本文目录一览:
如何应对黑客攻击提高网站安全性
当人们听到“黑客”一词,就感觉到了毛骨悚然,不过网站遭遇黑客的攻击,这在当今社会几乎是很常见的事情了,目前互联网上的网站总是被无时无刻的监视和被攻击状态,各位站长经常性的去看网站日志情况,总会有RAR或PHP文件的请求,许多正是被有目的的用户进行批量的探索,一旦网站管理员进行本服务器备份,那么RAR格式的文件将给直接下载,这会给网站造成很大的损失。那么建网站时如何预防和应对黑客攻击提高网站安全性呢?
第一:网站被黑或者被攻击的原因有哪些?
当然有很大一部分是属于经济原因,但并非所有攻击都是因为经济缘故。大体来讲,导致黑客攻击的原因有:
1.受雇于他人的黑客行为,如商业竞争对手恶意竞争通过黑客手法攻击;如据互联安全网报道:黑客受雇恶意文档攻击西方企业,这类攻击就属于商业竞争行为。
2. 受商业利益驱使,敲诈勒索、盗取各类银行帐户信息及虚拟财产的黑客攻击行为;如各类钓鱼行为都属于商业利益驱使的攻击行为。
3.恶作剧型的黑客行为,如随意篡改网站首页;这类黑客攻击往往是一些新手的尝试行为,更多的是为了一种虚荣心的满足。
4.搜集肉鸡,攻击一个网站后,挂上网页木马(可导致浏览该网站者中毒而使自己的计算机成为入侵者的肉鸡);这类是为其他类攻击原因作准备,据从互联安全网社区获得的案例,有黑客竟然通过这类行为掌握了数万台的肉鸡。
5.打击报复型,如网站服务不好而引起的商业纠纷等无法处理的时候会有黑客攻击行为;如前一段时间某威客网站经常遭受莫名攻击导致无法正常提供服务,有权威人士就指出乃是因为其网站客户服务不到位,无故刁难客户导致黑客人士不平进而遭受DDOS攻击,根本不是所谓其自己据称的遭受竞争对手恶意攻击。
6.窃取资料型,此类攻击主要针对一些资料网站包括收费用户网站,一般攻击者不会破坏服务器及网站数据,但会悄悄将数据偷走据为已有;如盗取网站管理员的密码之类。
7.菜鸟测试型,这类一般为一些正在学习黑客技术的人通过攻击网站练习的人骇客新手,这类攻击一般攻击经验少,容易对网站数据造成破坏。
第二:如何预防网站被黑客攻击呢?
1、首先要重视网站安全建设,从安全制度、安全硬件、安全人员配备等都要有一定的规划。如果网站的拥有者都不重视网站安全,仅把网站安全当作一个技术问题,那就是会带来严重的麻烦。
2、注入漏洞必须补上
什么是注入漏洞,怎么产生的,这些我也不好意思在这说了,百度上很多关于这方面的介绍。比如说你的网站是动态的(假设这个网址:www在网址后面加上and 1=1 显示正常,and 1=2 显示错误,说明你的网站就是存在注入漏洞。网上有很多注入工具还可以手工注入,可以达到破解管理员的帐号密码,而现在网上也流行cookie注入,比如说你and 1=1 和and 1=2 都显示错误,你没把cookie注入的漏洞补上的话,也是会造成黑客入侵的。这些修补漏洞代码网上很多,大家可以去下载。
3、修改数据库地址,并做好数据库备份
数据库地址,这很重要,比如说你是用新云,动易的,而且你因为方便没有去习惯数据库地址,这样你就会给黑客所利用。所以一定要改。同时要做好数据备份,防止不幸后可以将受攻击的损失降到最低。
4、同IP服务器站点绑定的选择
如果你不是自己用独立的服务器,那服务器绑定的选择也很重要,黑客会利用旁注的方法入侵网站,比如说你的网站黑客没有找到漏洞,他会利用和你绑定的网站上入手。个人认为不要和黑客站和网色网站所绑在一起。
5、用户名和密码长度设置复杂的
用户名和密码不要用默然的,比如说admin,admin.用户名和密码长度设置复杂的,比如说,现在网上有个在线的破MD5加密的网站,有些是要收费的,而且最长的只破到12位。当然不排除黑客用字典工具破解。密码个人认为一定要拼音与数字结合,有标点符号是最好。
6、进行安全检查,主动进行渗透检测,最好考虑联系专业的第三方安全服务机构进行独立和专业的渗透检测,避免内部力量的不足和非独立性。
第三:网站被黑客攻击了,别挂木马了怎么办?
