时间:2023-09-22 17:04:51
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇网络攻防与安全渗透,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
中图分类号:TP393文献标识码:A文章编号:1009-3044(2012)12-2729-02
Security and Defense Technology in the Campus Network Research
CHENG Xi-jia
(Modern Educational Technology Center, Hunan Communication Polytechnic, Changsha 410004,China)
Abstract: At present, the domestic university basically have set up their own campus network, Campus network security is becoming more and more serious, Facing the external network not only attack, And may face from internal network of attack. Therefore, to establish a safe campus network defense system, is the current network managers need to solve the problems. This paper proposes an improved test method of attack, not only can monitor the network behavior, but also can effectively control the illegal network behavior.
Key words: network security; security defense; attack test
随着高校校园网络的建设使用,网络安全问题也随之而来,一般高校的网络管理人员都在网络和内网之间部署了防火墙,以免遭受来自外部网络的攻击。但是,防火墙并不能有效的防止来自内部网络的攻击,而往往某些大学生利用自己所学知识,出于一种好奇心理来发动来自内部网络的攻击,这些攻击令网络管理者们放不甚防,导致某些试卷或成绩被窃取或篡改,从而给学校的工作带来了很大的麻烦。因此,如何建立一套有效的校园网络安全防御体系,是值得高校网络管理者们研究和探讨的重要课题。
1校园网攻防试验技术分析
校园网攻防试验主要用来检测网络中是否存在安全问题,其试验步骤主要有预攻击探测、漏洞扫描和攻击、获取目标控制权、安装系统后门、继续渗透并获取机密信息、消灭踪迹。校园网攻防试验技术主要可以从以下几个方面来在着手:预攻击探测技术分析、漏洞扫描技术分析以及一些常见的网络攻击技术分析。预攻击探测技术分析可以通过对端口扫描、操作系统识别技术以及资源扫描与查找技术等几个方面来完成;漏洞扫描技术分析可以通过口令破解技术、网络嗅探技术以及漏洞扫描技术预防等来实现;常见的网络攻击技术分析可以通过对木马攻击、Dos攻击以及欺骗攻击来实现。
2校园网攻防试验策略研究
目前的攻防试验方法主要有两种,一种是在系统开发之前,实验者比较熟悉用户的使用环境,设计者可以针对用户的使用环境来进行开发,如校园网络的攻防试验;另一种是实验者除了知道攻防试验的大致范围以外并不知道其他参数,需要通过攻防试验来收集信息,并通过对这些信息的分析,得出有价值的结论。这两种方法都存在各自的不足之处,在此基础上,我们提出了一种改进的攻防试验方法,这种方法通过网络攻防试验的层次来进行划分,主要分为外部网络攻防、内部网络攻防以及网间网络攻防等几个方面。外部网络攻防主要是指实验者通过互联网来对试验的网络发动攻击,其中主要包含防火墙试验攻击、网络设备的攻击、网络应用子系统的攻击以及用户的口令安全性测试等方面,通过试验发现网络中的一些漏洞并进行弥补,提高网络的安全性能。在内部网络攻防试验中,可以模拟两种攻击者的身份,一种是外部网络攻击成功后的攻击者,另一种是来自内部网络的成员。这样既可以检验外部攻击者进入内部网络的安全性能,又可以来自内部网络成员对网络的安全威胁。网间网络攻防主要用来试验一个大型的网络,大型网络通常都会利用路由器或交换机等网络设备,来将网络划分为多个子网,网间网络攻防通过使用某个网络段来发动对其他网络段或整个网络的攻击,通过试验来对网络间连接设备进行安全评估。
3校园网络监控系统的设计
3.1系统的拓扑结构设计
本系统所在的计算机需要安装两块网卡,一块连接中心交换机的镜像端口,负责捕获网络数据包;另一块接入校园网,负责发送网络数据包。其物理拓扑结构如图1。
图1系统的拓扑结构
3.2系统的逻辑结构设计
本系统的逻辑结构主要包含内核驱动程序和用户界面,内核驱动程序主要捕获数据包,并将捕获后的数据包进行分析,然后进行发送并写入数据库,用户界面主要完成一些可视化的基本操作。本系统在连接镜像端口后,监测网络中的数据包,INC微端口程序在获取数据包后进行分析处理,然后发送到中间层驱动程序。接下来是比较数据包与设定的访问规则,如果认为数据包是非法的,就马上伪造一个RST应答信息,然后传入到校园网络中。
3.3内核子系统设计
内核子系统是整个系统的核心部分,主要分为五个模块:数据包捕获模块、协议分析模块与访问规则比较模块、伪造数据包模块、伪造包发送模块、用户层子系统模块。系统的中间层驱动程序框架如图2。
图2系统的中间层驱动程序框架
数据包捕获模块主要完成对网络中数据包的捕获,并将其存入数据包的缓存区中,提供给其他模块来处理,此模块中需要构建封包描叙符链表,以便对到达的数据包进行封包;协议分析模块与访问规则比较模块,主要来完成对捕获的数据进行协议分析和归类,并判断数据包的合法性,在设计此模块时,考虑到网络中数据包的流量比较大,可以采用多线程设计;伪造数据包模块主要用来伪造数据包,当在规则对比模块中发现有非法数据包时,需要对该数据包修改后重新打包,通过分析数据帧的首部,伪造数据包信息,重新打包后发送到网络当中;伪造包发送模块主要用来对伪造的数据包进行发送,在本系统中设计了两块网卡,其中一块是连接交换机镜像端口,用来捕获数据包;另一块是连接校园网,用来发送数据包。系统在找到发送的网卡后,获取发送数据的控制权,将数据包发送到网络中,发送成功后释放该数据包的发送资源。用户层子系统模块主要用来读取捕获的数据包,并设置访问规则以及察看数据包等功能。主要由五个部分组成:数据包的读取、将数据包写入数据库、设置用户端访问规则、设置内核访问规则以及设计用户界面模块。
4总结
随着网络技术的不断发展,网络安全面临的威胁也在日益增加。随着当前高校校园网的广泛应用,在学习和工作方面带来便利的同时,也存在着很大的风险,如果校园网一旦被攻破,将带来非常严重的后果,例如考试成绩将被篡改,考试试卷将泄漏等。所以,对高校校园网络的管理者们提出更高的要求,如何建立一套有效的校园网络安全防御体系,将是值得网络管理者们研究和探讨的重要课题。
参考文献:
[1]陈训逊,方滨兴,胡铭曾.一个网络信息内容安全的新领域——网络信息渗透检测技术[J].通信学报,2008(7).
[2]许治坤,王伟,郭添森,等.网络攻防技术[M].北京:电子工业出版社.2008.
[3]王彬,吴渝,王国撤.基于防火墙穿透技术Firewalking的安全探测系统[J].计算机应用研究,2011(2).
关键词:计算机网络;五位一体;人才培养
计算机网络产业作为我国的基础性和战略性产业,在促进国家经济发展和社会信息化中具有举足轻重的地位。计算机网络专业的学生作为未来计算机网络产业发展的主体力量,其培养非常关键。基于学生、教师和学校管理层面的积极参与,广东外语外贸大学提出“五位一体”的培养思路和方法,经过多年的实践,形成特色鲜明的计算机网络创新人才培养模式。
1 “五位一体”人才培养模式的理念与内涵
“五位一体”是指由理论与实验教学、组建学生团队、参与教师课题、参加学术竞赛和资格认证考试等多种培养方式构成的一个立体化人才培养模式。多阶段、多层次的学习与实践,一方面使学生融会贯通所学到的知识,从被动填充式的学习转变为主动探索性的学习;另一方面对学生的分析能力、实践能力、创新能力以及解决实际问题的能力进行全方位训练,以激发学生的创新能力并将其很好地展现出来。
1)理论与实验教学。
课堂理论教学让学生一方面了解该课程的发展历史,理解基本理论概念和不同的知识点细节,掌握教学内容中的理论、原理和方法;另一方面理解不同概念的关系、不同理论体系的优势和差别,建立系统的知识体系,从整体上理解该课程。
实验教学让学生在实验过程中进一步理解和掌握学到的理论知识。学生通过包含不同知识点的实验,加深对知识细节的理解;通过系统实验理解不同知识点在组成系统时的作用,同时加深对整个知识系统结构的认识;通过扩展实验灵活应用已学知识并探索新的内容。
2)组建学生团队。
在学生创新团队中,有相同兴趣的学生聚在一起讨论和学习。知识水平处于较低层次的学生能够得到基础的培训和指导并明确学习目标。一方面,学生的专业知识能够得到较快提升,学生可以在学习上少走弯路;另一方面,由于有清晰的奋斗目标,学习信心和动力会更强。知识水平处于较高层次的学生一般以指导者和带头人的角色参与团队创新活动,通过指导知识水平处于较低层次的同学,激励自己进一步主动学习和掌握新知识。团队成员之间的协同与合作、相互竞争与激励能够提高学生的创新能力,激发学生的创新思维。
3)参与教师课题。
大学生通过参与专业教师的科研项目,培养自己的创新意识和解决实际问题的能力。教师从低年级学生中选择合适的学生参与项目并悉心培养,直到学生本科毕业。通过参与实际科研项目的设计、开发、应用与维护,学生既可以锻炼理论结合实际的能力和动手能力,又能提高对实际网络知识的认识与应用分析能力和科研创新水平。
4)参加学术竞赛。
参加学术竞赛,学生需要主动地选题、查询资料、开发作品和组织参赛等。学术竞赛很多题目的难度都高于书本上的理论知识,需要学生主动地查阅文献,对整个参赛项目的实现理论、路径、方法和系统进行构思、尝试。在整个过程中,学生不仅可以很好地运用已掌握的知识,而且可以了解未知的知识。
5)资格认证考试。
