緒論:在尋找寫作靈感嗎�?愛發(fā)表網(wǎng)為您精選了8篇網(wǎng)站安全總結(jié),愿這些內(nèi)容能夠啟迪您的思維��,激發(fā)您的創(chuàng)作熱情�,歡迎您的閱讀與分享!
篇1
一����、組織安排。xx隊(duì)組織成立自查工作小組��,組長為隊(duì)長xxx擔(dān)任,由兼職信息系統(tǒng)責(zé)任�����、運(yùn)行維護(hù)和信息安全管理科室的辦公室人員組成自查工作小組工作人員�,按照自查任務(wù)要求,制定具體自查方案�,明確本地檢查對象和具體要求,落實(shí)各項(xiàng)保障措施����,開展自查工作,撰寫自查報(bào)告��,并填寫相應(yīng)自查表�。
二、制度檢查���。自查工作小組根據(jù)《關(guān)于開展重要信息系統(tǒng)及重點(diǎn)網(wǎng)站安全檢查工作的通知》����,對前郭隊(duì)的網(wǎng)絡(luò)安全工作的基本情況以及網(wǎng)站的安全保護(hù)情況的相關(guān)制度進(jìn)行了檢查����,現(xiàn)有制度有:網(wǎng)絡(luò)與信息安全管理制度��、內(nèi)網(wǎng)計(jì)算機(jī)與互聯(lián)網(wǎng)連接制度�����、終端計(jì)算機(jī)安全管理制度�����、桌面安全管理系統(tǒng)制度及其他網(wǎng)絡(luò)安全管理手段及措施制度�����。及時發(fā)現(xiàn)了問題,要求建立健全信息安全年度預(yù)算制度�、信息安全發(fā)展規(guī)劃。
三��、完備設(shè)施�����。自建互聯(lián)網(wǎng)局域網(wǎng)網(wǎng)絡(luò)安全防護(hù)措施:xx隊(duì)接入互聯(lián)網(wǎng)出口數(shù)量只有一個��;終端計(jì)算機(jī)已安裝有效的防病毒軟件;終端計(jì)算機(jī)已設(shè)置管理員口令�����;有專門封網(wǎng)計(jì)算機(jī)可處理涉密信息����;機(jī)房安全中防盜、消防��、供電相關(guān)設(shè)施完備�。
篇2
為什么當(dāng)前安全威脅會變得如此嚴(yán)峻?Fortinet技術(shù)總監(jiān)李宏凱在研討會上指出���,網(wǎng)絡(luò)技術(shù)的發(fā)展和社會工程學(xué)的傳播特性自然是兩大驅(qū)動因素��,比如�,類似E-Mail的隨意化的信息平臺就為網(wǎng)絡(luò)安全問題提供了滋生的溫床�����。但目前看來���,更重要原因是商業(yè)利益的驅(qū)動���。黑客可以通過惡意代碼獲得用戶的個人信息�����,包括存儲在機(jī)中的和電腦中的����,并利用這些具有經(jīng)濟(jì)價值的信息來非法牟利�����;或者在用戶的終端上植入木馬����,以流量牽引的方式,使得某些網(wǎng)站點(diǎn)擊率提高���。在這樣的背景下,用戶被動地頻繁升級自己的防火墻�、病毒庫等等,然而安全威脅手段的進(jìn)化似乎總是快于安全防護(hù)技術(shù)的更新�。
李宏凱認(rèn)為,電信運(yùn)營商有必要重新審視整個網(wǎng)絡(luò)安全邊界的概念���。在網(wǎng)絡(luò)安全技術(shù)架構(gòu)搭建的過程中�,安全邊界的劃分具有重要意義。談到安全邊界的問題���,在過去��,電信運(yùn)營商或許會認(rèn)為�����,只有核心骨干網(wǎng)的安全才屬于自身的網(wǎng)絡(luò)安全范疇��;而今�����,骨干網(wǎng)的概念開始延伸���。事實(shí)上,在互聯(lián)網(wǎng)中���,不僅只有電信核心網(wǎng)才算骨干網(wǎng)�����,每一個互聯(lián)網(wǎng)用戶都是骨干網(wǎng)的一個分支����。電信運(yùn)營商如果只是“自掃門前雪”,忽視整個用戶層網(wǎng)絡(luò)的健康性�����,等安全威脅到了核心網(wǎng)才采取防御和管控�,那么其安全策略將顯得十分被動,永遠(yuǎn)會處在疲于應(yīng)付的狀態(tài)�,無法真正從源頭上解決安全問題。
僵尸網(wǎng)絡(luò)正在給運(yùn)營商帶來這樣的困擾����。由于網(wǎng)絡(luò)接入終端數(shù)量的不斷增加,如果電信運(yùn)營商將用戶劃入安全管控的邊界之外��,只是被動地防御�����,任憑僵尸網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大�����,那么���,當(dāng)受感染用戶達(dá)到一定數(shù)量級的時候����,電信運(yùn)營商就會發(fā)現(xiàn)自己正在面對數(shù)量可怕的傀儡攻擊源��,情況將會失控�。反之,如果從邊界開始就對網(wǎng)絡(luò)進(jìn)行了有效地管理�,那么核心網(wǎng)面對的壓力就能大大減輕。
篇3
根據(jù)上級關(guān)于《全市學(xué)校開展安全隱患拉網(wǎng)式大排查專項(xiàng)行動工作方案》的通知精神���,我校安全領(lǐng)導(dǎo)小組立即組織全體教師����,認(rèn)真學(xué)習(xí)通知精神���,嚴(yán)格對照文件精神及要求對學(xué)校進(jìn)行了全方位�、拉網(wǎng)式的大排查��,現(xiàn)將此次安全檢查情況總結(jié)如下:
一��、工作目標(biāo)
通過開展安全隱患排查治理專項(xiàng)工作,切實(shí)落實(shí)學(xué)校的安全主體責(zé)任,消除安全隱患,改善校園及周邊治安環(huán)境狀況,遏制重大事故發(fā)生,確保學(xué)校安全形勢穩(wěn)定,學(xué)校安全教育進(jìn)一步強(qiáng)化,師三生安全意識和防范能力明顯增強(qiáng)。
二���、組織領(lǐng)導(dǎo)
學(xué)校成立學(xué)校安全隱患排查治理領(lǐng)導(dǎo)小組:
組長:
副組長:
成員:
三���、工作內(nèi)容
1、校舍安全:檢查是否存在隱患,廚房�、廁所、學(xué)生寢室等重點(diǎn)場所給予高度重視,查找是否存在安全隱患.
2����、食品衛(wèi)生安全:教育學(xué)生禁止購買“三無”食品,同時制定《孟店小學(xué)突發(fā)公共衛(wèi)生事件應(yīng)急預(yù)案》�。
3、設(shè)施設(shè)備安全:對學(xué)校的電路���、電器進(jìn)行檢查,發(fā)現(xiàn)問題及時檢修和整改.
4���、防火安全:檢查是否對師生集中進(jìn)行了防火安全教育,教學(xué)、生活設(shè)施等人員集中場所的火災(zāi)隱患是否得到整改,消防設(shè)置是否完善,消防通道是否暢通.
5�、防盜安全:學(xué)校的微機(jī)室、圖書室及教師辦公室等重點(diǎn)部位的安全防范措施是否到位,有無領(lǐng)導(dǎo)��、教師值班巡邏,門衛(wèi)值班制度是否落實(shí).
6�、周邊環(huán)境安全:對學(xué)校周邊環(huán)境進(jìn)行一次集中清理.重點(diǎn)檢查有無社會閑雜人員在學(xué)校附近敲詐勒索傷害學(xué)生,有無違反規(guī)定在學(xué)校附近設(shè)置游戲廳���、錄像廳����、網(wǎng)吧等現(xiàn)象.
7、學(xué)生心理安全:是否面向全體學(xué)生開設(shè)心理健康教育課程,是否組織心理健康教育活動,對有心理疾病和問題家庭的學(xué)生是否進(jìn)行心理疏導(dǎo)���。
8����、消防及安保設(shè)施設(shè)備是否齊全并妥善保管�。
9、管制刀具等危險物品:是否建立管制刀具等危險物品相關(guān)制度���,并在學(xué)生間開展管制刀具等危險物品的排查���。
四、本次安全隱患大排查的總體情況
學(xué)校安全領(lǐng)導(dǎo)小組對全校安全工作做了一次拉網(wǎng)式大排查���,并對檢查情況作了認(rèn)真總結(jié)���,指出了存在的問題�����,對存在安全隱患的地方進(jìn)行了積極整改��。因此本次安全隱患排查總體情況較好����。
五��、存在的問題和不足之處
本次安全檢查總體情況較好��,這是全校師生共同努力取得的成果�,但也有個別地方還存在不足之處和漏洞,還存有安全隱患����,需要整改確保萬無一失。
1�����、個別教室的玻璃存在松動���、損壞現(xiàn)象��。
2�、學(xué)生上學(xué)、放學(xué)路途存在不遵守交通規(guī)則的個別現(xiàn)象���;
3、講究衛(wèi)生,不食用無證攤點(diǎn)的飲料,食品,不亂吃零食,不亂丟垃圾的習(xí)慣養(yǎng)成�����。
4���、師生安全消防意識不強(qiáng)�,進(jìn)行消防火技能培訓(xùn)及消防安全常識教育�����,提高防火及消防能力�����。
5��、家長接送學(xué)生時存在圍堵校門現(xiàn)象。
六����、整改措施
1、針對玻璃松動���、損壞問題��,由專人進(jìn)行加固或及時更換新玻璃��。
2�、針對學(xué)生上學(xué)放學(xué)路途存在不遵守交通規(guī)則的個別現(xiàn)象�����、亂丟垃圾����、買零食、消防意識薄弱等現(xiàn)象�����,我校通過國旗下講話�、召開交通安全���、消防安全、食品安全等相關(guān)主題班會及手抄報(bào)����、安全征文的形式強(qiáng)化全體師生的安全意識,并通過消防等各項(xiàng)演練提高學(xué)生逃生意識和逃生能力�。
3、針對家長接送學(xué)生時存在圍堵校門現(xiàn)象���,我校在校門口處設(shè)置兩個鐵質(zhì)防撞木馬,將家長同校門口隔開�����,同時告知家長接送學(xué)生時存放好自己的交通工具����,避免影響交通秩序。
七�����、今后安全工作要求
1��、加強(qiáng)學(xué)校安全工作領(lǐng)導(dǎo)、精心組織���。學(xué)校要切實(shí)加強(qiáng)對學(xué)校安全隱患排查治理工作組織領(lǐng)導(dǎo),進(jìn)一步落實(shí)隱患排查治理責(zé)任制,健全工作機(jī)制,明確職責(zé)分工,周密部署,精心組織,全面完成各項(xiàng)治理工作任務(wù)
2����、加強(qiáng)安全教育���。有針對性地對學(xué)生開展安全教育�,特別是加強(qiáng)學(xué)生在防溺水�、交通安全、食品安全���、預(yù)防校園欺凌���、預(yù)防踩踏等方面的校園安全意識及養(yǎng)成教育。