如何发现服务器被入侵,应立即关闭所有网站服务,暂停至少3小时。下载服务器日志(如果没被删除的话),并且对服务器进行全盘杀毒扫描。
如果网站打开速度明显比之前的速度慢,排除了自身网络的原因,那么就有可能是网站中毒了,我们可以从以下几点入手:
1、robots屏蔽
使用robots屏蔽所有搜索,禁止搜索继续抓取;或停止网站内容更新只释放网站首页,并且所有访问均报503状态。这是笔者认为知道网站被黑客攻击时最直接的处理方式,当然这对于高权重的网站不太适用,只适合于新网站或企业类网站。
2、清理木马和黑客程序
查看源代码:发现网站代码最页头或最页尾被嵌入了比如script或者iframe这样的字符,说明被挂上了木马。通过FTP查看文件的修改时间:一般来说,黑客要修改网站文件,那么改文件的修改的时间就会跟改变,如果某些文件的修改时间明显比其他文件要晚,而我们自己并没有改动过,那么说明这个文件已经被黑客修改过了,可能已经中毒或挂上了木马,查看源文件就可以知。不过很多时候,黑客的木马程序植入到图片中,这是一个非常大的处理量,在处理前将网站服务器中所有的文件实行最高权限的限制,不允许文件被复制和修改。再利用查杀木马软件进行查杀,不过对于高权重网站如在第一时间无法及时处理黑客木马的情况下,建议直接使用备用服务器。
3、要明白网站被挂木马的原理
一般来说是由于网站本身采用的程序是来自网络免费程序,其中的代码和漏洞都为一些黑客所熟知,攻击起来易如反掌,尤其是一些asp程序。所以网站建设尽量少用网络上的免费程序搭建;黑客在找到漏洞之后就会上传黑客木马到网站中,这个木马具有删除整个网站,修改所有代码的功能,但大部分黑客会在源网站的代码中加入他们的一些木马和病毒文件,然后访问的人中毒成为他们的肉鸡,或者达到一些不为人知的目的。
4、提交劫持地址
谷歌和百度都有提交提交的地址,大家将网站被劫持的地址提交给他们,告知他们网站被攻击和域名被劫持,这样保留住网站的收录和排名,当然这和屏蔽搜索是同一步骤,只是将先后顺序笔者理顺。这时候可能很多站长在搜索中搜索自己网站的开始出现危险的警告,这时候无需管他,只要处理完木马和提交后,这个警告就会自动去除,一般在你清理完木马开放网站后的三天内。
黑客技术再升级 企业防范如何应对?
