第一篇:軍隊如何應(yīng)對網(wǎng)絡(luò)安全
軍隊如何應(yīng)對網(wǎng)絡(luò)安全
正當(dāng)人們懷著美伊在波斯灣是戰(zhàn)是和的猜想進(jìn)入2012年時,新型的戰(zhàn)爭——網(wǎng)絡(luò)戰(zhàn)硝煙的味道已經(jīng)在東亞彌漫。
早在去年7月,美國就發(fā)布了首份《網(wǎng)絡(luò)空間行動戰(zhàn)略》,這份報告將網(wǎng)絡(luò)空間上升到同陸、海、空、太空并列的“行動領(lǐng)域”,稱將網(wǎng)絡(luò)攻擊視同“戰(zhàn)爭行為”。此外,包括英國、法國、俄羅斯、以色列、韓國等在內(nèi)的國家紛紛表現(xiàn)出加強(qiáng)網(wǎng)絡(luò)部隊建設(shè)的立場。這表明網(wǎng)絡(luò)戰(zhàn)正在加劇。未來可能有一場網(wǎng)絡(luò)武器庫的競賽。
據(jù)《科技日報》報道:近日,我國國防部發(fā)言人首度表示我軍網(wǎng)絡(luò)部隊確實(shí)存在,稱中國的網(wǎng)絡(luò)安全防護(hù)還比較薄弱,網(wǎng)絡(luò)部隊著眼于提高網(wǎng)絡(luò)防護(hù)。就在此前,美國政府也擬定了國際互聯(lián)網(wǎng)安全計劃,準(zhǔn)備積極地與他國合作,使互聯(lián)網(wǎng)更為安全。美國政府也首次提及,若面對危及國家安全的網(wǎng)絡(luò)襲擊,將不惜以軍事力量反擊。
一時之間,網(wǎng)絡(luò)安全和網(wǎng)絡(luò)部隊再次被輿論推到風(fēng)口浪尖。各國對網(wǎng)絡(luò)空間的戰(zhàn)略部署究竟意味著什么呢?《基于信息系統(tǒng)的網(wǎng)絡(luò)作戰(zhàn)》一書的作者、國防大學(xué)軍事后勤與軍事科技裝備教研部教授李大光說道:由于具有無可比擬的輻射力和滲透力,網(wǎng)絡(luò)必將成為世界各國軍隊建設(shè)的重要手段,成為塑造軍隊形象的主要手段和增強(qiáng)軍隊軟實(shí)力的重要工具。
信息制控即是戰(zhàn)爭
未來學(xué)家托爾勒預(yù)言,誰掌握了信息,控制了網(wǎng)絡(luò),誰就將擁有整個世界。
網(wǎng)絡(luò)作戰(zhàn)的根本目的是通過對計算機(jī)網(wǎng)絡(luò)信息處理層的破壞和保護(hù),來降低敵方網(wǎng)絡(luò)信息系統(tǒng)的使用效能,保護(hù)己方網(wǎng)絡(luò)信息系統(tǒng)的正常運(yùn)轉(zhuǎn),進(jìn)而奪取和保持網(wǎng)絡(luò)空間的控制權(quán)。
以計算機(jī)為核心的信息網(wǎng)絡(luò)系統(tǒng)已經(jīng)成為現(xiàn)代化軍隊的神經(jīng)中樞,傳感器網(wǎng)、指揮控制網(wǎng)、武器平臺網(wǎng)等網(wǎng)絡(luò),將成為信息化戰(zhàn)爭的中心和重要依托。
美國是最早組建網(wǎng)絡(luò)部隊的國家,其前陸軍參謀長沙利文上將說,信息時代的出現(xiàn),將從根本上改變戰(zhàn)爭的進(jìn)行方式。而很多年前,這樣的改變就發(fā)生了。
在上世紀(jì)九十年代末的科索沃戰(zhàn)爭中,南聯(lián)盟和俄羅斯的計算機(jī)高手就成功侵入美國白宮網(wǎng)站,致其癱瘓。與此同時,北約通信系統(tǒng)遭到病毒攻擊,美國海軍陸戰(zhàn)隊帶有作戰(zhàn)信息的郵件服務(wù)器幾乎全部被阻塞,就連核動力航母“尼米茲”號的指揮控制系統(tǒng)也因黑客襲擊而被迫中斷3個多小時。
事實(shí)上,美國遭遇網(wǎng)絡(luò)襲擊并不是孤例。2010年8月23日,不明黑客襲擊了俄聯(lián)邦警衛(wèi)局網(wǎng)站,造成眾多內(nèi)部文件在網(wǎng)上曝光數(shù)小時。據(jù)俄聯(lián)邦安全局統(tǒng)計,自2005年以來,俄國家機(jī)關(guān)網(wǎng)站每年都會遭到近100萬次網(wǎng)絡(luò)攻擊,其中針對總理普京官方網(wǎng)站的攻擊更是高達(dá)12萬起。
全球皆在網(wǎng)絡(luò)戰(zhàn)備
2009年,美軍提出21世紀(jì)掌握制網(wǎng)絡(luò)權(quán)與19世紀(jì)掌握制海權(quán)、20世紀(jì)掌握制空權(quán)一樣具有決定意義。此后,《2009網(wǎng)絡(luò)安全法》通過,該法案給予美國總統(tǒng)“宣布網(wǎng)絡(luò)安全的緊急狀態(tài)”的權(quán)力,允許“關(guān)閉或限制事關(guān)國家安全的重要信息網(wǎng)絡(luò)”。2010年10月,美軍網(wǎng)絡(luò)司令部正式投入運(yùn)行。
據(jù)了解,為了提高網(wǎng)絡(luò)戰(zhàn)能力,美軍分別于2006年、2008年和2010年舉行了三次“網(wǎng)絡(luò)風(fēng)暴”系列演習(xí)。尤其是“網(wǎng)絡(luò)風(fēng)暴Ⅲ”演習(xí),是美軍網(wǎng)絡(luò)司令部成立后進(jìn)行的首次跨部門大型演習(xí),模擬了一些關(guān)鍵基礎(chǔ)設(shè)施遭受大型網(wǎng)絡(luò)攻擊的情景,模擬事件多達(dá)1500起以上。
隨著美國對“網(wǎng)絡(luò)戰(zhàn)”的積極部署,世界其他各國也做出了響應(yīng),紛紛跟進(jìn)。截至2010年底,俄羅斯、日本、以色列、法國、德國、新加坡、印度和韓國等國家軍隊也都相繼成立了自己的網(wǎng)絡(luò)作戰(zhàn)部隊。甚至有研究指出,伊朗也擁有相當(dāng)先進(jìn)的網(wǎng)絡(luò)戰(zhàn)武器和攻擊計劃,包括對具體政府網(wǎng)站和基礎(chǔ)設(shè)施發(fā)動網(wǎng)絡(luò)攻擊。
“網(wǎng)絡(luò)戰(zhàn)的行為主體更多可能是個體和組織層面,往往一個黑客就能發(fā)動一次網(wǎng)絡(luò)攻擊,控制起來很難。美國將之提升到國家戰(zhàn)略層面的做法,必定會使得世界各國加入到競爭中來。”中國社會科學(xué)院美國研究所副所長倪峰分析。
其實(shí),俄羅斯早在上世紀(jì)90年代初就設(shè)立了專門負(fù)責(zé)網(wǎng)絡(luò)信息安全的信息安全委員會;1995年,俄憲法將信息安全納入國家安全管理范疇;2002年《俄聯(lián)邦信息安全學(xué)說》通過,將網(wǎng)絡(luò)戰(zhàn)提升到新的高度,稱作未來的“第六代戰(zhàn)爭”。
“互聯(lián)網(wǎng)由美國發(fā)明,主要供應(yīng)商都在美國和少數(shù)幾個西方國家。美國意識到網(wǎng)絡(luò)安全的重要性,并希望通過強(qiáng)化自身的優(yōu)勢,繼續(xù)掌握在網(wǎng)絡(luò)空間上的主導(dǎo)權(quán)。”將網(wǎng)絡(luò)作為新戰(zhàn)略制高點(diǎn)的美國,想要再次制定游戲規(guī)則。
什么是第六代戰(zhàn)爭理論
“第六代戰(zhàn)爭”的理論最早由俄羅斯軍事學(xué)者B·N·斯里普琴科提出。
按照斯里普琴科的理論,第一代戰(zhàn)爭是指以冷兵器進(jìn)行的戰(zhàn)爭,它在人類原始社會結(jié)束后持續(xù)了3500年,是持續(xù)時間最長的一種戰(zhàn)爭形式。
第二代戰(zhàn)爭是火藥發(fā)明后,出現(xiàn)滑膛武器為標(biāo)志的。它持續(xù)了約600余年。
第三代戰(zhàn)爭是18世紀(jì)末以槍膛和炮膛中開始有了膛線為標(biāo)志的。它大約持續(xù)了200年。
第四代戰(zhàn)爭是19世紀(jì)末至20世紀(jì)初,各種自動武器、裝甲車輛、作戰(zhàn)飛機(jī)和作戰(zhàn)艦艇以及雷達(dá)和無線電通信器材的大量使用為標(biāo)志的。這種戰(zhàn)爭一直持續(xù)到現(xiàn)在。前四代戰(zhàn)爭都有一個共同的特征,就是它們都是接觸式戰(zhàn)爭,是以體力角逐或是以槍炮及各種作戰(zhàn)平臺在可視距離內(nèi)進(jìn)行的搏擊。
與第四代戰(zhàn)爭同時代還出現(xiàn)了將原子核裂變產(chǎn)生的巨大能量用于軍事,引發(fā)第五次軍事革命,也標(biāo)志著第五代戰(zhàn)爭即核時代戰(zhàn)爭的形成。
20世紀(jì)后期,人類高新技術(shù)的發(fā)展尤其是微電子技術(shù)的廣泛應(yīng)用,使軍事領(lǐng)域中高精度武器大量出現(xiàn),為第六代戰(zhàn)爭的誕生創(chuàng)造了條件。
網(wǎng)絡(luò)戰(zhàn)關(guān)乎生死存亡
一旦計算機(jī)網(wǎng)絡(luò)遭到攻擊并被摧毀,整個軍隊的戰(zhàn)斗力就會大幅度降低甚至完全喪失,國家軍事機(jī)器就會處于癱瘓狀態(tài),國家安全將受到嚴(yán)重威脅。
網(wǎng)絡(luò)戰(zhàn)怎么打?
網(wǎng)絡(luò)戰(zhàn)與其他作戰(zhàn)一樣,也包括進(jìn)攻和防御兩個方面。進(jìn)攻包括體系破壞、信息誤導(dǎo)、綜合三種模式。通過發(fā)送電腦病毒等方法破壞敵電腦與網(wǎng)絡(luò)系統(tǒng),造成敵方指揮系統(tǒng)的癱瘓;向敵方網(wǎng)絡(luò)傳輸虛假情報,對敵決策與指揮控制產(chǎn)生信息誤導(dǎo)和流程誤導(dǎo);綜合利用體系破壞和信息誤導(dǎo),對敵指揮控制系統(tǒng)造成多重殺傷。
在網(wǎng)絡(luò)防御樣式方面,主要包括電磁遮蔽、物理隔離、綜合防護(hù)三種樣式。通過各種技術(shù)手段,減小己方電磁輻射的強(qiáng)度,改變輻射的規(guī)律,從而保護(hù)己方信息系統(tǒng)的安全;采取各種手段,防止計算機(jī)病毒侵入己方網(wǎng)絡(luò);采取各種措施,加強(qiáng)對黑客攻擊和新概念武器等的防護(hù)。
隨著我國軍隊建設(shè)轉(zhuǎn)型的推進(jìn)和信息技術(shù)的發(fā)展,用于國防需要的計算機(jī)數(shù)量正在逐年增加,這對國防信息安全防護(hù)提出了更高的要求。我認(rèn)為,從信息安全看,僅僅依靠相關(guān)政策、法規(guī)和保密技術(shù)是不夠的,還必須大力開發(fā)自己實(shí)用且操作性能強(qiáng)的系統(tǒng)軟件、應(yīng)用軟件,這是全面提高軍隊信息安全保密能力的有效途徑。
據(jù)了解,海灣戰(zhàn)爭爆發(fā)前,美軍就利用伊拉克為其防空系統(tǒng)購買電腦的機(jī)會,派人秘密將載有病毒的芯片置入電腦,通過法國賣給伊拉克。戰(zhàn)略空襲前,以無線遙控的方法將隱蔽的病毒激活,致使伊拉克的預(yù)警指揮通訊和火力控制系統(tǒng)陷入癱瘓,戰(zhàn)爭剛剛開始就蒙受了巨大損失,真可謂“軟刀子殺人不見血”。
為此,面對日趨嚴(yán)峻的網(wǎng)絡(luò)安全形勢,我們要將用于軍隊和國防建設(shè)需要的計算機(jī)與國際互聯(lián)網(wǎng)實(shí)施物理隔絕,立足于國產(chǎn)設(shè)備,加強(qiáng)軍用計算機(jī)的抗毀、抗干擾、抗電磁泄漏能力。要充分利用現(xiàn)代計算機(jī)技術(shù),從芯片級著手開發(fā)自己的軍隊信息網(wǎng)絡(luò)產(chǎn)品,做到軍隊專用。要對使用的硬件產(chǎn)品進(jìn)行安全檢測,未經(jīng)安全檢測的硬件產(chǎn)品不得使用,更不能進(jìn)入軍網(wǎng)投入運(yùn)行。要在關(guān)鍵技術(shù)和重點(diǎn)防護(hù)手段上有所新突破,努力在關(guān)鍵芯片、核心器件、操作系統(tǒng)及專用生產(chǎn)線等方面實(shí)現(xiàn)自主創(chuàng)新發(fā)展。
近年來,外軍都相繼加大投入,采取自研軟件技術(shù),裝備國產(chǎn)或者軍隊自制電腦。日本各個領(lǐng)域的網(wǎng)絡(luò)泄密事件頻發(fā),就連機(jī)密信息最應(yīng)得到保障的軍事領(lǐng)域也不例外。應(yīng)對越來越頻繁和猖狂的黑客攻擊,日軍情報機(jī)構(gòu)早已認(rèn)識到互聯(lián)網(wǎng)情報偵察的重要性。2000年10月22日,日防衛(wèi)廳做出決定,在下一個中期防衛(wèi)力量整備計劃(2001—2005年度)中正式開始“電腦戰(zhàn)——侵入敵方的電腦、破壞其指揮和通信系統(tǒng)、以造成敵方混亂”的研究。但2006年2月,日本各大媒體紛紛報道了日本海上自衛(wèi)隊朝雪號驅(qū)逐艦的機(jī)密情報在網(wǎng)上被曝光的新聞。此次事件被稱為日本防衛(wèi)史上最大的泄密災(zāi)難,其數(shù)量之大、細(xì)節(jié)之全、密級之高史無前例。調(diào)查發(fā)現(xiàn),泄密的原因是日本防衛(wèi)廳的工作人員擅自使用私人電腦存儲秘密信息并接入互聯(lián)網(wǎng)。日本防衛(wèi)廳為此耗費(fèi)40億日元購入56000多臺電腦,直接發(fā)給工作人員使用,同時禁止工作人員私購電腦處理公務(wù)。
他山之石可以攻玉。在當(dāng)前網(wǎng)絡(luò)安全局勢日益嚴(yán)峻的今天,只有保持技術(shù)壁壘,研裝自制電腦,才能確保平時網(wǎng)絡(luò)安全,戰(zhàn)時不遭攻擊。
第二篇:電信網(wǎng)絡(luò)安全應(yīng)對策略解決方案[最終版]
電信網(wǎng)絡(luò)安全應(yīng)對策略解決方案
網(wǎng)絡(luò)安全是一個涉及面廣泛的問題。隨著人們對網(wǎng)絡(luò)依賴性的增強(qiáng),電信網(wǎng)的安全性、可靠性與容災(zāi)能力越來越受到重視。雖然一開始,網(wǎng)絡(luò)設(shè)計者就采用SDH恢復(fù)、雙歸屬等技術(shù)來進(jìn)行網(wǎng)絡(luò)的冗余與備份,以提高電信業(yè)務(wù)的抗災(zāi)能力,但是由于災(zāi)難的不可預(yù)測性,如何做到未雨綢繆以及在緊急情況下迅速提供電信業(yè)務(wù)一直是人們關(guān)注的焦點(diǎn)。此外,隨著WLAN、互聯(lián)網(wǎng)和3G的廣泛應(yīng)用,下一代網(wǎng)絡(luò)的安全性問題也日益受到重視。
一、網(wǎng)絡(luò)安全涉及的內(nèi)容
網(wǎng)絡(luò)安全涉及的層面非常廣,從網(wǎng)絡(luò)到信息,從物理網(wǎng)絡(luò)的保護(hù)到對各種病毒和網(wǎng)絡(luò)攻擊的預(yù)防,涉及IT行業(yè)的方方面面。一般來講,網(wǎng)絡(luò)安全可以簡單分為以下幾個層次。
1.電信網(wǎng)絡(luò)的安全可靠性
電信網(wǎng)絡(luò)的可靠性問題由來已久。傳統(tǒng)上,電信網(wǎng)的可靠性一般分為兩個方面,即預(yù)防網(wǎng)絡(luò)故障的發(fā)生以及電信網(wǎng)絡(luò)發(fā)生故障后的保護(hù)和恢復(fù)。目前隨著通信協(xié)議在網(wǎng)絡(luò)中的應(yīng)用越來越廣泛,通信協(xié)議的安全性也越來越重要,特別是在互聯(lián)網(wǎng)的開放環(huán)境中,對通信協(xié)議的安全性要求更高。
預(yù)防網(wǎng)絡(luò)故障的發(fā)生一般在網(wǎng)絡(luò)規(guī)劃和建設(shè)時就已經(jīng)考慮,但仍然需要根據(jù)構(gòu)成設(shè)備的可靠性來分析建成后系統(tǒng)的整體可靠性。
故障發(fā)生時的網(wǎng)絡(luò)保護(hù)和恢復(fù)能力也是電信網(wǎng)絡(luò)建設(shè)所考慮的重點(diǎn),特別是隨著傳輸設(shè)備的交叉連接能力的增強(qiáng),為傳輸網(wǎng)絡(luò)的故障恢復(fù)能力提供了重要保證。目前,IP網(wǎng)絡(luò)的相關(guān)故障恢復(fù)主要發(fā)生在以下三個層次:光傳輸層、ATM層和IP層。其中,越是底層的網(wǎng)絡(luò),要求保護(hù)和恢復(fù)的時間越快、代價越高,也越不靈活。
2.互聯(lián)網(wǎng)的安全可靠性
由于互聯(lián)網(wǎng)是一種全球性、開放性、透明性的網(wǎng)絡(luò),是無邊界的,任何團(tuán)體或個人都可以在互聯(lián)網(wǎng)上方便地傳送或獲取各種各樣的信息。然而目前網(wǎng)絡(luò)自身的安全保護(hù)能力有限,許多應(yīng)用系統(tǒng)處于不設(shè)防或很少設(shè)防的狀態(tài),存在很多漏洞,而將來對網(wǎng)絡(luò)的攻擊不僅僅是已經(jīng)出現(xiàn)的蠕蟲、病毒和黑客攻擊,還會有針對互聯(lián)網(wǎng)基本機(jī)理的攻擊,使關(guān)鍵的交換機(jī)、路由器和傳輸設(shè)備癱瘓。隨著上網(wǎng)單位和網(wǎng)上信息的日益增多,網(wǎng)絡(luò)與信息安全面臨的挑戰(zhàn)越來越大。
互聯(lián)網(wǎng)協(xié)議構(gòu)件的安全性問題也越來越嚴(yán)重,一方面與互聯(lián)網(wǎng)協(xié)議本身有關(guān),另一方面也與互聯(lián)網(wǎng)的商業(yè)化進(jìn)程密切相關(guān),如目前由于互聯(lián)網(wǎng)運(yùn)營模式的變化,可能受到的攻擊手段也在增加,特別是隨著VoIP業(yè)務(wù)使得互聯(lián)網(wǎng)和傳統(tǒng)電信網(wǎng)互連,對傳統(tǒng)電信網(wǎng)的信令系統(tǒng)也造成很大的威脅。因此對于互聯(lián)網(wǎng)架構(gòu)的安全性問題,一方面可以通過協(xié)議的安全性改進(jìn)、實(shí)現(xiàn)的一致性、安全性問題標(biāo)準(zhǔn)化等措施來加強(qiáng),另一方面則應(yīng)盡量減少協(xié)議受攻擊或者威脅的可能。
3.信息安全
網(wǎng)絡(luò)安全與信息安全是休戚相關(guān)的,網(wǎng)絡(luò)不安全,就談不上信息安全;然而網(wǎng)絡(luò)再安全,也不可能萬無一失,所以還要加強(qiáng)信息自身的安全性。現(xiàn)在,基本上在網(wǎng)絡(luò)硬件、網(wǎng)絡(luò)操作系統(tǒng)、網(wǎng)絡(luò)中的應(yīng)用程序、數(shù)據(jù)安全和用戶安全等五個層面上開展研究工作。除了常用的防火墻、代理服務(wù)器、安全過濾、用戶證書、授權(quán)、訪問控制、數(shù)據(jù)加密、安全審計和故障恢復(fù)等安全技術(shù)外,還要采取更多的措施來加強(qiáng)網(wǎng)絡(luò)的安全,例如,針對現(xiàn)有路由器、交換機(jī)、邊界網(wǎng)關(guān)協(xié)議(BGP)、域名系統(tǒng)(DNS)所存在的安全漏洞提出解決辦法;迅速采用增強(qiáng)安全性的網(wǎng)絡(luò)協(xié)議(特別是IPv6);對關(guān)鍵的網(wǎng)元、網(wǎng)站、數(shù)據(jù)中心設(shè)置真正的冗余、分集和保護(hù);實(shí)時全面地觀察和了解整個互聯(lián)網(wǎng)的情況,對傳送的信息內(nèi)容負(fù)責(zé),不盲目傳遞病毒或進(jìn)行攻擊;嚴(yán)格控制新技術(shù)和新系統(tǒng),在找到和克服安全漏洞或者另加安全性之前不允許把它們匆忙推向市場。
目前就信息的安全性要求來說,一般強(qiáng)調(diào)五個要求,即信息的可用性、保密性、完整性、真實(shí)性和不可抵賴性。
二、電信行業(yè)在網(wǎng)絡(luò)安全方面的經(jīng)驗(yàn)
電信網(wǎng)絡(luò)一般指有線、無線、衛(wèi)星網(wǎng)絡(luò)以及互聯(lián)網(wǎng)等,電信網(wǎng)絡(luò)所受到的威脅主要是恐怖襲擊、自然災(zāi)難或類似情況。電信行業(yè)在安全方面的工作重點(diǎn)主要包括業(yè)務(wù)、網(wǎng)絡(luò)和企業(yè)的安全可靠性。
對于電信行業(yè)來講,安全隱患一般分為以下兩種:
脆弱性(vulnerability):指通信網(wǎng)絡(luò)設(shè)施的某些方面容易損壞或受到安全威脅的特性;
威脅:可能損害或危及網(wǎng)絡(luò)安全的任何潛在因素。
1.通信設(shè)施主要安全問題及對策
通信設(shè)施的安全問題主要來自以下幾個方面,運(yùn)營商應(yīng)該在問題發(fā)生之前采取預(yù)防措施,或在問題發(fā)生之后采取積極的補(bǔ)救措施。
(1)環(huán)境
包括建筑物、電纜溝槽、衛(wèi)星軌道的空間、海纜沿途等環(huán)境。沒有絕對安全的環(huán)境,要整體考慮環(huán)境安全計劃,需要定期對環(huán)境進(jìn)行評估和再評估,特殊環(huán)境需要特殊考慮。
(2)供電
包括電池、地線、電纜、保險絲、備用應(yīng)急發(fā)電機(jī)和燃料。內(nèi)部電力設(shè)施常常被忽略,需要持續(xù)檢驗(yàn)電力系統(tǒng)是否有效,業(yè)務(wù)提供商和網(wǎng)絡(luò)運(yùn)營商要保證對重要的設(shè)備不間斷供電,在發(fā)生自然災(zāi)難(如臺風(fēng)、地震)時,能夠提供發(fā)電機(jī)的燃料供應(yīng)和后備電源的使用。
(3)硬件
包括硬件架構(gòu)、電子電路模塊和電路板、金屬件以及光纜、電纜、半導(dǎo)體芯片。關(guān)鍵網(wǎng)元的設(shè)備供應(yīng)商應(yīng)該對電子硬件進(jìn)行測試,以確保兼容性、抗震性、耐壓性、溫度適應(yīng)性等。
(4)軟件
包括軟件版本的物理儲藏、開發(fā)與測試、版本控制與管理等。提供商應(yīng)提供安全的軟件傳送方式。
(5)網(wǎng)絡(luò)
包括節(jié)點(diǎn)的配置、多種網(wǎng)絡(luò)與技術(shù)、同步、冗余、物理與邏輯的分集。業(yè)務(wù)提供商和網(wǎng)絡(luò)運(yùn)營商應(yīng)該開發(fā)一套嚴(yán)密的程序,以評估和管理各種危險(如迂回路由、緊急狀態(tài)快速反應(yīng))。
(6)負(fù)載
包括跨越網(wǎng)絡(luò)設(shè)施傳送的信息、業(yè)務(wù)量模型與統(tǒng)計、信息攔截偵聽。網(wǎng)絡(luò)運(yùn)營商在設(shè)計網(wǎng)絡(luò)時應(yīng)該使?jié)撛诘男畔r截降到最小。
(7)人員
包括有意和無意的行為、限制、教育與培訓(xùn)、道德規(guī)范等。業(yè)務(wù)提供商與網(wǎng)絡(luò)運(yùn)營商應(yīng)該考慮建立員工安全意識培訓(xùn)計劃。
2.運(yùn)營商對互聯(lián)網(wǎng)采取的安全措施
互聯(lián)網(wǎng)是未來的發(fā)展方向,也是安全隱患最大的地方。目前,互聯(lián)網(wǎng)最常見的安全問題是病毒、蠕蟲、拒絕服務(wù)攻擊,網(wǎng)絡(luò)受到的攻擊越來越多。據(jù)美國計算機(jī)緊急響應(yīng)小組協(xié)調(diào)中心(CERTCC)統(tǒng)計,1999~2002年間,每年網(wǎng)絡(luò)受攻擊數(shù)分別為9859、21756、52 658、86 000次,網(wǎng)絡(luò)攻擊愈演愈烈之勢由此可見一斑。因此,運(yùn)營商都在積極努力,以保證網(wǎng)絡(luò)的正常運(yùn)行。AT&T已經(jīng)有七層安全協(xié)議來應(yīng)對外部攻擊,并且在其網(wǎng)絡(luò)中樞構(gòu)建了基于網(wǎng)絡(luò)的主動式安全系統(tǒng),可以進(jìn)行細(xì)致深入的分析并能預(yù)見到各種攻擊。
3.保護(hù)七號信令網(wǎng)
七號信令網(wǎng)絡(luò)是電信網(wǎng)重要的控制系統(tǒng),目前七號信令及其安全性越來越受到關(guān)注。FCC在調(diào)查造成網(wǎng)絡(luò)癱瘓的因素時,專門對因七號信令而造成的事故進(jìn)行了調(diào)查與研究。其2002年底的一份調(diào)查顯示,由于七號信令而造成的網(wǎng)絡(luò)故障有上升的趨勢。幾年前美國參議院司法委員會就提議運(yùn)營商重視七號信令的安全,F(xiàn)BI國家基礎(chǔ)設(shè)施保護(hù)中心(NIPC)也把此列為工作重點(diǎn)。
七號信令攻擊具有以下一些共同的特點(diǎn):
消息中帶有非相鄰信令節(jié)點(diǎn)的地址;
特定消息類型的量增加或異常;
特定消息類型的出現(xiàn)頻次增加或異常;
消息集中在某鏈路或鏈路集上。
高質(zhì)量的防衛(wèi)將是一個多元的安全政策,最好的防衛(wèi)是早期檢測。運(yùn)營商必須安裝能夠監(jiān)控整個網(wǎng)絡(luò)的設(shè)備,該設(shè)備必須能夠?qū)崟r地檢測所有的信令消息并向中心地點(diǎn)報告這些情況,而且要能夠?qū)ο⑦M(jìn)行分析。
運(yùn)營商應(yīng)該認(rèn)識到,對七號信令網(wǎng)絡(luò)真正的攻擊可能不只是簡單的攻擊,很可能是一個充分組織的復(fù)雜攻擊,因此更要積極防范。
三、網(wǎng)絡(luò)安全是NGN的重要內(nèi)容
NGN指移動與固定運(yùn)營商未來將擁有的能夠提供一系列先進(jìn)新業(yè)務(wù)的網(wǎng)絡(luò)設(shè)施。在NGN中,網(wǎng)絡(luò)安全是最重要的內(nèi)容,也是亟待解決的問題。隨著新技術(shù)特別是WLAN、IP分組網(wǎng)絡(luò)、3G等的發(fā)展與應(yīng)用,網(wǎng)絡(luò)中的薄弱環(huán)節(jié)也越來越多。
1.WLAN
如今,WLAN的安全性成為一個突出的問題。隨著WLAN的普遍實(shí)施,其安全性應(yīng)該引起業(yè)界足夠的重視。設(shè)備廠商在試圖通過加密與認(rèn)證等方式來減少一些安全隱患。
針對WLAN存在的安全問題,目前有四項主要的技術(shù)措施:802.1x認(rèn)證協(xié)議、專門針對WLAN的安全體系標(biāo)準(zhǔn)802.11/802.11i、VPN和實(shí)現(xiàn)WLAN中用戶隔離的虛擬局域網(wǎng)(VLAN)。這4項技術(shù)有的正在開發(fā)之中,有的又過于復(fù)雜,因此WLAN的安全問題在最近一段時間內(nèi)難以得到徹底的解決。
2.基于IP的分組交換網(wǎng)
在過去的電信網(wǎng)絡(luò)中,網(wǎng)絡(luò)所受到的安全威脅比較典型,如毀壞PBX、惡意撥號等。而基于IP的分組交換網(wǎng)的安全問題將更加突出,并且與以往的安全問題相比有很大的不同。
人們使用VoIP或者M(jìn)PLS來構(gòu)筑VPN時,安全隱患將變大。因?yàn)槿藗冊谑褂肐P地址時會把自己“暴露”在大庭廣眾之中,這樣就會面臨電路交換網(wǎng)甚至ATM或者幀中繼中從未有過的安全問題。你可以從公共域“看到”別人,別人也可以采用標(biāo)準(zhǔn)的攻擊形式輕而易舉地破壞路由表。例如,攻擊一個交換機(jī)并非易事,但是攻擊一個實(shí)施了MPLS的交換設(shè)備卻方便得多,因?yàn)榭梢詮膬?nèi)部網(wǎng)看到它所擁有的IP地址。如果有人進(jìn)到內(nèi)部網(wǎng),就可以接入到交換機(jī),從而帶來更大的安全隱患。
3.3G
3G電話更易受到攻擊。在2.5G網(wǎng)絡(luò)中,IP地址是在基站,黑客必須先攻擊基站才能攻擊到電話,而基站一般都有保護(hù)措施。然而在3G網(wǎng)絡(luò)中,IP地址實(shí)際上是在電話中,黑客可以直接攻擊電話。因此,3G在安全性方面與2.5G或者i-mode相比有很大的弱點(diǎn)。
四、結(jié)語
隨著技術(shù)的發(fā)展,電信網(wǎng)絡(luò)涵蓋的范圍越來越廣,以前單
一、封閉的網(wǎng)絡(luò)正在向開放多樣的網(wǎng)絡(luò)演進(jìn),因此電信行業(yè)面臨的安全問題更加復(fù)雜、多樣,保障電信網(wǎng)絡(luò)和業(yè)務(wù)的安全面臨著更加嚴(yán)峻的形勢。由于電信網(wǎng)絡(luò)是人們向信息社會邁進(jìn)的基石,與人們的工作、生活息息相關(guān),因此無論政府、運(yùn)營商還是用戶,都應(yīng)該更多地關(guān)心電信網(wǎng)絡(luò)的安全問題。
第三篇:網(wǎng)絡(luò)安全的主要威脅及應(yīng)對方法
網(wǎng)絡(luò)安全的主要威脅及應(yīng)對方法
當(dāng)今世界信息化建設(shè)飛速發(fā)展,尤其以通信、計算機(jī)、網(wǎng)絡(luò)為代表的互聯(lián)網(wǎng)技術(shù)更是日新月異,令人眼花燎亂,目不睱接。由于互聯(lián)網(wǎng)絡(luò)的發(fā)展,計算機(jī)網(wǎng)絡(luò)在政治、經(jīng)濟(jì)和生活的各個領(lǐng)域正在迅速普及,全社會對網(wǎng)絡(luò)的依賴程度也變越來越高。但伴隨著網(wǎng)絡(luò)技術(shù)的發(fā)展和進(jìn)步,網(wǎng)絡(luò)信息安全問題已變得日益突出和重要。因此,了解網(wǎng)絡(luò)面臨的各種威脅,采取有力措施,防范和消除這些隱患,已成為保證網(wǎng)絡(luò)信息安全的重點(diǎn)。
1、網(wǎng)絡(luò)信息安全面臨的主要威脅(1)黑客的惡意攻擊
“黑客”(Hack)對于大家來說可能并不陌生,他們是一群利用自己的技術(shù)專長專門攻擊網(wǎng)站和計算機(jī)而不暴露身份的計算機(jī)用戶,由于黑客技術(shù)逐漸被越來越多的人掌握和發(fā)展,目前世界上約有20多萬個黑客網(wǎng)站,這些站點(diǎn)都介紹一些攻擊方法和攻擊軟件的使用以及系統(tǒng)的一些漏洞,因而任何網(wǎng)絡(luò)系統(tǒng)、站點(diǎn)都有遭受黑客攻擊的可能。尤其是現(xiàn)在還缺乏針對網(wǎng)絡(luò)犯罪卓有成效的反擊和跟蹤手段,使得黑客們善于隱蔽,攻擊“殺傷力”強(qiáng),這是網(wǎng)絡(luò)安全的主要威脅[1]。而就目前網(wǎng)絡(luò)技術(shù)的發(fā)展趨勢來看,黑客攻擊的方式也越來越多的采用了病毒進(jìn)行破壞,它們采用的攻擊和破壞方式多種多樣,對沒有網(wǎng)絡(luò)安全防護(hù)設(shè)備(防火墻)的網(wǎng)站和系統(tǒng)(或防護(hù)級別較低)進(jìn)行攻擊和破壞,這給網(wǎng)絡(luò)的安全防護(hù)帶來了嚴(yán)峻的挑戰(zhàn)。
(2)網(wǎng)絡(luò)自身和管理存在欠缺
因特網(wǎng)的共享性和開放性使網(wǎng)上信息安全存在先天不足,因?yàn)槠滟囈陨娴腡CP/IP協(xié)議,缺乏相應(yīng)的安全機(jī)制,而且因特網(wǎng)最初的設(shè)計考慮是該網(wǎng)不會因局部故障而影響信息的傳輸,基本沒有考慮安全問題,因此它在安全防范、服務(wù)質(zhì)量、帶寬和方便性等方面存在滯后及不適應(yīng)性。網(wǎng)絡(luò)系統(tǒng)的嚴(yán)格管理是企業(yè)、組織及政府部門和用戶免受攻擊的重要措施。事實(shí)上,很多企業(yè)、機(jī)構(gòu)及用戶的網(wǎng)站或系統(tǒng)都疏于這方面的管理,沒有制定嚴(yán)格的管理制度。據(jù)IT界企業(yè)團(tuán)體ITAA的調(diào)查顯示,美國90%的IT企業(yè)對黑客攻擊準(zhǔn)備不足。目前美國75%-85%的網(wǎng)站都抵擋不住黑客的攻擊,約有75%的企業(yè)網(wǎng)上信息失竊。(3)軟件設(shè)計的漏洞或“后門”而產(chǎn)生的問題
隨著軟件系統(tǒng)規(guī)模的不斷增大,新的軟件產(chǎn)品開發(fā)出來,系統(tǒng)中的安全漏洞或“后門”也不可避免的存在,比如我們常用的操作系統(tǒng),無論是Windows還是
UNIX幾乎都存在或多或少的安全漏洞,眾多的各類服務(wù)器、瀏覽器、一些桌面軟件等等都被發(fā)現(xiàn)過存在安全隱患。大家熟悉的一些病毒都是利用微軟系統(tǒng)的漏洞給用戶造成巨大損失,可以說任何一個軟件系統(tǒng)都可能會因?yàn)槌绦騿T的一個疏忽、設(shè)計中的一個缺陷等原因而存在漏洞,不可能完美無缺。這也是網(wǎng)絡(luò)安全的主要威脅之一。例如大名鼎鼎的“熊貓燒香”病毒,就是我國一名黑客針對微軟Windows操作系統(tǒng)安全漏洞設(shè)計的計算機(jī)病毒,依靠互聯(lián)網(wǎng)迅速蔓延開來,數(shù)以萬計的計算機(jī)不幸先后“中招”,并且它已產(chǎn)生眾多變種,還沒有人準(zhǔn)確統(tǒng)計出此次病毒在國內(nèi)殃及的計算機(jī)的數(shù)量,它對社會造成的各種損失更是難以估計。目前透露的保守數(shù)據(jù)已表明,“熊貓燒香”是最近一段時間以來少有的、傳播速度較快、危害性較強(qiáng)的一種病毒,其主要破壞特征有:導(dǎo)致安裝有WindowsXP、Windows2000、WindowsServer2003等操作系統(tǒng)的受感染計算機(jī)的.exe文件全部無法正常打開、系統(tǒng)運(yùn)行速度減慢、常用辦公軟件的部分功能失效等。此外,感染了此病毒的計算機(jī),又會通過互聯(lián)網(wǎng)自動掃描,尋找其他感染目標(biāo),最終在這名黑客提供病毒源碼的情況下,才終止了此種病毒的繼續(xù)傳播。(4)惡意網(wǎng)站設(shè)置的陷阱
互聯(lián)網(wǎng)世界的各類網(wǎng)站,有些網(wǎng)站惡意編制一些盜取他人信息的軟件,并且可能隱藏在下載的信息中,只要登錄或者下載網(wǎng)絡(luò)的信息就會被其控制和感染病毒,計算機(jī)中的所有信息都會被自動盜走,該軟件會長期存在你的計算機(jī)中,操作者并不知情,如現(xiàn)在非常流行的“木馬”病毒。因此,上互聯(lián)網(wǎng)應(yīng)格外注意,不良網(wǎng)站和不安全網(wǎng)站萬不可登錄,否則后果不堪設(shè)想(5)用戶網(wǎng)絡(luò)內(nèi)部工作人員的不良行為引起的安全問題
網(wǎng)絡(luò)內(nèi)部用戶的誤操作,資源濫用和惡意行為也有可能對網(wǎng)絡(luò)的安全造成巨大的威脅。由于各行業(yè),各單位現(xiàn)在都在建局域網(wǎng),計算機(jī)使用頻繁,但是由于單位管理制度不嚴(yán),不能嚴(yán)格遵守行業(yè)內(nèi)部關(guān)于信息安全的相關(guān)規(guī)定,都容易引起一系列安全問題。
2、北京聯(lián)華中安信息技術(shù)有限公司專家對保證網(wǎng)絡(luò)信息安全所采取的主要對策
2.1采取技術(shù)防護(hù)手段
1)信息加密技術(shù)。信息加密技術(shù)網(wǎng)絡(luò)信息發(fā)展的關(guān)鍵問題是其安全性,因此,必須建立一套有效的包括信息加密技術(shù)、安全認(rèn)證技術(shù)、安全交易議等內(nèi)容的信息安全機(jī)制作為保證,來實(shí)現(xiàn)電子信息數(shù)據(jù)的機(jī)密性、完整性、不可否認(rèn)性和交易者身份認(rèn)證技術(shù),防止信息被一些懷有不良用心的人竊取、破壞,甚至出現(xiàn)虛假信息。
美國國防部技術(shù)標(biāo)準(zhǔn)把操作系統(tǒng)安個等級分為Dl,Cl,C2,B1,B2,B3,A級,安
全等級由低到高。目前主要的操作系統(tǒng)等級為C2級,在使用C2級系統(tǒng)時,應(yīng)盡量使用C2級的安個措施及功能,對操作系統(tǒng)進(jìn)行安個配置。在極端重要的系統(tǒng)中,應(yīng)采用B級操作系統(tǒng)。對軍事涉密信息在網(wǎng)絡(luò)中的存儲和傳輸可以使用傳統(tǒng)的信息加密技術(shù)和新興的信息隱藏技術(shù)來提供安全保證。在傳發(fā)保存軍事涉密信息的過程中,要用加密技術(shù)隱藏信息內(nèi)容,還要用信息隱藏技術(shù)來隱藏信息的發(fā)送者、接收者甚至信息本身。通過隱藏術(shù)、數(shù)字水印、數(shù)據(jù)隱藏和數(shù)據(jù)嵌入、指紋等技術(shù)手段可以將秘密資料先隱藏到一般的文件中,然后再通過網(wǎng)絡(luò)來傳遞,提高信息保密的可靠性。
2)安裝防病毒軟件和防火墻。在主機(jī)上安裝防病毒軟件,能對病毒進(jìn)行定時或?qū)崟r的病毒掃描及漏洞檢測,變被動清毒為主動截殺,既能查殺未知病毒,又可對文件、郵件、內(nèi)存、網(wǎng)頁進(jìn)行個而實(shí)時監(jiān)控,發(fā)現(xiàn)異常情況及時處理。防火墻是硬件和軟件的組合,它在內(nèi)部網(wǎng)和外部網(wǎng)間建立起安全網(wǎng)關(guān),過濾數(shù)據(jù)包,決定是否轉(zhuǎn)發(fā)到目的地。它能夠控制網(wǎng)絡(luò)進(jìn)出的信息流向,提供網(wǎng)絡(luò)使用狀況和流量的審計、隱藏內(nèi)部IP地址及網(wǎng)絡(luò)結(jié)構(gòu)的細(xì)節(jié)。它還可以幫助內(nèi)部系統(tǒng)進(jìn)行有效的網(wǎng)絡(luò)安全隔離,通過安全過濾規(guī)則嚴(yán)格控制外網(wǎng)用戶非法訪問,并只打開必須的服務(wù),防范外部來的服務(wù)攻擊。同時,防火墻可以控制內(nèi)網(wǎng)用戶訪問外網(wǎng)時間,并通過設(shè)置IP地址與MAC地址綁定,防止IP地址欺騙。更重要的是,防火墻不但將大量的惡意攻擊直接阻擋在外而,同時也屏蔽來自網(wǎng)絡(luò)內(nèi)部的不良行為。
3)使用路由器和虛擬專用網(wǎng)技術(shù)。路由器采用了密碼算法和解密專用芯片,通過在路由器主板上增加加密模件來實(shí)現(xiàn)路由器信息和IP包的加密、身份鑒別和數(shù)據(jù)完整性驗(yàn)證、分布式密鑰管理等功能。使用路由器可以實(shí)現(xiàn)單位內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的互聯(lián)、隔離、流量控制、網(wǎng)絡(luò)和信息維護(hù),也可以阻塞廣播信息的傳輸,達(dá)到保護(hù)網(wǎng)絡(luò)安全的目的。
2.2構(gòu)建信息安全保密體系
1)信息安全保密的體系框架。該保密體系是以信息安全保密策略和機(jī)制為核心,以信息安全保密服務(wù)為支持,以標(biāo)準(zhǔn)規(guī)范、安全技術(shù)和組織管理體系為具體內(nèi)容,最終形成能夠滿足信息安全保密需求的工作能力。
2)信息安全保密的服務(wù)支持體系。信息安全保密的服務(wù)支持體系,主要是由技術(shù)檢查服務(wù)、調(diào)查取證服務(wù)、風(fēng)險管理服務(wù)、系統(tǒng)測評服務(wù)、應(yīng)急響應(yīng)服務(wù)和咨詢培訓(xùn)服務(wù)組成的。其中,風(fēng)險管理服務(wù)必須貫穿到信息安全保密的整個工程中,要在信息系統(tǒng)和信息網(wǎng)絡(luò)規(guī)劃與建設(shè)的初期,就進(jìn)行專業(yè)的安全風(fēng)險評估與分析,并在系統(tǒng)或網(wǎng)絡(luò)的運(yùn)營管理過程中,經(jīng)常性地開展保密風(fēng)險評估工作,采取有效的措施控制風(fēng)險,只有這樣才能提高信息安全保密的效益和針對性,增
強(qiáng)系統(tǒng)或網(wǎng)絡(luò)的安全可觀性、可控性。其次,還要大力加強(qiáng)調(diào)查取證服務(wù)、應(yīng)急響應(yīng)服務(wù)和咨詢培訓(xùn)服務(wù)的建設(shè),對突發(fā)性的失泄密事件能夠快速反應(yīng),同時盡可能提高信息系統(tǒng)、信息網(wǎng)絡(luò)管理人員的安全技能,以及他們的法規(guī)意識和防范意識,做到“事前有準(zhǔn)備,事后有措施,事中有監(jiān)察”。
加強(qiáng)信息安全保密服務(wù)的主要措施包括:借用安全評估服務(wù)幫助我們了解自身的安全性。通過安全掃描、滲透測試、問卷調(diào)查等方式對信息系統(tǒng)及網(wǎng)絡(luò)的資產(chǎn)價值、存在的脆弱性和面臨的威脅進(jìn)行分析評估,確定失泄密風(fēng)險的大小,并實(shí)施有效的安全風(fēng)險控制。采用安全加固服務(wù)來增強(qiáng)信息系統(tǒng)的自身安全性。具體包括操作系統(tǒng)的安全修補(bǔ)、加固和優(yōu)化;應(yīng)用服務(wù)的安全修補(bǔ)、加固和優(yōu)化;網(wǎng)絡(luò)設(shè)備的安全修補(bǔ)、加固和優(yōu)化;現(xiàn)有安全制度和策略的改進(jìn)與完善等。部署專用安全系統(tǒng)及設(shè)備提升安全保護(hù)等級。運(yùn)用安全控制服務(wù)增強(qiáng)信息系統(tǒng)及網(wǎng)絡(luò)的安全可觀性、可控性。通過部署面向終端、服務(wù)器和網(wǎng)絡(luò)邊界的安全控制系統(tǒng),以及集中式的安全控制平臺,增強(qiáng)對整個信息系統(tǒng)及網(wǎng)絡(luò)的可觀性,以及對使用網(wǎng)絡(luò)的人員、網(wǎng)絡(luò)中的設(shè)備及其所提供服務(wù)的可控性。加強(qiáng)安全保密教育培訓(xùn)來減少和避免失泄密事件的發(fā)生。加強(qiáng)信息安全基礎(chǔ)知識及防護(hù)技能的培訓(xùn),尤其是個人終端安全技術(shù)的培訓(xùn),提高使用和管理人員的安全保密意識,以及檢查入侵、查處失泄密事件的能力。采用安全通告服務(wù)來對竊密威脅提前預(yù)警。具體包括對緊急事件的通告,對安全漏洞和最新補(bǔ)丁的通告,對最新防護(hù)技術(shù)及措施的通告,對國家、軍隊的安全保密政策法規(guī)和安全標(biāo)準(zhǔn)的通告等。
3)信息安全保密的標(biāo)準(zhǔn)規(guī)范體系。信息安全保密的標(biāo)準(zhǔn)規(guī)范體系,主要是由國家和軍隊相關(guān)安全技術(shù)標(biāo)準(zhǔn)構(gòu)成的。這些技術(shù)標(biāo)準(zhǔn)和規(guī)范涉及到物理場所、電磁環(huán)境、通信、計算機(jī)、網(wǎng)絡(luò)、數(shù)據(jù)等不同的對象,涵蓋信息獲取、存儲、處理、傳輸、利用和銷毀等整個生命周期。既有對信息載體的相關(guān)安全保密防護(hù)規(guī)定,也有對人員的管理和操作要求。因此,它們是設(shè)計信息安全保密解決方案,提供各種安全保密服務(wù),檢查與查處失泄密事件的準(zhǔn)則和依據(jù)。各部門應(yīng)該根據(jù)本單位信息系統(tǒng)、信息網(wǎng)絡(luò)的安全保密需求,以及組織結(jié)構(gòu)和使用維護(hù)人員的配置情況,制定相應(yīng)的,操作性和針對性更強(qiáng)的技術(shù)和管理標(biāo)準(zhǔn)。
4)信息安全保密的技術(shù)防范體系。信息安全保密的技術(shù)防范體系,主要是由電磁防護(hù)技術(shù)、信息終端防護(hù)技術(shù)、通信安全技術(shù)、網(wǎng)絡(luò)安全技術(shù)和其他安全技術(shù)組成的。這些技術(shù)措施的目的,是為了從信息系統(tǒng)和信息網(wǎng)絡(luò)的不同層面保護(hù)信息的機(jī)密性、完整性、可用性、可控性和不可否認(rèn)性,進(jìn)而保障信息及信息系統(tǒng)的安全,提高信息系統(tǒng)和信息網(wǎng)絡(luò)的抗攻擊能力和安全可靠性。安全保密技術(shù)是隨著信息技術(shù)、網(wǎng)絡(luò)技術(shù),以及各種入侵與攻擊技術(shù)的發(fā)展不斷完善和提高的,一些最新的安全防護(hù)技術(shù),如可信計算技術(shù)、內(nèi)網(wǎng)監(jiān)控技術(shù)等,可以極大地
彌補(bǔ)傳統(tǒng)安全防護(hù)手段存在的不足,這就為我們降低安全保密管理的難度和成本,提高信息系統(tǒng)和信息網(wǎng)絡(luò)的安全可控性和可用性,奠定了技術(shù)基礎(chǔ)。因此,信息安全保密的技術(shù)防范體系,是構(gòu)建信息安全保密體系的一個重要組成部分,應(yīng)該在資金到位和技術(shù)可行的情況下,盡可能采用最新的、先進(jìn)的技術(shù)防護(hù)手段,這樣才能有效抵御不斷出現(xiàn)的安全威脅。
5)信息安全保密的管理保障體系。俗話說,信息安全是“三分靠技術(shù),七分靠管理”。信息安全保密的管理保障體系,主要是從技術(shù)管理、制度管理、資產(chǎn)管理和風(fēng)險管理等方面,加強(qiáng)安全保密管理的力度,使管理成為信息安全保密工作的重中之重。技術(shù)管理主要包括對泄密隱患的技術(shù)檢查,對安全產(chǎn)品、系統(tǒng)的技術(shù)測評,對各種失泄密事件的技術(shù)取證;制度管理主要是指各種信息安全保密制度的制定、審查、監(jiān)督執(zhí)行與落實(shí);資產(chǎn)管理主要包括涉密人員的管理,重要信息資產(chǎn)的備份恢復(fù)管理,涉密場所、計算機(jī)和網(wǎng)絡(luò)的管理,涉密移動通信設(shè)備和存儲設(shè)備的管理等;風(fēng)險管理主要是指保密安全風(fēng)險的評估與控制。
現(xiàn)有的安全管理,重在保密技術(shù)管理,而極大地忽視了保密風(fēng)險管理,同時在制度管理和資產(chǎn)管理等方面也存在很多問題,要么是管理制度不健全,落實(shí)不到位;要么是一些重要的資產(chǎn)監(jiān)管不利,這就給失竊密和遭受網(wǎng)絡(luò)攻擊帶來了人為的隱患。加強(qiáng)安全管理,不但能改進(jìn)和提高現(xiàn)有安全保密措施的效益,還能充分發(fā)揮人員的主動性和積極性,使信息安全保密工作從被動接受變成自覺履行。
6)信息安全保密的工作能力體系。將技術(shù)、管理與標(biāo)準(zhǔn)規(guī)范結(jié)合起來,以安全保密策略和服務(wù)為支持,就能合力形成信息安全保密工作的能力體系。該能力體系既是信息安全保密工作效益與效率的體現(xiàn),也能反映出當(dāng)前信息安全保密工作是否到位[10]。它以防護(hù)、檢測、響應(yīng)、恢復(fù)為核心,對信息安全保密的相關(guān)組織和個人進(jìn)行工作考評,并通過標(biāo)準(zhǔn)化、流程化的方式加以持續(xù)改進(jìn),使信息安全保密能力隨著信息化建設(shè)的進(jìn)展不斷提高。
3、結(jié)語
聯(lián)華中安的專家認(rèn)為當(dāng)前網(wǎng)絡(luò)信息安全技術(shù)發(fā)展迅速,但沒有任一種解決方案可以防御所有危及信息安全的攻擊,這是“矛”與“盾”的問題,需要不斷吸取新的技術(shù),取眾家所長,才能使“盾”更堅,以防御不斷鋒利的“矛”。因此,要不斷跟蹤新技術(shù),對所采用的信息安全技術(shù)進(jìn)行升級完善,以確保相關(guān)利益不受侵犯。
第四篇:網(wǎng)絡(luò)安全
一、當(dāng)前網(wǎng)絡(luò)安全形勢日益嚴(yán)峻
1.網(wǎng)絡(luò)安全問題已經(jīng)成為困擾世界各國的全球性難題
在國際刑法界列舉的現(xiàn)代社會新型犯罪排行榜上,計算機(jī)犯罪和網(wǎng)絡(luò)侵權(quán)已名列榜首。無論是數(shù)量、手段,還是性質(zhì)、規(guī)模,都出乎人們的意料。
2.我國網(wǎng)絡(luò)防護(hù)起步晚、基礎(chǔ)差,解決網(wǎng)絡(luò)安全問題刻不容緩
我國網(wǎng)民數(shù)和寬帶上網(wǎng)人數(shù)多。網(wǎng)絡(luò)安全風(fēng)險也無處不在,各種網(wǎng)絡(luò)安全漏洞大量存在和不斷被發(fā)現(xiàn),計算機(jī)系統(tǒng)遭受病毒感染和破壞的情況相當(dāng)嚴(yán)重,計算機(jī)病毒呈現(xiàn)出異常活躍的態(tài)勢。面對網(wǎng)絡(luò)安全的嚴(yán)峻形勢,我國的網(wǎng)絡(luò)安全保障工作尚處于起步階段,基礎(chǔ)薄弱,水平不高
3.企業(yè)用戶防范意識淡薄,網(wǎng)絡(luò)安全問題隨處可見
二、主要應(yīng)對措施
1.通信主管部門進(jìn)一步加大行業(yè)監(jiān)管力度,不斷提升政府的管理職能和效率 一,發(fā)揮監(jiān)管部門的主導(dǎo)作用,不斷強(qiáng)化和充實(shí)管理職能。通信行業(yè)主管部門一方面認(rèn)清網(wǎng)絡(luò)安全的緊迫形勢,采取有效措施,加大監(jiān)管力度,二,盡快建立和完善與網(wǎng)絡(luò)信息安全相關(guān)的規(guī)章制度。三,著眼建立與國際接軌的網(wǎng)絡(luò)安全長效管理機(jī)制。網(wǎng)絡(luò)安全攻擊和防范技術(shù)都在高速發(fā)展。這就要求我們必須著眼建立與國際接軌的網(wǎng)絡(luò)安全長效管理機(jī)制。四,組織企業(yè)及相關(guān)部門深入開展網(wǎng)絡(luò)安全調(diào)研工作,及時研究、制定相關(guān)的管理措施和辦法。
2.電信基礎(chǔ)運(yùn)營企業(yè)進(jìn)一步強(qiáng)化責(zé)任意識
一,增強(qiáng)對網(wǎng)絡(luò)安全重要性的認(rèn)識。二,強(qiáng)化安全風(fēng)險意識,堅持積極防御、綜合防范的方針。努力用發(fā)展的辦法、積極的措施解決網(wǎng)絡(luò)安全問題,具備應(yīng)對各種威脅和挑戰(zhàn)的能力與手段,三,盡快建立健全行之有效的安全運(yùn)行機(jī)制。四,不斷創(chuàng)新網(wǎng)絡(luò)安全防范技術(shù),做到防患于未然。五,注重教育和培訓(xùn),進(jìn)一步提高網(wǎng)絡(luò)人員的安全防護(hù)技能。
3.電信增值運(yùn)營企業(yè)積極唱響文明辦網(wǎng)的主旋律
1,明辨是非,積極倡導(dǎo)文明辦網(wǎng)。2,營造積極向上、和諧文明的網(wǎng)上輿論氛圍。營造健康文明的網(wǎng)絡(luò)文化環(huán)境,清除不健康信息已成為社會的共同呼喚、家長的強(qiáng)烈要求、保障未成年人健康成長的迫切需要。3,強(qiáng)化行業(yè)自律,提高行業(yè)管理水平。各網(wǎng)站應(yīng)在行業(yè)自律方面起到表率與帶頭作用,進(jìn)一步健全、細(xì)化網(wǎng)站內(nèi)部管理制度,規(guī)范操作流程和信息制作,強(qiáng)化監(jiān)管、懲處機(jī)制。4,積極引導(dǎo)廣大網(wǎng)民特別是青少年健康上網(wǎng)。4.動員社會一切力量,積極投入到營造和諧、安全、穩(wěn)定的網(wǎng)絡(luò)環(huán)境中來。
第五篇:網(wǎng)絡(luò)安全實(shí)驗(yàn)報告
實(shí)驗(yàn)一:網(wǎng)絡(luò)掃描實(shí)驗(yàn)
【實(shí)驗(yàn)?zāi)康摹?/p>
了解掃描的基本原理,掌握基本方法,最終鞏固主機(jī)安全
【實(shí)驗(yàn)內(nèi)容】
1、學(xué)習(xí)使用Nmap的使用方法
2、學(xué)習(xí)使用漏洞掃描工具
【實(shí)驗(yàn)環(huán)境】
1、硬件 PC機(jī)一臺。
2、系統(tǒng)配置:操作系統(tǒng)windows XP以上。
【實(shí)驗(yàn)步驟】
1、端口掃描
1)解壓并安裝ipscan15.zip,掃描本局域網(wǎng)內(nèi)的主機(jī) 2)解壓nmap-4.00-win32.zip,安裝WinPcap
運(yùn)行cmd.exe,熟悉nmap命令(詳見“Nmap詳解.mht”)。3)試圖做以下掃描:
掃描局域網(wǎng)內(nèi)存活主機(jī),掃描某一臺主機(jī)或某一個網(wǎng)段的開放端口 掃描目標(biāo)主機(jī)的操作系統(tǒng)
試圖使用Nmap的其他掃描方式,偽源地址、隱蔽掃描等
2、漏洞掃描
解壓X-Scan-v3.3-cn.rar,運(yùn)行程序xscan_gui.exe,將所有模塊選擇掃描,掃描本機(jī),或局域網(wǎng)內(nèi)某一臺主機(jī)的漏洞
【實(shí)驗(yàn)背景知識】
1、掃描及漏洞掃描原理見
第四章黑客攻擊技術(shù).ppt
2、NMAP使用方法
掃描器是幫助你了解自己系統(tǒng)的絕佳助手。象Windows 2K/XP這樣復(fù)雜的操作系統(tǒng)支持應(yīng)用軟件打開數(shù)百個端口與其他客戶程序或服務(wù)器通信,端口掃描是檢測服務(wù)器上運(yùn)行了哪些服務(wù)和應(yīng)用、向Internet或其他網(wǎng)絡(luò)開放了哪些聯(lián)系通道的一種辦法,不僅速度快,而且效果也很不錯。
Nmap被開發(fā)用于允許系統(tǒng)管理員察看一個大的網(wǎng)絡(luò)系統(tǒng)有哪些主機(jī)以及其上運(yùn)行何種服務(wù)。它支持多種協(xié)議的掃描如UDP,TCP connect(),TCP SYN(half open), ftp proxy(bounce attack),Reverse-ident, ICMP(ping sweep), FIN, ACK sweep,Xmas Tree, SYN sweep,1 和Null掃描。可以從SCAN TYPES一節(jié)中察看相關(guān)細(xì)節(jié)。Nmap還提供一些實(shí)用功能如通過tcp/ip來甄別操作系統(tǒng)類型、秘密掃描、動態(tài)延遲和重發(fā)、平行掃描、通過并行的PING偵測下屬的主機(jī)、欺騙掃描、端口過濾探測、直接的RPC掃描、分布掃描、靈活的目標(biāo)選擇以及端口的描述。
1)安裝Nmap
Nmap要用到一個稱為―Windows包捕獲庫‖的驅(qū)動程序WinPcap——如果你經(jīng)常從網(wǎng)上下載流媒體電影,可能已經(jīng)熟悉這個驅(qū)動程序——某些流媒體電影的地址是加密的,偵測這些電影的真實(shí)地址就要用到WinPcap。WinPcap的作用是幫助調(diào)用程序(即這里的Nmap)捕獲通過網(wǎng)卡傳輸?shù)脑紨?shù)據(jù)。WinPcap的最新版本在http://netgroup-serv.polito.it/winpcap,支持XP/2K/Me/9x全系列操作系統(tǒng),下載得到的是一個執(zhí)行文件,雙擊安裝,一路確認(rèn)使用默認(rèn)設(shè)置就可以了,安裝好之后需要重新啟動。
接下來下載Nmap。下載好之后解開壓縮,不需要安裝。除了執(zhí)行文件nmap.exe之外,它還有下列參考文檔:
㈠ nmap-os-fingerprints:列出了500多種網(wǎng)絡(luò)設(shè)備和操作系統(tǒng)的堆棧標(biāo)識信息。
㈡ nmap-protocols:Nmap執(zhí)行協(xié)議掃描的協(xié)議清單。
㈢ nmap-rpc:遠(yuǎn)程過程調(diào)用(RPC)服務(wù)清單,Nmap用它來確定在特定端口上監(jiān)聽的應(yīng)用類型。
㈣ nmap-services:一個TCP/UDP服務(wù)的清單,Nmap用它來匹配服務(wù)名稱和端口號。
除了命令行版本之外,www.tmdps.cn還提供了一個帶GUI的Nmap版本。和其他常見的Windows軟件一樣,GUI版本需要安裝,圖一就是GUI版Nmap的運(yùn)行界面。GUI版的功能基本上和命令行版本一樣,鑒于許多人更喜歡用命令行版本,本文后面的說明就以命令行版本為主。
圖一
2)常用掃描類型
解開Nmap命令行版的壓縮包之后,進(jìn)入Windows的命令控制臺,再轉(zhuǎn)到安裝Nmap 2 的目錄(如果經(jīng)常要用Nmap,最好把它的路徑加入到PATH環(huán)境變量)。不帶任何命令行參數(shù)運(yùn)行Nmap,Nmap顯示出命令語法,如圖二所示。
圖二
下面是Nmap支持的四種最基本的掃描方式:
⑴ TCP connect()端口掃描(-sT參數(shù))。
⑵ TCP同步(SYN)端口掃描(-sS參數(shù))。
⑶ UDP端口掃描(-sU參數(shù))。
⑷ Ping掃描(-sP參數(shù))。
如果要勾畫一個網(wǎng)絡(luò)的整體情況,Ping掃描和TCP SYN掃描最為實(shí)用。Ping掃描通過發(fā)送ICMP(Internet Control Message Protocol,Internet控制消息協(xié)議)回應(yīng)請求數(shù)據(jù)包和TCP應(yīng)答(Acknowledge,簡寫ACK)數(shù)據(jù)包,確定主機(jī)的狀態(tài),非常適合于檢測指定網(wǎng)段內(nèi)正在運(yùn)行的主機(jī)數(shù)量。
TCP SYN掃描一下子不太好理解,但如果將它與TCP connect()掃描比較,就很容易看出這種掃描方式的特點(diǎn)。在TCP connect()掃描中,掃描器利用操作系統(tǒng)本身的系統(tǒng)調(diào)用打開一個完整的TCP連接——也就是說,掃描器打開了兩個主機(jī)之間的完整握手過程(SYN,SYN-ACK,和ACK)。一次完整執(zhí)行的握手過程表明遠(yuǎn)程主機(jī)端口是打開的。
TCP SYN掃描創(chuàng)建的是半打開的連接,它與TCP connect()掃描的不同之處在于,TCP SYN掃描發(fā)送的是復(fù)位(RST)標(biāo)記而不是結(jié)束ACK標(biāo)記(即,SYN,SYN-ACK,或RST):如果遠(yuǎn)程主機(jī)正在監(jiān)聽且端口是打開的,遠(yuǎn)程主機(jī)用SYN-ACK應(yīng)答,Nmap發(fā)送一個RST;如果遠(yuǎn)程主機(jī)的端口是關(guān)閉的,它的應(yīng)答將是RST,此時Nmap轉(zhuǎn)入下一個端口。
圖三是一次測試結(jié)果,很明顯,TCP SYN掃描速度要超過TCP connect()掃描。采用默認(rèn)計時選項,在LAN環(huán)境下掃描一個主機(jī),Ping掃描耗時不到十秒,TCP SYN掃描需要大約十三秒,而TCP connect()掃描耗時最多,需要大約7分鐘。
圖三
Nmap支持豐富、靈活的命令行參數(shù)。例如,如果要掃描192.168.7網(wǎng)絡(luò),可以用192.168.7.x/24或192.168.7.0-255的形式指定IP地址范圍。指定端口范圍使用-p參數(shù),如果不指定要掃描的端口,Nmap默認(rèn)掃描從1到1024再加上nmap-services列出的端口。
如果要查看Nmap運(yùn)行的詳細(xì)過程,只要啟用verbose模式,即加上-v參數(shù),或者加上-vv參數(shù)獲得更加詳細(xì)的信息。例如,nmap-sS 192.168.7.1-255-p 20,21,53-110,30000--v命令,表示執(zhí)行一次TCP SYN掃描,啟用verbose模式,要掃描的網(wǎng)絡(luò)是192.168.7,檢測20、21、53到110以及30000以上的端口(指定端口清單時中間不要插入空格)。再舉一個例子,nmap-sS 192.168.7.1/24-p 80掃描192.168.0子網(wǎng),查找在80端口監(jiān)聽的服務(wù)器(通常是Web服務(wù)器)。
有些網(wǎng)絡(luò)設(shè)備,例如路由器和網(wǎng)絡(luò)打印機(jī),可能禁用或過濾某些端口,禁止對該設(shè)備或跨越該設(shè)備的掃描。初步偵測網(wǎng)絡(luò)情況時,-host_timeout<毫秒數(shù)>參數(shù)很有用,它表示超時時間,例如nmap sS host_timeout 10000 192.168.0.1命令規(guī)定超時時間是10000毫秒。
網(wǎng)絡(luò)設(shè)備上被過濾掉的端口一般會大大延長偵測時間,設(shè)置超時參數(shù)有時可以顯著降低掃描網(wǎng)絡(luò)所需時間。Nmap會顯示出哪些網(wǎng)絡(luò)設(shè)備響應(yīng)超時,這時你就可以對這些設(shè)備個別處理,保證大范圍網(wǎng)絡(luò)掃描的整體速度。當(dāng)然,host_timeout到底可以節(jié)省多少掃描時間,最終還是由網(wǎng)絡(luò)上被過濾的端口數(shù)量決定。
Nmap的手冊(man文檔)詳細(xì)說明了命令行參數(shù)的用法(雖然man文檔是針對UNIX版Nmap編寫的,但同樣提供了Win32版本的說明)。
3)注意事項
也許你對其他端口掃描器比較熟悉,但Nmap絕對值得一試。建議先用Nmap掃描一個熟悉的系統(tǒng),感覺一下Nmap的基本運(yùn)行模式,熟悉之后,再將掃描范圍擴(kuò)大到其他系統(tǒng)。首先掃描內(nèi)部網(wǎng)絡(luò)看看Nmap報告的結(jié)果,然后從一個外部IP地址掃描,注意防火墻、入侵檢測系統(tǒng)(IDS)以及其他工具對掃描操作的反應(yīng)。通常,TCP connect()會引起IDS系統(tǒng)的反應(yīng),但I(xiàn)DS不一定會記錄俗稱―半連接‖的TCP SYN掃描。最好將Nmap掃描網(wǎng)絡(luò)的報告整理存檔,以便隨后參考。
如果你打算熟悉和使用Nmap,下面幾點(diǎn)經(jīng)驗(yàn)可能對你有幫助:
㈠ 避免誤解。不要隨意選擇測試Nmap的掃描目標(biāo)。許多單位把端口掃描視為惡意行為,所以測試Nmap最好在內(nèi)部網(wǎng)絡(luò)進(jìn)行。如有必要,應(yīng)該告訴同事你正在試驗(yàn)端口掃描,因?yàn)閽呙杩赡芤l(fā)IDS警報以及其他網(wǎng)絡(luò)問題。
㈡ 關(guān)閉不必要的服務(wù)。根據(jù)Nmap提供的報告(同時考慮網(wǎng)絡(luò)的安全要求),關(guān)閉不必要的服務(wù),或者調(diào)整路由器的訪問控制規(guī)則(ACL),禁用網(wǎng)絡(luò)開放給外界的某些端口。
㈢ 建立安全基準(zhǔn)。在Nmap的幫助下加固網(wǎng)絡(luò)、搞清楚哪些系統(tǒng)和服務(wù)可能受到攻擊之后,下一步是從這些已知的系統(tǒng)和服務(wù)出發(fā)建立一個安全基準(zhǔn),以后如果要啟用新的服務(wù)或者服務(wù)器,就可以方便地根據(jù)這個安全基準(zhǔn)執(zhí)行。
【實(shí)驗(yàn)報告】
一、說明程序設(shè)計原理。
1.TCP connect掃描
利用TCP連接機(jī)制,通過系統(tǒng)提供的connect()調(diào)用,可以用來與任何一個感興趣的目標(biāo)計算機(jī)的端口進(jìn)行連接。如果目標(biāo)端口開放,則會響應(yīng)掃描主機(jī)的ACK連接請求并建立連接,如果目標(biāo)端口處于關(guān)閉狀態(tài),則目標(biāo)主機(jī)會向掃描主機(jī)發(fā)送RST的響應(yīng)。
2.TCP SYN掃描
掃描程序發(fā)送一個SYN數(shù)據(jù)包,好像準(zhǔn)備打開一個實(shí)際的連接并等待反應(yīng)一樣。一個SYN/ACK的返回信息表示端口處于偵聽狀態(tài),一個RST返回,表示端口沒有處于偵聽狀態(tài)。
3.UDP端口掃描
掃描主機(jī)向一個未打開的UDP端口發(fā)送一個數(shù)據(jù)包時,會返回一個ICMP_PORT_UNREACH錯誤,通過這個就能判斷哪個端口是關(guān)閉的。
4.Ping掃描
掃描程序向目標(biāo)主機(jī)發(fā)送一個ICMP回聲請求報文,若主機(jī)存活,則會返回一個ICMP的回聲應(yīng)答報文。可以判斷主機(jī)的存活性。
二、提交運(yùn)行測試結(jié)果。
1.TCP connec掃描結(jié)果顯示
2.TCP SYN掃描結(jié)果顯示
3.Ping掃描結(jié)果顯示
實(shí)驗(yàn)二:計算機(jī)病毒及惡意代碼
【實(shí)驗(yàn)?zāi)康摹?/p>
練習(xí)木馬程序安裝和攻擊過程,了解木馬攻擊原理,掌握手工查殺木馬的基本方法,提高自己的安全意識。
【實(shí)驗(yàn)內(nèi)容】
安裝木馬程序NetBus,通過冰刃iceberg、autoruns.exe了解木馬的加載及隱藏技術(shù)
【實(shí)驗(yàn)步驟】
1、木馬安裝和使用
1)在菜單運(yùn)行中輸入cmd打開dos命令編輯器 2)安裝netbus軟件
3)在DOS命令窗口啟動進(jìn)程并設(shè)置密碼
4)打開木馬程序,連接別人主機(jī)
5)控制本地電腦打開學(xué)院網(wǎng)頁
6)查看自己主機(jī)
7)查看任務(wù)管理器進(jìn)程 移除木馬控制程序進(jìn)程
查看任務(wù)管理器(注意:Patch.exe進(jìn)程已經(jīng)關(guān)閉)
2、木馬防御實(shí)驗(yàn)
在木馬安裝過程可以運(yùn)行一下軟件查看主機(jī)信息變化:
1)使用autoruns.exe軟件,查看windows程序啟動程序的位置,了解木馬的自動加載技術(shù)。如自動運(yùn)行進(jìn)程(下圖所示)、IE瀏覽器調(diào)運(yùn)插件、任務(wù)計劃等:
2)查看當(dāng)前運(yùn)行的進(jìn)程,windows提供的任務(wù)管理器可以查看當(dāng)前運(yùn)行的進(jìn)程,但其提供的信息不全面。利用第三方軟件可以更清楚地了解當(dāng)前運(yùn)行進(jìn)程的信息。這里procexp.exe為例
啟動procexp.exe程序,查看當(dāng)前運(yùn)行進(jìn)程所在位置,如圖所示:
3)木馬綜合查殺練習(xí)
使用冰刃IceSword查看木馬可能修改的位置: 主要進(jìn)行以下練習(xí):
1)查看當(dāng)前通信進(jìn)程開放的端口。
木馬攻擊
2)查看當(dāng)前啟動的服務(wù)
3)練習(xí)其他功能,如強(qiáng)制刪除其他文件,SPI、內(nèi)核模塊等。
【背景知識】
NetBus由兩部分組成:客戶端程序(netbus.exe)和服務(wù)器端程序(通常文件名為:patch.exe)。要想―控制‖遠(yuǎn)程機(jī)器,必須先將服務(wù)器端程序安裝到遠(yuǎn)程機(jī)器上--這一般是通過遠(yuǎn)程機(jī)器的主人無意中運(yùn)行了帶有NetBus的所謂特洛伊木馬程序后完成的。
NetBus服務(wù)器端程序是放在Windows的系統(tǒng)目錄中的,它會在Windows啟動時自動啟動。該程序的文件名是patch.exe,如果該程序通過一個名為whackamole.exe的游戲安裝潛伏的話,文件名應(yīng)為explore.exe(注意:不是explorer.exe!)或者簡單地叫g(shù)ame.exe。同時,你可以檢查Windows系統(tǒng)注冊表,NetBus會在下面路徑中加入其 自身的啟動項:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun NetBus通過該注冊項實(shí)現(xiàn)Windows啟動時的自動啟動。但如果你按Ctrl+Alt+Del,在任務(wù)列表中是看不到它的存在的。正確的去除方法如下:
1、運(yùn)行regedit.exe;
2、找到
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun;
3、將patch項刪除(或者explore項);
4、重新啟動機(jī)器后刪除Windows系統(tǒng)目錄下的patch.exe(或者explore.exe)即可。
【實(shí)驗(yàn)原理】
1、分析木馬傳播、自啟動、及隱藏的原理。
木馬常用的隱藏技術(shù): 3.1合并端口法
使用特殊的手段,在一個端口上同時綁定兩個TCP 或者UDP 連接(比如80 端口的HTTP),以達(dá)到隱藏端口的目的。
3.2修改ICMP 頭法
根據(jù)ICMP 協(xié)議進(jìn)行數(shù)據(jù)的發(fā)送,原理是修改ICMP 頭的構(gòu)造,加入木馬的控制字段。這樣的木馬具備很多新特點(diǎn),如不占用端口、使用戶難以發(fā)覺等。同時,使用ICMP 協(xié)議可以穿透一些防火墻,從而增加了防范的難度。
木馬常用的自啟動技術(shù):
為了達(dá)到長期控制目標(biāo)主機(jī)的目的,當(dāng)主機(jī)重啟之后必須讓木馬程序再次運(yùn)行,這樣就需要木馬具有一定的自啟動能力。下面介紹幾種常見的方法。
3.3加載程序到啟動組
我們需要關(guān)注“開始” 菜單中的啟動項,對應(yīng)的文件夾是c:Documents and Settings 用戶名「開始」菜單 程序 啟動。
3.4在注冊表中加載自啟動項
下面僅列舉幾個木馬常用的自啟動注冊表項:
3.4.1 Run 注冊表項
Run 是木馬常用的自啟動注冊表項,位置在:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
3.4.2RunOnce 注冊表項
RunOnce 也是木馬常用的自啟動注冊表項,位置在:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurerntVersionRunOnce HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce 在Windows XP 系統(tǒng)中還有:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnceEx 此外,木馬的自啟動注冊表項還有RunServices 注冊表項、RunServicesOnce 注冊表項、Winlogon 注冊表項、Load 注冊表項等。
3.5修改文件關(guān)聯(lián)
以文本文件的“文件關(guān)聯(lián)”為例,正常情況下,其對應(yīng)的注冊表項和項值分別為:HKEY_CLASSES_ROOTtxtfileshellopencommand與%SystemRoot%system32NOTEPAD.EXE%1但是某些木馬在安裝階段將項值改為“木馬程序路徑 木馬程序名稱%l”的形式,這樣,當(dāng)用戶打開任何一個文本文件時,就啟動了木 馬程序。
實(shí)驗(yàn)三:防火墻實(shí)驗(yàn)
【實(shí)驗(yàn)?zāi)康摹?/p>
掌握個人防火墻的使用及規(guī)則的設(shè)置
【實(shí)驗(yàn)內(nèi)容】
防火墻設(shè)置,規(guī)則的設(shè)置,檢驗(yàn)防火墻的使用。
【實(shí)驗(yàn)環(huán)境】
1、硬件 PC機(jī)一臺。
2、系統(tǒng)配置:操作系統(tǒng)windows XP以上。
【實(shí)驗(yàn)步驟】
(有兩種可選方式,1、以天網(wǎng)防火墻為例,學(xué)習(xí)防火墻的規(guī)則設(shè)置,2、通過winroute防火墻學(xué)習(xí)使用規(guī)則設(shè)置,兩者均需安裝虛擬機(jī))
1、虛擬機(jī)安裝與配置
驗(yàn)證virtual PC是否安裝在xp操作系統(tǒng)之上,如果沒有安裝,從獲取相關(guān)軟件并安裝; 從教師機(jī)上獲取windows 2000虛擬機(jī)硬盤
2、包過濾防火墻winroute配置(可選)
1)從教師機(jī)上獲取winroute安裝軟件并放置在windows 2000上安裝 2)安裝默認(rèn)方式進(jìn)行安裝,并按提示重啟系統(tǒng) 3)登陸虛擬機(jī),打開winroute 以管理員的身份登錄,打開開始>WinRoute Pro>WinRoute Administration,輸入IP地址或計算機(jī)名,以及WinRoute管理員帳號(默認(rèn)為Admin)、密碼(默認(rèn)為空)
4)打開菜單
Setting>Advanced>Packet Filter 5)在Packet Filter對話框中,選中Any interface并展開 雙擊No Rule圖標(biāo),打開Add Item對話框
在Protocol下拉列表框中選擇ICMP,開始編輯規(guī)則
配置Destination:type為Host,IP Address為192.168.1.1(x為座位號)6)在ICMP Types中,選中All復(fù)選項 在Action區(qū)域,選擇Drop項
在Log Packet區(qū)域選中Log into Window 其他各項均保持默認(rèn)值,單擊OK 單擊OK,返回主窗口
7)合作伙伴間ping對方IP,應(yīng)該沒有任何響應(yīng)
打開菜單View>Logs>Security Log ,詳細(xì)查看日志記錄
禁用或刪除規(guī)則
8)用WinRoute控制某個特定主機(jī)的訪問(選作)
要求學(xué)生在虛擬機(jī)安裝ftp服務(wù)器。
a)打開WinRoute,打開菜單Settings>Advanced>Packet Filter選擇,Outgoing標(biāo)簽 b)選擇Any Interface并展開,雙擊No Rule,然后選擇TCP協(xié)議
c)配置Destination 框:type為 Host,IP Address為192.168.1.2(2為合作伙伴座位號)d、在Source框中:端口范圍選擇Greater than(>),然后輸入1024 e 以21端口作為 Destination Port值 f)在Action區(qū)域,選擇Deny選項 g)選擇Log into window選項 h)應(yīng)用以上設(shè)置,返回主窗口
i)合作伙伴間互相建立到對方的FTP連接,觀察失敗信息 j)禁用或刪除FTP過濾
3、三、包過濾天網(wǎng)防火墻配置(可選)
1)安裝
解壓,單擊安裝文件SkynetPFW_Retail_Release_v2.77_Build1228.EXE 安裝按缺省的設(shè)置安裝,注:破解
A)將兩個文件[Cr-PFW.exe]和[PFW.bak]一起復(fù)制到軟件安裝目錄中
B)運(yùn)行破解補(bǔ)丁[Cr-PFW.exe],覆蓋原主程序即可 2)熟悉防火墻規(guī)則
啟動防火墻并‖單擊自定義規(guī)則‖如圖
熟悉規(guī)則的設(shè)置:
雙擊如下選項:
“允許自己用ping命令探測其他機(jī)器 “防止別人用ping命令探測”
“禁止互聯(lián)網(wǎng)上的機(jī)器使用我的共享資源” “防止互聯(lián)網(wǎng)上的機(jī)器探測機(jī)器名稱”等選項,熟悉其中的IP地址、方向,協(xié)議類型、端口號、控制位等項的設(shè)置。試總結(jié)規(guī)則設(shè)置的順序,3)增加設(shè)置防火墻規(guī)則
開放部分自己需要的端口。下圖為對話框,各部分說明:
A)新建IP規(guī)則的說明部分,可以取有代表性的名字,如―打開BT6881-6889端口‖,說明詳細(xì)點(diǎn)也可以。還有數(shù)據(jù)包方向的選擇,分為接收,發(fā)送,接收和發(fā)送三種,可以根據(jù)具體情況決定。
B)就是對方IP地址,分為任何地址,局域網(wǎng)內(nèi)地址,指定地址,指定網(wǎng)絡(luò)地址四種。
C)IP規(guī)則使用的各種協(xié)議,有IP,TCP,UDP,ICMP,IGMP五種協(xié)議,可以根據(jù)具體情況選用并設(shè)置,如開放IP地址的是IP協(xié)議,QQ使用的是UDP協(xié)議等。D)比較關(guān)鍵,就是決定你設(shè)置上面規(guī)則是允許還是拒絕,在滿足條件時是通行還是攔截還是繼續(xù)下一規(guī)則,要不要記錄,具體看后面的實(shí)例。
試設(shè)置如下規(guī)則:
A)禁止局域網(wǎng)的某一臺主機(jī)和自己通信通信 B)禁止任何大于1023的目標(biāo)端口于本機(jī)連接,C)允許任何新來的TCP與主機(jī)192.168.0.1的SMTP連接 4)查看各個程序使用及監(jiān)聽端口的情況
可以查看什么程序使用了端口,使用哪個端口,是不是有可疑程序在使用網(wǎng)絡(luò)資源,如木馬程序,然后可以根據(jù)要求再自定義IP規(guī)則里封了某些端口以及禁止某些IP訪問自己的機(jī)子等等。
【實(shí)驗(yàn)原理】
1、說明包過濾放火墻的工作原理。
包過濾是所有防火墻中最核心的功能,與代理服務(wù)器相比,其優(yōu)勢是傳輸信息是時不占用網(wǎng)絡(luò)帶寬。包過濾防火墻根據(jù)一組過濾規(guī)則集,逐個檢查IP數(shù)據(jù)包,確定是否允許該數(shù)據(jù)包通過。
包過濾防火墻使用的過濾方法可分為:
1.簡單包過濾技術(shù)
簡單包過濾技術(shù)在檢查數(shù)據(jù)包報頭時,只是根據(jù)定以好的過濾規(guī)則集來檢查所有進(jìn)出防火墻的數(shù)據(jù)包報頭信息,并根據(jù)檢查結(jié)果允許或拒絕數(shù)據(jù)包,并不關(guān)心服務(wù)器和客戶機(jī)之間的連接狀態(tài)。
2.狀態(tài)檢測包過濾技術(shù)
狀態(tài)檢測包過濾防火墻除了有一個過濾規(guī)則集外,還要跟蹤通過自身的每一個連接,提取有關(guān)的通信和應(yīng)用程序的狀態(tài)信息,構(gòu)成當(dāng)前連接的狀態(tài)列表。該列表中至少包括源和目的IP地址、源和目的端口號、TCP序列號信息,以及與該特定會話相關(guān)的每條TCP/UDP連接的附加標(biāo)記。
實(shí)驗(yàn)四:入侵檢測系統(tǒng)安裝和使用
【實(shí)驗(yàn)?zāi)康摹?/p>
通過安裝并運(yùn)行一個snort系統(tǒng),了解入侵檢測系統(tǒng)的作用和功能
【實(shí)驗(yàn)內(nèi)容】
安裝并配置appahe,安裝并配置MySQL,安裝并配置snort;服務(wù)器端安裝配置php腳本,通過IE瀏覽器訪問IDS
【實(shí)驗(yàn)環(huán)境】
硬件 PC機(jī)一臺。
系統(tǒng)配置:操作系統(tǒng)windows XP以上。
【實(shí)驗(yàn)步驟】
1、安裝appache服務(wù)器
安裝的時候注意,本機(jī)的80 端口是否被占用,如果被占用則關(guān)閉占用端口的程序。選擇定制安裝,安裝路徑修改為c:apache 安裝程序會自動建立c:apache2 目錄,繼續(xù)以完成安裝。
添加Apache 對PHP 的支持
1)解壓縮php-5.2.6-Win32.zip至c:php 2)拷貝php5ts.dll文件到%systemroot%system32
3)拷貝php.ini-dist(修改文件名)至%systemroot%php.ini 修改php.ini
extension=php_gd2.dll
extension=php_mysql.dll
同時拷貝c:phpextension下的php_gd2.dll與php_mysql.dll 至%systemroot%
4)添加gd庫的支持在C:apacheApache2confhttpd.conf中添加: LoadModule php5_module “c:/php5/php5apache2.dll”
AddType application這一行下面加入下面兩行:
AddType application/x-httpd-php.php.phtml.php3.php4 AddType application/x-httpd-php-source.phps
5)添加好后,保存http.conf文件,并重新啟動apache服務(wù)器。現(xiàn)在可以測試php腳本:
在c:apache2htdocs 目錄下新建test.php
test.php 文件內(nèi)容:
〈?phpinfo();?〉
使用http://localhost/test.php 測試php 是否安裝成功
2、安裝配置snort
安裝程序WinPcap_4_0_2.exe;缺省安裝即可 安裝Snort_2_8_1_Installer.exe;缺省安裝即可
將snortrules-snapshot-CURRENT目錄下的所有文件復(fù)制(全選)到c:snort目錄下。將文件壓縮包中的snort.conf覆蓋C:Snortetcsnort.conf
3、安裝MySql配置mysql
解壓mysql-5.0.51b-win32.zip,并安裝。采取默認(rèn)安裝,注意設(shè)置root帳號和其密碼 J檢查是否已經(jīng)啟動mysql服務(wù) 在安裝目錄下運(yùn)行命令:(一般為c:mysqlbin)mysql-u root –p 輸入剛才設(shè)置的root密碼
運(yùn)行以下命令
c:>mysql-D mysql-u root-p < c:snort_mysql(需要將snort_mysql復(fù)制到c盤下,當(dāng)然也可以復(fù)制到其他目錄)運(yùn)行以下命令:
c:mysqlbinmysql-D snort-u root-p < c:snortschemascreate_mysql
c:mysqlbinmysql-D snort_archive-u root-p < c:snortschemascreate_mysql
4、安裝其他工具
1)安裝adodb,解壓縮adodb497.zip到c:phpadodb 目錄下
2)安裝jpgrapg 庫,解壓縮jpgraph-1.22.1.tar.gz到c:phpjpgraph,并且修改C:phpjpgraphsrcjpgraph.php,添加如下一行: DEFINE(“CACHE_DIR”,“/tmp/jpgraph_cache/”);
3)安裝acid,解壓縮acid-0.9.6b23.tar.gz 到c:apachehtdocsacid 目錄下,并將C:Apachehtdocsacidacid_conf.php文件的如下各行內(nèi)容修改為: $DBlib_path = “c:phpadodb”;$alert_dbname = “snort”;$alert_host = “l(fā)ocalhost”;$alert_port = “3306”;$alert_user = “acid”;
$alert_password = “acid”;
$archive_dbname = “snort_archive”;$archive_host = “l(fā)ocalhost”;$archive_port = “3306”;$archive_user = “acid”;
$archive_password = “acid”;
$ChartLib_path = “c:phpjpgraphsrc”;
4)、通過瀏覽器訪問http:/127.0.0.1/acid/acid_db_setup.php,在打開頁面中點(diǎn)取―Create ACID AG‖按鈕,讓系統(tǒng)自動在mysql中建立acid 運(yùn)行必須的數(shù)據(jù)庫
5、啟動snort 測試snort是否正常:
c:>snort-dev,能看到一只正在奔跑的小豬證明工作正常 查看本地網(wǎng)絡(luò)適配器編號: c:>snort-W 正式啟動snort;
snort-c “c:snortetcsnort.conf”-i 2-l “c:snortlogs”-deX(注意其中-i 后的參數(shù)為網(wǎng)卡編號,由snort –W 察看得知)這時通過http://localhost/acid/acid_main.php 可以察看入侵檢測的結(jié)果
4)利用掃描實(shí)驗(yàn)的要求掃描局域網(wǎng),查看檢測的結(jié)果
【實(shí)驗(yàn)原理】
1、簡單分析網(wǎng)絡(luò)入侵檢測snort的分析原理
1、..入侵檢測系統(tǒng)簡介
..入侵檢測系統(tǒng)通過對計算機(jī)網(wǎng)絡(luò)或計算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對其進(jìn)行分析,從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。入侵檢測被認(rèn)為是防火墻之后的第二道安全閘門,在不影響網(wǎng)絡(luò)性能的情況下能對網(wǎng)絡(luò)進(jìn)行監(jiān)測,從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時保護(hù)。
2、..入侵檢測系統(tǒng)的分類
..入侵檢測系統(tǒng)可分為主機(jī)型和網(wǎng)絡(luò)型..主機(jī)型入侵檢測系統(tǒng)往往以系統(tǒng)日志、應(yīng)用程序日志等作為數(shù)據(jù)源,當(dāng)然也可以通過其他手段(如監(jiān)督系統(tǒng)調(diào)用)從所在的主機(jī)收集信息進(jìn)行分析。主機(jī)型入侵檢測系統(tǒng)保護(hù)的一般是所在的系統(tǒng)。
..網(wǎng)絡(luò)型入侵檢測系統(tǒng)的數(shù)據(jù)源則是網(wǎng)絡(luò)上的數(shù)據(jù)包。往往將一臺機(jī)子的網(wǎng)卡設(shè)于混雜模式(promiscmode),監(jiān)聽所有本網(wǎng)段內(nèi)的數(shù)據(jù)包并進(jìn)行判斷。一般網(wǎng)絡(luò)型入侵檢測系統(tǒng)擔(dān)負(fù)著保護(hù)整個網(wǎng)段的任務(wù)。
3、..入侵檢測的實(shí)現(xiàn)技術(shù)..可分為兩類:一種基于標(biāo)志(signature-based),另一種基于異常情況(anomaly-based)。..對于基于標(biāo)識的檢測技術(shù)來說,首先要定義違背安全策略的事件的特征,如網(wǎng)絡(luò)數(shù)據(jù)包的某些頭信息。檢測主要判別這類特征是
否在所收集到的數(shù)據(jù)中出現(xiàn)。此方法非常類似殺毒軟件。
..而基于異常的檢測技術(shù)則是先定義一組系統(tǒng)“正常”情況的數(shù)值,如CPU利用率、內(nèi)存利用率、文件校驗(yàn)和等,然后將系統(tǒng)運(yùn)行時的
數(shù)值與所定義的“正常”情況比較,得出是否有被攻擊的跡象。這種檢測方式的核心在于如何定義所謂的“正常”情況。
4、..Snort
..Snort是一個免費(fèi)的、跨平臺的軟件包,用作監(jiān)視小型TCP/IP網(wǎng)的嗅探器、日志記錄、侵入探測器。
..Snort有三種主要模式:信息包嗅探器、信息包記錄器或成熟的侵入探測系統(tǒng)。..實(shí)驗(yàn)中涉及較多mysql數(shù)據(jù)庫服務(wù)器以及Snort規(guī)則的配置。其中mysql數(shù)據(jù)庫的配置要在Windows命令行方式下進(jìn)行。默認(rèn)的用戶 名為root,無密碼。連接命令如下:
mysql–h 主機(jī)地址–u 用戶名–p 用戶密碼
可通過數(shù)據(jù)庫管理命令創(chuàng)建、使用、刪除數(shù)據(jù)庫,以及創(chuàng)建、使用、刪除表。
..Snort的配置及使用也需在Windows命令行中進(jìn)行。要啟動snort需要指定配置文件和日志文件;配置文件包含了監(jiān)測規(guī)則、內(nèi)外網(wǎng)IP 范圍等。
5.Appach啟動動命令:
apache-k install | apache-k start
點(diǎn)擊咨詢 