3�����、大力宣傳安全工作的重要性����。營造良好的輿論和工作環(huán)境���,充分利用班會,給家長的一封信����、宣傳材料等普及安全知識,使廣大師生都能明確校園安全管理中對自己的要求以及相關(guān)的法律責(zé)任���。
篇4
實(shí)習(xí)對于我們來說是非常必要的���,不僅使我們在課堂上學(xué)到的東西得到在現(xiàn)實(shí)工作中運(yùn)用,更重要的是能夠體驗(yàn)豐富自己的社會實(shí)踐閱歷�,盡快適應(yīng)社會,而且還可以在社會中學(xué)到一些在課本上學(xué)不到的東西��,鍛煉自己的社會本能�,這樣在以后畢業(yè)后出到社會就可以以最快����,最好的態(tài)勢來適應(yīng)社會環(huán)境,投身到自己的工作崗位��。于是����,在大一大二暑假我都提前踏上社會實(shí)習(xí)�,體驗(yàn)社會工作的壓力�����,下面我就大二到xxxx網(wǎng)絡(luò)科技有限公司做電話營銷的實(shí)習(xí)做一下回顧��。
二����、實(shí)踐目的
通過到xxxx網(wǎng)絡(luò)科技有限公司實(shí)習(xí),首先���,可以對互聯(lián)網(wǎng)行業(yè)做進(jìn)一步的了解�����;其次��,可以更深一步了解電子商務(wù)網(wǎng)絡(luò)安全的防護(hù)措施�;再次���,可以將本專業(yè)所學(xué)的知識應(yīng)用到實(shí)踐中���,不僅可以鞏固專業(yè)知識��,還能進(jìn)一步提升完善知識框架�;最后�,感受公司的企業(yè)文化,了解公司的管理體制和經(jīng)營之道�����,學(xué)會如何在企業(yè)做事�����,做人�����。
三���、實(shí)踐內(nèi)容
針對央行文件,擁有支付清算系統(tǒng)公司要做安全評估���,訪問相關(guān)客戶
每天下班前對當(dāng)天電話訪問的情況做詳細(xì)記錄����,并總結(jié)
針對電子商務(wù)網(wǎng)站安全,做產(chǎn)品信息網(wǎng)頁防篡改����,防病毒等宣傳,挖掘潛在客戶
兩三天開一次遠(yuǎn)程會議���,做工作匯報(bào)總結(jié)��,發(fā)現(xiàn)其中問題�����,及時做修改及經(jīng)驗(yàn)交流
針對高校招生時期�����,對高校教育網(wǎng)做招生信息�,學(xué)校信息網(wǎng)頁防篡改����,防病毒等宣傳,挖掘潛在客戶
對已遭受黑客攻擊的網(wǎng)站����,進(jìn)行安全漏洞修補(bǔ)宣傳�,以及防止被黑的措施宣傳����,挖掘潛在客戶
第一周:開始進(jìn)入公司實(shí)習(xí),第一周主要是培訓(xùn)��。
首先是公司的人力資源主管��,給我們介紹了一些關(guān)于公司的規(guī)章制度���,和工作期間的一些相關(guān)事項(xiàng)����。接著就是華南地區(qū)總經(jīng)理和網(wǎng)絡(luò)安全總監(jiān)���,給我們介紹了這次實(shí)習(xí)項(xiàng)目的主要內(nèi)容�����,讓我們有個大概的了解。了解完公司的大概情況后��,就開始培訓(xùn)跟項(xiàng)目有關(guān)的技術(shù)知識了。給我們介紹技術(shù)知識的是技術(shù)部的主管��,為我們講解了關(guān)于網(wǎng)絡(luò)安全的相關(guān)技術(shù)�����,如soc�����,ddos�����,流量控制�����,防火墻等���。雖然學(xué)過電子商務(wù)安全與支付�����,了解過相關(guān)網(wǎng)頁安全及支付系統(tǒng)安全的控制技術(shù)��,但還有很多相關(guān)安全技術(shù)還是不懂的���。經(jīng)過了技術(shù)主管的培訓(xùn)�����,雖然只是簡單的講解�����,也擴(kuò)展了我對電子商務(wù)安全方面的技術(shù)知識�����。
第二天���,就開始進(jìn)入電話營銷的知識培訓(xùn)了。給我們培訓(xùn)的是客戶服務(wù)總監(jiān)���,是臺灣人��。由于做這個項(xiàng)目的還有湖南長沙分公司的幾個人��,所以就湖南和廣州的一起開培訓(xùn)會議���,通過遠(yuǎn)程視頻三地連接,雖然是通過互聯(lián)網(wǎng)的開會��,但是跟實(shí)際坐在一個會議室開會是一樣的����,你的任何聲音,任何動作��,其他人都可以聽到看到的���??头偙O(jiān)給我們講解了一些電話營銷的技巧以及常用術(shù)語��,然后發(fā)了些資料讓我們背熟��。
了解了技巧�����,熟悉了術(shù)語���,該是考驗(yàn)我們掌握的程度的時候了�����??头偙O(jiān)讓廣州與湖南的的實(shí)習(xí)生相互訓(xùn)練,即一個扮演客戶���,一個扮演電話營銷員�,讓我們在完全不知道對方會作何反應(yīng)的情況下隨機(jī)應(yīng)變�����,大大提升了我們的實(shí)踐經(jīng)驗(yàn)���。
第二周:第一個任務(wù)——針對央行的最新文件�,要求擁有支付清算系統(tǒng)的公司要做安全檢測�。
接受了系統(tǒng)的培訓(xùn)后,就開始正式對外撥號了����。所以我們就搜集了擁有支付清算業(yè)務(wù)的公司的資料,包括公司名稱����、網(wǎng)站����、地址�����、電話����、聯(lián)系人��、郵箱等��,然后輸入事先已經(jīng)制作好的表格里���。資料搜集后����,就一個一個打電話�����,通過各種方法找到相關(guān)負(fù)責(zé)人,然后詢問他們關(guān)于支付清算系統(tǒng)的安全檢測問題是否已經(jīng)做了�,根據(jù)他們的知情程度��、是否完成�����、以及是否有意愿完成、是否繼續(xù)跟進(jìn)等將訪問的結(jié)果記錄到表格里��。
很多時候我們打電話過去��,才剛剛報(bào)了公司名字后����,以為我們是推銷東西的,就立刻遭到拒絕�����。有時候有些公司根本不清楚支付系統(tǒng)安全方面是誰負(fù)責(zé)的��,電話接來接去都找不到負(fù)責(zé)人�。有時候接線員就騙我們說負(fù)責(zé)人不在,故意推脫�����。剛開始的時候,屢次的失敗讓我們自信心很受打擊�����。
每天下班前都要把今天所撥打的電話的訪問情況記錄整理好����,然后發(fā)給客服總監(jiān),同時下班前客服總監(jiān)會召我們開會�����,匯報(bào)今天的電訪情況���,以及遇到的無法解決的問題,與大家進(jìn)行交流�,并想出應(yīng)付辦法。
第三周:開始第二個任務(wù)——針對電子商務(wù)網(wǎng)站做網(wǎng)頁安全宣傳�。
電子商務(wù)網(wǎng)站涉及交易信息、商品信息以及支付信息等一系列安全問題��。一些黑客可能會把網(wǎng)站上的商品信息(如價格)進(jìn)行篡改���,從而導(dǎo)致電子商務(wù)企業(yè)和客戶陷入誤解糾紛等�����。因此電子商務(wù)網(wǎng)站要時刻進(jìn)行漏洞掃描���,及時修補(bǔ)�����,以防黑客進(jìn)行攻擊�����。我們針對這些要點(diǎn)對電子商務(wù)網(wǎng)站公司進(jìn)行電話訪問�����,了解他們的需求���,同時宣傳我們公司在這方面的業(yè)務(wù)成就。
同樣的����,我們事先就制作表格�����,搜集客戶資料進(jìn)行輸入���,同時對每個客戶訪問后的反應(yīng)做整理,然后輸入表格里面���。在本周開展新任務(wù)的同時�����,我們也對上周需要進(jìn)一步跟進(jìn)的客戶進(jìn)行了再一次電訪���,以盡可能促成交易���。
第四周:開始第三個任務(wù)——針對高校招生時期��,對高校網(wǎng)頁防篡改做業(yè)務(wù)宣傳���。
恰逢暑假時期,各地高校正在忙著招生��,各高校網(wǎng)都會更新關(guān)于招生的信息,各個學(xué)生家長也都會登錄高校網(wǎng)站查看自己的錄取情況����。因此,很多黑客騙子會利用篡改高校網(wǎng)站招生信息�,或是制作類似已有高校的網(wǎng)站的假高校網(wǎng)站騙取學(xué)生以牟取暴利,像北大清華等名牌高校都有被篡改過的前例����。所以有安全意識的高校就會重視,也會有這方面的需求��。我們便針對此要點(diǎn)撥通廣東所有高校的電話��,試圖找到網(wǎng)絡(luò)中心的負(fù)責(zé)人進(jìn)行交流����。
學(xué)生與老師的交流自然比之前的與商業(yè)企業(yè)要容易多,不會很快就被人拒絕了��。不過電訪過程我們還是會遇到很多問題�����,例如放假了學(xué)校網(wǎng)絡(luò)中心是實(shí)行值班制,很多時候打電話過去都沒人接聽����。另外就是網(wǎng)絡(luò)中心老師有這方面意識,但學(xué)校項(xiàng)目需要向?qū)W校領(lǐng)導(dǎo)申請審批等一系列問題都難以促成交易����。
第五周:開始第四個任務(wù)——根據(jù)國家信息中心提供的被黑網(wǎng)站統(tǒng)計(jì)系統(tǒng),針對已經(jīng)被黑的網(wǎng)站���,勸其及時修補(bǔ)漏洞�����,刪除被黑網(wǎng)頁���。
公司與國家信息中心有合作,根據(jù)國家信息中心提供的一個被黑網(wǎng)站統(tǒng)計(jì)系統(tǒng)���,系統(tǒng)里每天都會更新搜集被黑網(wǎng)頁的鏈接,根據(jù)這個鏈接我們可以找到他的原始網(wǎng)站�,再從網(wǎng)站上搜集公司的電話,進(jìn)行撥打����,告知對方網(wǎng)站已存在安全漏洞����,已遭黑客攻擊���,需要及時修補(bǔ)����,從而希望對方可以讓我司為其提供這方面的服務(wù)�����。
電訪中很多網(wǎng)站是外包給網(wǎng)站建設(shè)公司的����,原網(wǎng)站企業(yè)老板根本就不懂這方面的技術(shù),而且說外包公司會負(fù)責(zé)其網(wǎng)站的安全維護(hù)����。另外有些公司負(fù)責(zé)人不相信他們網(wǎng)站已被黑,我們便提供了他們網(wǎng)站被黑鏈接給他們��。電訪中遇到的種種我們無法事先想象的問題���,我們都會在事后開會交流中討論解決方案���,以應(yīng)付可能出現(xiàn)的問題���。
