第一篇:黑客演示网站挂马攻击案例
通过本案例可以学到:(1)了解网站挂马
(2)在网站首页利用IE漏洞挂马
网站挂马攻击主要是指入侵者在入侵成功后修改了网站的某一些或者全部的网页文件,如果网站存在SQL注入漏洞,则比较容易取得一定的权限。如果在服务器上对网站目录等做了较严格的权限限制,也是比较容易取得Webshell权限,具有Webshell权限可以对网页文件进行修改,而挂马就是在网页中加入一些代码。这些代码往往是利用浏览器或者应用程序的漏洞,浏览者在访问这些网页时,往往会在不知不觉中去下载一些木马程序来执行。网站挂马的原理就是设置框架网页的宽度和高度为0,将一些恶意网页隐藏起来,用户访问网站时不容易觉察。目前在网络上有很多网页木马生成器,简称“网马生成器”,本案例以“Ms-0733网马生成器”为例,来讲解如何进行网站挂马攻击。
步骤一 配置网页木马。在使用“Ms-0733网马生成器”配置前需要准备好一款已经配置好的木马服务端,然后直接运行“Ms-0733网马生成器”在网马地址中输入“http://127.0.0.0/test.exe”,如图1所示,然后单击“生成木马”即可生成一网页文件HACKLL.HTM。
图1配置Ms-0733网马生成器
步骤二 修改网站网页文件。在网站首页文件index.asp中加入已经配置好的网页木马htm文件,一般通过在页面中加入“ ”来实现,如图2所示。
图2加入木马代码到正常网页
网页木马利用的是IE浏览器存在的漏洞,其网页木马最本质的东西有两个一个是脚本,另外一个是真正的木马服务端,利用脚本来直接执行木马服务端或者通过下载者来下载木马服务端然后再执行。其网页木马文件中多是一些JavaScript代码,如图3所示。
图3网页木马源代码
测试网页木马是否能够正常执行。在未安装微软的MS0733补丁程序的虚拟机中打开浏览器,并在其中输入网页木马的地址,一会儿后,在控制端就看见肉鸡上线了。大量传播网页木马。网页木马测试成功以后,就可以将其配置好的网页木马放入一些提供Web服务的肉鸡上,只要访问者的系统未安装其网页木马利用的漏洞,如果系统未安装任何对网页木马进行防御的软件,则计算机感染网页木马的几率非常大。J技巧
直接在网站进行“挂马”攻击,被攻击的对象只能是存在安全漏洞的计算机,且攻击时间不宜太长,否则极易被杀毒软件查杀。小结
本案例讲解了如何来进行网站挂马攻击,网站挂马攻击相对简单,先配置好一个木马服务端,然后直接配置网马生成器,配置完毕后将木马服务端和网页木马文件一起上传到服务器上,通过将网页木马文件加入到正常的网页文件中,当用户访问这些被修改的网页时,系统就会自动下载木马程序并执行,从而达到攻击的目的。不过目前一些主动防御软件能够检网页木马,因此在进行网站挂马攻击时,需要对网页木马进行加密以及防查杀处理。
第二篇:浅谈现代信息技术之黑客攻击论文
浅谈现代信息技术之黑客攻击
作者:黄嘉翊 参考文献:百度,《黑客x档案》《黑客在线》 日期:2011/12/5 关键词:现代信息技术,网路,黑客攻击
信息技术已成为世界各国实现政治、经济、文化发展目标最重要的技术。信息技术包括感测技术、通信技术、计算机技术、控制技术等,其中通信技术、计算机技术是整个信息技术的核心部分,而感测技术与控制技术(Control)是信息技术核心部分联系外部世界的接口,国外又把信息技术称为三“C”技术。如今,信息技术已对人类社会生活的各个领域产生了广泛而深刻的影响。Intelnet也迅速成长为现代信息技术的主力军!
