1. 網路需求分析該如何了解
1. 網路應用分析
根據與安徽技術師范學院領導、有關技術人員的交流情況和我們對校園網的理解,安徽技術師范學院校園網應用需求可歸結為以下幾個方面:
(1)信息的共享。包括教學、科研、教師、學生等信息的處理和共享。
(2)教學管理、圖書管理、人事管理、學籍管理等管理系統的應用。
(3)辦公自動化。
(4)多媒體教學、遠程教學。
(5)VOD視頻點播系統。
(6)Intranet技術應用。
(7)Internet技術應用。
2.校園網主幹和信息點需求及分布
擬建的安徽技術師范學院校園網主要涉及四幢建築物:教學主樓、行政辦公樓、圖書館樓和即將修建的實驗主樓。這四幢建築物之間擬通過光纜連接。校園網路中心擬設在行政辦公樓。
教學主樓: 計算機中心的區域網,其它信息點3個
行政辦公樓: 20個
圖書館樓: 暫不考慮內部信息點
實驗樓: 暫不考慮內部信息點
3.網路流量分析
目前安徽技術師范學院目前有3000多名學生,計劃發展到5000-6000人,並有多個計算機區域網,初步估計上網高峰時約有200~400台計算機需同時上校園網。另外,考慮到多媒體技術的應用,如遠程教學、視頻點播等,網路上需實施傳送大量的圖形圖像信息,所以設計計算機網路系統應充分考慮每個用戶的帶寬和系統的響應時間。其計算機網路的建設應達到:網路傳輸速度高,不能有信息傳輸瓶頸,信息處理效率高,系統響應時間短,每個用戶都有較高的帶寬。
網路規劃與需求分析
需求分析從字面上的意思來理解就是找出"需"和"求"的關系,從當前業務中找出最需要重視的方面,從已經運行的網路中找出最需要改進的地方,滿足客戶提出的各種合理要求,依據客戶要求修改已經成形的方案.
本章重點
2.1需求分析的類型
2.2如何獲得需求
2.3可行性論證
2.4工程招標與投標
2.2.1應用背景分析
應用背景需求分析概括了當前網路應用的技術背景,介紹了行業應用的方向和技術趨勢,說明本企業網路信息化的必然性.
應用背景需求分析要回答一些為什麼要實施網路集成的問題.
(1) 國外同行業的信息化程度以及取得哪些成效
(2) 國內同行業的信息化趨勢如何
(3) 本企業信息化的目的是什麼
(4) 本企業擬採用的信息化步驟如何
需求分析的類型
P33
2.2.1應用背景分析
應用背景需求分析要回答一些為什麼要實施網路集成的問題.
(1) 國外同行業的信息化程度以及取得哪些成效
(2) 國內同行業的信息化趨勢如何
(3) 本企業信息化的目的是什麼
(4) 本企業擬採用的信息化步驟如何
需求分析的類型
P33
2.2.2業務需求
業務需求分析的目標是明確企業的業務類型,應用系統軟體種類,以及它們對網路功能指標(如帶寬,服務質量QoS)的要求.
業務需求是企業建網中首要的環節,是進行網路規劃與設計的基本依據.
需求分析的類型
P33
2.2.2業務需求
通過業務需求分析要為以下方面提供決策依據:
(1) 需實現或改進的企業網路功能有那些
(2) 需要集成的企業應用有哪些
(3) 需要電子郵件服務嗎
(4) 需要Web服務嗎
(5) 需要上網嗎 帶寬是多少
(6) 需要視頻服務嗎
(7) 需要什麼樣的數據共享模式
(8) 需要多大的帶寬范圍
(9) 計劃投入的資金規模是多少
需求分析的類型
P33
2.2.3管理需求
網路的管理是企業建網不可或缺的方面,網路是否按照設計目標提供穩定的服務主要依靠有效的網路管理.高效的管理策略能提高網路的運營效率,建網之初就應該重視這些策略.
需求分析的類型
P34
2.2.3管理需求
網路管理的需求分析要回答以下類似的問題:
是否需要對網路進行遠程管理,遠程管理可以幫助網路管理員利用遠程式控制制軟體管理網路設備,使網管工作更方便,更高效.
誰來負責網路管理;
需要哪些管理功能,如需不需要計費,是否要為網路建立域,選擇什麼樣的域模式等;
需求分析的類型
P34
2.2.3管理需求
選擇哪個供應商的網管軟體,是否有詳細的評估;
選擇哪個供應商的網路設備,其可管理性如何;
需不需要跟蹤和分析處理網路運行信息;
將網管控制台配置在何處
是否採用了易於管理的設備和布線方式
需求分析的類型
P34
2.2.4安全性需求
企業安全性需求分析要明確以下幾點:
企業的敏感性數據的安全級別及其分布情況;
網路用戶的安全級別及其許可權;
可能存在的安全漏洞,這些漏洞對本系統的影響程度如何;
網路設備的安全功能要求;
需求分析的類型
P34
2.2.4安全性需求
網路系統軟體的安全評估;
應用系統安全要求;
採用什麼樣的殺毒軟體;
採用什麼樣的防火牆技術方案;
安全軟體系統的評估;
網路遵循的安全規范和達到的安全級別.
需求分析的類型
P34
2.2.5通信量需求
通信量需求是從網路應用出發,對當前技術條件下可以提供的網路帶寬做出評估.
需求分析的類型
P35
應用類型
基本帶寬需求
備注
PC連接
14.4kb/s~56kb/s
遠程連接,FTP,HTTP,E-mail
文件服務
100kb/s以上
區域網內文件共享,C/S應用,
B/S應用,在線游戲等絕大部分純文本應用
壓縮視頻
256kb/s以上
Mp3,rm等流媒體傳輸
非壓縮視頻
2Mb/s以上
Vod視頻點播,視頻會議等
表2-1 列舉常見應用對通信量的需求
2.2.5通信量需求
未來有沒有對高帶寬服務的要求;
需不需要寬頻接入方式,本地能夠提供的寬頻接入方式有哪些;
哪些用戶經常對網路訪問有特殊的要求 如行政人員經常要訪問OA伺服器,銷售人員經常要訪問ERP資料庫等.
哪些用戶需要經常訪問Internet 如客戶服務人員經常要收發E_mail.
哪些伺服器有較大的連接數
哪些網路設備能提供合適的帶寬且性價比較高.
需要使用什麼樣的傳輸介質.
伺服器和網路應用能夠支持負載均衡嗎
需求分析的類型
P35
2.2.6網路擴展性需求分析
網路的擴展性有兩層含義,其一是指新的部門能夠簡單地接入現有網路;其二是指新的應用能夠無縫地在現有網路上運行.
擴展性分析要明確以下指標:
(1) 企業需求的新增長點有哪些;
(2) 已有的網路設備和計算機資源有哪些
(3) 哪些設備需要淘汰,哪些設備還可以保留
(4) 網路節點和布線的預留比率是多少
(5) 哪些設備便於網路擴展
(6) 主機設備的升級性能
(7) 操作系統平台的升級性能
需求分析的類型
P35
2.2.7網路環境需求
網路環境需求是對企業的地理環境和人文布局進行實地勘察以確定網路規模,地理分劃,以便在拓撲結構設計和結構化綜合布線設計中做出決策.
網路環境需求分析需要明確下列指標:
(1) 園區內的建築群位置;
(2) 建築物內的弱電井位置,配電房位置等;
(3) 各部分辦公區的分布情況;
(4) 各工作區內的信息點數目和布線規模;
需求分析的類型
P36
2.3.1獲得需求信息的方法
1. 實地考察
實地考察是工程設計人員獲得第一手資料採用的最直接的方法,也是必需的步驟;
如何獲得需求
P36
2.3.1獲得需求信息的方法
2. 用戶訪談
用戶訪談要求工程設計人員與招標單位的負責人通過面談,電話交談,電子郵件等通訊方式以一問一答的形式獲得需求信
如何獲得需求
P36
2.3.1獲得需求信息的方法
3.問卷調查
問卷調查通常對數量較多的最終用戶提出,詢問其對將要建設的網路應用的要求.
如何獲得需求
P36
問卷調查的方式可以分為無記名問卷調查和記名問卷調查
2.3.1獲得需求信息的方法
4.向同行咨詢
將你獲得的需求分析中不涉及到商業機密的部分發布到專門討論網路相關技術的論壇或新聞組中,請同行給你參考你制定的設計說明書,這時候,你會發現熱心於你的方案的人們通常會給出許多中肯的建議
如何獲得需求
P36
2.3.2歸納整理需求信息
通過各種途徑獲取的需求信息通常是零散的,無序的,而且並非所有需求信息都是必要的或當前可以實現的,只有對當前系統總體設計有幫助的需求信息才應該保留下來,其他的僅作為參考或以後升級使用.
1.將需求信息用規范的語言表述出來
2.對需求信息列表
如何獲得需求
P38
2.3.2歸納整理需求信息
需求信息也可以用圖表來表示.圖表帶有一定的分析功能,常用的有柱圖,直方圖,折線圖和餅圖.
如何獲得需求
P39
2.4 可行性論證
需求分析所取得的資料經過整理後得到需求分析文檔,但這種需求分析文檔還需要經過論證後才能最終確定下來.參與論證活動的人員除了需求分析工作的負責人外,還要邀請其他部門的負責人,以及招標方的領導和專家.
可行性論證求
P40
2.4.1 可行性論證的目的
可行性論證是就工程的背景,意義,目的,目標,工程的功能,范圍,需求,可選擇的技術方案,設計要點,建設進度,工程組織,監理,經費等方面作出可行性驗證,指出工程建設中選擇軟硬體的依據,降低項目建設的總體風險.
提供正確選擇軟硬體系統的依據
驗證可行性,減少項目建設的總體風險
產生應用系統原型,積累必要的經驗
加強客戶,系統集成商,設備供應商之間的合作關系
降低後期實施的難度,提高客戶服務水平和滿意度
可行性論證求
P40
2.4.1 可行性論證的目的
在編寫可行性論證報告時,主要對下列項目逐條說明:
1.系統建設的目的
2.技術可行性
3.應用可行性
4.人員,資金可行性
5.設備可行性
6.安全可行性
可行性論證求
P40
2.5 工程招標與投標
為了保證網路工程的建設質量,網路建設方應該以公開招標的方式確定承建商.參與投標的承建商拿出各自的標書參與投標,其中標書的主要內容就來自於需求分析報告和可行性論證報告.
工程招投標是一個規范的網路工程必需的環節.
工程招標與投標
P41
2.5.1工程招標流程簡介
1.招標方聘請監理部門工作人員,根據需求分析階段提交的網路系統集成方案,編制網路工程標底;
2. 做好招標工作的前期准備,編制招標文件;
3. 發布招標通告或邀請函,負責對有關網路工程問題進行咨詢;
4. 接受投標單位遞送的標書;
5. 對投標單位資格,企業資質等進行審查.審查內容包括:企業注冊資金,網路系統集成工程案例,技術人員配置,各種網路代理資格屬實情況,各種網路資質證書的屬實情況.
工程招標與投標
P41
2.5.1工程招標流程簡介
6. 邀請計算機專家,網路專家組成評標委員會;
7. 開標,公開招標各方資料,准備評標;
8. 評標,邀請具有評標資質的專家參與評標,對參評方各項條件公平打分,選擇得分最高的系統集成商;
9. 中標,公告中標方,並與中標方簽訂正式工程合同.
工程招標與投標
P41
2.5.2工程招標
計算機網路工程招標的目的,是為了以公開,公平,公正的原則和方式,從眾多系統集成商中,選擇一個有合格資質,並能為用戶提供最佳性能價格比的集成商.
編制招標文件
招標
工程招標與投標
P41
2.5.3工程投標
投標人在索取,購買標書後,應該仔細閱讀標書的投標要求及投標須知.在同意並遵循招標文件的各項規定和要求的前提下,提出自己的投標文件.