五、實(shí)踐總結(jié)
一���、選擇自己認(rèn)可的工作
兩年暑假實(shí)踐的對比��,讓我了解到���,一個人如果做一件自己認(rèn)可的工作,他會很認(rèn)真很投入去完成����,而做一件自己不認(rèn)可的工作,你會發(fā)現(xiàn)你自己是在勉強(qiáng)過日子��。網(wǎng)絡(luò)信息安全�,對于一個讀電子商務(wù)的我來講,可以說是專業(yè)知識��。網(wǎng)站漏洞�����、病毒入侵���、黑客攻擊����、網(wǎng)上支付安全等��,我們很清楚互聯(lián)網(wǎng)的給人類帶來方便的同時也會帶來安全隱患�,而我們也會極力去防范這些隱患的發(fā)生。我認(rèn)可這項(xiàng)工作����,因此我會很自然地跟客戶介紹這項(xiàng)服務(wù),可以有足夠的理由及說服力勸說客戶接受我的觀點(diǎn)�����。而如果一件東西你自己都不認(rèn)可�,你又怎么可能有足夠的理由和自信心去讓別人接受呢?因此一定要選擇自己認(rèn)可的工作�,你才會去用心投入,才會收到你想要的結(jié)果�。
二����、工作安排及總結(jié)
每天早上上班開始時先為自己今天的工作做個計(jì)劃����,讓自己知道今天要做哪些事。然后一定要在下班前完成它���。因?yàn)闆]有計(jì)劃就不會有行動���,也不會有壓力,會讓自己變得懶惰����。工作中會遇到很多你原先沒有想到的情況,就要及時記錄下來���,以待改進(jìn)�。如果沒有記下來的話你會很快就忘記����。因?yàn)槊刻旖佑|幾十個客戶,不把每個客戶的情況及時記下��,回頭你怎么可能記得哪個客戶說過哪些話呢?臨近下班時�����,就要把今天的工作內(nèi)容匯總整理好����,以便以后翻閱���。也把當(dāng)天遇到的特殊情況或是自己無法應(yīng)付的情況總結(jié)一下���,向上級報(bào)告后交流下次如何應(yīng)付。每天都做個daily report��。積少成多���,這就是你成長的見證��。
三����、專業(yè)知識
剛學(xué)完電子商務(wù)概論����,知道了電子商務(wù)不只是局限在網(wǎng)上商城這一類�,還有isp����、icp、idc�����、vpn等網(wǎng)絡(luò)提供商����。當(dāng)進(jìn)入xxxx網(wǎng)絡(luò)科技有限公司,一個做因特網(wǎng)服務(wù)提供商的公司實(shí)踐時�,當(dāng)培訓(xùn)講了那些網(wǎng)絡(luò)通信知識時,才發(fā)現(xiàn)原來專業(yè)知識是那么有用的����。當(dāng)與客戶交流,涉及到不少專業(yè)知識���,而自己無法解釋時才后悔自己上課時不認(rèn)真學(xué)好����,只為應(yīng)付考試而去看書的,而過后就忘得一干二凈��。因此專業(yè)知識一定要認(rèn)真學(xué)好����,尤其時當(dāng)你去從事一個技術(shù)含量比較高時,對專業(yè)知識的要求自然也會高���。因此奉勸大家不要只為考試而去讀書,專業(yè)知識的精通是你區(qū)別他人的籌碼�。
當(dāng)你接到面試通知后,你就應(yīng)該去了解你所要應(yīng)聘的職位�����。職位的要求是什么��,需要哪方面的能力�����,面試官可能會問什么等等����。電話營銷�����,一個我即將要去挑戰(zhàn)的職位���,當(dāng)我接到面試通知后,利用有限的一兩天時間����,我立刻上網(wǎng)找了關(guān)于電話營銷的相關(guān)資料,要求����、流程、技巧通通過目一遍����,另外也跑去圖書館借了幾本電話營銷技巧的書來看,讓自己對這個職位有充分的了解并且做到心里有底����。另外還準(zhǔn)備了自我介紹,以及設(shè)想面試官可能會問到的問題都準(zhǔn)備好���。
著裝方面�,雖然公司沒有要求,但是我還是穿了正裝去面試���。沒穿正裝你不會扣分����,但穿了正裝你一定會加分���。當(dāng)眾多面試者中只有你一個人穿正裝的話����,面試官會給你打個很高的印象分�����,這也是你脫穎而出的因素�。所以想在面試中取勝就必須做好前期準(zhǔn)備���,比別人花更多的心思���。如果連暑假實(shí)踐這樣比較簡單的面試都不好好準(zhǔn)備,那又怎么能夠去挑戰(zhàn)畢業(yè)后的高難度面試呢?
二���、公司氛圍
當(dāng)我第一天去這家公司報(bào)到時�,公司的人很熱情���,對我們兩個初來報(bào)到的暑假工照顧很周到���,華南地區(qū)的副總經(jīng)理、網(wǎng)絡(luò)安全的總監(jiān)也很隨和����,甚至第二天總監(jiān)還請我們吃飯。整個公司的氛圍很融洽�����,讓人很有歸屬感���。這不禁讓我想起了去年在保險公司實(shí)習(xí)的感受�����,簡直是天壤之別��。保險公司的人心機(jī)很重�,讓人覺得社會很黑。而xxxx的氛圍卻讓我感覺就像在學(xué)校一樣����,大家都是大學(xué)畢業(yè)的,沒有那種沉重的心機(jī)���,都是敞開心扉去交友的����。大家一起看日全食��,一起吃西瓜���,一起吃哈密瓜��。因此我總結(jié)出:學(xué)歷素質(zhì)人品公司氛圍職工奉獻(xiàn)程度公司效益。因此����,如果一個團(tuán)體想收到優(yōu)異的成績時,就必須營造良好的氛圍��,讓成員有歸屬感,這樣他們才愿意為這個團(tuán)體奉獻(xiàn)更多�����。
篇5
論文摘要:網(wǎng)絡(luò)上的動態(tài)網(wǎng)站以ASP為多數(shù)���,我們學(xué)校的網(wǎng)站也是ASP的��。筆者作為學(xué)校網(wǎng)站的制作和維護(hù)人員��,與ASP攻擊的各種現(xiàn)象斗爭了多次�����,也對網(wǎng)站進(jìn)行了一次次的修補(bǔ)�,根據(jù)工作經(jīng)驗(yàn)�,就ASP網(wǎng)站設(shè)計(jì)常見安全漏洞及其防范進(jìn)行一些探討。本文結(jié)合 ASP 動態(tài)網(wǎng)站開發(fā)經(jīng)驗(yàn)�����,對ASP 程序設(shè)計(jì)存在的信息安全隱患進(jìn)行分析��,討論了ASP 程序常見的安全漏洞�,從程序設(shè)計(jì)角度對 WEB信息安全及防范提供了參考��。
1網(wǎng)絡(luò)安全總體狀況分析
2007年1月至6月期間����,半年時間內(nèi)�,CNCERT/CC接收的網(wǎng)絡(luò)仿冒事件和網(wǎng)頁惡意代碼事件,已分別超出去年全年總數(shù)的14.6%和12.5%�。
從CNCERT/CC掌握的半年情況來看,攻擊者的攻擊目標(biāo)明確����,針對不同網(wǎng)站和用戶采用不同的攻擊手段,且攻擊行為趨利化特點(diǎn)表現(xiàn)明顯���。對政府類和安全管理相關(guān)類網(wǎng)站主要采用篡改網(wǎng)頁的攻擊形式�,也不排除放置惡意代碼的可能�。對中小企業(yè),尤其是以網(wǎng)絡(luò)為核心業(yè)務(wù)的企業(yè)����,采用有組織的分布式拒絕服務(wù)攻擊(DDoS)等手段進(jìn)行勒索�����,影響企業(yè)正常業(yè)務(wù)的開展。對于個人用戶�,攻擊者更多的是通過用戶身份竊取等手段,偷取該用戶游戲賬號���、銀行賬號�����、密碼等����,竊取用戶的私有財(cái)產(chǎn)�。
2 用IIS+ASP建網(wǎng)站的安全性分析
微軟推出的IIS+ASP的解決方案作為一種典型的服務(wù)器端網(wǎng)頁設(shè)計(jì)技術(shù),被廣泛應(yīng)用在網(wǎng)上銀行���、電子商務(wù)�����、網(wǎng)上調(diào)查��、網(wǎng)上查詢�、BBS���、搜索引擎等各種互聯(lián)網(wǎng)應(yīng)用中����。但是,該解決方案在為我們帶來便捷的同時�,也帶來了嚴(yán)峻的安全問題。本文從 ASP 程序設(shè)計(jì)角度對 WEB 信息安全及防范進(jìn)行分析討論�����。
3 SP安全漏洞和防范
3.1 程序設(shè)計(jì)與腳本信息泄漏隱患
bak 文件�。攻擊原理:在有些編輯ASP程序的工具中,當(dāng)創(chuàng)建或者修改一個ASP文件時���,編輯器自動創(chuàng)建一個備份文件�,如果你沒有刪除這個bak文件�,攻擊者可以直接下載,這樣源程序就會被下載�����。
防范技巧:上傳程序之前要仔細(xì)檢查�,刪除不必要的文檔。對以BAK為后綴的文件要特別小心。
inc文件泄露問題�����。攻擊原理:當(dāng)存在ASP的主頁正在制作且沒有進(jìn)行最后調(diào)試完成以前���,可以被某些搜索引擎機(jī)動追加為搜索對象。如果這時候有人利用搜索引擎對這些網(wǎng)頁進(jìn)行查找����,會得到有關(guān)文件的定位,并能在瀏覽器中查看到數(shù)據(jù)庫地點(diǎn)和結(jié)構(gòu)的細(xì)節(jié)�����,并以此揭示完整的源代碼�。
防范技巧:程序員應(yīng)該在網(wǎng)頁前對它進(jìn)行徹底的調(diào)試。首先對.inc文件內(nèi)容進(jìn)行加密���,其次也可以使用.asp文件代替.inc文件����,使用戶無法從瀏覽器直接觀看文件的源代碼�。
3.2 對ASP頁面進(jìn)行加密。為有效地防止ASP源代碼泄露,可以對ASP頁面進(jìn)行加密�����。我們曾采用兩種方法對ASP頁面進(jìn)行加密���。一是使用組件技術(shù)將編程邏輯封裝入 DLL之中��;二是使用微軟的Script Encoder對ASP頁面進(jìn)行加密��。
3.3 程序設(shè)計(jì)與驗(yàn)證不全漏洞
驗(yàn)證碼����。普遍的客戶端交互如留言本�����、會員注冊等僅是按照要求輸入內(nèi)容�,但網(wǎng)上有很多攻擊軟件,如注冊機(jī)����,可以通過瀏覽WEB,掃描表單����,然后在系統(tǒng)上頻繁注冊���,頻繁發(fā)送不良信息,造成不良的影響���,或者通過軟件不斷的嘗試,盜取你的密碼���。而我們使用通過使用驗(yàn)證碼技術(shù)���,使客戶端輸入的信息都必須經(jīng)過驗(yàn)證,從而可以解決這個問題����。