Internet的起源
Internet是在美国较早的军用计算机网ARPAnet的基础上经过不断发展变化而形成的。Internet的起源主要可分为以下几个阶段:·Internet的雏形形成阶段1969年,美国国防部研究计划管理局(ARPA--Advanced Resarch Projects Agency)开始建立一个命名为ARPANET的网络,当时建立这个网络的目的只是为了将美国的几个军事及研究用电脑主机连接起来,人们普遍认为这就是Internet的雏形。·Internet的商业化阶段90年代初,商业机构开始进入Internet,使Internet开始了商业化的新进程,也成为Internet大发展的强大推动力。1995年,NSFNET停止运作,Internet已彻底商业化了。这种把不同网络连接在一起的技术的出现,使计算机网络的发展进入一个新的时期,形成由网络实体相互连接而构成的超级计算机网络,人们把这种网络形态称Internet(互联网络)。
Internet的发展
随着商业网络和大量商业公司进入Internet,网上商业应用取得高速的发展,同时也使Internet能为用户提供更多的服务,使Internet迅速普及和发展起来。
现在Internet已发展为多元化,不仅仅单纯为科研服务,正逐步进入到日常生活的各个领域。近几年来,Internet在规模和结构上都有了很大的发展,已经发展成为一个名副其实的“全球网”。
网络的出现,改变了人们使用计算机的方式;而Internet的出现,又改变了人们使用网络的方式。Internet使计算机用户不再被局限于分散的计算机上,同时,也使他们脱离了特定网络的约束。任何人只要进入了Internet,就可以利用网络中和各种计算机上的丰富资源。
黑客攻击手段
有网路就有黑客,随着网络的发展黑客技术也似雨后春笋蓬勃发展!我们的信息安全和信息传输保障受到了严重的威胁与考验!黑客攻击手段可分为非破坏性攻击和破坏性攻击两类。非破坏性攻击一般是为了扰乱系统的运行,并不盗窃系统资料,通常采用拒绝服务攻击或信息炸弹;破坏性攻击是以侵入他人电脑系统、盗窃系统保密信息、破坏目标系统的数据为目的。下面为大家介绍4种黑客常用的攻击手段。
1、后门程序
由于程序员设计一些功能复杂的程序时,一般采用模块化的程序设计思想,将整个项目分割为多个功能模块,分别进行设计、调试,这时的后门就是一个模块的秘密入口。在程序开发阶段,后门便于测试、更改和增强模块功能。正常情况下,完成设计之后需要去掉各个模块的后门,不过有时由于疏忽或者其他原因(如将其留在程序中,便于日后访问、测试或维护)后门没有去掉,一些别有用心的人会利用穷举搜索法发现并利用这些后门,然后进入系统并发动攻击。
2、信息炸弹
信息炸弹是指使用一些特殊工具软件,短时间内向目标服务器发送大量超出系统负荷的信息,造成目标服务器超负荷、网络堵塞、系统崩溃的攻击手段。比如向未打补丁的 Windows 95系统发送特定组合的 UDP 数据包,会导致目标系统死机或重启;向某型号的路由器发送特定数据包致使路由器死机;向某人的电子邮件发送大量的垃圾邮件将此邮箱“撑爆”等。目前常见的信息炸弹有邮件炸弹、逻辑炸弹等。
3、拒绝服务
拒绝服务又叫分布式D.O.S攻击,它是使用超出被攻击目标处理能力的大量数据包消耗系统可用系统、带宽资源,最后致使网络服务瘫痪的一种攻击手段。作为攻击者,首先需要通过常规的黑客手段侵入并控制某个网站,然后在服务器上安装并启动一个可由攻击者发出的特殊指令来控制进程,攻击者把攻击对象的IP地址作为指令下达给进程的时候,这些进程就开始对目标主机发起攻击。这种方式可以集中大量的网络服务器带宽,对某个特定目标实施攻击,因而威力巨大,顷刻之间就可以使被攻击目标带宽资源耗尽,导致服务器瘫痪。比如1999年美国明尼苏达大学遭到的黑客攻击就属于这种方式。
4、网络监听
网络监听是一种监视网络状态、数据流以及网络上传输信息的管理工具,它可以将网络接口设置在监听模式,并且可以截获网上传输的信息,也就是说,当黑客登录网络主机并取得超级用户权限后,若要登录其他主机,使用网络监听可以有效地截获网上的数据,这是黑客使用最多的方法,但是,网络监听只能应用于物理上连接于同一网段的主机,通常被用做获取用户口令。
5、密码破解当然也是黑客常用的攻击手段之一。
历史上著名的黑客事件 1、1988年11月:罗伯特·塔潘·莫里斯 对阵 全球
罗 伯特·塔潘·莫里斯(Robert Tappan Morris)1988年成为康奈尔大学(Cornell University)的研究生,他研制出一种自我复制的蠕虫,并赋予它使命:确定互联网的规模(go out to determine the size of the internet)。事与愿违,蠕虫的复制无法控制,它感染了数千台电脑,造成了数百万美元的损失,并促使美国政府针对电脑创建了应急响应(create a emergency response for computers)。
由于意外的失误,莫里斯最终被指控违反计算机欺诈与滥用法案(Computer Fraud & Abuse Act),被判处1万美元罚金,及400小时社区服务。莫里斯的源代码存放于一个黑色3.5英寸软盘中,在波士顿科学博物馆(Boston Museum of Science)中进行展示。2、2009年7月:不知名 对阵 美国和韩国
