首页 > 文章中心 > 常见网络安全漏洞

常见网络安全漏洞

前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇常见网络安全漏洞范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。

常见网络安全漏洞

常见网络安全漏洞范文第1篇

关键词:网络安全;网络攻击;防范策略;入侵检测

中图分类号:TP393文献标识码:A文章编号:1009-3044(2011)22-5304-03

Analysis of Common Network Attacks and Defense

HU Yin-ping

(Ningxia Public Security Department, Yinchuan 750021, China)

Abstract: Aiming at more and more Network Attacks, This paper analyzes and studies the common means of network attacks, in order to enhance network security, combining some latest technique, it wholly gives the countermeasures to the common attack methods.

Key words: network security; network attacks; network defense; intrusion detection

随着网络技术和Internet的飞速发展,网络环境变得越来越复杂,网络安全问题显得越来越重要,网络易受如木马、恶意代码、蠕虫、DDOS攻击等攻击, 黑客攻击事件数量的不断上升,如2011年6月发生的Facebook攻击,2011年3月发生的RSA Security攻击,再早些时候发生的网游大盗及熊猫烧香等,给社会造成了严重的损失,与此同时,网络攻击呈现攻击手段多样化、技术平民化、周期缩短化的态势,为了不被突如其来的网络攻击弄得手足无措,必须要化被动为主动,探究可能存在的网络漏洞、常见的攻击方法及其防范措施,具有十分重要的意义。

1 网络攻击的常见方法

1.1 安全漏洞攻击

网络系统受到的威胁主要是由于安全漏洞引起的,安全漏洞主要有3大类,分别是系统漏洞、协议漏洞和使用漏洞,一次成功的网络攻击,首先要收集目标系统的网络漏洞信息,然后方可对目标系统实施有针对性的有效攻击,某些敏感内容以明文方式保存会给黑客带来可乘之机,还有一些漏洞是由于系统管理员配置错误引起的,黑客对目标系统漏洞信息的获取,目前主要是通过网络漏洞扫描工具实现的,利用这些漏洞就能完成密码探测、系统入侵等攻击。

1.2 Email 攻击

攻击者将包含恶意附件的Email发送到用户的电子邮箱中,并施加适当的欺骗手段,欺骗用户打开这些附近,从而完成Email 攻击,Email 攻击主要有两种方式,即Email欺骗及Email炸弹,前者是攻击者通过在Email附件中加载木马病毒程序,经过专门特制的的社会工程学邮件更容易使接收者失去警惕而打开浏览,从而完成攻击;后者是通过伪造的 IP和Email 地址向同一邮箱重复发送大量垃圾邮件,从而使用户系统不能处理正常业务,造成系统崩溃、网络瘫痪。

1.3 口令攻击

1)通过利用网络监听工具NetRay、sniffit、sniffiter、ethernetfind、snoop、Tcpdump等进行网络监听非法得到用户口令;

2)非法获得用户的账号后,再使用口令破解软件如:Crack、John the ripper 、BruteForce等去获取口令。

3)使用非法手段获得服务器上的管理员口令文件,然后再进行暴力破解,进而用账号口令完成对服务器上的所有用户进行攻击。

1.4 拒绝服务攻击

1)拒绝服务攻击(DOS)。

拒绝服务攻击(DOS)是一种对网络服务有效性的破坏,它常利用服务器程序中存在的安全漏洞,使服务器无法及时回应外界用户请求,或不能及时接收并处理外界请求,而被攻击服务器的资源始终被这些攻击服务请求占用,且无法得到释放及再利用,于是,随着攻击请求的增多,服务器将陷入瘫痪状态,不能再为正常用户提供服务,典型的 DoS 攻击包括: WinNuke 攻击,碎片(Teardrop)攻击,Land 攻击,Ping of Death,循环攻击,PING 风暴攻击等。

2)分布式拒绝服务攻击。

分布式拒绝服务攻击 (DDoS)是基于主控/机制的分布式系统,是拒绝服务攻击的一种延伸,通常由攻击者,主控端和端三部分组成,通过利用足够数量的傀儡机产生数目巨大的攻击数据包对一个或多个目标实施DoS攻击,从而耗尽受害端的资源,使受害主机丧失提供正常网络服务的能力,其主要瞄准政府部门,搜索引擎和商业公司的站点等大目标,如Amazon、Yahoo及CNN等都曾因DDOS攻击导致网站关闭,常见的DDoS攻击工具有:Trinoo、TFN、TFNZK等。