登陸驗(yàn)證。對于很多網(wǎng)頁����,特別是網(wǎng)站后臺管理部分,是要求有相應(yīng)權(quán)限的用戶才能進(jìn)入操作的�����。但是,如果這些頁面沒有對用戶身份進(jìn)行驗(yàn)證��,黑客就可以直接在地址欄輸入收集到的相應(yīng)的 URL 路徑��,避開用戶登錄驗(yàn)證頁面�����,從而獲得合法用戶的權(quán)限���。所以�����,登陸驗(yàn)證是非常必要的����。
SQL 注入����。SQL注入是從正常的WWW端口訪問,而且表面看起來跟一般的Web頁面訪問沒什么區(qū)別��,所以目前市面的防火墻都不會對SQL注入發(fā)出警報(bào)����,如果管理員沒查看IIS日志的習(xí)慣���,可能被入侵很長時間都不會發(fā)覺。
SQL 注入攻擊是最為常見的程序漏洞攻擊方式�,引起攻擊的根本原因就是盲目信任用戶,將用戶輸入用來直接構(gòu)造 SQL 語句或存儲過程的參數(shù)����。以下列出三種攻擊的形式:
A.用戶登錄: 假設(shè)登錄頁面有兩個文本框�����,分別用來供用戶輸入帳號和 密碼����,利用執(zhí)行SQL 語句來判斷用戶是否為合法用戶。試想�,如果黑客在密碼文本框中輸入 'OR 0=0,即不管前面輸入的用戶帳號和密碼是什么�����,OR后面的 0=0 總是成立的���,最后結(jié)果就是該黑客成為了合法的用戶����。
B.用戶輸入:假設(shè)網(wǎng)頁中有個搜索功能,只要用戶輸入搜索關(guān)鍵字�����,系統(tǒng)就列出符合條件的所有記錄��,可是���,如果黑客在關(guān)鍵字文本框中輸入' GO DROP TABLE 用戶表����,后果是用戶表被徹底刪除����。
C.參數(shù)傳遞: 假設(shè)我們有個網(wǎng)頁鏈接地址是 HTTP://……asp?id=22, 然后 ASP在頁面中利用 Request.QueryString['id']取得該 id值���,構(gòu)成某 SQL 語句��, 這種情況很常見��?���?墒牵绻诳蛯⒌刂纷?yōu)镠TTP://……asp?id=22 and user=0 �,結(jié)果會怎樣?如果程序員有沒有對系統(tǒng)的出錯提示進(jìn)行屏蔽處理的話,黑客就獲得了數(shù)據(jù)庫的用戶名�����,這為他們的進(jìn)一步攻擊提供了很好的條件����。
解決方法:以上幾個例子只是為了起到拋磚引玉的作用,其實(shí)�,黑客利用“猜測+精通的sql 語言+反復(fù)嘗試”的方式���,可以構(gòu)造出各種各樣的sql入侵���。作為程序員,如何來防御或者降低受攻擊的幾率呢?作者在實(shí)際中是按以下方法做的:
第一: 在用戶輸入頁面加以友好備注��,告知用戶只能輸入哪些字符��;
第二: 在客戶端利用 ASP 自帶的校驗(yàn)控件和正則表達(dá)式對用戶輸入進(jìn)行校驗(yàn),發(fā)現(xiàn)非法字符�,提示用戶且終止程序進(jìn)行;
第三: 為了防止黑客避開客戶端校驗(yàn)直接進(jìn)入后臺����,在后臺程序中利用一個公用函數(shù)再次對用戶輸入進(jìn)行檢查,一旦發(fā)現(xiàn)可疑輸入�,立即終止程序,但不進(jìn)行提示���,同時��,將黑客IP�����、動作�����、日期等信息保存到日志數(shù)據(jù)表中以備核查����。
第四: 對于參數(shù)的情況����,頁面利用 QueryString 或者 Quest 取得參數(shù)后���, 要對每個參數(shù)進(jìn)行判斷處理,發(fā)現(xiàn)異常字符�, 要利用 replace 函數(shù)將異常字符過濾掉,然后再做下一步操作����。
轉(zhuǎn)貼于
第五:只給出一種錯誤提示信息,服務(wù)器都只提示HTTP 500錯誤�����。
第六:在IIS中為每個網(wǎng)站設(shè)置好執(zhí)行權(quán)限��。千萬別給靜態(tài)網(wǎng)站以“腳本和可執(zhí)行”權(quán)限�。一般情況下給個“純腳本”權(quán)限就夠了,對于那些通過網(wǎng)站后臺管理中心上傳的文件存放的目錄�,就更吝嗇一點(diǎn)吧�����,執(zhí)行權(quán)限設(shè)為“無”好了�����。
第七:數(shù)據(jù)庫用戶的權(quán)限配置。對于MS_SQL�,如果PUBLIC權(quán)限足夠使用的絕不給再高的權(quán)限,千萬不要SA級別的權(quán)限隨隨便便地給�����。
3.4 傳漏洞
諸如論壇����,同學(xué)錄等網(wǎng)站系統(tǒng)都提供了文件上傳功能,但在網(wǎng)頁設(shè)計(jì)時如果缺少對用戶提交參數(shù)的過濾�����,將使得攻擊者可以上傳網(wǎng)頁木馬等惡意文件����,導(dǎo)致攻擊事件的發(fā)生。
防文件上傳漏洞
在文件上傳之前����,加入文件類型判斷模塊,進(jìn)行過濾,防止ASP��、ASA�、CER等類型的文件上傳。
暴庫���。暴庫����,就是通過一些技術(shù)手段或者程序漏洞得到數(shù)據(jù)庫的地址��,并將數(shù)據(jù)非法下載到本地���。
數(shù)據(jù)庫可能被下載���。在IIS+ASP網(wǎng)站中,如果有人通過各種方法獲得或者猜到數(shù)據(jù)庫的存儲路徑和文件名���,則該數(shù)據(jù)庫就可以被下載到本地���。
數(shù)據(jù)庫可能被解密
由于Access數(shù)據(jù)庫的加密機(jī)制比較簡單,即使設(shè)置了密碼�,解密也很容易。因此����,只要數(shù)據(jù)庫被下載,其信息就沒有任何安全性可言了����。
防止數(shù)據(jù)庫被下載 。由于Access數(shù)據(jù)庫加密機(jī)制過于簡單�,有效地防止數(shù)據(jù)庫被下載,就成了提高ASP+Access解決方案安全性的重中之重�����。以下兩種方法簡單�、有效。
非常規(guī)命名法���。為Access數(shù)據(jù)庫文件起一個復(fù)雜的非常規(guī)名字���,并把它放在幾個目錄下。
使用ODBC數(shù)據(jù)源�����。在ASP程序設(shè)計(jì)中,如果有條件���,應(yīng)盡量使用ODBC數(shù)據(jù)源��,不要把數(shù)據(jù)庫名寫在程序中�,否則�,數(shù)據(jù)庫名將隨ASP源代碼的失密而一同失密。
使用密碼加密��。經(jīng)過MD5加密�����,再結(jié)合生成圖片驗(yàn)證碼技術(shù)�����,暴力破解的難度會大大增強(qiáng)�����。
使用數(shù)據(jù)備份����。當(dāng)網(wǎng)站被黑客攻擊或者其它原因丟失了數(shù)據(jù)���,可以將備份的數(shù)據(jù)恢復(fù)到原始的數(shù)據(jù),保證了網(wǎng)站在一些人為的����、自然的不可避免的條件下的相對安全性�。
3.5 SP木馬
由于ASP它本身是服務(wù)器提供的一項(xiàng)服務(wù)功能,所以這種ASP腳本的木馬后門����,不會被殺毒軟件查殺。被黑客們稱為“永遠(yuǎn)不會被查殺的后門”�����。我在這里講講如何有效的發(fā)現(xiàn)web空間中的asp木馬并清除����。
技巧1:殺毒軟件查殺
一些非常有名的asp木馬已經(jīng)被殺毒軟件列入了黑名單,所以利用殺毒軟件對web空間中的文件進(jìn)行掃描����,可以有效的發(fā)現(xiàn)并清除這些有名的asp木馬。
技巧2:FTP客戶端對比
asp木馬若進(jìn)行偽裝��,加密,躲藏殺毒軟件�,怎么辦?
我們可以利用一些FTP客戶端軟件(例如cuteftp�,F(xiàn)lashFXP)提供的文件對比功能,通過對比FTP的中的web文件和本地的備份文件����,發(fā)現(xiàn)是否多出可疑文件。
技巧3:用Beyond Compare 2進(jìn)行對比
滲透性asp木馬�����,可以將代碼插入到指定web文件中�,平常情況下不會顯示,只有使用觸發(fā)語句才能打開asp木馬���,其隱蔽性非常高�����。 Beyond Compare 2這時候就會作用比較明顯了���。
技巧4:利用組件性能找asp木馬
如:思易asp木馬追捕。
大家在查找web空間的asp木馬時����,最好幾種方法結(jié)合起來��,這樣就能有效的查殺被隱藏起來的asp木馬��。
結(jié)束語
總結(jié)了ASP木馬防范的十大原則供大家參考:
建議用戶通過FTP來上傳����、維護(hù)網(wǎng)頁���,盡量不安裝asp的上傳程序。
對asp上傳程序的調(diào)用一定要進(jìn)行身份認(rèn)證����,并只允許信任的人使用上傳程序。
asp程序管理員的用戶名和密碼要有一定復(fù)雜性�����,不能過于簡單�,還要注意定期更換。
到正規(guī)網(wǎng)站下載asp程序����,下載后要對其數(shù)據(jù)庫名稱和存放路徑進(jìn)行修改�,數(shù)據(jù)庫文件名稱也要有一定復(fù)雜性��。
要盡量保持程序是最新版本����。
不要在網(wǎng)頁上加注后臺管理程序登陸頁面的鏈接。
為防止程序有未知漏洞����,可以在維護(hù)后刪除后臺管理程序的登陸頁面,下次維護(hù)時再通過上傳即可����。
要時常備份數(shù)據(jù)庫等重要文件。
日常要多維護(hù)��,并注意空間中是否有來歷不明的asp文件�����。
一旦發(fā)現(xiàn)被人侵��,除非自己能識別出所有木馬文件����,否則要刪除所有文件��。重新上傳文件前����,所有asp程序用戶名和密碼都要重置�,并要重新修改程序數(shù)據(jù)庫名稱和存放路徑以及后臺管理程序的路徑。
做好以上防范措施���,您的網(wǎng)站只能說是相對安全了�����,決不能因此疏忽大意,因?yàn)槿肭峙c反入侵是一場永恒的戰(zhàn)爭���!網(wǎng)站安全是一個較為復(fù)雜的問題��,嚴(yán)格的說��,沒有絕對安全的網(wǎng)絡(luò)系統(tǒng)�����,我們只有通過不斷的改進(jìn)程序��,將各種可能出現(xiàn)的問題考慮周全��,對潛在的異常情況進(jìn)行處理���,才能減少被黑客入侵的機(jī)會���。
參考文獻(xiàn)
[1]袁志芳 田曉芳 李桂寶《ASP程序設(shè)計(jì)與 WEB信息安全》 中國教育信息化2007年21期.