在2009年7月的3天中,韩国大量日报、大型在线拍卖厂商、银行和韩国总统的网站,以及白宫和五角大楼的网站受到分布式拒绝服务的多轮攻击,逾16.6万台电脑受到影响。部分人士认为,朝鲜无线通讯部门利用Mydoom蠕虫病毒的后门,进行了这次攻击。但这一消息并未得到证实。3、1999年3月:大卫·史密斯 对阵 微软Word & Excel
大 卫·史密斯(David L.Smith)在1999年发布了一个计算机病毒。史密斯使用被盗的美国在线账号,向美国在线讨论组Alt.Sex发布了一个感染Melissa病毒的 Word文档。史密斯的病毒通过电子邮件传播,使得被感染电脑的邮件过载,导致像微软、英特尔、Lockheed Martin和Lucent Technologies等公司关闭了电邮网络。
这一事件造成8000万美元损失。由于释放病毒,史密斯面临10年监禁和5000美元罚金,史密斯最终仅服刑20个月。4、2009年8月 俄罗斯 对阵 博客主Cyxymu
由 于俄罗斯黑客进行的分布式拒绝服务攻击,拥有数亿用户的社交网站在2009年夏天经历了数小时的拥堵和中断服务,黑客声称其目的是为了让博客主 Cyxymu禁声。Facebook安全主管马克斯.凯利(Max Kelly)表示,这是针对Cyxymu通过多种方式同时进行攻击,以使别人不能跟他联系。5、1999年8月:乔纳森·詹姆斯 对阵 美国国防部
乔 纳森·詹姆斯(Jonathan James)是历史上最著名的电脑黑客,他在1999年入侵美国国防威胁降低局(Defense Threat Reduction Agency)的军用电脑,并获取了数千份机密信息、注册信息,以及控制国际空间站上生活环境的价值170万美元软件。
入侵被发现后,美国国家航空与宇宙航行局关闭了网络,并花费数千美元进行安全升级。詹姆斯在2007年自杀。6、2008年11月 无名人士 对阵 微软Windows
自2008年末,Conficker蠕虫病毒利用了微软操作系统中的大量漏洞。Conficker蠕虫病毒一旦控制被感染机器,它将大量电脑连接成可由病毒创造者控制的一个大型僵尸网络。自从首次被发现,Conficker蠕虫病毒已经感染了全球数百万电脑和商业网络。7、2000年2月 黑手党男孩 对阵 雅虎、CNN、eBay、戴尔和亚马逊 15 岁的迈克尔·凯尔(Michael Calce)-黑手党男孩(Mafiaboy)在2000年2月利用分布式拒绝服务攻击了雅虎,并随后攻击了CNN、eBay、戴尔和亚马逊等公司的服务 器。凯尔被加拿大警方逮捕,面临3年监禁,凯尔最终被判处在青少年拘留中心(juvenile detention center)8个月的监禁,并交纳250美元捐款。8、2008年1月:匿名 对阵 山达基教
黑 客利用分布式拒绝服务针对山达基教(Church of Scientology)的Scientology.org站点进行了攻击。黑客攻击的目的是:通过反向洗脑,来将民众从山达基教中解救出来。安全专家根 据对分布式攻击所派生的流量监测认为,攻击为中等规模攻击。安全专家指出,攻击并非是一或者二个人所为。9、2002年2月:艾德里安.拉莫 对阵《纽约时报》
在 此之前,无家可归的黑客-艾德里安.拉莫(Adrian Lamo)因从Kinko连锁店和星巴克咖啡馆攻击《纽约时报》等公司的服务器而名声大振。2002年2月拉莫入侵Grey Lady数据库,在一列Op-Ed投稿人中添加了自己的名字,并在Lexis-Nexis中搜索自己。
联邦调查局表示,Lexis-Nexis搜索共造成《纽约时报》30万美元损失,拉莫也面临15年监禁。拉莫最终被判缓刑2年,以家拘禁6个月,并处以6.5万美元罚金。10、1990年6月:凯文·鲍尔森 对阵 洛杉矶KIIS FM电台
凯 文·鲍尔森(Kevin Poulsen)是一位青年电话黑客。为了成为洛杉矶KIIS FM电台“周五赢辆保时捷”(Win a Porsche By Friday)节目的第102位获胜呼入者,鲍尔森攻击了电话线路。在随后几个月中,鲍尔森还对一位好莱坞女明星的电话进行窃听,并攻击了军队及美国联邦 调查局的电话。
联邦调查局指控鲍尔森犯有系列诈骗及洗钱罪。鲍尔森被判入狱51个 月,并被判为损坏的广播站支付5.6万美元罚金。鲍尔森同时被判三年禁止接触电脑。鲍尔森现在是连线杂志的记者,他还运营着博客Threat Level blog。Threat Level blog在今年6月6日首先报道了美国陆军情报分析员布拉德利·曼宁(Bradley Manning)是维基解密消息源的消息。
我心中的黑客
我个人也是一名黑客的fans,我也搭建过自己的服务器和个人网站,我研究过黑客的一些基础技术,比如说:DOS命令攻击,木马技术,网站注入攻击,暴力破解等。我个人对黑客的理解是“黑客就像一个喜欢足球的孩子!因为对其爱得深而为之疯狂!然而一名真的黑客不是搞破坏,而是和电脑谈恋爱,发现电脑的漏洞并试图修复它!”