在全球经济仍不够景气的背景下,信息安全问题尤显重要。虽然信息安全技术仍在不断发展,但网络安全意识在普通民众(包括许多公司雇员)中仍很薄弱,而且黑客技术仍在不断地推陈出新,各种新伎俩你方唱罢我登场,从而使当前的安全状况雪上加霜。人们不禁要问,黑客技术背后的真正动机是什么?它从何而来,要走向何方?只有知道了黑客们的真正意图,安全阵营才能更好地实施保护和防御,也才能改善安全状况。本文将分析黑客技术的发展路线,看其未来的走势,并提出应对措施。从发展的眼光看,黑客行为遵循从低级向高级发展的规律。第一级:自得其乐其实,许多所谓的黑客还只是有点儿编程技术的“毛头小子”,他们常常使用高手编制的黑客程序来损害自己发现的任何系统,其目的纯粹是为了“找乐子”,所以其行为没有明确的目标。不过,不要低估这种低级黑客,他们有可能“瞎猫碰上死耗子”,说不定搞垮哪个大型系统。第二级:搭帮结伙其实,对这种黑客可描述为低级黑客的松散组织,当然,由于成了一个团伙,其力量要强大得多。此时,这种黑客组织往往有所谓的头领,在其领导下,这群人往往能够给企业的网络带来重大损害。如大名鼎鼎的黑客组织LulzSec就曾给索尼等公司带来重大损失。第三级:黑客主义者这种黑客有了所谓的信仰,他们往往有着明确的政治或社会目的。如Anonymous就是业界所熟知的一个黑客组织,该组织曾对北约、美国银行和不同国家的政府网站发动过攻击。显然,如果这种黑客被政府部门利用,往往会给其它国家的企事业单位和国家安全带来不可估量的破坏。第四级:黑帽专家这类黑客有着熟练的编程技术和坚定的信仰,因而他们往往能够在短时间内攻克目标。他们的目标往往并不是为了破坏或宣扬自己,而是研究攻克最强大目标的新方法。第五级:有组织的犯罪团伙这是更高级的黑客组织。它由专业的犯罪分子领导,并有着严格的规则,确保其活动不会受到政府和法律的追捕。应当用一个更准确的词来形容它:“团队”,它广泛招集能够编制复杂的高级代码的黑客,目的在于窃取有价值的数据,散布垃圾信息等。第六级:国家黑客敌对国家之间的利益冲突也往往反映到网络上。例如,现在有些发达国家已经开始组建自己的信息安全部队。而其中的精英,就是那些经过专门高级训练的黑客高手。由于有国家的支持,这些黑客往往能够挖掘敌对国家军事、金融等要害部门基础架构的漏洞,窃取情报,击毁其网络安全系统等。特别是近几年来,云技术的发展给企业和国家的发展带来机遇的同时,也产生了云环境下的新安全问题。这更为国家黑客组织提供了新的犯罪平台。第七级:自动工具自动化的黑客工具能够以极低的成本损害企业和个人。这种威胁有可能在未来的日子里给企业带来新的危害。其原因在于,可以访问企业资源的各种网络技术和网络应用程序的种类日益增多和普遍,任何应用程序(特别是移动设备中的应用程序)中的一个小漏洞都足以给整个架构中的系统带来灾难性的影响。例如,Abotnet就是一种能够利用僵尸计算机形成强大僵尸网络的自动工具,因而可以发动更大规模的攻击。此时,受到感染的用户很有可能并不知道自己已经成为了僵尸网络的一部分,造成其攻击力不断发展强大。僵尸网络攻击往往能够在短时间内向互联网发送大量的带有恶意链接或附件的垃圾邮件,其目标往往是根据它所发现的漏洞获得经济上的利益。当然,僵尸网络还可被用于发动DDoS攻击,用大量的垃圾通信造成公司服务器的瘫痪。自动工具的本质是一种如蠕虫病毒一样的程序,它一般兼容多种软硬件框架,因而能够感染尽可能多的计算机,便于构建自己的僵尸王国。它是黑客技术发展的一种极致,并可被上述不同等级的黑客用来实施攻击。面对恶意黑客,公司需要认识到其严重威胁,并与可信的安全公司合作,尽可能多的查找自身的软硬件漏洞,采取适当的防护措施:1、确保计算机系统运行可更新的软件,经常为网络应用程序打补丁,保持其最新。2、用最佳的安全实践教育员工,经常运用案例给不同层次的员工阐明实现安全过程的方法、对策和技术,如不要随意打开来历不明的邮件及附件等。3、采取措施防止社交工程的渗透,谨防内部人员泄密。4、经常进行渗透测试,查找修复系统漏洞,然后再测试,再修补。5、部署分层的安全机制,如反病毒工具、Web应用防火墙和垃圾邮件过滤器等。6、雇佣外部专家,帮助企业查找安全缺陷和部署安全措施。