篇6
論文摘要:網(wǎng)絡(luò)上的動態(tài)網(wǎng)站以ASP為多數(shù),我們學(xué)校的網(wǎng)站也是ASP的����。筆者作為學(xué)校網(wǎng)站的制作和維護(hù)人員,與ASP攻擊的各種現(xiàn)象斗爭了多次�,也對網(wǎng)站進(jìn)行了一次次的修補(bǔ),根據(jù)工作經(jīng)驗(yàn)��,就ASP網(wǎng)站設(shè)計(jì)常見安全漏洞及其防范進(jìn)行一些探討����。本文結(jié)合ASP動態(tài)網(wǎng)站開發(fā)經(jīng)驗(yàn),對ASP程序設(shè)計(jì)存在的信息安全隱患進(jìn)行分析���,討論了ASP程序常見的安全漏洞���,從程序設(shè)計(jì)角度對WEB信息安全及防范提供了參考���。
1網(wǎng)絡(luò)安全總體狀況分析
2007年1月至6月期間,半年時間內(nèi)���,CNCERT/CC接收的網(wǎng)絡(luò)仿冒事件和網(wǎng)頁惡意代碼事件�����,已分別超出去年全年總數(shù)的14.6%和12.5%��。
從CNCERT/CC掌握的半年情況來看��,攻擊者的攻擊目標(biāo)明確��,針對不同網(wǎng)站和用戶采用不同的攻擊手段,且攻擊行為趨利化特點(diǎn)表現(xiàn)明顯��。對政府類和安全管理相關(guān)類網(wǎng)站主要采用篡改網(wǎng)頁的攻擊形式�����,也不排除放置惡意代碼的可能���。對中小企業(yè)����,尤其是以網(wǎng)絡(luò)為核心業(yè)務(wù)的企業(yè),采用有組織的分布式拒絕服務(wù)攻擊(DDoS)等手段進(jìn)行勒索�����,影響企業(yè)正常業(yè)務(wù)的開展�。對于個人用戶,攻擊者更多的是通過用戶身份竊取等手段���,偷取該用戶游戲賬號�����、銀行賬號�、密碼等�,竊取用戶的私有財(cái)產(chǎn)。
2用IIS+ASP建網(wǎng)站的安全性分析
微軟推出的IIS+ASP的解決方案作為一種典型的服務(wù)器端網(wǎng)頁設(shè)計(jì)技術(shù)���,被廣泛應(yīng)用在網(wǎng)上銀行��、電子商務(wù)��、網(wǎng)上調(diào)查�����、網(wǎng)上查詢��、BBS���、搜索引擎等各種互聯(lián)網(wǎng)應(yīng)用中�����。但是�����,該解決方案在為我們帶來便捷的同時���,也帶來了嚴(yán)峻的安全問題。本文從ASP程序設(shè)計(jì)角度對WEB信息安全及防范進(jìn)行分析討論�����。
3SP安全漏洞和防范
3.1程序設(shè)計(jì)與腳本信息泄漏隱患
bak文件����。攻擊原理:在有些編輯ASP程序的工具中,當(dāng)創(chuàng)建或者修改一個ASP文件時���,編輯器自動創(chuàng)建一個備份文件�����,如果你沒有刪除這個bak文件���,攻擊者可以直接下載,這樣源程序就會被下載�����。
防范技巧:上傳程序之前要仔細(xì)檢查�,刪除不必要的文檔。對以BAK為后綴的文件要特別小心���。
inc文件泄露問題�。攻擊原理:當(dāng)存在ASP的主頁正在制作且沒有進(jìn)行最后調(diào)試完成以前�����,可以被某些搜索引擎機(jī)動追加為搜索對象。如果這時候有人利用搜索引擎對這些網(wǎng)頁進(jìn)行查找�,會得到有關(guān)文件的定位,并能在瀏覽器中查看到數(shù)據(jù)庫地點(diǎn)和結(jié)構(gòu)的細(xì)節(jié)��,并以此揭示完整的源代碼�。
防范技巧:程序員應(yīng)該在網(wǎng)頁前對它進(jìn)行徹底的調(diào)試。首先對.inc文件內(nèi)容進(jìn)行加密�,其次也可以使用.asp文件代替.inc文件,使用戶無法從瀏覽器直接觀看文件的源代碼���。
3.2對ASP頁面進(jìn)行加密�����。為有效地防止ASP源代碼泄露�����,可以對ASP頁面進(jìn)行加密��。我們曾采用兩種方法對ASP頁面進(jìn)行加密�����。一是使用組件技術(shù)將編程邏輯封裝入DLL之中�;二是使用微軟的ScriptEncoder對ASP頁面進(jìn)行加密�����。3.3程序設(shè)計(jì)與驗(yàn)證不全漏洞
驗(yàn)證碼�。普遍的客戶端交互如留言本、會員注冊等僅是按照要求輸入內(nèi)容�,但網(wǎng)上有很多攻擊軟件,如注冊機(jī)�,可以通過瀏覽WEB,掃描表單���,然后在系統(tǒng)上頻繁注冊�����,頻繁發(fā)送不良信息�,造成不良的影響��,或者通過軟件不斷的嘗試����,盜取你的密碼。而我們使用通過使用驗(yàn)證碼技術(shù)��,使客戶端輸入的信息都必須經(jīng)過驗(yàn)證,從而可以解決這個問題����。
登陸驗(yàn)證。對于很多網(wǎng)頁���,特別是網(wǎng)站后臺管理部分��,是要求有相應(yīng)權(quán)限的用戶才能進(jìn)入操作的���。但是,如果這些頁面沒有對用戶身份進(jìn)行驗(yàn)證����,黑客就可以直接在地址欄輸入收集到的相應(yīng)的URL路徑,避開用戶登錄驗(yàn)證頁面�,從而獲得合法用戶的權(quán)限。所以��,登陸驗(yàn)證是非常必要的�����。
SQL注入。SQL注入是從正常的WWW端口訪問����,而且表面看起來跟一般的Web頁面訪問沒什么區(qū)別,所以目前市面的防火墻都不會對SQL注入發(fā)出警報(bào)�,如果管理員沒查看IIS日志的習(xí)慣�����,可能被入侵很長時間都不會發(fā)覺���。
SQL注入攻擊是最為常見的程序漏洞攻擊方式����,引起攻擊的根本原因就是盲目信任用戶�,將用戶輸入用來直接構(gòu)造SQL語句或存儲過程的參數(shù)。以下列出三種攻擊的形式:
A.用戶登錄:假設(shè)登錄頁面有兩個文本框��,分別用來供用戶輸入帳號和密碼��,利用執(zhí)行SQL語句來判斷用戶是否為合法用戶��。試想���,如果黑客在密碼文本框中輸入''''OR0=0�,即不管前面輸入的用戶帳號和密碼是什么,OR后面的0=0總是成立的�����,最后結(jié)果就是該黑客成為了合法的用戶�。
B.用戶輸入:假設(shè)網(wǎng)頁中有個搜索功能,只要用戶輸入搜索關(guān)鍵字�,系統(tǒng)就列出符合條件的所有記錄,可是�����,如果黑客在關(guān)鍵字文本框中輸入''''GODROPTABLE用戶表����,后果是用戶表被徹底刪除。
C.參數(shù)傳遞:假設(shè)我們有個網(wǎng)頁鏈接地址是HTTP://……asp?id=22�����,然后ASP在頁面中利用Request.QueryString[''''id'''']取得該id值��,構(gòu)成某SQL語句��,這種情況很常見?��?墒?,如果黑客將地址變?yōu)镠TTP://……asp?id=22anduser=0���,結(jié)果會怎樣?如果程序員有沒有對系統(tǒng)的出錯提示進(jìn)行屏蔽處理的話��,黑客就獲得了數(shù)據(jù)庫的用戶名,這為他們的進(jìn)一步攻擊提供了很好的條件�����。
解決方法:以上幾個例子只是為了起到拋磚引玉的作用�����,其實(shí)��,黑客利用“猜測+精通的sql語言+反復(fù)嘗試”的方式��,可以構(gòu)造出各種各樣的sql入侵��。作為程序員�,如何來防御或者降低受攻擊的幾率呢?作者在實(shí)際中是按以下方法做的:
第一:在用戶輸入頁面加以友好備注,告知用戶只能輸入哪些字符;
第二:在客戶端利用ASP自帶的校驗(yàn)控件和正則表達(dá)式對用戶輸入進(jìn)行校驗(yàn)�,發(fā)現(xiàn)非法字符,提示用戶且終止程序進(jìn)行�;
第三:為了防止黑客避開客戶端校驗(yàn)直接進(jìn)入后臺,在后臺程序中利用一個公用函數(shù)再次對用戶輸入進(jìn)行檢查����,一旦發(fā)現(xiàn)可疑輸入,立即終止程序����,但不進(jìn)行提示,同時��,將黑客IP���、動作���、日期等信息保存到日志數(shù)據(jù)表中以備核查。
第四:對于參數(shù)的情況�����,頁面利用QueryString或者Quest取得參數(shù)后�,要對每個參數(shù)進(jìn)行判斷處理����,發(fā)現(xiàn)異常字符����,要利用replace函數(shù)將異常字符過濾掉,然后再做下一步操作���。
第五:只給出一種錯誤提示信息�,服務(wù)器都只提示HTTP500錯誤���。
第六:在IIS中為每個網(wǎng)站設(shè)置好執(zhí)行權(quán)限。千萬別給靜態(tài)網(wǎng)站以“腳本和可執(zhí)行”權(quán)限�。一般情況下給個“純腳本”權(quán)限就夠了,對于那些通過網(wǎng)站后臺管理中心上傳的文件存放的目錄���,就更吝嗇一點(diǎn)吧�����,執(zhí)行權(quán)限設(shè)為“無”好了���。
第七:數(shù)據(jù)庫用戶的權(quán)限配置��。對于MS_SQL����,如果PUBLIC權(quán)限足夠使用的絕不給再高的權(quán)限�,千萬不要SA級別的權(quán)限隨隨便便地給。
3.4傳漏洞
諸如論壇���,同學(xué)錄等網(wǎng)站系統(tǒng)都提供了文件上傳功能����,但在網(wǎng)頁設(shè)計(jì)時如果缺少對用戶提交參數(shù)的過濾���,將使得攻擊者可以上傳網(wǎng)頁木馬等惡意文件�,導(dǎo)致攻擊事件的發(fā)生�����。
防文件上傳漏洞
在文件上傳之前�����,加入文件類型判斷模塊����,進(jìn)行過濾��,防止ASP�、ASA�、CER等類型的文件上傳。
暴庫�。暴庫,就是通過一些技術(shù)手段或者程序漏洞得到數(shù)據(jù)庫的地址�,并將數(shù)據(jù)非法下載到本地。
數(shù)據(jù)庫可能被下載���。在IIS+ASP網(wǎng)站中�����,如果有人通過各種方法獲得或者猜到數(shù)據(jù)庫的存儲路徑和文件名����,則該數(shù)據(jù)庫就可以被下載到本地�����。
數(shù)據(jù)庫可能被解密
由于Access數(shù)據(jù)庫的加密機(jī)制比較簡單����,即使設(shè)置了密碼,解密也很容易���。因此�����,只要數(shù)據(jù)庫被下載����,其信息就沒有任何安全性可言了����。
防止數(shù)據(jù)庫被下載。由于Access數(shù)據(jù)庫加密機(jī)制過于簡單����,有效地防止數(shù)據(jù)庫被下載,就成了提高ASP+Access解決方案安全性的重中之重����。以下兩種方法簡單、有效�。
非常規(guī)命名法��。為Access數(shù)據(jù)庫文件起一個復(fù)雜的非常規(guī)名字����,并把它放在幾個目錄下�。
使用ODBC數(shù)據(jù)源。在ASP程序設(shè)計(jì)中����,如果有條件,應(yīng)盡量使用ODBC數(shù)據(jù)源��,不要把數(shù)據(jù)庫名寫在程序中��,否則��,數(shù)據(jù)庫名將隨ASP源代碼的失密而一同失密��。
使用密碼加密��。經(jīng)過MD5加密�����,再結(jié)合生成圖片驗(yàn)證碼技術(shù)�����,暴力破解的難度會大大增強(qiáng)���。
使用數(shù)據(jù)備份�。當(dāng)網(wǎng)站被黑客攻擊或者其它原因丟失了數(shù)據(jù)�,可以將備份的數(shù)據(jù)恢復(fù)到原始的數(shù)據(jù),保證了網(wǎng)站在一些人為的�����、自然的不可避免的條件下的相對安全性��。
3.5SP木馬
由于ASP它本身是服務(wù)器提供的一項(xiàng)服務(wù)功能��,所以這種ASP腳本的木馬后門�,不會被殺毒軟件查殺。被黑客們稱為“永遠(yuǎn)不會被查殺的后門”�����。我在這里講講如何有效的發(fā)現(xiàn)web空間中的asp木馬并清除��。
技巧1:殺毒軟件查殺
一些非常有名的asp木馬已經(jīng)被殺毒軟件列入了黑名單,所以利用殺毒軟件對web空間中的文件進(jìn)行掃描����,可以有效的發(fā)現(xiàn)并清除這些有名的asp木馬。
技巧2:FTP客戶端對比
asp木馬若進(jìn)行偽裝�����,加密��,躲藏殺毒軟件��,怎么辦�����?