我有一个梦想“有一天黑客也能被人接受,并发展成一种时尚的游戏,就像足球一样,让那些热爱它的人们可以在一起没有阻力的学习它和交流切磋技术!”
第三篇:攻击网站
如何攻击网站(图文)
说起流光、溯雪、乱刀,可以说是大名鼎鼎无人不知无人不晓,这些都是小榕哥的作品。每次一提起小榕哥来,我的崇拜景仰就如滔滔江水,连绵不绝~~~~(又来了!)让我们崇拜的小榕哥最新又发布了SQL注入工具,这回喜欢利用SQL注入入侵网站的黑友们有福了。小榕哥的工具就是强!偶用它来搞定我们本地的信息港,从寻找注入漏洞到注入攻击成功,通过准确计时,总共只用了3分还差40秒,呵呵,王者风范,就是强啊!不信吗?看看我的入侵过程吧。
一、下载榕哥的工具包是用来扫描某个站点中是否存在SQL注入漏洞的;“wed.exe”则是用来破解SQL注入用户名密码的。两个工具的使用都非常简单,结合起来,就可以完成从寻找注入点到注入攻击完成的整个过程。
二、寻找SQL注入点
小提示:在输入网址时,前面的“http://”;和最后面的“/”是必不可少的,否则将会提示无法进行扫描。
输入完毕后回车,即可开始进行扫描了。很快得到了扫描结果,可以看到这个网站中存在着很多SQL注入漏洞(如图2),我们随便挑其中一个来做试验,就挑“/rjz/sort.asp?classid=1”吧。
打开浏览器,在地
正想着手工注入会有多困难时,“wed.exe”程序已经开始了用户名和密码的破解。很快的,就得到了用户名和密码了——“admina”、“pbk&7*8r”(如图6)!天啦,这也太容易了吧!还不到一分钟呢
四、搜索隐藏的管理登录页面
重新回到刚才的软件下载页面中,任意点击了一个软件下载链接,哎呀?怎么可以随便下载的呢!不像以前碰到的收费网站,要输入用户名和密码才可以下载。看来这是免费下载的网站,我猜错了攻击对象,不过既然都来了,就看看有没有什么可利用的吧?
拿到了管理员的帐号,现在看来我们只有找到管理员登录管理的入口才行了。在网页上找遍了也没有看到什么管理员的入口链接,看来还是得让榕哥出手啦!
再次拿出“wis.exe”程序,这个程序除了可以扫描出网站中存在的所有SQL注入点外,还可以找到隐藏的管理员登录页面。在命令窗口中输入“wis.exe http://www.xiexiebang.com/rjz/sort.asp?classid=1/ /a”(如图7)。注意这里输入了一个隐藏的参数“/a”。
怎么会扫描不成功呢?呵呵,原来这是扫描注入点,当然不能成功了,管理员登录页面只可能隐藏在整个网站的某个路径下。于是输入“wis.exe http://www.xiexiebang.com/ /a”,对整个网站进行扫描。注意扫描语句中网址的格式。程序开始对网站中的登录页面进行扫描,在扫描过程中,找到的隐藏登录页面会在屏幕上以红色进行显示。很快就查找完了,在最后以列表显示在命令窗口中。可以看到列表中有多个以“/rjz/”开头的登录页面网址,包括“/rjz/gl/manage.asp”、“/rjz/gl/login.asp”、“/rjz/gl/admin1.asp”等。就挑“/rjz/gl/admin1.asp”吧,反正这些都是管理员登录的页面想用哪个都可以。
在浏览器中输入网址“ http://www.xiexiebang.com/rjz/gl/admin1.asp”,呵呵,出现了本来隐藏着的管理员登录页面(如图8)。输入用户名和密码,就进入到后台管理系统,进来了做些什么呢?当然不能搞破坏啦,看到有一个添加公告的地方,好啊,就在这儿给管理员留下一点小小的通知吧!
看看最后我更改过的主页,冰河洗剑的大名留在了信息港上(如图9),不过可没有破坏什么东西啊!我和网页管理员也是朋友,他会原谅我这个小小的玩笑吧!
第四篇:2010年上半年教育网网站挂马监测报告
2010年上半年教育网网站挂马监测分析报告
北京大学网络与信息安全实验室,中国教育和科研网紧急响应组,中国教育网体检中心
2010年7月
网站挂马近年来一直是国内互联网安全最严重的安全威胁之一,也对教育网网站构成了 现实普遍的危害。随着高考招生拉开帷幕,教育网网站,特别是高招网站,将成为广大考生 和家长频繁浏览的热门站点,也不可避免地成为恶意攻击者的关注目标。
北京大学网络与信息安全实验室(ercis.icst.pku.edu.cn)于去年完成了网站挂马监测平台 系统的研发,通过与中国教育网体检中心(页面。
图 14 224ay.htm网页木马攻击分发页面,包含反病毒软件识别机制
通过对iie.swf和fff.swf Flash文件的手工分析,我们发现该Flash文件是通过ActionScript 中判断Flash Player版本,并利用LoadMovie()函数进一步装载渗透攻击页面,但在我们固化
保全过程中,该页面已失效。av.htm页面内容如图 15,首先根据是否IE7,分别装载6.htm 和7.htm,并进一步输出nod.htm、real.htm和rising.htm。
图 15 av.htm网页木马攻击二级分发页面
6.htm页面内容如图 16,在页面中还通过SCRIPT外链引入了mp.js(页面内容如图 17),经过分析可知6.htm是未经混淆的“极风”漏洞渗透攻击代码,而所引入mp.js中的内容则 包含了一个用于对抗目前一些模拟分析环境(如开源的PHoneyC等)中应用的ActiceX控件 模拟机制的小伎俩,试图创建一个在系统中肯定不存在的“be”控件,而如果客户端环境告 知能够创建成功,则必然客户端环境中采用了ActiveX控件模拟机制(目前实现一般是对所 有环境中不存在ActiveX控件都返回创建成功的模拟对象,然后试图劫持获取进一步的方法 调用和/或动态输出页面链接),而该段代码在创建不成功时才输出后面代码所依赖的一些变 量定义,如此,实现了ActiveX控件模拟机制的环境则无法正确地动态执行代码,从而对该 网马实施有效检测。
图 16 6.htm页面内容,分析可知是未进行混淆的“极风”漏洞渗透攻击代码
图 17 6.htm页面中包含mp.js内容,包含了对抗模拟插件机制
rising.htm页面及之后装载的ofnt.htm,以及ofnt.htm页面中包含的SCRIPT外链oopk.jpg 及uug.jpg的页面内容构成了对Office Web组件OWC10.SpreadSheet中内存破坏安全漏洞(MS09-043)的渗透攻击代码,代码采用了SetTimeout()函数延迟输出链接、将Script文件伪
装JPEG图片文件、通过复杂字符串计算组装Shellcode和ActiveX控件名称等技术手段,以 提升分析的难度。
图 18 rising.htm页面内容,尝试创建OWC10.Spreadsheet控件,并装载ofnt.htm页面
图 19 ofnt.htm页面内容,包含oopk.jpg和uug.jpg两段外链脚本
图 20 oopk.jpg页面中的Script代码,定义Shellcode等变量
图 21 uug.jpg页面中的Script代码,定义一些关键变量,并进行了混淆处理
该场景中还包括了针对联众GLIEDown.IEDown.1控件缓冲区溢出漏洞(BID: 29118,29446)的渗透攻击页面(nod.htm及lz.htm),以及针对Real Player软件IERPCtl.IERPCtl.1控件中缓冲
区溢出漏洞(CVE-2007-5601)的渗透攻击页面(real.htm及myra.htm)。
通过上述两个今年上半年在教育网网站上流行的网页木马攻击场景案例分析,我们可以 总结出目前网页木马攻击者已引入大量的技术手段和伎俩在和研究团队、产业界及政府相关 监管部门进行对抗,以躲避检测,并提升分析追踪的难度。对网页木马的监测与分析技术发 展、平台建设和相应的应急响应处置流程还需要持续地改进和完善,才能够有效地应对和处 置网页木马这种流行的安全威胁形态。
5.总结
北京大学网络与信息安全实验室、中国教育和科研网紧急响应组(CCERT)、中国教育网 体检中心合作开展对教育网中的网站挂马情况进行全网检测和态势分析,并为中国教育网体 检中心(www.xiexiebang.com)。通过2010年上半年教育网挂马监测数据结果分析,共检出来自425 个顶级域名的1,347个网站被挂马,上半年网站挂马率达到3.88%,这说明教育网网站的安 全状况仍不容乐观。希望高校网络安全管理部门和人员能够充分重视,对相关网站进行全面 检测和安全加固,积极预防,尽量避免网站挂马等安全事件的发生。
第五篇:防范黑客入侵攻击的主要方法分析小结
防范黑客入侵攻击的主要方法分析小结
网络管理人员应认真分析各种可能的入侵和攻击形式,制定符合实际需要的网络安全策略,防止可能从网络和系统内部或外部发起的攻击行为,重点防止那些来自具有敌意的国家、企事业单位、个人和内部恶意人员的攻击。防止入侵和攻击的主要技术措施包括访问控制技术、防火墙技术、入侵检测技术、安全扫描、安全审计和安全管理。
一、访问控制技术
访问控制是网络安全保护和防范的核心策略之一。访问控制的主要目的是确保网络资源不被非法访问和非法利用。访问控制技术所涉及内容较为广泛,包括网络登录控制、网络使用权限控制、目录级安全控制,以及属性安全控制等多种手段。
1.网络登录控制
网络登录控制是网络访问控制的第一道防线。通过网络登录控制可以限制用户对网络服务器的访问,或禁止用户登录,或限制用户只能在指定的工作站上进行登录,或限制用户登录到指定的服务器上,或限制用户只能在指定的时间登录网络等。
网络登录控制一般需要经过三个环节,一是验证用户身份,识别用户名;二是验证用户口令,确认用户身份;三是核查该用户账号的默认权限。在这三个环节中,只要其中一个环节出现异常,该用户就不能登录网络。其中,前两个环节是用户的身份认证过程,是较为重要的环节,用户应加强这个过程的安全保密性,特别是增强用户口令的保密性。用户可以使用一次性口令,或使用IC卡等安全方式来证明自己的身份。
网络登录控制是由网络管理员依据网络安全策略实施的。网络管理员可以随时建立或删除普通用户账号,可以控制和限制普通用户账号的活动范围、访问网络的时间和访问方式,并对登录过程进行必要的审计。对于试图非法登录网络的用户,一经发现立即报警。
2.网络使用权限控制
当用户成功登录网络后,就可以使用其所拥有的权限对网络资源(如目录、文件和相应设备等)进行访问。如果网络对用户的使用权限不能进行有效的控制,则可能导致用户的非法操作或误操作。网络使用权限控制就是针对可能出现的非法操作或误操作提出来的一种安全保护措施。通过网络使用权限控制可以规范和限制用户对网络资源的访问,允许用户访问的资源就开放给用户,不允许用户访问的资源一律加以控制和保护。
网络使用权限控制是通过访问控制表来实现的。在这个访问控制表中,规定了用户可以访问的网络资源,以及能够对这些资源进行的操作。根据网络使用权限,可以将网络用户分为三大类:一是系统管理员用户,负责网络系统的配置和管理;二是审计用户,负责网络系统的安全控制和资源使用情况的审计;三是普通用户,这是由系统管理员创建的用户,其网络使用权限是由系统管理员根据他们的实际需要授予的。系统管理员可随时更改普通用户的权限,或将其删除。
3.目录级安全控制
用户获得网络使用权限后,即可对相应的目录、文件或设备进行规定的访问。系统管理员为用户在目录级指定的权限对该目录下的所有文件、所有子目录及其子目录下的所有文件均有效。如果用户滥用权限,则会对这些目录、文件或设备等网络资源构成严重威胁。这时目录级安全控制和属性安全控制就可以防止用户滥用权限。
一般情况下,对目录和文件的访问权限包括系统管理员权限、读权限、写权限、创建权限、删除权限、修改权限、文件查找权限和访问控制权限。目录级安全控制可以限制用户对目录和文件的访问权限,进而保护目录和文件的安全,防止权限滥用。
4.属性安全控制
属性安全控制是通过给网络资源设置安全属性标记来实现的。当系统管理员给文件、目录和网络设备等资源设置访问属性后,用户对这些资源的访问将会受到一定的限制。
通常,属性安全控制可以限制用户对指定文件进行读、写、删除和执行等操作,可以限制用户查看目录或文件,可以将目录或文件隐藏、共享和设置成系统特性等。
5.服务器安全控制
网络允许在服务器控制台上执行一系列操作。用户使用控制台可以装载和卸载模块,可以安装和删除软件等。网络服务器的安全控制包括设置口令锁定服务器控制台,以防止非法用户修改、删除重要信息或破坏数据;设定服务器登录时间限制、非法访问者检测和关闭的时间间隔。
二、防火墙技术
防火墙是用来保护内部网络免受外部网络的恶意攻击和入侵,为防止计算机犯罪,将入侵者拒之门外的网络安全技术。防火墙是内部网络与外部网络的边界,它能够严密监视进出边界的数据包信息,能够阻挡入侵者,严格限制外部网络对内部网络的访问,也可有效地监视内部网络对外部网络的访问。
三、入侵检测技术
入侵检测技术是网络安全技术和信息技术结合的产物。使用入侵检测技术可以实时监视网络系统的某些区域,当这些区域受到攻击时,能够及时检测和立即响应。
入侵检测有动态和静态之分,动态检测用于预防和审计,静态检测用于恢复和评估。
四、安全扫描
安全扫描是对计算机系统或其他网络设备进行相关安全检测,以查找安全隐患和可能被攻击者利用的漏洞。从安全扫描的作用来看,它既是保证计算机系统和网络安全必不可少的技术方法,也是攻击者攻击系统的技术手段之一,系统管理员运用安全扫描技术可以排除隐患,防止攻击者入侵,而攻击者则利用安全扫描来寻找入侵系统和网络的机会。
安全扫描分主动式和被动式两种。主动式安全扫描是基于网络的,主要通过模拟攻击行为记录系统反应来发现网络中存在的漏洞,这种扫描称为网络安全扫描;而被动式安全扫描是基于主机的,主要通过检查系统中不合适的设置、脆弱性口令,以及其他同安全规则相抵触的对象来发现系统中存在的安全隐患,这种扫描称为系统安全扫描。
安全扫描所涉及的检测技术主要有以下四种:
(1)基于应用的检测技术。它采用被动的、非破坏性的办法检查应用软件包的设置,发现安全漏洞。
(2)基于主机的检测技术。它采用被动的、非破坏性的办法对系统进行检测。通常,它涉及系统的内核,文件的属性,操作系统的补丁等问题。
这种技术还包括口令解密,把一些简单的口令剔除。因此,这种技术可以非常准确地定位系统的问题,发现系统的漏洞。它的缺点是与平台相关,升级复杂。
(3)基于目标的漏洞检测技术。它采用被动的、非破坏性的办法检查系统属性和文件属性,如数据库、注册号等。通过消息摘要算法,对文件的加密数进行检验。这种技术的实现是运行在一个闭环上,不断地处理文件、系统目标、系统目标属性,然后产生检验数,把这些检验数同原来的检验数相比较。一旦发现改变就通知管理员。
(4)基于网络的检测技术,它采用积极的、非破坏性的办法来检验系统是否有可能被攻击而崩溃。它利用了一系列的脚本模拟对系统进行攻击的行为,然后对结果进行分析。它还针对已知的网络漏洞进行检验。网络检测技术常被用来进行穿透实验和安全审计。这种技术可以发现一系列平台的漏洞,也容易安装。但是,它可能会影响网络的性能。
安全扫描技术正逐渐向模块化和专家系统两个方向发展。
在模块化方面,整个安全扫描系统由若干个插件组成,每个插件封装一个或多个漏洞扫描方法,主扫描过程通过调用插件的方法来执行扫描任务。系统更新时,只需添加新的插件就可增加新的扫描功能。另外,由于插件的规范化和标准化,使得安全扫描系统具有较强的灵活性、扩展性和可维护性。
在专家系统方面,安全扫描能够对扫描结果进行整理,形成报表,同时可针对具体漏洞提出相应的解决办法。随着安全扫描技术的发展,希望安全扫描系统能够对网络状况进行整体评估,并提出针对整个网络的安全解决方案。未来的系统,不仅仅是一个漏洞扫描工具,还应该是一个安全评估专家。
五、安全审计
安全审计是在网络中模拟社会活动的监察机构,对网络系统的活动进行监视、记录并提出安全意见和建议的一种机制。利用安全审计可以有针对性地对网络运行状态和过程进行记录、跟踪和审查。通过安全审计不仅可以对网络风险进行有效评估,还可以为制定合理的安全策略和加强安全管理提供决策依据,使网络系统能够及时调整对策。
在网络安全整体解决方案日益流行的今天,安全审计是网络安全体系中的一个重要环节。网络用户对网络系统中的安全设备、网络设备、应用系统及系统运行状况进行全面的监测、分析、评估,是保障网络安全的重要手段。
计算机网络安全审计主要包括对操作系统、数据库、Web、邮件系统、网络设备和防火墙等项目的安全审计,以及加强安全教育,增强安全责任意识。
网络安全是动态的,对已经建立的系统,如果没有实时的、集中的可视化审计,就不能及时评估系统的安全性和发现系统中存在的安全隐患。
目前,网络安全审计系统包含的主要功能和所涉及的共性问题如下:
1.网络安全审计系统的主要功能
(1)采集多种类型的日志数据。能够采集各种操作系统、防火墙系统、入侵检测系统、网络交换机、路由设备、各种服务及应用系统的日志信息。
(2)日志管理。能够自动收集多种格式的日志信息并将其转换为统一的日志格式,便于对各种复杂日志信息的统一管理与处理。
(3)日志查询。能以多种方式查询网络中的日志信息,并以报表形式显示。
(4)入侵检测。使用多种内置的相关性规则,对分布在网络中的设备产生的日志及报警信息进行相关性分析,从而检测出单个系统难以发现的安全事件。
(5)自动生成安全分析报告。根据日志数据库记录的日志信息,分析网络或系统的安全性,并向管理员提交安全性分析报告。
(6)网络状态实时监视。可以监视运行有代理的特定设备的状态、网络设备、日志内容、网络行为等情况。
(7)事件响应机制。当安全审计系统检测到安全事件时,能够及时响应和自动报警。
(8)集中管理。安全审计系统可利用统一的管理平台,实现对日志代理、安全审计中心和日志数据库的集中管理。
2.网络安全审计系统所涉及的共性问题
(1)日志格式兼容问题。通常情况下,不同类型的设备或系统所产生的日志格式互不兼容,这为网络安全事件的集中分析带来了巨大难度。
(2)日志数据的管理问题。日志数据量非常大,不断地增长,当超出限制后,不能简单地丢弃。需要一套完整的备份、恢复、处理机制。
(3)日志数据的集中分析问题。一个攻击者可能同时对多个网络目标进行攻击,如果单个分析每个目标主机上的日志信息,不仅工作量大,而且很难发现攻击。如何将多个目标主机上的日志信息关联起来,从中发现攻击行为是安全审计系统所面临的重要问题。
(4)分析报告及统计报表的自动生成问题。网络中每天会产生大量的日志信息,巨大的工作量使得管理员手工查看并分析各种日志信息是不现实的。因此,提供一种直观的分析报告及统计报表的自动生成机制是十分必要的,它可以保证管理员能够及时和有效地发现网络中出现的各种异常状态。
六、安全管理
1.信息安全管理的内涵
根据我国计算机信息系统安全等级保护管理要求(GA/T 391—2002)中的描述,信息安全管理的内涵是对一个组织或机构中信息系统的生命周期全过程实施符合安全等级责任要求的科学管理,它包括:
(1)落实安全组织及安全管理人员,明确角色与职责,制定安全规划;
(2)开发安全策略;
(3)实施风险管理;
(4)制定业务持续性计划和灾难恢复计划;
(5)选择与实施安全措施;
(6)保证配置、变更的正确与安全;
(7)进行安全审计;
(8)保证维护支持;
(9)进行监控、检查,处理安全事件;
(10)安全意识与安全教育;
(11)人员安全管理。
一般意义上讲,安全管理就是指为实现信息安全的目标而采取的一系列管理制度和技术手段,包括安全检测、监控、响应和调整的全部控制过程。而对整个系统进行风险分析和评估是明确信息安全目标要求的重要手段。
2.信息安全管理的基本原则
需要明确指出的一点是:不论多么先进的安全技术,都只是实现信息安全管理的手段而已。信息安全源于有效的管理,要使先进的安全技术发挥较好的效果,就必须建立良好的信息安全管理体系,这是一个根本问题。一直以来人们(特别是高层领导者)总是认为信息安全是一个技术上的问题,并将信息安全管理的责任限制在技术人员身上,事实上这种观点和做法是十分错误的。
现在,信息已成为企业发展的重要资产,企业高层领导必须重视信息安全管理,必须参与信息安全管理工作,将信息安全管理视为现有管理措施的一个重要组成部分。
在我国,加强对信息安全工作的领导,建立、健全信息安全管理责任制,通常以谁主管谁负责、谁运营谁负责和谁使用谁负责为基本要求,坚持的总原则是:主要领导人负责原则;规范定级原则;依法行政原则;以人为本原则;适度安全原则;全面防范、突出重点原则;系统、动态原则;以及控制社会影响原则。而信息安全管理的主要策略是:分权制衡、最小特权、选用成熟技术和普遍参与。
3.信息安全管理的基本过程
安全管理是一个不断发展、不断修正的动态过程,贯穿于信息系统生命周期,涉及信息系统管理层面、物理层面、网络层面、操作系统层面、应用系统层面和运行层面的安全风险管理。在这些层面上的安全管理是保证信息系统安全技术、安全工程运行正确、安全、有效的基础。总的安全目标是防止国家秘密和单位敏感信息的失密、泄密和窃密,防止数据的非授权修改、丢失和破坏,防止系统能力的丧失、降低,防止欺骗,保证信息及系统的可信度和资产的安全。
点击咨询 