序論:速發表網結合其深厚的文秘經驗�����,特別為您篩選了11篇網絡安全與攻防范文��。如果您需要更多原創資料,歡迎隨時與我們的客服老師聯系�,希望您能從中汲取靈感和知識��!
篇1
[關鍵詞]
網絡系統;攻防特點����;安全策略
一�、引言
伴隨著網絡系統使用的范圍不斷擴大���,網絡系統的安全問題也越來越多的暴露出來�����。網絡系統的安全問題與網絡系統攻防特點有直接的關系。本文介紹了網絡系統攻防的特點���,主要包括攻網絡防技術的特點、網絡攻防成本的特點����、網絡攻防主體、網絡攻防空間的特點和網絡攻防發展的特點�����。結合目前網絡系統安全性現狀�����,做出了維護網絡系統安全性的安全策略�。希望通過本文的介紹���,能夠為維護網絡系統安全提供理論依據和指導意見。
二����、網絡系統攻防特點
網絡系統包括網絡攻擊系統和網絡防御系統����,網絡攻擊系統和網絡防御系統的聯系是非常密切的����。所謂網絡攻擊系統是指攻擊者利用網絡系統搜集被攻擊網絡的信息�,搜集之后進行對比、研究��,發現被攻擊網絡的漏洞�����,針對漏洞進行攻擊���,進而達到監視或者控制被攻擊網絡的目的,甚至造成被攻擊網絡癱瘓�����。網絡攻擊可以是大范圍的攻擊��,采用的方式有很多種�,并且攻擊的隱蔽性好����。網絡防御系統是與網絡攻擊系統對立的�����,網絡防御系統通過加密技術和身份認證等技術����,保護網絡能夠抵御外界攻擊并且保證傳輸的數據信息等不被監視����。網絡防御的范圍相對比較小,只能對特定范圍的計算機網絡進行保護�。網絡系統攻防特點主要包括攻網絡防技術的特點�����、網絡攻防成本的特點、網絡攻防主體����、網絡攻防空間的特點和網絡攻防發展的特點�����。下面對網絡系統攻防的特點逐條進行介紹����。
1����、網絡攻防技術的特點網絡系統本身是屬于技術含量非常高的��,但是�,正是由于科學技術的不斷發展�,產生了一系列雖然本身技術含量高�,可是操作卻相對比較容易的網絡攻擊系統����。攻擊的操作者不需要對網絡有太高深的理解�����,只要按照相關提示進行操作便可實現網絡攻擊��。針對網絡應用軟件��、網站等等存在漏洞和缺陷是可以理解的�����,正是由于存在漏洞的缺陷在能促進其不斷完善�����。正常情況下有關應用軟件����、網站的漏洞和缺陷應該屬于機密���,外界人員是不能知道的,但是��,目前這些本應屬于機密的文件在網絡上可以很輕易地獲知�,這就對應用軟件和網站構成了潛在的威脅����,導致網絡的安全性和穩定性處在隨時可能被破壞的陰影之下���。一些網絡攻擊者本身對網絡系統和網絡攻防系統非常了解����,進而開發了網絡攻擊工具或者網絡攻擊軟件���,配備詳細的使用說明進行銷售�,從而使得很多人都能夠應用這些攻擊工具或者網絡攻擊軟件進行網絡攻擊,破壞性和不良影響非常巨大����。與網絡攻擊系統向對立的網絡防御系統���,對防御技術的要求就要高很多����。目前���,很多人都只具備簡單的網絡常識����,例如安裝防護軟件����,網絡查殺病毒等等。當遇到有針對性的攻擊時�����,往往素手無策�����,需要專業的人員才能解決問題�。
2�、網絡攻防成本的特點通常網絡系統的攻擊成本是非常廉價的���,只要一臺能夠上網的計算機就能實現,并且很有可能只是通過這樣廉價的設施在短時間內就能破壞很大的網絡系統����,造成網絡系統數據損失或者整個網絡系統運行癱瘓���,損失的人力和金錢是相當巨大的���。網絡攻擊甚至能夠針對衛星進行攻擊,特別是發射時間比較靠前的衛星�,因為缺乏必要的安全防護措施��,在受到攻擊之后不具備防御能力��,非常容易遭到干擾。就算是針對近年來發射的本身自帶防御措施的衛星��,網絡攻擊者仍然能夠有漏洞可以鉆��,潛在的危害非常大�。
3�、網絡攻防主體的特點傳統的實體較量中���,攻防較量的雙方通常應該是整體實力相差不多��。在實體較量中�����,實力非常弱的一方去挑戰實力非常強的一方現象是很少出現的��。在網絡系統中����,這種定律被打破了�����。不同實力的雙方進行較量時��,較量的結果是不確定的,不再一定是實力強一方獲勝了�����?����;诰W絡攻防主體的特點�����,促進了不同等級的網絡主體進行較量����,任何一方都可以主動發起挑戰�����。弱國不再一直處于防守狀態,強國也不再一直處在攻擊狀態����。
4、網絡攻防空間的特點傳統的實體進行較量��,對空間有要求���,需要空間位置上的接近�����。網絡攻防打破了對空間上的約束�����。攻擊者可以位于世界上的任何一個有網的地方����,對世界上任何地方的網絡進行攻擊。網絡攻擊的隱蔽性好��,可以通過多個網絡平臺之后再進行攻擊���,能夠有效的將自己隱藏起來�����,防御方想要確定攻擊位置和攻擊方都存在很大的困難�����。
5�、網絡攻防發展的特點網絡攻防系統是相互對立���,并且相互制約的�����,但是網絡攻防的發展是不同步的��。網絡防御技術的發展要落后于網絡攻擊技術的發展,往往是攻擊者根據掌握了網絡知識和攻擊技巧后�����,通過網絡攻擊系統向網絡防御系統發出攻擊��,網絡防御系統為了保證自身的安全性和穩定性作出防御反應�。通常正是由于攻擊系統的不斷攻擊���,才促進了防御系統的發展與進步��。正是這種攻擊與被攻擊����、進步與被進步的緊密聯系促進了網絡系統的發展,同時也證明了���,一個網絡系統要想長期安全、穩定的發展下去���,需要始終保持發展的眼光。
三����、網絡系統安全策慮
網絡系統給人們的工作、生活和學習帶來了相當大的便利����,人們的工作���、生活和學習已經離不開網絡系統。網絡系統存在的網絡安全是一種潛在的威脅����,一旦出現網絡安全問題有可能造成很大的損失,因此需要加強對網絡系統安全問題的重視�����。網絡系統安全問題與網絡系統攻防有著必然的聯系���,網絡系統的攻防較量決定了網絡系統的安全性。上一章已經對網絡系統攻防特點進行了介紹�����,本章將對網絡系統安全策略進行介紹��。
1�����、網絡病毒防范網絡系統中的安裝軟件和程序往往是存在漏洞和缺陷的,計算機病毒正是利用了相關的漏洞和缺陷產生的��。網絡系統的發展一方面方便了用戶���,另一方面也導致網絡病毒的種類越來越多�,傳播速度越來越快,造成的破壞力也越來越大。對網絡病毒進行防范是比較直接的降低網絡安全問題的一個策略�����?����?梢栽儆嬎銠C中安裝正規的殺毒軟件,殺毒軟件通??刹僮餍詮?,對于網絡知識比較薄弱的人來說也比較容易使用。對于安全性未知的網站不要輕易登錄�����,不下載和使用來歷不明的軟件和程序�����,對于下載的軟件和程序首先要進行殺毒�����,確保沒有病毒之后才能進行后續的安裝��。對系統隨時進行更新��,減少漏洞和缺陷,避免因為存在明顯的漏洞而被網絡攻擊者有機可乘��。
2��、安裝防護墻防火墻位于網絡系統內部和網絡系統外部之間,用于保證網絡系統內部的安全����,可以說是保證網絡系統內部安全性的一道關卡�����。防火墻能夠對網絡系統外部的數據和程序進行甄別���,確定是否為惡意攻擊數據和程序����,如果確定為攻擊數據和程序,將把其攔截在網絡系統之外��,不允許其進入到網絡系統內部��,防止對網絡系統內部造成破壞����。防火墻起到監控網絡系統傳輸數據的功能,對于存在隱患的數據限制傳輸�。從網絡系統攻防角度來講���,防火墻主要是針對網絡系統進攻方,防止網絡系統進攻方針對網絡系統的安全攻擊�����。
3�����、加密數據網絡系統的攻擊者一旦穿過了防火墻進入網絡系統內部,如果采用普通數據����,系統攻擊者將會比較輕松的獲得網絡系統中的數據�����,損失慘重�。如果將數據進行加密�,則為網絡系統攻擊者增加了障礙��,有利于降低對網絡系統的損失。加密技術的發展比較早��,目前網絡加密數據技術已經發展的相對比較成熟��。網絡加密的手段比較多�,目前比較常用的是對稱密鑰和非對稱密鑰�����,網絡安全維護者可以根據實際的網絡環境合理的選擇使用對稱密鑰或者非對稱密鑰,必要時�����,可以同時使用。
4��、數字簽名數據在網絡系統雙方之間進行傳輸時��,發送數據方可以在數據上進行數字簽名��,數字簽名起到鑒別發送者的作用,避免接收者對數據誤解而錯接了含有病毒的數據����,造成意外損失����。數字簽名還有另外一個作用,加入數字簽名之后���,接收者可以明確看出數據或者程序是否有缺失。
5�、數字證書網絡系統中使用的數字證書與人們在實際生活中使用的身份證作用相同��,是一個用戶身份的證明��。身份證需要到民政部門辦理,網絡數字證書同樣需要經過合法的第三方進行認證�����,只有經過認證之后,才能起到作用�����。在網絡系統進行傳輸數據時���,加入數字證書認證,能夠有效的進行保密���,防止惡意攻擊。
四��、總結