我們可以利用一些FTP客戶端軟件(例如cuteftp�,F(xiàn)lashFXP)提供的文件對比功能,通過對比FTP的中的web文件和本地的備份文件��,發(fā)現(xiàn)是否多出可疑文件����。
技巧3:用BeyondCompare2進(jìn)行對比
滲透性asp木馬,可以將代碼插入到指定web文件中�����,平常情況下不會顯示�����,只有使用觸發(fā)語句才能打開asp木馬����,其隱蔽性非常高。BeyondCompare2這時候就會作用比較明顯了�����。
技巧4:利用組件性能找asp木馬
如:思易asp木馬追捕����。
大家在查找web空間的asp木馬時,最好幾種方法結(jié)合起來�,這樣就能有效的查殺被隱藏起來的asp木馬。
結(jié)束語
總結(jié)了ASP木馬防范的十大原則供大家參考:
建議用戶通過FTP來上傳�、維護(hù)網(wǎng)頁,盡量不安裝asp的上傳程序���。
對asp上傳程序的調(diào)用一定要進(jìn)行身份認(rèn)證��,并只允許信任的人使用上傳程序���。
asp程序管理員的用戶名和密碼要有一定復(fù)雜性����,不能過于簡單���,還要注意定期更換�����。
到正規(guī)網(wǎng)站下載asp程序�,下載后要對其數(shù)據(jù)庫名稱和存放路徑進(jìn)行修改��,數(shù)據(jù)庫文件名稱也要有一定復(fù)雜性�。
要盡量保持程序是最新版本。
不要在網(wǎng)頁上加注后臺管理程序登陸頁面的鏈接�。
為防止程序有未知漏洞,可以在維護(hù)后刪除后臺管理程序的登陸頁面�,下次維護(hù)時再通過上傳即可。
要時常備份數(shù)據(jù)庫等重要文件�。
日常要多維護(hù),并注意空間中是否有來歷不明的asp文件���。
一旦發(fā)現(xiàn)被人侵���,除非自己能識別出所有木馬文件�����,否則要刪除所有文件。重新上傳文件前���,所有asp程序用戶名和密碼都要重置�����,并要重新修改程序數(shù)據(jù)庫名稱和存放路徑以及后臺管理程序的路徑�����。
做好以上防范措施�����,您的網(wǎng)站只能說是相對安全了�,決不能因此疏忽大意����,因?yàn)槿肭峙c反入侵是一場永恒的戰(zhàn)爭����!網(wǎng)站安全是一個較為復(fù)雜的問題��,嚴(yán)格的說�,沒有絕對安全的網(wǎng)絡(luò)系統(tǒng),我們只有通過不斷的改進(jìn)程序��,將各種可能出現(xiàn)的問題考慮周全�����,對潛在的異常情況進(jìn)行處理�,才能減少被黑客入侵的機(jī)會。
參考文獻(xiàn)
[1]袁志芳田曉芳李桂寶《ASP程序設(shè)計(jì)與WEB信息安全》中國教育信息化2007年21期.
篇7
(一)廣泛開展質(zhì)量宣傳教育��,營造全社會重視質(zhì)量安全的良好氛圍
充分發(fā)揮*時報(bào)���、*有線及區(qū)政府網(wǎng)站等新聞媒體的宣傳作用��,定期在*時報(bào)開設(shè)“質(zhì)量和安全年”專題欄目�,普及質(zhì)量安全教育知識�����,加大社會輿論監(jiān)督。精心組織開展“質(zhì)量月”�、迎世博“三五”集中行動、“世界標(biāo)準(zhǔn)日”等宣傳活動���,動員社會各界積極參與“質(zhì)量和安全年”活動���,形成全區(qū)上下重視質(zhì)量的良好氛圍����。
(二)大力實(shí)施品牌發(fā)展戰(zhàn)略,促進(jìn)區(qū)域經(jīng)濟(jì)平穩(wěn)較快增長
進(jìn)一步發(fā)揮品牌戰(zhàn)略對區(qū)域經(jīng)濟(jì)的促進(jìn)作用��,引導(dǎo)和鼓勵“老字號”企業(yè)提高自主創(chuàng)新能力和產(chǎn)品科技含量�,增強(qiáng)企業(yè)核心競爭力。保護(hù)和培育“著(馳)名商標(biāo)”�,強(qiáng)化品牌商標(biāo)的監(jiān)管力度,增強(qiáng)企業(yè)運(yùn)用商標(biāo)謀求發(fā)展的能力�����。深入開展知識產(chǎn)權(quán)試點(diǎn)企業(yè)創(chuàng)建活動�,提高品牌企業(yè)對知識產(chǎn)權(quán)的創(chuàng)造���、保護(hù)、運(yùn)用及管理能力��。夯實(shí)名牌企業(yè)質(zhì)量管理基礎(chǔ)�,引導(dǎo)企業(yè)實(shí)施卓越績效質(zhì)量管理模式,鼓勵企業(yè)爭創(chuàng)*市質(zhì)量金獎��、市長質(zhì)量獎等榮譽(yù)稱號���。采取有效措施���,培育一批擁有知名自主品牌和知識產(chǎn)權(quán)的支柱企業(yè)和產(chǎn)業(yè)集群,形成“企業(yè)自主創(chuàng)新�����、順應(yīng)市場發(fā)展�、政府積極推進(jìn)”的品牌發(fā)展新局面。
(三)切實(shí)推動標(biāo)準(zhǔn)化引領(lǐng)戰(zhàn)略�����,提升世博窗口服務(wù)質(zhì)量
積極推進(jìn)南京路商貿(mào)、餐飲�、住宿行業(yè)服務(wù)標(biāo)準(zhǔn)化工作,切實(shí)規(guī)范區(qū)域公共信息圖形標(biāo)志��,不斷提高城區(qū)公共管理水平����。樹立“誠信經(jīng)營促發(fā)展,微笑服務(wù)添光彩”服務(wù)理念����,優(yōu)化商業(yè)服務(wù)結(jié)構(gòu),提升旅游�、商貿(mào)、交通等世博窗口服務(wù)能級�����,提高區(qū)域整體服務(wù)質(zhì)量和顧客滿意度�,突出體現(xiàn)標(biāo)準(zhǔn)化工作在建設(shè)誠信��、溫馨和放心的世博服務(wù)區(qū)工作中的積極作用�����。
(四)深化實(shí)施以質(zhì)取勝戰(zhàn)略�����,夯實(shí)質(zhì)量工作發(fā)展基礎(chǔ)
切實(shí)落實(shí)生產(chǎn)企業(yè)產(chǎn)品質(zhì)量的第一責(zé)任,促使企業(yè)樹立以質(zhì)量為生命���、以誠信為根本的發(fā)展理念�����,健全企業(yè)質(zhì)量管理制度��,按照產(chǎn)品安全標(biāo)準(zhǔn)和質(zhì)量標(biāo)準(zhǔn)配備檢測設(shè)備����,對生產(chǎn)經(jīng)營全過程開展質(zhì)量控制和檢測檢驗(yàn)�����,確保產(chǎn)品質(zhì)量安全����。切實(shí)加強(qiáng)質(zhì)量宏觀管理,不斷豐富質(zhì)量興區(qū)工作內(nèi)涵����。充分發(fā)揮社會中介機(jī)構(gòu)和社會團(tuán)體的行業(yè)自律作用����,加強(qiáng)對企業(yè)的指導(dǎo)和服務(wù)�。完善各街道積極參與的社區(qū)質(zhì)量監(jiān)管網(wǎng)絡(luò)。
(五)全面加強(qiáng)質(zhì)量安全監(jiān)管�����,創(chuàng)造平安�����、和諧的民生環(huán)境
研究制定世博服務(wù)區(qū)食品安全�����、特種設(shè)備安全和產(chǎn)品質(zhì)量安全的保障方案���,確保食品、產(chǎn)品的質(zhì)量安全和特種設(shè)備運(yùn)行安全�。以貫徹實(shí)施《食品安全法》為契機(jī),開展對食用農(nóng)產(chǎn)品以及食品安全的集中整治����;加大對涉及人身安全的裝飾材料��、小家電�����、絮用纖維產(chǎn)品的打假治劣力度�。加強(qiáng)對建設(shè)工程中設(shè)備質(zhì)量的監(jiān)管�,開展對住宅工程質(zhì)量的專項(xiàng)整治;加大市場綜合監(jiān)管力度�,嚴(yán)厲打擊“吊模斬客”等違法行為,深化“百城萬店無假貨活動”���,建立各類企業(yè)質(zhì)量誠信檔案���,形成安商、留商���、穩(wěn)商���、富商的社會風(fēng)氣,保障民生安全��,創(chuàng)造平安、和諧的城區(qū)環(huán)境�。
二、指導(dǎo)思想
以學(xué)習(xí)實(shí)踐科學(xué)發(fā)展觀為指導(dǎo)�,按照區(qū)委、區(qū)政府“保增長�、迎世博、攻舊改��、重民生���、促和諧”的總體要求����,認(rèn)真貫徹實(shí)施《*區(qū)質(zhì)量工作三年行動計(jì)劃》�,圓滿完成各項(xiàng)質(zhì)量目標(biāo)任務(wù),深入推進(jìn)質(zhì)量興區(qū)工作,切實(shí)加強(qiáng)質(zhì)量安全監(jiān)管��,不斷提高質(zhì)量保障能力�,努力打造安全放心的世博環(huán)境,不斷提升我區(qū)質(zhì)量安全總體水平���。
三�、工作要求
(一)完善工作體系
進(jìn)一步健全政府負(fù)總責(zé)��、監(jiān)管部門各負(fù)其責(zé)�、企業(yè)作為第一責(zé)任人、行業(yè)質(zhì)量自律的質(zhì)量責(zé)任體系��,努力構(gòu)建“各方參與��、責(zé)任明確�����、服務(wù)到位�、監(jiān)管嚴(yán)格”的區(qū)域質(zhì)量工作體系。健全區(qū)質(zhì)量工作聯(lián)席會議制度�,并作為統(tǒng)籌協(xié)調(diào)“質(zhì)量和安全年”活動的領(lǐng)導(dǎo)協(xié)調(diào)機(jī)構(gòu),具體工作由區(qū)質(zhì)量技監(jiān)局負(fù)責(zé)��。
(二)加強(qiáng)工作指導(dǎo)
認(rèn)真落實(shí)區(qū)質(zhì)量工作聯(lián)席會議精神�����,加強(qiáng)部門間協(xié)調(diào)配合����,強(qiáng)化對企業(yè)的指導(dǎo)幫助,合力推進(jìn)“質(zhì)量和安全年”工作全面開展�����。及時研究質(zhì)量工作中存在的具體困難和問題,進(jìn)一步鞏固《區(qū)質(zhì)量工作三年行動計(jì)劃》中的優(yōu)勢指標(biāo)��,加大對尚未完成指標(biāo)的推進(jìn)力度�,完善*區(qū)質(zhì)量狀況分析報(bào)告制度。
(三)抓好工作督查
充分發(fā)揮區(qū)質(zhì)量工作聯(lián)席會議領(lǐng)導(dǎo)協(xié)調(diào)作用����,加強(qiáng)對本區(qū)“質(zhì)量和安全年”活動的監(jiān)督檢查,評估活動開展的進(jìn)度和成效�,確保“質(zhì)量和安全年”各項(xiàng)工作落實(shí)到位��。
篇8
關(guān)鍵詞:Linux服務(wù)器�����;安全隱患�����;攻擊���;防護(hù)措施
中圖分類號:TP393.0 文獻(xiàn)標(biāo)識碼:A
Abstract:Linux system as a mainstream network server is facing increasingly serious security problems���,various attacks and vulnerabilities impose devastating losses on businesses.In this paper���,we analyze and summarize the security risks of the Linux server according to the safety problem�����,and researching the familiar attack methods in Linux system.Finally��,we represent some effective protective measures combining with the practical experience.