通过参加资格认证考试,学生可以系统深入地掌握某个专业的知识,全面掌握该专业各个方面的内容;通过资格认证考试,学生可以选择一条比较清晰的专业发展路径,不会误入歧途。获得资格证书的学生,在就业和专业发展方面具有很大优势,在个人职业规划和职业发展道路上可以先人一步。
2 “五位一体”人才培养模式在计算机网络专业教学中的实践
计算机网络人才需要掌握计算机、通信和安全等多学科知识,但作为一门交叉学科,计算机网络绝不是计算机、通信和安全等学科的简单堆砌,而是将这些学科相互融合和渗透,产生新的理论和方法。这些理论和方法包括计算机网络底层和通信协议、网络规划设计与网络系统集成、网络底层软件开发、网络应用软件开发、网络安全协议与开发等多方面和多层次的知识。针对计算机网络专业的特性,我们制定出一套完整的“五位一体”人才培养模式,并在实践中取得良好成效。
1)理论与实验教学的实践。
计算机网络专业要求学生系统掌握计算机网络原理与技术,具有扎实的专业基础理论知识和较强的动手能力,适应社会信息化需求,成为从事计算机网络软件系统设计、网络系统集成、网络协议开发和网络安全等方面工作的专门人才。基于这样的培养目标,我们在理论教学上针对计算机网络专业人才培养采取以下措施:
①开设计算机网络、TCP/IP协议和无线网络协议等3门专业核心课课程,从网络的核心——协议构建学生的网络知识体系。
②开设网络操作系统、网络数据库、Java程序设计高级进阶、网络安全等专业课,分别从操作系统、数据库、网络开发语言和安全等多个方面进一步加深和扩展学生的计算机网络理论知识学习。
③开设网站建设、网络软件系统设计和组网技术等网络设计专业应用课程,从应用层和管理层扩展学生的网络知识。
④开设网络新技术等专业拓展课,重点介绍IPV6、云计算、光网和无线传感器等网络技术方面的前沿知识。
在实验教学上,我们建立网络协议分析实验室、网络安全实验室、CISCO网络实验室等多个计算机网络专业实验室。从基础实验、专业实验和项目实训等多个层次开展网络实验,让学生巩固和掌握网络知识,具体包括以下几个方面:
①网络协议分析实验室让学生可以从网络底层协议出发,从模拟和分析Mac帧开始,逐渐实现TCP/IP各层的大部分常用协议。
②网络安全实验室主要让学生演练网络安全的内容,包括密码学实验、PIG实验、安全审计实验、单机攻防实验、网络攻防实验、病毒攻防实验、防火墙实验、VPN实验和入侵检测实验等。
③CISCO网络实验室主要帮助学生学习网络系统集成与管理。当前我们在教学中采用的是路由交换和安全方面的实验,如网络设备配置、VLAN、路由策略、BGP、AAA、网络攻击、IOS FW和IPS等。
④对于其他的网络实验如网络协议优化、无线传感网络协议等,我们都使用NS2网络模拟器实现。
2)组建学生团队的实践。
组建学生创新团队是以项目为导向培养学生的创新精神和团队意识。当前与网络相关的学生创新团队主要有两类,一类是以学生自治为主的创新团队,一类是以教师指导为主导的创新团队。
学生自治团队主要由学生自己管理,一般是以半企业化模式运营,同时致力于商业或非商业项目开发。例如,Quanta团队在组织架构上包括CTO、CEO、COO、运营部、设计部和研发部等多个部门,新成员招聘、成员培训、项目投标等都由学生来组织;研发部包括前台工程师、PHP工程师和.Net工程师等多个技术部门,主要是开发基于网络的各种应用,目前已开发粤商研究所、广外地带等20多个项目。其中,在2008年网易高校奥运观方网比赛中,Quanta团队荣获冠军并赢得50万元人民币奖金。
以教师指导为主导的团队中最典型的代表是网络安全团队,它是由校内教师和校外网络安全专家联合指导建立的学生创新团队。根据不同的技术内容,团队分为僵尸网络攻防研究、APT前期渗透攻防研究、局域网络安全的攻防研究和黑客反汇编技术等多个小组,小组长由高年级学生担任。该类团队建立多个攻防实验论坛,针对不同的问题进行真实模拟攻击。我们与广东省安全测评中心合作,他们为我们提供多位知名网络安全专家进行技术指导。在技术水平上,我们制定10个不同的级别标准,学生若要达到某个级别的安全技术水平,需通过该级别的技术演练和考试。
3)参与教师课题的实践。
指导教师首先公布科研课题的内容和要求,学生根据自己的兴趣爱好选择科研课题,教师对报名的学生进行筛选,一般从大二的学生中选择。一方面,大二的学生已经具备基本的专业能力,具有参与项目的基础;另一方面,他们还有2年多的时间参与项目,教师可以对其进行悉心培养。另外,一般一个项目是以2年或3年为实施期限,这样当学生毕业时,项目刚好可以完成。
学生在参与项目时,要严格遵循指导教师的要求。教师会制订培养计划,同时定期检查学生的项目实施进度,对参与项目的学生进行年度考核并实行淘汰机制,如果学生没有通过该年的考核,则会被要求退出科研项目。对于贡献比较大的学生,教师会给予一定的奖励。
4)参加学术竞赛的实践。
在学生层面,学院会为参赛学生提供实验室并每年给参数队伍提供一笔经费。在教师层面,学院制定《鼓励教师指导学生参赛条例》,对教师指导学生参赛给予一定支持和经济上的奖励,同时在评奖和评职称等方面会优先考虑指导学生竞赛的教师。
在网络层面,我们每年参加“思科杯”大学生网络创意大赛、广东省“高校杯”软件设计大赛、泛珠三角“安利杯”大学生软件作品大赛。同时,学院每年会举办一次学生项目申报大赛,为学生提供竞技平台。对于每一个参赛项目,学院首先在网站上参赛要求和时间安排,由学生组队报名;然后项目负责教师组织专家对参赛队伍进行选拔,为选的队伍提供实验室、经费和指导教师等,在准备参赛过程中至少会组织专家对项目的进展和内容等进行2次检查;最后在参赛前,项目负责教师会组织专家对参赛队伍的PPT和展示形式等进行包装上的指导。
5)网络认证考试的实践。
在网络认证考试方面,我们主要是组织学生参加CISCO的CCNA和CCNP认证考试。在师资方面,学院投入大量经费培训教师;在硬件设备上,学校投资200多万元人民币组建思科实验室,该实验室目前主要支持CCIE级别的路由与交换、语音、无线和安全等4个类别。
我们首先开设组网技术课程,该课程已经包括CCNA路由交换的绝大部分内容,对于想报考CCNA的学生,组织他们有针对性地学习CCNA的考试知识点,熟悉考试内容和实验环境。对于CCNP的培训,我们要求学生先通过CCNA后才能报名,然后选择在暑假或寒假对学生进行培训。
3 “五位一体”人才培养模式的思考
“五位一体”人才培养模式紧紧抓住人才培养的主题,通过“教学、实验、社团、项目和考证”等多方面、多层次的培养方式,较好地解决了当前计算机网络人才培养中存在的一些深层次问题。通过实践,我们取得良好教学效果,积累了一些经验,同时对于如何进一步提高人才培养,我们也提出几点思考。
1)建立制度保障机制。学院需要建立明确的制度,对培养模式的原则、目标、管理方式、各方权利和义务、激励机制等内容做出明确规定。有了完善的配套制度保证,该培养模式才能够持续和有序的发展。
2)建立利益驱动机制。参与人才培养的各方都能够获得利益需求时,培养模式才能够得到良性发展。对于学生,一方面要保证学生能不断地学到知识,另一方面要加大宣传和建立榜样;对于教师,主要侧重在职称、评优、工作量奖励方面保证其利益。
3)更好地调动学生积极性。所有的培养模式都需要学生积极主动地参与,只有学生的学习兴趣被激发,并且学生能够持久地保持学习热情,才能更好地实现培养目标。
4)让学生更好地参与社会实践。由于受学时限制,学生的很多工作都要在课外自主完成,因此,如何协调和保证学生有足够的时间接触更多实际问题并参与解决实际工作,就显得尤为重要。
关键词:Python;SQLMAP;系统安全
引言
随着我国互联网的高速发展,基于Web的三层网络架构体系得到广泛应用。浏览器/服务器(B/S)架构的网络应用越来越多,这意味着更多企业单位选择浏览器/服务器的应用系统取代传统的客户端/服务器应用系统。由于网络攻击技术发展速度远超于网络防御技术的发展,加之编程人员细节编写不规范,导致网络攻击泛滥。
1 Python
1.1 概述
Python是一种开源的、面向对象的、解释型的计算机程序设计语言,由Guido Rossum于1989年发明。其源代码及解释器CPython遵循GPL(GNU General Public License)协议。Python的语法简洁清晰,是一种代表简单主义思想的语言,强制用空白符(white space)作为语句缩进是其特色之一。Python具有高效率的高层数据结构,简单而有效的实现面向对象编程。
1.2 特点
Python具有极其丰富和强大的库。Python又被称为胶水语言,能够把用其他语言制作的各种模块(尤其是C/C++)轻松地联合在一起。在众多应用情形中,比较常见的是使用Python快速生成程序原型(有时是程序的的最终界面),然后对其别要求的部分,采用更合适的语言进行改写。
2 SQLMAP检测试验
2.1 注入点扫描
SQLMAP是一款基于Python用来检测与利用注入漏洞的免费开源工具,在整个注入过程中可实现自动化处理(数据库指纹、访问底层文件系统、执行命令)。
对Asp站点进行注入点扫描,扫描后最终注入点汇总见图1,选取正确的注入点对服务器进行注入工作,获取服务器超级管理员权限。
2.2 服务器信息获取
检测代码(sqlmap.py-u "http://*****.com/contact.asp?classid=65"-dbs)经检测该站点服务器系统为Windows 2008 R2或者Windows 7版本,使用的是微软Access数据库。注入点注入类型为布尔型GET型注入,命令代码-u指定url链接-dbs是获得服务器及数据库信息。
利用注入点对数据库进行比对获得以下表单(user、admin、company、news、service),通过SQLmap对站点数据库进行自动化比对,获取站点主数据库中的表admin中的相关数据。对admin表进行数据库下载拖拽,获得超级管理员用户名与加密后的用户密码,对密文进行解密获得明文为nanwang1999。
在暴力破解后台超级管理员账号密码后进行登陆验证,验证注入漏洞的真实性,及时进行后台升级工作、补丁安装等工作,加强字符过滤。保证内部数据安全性。
3 结论
本文介绍基于Python语言下的SQLmap的注入漏洞扫描,使用SQLmap对站点进行注入点检查测试,利用注入漏洞,进行网络渗透测试工作,获取站点数据库,获取站点超级管理员登陆账号及密码。通过对站点进行注入漏洞测试检查,及时发现安全问题,提高网络安全系数,保证使用单位数据安全性。
参考文献
[1]Pual Barry.深入浅出Python(影印版)[M].南京:东南大学出版社,2011.