編制投標文件
投標
1,遞交投標文件
2,評標
3,中標
4,簽訂合同
工程招標與投標
P41
標書內容
(1)參評方案一覽表
(2)參評方案價格表
(3)系統集成方案
(4)設備配置及參數一覽表
(5)公司有關計算機設備及備件報價一覽表
(6)從業人員及其技術資格一覽表
(7)公司情況一覽表,
(8)公司經營業績一覽表
(9)中標後服務計劃
(10)資格證明文件,及參評方案方認為需要加以說明的其他內容
(11)文檔資料清單
(12)參評方案保證金
2. 消防安全系統檢查評估【如何評估網路系統的安全】
網路系統的安全程度同樣符合木桶原理,即最終的安全性取決於網路中最弱的一個環節。本文系統地對網路架構的各個安全點進行了分析,同培空時針對性地介紹了降低這些安全點風險的方案和措施。
各種網路安全事故頻發使得各個組織對信息安全的重視程度逐漸提高,同時各種專門提供網路安全服務的企業也應運而生。然而,目前大多安全服務都是以主機的安全評估、系統加固、應急響應、應用安全防護、管理層面的安全策略體系制訂、應用安全防護、安全產品集成等為主,對於網路架構的安全評估卻很少。綜觀近幾年來互連網上不斷出現的病毒蠕蟲感染等安全事件,不少是由於對網路架構安全的忽視導致了大范圍的傳播和影響。2003年的27號文件――《國家信息化領導小組關於加強信息安全保障的文件》下發後,對信息系統安全域劃分、等級保護、信息安全風險評估、等級保障等需求愈來愈迫切,而做好安全域劃分的關鍵就是對網路架構安全的正確分析。
信息系統的網路架構安全分析是通過對整個組織的網路體系進行深入調研,以國際安全標准和技術框架為指導,全面地對網路架構、網路邊界、網路協議、網路流量、網路QoS、網路建設的規范性、網路設備安全、網路管理等多個方面進行深入分析。
網路架構分析
網路架構分析的主要內容包括根據IATF技術框架分析網路設計是否層次分明,是否採用了核心層、匯聚層、接入層等劃分原則的網路架構(劃分不規范不利於網路優化和調整); 網路邊界是否清晰,是否符合IATF的網路基礎設施、邊界/外部連接、計算環境、支撐基礎設施的深度防禦原則(邊界不清晰不便於安全控制)。應考慮的安全點主要有:
1. 網路架構設計應符合層次分明、分級管理、統一規劃的原則,應迅悶便於以後網路整體規劃和改造。
2. 根據組織實際情況進行區間劃分,Internet、Intranet和Extranet之間以及它們內部各區域之間結構必須使網路應有的性能得到充分發揮。
3. 根據各部門的工作職能、重要性、所涉及信息等級等因素劃分不同的子網或網段。
4. 網路規劃應考慮把核心網路設備的處理任務分散到邊緣設備,使其能將主要的處理能力放在對數據的轉發或處理上。
5. 實體的訪問許可權通常與其真實身份相關,身份不同,工作的內容、性質、所在的部門就不同,因此所應關注的網路操作也不同,授予的許可權也就不同。
6. 網路前期建設方案、網路拓撲結構圖應和實際的網路結構一致; 所有網路設備(包括交換機、路由器、防火牆、IDS以及其他網路設備)應由組織統一規劃部署,並應符合實際需求。
7. 應充分考慮Internet接入的問題,防止出現多Internet接入點,同時限制接入用戶的訪問數量。
8. 備份也是需要考慮的重要因素,對廣域網設備、區域網設備、廣域網鏈路、區域網鏈路採用物理上的備份和採取冗餘協議,防止出現單點故障。
網路邊界分析
邊界保護不僅存在於組織內部網路與外部網路之間,而且也存在於同一組織內部網路中,特別是不同級別的子網之間邊界。有效的邊界防護技術措施主要包括網路訪問控制、入侵防範、網關防病毒、信息過濾、網路隔離部件、邊界完整性檢查,以及對於遠程用戶的標識與鑒別/訪問控制。邊界劃分還應考慮關鍵業務系統和非關鍵業務系統之間是否進行了分離,分離後各業務區域之間的邏輯控制是否合理,業務系統配昌瞎之間的交疊不但影響網路的性能還會給網路帶來安全上的隱患。應考慮的安全點主要有:
1. Internet、Intranet和Extranet之間及它們內部各VLAN或區域之間邊界劃分是否合理; 在網路節點(如路由器、交換機、防火牆等設備)互連互通應根據實際需求進行嚴格控制; 驗證設備當前配置的有效策略是否符合組織確定的安全策略。
2. 內網中的安全區域劃分和訪問控制要合理,各VLAN之間的訪問控制要嚴格,不嚴格就會越權訪問。
3. 可檢查網路系統現有的身份鑒別、路由器的訪問控制、防火牆的訪問控制、NAT等策略配置的安全性; 防止非法數據的流入; 對內防止敏感數據(涉密或重要網段數據)的流出。
4. 防火牆是否劃分DMZ區域; 是否配置登錄配置的安全參數。例如: 最大鑒別失敗次數、最大審計存儲容量等數據。
5. 網路隔離部件上的訪問通道應該遵循「默認全部關閉,按需求開通的原則」; 拒絕訪問除明確許可以外的任何一種服務,也就是拒絕一切未經特許的服務。
6. 實現基於源和目的的IP地址、源和目的端 口號 、傳輸層協議的出入介面的訪問控制。對外服務採用用戶名、IP、MAC 等綁定,並限制變換的MAC地址數量,用以防止會話劫持、中間人攻擊。
7. 對於應用層過濾,應設置禁止訪問 Java Applet、ActiveX等以降低威脅。
8. 採用業界先進的安全技術對關鍵業務系統和非關鍵業務系統進行邏輯隔離,保證各個業務系統間的安全性和高效性,例如: 採用MPLS-VPN對各業務系統間邏輯進行劃分並進行互訪控制。
9. 必要時對涉密網路系統進行物理隔離; 實現VPN傳輸系統; 對重要網路和伺服器實施動態口令認證; 進行安全域的劃分,針對不同的區域的重要程度,有重點、分期進行安全防護,逐步從核心網路向網路邊緣延伸。例如,網路可以分成三個區域: 信任域、非信任域和隔離區域。信任域和隔離區域進行重點保護,對於非信任域,可根據不同業務系統的重要程度進行重點保護。
10. 整體網路系統統一策略、統一升級、統一控制。
網路協議分析
深入分析組織整個網路系統的協議設計是否合理,是否存在協議設計混亂、不規范的情況,是否採用安全協議,協議的區域之間是否採用安全防護措施。協議是網路系統運行的神經,協議規劃不合理就會影響整個網路系統的運行效率,甚至帶來高度隱患和風險。應考慮的安全點主要有:
1. 路由協議、路由相關的協議及交換協議應以安全的、對網路規劃和設計方便為原則,應充分考慮區域網絡的規劃、建設、擴充、性能、故障排除、安全隱患、被攻擊可能性,並應啟用加密和驗證功能。
2. 應合理設計網路路由協議和路由策略,保證網路的連通性、可達性,以及網路業務流向分布的均衡性。
3. 啟用動態路由協議的認證功能,並設置具有一定強度的密鑰,相互之間交換路由信息的路由器必須具有相同的密鑰。默認的認證密碼是明文傳輸的,建議啟用加密認證。
4. 對使用動態路由協議的路由設備設置穩定的邏輯地址,如Loopback地址,以減少路由振盪的可能性。
5. 應禁止路由器上 IP 直接廣播、ICMP重定向、Loopback數據包和多目地址數據包,保證網路路徑的正確性,防止IP源地址欺騙。如禁止非公有地址、組播地址、全網路地址和自己內部的網路地址訪問內部網路,同時禁止非內部網路中的地址訪問外部網路。
6. 重要網段應採取IP地址與MAC地址綁定措施,防止ARP欺騙。
7. 如果不需要ARP代理(ARP Proxy)服務則禁止它。
8. 應限制 SYN 包流量帶寬,控制 ICMP、TCP、UDP 的連接數。
9. ICMP協議的安全配置。對於流入的ICMP數據包,只允許Echo Reply、Destination Unreachable、Time Out及其他需要的類型。對於流出的ICMP數據包,只允許Echo及其他必需的類型。
10. SNMP協議的Community String字串長度應大於12位,並由數字、大小寫字母和特殊字元共同組成。
11. 禁用HTTP服務,不允許通過HTTP方式訪問路由器。如果不得不啟用HTTP訪問方式,則需要對其進行安全配置。
12. 對於交換機,應防止VLAN穿越攻擊。例如,所有連接用戶終端的介面都應從VLAN1中排除,將Trunk介面劃分到一個單獨的VLAN中; 為防止STP攻擊,對用戶側埠,禁止發送BPDU; 為防止VTP攻擊,應設置口令認證,口令強度應大於12位,並由數字、大小寫字母和特殊字元共同組成;盡量將交換機VTP設置為透明(Transparent)模式。
13.採用安全性較高的網路管理協議,如SNMP v3、RMON v2。
網路流量分析
流量分析系統主要從帶寬的網路流量分析、網路協議流量分析、基於網段的業務流量分析、網路異常流量分析、應用服務異常流量分析等五個方面對網路系統進行綜合流量分析。應考慮的安全點主要有:
1. 帶寬的網路流量分析。復雜的網路系統中不同的應用需佔用不同的帶寬,重要的應用是否得到了最佳的帶寬?所佔比例是多少?隊列設置和網路優化是否生效?通過基於帶寬的網路流量分析會使其更加明確。採用監控網路鏈路流量負載的工具軟體,通過SNMP協議從設備得到設備的流量信息,並將流量負載以包含PNG格式的圖形的HTML文檔方式顯示給用戶,以非常直觀的形式顯示流量負載。
2. 網路協議流量分析。對網路流量進行協議劃分,針對不同的協議進行流量監控和分析,如果某一個協議在一個時間段內出現超常流量暴漲,就有可能是攻擊流量或有蠕蟲病毒出現。例如: Cisco NetFlow V5可以根據不同的協議對網路流量進行劃分,對不同協議流量進行分別匯總。
3. 基於網段的業務流量分析。流量分析系統可以針對不同的VLAN來進行網路流量監控,大多數組織都是基於不同的業務系統通過VLAN來進行邏輯隔離的,所以可以通過流量分析系統針對不同的VLAN 來對不同的業務系統的業務流量進行監控。例如: Cisco NetFlow V5可以針對不同的VLAN進行流量監控。
4. 網路異常流量分析。異常流量分析系統支持異常流量發現和報警,能夠通過對一個時間窗內歷史數據的自動學習,獲取包括總體網路流量水平、流量波動、流量跳變等在內的多種網路流量測度,並自動建立當前流量的置信度區間作為流量異常監測的基礎。通過積極主動鑒定和防止針對網路的安全威脅,保證了服務水平協議(SLA)並且改進顧客服務, 從而為組織節約成本。
抗擊異常流量系統必須完備,網路系統數據流比較大,而且復雜,如果抗異常流量系統不完備,當網路流量異常時或遭大規模DDOS攻擊時,就很難有應對措施。
5. 應用服務異常流量分析。當應用層出現異常流量時,通過IDS&IPS的協議分析、協議識別技術可以對應用層進行深層的流量分析,並通過IPS的安全防護技術進行反擊。
網路QoS
合理的QoS配置會增加網路的可用性,保證數據的完整性和安全性,因此應對網路系統的帶寬、時延、時延抖動和分組丟失率等方面進行深入分析,進行QoS配置來優化網路系統。應考慮的安全點主要有:
1. 採用RSVP協議。RSVP使IP網路為應用提供所要求的端到端的QoS保證。
2. 採用路由匯聚。路由器把QoS需求相近的業務流看成一個大類進行匯聚,減少流量交疊,保證QoS。
3. 採用MPLSVPN技術。多協議標簽交換(MPLS)將靈活的3層IP選路和高速的2層交換技術完美地結合起來,從而彌補了傳統IP網路的許多缺陷。
4. 採用隊列技術和流量工程。隊列技術主要有隊列管理機制、隊列調度機制、CAR和流量工程。
5. QoS路由。QoS路由的主要目標是為接入的業務選擇滿足其服務質量要求的傳輸路徑,同時保證網路資源的有效利用路由選擇。
6. 應保證正常應用的連通性。保證網路和應用系統的性能不因網路設備上的策略配置而有明顯下降,特別是一些重要應用系統。
7. 通過對不同服務類型數據流的帶寬管理,保證正常服務有充足的帶寬,有效抵禦各種拒絕服務類型的攻擊。
網路的規范性
應考慮的安全點主要有:
1. IP地址規劃是否合理,IP地址規劃是否連續,在不同的業務系統採用不同的網段,便於以後網路IP調整。
2. 網路設備命名是否規范,是否有統一的命名原則,並且很容易區分各個設備的。
3. 應合理設計網路地址,應充分考慮地址的連續性管理以及業務流量分布的均衡性。
4. 網路系統建設是否規范,包括機房、線纜、配電等物理安全方面,是否採用標准材料和進行規范設計,設備和線纜是否貼有標簽。
5. 網路設備名稱應具有合理的命名體系和名稱標識,便於網管人員迅速准確識別,所有網路埠應進行充分描述和標記。
6. 應對所有網路設備進行資產登記,登記記錄上應該標明硬體型號、廠家、操作系統版本、已安裝的補丁程序號、安裝和升級的時間等內容。
7. 所有網路設備旁都必須以清晰可見的形式張貼類似聲明: 「嚴格禁止未經授權使用此網路設備。
8. 應制定網路設備用戶賬號的管理制度,對各個網路設備上擁有用戶賬號的人員、許可權以及賬號的認證和管理方式做出明確規定。對於重要網路設備應使用Radius或者TACACS+的方式實現對用戶的集中管理。