Keywords:Linux server���;security risks��;attack����;protective measures
1 引言(Introduction)
隨著信息技術(shù)的廣泛應(yīng)用��,承載企業(yè)重要資料和信息的服務(wù)器扮演著極為重要的角色�,很多企業(yè)和單位都搭建了服務(wù)器,一旦服務(wù)器受到破壞或發(fā)生故障��,將會給企業(yè)帶來巨大的經(jīng)濟(jì)損失�����,所以服務(wù)器的安全是十分重要的。
目前�����,由于很多具有攻擊性的程序����,如病毒、木馬等大多是針對Windows系統(tǒng)開發(fā)��,故Linux系統(tǒng)一直被認(rèn)為是安全穩(wěn)定的�����,很多大型的網(wǎng)站和公司都傾向于使用Linux操作系統(tǒng)作為服務(wù)器平臺�。但是安全總是相對的,目前針對Linux系統(tǒng)的入侵和攻擊手段愈來愈多�����,Linux服務(wù)器本身的漏洞也愈來愈多�����,Linux服務(wù)器的安全風(fēng)險正在日益增長,如何應(yīng)對千變?nèi)f化的攻擊并保證Linux服務(wù)器的安全����,已成為至關(guān)重要的課題。
本文將詳細(xì)分析常見的Linux服務(wù)器安全隱患和攻擊手段�,并提出一些具體的防護(hù)措施。
2 Linux服務(wù)器的安全隱患(The security risks of
Linux server)
我們將Linux服務(wù)器的安全隱患總結(jié)為以下三點(diǎn):
(1)Linux系統(tǒng)自身的安全漏洞��;
(2)Linux服務(wù)的安全隱患�;
(3)Linux的網(wǎng)絡(luò)安全隱患����。
下面詳細(xì)分析這三點(diǎn)隱患。
2.1 Linux系統(tǒng)自身的安全漏洞
任何系統(tǒng)都不是絕對完美的�,Linux系統(tǒng)也是如此,隨著Linux應(yīng)用的復(fù)雜化和開源化���,Linux操作系統(tǒng)自身的漏洞也逐漸增多�����,我們將其分為以下幾點(diǎn):
(1)Linux賬號漏洞
Linux賬號漏洞也可以稱為權(quán)限提升漏洞�,這類漏洞一般都是來自系統(tǒng)自身或程序的缺陷,使得攻擊者可以在遠(yuǎn)程登錄時獲得root管理員權(quán)限���。以RedHat系統(tǒng)為例����,其某個版本曾經(jīng)存在賬號漏洞�����,使得黑客入侵系統(tǒng)時通過執(zhí)行特定的腳本可以輕松獲得root級別的權(quán)限���。此外�,如果普通用戶在重啟系統(tǒng)后通過單用戶模式進(jìn)入Linux系統(tǒng)�����,通過修改Passwd賬號文件�,也可以獲取root權(quán)限。
(2)Linux文件系統(tǒng)漏洞
Linux文件系統(tǒng)的安全保障是靠設(shè)置文件權(quán)限來實(shí)現(xiàn)的��。Linux的文件權(quán)限包括三個屬性�����,分別是所有者,用戶組和其他人的權(quán)限���,權(quán)限包括讀����、寫����、執(zhí)行、允許SUID���、允許SGID等。黑客會利用SUID和SGID獲得某些程序的運(yùn)行權(quán)限�。另外黑客還可能修改一些可執(zhí)行文件的腳本,讓用戶在登錄時執(zhí)行從而達(dá)到破壞系統(tǒng)的目的����。
(3)Linux內(nèi)核漏洞
系統(tǒng)內(nèi)核出現(xiàn)漏洞往往是很危險的,Linux的內(nèi)核短小精悍���、穩(wěn)定性和擴(kuò)展性好���,但是其內(nèi)核的漏洞卻不少。例如2003年9月份被發(fā)現(xiàn)的do_brk()邊界檢查不充分漏洞可以使攻擊者可以繞過系統(tǒng)安全防護(hù),直接對內(nèi)核區(qū)域進(jìn)行操作��。再比如Linux內(nèi)核中的整數(shù)溢出漏洞會導(dǎo)致內(nèi)核中的數(shù)據(jù)被破壞�����,從而使得系統(tǒng)崩潰�。
2.2 Linux服務(wù)的安全隱患
Linux系統(tǒng)上的服務(wù)種類繁多,其中網(wǎng)絡(luò)服務(wù)最為重要�,網(wǎng)絡(luò)服務(wù)主要用來搭建各種服務(wù)器,下面我們就針對不同的網(wǎng)絡(luò)服務(wù)探討Linux系統(tǒng)的安全隱患�。
(1)Apache服務(wù)的安全隱患
Apache是最為常見的開源WEB網(wǎng)站服務(wù)器程序,如果Apache服務(wù)出現(xiàn)漏洞將會對網(wǎng)站造成極大的威脅��。目前Apache服務(wù)漏洞主要包括拒絕服務(wù)攻擊���、文件描述符泄露���、日志記錄失敗等問題。
一些Apache服務(wù)的模塊也可能存在漏洞��,例如Apache的線程多處理模塊(MPM)和Apache mod_cache模塊中的cache_util.c可以引發(fā)服務(wù)器系統(tǒng)的崩潰�。
(2)BIND域名服務(wù)的安全隱患
很多Linux域名服務(wù)器都采用BIND(Berkeley Internet Name Domain)軟件包,據(jù)統(tǒng)計(jì)互聯(lián)網(wǎng)上的DNS服務(wù)器有一半以上用的是有漏洞的BIND版本���。常見的BIND漏洞有:solinger bug�,黑客可以利用其讓BIND服務(wù)產(chǎn)生間隔為120秒以上的暫停;fdmax bug����,可以造成DNS服務(wù)器的崩潰;nxt bug�,允許黑客以運(yùn)行DNS服務(wù)的身份(默認(rèn)為root)進(jìn)入系統(tǒng)。
(3)SNMP服務(wù)的安全隱患
SNMP的全稱是簡單網(wǎng)絡(luò)管理協(xié)議����,Linux中SNMP服務(wù)的作用是管理監(jiān)控整個核心網(wǎng)絡(luò),黑客利用SNMP的漏洞可以控制整片區(qū)域的網(wǎng)絡(luò)���。常見的SNMP漏洞有:Net-SNMP安全漏洞���,黑客通過發(fā)送畸形的SNMP報(bào)文使服務(wù)器程序發(fā)生溢出����,而導(dǎo)致系統(tǒng)崩潰[1];SNMP口令漏洞����,SNMPv1版本使用明文口令����,默認(rèn)情況下系統(tǒng)自動開啟并使用默認(rèn)口令public�����,這是很多管理者經(jīng)常忽略的問題[2]�����。
2.3 Linux的網(wǎng)絡(luò)安全隱患
Linux作為網(wǎng)絡(luò)操作系統(tǒng)�����,要頻繁的與網(wǎng)絡(luò)交互數(shù)據(jù)包�,很多數(shù)據(jù)包經(jīng)過偽裝進(jìn)入系統(tǒng)內(nèi)部,會給系統(tǒng)帶來破壞��。較為常見的Linux網(wǎng)絡(luò)安全隱患有:
(1)口令隱患
口令是操作系統(tǒng)的首道屏障��,黑客入侵服務(wù)器的第一步往往就是破解口令�����。Linux操作系統(tǒng)的口令以文件的形式保存在系統(tǒng)中����,例如RedHat版本中口令保存在/etc/passwd中��。如果文件中存在不設(shè)口令或者弱口令的賬號��,就很容易被黑客破解����。
(2)TCP/IP隱患
TCP/IP協(xié)議棧是網(wǎng)絡(luò)操作系統(tǒng)內(nèi)核中的重要模塊�����,從應(yīng)用層產(chǎn)生的網(wǎng)絡(luò)數(shù)據(jù)都要經(jīng)過TCP/IP協(xié)議的逐層封裝才能發(fā)送到網(wǎng)絡(luò)中去���。當(dāng)協(xié)議棧收到一些特殊的網(wǎng)絡(luò)數(shù)據(jù)時就會發(fā)生異常�。例如TCP模塊收到SYN報(bào)文后��,會回復(fù)一個ACK報(bào)文并稍帶自己的SYN序號�����,這時如果黑客再回復(fù)一個RST報(bào)文�,服務(wù)器就會重置TCP信息����,這樣黑客就可以在不暴露自己信息情況下對服務(wù)器進(jìn)行端口掃描�。
還有一些黑客給服務(wù)器的某個端口發(fā)送大量的SYN報(bào)文���,而自己不回復(fù)確認(rèn)���,這樣就會消耗服務(wù)器的資源而造成其癱瘓[3]。
3 針對Linux服務(wù)器的攻擊手段(The means of
attack to Linux server)
在信息安全領(lǐng)域�����,攻擊是指在未經(jīng)授權(quán)的情況下進(jìn)入信息系統(tǒng)�,對系統(tǒng)進(jìn)行更改、破壞或者竊取信息等行為的總稱�。在Linux服務(wù)器中,攻擊行為主要可以概括為:
(1)口令入侵:對于一些采用弱口令的賬戶�,黑客可以很輕松的通過暴力破解窮舉口令以獲得賬戶的權(quán)限。目前有很多口令破解的工具��,例如字典破解工具將常見的口令和有意義的詞組錄入到字典庫中��,破解的時候優(yōu)先選擇這些常見的口令�����,可以大大的減少窮舉的時間。另外�,隨著計(jì)算機(jī)處理能力的發(fā)展,口令破解對于普通人來說已經(jīng)不是難事���,如果口令長度不長���,組合不復(fù)雜,破解時間都在可以接受的范圍內(nèi)����。
(2)木馬病毒:木馬病毒是指植入到計(jì)算機(jī)系統(tǒng)中可以破壞或竊據(jù)機(jī)密信息的隱藏程序,木馬一般常見于客戶端主機(jī)����,但也可能潛伏在Linux服務(wù)器中,例如Linux.Plupii.C木馬可以通過系統(tǒng)漏洞傳播����,打開服務(wù)器的UDP端口27015以允許黑客遠(yuǎn)程控制服務(wù)器。