[2]David M.Beazley,Python参考手册[M].北京:人民邮电出版社,2011.
[3]吴翰清.白帽子讲Web安全[M].北京:电子工业出版社,2012.
[4]梁亚声.计算机网络安全教程[M].北京:机械工业出版社,2008.
[关键词]智能油田;信息安全;综合审计;关联分析
doi:10.3969/j.issn.1673-0194.2020.22.028
[中图分类号]TP393.08;F239.4[文献标识码]A[文章编号]1673-0194(2020)22-00-02
1智能油田信息安全风险
在数字化转型发展背景下,智能油田建设与应用进程逐渐加快,网络与信息系统的基础性、全局性作用不断增强,而保证核心数据资产的安全对油田业务的高质量发展至关重要。当前国内外网络安全形势严峻,境内外恶意分子以及被政治、经济利益裹挟的黑客组织,对能源行业加剧进行网络渗透,攻击关键信息基础设施、窃取商业机密等敏感信息,对油田信息安全构成了极大的外部威胁。此外,内部员工违规访问不良网站内容,使智能系统面临着严重法律风险,加上员工有意识或无意识的网络泄密事件与系统运维人员违规操作事件频发,严重威胁了智能油田发展。目前,我国油田信息安全建设思路已经从防外为主,逐步转为以内外兼顾的策略,信息安全审计成为纵深安全防御延伸和安全体系建设的重要环节。为遵循国家网络强国战略、达到网络安全合规要求,有效避免黑客攻击、网络泄密、违规上网、数据窃取等安全风险,我国急需建立智能油田信息安全综合审计平台,实现信息内容实时检查、网络行为全面监测、安全事件追溯取证,为油田高质量发展保驾护航。
2信息安全综合审计关键技术
信息安全综合审计是企业内控管理、安全风险治理不可或缺的保障措施,主要指对网络运行过程中与安全有关的活动、数据、日志以及人员行为等关键要素进行识别、记录及分析,发现并评估安全风险。针对智能油田业务需求场景,重点解决3项技术难题:一是如何基于纵深防御理论通过大数据、云计算等技术,对油田不同防御层级的日志、流量等信息进行关联分析建模,有效预防黑客隐蔽型攻击;二是如何通过建立面向油田具体业务场景的敏感信息指纹库、安全策略库、行为特征库,构建覆盖敏感文件信息处理、存储、外发等关键环节的纵深防护与事件溯源取证机制;三是如何通过深度网络业务流量识别与数据建模分析技术,建立面向油田具体业务场景的员工上网行为监管审计机制,实現对员工违规网络行为的全面管控。
2.1多源异构网络日志信息统一标准化方法与关联分析模型
设计多源异构网络日志信息格式标准化方法,利用基于大数据处理的日志过滤与关联分析建模技术,整合网络泄密、违规上网、黑客攻击等网络风险事件日志信息,建立油田信息安全风险关联分析模型。
2.2信息安全审计敏感信息指纹库、行为特征库、审计策略库
结合油田具体业务需求场景,运用数据分类分级与指纹识别技术、深度业务流量识别与建模方法,建立满足国家合规要求及油田特有应用场景需求的敏感信息指纹库、网络行为特征库及安全审计策略库。
2.3数据防泄露与敏感信息内容检查机制
基于操作系统底层驱动过滤的数据通道防护技术、基于智能语义分析的敏感信息内容审计技术,实现对员工通过云盘、邮件、即时通信、移动介质等方式外发涉密信息的实时检测与控制,彻底解决员工有意识或无意识地违规存储、处理、外发涉密信息问题。
3智能油田信息安全综合审计平台建设及应用
信息安全综合审计平台是一个综合利用云计算、大数据、人工智能、数据指纹、异构数据采集等技术,实现网络行为监控、信息内容审计、数据库操作审计、网络异常流量监测预警的审计溯源系统,在满足网络合规性要求的同时,为信息安全管理与系统运维人员提供了网络安全监测、事件追溯取证的基本手段,提升了油田对敏感数据的监测预警和传输阻断能力,防止了敏感信息泄露,增强了对外部黑客隐蔽性网络攻击行为与内部运维人员违规业务操作的防御能力。其中,图1是智能油田信息安全综合审计平台总体架构。
基于信息安全综合审计关键技术研究与集成创新,相关单位研发建立了智能油田信息安全综合审计平台,以纵深防御理论为指导,通过网络层面的行为和流量审计、信息系统层面日志和数据库审计、终端层面的信息内容审计等,实现对网络风险事件的事前防范、事中告警、事后追溯,形成上网行为全面管控、网络保密实时防护、网络攻击深度发现的主动治理新模式。贯穿数据信息的产生、存储、传输、应用全生命周期的关键过程,自主建立油田敏感信息指纹库,构建基于涉密违规存储远程检查、终端违规外发自动阻断、网络敏感信息识别告警功能的数据安全纵深防护与事件追溯取证机制,为网络保密主动治理提供技术手段。通过设计跨平台、多协议网络信息采集接口机制与多源异构日志标准化数据模型,结合云计算与大数据处理技术,建立适应油田海量非结构化日志信息的存储云中心,且基于深度学习算法建立关联模型,通过日志信息纵向聚合与横向关联实现网络行为与信息内容全面审计。
为保障智能油田核心数据安全与网络系统运行安全,将平台成功应用于油田网络安全保障与网络攻防实战演练、网络保密治理与数据安全保护、员工上网行为管理与审计、IT基础设施运维操作审计等,有效提升智能油田精细化管理水平。通过平台网络安全审计功能,将网络层面防火墙、入侵检测、高级威胁检测、蜜罐入侵诱捕、Web应用防火墙、流量溯源分析、漏洞扫描等网络安全监测防护设备提供的黑客网络攻击行为日志信息,应用系统层面服务器操作系统、中间件、数据库等产生的系统日志信息以及终端计算机层面产生的病毒防护、主机漏洞、基线配置等日志信息进行集中统一标准化处理,通过提取关键要素信息进行关联建模分析,实现对黑客隐蔽性网络攻击行为的深度发现与事件追踪溯源,为油田网络安全日常防御保障提供监测分析技术手段,为油田网络攻防对抗实战演习统一决策指挥提供平台支撑。通过信息安全综合审计平台的信息内容审计功能,实现对内部员工通过电子邮件、即时通信、网络云盘、网站上传等方式外发敏感数据信息的实时监测,结合平台数据防泄露功能,实现对员工办公终端计算机违规存储、处理、外发敏感数据信息文件行为的实时告警提示与阻断控制,同时针对油田不同业务场景,制定开发科研、生产、经营、管理等不同业务敏感数据信息审计策略,实现对内部员工有意识或无意识网络泄密行为的事前告警提示、事中监测阻断、事后追溯取证,为网络保密治理提供有效的技术手段,保障智能油田核心数据安全。通过信息安全综合审计平台的上网行为审计功能,实现对油田内部员工上网行为的有效管理,对员工通过油田网络进行网站访问、网络应用等行为进行实时监测审计,防止员工因访问不良网站给企业带来的法律风险,同时避免因访问恶意网站给企业带来木马病毒等网络安全风险,满足网络安全管理合规要求。利用信息安全综合审计平台提供的运维操作行为审计功能,对运维管理人员的操作日志进行集中监测分析,整合利用日志数据价值,实现对网络设备、安全设备、服务器、数据库等信息基础设施运维操作活动的实时监控、记录及告警,有效规避运维操作过程中产生的网络安全风险。
特征码策略已过时
传统防火墙设备的防护思路是基于恶意代码特征库的更新。当新的木马、病毒或漏洞出现时,各种恶意代码报告涌现,安全厂商通过捕捉样本,分析病毒、木马和漏洞的特征,找到能唯一识别这些木马、病毒的特征,进而更新其特征库,以识别出企业网络中的安全威胁。在泛在攻击时代,安全厂商及时捕捉攻击特征并快速做出反应。但在针对性攻击逐渐占主流的今天,传统防火墙就无能为力了。正如严雷所言:“攻击策略只针对特定的一两个对象起效,并不具有普遍性,因此恶意代码报告就不存在了。”
应对针对性攻击的另一个难题在于样本难以捕捉和分析。这是因为恶意程序往往具有自我销毁功能,在执行完攻击和破坏任务之后立刻“自杀”。严雷介绍称:“火焰病毒共有20多种变种,目前大约只有6种被捕捉到。即使捕捉到了恶意病毒,对它的分析也需要耗费大量时间并且非常艰难。”
变被动为主动
针对性攻击方兴未艾,传统防火墙黔驴技穷,安全厂商该如何转换安全防护思路?在严雷看来,主动防御是下一代防火墙的灵魂。怎样实现主动防御?网康科技给出的思路是:改分析恶意代码特征为分析用户的行为,将整个流量和日志全部展现出来并进行关联分析,判断用户行为的安全性。
针对性攻击比较复杂,黑客往往会使用一系列的攻击手段。在此过程中,恶意软件需要与远程控制中心进行多次通信。因此严雷认为黑客的攻击行为并非无迹可寻:“通常企业都有一定的行为模式,一旦出现很大的异常行为,就意味着安全风险的存在。比如企业内部的QQ、apk文件下载等应用的流量在短期内突然增加,企业网络突然出现与国外网络通信的异常链接等。下一代防火墙通过联合监控和行为对比,对不同应用的异常流量进行追踪,就能发现攻击的特征。”
