, automatic power grid operation and intelligent electrical equipment�����, the information security has become more important. For the serious situation of network information security���, the new?type defense technologies are studied, which are consisted of advanced persistent threat (APT) protection technology and vulnerability scanning technology. Combining with the advantages and disadvantages of these technologies����, the strategy of defense effectiveness analysis based on the minimum attack cost is proposed, which can compute the defense capability of the network.
Keywords: network information security���; computer����; APT; safety defense�; malicious threat
0 引 言
隨著電網(wǎng)企業(yè)管理信息化、電網(wǎng)運(yùn)行自動(dòng)化��、電力設(shè)備智能化的不斷發(fā)展�,電網(wǎng)企業(yè)信息安全愈發(fā)重要。信息化已成為電力企業(yè)工作中的重要組成部分�����,各類工作對網(wǎng)絡(luò)的高度依賴�,各類信息以結(jié)構(gòu)化、非結(jié)構(gòu)化的方式儲存并流轉(zhuǎn)于網(wǎng)絡(luò)當(dāng)中��,一旦信息網(wǎng)絡(luò)被攻破���,則往往導(dǎo)致服務(wù)中斷��、信息泄漏��、甚至指令錯(cuò)誤等事件����,嚴(yán)重威脅生產(chǎn)和運(yùn)行的安全。因此����,保障網(wǎng)絡(luò)信息安全就是保護(hù)電網(wǎng)企業(yè)的運(yùn)行安全,保障網(wǎng)絡(luò)安全是電網(wǎng)企業(yè)的重要職責(zé)[1]�����。
目前的網(wǎng)絡(luò)信息安全形勢依然嚴(yán)峻�����,近年來��,業(yè)務(wù)從單系統(tǒng)到跨系統(tǒng)����,網(wǎng)絡(luò)從零星分散到大型化��、復(fù)雜化����,單純的信息安全防護(hù)技術(shù)和手段已經(jīng)不能滿足企業(yè)安全防護(hù)的需要����,應(yīng)針對性地研究具有縱深防御特點(diǎn)的安全防護(hù)體系�����,以信息安全保障為核心���,以信息安全攻防技術(shù)為基礎(chǔ)�����,了解信息安全攻防新技術(shù)��,從傳統(tǒng)的“知防不知攻”的被動(dòng)防御向“知攻知防”的縱深積極防御轉(zhuǎn)變�����,建立全面的信息安全防護(hù)體系�。
1 概 述
從廣義層面而言�����,網(wǎng)絡(luò)信息安全指的是保障網(wǎng)絡(luò)信息的機(jī)密性、完整性以及有效性��,涉及這部分的相關(guān)網(wǎng)絡(luò)理論以及技術(shù)都是網(wǎng)絡(luò)信息安全的內(nèi)容���。從狹義層面而言�,網(wǎng)絡(luò)信息安全指的是網(wǎng)絡(luò)信息的安全�,主要包括網(wǎng)絡(luò)軟硬件及系統(tǒng)數(shù)據(jù)安全[2]。網(wǎng)絡(luò)信息安全需要保證當(dāng)網(wǎng)絡(luò)受到惡意破壞或信息泄露時(shí)���,網(wǎng)絡(luò)系統(tǒng)可以持續(xù)正常運(yùn)行�,為企業(yè)提供所需的服務(wù)���。
通過對我國某電網(wǎng)企業(yè)及其下轄電力單位的調(diào)研��,以及對近5年電力信息資產(chǎn)信息安全類測評結(jié)果的統(tǒng)計(jì)得知��,電網(wǎng)企業(yè)現(xiàn)存的網(wǎng)絡(luò)安全情況主要分為以下3類:網(wǎng)絡(luò)安全風(fēng)險(xiǎn)與漏洞弱點(diǎn)事件��、數(shù)據(jù)安全風(fēng)險(xiǎn)與漏洞弱點(diǎn)事件��、管理類安全風(fēng)險(xiǎn)與漏洞弱點(diǎn)事件����。整體上看����,電網(wǎng)企業(yè)的信息安全問題仍不容樂觀,近年來隨著網(wǎng)絡(luò)的復(fù)雜化�,攻擊的新型化和專業(yè)化,網(wǎng)絡(luò)安全防護(hù)的情況亟待加強(qiáng)�。總體而言����,首先要加強(qiáng)并提升網(wǎng)絡(luò)、應(yīng)用等方面安全水平����,保證信息源頭的安全情況;其次加強(qiáng)管理類安全�����,特別是人員管理�����、運(yùn)維管理等方面�����;最后研究分析最新攻防技術(shù)的特點(diǎn),結(jié)合電網(wǎng)實(shí)際現(xiàn)狀�����,構(gòu)建適用于現(xiàn)有網(wǎng)絡(luò)環(huán)境與架構(gòu)的信息安全縱深防御體系�����。
本文主要針對第三點(diǎn)展開論述�����,研究包括高級持續(xù)威脅(APT)防護(hù)技術(shù)��、漏洞掃描技術(shù)等新型的攻擊及其防護(hù)技術(shù)�,提取在復(fù)雜網(wǎng)絡(luò)系統(tǒng)中的防御共同點(diǎn),并給出一類策略用于分析網(wǎng)絡(luò)信息安全防御的有效性�。
2 信息安全的攻防新技術(shù)
電網(wǎng)企業(yè)所依賴的信息安全隔離與防御技術(shù)主要包括數(shù)據(jù)加密技術(shù)、安全隔離技術(shù)���、入侵檢測技術(shù)��、訪問控制技術(shù)等�����。一方面��,通過調(diào)研與統(tǒng)計(jì)分析����。目前電網(wǎng)的信息安全建設(shè)主要以防止外部攻擊����,通過區(qū)域劃分、防火墻�、反向、入侵檢測等手段對外部攻擊進(jìn)行防御���,對內(nèi)部的防御手段往往滯后���,電網(wǎng)內(nèi)部應(yīng)用仍然存在一定的安全風(fēng)險(xiǎn)與漏洞弱點(diǎn)。如果一道防線失效�,惡意的攻擊者可能通過以內(nèi)部網(wǎng)絡(luò)為跳板威脅電網(wǎng)企業(yè)的安全;另一方面�,電網(wǎng)企業(yè)中目前使用的防御技術(shù)一般是孤立的,未形成關(guān)聯(lián)性防御���,而目前新型的攻擊往往會(huì)結(jié)合多個(gè)漏洞�����,甚至是多個(gè)0day漏洞進(jìn)行組合攻擊��,使得攻擊的隱蔽性�、偽裝性都較強(qiáng)。因此���,要構(gòu)建信息安全防御體系���,僅憑某單一的防護(hù)措施或技術(shù)無法滿足企業(yè)的安全要求,只有構(gòu)建完整的信息安全防護(hù)屏障���,才能為企業(yè)提供足夠的信息安全保障能力���。
經(jīng)過分析,目前針對電網(wǎng)企業(yè)的新型攻防技術(shù)有如下幾類:
2.1 高級持續(xù)威脅攻擊與防護(hù)技術(shù)
高級持續(xù)威脅(APT)是針對某一項(xiàng)有價(jià)值目標(biāo)而開展的持續(xù)性攻擊�,攻擊過程會(huì)使用一切能被利用的手段,包括社會(huì)工程學(xué)攻擊���、0day漏洞攻擊等���,當(dāng)各攻擊點(diǎn)形成持續(xù)攻擊鏈后��,最終達(dá)到攻擊目的�����。典型的APT攻擊案例如伊朗核電項(xiàng)目被“震網(wǎng)(Stuxnet)”蠕蟲病毒攻擊,通過攻擊工業(yè)用的可編程邏輯控制器��,導(dǎo)致伊朗近[15]的核能離心機(jī)損壞���。
根據(jù)APT攻擊的特性�,企業(yè)可以從防范釣魚攻擊����、識別郵件中的惡意代碼、識別主機(jī)上的惡意代碼��、監(jiān)測網(wǎng)絡(luò)數(shù)據(jù)滲出等多個(gè)環(huán)節(jié)進(jìn)行檢測���,主要涉及以下幾類新型技術(shù)����。
2.1.1 基于沙箱的惡意代碼檢測技術(shù)
惡意代碼檢測中最具挑戰(zhàn)性的是檢測利用0day漏洞的惡意代碼,傳統(tǒng)的基于特征碼的惡意代碼檢測技術(shù)無法應(yīng)對0day攻擊���。目前最新的技術(shù)是通過沙箱技術(shù)����,構(gòu)造模擬的程序執(zhí)行環(huán)境�,讓可疑文件在模擬環(huán)境中運(yùn)行,通過軟件所表現(xiàn)的外在行為判定是否是惡意代碼�����。
2.1.2 基于異常的流量檢測技術(shù)
傳統(tǒng)的入侵檢測系統(tǒng)IDS都是基于特征(簽名)的深度包檢測(DPI)分析����,部分會(huì)采用到簡單深度流檢測(DFI)技術(shù)。面對新型威脅�����,基于DFI技術(shù)的應(yīng)用需要進(jìn)一步深化��?�;诋惓5牧髁繖z測技術(shù)�,是通過建立流量行為輪廓和學(xué)習(xí)模型來識別流量異常��,進(jìn)而識別0day攻擊��、C&C通信以及信息滲出等惡意行為���。
2.1.3 全包捕獲與分析技術(shù)
由于APT攻擊的隱蔽性與持續(xù)性,當(dāng)攻擊行為被發(fā)現(xiàn)時(shí)往往已經(jīng)持續(xù)了一段時(shí)間�;因此需要考慮如何分析信息系統(tǒng)遭受的損失,利用全包捕獲及分析技術(shù)(FPI)����,借助海量存儲空間和大數(shù)據(jù)分析(BDA)方法���,F(xiàn)PI能夠抓取網(wǎng)絡(luò)定場合下的全量數(shù)據(jù)報(bào)文并存儲����,便于后續(xù)的歷史分析或者準(zhǔn)實(shí)時(shí)分析����。
2.2 漏洞掃描技術(shù)
漏洞掃描技術(shù)是一種新型的、靜態(tài)的安全檢測技術(shù)����,攻防雙方都會(huì)利用它盡量多地獲取信息����。一方面�,攻擊者利用它可以找到網(wǎng)絡(luò)中潛在的漏洞;另一方面�,防御者利用它能夠及時(shí)發(fā)現(xiàn)企業(yè)或單位網(wǎng)絡(luò)系統(tǒng)中隱藏的安全漏洞。以被掃描對象分類����,漏洞掃描主要可分為基于網(wǎng)絡(luò)與基于主機(jī)的安全漏洞掃描技術(shù)。
2.2.1 基于網(wǎng)絡(luò)的安全漏洞掃描技術(shù)
基于網(wǎng)絡(luò)的安全漏洞掃描技術(shù)通過網(wǎng)絡(luò)掃描網(wǎng)絡(luò)設(shè)備���、主機(jī)或系統(tǒng)中的安全漏洞與脆弱點(diǎn)���。例如,通過掃描的方式獲知OpenSSL心臟出血漏洞是否存在����。基于網(wǎng)絡(luò)的安全漏洞掃描技術(shù)的優(yōu)點(diǎn)包括:易操作性����,掃描在執(zhí)行過程中,無需目標(biāo)網(wǎng)絡(luò)或系統(tǒng)主機(jī)Root管理員的參與;維護(hù)簡便���,若目標(biāo)網(wǎng)絡(luò)中的設(shè)備有調(diào)整或變化�,只要網(wǎng)絡(luò)是連通的�����,就可以執(zhí)行掃描任務(wù)�����。但是基于網(wǎng)絡(luò)的掃描也存在一些局限性:掃描無法直接訪問目標(biāo)網(wǎng)絡(luò)或系統(tǒng)主機(jī)上的文件系統(tǒng)����;其次,掃描活動(dòng)不能突破網(wǎng)絡(luò)防火墻[3]����。
2.2.2 基于主機(jī)的安全漏洞掃描技術(shù)
基于主機(jī)的安全漏洞掃描技術(shù)是通過以系統(tǒng)管理員權(quán)限登錄目標(biāo)主機(jī)�,記錄網(wǎng)絡(luò)或系統(tǒng)配置、規(guī)則等重要項(xiàng)目參數(shù)��,通過獲取的信息與標(biāo)準(zhǔn)的系統(tǒng)安全配置庫進(jìn)行比對�����,最終獲知系統(tǒng)的安全漏洞與風(fēng)險(xiǎn)。
基于主機(jī)的安全漏洞掃描技術(shù)的優(yōu)點(diǎn)包括:可使用的規(guī)則多���,掃描結(jié)果精準(zhǔn)度高����;網(wǎng)絡(luò)流量負(fù)載較小����,不易被發(fā)現(xiàn)。該技術(shù)也存在一些局限性:首先���,基于主機(jī)的安全漏洞掃描軟件或工具的價(jià)格昂貴�;其次����,基于主機(jī)的安全漏洞掃描軟件或工具首次部署的工作周期較長。
3 基于最小攻擊代價(jià)的網(wǎng)絡(luò)防御有效性分析策略
惡意攻擊總是以某一目標(biāo)為導(dǎo)向�,惡意攻擊者為了達(dá)到目標(biāo)會(huì)選擇各種有效的手法對網(wǎng)絡(luò)進(jìn)行攻擊。在復(fù)雜網(wǎng)絡(luò)環(huán)境下�����,如果可以盡可能大地提高惡意攻擊者的攻擊代價(jià),則對應(yīng)能達(dá)到提高有效防御的能力���?��;谶@個(gè)假設(shè),這里展示一種在復(fù)雜網(wǎng)絡(luò)環(huán)境下分析攻擊有效性的策略��,并依此計(jì)算從非安全區(qū)到目標(biāo)區(qū)是否存在足夠小的攻擊代價(jià)����,讓惡意攻擊可以獲取目標(biāo)。如果存在�����,則可以被惡意攻擊利用的路徑將被計(jì)算出來���;如果不存在��,則證明從非安全區(qū)到目標(biāo)區(qū)的安全防御能力是可以接受的����。
以二元組的形式描述網(wǎng)絡(luò)拓?fù)鋱D[4][C�����,]其中節(jié)點(diǎn)是網(wǎng)絡(luò)中的各類設(shè)備��,邊表示設(shè)備間的關(guān)聯(lián)關(guān)系����。假設(shè)非安全區(qū)域?yàn)閇Z,]目標(biāo)區(qū)域?yàn)閇D�����。]在網(wǎng)絡(luò)中���,攻擊者如果能達(dá)到目標(biāo)�,必然至少存在一條從非安全區(qū)節(jié)點(diǎn)到目標(biāo)節(jié)點(diǎn)[d]的通路[p�,]且這條通路上的攻擊代價(jià)小于值[w。]其中���,攻擊代價(jià)指攻擊者能夠利用攻擊工具�、系統(tǒng)缺陷�����、脆弱性等信息,實(shí)現(xiàn)其對目標(biāo)的入侵行為所付出的代價(jià)�����。直觀地�,由于攻擊行為往往會(huì)因遇到安全設(shè)備和安全策略的阻攔,而導(dǎo)致其成功實(shí)現(xiàn)其攻擊目的的時(shí)間�����、精力甚至資金成本提高��,攻擊者為達(dá)到其攻擊目標(biāo)所付出的所有的行為成本即攻擊代價(jià)��。
在圖[G]中��,每一個(gè)節(jié)點(diǎn)[v]具有輸入權(quán)限[q]和獲利權(quán)限[q](如表1所示)��、本身的防護(hù)能力[pr]以及風(fēng)險(xiǎn)漏洞數(shù)L(L≥0)���。攻擊者能力是指攻擊者通過輸入權(quán)限[q�,]通過任意攻擊手段�����,在節(jié)點(diǎn)[v]上所能獲取的最高權(quán)限值(獲利權(quán)限)[q′����。]直觀地,輸入權(quán)限代表攻擊者在對某節(jié)點(diǎn)進(jìn)行攻擊前所擁有的權(quán)限����,如Web服務(wù)器一般均具有匿名訪問權(quán)限;獲利權(quán)限代表攻擊者最終可以利用的系統(tǒng)權(quán)限�����。
最短攻擊路徑是從非安全區(qū)域[Z]中任意節(jié)點(diǎn)[z]到目標(biāo)節(jié)點(diǎn)[d]所有攻擊路徑中���,防護(hù)成功率最低的[Pr]所對應(yīng)的路徑���。最短攻擊路徑所對應(yīng)耗費(fèi)的攻擊代價(jià)為最小攻擊代價(jià)[4],也是該網(wǎng)絡(luò)的防護(hù)能力有效性分值��。
攻擊代價(jià)閾值:一旦攻擊者付出的攻擊代價(jià)超過其預(yù)期��,攻擊者很大程度上將會(huì)停止使得攻擊代價(jià)超限的某一攻擊行為�,轉(zhuǎn)而專注于攻擊代價(jià)較小的其他攻擊路徑。攻擊代價(jià)閾值即攻擊者為達(dá)到目標(biāo)可接受的最大攻擊代價(jià)���。如果防護(hù)能力有效性分值小于攻擊代價(jià)閾值��,則說明攻擊目標(biāo)可以達(dá)到�。
攻擊代價(jià)閾值一般可以通過人工方式指定,本文采用德爾斐法����,也被稱為專家咨詢法的方式來確定。經(jīng)過專家分析和評判����,將攻擊代價(jià)閾值設(shè)定為[t,]當(dāng)攻擊路徑防護(hù)能力小于[t]即認(rèn)為攻擊者會(huì)完成攻擊行為并能成功實(shí)施攻擊行為����。
4 網(wǎng)絡(luò)防御有效性分析應(yīng)用
假設(shè)在電網(wǎng)企業(yè)復(fù)雜網(wǎng)絡(luò)環(huán)境場景下存在一類新型的APT攻擊,網(wǎng)絡(luò)中使用兩種策略A���,B進(jìn)行攻擊防御��。策略A采用了現(xiàn)有的隔離與防御技術(shù)���,策略B是在現(xiàn)有基礎(chǔ)上增加應(yīng)用了APT防御技術(shù)。計(jì)算兩類策略下的最小攻擊代價(jià),并進(jìn)而對APT防護(hù)效果進(jìn)行分析�����。
4.1 策略選取
4.1.1 策略A
圖1為一個(gè)簡化的復(fù)雜網(wǎng)絡(luò)環(huán)境實(shí)例拓?fù)?,其中DMZ區(qū)部署的Web服務(wù)器為內(nèi)�����、外網(wǎng)用戶提供Web服務(wù)�����,電網(wǎng)地市局局域網(wǎng)的內(nèi)部用戶不允許與外網(wǎng)直接連接����,限網(wǎng)。各安全域之間具體訪問控制策略如下:
(1) 只允許地市局局域網(wǎng)用戶訪問DMZ區(qū)Host2(H2)上的IIS Web服務(wù)和Host3(H3)上的Tomcat服務(wù)����;
(2) DMZ 區(qū)的H2 允許訪問H3上的Tomcat服務(wù)和IDC區(qū)Host4(H4)上的Oracle DB服務(wù);
(3) 禁止H2和H3訪問Domino服務(wù)器Host5(H5)����;
(4) H5允許訪問DMZ的H2和H3及IDC區(qū)的H4。
4.2 效果分析
