序論:速發(fā)表網(wǎng)結(jié)合其深厚的文秘經(jīng)驗(yàn),特別為您篩選了11篇網(wǎng)絡(luò)安全與攻防范文����。如果您需要更多原創(chuàng)資料,歡迎隨時(shí)與我們的客服老師聯(lián)系��,希望您能從中汲取靈感和知識(shí)���!
篇1
[關(guān)鍵詞]
網(wǎng)絡(luò)系統(tǒng)����;攻防特點(diǎn)�;安全策略
一、引言
伴隨著網(wǎng)絡(luò)系統(tǒng)使用的范圍不斷擴(kuò)大�����,網(wǎng)絡(luò)系統(tǒng)的安全問題也越來越多的暴露出來。網(wǎng)絡(luò)系統(tǒng)的安全問題與網(wǎng)絡(luò)系統(tǒng)攻防特點(diǎn)有直接的關(guān)系����。本文介紹了網(wǎng)絡(luò)系統(tǒng)攻防的特點(diǎn),主要包括攻網(wǎng)絡(luò)防技術(shù)的特點(diǎn)����、網(wǎng)絡(luò)攻防成本的特點(diǎn)、網(wǎng)絡(luò)攻防主體���、網(wǎng)絡(luò)攻防空間的特點(diǎn)和網(wǎng)絡(luò)攻防發(fā)展的特點(diǎn)���。結(jié)合目前網(wǎng)絡(luò)系統(tǒng)安全性現(xiàn)狀�,做出了維護(hù)網(wǎng)絡(luò)系統(tǒng)安全性的安全策略。希望通過本文的介紹�,能夠?yàn)榫S護(hù)網(wǎng)絡(luò)系統(tǒng)安全提供理論依據(jù)和指導(dǎo)意見。
二�、網(wǎng)絡(luò)系統(tǒng)攻防特點(diǎn)
網(wǎng)絡(luò)系統(tǒng)包括網(wǎng)絡(luò)攻擊系統(tǒng)和網(wǎng)絡(luò)防御系統(tǒng),網(wǎng)絡(luò)攻擊系統(tǒng)和網(wǎng)絡(luò)防御系統(tǒng)的聯(lián)系是非常密切的�。所謂網(wǎng)絡(luò)攻擊系統(tǒng)是指攻擊者利用網(wǎng)絡(luò)系統(tǒng)搜集被攻擊網(wǎng)絡(luò)的信息,搜集之后進(jìn)行對(duì)比���、研究��,發(fā)現(xiàn)被攻擊網(wǎng)絡(luò)的漏洞��,針對(duì)漏洞進(jìn)行攻擊����,進(jìn)而達(dá)到監(jiān)視或者控制被攻擊網(wǎng)絡(luò)的目的���,甚至造成被攻擊網(wǎng)絡(luò)癱瘓��。網(wǎng)絡(luò)攻擊可以是大范圍的攻擊�,采用的方式有很多種,并且攻擊的隱蔽性好�����。網(wǎng)絡(luò)防御系統(tǒng)是與網(wǎng)絡(luò)攻擊系統(tǒng)對(duì)立的�����,網(wǎng)絡(luò)防御系統(tǒng)通過加密技術(shù)和身份認(rèn)證等技術(shù),保護(hù)網(wǎng)絡(luò)能夠抵御外界攻擊并且保證傳輸?shù)臄?shù)據(jù)信息等不被監(jiān)視���。網(wǎng)絡(luò)防御的范圍相對(duì)比較小�����,只能對(duì)特定范圍的計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行保護(hù)�。網(wǎng)絡(luò)系統(tǒng)攻防特點(diǎn)主要包括攻網(wǎng)絡(luò)防技術(shù)的特點(diǎn)、網(wǎng)絡(luò)攻防成本的特點(diǎn)��、網(wǎng)絡(luò)攻防主體、網(wǎng)絡(luò)攻防空間的特點(diǎn)和網(wǎng)絡(luò)攻防發(fā)展的特點(diǎn)��。下面對(duì)網(wǎng)絡(luò)系統(tǒng)攻防的特點(diǎn)逐條進(jìn)行介紹����。
1、網(wǎng)絡(luò)攻防技術(shù)的特點(diǎn)網(wǎng)絡(luò)系統(tǒng)本身是屬于技術(shù)含量非常高的�,但是,正是由于科學(xué)技術(shù)的不斷發(fā)展��,產(chǎn)生了一系列雖然本身技術(shù)含量高�����,可是操作卻相對(duì)比較容易的網(wǎng)絡(luò)攻擊系統(tǒng)��。攻擊的操作者不需要對(duì)網(wǎng)絡(luò)有太高深的理解�,只要按照相關(guān)提示進(jìn)行操作便可實(shí)現(xiàn)網(wǎng)絡(luò)攻擊。針對(duì)網(wǎng)絡(luò)應(yīng)用軟件�、網(wǎng)站等等存在漏洞和缺陷是可以理解的,正是由于存在漏洞的缺陷在能促進(jìn)其不斷完善。正常情況下有關(guān)應(yīng)用軟件���、網(wǎng)站的漏洞和缺陷應(yīng)該屬于機(jī)密�����,外界人員是不能知道的�����,但是�,目前這些本應(yīng)屬于機(jī)密的文件在網(wǎng)絡(luò)上可以很輕易地獲知�����,這就對(duì)應(yīng)用軟件和網(wǎng)站構(gòu)成了潛在的威脅�����,導(dǎo)致網(wǎng)絡(luò)的安全性和穩(wěn)定性處在隨時(shí)可能被破壞的陰影之下��。一些網(wǎng)絡(luò)攻擊者本身對(duì)網(wǎng)絡(luò)系統(tǒng)和網(wǎng)絡(luò)攻防系統(tǒng)非常了解��,進(jìn)而開發(fā)了網(wǎng)絡(luò)攻擊工具或者網(wǎng)絡(luò)攻擊軟件��,配備詳細(xì)的使用說明進(jìn)行銷售�����,從而使得很多人都能夠應(yīng)用這些攻擊工具或者網(wǎng)絡(luò)攻擊軟件進(jìn)行網(wǎng)絡(luò)攻擊����,破壞性和不良影響非常巨大。與網(wǎng)絡(luò)攻擊系統(tǒng)向?qū)α⒌木W(wǎng)絡(luò)防御系統(tǒng)����,對(duì)防御技術(shù)的要求就要高很多。目前�,很多人都只具備簡(jiǎn)單的網(wǎng)絡(luò)常識(shí),例如安裝防護(hù)軟件����,網(wǎng)絡(luò)查殺病毒等等��。當(dāng)遇到有針對(duì)性的攻擊時(shí)���,往往素手無(wú)策,需要專業(yè)的人員才能解決問題����。
2、網(wǎng)絡(luò)攻防成本的特點(diǎn)通常網(wǎng)絡(luò)系統(tǒng)的攻擊成本是非常廉價(jià)的����,只要一臺(tái)能夠上網(wǎng)的計(jì)算機(jī)就能實(shí)現(xiàn),并且很有可能只是通過這樣廉價(jià)的設(shè)施在短時(shí)間內(nèi)就能破壞很大的網(wǎng)絡(luò)系統(tǒng)��,造成網(wǎng)絡(luò)系統(tǒng)數(shù)據(jù)損失或者整個(gè)網(wǎng)絡(luò)系統(tǒng)運(yùn)行癱瘓��,損失的人力和金錢是相當(dāng)巨大的�����。網(wǎng)絡(luò)攻擊甚至能夠針對(duì)衛(wèi)星進(jìn)行攻擊���,特別是發(fā)射時(shí)間比較靠前的衛(wèi)星��,因?yàn)槿狈Ρ匾陌踩雷o(hù)措施����,在受到攻擊之后不具備防御能力����,非常容易遭到干擾。就算是針對(duì)近年來發(fā)射的本身自帶防御措施的衛(wèi)星���,網(wǎng)絡(luò)攻擊者仍然能夠有漏洞可以鉆����,潛在的危害非常大�。
3、網(wǎng)絡(luò)攻防主體的特點(diǎn)傳統(tǒng)的實(shí)體較量中�����,攻防較量的雙方通常應(yīng)該是整體實(shí)力相差不多�。在實(shí)體較量中,實(shí)力非常弱的一方去挑戰(zhàn)實(shí)力非常強(qiáng)的一方現(xiàn)象是很少出現(xiàn)的�。在網(wǎng)絡(luò)系統(tǒng)中,這種定律被打破了�。不同實(shí)力的雙方進(jìn)行較量時(shí)����,較量的結(jié)果是不確定的����,不再一定是實(shí)力強(qiáng)一方獲勝了?��;诰W(wǎng)絡(luò)攻防主體的特點(diǎn)�,促進(jìn)了不同等級(jí)的網(wǎng)絡(luò)主體進(jìn)行較量�,任何一方都可以主動(dòng)發(fā)起挑戰(zhàn)。弱國(guó)不再一直處于防守狀態(tài)�����,強(qiáng)國(guó)也不再一直處在攻擊狀態(tài)����。
4、網(wǎng)絡(luò)攻防空間的特點(diǎn)傳統(tǒng)的實(shí)體進(jìn)行較量����,對(duì)空間有要求,需要空間位置上的接近。網(wǎng)絡(luò)攻防打破了對(duì)空間上的約束��。攻擊者可以位于世界上的任何一個(gè)有網(wǎng)的地方�����,對(duì)世界上任何地方的網(wǎng)絡(luò)進(jìn)行攻擊���。網(wǎng)絡(luò)攻擊的隱蔽性好��,可以通過多個(gè)網(wǎng)絡(luò)平臺(tái)之后再進(jìn)行攻擊,能夠有效的將自己隱藏起來��,防御方想要確定攻擊位置和攻擊方都存在很大的困難���。
5�����、網(wǎng)絡(luò)攻防發(fā)展的特點(diǎn)網(wǎng)絡(luò)攻防系統(tǒng)是相互對(duì)立�,并且相互制約的���,但是網(wǎng)絡(luò)攻防的發(fā)展是不同步的�����。網(wǎng)絡(luò)防御技術(shù)的發(fā)展要落后于網(wǎng)絡(luò)攻擊技術(shù)的發(fā)展����,往往是攻擊者根據(jù)掌握了網(wǎng)絡(luò)知識(shí)和攻擊技巧后,通過網(wǎng)絡(luò)攻擊系統(tǒng)向網(wǎng)絡(luò)防御系統(tǒng)發(fā)出攻擊���,網(wǎng)絡(luò)防御系統(tǒng)為了保證自身的安全性和穩(wěn)定性作出防御反應(yīng)�。通常正是由于攻擊系統(tǒng)的不斷攻擊���,才促進(jìn)了防御系統(tǒng)的發(fā)展與進(jìn)步����。正是這種攻擊與被攻擊�����、進(jìn)步與被進(jìn)步的緊密聯(lián)系促進(jìn)了網(wǎng)絡(luò)系統(tǒng)的發(fā)展��,同時(shí)也證明了�����,一個(gè)網(wǎng)絡(luò)系統(tǒng)要想長(zhǎng)期安全、穩(wěn)定的發(fā)展下去���,需要始終保持發(fā)展的眼光��。
三���、網(wǎng)絡(luò)系統(tǒng)安全策慮
網(wǎng)絡(luò)系統(tǒng)給人們的工作、生活和學(xué)習(xí)帶來了相當(dāng)大的便利�,人們的工作、生活和學(xué)習(xí)已經(jīng)離不開網(wǎng)絡(luò)系統(tǒng)�。網(wǎng)絡(luò)系統(tǒng)存在的網(wǎng)絡(luò)安全是一種潛在的威脅,一旦出現(xiàn)網(wǎng)絡(luò)安全問題有可能造成很大的損失��,因此需要加強(qiáng)對(duì)網(wǎng)絡(luò)系統(tǒng)安全問題的重視��。網(wǎng)絡(luò)系統(tǒng)安全問題與網(wǎng)絡(luò)系統(tǒng)攻防有著必然的聯(lián)系�,網(wǎng)絡(luò)系統(tǒng)的攻防較量決定了網(wǎng)絡(luò)系統(tǒng)的安全性����。上一章已經(jīng)對(duì)網(wǎng)絡(luò)系統(tǒng)攻防特點(diǎn)進(jìn)行了介紹,本章將對(duì)網(wǎng)絡(luò)系統(tǒng)安全策略進(jìn)行介紹����。
1、網(wǎng)絡(luò)病毒防范網(wǎng)絡(luò)系統(tǒng)中的安裝軟件和程序往往是存在漏洞和缺陷的,計(jì)算機(jī)病毒正是利用了相關(guān)的漏洞和缺陷產(chǎn)生的�。網(wǎng)絡(luò)系統(tǒng)的發(fā)展一方面方便了用戶,另一方面也導(dǎo)致網(wǎng)絡(luò)病毒的種類越來越多��,傳播速度越來越快�,造成的破壞力也越來越大。對(duì)網(wǎng)絡(luò)病毒進(jìn)行防范是比較直接的降低網(wǎng)絡(luò)安全問題的一個(gè)策略��?��?梢栽儆?jì)算機(jī)中安裝正規(guī)的殺毒軟件����,殺毒軟件通?�?刹僮餍詮?qiáng)����,對(duì)于網(wǎng)絡(luò)知識(shí)比較薄弱的人來說也比較容易使用。對(duì)于安全性未知的網(wǎng)站不要輕易登錄���,不下載和使用來歷不明的軟件和程序�����,對(duì)于下載的軟件和程序首先要進(jìn)行殺毒�,確保沒有病毒之后才能進(jìn)行后續(xù)的安裝。對(duì)系統(tǒng)隨時(shí)進(jìn)行更新��,減少漏洞和缺陷,避免因?yàn)榇嬖诿黠@的漏洞而被網(wǎng)絡(luò)攻擊者有機(jī)可乘。
2��、安裝防護(hù)墻防火墻位于網(wǎng)絡(luò)系統(tǒng)內(nèi)部和網(wǎng)絡(luò)系統(tǒng)外部之間,用于保證網(wǎng)絡(luò)系統(tǒng)內(nèi)部的安全���,可以說是保證網(wǎng)絡(luò)系統(tǒng)內(nèi)部安全性的一道關(guān)卡�。防火墻能夠?qū)W(wǎng)絡(luò)系統(tǒng)外部的數(shù)據(jù)和程序進(jìn)行甄別�����,確定是否為惡意攻擊數(shù)據(jù)和程序��,如果確定為攻擊數(shù)據(jù)和程序����,將把其攔截在網(wǎng)絡(luò)系統(tǒng)之外���,不允許其進(jìn)入到網(wǎng)絡(luò)系統(tǒng)內(nèi)部����,防止對(duì)網(wǎng)絡(luò)系統(tǒng)內(nèi)部造成破壞。防火墻起到監(jiān)控網(wǎng)絡(luò)系統(tǒng)傳輸數(shù)據(jù)的功能�,對(duì)于存在隱患的數(shù)據(jù)限制傳輸。從網(wǎng)絡(luò)系統(tǒng)攻防角度來講���,防火墻主要是針對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)攻方�����,防止網(wǎng)絡(luò)系統(tǒng)進(jìn)攻方針對(duì)網(wǎng)絡(luò)系統(tǒng)的安全攻擊��。