为什么网络安全问题越来越严重
一、 影响我国计算机网络安全的主要原因
“计算机安全”被计算机网络安全国际标准化组织(ISO)将定义为:“为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄漏”。影响我国计算机网络安全的原因,可以分为两个方面来看,网络自身的原因导致的计算机网络安全问题,主要有以下的因素。
(1)系统的安全存在漏洞所谓系统漏洞,用专业术语可以这样解释,是指应用软件或操作系统软件在逻辑设计上的缺陷或在编写时产生的错误,这个缺陷或错误一旦被不法者或者电脑黑客利用,通过植入木马、病毒等方式可以达到攻击或控制整个电脑,从而窃取您电脑中的数据,信息资料,甚至破坏您的系统。而每一个系统都并不是完美无缺的,没有任何一个系统可以避免系统漏洞的存在,事实上,要修补系统漏洞也是十分困难的事情。漏洞会影响到的范围很大,他会影响到包括系统本身及其支撑软件,网络客户和服务器软件,网络路由器和安全防火墙等。也就是说在这些不同的软硬件设备中都会存在不同的安全漏洞。
(2)来自内部网用户的安全威胁内网就是局域网,它是以NAT(网络地址转换)协议,通过一个公共的网关访问Internet。如果将内部网和外部网相比较,来自内部网用户的威胁要远远大于外部网用户的威胁,这是由于内部网用户在使用中缺乏安全意识,例如移动存储介质的无序管理、使用盗版软件等,都是内网所存在的网络安全的隐患。
(3)缺乏有效的手段监视网络安全评估系统所谓网络安全评估系统,用比较通俗易懂的话来说,就是对网络进行检查,看是否有会被黑客利用的漏洞。因此如果不经常运用安全评估系统,对其进行相应的检查和作出修补,就会造成数据信息资料的外泄。
(4)安全工具更新过慢安全工具指的是保护系统正常运行,并且有效防止数据、资料信息外泄的工具。由于技术在不断的进步,黑客的技术也在不断的提升,如果安全工具更新过慢,黑客就会利用新的技术,对其系统存在的漏洞导致一些未知的安全隐患。
由于中国的计算机星期并且广泛的被使用是近20多年的事情,因而在这么快速的不可遏制的发展趋势下,还没有来得及形成一整套比较完整的法律法规。这就为许多的不法分子对于信息的盗取提供了可趁之机,也就留下了许多的隐患。
二、 网络安全问题
(1)网络系统运行的安全问题
随着 1995 年以来多个上网工程的全面启动,我国各级政府、企事业单位、网络公司、银行系统等陆续设立自己的网站,电子商务也正以前所未有的速度迅速发展,但相应的网络安全的投入与建设明显滞后,许多应用系统安全防护能力低或处于不设防状态,存在着极大的信息安全风险和隐患。 此外,目前绝大部分的互联网访问流量都来自互联网数据中心(Internet data center,简称IDC),因此加强数据中心的安全就显得特别的重要。从以前出现的网络安全案例来看,这方面是国内网络安全的关键问题之一。
(2)互联网信息发布和管理中存在的问题
在2000年12 月28日全国人大通过的《关于维护互联网安全的决定》中,对于网络安全作出了详细的规定,而在日常工作中,有些单位和个人并没有严格按照规定来执行,把一些不应该在网上公布的信息在网上公布了,实际工作中缺少详细的操作规程和管理规章。
从近期我国发生的安全攻击事件来看,有很多是因为内部人员的疏忽大意。因此,不管是在互联网上发布信息的单位,还是提供互联网信息服务的机构,很有必要加强内部的安全体系,尤其是对于系统管理和维护的人员,提高技术水平和安全意识就尤为重要了。
(3)基础信息产业严重依靠国外带来的安全问题
我国的信息化建设还基本上依靠国外技术设备。当外国网络安全公司大举推销安全产品时,我们是在相对缺乏知识和经验的情况下引进的,难免出现了花钱买淘汰技术和不成熟技术的现象。