通過上述計(jì)算結(jié)果表明,在應(yīng)用策略A與B情況下�����,局域網(wǎng)用戶到DMZ區(qū)域目標(biāo)主機(jī)存在的攻擊路徑的防護(hù)有效性分值分別是(0.3���,0.3�����,0.51)與(0.93����, 0.93���,0.979)�����。在策略A的情況下����,通過DMZ區(qū)的H2為跳板��,攻擊IDC的目標(biāo)主機(jī)H4,最短攻擊路徑的防護(hù)有效性分值只有0.51�����,說明局域網(wǎng)內(nèi)的攻擊者能在花費(fèi)較小代價(jià)的情況下�,輕易地獲取內(nèi)網(wǎng)DMZ或IDC服務(wù)器的系統(tǒng)權(quán)限,從而造成較大的危害����。而增加APT防護(hù)設(shè)備之后����,通過DMZ區(qū)的H2為跳板,攻擊IDC的目標(biāo)主機(jī)H4�����,防護(hù)有效性分值提升為0.979�,其他攻擊路徑的防護(hù)有效性也有明顯提高。
策略A與策略B的對比結(jié)果表明��,在DMZ區(qū)域有APT防護(hù)技術(shù)情況下�����,網(wǎng)絡(luò)環(huán)境下整體的隔離與防御能力得到了明顯提升,從而驗(yàn)證了隔離與防御新技術(shù)的防護(hù)效果�。
5 結(jié) 語
在新形勢、新技術(shù)下��,我國電網(wǎng)企業(yè)網(wǎng)絡(luò)信息安全仍面臨著嚴(yán)峻的挑戰(zhàn)�,應(yīng)當(dāng)高度重視網(wǎng)絡(luò)信息安全工作,不斷發(fā)展完善信息安全防御新技術(shù)�����,改善網(wǎng)絡(luò)信息安全的水平��。單純使用某種防御技術(shù)��,往往已無法應(yīng)對快速變化的安全防御需求����,只有綜合運(yùn)用各種新型的攻防技術(shù),分析其關(guān)聯(lián)結(jié)果��,并通過網(wǎng)內(nèi)��、網(wǎng)間各類安全設(shè)備�����、安全措施的互相配合,才能最終建立健全網(wǎng)絡(luò)信息安全防范體系�,最大限度減少惡意入侵的威脅,保障企業(yè)應(yīng)用的安全��、穩(wěn)定運(yùn)行���。
參考文獻(xiàn)
[1] 高子坤�,楊海洲��,王江濤.計(jì)算機(jī)網(wǎng)絡(luò)信息安全及防護(hù)策略分析[J].科技研究��,2014��,11(2):155?157.
[2] 彭曉明.應(yīng)對飛速發(fā)展的計(jì)算機(jī)網(wǎng)絡(luò)的安全技術(shù)探索[J].硅谷�����,2014�,15(11):86?87.
[3] 范海峰.基于漏洞掃描技術(shù)的網(wǎng)絡(luò)安全評估方法研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用�����,2012�����,8(6):9?11.
[4] 吳迪,馮登國����,連一峰,等.一種給定脆弱性環(huán)境下的安全措施效用評估模型[J].軟件學(xué)報(bào)�,2012,23(7):1880?1898.
篇4
【關(guān)鍵詞】計(jì)算機(jī)網(wǎng)絡(luò)��;信息安全��;攻擊方式�����;應(yīng)對策略
一�、當(dāng)前網(wǎng)絡(luò)信息面臨的安全威脅
1、軟件本身的脆弱性�����。各種系統(tǒng)軟件��、應(yīng)用軟件隨著規(guī)模不斷擴(kuò)大���,自身也變得愈加復(fù)雜��,只要有軟件���,就有可能存在安全漏洞�,如Windows���、Unix�����、XP等操作系統(tǒng)都或多或少的漏洞�,即使不斷打補(bǔ)丁和修補(bǔ)漏洞�,又會(huì)不斷涌現(xiàn)出新的漏洞,使軟件本身帶有脆弱性����。2�����、協(xié)議安全的脆弱性�����。運(yùn)行中的計(jì)算機(jī)都是建立在各種通信協(xié)議基礎(chǔ)之上的,但由于互聯(lián)網(wǎng)設(shè)計(jì)的初衷只是很單純的想要實(shí)現(xiàn)信息與數(shù)據(jù)的共享����,缺乏對信息安全的構(gòu)思,同時(shí)協(xié)議的復(fù)雜性�����、開放性����,以及設(shè)計(jì)時(shí)缺少認(rèn)證與加密的保障,使網(wǎng)絡(luò)安全存在先天性的不足��。3��、人員因素���。由于網(wǎng)絡(luò)管理人員和用戶自身管理意識的薄弱�,以及用戶在網(wǎng)絡(luò)配置時(shí)知識與技能的欠缺�,造成配制時(shí)操作不當(dāng),從而導(dǎo)致安全漏洞的出現(xiàn)�����,使信息安全得不到很好的保障。4�����、計(jì)算機(jī)病毒����。當(dāng)計(jì)算機(jī)在正常運(yùn)行時(shí),插入的計(jì)算機(jī)病毒就像生物病毒一樣�,進(jìn)行自我復(fù)制、繁殖�����,相互傳染���,迅速蔓延��,導(dǎo)致程序無法正常運(yùn)行下去�����,從而使信息安全受到威脅�,如“熊貓燒香病毒”
二����、常見網(wǎng)絡(luò)攻擊方式
1、網(wǎng)絡(luò)鏈路層�����。MAC地址欺騙:本機(jī)的MAC地址被篡改為其他機(jī)器的MAC地址��。ARP欺騙:篡改IPH和MAC地址之間的映射關(guān)系����,將數(shù)據(jù)包發(fā)送給了攻擊者的主機(jī)而不是正確的主機(jī)。2��、網(wǎng)絡(luò)層�����。IP地址欺騙:是通過偽造數(shù)據(jù)包包頭�,使顯示的信息源不是實(shí)際的來源,就像這個(gè)數(shù)據(jù)包是從另一臺計(jì)算機(jī)上發(fā)送的����。以及淚滴攻擊�、ICMP攻擊和RIP路由欺騙�����。3��、傳輸層���。TCP初始化序號預(yù)測:通過預(yù)測初始號來偽造TCP數(shù)據(jù)包���。以及TCP端口掃描、land攻擊���、TCP會(huì)話劫持���、RST和FIN攻擊。4�、應(yīng)用層。DNS欺騙:域名服務(wù)器被攻擊者冒充���,并將用戶查詢的IP地址篡改為攻擊者的IP地址��,使用戶在上網(wǎng)時(shí)看到的是攻擊者的網(wǎng)頁��,而不是自己真正想要瀏覽的頁面����。以及電子郵件攻擊和緩沖區(qū)溢出攻擊���。5���、特洛伊木馬。特洛伊木馬病毒是當(dāng)前較為流行的病毒,和一般病毒相比大有不同����,它不會(huì)刻意感染其他文件同時(shí)也不會(huì)自我繁殖,主要通過自身偽裝��,從而吸引用戶下載���,進(jìn)而使用戶門戶被病毒施種者打開���,達(dá)到任意破壞、竊取用戶的文件�,更有甚者去操控用戶的機(jī)子。6、拒絕服務(wù)攻擊���。有兩種表現(xiàn)形式:一是為阻止接收新的請求����,逼迫使服務(wù)器緩沖區(qū)滿�����;另一種是利用IP地進(jìn)行欺騙�,逼迫服務(wù)器對合法用戶的連接進(jìn)行復(fù)位,從而影響用戶的正常連接�����。
三�、網(wǎng)絡(luò)安全采取的主要措施
1、防火墻����。是網(wǎng)絡(luò)安全的第一道門戶,可實(shí)現(xiàn)內(nèi)部網(wǎng)和外部不可信任網(wǎng)絡(luò)之間��,或者內(nèi)部網(wǎng)不同網(wǎng)絡(luò)安全區(qū)域之間的隔離與訪問控制�,保證網(wǎng)絡(luò)系統(tǒng)及網(wǎng)絡(luò)服務(wù)的可用性�����。2�、虛擬專用網(wǎng)技術(shù)���。一個(gè)完整的VPN技術(shù)方案包括VPN隧道技術(shù)、密碼技術(shù)和服務(wù)質(zhì)量保證技術(shù)����。先建立一個(gè)隧道,在數(shù)據(jù)傳輸時(shí)再利用加密技術(shù)對其進(jìn)行加密���,使數(shù)據(jù)的私有性和安全性得到保障��。3�、訪問控制技術(shù)�。是機(jī)制與策略的結(jié)合,允許對限定資源的授權(quán)訪問�����,同時(shí)可保護(hù)資源�����,阻止某些無權(quán)訪問資源的用戶進(jìn)行偶然或惡意的訪問。4���、入侵檢測技術(shù)�。是指盡最大可能對入侵者企圖控制網(wǎng)絡(luò)資源或系統(tǒng)的監(jiān)視或阻止�����,是用于檢測系統(tǒng)的完整性�����、可用性以及機(jī)密性等方式的一種安全技術(shù)��,同時(shí)也是一種發(fā)現(xiàn)入侵者攻擊以及用戶濫用特權(quán)的方法�。5、數(shù)據(jù)加密技術(shù)����。目前最常用的有對稱加密和非對稱加密技術(shù)。使用數(shù)字方法來重新組織數(shù)據(jù)[2]����,使得除了合法使用者外��,任何其他人想要恢復(fù)原先的“消息”是非常困難的���。6、身份認(rèn)證技術(shù)�����。主要有基于密碼和生物特征的身份認(rèn)證技術(shù)�����。其實(shí)質(zhì)是被認(rèn)證方的一些信息��,如果不是自己�,任何人不能造假����。四、總結(jié)網(wǎng)絡(luò)信息安全是一個(gè)不斷變化�、快速更新的領(lǐng)域,導(dǎo)致人們面對的信息安全問題不斷變化�����,攻擊者的攻擊手段也層出不窮,所以綜合運(yùn)用各種安全高效的防護(hù)措施是至關(guān)重要的���。為了網(wǎng)絡(luò)信息的安全���,降低黑客入侵的風(fēng)險(xiǎn),我們必須嚴(yán)陣以待�,采取各種應(yīng)對策略,集眾家之所長���,相互配合�,從而建立起穩(wěn)固牢靠的網(wǎng)絡(luò)安全體系����。
參考文獻(xiàn)
[1]王致.訪問控制技術(shù)與策略[N].網(wǎng)絡(luò)世界,2001-07-23035.