3����、加密數(shù)據(jù)網(wǎng)絡(luò)系統(tǒng)的攻擊者一旦穿過了防火墻進(jìn)入網(wǎng)絡(luò)系統(tǒng)內(nèi)部�����,如果采用普通數(shù)據(jù)����,系統(tǒng)攻擊者將會(huì)比較輕松的獲得網(wǎng)絡(luò)系統(tǒng)中的數(shù)據(jù),損失慘重����。如果將數(shù)據(jù)進(jìn)行加密��,則為網(wǎng)絡(luò)系統(tǒng)攻擊者增加了障礙�,有利于降低對(duì)網(wǎng)絡(luò)系統(tǒng)的損失。加密技術(shù)的發(fā)展比較早����,目前網(wǎng)絡(luò)加密數(shù)據(jù)技術(shù)已經(jīng)發(fā)展的相對(duì)比較成熟。網(wǎng)絡(luò)加密的手段比較多��,目前比較常用的是對(duì)稱密鑰和非對(duì)稱密鑰����,網(wǎng)絡(luò)安全維護(hù)者可以根據(jù)實(shí)際的網(wǎng)絡(luò)環(huán)境合理的選擇使用對(duì)稱密鑰或者非對(duì)稱密鑰�,必要時(shí),可以同時(shí)使用��。
4��、數(shù)字簽名數(shù)據(jù)在網(wǎng)絡(luò)系統(tǒng)雙方之間進(jìn)行傳輸時(shí)���,發(fā)送數(shù)據(jù)方可以在數(shù)據(jù)上進(jìn)行數(shù)字簽名���,數(shù)字簽名起到鑒別發(fā)送者的作用�����,避免接收者對(duì)數(shù)據(jù)誤解而錯(cuò)接了含有病毒的數(shù)據(jù)���,造成意外損失。數(shù)字簽名還有另外一個(gè)作用��,加入數(shù)字簽名之后����,接收者可以明確看出數(shù)據(jù)或者程序是否有缺失。
5����、數(shù)字證書網(wǎng)絡(luò)系統(tǒng)中使用的數(shù)字證書與人們?cè)趯?shí)際生活中使用的身份證作用相同,是一個(gè)用戶身份的證明���。身份證需要到民政部門辦理���,網(wǎng)絡(luò)數(shù)字證書同樣需要經(jīng)過合法的第三方進(jìn)行認(rèn)證,只有經(jīng)過認(rèn)證之后�,才能起到作用。在網(wǎng)絡(luò)系統(tǒng)進(jìn)行傳輸數(shù)據(jù)時(shí),加入數(shù)字證書認(rèn)證��,能夠有效的進(jìn)行保密����,防止惡意攻擊�����。
四���、總結(jié)
科學(xué)技術(shù)的發(fā)展加快了網(wǎng)絡(luò)系統(tǒng)的發(fā)展��,網(wǎng)絡(luò)系統(tǒng)已經(jīng)與人們的生活和工作產(chǎn)生了密切的聯(lián)系�����。由于網(wǎng)絡(luò)系統(tǒng)自身的技術(shù)特點(diǎn)�����,造成網(wǎng)絡(luò)系統(tǒng)存在被攻擊和破壞的可能性��。人們?cè)谑褂镁W(wǎng)絡(luò)系統(tǒng)的時(shí)候�����,不可避免的會(huì)遇到網(wǎng)絡(luò)的安全問題�����,并且目前網(wǎng)絡(luò)安全問題有日益突出的趨勢(shì)�����。網(wǎng)絡(luò)系統(tǒng)的安全問題與網(wǎng)絡(luò)系統(tǒng)的開放性質(zhì)有關(guān)�,與網(wǎng)絡(luò)系統(tǒng)的攻防特點(diǎn)也密切相關(guān)。本文首先簡(jiǎn)單介紹了網(wǎng)絡(luò)攻擊系統(tǒng)和網(wǎng)絡(luò)防御系統(tǒng)概念���,然后介紹了網(wǎng)絡(luò)系統(tǒng)攻防特點(diǎn)���,網(wǎng)絡(luò)系統(tǒng)攻防特點(diǎn)主要包括攻網(wǎng)絡(luò)防技術(shù)的特點(diǎn)、網(wǎng)絡(luò)攻防成本的特點(diǎn)���、網(wǎng)絡(luò)攻防主體��、網(wǎng)絡(luò)攻防空間的特點(diǎn)和網(wǎng)絡(luò)攻防發(fā)展的特點(diǎn)���。最后結(jié)合網(wǎng)絡(luò)系統(tǒng)自身的特點(diǎn)、網(wǎng)絡(luò)攻擊系統(tǒng)、網(wǎng)絡(luò)防御系統(tǒng)特點(diǎn)以及目前的網(wǎng)絡(luò)系統(tǒng)安全問題���,闡述了網(wǎng)絡(luò)系統(tǒng)安全策略���。網(wǎng)絡(luò)系統(tǒng)安全策略包括網(wǎng)絡(luò)病毒防范、安裝防火墻��、加密數(shù)據(jù)����、數(shù)字簽名和數(shù)字證書�。只有做好了各個(gè)環(huán)節(jié)的安全策略,才可能保證網(wǎng)絡(luò)系統(tǒng)整體的安全性����。
參考文獻(xiàn)
[1]向陽(yáng)霞.基于虛擬靶機(jī)的方法在網(wǎng)絡(luò)攻防實(shí)驗(yàn)教學(xué)中的應(yīng)用[J].網(wǎng)絡(luò)與通信技術(shù),2010(5)
篇2
中圖分類號(hào):TP393.08文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1009-3044(2010)20-5442-02
Design of Network Safety Attack and Defense Test Platform based on Active Defense
WANG Chao-yang
(5 Department 43 Team, Artillery Academy of the P.L.A, Hefei 230031, China)
Abstract: Now traditional passive defense technology will not reply the behavior of unceasing increase large-scale network attack. According to the characteristic and the advantage of active defense, the article has introduced a kind of design scheme test platform abort network safety attack and defense based on the technology of active defense, and the design and realization of system from the two pieces of experiment modular abort attack and defense.
Key words: active defense; network safety; attack; defense
目前,伴隨著計(jì)算機(jī)網(wǎng)絡(luò)的大量普及與發(fā)展����,網(wǎng)絡(luò)安全問題也日益嚴(yán)峻。而傳統(tǒng)的���、被動(dòng)防御的網(wǎng)絡(luò)安全防護(hù)技術(shù)也將越來越無(wú)法應(yīng)對(duì)不斷出現(xiàn)的新的攻擊方法和手段����,網(wǎng)絡(luò)安全防護(hù)體系由被動(dòng)防御轉(zhuǎn)向主動(dòng)防御是大勢(shì)所趨。因此�����,立足現(xiàn)有網(wǎng)絡(luò)設(shè)備進(jìn)行攻防實(shí)驗(yàn)平臺(tái)的設(shè)計(jì)和研究����,對(duì)于未來網(wǎng)絡(luò)安全防護(hù)技術(shù)的研究具有深遠(yuǎn)的指導(dǎo)意義。
1 系統(tǒng)功能設(shè)計(jì)概述
1.1 主動(dòng)防御技術(shù)的概念
主動(dòng)防御技術(shù)是一種新的對(duì)抗網(wǎng)絡(luò)攻擊的技術(shù)���,也是當(dāng)今網(wǎng)絡(luò)安全領(lǐng)域新興的一個(gè)熱點(diǎn)技術(shù)���。它源于英文“Pro-active Defense”,其確切的含義為“前攝性防御”�,是指由于某些機(jī)制的存在,使攻擊者無(wú)法完成對(duì)攻擊目標(biāo)的攻擊�。由于這些前攝性措施能夠在無(wú)人干預(yù)的情況下預(yù)防安全事件,因此有了通常所說的“主動(dòng)防御”[1]�。網(wǎng)絡(luò)安全主動(dòng)防御技術(shù)能夠彌補(bǔ)傳統(tǒng)被動(dòng)防御技術(shù)的不足,采用主機(jī)防御的思想和技術(shù)�,增強(qiáng)和保證本地網(wǎng)絡(luò)安全,及時(shí)發(fā)現(xiàn)正在進(jìn)行的網(wǎng)絡(luò)攻擊��,并以響應(yīng)的應(yīng)急機(jī)制預(yù)測(cè)和識(shí)別來自外部的未知攻擊,采取各種應(yīng)對(duì)防護(hù)策略阻止攻擊者的各種攻擊行為����。
1.2 系統(tǒng)設(shè)計(jì)目標(biāo)
目前關(guān)于主動(dòng)防御的網(wǎng)絡(luò)安全防御策略理論研究的較多,但是對(duì)于很多實(shí)際應(yīng)用方面還缺乏實(shí)戰(zhàn)的指導(dǎo)和經(jīng)驗(yàn)�。網(wǎng)絡(luò)安全攻防實(shí)驗(yàn)平臺(tái)主要依據(jù)主動(dòng)防御技術(shù)體系為策略手段,針對(duì)現(xiàn)有網(wǎng)管軟件存在的問題�����,進(jìn)行主動(dòng)防御技術(shù)體系優(yōu)化��,其核心在于在實(shí)驗(yàn)中實(shí)現(xiàn)系統(tǒng)的漏洞機(jī)理分析���、安全性檢測(cè)、攻擊試驗(yàn)��、安全應(yīng)急響應(yīng)和提供防御應(yīng)對(duì)策略建議等功能�����,能夠啟發(fā)實(shí)驗(yàn)者認(rèn)識(shí)和理解安全機(jī)理�,發(fā)現(xiàn)安全隱患,并進(jìn)行系統(tǒng)安全防護(hù)��。
1.3 實(shí)驗(yàn)平臺(tái)功能
基于主動(dòng)防御的網(wǎng)絡(luò)安全攻防實(shí)驗(yàn)平臺(tái)是一個(gè)網(wǎng)絡(luò)攻擊與防御的模擬演示平臺(tái),在單機(jī)上模擬出基本的網(wǎng)絡(luò)節(jié)點(diǎn)(設(shè)備)�����,然后在這個(gè)模擬的網(wǎng)絡(luò)環(huán)境中演示出網(wǎng)絡(luò)攻擊與防御的基本原理和過程���,并以可視化的結(jié)果呈現(xiàn)出來��。該實(shí)驗(yàn)平臺(tái)所仿真的機(jī)理和結(jié)果能夠依據(jù)網(wǎng)絡(luò)安全的需求�����,最終用于網(wǎng)絡(luò)攻防測(cè)評(píng)和實(shí)戰(zhàn)的雙重目的�����。并可以為網(wǎng)絡(luò)攻擊和防護(hù)技能人才更好的學(xué)習(xí)提供一定的參考����。為完整地體現(xiàn)網(wǎng)絡(luò)戰(zhàn)攻防的全過程��,該平臺(tái)分為攻擊模塊與防御模塊兩部分�。
攻擊模塊部分包括主機(jī)端口的掃描、檢測(cè)�����、Web/SMB攻擊模塊和IDS等。其主要功能是實(shí)現(xiàn)對(duì)于目標(biāo)系統(tǒng)的檢測(cè)���、漏洞掃描�����、攻擊和與防護(hù)端的通訊等[2]�����。
防御模塊部分主要是基于主動(dòng)防御技術(shù)的功能要求�����,實(shí)現(xiàn)檢測(cè)、防護(hù)和響應(yīng)三種功能機(jī)制��。即能夠檢測(cè)到有無(wú)攻擊行為并予以顯示���、給出陷阱欺騙可以利用的漏洞和提供防護(hù)應(yīng)對(duì)策略等�,如: 網(wǎng)絡(luò)取證���、網(wǎng)絡(luò)對(duì)抗�、補(bǔ)丁安裝、系統(tǒng)備份�、防護(hù)工具的選購(gòu)和安裝、響應(yīng)等���。
2 攻防實(shí)驗(yàn)平臺(tái)模型設(shè)計(jì)
2.1 設(shè)計(jì)方案