在计算机软硬件的生产领域,我们在关键部位和环节上受制于人,计算机硬件中许多核心部件(特别是CPU)都是外国厂商制造的;计算机软件也面临市场垄断和价格歧视的威胁,国外厂商几乎垄断了我国计算机软件市场。
从信息安全的角度来讲,对国外技术的过于依赖存在安全方面的隐患,如果不摆脱这方面的困境,是不能从根本上解决我们的信息和网络安全问题的。
(4)全社会的信息安全意识淡薄
有些人对于我国目前网络安全的现状没有客观清醒的认识,少数人认为我国信息化程度不高,互联网用户的数量也不多,信息安全的问题现在还不严重,这种错误的认识已经成为我国网络安全的严重隐患。 另外,我国的信息安全领域在研究开发、产业发展、人才培养、队伍建设等方面和迅速发展的 IT 业形势极不适应,目前这方面还仅仅作为信息化的研究分支立项,投入很少,这种状况下,国内和国外差距正在越来越大。
对于互联网用户而言,应该对目前互联网用户系统存在的安全隐患有明确的认识,在安装操作系统和应用软件时及时对安全漏洞进行扫描并加以修补。
以上的问题已经明摆在我们面前,并且影响和威胁着互联网的正常发展,如果不能得到及时解决,在激烈的信息争夺和网络信息大战中我们就会处于被动和弱势。
三、 保证我国计算机网络安全的对策
(1)建立安全管理机构。计算机网络安全系统其自身是脆弱并且存在漏洞的,但是要避免其数据资料的外泄,也并不是无计可施,比如建立安全管理机构,就可以有效的防止由于系统漏洞所带来的不良后果。使黑客没有下手的可能。
(2)安装必要的安全软件,并及时更新。安装必要的杀毒软件,可以保证在遇到黑客攻击或者是有不良病毒入侵的时候,及时的隔离或者提醒用户,防止恶意不法分子对重要信息的窃取和访问,或者因此而带来的关于电脑的瘫痪。
(3)网络系统备份和恢复。网络系统备份是指对于重要的资料和核心数据进行备份,以保证当计算机遭遇了黑客攻击,还可以通过系统快速的恢复相关资料。这是使用计算机应该养成的一个良好的习惯。
(4)完善相应的法律规章制度。在技术上做到防止其信息安全可能发生的同时,也应该在管理上做出相应的对策,对其建立完整,行之有效的一个制度,以保证能够在技术和管理上相得益彰的保证网络信息的安全。2.5加强职业道德教育不管是建立安全管理机构还是安装安全软件或者资料备份,这些并不是解决网络安全的根本方法。而只有加强计算机从业者进行道德教育,培训,增强他们的安全意识,并且对于青年人进行必要的网络安全知识的素质教育,才能做到比较切实的防患。
四、 总结
近年来,我国计算机的运用普及,以及在数字经济时代所作出的推动作用,网络安全也受到大家的关注。本文简单分析了我国计算机网络安全问题并提出了相应的对策。总之网络安全并不是一个简单的技术问题,还涉及到管理的方面。在日益发展的技术时代,网络安全技术也会不断的进步和发展。
如何提升网络信息安全保障能力
健全的网络与信息安全保障措施 随着企业网络的普及和网络开放性,共享性,互连程度的扩大,网络的信息安全问题也越来越引起人们的重视。一个安全的计算机网络应该具有可靠性、可用性、完整性、保密性和真实性等特点。计算机网络不仅要保护计算机网络设备安全和计算机网络系统安全,还要保护数据安全。网络安全风险分析 计算机系统本身的脆弱性和通信设施的脆弱性共同构成了计算机网络的潜在威胁。信息网络化使信息公开化、信息利用自由化,其结果是信息资源的共享和互动,任何人都可以在网上发布信息和获取信息。这样,网络信息安全问题就成为危害网络发展的核心问题,与外界的因特网连接使信息受侵害的问题尤其严重。 目前企业网络信息的不安全因素来自病毒、黑客、木马、垃圾邮件等几个方面。 计算机病毒是一种危害计算机系统和网络安全的破坏性程序。它可以直接破坏计算机数据信息,也可以大量占用磁盘空间、抢占系统资源从而干扰了系统的正常运行。 随着Internet技术的发展、企业网络环境的日趋成熟和企业网络应用的增多,病毒的感染、传播的能力和途径也由原来的单一、简单变得复杂、隐蔽,尤其是Internet环境和企业网络环境为病毒传播、生存提供了环境。 