網路設備安全
對設備本身安全進行配置,並建設完備的安全保障體系,包括: 使用訪問控制、身份驗證配置; 關閉不必要的埠、服務、協議; 用戶名口令安全、許可權控制、驗證; 部署安全產品等。應考慮的安全點主要有:
1. 安全配置是否合理,路由、交換、防火、IDS等網路設備及網路安全產品的不必要的服務、埠、協議是否關閉,網路設備的安全漏洞及其脆弱的安全配置方面的優化,如路由器的安全漏洞、訪問控制設置不嚴密、數據傳輸未加密、網路邊界未完全隔離等。
2. 在網路建設完成、測試通過、投入使用前,應刪除測試用戶和口令,最小化合法用戶的許可權,最優化系統配置。
3. 在接入層交換機中,對於不需要用來進行第三層連接的埠,通過設置使其屬於相應的 VLAN,應將所有空閑交換機埠設置為 Disable,防止空閑的交換機埠被非法使用。
4. 應盡量保持防火牆規則的清晰與簡潔,並遵循「默認拒絕,特殊規則靠前,普通規則靠後,規則不重復」的原則,通過調整規則的次序進行優化。
5. 應為不同的用戶建立相應的賬號,根據對網路設備安裝、配置、升級和管理的需要為用戶設置相應的級別,並對各個級別用戶能夠使用的命令進行限制,嚴格遵循「不同許可權的人執行不同等級的命令集」。同時對網路設備中所有用戶賬號進行登記備案
6. 應制訂網路設備用戶賬號口令的管理策略,對口令的選取、組成、長度、保存、修改周期以及存儲做出規定。
7. 使用強口令認證,對於不宜定期更新的口令,如SNMP字串、VTP認證密碼、動態路由協議認證口令等,其口令強度應大於12位,並由數字、大小寫字母和特殊字元共同組成。
8. 設置網路登錄連接超時,例如,超過60秒無操作應自動退出。
9. 採用帶加密保護的遠程訪問方式,如用SSH代替Telnet。
10. 嚴格禁止非本系統管理人員直接進入網路設備進行操作,若在特殊情況下(如系統維修、升級等)需要外部人員(主要是指廠家技術工程師、非本系統技術工程師、安全管理員等)進入網路設備進行操作時,必須由本系統管理員登錄,並對操作全過程進行記錄備案。
11. 對設備進行安全配置和變更管理,並且對設備配置和變更的每一步更改,都必須進行詳細的記錄備案。
12. 安全存放路由器的配置文件,保護配置文件的備份和不被非法獲取。
13. 應立即更改相關網路設備默認的配置和策略。
14. 應充分考慮網路建設時對原有網路的影響,並制定詳細的應急計劃,避免因網路建設出現意外情況造成原有網路的癱瘓。
15. 關鍵業務數據在傳輸時應採用加密手段,以防止被監聽或數據泄漏。
16. 對網路設備本身的擴展性、性能和功能、網路負載、網路延遲、網路背板等方面應充分考慮。設備功能的有效性與部署、配置及管理密切相關,倘若功能具備卻沒有正確配置及管理,就不能發揮其應有的作用。
17. 網路安全技術體系建設主要包括安全評估、安全防護、入侵檢測、應急恢復四部分內容,要對其流程完備性進行深入分析。
18. 安全防護體系是否堅固,要分析整個網路系統中是否部署了防火牆及VPN系統、抗拒絕服務系統、漏洞掃描系統、IDS&IPS系統、流量負載均衡系統部署、防病毒網關、網路層驗證系統、動態口令認證系統,各個安全系統之間的集成是否合理。
19. 應安全存放防火牆的配置文件,專人保管,保護配置文件不被非法獲取。
20. 及時檢查入侵檢測系統廠商的規則庫升級信息,離線下載或使用廠商提供的定期升級包對規則庫進行升級。具體包括:
● 查看硬體和軟體系統的運行情況是否正常、穩定;
● 查看OS版本和補丁是否最新;
● OS是否存在已知的系統漏洞或者其他安全缺陷。
網路管理
網路管理和監控系統是整個網路安全防護手段中的重要部分,網路管理應該遵循SDLC(生命周期)的原則,從網路架構前期規劃、網路架構開發建設到網路架構運行維護、網路架構系統廢棄都應全面考慮安全問題,這樣才能夠全面分析網路系統存在的風險。應考慮的安全點主要有:
1. 網路設備網管軟體的部署和網路安全網管軟體的部署; 部署監控軟體對內部網路的狀態、網路行為和通信內容進行實時有效的監控,既包括對網路內部的計算機違規操作、惡意攻擊行為、惡意代碼傳播等現象進行有效地發現和阻斷,又包括對網路進行的安全漏洞評估。
2. 確認網路安全技術人員是否定期通過強加密通道進行遠程登錄監控網路狀況。
3. 應盡可能加強網路設備的安全管理方式,例如應使用SSH代替Telnet,使用HTTPS代替HTTP,並且限定遠程登錄的超時時間、遠程管理的用戶數量、遠程管理的終端IP地址,同時進行嚴格的身份認證和訪問許可權的授予,並在配置完後,立刻關閉此類遠程連接; 應盡可能避免使用SNMP協議進行管理。如果的確需要,應使用V3版本替代V1、V2版本,並啟用MD5等驗證功能。進行遠程管理時,應設置控制口和遠程登錄口的超時時間,讓控制口和遠程登錄口在空閑一定時間後自動斷開。
4. 及時監視、收集網路以及安全設備生產廠商公布的軟體以及補丁更新,要求下載補丁程序的站點必須是相應的官方站點,並對更新軟體或補丁進行評測,在獲得信息安全工作組的批准下,對生產環境實施軟體更新或者補丁安裝。
5. 應立即提醒信息安全工作組任何可能影響網路正常運行的漏洞,並及時評測對漏洞採取的對策,在獲得信息安全工作組的批準的情況下,對生產環境實施評測過的對策,並將整個過程記錄備案。
6. 應充分考慮設備認證、用戶認證等認證機制,以便在網路建設時採取相應的安全措施。
7. 應定期提交安全事件和相關問題的管理報告,以備管理層檢查,以及方便安全策略、預警信息的順利下發。檢測和告警信息的及時上報,保證響應流程的快速、准確而有效。
8. 系統開發建設人員在網路建設時應嚴格按照網路規劃中的設計進行實施,需要變更部分,應在專業人士的配合下,經過嚴格的變更設計方案論證方可進行。
9. 網路建設的過程中,應嚴格按照實施計劃進行,並對每一步實施,都進行詳細記錄,最終形成實施報告。
10. 網路建設完成投入使用前,應對所有組件包括設備、服務或應用進行連通性測試、性能測試、安全性測試,並做詳細記錄,最終形成測試報告。測試機構應由專業的信息安全測試機構或第三方安全咨詢機構進行。
11. 應對日常運維、監控、配置管理和變更管理在職責上進行分離,由不同的人員負責。
12. 應制訂網路設備日誌的管理制定,對於日誌功能的啟用、日誌記錄的內容、日誌的管理形式、日誌的審查分析做明確的規定。對於重要網路設備,應建立集中的日誌管理伺服器,實現對重要網路設備日誌的統一管理,以利於對網路設備日誌的審查分析。
13. 應保證各設備的系統日誌處於運行狀態,每兩周對日誌做一次全面的分析,對登錄的用戶、登錄時間、所做的配置和操作做檢查,在發現有異常的現象時應及時向信息安全工作組報告。
14. 對防火牆管理必須經過安全認證,所有的認證過程都應記錄。認證機制應綜合使用多種認證方式,如密碼認證、令牌認證、會話認證、特定IP地址認證等。
15. 應設置可以管理防火牆的IP范圍,對登錄防火牆管理界面的許可權進行嚴格限制。
16. 在防火牆和入侵檢測系統聯動的情況下,最好是手工方式啟用聯動策略,以避免因入侵檢測系統誤報造成正常訪問被阻斷。
17. 部署安全日誌審計系統。安全日誌審計是指對網路系統中的網路設備、網路流量、運行狀況等進行全面的監測、分析、評估,通過這些記錄來檢查、發現系統或用戶行為中的入侵或異常。目前的審計系統可以實現安全審計數據的輸入、查詢、統計等功能。
18. 安全審計內容包括操作系統的審計、應用系統的審計、設備審計、網路應用的審計等。操作系統的審計、應用系統的審計以及網路應用的審計等內容本文不再贅述。在此僅介紹網路設備中路由器的審計內容:操作系統軟體版本、路由器負載、登錄密碼有無遺漏,enable 密碼、telnet 地址限制、HTTP安全限制、SNMP有無安全隱患; 是否關閉無用服務; 必要的埠設置、Cisco發現協議(CDP協議); 是否已修改了預設旗標(BANNER)、日誌是否開啟、是否符合設置RPF的條件、設置防SYN攻擊、使用CAR(Control Access Rate)限制ICMP包流量; 設置SYN數據包流量控制(非核心節點)。
19. 通過檢查性審計和攻擊性審計兩種方式分別對網路系統進行全面審計。
20. 應對網路設備物理埠、CPU、內存等硬體方面的性能和功能進行監控和管理。
● 系統維護中心批准後,根據實際應用情況提出接入需求和方案,向信息安全工作組提交接入申請;
● 由申請人進行非上線實施測試,並配置其安全策略;
● 信息安全員對安全配置進行確認,檢查安全配置是否安全,若安全則進入下一步,否則重新進行配置。
21. 網路設備廢棄的安全考慮應有一套完整的流程,防止廢棄影響到網路運行的穩定。任何網路設備的廢棄都應進行記錄備案,記錄內容應包括廢棄人、廢棄時間、廢棄原因等。
3. 如何對網站進行滲透測試和漏洞掃描
零、前言
滲透測試在未得到被測試方授權之前依據某些地區法律規定是違法行為。 這里我們提供的所有滲透測試方法均為(假設為)合法的評估服務,也就是通常所說的道德黑客行為(Ethical hacking),因此我們這里的所有讀者應當都是Ethical Hackers,如果您還不是,那麼我希望您到過這里後會成為他們中的一員 ;)
這里,我還想對大家說一些話:滲透測試重在實踐,您需要一顆永不言敗的心和一個有著活躍思維的大腦。不是說您將這一份文檔COPY到您網站上或者保存到本地電腦您就會了,即使您將它列印出來沾點辣椒醬吃了也不行,您一定要根據文檔一步一步練習才行。而且測試重在用腦,千萬別拿上一兩個本文中提到的工具一陣亂搞,我敢保證:互聯網的安全不為因為這樣而更安全。祝您好運。。。
一、簡介
什麼叫滲透測試?
滲透測試最簡單直接的解釋就是:完全站在攻擊者角度對目標系統進行的安全性測試過程。
進行滲透測試的目的?
了解當前系統的安全性、了解攻擊者可能利用的途徑。它能夠讓管理人員非常直觀的了解當前系統所面臨的問題。為什麼說叫直觀呢?就像Mitnick書裡面提到的那樣,安全管理(在這里我們改一下,改成安全評估工作)需要做到面面俱到才算成功,而一位黑客(滲透測試)只要能通過一點進入系統進行破壞,他就算是很成功的了。
滲透測試是否等同於風險評估?
不是,你可以暫時理解成滲透測試屬於風險評估的一部分。事實上,風險評估遠比滲透測試復雜的多,它除滲透測試外還要加上資產識別,風險分析,除此之外,也還包括了人工審查以及後期的優化部分(可選)。
已經進行了安全審查,還需要滲透測試嗎?
如果我對您說:嘿,中國的現有太空理論技術通過計算機演算已經能夠證明中國完全有能力實現宇航員太空漫步了,沒必要再發射神8了。您能接受嗎?
滲透測試是否就是黑盒測試?
否,很多技術人員對這個問題都存在這個錯誤的理解。滲透測試不只是要模擬外部黑客的入侵,同時,防止內部人員的有意識(無意識)攻擊也是很有必要的。這時,安全測試人員可以被告之包括代碼片段來內的有關於系統的一些信息。這時,它就滿足灰盒甚至白盒測試。
滲透測試涉及哪些內容?
技術層面主要包括網路設備,主機,資料庫,應用系統。另外可以考慮加入社會工程學(入侵的藝術/THE ART OF INTRUSION)。
滲透測試有哪些不足之處?
主要是投入高,風險高。而且必須是專業的Ethical Hackers才能相信輸出的最終結果。
你說的那麼好,為什麼滲透測試工作在中國開展的不是很火熱呢?
我只能說:會的,一定會的。滲透測試的關鍵在於沒法證明你的測試結果就是完善的。用戶不知道花了錢證明了系統有問題以後,自己的安全等級到了一個什麼程序。但是很顯然,用戶是相信一個專業且經驗豐富的安全團隊的,這個在中國問題比較嚴重。在我接觸了一些大型的安全公司進行的一些滲透測試過程來看,測試人員的水平是對不住開的那些價格的,而且從測試過程到結果報表上來看也是不負責的。我估計在三年以後,這種情況會有所改觀,到時一方面安全人員的技術力量有很大程度的改觀,另一方面各企業對滲透測試會有一個比較深刻的理解,也會將其做為一種IT審計的方式加入到開發流程中去。滲透測試的專業化、商業化會越來越成熟。
二、制定實施方案
實施方案應當由測試方與客戶之間進行溝通協商。一開始測試方提供一份簡單的問卷調查了解客戶對測試的基本接收情況。內容包括但不限於如下:
目標系統介紹、重點保護對象及特性。
是否允許數據破壞?
是否允許阻斷業務正常運行?
測試之前是否應當知會相關部門介面人?
接入方式?外網和內網?
測試是發現問題就算成功,還是盡可能的發現多的問題?
滲透過程是否需要考慮社會工程?
。。。
在得到客戶反饋後,由測試方書寫實施方案初稿並提交給客戶,由客戶進行審核。在審核完成後,客戶應當對測試方進行書面委託授權。這里,兩部分文檔分別應當包含如下內容:
實施方案部分:
...
書面委託授權部分:
...