下一代防火墙之所以能够实现联合监控和追踪的功能,主要得益于它的深度整合引擎。“基于深度整合引擎,在考察基于网易邮箱下载附件的动作时,我们不仅能搜索到流量监控的日志,还能搜索到网址过滤、防病毒等多种类型的日志。”严雷表示,“深度整合是指将网络监控的所有数据整合在一起,互相之间能相互索引。企业可根据源、目的、行为、动作等指标进行联合考察,让企业IT人员更清晰、全面地了解当前的网络状况。这样做的好处是,企业不仅可以发现黑客的攻击行为,还能进一步确定黑客都干了什么,还有哪些其他攻击行为。
建立多重防线
在主动防御理念的指导下,网康科技在去年10月的下一代防火墙基础上进行升级,在今年4月16日了新版产品下一代防火墙2.0(网康NGFW2.0),在安全技术、防护措施和贴近客户价值等方面进行了大幅改进。
云安全技术的应用被网康科技看作是最重要的改进之一。由于木马变种速度加快,频繁更新本地特征库带来的性能下降让让企业头疼,并且特征库的更新速度远远无法跟上木马变种的速度。为此,网康NGFW2.0采用了云查杀技术。严雷认为,这样做的好处是查杀的速度更快,准确率大幅提升。“通过与其他安全厂商合作,网康在云端的病毒和木马库的总特征数达到5000万,并且更新频率大大提高。同时,云端检测不会出现性能瓶颈,随着样本库的增长,企业只需调整云中心的硬件配置即可。”
对僵尸网络的分析是网康下一代防火墙主动防御思想的集中体现。严雷透露,网康NGFW2.0引入僵尸主机定位功能,通过对主机的网络行为进行分析,与其常见行为进行对比,可确定哪些主机已被控制。严雷表示:“通过网康NGFW2.0的早期诊断,完全有机会在僵尸网络发作之前将其铲除。”尽管还处在初级阶段,但网康科技对通过主机行为分析寻找僵尸网络的思路充满信心。
(逄 丹)
网络安全试点示范交流会
3月16日至17日,电信和互联网行业网络安全试点示范工作经验交流会暨成果展在广西南宁召开。会议分析了当前网络安全面临的新挑战,强调当前网络安全呈现出网络攻击呈上升态势、数据和用户信息安全隐患突出、融合发展带来网络安全新威胁、攻防非对称态势突出等四方面特点,网络安全威胁风险渗透到政治、经济、文化、社会、国防等领域,上升到了一个新阶段。
(逄 丹)
移动办公新格调 爱普生DS-310/360W扫描新品来袭
移动办公是当今高速发展的通信业与IT业交融的产物,高效与便利的完美结合,使之成为了继电脑无纸化办公、互联网远程化办公之后的新一代办公模式。出差或外出拜访客户时,还在为没能及时扫描重要文件苦恼?政府监管部门执法办公却还没有一台合适的扫描设备?对此,爱普生全新推出了紧凑型A4馈纸式扫描仪DS-310/360W,其紧凑的机身、强大的功能,轻巧的便携性可有效满足诸多行业对移动办公的需求。
那么,小身材、大功能的DS-310/360W究竟有怎样的表现呢?我们一起来看!
轻薄小巧 移动便携
作为一款紧凑型文档扫描仪,DS-310/360W最突出的特点就是小!小巧灵活的机身,完全不会占用空间,DS-310机身尺寸288×88.5×51mm,重量1.1kg,不使用的时候可以很方便地放在办公桌的抽屉里。DS-360W机身尺寸288×88.5×67mm,内置电池,重量也只有1.3kg,外出时可以轻松放入公文包。
多种供电方式可选 应用灵活
一款便携式的文档扫描仪的供电方式当然至关重要,源源不断的电力供给才能为扫描仪的正常工作提供保障。DS-310/360W支持电源适配器供电与USB供电,通过USB供就可以将PC等设备和扫描仪直接连接,真正实现移动操作、便捷办公。此外,DS-360W内置电池,同时还支持电池供电。在电池供电模式下,还可以扫描大约700页的文档,这就为外出办公提供了便利。
高速高效 省时省力
身材虽精致小巧,但功能却十分强大,这里就不得不提到DS-310/360W具备的高速双面扫描功能。扫描速度最快可达25ppm/50ipm,并且支持200dpi和300dpi黑/白/灰色彩模式的双面扫描同速,使文档电子化效率大大提高。
卡片扫描 独特卡槽设计
想扫描身份证、银行卡,可馈纸式文档扫描仪该怎么扫描呢?别担心,这一点爱普生早就想到啦!DS-310/360W的设计充分考虑到了用户这一需求,独特的吸入式卡槽设计,当客户需要进行卡片扫描时,只需将机身上的滑动按钮拨到“卡片(扫描)”位置,即可开始卡片扫描。扫描完成后卡片会被自动退出到进卡位置,卡片扫描轻松自如,分分钟就能搞定。
内置WiFi可实现无线扫描
出门在外,没有网络,想扫描文件怎么办?别担心,DS-360W内置WiFi功能,移动便携设备只需下载Epson Document scan即可与DS-360W进行直接连接扫描。同时支持无线路由连接和直接连接两种连接方式,方便用户按需选择连接方式,更加易用。
专业扫描驱动 应用简便
Epson Scan2是爱普生专为文档扫描仪设计的全新扫描驱动软件,处理速度更快,同时具备更多更专业的扫描功能和图像处理功能,应用更简便。
一、计算机网络安全及其面临的威胁
1.计算机网络安全的含义。计算机网络安全的具体含义会随着使用者的变化而变化,使用者不同,对网络安全的认识和要求也就不同。
2.计算机网络中的安全缺陷及产生的原因。网络安全缺陷产生的原因主要有:
第一,TCP/IP的脆弱性。第二,网络结构的不安全性。第三,易被窃听。第四,缺乏安全意识。
3.网络攻击和入侵的主要途径。网络入侵的主要途径有:破译口令、IP欺骗和DNS欺骗。
获得普通用户账号的方法很多,如:利用目标主机的Finger功能:当用Finger命令查询时,主机系统会将保存的用户资料(如用户名、登录时间等)显示在终端或计算机上;利用目标主机的X.500服务:有些主机没有关闭X.500的目录查询服务,也给攻击者提供了获得信息的一条简易途径。IP欺骗是指攻击者伪造别人的IP地址,让一台计算机假冒另一台计算机以达到蒙混过关的目的。域名系统(DNS)是一种用于TCP/IP应用程序的分布式数据库,它提供主机名字和IP地址之间的转换信息。通常,网络用户通过UDP协议和DNS服务器进行通信,而服务器在特定的53端口监听,并返回用户所需的相关信息。DNS协议不对转换或信息性的更新进行身份认证,这使得该协议被人以一些不同的方式加以利用。当攻击者危害DNS服务器并明确地更改主机名―IP地址映射表时,DNS欺骗就会发生。这些改变被写入DNS服务器上的转换表。
二、计算机防御对策
根据网络作战的目标范围,网络作战模型包含4个层次:第1层次,实体层次的计算机网络对抗;第2层次,能量层次的计算机网络对抗;第3层次,信息层次(逻辑层次)的计算机网络对抗;第4层次,感知层次(超技术层次)的计算机网络对抗。针对不同层次对抗,计算机网络防御应采取相应的对策。
1.实体层次防御对策。在组建网络的时候,要充分考虑网络的结构、布线、路由器、网桥的设置、位置的选择,加固重要的网络设施,增强其抗摧毁能力。与外部网络相连时,采用防火墙屏蔽内部网络结构,对外界访问进行身份验证、数据过滤,在内部网中进行安全域划分、分级权限分配。对外部网络的访问,将一些不安全的站点过滤掉,对一些经常访问的站点做成镜像,可大大提高效率,减轻线路负担。
2.能量层次防御对策。目前主要防护措施有2类:一类是对辐射的防护,主要采取对电源线和信号线加装性能良好的滤波器,减小传输阻抗和导线间的交叉耦合;给网络加装电磁屏蔽网,防止敌方电磁武器的攻击。另一类是对自身辐射的防护,这类防护措施又可分为2种:一是采用各种电磁屏蔽措施,如对设备的金属屏蔽和各种接插件的屏蔽,同时对机房的下水管、暖气管和金属门窗进行屏蔽和隔离;二是干扰的防护措施,即在计算机系统工作的同时,利用干扰装置产生一种与计算机系统辐射相关的伪噪声向空间辐射来掩盖计算机系统的工作频率和信息特征。
3.信息层次防御对策。信息层次的计算机网络对抗是运用逻辑手段破坏敌方的网络系统,保护己方的网络系统的对抗。这个概念接近于美国人讲的Cyberspace Warfare,主要包括计算机病毒对抗、黑客对抗、密码对抗、软件对抗,芯片陷阱等多种形式。他与计算机网络在物理能量领域对抗的主要区别表现在:信息层次的对抗中获得制信息权的决定因素是逻辑的,而不是物理能量的,取决于对信息系统本身的技术掌握水平,是知识和智力的较量,而不是电磁能量强弱的较量。信息层次的计算机网络对抗是网络对抗的关键层次,是网络防御的主要环节。信息层次的防御对策主要是防御黑客攻击和计算机病毒。
(1)防御黑客攻击。黑客攻击是黑客自己开发或利用已有的工具寻找计算机系统和网络的缺陷和漏洞,并对这些缺陷实施攻击。在计算机网络飞速发展的同时,黑客技术也日益高超,目前黑客能运用的攻击软件已有1000多种。从网络防御的角度讲,计算机黑客是一个挥之不去的梦魇。借助黑客工具软件,黑客可以有针对性地频频对敌方网络发动袭击令其瘫痪,多名黑客甚至可以借助同样的软件在不同的地点“集中火力”对一个或者多个网络发起攻击。而且,黑客们还可以把这些软件神不知鬼不觉地通过互联网按到别人的电脑上,然后在电脑主人根本不知道的情况下“借刀杀人”。