黑客攻击已经成为近年来经常发生的事情,网络中服务器被攻击的事件层出不穷。黑客利用计算机系统、网络协议及数据库等方面的漏洞和缺陷,采用破解口令(password cracking)、天窗(trapdoor)、后门(backdoor)、特洛伊木马(Trojan horse)等手段侵入计算机系统,进行信息破坏或占用系统资源,使得用户无法使用自己的机器。一般大型企业的网络都拥有Internet连接,同时对外提供的WWW和EMAIL等服务。因此企业内部网络通过Internet连接外部进行大量的信息交换,而其中大约80%信息是电子邮件,邮件中又有一半以上的邮件是垃圾邮件,这一比例还在逐年上升。 企业局域网内部的信息安全更是不容忽视的。网络内部各节点之间通过网络共享网络资源,就可能因无意中把重要的涉密信息或个人隐私信息存放在共享目录下,因此造成信息泄漏;甚至存在内部人员编写程序通过网络进行传播,或者利用黑客程序入侵他人主机的现象。因此,网络安全不仅要防范外部网,同时更防范内部网。网络安全措施 由此可见,有众多的网络安全风险需要考虑,因此,企业必须采取统一的安全策略来保证网络的安全性。一个完整的安全技术和产品包括:身份认证、访问控制、流量监测、网络加密技术、防火墙、入侵检测、防病毒、漏洞扫描等;而造成安全事件的原因则包括技术因素、管理因素以及安全架构设计上的疏漏等问题。 1.外部入侵的防范措施 (1)网络加密(Ipsec) IP层是TCP/IP网络中最关键的一层,IP作为网络层协议,其安全机制可对其上层的各种应用服务提供透明的覆盖式安全保护。因此,IP安全是整个TCP/IP安全的基础,是网络安全的核心。IPSec是目前唯一一种能为任何形式的Internet通信提供安全保障的协议。IPSec允许提供逐个数据流或者逐个连接的安全,所以能实现非常细致的安全控制。对于用户来说,便可以对于不同的需要定义不同级别地安全保护(即不同保护强度的IPSec通道)。IPSec为网络数据传输提供了数据机密性、数据完整性、数据来源认证、抗重播等安全服务,使得数据在通过公共网络传输时,不用担心被监视、篡改和伪造。 IPSec是通过使用各种加密算法、验证算法、封装协议和一些特殊的安全保护机制来实现这些目的,而这些算法及其参数是保存在进行IPSec通信两端的SA(Security Association,安全联盟),当两端的SA中的设置匹配时,两端就可以进行IPSec通信了。 在虚拟专用网(VPN)中主要采用了IPSec技术。 (2)防火墙 防火墙是一种网络安全保障手段,是网络通信时执行的一种访问控制尺度,其主要目标就是通过控制进、出一个网络的权限,在内部和外部两个网络之间建立一个安全控制点,对进、出内部网络的服务和访问进行控制和审计,防止外部网络用户以非法手段通过外部网络进入内部网络,访问、干扰和破坏内部网络资源。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监视了内部网络和Internet之间的任何活动,保证了内部网络的安全。 防火墙有软、硬件之分,实现防火墙功能的软件,称为软件防火墙。软件防火墙运行于特定的计算机上,它需要计算机操作系统的支持。基于专用的硬件平台的防火墙系统,称为硬件防火墙。它们也是基于PC架构,运行一些经过裁剪和简化的操作系统,承载防火墙软件。 (3)入侵检测 部署入侵检测产品,并与防火墙联动,以监视局域网外部绕过或透过防火墙的攻击,并及时触发联动的防火墙及时关闭该连接;同时监视主服务器网段的异常行为,以防止来自局域网内部的攻击或无意的误用及滥用行为。入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力。 2.内部非法活动的防范措施 (1)身份认证 网络安全身份认证是指登录计算机网络时系统对用户身份的确认技术。是网络安全的第一道防线,也是最重要的一道防线。用户在访问安全系统之前,首先经过身份认证系统识别身份,然后访问监控器根据用户的身份和授权数据库决定用户是否能够访问某个资源。授权数据库由安全管理员按照需要进行配置。审计系统根据审计设置记录用户的请求和行为,同时入侵检测系统实时或非实时地检测是否有入侵行为。访问控制和审计系统都要依赖于身份认证系统提供的用户的身份。身份认证在安全系统中的地位极其重要,是最基本的安全服务,其它的安全服务都要依赖于它。一旦身份认证系统被攻破,那么系统的所有安全措施将形同虚设。黑客攻击的目标往往就是身份认证系统,因此身份认证实在是网络安全的关键。 (2)访问控制 访问控制决定了用户可以访问的网络范围、使用的协议、端口;能访问系统的何种资源以及如何使用这些资源。在路由器上可以建立访问控制列表,它是应用在路由器接口的指令列表,这些指令列表用来告诉路由器哪些数据包可以接收、哪些数据包需要拒绝。至于数据包是被接收还是被拒绝,可以由类似于源地址、目的地址、端口号、协议等特定指示条件来决定。建立访问控制列表后,可以限制网络流量,提高网络性能,对通信流量起到控制的手段,这也是对网络访问的基本安全手段。由于访问控制列表ACL(Access Control List)的表项可以灵活地增加,所以可以把ACL当作一种网络控制的有力工具,用来过滤流入和?鞒雎酚善鹘涌诘氖莅?在应用系统中,访问控制的手段包括用户识别代码、口令、登录控制、资源授权(例如用户配置文件、资源配置文件和控制列表)、授权核查、日志和审计。适当的访问控制能够阻止未经允许的用户有意或无意地获取数据,根据授予的权限限制其对资源的利用范围和程度。 (3)流量监测 目前有很多因素造成网络的流量异常,如拒绝服务攻击(DoS)、网络蠕虫病毒的传播、一些网络扫描工具产生的大量TCP连接请求等,很容易使网络设备瘫痪。这些网络攻击,都是利用系统服务的漏洞或利用网络资源的有限性,在短时间内发动大规模网络攻击,消耗特定资源,造成网络或计算机系统瘫痪。因此监控网络的异常流量非常重要。流量监测技术主要有基于SNMP的流量监测和基于Netflow的流量监测。基于SNMP的流量信息采集,是通过提取网络设备Agent提供的MIB(管理对象信息库)中收集一些具体设备及流量信息有关的变量。 基于SNMP收集的网络流量信息包括:输入字节数、输入非广播包数、输入广播包数、输入包丢弃数、输入包错误数、输入未知协议包数、输出字节数、输出非广播包数、输出广播包数、输出包丢弃数、输出包错误数、输出队长等。基于Netflow流量信息采集是基于网络设备提供的Netflow机制实现的网络流量信息采集,在此基础上实现的流量信息采集效率和效果均能够满足网络流量异常监测的需求。基于以上的流量检测技术,目前有很多流量监控管理软件,此类软件是判断异常流量流向的有效工具,通过流量大小变化的监控,可以帮助网管人员发现异常流量,特别是大流量异常流量的流向,从而进一步查找异常流量的源、目的地址。处理异常流量最直接的解决办法是切断异常流量源设备的物理连接,也可以采用访问控制列表进行包过滤或在路由器上进行流量限定的方法控制异常流量。 (4)漏洞扫描 对一个网络系统而言,存在不安全隐患,将是黑客攻击得手的关键因素。就目前的网络系统来说,在硬件、软件、协议的具体实现或系统安全策略方面都可能存在一定的安全缺陷即安全漏洞。及时检测出网络中每个系统的安全漏洞是至关重要的。安全扫描是增强系统安全性的重要措施之一,它能够有效地预先评估和分析系统中的安全问题。漏洞扫描系统是用来自动检测远程或本地主机安全漏洞的程序,按功能可分为:操作系统漏洞扫描、网络漏洞扫描和数据库漏洞扫描。网络漏洞扫描系统,是指通过网络远程检测目标网络和主机系统漏洞的程序,它对网络系统和设备进行安全漏洞检测和分析,从而发现可能被入侵者非法利用的漏洞。定期对网络系统进行漏洞扫描,可以主动发现安全问题并在第一时间完成有效防护,让攻击者无隙可钻。 (5)防病毒 企业防病毒系统应该具有系统性与主动性的特点,能够实现全方位多级防护。