[2]馬備�����,沈峰.計(jì)算機(jī)網(wǎng)絡(luò)的保密管理研究[J].河南公安高等?��?茖W(xué)校學(xué)報(bào)��,2001�,05:22-29.
[3]衷奇.計(jì)算機(jī)網(wǎng)絡(luò)信息安全及應(yīng)對策略研究[D].南昌大學(xué),2010.
篇5
【關(guān)鍵詞】客運(yùn)專線;CTC網(wǎng)絡(luò)安全防御系統(tǒng)����;功能研究
1引言
CTC又名分散自律調(diào)度系統(tǒng),該系統(tǒng)的功能主要是確保列車安全正常地行駛�����,調(diào)度生產(chǎn)業(yè)務(wù)系統(tǒng)�����。這一系統(tǒng)具有2大特點(diǎn)�,即獨(dú)立成網(wǎng)及封閉運(yùn)行,并且其主要組件并不強(qiáng)大[1]����?���?瓦\(yùn)專線的行車安全主要在于系統(tǒng)的保密性、完整性�、可用性3點(diǎn),按照我國等級保護(hù)防御區(qū)劃分原則和信息系統(tǒng)的功能�����、安全性能等標(biāo)準(zhǔn),客運(yùn)專線CTC系統(tǒng)必須具備防火墻����、入侵檢測、動(dòng)態(tài)口令���、安全漏洞�、SAV網(wǎng)絡(luò)病毒防護(hù)5個(gè)安全系統(tǒng)���。
2防火墻及入侵檢測系統(tǒng)
CTC的安全防御系統(tǒng)中�,防火墻和入侵檢測系統(tǒng)屬于基本安全設(shè)施���,這對于構(gòu)建安全密實(shí)的網(wǎng)絡(luò)系統(tǒng)十分必要����。防火墻的功能是過濾數(shù)據(jù)包�,對鏈接狀態(tài)進(jìn)行檢查,并檢查入侵的行為和會(huì)話�。防火墻按照用戶定義對一些數(shù)據(jù)實(shí)行允許進(jìn)入或阻攔,以確保內(nèi)部網(wǎng)絡(luò)設(shè)備及系統(tǒng)不會(huì)遭受非法攻擊,從而影響訪問��。此外�,可以實(shí)現(xiàn)每個(gè)通過防火墻的鏈接都可以快速地建立對應(yīng)的狀態(tài)表。如果鏈接異常����,會(huì)話遭到威脅或攻擊后,防火墻可以很快地阻斷非法鏈接�。通過入侵行為的特點(diǎn),入侵系統(tǒng)可以及時(shí)地對每一個(gè)數(shù)據(jù)包進(jìn)行認(rèn)真檢查��,如果數(shù)據(jù)包對系統(tǒng)存在攻擊性���,入侵檢測系統(tǒng)必須及時(shí)斷開這一鏈接��,并且由管理人員定義的處理系統(tǒng)會(huì)盡快獲取幕后攻擊者的詳細(xì)信息�����,同時(shí),為要得到處理的事件提供對應(yīng)數(shù)據(jù)��。CTC網(wǎng)絡(luò)的結(jié)構(gòu)性質(zhì)為雙通道冗余結(jié)構(gòu)��,CTC中心和沿線的各個(gè)車站數(shù)量龐大,并且有著海量的數(shù)據(jù)流量���,業(yè)務(wù)連接安全性要求很高����,CTC中心和沿線車站的各個(gè)接口都安置了4臺中心防火墻����,每網(wǎng)段安置2臺;CTC中心和其他系統(tǒng)接口各安置2臺防火墻�,采用透明模式進(jìn)行接入?���?瓦\(yùn)專線CTC系統(tǒng)防火墻詳見圖1。
3安全漏洞評估
安全漏洞的評估系統(tǒng)是一個(gè)漏洞及風(fēng)險(xiǎn)評估的有效工具�����,主要用來對網(wǎng)絡(luò)的安全漏洞進(jìn)行發(fā)現(xiàn)���、報(bào)告以及挖掘�����,主要作用是對目標(biāo)網(wǎng)絡(luò)設(shè)備安全漏洞實(shí)行檢測����,并提出具體檢測報(bào)告以及安全可行的漏洞解決方案,使系統(tǒng)管理員可以提前修補(bǔ)可能引發(fā)黑客進(jìn)入的多個(gè)網(wǎng)絡(luò)安全漏洞��,避免黑客入侵帶來損失�����??瓦\(yùn)專線CTC系統(tǒng)中心完整地部署了一整套安全漏洞評估系統(tǒng),基于全面以及多角度的網(wǎng)絡(luò)關(guān)鍵服務(wù)器漏洞分析的評估基礎(chǔ)���,確保CTC以及TDCS等系統(tǒng)安全運(yùn)行�。還能對黑客的進(jìn)攻方式進(jìn)行模擬��,并提交相應(yīng)的風(fēng)險(xiǎn)評估報(bào)告�,提出對應(yīng)的整改措施。預(yù)防性的安全檢查暴露了目前網(wǎng)絡(luò)系統(tǒng)存在的安全隱患����,對此必須實(shí)行相應(yīng)的整改,最大程度地降低網(wǎng)絡(luò)的運(yùn)行風(fēng)險(xiǎn)���。漏洞評估組需要在網(wǎng)絡(luò)安全集中管理平臺下實(shí)現(xiàn)統(tǒng)一監(jiān)測�,并且匯總漏洞威脅時(shí)間���,結(jié)合實(shí)際情況及設(shè)施制定相應(yīng)的安全策略����。當(dāng)前存在的安全漏洞掃描一定要從技術(shù)底層實(shí)現(xiàn)有效劃分��,分別對主機(jī)及網(wǎng)絡(luò)漏洞進(jìn)行掃描��。主機(jī)漏洞評估EVP����,針對文件權(quán)限、屬性�����、登錄設(shè)置的值和使用者賬號等使用主機(jī)型漏洞評估掃描器進(jìn)行評估�。網(wǎng)絡(luò)型漏洞掃描器NSS,在網(wǎng)絡(luò)漏洞基礎(chǔ)上的評估掃描器采用黑客入侵觀點(diǎn)����,自動(dòng)對網(wǎng)上系統(tǒng)和服務(wù)實(shí)行掃描��,對一般性的入侵和具體入侵場景實(shí)行真實(shí)模擬�����,最重要的是測試網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全漏洞��,會(huì)提供相應(yīng)的修補(bǔ)漏洞意見�����,掃描圖形視圖的完整顯示過程�,掃描相應(yīng)漏洞而且對漏洞的出現(xiàn)原因進(jìn)行查找��,提供具有實(shí)際執(zhí)行可行性的管理報(bào)告����,針對多個(gè)系統(tǒng)實(shí)施掃描。
4反病毒網(wǎng)絡(luò)系統(tǒng)
根據(jù)病毒具有的特征以及多層保護(hù)需求���,客運(yùn)專線CTC系統(tǒng)必須要統(tǒng)一��、集中監(jiān)控���、多面防護(hù)����,正對整體以及全面反病毒系統(tǒng)實(shí)現(xiàn)積極有效的安排�,并融合各層面����,覆蓋CTC中心、下屬車站等�。并且還要在客運(yùn)專線的中心部署2臺SAV反病毒服務(wù)器,二者相互輔助����。對服務(wù)器設(shè)備和車站終端等實(shí)施統(tǒng)一的SAV客戶端,并且對網(wǎng)絡(luò)內(nèi)存的所有病毒實(shí)行統(tǒng)管理���、分析���,監(jiān)控、查殺[2]���。以整體反病毒解決方案為依據(jù)�����,網(wǎng)絡(luò)反病毒系統(tǒng)的部署具體要從下面幾項(xiàng)開展�,多操作系統(tǒng)的服務(wù)器、反病毒軟件���、集中監(jiān)管的多個(gè)系統(tǒng)�����。
5動(dòng)態(tài)口令
身份認(rèn)證屬于安全防御線的第一道保護(hù)�����。我國的CTC安全建設(shè)在最初的使用中運(yùn)用的是靜態(tài)密碼認(rèn)證���,每一系統(tǒng)和設(shè)備都具備自身的專屬密碼,管理很不方便����。大量的管理和維護(hù)導(dǎo)致操作人員難以實(shí)現(xiàn)方便快捷的使用,因此�,出于使用便利,會(huì)將設(shè)備密碼設(shè)置為統(tǒng)一密碼���,系統(tǒng)內(nèi)各種網(wǎng)絡(luò)設(shè)備和服務(wù)器的密碼基本上人人都知道�;另外,靜態(tài)口令極易被人猜出���、截獲�、破解�����,黑客可以通過對密碼的猜測或使用成熟破譯軟件破解用戶口令�����,導(dǎo)致CTC面臨極大的隱患����。在CTC系統(tǒng)網(wǎng)絡(luò)中�����,對CTC系統(tǒng)中心設(shè)置相應(yīng)的動(dòng)態(tài)口令���,隨后客戶端認(rèn)證請求會(huì)自動(dòng)地分配到認(rèn)證服務(wù)器�����,該模式充分降低了服務(wù)器的工作負(fù)荷��,提升了系統(tǒng)性能����。身份證的依據(jù)和訪問控制組能通過網(wǎng)絡(luò)安全集中管理平臺發(fā)揮監(jiān)測、報(bào)警等功能��。安全策略的集中配備����,對安全事件進(jìn)行統(tǒng)一響應(yīng),并且充分實(shí)現(xiàn)分層�����、統(tǒng)一用戶管理�、訪問認(rèn)證授權(quán)AAA等策略。動(dòng)態(tài)口令身份認(rèn)證在AAA認(rèn)證中的功能為雙因素認(rèn)證�����,有效解決了靜態(tài)口令存在的多種問題�����,提升了系統(tǒng)的安全性?���?瓦\(yùn)專線CTC系統(tǒng)運(yùn)用動(dòng)態(tài)口令后,實(shí)現(xiàn)了對整個(gè)網(wǎng)絡(luò)���、運(yùn)用和主機(jī)等的統(tǒng)一覆蓋�����,實(shí)現(xiàn)了安全的身份認(rèn)證控制訪問組件,統(tǒng)一身份認(rèn)證和授權(quán)統(tǒng)一����,同時(shí)還提供了集中身份認(rèn)證等,通過授權(quán)嚴(yán)格對多個(gè)訪問資源權(quán)限實(shí)施限制���。
6結(jié)語
目前�,客運(yùn)專線CTC中心網(wǎng)絡(luò)運(yùn)用安全����,正處于建立知識信息安全系統(tǒng)和確保信息化的重要階段,在這一進(jìn)程的后期階段還要滿足國家等級保護(hù)政策需求,對縱深防護(hù)體系進(jìn)行深入研究��,確保鐵路運(yùn)輸生產(chǎn)業(yè)務(wù)順利開展���,充分實(shí)現(xiàn)鐵路信息化運(yùn)行��,將鐵路運(yùn)行的安全性實(shí)現(xiàn)提升��。
【參考文獻(xiàn)】
【1】戴啟元.客運(yùn)專線CTC系統(tǒng)網(wǎng)絡(luò)安全設(shè)計(jì)[J].鐵道通信信號,2010,46(4):66-68.
篇6
關(guān)鍵詞:黑客���;攻擊;防范�;計(jì)算機(jī);掃描
中圖分類號:TP393 文獻(xiàn)標(biāo)識碼:A 文章編號:1009-3044(2013)17-3953-02
凡事都具有兩面性���,有利有弊�����。internet就是典型的有利有弊的事物��。internet改變了人們的生活�����,改變了世界���,讓世界變小����,讓人們的地理距離變近����。方便了人們的生活,人們足不出戶就能辦理眾多業(yè)務(wù)����,能夠買到衣服,也能交水費(fèi)�、電費(fèi)、手機(jī)費(fèi)等�。大大節(jié)約了人們的時(shí)間�����,也節(jié)約了很多成本���。這是internet有利的一面�����。同時(shí)internet還存在弊端的一面���,就是安全系數(shù)不夠高���,容易被一些不法分子利用,讓網(wǎng)上交易存在一定的風(fēng)險(xiǎn)�。如果電子郵件被截,就會(huì)泄露重要的商業(yè)信息����;如果購物時(shí)的交易信息被截,就會(huì)導(dǎo)致金錢的損失�����。為了盡量避免損失�����,人們也在研究黑客攻擊的手段�����,也在做一些防范措施。該文就針對黑客攻擊的手段以及應(yīng)該怎樣防范進(jìn)行闡述���。
1 黑客的概念
熟悉網(wǎng)絡(luò)的人都了解hacker這個(gè)詞�,甚至一些不經(jīng)常使用計(jì)算機(jī)的人也多少對黑客有一些了解��。對于hacker的定義���,應(yīng)該分為兩個(gè)階段����,前一個(gè)階段對黑客應(yīng)該定義為:計(jì)算機(jī)領(lǐng)域的探索者��,追求計(jì)算機(jī)的最大性能的發(fā)揮�,是人類智慧與計(jì)算機(jī)的較量。從感彩來說��,這個(gè)階段的hacker是值得稱贊的��,是計(jì)算機(jī)不懈努力的探索者�����。但是經(jīng)過internet的發(fā)展��,一些人利用黑客技術(shù)達(dá)到一些不良的目的����,于是隨著網(wǎng)絡(luò)的復(fù)雜化,黑客變成了人人避之不及的一類人群����。
現(xiàn)在的黑客定義為:利用一些手段非法竊取別人計(jì)算機(jī)的重要信息,達(dá)到控制計(jì)算機(jī)的目的��。一旦計(jì)算機(jī)被黑客控制����,信息被外露,就會(huì)給計(jì)算機(jī)的使用者帶來損失��,或者是專業(yè)知識或者是金錢����。
2 黑客攻擊的手段
2.1通過計(jì)算機(jī)漏洞進(jìn)行攻擊
黑客攻擊計(jì)算機(jī)的主要途徑是通過系統(tǒng)漏洞。每個(gè)計(jì)算機(jī)或多或少都存在一些安全隱患����,一些安全隱患是由于系統(tǒng)性能的不完備造成的,也就是先天存在的隱患�。對于這些漏洞�,計(jì)算機(jī)的使用者無法彌補(bǔ)�����。還有一種情況就是計(jì)算機(jī)的使用者后期造成的���,在使用計(jì)算機(jī)的過程中不及時(shí)安裝補(bǔ)丁�,給黑客以可乘之機(jī)���。利用公開的工具:象Internet的電子安全掃描程序IIS����、審計(jì)網(wǎng)絡(luò)用的安全分析工具SATAN等這樣的工具�,可以對整個(gè)網(wǎng)絡(luò)或子網(wǎng)進(jìn)行掃描,尋找安全漏洞通過系統(tǒng)的漏洞�����,黑客就能輕松進(jìn)入電腦���,獲取一些重要信息�,達(dá)到控制計(jì)算機(jī)的目的。有些黑客是通過掃描器來發(fā)現(xiàn)目標(biāo)計(jì)算機(jī)的漏洞的�。
掃描原理:
1)全TCP連接
2)SYN掃描(半打開式掃描)
發(fā)送SYN����,遠(yuǎn)端端口開放,則回應(yīng)SYN=1��,ACK=1����,本地發(fā)送RST給遠(yuǎn)端,拒絕連接
發(fā)送SYN����,遠(yuǎn)端端口未開放,回應(yīng)RST
3)FIN掃描(秘密掃描)
本地發(fā)送FIN=1���,遠(yuǎn)端端口開放�,丟棄此包�,不回應(yīng)
本地發(fā)送FIN=1,遠(yuǎn)端端口未開放�����,返回一個(gè)RST包
2.2通過專門的木馬程序侵入電腦
除了利用計(jì)算機(jī)的漏洞之外,黑客還可以通過專門的木馬程序?qū)τ?jì)算機(jī)進(jìn)行攻擊?���,F(xiàn)在用戶使用計(jì)算機(jī)大部分聯(lián)網(wǎng)的,隨著internet功能的不斷完善�����,用戶在internet上可以閱讀����,可以購物,可以看視頻��,這些開放的端口就給黑客提供了機(jī)會(huì)���。黑客會(huì)利用用來查閱網(wǎng)絡(luò)系統(tǒng)的路由器的路由表���,了解目標(biāo)主機(jī)所在網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)及其內(nèi)部細(xì)節(jié)的snmp協(xié)議,能夠用該程序獲得到達(dá)目標(biāo)主機(jī)所要經(jīng)過的網(wǎng)絡(luò)數(shù)和路由器數(shù)的traceroute程序��。
2.3利用一些管理工具進(jìn)行大面積攻擊
在辦公區(qū)域或者學(xué)校等會(huì)使用局域網(wǎng)��,在這些區(qū)域網(wǎng)中��,會(huì)有管理者。管理者為了方便管理���,會(huì)在區(qū)域網(wǎng)內(nèi)安裝網(wǎng)絡(luò)監(jiān)測器��。網(wǎng)絡(luò)監(jiān)測器的初衷是為了便于管理者的管理���,提高局域網(wǎng)內(nèi)計(jì)算機(jī)的安全系數(shù)���。但是如果網(wǎng)絡(luò)監(jiān)測器被黑客利用�,就會(huì)造成嚴(yán)重的后果����。黑客掌握了網(wǎng)絡(luò)監(jiān)測器的信息后,就能控制主機(jī)�,通過控制主機(jī),再去控制局域網(wǎng)內(nèi)的其他機(jī)器�。通過網(wǎng)絡(luò)監(jiān)測器,黑客就能輕而易舉地控制多臺機(jī)器�����,截獲大量重要信息甚至商業(yè)機(jī)密?��,F(xiàn)在計(jì)算機(jī)雖然很普遍�����,使用的人數(shù)也在逐年增多�,但是人們對計(jì)算機(jī)的安全性能不是很少了解,很多用戶在使用計(jì)算機(jī)時(shí)都不設(shè)置密碼����,讓黑客很容易就能進(jìn)入。
3 遭到黑客攻擊的危害
提高黑客����,計(jì)算機(jī)的使用者很頭疼,都害怕侵入自己的計(jì)算機(jī)��。之所以人們會(huì)害怕黑客�����,是因?yàn)楹诳偷墓魰?huì)給人們造成很大的損失��。一個(gè)損失就是計(jì)算機(jī)的癱瘓����。在遭受到黑客的攻擊之后���,計(jì)算機(jī)無法正常使用,速度或者性能都大大下降�。嚴(yán)重影響工作效率。另一個(gè)損失就是機(jī)密材料被竊取�。很多人都把自己的資料存儲到計(jì)算機(jī)中,因?yàn)檫@樣方便使用和管理�。但是一旦被黑客控制,就面臨機(jī)密資料的泄密���,給公司或者個(gè)人都會(huì)造成重大的損失。黑客攻擊還會(huì)造成的損失就是錢財(cái)?shù)膿p失��。為了節(jié)約時(shí)間��,很多人會(huì)在網(wǎng)上購物�、交費(fèi)等,網(wǎng)上交易時(shí)會(huì)涉及到銀行卡以及個(gè)人賬戶的用戶名和密碼��,如果信息被黑客控制�����,會(huì)造成金錢上的損失�。正因?yàn)楹诳凸魰?huì)給計(jì)算機(jī)的使用者造成過大或過小的損失���,計(jì)算機(jī)的使用者應(yīng)該加強(qiáng)防范,盡量避免遭受黑客的攻擊�����,盡量降低自己的損失����。對黑客的防范,大多數(shù)計(jì)算機(jī)的使用者不了解專門的工具或者比較專業(yè)的防范措施����,只能從身邊最簡單、最常用的做起����。
4 防范黑客攻擊的方法
4.1每天為計(jì)算機(jī)體檢,采用專業(yè)技術(shù)避免入侵
黑客是具有高超的計(jì)算機(jī)技術(shù)的���,而一般的計(jì)算機(jī)使用者沒有過多的專業(yè)知識�,因此�,計(jì)算機(jī)使用者在和黑客的斗爭中并不占優(yōu)勢。只能做一些力所能及的事情�。最常用的防范措施就是每天體檢�,殺毒���。每個(gè)計(jì)算機(jī)上都會(huì)裝有殺毒軟件�����,要充分利用這些殺毒軟件�����,將有可能入侵的木馬程序攔截�����,將已經(jīng)如今的病毒殺死。做到每天體驗(yàn)�����,及時(shí)修復(fù)系統(tǒng)漏洞���,這樣受到黑客攻擊的概率就會(huì)小很多了���。另外����,還可以采用專業(yè)技術(shù)���,來避免黑客的入侵���。例如為了保護(hù)氣象行政許可專門設(shè)計(jì)的系統(tǒng),基于.NET技術(shù)��,采用功能模塊化的管理���,將功能模塊的權(quán)限授予使用者�����,權(quán)限使用Session驗(yàn)證�����,系統(tǒng)將數(shù)據(jù)邏輯都寫在程序代碼中���,數(shù)據(jù)庫采用SQL Server 2005。
4.2檢查端口�����,及時(shí)停止黑客的攻擊
除了每天體檢外,計(jì)算機(jī)的使用者還應(yīng)該經(jīng)常檢查計(jì)算機(jī)的端口����,看看是否有自己沒使用的,如果有程序是自己沒使用的�����,就說明存在了外來程序���,要及時(shí)阻斷這些程序?qū)τ?jì)算機(jī)的入侵����,可以馬上殺毒���,或者斷掉與internet的連接���,沒有了網(wǎng)絡(luò),黑客就不能繼續(xù)控制電腦了��。網(wǎng)絡(luò)連接斷開后�,對計(jì)算機(jī)進(jìn)行徹底清理��,所有的黑客程序都清理掉����,再重新上網(wǎng)�����。另外要注意�����,盡量減少開放的端口�,像木馬Doly 、trojan���、Invisible FTP容易進(jìn)入的2l端口�,(如果不架設(shè)FTP���,建議關(guān)掉它)����。23端門、25端口����、135端口(防止沖擊波)。137端口����,139端口。3389端口����,4899端口、8080端口等����,為了防止黑客,還不影響我們上網(wǎng)�,只開放80端口就行了,如果還需要上pop再開放l09�、1l0。�,不常用的或者幾乎不用的全部關(guān)掉,不給黑客攻擊提供機(jī)會(huì)���。
4.3加強(qiáng)防范,不隨便安裝不熟悉的軟件
對于經(jīng)常使用計(jì)算機(jī)的人,面臨黑客攻擊的概率也比較高�����。防范黑客攻擊的有效方法就是加強(qiáng)警惕�����,不隨便安裝不熟悉的軟件����。當(dāng)瀏覽網(wǎng)頁時(shí),盡量不打開沒有經(jīng)過網(wǎng)絡(luò)驗(yàn)證的網(wǎng)頁���,這樣的網(wǎng)頁存在著很大的風(fēng)險(xiǎn)�����。另外�,在使用某些工具時(shí)�,不安裝網(wǎng)頁上提醒的一些附加功能。這些附加功能存在的風(fēng)險(xiǎn)也比較高��。比如安裝下載工具就下載��,不安裝此軟件具有的其他看電影或者玩游戲的功能,這樣就能大大降低受到黑客攻擊的風(fēng)險(xiǎn)���。如果已經(jīng)確定受到黑客的攻擊��,要及時(shí)斷掉與internet的連接�,將自己的重要信息轉(zhuǎn)移或者對計(jì)算機(jī)的信息進(jìn)行更改����,讓黑客無法繼續(xù)控制計(jì)算機(jī),將自己的損失降到最小�。
5 結(jié)論
internet雖然存在弊端,但是帶給人們生活的更多的是便利�����。internet技術(shù)在目前還不是很成熟�,存在著很多漏洞,所以才被黑客利用��。相信隨著internet的發(fā)展���,internet的安全技術(shù)也會(huì)得到很大的提升���。internet的安全技術(shù)提升了���,計(jì)算機(jī)的使用者就不容易遭受黑客的攻擊了��。相信在不久的將來��,internet的運(yùn)行環(huán)境會(huì)很安全�,人們將會(huì)更安心地使用internet。
參考文獻(xiàn):
[1] 李振汕.黑客攻擊與防范方法研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用��,2008(01):5-11.
[2] 張寧.淺談黑客攻擊與防范[J].科技信息.2009(11):15-18.
[3] 周忠保.黑客攻擊與防范[J].家庭電子���,2004(05):52.
[4] 蔣建春���,黃菁,卿斯?jié)h.黑客攻擊機(jī)制與防范[J].計(jì)算機(jī)工程.2002(7):13.
[5] 羅艷梅.淺談黑客攻擊與防范技術(shù)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用.2009(2):26-27.
[6] 張艾斌.淺談黑客的攻擊與防范[J].中國科技博覽.2011(33):33-36.
篇7
關(guān)鍵詞:網(wǎng)絡(luò)攻擊��、密碼�����、后門�、漏洞、防火墻
互聯(lián)網(wǎng)發(fā)展至今���,在人們的生產(chǎn)�����、學(xué)習(xí)和生活中以及在國家的政治��、經(jīng)濟(jì)�、文化生活中的作用,已顯得十分突出����,全社會(huì)對互聯(lián)網(wǎng)的依賴程度也越來越高。同時(shí)也出現(xiàn)了一些不可忽視的問題�����,有人利用互聯(lián)網(wǎng)故意制作����、傳播計(jì)算機(jī)病毒等破壞性程序,攻擊計(jì)算機(jī)系統(tǒng)及通信網(wǎng)絡(luò)�,危害網(wǎng)絡(luò)運(yùn)行安全,其中黑客攻擊是最令廣大網(wǎng)民頭痛的事情��,它是計(jì)算機(jī)網(wǎng)絡(luò)安全的主要威脅���。下面著重分析黑客進(jìn)行網(wǎng)絡(luò)攻擊的幾種常見手法及其防范措施����。
1、利用網(wǎng)絡(luò)系統(tǒng)漏洞進(jìn)行攻擊
許多網(wǎng)絡(luò)系統(tǒng)都存在著這樣那樣的漏洞��,這些漏洞有可能是系統(tǒng)本身所有的���,如WindowsNT、UNIX等都有數(shù)量不等的漏洞����,也有可能是由于網(wǎng)管的疏忽而造成的。黑客利用這些漏洞就能完成密碼探測����、系統(tǒng)入侵等攻擊。
對于系統(tǒng)本身的漏洞����,可以安裝軟件補(bǔ)丁����;另外網(wǎng)管員也需要仔細(xì)工作����,盡量避免因疏忽而使他人有機(jī)可乘����。
2、解密攻擊
在互聯(lián)網(wǎng)上����,使用密碼是最常見并且最重要的安全保護(hù)方法,用戶時(shí)時(shí)刻刻都需要輸入密碼進(jìn)行身份校驗(yàn)���。而現(xiàn)在的密碼保護(hù)手段大都認(rèn)密碼不認(rèn)人��,只要有密碼��,系統(tǒng)就會(huì)認(rèn)為你是經(jīng)過授權(quán)的正常用戶�����,因此���,取得密碼也是黑客進(jìn)行攻擊的一重要手法。
取得密碼也還有好幾種方法����,一種是對網(wǎng)絡(luò)上的數(shù)據(jù)進(jìn)行監(jiān)聽����。因?yàn)橄到y(tǒng)在進(jìn)行密碼校驗(yàn)時(shí)��,用戶輸入的密碼需要從用戶端傳送到服務(wù)器端���,而黑客就能在兩端之間進(jìn)行數(shù)據(jù)監(jiān)聽�����。
但一般系統(tǒng)在傳送密碼時(shí)都進(jìn)行了加密處理,即黑客所得到的數(shù)據(jù)中不會(huì)存在明文的密碼���,這給黑客進(jìn)行破解又提了一道難題��。這種手法一般運(yùn)用于局域網(wǎng)��,一旦成功攻擊者將會(huì)得到很大的操作權(quán)益����。另一種解密方法就是使用窮舉法對已知用戶名的密碼進(jìn)行暴力解密��。這種解密軟件對嘗試所有可能字符所組成的密碼,但這項(xiàng)工作十分地費(fèi)時(shí)��,不過如果用戶的密碼設(shè)置得比較簡單����,如“123456”、“ABCD”等�,那有可能只需一眨眼的功夫就可搞定。
為了防止受到這種攻擊的危害�,用戶在進(jìn)行密碼設(shè)置時(shí)一定要將其設(shè)置得復(fù)雜,也可使用多層密碼�����,或者變換思路使用中文密碼����,千萬不要以自己的生日和電話號碼甚至姓名作為密碼,因?yàn)橐恍┟艽a破解軟件可以讓破解者輸入與被破解用戶相關(guān)的信息����,如身份證號碼、電話號碼以及生日等�,然后對這些數(shù)據(jù)構(gòu)成的密碼進(jìn)行優(yōu)先嘗試。另外應(yīng)該經(jīng)常更換密碼,這樣使其被破解的可能性又下降了不少���。
3��、通過電子郵件進(jìn)行攻擊
電子郵件是互聯(lián)網(wǎng)上運(yùn)用得十分廣泛的一種通訊方式�����。黑客可以使用一些郵件炸彈軟件或CGI程序向目的郵箱發(fā)送大量內(nèi)容重復(fù)�����、無用的垃圾郵件��,從而使目的郵箱被撐爆而無法使用��。當(dāng)垃圾郵件的發(fā)送流量特別大時(shí),還有可能造成郵件系統(tǒng)對于正常的工作反映緩慢��,甚至癱瘓�����,這一點(diǎn)和后面要講到的“拒絕服務(wù)攻擊(DDoS)比較相似�����。
對于遭受此類攻擊的郵箱,可以使用一些垃圾郵件清除軟件來解決��,其中常見的有SpamEater��、Spamkiller等�,另外Outlook、Foxmail等郵件收發(fā)軟件同樣也能達(dá)到此目的�����。
4�、拒絕服務(wù)攻擊
互聯(lián)網(wǎng)上許多大網(wǎng)站都遭受過此類攻擊。實(shí)施拒絕服務(wù)攻擊(DDoS)的難度比較小����,但它的破壞性卻很大。它的具體手法就是向目的服務(wù)器發(fā)送大量的數(shù)據(jù)包�����,幾乎占取該服務(wù)器所有的網(wǎng)絡(luò)寬帶���,從而使其無法對正常的服務(wù)請求進(jìn)行處理�����,而導(dǎo)致網(wǎng)站無法進(jìn)入�、網(wǎng)站響應(yīng)速度大大降低或服務(wù)器癱瘓。
現(xiàn)在常見的蠕蟲病毒或與其同類的病毒都可以對服務(wù)器進(jìn)行拒絕服務(wù)攻擊的進(jìn)攻���。它們的繁殖能力極強(qiáng)����,一般通過Microsoft的Outlook軟件向眾多郵箱發(fā)出帶有病毒的郵件����,而使郵件服務(wù)器無法承擔(dān)如此龐大的數(shù)據(jù)處理量而癱瘓。
對于個(gè)人上網(wǎng)用戶而言���,也有可能遭到大量數(shù)據(jù)包的攻擊使其無法進(jìn)行正常的網(wǎng)絡(luò)操作�����,所以大家在上網(wǎng)時(shí)一定要安裝好防火墻軟件,同時(shí)也可以安裝一些可以隱藏IP地址的程序�,怎樣能大大降低受到攻擊的可能性。
5����、后門軟件攻擊
后門軟件攻擊是互聯(lián)網(wǎng)上比較多的一種攻擊手法�����。Back Orifice2000�、冰河等都是比較著名的特洛伊木馬��,它們可以非法地取得用戶電腦的超級用戶級權(quán)利�,可以對其進(jìn)行完全的控制,除了可以進(jìn)行文件操作外��,同時(shí)也可以進(jìn)行對方桌面抓圖��、取得密碼等操作����。
這些后門軟件分為服務(wù)器端和用戶端,當(dāng)黑客進(jìn)行攻擊時(shí)�����,會(huì)使用用戶端程序登陸上已安裝好服務(wù)器端程序的電腦�����,這些服務(wù)器端程序都比較小,一般會(huì)隨附帶于某些軟件上��。有可能當(dāng)用戶下載了一個(gè)小游戲并運(yùn)行時(shí)���,后門軟件的服務(wù)器端就安裝完成了�,而且大部分后門軟件的重生能力比較強(qiáng)�����,給用戶進(jìn)行清除造成一定的麻煩�����。
當(dāng)在網(wǎng)上下載數(shù)據(jù)時(shí)��,一定要在其運(yùn)行之前進(jìn)行病毒掃描���,并使用一定的反編譯軟件�����,查看來源數(shù)據(jù)是否有其他可疑的應(yīng)用程序���,從而杜絕這些后門軟件。
參考文獻(xiàn):
[1]《信息網(wǎng)絡(luò)安全概論》����,周良洪 編著,群眾出版社
[2]《計(jì)算機(jī)安全技術(shù)及應(yīng)用》�����,邵波 編著�,電子工業(yè)出版社
篇8
關(guān)鍵詞:網(wǎng)絡(luò)信息安全;黑客入侵����;防范管理
中圖分類號:F22 文獻(xiàn)標(biāo)識碼:A
公路信息系統(tǒng)是一項(xiàng)龐大的系統(tǒng)工程,是實(shí)現(xiàn)公路管理信息化��、決策科學(xué)化的重要基礎(chǔ)����,涉及到公路管理的各個(gè)方面,應(yīng)按照高起點(diǎn)���、高標(biāo)準(zhǔn)�����、先進(jìn)實(shí)用的方針進(jìn)行建設(shè)�,努力提升管理和服務(wù)效能。首先�����,公路管理信息化應(yīng)當(dāng)成為管理公路信息資源的工具����,解決所管養(yǎng)公路基礎(chǔ)數(shù)據(jù)的信息化管理問題。這些信息應(yīng)能同步在電子地圖上顯示����,構(gòu)建可視化的電子公路,使宏觀決策���、行業(yè)管理等工作更方便�、快捷���。其次����,公路管理信息化應(yīng)當(dāng)成為向公眾提供信息服務(wù)的手段。通過信息化建設(shè)���,向社會(huì)公眾提供人性化的出行信息�。這既是新形勢對公路管理部門提出的新要求��,更是體現(xiàn)行業(yè)服務(wù)理念�����,樹立行業(yè)社會(huì)形象的重要措施���。第三,公路管理信息化應(yīng)當(dāng)成為提高決策水平和工作效率的工具�。公路管理工作的許多決策以數(shù)據(jù)為基礎(chǔ)。傳統(tǒng)的方式往往根據(jù)經(jīng)驗(yàn)和上報(bào)情況為主進(jìn)行決策����,工作效率和決策科學(xué)化水平均有大幅提高的余地。因此����,應(yīng)開發(fā)與日常業(yè)務(wù)緊密相關(guān)的信息管理系統(tǒng),全面提高公路管理的現(xiàn)代化水平����。加快公路信息化建設(shè)�����,是適應(yīng)經(jīng)濟(jì)和社會(huì)發(fā)展的必然要求�����,是建設(shè)服務(wù)型公路行業(yè)的重要內(nèi)容��,是實(shí)現(xiàn)公路管理現(xiàn)代化的必由之路����。筆者就宣城市公路局加強(qiáng)公路信息化基礎(chǔ)設(shè)施建設(shè)情況�,對如何加快公路信息化建設(shè)作一些思考。
1 計(jì)算機(jī)網(wǎng)絡(luò)信息安全的概念
簡單的說����,網(wǎng)絡(luò)通信安全性就是保護(hù)用戶在網(wǎng)絡(luò)上的程序、數(shù)據(jù)或者設(shè)備免遭別人在非授權(quán)情況下使用或訪問���。其內(nèi)容可以理解為我們常說的信息安全��,是指對信息的保密項(xiàng)���、完整性和可用性的保護(hù)�����,因此��,網(wǎng)絡(luò)通信安全應(yīng)包括兩個(gè)方面:一是網(wǎng)絡(luò)用戶資源不被濫用和破壞�����;二是網(wǎng)絡(luò)自身的安全和可靠性。而網(wǎng)絡(luò)通信安全的含義是對信息安全的引申�,即網(wǎng)絡(luò)通信安全是對網(wǎng)絡(luò)信息保密性、完整性可可用性的保護(hù)���。
2網(wǎng)絡(luò)攻擊的特點(diǎn)
2.1攻擊快速��,手段多樣且日益趨向智能化
最初���,網(wǎng)絡(luò)上的攻擊者通常用監(jiān)視他人的上網(wǎng)數(shù)據(jù)或用非法手段直接截取他人帳號和口令進(jìn)入別人的計(jì)算機(jī)系統(tǒng),以獲取他人計(jì)算機(jī)上的資料和信息����。然而,隨著計(jì)算機(jī)科技的迅速發(fā)展,近幾年來攻擊者用來進(jìn)行網(wǎng)絡(luò)攻擊的工具逐漸的智能化���。以前�����,安全漏洞只在廣泛的掃描完成后才被加以利用�����,而現(xiàn)在攻擊者利用這些安全漏洞作為掃描活動(dòng)的一部分���,從而輕易的損害了脆弱的網(wǎng)絡(luò)計(jì)算機(jī)系統(tǒng),加快了攻擊網(wǎng)絡(luò)計(jì)算機(jī)的速度����。更有甚者,攻擊者使用分布式攻擊的方式管理和協(xié)調(diào)分布在許多互聯(lián)網(wǎng)系統(tǒng)上的大量已部署的攻擊工具��,進(jìn)而大規(guī)模的發(fā)動(dòng)拒絕服務(wù)的網(wǎng)絡(luò)攻擊�����,掃描分布在互聯(lián)網(wǎng)上的受害者�����,攻擊他們的計(jì)算機(jī)系統(tǒng)。
2.2攻擊工具復(fù)雜����,主要以軟件攻擊為主
一般攻擊工具具有三個(gè)特性,即:多變性�����、成熟性和隱蔽性��。多變性是指攻擊工具可以根據(jù)隨即選擇�、預(yù)先定義的決策路徑或者通過入侵者直接管理��,來不斷變化它們的模式和行為��;而不像以前那樣總是以單一確定的順序執(zhí)行攻擊步驟��。成熟性是指攻擊工具可以通過軟件升級或更換部分軟件功能的方式來發(fā)動(dòng)迅速變化的攻擊��,而且會(huì)出現(xiàn)多種攻擊工具同時(shí)運(yùn)行的情況���。隱蔽性是指攻擊性工具以任何一種形式出現(xiàn)在任何一種可執(zhí)行的程序中并且在任何一種操作系統(tǒng)中運(yùn)行��。幾乎所有的網(wǎng)絡(luò)入侵都是通過對軟件的截取和攻擊從而破壞整個(gè)計(jì)算機(jī)系統(tǒng)的���,這一方面也導(dǎo)致了計(jì)算機(jī)犯罪的隱蔽性�。
2.3系統(tǒng)安全漏洞驟增
據(jù)統(tǒng)計(jì)計(jì)算機(jī)系統(tǒng)的安全漏洞每一年都成雙倍遞增的趨勢在增長�����,而且越來越多的新的難以修補(bǔ)的漏洞不斷增加并且攻擊者會(huì)在計(jì)算機(jī)管理者修補(bǔ)這些漏洞之前就對系統(tǒng)進(jìn)行攻擊����。
2.4攻擊者對防火墻的肆意入侵
防火墻的概念來自于消防,在消防中防火墻用于隔離火災(zāi)區(qū)與安全區(qū)�。對于計(jì)算機(jī)系統(tǒng)而言,防火墻的功能類似于單位的保安系統(tǒng)��,計(jì)算機(jī)防火墻的功能在于保護(hù)局域網(wǎng)中的計(jì)算機(jī)免遭黑客入侵�����,保護(hù)局域網(wǎng)中的敏感數(shù)據(jù)和重要文件不被非法讀取����、竊取或者破壞。防火墻是抵御入侵者最主要也是最基本的防范管理����。但是越來越多的攻擊技術(shù)可以繞過防火墻���,例如,IPP(Internet打印協(xié)議)和Web DAV(基于Web的分布式創(chuàng)作與翻譯)都可以被攻擊者利用來繞過防火墻�����。
3 網(wǎng)絡(luò)攻擊造成的破壞性
1989年全世界第一次計(jì)算機(jī)病毒高峰期到來��,1996年針對微軟Office家族的宏病毒出現(xiàn)�,1998年首例針對計(jì)算機(jī)硬件進(jìn)行破壞的病毒CIH被發(fā)現(xiàn),而后隨著因特網(wǎng)的傳播���,1999年4月26日CIH病毒在我國大范圍爆發(fā)�,造成大規(guī)模的破壞和不可估量的損失���;1999年3月26日,首例通過因特網(wǎng)進(jìn)行傳播的計(jì)算機(jī)病毒——美麗殺手面世����;此后2001年針對Windows系統(tǒng)漏洞的“紅色代碼”“尼姆達(dá)”給全世界的網(wǎng)絡(luò)管理員提出了嚴(yán)峻的安全課題;2002年歲末���,可以媲美CIH的硬盤殺手——Worm. OpaSoft.d蠕蟲病毒出現(xiàn)���,該病毒可以利用系統(tǒng)漏洞進(jìn)行傳播��,該病毒在Symantec的安全警戒網(wǎng)中提示該病毒的傳播范圍相當(dāng)寬�����,破壞力也相當(dāng)?shù)拇蟆?003年1月25日�����,一種使全球互聯(lián)網(wǎng)趨于癱瘓的病毒——Win32_SQL1434病毒(又稱“SQL殺手”)驚現(xiàn)與因特網(wǎng)�����,其后的1月30日全球互聯(lián)網(wǎng)因?yàn)樵摬《径竺娣e癱瘓和阻塞��。
4 網(wǎng)絡(luò)通信安全的防范管理
4.1計(jì)算機(jī)終端用戶要做好基礎(chǔ)性的防護(hù)工作
即安裝正規(guī)的操作系統(tǒng)并打齊所有的補(bǔ)?����?����;安裝干凈的辦公軟件��,盡可能的減小系統(tǒng)被入侵的可能性���;安裝好殺毒軟件�����,設(shè)置好時(shí)間段自動(dòng)上網(wǎng)升級���;設(shè)置好帳號和權(quán)限,設(shè)置的用戶盡可能的少���,對用戶的權(quán)限盡可能的小���,密碼設(shè)置要足夠強(qiáng)壯;將軟件防火墻的安全級別設(shè)置為最高����,然后僅開放提供服務(wù)的端口��,其他一律關(guān)閉�,對于服務(wù)器上所有要訪問網(wǎng)絡(luò)的程序�。
4.2定期掃描自己的系統(tǒng)�����,修補(bǔ)所有已知的漏洞
因?yàn)槿魏我粋€(gè)漏洞對系統(tǒng)來說都可能是致命的�。網(wǎng)絡(luò)管理員要隨時(shí)了解黑客入侵他人系統(tǒng)所常用的手段和那些可以被利用的漏洞,并經(jīng)常使用安全性高的掃描工具來檢測自己管理的服務(wù)器中是否存在這些漏洞���。例如系X-scan�,snamp���,nbsi��,PHP注入檢測工具等�,或者是用當(dāng)前比較流行的hacker入侵工具檢測自己的系統(tǒng)是否存在漏洞����。
4.3服務(wù)器的遠(yuǎn)程管理
謹(jǐn)慎使用server自帶的遠(yuǎn)程終端,做好防護(hù)����,防止被黑客利用。服務(wù)器管理者可以用證書策略來限制訪問者,給TS配置安全證書��,任何客戶端訪問均需要安全證書����,并限制能夠訪問服務(wù)器終端服務(wù)的IP地址。
4.4避免出現(xiàn)整個(gè)網(wǎng)絡(luò)配置中的薄弱環(huán)節(jié)
黑客會(huì)利用被控制的網(wǎng)絡(luò)中的一臺機(jī)器做跳板���,進(jìn)而對整個(gè)網(wǎng)絡(luò)進(jìn)行滲透攻擊����,所以安全的配置網(wǎng)絡(luò)中的機(jī)器也很必要����。
4.5利用系統(tǒng)中的網(wǎng)絡(luò)工具對網(wǎng)絡(luò)進(jìn)行監(jiān)控
一般情況下我們可以從時(shí)間查看器中檢索到是否有黑客入侵的蛛絲馬跡。通過對網(wǎng)絡(luò)流量是否異常的監(jiān)控可以發(fā)現(xiàn)系統(tǒng)中是否存在蠕蟲病毒或者是否有遭受"洪水"等攻擊的可能�,并利用任務(wù)管理器終止那些不明進(jìn)程,檢測出木馬程序并清除�。
結(jié)語
網(wǎng)絡(luò)管理者是信息安全的運(yùn)維者,要及時(shí)掌握足夠的信息安全知識�����,充分理解相關(guān)的安全技術(shù)�����,操作系統(tǒng)和應(yīng)用軟件的安全性能����,以便在系統(tǒng)或網(wǎng)絡(luò)一旦發(fā)生故障時(shí),能夠迅速判斷出問題所在�,給出解決方案,使網(wǎng)絡(luò)迅速恢復(fù)正常服務(wù)��。而計(jì)算機(jī)使用者也要充實(shí)網(wǎng)絡(luò)通信安全知識�,養(yǎng)成安全上網(wǎng)的好習(xí)慣。
參考文獻(xiàn)
[1]劉保成�,王延風(fēng),陳曉燕.基于網(wǎng)絡(luò)的現(xiàn)代遠(yuǎn)程教育系統(tǒng)的安全研究[J].電子世界�,2013.
[2]周偉,張輝�,劉孟軻.高校計(jì)算機(jī)網(wǎng)絡(luò)安全實(shí)驗(yàn)課題研究[J].上海工程技術(shù)大學(xué)教育研究,2012.
[3]江鐵��,匡慜.高校校園網(wǎng)安全策略探討[J].警官文苑�,2011.