三、具體操作過程
1、信息收集過程
網路信息收集:
在這一部還不會直接對被測目標進行掃描,應當先從網路上搜索一些相關信息,包括Google Hacking, Whois查詢, DNS等信息(如果考慮進行社會工程學的話,這里還可以相應從郵件列表/新聞組中獲取目標系統中一些邊緣信息如內部員工帳號組成,身份識別方式,郵件聯系地址等)。
1.使用whois查詢目標域名的DNS伺服器
2.nslookup
>set type=all
><domain>
>server <ns server>
>set q=all
>ls -d <domain>
涉及的工具包括:Google,Demon,webhosting.info,Apollo,Athena,GHDB.XML,netcraft,seologs除此之外,我想特別提醒一下使用Googlebot/2.1繞過一些文件的獲取限制。
Google hacking 中常用的一些語法描述
1.搜索指定站點關鍵字site。你可以搜索具體的站點如site:www.nosec.org。使用site:nosec.org可以搜索該域名下的所有子域名的頁面。甚至可以使用site:org.cn來搜索中國政府部門的網站。
2.搜索在URL網址中的關鍵字inurl。比如你想搜索帶參數的站點,你可以嘗試用inurl:asp?id=
3.搜索在網頁標題中的關鍵字intitle。如果你想搜索一些登陸後台,你可以嘗試使用intitle:"admin login"
目標系統信息收集:
通過上面一步,我們應當可以簡單的描繪出目標系統的網路結構,如公司網路所在區域,子公司IP地址分布,VPN接入地址等。這里特別要注意一些比較偏門的HOST名稱地址,如一些backup開頭或者temp開關的域名很可能就是一台備份伺服器,其安全性很可能做的不夠。
從獲取的地址列表中進行系統判斷,了解其組織架構及操作系統使用情況。最常用的方法的是目標所有IP網段掃描。
埠/服務信息收集:
這一部分已經可以開始直接的掃描操作,涉及的工具包括:nmap,thc-amap
1.我最常使用的參數
nmap -sS -p1-10000 -n -P0 -oX filename.xml --open -T5 <ip address>
應用信息收集:httprint,SIPSCAN,smap
這里有必要將SNMP拿出來單獨說一下,因為目前許多運營商、大型企業內部網路的維護台通過SNMP進行數據傳輸,大部分情況是使用了默認口令的,撐死改了private口令。這樣,攻擊者可以通過它收集到很多有效信息。snmp-gui,HiliSoft MIB Browser,mibsearch,net-snmp都是一些很好的資源。
2、漏洞掃描
這一步主要針對具體系統目標進行。如通過第一步的信息收集,已經得到了目標系統的IP地址分布及對應的域名,並且我們已經通過一些分析過濾出少許的幾個攻擊目標,這時,我們就可以針對它們進行有針對性的漏洞掃描。這里有幾個方面可以進行:
針對系統層面的工具有:ISS, Nessus, SSS, Retina, 天鏡, 極光
針對WEB應用層面的工具有:AppScan, Acunetix Web Vulnerability Scanner, WebInspect, Nstalker
針對資料庫的工具有:ShadowDatabaseScanner, NGSSQuirreL
針對VOIP方面的工具有:PROTOS c07 sip(在測試中直接用這個工具轟等於找死)以及c07 h225, Sivus, sipsak等。
事實上,每個滲透測試團隊或多或少都會有自己的測試工具包,在漏洞掃描這一塊針對具體應用的工具也比較個性化。
3、漏洞利用
有時候,通過服務/應用掃描後,我們可以跳過漏洞掃描部分,直接到漏洞利用。因為很多情況下我們根據目標服務/應用的版本就可以到一些安全網站上獲取針對該目標系統的漏洞利用代碼,如milw0rm, securityfocus,packetstormsecurity等網站,上面都對應有搜索模塊。實在沒有,我們也可以嘗試在GOOGLE上搜索「應用名稱 exploit」、「應用名稱 vulnerability」等關鍵字。
當然,大部分情況下你都可以不這么麻煩,網路中有一些工具可供我們使用,最著名的當屬metasploit了,它是一個開源免費的漏洞利用攻擊平台。其他的多說無益,您就看它從榜上無名到沖進前五(top 100)這一點來說,也能大概了解到它的威力了。除此之外,如果您(您們公司)有足夠的moeny用於購買商用軟體的話,CORE IMPACT是相當值得考慮的,雖然說價格很高,但是它卻是被業界公認在滲透測試方面的泰山北斗,基本上測試全自動。如果您覺得還是接受不了,那麼您可以去購買CANVAS,據說有不少0DAY,不過它跟metasploit一樣,是需要手動進行測試的。最後還有一個需要提及一下的Exploitation_Framework,它相當於一個漏洞利用代碼管理工具,方便進行不同語言,不同平台的利用代碼收集,把它也放在這里是因為它本身也維護了一個exploit庫,大家參考著也能使用。
上面提到的是針對系統進行的,在針對WEB方面,注入工具有NBSI, OWASP SQLiX, SQL Power Injector, sqlDumper, sqlninja, sqlmap, Sqlbftools, priamos, ISR-sqlget***等等。
在針對資料庫方面的工具有:
資料庫 工具列表 Oracle(1521埠): 目前主要存在以下方面的安全問題:
1、TNS監聽程序攻擊(sid信息泄露,停止服務等)
2、默認賬號(default password list)
3、SQL INJECTION(這個與傳統的意思還不太一樣)
4、緩沖區溢出,現在比較少了。 thc-orakel, tnscmd, oscanner, Getsids, TNSLSNR, lsnrcheck, OAT, Checkpwd, orabf MS Sql Server(1433、1434埠) Mysql(3306埠) DB2(523、50000、50001、50002、50003埠) db2utils Informix(1526、1528埠)
在針對Web伺服器方面的工具有:
WEB伺服器 工具列表 IIS IISPUTSCANNER Tomcat 想起/admin和/manager管理目錄了嗎?另外,目錄列表也是Tomcat伺服器中最常見的問題。比如5.*版本中的http://127.0.0.1/;index.jsp
http://www.example.com/foo/"../manager/html
http://www.example.com:8080/examples/servlets/servlet/CookieExample?cookiename=HAHA&cookievalue=%5C%22FOO%3B+Expires%3DThu%2C+1+Jan+2009+00%3A00%3A01+UTC%3B+Path%3D%2F%3B
http://www.example.com:8080/servlets-examples/servlet/CookieExample?cookiename=BLOCKER&cookievalue=%5C%22A%3D%27%3B+Expires%3DThu%2C+1+Jan+2009+00%3A00%3A01+UTC%3B+Path%3D%2Fservlets-examples%2Fservlet+%3B JBOSS jboss的漏洞很少,老版本中8083埠有%符號的漏洞:
GET %. HTTP/1.0可以獲取物理路徑信息,
GET %server.policy HTTP/1.0可以獲取安全策略配置文檔。
你也可以直接訪問GET %org/xxx/lib.class來獲取編譯好的java程序,再使用一些反編譯工具還原源代碼。 Apache Resin http://victim/C:%5C/
http://victim/resin-doc/viewfile/?file=index.jsp
http://victim/resin-doc/viewfile/?contextpath=/otherwebapp&servletpath=&file=WEB-INF/web.xml
http://victim/resin-doc/viewfile/?contextpath=/&servletpath=&file=WEB-INF/classes/com/webapp/app/target.class
http://victim/[path]/[device].[extension]
http://victim/%20.."web-inf
http://victim/%20
http://victim/[path]/%20.xtp WebLogic
Web安全測試主要圍繞幾塊進行:
Information Gathering:也就是一般的信息泄漏,包括異常情況下的路徑泄漏、文件歸檔查找等
Business logic testing:業務邏輯處理攻擊,很多情況下用於進行業務繞過或者欺騙等等
Authentication Testing:有無驗證碼、有無次數限制等,總之就是看能不能暴力破解或者說容不容易通過認證,比較直接的就是「默認口令」或者弱口令了
Session Management Testing:會話管理攻擊在COOKIE攜帶認證信息時最有效
Data Validation Testing:數據驗證最好理解了,就是SQL Injection和Cross Site Script等等
目前網上能夠找到許多能夠用於進行Web測試的工具,根據不同的功能分主要有:
枚舉(Enumeration): DirBuster, http-dir-enum, wget
基於代理測試類工具:paros, webscarab, Burp Suite
針對WebService測試的部分有一些尚不是很成熟的工具,如:wsbang,wschess,wsmap,wsdigger,wsfuzzer
這一部分值得一提的是,很多滲透測試團隊都有著自己的測試工具甚至是0DAY代碼,最常見的是SQL注入工具,現網開發的注入工具(如NBSI等)目前都是針對中小企業或者是個人站點/資料庫進行的,針對大型目標系統使用的一些相對比較偏門的資料庫系統(如INFORMIX,DB2)等,基本上還不涉及或者說還不夠深入。這時各滲透測試團隊就開發了滿足自身使用習慣的測試工具。
在針對無線環境的攻擊有:WifiZoo
4、許可權提升
在前面的一些工作中,你或許已經得到了一些控制許可權,但是對於進一步攻擊來說卻還是不夠。例如:你可能很容易的能夠獲取Oracle資料庫的訪問許可權,或者是得到了UNIX(AIX,HP-UX,SUNOS)的一個基本賬號許可權,但是當你想進行進一步的滲透測試的時候問題就來了。你發現你沒有足夠的許可權打開一些密碼存儲文件、你沒有辦法安裝一個SNIFFER、你甚至沒有許可權執行一些很基本的命令。這時候你自然而然的就會想到許可權提升這個途徑了。
目前一些企業對於補丁管理是存在很大一部分問題的,他們可能壓根就沒有想過對一些伺服器或者應用進行補丁更新,或者是延時更新。這時候就是滲透測試人員的好機會了。經驗之談:有一般許可權的Oracle賬號或者AIX賬號基本上等於root,因為這就是現實生活。
5、密碼破解
有時候,目標系統任何方面的配置都是無懈可擊的,但是並不是說就完全沒辦法進入。最簡單的說,一個缺少密碼完全策略的論證系統就等於你安裝了一個不能關閉的防盜門。很多情況下,一些安全技術研究人員對此不屑一顧,但是無數次的安全事故結果證明,往往破壞力最大的攻擊起源於最小的弱點,例如弱口令、目錄列表、SQL注入繞過論證等等。所以說,對於一些專門的安全技術研究人員來說,這一塊意義不大,但是對於一個ethical hacker來說,這一步驟是有必要而且絕大部分情況下是必須的。;)
目前比較好的網路密碼暴力破解工具有:thc-hydra,brutus
>hydra.exe -L users.txt -P passwords.txt -o test.txt -s 2121 www.heimian.com ftp
目前網路中有一種資源被利用的很廣泛,那就是rainbow table技術,說白了也就是一個HASH對應表,有一些網站提供了該種服務,對外宣稱存儲空間大於多少G,像rainbowcrack更是對外宣稱其數據量已經大於1.3T。
針對此種方式對外提供在線服務的有:
網址 描述 rainbowcrack 裡面對應了多種加密演算法的HASH。 http://gdataonline.com/seekhash.php http://www.milw0rm.com/cracker/info.php http://www.hashchecker.com/?_sls=search_hash http://bokehman.com/cracker/ http://passcracking.ru/ http://www.md5.org.cn http://www.cmd5.com/ 數據量全球第一,如果本站無法破解,那麼你只能去拜春哥...
當然,有些單機破解軟體還是必不可少的:Ophcrack,rainbowcrack(國人開發,贊一個),cain,L0phtCrack(破解Windows密碼),John the Ripper(破解UNIX/LINUX)密碼,當然,還少不了一個FindPass...
針對網路設備的一些默認帳號,你可以查詢http://www.routerpasswords.com/和http://www.phenoelit-us.org/dpl/dpl.html
在滲透測試過程中,一旦有機會接觸一些OFFICE文檔,且被加了密的話,那麼,rixler是您馬上要去的地方,他們提供的OFFICE密碼套件能在瞬間打開OFFICE文檔(2007中我沒有試過,大家有機會測試的話請給我發一份測試結果說明,謝謝)。看來微軟有理由來個補丁什麼的了。對於企業來說,您可以考慮使用鐵卷或者RMS了。
6、日誌清除
It is not necessary actually.
7、進一步滲透
攻入了DMZ區一般情況下我們也不會獲取多少用價值的信息。為了進一步鞏固戰果,我們需要進行進一步的內網滲透。到這一步就真的算是無所不用其及。最常用且最有效的方式就是Sniff抓包(可以加上ARP欺騙)。當然,最簡單的你可以翻翻已入侵機器上的一些文件,很可能就包含了你需要的一些連接帳號。比如說你入侵了一台Web伺服器,那麼絕大部分情況下你可以在頁面的代碼或者某個配置文件中找到連接資料庫的帳號。你也可以打開一些日誌文件看一看。
除此之外,你可以直接回到第二步漏洞掃描來進行。
四、生成報告
報告中應當包含:
薄弱點列表清單(按照嚴重等級排序)
薄弱點詳細描述(利用方法)
解決方法建議
參與人員/測試時間/內網/外網
五、測試過程中的風險及規避
在測試過程中無可避免的可能會發生很多可預見和不可預見的風險,測試方必須提供規避措施以免對系統造成重大的影響。以下一些可供參考:
1. 不執行任何可能引起業務中斷的攻擊(包括資源耗竭型DoS,畸形報文攻擊,數據破壞)。
2. 測試驗證時間放在業務量最小的時間進行。
3. 測試執行前確保相關數據進行備份。
4. 所有測試在執行前和維護人員進行溝通確認。
5. 在測試過程中出現異常情況時立即停止測試並及時恢復系統。
6. 對原始業務系統進行一個完全的鏡像環境,在鏡像環境上進行滲透測試。
4. 計算機網路安全與防護技術相關知識
1、涉密網路保密建設和管理應遵循哪些基本原則u2/:b
根據國家有關規定,政務內網是涉密網路,是專門處理國家秘密和內部辦公信息的網路。黨和國家對涉密網路的保密建設和管理非常重視,制定了一系列方針政策、法律法規和標准規范。根據這些規定,涉密網路保密建設和管理應當遵循以下基本原則:$
(1)適度安全的原則。所謂「適度安全」是指與由於信息泄露、濫用、非法訪問或非法修改而造成的危險和損害相適應的安全。沒有絕對安全的信息系統(網路),任何安全措施都是有限度的。關鍵在於「實事求是」、「因地制宜」地去確定安全措施的「度」,即根據信息系統因缺乏安全性造成損害後果的嚴重程度來決定採取什麼樣的安全措施。國家保密技術規定對絕密級信息系統的機密、秘密級信息系統應當採取的安全措施分別提出了具體要求。6x)#gt
(2)按最高密級防護的原則。涉密信息系統處理多種密級的信息時,應當按照最高密級採取防護措施。kHo
(3)最小化授權的原則。一是涉密信息系統的建設規模要最小化,非工作所必需的單位和崗位,不得建設政務內風和設有內網終端;二是涉密信息系統中涉密信息的訪問許可權要最小化,非工作必需知悉的人員,不得具有關涉密信息的訪問許可權。jie
(4)同步建設,嚴格把關的原則。涉密信息系統的建設必須要與安全保密設施的建設同步規劃、同步實施、同步發展。要對涉密信息系統建設的全過程(各個環節)進行保密審查、審批、把關。N
要防止並糾正「先建設,後防護,重使用,輕安全」的傾向,建立健全涉密信息系統使用審批制度。不經過保密部門的審批和論證,有關信息系統不得處理國家秘密信息。7qR
(5)注重管理的原則。涉密信息系統的安全保密三分靠技術,七分靠管理。加強管理可以彌補技術上的不足;而放棄管理則再好的技術也不安全。要通過引進和培養計算機技術人員,使其盡快成為既懂「電子」又懂政務(黨務)、還懂「保密」的復合型人才,利用行政和技術手段的綜合優勢,實現對涉密信息在網路環境下的有效監管。同時,實現人員和技術的有機結合——健全制度,並利用技術手段保證制度的落實。|kn
&;溫農校友之家 -- 溫農人自己的網上家園 g4cB
2、涉密網路保密建設的基本措施有哪些?A
根據國家保密技術規定的要求,涉密信息系統的安全保密建設必須採取以下基本措施:C+8_f^
(1)存放安全。即保證涉密信息系統的機房設備和終端存放在安全可靠的地方,做到防火、防水、防震、防爆炸和防止外來人員進行物理上的盜取和破壞等,還要防止外界電磁場對涉密信息系統各個設備的電磁干擾,保證涉密信息系統的正常運行。TTr.