考虑到病毒在网络中存储、传播、感染的方式各异且途径多种多样,相应地在构建网络防病毒系统时,应利用全方位的企业防毒产品,实施集中控制、以防为主、防杀结合的策略。具体而言,就是针对网络中所有可能的病毒攻击设置对应的防毒软件,通过全方位、多层次的防毒系统配置,使网络没有薄弱环节成为病毒入侵的缺口。实例分析 大庆石化局域网是企业网络,覆盖大庆石化机关、各生产厂和其他的二级单位,网络上运行着各种信息管理系统,保存着大量的重要数据。为了保证网络的安全,针对计算机网络本身可能存在的安全问题,在网络安全管理上我们采取了以下技术措施: 1.利用PPPOE拨号上网的方式登录局域网 我们对网络用户实施了身份认证技术管理。用户采用 PPPOE拨号方式上局域网,即用户在网络物理线路连通的情况下,需要通过拨号获得IP地址才能上局域网。我们选用华为ISN8850智能IP业务交换机作为宽带接入服务器(BAS),RADIUS服务器作用户认证系统,每个用户都以实名注册,这样我们就可以管理用户的网上行为,实现了对以太网接入用户的管理。 2.设置访问控制列表 在我们的网络中有几十台路由交换机,在交换机上我们配置了访问控制列表,根据信息流的源和目的 IP 地址或网段,使用允许或拒绝列表,更准确地控制流量方向,并确保 IP 网络免遭网络侵入。 3.划分虚拟子网 在局域网中,我们把不同的单位划分成不同的虚拟子网(VLAN)。对于网络安全要求特别高的应用,如医疗保险和财务等,划分独立的虚拟子网,并使其与局域网隔离,限制其他VLAN成员的访问,确保了信息的保密安全。 4.在网络出口设置防火墙在局域网的出口,我们设置了防火墙设备,并对防火墙制定安全策略,对一些不安全的端口和协议进行限制,使所有的服务器、工作站及网络设备都在防火墙的保护之下,同时配置一台日志服务器记录、保存防火墙日志,详细记录了进、出网络的活动。 5.部署Symantec防病毒系统 我们在大庆石化局域网内部署了Symantec防病毒系统。Symantec系统具有跨平台的技术及强大功能,系统中心是中央管理控制台。通过该管理控制台集中管理运行Symantec AntiVirus 企业版的服务器和客户端;可以启动和调度扫描,以及设置实时防护,从而建立并实施病毒防护策略,管理病毒定义文件的更新,控制活动病毒,管理计算机组的病毒防护、查看扫描、病毒检测和事件历史记录等功能。 6.利用高效的网络管理软件管理全网大庆石化局域网的网络环境比较复杂,含有多种cisco交换设备、华为交换设备、路由设备以及其他一些接入设备,为了能够有效地网络,我们采用了BT_NM网络资源管理系统。 该系统基于SNMP管理协议,可以实现跨厂商、跨平台的管理。系统采用物理拓扑的方法来自动生成网络的拓扑图,能够准确和直观地反映网络的实际连接情况,包括设备间的冗余连接、备份连接、均衡负载连接等,对拓扑结构进行层次化管理。通过网络软件的IP地址定位功能可以定位IP地址所在交换机的端口,有效解决了IP地址盗用、查找病毒主机网络黑客等问题。 通过网络软件还可实现对网络故障的监视、流量检测和管理,使网管人员能够对故障预警,以便及时采取措施,保证了整个网络能够坚持长时间的安全无故障运行。 7.建立了VPN系统 虚拟专用网是对企业内部网的扩展。它可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。虚拟专用网可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。为了满足企业用户远程办公需求,同时为了满足网络安全的要求,我们在石化局域网中建立了VPN系统。VPN的核心设备为Cisco的3825路由器,远端子公司采用Cisco的2621路由器,动态接入设备采用Cisco的1700路由器。 8.启动应用服务器的审计功能在局域网的各应用中我们都启用了审计功能,对用户的操作进行审核和记录,保证了系统的安全。