(2)防御计算机病毒。由于计算机病毒的传染性、潜伏性和巨大的破坏性。计算机病毒作为信息战的武器,其攻防对抗的焦点和关键技术是病毒的制作技术、注入技术、激活技术和隔离技术,其中实施病毒战难度最大的是注入、激活和隔离技术。防御计算机病毒,首先要进行计算机病毒的种类、性能、干扰机理的研究,加强计算机病毒注入、激活、耦合技术的研究和计算机病毒的防御技术的研究。但是要从根本上解决问题,就必须要用我国自己的安全设备加强信息与网络的安全性,大力发展基于自主技术的信息安全产业。
4.感知层次(超技术层次)防御对策。感知层次(超技术层次)的计算机网络对抗是网络空间中面向信息的超逻辑形式的对抗。因此,感知层次的计算机网络防御,一是依靠实体层次和信息层次的防御,二是依靠网络进攻和其他渠道。如通过网络进攻,攻击敌方的网站、服务器,阻塞敌方的网络通道,可以防止敌恶意信息和欺骗信息在己方网络中的存在;通过加强政治思想教育,心理素质培养,正面的舆论引导,科技知识的宣传,可以消除或减弱在感知层次的计算机网络进攻不良影响。
随着计算机技术和通信技术的发展,计算机网络将日益成为工业、农业和国防等方面的重要信息交换手段,渗透到社会生活的各个领域。因此,认清网络的脆弱性和潜在威胁,采取强有力的安全策略,对于保障网络的安全性将显得十分重要。
参考文献:
随着互联网在生活中的全面渗透,全民理财进入新时代,然而,网上银行如何取证又成为一个新问题。有没有一套系统让理财平台上所有的行为都得以规范制约,并方便取证?杭州安存网络科技有限公司副总裁单勇忠认为,互联网领域存在一个电子数据取证标准化的难题。
2006年,在义乌小商品市场发生一场民事诉讼,原告提供通过QQ、邮件发生交易的证据(打印),但是法官称无法证明证据是否经过修改而无效。尽管2013年1月1日新实施的《民事诉讼法》明确规定:QQ聊天内容等电子数据都可以作为法律证据。但是两年过去了,直到今天,电子数据被采纳为合法证据的并不多。
单勇忠分析说,由于电子数据存在易变性、易改无痕性、不易归档等特性。因此,基于投资行为的谨慎心理还是不会轻易将此作为证据。“加上互联网的开放环境,同时又有国际黑客的攻防战等因素存在,因此,网上所有的行为很可能被篡改。”
由此,杭州安存网络科技有限公司创始人跨界创新,于2008年成立公司,开发了一套金融安全级别的全数据生命周期电子数据存管与证明体系,无忧存证主要应用于保全互联网金融交易数据。在数据生成时实时备份在独立第三方的一端,在数据传输过程当中采用最高级别的安全措施,通过公安部的完整性鉴别认证,证明传输数据过程中没有被篡改,建立专用独立的公证取证通道。
单勇忠介绍说,不管自然人还是法人代表跟合同另一方进行沟通交流时,无论QQ、微信、邮件,通过安存这套保全系统,有实时完整最高级别防护措施,存管到一个第三方独立的安全云端,来确保跟对方交流的所有内容是客观真实 的,“万一在发生纠纷的时候,就可以直接在平台申请公证,公证员来调取原始数据。这样就可以来证明你的权益。目前,全国28个省(市、区)150多个城市的公证机构与安存展开了合作,200多家法院在使用安存的产品。”
2015年1月22日,浙江省出台《浙江省促进互联网金融持续健康发展暂行办法》,包括互联网+,还有股权投融资试点,一行三会的意见等,其中有一条对互联网金融平台的约束。单勇忠认为这很正常,一个新兴行业发展成产业时,需要监管,也需要一个行业标准,他表示无忧存证的发展目标就是希望成为互联网金融业的取证标准。
“当无忧存证进行一个标配,也是云商做一个法治系统的标配。重点数据保全的解决方案,提供金融一站式数据保全方案,利用无忧存证,加上语音,加上存证,这样能证明交易的真实合法性,所有平台发的要约方的标的都得到真实证明。无忧存证是专门为金融业所提供的。”单勇忠说。这个系统作为互联网金融平台标准配置,已经形成一套完整的运作程序,如建立客户执行存管制度,包括消费者权益保护,尤其在健全信息和合格披露,怎样来让存管方的所有投资行为得到保护,这一条有相对的解决方案,一级消费者权益如何教育消费者,条款解决,“合同内容要明确,一定不能被篡改,签名有效,一定是真实的,没有被胁迫和误导”,在平台上分三个层面:业务层面,投资人开户,绑定银行卡,认购协议;还有保全层面,全部清晰保管独立第三方,包括证据层面,出具证书,履约,以电子存证第三方展现出来,“证据链可以追溯,闭环的,有了标准配置可以放心投资到互联网当中来,这些凭证是虚拟互联网世界走向真实的过程中迈出的第一步。”
关键词:计算机网络技术;思想政治理论;课堂实践教学
1课程思政教学项目研究意义
计算机网络技术课程按照计算机类教学质量国家标准中属于计算机科学与技术和网络工程专业的核心专业课程,其内容在人才培养方案专业课程设置中承上启下,至关重要作用;且从就业而言,网络工程专业在计算机专业中就业需求量最大,因此学生学习兴趣浓厚、重视度较高。中华民族处于一个新的时代,为实现中华民族的腾飞梦,培养担当民族复兴大任的时代新人尤为重要。以在理论指导下,坚持知识传授与社会主义核心价值观指导相结合,运用能够培养大学生理想信念,价值取向,政治信念和社会责任的主体和内容,进一步将其融入社会主义核心价值观,全面提高大学生的推理辨别是非能力,使其成为德才兼备、全面发展的人才。在教学大纲编写中,以专业课程知识教学为载体,以德育为基础,充分挖掘专业知识中蕴含的道德元素,实现专业课程与思想政治教育的有机结合,渗透到整个教学过程中,帮助学生树立社会主义新时代的核心价值观。通过运用德育主体思想,提炼专业课程中蕴含的思想,使其转化成为具体而生动的社会主义核心价值观的有效教学载体。
通过隐性渗透、寓道德教育于各门专业课程之中,通过润物细无声、滴水穿石的方式,实现显性教育与隐性教育的有机结合。思想政治课的内容过于理论化,容易使学生在课堂上产生枯燥、乏味的情绪。因此,我们应该把计算机网络技术课程加入到学生思想道德教育的队伍中,共同努力挖掘课程的思想政治价值,真正实现全过程、全方位的教育。课程思想政治改革是立德树人的必然要求,也是全面育人的重要途径。作为一名信息工程学院计算机专业教师,要充分意识到改革的重要性,不断加强自己的道德修养,积极探索改革方式方法,及时总结经验与问题,努力走出一条具有专业特色的思想政治教育之路。
以“思想政治课”为目标,通过积极培育和践行社会主义核心价值观,运用哲学方法论,引导学生正确做人、做事,结合以下内容进行设计各教学主体和教育活动。核心价值观--富强:实现科学技术现代化,提高综合国力,圆中国梦。核心价值观--爱国:热爱祖国,热爱人民,展现时代精神;核心价值观--敬业:努力学习,刻苦钻研,有研究和创新精神;为此,本课程与思想政治教育有着相同的方法,最终目的是教学生如何做人和做事。因此,以本课程为载体,对学生进行思想政治教育是衔接密切,可以很好地发挥两者的协同教育作用。
2课程建设基础
我校信息工程学院十二五期间加强应用型人才培养,尤其是计算机网络工程系列技术人才的培养;十三五”期间将建立起较为完善的本科人才培养体系和结构合理、特色鲜明的学科专业体系,同样是以计算机网络系列技术作为主要课程体系。
《计算机网络原理》是信息工程学院本科和专科生的一门专业核课程,同时也是进一步研究TCP/IP体系结构与网络互联的前导课程。本课程围绕计算机网络的基本组成和体系结构,系统地讲述计算机网络系统及其体系结构的基本功能、TCP/IP分层、网络性能指标、以太网和高速以太网、网络路由、传输层协议、网络应用等,同时通过课堂讲授、课程实验相结合的方式,使学生系统地理解计算机网络的基本概念和工作原理,熟悉计算机网络和互联网组成,掌握计算机网络协议的基本分析与设计方法,为进一步学习后续课程,培养对计算机网络系统的认知、设计与应用开发能力奠定良好的基础。国内外许多大学已将计算机网络语言列入了本科教学计划,掌握计算机网络已经成为共识。《计算机网络技术》是计算机网络专业、计算机科学与技术专业、网络工程专业等相关专业的一门重要的网络技术的基础课程,也是网络工程本科教学体系的核心课程。
我校网络工程专业设定的是计算机网络系列课程教学,分别包括网络工程设计,网络操作系统,网络安全技术,路由交换技术,及其相关无线网络技术和数据存储课程等。
这两年,我校信息工程学院同华三和华为公司合作的课程内容,也是计算机网络数字通信系列课程和网络安全、无线网络等课程。其中2019年初的集中实训采用了宝德等公司方案,引进了该公司的讲师,对我校网络工程专业学生进行了构建中小企业网络设计,构建高性能园区网、无线网络技术等课程的集中实训。计算机网络系列课程教学在我校信息工程学院计算机科学与技术专业和网络工程专业规划的课程体系中占有重要地位。