涉密信息系統的中心機房建設,在條件許可的情況下,應滿足國家《電子計算機機房設計規定規范》、《計算站場地技術條件》、《計算站場地安全要求》和要求。處理國家秘密信息的電磁屏蔽室的建設,必須符合國家保密標准BMB3的要求。處理秘密級、機密級信息的系統中心機房,應當彩有效的電子門控系統。處理絕密級信息和重要信息的系統中心機房的門控系統,還應採取IC卡或生理特徵進行身份鑒別,並安裝電視監視系統,且配備警衛人員進行區域保護。$Zey3
(2)物理隔離。即涉密信息系統(政務內網)要與政務外網和網際網路實行物理隔離。這是涉密信息系統免遭來自網際網路上的黑客攻擊和病毒侵擾的最有效措施。實現物理隔離,必須做到以下幾點:rr=
一是一個單位的政務內網和政務外網的機房要分別建設,相互物理隔離。隔離距離要符合國家保密標准BMB5的相關規定。>Gm
二是政務內網的布線要採用光纜或屏蔽電纜;如政務內、外網同時建設,可實行雙布線,政務外網的布線可以使用普通電纜或雙絞線;對已建網路要改造成政務內、外網兩個網路、單布線不可改變時,可以採用安裝安全隔離集線器的辦法,使客戶端微機不能同時與內、外網相通。h
三是客戶端的物理隔離可以採取以下方法解決:(A)安裝雙主板、雙硬碟的微機(如浪潮金盾安全電腦);(B)對原的微機進行物理隔離改造,即增中一塊硬碟和一塊雙硬碟隔離卡(如中孚隔離卡);(C)對客戶端微機只增加一塊單礓盤隔離卡等。"7
四是對單位與單位政務內網之間的信息傳輸,可採用以下方法解決:(A)利用各地政務內網平台提供的寬頻保密通道;(B)採用單獨交換設備和單獨鋪設線路,並安裝網路加密機;(C)使用面向連接的電路交換方式(如PSTN、ISDN、ADSL等)時,應採用認證和鏈路加密措施。採用的加密設備必須經國家密碼主管部門批准。Qq0
(3)身份鑒別。在用戶進入(即使用)涉密信息系統前,系統要對用戶的身份進行鑒別,以判斷該用戶是否為系統的合法用戶。其目的是防止非法用戶進入。這是系統安全控制的第一道防線。v6
身份鑒別一般採用3種方法:一是設置口令字;二是採用智能卡和口令字相結合的方式;三是用人的生物特徵等強認證措施,如指紋、視網膜等。6iFF=]
口令字的設置原理是:在信息系統中存放一張「用戶信息表」,它記錄所有的可以使用這個系統的用戶的有關信息,如用戶名和口令字等。用戶名是可以公開的,不同用戶使用不同的用戶名,但口令字是秘密的。當一個用戶要使用系統時,必須鍵入自己的用戶名和相應的口令字,系統通過查詢用戶信息表,驗證用戶輸入的用戶名和口令字與用戶信息表中的是否一致,如果一致,該用戶即是系統的合法用戶,可進入系統,否則被擋在系統之外。4Z-xF
根據國家保密規定,處理秘密級信息的系統口令長度不得少於8位,且口令更換周期不得長於30天;處理機密級信息的系統,口令長度不得少於10位,且口令更換周期不得長於7天;處理絕密級信息的系統,應當採用一次性口令。口令有組成應當是大小寫英文字母、數字、特殊字元中兩者以上的組合,而且口令必須加密存儲、加密傳輸,並且保證口令存放載體的物理安全。$
採用口令字進行身份鑒別,特別是成本低,實現容易,但使用管理很不方便,不宜記憶。YN
採用「智能卡+口令字」的方式進行身份鑒別,其特別是,口令字長度4位即可,便於用戶使用,增加了身份鑒別的安全性和可靠性,成本較高,一般涉密信息系統的身份鑒別在多採用這種方式。3
採用人的生理特徵進行身份鑒別,其特點是成本高,安全性好。國家保密規定要求,絕密級信息系統的身份鑒別應採用這種強認證方式。B
(4)訪問控制。經過身份鑒別進入涉密信息系統的合法用戶,需要對其訪問系統資源的許可權進行限制。訪問控制的任務就是根據一定的原則對合法用戶的訪問許可權進行控制,以決定他可以使用哪些系統資源,以什麼樣的方式使用。例如,在系統中,對於各種密級的文件,哪個用戶可以查閱,哪個用戶可以修改等。這是系統安全控制的第二道防線,它可以阻合法用戶對其許可權范圍以外的資源的非法訪問。設置訪問控制應遵循「最小授權原則」,即在應當授權的范圍內有權使用資源,非授權范圍內無權使用資源。88d
訪問控制可以分為自主訪問控制、強制訪問控制和角色控制等3種訪問控制策略。:Rk03*
自主訪問控制是指資源的擁有者有權決定系統中哪些用戶具有該資源的訪問許可權,以及具有什麼樣的訪問許可權(讀、改、刪等)。也就是說系統中資源的訪問許可權,由資源的所有者決定。]^`
強制訪問控制是指信息系統根據事先確定的安全策略,對用戶的訪問許可權進行強制性控制。它首先要分別定義用戶和信息資源的安全屬性;用戶的安全屬性為「所屬部門」和「可查閱等級」。用戶「所屬部門」是指用戶分管或所在的部門。用戶「可查閱等級」分為A、B、C三級(可以任意確定),其級別為A>B>C。信息資源的安全屬性分為「所屬部門」和「查閱等級」。信息「所屬部門」是指信息產生的部門。信息「查閱等級」可分為A、B、C三級(同上),其級別為A>B>C。強制訪問控制的規則是:僅當用戶安全屬性中的「可查閱等級」大於等於信息安全屬性中的「查閱等級」且用戶安全屬性中的「所屬部門」包含了信息安全屬性中的「所屬部門」時,用戶才能閱讀該信息;僅當用戶安全屬性中的「可查閱等級」小於等於信息安全屬性中的「查閱等級」,且用戶安全屬性中的「所屬部門」包含了信息安全屬性中的「所屬部門」時,用戶才能改寫該信息。*Dh
角色控制是指信息系統根據實際工作職責設置若干角色,不同用戶可以具有相同角色,在系統中享有相同的權力。當工作職責變動時,可按照新的角色進行重新授權。角色控制既可以在自主訪問控制中運用,也可以在強制訪問控制中運用。PVD
根據國家保密規定,涉密信息系統必須採用強制訪問控制策略。處理秘密級、機密級信息的涉密系統,訪問應當按照用戶類別、信息類別控制,處理絕密級信息的涉密系統,訪問控制到單個用戶、單個文件。x
(5)數據存儲加密。對涉密信息系統中存放的文件和數據進行加密,使這成為密文,用在用戶對其進行訪問(查詢、插入、修改)時,按其需要對數據實時進行加密/解密。這是系統安全控制的第三道防線。在系統的身份鑒別和訪問控制這兩道防線萬一遭到破壞或用戶繞過身份鑒別和訪問控制,通過其他途徑進入系統時,加密可以保護文件或數據的秘密性,並可發現數據的被修改。通俗地講,系統的身份鑒別與訪問控制的作用是「進不來」和「拿不走」,加密的作用是,即使拿走了也「看不懂」。~GOC;
採用什麼樣的密碼體制對數據進行加密,是密碼控制中的一個很關鍵的問題,要保證密碼演算法既有很強的密碼強度,又對系統的運行效率不致於有太大影響。現代密碼體制是將密碼演算法公開,而僅保持密鑰的秘密性,即一切秘密寓於密鑰之中。因此,必須對密鑰的生成、傳遞、更換和保存採取嚴格的保護措施。bpr!
根據國家保密規定,絕密級信息系統中的數據存儲應當採取加密措施。使用的加密演算法應當經過國家密碼主管部門的批准。";)l
(6)安全審計。審計是模擬社會檢察機構在信息系統中用來監視、記錄和控制用戶活動的一種機制,它使影響系統安全的訪問和訪問企圖留下線索,以便事後分析追查。主要的安全審計手段包括:設置審計開關、事件過濾、查詢審計日誌和違遠見事件報警等。T2hiV/
審計系統應當有詳細的日誌,記錄每個用戶的每次活動(訪問時間、地址、數據、程序、設備等)以及系統出錯和配置修改等信息。應保證審計日誌的保密性和完整性。)Z6r
按照國家保密規定,機密級以下的涉密信息系統應採用分布式審計系統,審計信息存放在各伺服器和安全保密設備上,用於系統審計員審查,審查記錄不得修改、刪除,審查周期不得長於30天。絕密級信息系統應當採用集中式審計系統,能夠對各級伺服器和安全保密設備中的審計信息收集、整理、分析匯編成審計報表,並能檢測、記錄侵犯系統的事件和各種違規事件,及時自動告警,系統審計員定期審查日誌的不得長於7天。</<f'g
(7)防電磁泄漏。涉密信息系統中涉密設備的安裝使用,應滿足國家保密標准BMB2的要求。對不符合BMB2要求的,必須採取電磁泄漏的防護措施。電磁泄漏的防護技術共有3種:電磁屏蔽室、低泄射設備和電磁干擾器。`x
根據國家有關規定,對處理絕密級信息的系統機房應當建設電磁屏蔽室,處理絕密級信息的計算機要安裝電磁屏蔽台,且電磁屏蔽室和電磁屏蔽台都要符合國家保密標准BMB3的要求。否則處理絕密級信息的計算機必須是符合國家公安和保密標准GGBB1的低泄射設備。P
處理秘密級、機密級信息的設備應當採取安裝電磁干擾器或採用低泄射設備等防電磁泄漏措施。所使用的干擾器應滿足國家保密標准BMB4的要求,即處理機密級以下(含機密級)信息的設備應當採用一級電磁干擾器;二級電磁干擾器用於保護處理內部敏感信息的設備和最小警戒距離大於等於100米處理秘密級信息的設備。#fp92'
&;溫農校友之家 -- 溫農人自己的網上家園 x
4、涉密網路保密管理應採取哪些基本措施?q-|Z)7
根據國家有關規定,涉密網路的保密管理應當採取以下基本措施:<
(1)明確安全保密責任,落實網路安全保密管理機構。JNe{p
要確定分管領導。該領導應當了解系統中的涉密信息及處理性質,了解保護系統所需要的管理、人事、運行和技術等方面的措施。U`j
成立網路安全保密管理機構。該機構應當由分管領導親自負責,成員包括保密員、系統管理員、系統安全員、系統審計員和操作員代表以及保安員等。其具體職責是,制定網路安全保密策略,包括技術策略和管理策略;制定、審查、確定保密措施;組織實施安全保密措施並協調、監督、檢查安全保密措施執行情況;組織開展網路信息安全保密的咨詢、宣傳和培訓等。rY
機構領導的主要任務是:對系統修改的授權;對特權和口令的授權;冥違章報告、審計記錄、報警記錄;制定並組織實施安全人員培訓計劃,以及遇到重大問題時及時報告單位主要領導和上級等。p
保密員的主要職責是,建立健全信息保密管理制度,監督、檢查網路保密管理及技術措施的落實情況,確定系統用戶和信息的安全屬性等。ovz]j}
系統管理員的主要職責是:負責系統及設備的安裝和維護,分配和管理用戶口令,落實防病毒措施,保證系統的正常運行。x
系統安全員的主要職責是,設置用戶和信息的安全屬性,格式化新介質,應急條件下的安全恢復,啟動與停止系統等。0<!
系統審計員的主要職責是,監督系統的運行情況,定期查看審計記錄,對系統資源的各種非法訪問事件進行分析、處理,必要時及時上報主管領導。OkP6u]
保安員的主要職責是,負責非技術性的、常規的安全工作,如場地警衛、驗證出入手續,落實規章制度等。"/4;uE
(2)制定系統安全計劃。Z_f;Wi
主要包括:lc:dF
一是制定系統規章。涉密信息系統安全保密制度有:系統和設備使用的安全保密規定,涉密介質的使用管理規定,物理安全管理制度,身份鑒別管理制度,訪問控制規則設置的規定,密鑰與密碼設備管理制度以及系統管理員、系統安全員、系統審計員、保密員和保安員的工作職責等。=aRY
二是制定培訓計劃。對新上崗人員進行培訓,培訓的內容應當包括:職業道德、系統各個崗位的新技術、操作規程和使用信息系統應當掌握的安全保密管理制度。對己在崗人員也要進行定期培訓,以不斷提高所有工作人員的工作能力和水平。I+%
三是加強人員管理。主要有3個方面:(A)人員審查,確保涉密信息系統每個用戶的安全可靠。審查內容包括個人經歷、社會關系、政治思想狀況、人品和職業道德等。(B)確定崗位和職責范圍。使每一位用戶按照自己的崗位和職權使用信息系統。(C)考核評價。對系統用戶的政治思想、業務水平、工作表現等要定期進行全面考核,並作出評價。對不適於接觸涉密信息系統的人員要及時調離。對提升、調動、離崗和退休人員,要收回所有證件、鑰匙、智能卡,檢查是否把全部手冊、文件或程序清單交回。有關人員離崗後,應更換口令和智能卡。7Pd
四是成立事故處理小組。制定應急計劃和處理預案,幫助用戶解決安全事故,向用戶定期通報有關信息系統薄弱環東和外來威脅的情況,定期檢測應急能力。gv9_TR
(3)制定評審安全措施。涉密信息系統建成後,要由涉密計算機網路測評中心對其進行安全保密性能的測評。由於信息系統的安全性將隨著時間的推移而發生變化,因此在對該信息系統進行重大修改時,要重新進行測評;即使沒有重大修改,至少每三年也要測評一次。&J2
(4)信息系統的授權使用。涉密信息系統的安全關系國家的安全和利益,因此,該系統必須經保密部門審批合格並書面授權,方能投入運行;如該系統做重大修改,須經保密部門重新審批、授權;至少每三年,涉密信息系統的使用要重新授權。UF@*
5. 《網路安全》主題班會大全
《尺仿網路安全》主題班會大全5篇
網路安全包括物理安全威脅、操作系統的安全缺陷、網路協議的安全缺陷、應用軟體的實現缺陷、用戶使用的缺陷和惡意程序等6個方面的威脅下面是我給大家整理的《網路安全》主題班會,希望能給大家帶來幫助。
活動目的:
1、作為小學生要了解防騙安全防範措施。
2、將學到的防詐騙知識向父母宣傳。
教學准備:收集詐騙資料
教學過程:
一、導入
1、說說身邊的詐騙故事。
2、板書課題。明確本節課內容
二、講解詐騙故事
1、借用物品詐騙
與不甚熟悉的人交往要保持戒心,尤其當對方借用物品時,絕對不能讓財物離開自己視線范圍,借出貴重物品更加應該小心。
2、「調包」詐騙
「調包」是一種偷龍轉鳳的手法,分子事先准備好偽造的存摺(或儲蓄卡),與事主接觸時,借驗看之機,迅速換走事主手裡的存摺(或儲蓄卡)。當事主將貨款存入「自己」的存摺(或儲蓄卡)時,分子則用與該存摺(或儲蓄卡)相配套的儲蓄卡(或存摺)提款潛逃。
3、集資詐騙
一些人利用老百姓手中有餘錢謊稱有很好的投資項目,如果投資可以獲取高額的利潤回報,但是一旦投入往往血本無歸。集資者根本不是把錢用來做項目,而是將錢款轉出或揮霍掉。
4、神葯行騙
一是神丹妙葯本身純屬烏有,實際生活中不可能有包治百病的特效葯,當有人向您兜售葯時要多個心眼,多加提防,不要上當。
二是有病時,特別是有疑難雜症時,一定要到正規醫院去接受檢查,對症下葯,慢慢的治療恢復。
三是別貪心,要正確認識葯的價值,一些貪心的人往往就成了違法分子引誘、騙取錢財的對象。四是遇到此類分子時要巧妙周旋,爭取時間報警。
5、易拉罐中獎詐騙
此類騙術通常發生在公園、汽車站以及汽車、火車、輪船等交通工具,騙子多為三人。分子往往拿一易拉罐作道具,告訴受害人中獎,然後其同夥假意購買,並鼓動受害人聽中獎查詢電話內容證實確實中獎(此電話實為另一同夥接聽),騙受害人購中獎拉環。如果他們出現,一不要相信;二要穩住對方悄悄報警,幫助警方為民除害。
6、招工詐騙
工作要到合法的正規勞務中介市場,千萬不要聽信街頭的小廣告。所謂「高薪誠聘」小廣告不僅非法,而且充滿騙 局,千萬不能相信!這些騙子每次開口讓您掏的錢並不是很多,但他們編造的各種理由確實很像真的,不僅使農村求職和打工的人員受騙,也會使警惕性不高的居民上當
7、告急電話騙匯款
不要隨便相信出門在外的家人遭遇車禍的消息,不要驚慌,撥打「114」查詢當地公安局、醫院電話求證,到時再匯款也來的及。
8、合夥做生意詐騙
在大街上邀您合夥做生意賺大錢的事可能嗎記住不可能,絕對不可能,他是想騙錢。
9、魔術詐騙
公園總有一些神秘的魔術表演或自稱有特異功能的騙子,利用魔術造成人們視覺上的誤差,陵轎纖讓您參與進來,而有的人帆坦過分的輕信,總以為眼見為實,結果損失錢財追悔莫及。對此不要抱有大發橫財的心理,不要參與任何賭博、投機取巧性質的活動。分子通常為兩人。一人以合夥做生意先與受害人搭訕,在閑談的過程中自稱可以將小錢變大錢,並當場演示,利用魔術手法將受害人手中的一元錢變成十元錢,十元錢變成一百元錢,令受害人信以為真回家拿錢變錢,然後以掉包的方式騙走受害人的錢財。警方提示:如果果真有如此神技,還做生意干嗎!