科學技術的發展加快了網絡系統的發展,網絡系統已經與人們的生活和工作產生了密切的聯系�。由于網絡系統自身的技術特點��,造成網絡系統存在被攻擊和破壞的可能性�。人們在使用網絡系統的時候�,不可避免的會遇到網絡的安全問題����,并且目前網絡安全問題有日益突出的趨勢�。網絡系統的安全問題與網絡系統的開放性質有關���,與網絡系統的攻防特點也密切相關���。本文首先簡單介紹了網絡攻擊系統和網絡防御系統概念����,然后介紹了網絡系統攻防特點�����,網絡系統攻防特點主要包括攻網絡防技術的特點���、網絡攻防成本的特點、網絡攻防主體�����、網絡攻防空間的特點和網絡攻防發展的特點。最后結合網絡系統自身的特點����、網絡攻擊系統�、網絡防御系統特點以及目前的網絡系統安全問題��,闡述了網絡系統安全策略。網絡系統安全策略包括網絡病毒防范����、安裝防火墻���、加密數據�、數字簽名和數字證書��。只有做好了各個環節的安全策略����,才可能保證網絡系統整體的安全性�。
參考文獻
[1]向陽霞.基于虛擬靶機的方法在網絡攻防實驗教學中的應用[J].網絡與通信技術,2010(5)
篇2
中圖分類號:TP393.08文獻標識碼:A 文章編號:1009-3044(2010)20-5442-02
Design of Network Safety Attack and Defense Test Platform based on Active Defense
WANG Chao-yang
(5 Department 43 Team, Artillery Academy of the P.L.A, Hefei 230031, China)
Abstract: Now traditional passive defense technology will not reply the behavior of unceasing increase large-scale network attack. According to the characteristic and the advantage of active defense, the article has introduced a kind of design scheme test platform abort network safety attack and defense based on the technology of active defense, and the design and realization of system from the two pieces of experiment modular abort attack and defense.
Key words: active defense; network safety; attack; defense
目前�,伴隨著計算機網絡的大量普及與發展�����,網絡安全問題也日益嚴峻�。而傳統的�����、被動防御的網絡安全防護技術也將越來越無法應對不斷出現的新的攻擊方法和手段�����,網絡安全防護體系由被動防御轉向主動防御是大勢所趨。因此�,立足現有網絡設備進行攻防實驗平臺的設計和研究��,對于未來網絡安全防護技術的研究具有深遠的指導意義�����。
1 系統功能設計概述
1.1 主動防御技術的概念
主動防御技術是一種新的對抗網絡攻擊的技術,也是當今網絡安全領域新興的一個熱點技術�����。它源于英文“Pro-active Defense”��,其確切的含義為“前攝性防御”���,是指由于某些機制的存在�����,使攻擊者無法完成對攻擊目標的攻擊�����。由于這些前攝性措施能夠在無人干預的情況下預防安全事件����,因此有了通常所說的“主動防御”[1]。網絡安全主動防御技術能夠彌補傳統被動防御技術的不足�����,采用主機防御的思想和技術,增強和保證本地網絡安全�,及時發現正在進行的網絡攻擊�,并以響應的應急機制預測和識別來自外部的未知攻擊�,采取各種應對防護策略阻止攻擊者的各種攻擊行為��。
1.2 系統設計目標
目前關于主動防御的網絡安全防御策略理論研究的較多�,但是對于很多實際應用方面還缺乏實戰的指導和經驗��。網絡安全攻防實驗平臺主要依據主動防御技術體系為策略手段���,針對現有網管軟件存在的問題�����,進行主動防御技術體系優化�,其核心在于在實驗中實現系統的漏洞機理分析���、安全性檢測、攻擊試驗��、安全應急響應和提供防御應對策略建議等功能����,能夠啟發實驗者認識和理解安全機理���,發現安全隱患���,并進行系統安全防護���。
1.3 實驗平臺功能
基于主動防御的網絡安全攻防實驗平臺是一個網絡攻擊與防御的模擬演示平臺����,在單機上模擬出基本的網絡節點(設備)�,然后在這個模擬的網絡環境中演示出網絡攻擊與防御的基本原理和過程��,并以可視化的結果呈現出來�。該實驗平臺所仿真的機理和結果能夠依據網絡安全的需求����,最終用于網絡攻防測評和實戰的雙重目的。并可以為網絡攻擊和防護技能人才更好的學習提供一定的參考��。為完整地體現網絡戰攻防的全過程�����,該平臺分為攻擊模塊與防御模塊兩部分。
攻擊模塊部分包括主機端口的掃描���、檢測、Web/SMB攻擊模塊和IDS等�����。其主要功能是實現對于目標系統的檢測、漏洞掃描�、攻擊和與防護端的通訊等[2]。
防御模塊部分主要是基于主動防御技術的功能要求����,實現檢測����、防護和響應三種功能機制����。即能夠檢測到有無攻擊行為并予以顯示、給出陷阱欺騙可以利用的漏洞和提供防護應對策略等�����,如: 網絡取證、網絡對抗��、補丁安裝�����、系統備份����、防護工具的選購和安裝�、響應等���。
2 攻防實驗平臺模型設計
2.1 設計方案
要實現網絡攻防的實驗,就必須在局域網環境構建仿真的Internet環境�����,作為攻防實驗的基礎和實驗環境。仿真的Internet環境能實現www服務�、FTP�、E-mail服務�����、在線交互通信和數據庫引擎服務等基本功能�。依據系統的功能需求分析�����,該平臺要實現一個集檢測���、攻擊�、防護��、提供防護應對策略方案等功能于一體的軟件系統���。主要是除了要實現基本的檢測�、攻擊功能外�,還必須通過向導程序引導用戶認識網絡攻防的機理流程,即:漏洞存在―漏洞檢測(攻擊模塊)―攻擊進行(攻擊模塊)―系統被破壞―補救措施(防御模塊)―解決的策略方案(防御模塊)[3]����,以更好的達到實驗效果���。
平臺整體采用C/S模式���,攻擊模塊為客戶端��,防御模塊為服務器端��。攻擊模塊進行真實的掃描���、入侵和滲透攻擊���,防御模塊從一定程度上模擬并顯示受到的掃描�����、攻擊行為��,其模擬的過程是動態的,讓實驗者看到系統攻擊和被攻擊的全部入侵過程�����,然后提供響應的防護應對策略��。攻防實驗平臺模型如圖1所示���。
2.2 基于主動防御的網絡安全體系
根據本實驗平臺設計的思想和策略原理,為實現主動防御的檢測���、防護和響應功能機制��,構建基于主動防御技術的網絡安全策略體系(如圖2所示)���。安全策略是網絡安全體系的核心,防護是整個網絡安全體系的前沿�����,防火墻被安置在局域網和Internet網絡之間,可以監視并限制進出網絡的數據包�����,并防范網絡內外的非法訪問[4-5]���。主動防御技術和防火墻技術相結合,構建了一道網絡安全的立體防線��,在很大程度上確保了網絡系統的安全��,對于未來的網絡安全防護具有深遠的意義�����。檢測和響應是網絡安全體系主動防御的核心��,主要由網絡主機漏洞掃描(包括對密碼破解)���、Web/SMB攻擊、IDS����、網絡取證���、蜜罐技術等應急響應系統共同實現,包括異常檢測���、模式發現和漏洞發現����。
2.3 攻防模塊設計
該實驗平臺的攻擊模塊和防御模塊利用C/S模式采用特定端口進行通訊。攻擊端以動作消息的形式�����,把進行的每一個動作發往防御端���,防御模塊從數據庫中調用相關數據進行模擬、仿真����,讓實驗者看到和體會到自身系統受到的各種攻擊����。攻防模塊經過TCP/IP建立連接后��,開始進行掃描���、檢測、Web/SMB攻擊和IDS等入侵行為�����,攻擊端每一個消息的啟動都會發給防御端一個標志位��,防御模塊經判斷后���,調用相關的顯示和檢測模塊進行處理,并提供相應的防護應對策略����。
3 平臺的實現
3.1 主動防御思想的實現
在一個程序中,必須要通過接口調用操作系統所提供的功能函數來實現自己的功能��。同樣,在平臺系統中�����,掛接程序的API函數��,就可以知道程序的進程將有什么動作���,對待那些對系統有威脅的動作該怎么處理等等�。實驗中,采取掛接系統程序進程的API函數��,對主機進程的代碼進行真實的掃描��,如果發現有諸如SIDT���、SGDT、自定位指令等����,就讓進程繼續運行���;接下來就對系統進程調用API的情況進行監視,如果發現系統在數據的傳輸時違反規則���,則會提示用戶進行有針對性的操作��;如果發現一個諸如EXE的程序文件被進程以讀寫的方式打開����,說明進程的線程可能想要感染PE文件,系統就會發出警告��;如果進程調用了CreateRemoteThread()��,則說明它可能是比較威脅的API木馬進程,也會發出警告����。
3.2 攻擊程序模塊實現
網絡安全攻防實驗平臺的設計是基于面向對象的思想�,采用動態連接庫開發掃描��、檢測��、攻擊等功能模塊�����。利用套接字變量進行TCP/IP通信�����,調用DLL隱式連接和顯示連接,采用在DLL中封裝對話框的形式��,也就是把掃描�、檢測���、攻擊等功能和所需要的對話框同時封裝到DLL中,然后主程序直接調用DLL[6]�����。實驗中,可以在攻擊程序模塊中指定IP范圍,并輸入需要攻擊的主機IP地址和相應的其他參數��,對活動主機漏洞進行掃描和密碼攻擊(如圖3所示)�����;并指定IP,對其進行Web/SMB攻擊���,然后輸出攻擊的結果和在攻擊過程中產生的錯誤信息等。
3.3 防御程序模塊實現
在程序的運行中��,采取利用網絡偵聽機制監聽攻擊模塊的每一次動作消息的形式,自動顯示給用戶所偵聽到外部攻擊行為(如圖4所示:Web/SMB攻擊)�。該模塊同樣使用了WinSock類套接字進行通訊,在創建了套接字后����,賦予套接字一個地址���。攻擊模塊套接字和防御模塊套接字通過建立TCP/IP連接進行數據的傳輸。然后防御模塊根據接收到的標志信息��,在數據庫中檢索對應的記錄����,進行結果顯示�����、網絡取證、向用戶提供攻擊的類型及防護方法等多種應對策略����。其中的蜜罐響應模塊能夠及時獲取攻擊信息,對攻擊行為進行深入的分析��,對未知攻擊進行動態識別,捕獲未知攻擊信息并反饋給防護系統���,實現系統防護能力的動態提升。
4 結束語
基于主動防御的網絡安全攻防實驗平臺主要是針對傳統的被動式防御手段的不完善而提出的思想模型���。從模型的構建、平臺的模擬和實驗的效果來看�����,其系統從一定程度上真實的模擬了網絡設備的攻防功能�,可以為網絡管理者和學習者提供一定的參考和指導�����。
參考文獻:
[1] 楊銳,羊興.建立基于主動防御技術的網絡安全體系[J].電腦科技,2008(5).
[2] 裴斐,鄭秋生,等.網絡攻防訓練平臺設計[J].中原工學院學報,2004(2).
[3]Stuart McClure, Joel Scambray, George Kurtz. 黑客大曝光―網絡安全的機密與解決方案[ M].北京:清華大學出版社���,2002
[4] 張常有.網絡安全體系結構[M].成都:電子科技大學出版社,2006(15).
篇3
隨著計算機和Internet技術的迅速普及和發展�,計算機網絡早已成了一個國家的經濟脈搏。計算機網絡在社會活動的各個方面中都起到了不可或缺的作用�����。大部分的企業、政府部門和其他組織機構均建立了適合各自使用的基于互聯網的相關系統�,達到充分配置各種資源和信息共享等功效����。互聯網為社會和經濟的快速進步提供了技術基礎�,作用也愈發突出���。然而,網絡技術的快速發展也出現了多種多樣的問題��,安全狀況尤其明顯����。因為它又為很多的計算機病毒和黑客創造了機會和可能����,不管是由于它們在設計上有不足�����,還是因為人為的原因造成的種種漏洞和缺陷���,均會被某些意圖不軌的黑客利用,進而發起對系統等進行攻擊�。只有做到了解才能在黒客進行網絡攻擊前做到充分的防范�����,從而保證網絡運行過程中的安全性��。熟知Internet會發生的各種狀況威脅,做到及時的預防和準備����,實現網絡安全早已成為互聯網實施中最為主要的方面�����。網絡安全是在互聯網經濟時代中人們所面臨的共同威脅�,而我國的網絡安全問題也越來越明顯��。
1 網絡安全面對的威脅主要表現為:
1.1 黑客攻擊
黑客最開始是指那些研究計算機技術的專業計算機人士���,特別是那些編程技術人員���。但現在����,黑客一詞則是泛指那些專門通過互聯網對計算機系統進行破壞或非法入侵的人����。全球現在已有20多萬個黑客網站����,網站上講解了對網站和系統的一些攻擊軟件的使用和攻擊的方式���,以及系統的某些缺陷和漏洞,所以黑客技術也被人們普遍的了解�,因此系統和網站受到攻擊的幾率就大大提高�。目前對于網絡犯罪進行快速反應、跟蹤和追捕等技術不健全�,使得黑客攻擊系統和網站越來越猖狂��,這也是影響網絡安全的重要因素�����。
1.2 木馬
木馬程序是當前在互聯網上盛行的病毒感染文件�,和普通的病毒不一樣����,它不能進行自我繁殖�,也并不“自主”地去破壞用戶文件�����,通過將文件偽裝吸引用戶下載運行被感染的文件��,向施種木馬者提供打開被感染用戶計算機的門戶����,使施種者可以對被感染的用戶的文件進行盜竊��、破壞����,還可以控制被感染用戶的計算機���。一般情況下的木馬文件包括客戶端和服務器端兩個部分�����,客戶端是施種木馬者進行遠程控制被感染的用戶的服務器終端�����,而服務器端則是植入木馬文件的遠程計算機。當木馬程序或包含木馬病毒的其他程序運行時�,木馬會先在系統中潛伏下來,并篡改系統中的數據和程序,每次使用系統時都會使潛伏的木馬程序自動運行��。執行木馬的客戶端和服務器端在運行模式上屬于客戶機/服務器方式Client/Server,C/S 客戶端在當地計算機上運行�,用來控制服務器端����。而服務器端則是在遠程計算機上運行�����,只要運行成功該計算機就中了木馬��,那么就變成了一臺服務器��,可以控者進行遠程控制���。
2 對防范網絡攻擊的建議:
在對網絡攻有一定的了解的同時����,我們應該對網絡攻擊采取有效的措施��。確定網絡攻擊的漏洞所在����,建立真正有效的的安全防范系統�����。在網絡環境下設立多種多層的防范措施��,真正達到防范的效果�����,讓每種措施都像關卡一樣�,使得攻擊者無計可使��。同時���,我們還要做到防范于未然,對重要的數據資料及時備份并實時了解系統的運作情況���,做到有備無患。
對于網絡安全的問題���,提出的以下幾點建議:
2.1 加強對安全防范的重視度
(1) 對于來路不明的郵件和文件不要隨意的下載和打開�,謹慎運行不熟悉的人提供的程序和軟件�,像“特洛伊”類木馬文件就需要誘使你執行���。
(2)最好不要從互聯網上下載不正規的文件、游戲和程序等���。就算是從大家都熟悉的網站下載程序等,也要在第一時間用最新的查殺病毒和木馬的軟件對其進行安全掃描��。
(3)在進行密碼設置是�,盡量不適用單一的英文或數字的密碼種類���,因為它們很容易被破解,最好是字母����、數字和符號的混合使用。同時對于經常使用的各個密碼要進行不同的設定��,防止一個密碼被盜導致其他的重要數據丟失。
(4)對于系統提示的系統漏洞和補丁要及時的修補和安裝����。
(5)在支持HTML的論壇上,如出現提交發出警告��,那么先查看BBS源代碼�����,這極可能是誘騙密碼的陷阱���。
2.2 及時的使用防毒����、防黑等防火墻保護軟件��,防火墻是一個用來防止互聯網上的黑客入侵某個機構網絡的保障����,也把它稱做控制進與出兩個方面通信的大門��。在互聯網邊界上通過建立各種網絡通信流量監控體系來隔離內部和外部的網絡�����,來防止外面互聯網的入侵�。
網絡攻擊的現象越來越多����,攻擊者也是越來越猖狂�����,這極大的威脅了網絡的安全性���。黑客們的瘋狂入侵是都可以采取措施來防范的,只要我們知道他們的攻擊方式及擁有大量的安全防御知識���,就能消除黑客們的惡意進攻。不論什么時候我們都要把重視網絡安全教育��,提高網絡用戶的安全防范意識和培養一定的防御能力�,這對確保整個網絡的安全性有著不可或缺的作用�。如今����,市面上也出現了很多的提高網絡安全的方法和各種防火墻����,筆者認為網絡成為安全的信息傳輸媒介即將成為現實。
參考文獻:
[1]周學廣等.信息安全學. 北京:機械工業出版社�,2003.3
[2] (美)Mandy Andress著.楊濤等譯.計算機安全原理. 北京:機械工業出版社���,2002.1
篇4
中圖分類號:TP393文獻標識碼:A文章編號:1007-9599 (2011) 16-0000-01
The Security of Network Attacks Based on CDP Protocol
Jiang Baohua
(Changchun University,Tourism College,Department of Basic,Changchun130607,China)
Abstract:CDP (Cisco Discovery Protocol) is one of Cisco's data link layer discovery protocol that runs on Cisco routers,bridges,access servers and switches and other devices used to find and view details of a neighbor important agreements,such as IP address,software version,platform, performance,and the native VLAN.Intruders often use denial of service (DoS) attacks such as access to these information,and use this information for CDP deception,resulting in significant security threats.
Keywords:CDP protocol;Network attacks;Security
一、CDP協議發現原理
要發現CDP協議的安全漏洞��,就要知道其工作原理�。CDP協議與現有的網絡協議類型無關�,主要用來發現與本地設備直接相連的Cisco設備����。每個運行CDP協議的設備都會定期發送宣告消息,來更新鄰居信息�����。同時每個運行CDP的設備也會接收CDP消息來記錄鄰居設備的信息。這些信息包括設備名稱�、本地接口、硬件版本���、IOS版本、IOS平臺��、工作模式�、本地VLAN�、連接保持等����。利用這些信息可以描述整個網站的拓撲情況��。而且這些報文信息不加密��,是明文���。CDP發現直接相連的其他Cisco設備,�����,并在某些情況下自動配置其連接���。CDP的優勢非常明顯,包括發現的速度�����、準確性�、所獲取的信息的詳細程度。
CDP協議相關的命令與作用如下:(1)SHOW CDP命令獲取CDP定時器和保持時間信息。(2)在全局模式下使用命令CDP TIMER和CDP HOLDTIME在路由器上配置CDP定時器和保持時間。(3)在路由器的全局配置模式下可以使用NO CDP RUN命令完全的關閉CDP��。若要在路由器接口上關閉或打開CDP�����,使用NO CDP ENABLE和CDP ENABLE命令。(4)Show cdp neighbor命令可以顯示有關直連設備的信息����。要記住CDP分組不經過CISCO交換機這非常重要�,它只能看到與它直接相連的設備�����。在連接到交換機的路由器上�����,不會看到連接到交換機上的其他所有設備����。(5)Show cdp traffic命令顯示接口流量的信息�����,包括發送和接收CDP分組的數量���,以及CDP出錯信息。(6)Show cdp interface命令可顯示路由器接口或者交換機�����、路由器端口的狀態��。(7)debug cdp events啟動CDP事件調試等等。
二���、CDP協議安全威脅
確實在大部分情況下���,CDP協議的作用是不可替代的���。如在大多數網絡中�����,CDP能夠提供很多有用的信息并且可以協助管理員進行網絡排錯和性能優化。但是�����,其帶來的安全隱患也不容忽視����。在缺省狀態下��,Cisco品牌的交換機或路由器會自動在所有連接接口上發送CDP消息���,這些消息由于沒有采取安全加密措施�,非法用戶通過專業工具可以很輕松地竊取到這些敏感內容。當這些敏感信息被非法者擁有后����,他們就能輕易了解到局域網中的組網結構����,并通過相關地址對網絡中的重要主機進行惡意攻擊,最終造成網絡無法安全�、穩定地運行����。
除了被動獲取鄰居設備的交換協議信息外,非法攻擊者還可以利用專業的CDP工具程序定制偽造的CDP數據幀���,來通知局域網中的高端網絡管理軟件����,說在網絡中新發現了一臺網絡設備。如此一來��,相關網絡設備就會主動嘗試利用SNMP來聯系“陷阱”設備���,這個時候非法攻擊者就會對這樣的聯系進行監控捕捉,從而有機會獲得局域網中其他重要網絡設備的名稱�����、地址��、接口等信息�,日后就為攻擊這些網絡設備做好充足的準備工作�����。
此外�,CDP協議還能欺騙思科的IP電話�����。當打開IP電話后��,交換機就會通過CDP協議自動和IP電話交換CDP數據,并主動通知電話來讓語音流量選用哪一個虛擬工作子網�。在這一過程中�,非法攻擊者可以通過注入CDP數據幀的方法來欺騙IP電話���,為語音流量分配一個錯誤的虛擬工作子網�����。
三���、防范措施
根據CDP協議的工作原理CDP協議所發送的信息中包含了一些比較敏感的信息。如果這些信息被不法分子獲得的話���,那么將給企業的網絡帶來很大的安全隱患。為此保護的重點就是如何讓這些敏感的信息不被外人所知����。為了避免CDP協議泄露網絡設備的相關信息�,可以只在企業內部網絡的設備中啟用CDP協議。而在連接到互聯網的企業級邊緣路由器上的接口上禁用CDP協議��。如此的話,相關的敏感信息不會泄露到企業的外部網絡上�。在配合網絡防火墻等功能,就可以保證CDP協議信息的安全��?��?梢栽谶B接到服務器提供商或者企業邊緣路由器的接口上禁用CDP協議。其他地方如果有安全需要的話����,可以根據情況來判斷是否啟用CDP協議��。在可以的情況下���,還是啟用CDP協議為好。例如����,在單位內網環境中��,只要部署好了網絡防火墻和網絡防病毒軟件�����,就可以將網絡中交換機或路由器上的CDP發現功能啟用起來,以便為日后的網絡維護與優化提供方便���,因為內網環境在多項安全措施的保護下�,CDP發現協議存在的安全威脅會大大下降�����。此外�,在一些安全性要求不高的網絡環境中��,也可以通過啟用CDP發現協議來提高網絡故障的排查效率。例如���,在普通的網吧工作環境中�,由于不存在太重要的敏感信息���,開啟CDP協議可以方便平時的管理、維護操作���。在一些安全性要求比較高的網絡環境中,或者是單位網絡的邊緣網絡設備上����,盡量不要使用CDP協議,畢竟CDP協議或多或少地會帶來一些麻煩���。比方說,在銀行��、證券等金融網絡中�����,應該慎重使用CDP協議����,因為這個網絡中包含的敏感�、隱私信息特別多,要是被非法用戶發現的話����,就相當于暴露了許多攻擊目標���。
篇5
一、當前網絡信息面臨的安全威脅
1��、軟件本身的脆弱性���。各種系統軟件、應用軟件隨著規模不斷擴大���,自身也變得愈加復雜,只要有軟件����,就有可能存在安全漏洞�,如Windows、Unix�、XP等操作系統都或多或少的漏洞�����,即使不斷打補丁和修補漏洞�,又會不斷涌現出新的漏洞,使軟件本身帶有脆弱性。2�、協議安全的脆弱性���。運行中的計算機都是建立在各種通信協議基礎之上的,但由于互聯網設計的初衷只是很單純的想要實現信息與數據的共享�,缺乏對信息安全的構思�,同時協議的復雜性、開放性����,以及設計時缺少認證與加密的保障�,使網絡安全存在先天性的不足。3���、人員因素���。由于網絡管理人員和用戶自身管理意識的薄弱�����,以及用戶在網絡配置時知識與技能的欠缺��,造成配制時操作不當�,從而導致安全漏洞的出現����,使信息安全得不到很好的保障���。4����、計算機病毒。當計算機在正常運行時���,插入的計算機病毒就像生物病毒一樣���,進行自我復制����、繁殖��,相互傳染,迅速蔓延���,導致程序無法正常運行下去,從而使信息安全受到威脅�,如“熊貓燒香病毒”
二、常見網絡攻擊方式
1�����、網絡鏈路層。MAC地址欺騙:本機的MAC地址被篡改為其他機器的MAC地址���。ARP欺騙:篡改IPH和MAC地址之間的映射關系�����,將數據包發送給了攻擊者的主機而不是正確的主機。2�、網絡層。IP地址欺騙:是通過偽造數據包包頭���,使顯示的信息源不是實際的來源,就像這個數據包是從另一臺計算機上發送的�����。以及淚滴攻擊�、ICMP攻擊和RIP路由欺騙��。3��、傳輸層。TCP初始化序號預測:通過預測初始號來偽造TCP數據包���。以及TCP端口掃描、land攻擊�、TCP會話劫持、RST和FIN攻擊����。4��、應用層。DNS欺騙:域名服務器被攻擊者冒充�,并將用戶查詢的IP地址篡改為攻擊者的IP地址����,使用戶在上網時看到的是攻擊者的網頁,而不是自己真正想要瀏覽的頁面��。以及電子郵件攻擊和緩沖區溢出攻擊����。5�����、特洛伊木馬�。特洛伊木馬病毒是當前較為流行的病毒,和一般病毒相比大有不同����,它不會刻意感染其他文件同時也不會自我繁殖��,主要通過自身偽裝�,從而吸引用戶下載,進而使用戶門戶被病毒施種者打開���,達到任意破壞、竊取用戶的文件����,更有甚者去操控用戶的機子�����。6、拒絕服務攻擊����。有兩種表現形式:一是為阻止接收新的請求,逼迫使服務器緩沖區滿�����;另一種是利用IP地進行欺騙�,逼迫服務器對合法用戶的連接進行復位���,從而影響用戶的正常連接。
三����、網絡安全采取的主要措施
1、防火墻�����。是網絡安全的第一道門戶����,可實現內部網和外部不可信任網絡之間�,或者內部網不同網絡安全區域之間的隔離與訪問控制����,保證網絡系統及網絡服務的可用性��。2���、虛擬專用網技術����。一個完整的VPN技術方案包括VPN隧道技術����、密碼技術和服務質量保證技術�。先建立一個隧道,在數據傳輸時再利用加密技術對其進行加密���,使數據的私有性和安全性得到保障。3�、訪問控制技術��。是機制與策略的結合�����,允許對限定資源的授權訪問�����,同時可保護資源���,阻止某些無權訪問資源的用戶進行偶然或惡意的訪問�����。4�����、入侵檢測技術�。是指盡最大可能對入侵者企圖控制網絡資源或系統的監視或阻止�,是用于檢測系統的完整性、可用性以及機密性等方式的一種安全技術�,同時也是一種發現入侵者攻擊以及用戶濫用特權的方法����。5���、數據加密技術���。目前最常用的有對稱加密和非對稱加密技術�����。使用數字方法來重新組織數據[2],使得除了合法使用者外���,任何其他人想要恢復原先的“消息”是非常困難的。6���、身份認證技術。主要有基于密碼和生物特征的身份認證技術�����。其實質是被認證方的一些信息�����,如果不是自己����,任何人不能造假���。四、總結網絡信息安全是一個不斷變化�����、快速更新的領域����,導致人們面對的信息安全問題不斷變化�����,攻擊者的攻擊手段也層出不窮,所以綜合運用各種安全高效的防護措施是至關重要的�����。為了網絡信息的安全��,降低黑客入侵的風險����,我們必須嚴陣以待,采取各種應對策略��,集眾家之所長���,相互配合,從而建立起穩固牢靠的網絡安全體系���。
參考文獻
[1]王致.訪問控制技術與策略[N].網絡世界,2001-07-23035.
[2]馬備��,沈峰.計算機網絡的保密管理研究[J].河南公安高等?���?茖W校學報,2001�,05:22-29.
篇6
中圖分類號:TP317.1 文獻標識碼:A文章編號:1007-9599 (2011) 10-0000-01
Network Security and Protection of Enterprise Office Automation
Su Wei1,2,Li Taoshen1
(1.Guangxi University,Computer and Electronic Information College,Nanning530004,China;2.Nanning Branch of China Telecom Co.,Ltd.,Nanning530028,China)
Abstract:With China's information technology development and globalization wave of the rapid development of electronic,information technology,electronic networks,the level of people has been gradually used in normal life and production being,but it is worth noting that the problem network security risks began to follow,and continuing to appear,and would therefore,for our country in the field of office automation,computer information network security issues,how the defense has started to become what we need to consider and to solve major core issue.During this and other related computer network security concepts to analyze the basis of China's computer,network security issues related to the corresponding analysis,office automation for internal network security issues related to the study.
Keywords:Enterprise;Office;Automation;Network Security
計算機網絡的普及應用以及發展���,讓我們進一步的完善了在時空中獲取有效信息的手段���。在企業之中����,與此相關一些網絡安全方面的問題也隨著網絡的應用逐漸的凸現了出來��,因此�,如何保障企業辦公自動化的網絡安全方面的問題也受到了我們越來越多的關注�����,而且正在逐漸成為我們日程生活中網絡技術應用所面臨的一個主要問題��。
一����、企業辦公自動化中的網絡安全隱患
(一)病毒��。隨著我國信息技術等領域的飛速發展���,第三次科技革命已經極大地促進了我國計算機以及其網絡應用的普及程度�����,但是,科技的發展也相應的促進了電子計算機病毒的產生和發展�。計算機病毒的數量也在不斷出現之中,總數上已經超過了20000多種,并還在以每個月300種的速度增加著��,其破環性也不斷增加���,而網絡病毒破壞性就更強�����。計算機存在的病毒在本質可以說是一種進行自我復制、散播的特定程序����,該病毒對于計算機所造成的危害性��、破壞性相當巨大���,甚至有時候可以使得整個的信息網絡系統處于癱瘓狀態��,從很早以前我們就知道小球病毒,進而這些年開始聽說令人恐懼的CIH病毒以及美麗殺手病毒���、熊貓燒香等一系列的病毒,從這些具有一定代表性的沖擊波����、振蕩波����,電子計算機病毒此相關的種類以及傳播形式正在進行著不斷的發展、變化��,因此�,一旦某個公用程序染了毒���,那么病毒將很快在整個網絡上傳播�����,感染其它的程序。由網絡病毒造成網絡癱瘓的損失是難以估計的��。一旦網絡服務器被感染�����,其解毒所需的時間將是單機的幾十倍以上���。所以,計算機病毒已經成為了我國計算機行業所要面臨的一項主要的安全問題�����。
(二)黑客���。計算機黑客主要是通過發現��、攻擊用戶的網絡操作系統中存在的一些漏洞以及缺陷為主要目的���,并通過利用用戶的計算機中的網絡安全系統中存在的脆弱性�,來從事非法的活動,換言之���,計算機黑客也可以被稱之為計算機網絡安全環境的外部環境的進攻者�。這些進攻者們通常會采取修改用戶的網頁界面,進而非法入侵到用戶的主機內部�����,最終破壞用戶的使用程序,竊取用戶在網上的相關信息資料�。目前我國的辦公自動化網絡在應用上基本都采用的是以廣播為主要技術基礎內容的以太網。黑客一旦侵入到了辦公自動化網絡應用中的任意的節點進行有效的偵聽活動��,就可以迅速的捕獲到剛剛發生在這個領域內的以太網之中的所有的數據包數據,然后對該數據包進行解包處理�、分析,從而有效的竊取到關鍵的信息����,而在該網絡中的黑客則是最有可能����、最方便截取辦公網絡中的任何數據包���,進而造成相關的信息數據的失竊�。
(三)辦公網絡自動化中的內部攻擊以及破壞活動。計算機內部的攻擊以及破壞活動經常是通過公司或者內部人員利用他們對計算機內部系統的相關了解�����,進行的有預謀�����、有突破性的網絡安全系統的攻擊行為�,簡單來說���,正是因為內部的入侵者更加了解內部的網絡結構,因此�,在他們進行非法的行為時候����,將會對整個的網絡安全系統造成更嚴重�、更大的威脅����。尤其是對于個別的企業來說���,企業的內部如果存在網絡攻擊以及網絡破壞��,那么這個企業的網絡甚至會有可能成為該企業進步的最大威脅。除此之外�����,有些員工的網絡安全意識相對缺乏,十分不注意有效的保護自己在單位電腦上的賬號以及密碼�,這些漏統都有可能會引起整個網絡安全的隱患�。
二、辦公網絡自動化系統中存在的問題的對策
(一)加強網絡安全管理��。要想真正建立出安全的��、可靠的計算機網絡操作系統����,首先我們應該在建立充足的�����、合理的網絡管理體制方面以及相關的規章制度領域����。其次,在單位實施崗位上的責任制��,不斷的加強企業對員工的審查以及管理工作�����,這其中包括提高相關的系統管理操作人員以及系統用戶在內的所有人員的相關技術素質以及職業道德�;除此之外,對于一些重要部門以及信息���,企業要嚴格做好系統的開機查毒工作�,及時的進行數據備份工作���,并結合計算機機房����、計算機硬件���、計算機軟件、計算機數據以及計算機網絡等各個領域的各個方面所存在的安全問題�,對相關的工作人員進行有效的安全教育���,力爭讓他們嚴守遵守操作規則以及計算機網絡安全中的保密規定��。
(二)計算機網絡加密技術的應用。計算機網絡的加密技術�,其目的是為了保障�����、提高相關的信息系統以及數據方面的安全性能��、保密性能�,有效防止相關的秘密數據被企業或者個人等外部因素破壞所利用的一種主要的技術手段。加密技術從一方面來說����,它可以有效的防止計算機在傳輸過程中的重要信息被不法竊聽者竊取所導致的失密;從另一方面來說����,計算機加密技術還可以有效防止相關的信息以及內容被不法者惡意地進行篡改�����。
三�����、結束語
企業的發展離不開科技�����,企業辦公的網絡化是企業發展的一個必然趨勢��。因此,不斷地學習和研究辦公網絡的自動化是我們所必須面臨的重要課題�����。
參考文獻:
篇7
中圖分類號:TN915.08 文獻標識碼:A DOI:10.3969/j.issn.1003-6970.2012.07.043
引言
網絡安全屬于一個系統工程,不僅要考慮其系統的安全需求���,還應該將各種安全技術結合起來,方能形成一個通用�、安全且高效的網絡系統����。然而,就目前來看��,一個開網的網絡信息系統必然會存在很多安全隱患(潛在或非潛在)����,簡而言之破壞與反破壞��、黑客與反黑客之間的斗爭依然激烈地繼續著���。因此���,網絡攻擊與防范策略之間便形成了一個獨特的領域�����,并越來越被人類所重視�����,尤其是網絡建設者在不斷地努力抗爭著網絡攻擊���。
1.常見網絡攻擊分析
1.1人為惡意攻擊
1.1.1口令入侵與木馬程序
口令入侵與木馬程序都能直接侵入用戶的計算機網絡進行破壞��,它經常偽裝成游戲或工具程序等對用戶展開誘惑�,而這些游戲或工具程序往往帶著木馬程序��,當用戶打開了這些郵件或附件�,進行下載的時候便已經執行了木馬程序���。木馬程序被執行后便會通知攻擊者����,并將被攻擊者的IP地址及預先設計的端口等傳遞給攻擊者,攻擊者獲取信息后便能通過潛伏的木馬程序修改用戶的計算機相關參數��,并能復制、窺視及下載硬盤中的內容等���,也就是說他能完全控制用戶的計算機�����。
1.1.2APT攻擊
APT攻擊��,即高級可持續攻擊,它是當今網絡攻擊中最難應付的一種����。世界上最早對其的報道是在2010年的伊核設施遭遇了Stuxnet-超級病毒攻擊,攻擊目標直指西門子公司的工業控制系統����,對設備進行破壞���,后果嚴重,造成了伊朗核電站推遲發電����。APT在當前也普遍存在于網絡攻擊中,它并非炒作���,而是真正具有實力的攻擊類型,其主要對情報�����、軍事以及經濟等有針對性的攻擊����,并且它能在目標系統中潛伏很長一段時間而不被發現�����。攻擊者為了能誘發APT攻擊��,往往會大量搜集關于攻擊目標的資料���,并進行詳細的分析�。此外��,攻擊者對于各類安全與網絡技術都非常熟悉�,可謂網絡“高才生”��。APT攻擊可以潛伏著不被人察覺�����,然后忽然發起攻擊���,因為它能完全將自己融入被攻擊的系統里,因此很難被檢測出來�����。
1.2安全漏洞攻擊
不言而喻����,當前計算機技術確實得到了飛躍式的發展,但是我們必須看清的現實是:大部分的網絡系統都存在各式各樣的安全漏洞��,有些是應用軟件本身自帶的�,而有些則是操作系統引起的��。由于大部分系統在未檢查緩沖與程序之間的變化情況就隨意接受了任意長度的數據�����,然后把溢出的數據放在了堆棧里,而系統卻依然要照常執行相關的命令�。這樣的話攻擊者肆意發送超出了緩沖區能處理的長度指令,便能造成系統的不穩定甚至癱瘓��。此外����,有一些還能利用協議漏洞進行網絡攻擊�����,從而獲取一些超級用戶的特權等��。比如Struts2框架攻擊事件����,其最早出現在2010年7月14日,當時發現了一種嚴重命令的執行漏洞����,而黑客則利用了Struts2“命令執行漏洞”,從而獲取網站服務器的相關特權���,諸如ROOT權限、執行命令等�����,從而篡改網頁或竊取重要數據���。
1.3用戶缺乏安全意識
從目前來看,大部分的應用服務系統在安全通信及訪問控制等方面的考慮都比較少�,并且系統若出現了設置錯誤,極易造成不必要的損失��。假如在一個設計足夠安全的網絡中,面臨的最大安全隱患往往是人為因素所造成的安全漏洞�。網絡管理員及使用者都或多或少擁有相應的權限����,他們可能利用這些權限進行網絡安全的破壞����。比如“拖庫”攻擊��,這個詞語本來屬于數據庫領域的專有術語�����,一般指的是數據庫中進行數據的導出��。黑客如果通過非正常的手段侵入網站,便能竊取網站內的數據庫�����,并能全盤下載資源信息�����。若泄漏了個人的郵箱�����、游戲�����、微博���、網購賬號和密碼等��,則可能對個人財產造成一定的損失與影響;若竊取的是公司或企業或國家的機密資料����,那就非同小可了��。APT在對網站服務器進行攻擊的時候主要包括:弱口令攻擊����、遠程桌面攻擊、漏洞攻擊以及管理疏忽攻擊等�����。
2.網絡安全防范策略探析
網絡安全越來越被人們所重視,從目前來看����,主要的網絡安全防范策略有以下幾個方面:
2.1合理安裝殺毒軟件�,配置防火墻,及時修補漏洞
總的來說�,首要的便是為電腦配置一套正版的殺毒軟件,每周要做好電腦的全面掃描��、殺毒工作����,便于及時發現并清除潛藏的病毒���。但是,實際生活中���,大部分用戶為了省錢和圖個方便,都不愿意花錢購買正版殺毒軟件��,這正中了網絡攻擊的下懷�����。比如在修補Struts2攻擊事件引起的漏洞時,應該查看相關的服務器或網站是否被入侵����,是否存在后門文件等����,確保最大限度控制風險與損失。從目前來看���,Struts2“命令執行漏洞”影響了很多網站,危害巨大��,因此諸如360等大型網站已經安裝了檢測平臺并及時更新了漏洞庫��,同時還及時向存在漏洞的網站發送了警示郵件等����,還建議使用Struts2框架的用戶及時做好升級工作���,定期做好相關的安檢�����,確保隨時掌控網絡安全��。
2.2個人防范意識應提高
對于個人計算機的安全防護工作而言,最重要的還是要用戶自己高度重視����,加強安全培訓,漏洞往往是在人身上挖掘的���,意識勝過殺毒軟件。養成良好的安全操作習慣����,切勿隨意打開不明電子郵件或文件��,不要隨意運行陌生人給予的程序����,自己的私人密碼盡量設置復雜一些(包括數字、字母及符號等)���,還要設置不同的常用密碼,避免一個被查出而牽連其余重要密碼(最好經常更換重要密碼)����。此外,還應該及時下載漏洞補丁進行電腦的補丁修復�。這里著重介紹一下關于“拖庫”攻擊的解決辦法(主要對個人用戶而言):用戶要對自己的網站密碼采取分級管理�,若各種系統使用密碼皆為同一個,那么其壞處是不言而喻的�,因此,我們應該養成對不同的應用設置不同密碼的習慣�;要保證密碼的安全性非常強����,大部分網站都提供了強度檢查功能���,我們應該很好的利用它�。
2.3控制好入網訪問的安全
入網訪問的安全設置將為網絡訪問提供首層安全控制��,也就是說它可以控制并選擇哪些或什么用戶可以登陸系統并獲取網絡資源����,同時也能控制某些用戶入網時間及在哪臺工作站入網。用戶的入網訪問的安全控制一般有三個設置部分:1)用戶名的識別及驗證��;2)用戶口令的識別及驗證���;3)用戶帳號缺省的限制檢查。這三個部分環環相扣�����,不管是哪一個部分未被通過�����,那么此用戶便無法進入網絡����。因此��,能夠很好的控制非法侵入對網絡造成的危害�。
2.4隱藏IP地址
IP地址屬于網絡上分配給計算機或網絡設備的32位數字標識��,在Internet上����,每臺計算機所擁有的IP地址都應該是唯一的���。然而�����,一些黑客往往利用其超高的技術窺探用戶的逐級信息,其目的在于獲取主機中的IP地址�����。用戶將IP地址進行隱藏���,那么黑客便不容易探測出主機中的IP地址�。主要的方法是利用服務器�,用戶一旦使用了服務器����,那么黑客探測到的便是服務器的IP地址而不是用戶本身的IP地址,這便實現了隱藏IP地址的目的���,從而保障了用戶的上網安全�����。
2.5虛擬局域網技術的應用
篇8
互聯網發展至今���,在人們的生產���、學習和生活中以及在國家的政治���、經濟���、文化生活中的作用�����,已顯得十分突出�����,全社會對互聯網的依賴程度也越來越高。同時也出現了一些不可忽視的問題�,有人利用互聯網故意制作、傳播計算機病毒等破壞性程序����,攻擊計算機系統及通信網絡���,危害網絡運行安全����,其中黑客攻擊是最令廣大網民頭痛的事情��,它是計算機網絡安全的主要威脅�����。下面著重分析黑客進行網絡攻擊的幾種常見手法及其防范措施����。
1、利用網絡系統漏洞進行攻擊
許多網絡系統都存在著這樣那樣的漏洞�,這些漏洞有可能是系統本身所有的�,如WindowsNT、UNIX等都有數量不等的漏洞��,也有可能是由于網管的疏忽而造成的����。黑客利用這些漏洞就能完成密碼探測���、系統入侵等攻擊�。
對于系統本身的漏洞���,可以安裝軟件補丁����;另外網管員也需要仔細工作,盡量避免因疏忽而使他人有機可乘����。
2、解密攻擊
在互聯網上�����,使用密碼是最常見并且最重要的安全保護方法,用戶時時刻刻都需要輸入密碼進行身份校驗����。而現在的密碼保護手段大都認密碼不認人,只要有密碼�,系統就會認為你是經過授權的正常用戶�,因此,取得密碼也是黑客進行攻擊的一重要手法�����。
取得密碼也還有好幾種方法�,一種是對網絡上的數據進行監聽。因為系統在進行密碼校驗時���,用戶輸入的密碼需要從用戶端傳送到服務器端����,而黑客就能在兩端之間進行數據監聽��。
但一般系統在傳送密碼時都進行了加密處理����,即黑客所得到的數據中不會存在明文的密碼���,這給黑客進行破解又提了一道難題。這種手法一般運用于局域網��,一旦成功攻擊者將會得到很大的操作權益����。另一種解密方法就是使用窮舉法對已知用戶名的密碼進行暴力解密���。這種解密軟件對嘗試所有可能字符所組成的密碼�����,但這項工作十分地費時,不過如果用戶的密碼設置得比較簡單,如“123456”����、“ABCD”等,那有可能只需一眨眼的功夫就可搞定�。
為了防止受到這種攻擊的危害,用戶在進行密碼設置時一定要將其設置得復雜�����,也可使用多層密碼,或者變換思路使用中文密碼��,千萬不要以自己的生日和電話號碼甚至姓名作為密碼�����,因為一些密碼破解軟件可以讓破解者輸入與被破解用戶相關的信息�����,如身份證號碼�、電話號碼以及生日等����,然后對這些數據構成的密碼進行優先嘗試。另外應該經常更換密碼����,這樣使其被破解的可能性又下降了不少。
3�����、通過電子郵件進行攻擊
電子郵件是互聯網上運用得十分廣泛的一種通訊方式��。黑客可以使用一些郵件炸彈軟件或CGI程序向目的郵箱發送大量內容重復、無用的垃圾郵件����,從而使目的郵箱被撐爆而無法使用。當垃圾郵件的發送流量特別大時��,還有可能造成郵件系統對于正常的工作反映緩慢�,甚至癱瘓,這一點和后面要講到的“拒絕服務攻擊(DDoS)比較相似�。
對于遭受此類攻擊的郵箱����,可以使用一些垃圾郵件清除軟件來解決����,其中常見的有SpamEater�、Spamkiller等�����,另外Outlook����、Foxmail等郵件收發軟件同樣也能達到此目的�。
4��、拒絕服務攻擊
互聯網上許多大網站都遭受過此類攻擊���。實施拒絕服務攻擊(DDoS)的難度比較小����,但它的破壞性卻很大����。它的具體手法就是向目的服務器發送大量的數據包,幾乎占取該服務器所有的網絡寬帶�,從而使其無法對正常的服務請求進行處理��,而導致網站無法進入����、網站響應速度大大降低或服務器癱瘓���。
現在常見的蠕蟲病毒或與其同類的病毒都可以對服務器進行拒絕服務攻擊的進攻��。它們的繁殖能力極強����,一般通過Microsoft的Outlook軟件向眾多郵箱發出帶有病毒的郵件�����,而使郵件服務器無法承擔如此龐大的數據處理量而癱瘓��。
對于個人上網用戶而言���,也有可能遭到大量數據包的攻擊使其無法進行正常的網絡操作,所以大家在上網時一定要安裝好防火墻軟件��,同時也可以安裝一些可以隱藏IP地址的程序��,怎樣能大大降低受到攻擊的可能性��。
5���、后門軟件攻擊
后門軟件攻擊是互聯網上比較多的一種攻擊手法。Back Orifice2000�、冰河等都是比較著名的特洛伊木馬,它們可以非法地取得用戶電腦的超級用戶級權利���,可以對其進行完全的控制����,除了可以進行文件操作外,同時也可以進行對方桌面抓圖���、取得密碼等操作���。
這些后門軟件分為服務器端和用戶端�,當黑客進行攻擊時����,會使用用戶端程序登陸上已安裝好服務器端程序的電腦,這些服務器端程序都比較小����,一般會隨附帶于某些軟件上���。有可能當用戶下載了一個小游戲并運行時��,后門軟件的服務器端就安裝完成了�,而且大部分后門軟件的重生能力比較強�����,給用戶進行清除造成一定的麻煩����。
當在網上下載數據時�����,一定要在其運行之前進行病毒掃描,并使用一定的反編譯軟件�,查看來源數據是否有其他可疑的應用程序,從而杜絕這些后門軟件�。
參考文獻:
[1]《信息網絡安全概論》���,周良洪 編著�����,群眾出版社
篇9
二���、檔案管理工作的創新內容分析
(一)積極開展線上服務
在網絡環境里��,傳統的檔案管理必須要產生和網絡環境相適應的變化����,因為此時的人們對信息的時效性和準確性有著更高的要求�����,互聯網的出現無疑讓這種需求變成了可能��,那么傳統的檔案手工管理模式�,就顯然出現效率低下,提供信息相對有效等突出性問題���。在這種背景下���,構建檔案信息化管理模式�,開展線上服務就成了很多用戶的重要訴求�,因此檔案管理部門為了迎合這個趨勢,就需要積極的開展在線服務��,通過專題的形式對相關的檔案信息進行���,社會公眾和檔案館構建廣泛快捷的信息溝通渠道����,從而提升檔案的管理效率�。
(二)加強信息共享
網絡環境的重要特點就是知識和信息等諸多資源的流動性變得更加快速��,基于傳統檔案管理模式已經不能夠適應網絡環境下對資源的需求,因此檔案管理部門需要構建現代信息技術管理模式����,實現資源信息的共享,從而為社會公眾提供全方位的檔案服務���。另外隨著社會的發展���,人類的信息總量呈現不斷增長的趨勢����,因此對檔案管理的要求就變得越來越高����,這也促進了不同管理部門之間檔案管理的相互共享,能夠有效提升不同部門之間的信息溝通效率���,從而實現一體化的檔案管理模式��,能夠有效節省檔案管理成本,同時也能夠有助于促進檔案信息的不斷完善,提升檔案信息資源的利用效率���。
(三)向縱深服務方向創新
在網絡社會中,社會對檔案信息的需求變得更加迫切�����,而且對檔案種類的需求也越來越嚴格�����,特別是檔案信息的細分��,這樣就能夠讓公眾能夠非常快速的定位需求的信息����,從而通過這些檔案信息獲得相應的幫助。這樣檔案管理就需要向縱深服務方向發展�,不僅僅要搞好檔案的采集和整理工作,還需要將采集的檔案進行更加細化的整理�����,讓檔案的分類變得更加垂直細分化,同時對所有的檔案資料構建統一的檢索目錄�����,并存放在統一的數據庫憑條中����,這樣就能夠讓更多的用戶通過網絡接口通過搜索功能快速定位需要的數據���,從而快速的為公眾提供更加深入的服務。這就意味著傳統的手工檔案管理要逐步從紙質化向數字化方向發展���。在這個背景下��,需要通過培訓大量的現代檔案管理工作人員,提升檔案管理工作人員的綜合素質�����,從而適應網絡環境下檔案管理工作的深入開展���。
三�����、檔案管理工作的安全防護分析
(一)保障檔案管理系統的完整性
由于在網絡環境下���,檔案信息規模龐大�����,各種信息資源通過網絡平臺進行連接���,檔案之間遵循一致性的邏輯關系,所以在檔案數據錄入過程中���,這種邏輯關系就會引入到數據庫����,從而形成規模龐大的網絡檔案管理數據庫����。而數據庫的完整性對于檔案信息的安全無疑具有非常重要的影響,這就需要檔案管理工作人員要加強對網絡檔案數據庫的維護工作���,確保檔案數據不會存在完整性的錯誤��,如果出現相關的錯誤����,要迅速定位數據邏輯關系����,從而進行快速修復,最大限度的規避對數據庫的有意或者無意的破壞��。
(二)確保檔案數據的長期可讀性
在網絡環境下���,檔案信息數據的保存需要統一的格式��,這樣才能夠有助于檔案信息數據的流通和管理��,同時也有助于這些數據能夠融入到其他系統應用中����,比如企事業單位的自動化辦公系統中。因此在對這些檔案信息數據保存和應用時�,不能夠隨意更改檔案文件格式���,從而方便數據的統一性。另外還需要對檔案信息管理的軟件進行及時的更新����,讓兼容始終處于一個動態變化的過程中�。這樣檔案信息的完整性和真實性以及有效性才能夠得到更好的保障。
(三)加強安全信息管理
篇10
中圖分類號:TP393.08
保護信息系統的安全�,要綜合考慮技術保護和管理保護兩種實現方式�。技術保護方式是根據風險產生的技術特點和安全目標的要求而采用相應的安全機制�����、技術措施和專用設備�。管理保護方式則根據有關法律法規和安全目標的要求�,針對信息系統的運行、有關人員的行為和技術過程而制訂的相應管理制度[1]�。
1 國有企業局域網安全的總體目標
確定網絡安全總體目標,應該滿足一定的要求:
1.1 機密性(Confidentiality)��。保證機密信息不泄漏給非授權用戶或實體�,也不能供其利用����。對信息的訪問和利用��,應該遵循完整健壯的認證授權機制�。
1.2 完整性(Integrity)���。保證數據的完整性和一致性,即信息在存儲或傳輸過程中保持不被修改���、不被破壞和不被丟失的特性�。
1.3 可用性(Availability)��。保證合法用戶或實體對信息和資源的使用不會被異常拒絕�,允許按照需求使用。網絡環境下���,拒絕服務攻擊��、破環網絡設施和系統正常運行的中斷等都屬于對可用性原則的破壞�����。
2 國有企業局域網絡攻擊及面臨的威脅分析
總的來說����,國有企業面臨的安全威脅主要是兩個方面:(1)來自企業網絡內部的誤操作和惡意攻擊。內部網的人員往往有公司內網局部系統的合法訪問或管理權限��,所以他們的誤操作行為可能會給公司內網帶來嚴重的危害;尤其是機要子網與普通子網的安全級別不同��,可能導致竊聽�、偽造信息的情況發生;同時源自公司內網內部的惡意網絡行為也可能導致嚴重的網絡安全問題[2]����;(2)來自企業網絡外不得惡意攻擊�。接入Internet給外網帶來了工作和信息交換的便利,但同時也給外網帶來了很大的安全威脅���。首先,Internet網絡上隨機的惡意漏洞掃描是無時不在的�,而這些惡意的漏洞掃描往往是大規模網絡入侵、滲透和破壞行為的前兆���。這也就是說����,外網隨時都可能面臨著來自Internet網絡的惡意攻擊。其次��,網絡病毒經由Internet網絡可以迅速的感染外網���,輕者造成網絡或系統資源的浪費,嚴重的可能造成數據或系統的崩潰甚至局部網絡的完全癱瘓����。
3 企業網絡安全性急需重視
企業已經越來越依賴網絡以及企業內部網絡來支持重要的工作流程���,內部網絡斷線所帶來的成本也急劇升高����。當這--N顯得迫在眉睫時��,如何確保核心網絡系統的穩定性就變得非常重要��,即使一個企業的虛擬網絡或防火墻只是短暫的中斷,也都可能會中斷非常高額的交易����,導致收入流失�、客戶不滿意以及生產力的降低[3]。
盡管所有的企業都應該對安全性加以關注�,但其中一些更要注意。那些存儲有私密信息或專有信息���、并依靠這些信息運作的企業尤其需要一套強大而可靠的安全性解決方案,如政府機構����、金融機構、保險服務機構��、高科技開發商以及各類醫療機構�����。通過一部中央控制臺來進行配置和管理的安全性解決方案能夠為此類企業提供巨大幫助。這類安全性解決方案使IT管理員們能夠輕松地對網絡的安全性進行升級�,從而適應不斷變化的商務需求,并幫助企業對用戶訪問保持有效的控制�����。例如,IT管理員能夠根據最近發現的網絡攻擊行為迅速調整網絡的安全性級別�。此外,用戶很難在終端系統上屏蔽掉由一臺遠程服務器控制的網絡安全特性�。IT管理人員們將非常自信:一旦他們在整個網絡中配置了適當的安全性規則,不論是用戶還是系統的安全性都將得到保證����,并且始終安全[4]�。
而對于那些安全性要求較高的企業來說�����,基于軟件的解決方案(例如個人防火墻以及防病毒掃描程序等)都不夠強大���,無法滿足用戶的要求����。因為即使一個通過電子郵件傳送過來的惡意腳本程序���,都能輕松將這些防護措施屏蔽掉����,甚至是那些運行在主機上的“友好”應用都可能為避免驅動程序的沖突而無意中關掉這些安全性防護軟件�����。一旦這些軟件系統失效����,終端系統將非常容易受到攻擊。更為可怕的是���,網絡中的其他部分也將處在攻擊威脅之下���。
4 國有企業局域網絡攻擊與安全防范措施
4.1 安全防范要點。公司網絡目前從內部至Internet并沒有做相關的安全措施���,特別是核心區和互聯區存在很大安全隱患���,黑客攻擊�、信息丟失��、服務被拒絕等�����,一旦發生任何攻擊����,對公司網絡而言是致命性的,影響公司業務的正常運轉�����。針對公司網絡的結構及特點確定以下幾個必須考慮的安全防范要點:(1)網絡安全隔離�����。為了各行業間��、部門之間加強業務聯系以及信息化建設都需要網絡和網絡之間互聯����,交流信息�、信息共享等措施����,給企事業單位的工作帶來極大的便利�����,同時給有意�、無意的黑客或破壞者帶來了充分的施展空間。所以網絡之間進行有效的安全隔離是必需的���;(2)網絡監控措施。網間隔離起邊緣區保護作用��,無法防備內部不滿者的攻擊行為���。往往內部來的攻擊比外部攻擊更具有致命性。在不影響網絡的正常運行的情況下��,增加內部網絡監控機制可以做到最大限度的網絡資源保護�����。從網絡監控中得到統計信息來確定網絡安全規范及安全風險評估�����。網絡安全目標為保證整個網絡的正常運行;在受到黑客攻擊的情況下�,能夠保證網絡系統正常運行����。保證信息數據的完整性和保密性:在網絡傳輸時數據不被修改和不被竊取。具有先進的入侵檢測體系��;正確確定安全策略及做科學的安全風險評估���。保證網絡的穩定性:安全措施不形成網絡的負擔,而且提供全天候滿意服務和應用�。
4.2 方案具體實施過程中包括:(1)防火墻使用方案。根據公司網絡整體安全考慮采用一臺瑞星防火墻安排在互聯區���。其中WWW、數據庫�、郵件、DNS等對外服務器連接在防火墻的DMZ區與內����、外網間進行隔離���。建立合理有效的安全過濾原則對網絡數據包的協議、端口����、源/目的地址����、流向進行審核,嚴格控制外網用戶非法訪問��。防火墻的DMZ區訪問控制規則�����,只打開必需的服務HTTP�、FTP、SMTP�����、POP3以及所需其他服務�����。防范外部來的拒絕服務攻擊。對辦公網用戶進行流量控制���,采用時間安全規則變化策略,控制內網用戶訪問外網時間�����。防火墻設置IP地址MAC地址綁定,防止IP地址欺騙����。定期查看防火墻訪問日志。嚴格控制防火墻的管理員的權限�;(2)入侵檢測(IDS)系統方案。以太網的共享通信介質技術����,在進行網絡通信時,隨著數據包在網絡上的廣播�,任何聯網的計算機都可以監聽正在通信的數據包,因此存在著安全隱患��,網絡入侵系統利用以太網的這種特性�,進行有效的網絡監控,調整網絡資源分配����,及時發現不正常數據包,并根據安全策略原則進行處理��,確保網絡系統的安全��。入侵檢測能力是衡量一個防御體系是否完整有效的重要因素��。強大的��、完整的入侵檢測體系可以彌補防火墻相對靜態防御的不足�����。根據公司網絡的特點�,采用瑞星的入侵檢測系統。
5 結束語
由于國有企業局域網的安全問題是一個系統工程�,在制定安全網絡策略時應盡可能地考慮到網絡中的各個方面及網絡的拓展性���,采用TCP/IP進行網絡通信的網絡,在網絡層對計算機通信進行安全保護是業界流行的安全解決辦法。
參考文獻:
[1]李春潔.企業局域網的建設與維護[J].信息通信�����,2013(10):116-117.
[2]郝靜.提高企業局域網帶寬質量五步驟[J].計算機與網絡����,2014(Z1):67.
[3]王大明.企業局域網維護管理策略的研究和分析[J].電子技術與軟件工程,2014(29):28.
篇11
中圖分類號: TN915.08?34��; TP393 文獻標識碼: A 文章編號: 1004?373X(2013)09?0084?04
0 引 言
網絡如今運行在一個高科技和開放的環境中����。企業越來越依靠他們的網絡在本土和國際市場中競爭��。世界范圍的廣泛連接既為企業提供了競爭力同時也將企業暴露在多種多樣的攻擊前���。高科技犯罪和信息的誤用和濫用給越來越多的企業帶來巨大的損失[1]�,隨著網絡的發展�,自動化的評估網絡的攻擊漏洞已變得越來越重要。
許多研究者提出了使用攻擊樹和攻擊圖來建模網絡安全的風險評估方法[2?3]����。通過在模型中尋找攻擊路徑來確定可能導致損失的狀況。但是,絕大多數模型并不能定量地分析漏洞的風險����,忽略了漏洞之間的相互關系����。
在本文中,介紹一種新方法來構建帶標記的攻擊圖(AG)�,攻擊圖中的每個節點都標注了概率值來表示該漏洞被成功利用的概率,圖中的邊代表了漏洞之間的關聯�。采用通用漏洞評分系統(Common Vulnerability Scoring System�,CVSS)作為計算每個漏洞概率的基礎,并采用貝葉斯網絡計算累積的概率���。
1 攻擊圖的產生