目前,《计算机网络技术》课程开课时间分别是:15-16计科开在第4学期,15-17网工开在第2学期,17计科开在第4学期,18网工开在第2学期。由此可见,开课学期逐渐提前,该课程在专业课程建设中具有重要地位。
3课程建设工作目标和实施计划
诸多学科组成的专业课程是高校教学的重要载体。如何在专业课程中探索思想政治教育的有效要素,并在人才培养的全过程中广泛实施,是当前高校德育工作亟待解决的热点和难点问题。学校以教师教育为基础,立足陶瓷文化为特色,构建服务地方经济社会发展的多学科协调发展的学科专业体现。在专业教育体系中率先开展课程思政改革全过程,多模式,广覆盖,将中华优秀传统文化,社会主义核心价值观要求和做人做事原则融入专业教学。本次研究项目以提高计算机网络技术课教学效果为落脚点,有效整合教学资源,构建全新的计算机网络技术课教学体系,进行思政改革融入到教学实践中:
首先应该提高学生学习兴趣,整个教学过程中培养礼仪意识。现代社会要求大学生不仅要“知书”,更要“达理”。因此,在教学过程中,要润物细无声地向学生渗透礼仪教育。通过课程导入部分,不仅要把课程内容说清楚,而且也要介绍课程的德育目标内容,让学生们知道未来肩负的民族使命是什么,要求什么样的从业道德,国家对岗位在全球化竞争中的要求,以及有哪些是未来从业不能触碰的部分。该部分可以结合实际案例,潜移默化地提升学生在思想政治方面的水平与觉悟。提高计算机网络技术程教学效果,项目实训中培养创新创业意识。在专业课学习过程中,根据各学科和专业的特点,要求学生能够做到学以致用。在这部分将结合实际的思政教学案例进行培训授课,对国家鼓励创新、创业的政策进行讲解,通过和校企合作企业团队的项目实训,让学生有目的的提前感受在创业中的激情,掌握专业技能,参悟领会到团队协作的重要性,树立爱岗敬业的核心价值观。
关键词:信息安全;风险评估;脆弱性;威胁
中图分类号:TP393.08 文献标识码:A 文章编号:1007—9599 (2012) 14—0000—02
一、引言
随着信息技术的飞速发展,关系国计民生的关键信息资源的规模越来越大,信息系统的复杂程度越来越高,保障信息资源、信息系统的安全是国民经济发展和信息化建设的需要。信息安全的目标主要体现在机密性、完整性、可用性等方面。风险评估是安全建设的出发点,它的重要意义在于改变传统的以技术驱动为导向的安全体系结构设计及详细安全方案的制定,以成本一效益平衡的原则,通过评估信息系统面临的威胁以及脆弱性被威胁源利用后安全事件发生的可能性,并结合资产的重要程度来识别信息系统的安全风险。信息安全风险评估就是从风险管理角度,运用科学的分析方法和手段,系统地分析信息化业务和信息系统所面临的人为和自然的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施,以防范和化解风险,或者将残余风险控制在可接受的水平,从而最大限度地保障网络与信息安全。
二、网络信息安全的内容和主要因素分析
“网络信息的安全”从狭义的字面上来讲就是网络上各种信息的安全,而从广义的角度考虑,还包括整个网络系统的硬件、软件、数据以及数据处理、存储、传输等使用过程的安全。
网络信息安全具有如下5个特征:1.保密性。即信息不泄露给非授权的个人或实体。2.完整性。即信息未经授权不能被修改、破坏。3.可用性。即能保证合法的用户正常访问相关的信息。4.可控性。即信息的内容及传播过程能够被有效地合法控制。5.可审查性。即信息的使用过程都有相关的记录可供事后查询核对。网络信息安全的研究内容非常广泛,根据不同的分类方法可以有多种不同的分类。研究内容的广泛性决定了实现网络信息安全问题的复杂性。
而通过有效的网络信息安全风险因素分析,就能够为此复杂问题的解决找到一个考虑问题的立足点,能够将复杂的问题量化,同时,也为能通过其他方法如人工智能网络方法解决问题提供依据和基础。
网络信息安全的风险因素主要有以下6大类:1.自然界因素,如地震、火灾、风灾、水灾、雷电等;2.社会因素,主要是人类社会的各种活动,如暴力、战争、盗窃等;3.网络硬件的因素,如机房包括交换机、路由器、服务器等受电力、温度、湿度、灰尘、电磁干扰等影响;4.软件的因素,包括机房设备的管理软件、机房服务器与用户计算机的操作系统、各种服务器的数据库配置的合理性以及其他各种应用软件如杀毒软件、防火墙、工具软件等;5.人为的因素,主要包括网络信息使用者和参与者的各种行为带来的影响因素,如操作失误、数据泄露、恶意代码、拒绝服务、骗取口令、木马攻击等;6.其他因素,包括政府职能部门的监管因素、有关部门对相关法律法规立法因素、教育部门对相关知识的培训因素、宣传部门对相关安全内容的宣传因素等。这些因素对于网络信息安全均会产生直接或者间接的影响。
三、安全风险评估方法
(一)定制个性化的评估方法
虽然已经有许多标准评估方法和流程,但在实践过程中,不应只是这些方法的套用和拷贝,而是以他们作为参考,根据企业的特点及安全风险评估的能力,进行“基因”重组,定制个性化的评估方法,使得评估服务具有可裁剪性和灵活性。评估种类一般有整体评估、IT安全评估、渗透测试、边界评估、网络结构评估、脆弱性扫描、策略评估、应用风险评估等。
(二)安全整体框架的设计
风险评估的目的,不仅在于明确风险,更重要的是为管理风险提供基础和依据。作为评估直接输出,用于进行风险管理的安全整体框架。但是由于不同企业环境差异、需求差异,加上在操作层面可参考的模板很少,使得整体框架应用较少。但是,企业至少应该完成近期1~2年内框架,这样才能做到有律可依。
(三)多用户决策评估
不同层面的用户能看到不同的问题,要全面了解风险,必须进行多用户沟通评估。将评估过程作为多用户“决策”过程,对于了解风险、理解风险、管理风险、落实行动,具有极大的意义。事实证明,多用户参与的效果非常明显。多用户“决策”评估,也需要一个具体的流程和方法。
(四)敏感性分析
由于企业的系统越发复杂且互相关联,使得风险越来越隐蔽。要提高评估效果,必须进行深入关联分析,比如对一个老漏洞,不是简单地分析它的影响和解决措施,而是要推断出可能相关的其他技术和管理漏洞,找出病“根”,开出有效的“处方”。这需要强大的评估经验知识库支撑,同时要求评估者具有敏锐的分析能力。
(五)集中化决策管理
安全风险评估需要具有多种知识和能力的人参与,对这些能力和知识的管理,有助于提高评估的效果。集中化决策管理,是评估项目成功的保障条件之一,它不仅是项目管理问题,而且是知识、能力等“基因”的组合运用。必须选用具有特殊技能的人,去执行相应的关键任务。如控制台审计和渗透性测试,由不具备攻防经验和知识的人执行,就达不到任何效果。
(六)评估结果管理
安全风险评估的输出,不应是文档的堆砌,而是一套能够进行记录、管理的系统。它可能不是一个完整的风险管理系统,但至少是一个非常重要的可管理的风险表述系统。企业需要这样的评估管理系统,使用它来指导评估过程,管理评估结果,以便在管理层面提高评估效果。
四、风险评估的过程
(一)前期准备阶段
主要任务是明确评估目标,确定评估所涉及的业务范围,签署相关合同及协议,接收被评估对象已存在的相关资料。展开对被评估对象的调查研究工作。
(二)中期现场阶段
编写测评方案,准备现场测试表、管理问卷,展开现场阶段的测试和调查研究阶段。
(三)后期评估阶段
撰写系统测试报告。进行补充调查研究,评估组依据系统测试报告和补充调研结果形成最终的系统风险评估报告。
五、风险评估的错误理解
1.不能把最终的系统风险评估报告认为是结果唯一。
2.不能认为风险评估可以发现所有的安全问题。
3.不能认为风险评估可以一劳永逸的解决安全问题。
4.不能认为风险评估就是漏洞扫描。
5.不能认为风险评估就是 IT部门的工作,与其它部门无关。
6.不能认为风险评估是对所有信息资产都进行评估。
六、结语
总之,风险评估可以明确信息系统的安全状况和主要安全风险。风险评估是信息系统安全技术体系与管理体系建设的基础。通过风险评估及早发现安全隐患并采取相应的加固方案是信息系统安全工程的重要组成部分,是建立信息系统安全体系的基础和前提。加强信息安全风险评估工作是当前信息安全工作的客观需要和紧迫需求,但是,信息安全评估工作的实施也存在一定的难题,涉及信息安全评估的行业或系统各不相同,并不是所有的评估方法都适用于任何一个行业,要选择合适的评估方法,或开发适合于某一特定行业或系统的特定评估方法,是当前很现实的问题,也会成为下一步研究的重点。
参考文献:
[1]刚,吴昌伦.信息安全风险评估的策划[J].信息技术与标准化,2004,09
[2]贾颖禾.信息安全风险评估[J].中国计算机用户,2004,24
[3]杨洁.层次化的企业信息系统风险分析方法研究[J].软件导刊,2007,03
关键词:网络空间 战略价值 保护
随着信息技术的深化应用,信息基础设施成为重要的经济社会基础设施,国家安全领域不断拓展。在传统的“海、陆、空、天”外,又出现了新的空间,即“网络空间”。总书记曾明确指出:当前,国际上围绕信息获取、利用、控制的斗争日趋激烈,维护国家在网络空间的安全和利益成为信息时代的重大战略课题。
一、网络空间形成机理、主要特性和战略价值
⒈网络空间形成机理
事物是物质和信息的统一体,事物的运动包含信息运动。信息运动同样源自于事物相互作用,受需求动力、技术要素、主体知识、信息政策等因素影响,并表现出相关特性和属性。由于信息运动是信息发挥作用的基础,为增强信息作用效应,人类总是不断发展信息技术,特别是传输技术,以延伸和扩大信息运动的范围。在此过程中,形成了由技术水平和信息运动机制等社会因素共同决定的信息运动空间。
在人类信息活动从“符号化”、“数字化”、再到“虚拟化”的演变基础上,随着网络技术高度发展和接入终端的普及,在网络效应(遵循梅特卡夫法则,Metcalf Law)的激励下,各种信息系统普遍互联,形成和拓展了“网络空间”,特别是互联网技术的出现和普及,极大地扩大了信息运动的范围。这为构建全球统一的网络空间提供了可能、奠定了基础。全球统一的网络空间使信息运动的数量、方式发生了质的变化,使各种信息活动高度相关和融合,使信息活动的重要性得到进一步的提高,不断增强了人类的能动性。
在网络空间内,信息能够在全球范围内及时、广泛地流动,根据不同的主题诉求形成了各类信息空间。相对于现实的各种组织,它可以分为个人信息空间、企业信息空间、国家信息空间等。根据卡斯特尔的研究,“网络的出现及彼此相连,形成了流动空间……是一种特殊的空间形式。流动空间有三个层次,即电子化的互联网构成了流动空间的第一个层次,节点与核心构成了流动空间的第二个层次,占支配地位的管理精英的空间组织构成了流动空间的第三个层次”。因此,网络空间是一个区别于地域空间、存在层次关系的特殊的流动空间。它让人类突破了地理的约束,信息活动可以在网络空间上获得空前的自由。它为人类信息活动的融合提供了前所未有的平台和空间。
目前,全球已有近200多个国家的十几亿人进入了网络,出现了“全球互联”和“网络社会”的趋势。截至今年9月,中国互联网用户达到1.72亿,居全球第二位。
⒉网络空间主要特性
⑴社会性
显然网络空间是一个由无数个信息系统构成和支撑的包容着人文社会组织和环境的新的社会空间,也是一个由虚拟空间与现实世界融合而成的“广义的世界”。它的“变革超出了社会和技术生产关系的范围,网络化逻辑的扩散会从本质上改变生产、经验、权力与文化过程中的操作和结果”(卡斯特尔,1996),因此简单认为网络空间是虚拟的技术系统是非常不充分的。这种认识将导致国家在网络空间的不作为,导致国家利益的丧失。
⑵融合性
融合性首先表现在不同信息主体的信息网络互联互通方面,在此基础上实现各个网络空间的互相连接;其次表现在网络空间的构建和治理机制等方面的趋同。目前,网络空间的融合步伐将进一步加快,以获取更大的网络效应。这一特性使网络空间极具增长性,表现出强烈的开放性特征。
⑶知识性
“信息空间是知识流动的空间,是知识资产积累、扩散、共享的空间”(布瓦索,2005)。这是由于网络空间是构建在信息运动的基础上的,而信息运动的过程是信息、知识的发现和积累,是社会学习过程。在信息技术持续进步和信息空间不断扩大的带动下,社会知识资产总量将不断增加,应用不断扩大。
⑷发展性
发展性首先表现为网络空间的时代性,即它是在信息活动已经实现“数字化”的基础上,随着网络这种协同技术的发展和普及而形成的;其次表现在随着网络的技术持续发展和应用,网络空间将进一步拓展、并覆盖全人类及其活动的所有领域。
⑸非均衡性
网络空间表现出其规模、品质和效应的非均衡性。不同信息主体拥有的技术水平不一样,所构建的网络规模和品质相去甚远;同时,由于知识开发和利用的不一致,使得网络空间效应在各国也表现出巨大的差异。这三方面的综合作用产生了数字鸿沟问题。它使那些拥有网络空间的区域或组织有能力在更大的空间上开展经济社会活动,获得各种机会和收益;而缺少或无法进入网络空间的只能在原来有限的地域空间内进行活动,获得的资源必然是有限的,甚至其生存和发展的空间都受到挤压。特别是在经济全球化的今天,全球化的生产体系会绕过没有利益和政治价值的区域,使那些地区被边缘化、漠视化,丧失融入“平坦世界”、参与竞争的发展机遇。
⒊网络空间战略价值
网络空间所具有的上述特性使网络空间具有极大的战略价值:一是支撑网络空间的信息基础设施已经是经济社会极为重要、时效性极强、关联性极大的基础设施;二是网络空间改变了经济活动中的设计、生成、交易、管理、调节等方式,提升了经济活动效率;三是网络空间改变了知识发现、组织、扩散、应用等方式,极大地增强和提升了知识发现等方面的能力和效率,促使知识发现和技术进步成为经济增长的源泉,促使人类发展模式发生了重大跃迁,即出现了信息发展模式,而这种发展模式的确立,必需牢牢依靠和充分利用网络空间的战略资源;四是网络空间是覆盖全球的新媒体,同样存在一个话语权、舆论的主导权的问题,它既可以用来传播文明、交流信息、促进和谐,也可以被恶意地利用和控制,进行不恰当的宣传,甚至扰乱经济社会活动秩序。
二、网络空间保护的必然性和特殊性
⒈网络空间保护的必然性
这种必然性来自于两方面:一是网络空间具有极大的战略价值,且不同层级的空间所包含的战略价值是不一样的。如果一国无法构建和保护自己的网络空间,如果无法接入全球化的网络空间,或丧失核心层空间,无法对网络空间的组织管理进行必要的表达和诉求,那就不可能最大化地分享网络空间所具有的战略资源,将可能造成在网络空间的不利或被动的局面,甚至严重影响到地域空间的利益。二是全球化过程中,世界各国对有限资源的竞争并没有减弱,甚至趋于激烈,竞争格局依然存在。
正是基于这两方面的原因,世界各国纷纷加强了网络空间的开发利用,加强了国家在网络空间利益的争夺和保护,避免被排挤在网络空间之外,避免自己的网络空间被他国入侵。因此,国家网络空间的概念和诉求出现了,使网络空间成为一个国家的新表达,成为必需捍卫和维护的新领地,成为必须拓展、争夺的新空间。这种争夺与反争夺就构成了国家在网络空间的安全问题。
美国政府高度重视网络空间国家利益,意识到在网络日益成为美国社会神经中枢的情况下,安全问题不应再局限于国土安全、经济安全、能源安全等,而应该包含网络空间的安全,因此, 2003年2月14日,美国公布了《确保网络空间安全的国家战略》,确立了阻止针对至关重要的基础设施的攻击、减少网络空间脆弱性、以及危害最小化和恢复时间最短化等三个目标,并就保护措施做了规定。该报告是美国在“9・11”后,为确保网络安全而采取的一系列举措中的一个核心步骤,既凸现了美国政府对网络空间安全的担忧与重视,也显示出其在新世纪保护与拓展网络空间、确保美国信息霸权的长远战略目标。
⒉网络空间保护的特殊性
⑴保护边界的不确定性
由于信息运动对技术系统的绝对依赖性和控制机制的存在,信息运动必然存在着自然和社会两方面的边界,形成了相对应的“网络空间边界”。但是与传统的“海、陆、空、天”等空间相比,这个边界没有与地域存在着严格的对应关系。这是因为支撑网络空间的各类网络资源可以跨地域规划和使用,规则可以由他国制定和解释,及其与他国网络空间高度融合,使得各国网络空间的边界极为模糊。并且随着保护措施和争夺手段的发展,边界也是动态的,是可以调整的,具有极大的可塑性、可侵入性。
⑵诉求的不确定性
由于网络空间是新的空间形式,网络空间是新的形式,而且边界具有极大的可塑性、动态性,因此,网络空间的指向变得非常模糊和不确定。
⑶攻防双方的非对称性
对网络空间的攻击在时间、空间、方法方式、攻击代价和修复成本等方面表现出显著的非对称性。防护方面常常处于等待和修复的被动局面。
⑷危害后果的严重性
危害后果的严重性是指如果网络空间一旦被破坏,后果十分严重,不但影响经济发展与公众利益,还可能危及国家安全。正如上海合作组织成员国元首们对国际信息安全发表的声明所说,“可能造成与使用大规模杀伤性武器相当的世界性灾难”。
⑸安全问题的广泛性
这是指保护的对象既涉及网络空间所覆盖的所有领域,也包括构成和支撑网络空间的传输层、信息层、应用层以及相应的安全保护系统等。
网络空间保护的这些特殊性为实施保护增添了很大的难度和不确定因素。但是,在网络空间的保护方面,仍然可以建立起特定意义的“网络空间边界”。这是必需的,也是能够做得到的。
三、结束语
总之,现代信息技术已经渗透到人类活动的所有领域,已成为社会生产力发展和人类文明进步新的重要推动力量,并引发着经济、社会的深刻且长远的变革,使加速推进信息化成为世界各国共同的战略选择。我们要充分认识到网络空间的战略价值和加强保护的极端重要性,确立网络空间作为国家安全的第五空间的地位,倡导建立安全稳定、互利共享、和谐共存的国际网络空间秩序,加强信息安全领域的国际合作,通过创新和发展具有自主知识产权的技术和产业,增强网络空间控制力,巩固和发展我国的网络空间,牢牢把握我国在网络空间的话语权、主导权,坚决打击不恰当的用网行为,以及来自于其他形式和主体的入侵行为,保护这一新的国家空间和重要资源。
参考文献:
[1]布瓦索.信息要素-在信息经济中赢得竞争优势[M].上海:世纪出版社
[2]秦海.信息通信技术与经济增长:一项基于国际经验和中国实践的研究[M].北京:中国人民大学出版社,2006
[3]国务院信息化工作办公室政策规划组.国家信息化发展战略学习读本[M].北京:电子工业出版社,2006
[4]乌家培.信息社会与网络经济[M].长春:长春出版社,2002
关键词:无线局域网;嗅探技术;网络安全
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)36-2858-01
无线局域网(WLAN)利用电磁波在空气中发送和接受数据,而无需线缆介质,因而安装方便快捷、组网灵活,在许多领域获得了广泛的应用,但由于其传送数据的开放性,发射的数据可能到达非预期的接收设备,因此通过WLAN传送的信息存在被窃取的风险。嗅探(Sniffer)技术是网络安全攻防技术中很重要的一种,是利用计算机的网络接口截获网络中数据报文的一种技术。嗅探一般工作在网络的底层,可以在对网络传输数据进行记录,从而捕获账号和口令、以及其他用户敏感信息,甚至可以用来获取更高级别的访问权限、分析网络结构进行网络渗透等。对黑客来说,通过嗅探技术能以非常隐蔽的方式攫取网络中的大量敏感信息,与主动扫描相比,嗅探行为更难被察觉,也更容易操作。对安全管理人员来说,借助嗅探技术,可以对网络活动进行实时监控,并进行发现各种网络攻击行为。
在WLAN中网络嗅探对信息安全的威胁具有很强的隐蔽性,运行监听程序的主机在窃听的过程中只是被动的接收网络中传输的信息,它不会与其它主机交换信息,也不修改在网络传输的信息包,使网络信息的丢失不容易被发现。尽管它没有对网络进行主动攻击或破坏行为明显,但由它造成的损失也是不可估量的。随着无线局域网技术的广泛应用,其安全问题也被越来越多的用户关注,只有掌握网络嗅探的原理与本质,才能更有效地防患于未然,增强无线局域网的安全防护能力。
1 网络嗅探原理
根据TCP/IP协议,数据包是经过封装后,再被发送的。两台计算机完成通讯依靠的是MAC地址而与IP地址无关,而目标计算机MAC地址的获取是通过ARP协议广播得到的,而获取的地址会保存在MAC地址表里并定期更新,期间,计算机是不会再去广播寻址信息获取目标MAC地址的,这就给了入侵者以可乘之机。
当一台计算机要发送数据给另一台计算机时,它会以IP地址为依据首先查询自身的ARP地址表,如果里面没有目标计算机的MAC信息,它就触发ARP广播寻址数据直到目标计算机返回自身地址报文,而一旦这个地址表里存在目标计算机的MAC信息,计算机就直接把这个地址作为数据链路层的以太网地址头部封装发送出去。为了避免出现MAC地址表保持着错误的数据,系统在一个指定的时期过后会清空MAC地址表,重新广播获取一份地址列表,而且新的ARP广播可以无条件覆盖原来的MAC地址表。
假设局域网内有两台计算机A和B在通讯,而计算机C要作为一个窃听者的身份得到这两台计算机的通讯数据,那么它就必须想办法让自己能插入两台计算机之间的数据线路里,而在这种一对一的交换式网络里,计算机C必须成为一个中间设备才能让数据得以经过它,要实现这个目标,计算机C就要开始伪造虚假的ARP报文。
ARP寻址报文分两种,一种是用于发送寻址信息的ARP查询包,源机器使用它来广播寻址信息,另一种则是目标机器的ARP应答包,用于回应源机器它的MAC地址,在窃听存在的情况下,如果计算机C要窃听计算机A的通讯,它就伪造一个IP地址为计算机B而MAC地址为计算机C的虚假ARP应答包发送给计算机A,造成计算机A的MAC地址表错误更新为计算机B的IP对应着计算机C的MAC地址的情况,这样一来,系统通过IP地址获得的MAC地址都是计算机C的,数据就会发给以监听身份出现的计算机C了。但这样会造成一种情况就是作为原目标方的计算机B会接收不到数据,因此充当假冒数据接收角色的计算机C必须担当一个转发者的角色,把从计算机A发送的数据返回给计算机B,让两机的通讯正常进行,这样,计算机C就和计算机A、B形成了一个通讯链路,而对于计算机A和B而言,计算机C始终是透明存在的,它们并不知道计算机C在偷听数据的传播。只要计算机C在计算机A重新发送ARP查询包前及时伪造虚假ARP应答包就能维持着这个通讯链路,从而获得持续的数据记录,同时也不会造成被监听者的通讯异常。
计算机C为了监听计算机A和B数据通讯而发起的这种行为,就是“ARP欺骗”(ARP Spoofing)或称“ARP攻击”(ARP Attacking),实际上,真实环境里的ARP欺骗除了嗅探计算机A的数据,通常也会顺便把计算机B的数据给嗅探了去,只要计算机C在对计算机A发送伪装成计算机B的ARP应答包的同时也向计算机B发送伪装成计算机A的ARP应答包即可,这样它就可作为一个双向的身份插入两者之间的通讯链路。
2 防范策略
鉴于网络嗅探器的原理,尽管嗅探技术实现起来比较隐蔽,但并不是没有防范的方法,可采取以下防范策略对嗅探行为进行防护。
1) 设置网络为封闭系统。封闭系统是作为一项安全措施限制 SSID 的广播,隐藏无线网络。为了避免网络被NetStumbler之类的工具发现,应把网络设置为封闭系统。这样可以比较好的禁止非授权访问,但不能完全防止被嗅探。
2) 采用可靠的加密协议。如果用户的无线网络是用于传输比较敏感的数据,那么仅用WEP加密方式是远远不够的,需要进一步采用适合用户需求的第三方加密方式。加密协议简单的可以理解为,介于HTTP协议与TCP协议之间的可选层,如SSL协议位于TCP/IP协议与各种应用层协议之间,在TCP之上建立了一个加密通道,对通过这一层的数据进行加密,防止使用明文传输信息,为数据通讯提供安全支持。而使用secure shell、secure copy或者IPV6协议都可以使得信息安全的传输,从而达到保密的效果。
3) 使用安全外壳协议(SSH)。SSH是一种在不安全网络上提供安全远程登录及其它安全网络服务的协议,通过使用RSA的算法建立连接。在授权完成后,接下来的通信数据是用IDEA技术来加密的。它既可以代替telnet,又可以为ftp、pop、甚至ppp提供一个安全的“通道”,它为通过TCP/IP网络通信提供了通用的最强的加密。目前,还没有人突破过这种加密方法。嗅探到的信息自然将不再有任何价值。
4) 使用一次性口令(OTP)。通常的计算机口令是静态的,容易被嗅探窃取。采用一次性口令技术,能使窃听账号信息失去意义。例如:采用口令序列(S/KEY)时,口令为一个单向的前后相关的序列,系统只用记录第 N个口令。用户用第N-1个口令登录时,系统用单向算法算出第N个口令与自己保存的第N个口令匹配,以判断用户的合法性。由于N是有限的,用户登录N次后必须重新初始化口令序列。
5) 加强本机监控。不同操作系统的计算机采用的检测工具不尽相同。大多数UNIX系列操作系统使用“ifconfig”就可以发现网卡是否工作在混杂模式下。但是在许多时候,本地监控却并不可靠,因为黑客在使用Sniffer的同时,很可能种植了一个ifconfig的“代替品”,检查的结果自然会隐藏真实的情况。所以,通常还要结合其他更高级的工具,例如tripwire、lsof等。
6) 监控本地局域网的数据帧。查找异常网络行为是较好的检测策略。因此系统管理员可以运行自己的Sniffer,例如tcpdump、Windump和snoop等等,监控网络中指定主机的DNS流量,或使用分析计数器工具(如 AntiSniff)测量当前网络的信息包延迟时间。
7) 使用安全的拓朴结构。Sniffer无法穿过交换机、路由器、网桥。网络分段越细,则安全程度越大。
3 结束语
网络嗅探比较简单而且容易实现,特别是借助良好的开发环境,可以通过编程轻松实现预期目的,能造成很大的安全危害,但防范嗅探却相当困难,主要是因为它们不容易被发现。在尽量采用上面提到的防范策略外,系统管理员要定期的对所管理的网络进行安全测试,防止安全隐患。同时由于许多攻击来自网络内部,所以要控制拥有相当权限的用户的数量。还应注重培训,不断提高网管人员的安全意识以及用户使用网络的良好习惯。另外,在使用技术防范的同时,安全管理的制度建设也是非常重要的。
参考文献:
[1] 张耀疆.聚焦黑客―攻击手段与防护策略[M].北京:人民邮电出版社,2002.
[2] 冷月.无线网络保卫战[J].计算机应用文摘,2006(26).