三、班會小結
聽了今天的防騙知識介紹,大家有什麼收獲今後遇到類似詐騙你會怎麼做
1、匪警電話的號碼是110。這個號碼應當牢記,以便發生異常情況時及時撥打。
2、撥打110電話,要簡明、准確地向門報告案件發生的地點、時間、當事人、案情等內容,以便門及時派員處理。
3、打報警電話是事關社會治安管理的大事,千萬不要隨意撥打或以此開玩笑。
四、板書設計
防騙知識知多少
借用物品詐騙「調包」詐騙集資詐騙
神葯行騙易拉罐中獎詐騙招工詐騙
告急電話騙匯款合夥做生意詐騙魔術詐騙
1、班會主題:緊綳防範之弦,遠離詐騙之害
2、活動目的:隨著社會的發展,信息技術的進步,各種詐騙現象也成為社會日益突出的問題。尤其是一些詐騙分子,將目標轉向學生。學生容易受到他人別有用心的欺騙,而且對於大人所說的話都容易產生一種信賴和順從的心理。因此,在面對成年人詐騙的情況時,難以有效作出清晰的判斷。所以,為了使學生熟悉生活中常見的詐騙形式,增強學生在生活中遇到詐騙現象靈活應對的防範意識,提高學生各方面自我預防、自我保護、自我應對、自我逃生的能力。
3、活動過程:在現如今的社會,詐騙案件越來越多,手段也越來越高明,至開學以來我校也出現了學生被騙事件,雖是個例,但不容忽視。犯罪分子利用一些學生的虛榮心、貪便宜、單純等心理特點實施各種詐騙伎倆,使部分學生蒙受巨大的財產損失和精神壓力。為增強大家防騙意識,提高自我防範能力。
4、舉行地點:高三春考(1)班
5、出席人員:高三春考(1)班全體同學
6、主要內容:預防詐騙
7、詐騙案例:
在寒假期間,我校學生也偶遇詐騙事件,但幸好沒有出現什麼太大的損失,騙子詐騙的手段層出不窮,利用同學之間深厚的友誼,單純的心思,來牟取利益。好在大部分同學都有警惕之心,謹防詐騙,讓騙子無從下手。
2019年8月,家住紅橋區的安女士在網上瀏覽信息時被一條投資股指期貨廣告吸引,主動聯系廣告商的客服微信後,被拉入一「股票投資交流信息群」。
經過一眾群友推崇力挺,安女士「頭腦一熱」注冊了該公司推薦的股指期貨平台,並在「專家」的指導下,先後投入70萬元,進行股指期貨交易。但冷靜下來後,安女士想贖回資金,但卻發現自己的微信已被對方拉黑......
2019年8月30日,發現被騙的安女士來到公安紅橋分局南頭窯派出所報警。公安紅橋分局迅速調集打擊犯罪偵查支隊反電信詐騙專班、網安支隊、南頭窯派出所等多部門精幹警力,在市公安刑偵局四支隊大力支持下,組成專案組全力破案。專案組通過偵查發現該團伙以股票和股指期貨委託、指導投資為幌子,在互聯網諸多搜索平台分布網路廣告,引誘被害人「上鉤」,加入股票交流群。團隊成員先後在股票交流群分別扮演「股票大師」、「吹捧人員」、「話術客服」等角色,大肆吹捧投資盈利,騙取被害人信任,使其按照「股票老師」推薦在虛擬平台投資股票期貨產品,而被害人的資金早已轉移他出,流入犯罪分子的腰包。
專案組發現該電炸團伙分工明確。在歷時3日的緊張排查後,11月21日,李某某等5人在其位於合肥市長豐地區的「落腳地」被全部抓獲。至此,該電信網路詐騙團伙全部9名成員均已歸案,現場查扣作用手機40餘部。電腦10餘台。車輛6台和現金17萬余元。大量銀行卡、話術劇本和賬冊若干。經詢問,犯罪嫌疑人李某某對設局騙取安女士70萬元錢財的事實供認不諱。
8、如何防範詐騙:
①不要貪圖小便宜
②不要輕易參加陌生人員的所謂各類「打折促銷」活動
③不要相信封建迷信觀念
④不要輕易相信街頭陌生人的花言巧語,不要相信什麼「破財消災」的鬼話,以免騙子有機可乘,一旦被騙要迅速撥打110報警
⑤網上購物者一定要保持高度的警惕,多加留心,慎防受騙
九、班會總結:
「防範詐騙警鍾長鳴」主題班會總結,在現如今的社會,詐騙案件越來越多,手段也越來越高明。他們利用一些學生的虛榮心、貪便宜、單純等心理特點實施各種詐騙伎倆。希望通過這次班會,能夠再次喚醒同學們對生活中各種安全問題的重視意識。大地蘇醒,春風又綠,我們要讓自己心中那顆安全教育理念的種子發芽開花、長成參天大樹,我們必將收獲更多的祥和、幸福和安寧。
教學目標:
1、 了解學生的網路安全意識和水平
2、 讓學生從整體上把握網路概念,有個大概的了解
教學過程:
課前引言:信息時代的到來,越來越多的人平常的學習、工作和生活已經離不開計算機網路,隨之出現的是各類網路安全問題。一些人用網路工作、學習,但總是有一些人出於賺錢、顯示自己的計算機水平,對網路進行破壞,使平常的工作等受到很大的影響。通過本課程學習,希望同學們能對網路安全有個總體上的認識,在例如木馬的檢測、黑客技術、計算機網路病毒、漏洞檢查和防範等方面有個較為細致的掌握,通過理論和實際操作結合,包括一些常用的安全軟體的使用等,使同學們在老師的指導下由淺入深系統地學習網路安全的相關知識。
一、 學習要求及方法
1、 本課程沒有合適的教材,希望大家能勤做筆記,結合網上教案,認真做好聽課及復習工作。
2、 除了上課認真聽講,這門課更依靠大家的自覺性,通過各類途徑查看並學習相關資料,多動手動腦勤做筆記,以便以後解決類似問題。
3、適時開展一些交流討論會,分享一段時間來大家的所得。
二、 網路安全概述
1、 學生分組討論的形式了解學生能網路安全的理解、興趣及掌握程度。
分兩組同學分別就木馬及最近網路上流行的「熊貓燒香」病毒進行10分鍾左右的討論,然後每組選一個代表進行發言。老師根據情況作一個小結。
2、 老師通過小結使大家對木馬以及「熊貓燒香」這種病毒有個較為准確的理解。
木馬:「木馬」程序是目前比較流行的病毒文件,與一般的病毒不同,它不會自我繁殖,也並不「刻意」地去感染其他文件,它通過將自身偽裝吸引用戶下載執行,向施種木馬者提供打開被種者電腦的門戶,使施種者可以任意毀壞、竊取被種者的文件,甚至遠程操控被種者的電腦。
「熊貓燒香」 病毒: 2006年底,我國互聯網上大規模爆發「熊貓燒香」病毒及其變種,該病毒通過多種方式進行傳播,並將感染的所有程序文件改成熊貓舉著三根香的模樣,同時該病毒還具有盜取用戶游戲賬號、QQ賬號等功能。
這是一種超強病毒,感染病毒的電腦會在硬碟的所有網頁文件上附加病毒。如果被感染的是網站編輯電腦,通過中毒網頁病毒就可能附身在網站所有網頁上,訪問中毒網站時網民就會感染病毒。「熊貓燒香」感染過天涯社區等門戶網站。「熊貓燒香」除了帶有病毒的所有特性外,還具有強烈的商業目的:可以暗中盜取用戶游戲賬號、QQ賬號,以供出售牟利,還可以控制受感染電腦,將其變為「網路僵屍」,暗中訪問一些按訪問流量付費的網站,從而獲利。部分變種中還含有盜號木馬。
網路安全的概念:信息安全指對信息的機密性、完整性和可獲性的保護,即面向數據的安全。互聯網出現以後,信息安全除了上述概念以外,其內涵又擴展到面向用戶的安全。綜合而言,網路安全包括物理安全威脅、操作系統的安全缺陷、網路協議的安全缺陷、應用軟體的實現缺陷、用戶使用的缺陷和惡意程序等6個方面的威脅。
三、 網路安全實例
安全漏洞從理論上說,安全漏洞就是軟體中存在的意外功能分枝,通過安全漏洞,可以讓軟體做軟體設計人員意想不到的事情。
1、實例:「支付寶」支付寶控制項原本的設計功能是加密通信,保護用戶的通信安全,但是由於存在安全漏洞,也可以被利用來執行任何功能,譬如運行一個盜取銀行帳號的木馬。木馬要想在用戶的計算機上運行,一個主要的手段就是利用安全漏洞。而目前被利用最多的,就是各種各樣的IE控制項漏洞。2007年2月8日支付寶升級了控制項,修復了上述漏洞,只要安裝了有漏洞的控制項,不管你用不用支付寶,是否登陸支付寶,都會受到漏洞的威脅。因為任何網頁都可以通過放置特殊的代碼來調用這個控制項。但是用支付寶服務本身反而並不會有危險——因為支付寶網站本身並不會包含這種惡意代碼。
2、怎麼防止中木馬和病毒
目前所有殺毒軟體主要的工作原理都是基於特徵識別。什麼叫特徵識別呢?通俗來說,就是掌握一份壞人的花名冊,根據花名冊去找。如果這個病毒或者木馬剛剛被寫出來,還沒有「案底」,不在花名冊上,殺毒軟體就識別不出來。某些殺毒軟體雖然也有些不依賴於花名冊的高級識別功能,但是這種功能並不可靠。更何況,現在的病毒木馬作者,在寫完程序後,都會先用殺毒軟體測試一下,確認不會被檢測出來才放出去。那麼殺毒軟體豈不是沒用了么?不是。各種殺毒軟體能幫你解決大多數的麻煩,但不能指望它可靠。
四、 了解黑客
黑客是只有極少數人能夠進入的行業,每一名黑客都有一段殘酷的青春,絕大部分人對計算機匯編語言產生興趣的年代都在中學或者大學一二年級,隨後,他們必須花費大量的時間進行基礎學習,從而邁進黑客進階之路,絕大部分的人難以逾越這個挑戰而選擇放棄。黑客也是一個只有年輕人才能從事的行業,中國黑客中那些自稱老人的老一輩黑客年齡不過30歲,而新生一代也許還不到20歲。
「特洛伊木馬程序」技術是黑客常用的攻擊手段。它通過在你的電腦系統隱藏一個會在Windows啟動時運行的程序,採用伺服器/客戶機的運行方式,從而達到在上網時控制你電腦的目的。黑客利用它竊取你的口令、瀏覽你的驅動器、修改你的文件、登錄注冊表等等。
此外黑客也常利用系統的漏洞進行一些破壞性攻擊。這些在以後的教學中會慢慢和大家一起學習。
五、 小結
本次課主要通過身邊的實例讓同學們對網路安全有個整體上的了解,以後的教學中將對黑客、木馬、安全漏洞、計算機病毒等作進一步的學習,希望大家能好好配合、為以後的工作學習打下良好的基礎!
班會目的:
讓同學們清楚地認識到網路上存在的各種不安全的隱患,學會在虛擬的網路世界中保護自己的利益;理智地對待各種誘惑,抵制不良思想的侵蝕;尤其注意不能沉迷網路游戲,用血淋淋的事實敲響警鍾。
整體流程:
1、對網路中遇到的問題,大家發表見解。
2、看案例和資料,談感受。
3、班主任進行總結。
詳盡流程
甲、乙合:各位同學大家好!這節班會課的主題是《網路安全教育》。
主持人甲::相信同學們對網路都比較了解,但對於網路安全問題又有多少認識呢?不如我們先聽李釗提幾個有關網路安全的問題吧!
1、暢所欲言
主持人乙::下面的問題都是同學們在上網的過程中遇到的,你們是如何處理,又是為什麼呢?請同學們暢所欲言。
(1)你上網有節制嗎?時間是怎麼安排的?一般是做什麼事情?
(2)你有沒有保護好自己的上網密碼,個人資料?
(3)你會不會把自己的姓名、家庭住址、學校名稱或者電話號碼、照片等,提供到聊天室或公共討論區?
(4)你會接收不認識的人發過來的文件等資料嗎?為什麼?
(5)對於暗示、挑釁、威脅等不良信息,你會如何處理?
(6)對發布不良信息的網站、不健康的聊天室以及不健康的頁面,你會採取怎樣的態度?
(7)有人以贈送錢物或見面等為理由,提出赴約或登門拜訪時,你會怎樣做?
主持人甲::看來同學們對網路安全的認識是比較全面的,都能理智的控制自己不受不良思想的侵蝕。
據稱,目前中國網路的負面影響主要有以下3個方面:其一、國內外敵對勢力在互聯網上刊載大量反動性、煽動性、黃色、暴力和低級庸俗的內容。對未成年人身心健康造成嚴重的不良影響。其二、很多犯罪分子利用網站、網吧提供的平台,針對未成年人自控力較弱的特點,利用上網聊天的機會尋找目標實施詐騙、搶劫、強_等犯罪活動,給未成年人的人身安全直接造成威脅。
(8)你曾經去過網吧上網嗎?甚至是玩游戲?
(9)你玩網路游戲嗎?是哪一類型的?會模仿游戲裡面的語言和動作嗎?身邊的同學又有沒有模仿甚至經常談論?
(10)如果你的身邊有沉迷網路游戲的同學或親戚朋友,你能說說他們的表現嗎?
主持人甲::沉迷網路甚至網路游戲不僅影響我們的學習和心理健康,還可能會讓我們走進一個歧途。模仿游戲中的語言或動作,造成慘劇。
2、看案例和資料,談感受
主持人甲:∶3月7日,順德容桂一所小學的學生在課間嬉戲時模仿網路游戲中的場景進行打鬥。同班好友小彭和小龔各自飾演一款當下流行的網路游戲中的敵對角色,「戰斗」進行中,小龔不慎用彈簧刀刺死了小彭。
同學自由發表看法:為什麼會出現這樣的慘劇,你從中想到什麼?你會怎樣要求自己?
主持人乙::這起慘劇的發生,當然不是偶然的。它的背後,是數量龐大的青少年網路游戲大軍。根據統計的結果,目前中國約有_萬網游少年中,其中的260萬人是網游成癮者。此前,上海市青少年網路成癮調查結果顯示,該市青少年網路成癮總發生率為14.2%。「網路成癮」已成為導致這批青少年家庭矛盾加劇和參與違法犯罪的誘因。
網路成癮症:可造成人體植物神經紊亂,體內激素水平失衡,免疫功能降低,引發心血管疾病、胃腸神經官能病、緊張性頭疼、焦慮、憂郁等,甚至可導致死亡。
3、班主任總結
網路為我們提供了豐富的信息資源,創造了精彩的娛樂時空。成為學生學習知識、交流思想、休閑娛樂的重要平台,增強了與外界的溝通和交流,但網路猶如一把雙刃劍,其中一些不良內容也極易對學生造成傷害,存在很大的安全隱患。這節班會課,我們通過從上網的時間安排,到在網上選擇性地瀏覽信息,對虛擬網路中各種情況採取的自我保護措施,最後到對網路游戲的正確認識做了交流和討論,目的就是讓同學們清楚地認識到網路安全的重要性,學會理智的對待各種誘惑,從而更好的利用網路促進我們學習的進步。
一、 設計背景
計算機與網路已經成為了我們工作,學習及生活上必不可少的工具。但是,越來越多的中學生上網成癮。我們時常可以看到關於中學生上網成癮而夜不歸宿、因犯網癮而導致犯罪、甚至自殘自殺等這類觸目驚心的新聞。網癮嚴重危害了學生身心的健康發展以及家庭的幸福,當我們在努力去幫助學生預防網癮的同時,我們是否應該提醒學生在上網的時候要注意言行,注意防止受騙等安全問題呢?「拒絕網癮,安全上網」,是我們今天要討論的主題!
本節課在教學過程中採用了一個WEB教學平台,並將地點定於學生機房,目的是想論證一個想法,當社會不斷地發展,學生課堂學習的時候,可能會達到人手一機的學習條件,那麼到時我們可以怎麼樣去開展教學工作呢?我們是否可以將傳統的紙質測試,討論以及作業上交都利用電腦來完成,並且將都師教案共享在網路上,讓學生在課前課後都能夠學習呢?
二、 教學目標
1、通過網路成癮自測題,讓學生明白自己是否有網癮的傾向。
2、通過數據及案例分析,讓學生了解網癮及其危害
3、學會健康上網、安全上網的方法
三、 教學過程
1、 導入:網路成癮自測題
2、 認識網癮,拒絕網癮
(1)網癮是什麼
(2)網癮的危害
3、 安全上網
(1) 網上交友需謹慎
(2) 「黑」人電腦是犯罪
(3) 網上交易防陷阱
(4) 網上造謠也違法
4、 小結
(1) 討論投票
(2) 小結
6. 計算機網路安全開題報告
1. 背景和意義
隨著計算機的發展,人們越來越意識到網路的重要性,通過網路,分散在各處的計算機被網路聯系在一起。做為網路的組成部分,把眾多的計算機聯系在一起,組成一個區域網,在這個區域網中,可以在它們之間共享程序、文檔等各種資源;還可以通過網路使多台計算機共享同一硬體,如列印機、數據機等;同時我們也可以通過網路使用計算機發送和接收傳真,方便快捷而且經濟。
21世紀全世界的計算機都將通過Internet聯到一起,信息安全的內涵也就發生了根本的變化。它不僅從一般性的防衛變成了一種非常普通的防範,而且還從一種專門的領域變成了無處不在。當人類步入21世紀這一信息社會、網路社會的時候,我國將建立起一套完整的網路安全體系,特別是從政策上和法律上建立起有中國自己特色的網路安全體系。
一個國家的信息安全體系實際上包括國家的法規和政策,以及技術與市場的發展平台。我國在構建信息防衛系統時,應著力發展自己獨特的安全產品,我國要想真正解決網路安全問題,最終的辦法就是通過發展民族的安全產業,帶動我國網路安全技術的整體提高。
網路安全產品有以下幾大特點:第一,網路安全來源於安全策略與技術的多樣化,如果採用一種統一的技術和策略也就不安全了;第二,網路的安全機制與技術要不斷地變化;第三,隨著網路在社會個方面的延伸,進入網路的手段也越來越多,因此,網路安全技術是一個十分復雜的系統工程。為此建立有中國特色的網路安全體系,需要國家政策和法規的支持及集團聯合研究開發。安全與反安全就像矛盾的兩個方面,總是不斷地向上攀升,所以安全產業將來也是一個隨著新技術發展而不斷發展的產業。
信息安全是國家發展所面臨的一個重要問題。對於這個問題,我們還沒有從系統的規劃上去考慮它,從技術上、產業上、政策上來發展它。政府不僅應該看見信息安全的發展是我國高科技產業的一部分,而且應該看到,發展安全產業的政策是信息安全保障系統的一個重要組成部分,甚至應該看到它對我國未來電子化、信息化的發展將起到非常重要的作用。第二章網路安全現狀
2.網路安全面臨的挑戰
網路安全可能面臨的挑戰
垃圾郵件數量將變本加厲。
根據電子郵件安全服務提供商Message Labs公司最近的一份報告,預計2003年全球垃圾郵件數量的增長率將超過正常電子郵件的增長率,而且就每封垃圾郵件的平均容量來說,也將比正常的電子郵件要大得多。這無疑將會加大成功狙擊垃圾郵件的工作量和難度。目前還沒有安裝任何反垃圾郵件軟體的企業公司恐怕得早做未雨綢繆的工作,否則就得讓自己的員工們在今後每天不停地在鍵盤上按動「刪除鍵」了。另外,反垃圾郵件軟體也得不停升級,因為目前垃圾郵件傳播者已經在實行「打一槍換一個地方」的游擊戰術了。
即時通訊工具照樣難逃垃圾信息之劫。
即時通訊工具以前是不大受垃圾信息所干擾的,但現在情況已經發生了很大的變化。垃圾郵件傳播者會通過種種手段清理搜集到大量的網路地址,然後再給正處於即時通訊狀態的用戶們發去信息,誘導他們去訪問一些非法收費網站。更令人頭疼的是,目前一些推銷合法產品的廠家也在使用這種讓人厭煩的手段來讓網民們上鉤。目前市面上還沒有任何一種反即時通訊干擾信息的軟體,這對軟體公司來說無疑也是一個商機。
內置防護軟體型硬體左右為難。
現在人們對網路安全問題受重視的程度也比以前大為提高。這種意識提高的表現之一就是許多硬體設備在出廠前就內置了防護型的軟體。這種做法雖然前幾年就已經出現,預計在今後的幾年中將會成為一種潮流。但這種具有自護功能的硬體產品卻正遭遇著一種尷尬,即在有人歡迎這種產品的同時,也有人反對這樣的產品。往好處講,這種硬體產品更容易安裝,整體價格也相對低廉一些。但它也有自身的弊端:如果企業用戶需要更為專業化的軟體服務時,這種產品就不會有很大的彈性區間。
企業用戶網路安全維護范圍的重新界定。
目前各大企業公司的員工們在家裡通過寬頻接入而登錄自己公司的網路系統已經是一件很尋常的事情了。這種工作新方式的出現同樣也為網路安全帶來了新問題,即企業用戶網路安全維護范圍需要重新界定。因為他們都是遠程登錄者,並沒有納入傳統的企業網路安全維護的「勢力范圍」之內。另外,由於來自網路的攻擊越來越嚴重,許多企業用戶不得不將自己網路系統內的每一台PC機都裝上防火牆、反侵入系統以及反病毒軟體等一系列的網路安全軟體。這同樣也改變了以往企業用戶網路安全維護范圍的概念。
個人的信用資料。
個人信用資料在公眾的日常生活中占據著重要的地位。以前的網路犯罪者只是通過網路竊取個人用戶的信用卡賬號,但隨著網上竊取個人信用資料的手段的提高,預計2003年這種犯罪現象將會發展到全面竊取美國公眾的個人信用資料的程度。如網路犯罪者可以對你的銀行存款賬號、社會保險賬號以及你最近的行蹤都能做到一覽無余。如果不能有效地遏制這種犯罪趨勢,無疑將會給美國公眾的日常人生活帶來極大的負面影響。
3.病毒現狀
互聯網的日漸普及使得我們的日常生活不斷網路化,但與此同時網路病毒也在繼續肆虐威脅泛濫。在過去的六個月內,互聯網安全飽受威脅,黑客蠕蟲入侵問題越來越嚴重,已成泛濫成災的趨勢。
2003年8月,沖擊波蠕蟲在視窗暴露安全漏洞短短26天之後噴涌而出,8天內導致全球電腦用戶損失高達20億美元之多,無論是企業系統或家庭電腦用戶無一倖免。
據最新出爐的賽門鐵克互聯網安全威脅報告書(Symantec Internet Security Threat Report)顯示,在2003年上半年,有超過994種新的Win32病毒和蠕蟲被發現,這比2002年同時期的445種多出一倍有餘。而目前Win32病毒的總數大約是4千個。在2001年的同期,只有308種新Win32病毒被發現。
這份報告是賽門鐵克在今年1月1日至6月31日之間,針對全球性的網路安全現狀,提出的最為完整全面的威脅趨勢分析。受訪者來自世界各地500名安全保護管理服務用戶,以及2萬個DeepSight威脅管理系統偵察器所探測的數據。
賽門鐵克高級區域董事羅爾威爾申在記者通氣會上表示,微軟雖然擁有龐大的用戶市佔率,但是它的漏洞也非常的多,成為病毒目標是意料中事。
他指出,開放源碼如Linux等之所以沒有受到太多病毒蠕蟲的襲擊,完全是因為使用者太少,以致於病毒製造者根本沒有把它不放在眼裡。他舉例說,劫匪當然知道要把目標鎖定在擁有大量現金的銀行,所以他相信隨著使用Linux平台的用戶數量的增加,慢慢地將會有針對Linux的病毒和蠕蟲出現。
不過,他不同意開放源碼社群的合作精神將能有效地對抗任何威脅的襲擊。他說,只要是將源碼暴露在外,就有可能找出其安全漏洞,而且世上不是全是好人,不懷好意的人多的是。
即時通訊病毒4倍增長
賽門鐵克互聯網安全威脅報告書指出,在2003年上半年使用諸如ICQ之類即時通訊軟體(Instant Messaging,IM)和對等聯網(P2P)來傳播的病毒和蠕蟲比2002年增加了400%,在50大病毒和蠕蟲排行榜中,使用IM和P2P來傳播的惡意代碼共有19個。據了解,IM和P2P是網路安全保護措施不足導致但這並不是主因,主因在於它們的流行廣度和使用者的無知。
該報告顯示,該公司在今年上半年發現了1千432個安全漏洞,比去年同時期的1千276個安全漏洞,增加了12%。其中80%是可以被人遙控的,因此嚴重型的襲擊可以通過網路來進行,所以賽門鐵克將這類可遙控的漏洞列為中度至高度的嚴重危險。另外,今年上半年的新中度嚴重漏洞增加了21%、高度嚴重漏洞則增加了6%,但是低度嚴重漏洞則減少了11%。
至於整數錯誤的漏洞也有增加的趨勢,今年的19例比起去年同期的3例,增加了16例。微軟的互聯網瀏覽器漏洞在今年上半年也有12個,而微軟的互聯網資訊伺服器的漏洞也是非常的多,賽門鐵克相信它將是更多襲擊的目標;以前襲擊它的有尼姆達(Nimda)和紅色代碼(Code Red)。
該報告顯示了64%的襲擊是針對軟體新的安全漏洞(少過1年的發現期),顯示了病毒製造者對漏洞的反應越來越快了。以Blaster沖擊波為例,就是在Windows安全漏洞被發現短短26天後出現的。
知名病毒和蠕蟲的威脅速度和頻率也增加了不少,今年上半年的知名威脅比去年同期增加了20%,有60%的惡意代碼(Malicious Code)是知名病毒。今年1月在短短數小時內造成全球性的癱瘓的Slammer蠕蟲,正是針對2002年7月所發現的安全漏洞。另外,針對機密信息的襲擊也比去年上半年增加了50%,Bugbear.B就是一個專鎖定銀行的蠕蟲。
黑客病毒特徵
賽門鐵克互聯網安全威脅報告書中也顯現了有趣的數據,比如周末的襲擊有比較少的趨向,這與去年同期的情況一樣。
雖然如此,周末兩天加上來也有大約20%,這可能是襲擊者會認為周末沒人上班,會比較疏於防備而有機可乘。賽門鐵克表示這意味著網路安全保護監視並不能因為周末休息而有所放鬆。
該報告書也比較了蠕蟲類和非蠕蟲類襲擊在周末的不同趨勢,非蠕蟲類襲擊在周末會有下降的趨勢,而蠕蟲類襲擊還是保持平時的水平。蠕蟲雖然不管那是星期幾,但是有很多因素也能影響它傳播的率,比如周末少人開機,確對蠕蟲的傳播帶來一些影響。
該報告書也得出了在互聯網中病毒襲擊發生的高峰時間,是格林威治時間下午1點至晚上10點之間。雖然如此,各國之間的時差關系,各國遭到襲擊的高峰時間也會有少許不同。比如說,華盛頓襲擊高峰時間是早上8時和下午5時,而日本則是早上10時和晚上7時。
知名病毒和蠕蟲的威脅速度和頻率也增加了不少,今年上半年的知名威脅比去年同期增加了20%,有60%的惡意代碼(Malicious Code)是知名病毒。今年1月在短短數小時內造成全球性的癱瘓的Slammer蠕蟲,正是針對2002年7月所發現的安全漏洞。另外,針對機密信息的襲擊也比去年上半年增加了50%,Bugbear.B就是一個專鎖定銀行的蠕蟲。管理漏洞---如兩台伺服器同一用戶/密碼,則入侵了A伺服器,B伺服器也不能倖免;軟體漏洞---如Sun系統上常用的Netscape EnterPrise Server服務,只需輸入一個路徑,就可以看到Web目錄下的所有文件清單;又如很多程序只要接受到一些異常或者超長的數據和參數,就會導致緩沖區溢出;結構漏洞---比如在某個重要網段由於交換機、集線器設置不合理,造成黑客可以監聽網路通信流的數據;又如防火牆等安全產品部署不合理,有關安全機制不能發揮作用,麻痹技術管理人員而釀成黑客入侵事故;信任漏洞---比如本系統過分信任某個外來合作夥伴的機器,一旦這台合作夥伴的機器被黑客入侵,則本系統的安全受嚴重威脅;
綜上所述,一個黑客要成功入侵系統,必須分析各種和這個目標系統相關的技術因素、管理因素和人員因素。
因此得出以下結論:
a、世界上沒有絕對安全的系統;b、網路上的威脅和攻擊都是人為的,系統防守和攻擊的較量無非是人的較量;c、特定的系統具備一定安全條件,在特定環境下,在特定人員的維護下是易守難攻的;d、網路系統內部軟硬體是隨著應用的需要不斷發展變化的;網路系統外部的威脅、新的攻擊模式層出不窮,新的漏洞不斷出現,攻擊手段的花樣翻新,網路系統的外部安全條件也是隨著時間的推移而不斷動態變化的。
一言以蔽之,網路安全是相對的,是相對人而言的,是相對系統和應用而言的,是相對時間而言的。 4,安全防禦體系
3.1.2
現代信息系統都是以網路支撐,相互聯接,要使信息系統免受黑客、病毒的攻擊,關鍵要建立起安全防禦體系,從信息的保密性(保證信息不泄漏給未經授權的人),拓展到信息的完整性(防止信息被未經授權的篡改,保證真實的信息從真實的信源無失真地到達真實的信宿)、信息的可用性(保證信息及信息系統確實為授權使用者所用,防止由於計算機病毒或其它人為因素造成的系統拒絕服務,或為敵手可用)、信息的可控性(對信息及信息系統實施安全監控管理)、信息的不可否認性(保證信息行為人不能否認自己的行為)等。
安全防禦體系是一個系統工程,它包括技術、管理和立法等諸多方面。為了方便,我們把它簡化為用三維框架表示的結構。其構成要素是安全特性、系統單元及開放互連參考模型結構層次。
安全特性維描述了計算機信息系統的安全服務和安全機制,包括身份鑒別、訪問控制、數據保密、數據完整、防止否認、審計管理、可用性和可靠性。採取不同的安全政策或處於不同安全保護等級的計算機信息系統可有不同的安全特性要求。系統單元維包括計算機信息系統各組成部分,還包括使用和管理信息系統的物理和行政環境。開放系統互連參考模型結構層次維描述了等級計算機信息系統的層次結構。
該框架是一個立體空間,突破了以往單一功能考慮問題的舊模式,是站在頂層從整體上進行規劃的。它把與安全相關的物理、規章及人員等安全要素都容納其中,涉及系統保安和人員的行政管理等方面的各種法令、法規、條例和制度等均在其考慮之列。
另外,從信息戰出發,消極的防禦是不夠的,應是攻防並重,在防護基礎上檢測漏洞、應急反應和迅速恢復生成是十分必要的。
目前,世界各國都在抓緊加強信息安全防禦體系。美國在2000年1月到2003年5月實行《信息系統保護國家計劃V1.0》,從根本上提高防止信息系統入侵和破壞能力。我國急切需要強化信息安全保障體系,確立我軍的信息安全戰略和防禦體系。這既是時代的需要,也是國家安全戰略和軍隊發展的需要,更是現實斗爭的需要,是擺在人們面前刻不容緩的歷史任務。 5加密技術
密碼理論與技術主要包括兩部分,即基於數學的密碼理論與技術(包括公鑰密碼、分組密碼、序列密碼、認證碼、數字簽名、Hash函數、身份識別、密鑰管理、PKI技術等)和非數學的密碼理論與技術(包括信息隱形,量子密碼,基於生物特徵的識別理論與技術)。
自從1976年公鑰密碼的思想提出以來,國際上已經提出了許多種公鑰密碼體制,但比較流行的主要有兩類:一類是基於大整數因子分解問題的,其中最典型的代表是RSA;另一類是基於離散對數問題的,比如ElGamal公鑰密碼和影響比較大的橢圓曲線公鑰密碼。由於分解大整數的能力日益增強,所以對RSA的安全帶來了一定的威脅。目前768比特模長的RSA已不安全。一般建議使用1024比特模長,預計要保證20年的安全就要選擇1280比特的模長,增大模長帶來了實現上的難度。而基於離散對數問題的公鑰密碼在目前技術下512比特模長就能夠保證其安全性。特別是橢圓曲線上的離散對數的計算要比有限域上的離散對數的計算更困難,目前技術下只需要160比特模長即可,適合於智能卡的實現,因而受到國內外學者的廣泛關注。國際上制定了橢圓曲線公鑰密碼標准IEEEP1363,RSA等一些公司聲稱他們已開發出了符合該標準的橢圓曲線公鑰密碼。我國學者也提出了一些公鑰密碼,另外在公鑰密碼的快速實現方面也做了一定的工作,比如在RSA的快速實現和橢圓曲線公鑰密碼的快速實現方面都有所突破。公鑰密碼的快速實現是當前公鑰密碼研究中的一個熱點,包括演算法優化和程序優化。另一個人們所關注的問題是橢圓曲線公鑰密碼的安全性論證問題。
公鑰密碼主要用於數字簽名和密鑰分配。當然,數字簽名和密鑰分配都有自己的研究體系,形成了各自的理論框架。目前數字簽名的研究內容非常豐富,包括普通簽名和特殊簽名。特殊簽名有盲簽名,代理簽名,群簽名,不可否認簽名,公平盲簽名,門限簽名,具有消息恢復功能的簽名等,它與具體應用環境密切相關。顯然,數字簽名的應用涉及到法律問題,美國聯邦政府基於有限域上的離散對數問題制定了自己的數字簽名標准(DSS),部分州已制定了數字簽名法。法國是第一個制定數字簽名法的國家,其他國家也正在實施之中。在密鑰管理方面,國際上都有一些大的舉動,比如1993年美國提出的密鑰託管理論和技術、國際標准化組織制定的X.509標准(已經發展到第3版本)以及麻省里工學院開發的Kerboros協議(已經發展到第5版本)等,這些工作影響很大。密鑰管理中還有一種很重要的技術就是秘密共享技術,它是一種分割秘密的技術,目的是阻止秘密過於集中,自從1979年Shamir提出這種思想以來,秘密共享理論和技術達到了空前的發展和應用,特別是其應用至今人們仍十分關注。我國學者在這些方面也做了一些跟蹤研究,發表了很多論文,按照X.509標准實現了一些CA。但沒有聽說過哪個部門有制定數字簽名法的意向。目前人們關注的是數字簽名和密鑰分配的具體應用以及潛信道的深入研究。
認證碼是一個理論性比較強的研究課題,自80年代後期以來,在其構造和界的估計等方面已經取得了長足的發展,我國學者在這方面的研究工作也非常出色,影響較大。目前這方面的理論相對比較成熟,很難有所突破。另外,認證碼的應用非常有限,幾乎停留在理論研究上,已不再是密碼學中的研究熱點。
Hash函數主要用於完整性校驗和提高數字簽名的有效性,目前已經提出了很多方案,各有千秋。美國已經制定了Hash標准-SHA-1,與其數字簽名標准匹配使用。由於技術的原因,美國目前正准備更新其Hash標准,另外,歐洲也正在制定Hash標准,這必然導致Hash函數的研究特別是實用技術的研究將成為熱點。
信息交換加密技術分為兩類:即對稱加密和非對稱加密。
1.對稱加密技術
在對稱加密技術中,對信息的加密和解密都使用相同的鑰,也就是說一把鑰匙開一把鎖。這種加密方法可簡化加密處理過程,信息交換雙方都不必彼此研究和交換專用的加密演算法。如果在交換階段私有密鑰未曾泄露,那麼機密性和報文完整性就可以得以保證。對稱加密技術也存在一些不足,如果交換一方有N個交換對象,那麼他就要維護N個私有密鑰,對稱加密存在的另一個問題是雙方共享一把私有密鑰,交換雙方的任何信息都是通過這把密鑰加密後傳送給對方的。如三重DES是DES(數據加密標准)的一種變形,這種方法使用兩個獨立的56為密鑰對信息進行3次加密,從而使有效密鑰長度達到112位。
2.非對稱加密/公開密鑰加密
在非對稱加密體系中,密鑰被分解為一對(即公開密鑰和私有密鑰)。這對密鑰中任何一把都可以作為公開密鑰(加密密鑰)通過非保密方式向他人公開,而另一把作為私有密鑰(解密密鑰)加以保存。公開密鑰用於加密,私有密鑰用於解密,私有密鑰只能有生成密鑰的交換方掌握,公開密鑰可廣泛公布,但它只對應於生成密鑰的交換方。非對稱加密方式可以使通信雙方無須事先交換密鑰就可以建立安全通信,廣泛應用於身份認證、數字簽名等信息交換領域。非對稱加密體系一般是建立在某些已知的數學難題之上,是計算機復雜性理論發展的必然結果。最具有代表性是RSA公鑰密碼體制。
3.RSA演算法
RSA演算法是Rivest、Shamir和Adleman於1977年提出的第一個完善的公鑰密碼體制,其安全性是基於分解大整數的困難性。在RSA體制中使用了這樣一個基本事實:到目前為止,無法找到一個有效的演算法來分解兩大素數之積。RSA演算法的描述如下:
公開密鑰:n=pq(p、q分別為兩個互異的大素數,p、q必須保密)
7. 結合國家相關政策及具體案例說明網路安全立法的重要性
一是加強和改進立法工作,不斷提高立法質量。加強立法工作,是依法治國、建設社會主義法治國家的前提。近年來,政府立法工作取得了突出成績。過去五年間,僅國務院就向全國人大常委會提交39件法律議案,制定、修訂了137件行政法規。但是必須看到,我國改革和發展已經站在了新的歷史起點上,立法工作面臨著十分繁重的任務。要進一步增強政府立法工作的計劃性和針對性,緊緊圍繞全面建設小康社會的奮斗目標,認真研究經濟社會發展中的突出矛盾和問題,按照貫徹科學發展觀的根本要求,繼續加強經濟調節、市場監管、產品質量和安全、規范政府自身行為方面的立法;高度重視社會管理、公共服務和人民群眾普遍關注、社會反映強烈的熱點問題的立法;特別要注意加強改善民生、推進社會建設、節約能源資源、保護生態環境等方面的立法。加強立法工作重在提高立法質量。要創新政府立法工作的方法和機制,擴大立法工作的公眾參與。在法律法規起草、修改過程中,要通過組織聽證會、論證會、座談會等多種形式,廣泛聽取社會各方面的意見和建議。制定與群眾利益密切相關的行政法規、規章,原則上要公布草案,向社會公開徵求意見。
二是推進依法行政,努力提高行政執法水平。各級政府部門要加快推進依法行政、建設法治政府的進程,嚴格按照法定許可權和程序行使職權、履行職責。政府的組織、政府的權力、政府的運行、政府的行為和活動,都要以憲法和法律為准繩,都要受到憲法和法律的規范和約束。政府制定的行政法規、政府規章、規范性文件和政策性文件,必須與憲法和法律保持統一和協調。堅持以人為本,樹立以尊重和保障人權為核心的現代行政執法觀念,形成職責許可權明確、執法主體合格、適用法律有據、問責監督有方的政府工作機制。合理界定和調整行政執法許可權,明確執法責任,全面落實行政執法責任制。進一步健全市縣政府依法行政制度。加強對行政收費的規范管理,改革和完善司法、執法財政保障機制。健全行政復議體制,完善行政補償和行政賠償制度。認真做好法律援助工作,幫助困難群眾實現訴訟權利,使人人都能享受到平等法律保護。加強行政執法隊伍建設,增強服務意識,改進工作作風,保持清正廉潔,促進行政執法水平的不斷提高。
三是加強執法監督,確保行政權力正確行使。健全社會主義民主法制,必然要求國家機關及其工作人員將人民賦予的權力始終用來為人民服務,確保權力正確行使,讓權力在陽光下運行,接受人民群眾的監督。要完善權力制約和監督機制,綜合運用各種監督形式,增強監督合力和實效,真正做到有權必有責、用權受監督、違法要追究。堅持用制度管權、管事、管人,建立健全決策權、執行權、監督權既相互制約又相互協調的權力結構和運行機制。健全組織法制和程序規則,保證政府權力按照法定許可權和程序進行行使。各級政府要自覺接受人民代表大會及其常委會的監督,主動接受人民政協的民主監督。大力推進執法公開,提高政府工作的透明度,加大人民群眾的監督力度。改善和加強新聞輿論對行政執法的有效監督。切實強化政府層級監督,充分發揮監察、審計等專門監督的作用。要把加強對領導幹部特別是主要領導幹部、人財物管理使用、關鍵崗位的監督作為重點,健全質詢、問責、經濟責任審計、引咎辭職、罷免等制度,確保監督到位、有力、有效。
四是加強法制宣傳教育,提高全社會的法律意識和法治觀念。積極探索法制宣傳教育的新途徑、新形式,善於運用報刊、廣播、電視、互聯網等多種傳媒,精心組織各種法制宣傳教育活動,增強法制教育的科學性、准確性,防止片面性。突出抓好憲法宣傳教育,增強人民群眾的憲法意識,自覺維護憲法權威,使憲法在全社會得到遵守。加大有關經濟社會發展的法律法規、規范市場經濟秩序的法律法規以及與人民群眾生產生活密切相關的法律法規的宣傳力度,為建設中國特色社會主義打牢法治思想基礎。法律對社會生活的規范、引導和保障功能,主要是通過權利義務機制實現的。在法制宣傳教育活動中,必須強化權利義務觀念的培養,既要增強人們的民主意識和權利意識,也要增強法治意識和義務意識。具體包括:公民在法律面前人人平等,任何人都沒有超越憲法和法律的特權;堅持權利和義務相統一,權利的行使不得損害社會公共利益和他人的合法權益;國家保護合法的權利;國家提供權利的保障、救濟和保護。只有讓每個公民都樹立了正確的法制觀念,自覺在法制框架內行使權利、履行義務,才能夠真正把依法治國基本方略真正落到實處,建成社會主義法治國家。