要實(shí)現(xiàn)網(wǎng)絡(luò)攻防的實(shí)驗(yàn)����,就必須在局域網(wǎng)環(huán)境構(gòu)建仿真的Internet環(huán)境����,作為攻防實(shí)驗(yàn)的基礎(chǔ)和實(shí)驗(yàn)環(huán)境。仿真的Internet環(huán)境能實(shí)現(xiàn)www服務(wù)�、FTP、E-mail服務(wù)��、在線交互通信和數(shù)據(jù)庫(kù)引擎服務(wù)等基本功能���。依據(jù)系統(tǒng)的功能需求分析�,該平臺(tái)要實(shí)現(xiàn)一個(gè)集檢測(cè)���、攻擊���、防護(hù)�����、提供防護(hù)應(yīng)對(duì)策略方案等功能于一體的軟件系統(tǒng)��。主要是除了要實(shí)現(xiàn)基本的檢測(cè)�����、攻擊功能外��,還必須通過向?qū)С绦蛞龑?dǎo)用戶認(rèn)識(shí)網(wǎng)絡(luò)攻防的機(jī)理流程�,即:漏洞存在―漏洞檢測(cè)(攻擊模塊)―攻擊進(jìn)行(攻擊模塊)―系統(tǒng)被破壞―補(bǔ)救措施(防御模塊)―解決的策略方案(防御模塊)[3]���,以更好的達(dá)到實(shí)驗(yàn)效果�����。
平臺(tái)整體采用C/S模式,攻擊模塊為客戶端��,防御模塊為服務(wù)器端����。攻擊模塊進(jìn)行真實(shí)的掃描����、入侵和滲透攻擊���,防御模塊從一定程度上模擬并顯示受到的掃描���、攻擊行為,其模擬的過程是動(dòng)態(tài)的����,讓實(shí)驗(yàn)者看到系統(tǒng)攻擊和被攻擊的全部入侵過程,然后提供響應(yīng)的防護(hù)應(yīng)對(duì)策略���。攻防實(shí)驗(yàn)平臺(tái)模型如圖1所示����。
2.2 基于主動(dòng)防御的網(wǎng)絡(luò)安全體系
根據(jù)本實(shí)驗(yàn)平臺(tái)設(shè)計(jì)的思想和策略原理���,為實(shí)現(xiàn)主動(dòng)防御的檢測(cè)��、防護(hù)和響應(yīng)功能機(jī)制�,構(gòu)建基于主動(dòng)防御技術(shù)的網(wǎng)絡(luò)安全策略體系(如圖2所示)。安全策略是網(wǎng)絡(luò)安全體系的核心����,防護(hù)是整個(gè)網(wǎng)絡(luò)安全體系的前沿,防火墻被安置在局域網(wǎng)和Internet網(wǎng)絡(luò)之間�����,可以監(jiān)視并限制進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包����,并防范網(wǎng)絡(luò)內(nèi)外的非法訪問[4-5]。主動(dòng)防御技術(shù)和防火墻技術(shù)相結(jié)合����,構(gòu)建了一道網(wǎng)絡(luò)安全的立體防線,在很大程度上確保了網(wǎng)絡(luò)系統(tǒng)的安全���,對(duì)于未來的網(wǎng)絡(luò)安全防護(hù)具有深遠(yuǎn)的意義��。檢測(cè)和響應(yīng)是網(wǎng)絡(luò)安全體系主動(dòng)防御的核心�����,主要由網(wǎng)絡(luò)主機(jī)漏洞掃描(包括對(duì)密碼破解)�、Web/SMB攻擊��、IDS�����、網(wǎng)絡(luò)取證�、蜜罐技術(shù)等應(yīng)急響應(yīng)系統(tǒng)共同實(shí)現(xiàn),包括異常檢測(cè)�、模式發(fā)現(xiàn)和漏洞發(fā)現(xiàn)。
2.3 攻防模塊設(shè)計(jì)
該實(shí)驗(yàn)平臺(tái)的攻擊模塊和防御模塊利用C/S模式采用特定端口進(jìn)行通訊�。攻擊端以動(dòng)作消息的形式,把進(jìn)行的每一個(gè)動(dòng)作發(fā)往防御端��,防御模塊從數(shù)據(jù)庫(kù)中調(diào)用相關(guān)數(shù)據(jù)進(jìn)行模擬����、仿真,讓實(shí)驗(yàn)者看到和體會(huì)到自身系統(tǒng)受到的各種攻擊�。攻防模塊經(jīng)過TCP/IP建立連接后,開始進(jìn)行掃描���、檢測(cè)��、Web/SMB攻擊和IDS等入侵行為�����,攻擊端每一個(gè)消息的啟動(dòng)都會(huì)發(fā)給防御端一個(gè)標(biāo)志位����,防御模塊經(jīng)判斷后,調(diào)用相關(guān)的顯示和檢測(cè)模塊進(jìn)行處理�����,并提供相應(yīng)的防護(hù)應(yīng)對(duì)策略�����。
3 平臺(tái)的實(shí)現(xiàn)
3.1 主動(dòng)防御思想的實(shí)現(xiàn)
在一個(gè)程序中�,必須要通過接口調(diào)用操作系統(tǒng)所提供的功能函數(shù)來實(shí)現(xiàn)自己的功能。同樣���,在平臺(tái)系統(tǒng)中���,掛接程序的API函數(shù),就可以知道程序的進(jìn)程將有什么動(dòng)作�,對(duì)待那些對(duì)系統(tǒng)有威脅的動(dòng)作該怎么處理等等���。實(shí)驗(yàn)中,采取掛接系統(tǒng)程序進(jìn)程的API函數(shù)��,對(duì)主機(jī)進(jìn)程的代碼進(jìn)行真實(shí)的掃描���,如果發(fā)現(xiàn)有諸如SIDT、SGDT���、自定位指令等�����,就讓進(jìn)程繼續(xù)運(yùn)行��;接下來就對(duì)系統(tǒng)進(jìn)程調(diào)用API的情況進(jìn)行監(jiān)視�,如果發(fā)現(xiàn)系統(tǒng)在數(shù)據(jù)的傳輸時(shí)違反規(guī)則��,則會(huì)提示用戶進(jìn)行有針對(duì)性的操作��;如果發(fā)現(xiàn)一個(gè)諸如EXE的程序文件被進(jìn)程以讀寫的方式打開��,說明進(jìn)程的線程可能想要感染PE文件�����,系統(tǒng)就會(huì)發(fā)出警告;如果進(jìn)程調(diào)用了CreateRemoteThread()���,則說明它可能是比較威脅的API木馬進(jìn)程����,也會(huì)發(fā)出警告�����。
3.2 攻擊程序模塊實(shí)現(xiàn)
網(wǎng)絡(luò)安全攻防實(shí)驗(yàn)平臺(tái)的設(shè)計(jì)是基于面向?qū)ο蟮乃枷?�,采用?dòng)態(tài)連接庫(kù)開發(fā)掃描��、檢測(cè)����、攻擊等功能模塊。利用套接字變量進(jìn)行TCP/IP通信��,調(diào)用DLL隱式連接和顯示連接����,采用在DLL中封裝對(duì)話框的形式�����,也就是把掃描����、檢測(cè)�����、攻擊等功能和所需要的對(duì)話框同時(shí)封裝到DLL中����,然后主程序直接調(diào)用DLL[6]�����。實(shí)驗(yàn)中�����,可以在攻擊程序模塊中指定IP范圍����,并輸入需要攻擊的主機(jī)IP地址和相應(yīng)的其他參數(shù)��,對(duì)活動(dòng)主機(jī)漏洞進(jìn)行掃描和密碼攻擊(如圖3所示)����;并指定IP��,對(duì)其進(jìn)行Web/SMB攻擊��,然后輸出攻擊的結(jié)果和在攻擊過程中產(chǎn)生的錯(cuò)誤信息等��。
3.3 防御程序模塊實(shí)現(xiàn)
在程序的運(yùn)行中��,采取利用網(wǎng)絡(luò)偵聽機(jī)制監(jiān)聽攻擊模塊的每一次動(dòng)作消息的形式��,自動(dòng)顯示給用戶所偵聽到外部攻擊行為(如圖4所示:Web/SMB攻擊)���。該模塊同樣使用了WinSock類套接字進(jìn)行通訊����,在創(chuàng)建了套接字后�,賦予套接字一個(gè)地址。攻擊模塊套接字和防御模塊套接字通過建立TCP/IP連接進(jìn)行數(shù)據(jù)的傳輸�����。然后防御模塊根據(jù)接收到的標(biāo)志信息,在數(shù)據(jù)庫(kù)中檢索對(duì)應(yīng)的記錄��,進(jìn)行結(jié)果顯示�����、網(wǎng)絡(luò)取證����、向用戶提供攻擊的類型及防護(hù)方法等多種應(yīng)對(duì)策略。其中的蜜罐響應(yīng)模塊能夠及時(shí)獲取攻擊信息��,對(duì)攻擊行為進(jìn)行深入的分析��,對(duì)未知攻擊進(jìn)行動(dòng)態(tài)識(shí)別���,捕獲未知攻擊信息并反饋給防護(hù)系統(tǒng),實(shí)現(xiàn)系統(tǒng)防護(hù)能力的動(dòng)態(tài)提升����。
4 結(jié)束語(yǔ)
基于主動(dòng)防御的網(wǎng)絡(luò)安全攻防實(shí)驗(yàn)平臺(tái)主要是針對(duì)傳統(tǒng)的被動(dòng)式防御手段的不完善而提出的思想模型。從模型的構(gòu)建�、平臺(tái)的模擬和實(shí)驗(yàn)的效果來看,其系統(tǒng)從一定程度上真實(shí)的模擬了網(wǎng)絡(luò)設(shè)備的攻防功能�,可以為網(wǎng)絡(luò)管理者和學(xué)習(xí)者提供一定的參考和指導(dǎo)���。
參考文獻(xiàn):
[1] 楊銳,羊興.建立基于主動(dòng)防御技術(shù)的網(wǎng)絡(luò)安全體系[J].電腦科技,2008(5).
[2] 裴斐,鄭秋生,等.網(wǎng)絡(luò)攻防訓(xùn)練平臺(tái)設(shè)計(jì)[J].中原工學(xué)院學(xué)報(bào),2004(2).
[3]Stuart McClure, Joel Scambray, George Kurtz. 黑客大曝光―網(wǎng)絡(luò)安全的機(jī)密與解決方案[ M].北京:清華大學(xué)出版社,2002
[4] 張常有.網(wǎng)絡(luò)安全體系結(jié)構(gòu)[M].成都:電子科技大學(xué)出版社,2006(15).
篇3
隨著計(jì)算機(jī)和Internet技術(shù)的迅速普及和發(fā)展���,計(jì)算機(jī)網(wǎng)絡(luò)早已成了一個(gè)國(guó)家的經(jīng)濟(jì)脈搏���。計(jì)算機(jī)網(wǎng)絡(luò)在社會(huì)活動(dòng)的各個(gè)方面中都起到了不可或缺的作用。大部分的企業(yè)��、政府部門和其他組織機(jī)構(gòu)均建立了適合各自使用的基于互聯(lián)網(wǎng)的相關(guān)系統(tǒng)����,達(dá)到充分配置各種資源和信息共享等功效?;ヂ?lián)網(wǎng)為社會(huì)和經(jīng)濟(jì)的快速進(jìn)步提供了技術(shù)基礎(chǔ),作用也愈發(fā)突出��。然而�����,網(wǎng)絡(luò)技術(shù)的快速發(fā)展也出現(xiàn)了多種多樣的問題���,安全狀況尤其明顯�。因?yàn)樗譃楹芏嗟挠?jì)算機(jī)病毒和黑客創(chuàng)造了機(jī)會(huì)和可能,不管是由于它們?cè)谠O(shè)計(jì)上有不足��,還是因?yàn)槿藶榈脑蛟斐傻姆N種漏洞和缺陷�����,均會(huì)被某些意圖不軌的黑客利用�����,進(jìn)而發(fā)起對(duì)系統(tǒng)等進(jìn)行攻擊����。只有做到了解才能在黒客進(jìn)行網(wǎng)絡(luò)攻擊前做到充分的防范,從而保證網(wǎng)絡(luò)運(yùn)行過程中的安全性���。熟知Internet會(huì)發(fā)生的各種狀況威脅,做到及時(shí)的預(yù)防和準(zhǔn)備��,實(shí)現(xiàn)網(wǎng)絡(luò)安全早已成為互聯(lián)網(wǎng)實(shí)施中最為主要的方面���。網(wǎng)絡(luò)安全是在互聯(lián)網(wǎng)經(jīng)濟(jì)時(shí)代中人們所面臨的共同威脅���,而我國(guó)的網(wǎng)絡(luò)安全問題也越來越明顯�����。
1 網(wǎng)絡(luò)安全面對(duì)的威脅主要表現(xiàn)為:
1.1 黑客攻擊
黑客最開始是指那些研究計(jì)算機(jī)技術(shù)的專業(yè)計(jì)算機(jī)人士�,特別是那些編程技術(shù)人員�����。但現(xiàn)在����,黑客一詞則是泛指那些專門通過互聯(lián)網(wǎng)對(duì)計(jì)算機(jī)系統(tǒng)進(jìn)行破壞或非法入侵的人。全球現(xiàn)在已有20多萬(wàn)個(gè)黑客網(wǎng)站�,網(wǎng)站上講解了對(duì)網(wǎng)站和系統(tǒng)的一些攻擊軟件的使用和攻擊的方式,以及系統(tǒng)的某些缺陷和漏洞�,所以黑客技術(shù)也被人們普遍的了解,因此系統(tǒng)和網(wǎng)站受到攻擊的幾率就大大提高�。目前對(duì)于網(wǎng)絡(luò)犯罪進(jìn)行快速反應(yīng)、跟蹤和追捕等技術(shù)不健全�����,使得黑客攻擊系統(tǒng)和網(wǎng)站越來越猖狂��,這也是影響網(wǎng)絡(luò)安全的重要因素。
1.2 木馬
木馬程序是當(dāng)前在互聯(lián)網(wǎng)上盛行的病毒感染文件�����,和普通的病毒不一樣�����,它不能進(jìn)行自我繁殖�,也并不“自主”地去破壞用戶文件,通過將文件偽裝吸引用戶下載運(yùn)行被感染的文件�,向施種木馬者提供打開被感染用戶計(jì)算機(jī)的門戶,使施種者可以對(duì)被感染的用戶的文件進(jìn)行盜竊���、破壞�����,還可以控制被感染用戶的計(jì)算機(jī)����。一般情況下的木馬文件包括客戶端和服務(wù)器端兩個(gè)部分�,客戶端是施種木馬者進(jìn)行遠(yuǎn)程控制被感染的用戶的服務(wù)器終端�,而服務(wù)器端則是植入木馬文件的遠(yuǎn)程計(jì)算機(jī)。當(dāng)木馬程序或包含木馬病毒的其他程序運(yùn)行時(shí),木馬會(huì)先在系統(tǒng)中潛伏下來���,并篡改系統(tǒng)中的數(shù)據(jù)和程序���,每次使用系統(tǒng)時(shí)都會(huì)使?jié)摲哪抉R程序自動(dòng)運(yùn)行。執(zhí)行木馬的客戶端和服務(wù)器端在運(yùn)行模式上屬于客戶機(jī)/服務(wù)器方式Client/Server�����,C/S 客戶端在當(dāng)?shù)赜?jì)算機(jī)上運(yùn)行�,用來控制服務(wù)器端。而服務(wù)器端則是在遠(yuǎn)程計(jì)算機(jī)上運(yùn)行���,只要運(yùn)行成功該計(jì)算機(jī)就中了木馬���,那么就變成了一臺(tái)服務(wù)器,可以控者進(jìn)行遠(yuǎn)程控制�����。
2 對(duì)防范網(wǎng)絡(luò)攻擊的建議:
在對(duì)網(wǎng)絡(luò)攻有一定的了解的同時(shí)����,我們應(yīng)該對(duì)網(wǎng)絡(luò)攻擊采取有效的措施��。確定網(wǎng)絡(luò)攻擊的漏洞所在���,建立真正有效的的安全防范系統(tǒng)。在網(wǎng)絡(luò)環(huán)境下設(shè)立多種多層的防范措施�,真正達(dá)到防范的效果,讓每種措施都像關(guān)卡一樣�,使得攻擊者無(wú)計(jì)可使。同時(shí)����,我們還要做到防范于未然,對(duì)重要的數(shù)據(jù)資料及時(shí)備份并實(shí)時(shí)了解系統(tǒng)的運(yùn)作情況�����,做到有備無(wú)患�。
對(duì)于網(wǎng)絡(luò)安全的問題,提出的以下幾點(diǎn)建議:
2.1 加強(qiáng)對(duì)安全防范的重視度
(1) 對(duì)于來路不明的郵件和文件不要隨意的下載和打開�,謹(jǐn)慎運(yùn)行不熟悉的人提供的程序和軟件,像“特洛伊”類木馬文件就需要誘使你執(zhí)行���。
(2)最好不要從互聯(lián)網(wǎng)上下載不正規(guī)的文件�����、游戲和程序等�����。就算是從大家都熟悉的網(wǎng)站下載程序等�,也要在第一時(shí)間用最新的查殺病毒和木馬的軟件對(duì)其進(jìn)行安全掃描�。
(3)在進(jìn)行密碼設(shè)置是,盡量不適用單一的英文或數(shù)字的密碼種類�����,因?yàn)樗鼈兒苋菀妆黄平?,最好是字母、?shù)字和符號(hào)的混合使用�����。同時(shí)對(duì)于經(jīng)常使用的各個(gè)密碼要進(jìn)行不同的設(shè)定���,防止一個(gè)密碼被盜導(dǎo)致其他的重要數(shù)據(jù)丟失�����。
(4)對(duì)于系統(tǒng)提示的系統(tǒng)漏洞和補(bǔ)丁要及時(shí)的修補(bǔ)和安裝����。
(5)在支持HTML的論壇上,如出現(xiàn)提交發(fā)出警告�,那么先查看BBS源代碼,這極可能是誘騙密碼的陷阱��。
2.2 及時(shí)的使用防毒���、防黑等防火墻保護(hù)軟件��,防火墻是一個(gè)用來防止互聯(lián)網(wǎng)上的黑客入侵某個(gè)機(jī)構(gòu)網(wǎng)絡(luò)的保障���,也把它稱做控制進(jìn)與出兩個(gè)方面通信的大門。在互聯(lián)網(wǎng)邊界上通過建立各種網(wǎng)絡(luò)通信流量監(jiān)控體系來隔離內(nèi)部和外部的網(wǎng)絡(luò)�����,來防止外面互聯(lián)網(wǎng)的入侵�。
網(wǎng)絡(luò)攻擊的現(xiàn)象越來越多,攻擊者也是越來越猖狂����,這極大的威脅了網(wǎng)絡(luò)的安全性。黑客們的瘋狂入侵是都可以采取措施來防范的,只要我們知道他們的攻擊方式及擁有大量的安全防御知識(shí)���,就能消除黑客們的惡意進(jìn)攻�。不論什么時(shí)候我們都要把重視網(wǎng)絡(luò)安全教育����,提高網(wǎng)絡(luò)用戶的安全防范意識(shí)和培養(yǎng)一定的防御能力����,這對(duì)確保整個(gè)網(wǎng)絡(luò)的安全性有著不可或缺的作用。如今�����,市面上也出現(xiàn)了很多的提高網(wǎng)絡(luò)安全的方法和各種防火墻�����,筆者認(rèn)為網(wǎng)絡(luò)成為安全的信息傳輸媒介即將成為現(xiàn)實(shí)�����。
參考文獻(xiàn):
[1]周學(xué)廣等.信息安全學(xué). 北京:機(jī)械工業(yè)出版社����,2003.3
[2] (美)Mandy Andress著.楊濤等譯.計(jì)算機(jī)安全原理. 北京:機(jī)械工業(yè)出版社�,2002.1
篇4
一�����、當(dāng)前網(wǎng)絡(luò)信息面臨的安全威脅
1��、軟件本身的脆弱性��。各種系統(tǒng)軟件�、應(yīng)用軟件隨著規(guī)模不斷擴(kuò)大,自身也變得愈加復(fù)雜��,只要有軟件��,就有可能存在安全漏洞����,如Windows、Unix���、XP等操作系統(tǒng)都或多或少的漏洞��,即使不斷打補(bǔ)丁和修補(bǔ)漏洞���,又會(huì)不斷涌現(xiàn)出新的漏洞�����,使軟件本身帶有脆弱性�����。2���、協(xié)議安全的脆弱性����。運(yùn)行中的計(jì)算機(jī)都是建立在各種通信協(xié)議基礎(chǔ)之上的,但由于互聯(lián)網(wǎng)設(shè)計(jì)的初衷只是很單純的想要實(shí)現(xiàn)信息與數(shù)據(jù)的共享��,缺乏對(duì)信息安全的構(gòu)思��,同時(shí)協(xié)議的復(fù)雜性�����、開放性�,以及設(shè)計(jì)時(shí)缺少認(rèn)證與加密的保障,使網(wǎng)絡(luò)安全存在先天性的不足。3�、人員因素。由于網(wǎng)絡(luò)管理人員和用戶自身管理意識(shí)的薄弱�����,以及用戶在網(wǎng)絡(luò)配置時(shí)知識(shí)與技能的欠缺��,造成配制時(shí)操作不當(dāng)���,從而導(dǎo)致安全漏洞的出現(xiàn)�,使信息安全得不到很好的保障�����。4����、計(jì)算機(jī)病毒。當(dāng)計(jì)算機(jī)在正常運(yùn)行時(shí)����,插入的計(jì)算機(jī)病毒就像生物病毒一樣,進(jìn)行自我復(fù)制����、繁殖�,相互傳染����,迅速蔓延,導(dǎo)致程序無(wú)法正常運(yùn)行下去�,從而使信息安全受到威脅,如“熊貓燒香病毒”
二���、常見網(wǎng)絡(luò)攻擊方式
1�、網(wǎng)絡(luò)鏈路層����。MAC地址欺騙:本機(jī)的MAC地址被篡改為其他機(jī)器的MAC地址�����。ARP欺騙:篡改IPH和MAC地址之間的映射關(guān)系�,將數(shù)據(jù)包發(fā)送給了攻擊者的主機(jī)而不是正確的主機(jī)。2�、網(wǎng)絡(luò)層。IP地址欺騙:是通過偽造數(shù)據(jù)包包頭��,使顯示的信息源不是實(shí)際的來源,就像這個(gè)數(shù)據(jù)包是從另一臺(tái)計(jì)算機(jī)上發(fā)送的�����。以及淚滴攻擊���、ICMP攻擊和RIP路由欺騙����。3�、傳輸層。TCP初始化序號(hào)預(yù)測(cè):通過預(yù)測(cè)初始號(hào)來偽造TCP數(shù)據(jù)包�����。以及TCP端口掃描���、land攻擊�����、TCP會(huì)話劫持����、RST和FIN攻擊。4��、應(yīng)用層����。DNS欺騙:域名服務(wù)器被攻擊者冒充,并將用戶查詢的IP地址篡改為攻擊者的IP地址�,使用戶在上網(wǎng)時(shí)看到的是攻擊者的網(wǎng)頁(yè),而不是自己真正想要瀏覽的頁(yè)面�。以及電子郵件攻擊和緩沖區(qū)溢出攻擊。5��、特洛伊木馬�。特洛伊木馬病毒是當(dāng)前較為流行的病毒,和一般病毒相比大有不同,它不會(huì)刻意感染其他文件同時(shí)也不會(huì)自我繁殖��,主要通過自身偽裝��,從而吸引用戶下載�����,進(jìn)而使用戶門戶被病毒施種者打開��,達(dá)到任意破壞��、竊取用戶的文件���,更有甚者去操控用戶的機(jī)子��。6�、拒絕服務(wù)攻擊�����。有兩種表現(xiàn)形式:一是為阻止接收新的請(qǐng)求�����,逼迫使服務(wù)器緩沖區(qū)滿�;另一種是利用IP地進(jìn)行欺騙,逼迫服務(wù)器對(duì)合法用戶的連接進(jìn)行復(fù)位���,從而影響用戶的正常連接����。
三���、網(wǎng)絡(luò)安全采取的主要措施
1����、防火墻。是網(wǎng)絡(luò)安全的第一道門戶��,可實(shí)現(xiàn)內(nèi)部網(wǎng)和外部不可信任網(wǎng)絡(luò)之間��,或者內(nèi)部網(wǎng)不同網(wǎng)絡(luò)安全區(qū)域之間的隔離與訪問控制�����,保證網(wǎng)絡(luò)系統(tǒng)及網(wǎng)絡(luò)服務(wù)的可用性���。2�、虛擬專用網(wǎng)技術(shù)��。一個(gè)完整的VPN技術(shù)方案包括VPN隧道技術(shù)����、密碼技術(shù)和服務(wù)質(zhì)量保證技術(shù)。先建立一個(gè)隧道��,在數(shù)據(jù)傳輸時(shí)再利用加密技術(shù)對(duì)其進(jìn)行加密��,使數(shù)據(jù)的私有性和安全性得到保障�����。3���、訪問控制技術(shù)����。是機(jī)制與策略的結(jié)合���,允許對(duì)限定資源的授權(quán)訪問�����,同時(shí)可保護(hù)資源�����,阻止某些無(wú)權(quán)訪問資源的用戶進(jìn)行偶然或惡意的訪問����。4�����、入侵檢測(cè)技術(shù)。是指盡最大可能對(duì)入侵者企圖控制網(wǎng)絡(luò)資源或系統(tǒng)的監(jiān)視或阻止���,是用于檢測(cè)系統(tǒng)的完整性���、可用性以及機(jī)密性等方式的一種安全技術(shù),同時(shí)也是一種發(fā)現(xiàn)入侵者攻擊以及用戶濫用特權(quán)的方法��。5�、數(shù)據(jù)加密技術(shù)。目前最常用的有對(duì)稱加密和非對(duì)稱加密技術(shù)�。使用數(shù)字方法來重新組織數(shù)據(jù)[2],使得除了合法使用者外����,任何其他人想要恢復(fù)原先的“消息”是非常困難的。6���、身份認(rèn)證技術(shù)�。主要有基于密碼和生物特征的身份認(rèn)證技術(shù)�����。其實(shí)質(zhì)是被認(rèn)證方的一些信息,如果不是自己���,任何人不能造假。四�����、總結(jié)網(wǎng)絡(luò)信息安全是一個(gè)不斷變化����、快速更新的領(lǐng)域,導(dǎo)致人們面對(duì)的信息安全問題不斷變化���,攻擊者的攻擊手段也層出不窮�����,所以綜合運(yùn)用各種安全高效的防護(hù)措施是至關(guān)重要的����。為了網(wǎng)絡(luò)信息的安全���,降低黑客入侵的風(fēng)險(xiǎn)�,我們必須嚴(yán)陣以待,采取各種應(yīng)對(duì)策略���,集眾家之所長(zhǎng)���,相互配合,從而建立起穩(wěn)固牢靠的網(wǎng)絡(luò)安全體系��。
參考文獻(xiàn)
[1]王致.訪問控制技術(shù)與策略[N].網(wǎng)絡(luò)世界��,2001-07-23035.
[2]馬備��,沈峰.計(jì)算機(jī)網(wǎng)絡(luò)的保密管理研究[J].河南公安高等?��?茖W(xué)校學(xué)報(bào)��,2001��,05:22-29.
篇5
中圖分類號(hào):TP393文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1007-9599 (2011) 16-0000-01
The Security of Network Attacks Based on CDP Protocol
Jiang Baohua
(Changchun University,Tourism College,Department of Basic,Changchun130607,China)
Abstract:CDP (Cisco Discovery Protocol) is one of Cisco's data link layer discovery protocol that runs on Cisco routers,bridges,access servers and switches and other devices used to find and view details of a neighbor important agreements,such as IP address,software version,platform, performance,and the native VLAN.Intruders often use denial of service (DoS) attacks such as access to these information,and use this information for CDP deception,resulting in significant security threats.
Keywords:CDP protocol;Network attacks;Security
一��、CDP協(xié)議發(fā)現(xiàn)原理
要發(fā)現(xiàn)CDP協(xié)議的安全漏洞�����,就要知道其工作原理�。CDP協(xié)議與現(xiàn)有的網(wǎng)絡(luò)協(xié)議類型無(wú)關(guān),主要用來發(fā)現(xiàn)與本地設(shè)備直接相連的Cisco設(shè)備����。每個(gè)運(yùn)行CDP協(xié)議的設(shè)備都會(huì)定期發(fā)送宣告消息,來更新鄰居信息����。同時(shí)每個(gè)運(yùn)行CDP的設(shè)備也會(huì)接收CDP消息來記錄鄰居設(shè)備的信息���。這些信息包括設(shè)備名稱����、本地接口���、硬件版本�����、IOS版本���、IOS平臺(tái)、工作模式���、本地VLAN�、連接保持等。利用這些信息可以描述整個(gè)網(wǎng)站的拓?fù)淝闆r����。而且這些報(bào)文信息不加密,是明文�。CDP發(fā)現(xiàn)直接相連的其他Cisco設(shè)備,���,并在某些情況下自動(dòng)配置其連接���。CDP的優(yōu)勢(shì)非常明顯,包括發(fā)現(xiàn)的速度�、準(zhǔn)確性、所獲取的信息的詳細(xì)程度��。
CDP協(xié)議相關(guān)的命令與作用如下:(1)SHOW CDP命令獲取CDP定時(shí)器和保持時(shí)間信息���。(2)在全局模式下使用命令CDP TIMER和CDP HOLDTIME在路由器上配置CDP定時(shí)器和保持時(shí)間��。(3)在路由器的全局配置模式下可以使用NO CDP RUN命令完全的關(guān)閉CDP��。若要在路由器接口上關(guān)閉或打開CDP��,使用NO CDP ENABLE和CDP ENABLE命令����。(4)Show cdp neighbor命令可以顯示有關(guān)直連設(shè)備的信息。要記住CDP分組不經(jīng)過CISCO交換機(jī)這非常重要���,它只能看到與它直接相連的設(shè)備��。在連接到交換機(jī)的路由器上�,不會(huì)看到連接到交換機(jī)上的其他所有設(shè)備�����。(5)Show cdp traffic命令顯示接口流量的信息���,包括發(fā)送和接收CDP分組的數(shù)量,以及CDP出錯(cuò)信息�����。(6)Show cdp interface命令可顯示路由器接口或者交換機(jī)���、路由器端口的狀態(tài)��。(7)debug cdp events啟動(dòng)CDP事件調(diào)試等等����。
二、CDP協(xié)議安全威脅
確實(shí)在大部分情況下��,CDP協(xié)議的作用是不可替代的���。如在大多數(shù)網(wǎng)絡(luò)中����,CDP能夠提供很多有用的信息并且可以協(xié)助管理員進(jìn)行網(wǎng)絡(luò)排錯(cuò)和性能優(yōu)化�����。但是���,其帶來的安全隱患也不容忽視�����。在缺省狀態(tài)下�,Cisco品牌的交換機(jī)或路由器會(huì)自動(dòng)在所有連接接口上發(fā)送CDP消息��,這些消息由于沒有采取安全加密措施,非法用戶通過專業(yè)工具可以很輕松地竊取到這些敏感內(nèi)容���。當(dāng)這些敏感信息被非法者擁有后��,他們就能輕易了解到局域網(wǎng)中的組網(wǎng)結(jié)構(gòu)���,并通過相關(guān)地址對(duì)網(wǎng)絡(luò)中的重要主機(jī)進(jìn)行惡意攻擊,最終造成網(wǎng)絡(luò)無(wú)法安全�����、穩(wěn)定地運(yùn)行���。
除了被動(dòng)獲取鄰居設(shè)備的交換協(xié)議信息外,非法攻擊者還可以利用專業(yè)的CDP工具程序定制偽造的CDP數(shù)據(jù)幀����,來通知局域網(wǎng)中的高端網(wǎng)絡(luò)管理軟件,說在網(wǎng)絡(luò)中新發(fā)現(xiàn)了一臺(tái)網(wǎng)絡(luò)設(shè)備�����。如此一來���,相關(guān)網(wǎng)絡(luò)設(shè)備就會(huì)主動(dòng)嘗試?yán)肧NMP來聯(lián)系“陷阱”設(shè)備��,這個(gè)時(shí)候非法攻擊者就會(huì)對(duì)這樣的聯(lián)系進(jìn)行監(jiān)控捕捉�����,從而有機(jī)會(huì)獲得局域網(wǎng)中其他重要網(wǎng)絡(luò)設(shè)備的名稱�����、地址�����、接口等信息���,日后就為攻擊這些網(wǎng)絡(luò)設(shè)備做好充足的準(zhǔn)備工作��。
此外�,CDP協(xié)議還能欺騙思科的IP電話��。當(dāng)打開IP電話后��,交換機(jī)就會(huì)通過CDP協(xié)議自動(dòng)和IP電話交換CDP數(shù)據(jù),并主動(dòng)通知電話來讓語(yǔ)音流量選用哪一個(gè)虛擬工作子網(wǎng)�����。在這一過程中���,非法攻擊者可以通過注入CDP數(shù)據(jù)幀的方法來欺騙IP電話�����,為語(yǔ)音流量分配一個(gè)錯(cuò)誤的虛擬工作子網(wǎng)����。
三���、防范措施
根據(jù)CDP協(xié)議的工作原理CDP協(xié)議所發(fā)送的信息中包含了一些比較敏感的信息���。如果這些信息被不法分子獲得的話,那么將給企業(yè)的網(wǎng)絡(luò)帶來很大的安全隱患����。為此保護(hù)的重點(diǎn)就是如何讓這些敏感的信息不被外人所知����。為了避免CDP協(xié)議泄露網(wǎng)絡(luò)設(shè)備的相關(guān)信息���,可以只在企業(yè)內(nèi)部網(wǎng)絡(luò)的設(shè)備中啟用CDP協(xié)議。而在連接到互聯(lián)網(wǎng)的企業(yè)級(jí)邊緣路由器上的接口上禁用CDP協(xié)議���。如此的話��,相關(guān)的敏感信息不會(huì)泄露到企業(yè)的外部網(wǎng)絡(luò)上�。在配合網(wǎng)絡(luò)防火墻等功能���,就可以保證CDP協(xié)議信息的安全���。可以在連接到服務(wù)器提供商或者企業(yè)邊緣路由器的接口上禁用CDP協(xié)議���。其他地方如果有安全需要的話�,可以根據(jù)情況來判斷是否啟用CDP協(xié)議���。在可以的情況下���,還是啟用CDP協(xié)議為好�����。例如���,在單位內(nèi)網(wǎng)環(huán)境中,只要部署好了網(wǎng)絡(luò)防火墻和網(wǎng)絡(luò)防病毒軟件����,就可以將網(wǎng)絡(luò)中交換機(jī)或路由器上的CDP發(fā)現(xiàn)功能啟用起來,以便為日后的網(wǎng)絡(luò)維護(hù)與優(yōu)化提供方便����,因?yàn)閮?nèi)網(wǎng)環(huán)境在多項(xiàng)安全措施的保護(hù)下,CDP發(fā)現(xiàn)協(xié)議存在的安全威脅會(huì)大大下降���。此外���,在一些安全性要求不高的網(wǎng)絡(luò)環(huán)境中,也可以通過啟用CDP發(fā)現(xiàn)協(xié)議來提高網(wǎng)絡(luò)故障的排查效率����。例如,在普通的網(wǎng)吧工作環(huán)境中����,由于不存在太重要的敏感信息,開啟CDP協(xié)議可以方便平時(shí)的管理��、維護(hù)操作����。在一些安全性要求比較高的網(wǎng)絡(luò)環(huán)境中,或者是單位網(wǎng)絡(luò)的邊緣網(wǎng)絡(luò)設(shè)備上��,盡量不要使用CDP協(xié)議��,畢竟CDP協(xié)議或多或少地會(huì)帶來一些麻煩����。比方說,在銀行�����、證券等金融網(wǎng)絡(luò)中��,應(yīng)該慎重使用CDP協(xié)議��,因?yàn)檫@個(gè)網(wǎng)絡(luò)中包含的敏感�、隱私信息特別多�,要是被非法用戶發(fā)現(xiàn)的話���,就相當(dāng)于暴露了許多攻擊目標(biāo)���。
篇6
中圖分類號(hào):TP317.1 文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1007-9599 (2011) 10-0000-01
Network Security and Protection of Enterprise Office Automation
Su Wei1,2,Li Taoshen1
(1.Guangxi University,Computer and Electronic Information College,Nanning530004,China;2.Nanning Branch of China Telecom Co.,Ltd.,Nanning530028,China)
Abstract:With China's information technology development and globalization wave of the rapid development of electronic,information technology,electronic networks,the level of people has been gradually used in normal life and production being,but it is worth noting that the problem network security risks began to follow,and continuing to appear,and would therefore,for our country in the field of office automation,computer information network security issues,how the defense has started to become what we need to consider and to solve major core issue.During this and other related computer network security concepts to analyze the basis of China's computer,network security issues related to the corresponding analysis,office automation for internal network security issues related to the study.
Keywords:Enterprise;Office;Automation;Network Security
計(jì)算機(jī)網(wǎng)絡(luò)的普及應(yīng)用以及發(fā)展,讓我們進(jìn)一步的完善了在時(shí)空中獲取有效信息的手段���。在企業(yè)之中����,與此相關(guān)一些網(wǎng)絡(luò)安全方面的問題也隨著網(wǎng)絡(luò)的應(yīng)用逐漸的凸現(xiàn)了出來�,因此,如何保障企業(yè)辦公自動(dòng)化的網(wǎng)絡(luò)安全方面的問題也受到了我們?cè)絹碓蕉嗟年P(guān)注�,而且正在逐漸成為我們?nèi)粘躺钪芯W(wǎng)絡(luò)技術(shù)應(yīng)用所面臨的一個(gè)主要問題。
一��、企業(yè)辦公自動(dòng)化中的網(wǎng)絡(luò)安全隱患
(一)病毒���。隨著我國(guó)信息技術(shù)等領(lǐng)域的飛速發(fā)展����,第三次科技革命已經(jīng)極大地促進(jìn)了我國(guó)計(jì)算機(jī)以及其網(wǎng)絡(luò)應(yīng)用的普及程度�����,但是,科技的發(fā)展也相應(yīng)的促進(jìn)了電子計(jì)算機(jī)病毒的產(chǎn)生和發(fā)展�����。計(jì)算機(jī)病毒的數(shù)量也在不斷出現(xiàn)之中��,總數(shù)上已經(jīng)超過了20000多種�,并還在以每個(gè)月300種的速度增加著�,其破環(huán)性也不斷增加,而網(wǎng)絡(luò)病毒破壞性就更強(qiáng)���。計(jì)算機(jī)存在的病毒在本質(zhì)可以說是一種進(jìn)行自我復(fù)制�����、散播的特定程序�����,該病毒對(duì)于計(jì)算機(jī)所造成的危害性���、破壞性相當(dāng)巨大���,甚至有時(shí)候可以使得整個(gè)的信息網(wǎng)絡(luò)系統(tǒng)處于癱瘓狀態(tài),從很早以前我們就知道小球病毒�����,進(jìn)而這些年開始聽說令人恐懼的CIH病毒以及美麗殺手病毒�����、熊貓燒香等一系列的病毒�����,從這些具有一定代表性的沖擊波�、振蕩波,電子計(jì)算機(jī)病毒此相關(guān)的種類以及傳播形式正在進(jìn)行著不斷的發(fā)展��、變化���,因此���,一旦某個(gè)公用程序染了毒,那么病毒將很快在整個(gè)網(wǎng)絡(luò)上傳播,感染其它的程序����。由網(wǎng)絡(luò)病毒造成網(wǎng)絡(luò)癱瘓的損失是難以估計(jì)的。一旦網(wǎng)絡(luò)服務(wù)器被感染�,其解毒所需的時(shí)間將是單機(jī)的幾十倍以上。所以����,計(jì)算機(jī)病毒已經(jīng)成為了我國(guó)計(jì)算機(jī)行業(yè)所要面臨的一項(xiàng)主要的安全問題�。
(二)黑客。計(jì)算機(jī)黑客主要是通過發(fā)現(xiàn)��、攻擊用戶的網(wǎng)絡(luò)操作系統(tǒng)中存在的一些漏洞以及缺陷為主要目的�����,并通過利用用戶的計(jì)算機(jī)中的網(wǎng)絡(luò)安全系統(tǒng)中存在的脆弱性�,來從事非法的活動(dòng),換言之�,計(jì)算機(jī)黑客也可以被稱之為計(jì)算機(jī)網(wǎng)絡(luò)安全環(huán)境的外部環(huán)境的進(jìn)攻者。這些進(jìn)攻者們通常會(huì)采取修改用戶的網(wǎng)頁(yè)界面�����,進(jìn)而非法入侵到用戶的主機(jī)內(nèi)部���,最終破壞用戶的使用程序�,竊取用戶在網(wǎng)上的相關(guān)信息資料。目前我國(guó)的辦公自動(dòng)化網(wǎng)絡(luò)在應(yīng)用上基本都采用的是以廣播為主要技術(shù)基礎(chǔ)內(nèi)容的以太網(wǎng)�。黑客一旦侵入到了辦公自動(dòng)化網(wǎng)絡(luò)應(yīng)用中的任意的節(jié)點(diǎn)進(jìn)行有效的偵聽活動(dòng),就可以迅速的捕獲到剛剛發(fā)生在這個(gè)領(lǐng)域內(nèi)的以太網(wǎng)之中的所有的數(shù)據(jù)包數(shù)據(jù)�,然后對(duì)該數(shù)據(jù)包進(jìn)行解包處理、分析��,從而有效的竊取到關(guān)鍵的信息����,而在該網(wǎng)絡(luò)中的黑客則是最有可能、最方便截取辦公網(wǎng)絡(luò)中的任何數(shù)據(jù)包��,進(jìn)而造成相關(guān)的信息數(shù)據(jù)的失竊��。
(三)辦公網(wǎng)絡(luò)自動(dòng)化中的內(nèi)部攻擊以及破壞活動(dòng)����。計(jì)算機(jī)內(nèi)部的攻擊以及破壞活動(dòng)經(jīng)常是通過公司或者內(nèi)部人員利用他們對(duì)計(jì)算機(jī)內(nèi)部系統(tǒng)的相關(guān)了解,進(jìn)行的有預(yù)謀���、有突破性的網(wǎng)絡(luò)安全系統(tǒng)的攻擊行為��,簡(jiǎn)單來說�����,正是因?yàn)閮?nèi)部的入侵者更加了解內(nèi)部的網(wǎng)絡(luò)結(jié)構(gòu)����,因此,在他們進(jìn)行非法的行為時(shí)候����,將會(huì)對(duì)整個(gè)的網(wǎng)絡(luò)安全系統(tǒng)造成更嚴(yán)重、更大的威脅���。尤其是對(duì)于個(gè)別的企業(yè)來說,企業(yè)的內(nèi)部如果存在網(wǎng)絡(luò)攻擊以及網(wǎng)絡(luò)破壞����,那么這個(gè)企業(yè)的網(wǎng)絡(luò)甚至?xí)锌赡艹蔀樵撈髽I(yè)進(jìn)步的最大威脅。除此之外��,有些員工的網(wǎng)絡(luò)安全意識(shí)相對(duì)缺乏��,十分不注意有效的保護(hù)自己在單位電腦上的賬號(hào)以及密碼��,這些漏統(tǒng)都有可能會(huì)引起整個(gè)網(wǎng)絡(luò)安全的隱患。
二���、辦公網(wǎng)絡(luò)自動(dòng)化系統(tǒng)中存在的問題的對(duì)策
(一)加強(qiáng)網(wǎng)絡(luò)安全管理���。要想真正建立出安全的、可靠的計(jì)算機(jī)網(wǎng)絡(luò)操作系統(tǒng)�,首先我們應(yīng)該在建立充足的、合理的網(wǎng)絡(luò)管理體制方面以及相關(guān)的規(guī)章制度領(lǐng)域���。其次�,在單位實(shí)施崗位上的責(zé)任制���,不斷的加強(qiáng)企業(yè)對(duì)員工的審查以及管理工作�,這其中包括提高相關(guān)的系統(tǒng)管理操作人員以及系統(tǒng)用戶在內(nèi)的所有人員的相關(guān)技術(shù)素質(zhì)以及職業(yè)道德�;除此之外,對(duì)于一些重要部門以及信息���,企業(yè)要嚴(yán)格做好系統(tǒng)的開機(jī)查毒工作����,及時(shí)的進(jìn)行數(shù)據(jù)備份工作�,并結(jié)合計(jì)算機(jī)機(jī)房�����、計(jì)算機(jī)硬件��、計(jì)算機(jī)軟件��、計(jì)算機(jī)數(shù)據(jù)以及計(jì)算機(jī)網(wǎng)絡(luò)等各個(gè)領(lǐng)域的各個(gè)方面所存在的安全問題�����,對(duì)相關(guān)的工作人員進(jìn)行有效的安全教育�,力爭(zhēng)讓他們嚴(yán)守遵守操作規(guī)則以及計(jì)算機(jī)網(wǎng)絡(luò)安全中的保密規(guī)定�。
(二)計(jì)算機(jī)網(wǎng)絡(luò)加密技術(shù)的應(yīng)用。計(jì)算機(jī)網(wǎng)絡(luò)的加密技術(shù)��,其目的是為了保障�、提高相關(guān)的信息系統(tǒng)以及數(shù)據(jù)方面的安全性能����、保密性能,有效防止相關(guān)的秘密數(shù)據(jù)被企業(yè)或者個(gè)人等外部因素破壞所利用的一種主要的技術(shù)手段�。加密技術(shù)從一方面來說,它可以有效的防止計(jì)算機(jī)在傳輸過程中的重要信息被不法竊聽者竊取所導(dǎo)致的失密���;從另一方面來說��,計(jì)算機(jī)加密技術(shù)還可以有效防止相關(guān)的信息以及內(nèi)容被不法者惡意地進(jìn)行篡改��。
三���、結(jié)束語(yǔ)
企業(yè)的發(fā)展離不開科技���,企業(yè)辦公的網(wǎng)絡(luò)化是企業(yè)發(fā)展的一個(gè)必然趨勢(shì)。因此����,不斷地學(xué)習(xí)和研究辦公網(wǎng)絡(luò)的自動(dòng)化是我們所必須面臨的重要課題。
參考文獻(xiàn):
篇7
中圖分類號(hào):TN915.08 文獻(xiàn)標(biāo)識(shí)碼:A DOI:10.3969/j.issn.1003-6970.2012.07.043
引言
網(wǎng)絡(luò)安全屬于一個(gè)系統(tǒng)工程��,不僅要考慮其系統(tǒng)的安全需求�����,還應(yīng)該將各種安全技術(shù)結(jié)合起來����,方能形成一個(gè)通用、安全且高效的網(wǎng)絡(luò)系統(tǒng)���。然而����,就目前來看,一個(gè)開網(wǎng)的網(wǎng)絡(luò)信息系統(tǒng)必然會(huì)存在很多安全隱患(潛在或非潛在)�,簡(jiǎn)而言之破壞與反破壞、黑客與反黑客之間的斗爭(zhēng)依然激烈地繼續(xù)著����。因此,網(wǎng)絡(luò)攻擊與防范策略之間便形成了一個(gè)獨(dú)特的領(lǐng)域����,并越來越被人類所重視,尤其是網(wǎng)絡(luò)建設(shè)者在不斷地努力抗?fàn)幹W(wǎng)絡(luò)攻擊����。
1.常見網(wǎng)絡(luò)攻擊分析
1.1人為惡意攻擊
1.1.1口令入侵與木馬程序
口令入侵與木馬程序都能直接侵入用戶的計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行破壞,它經(jīng)常偽裝成游戲或工具程序等對(duì)用戶展開誘惑��,而這些游戲或工具程序往往帶著木馬程序����,當(dāng)用戶打開了這些郵件或附件����,進(jìn)行下載的時(shí)候便已經(jīng)執(zhí)行了木馬程序���。木馬程序被執(zhí)行后便會(huì)通知攻擊者,并將被攻擊者的IP地址及預(yù)先設(shè)計(jì)的端口等傳遞給攻擊者�����,攻擊者獲取信息后便能通過潛伏的木馬程序修改用戶的計(jì)算機(jī)相關(guān)參數(shù)��,并能復(fù)制��、窺視及下載硬盤中的內(nèi)容等�����,也就是說他能完全控制用戶的計(jì)算機(jī)����。
1.1.2APT攻擊
APT攻擊,即高級(jí)可持續(xù)攻擊�,它是當(dāng)今網(wǎng)絡(luò)攻擊中最難應(yīng)付的一種。世界上最早對(duì)其的報(bào)道是在2010年的伊核設(shè)施遭遇了Stuxnet-超級(jí)病毒攻擊�����,攻擊目標(biāo)直指西門子公司的工業(yè)控制系統(tǒng),對(duì)設(shè)備進(jìn)行破壞���,后果嚴(yán)重�,造成了伊朗核電站推遲發(fā)電�����。APT在當(dāng)前也普遍存在于網(wǎng)絡(luò)攻擊中�,它并非炒作,而是真正具有實(shí)力的攻擊類型�����,其主要對(duì)情報(bào)�、軍事以及經(jīng)濟(jì)等有針對(duì)性的攻擊,并且它能在目標(biāo)系統(tǒng)中潛伏很長(zhǎng)一段時(shí)間而不被發(fā)現(xiàn)�����。攻擊者為了能誘發(fā)APT攻擊�,往往會(huì)大量搜集關(guān)于攻擊目標(biāo)的資料,并進(jìn)行詳細(xì)的分析���。此外���,攻擊者對(duì)于各類安全與網(wǎng)絡(luò)技術(shù)都非常熟悉,可謂網(wǎng)絡(luò)“高才生”���。APT攻擊可以潛伏著不被人察覺���,然后忽然發(fā)起攻擊,因?yàn)樗芡耆珜⒆约喝谌氡还舻南到y(tǒng)里�,因此很難被檢測(cè)出來。
1.2安全漏洞攻擊
不言而喻����,當(dāng)前計(jì)算機(jī)技術(shù)確實(shí)得到了飛躍式的發(fā)展,但是我們必須看清的現(xiàn)實(shí)是:大部分的網(wǎng)絡(luò)系統(tǒng)都存在各式各樣的安全漏洞�,有些是應(yīng)用軟件本身自帶的,而有些則是操作系統(tǒng)引起的���。由于大部分系統(tǒng)在未檢查緩沖與程序之間的變化情況就隨意接受了任意長(zhǎng)度的數(shù)據(jù)����,然后把溢出的數(shù)據(jù)放在了堆棧里��,而系統(tǒng)卻依然要照常執(zhí)行相關(guān)的命令。這樣的話攻擊者肆意發(fā)送超出了緩沖區(qū)能處理的長(zhǎng)度指令�����,便能造成系統(tǒng)的不穩(wěn)定甚至癱瘓���。此外�����,有一些還能利用協(xié)議漏洞進(jìn)行網(wǎng)絡(luò)攻擊�,從而獲取一些超級(jí)用戶的特權(quán)等�����。比如Struts2框架攻擊事件��,其最早出現(xiàn)在2010年7月14日��,當(dāng)時(shí)發(fā)現(xiàn)了一種嚴(yán)重命令的執(zhí)行漏洞��,而黑客則利用了Struts2“命令執(zhí)行漏洞”����,從而獲取網(wǎng)站服務(wù)器的相關(guān)特權(quán),諸如ROOT權(quán)限、執(zhí)行命令等��,從而篡改網(wǎng)頁(yè)或竊取重要數(shù)據(jù)���。
1.3用戶缺乏安全意識(shí)
從目前來看,大部分的應(yīng)用服務(wù)系統(tǒng)在安全通信及訪問控制等方面的考慮都比較少����,并且系統(tǒng)若出現(xiàn)了設(shè)置錯(cuò)誤,極易造成不必要的損失���。假如在一個(gè)設(shè)計(jì)足夠安全的網(wǎng)絡(luò)中���,面臨的最大安全隱患往往是人為因素所造成的安全漏洞。網(wǎng)絡(luò)管理員及使用者都或多或少擁有相應(yīng)的權(quán)限��,他們可能利用這些權(quán)限進(jìn)行網(wǎng)絡(luò)安全的破壞����。比如“拖庫(kù)”攻擊,這個(gè)詞語(yǔ)本來屬于數(shù)據(jù)庫(kù)領(lǐng)域的專有術(shù)語(yǔ)�����,一般指的是數(shù)據(jù)庫(kù)中進(jìn)行數(shù)據(jù)的導(dǎo)出。黑客如果通過非正常的手段侵入網(wǎng)站����,便能竊取網(wǎng)站內(nèi)的數(shù)據(jù)庫(kù),并能全盤下載資源信息����。若泄漏了個(gè)人的郵箱、游戲���、微博����、網(wǎng)購(gòu)賬號(hào)和密碼等�����,則可能對(duì)個(gè)人財(cái)產(chǎn)造成一定的損失與影響��;若竊取的是公司或企業(yè)或國(guó)家的機(jī)密資料�����,那就非同小可了�����。APT在對(duì)網(wǎng)站服務(wù)器進(jìn)行攻擊的時(shí)候主要包括:弱口令攻擊、遠(yuǎn)程桌面攻擊����、漏洞攻擊以及管理疏忽攻擊等。
2.網(wǎng)絡(luò)安全防范策略探析
網(wǎng)絡(luò)安全越來越被人們所重視��,從目前來看����,主要的網(wǎng)絡(luò)安全防范策略有以下幾個(gè)方面:
2.1合理安裝殺毒軟件�����,配置防火墻�����,及時(shí)修補(bǔ)漏洞
總的來說��,首要的便是為電腦配置一套正版的殺毒軟件�,每周要做好電腦的全面掃描、殺毒工作����,便于及時(shí)發(fā)現(xiàn)并清除潛藏的病毒��。但是����,實(shí)際生活中���,大部分用戶為了省錢和圖個(gè)方便����,都不愿意花錢購(gòu)買正版殺毒軟件���,這正中了網(wǎng)絡(luò)攻擊的下懷�����。比如在修補(bǔ)Struts2攻擊事件引起的漏洞時(shí)�,應(yīng)該查看相關(guān)的服務(wù)器或網(wǎng)站是否被入侵��,是否存在后門文件等��,確保最大限度控制風(fēng)險(xiǎn)與損失��。從目前來看,Struts2“命令執(zhí)行漏洞”影響了很多網(wǎng)站����,危害巨大,因此諸如360等大型網(wǎng)站已經(jīng)安裝了檢測(cè)平臺(tái)并及時(shí)更新了漏洞庫(kù)��,同時(shí)還及時(shí)向存在漏洞的網(wǎng)站發(fā)送了警示郵件等��,還建議使用Struts2框架的用戶及時(shí)做好升級(jí)工作����,定期做好相關(guān)的安檢,確保隨時(shí)掌控網(wǎng)絡(luò)安全���。
2.2個(gè)人防范意識(shí)應(yīng)提高
對(duì)于個(gè)人計(jì)算機(jī)的安全防護(hù)工作而言,最重要的還是要用戶自己高度重視�����,加強(qiáng)安全培訓(xùn)��,漏洞往往是在人身上挖掘的���,意識(shí)勝過殺毒軟件����。養(yǎng)成良好的安全操作習(xí)慣,切勿隨意打開不明電子郵件或文件���,不要隨意運(yùn)行陌生人給予的程序�����,自己的私人密碼盡量設(shè)置復(fù)雜一些(包括數(shù)字�����、字母及符號(hào)等)�����,還要設(shè)置不同的常用密碼�,避免一個(gè)被查出而牽連其余重要密碼(最好經(jīng)常更換重要密碼)����。此外,還應(yīng)該及時(shí)下載漏洞補(bǔ)丁進(jìn)行電腦的補(bǔ)丁修復(fù)��。這里著重介紹一下關(guān)于“拖庫(kù)”攻擊的解決辦法(主要對(duì)個(gè)人用戶而言):用戶要對(duì)自己的網(wǎng)站密碼采取分級(jí)管理���,若各種系統(tǒng)使用密碼皆為同一個(gè)�����,那么其壞處是不言而喻的�,因此,我們應(yīng)該養(yǎng)成對(duì)不同的應(yīng)用設(shè)置不同密碼的習(xí)慣��;要保證密碼的安全性非常強(qiáng)�,大部分網(wǎng)站都提供了強(qiáng)度檢查功能,我們應(yīng)該很好的利用它��。
2.3控制好入網(wǎng)訪問的安全
入網(wǎng)訪問的安全設(shè)置將為網(wǎng)絡(luò)訪問提供首層安全控制����,也就是說它可以控制并選擇哪些或什么用戶可以登陸系統(tǒng)并獲取網(wǎng)絡(luò)資源,同時(shí)也能控制某些用戶入網(wǎng)時(shí)間及在哪臺(tái)工作站入網(wǎng)�����。用戶的入網(wǎng)訪問的安全控制一般有三個(gè)設(shè)置部分:1)用戶名的識(shí)別及驗(yàn)證��;2)用戶口令的識(shí)別及驗(yàn)證��;3)用戶帳號(hào)缺省的限制檢查�����。這三個(gè)部分環(huán)環(huán)相扣��,不管是哪一個(gè)部分未被通過�����,那么此用戶便無(wú)法進(jìn)入網(wǎng)絡(luò)����。因此,能夠很好的控制非法侵入對(duì)網(wǎng)絡(luò)造成的危害��。
2.4隱藏IP地址
IP地址屬于網(wǎng)絡(luò)上分配給計(jì)算機(jī)或網(wǎng)絡(luò)設(shè)備的32位數(shù)字標(biāo)識(shí)����,在Internet上,每臺(tái)計(jì)算機(jī)所擁有的IP地址都應(yīng)該是唯一的�����。然而���,一些黑客往往利用其超高的技術(shù)窺探用戶的逐級(jí)信息��,其目的在于獲取主機(jī)中的IP地址����。用戶將IP地址進(jìn)行隱藏,那么黑客便不容易探測(cè)出主機(jī)中的IP地址�����。主要的方法是利用服務(wù)器���,用戶一旦使用了服務(wù)器����,那么黑客探測(cè)到的便是服務(wù)器的IP地址而不是用戶本身的IP地址�,這便實(shí)現(xiàn)了隱藏IP地址的目的,從而保障了用戶的上網(wǎng)安全����。
2.5虛擬局域網(wǎng)技術(shù)的應(yīng)用
篇8
互聯(lián)網(wǎng)發(fā)展至今,在人們的生產(chǎn)���、學(xué)習(xí)和生活中以及在國(guó)家的政治、經(jīng)濟(jì)、文化生活中的作用���,已顯得十分突出��,全社會(huì)對(duì)互聯(lián)網(wǎng)的依賴程度也越來越高���。同時(shí)也出現(xiàn)了一些不可忽視的問題,有人利用互聯(lián)網(wǎng)故意制作�����、傳播計(jì)算機(jī)病毒等破壞性程序����,攻擊計(jì)算機(jī)系統(tǒng)及通信網(wǎng)絡(luò),危害網(wǎng)絡(luò)運(yùn)行安全���,其中黑客攻擊是最令廣大網(wǎng)民頭痛的事情�,它是計(jì)算機(jī)網(wǎng)絡(luò)安全的主要威脅����。下面著重分析黑客進(jìn)行網(wǎng)絡(luò)攻擊的幾種常見手法及其防范措施。
1����、利用網(wǎng)絡(luò)系統(tǒng)漏洞進(jìn)行攻擊
許多網(wǎng)絡(luò)系統(tǒng)都存在著這樣那樣的漏洞����,這些漏洞有可能是系統(tǒng)本身所有的���,如WindowsNT�、UNIX等都有數(shù)量不等的漏洞�,也有可能是由于網(wǎng)管的疏忽而造成的。黑客利用這些漏洞就能完成密碼探測(cè)���、系統(tǒng)入侵等攻擊���。
對(duì)于系統(tǒng)本身的漏洞,可以安裝軟件補(bǔ)?���。涣硗饩W(wǎng)管員也需要仔細(xì)工作�,盡量避免因疏忽而使他人有機(jī)可乘。
2����、解密攻擊
在互聯(lián)網(wǎng)上�,使用密碼是最常見并且最重要的安全保護(hù)方法�����,用戶時(shí)時(shí)刻刻都需要輸入密碼進(jìn)行身份校驗(yàn)���。而現(xiàn)在的密碼保護(hù)手段大都認(rèn)密碼不認(rèn)人,只要有密碼�,系統(tǒng)就會(huì)認(rèn)為你是經(jīng)過授權(quán)的正常用戶,因此�,取得密碼也是黑客進(jìn)行攻擊的一重要手法。
取得密碼也還有好幾種方法����,一種是對(duì)網(wǎng)絡(luò)上的數(shù)據(jù)進(jìn)行監(jiān)聽。因?yàn)橄到y(tǒng)在進(jìn)行密碼校驗(yàn)時(shí)��,用戶輸入的密碼需要從用戶端傳送到服務(wù)器端�����,而黑客就能在兩端之間進(jìn)行數(shù)據(jù)監(jiān)聽�����。
但一般系統(tǒng)在傳送密碼時(shí)都進(jìn)行了加密處理,即黑客所得到的數(shù)據(jù)中不會(huì)存在明文的密碼��,這給黑客進(jìn)行破解又提了一道難題��。這種手法一般運(yùn)用于局域網(wǎng)�����,一旦成功攻擊者將會(huì)得到很大的操作權(quán)益��。另一種解密方法就是使用窮舉法對(duì)已知用戶名的密碼進(jìn)行暴力解密�。這種解密軟件對(duì)嘗試所有可能字符所組成的密碼,但這項(xiàng)工作十分地費(fèi)時(shí)��,不過如果用戶的密碼設(shè)置得比較簡(jiǎn)單�����,如“123456”���、“ABCD”等���,那有可能只需一眨眼的功夫就可搞定。
為了防止受到這種攻擊的危害�����,用戶在進(jìn)行密碼設(shè)置時(shí)一定要將其設(shè)置得復(fù)雜,也可使用多層密碼�����,或者變換思路使用中文密碼���,千萬(wàn)不要以自己的生日和電話號(hào)碼甚至姓名作為密碼,因?yàn)橐恍┟艽a破解軟件可以讓破解者輸入與被破解用戶相關(guān)的信息�,如身份證號(hào)碼、電話號(hào)碼以及生日等�,然后對(duì)這些數(shù)據(jù)構(gòu)成的密碼進(jìn)行優(yōu)先嘗試。另外應(yīng)該經(jīng)常更換密碼����,這樣使其被破解的可能性又下降了不少。
3���、通過電子郵件進(jìn)行攻擊
電子郵件是互聯(lián)網(wǎng)上運(yùn)用得十分廣泛的一種通訊方式�����。黑客可以使用一些郵件炸彈軟件或CGI程序向目的郵箱發(fā)送大量?jī)?nèi)容重復(fù)����、無(wú)用的垃圾郵件,從而使目的郵箱被撐爆而無(wú)法使用��。當(dāng)垃圾郵件的發(fā)送流量特別大時(shí)��,還有可能造成郵件系統(tǒng)對(duì)于正常的工作反映緩慢�,甚至癱瘓,這一點(diǎn)和后面要講到的“拒絕服務(wù)攻擊(DDoS)比較相似�����。
對(duì)于遭受此類攻擊的郵箱�����,可以使用一些垃圾郵件清除軟件來解決�,其中常見的有SpamEater、Spamkiller等�,另外Outlook、Foxmail等郵件收發(fā)軟件同樣也能達(dá)到此目的�����。
4���、拒絕服務(wù)攻擊
互聯(lián)網(wǎng)上許多大網(wǎng)站都遭受過此類攻擊����。實(shí)施拒絕服務(wù)攻擊(DDoS)的難度比較小,但它的破壞性卻很大����。它的具體手法就是向目的服務(wù)器發(fā)送大量的數(shù)據(jù)包,幾乎占取該服務(wù)器所有的網(wǎng)絡(luò)寬帶���,從而使其無(wú)法對(duì)正常的服務(wù)請(qǐng)求進(jìn)行處理,而導(dǎo)致網(wǎng)站無(wú)法進(jìn)入�、網(wǎng)站響應(yīng)速度大大降低或服務(wù)器癱瘓。
現(xiàn)在常見的蠕蟲病毒或與其同類的病毒都可以對(duì)服務(wù)器進(jìn)行拒絕服務(wù)攻擊的進(jìn)攻���。它們的繁殖能力極強(qiáng)���,一般通過Microsoft的Outlook軟件向眾多郵箱發(fā)出帶有病毒的郵件,而使郵件服務(wù)器無(wú)法承擔(dān)如此龐大的數(shù)據(jù)處理量而癱瘓�。
對(duì)于個(gè)人上網(wǎng)用戶而言,也有可能遭到大量數(shù)據(jù)包的攻擊使其無(wú)法進(jìn)行正常的網(wǎng)絡(luò)操作����,所以大家在上網(wǎng)時(shí)一定要安裝好防火墻軟件�,同時(shí)也可以安裝一些可以隱藏IP地址的程序���,怎樣能大大降低受到攻擊的可能性�����。
5�����、后門軟件攻擊
后門軟件攻擊是互聯(lián)網(wǎng)上比較多的一種攻擊手法����。Back Orifice2000�����、冰河等都是比較著名的特洛伊木馬����,它們可以非法地取得用戶電腦的超級(jí)用戶級(jí)權(quán)利,可以對(duì)其進(jìn)行完全的控制���,除了可以進(jìn)行文件操作外����,同時(shí)也可以進(jìn)行對(duì)方桌面抓圖、取得密碼等操作���。
這些后門軟件分為服務(wù)器端和用戶端����,當(dāng)黑客進(jìn)行攻擊時(shí)�,會(huì)使用用戶端程序登陸上已安裝好服務(wù)器端程序的電腦,這些服務(wù)器端程序都比較小�,一般會(huì)隨附帶于某些軟件上。有可能當(dāng)用戶下載了一個(gè)小游戲并運(yùn)行時(shí)�,后門軟件的服務(wù)器端就安裝完成了,而且大部分后門軟件的重生能力比較強(qiáng)�����,給用戶進(jìn)行清除造成一定的麻煩��。
當(dāng)在網(wǎng)上下載數(shù)據(jù)時(shí)��,一定要在其運(yùn)行之前進(jìn)行病毒掃描���,并使用一定的反編譯軟件����,查看來源數(shù)據(jù)是否有其他可疑的應(yīng)用程序����,從而杜絕這些后門軟件。
參考文獻(xiàn):
[1]《信息網(wǎng)絡(luò)安全概論》�����,周良洪 編著�,群眾出版社
篇9
二、檔案管理工作的創(chuàng)新內(nèi)容分析
(一)積極開展線上服務(wù)
在網(wǎng)絡(luò)環(huán)境里���,傳統(tǒng)的檔案管理必須要產(chǎn)生和網(wǎng)絡(luò)環(huán)境相適應(yīng)的變化���,因?yàn)榇藭r(shí)的人們對(duì)信息的時(shí)效性和準(zhǔn)確性有著更高的要求,互聯(lián)網(wǎng)的出現(xiàn)無(wú)疑讓這種需求變成了可能��,那么傳統(tǒng)的檔案手工管理模式����,就顯然出現(xiàn)效率低下�����,提供信息相對(duì)有效等突出性問題�����。在這種背景下�,構(gòu)建檔案信息化管理模式��,開展線上服務(wù)就成了很多用戶的重要訴求�,因此檔案管理部門為了迎合這個(gè)趨勢(shì),就需要積極的開展在線服務(wù)�����,通過專題的形式對(duì)相關(guān)的檔案信息進(jìn)行���,社會(huì)公眾和檔案館構(gòu)建廣泛快捷的信息溝通渠道���,從而提升檔案的管理效率�。
(二)加強(qiáng)信息共享
網(wǎng)絡(luò)環(huán)境的重要特點(diǎn)就是知識(shí)和信息等諸多資源的流動(dòng)性變得更加快速,基于傳統(tǒng)檔案管理模式已經(jīng)不能夠適應(yīng)網(wǎng)絡(luò)環(huán)境下對(duì)資源的需求����,因此檔案管理部門需要構(gòu)建現(xiàn)代信息技術(shù)管理模式�����,實(shí)現(xiàn)資源信息的共享��,從而為社會(huì)公眾提供全方位的檔案服務(wù)�。另外隨著社會(huì)的發(fā)展��,人類的信息總量呈現(xiàn)不斷增長(zhǎng)的趨勢(shì)���,因此對(duì)檔案管理的要求就變得越來越高�����,這也促進(jìn)了不同管理部門之間檔案管理的相互共享�����,能夠有效提升不同部門之間的信息溝通效率�����,從而實(shí)現(xiàn)一體化的檔案管理模式��,能夠有效節(jié)省檔案管理成本�,同時(shí)也能夠有助于促進(jìn)檔案信息的不斷完善,提升檔案信息資源的利用效率��。
(三)向縱深服務(wù)方向創(chuàng)新
在網(wǎng)絡(luò)社會(huì)中�,社會(huì)對(duì)檔案信息的需求變得更加迫切,而且對(duì)檔案種類的需求也越來越嚴(yán)格��,特別是檔案信息的細(xì)分����,這樣就能夠讓公眾能夠非常快速的定位需求的信息�,從而通過這些檔案信息獲得相應(yīng)的幫助。這樣檔案管理就需要向縱深服務(wù)方向發(fā)展����,不僅僅要搞好檔案的采集和整理工作,還需要將采集的檔案進(jìn)行更加細(xì)化的整理����,讓檔案的分類變得更加垂直細(xì)分化,同時(shí)對(duì)所有的檔案資料構(gòu)建統(tǒng)一的檢索目錄����,并存放在統(tǒng)一的數(shù)據(jù)庫(kù)憑條中,這樣就能夠讓更多的用戶通過網(wǎng)絡(luò)接口通過搜索功能快速定位需要的數(shù)據(jù)����,從而快速的為公眾提供更加深入的服務(wù)。這就意味著傳統(tǒng)的手工檔案管理要逐步從紙質(zhì)化向數(shù)字化方向發(fā)展�����。在這個(gè)背景下���,需要通過培訓(xùn)大量的現(xiàn)代檔案管理工作人員��,提升檔案管理工作人員的綜合素質(zhì)�����,從而適應(yīng)網(wǎng)絡(luò)環(huán)境下檔案管理工作的深入開展��。
三���、檔案管理工作的安全防護(hù)分析
(一)保障檔案管理系統(tǒng)的完整性
由于在網(wǎng)絡(luò)環(huán)境下,檔案信息規(guī)模龐大�����,各種信息資源通過網(wǎng)絡(luò)平臺(tái)進(jìn)行連接,檔案之間遵循一致性的邏輯關(guān)系��,所以在檔案數(shù)據(jù)錄入過程中����,這種邏輯關(guān)系就會(huì)引入到數(shù)據(jù)庫(kù),從而形成規(guī)模龐大的網(wǎng)絡(luò)檔案管理數(shù)據(jù)庫(kù)���。而數(shù)據(jù)庫(kù)的完整性對(duì)于檔案信息的安全無(wú)疑具有非常重要的影響��,這就需要檔案管理工作人員要加強(qiáng)對(duì)網(wǎng)絡(luò)檔案數(shù)據(jù)庫(kù)的維護(hù)工作��,確保檔案數(shù)據(jù)不會(huì)存在完整性的錯(cuò)誤�����,如果出現(xiàn)相關(guān)的錯(cuò)誤�����,要迅速定位數(shù)據(jù)邏輯關(guān)系�,從而進(jìn)行快速修復(fù)�,最大限度的規(guī)避對(duì)數(shù)據(jù)庫(kù)的有意或者無(wú)意的破壞。
(二)確保檔案數(shù)據(jù)的長(zhǎng)期可讀性
在網(wǎng)絡(luò)環(huán)境下,檔案信息數(shù)據(jù)的保存需要統(tǒng)一的格式��,這樣才能夠有助于檔案信息數(shù)據(jù)的流通和管理�,同時(shí)也有助于這些數(shù)據(jù)能夠融入到其他系統(tǒng)應(yīng)用中,比如企事業(yè)單位的自動(dòng)化辦公系統(tǒng)中���。因此在對(duì)這些檔案信息數(shù)據(jù)保存和應(yīng)用時(shí),不能夠隨意更改檔案文件格式���,從而方便數(shù)據(jù)的統(tǒng)一性����。另外還需要對(duì)檔案信息管理的軟件進(jìn)行及時(shí)的更新����,讓兼容始終處于一個(gè)動(dòng)態(tài)變化的過程中。這樣檔案信息的完整性和真實(shí)性以及有效性才能夠得到更好的保障�。
(三)加強(qiáng)安全信息管理
篇10
中圖分類號(hào):TP393.08
保護(hù)信息系統(tǒng)的安全,要綜合考慮技術(shù)保護(hù)和管理保護(hù)兩種實(shí)現(xiàn)方式�����。技術(shù)保護(hù)方式是根據(jù)風(fēng)險(xiǎn)產(chǎn)生的技術(shù)特點(diǎn)和安全目標(biāo)的要求而采用相應(yīng)的安全機(jī)制�����、技術(shù)措施和專用設(shè)備。管理保護(hù)方式則根據(jù)有關(guān)法律法規(guī)和安全目標(biāo)的要求��,針對(duì)信息系統(tǒng)的運(yùn)行��、有關(guān)人員的行為和技術(shù)過程而制訂的相應(yīng)管理制度[1]����。
1 國(guó)有企業(yè)局域網(wǎng)安全的總體目標(biāo)
確定網(wǎng)絡(luò)安全總體目標(biāo),應(yīng)該滿足一定的要求:
1.1 機(jī)密性(Confidentiality)�����。保證機(jī)密信息不泄漏給非授權(quán)用戶或?qū)嶓w����,也不能供其利用。對(duì)信息的訪問和利用����,應(yīng)該遵循完整健壯的認(rèn)證授權(quán)機(jī)制。
1.2 完整性(Integrity)���。保證數(shù)據(jù)的完整性和一致性�,即信息在存儲(chǔ)或傳輸過程中保持不被修改、不被破壞和不被丟失的特性����。
1.3 可用性(Availability)。保證合法用戶或?qū)嶓w對(duì)信息和資源的使用不會(huì)被異常拒絕����,允許按照需求使用。網(wǎng)絡(luò)環(huán)境下��,拒絕服務(wù)攻擊�����、破環(huán)網(wǎng)絡(luò)設(shè)施和系統(tǒng)正常運(yùn)行的中斷等都屬于對(duì)可用性原則的破壞����。
2 國(guó)有企業(yè)局域網(wǎng)絡(luò)攻擊及面臨的威脅分析
總的來說��,國(guó)有企業(yè)面臨的安全威脅主要是兩個(gè)方面:(1)來自企業(yè)網(wǎng)絡(luò)內(nèi)部的誤操作和惡意攻擊��。內(nèi)部網(wǎng)的人員往往有公司內(nèi)網(wǎng)局部系統(tǒng)的合法訪問或管理權(quán)限�����,所以他們的誤操作行為可能會(huì)給公司內(nèi)網(wǎng)帶來嚴(yán)重的危害;尤其是機(jī)要子網(wǎng)與普通子網(wǎng)的安全級(jí)別不同���,可能導(dǎo)致竊聽���、偽造信息的情況發(fā)生;同時(shí)源自公司內(nèi)網(wǎng)內(nèi)部的惡意網(wǎng)絡(luò)行為也可能導(dǎo)致嚴(yán)重的網(wǎng)絡(luò)安全問題[2]�����;(2)來自企業(yè)網(wǎng)絡(luò)外不得惡意攻擊����。接入Internet給外網(wǎng)帶來了工作和信息交換的便利,但同時(shí)也給外網(wǎng)帶來了很大的安全威脅�����。首先�,Internet網(wǎng)絡(luò)上隨機(jī)的惡意漏洞掃描是無(wú)時(shí)不在的,而這些惡意的漏洞掃描往往是大規(guī)模網(wǎng)絡(luò)入侵����、滲透和破壞行為的前兆。這也就是說����,外網(wǎng)隨時(shí)都可能面臨著來自Internet網(wǎng)絡(luò)的惡意攻擊�。其次�,網(wǎng)絡(luò)病毒經(jīng)由Internet網(wǎng)絡(luò)可以迅速的感染外網(wǎng),輕者造成網(wǎng)絡(luò)或系統(tǒng)資源的浪費(fèi)�����,嚴(yán)重的可能造成數(shù)據(jù)或系統(tǒng)的崩潰甚至局部網(wǎng)絡(luò)的完全癱瘓�����。
3 企業(yè)網(wǎng)絡(luò)安全性急需重視
企業(yè)已經(jīng)越來越依賴網(wǎng)絡(luò)以及企業(yè)內(nèi)部網(wǎng)絡(luò)來支持重要的工作流程��,內(nèi)部網(wǎng)絡(luò)斷線所帶來的成本也急劇升高�����。當(dāng)這--N顯得迫在眉睫時(shí)�����,如何確保核心網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定性就變得非常重要��,即使一個(gè)企業(yè)的虛擬網(wǎng)絡(luò)或防火墻只是短暫的中斷�,也都可能會(huì)中斷非常高額的交易,導(dǎo)致收入流失�、客戶不滿意以及生產(chǎn)力的降低[3]。
盡管所有的企業(yè)都應(yīng)該對(duì)安全性加以關(guān)注�����,但其中一些更要注意�����。那些存儲(chǔ)有私密信息或?qū)S行畔?、并依靠這些信息運(yùn)作的企業(yè)尤其需要一套強(qiáng)大而可靠的安全性解決方案,如政府機(jī)構(gòu)��、金融機(jī)構(gòu)�、保險(xiǎn)服務(wù)機(jī)構(gòu)、高科技開發(fā)商以及各類醫(yī)療機(jī)構(gòu)����。通過一部中央控制臺(tái)來進(jìn)行配置和管理的安全性解決方案能夠?yàn)榇祟惼髽I(yè)提供巨大幫助。這類安全性解決方案使IT管理員們能夠輕松地對(duì)網(wǎng)絡(luò)的安全性進(jìn)行升級(jí)�����,從而適應(yīng)不斷變化的商務(wù)需求���,并幫助企業(yè)對(duì)用戶訪問保持有效的控制��。例如����,IT管理員能夠根據(jù)最近發(fā)現(xiàn)的網(wǎng)絡(luò)攻擊行為迅速調(diào)整網(wǎng)絡(luò)的安全性級(jí)別。此外���,用戶很難在終端系統(tǒng)上屏蔽掉由一臺(tái)遠(yuǎn)程服務(wù)器控制的網(wǎng)絡(luò)安全特性����。IT管理人員們將非常自信:一旦他們?cè)谡麄€(gè)網(wǎng)絡(luò)中配置了適當(dāng)?shù)陌踩砸?guī)則�����,不論是用戶還是系統(tǒng)的安全性都將得到保證���,并且始終安全[4]。
而對(duì)于那些安全性要求較高的企業(yè)來說�����,基于軟件的解決方案(例如個(gè)人防火墻以及防病毒掃描程序等)都不夠強(qiáng)大�,無(wú)法滿足用戶的要求����。因?yàn)榧词挂粋€(gè)通過電子郵件傳送過來的惡意腳本程序����,都能輕松將這些防護(hù)措施屏蔽掉,甚至是那些運(yùn)行在主機(jī)上的“友好”應(yīng)用都可能為避免驅(qū)動(dòng)程序的沖突而無(wú)意中關(guān)掉這些安全性防護(hù)軟件�����。一旦這些軟件系統(tǒng)失效�����,終端系統(tǒng)將非常容易受到攻擊���。更為可怕的是�����,網(wǎng)絡(luò)中的其他部分也將處在攻擊威脅之下�����。
4 國(guó)有企業(yè)局域網(wǎng)絡(luò)攻擊與安全防范措施
4.1 安全防范要點(diǎn)�����。公司網(wǎng)絡(luò)目前從內(nèi)部至Internet并沒有做相關(guān)的安全措施���,特別是核心區(qū)和互聯(lián)區(qū)存在很大安全隱患���,黑客攻擊、信息丟失���、服務(wù)被拒絕等��,一旦發(fā)生任何攻擊�����,對(duì)公司網(wǎng)絡(luò)而言是致命性的�,影響公司業(yè)務(wù)的正常運(yùn)轉(zhuǎn)�。針對(duì)公司網(wǎng)絡(luò)的結(jié)構(gòu)及特點(diǎn)確定以下幾個(gè)必須考慮的安全防范要點(diǎn):(1)網(wǎng)絡(luò)安全隔離。為了各行業(yè)間�����、部門之間加強(qiáng)業(yè)務(wù)聯(lián)系以及信息化建設(shè)都需要網(wǎng)絡(luò)和網(wǎng)絡(luò)之間互聯(lián)���,交流信息���、信息共享等措施,給企事業(yè)單位的工作帶來極大的便利���,同時(shí)給有意����、無(wú)意的黑客或破壞者帶來了充分的施展空間����。所以網(wǎng)絡(luò)之間進(jìn)行有效的安全隔離是必需的;(2)網(wǎng)絡(luò)監(jiān)控措施�。網(wǎng)間隔離起邊緣區(qū)保護(hù)作用,無(wú)法防備內(nèi)部不滿者的攻擊行為���。往往內(nèi)部來的攻擊比外部攻擊更具有致命性�。在不影響網(wǎng)絡(luò)的正常運(yùn)行的情況下�����,增加內(nèi)部網(wǎng)絡(luò)監(jiān)控機(jī)制可以做到最大限度的網(wǎng)絡(luò)資源保護(hù)。從網(wǎng)絡(luò)監(jiān)控中得到統(tǒng)計(jì)信息來確定網(wǎng)絡(luò)安全規(guī)范及安全風(fēng)險(xiǎn)評(píng)估��。網(wǎng)絡(luò)安全目標(biāo)為保證整個(gè)網(wǎng)絡(luò)的正常運(yùn)行����;在受到黑客攻擊的情況下,能夠保證網(wǎng)絡(luò)系統(tǒng)正常運(yùn)行����。保證信息數(shù)據(jù)的完整性和保密性:在網(wǎng)絡(luò)傳輸時(shí)數(shù)據(jù)不被修改和不被竊取。具有先進(jìn)的入侵檢測(cè)體系��;正確確定安全策略及做科學(xué)的安全風(fēng)險(xiǎn)評(píng)估���。保證網(wǎng)絡(luò)的穩(wěn)定性:安全措施不形成網(wǎng)絡(luò)的負(fù)擔(dān)�,而且提供全天候滿意服務(wù)和應(yīng)用���。
4.2 方案具體實(shí)施過程中包括:(1)防火墻使用方案����。根據(jù)公司網(wǎng)絡(luò)整體安全考慮采用一臺(tái)瑞星防火墻安排在互聯(lián)區(qū)���。其中WWW�����、數(shù)據(jù)庫(kù)���、郵件、DNS等對(duì)外服務(wù)器連接在防火墻的DMZ區(qū)與內(nèi)�、外網(wǎng)間進(jìn)行隔離。建立合理有效的安全過濾原則對(duì)網(wǎng)絡(luò)數(shù)據(jù)包的協(xié)議���、端口�����、源/目的地址���、流向進(jìn)行審核,嚴(yán)格控制外網(wǎng)用戶非法訪問��。防火墻的DMZ區(qū)訪問控制規(guī)則����,只打開必需的服務(wù)HTTP、FTP����、SMTP����、POP3以及所需其他服務(wù)�����。防范外部來的拒絕服務(wù)攻擊��。對(duì)辦公網(wǎng)用戶進(jìn)行流量控制�����,采用時(shí)間安全規(guī)則變化策略�����,控制內(nèi)網(wǎng)用戶訪問外網(wǎng)時(shí)間��。防火墻設(shè)置IP地址MAC地址綁定�,防止IP地址欺騙。定期查看防火墻訪問日志����。嚴(yán)格控制防火墻的管理員的權(quán)限�����;(2)入侵檢測(cè)(IDS)系統(tǒng)方案��。以太網(wǎng)的共享通信介質(zhì)技術(shù),在進(jìn)行網(wǎng)絡(luò)通信時(shí)�����,隨著數(shù)據(jù)包在網(wǎng)絡(luò)上的廣播�����,任何聯(lián)網(wǎng)的計(jì)算機(jī)都可以監(jiān)聽正在通信的數(shù)據(jù)包��,因此存在著安全隱患����,網(wǎng)絡(luò)入侵系統(tǒng)利用以太網(wǎng)的這種特性,進(jìn)行有效的網(wǎng)絡(luò)監(jiān)控��,調(diào)整網(wǎng)絡(luò)資源分配����,及時(shí)發(fā)現(xiàn)不正常數(shù)據(jù)包��,并根據(jù)安全策略原則進(jìn)行處理���,確保網(wǎng)絡(luò)系統(tǒng)的安全。入侵檢測(cè)能力是衡量一個(gè)防御體系是否完整有效的重要因素�����。強(qiáng)大的�����、完整的入侵檢測(cè)體系可以彌補(bǔ)防火墻相對(duì)靜態(tài)防御的不足�。根據(jù)公司網(wǎng)絡(luò)的特點(diǎn),采用瑞星的入侵檢測(cè)系統(tǒng)����。
5 結(jié)束語(yǔ)
由于國(guó)有企業(yè)局域網(wǎng)的安全問題是一個(gè)系統(tǒng)工程,在制定安全網(wǎng)絡(luò)策略時(shí)應(yīng)盡可能地考慮到網(wǎng)絡(luò)中的各個(gè)方面及網(wǎng)絡(luò)的拓展性�,采用TCP/IP進(jìn)行網(wǎng)絡(luò)通信的網(wǎng)絡(luò),在網(wǎng)絡(luò)層對(duì)計(jì)算機(jī)通信進(jìn)行安全保護(hù)是業(yè)界流行的安全解決辦法��。
參考文獻(xiàn):
[1]李春潔.企業(yè)局域網(wǎng)的建設(shè)與維護(hù)[J].信息通信�,2013(10):116-117.
[2]郝靜.提高企業(yè)局域網(wǎng)帶寬質(zhì)量五步驟[J].計(jì)算機(jī)與網(wǎng)絡(luò),2014(Z1):67.
[3]王大明.企業(yè)局域網(wǎng)維護(hù)管理策略的研究和分析[J].電子技術(shù)與軟件工程�����,2014(29):28.
篇11
中圖分類號(hào): TN915.08?34; TP393 文獻(xiàn)標(biāo)識(shí)碼: A 文章編號(hào): 1004?373X(2013)09?0084?04
0 引 言
網(wǎng)絡(luò)如今運(yùn)行在一個(gè)高科技和開放的環(huán)境中�。企業(yè)越來越依靠他們的網(wǎng)絡(luò)在本土和國(guó)際市場(chǎng)中競(jìng)爭(zhēng)。世界范圍的廣泛連接既為企業(yè)提供了競(jìng)爭(zhēng)力同時(shí)也將企業(yè)暴露在多種多樣的攻擊前���。高科技犯罪和信息的誤用和濫用給越來越多的企業(yè)帶來巨大的損失[1]����,隨著網(wǎng)絡(luò)的發(fā)展���,自動(dòng)化的評(píng)估網(wǎng)絡(luò)的攻擊漏洞已變得越來越重要。
許多研究者提出了使用攻擊樹和攻擊圖來建模網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)評(píng)估方法[2?3]���。通過在模型中尋找攻擊路徑來確定可能導(dǎo)致?lián)p失的狀況���。但是,絕大多數(shù)模型并不能定量地分析漏洞的風(fēng)險(xiǎn)���,忽略了漏洞之間的相互關(guān)系�����。
在本文中�����,介紹一種新方法來構(gòu)建帶標(biāo)記的攻擊圖(AG)�,攻擊圖中的每個(gè)節(jié)點(diǎn)都標(biāo)注了概率值來表示該漏洞被成功利用的概率,圖中的邊代表了漏洞之間的關(guān)聯(lián)�。采用通用漏洞評(píng)分系統(tǒng)(Common Vulnerability Scoring System,CVSS)作為計(jì)算每個(gè)漏洞概率的基礎(chǔ)�,并采用貝葉斯網(wǎng)絡(luò)計(jì)算累積的概率。
1 攻擊圖的產(chǎn)生