(3)端口掃描:端口掃描是黑客入侵服務(wù)器的第一步����,通過端口掃描,黑客可以獲知服務(wù)器的相關(guān)信息。端口是應(yīng)用層網(wǎng)絡(luò)進(jìn)程的標(biāo)識���,入侵計(jì)算機(jī)系統(tǒng)的實(shí)質(zhì)是入侵系統(tǒng)中的進(jìn)程,所以獲知端口是否開啟后才能實(shí)施真正的攻擊����。端口掃描的原理是利用系統(tǒng)的網(wǎng)絡(luò)漏洞,繞過防火墻并獲得服務(wù)器的回復(fù)����,例如常見的S掃描就是利用TCP建立連接時三次握手的漏洞,在最后一次握手時發(fā)給服務(wù)器重置命令�����,在獲得服務(wù)器端口信息后讓服務(wù)器刪除和自己相關(guān)的連接信息�����。
(4)拒絕服務(wù)攻擊:拒絕服務(wù)攻擊是指通過某種手段使得服務(wù)器無法向客戶端提供服務(wù)�,拒絕服務(wù)攻擊可能是最不容易防護(hù)的攻擊手段,因?yàn)閷τ诜?wù)器而言向外提供服務(wù)的形式是開放的�����,我們很難判斷請求服務(wù)的主機(jī)是否為入侵者,當(dāng)大量的主機(jī)發(fā)送請求時�,服務(wù)器就會因?yàn)橘Y源耗光而陷入癱瘓。
(5)緩沖區(qū)溢出:緩沖區(qū)溢出是指經(jīng)過精心設(shè)計(jì)的程序?qū)⑾到y(tǒng)內(nèi)執(zhí)行程序的緩沖區(qū)占滿而發(fā)生溢出����,溢出的數(shù)據(jù)可能會使系統(tǒng)跳轉(zhuǎn)執(zhí)行其他非法程序或造成系統(tǒng)崩潰。緩沖區(qū)溢出的原因是程序員編寫程序時沒有檢查數(shù)據(jù)長度造成的��。
(6)僵尸網(wǎng)絡(luò):僵尸網(wǎng)絡(luò)是指受黑客控制的大量主機(jī)�����,這些主機(jī)可以同時對一個服務(wù)器發(fā)起攻擊��,而自身卻不知情��。這種攻擊手段是很隱秘的�����,很難查到攻擊者的真實(shí)身份���。
(7)網(wǎng)絡(luò)監(jiān)聽:網(wǎng)絡(luò)監(jiān)聽是指通過某種手段截獲主機(jī)之間的通信數(shù)據(jù)以獲得口令等重要信息�。一些常見網(wǎng)絡(luò)監(jiān)聽工具可以解析網(wǎng)段內(nèi)的所有數(shù)據(jù)����,此時如果主機(jī)之間的通信是明文傳輸?shù)?,黑客就可輕而易舉地讀取包括口令在內(nèi)的所有信息資料��。
(8)網(wǎng)絡(luò)欺騙:網(wǎng)絡(luò)欺騙包括IP地址欺騙��、WWW欺騙����、DNS欺騙�、ARP欺騙等一系列欺騙方法。其主要目的是通過虛假的網(wǎng)絡(luò)信息欺騙目的主機(jī)���,已達(dá)到擾亂通信的目的�����。
4 Linux服務(wù)器的防護(hù)措施(The protective
measures of Linux server)
針對以上漏洞和攻擊�,Linux服務(wù)器的防護(hù)措施主要可以分為系統(tǒng)安全防護(hù)和網(wǎng)絡(luò)安全防護(hù)兩類����,下面逐一介紹:
4.1 Linux系統(tǒng)安全防護(hù)措施
(1)系統(tǒng)賬號及口令安全:對于網(wǎng)絡(luò)服務(wù)器而言,很多賬戶都是不必要的���,賬號越多�����,系統(tǒng)就越易受攻擊�����。所以應(yīng)該最大限度的刪除多余賬戶����,并對用戶賬號設(shè)置安全級別,以保證每個賬號的權(quán)限都被限制在被允許的范圍內(nèi)���。
另外還要確保每個已有賬戶都設(shè)置了復(fù)雜度高的口令���,口令的復(fù)雜度設(shè)置可以通過修改/etc/login.defs文件來實(shí)現(xiàn),其中的PASS_MAX_DAYS表示密碼最長的過期天數(shù)��,PASS_MIN_DAYS用來設(shè)置密碼最小的過期天數(shù)��,PASS_MIN_LEN表示密碼最小的長度�,PASS_WARN_AGE表示密碼過期后的警告天數(shù)。
口令文件的安全性也至關(guān)重要�����,我們可以通過chattr命令給口令文件加入只讀屬性:chattr+i/etc/passwd,這樣口令文件就不能隨意被修改了����。
(2)文件安全設(shè)置:Linux的文件系統(tǒng)提供了訪問控制的功能,訪問控制的客體是文件和目錄���,主體是用戶,包括文件或目錄的所有者�,用戶所在組及其他組。訪問控制的操作包括讀(r)�����、寫(w)和執(zhí)行(x)�����,管理員根據(jù)不同的權(quán)限設(shè)置關(guān)于主體的能力表以及關(guān)于客體的訪問控制列表�����。
(3)系統(tǒng)日志:Linux服務(wù)器的系統(tǒng)日志也是應(yīng)該被關(guān)注的設(shè)置��,因?yàn)槿罩疚募敿?xì)的記錄了系統(tǒng)發(fā)生的各類事件,例如系統(tǒng)的錯誤記錄�����,每次用戶登錄系統(tǒng)記錄��,各種服務(wù)的運(yùn)行記錄以及網(wǎng)絡(luò)用戶的訪問記錄等等�。如果服務(wù)器遭受到攻擊,管理員可以通過日志追蹤到黑客留下的痕跡��,另外��,當(dāng)涉及到法律糾紛時��,系統(tǒng)日志經(jīng)過專業(yè)人員提取還可以作為電子證據(jù)����。
(4)服務(wù)安全:Linux服務(wù)器中往往開啟了很多服務(wù),首先應(yīng)該確定的是哪些服務(wù)是不必要的�,可以通過chkconfig命令關(guān)閉系統(tǒng)自啟動的服務(wù)。接下來要在必須啟動的服務(wù)中找到存在的風(fēng)險��,例如apache服務(wù)的目錄瀏覽功能會使訪問者進(jìn)入網(wǎng)站的根目錄�,并能瀏覽其中的所有文件。
(5)安全工具:Linux服務(wù)器中帶有很多安全工具方便管理員的使用���,例如SSH可以加密傳輸數(shù)據(jù)����,Tcpdump可以用來檢查網(wǎng)絡(luò)通訊的原始數(shù)據(jù)。
4.2 Linux網(wǎng)絡(luò)安全防護(hù)措施
Linux網(wǎng)絡(luò)服務(wù)器也采用了傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)手段�����,即防火墻與入侵檢測系統(tǒng)��。防火墻是保護(hù)內(nèi)網(wǎng)的屏障�,它過濾并分析網(wǎng)絡(luò)數(shù)據(jù)包,阻止有威脅的數(shù)據(jù)進(jìn)入����;入侵檢測是內(nèi)網(wǎng)和系統(tǒng)內(nèi)部的監(jiān)控器�����,它分析異常數(shù)據(jù)并作出報(bào)警��,有些入侵檢測還會與防火墻聯(lián)動���,一同保護(hù)服務(wù)器的安全���。Linux系統(tǒng)中的Iptables和Snort是比較成熟的防火墻和入侵檢測系統(tǒng)�����,下面我們逐一介紹:
(1)防火墻:Iptables����,目前使用的最新版本是Linux 2.4內(nèi)核中的Netfilter/Iptables包過濾機(jī)制[4]��。Iptables包括三個功能表����,分別完成數(shù)據(jù)包過濾、網(wǎng)絡(luò)地址轉(zhuǎn)換和數(shù)據(jù)拆分的任務(wù)�����。每個表中有若干規(guī)則連:這五個位置也被稱為五個鉤子函數(shù)(hook functions)����,也叫五個規(guī)則鏈:PREROUTING(路由前)、INPUT(數(shù)據(jù)包流入鏈)�、FORWARD(轉(zhuǎn)發(fā)鏈)、OUTPUT(數(shù)據(jù)包出口鏈)���、POSTROUTING(路由后)�,不同的鏈用于不同位置的數(shù)據(jù),每個鏈中又可以包含若干條規(guī)則[5]��。
(2)入侵檢測:Snort是一個免費(fèi)的輕量級網(wǎng)絡(luò)入侵檢測系統(tǒng)��。它能兼容多個不同的操作系統(tǒng)平臺�,可以用于監(jiān)視小型網(wǎng)絡(luò)或者服務(wù)器系統(tǒng)內(nèi)部的服務(wù),在進(jìn)行網(wǎng)絡(luò)監(jiān)控時Snort可以將網(wǎng)絡(luò)數(shù)據(jù)與入侵檢測規(guī)則做模式匹配���,從而檢測出可能的入侵?jǐn)?shù)據(jù)���,同時Snort也可以使用統(tǒng)計(jì)學(xué)的方法對網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行異常檢測[6]。
5 結(jié)論(Conclusion)
針對Linux的攻擊手段日益增多��,Linux服務(wù)器的安全隱患也隨之增大��,對于企業(yè)而言���,總結(jié)出一整套有效且規(guī)范的防護(hù)措施是極為必要的。本文結(jié)合實(shí)際工作經(jīng)驗(yàn)�,分析并總結(jié)了Linux服務(wù)器存在的安全隱患和常見的攻擊手段,提出了一些措施與方法���。
參考文獻(xiàn)(References)
[1] 思科系統(tǒng)公司.網(wǎng)絡(luò)互聯(lián)故障排除手冊[R].北京:電子工業(yè)出版社�����,2002:120-125.
[2] 胡冠宇��,陳滿林�,王維.SNMP網(wǎng)絡(luò)管理安全性研究與應(yīng)用[J].哈爾濱師范大學(xué)自然科學(xué)學(xué)報(bào),2010�����,26(3):95-98.
[3] 劉曉萍.Linux2.4內(nèi)核TCP/IP協(xié)議棧安全性研究[D].中國人民信息工程大學(xué)����,2004:10-11.
[4] 董劍安,王永剛��,吳秋峰.iptables防火墻的研究與實(shí)現(xiàn)[J].計(jì)算機(jī)工程與應(yīng)用����,2003,39(17):161-163.
[5] 王波.Linux網(wǎng)絡(luò)技術(shù)[M].北京:機(jī)械工業(yè)出版社����,2007.
[6] 郭兆豐����,徐興元����,刑靜宇.Snort在入侵檢測系統(tǒng)中的應(yīng)用[J].大眾科技,2007(2):69-71.
作者簡介:
