第一篇:军队如何应对网络安全
军队如何应对网络安全
正当人们怀着美伊在波斯湾是战是和的猜想进入2012年时,新型的战争——网络战硝烟的味道已经在东亚弥漫。
早在去年7月,美国就发布了首份《网络空间行动战略》,这份报告将网络空间上升到同陆、海、空、太空并列的“行动领域”,称将网络攻击视同“战争行为”。此外,包括英国、法国、俄罗斯、以色列、韩国等在内的国家纷纷表现出加强网络部队建设的立场。这表明网络战正在加剧。未来可能有一场网络武器库的竞赛。
据《科技日报》报道:近日,我国国防部发言人首度表示我军网络部队确实存在,称中国的网络安全防护还比较薄弱,网络部队着眼于提高网络防护。就在此前,美国政府也拟定了国际互联网安全计划,准备积极地与他国合作,使互联网更为安全。美国政府也首次提及,若面对危及国家安全的网络袭击,将不惜以军事力量反击。
一时之间,网络安全和网络部队再次被舆论推到风口浪尖。各国对网络空间的战略部署究竟意味着什么呢?《基于信息系统的网络作战》一书的作者、国防大学军事后勤与军事科技装备教研部教授李大光说道:由于具有无可比拟的辐射力和渗透力,网络必将成为世界各国军队建设的重要手段,成为塑造军队形象的主要手段和增强军队软实力的重要工具。
信息制控即是战争
未来学家托尔勒预言,谁掌握了信息,控制了网络,谁就将拥有整个世界。
网络作战的根本目的是通过对计算机网络信息处理层的破坏和保护,来降低敌方网络信息系统的使用效能,保护己方网络信息系统的正常运转,进而夺取和保持网络空间的控制权。
以计算机为核心的信息网络系统已经成为现代化军队的神经中枢,传感器网、指挥控制网、武器平台网等网络,将成为信息化战争的中心和重要依托。
美国是最早组建网络部队的国家,其前陆军参谋长沙利文上将说,信息时代的出现,将从根本上改变战争的进行方式。而很多年前,这样的改变就发生了。
在上世纪九十年代末的科索沃战争中,南联盟和俄罗斯的计算机高手就成功侵入美国白宫网站,致其瘫痪。与此同时,北约通信系统遭到病毒攻击,美国海军陆战队带有作战信息的邮件服务器几乎全部被阻塞,就连核动力航母“尼米兹”号的指挥控制系统也因黑客袭击而被迫中断3个多小时。
事实上,美国遭遇网络袭击并不是孤例。2010年8月23日,不明黑客袭击了俄联邦警卫局网站,造成众多内部文件在网上曝光数小时。据俄联邦安全局统计,自2005年以来,俄国家机关网站每年都会遭到近100万次网络攻击,其中针对总理普京官方网站的攻击更是高达12万起。
全球皆在网络战备
2009年,美军提出21世纪掌握制网络权与19世纪掌握制海权、20世纪掌握制空权一样具有决定意义。此后,《2009网络安全法》通过,该法案给予美国总统“宣布网络安全的紧急状态”的权力,允许“关闭或限制事关国家安全的重要信息网络”。2010年10月,美军网络司令部正式投入运行。
据了解,为了提高网络战能力,美军分别于2006年、2008年和2010年举行了三次“网络风暴”系列演习。尤其是“网络风暴Ⅲ”演习,是美军网络司令部成立后进行的首次跨部门大型演习,模拟了一些关键基础设施遭受大型网络攻击的情景,模拟事件多达1500起以上。
随着美国对“网络战”的积极部署,世界其他各国也做出了响应,纷纷跟进。截至2010年底,俄罗斯、日本、以色列、法国、德国、新加坡、印度和韩国等国家军队也都相继成立了自己的网络作战部队。甚至有研究指出,伊朗也拥有相当先进的网络战武器和攻击计划,包括对具体政府网站和基础设施发动网络攻击。
“网络战的行为主体更多可能是个体和组织层面,往往一个黑客就能发动一次网络攻击,控制起来很难。美国将之提升到国家战略层面的做法,必定会使得世界各国加入到竞争中来。”中国社会科学院美国研究所副所长倪峰分析。
其实,俄罗斯早在上世纪90年代初就设立了专门负责网络信息安全的信息安全委员会;1995年,俄宪法将信息安全纳入国家安全管理范畴;2002年《俄联邦信息安全学说》通过,将网络战提升到新的高度,称作未来的“第六代战争”。
“互联网由美国发明,主要供应商都在美国和少数几个西方国家。美国意识到网络安全的重要性,并希望通过强化自身的优势,继续掌握在网络空间上的主导权。”将网络作为新战略制高点的美国,想要再次制定游戏规则。
什么是第六代战争理论
“第六代战争”的理论最早由俄罗斯军事学者B·N·斯里普琴科提出。
按照斯里普琴科的理论,第一代战争是指以冷兵器进行的战争,它在人类原始社会结束后持续了3500年,是持续时间最长的一种战争形式。
第二代战争是火药发明后,出现滑膛武器为标志的。它持续了约600余年。
第三代战争是18世纪末以枪膛和炮膛中开始有了膛线为标志的。它大约持续了200年。
第四代战争是19世纪末至20世纪初,各种自动武器、装甲车辆、作战飞机和作战舰艇以及雷达和无线电通信器材的大量使用为标志的。这种战争一直持续到现在。前四代战争都有一个共同的特征,就是它们都是接触式战争,是以体力角逐或是以枪炮及各种作战平台在可视距离内进行的搏击。
与第四代战争同时代还出现了将原子核裂变产生的巨大能量用于军事,引发第五次军事革命,也标志着第五代战争即核时代战争的形成。
20世纪后期,人类高新技术的发展尤其是微电子技术的广泛应用,使军事领域中高精度武器大量出现,为第六代战争的诞生创造了条件。
网络战关乎生死存亡
一旦计算机网络遭到攻击并被摧毁,整个军队的战斗力就会大幅度降低甚至完全丧失,国家军事机器就会处于瘫痪状态,国家安全将受到严重威胁。
网络战怎么打?
网络战与其他作战一样,也包括进攻和防御两个方面。进攻包括体系破坏、信息误导、综合三种模式。通过发送电脑病毒等方法破坏敌电脑与网络系统,造成敌方指挥系统的瘫痪;向敌方网络传输虚假情报,对敌决策与指挥控制产生信息误导和流程误导;综合利用体系破坏和信息误导,对敌指挥控制系统造成多重杀伤。
在网络防御样式方面,主要包括电磁遮蔽、物理隔离、综合防护三种样式。通过各种技术手段,减小己方电磁辐射的强度,改变辐射的规律,从而保护己方信息系统的安全;采取各种手段,防止计算机病毒侵入己方网络;采取各种措施,加强对黑客攻击和新概念武器等的防护。
随着我国军队建设转型的推进和信息技术的发展,用于国防需要的计算机数量正在逐年增加,这对国防信息安全防护提出了更高的要求。我认为,从信息安全看,仅仅依靠相关政策、法规和保密技术是不够的,还必须大力开发自己实用且操作性能强的系统软件、应用软件,这是全面提高军队信息安全保密能力的有效途径。
据了解,海湾战争爆发前,美军就利用伊拉克为其防空系统购买电脑的机会,派人秘密将载有病毒的芯片置入电脑,通过法国卖给伊拉克。战略空袭前,以无线遥控的方法将隐蔽的病毒激活,致使伊拉克的预警指挥通讯和火力控制系统陷入瘫痪,战争刚刚开始就蒙受了巨大损失,真可谓“软刀子杀人不见血”。
为此,面对日趋严峻的网络安全形势,我们要将用于军队和国防建设需要的计算机与国际互联网实施物理隔绝,立足于国产设备,加强军用计算机的抗毁、抗干扰、抗电磁泄漏能力。要充分利用现代计算机技术,从芯片级着手开发自己的军队信息网络产品,做到军队专用。要对使用的硬件产品进行安全检测,未经安全检测的硬件产品不得使用,更不能进入军网投入运行。要在关键技术和重点防护手段上有所新突破,努力在关键芯片、核心器件、操作系统及专用生产线等方面实现自主创新发展。
近年来,外军都相继加大投入,采取自研软件技术,装备国产或者军队自制电脑。日本各个领域的网络泄密事件频发,就连机密信息最应得到保障的军事领域也不例外。应对越来越频繁和猖狂的黑客攻击,日军情报机构早已认识到互联网情报侦察的重要性。2000年10月22日,日防卫厅做出决定,在下一个中期防卫力量整备计划(2001—2005年度)中正式开始“电脑战——侵入敌方的电脑、破坏其指挥和通信系统、以造成敌方混乱”的研究。但2006年2月,日本各大媒体纷纷报道了日本海上自卫队朝雪号驱逐舰的机密情报在网上被曝光的新闻。此次事件被称为日本防卫史上最大的泄密灾难,其数量之大、细节之全、密级之高史无前例。调查发现,泄密的原因是日本防卫厅的工作人员擅自使用私人电脑存储秘密信息并接入互联网。日本防卫厅为此耗费40亿日元购入56000多台电脑,直接发给工作人员使用,同时禁止工作人员私购电脑处理公务。
他山之石可以攻玉。在当前网络安全局势日益严峻的今天,只有保持技术壁垒,研装自制电脑,才能确保平时网络安全,战时不遭攻击。
第二篇:电信网络安全应对策略解决方案[最终版]
电信网络安全应对策略解决方案
网络安全是一个涉及面广泛的问题。随着人们对网络依赖性的增强,电信网的安全性、可靠性与容灾能力越来越受到重视。虽然一开始,网络设计者就采用SDH恢复、双归属等技术来进行网络的冗余与备份,以提高电信业务的抗灾能力,但是由于灾难的不可预测性,如何做到未雨绸缪以及在紧急情况下迅速提供电信业务一直是人们关注的焦点。此外,随着WLAN、互联网和3G的广泛应用,下一代网络的安全性问题也日益受到重视。
一、网络安全涉及的内容
网络安全涉及的层面非常广,从网络到信息,从物理网络的保护到对各种病毒和网络攻击的预防,涉及IT行业的方方面面。一般来讲,网络安全可以简单分为以下几个层次。
1.电信网络的安全可靠性
电信网络的可靠性问题由来已久。传统上,电信网的可靠性一般分为两个方面,即预防网络故障的发生以及电信网络发生故障后的保护和恢复。目前随着通信协议在网络中的应用越来越广泛,通信协议的安全性也越来越重要,特别是在互联网的开放环境中,对通信协议的安全性要求更高。
预防网络故障的发生一般在网络规划和建设时就已经考虑,但仍然需要根据构成设备的可靠性来分析建成后系统的整体可靠性。
故障发生时的网络保护和恢复能力也是电信网络建设所考虑的重点,特别是随着传输设备的交叉连接能力的增强,为传输网络的故障恢复能力提供了重要保证。目前,IP网络的相关故障恢复主要发生在以下三个层次:光传输层、ATM层和IP层。其中,越是底层的网络,要求保护和恢复的时间越快、代价越高,也越不灵活。
2.互联网的安全可靠性
由于互联网是一种全球性、开放性、透明性的网络,是无边界的,任何团体或个人都可以在互联网上方便地传送或获取各种各样的信息。然而目前网络自身的安全保护能力有限,许多应用系统处于不设防或很少设防的状态,存在很多漏洞,而将来对网络的攻击不仅仅是已经出现的蠕虫、病毒和黑客攻击,还会有针对互联网基本机理的攻击,使关键的交换机、路由器和传输设备瘫痪。随着上网单位和网上信息的日益增多,网络与信息安全面临的挑战越来越大。
互联网协议构件的安全性问题也越来越严重,一方面与互联网协议本身有关,另一方面也与互联网的商业化进程密切相关,如目前由于互联网运营模式的变化,可能受到的攻击手段也在增加,特别是随着VoIP业务使得互联网和传统电信网互连,对传统电信网的信令系统也造成很大的威胁。因此对于互联网架构的安全性问题,一方面可以通过协议的安全性改进、实现的一致性、安全性问题标准化等措施来加强,另一方面则应尽量减少协议受攻击或者威胁的可能。
3.信息安全
网络安全与信息安全是休戚相关的,网络不安全,就谈不上信息安全;然而网络再安全,也不可能万无一失,所以还要加强信息自身的安全性。现在,基本上在网络硬件、网络操作系统、网络中的应用程序、数据安全和用户安全等五个层面上开展研究工作。除了常用的防火墙、代理服务器、安全过滤、用户证书、授权、访问控制、数据加密、安全审计和故障恢复等安全技术外,还要采取更多的措施来加强网络的安全,例如,针对现有路由器、交换机、边界网关协议(BGP)、域名系统(DNS)所存在的安全漏洞提出解决办法;迅速采用增强安全性的网络协议(特别是IPv6);对关键的网元、网站、数据中心设置真正的冗余、分集和保护;实时全面地观察和了解整个互联网的情况,对传送的信息内容负责,不盲目传递病毒或进行攻击;严格控制新技术和新系统,在找到和克服安全漏洞或者另加安全性之前不允许把它们匆忙推向市场。
目前就信息的安全性要求来说,一般强调五个要求,即信息的可用性、保密性、完整性、真实性和不可抵赖性。
二、电信行业在网络安全方面的经验
电信网络一般指有线、无线、卫星网络以及互联网等,电信网络所受到的威胁主要是恐怖袭击、自然灾难或类似情况。电信行业在安全方面的工作重点主要包括业务、网络和企业的安全可靠性。
对于电信行业来讲,安全隐患一般分为以下两种:
脆弱性(vulnerability):指通信网络设施的某些方面容易损坏或受到安全威胁的特性;
威胁:可能损害或危及网络安全的任何潜在因素。
1.通信设施主要安全问题及对策
通信设施的安全问题主要来自以下几个方面,运营商应该在问题发生之前采取预防措施,或在问题发生之后采取积极的补救措施。
(1)环境
包括建筑物、电缆沟槽、卫星轨道的空间、海缆沿途等环境。没有绝对安全的环境,要整体考虑环境安全计划,需要定期对环境进行评估和再评估,特殊环境需要特殊考虑。
(2)供电
包括电池、地线、电缆、保险丝、备用应急发电机和燃料。内部电力设施常常被忽略,需要持续检验电力系统是否有效,业务提供商和网络运营商要保证对重要的设备不间断供电,在发生自然灾难(如台风、地震)时,能够提供发电机的燃料供应和后备电源的使用。
(3)硬件
包括硬件架构、电子电路模块和电路板、金属件以及光缆、电缆、半导体芯片。关键网元的设备供应商应该对电子硬件进行测试,以确保兼容性、抗震性、耐压性、温度适应性等。
(4)软件
包括软件版本的物理储藏、开发与测试、版本控制与管理等。提供商应提供安全的软件传送方式。
(5)网络
包括节点的配置、多种网络与技术、同步、冗余、物理与逻辑的分集。业务提供商和网络运营商应该开发一套严密的程序,以评估和管理各种危险(如迂回路由、紧急状态快速反应)。
(6)负载
包括跨越网络设施传送的信息、业务量模型与统计、信息拦截侦听。网络运营商在设计网络时应该使潜在的信息拦截降到最小。
(7)人员
包括有意和无意的行为、限制、教育与培训、道德规范等。业务提供商与网络运营商应该考虑建立员工安全意识培训计划。
2.运营商对互联网采取的安全措施
互联网是未来的发展方向,也是安全隐患最大的地方。目前,互联网最常见的安全问题是病毒、蠕虫、拒绝服务攻击,网络受到的攻击越来越多。据美国计算机紧急响应小组协调中心(CERTCC)统计,1999~2002年间,每年网络受攻击数分别为9859、21756、52 658、86 000次,网络攻击愈演愈烈之势由此可见一斑。因此,运营商都在积极努力,以保证网络的正常运行。AT&T已经有七层安全协议来应对外部攻击,并且在其网络中枢构建了基于网络的主动式安全系统,可以进行细致深入的分析并能预见到各种攻击。
3.保护七号信令网
七号信令网络是电信网重要的控制系统,目前七号信令及其安全性越来越受到关注。FCC在调查造成网络瘫痪的因素时,专门对因七号信令而造成的事故进行了调查与研究。其2002年底的一份调查显示,由于七号信令而造成的网络故障有上升的趋势。几年前美国参议院司法委员会就提议运营商重视七号信令的安全,FBI国家基础设施保护中心(NIPC)也把此列为工作重点。
七号信令攻击具有以下一些共同的特点:
消息中带有非相邻信令节点的地址;
特定消息类型的量增加或异常;
特定消息类型的出现频次增加或异常;
消息集中在某链路或链路集上。
高质量的防卫将是一个多元的安全政策,最好的防卫是早期检测。运营商必须安装能够监控整个网络的设备,该设备必须能够实时地检测所有的信令消息并向中心地点报告这些情况,而且要能够对消息进行分析。
运营商应该认识到,对七号信令网络真正的攻击可能不只是简单的攻击,很可能是一个充分组织的复杂攻击,因此更要积极防范。
三、网络安全是NGN的重要内容
NGN指移动与固定运营商未来将拥有的能够提供一系列先进新业务的网络设施。在NGN中,网络安全是最重要的内容,也是亟待解决的问题。随着新技术特别是WLAN、IP分组网络、3G等的发展与应用,网络中的薄弱环节也越来越多。
1.WLAN
如今,WLAN的安全性成为一个突出的问题。随着WLAN的普遍实施,其安全性应该引起业界足够的重视。设备厂商在试图通过加密与认证等方式来减少一些安全隐患。
针对WLAN存在的安全问题,目前有四项主要的技术措施:802.1x认证协议、专门针对WLAN的安全体系标准802.11/802.11i、VPN和实现WLAN中用户隔离的虚拟局域网(VLAN)。这4项技术有的正在开发之中,有的又过于复杂,因此WLAN的安全问题在最近一段时间内难以得到彻底的解决。
2.基于IP的分组交换网
在过去的电信网络中,网络所受到的安全威胁比较典型,如毁坏PBX、恶意拨号等。而基于IP的分组交换网的安全问题将更加突出,并且与以往的安全问题相比有很大的不同。
人们使用VoIP或者MPLS来构筑VPN时,安全隐患将变大。因为人们在使用IP地址时会把自己“暴露”在大庭广众之中,这样就会面临电路交换网甚至ATM或者帧中继中从未有过的安全问题。你可以从公共域“看到”别人,别人也可以采用标准的攻击形式轻而易举地破坏路由表。例如,攻击一个交换机并非易事,但是攻击一个实施了MPLS的交换设备却方便得多,因为可以从内部网看到它所拥有的IP地址。如果有人进到内部网,就可以接入到交换机,从而带来更大的安全隐患。
3.3G
3G电话更易受到攻击。在2.5G网络中,IP地址是在基站,黑客必须先攻击基站才能攻击到电话,而基站一般都有保护措施。然而在3G网络中,IP地址实际上是在电话中,黑客可以直接攻击电话。因此,3G在安全性方面与2.5G或者i-mode相比有很大的弱点。
四、结语
随着技术的发展,电信网络涵盖的范围越来越广,以前单
一、封闭的网络正在向开放多样的网络演进,因此电信行业面临的安全问题更加复杂、多样,保障电信网络和业务的安全面临着更加严峻的形势。由于电信网络是人们向信息社会迈进的基石,与人们的工作、生活息息相关,因此无论政府、运营商还是用户,都应该更多地关心电信网络的安全问题。
第三篇:网络安全的主要威胁及应对方法
网络安全的主要威胁及应对方法
当今世界信息化建设飞速发展,尤其以通信、计算机、网络为代表的互联网技术更是日新月异,令人眼花燎乱,目不睱接。由于互联网络的发展,计算机网络在政治、经济和生活的各个领域正在迅速普及,全社会对网络的依赖程度也变越来越高。但伴随着网络技术的发展和进步,网络信息安全问题已变得日益突出和重要。因此,了解网络面临的各种威胁,采取有力措施,防范和消除这些隐患,已成为保证网络信息安全的重点。
1、网络信息安全面临的主要威胁(1)黑客的恶意攻击
“黑客”(Hack)对于大家来说可能并不陌生,他们是一群利用自己的技术专长专门攻击网站和计算机而不暴露身份的计算机用户,由于黑客技术逐渐被越来越多的人掌握和发展,目前世界上约有20多万个黑客网站,这些站点都介绍一些攻击方法和攻击软件的使用以及系统的一些漏洞,因而任何网络系统、站点都有遭受黑客攻击的可能。尤其是现在还缺乏针对网络犯罪卓有成效的反击和跟踪手段,使得黑客们善于隐蔽,攻击“杀伤力”强,这是网络安全的主要威胁[1]。而就目前网络技术的发展趋势来看,黑客攻击的方式也越来越多的采用了病毒进行破坏,它们采用的攻击和破坏方式多种多样,对没有网络安全防护设备(防火墙)的网站和系统(或防护级别较低)进行攻击和破坏,这给网络的安全防护带来了严峻的挑战。
(2)网络自身和管理存在欠缺
因特网的共享性和开放性使网上信息安全存在先天不足,因为其赖以生存的TCP/IP协议,缺乏相应的安全机制,而且因特网最初的设计考虑是该网不会因局部故障而影响信息的传输,基本没有考虑安全问题,因此它在安全防范、服务质量、带宽和方便性等方面存在滞后及不适应性。网络系统的严格管理是企业、组织及政府部门和用户免受攻击的重要措施。事实上,很多企业、机构及用户的网站或系统都疏于这方面的管理,没有制定严格的管理制度。据IT界企业团体ITAA的调查显示,美国90%的IT企业对黑客攻击准备不足。目前美国75%-85%的网站都抵挡不住黑客的攻击,约有75%的企业网上信息失窃。(3)软件设计的漏洞或“后门”而产生的问题
随着软件系统规模的不断增大,新的软件产品开发出来,系统中的安全漏洞或“后门”也不可避免的存在,比如我们常用的操作系统,无论是Windows还是
UNIX几乎都存在或多或少的安全漏洞,众多的各类服务器、浏览器、一些桌面软件等等都被发现过存在安全隐患。大家熟悉的一些病毒都是利用微软系统的漏洞给用户造成巨大损失,可以说任何一个软件系统都可能会因为程序员的一个疏忽、设计中的一个缺陷等原因而存在漏洞,不可能完美无缺。这也是网络安全的主要威胁之一。例如大名鼎鼎的“熊猫烧香”病毒,就是我国一名黑客针对微软Windows操作系统安全漏洞设计的计算机病毒,依靠互联网迅速蔓延开来,数以万计的计算机不幸先后“中招”,并且它已产生众多变种,还没有人准确统计出此次病毒在国内殃及的计算机的数量,它对社会造成的各种损失更是难以估计。目前透露的保守数据已表明,“熊猫烧香”是最近一段时间以来少有的、传播速度较快、危害性较强的一种病毒,其主要破坏特征有:导致安装有WindowsXP、Windows2000、WindowsServer2003等操作系统的受感染计算机的.exe文件全部无法正常打开、系统运行速度减慢、常用办公软件的部分功能失效等。此外,感染了此病毒的计算机,又会通过互联网自动扫描,寻找其他感染目标,最终在这名黑客提供病毒源码的情况下,才终止了此种病毒的继续传播。(4)恶意网站设置的陷阱
互联网世界的各类网站,有些网站恶意编制一些盗取他人信息的软件,并且可能隐藏在下载的信息中,只要登录或者下载网络的信息就会被其控制和感染病毒,计算机中的所有信息都会被自动盗走,该软件会长期存在你的计算机中,操作者并不知情,如现在非常流行的“木马”病毒。因此,上互联网应格外注意,不良网站和不安全网站万不可登录,否则后果不堪设想(5)用户网络内部工作人员的不良行为引起的安全问题
网络内部用户的误操作,资源滥用和恶意行为也有可能对网络的安全造成巨大的威胁。由于各行业,各单位现在都在建局域网,计算机使用频繁,但是由于单位管理制度不严,不能严格遵守行业内部关于信息安全的相关规定,都容易引起一系列安全问题。
2、北京联华中安信息技术有限公司专家对保证网络信息安全所采取的主要对策
2.1采取技术防护手段
1)信息加密技术。信息加密技术网络信息发展的关键问题是其安全性,因此,必须建立一套有效的包括信息加密技术、安全认证技术、安全交易议等内容的信息安全机制作为保证,来实现电子信息数据的机密性、完整性、不可否认性和交易者身份认证技术,防止信息被一些怀有不良用心的人窃取、破坏,甚至出现虚假信息。
美国国防部技术标准把操作系统安个等级分为Dl,Cl,C2,B1,B2,B3,A级,安
全等级由低到高。目前主要的操作系统等级为C2级,在使用C2级系统时,应尽量使用C2级的安个措施及功能,对操作系统进行安个配置。在极端重要的系统中,应采用B级操作系统。对军事涉密信息在网络中的存储和传输可以使用传统的信息加密技术和新兴的信息隐藏技术来提供安全保证。在传发保存军事涉密信息的过程中,要用加密技术隐藏信息内容,还要用信息隐藏技术来隐藏信息的发送者、接收者甚至信息本身。通过隐藏术、数字水印、数据隐藏和数据嵌入、指纹等技术手段可以将秘密资料先隐藏到一般的文件中,然后再通过网络来传递,提高信息保密的可靠性。
2)安装防病毒软件和防火墙。在主机上安装防病毒软件,能对病毒进行定时或实时的病毒扫描及漏洞检测,变被动清毒为主动截杀,既能查杀未知病毒,又可对文件、邮件、内存、网页进行个而实时监控,发现异常情况及时处理。防火墙是硬件和软件的组合,它在内部网和外部网间建立起安全网关,过滤数据包,决定是否转发到目的地。它能够控制网络进出的信息流向,提供网络使用状况和流量的审计、隐藏内部IP地址及网络结构的细节。它还可以帮助内部系统进行有效的网络安全隔离,通过安全过滤规则严格控制外网用户非法访问,并只打开必须的服务,防范外部来的服务攻击。同时,防火墙可以控制内网用户访问外网时间,并通过设置IP地址与MAC地址绑定,防止IP地址欺骗。更重要的是,防火墙不但将大量的恶意攻击直接阻挡在外而,同时也屏蔽来自网络内部的不良行为。
3)使用路由器和虚拟专用网技术。路由器采用了密码算法和解密专用芯片,通过在路由器主板上增加加密模件来实现路由器信息和IP包的加密、身份鉴别和数据完整性验证、分布式密钥管理等功能。使用路由器可以实现单位内部网络与外部网络的互联、隔离、流量控制、网络和信息维护,也可以阻塞广播信息的传输,达到保护网络安全的目的。
2.2构建信息安全保密体系
1)信息安全保密的体系框架。该保密体系是以信息安全保密策略和机制为核心,以信息安全保密服务为支持,以标准规范、安全技术和组织管理体系为具体内容,最终形成能够满足信息安全保密需求的工作能力。
2)信息安全保密的服务支持体系。信息安全保密的服务支持体系,主要是由技术检查服务、调查取证服务、风险管理服务、系统测评服务、应急响应服务和咨询培训服务组成的。其中,风险管理服务必须贯穿到信息安全保密的整个工程中,要在信息系统和信息网络规划与建设的初期,就进行专业的安全风险评估与分析,并在系统或网络的运营管理过程中,经常性地开展保密风险评估工作,采取有效的措施控制风险,只有这样才能提高信息安全保密的效益和针对性,增
强系统或网络的安全可观性、可控性。其次,还要大力加强调查取证服务、应急响应服务和咨询培训服务的建设,对突发性的失泄密事件能够快速反应,同时尽可能提高信息系统、信息网络管理人员的安全技能,以及他们的法规意识和防范意识,做到“事前有准备,事后有措施,事中有监察”。
加强信息安全保密服务的主要措施包括:借用安全评估服务帮助我们了解自身的安全性。通过安全扫描、渗透测试、问卷调查等方式对信息系统及网络的资产价值、存在的脆弱性和面临的威胁进行分析评估,确定失泄密风险的大小,并实施有效的安全风险控制。采用安全加固服务来增强信息系统的自身安全性。具体包括操作系统的安全修补、加固和优化;应用服务的安全修补、加固和优化;网络设备的安全修补、加固和优化;现有安全制度和策略的改进与完善等。部署专用安全系统及设备提升安全保护等级。运用安全控制服务增强信息系统及网络的安全可观性、可控性。通过部署面向终端、服务器和网络边界的安全控制系统,以及集中式的安全控制平台,增强对整个信息系统及网络的可观性,以及对使用网络的人员、网络中的设备及其所提供服务的可控性。加强安全保密教育培训来减少和避免失泄密事件的发生。加强信息安全基础知识及防护技能的培训,尤其是个人终端安全技术的培训,提高使用和管理人员的安全保密意识,以及检查入侵、查处失泄密事件的能力。采用安全通告服务来对窃密威胁提前预警。具体包括对紧急事件的通告,对安全漏洞和最新补丁的通告,对最新防护技术及措施的通告,对国家、军队的安全保密政策法规和安全标准的通告等。
3)信息安全保密的标准规范体系。信息安全保密的标准规范体系,主要是由国家和军队相关安全技术标准构成的。这些技术标准和规范涉及到物理场所、电磁环境、通信、计算机、网络、数据等不同的对象,涵盖信息获取、存储、处理、传输、利用和销毁等整个生命周期。既有对信息载体的相关安全保密防护规定,也有对人员的管理和操作要求。因此,它们是设计信息安全保密解决方案,提供各种安全保密服务,检查与查处失泄密事件的准则和依据。各部门应该根据本单位信息系统、信息网络的安全保密需求,以及组织结构和使用维护人员的配置情况,制定相应的,操作性和针对性更强的技术和管理标准。
4)信息安全保密的技术防范体系。信息安全保密的技术防范体系,主要是由电磁防护技术、信息终端防护技术、通信安全技术、网络安全技术和其他安全技术组成的。这些技术措施的目的,是为了从信息系统和信息网络的不同层面保护信息的机密性、完整性、可用性、可控性和不可否认性,进而保障信息及信息系统的安全,提高信息系统和信息网络的抗攻击能力和安全可靠性。安全保密技术是随着信息技术、网络技术,以及各种入侵与攻击技术的发展不断完善和提高的,一些最新的安全防护技术,如可信计算技术、内网监控技术等,可以极大地
弥补传统安全防护手段存在的不足,这就为我们降低安全保密管理的难度和成本,提高信息系统和信息网络的安全可控性和可用性,奠定了技术基础。因此,信息安全保密的技术防范体系,是构建信息安全保密体系的一个重要组成部分,应该在资金到位和技术可行的情况下,尽可能采用最新的、先进的技术防护手段,这样才能有效抵御不断出现的安全威胁。
5)信息安全保密的管理保障体系。俗话说,信息安全是“三分靠技术,七分靠管理”。信息安全保密的管理保障体系,主要是从技术管理、制度管理、资产管理和风险管理等方面,加强安全保密管理的力度,使管理成为信息安全保密工作的重中之重。技术管理主要包括对泄密隐患的技术检查,对安全产品、系统的技术测评,对各种失泄密事件的技术取证;制度管理主要是指各种信息安全保密制度的制定、审查、监督执行与落实;资产管理主要包括涉密人员的管理,重要信息资产的备份恢复管理,涉密场所、计算机和网络的管理,涉密移动通信设备和存储设备的管理等;风险管理主要是指保密安全风险的评估与控制。
现有的安全管理,重在保密技术管理,而极大地忽视了保密风险管理,同时在制度管理和资产管理等方面也存在很多问题,要么是管理制度不健全,落实不到位;要么是一些重要的资产监管不利,这就给失窃密和遭受网络攻击带来了人为的隐患。加强安全管理,不但能改进和提高现有安全保密措施的效益,还能充分发挥人员的主动性和积极性,使信息安全保密工作从被动接受变成自觉履行。
6)信息安全保密的工作能力体系。将技术、管理与标准规范结合起来,以安全保密策略和服务为支持,就能合力形成信息安全保密工作的能力体系。该能力体系既是信息安全保密工作效益与效率的体现,也能反映出当前信息安全保密工作是否到位[10]。它以防护、检测、响应、恢复为核心,对信息安全保密的相关组织和个人进行工作考评,并通过标准化、流程化的方式加以持续改进,使信息安全保密能力随着信息化建设的进展不断提高。
3、结语
联华中安的专家认为当前网络信息安全技术发展迅速,但没有任一种解决方案可以防御所有危及信息安全的攻击,这是“矛”与“盾”的问题,需要不断吸取新的技术,取众家所长,才能使“盾”更坚,以防御不断锋利的“矛”。因此,要不断跟踪新技术,对所采用的信息安全技术进行升级完善,以确保相关利益不受侵犯。
第四篇:网络安全
一、当前网络安全形势日益严峻
1.网络安全问题已经成为困扰世界各国的全球性难题
在国际刑法界列举的现代社会新型犯罪排行榜上,计算机犯罪和网络侵权已名列榜首。无论是数量、手段,还是性质、规模,都出乎人们的意料。
2.我国网络防护起步晚、基础差,解决网络安全问题刻不容缓
我国网民数和宽带上网人数多。网络安全风险也无处不在,各种网络安全漏洞大量存在和不断被发现,计算机系统遭受病毒感染和破坏的情况相当严重,计算机病毒呈现出异常活跃的态势。面对网络安全的严峻形势,我国的网络安全保障工作尚处于起步阶段,基础薄弱,水平不高
3.企业用户防范意识淡薄,网络安全问题随处可见
二、主要应对措施
1.通信主管部门进一步加大行业监管力度,不断提升政府的管理职能和效率 一,发挥监管部门的主导作用,不断强化和充实管理职能。通信行业主管部门一方面认清网络安全的紧迫形势,采取有效措施,加大监管力度,二,尽快建立和完善与网络信息安全相关的规章制度。三,着眼建立与国际接轨的网络安全长效管理机制。网络安全攻击和防范技术都在高速发展。这就要求我们必须着眼建立与国际接轨的网络安全长效管理机制。四,组织企业及相关部门深入开展网络安全调研工作,及时研究、制定相关的管理措施和办法。
2.电信基础运营企业进一步强化责任意识
一,增强对网络安全重要性的认识。二,强化安全风险意识,坚持积极防御、综合防范的方针。努力用发展的办法、积极的措施解决网络安全问题,具备应对各种威胁和挑战的能力与手段,三,尽快建立健全行之有效的安全运行机制。四,不断创新网络安全防范技术,做到防患于未然。五,注重教育和培训,进一步提高网络人员的安全防护技能。
3.电信增值运营企业积极唱响文明办网的主旋律
1,明辨是非,积极倡导文明办网。2,营造积极向上、和谐文明的网上舆论氛围。营造健康文明的网络文化环境,清除不健康信息已成为社会的共同呼唤、家长的强烈要求、保障未成年人健康成长的迫切需要。3,强化行业自律,提高行业管理水平。各网站应在行业自律方面起到表率与带头作用,进一步健全、细化网站内部管理制度,规范操作流程和信息制作,强化监管、惩处机制。4,积极引导广大网民特别是青少年健康上网。4.动员社会一切力量,积极投入到营造和谐、安全、稳定的网络环境中来。
第五篇:网络安全实验报告
实验一:网络扫描实验
【实验目的】
了解扫描的基本原理,掌握基本方法,最终巩固主机安全
【实验内容】
1、学习使用Nmap的使用方法
2、学习使用漏洞扫描工具
【实验环境】
1、硬件 PC机一台。
2、系统配置:操作系统windows XP以上。
【实验步骤】
1、端口扫描
1)解压并安装ipscan15.zip,扫描本局域网内的主机 2)解压nmap-4.00-win32.zip,安装WinPcap
运行cmd.exe,熟悉nmap命令(详见“Nmap详解.mht”)。3)试图做以下扫描:
扫描局域网内存活主机,扫描某一台主机或某一个网段的开放端口 扫描目标主机的操作系统
试图使用Nmap的其他扫描方式,伪源地址、隐蔽扫描等
2、漏洞扫描
解压X-Scan-v3.3-cn.rar,运行程序xscan_gui.exe,将所有模块选择扫描,扫描本机,或局域网内某一台主机的漏洞
【实验背景知识】
1、扫描及漏洞扫描原理见
第四章黑客攻击技术.ppt
2、NMAP使用方法
扫描器是帮助你了解自己系统的绝佳助手。象Windows 2K/XP这样复杂的操作系统支持应用软件打开数百个端口与其他客户程序或服务器通信,端口扫描是检测服务器上运行了哪些服务和应用、向Internet或其他网络开放了哪些联系通道的一种办法,不仅速度快,而且效果也很不错。
Nmap被开发用于允许系统管理员察看一个大的网络系统有哪些主机以及其上运行何种服务。它支持多种协议的扫描如UDP,TCP connect(),TCP SYN(half open), ftp proxy(bounce attack),Reverse-ident, ICMP(ping sweep), FIN, ACK sweep,Xmas Tree, SYN sweep,1 和Null扫描。可以从SCAN TYPES一节中察看相关细节。Nmap还提供一些实用功能如通过tcp/ip来甄别操作系统类型、秘密扫描、动态延迟和重发、平行扫描、通过并行的PING侦测下属的主机、欺骗扫描、端口过滤探测、直接的RPC扫描、分布扫描、灵活的目标选择以及端口的描述。
1)安装Nmap
Nmap要用到一个称为―Windows包捕获库‖的驱动程序WinPcap——如果你经常从网上下载流媒体电影,可能已经熟悉这个驱动程序——某些流媒体电影的地址是加密的,侦测这些电影的真实地址就要用到WinPcap。WinPcap的作用是帮助调用程序(即这里的Nmap)捕获通过网卡传输的原始数据。WinPcap的最新版本在http://netgroup-serv.polito.it/winpcap,支持XP/2K/Me/9x全系列操作系统,下载得到的是一个执行文件,双击安装,一路确认使用默认设置就可以了,安装好之后需要重新启动。
接下来下载Nmap。下载好之后解开压缩,不需要安装。除了执行文件nmap.exe之外,它还有下列参考文档:
㈠ nmap-os-fingerprints:列出了500多种网络设备和操作系统的堆栈标识信息。
㈡ nmap-protocols:Nmap执行协议扫描的协议清单。
㈢ nmap-rpc:远程过程调用(RPC)服务清单,Nmap用它来确定在特定端口上监听的应用类型。
㈣ nmap-services:一个TCP/UDP服务的清单,Nmap用它来匹配服务名称和端口号。
除了命令行版本之外,www.xiexiebang.com还提供了一个带GUI的Nmap版本。和其他常见的Windows软件一样,GUI版本需要安装,图一就是GUI版Nmap的运行界面。GUI版的功能基本上和命令行版本一样,鉴于许多人更喜欢用命令行版本,本文后面的说明就以命令行版本为主。
图一
2)常用扫描类型
解开Nmap命令行版的压缩包之后,进入Windows的命令控制台,再转到安装Nmap 2 的目录(如果经常要用Nmap,最好把它的路径加入到PATH环境变量)。不带任何命令行参数运行Nmap,Nmap显示出命令语法,如图二所示。
图二
下面是Nmap支持的四种最基本的扫描方式:
⑴ TCP connect()端口扫描(-sT参数)。
⑵ TCP同步(SYN)端口扫描(-sS参数)。
⑶ UDP端口扫描(-sU参数)。
⑷ Ping扫描(-sP参数)。
如果要勾画一个网络的整体情况,Ping扫描和TCP SYN扫描最为实用。Ping扫描通过发送ICMP(Internet Control Message Protocol,Internet控制消息协议)回应请求数据包和TCP应答(Acknowledge,简写ACK)数据包,确定主机的状态,非常适合于检测指定网段内正在运行的主机数量。
TCP SYN扫描一下子不太好理解,但如果将它与TCP connect()扫描比较,就很容易看出这种扫描方式的特点。在TCP connect()扫描中,扫描器利用操作系统本身的系统调用打开一个完整的TCP连接——也就是说,扫描器打开了两个主机之间的完整握手过程(SYN,SYN-ACK,和ACK)。一次完整执行的握手过程表明远程主机端口是打开的。
TCP SYN扫描创建的是半打开的连接,它与TCP connect()扫描的不同之处在于,TCP SYN扫描发送的是复位(RST)标记而不是结束ACK标记(即,SYN,SYN-ACK,或RST):如果远程主机正在监听且端口是打开的,远程主机用SYN-ACK应答,Nmap发送一个RST;如果远程主机的端口是关闭的,它的应答将是RST,此时Nmap转入下一个端口。
图三是一次测试结果,很明显,TCP SYN扫描速度要超过TCP connect()扫描。采用默认计时选项,在LAN环境下扫描一个主机,Ping扫描耗时不到十秒,TCP SYN扫描需要大约十三秒,而TCP connect()扫描耗时最多,需要大约7分钟。
图三
Nmap支持丰富、灵活的命令行参数。例如,如果要扫描192.168.7网络,可以用192.168.7.x/24或192.168.7.0-255的形式指定IP地址范围。指定端口范围使用-p参数,如果不指定要扫描的端口,Nmap默认扫描从1到1024再加上nmap-services列出的端口。
如果要查看Nmap运行的详细过程,只要启用verbose模式,即加上-v参数,或者加上-vv参数获得更加详细的信息。例如,nmap-sS 192.168.7.1-255-p 20,21,53-110,30000--v命令,表示执行一次TCP SYN扫描,启用verbose模式,要扫描的网络是192.168.7,检测20、21、53到110以及30000以上的端口(指定端口清单时中间不要插入空格)。再举一个例子,nmap-sS 192.168.7.1/24-p 80扫描192.168.0子网,查找在80端口监听的服务器(通常是Web服务器)。
有些网络设备,例如路由器和网络打印机,可能禁用或过滤某些端口,禁止对该设备或跨越该设备的扫描。初步侦测网络情况时,-host_timeout<毫秒数>参数很有用,它表示超时时间,例如nmap sS host_timeout 10000 192.168.0.1命令规定超时时间是10000毫秒。
网络设备上被过滤掉的端口一般会大大延长侦测时间,设置超时参数有时可以显著降低扫描网络所需时间。Nmap会显示出哪些网络设备响应超时,这时你就可以对这些设备个别处理,保证大范围网络扫描的整体速度。当然,host_timeout到底可以节省多少扫描时间,最终还是由网络上被过滤的端口数量决定。
Nmap的手册(man文档)详细说明了命令行参数的用法(虽然man文档是针对UNIX版Nmap编写的,但同样提供了Win32版本的说明)。
3)注意事项
也许你对其他端口扫描器比较熟悉,但Nmap绝对值得一试。建议先用Nmap扫描一个熟悉的系统,感觉一下Nmap的基本运行模式,熟悉之后,再将扫描范围扩大到其他系统。首先扫描内部网络看看Nmap报告的结果,然后从一个外部IP地址扫描,注意防火墙、入侵检测系统(IDS)以及其他工具对扫描操作的反应。通常,TCP connect()会引起IDS系统的反应,但IDS不一定会记录俗称―半连接‖的TCP SYN扫描。最好将Nmap扫描网络的报告整理存档,以便随后参考。
如果你打算熟悉和使用Nmap,下面几点经验可能对你有帮助:
㈠ 避免误解。不要随意选择测试Nmap的扫描目标。许多单位把端口扫描视为恶意行为,所以测试Nmap最好在内部网络进行。如有必要,应该告诉同事你正在试验端口扫描,因为扫描可能引发IDS警报以及其他网络问题。
㈡ 关闭不必要的服务。根据Nmap提供的报告(同时考虑网络的安全要求),关闭不必要的服务,或者调整路由器的访问控制规则(ACL),禁用网络开放给外界的某些端口。
㈢ 建立安全基准。在Nmap的帮助下加固网络、搞清楚哪些系统和服务可能受到攻击之后,下一步是从这些已知的系统和服务出发建立一个安全基准,以后如果要启用新的服务或者服务器,就可以方便地根据这个安全基准执行。
【实验报告】
一、说明程序设计原理。
1.TCP connect扫描
利用TCP连接机制,通过系统提供的connect()调用,可以用来与任何一个感兴趣的目标计算机的端口进行连接。如果目标端口开放,则会响应扫描主机的ACK连接请求并建立连接,如果目标端口处于关闭状态,则目标主机会向扫描主机发送RST的响应。
2.TCP SYN扫描
扫描程序发送一个SYN数据包,好像准备打开一个实际的连接并等待反应一样。一个SYN/ACK的返回信息表示端口处于侦听状态,一个RST返回,表示端口没有处于侦听状态。
3.UDP端口扫描
扫描主机向一个未打开的UDP端口发送一个数据包时,会返回一个ICMP_PORT_UNREACH错误,通过这个就能判断哪个端口是关闭的。
4.Ping扫描
扫描程序向目标主机发送一个ICMP回声请求报文,若主机存活,则会返回一个ICMP的回声应答报文。可以判断主机的存活性。
二、提交运行测试结果。
1.TCP connec扫描结果显示
2.TCP SYN扫描结果显示
3.Ping扫描结果显示
实验二:计算机病毒及恶意代码
【实验目的】
练习木马程序安装和攻击过程,了解木马攻击原理,掌握手工查杀木马的基本方法,提高自己的安全意识。
【实验内容】
安装木马程序NetBus,通过冰刃iceberg、autoruns.exe了解木马的加载及隐藏技术
【实验步骤】
1、木马安装和使用
1)在菜单运行中输入cmd打开dos命令编辑器 2)安装netbus软件
3)在DOS命令窗口启动进程并设置密码
4)打开木马程序,连接别人主机
5)控制本地电脑打开学院网页
6)查看自己主机
7)查看任务管理器进程 移除木马控制程序进程
查看任务管理器(注意:Patch.exe进程已经关闭)
2、木马防御实验
在木马安装过程可以运行一下软件查看主机信息变化:
1)使用autoruns.exe软件,查看windows程序启动程序的位置,了解木马的自动加载技术。如自动运行进程(下图所示)、IE浏览器调运插件、任务计划等:
2)查看当前运行的进程,windows提供的任务管理器可以查看当前运行的进程,但其提供的信息不全面。利用第三方软件可以更清楚地了解当前运行进程的信息。这里procexp.exe为例
启动procexp.exe程序,查看当前运行进程所在位置,如图所示:
3)木马综合查杀练习
使用冰刃IceSword查看木马可能修改的位置: 主要进行以下练习:
1)查看当前通信进程开放的端口。
木马攻击
2)查看当前启动的服务
3)练习其他功能,如强制删除其他文件,SPI、内核模块等。
【背景知识】
NetBus由两部分组成:客户端程序(netbus.exe)和服务器端程序(通常文件名为:patch.exe)。要想―控制‖远程机器,必须先将服务器端程序安装到远程机器上--这一般是通过远程机器的主人无意中运行了带有NetBus的所谓特洛伊木马程序后完成的。
NetBus服务器端程序是放在Windows的系统目录中的,它会在Windows启动时自动启动。该程序的文件名是patch.exe,如果该程序通过一个名为whackamole.exe的游戏安装潜伏的话,文件名应为explore.exe(注意:不是explorer.exe!)或者简单地叫game.exe。同时,你可以检查Windows系统注册表,NetBus会在下面路径中加入其 自身的启动项:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun NetBus通过该注册项实现Windows启动时的自动启动。但如果你按Ctrl+Alt+Del,在任务列表中是看不到它的存在的。正确的去除方法如下:
1、运行regedit.exe;
2、找到
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun;
3、将patch项删除(或者explore项);
4、重新启动机器后删除Windows系统目录下的patch.exe(或者explore.exe)即可。
【实验原理】
1、分析木马传播、自启动、及隐藏的原理。
木马常用的隐藏技术: 3.1合并端口法
使用特殊的手段,在一个端口上同时绑定两个TCP 或者UDP 连接(比如80 端口的HTTP),以达到隐藏端口的目的。
3.2修改ICMP 头法
根据ICMP 协议进行数据的发送,原理是修改ICMP 头的构造,加入木马的控制字段。这样的木马具备很多新特点,如不占用端口、使用户难以发觉等。同时,使用ICMP 协议可以穿透一些防火墙,从而增加了防范的难度。
木马常用的自启动技术:
为了达到长期控制目标主机的目的,当主机重启之后必须让木马程序再次运行,这样就需要木马具有一定的自启动能力。下面介绍几种常见的方法。
3.3加载程序到启动组
我们需要关注“开始” 菜单中的启动项,对应的文件夹是c:Documents and Settings 用户名「开始」菜单 程序 启动。
3.4在注册表中加载自启动项
下面仅列举几个木马常用的自启动注册表项:
3.4.1 Run 注册表项
Run 是木马常用的自启动注册表项,位置在:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
3.4.2RunOnce 注册表项
RunOnce 也是木马常用的自启动注册表项,位置在:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurerntVersionRunOnce HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce 在Windows XP 系统中还有:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnceEx 此外,木马的自启动注册表项还有RunServices 注册表项、RunServicesOnce 注册表项、Winlogon 注册表项、Load 注册表项等。
3.5修改文件关联
以文本文件的“文件关联”为例,正常情况下,其对应的注册表项和项值分别为:HKEY_CLASSES_ROOTtxtfileshellopencommand与%SystemRoot%system32NOTEPAD.EXE%1但是某些木马在安装阶段将项值改为“木马程序路径 木马程序名称%l”的形式,这样,当用户打开任何一个文本文件时,就启动了木 马程序。
实验三:防火墙实验
【实验目的】
掌握个人防火墙的使用及规则的设置
【实验内容】
防火墙设置,规则的设置,检验防火墙的使用。
【实验环境】
1、硬件 PC机一台。
2、系统配置:操作系统windows XP以上。
【实验步骤】
(有两种可选方式,1、以天网防火墙为例,学习防火墙的规则设置,2、通过winroute防火墙学习使用规则设置,两者均需安装虚拟机)
1、虚拟机安装与配置
验证virtual PC是否安装在xp操作系统之上,如果没有安装,从获取相关软件并安装; 从教师机上获取windows 2000虚拟机硬盘
2、包过滤防火墙winroute配置(可选)
1)从教师机上获取winroute安装软件并放置在windows 2000上安装 2)安装默认方式进行安装,并按提示重启系统 3)登陆虚拟机,打开winroute 以管理员的身份登录,打开开始>WinRoute Pro>WinRoute Administration,输入IP地址或计算机名,以及WinRoute管理员帐号(默认为Admin)、密码(默认为空)
4)打开菜单
Setting>Advanced>Packet Filter 5)在Packet Filter对话框中,选中Any interface并展开 双击No Rule图标,打开Add Item对话框
在Protocol下拉列表框中选择ICMP,开始编辑规则
配置Destination:type为Host,IP Address为192.168.1.1(x为座位号)6)在ICMP Types中,选中All复选项 在Action区域,选择Drop项
在Log Packet区域选中Log into Window 其他各项均保持默认值,单击OK 单击OK,返回主窗口
7)合作伙伴间ping对方IP,应该没有任何响应
打开菜单View>Logs>Security Log ,详细查看日志记录
禁用或删除规则
8)用WinRoute控制某个特定主机的访问(选作)
要求学生在虚拟机安装ftp服务器。
a)打开WinRoute,打开菜单Settings>Advanced>Packet Filter选择,Outgoing标签 b)选择Any Interface并展开,双击No Rule,然后选择TCP协议
c)配置Destination 框:type为 Host,IP Address为192.168.1.2(2为合作伙伴座位号)d、在Source框中:端口范围选择Greater than(>),然后输入1024 e 以21端口作为 Destination Port值 f)在Action区域,选择Deny选项 g)选择Log into window选项 h)应用以上设置,返回主窗口
i)合作伙伴间互相建立到对方的FTP连接,观察失败信息 j)禁用或删除FTP过滤
3、三、包过滤天网防火墙配置(可选)
1)安装
解压,单击安装文件SkynetPFW_Retail_Release_v2.77_Build1228.EXE 安装按缺省的设置安装,注:破解
A)将两个文件[Cr-PFW.exe]和[PFW.bak]一起复制到软件安装目录中
B)运行破解补丁[Cr-PFW.exe],覆盖原主程序即可 2)熟悉防火墙规则
启动防火墙并‖单击自定义规则‖如图
熟悉规则的设置:
双击如下选项:
“允许自己用ping命令探测其他机器 “防止别人用ping命令探测”
“禁止互联网上的机器使用我的共享资源” “防止互联网上的机器探测机器名称”等选项,熟悉其中的IP地址、方向,协议类型、端口号、控制位等项的设置。试总结规则设置的顺序,3)增加设置防火墙规则
开放部分自己需要的端口。下图为对话框,各部分说明:
A)新建IP规则的说明部分,可以取有代表性的名字,如―打开BT6881-6889端口‖,说明详细点也可以。还有数据包方向的选择,分为接收,发送,接收和发送三种,可以根据具体情况决定。
B)就是对方IP地址,分为任何地址,局域网内地址,指定地址,指定网络地址四种。
C)IP规则使用的各种协议,有IP,TCP,UDP,ICMP,IGMP五种协议,可以根据具体情况选用并设置,如开放IP地址的是IP协议,QQ使用的是UDP协议等。D)比较关键,就是决定你设置上面规则是允许还是拒绝,在满足条件时是通行还是拦截还是继续下一规则,要不要记录,具体看后面的实例。
试设置如下规则:
A)禁止局域网的某一台主机和自己通信通信 B)禁止任何大于1023的目标端口于本机连接,C)允许任何新来的TCP与主机192.168.0.1的SMTP连接 4)查看各个程序使用及监听端口的情况
可以查看什么程序使用了端口,使用哪个端口,是不是有可疑程序在使用网络资源,如木马程序,然后可以根据要求再自定义IP规则里封了某些端口以及禁止某些IP访问自己的机子等等。
【实验原理】
1、说明包过滤放火墙的工作原理。
包过滤是所有防火墙中最核心的功能,与代理服务器相比,其优势是传输信息是时不占用网络带宽。包过滤防火墙根据一组过滤规则集,逐个检查IP数据包,确定是否允许该数据包通过。
包过滤防火墙使用的过滤方法可分为:
1.简单包过滤技术
简单包过滤技术在检查数据包报头时,只是根据定以好的过滤规则集来检查所有进出防火墙的数据包报头信息,并根据检查结果允许或拒绝数据包,并不关心服务器和客户机之间的连接状态。
2.状态检测包过滤技术
状态检测包过滤防火墙除了有一个过滤规则集外,还要跟踪通过自身的每一个连接,提取有关的通信和应用程序的状态信息,构成当前连接的状态列表。该列表中至少包括源和目的IP地址、源和目的端口号、TCP序列号信息,以及与该特定会话相关的每条TCP/UDP连接的附加标记。
实验四:入侵检测系统安装和使用
【实验目的】
通过安装并运行一个snort系统,了解入侵检测系统的作用和功能
【实验内容】
安装并配置appahe,安装并配置MySQL,安装并配置snort;服务器端安装配置php脚本,通过IE浏览器访问IDS
【实验环境】
硬件 PC机一台。
系统配置:操作系统windows XP以上。
【实验步骤】
1、安装appache服务器
安装的时候注意,本机的80 端口是否被占用,如果被占用则关闭占用端口的程序。选择定制安装,安装路径修改为c:apache 安装程序会自动建立c:apache2 目录,继续以完成安装。
添加Apache 对PHP 的支持
1)解压缩php-5.2.6-Win32.zip至c:php 2)拷贝php5ts.dll文件到%systemroot%system32
3)拷贝php.ini-dist(修改文件名)至%systemroot%php.ini 修改php.ini
extension=php_gd2.dll
extension=php_mysql.dll
同时拷贝c:phpextension下的php_gd2.dll与php_mysql.dll 至%systemroot%
4)添加gd库的支持在C:apacheApache2confhttpd.conf中添加: LoadModule php5_module “c:/php5/php5apache2.dll”
AddType application这一行下面加入下面两行:
AddType application/x-httpd-php.php.phtml.php3.php4 AddType application/x-httpd-php-source.phps
5)添加好后,保存http.conf文件,并重新启动apache服务器。现在可以测试php脚本:
在c:apache2htdocs 目录下新建test.php
test.php 文件内容:
〈?phpinfo();?〉
使用http://localhost/test.php 测试php 是否安装成功
2、安装配置snort
安装程序WinPcap_4_0_2.exe;缺省安装即可 安装Snort_2_8_1_Installer.exe;缺省安装即可
将snortrules-snapshot-CURRENT目录下的所有文件复制(全选)到c:snort目录下。将文件压缩包中的snort.conf覆盖C:Snortetcsnort.conf
3、安装MySql配置mysql
解压mysql-5.0.51b-win32.zip,并安装。采取默认安装,注意设置root帐号和其密码 J检查是否已经启动mysql服务 在安装目录下运行命令:(一般为c:mysqlbin)mysql-u root –p 输入刚才设置的root密码
运行以下命令
c:>mysql-D mysql-u root-p < c:snort_mysql(需要将snort_mysql复制到c盘下,当然也可以复制到其他目录)运行以下命令:
c:mysqlbinmysql-D snort-u root-p < c:snortschemascreate_mysql
c:mysqlbinmysql-D snort_archive-u root-p < c:snortschemascreate_mysql
4、安装其他工具
1)安装adodb,解压缩adodb497.zip到c:phpadodb 目录下
2)安装jpgrapg 库,解压缩jpgraph-1.22.1.tar.gz到c:phpjpgraph,并且修改C:phpjpgraphsrcjpgraph.php,添加如下一行: DEFINE(“CACHE_DIR”,“/tmp/jpgraph_cache/”);
3)安装acid,解压缩acid-0.9.6b23.tar.gz 到c:apachehtdocsacid 目录下,并将C:Apachehtdocsacidacid_conf.php文件的如下各行内容修改为: $DBlib_path = “c:phpadodb”;$alert_dbname = “snort”;$alert_host = “localhost”;$alert_port = “3306”;$alert_user = “acid”;
$alert_password = “acid”;
$archive_dbname = “snort_archive”;$archive_host = “localhost”;$archive_port = “3306”;$archive_user = “acid”;
$archive_password = “acid”;
$ChartLib_path = “c:phpjpgraphsrc”;
4)、通过浏览器访问http:/127.0.0.1/acid/acid_db_setup.php,在打开页面中点取―Create ACID AG‖按钮,让系统自动在mysql中建立acid 运行必须的数据库
5、启动snort 测试snort是否正常:
c:>snort-dev,能看到一只正在奔跑的小猪证明工作正常 查看本地网络适配器编号: c:>snort-W 正式启动snort;
snort-c “c:snortetcsnort.conf”-i 2-l “c:snortlogs”-deX(注意其中-i 后的参数为网卡编号,由snort –W 察看得知)这时通过http://localhost/acid/acid_main.php 可以察看入侵检测的结果
4)利用扫描实验的要求扫描局域网,查看检测的结果
【实验原理】
1、简单分析网络入侵检测snort的分析原理
1、..入侵检测系统简介
..入侵检测系统通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。
2、..入侵检测系统的分类
..入侵检测系统可分为主机型和网络型..主机型入侵检测系统往往以系统日志、应用程序日志等作为数据源,当然也可以通过其他手段(如监督系统调用)从所在的主机收集信息进行分析。主机型入侵检测系统保护的一般是所在的系统。
..网络型入侵检测系统的数据源则是网络上的数据包。往往将一台机子的网卡设于混杂模式(promiscmode),监听所有本网段内的数据包并进行判断。一般网络型入侵检测系统担负着保护整个网段的任务。
3、..入侵检测的实现技术..可分为两类:一种基于标志(signature-based),另一种基于异常情况(anomaly-based)。..对于基于标识的检测技术来说,首先要定义违背安全策略的事件的特征,如网络数据包的某些头信息。检测主要判别这类特征是
否在所收集到的数据中出现。此方法非常类似杀毒软件。
..而基于异常的检测技术则是先定义一组系统“正常”情况的数值,如CPU利用率、内存利用率、文件校验和等,然后将系统运行时的
数值与所定义的“正常”情况比较,得出是否有被攻击的迹象。这种检测方式的核心在于如何定义所谓的“正常”情况。
4、..Snort
..Snort是一个免费的、跨平台的软件包,用作监视小型TCP/IP网的嗅探器、日志记录、侵入探测器。
..Snort有三种主要模式:信息包嗅探器、信息包记录器或成熟的侵入探测系统。..实验中涉及较多mysql数据库服务器以及Snort规则的配置。其中mysql数据库的配置要在Windows命令行方式下进行。默认的用户 名为root,无密码。连接命令如下:
mysql–h 主机地址–u 用户名–p 用户密码
可通过数据库管理命令创建、使用、删除数据库,以及创建、使用、删除表。
..Snort的配置及使用也需在Windows命令行中进行。要启动snort需要指定配置文件和日志文件;配置文件包含了监测规则、内外网IP 范围等。
5.Appach启动动命令:
apache-k install | apache-k start
点击咨询 