1.5 网络欺骗类型的攻击

网络欺骗包括很多种类型,比如:WEB欺骗,IP地址欺骗,ICMP欺骗,RIP路由欺骗,ARP欺骗,TCP欺骗,DNS欺骗等。

1)IP欺骗。

IP欺骗是通过伪造的TCPIP数据包中的源IP地址而进行的攻击方式,攻击者通常采用IP欺骗技术来隐藏其身份,使得追踪攻击者变得更加的困难。

2)DNS欺骗。

DNS协议本身比较脆弱,存在太多的不安全因素,DNS容易被伪装冒充,如当一台DNS服务器A向另外一台DNS服务器B发送一个解析请求时,攻击发起者就可以冒充被DNS服务器B,向DNS服务器A返回一个己经被篡改了的应答。

3)ARP欺骗。

ARP 协议是一种缺乏可靠的、可信赖的认证机制协议,ARP欺骗是局域网中经常出现的一种攻击方式,ARP 欺骗攻击主要是通过利用 ARP 协议本身的运行机制,对局域网上的主机实施攻击,它包括伪造 ARP 请求和 ARP 应答两种形式,ARP 欺骗实施是通过伪造一个含有恶意信息代码的 ARP 信息包来攻击目标主机 ARP 缓存表,从而造成网络出现拒绝服务攻击、拥塞等现象,影响网络通信的正常进行。

1.6 缓冲区溢出攻击

安全漏洞大多数是由于缓冲区溢出造成的,缓冲区溢出攻击作为目前一种常见的攻击手段,其应用也较为广泛,其通过向程序的缓冲区写入超出其缓冲长度的内容,从而造成缓冲区的溢出,进而破坏程序的堆栈,使程序转而执行其它黑客指令,以达到攻击的目的,缓冲区溢出攻击有很多种方法,如:堆栈型缓冲区溢出攻击、格式化串溢出攻击和BBS与堆溢出攻击等。

1.7 木马及病毒

特洛伊木马是一种潜伏在正常的程序应用中后门程序,一旦安装成功并取得管理员权限,即可直接远程控制目标系统,木马攻击以其危害大、攻击范围广、隐蔽性强等特点成为常见的网络攻击技术之一,常见用于控制系统的恶意程序包括:NetBus、BackOrifice 和 BO2k。

病毒是黑客实施网络攻击的有效手段之一,较少的病毒可以盗取用户口令,风靡一时的冲击波病毒在全球范围内造成巨大经济损失,常见的病毒有: CIH、Win32、网页病毒、蠕虫、宏病毒、熊猫烧香、脚本病毒、冰河,欢乐时光、网页炸弹、情书投递等。

2 网络攻击防范技术

面对网络攻击手段的层出不穷,各类网络安全技术防范技术也应运而生,为了确保网络安全,下面介绍几种常见的网络攻击防范技术。

2.1 防火墙

防火墙是一种比较成熟、使用最广泛的安全技术,是网络安全最基本的安全措施,它是利用硬件和软件组合而成的在内部网(或局域网)和互联网之间,其目的是保护网络不受外来的攻击,实现防火墙的技术有很多种,如包过滤、双穴主机、屏蔽子网网关和服务器等,其中,应用防火墙位于内网和外网之间,当外网的用户请求访问内网的某个WEB服务器时,该请求先被送到防火墙,防火墙对该请求进行安全检查,通过后,再转交给内网中的服务器,从而确保了网络的安全,包过滤型防火墙是通过检查它的数据包的路由器,从而限定外部客户的不符合过滤规则的数据包,常用的防火墙有思科CISCO、东软Neusoft、Juniper、H3C、华为赛门铁克、飞塔Fortinet、天网防火墙、傲盾ddos防火墙和冰盾DDOS防火墙等。

2.2 入侵检测系统

入侵检测(IDS)是一种用于检测网络上不合法、不正常活动的网络技术,可以在一定程度上防范来自系统内、外部的入侵,其通过收集不同的系统资源信息,并对资源信息进行分析处理,监视、分析用户及系统行为,识别、反应已知攻击的行为模式并报警,入侵检测系统有两种:基于主机的IDS (HIDS)和基于网络的IDS(NIDS),如图1所示,常用的IDS有思科、启明星辰天清入侵防、NewdonNSS-200S 、赛门铁克入侵检测系统等。

2.3 虚拟专用网络

VPN(Virtual Private Network,虚拟专用网)是建立在实际物理网络基础上的一种功能性网络,其利用Internet等公共网络的基础设施,通过安全隧道、客户认证和访问控制等技术,为用户提供一条与专用网络具有相同通信功能的安全数据通道,实现不同网络之间以及用户与网络之间的相互连接,其由VPN服务器、传输介质和客户段组成,要实现 VPN连接,企业内部网络中必须配置有一台VPN服务器,VPN 服务器一方面连接到 Internet,另一方面要连接企业内部专用网络,如图2所示。

2.4 蜜罐技术

蜜罐技术是一种诱骗入侵者攻击以达到采集黑客攻击方法和保护真实主机目标的技术,其最终目标是尽可能详尽地捕捉、收集、监视并控制入侵者的攻击手段、技巧、战术、甚至于心理和习惯等,以便防御者更好的、有针对性地改进自己的保护措施,不同于大多数传统的安全技术,蜜罐系统的核心思想是伪造出虚拟的主机,提供了各种虚拟的网络服务,避免真实的主机遭到任何破坏,最终实现从攻击者的行为中学习到更深层次的信息保护的方法。常见的蜜罐有Speeter、Toolkit、Honeyd等。

2.5 加密技术

密码技术通过信息的变换或编码,将机密的敏感消息变换成为难以读懂的乱码字符,以此防止信息泄漏、篡改和破坏,加密技术常分为对称加密和非对称加密技术,常见的对称加密方式有 DES、3DES、DB64等,非常见的非对称加密算法有RSA和ECC等。

2.6 漏洞扫描技术

漏洞扫描是通过扫描等手段,对远端或本地主机安全漏洞进行检测的技术,它从而发现网络的安全脆弱点,针对特定漏洞,给予漏洞描述、严重程度描述,并给出相应的修补的措施,使网络管理者可以预先了解网络的脆弱性所在,从而确保网络系统的安全,常用的工具包括亿思网站安全检测平台、瑞星漏洞扫描、思科漏洞扫描、冠群金辰、启明星辰等。

3 结束语

随着计算机系统的广泛应用和黑客技术的不断发展,网络攻击的手段多样化,令人防不胜防,形形的网络罪犯充斥在Internet的各个角落,各类网络安全事件频频见诸报端,针对网络的各种攻击,如木马病毒,邮件炸弹,网络蠕虫,黑客攻击等等,已经泛滥开来,分析和研究常见的网络攻击方法与其防范技术具有重要的意义。

参考文献:

[1] 周斌.网络攻击的防范与检测技术研究[J].电脑知识与技术,2010(13).

[2] 闫志刚.剖析网络攻击的方式与对策[J].电脑编程技巧与维护,2010(20).

[3] 王子庆.网络攻击常见方式及其防范策略探析[J].信息与电脑:理论版,2011(4).

常见网络安全漏洞范文第2篇

关键词:网络信息安全;网络攻击;网络安全技术

中图分类号:TP393.08 文献标识码:A 文章编号:1007-9599 (2011) 18-0000-01

Computer Network Information Security Issues and Solutions

Liu Yubing

(Jiangsu Province Dongtai People's Hospital,Dongtai 224200,China)

Abstract:In this paper,the vulnerability of network information security,network security,the main technical,common network attack methods and countermeasures,network security,construction,analysis of the current network information security of the main problems,and common network attacks from the technical aspects of proposed solution that would gradually eliminate the construction of the network security network information security risks.

Keywords:Network information security;Network attacks;Network security technology

一、引言

计算机技术发展迅速,使得当今社会的发展己经离不开信息网络。由于计算机网络传递的信息中涉及到金融、科学教育、军事等各个领域[1],其中包含巨大的经济或国家利益,所以少不了来自各方各面的网络攻击,网络攻击的表现形式也是多种多样,譬如病毒感染、窃取数据、信息的篡改删添等等。计算机犯罪的频发,也与其犯罪的便利性,不必犯罪者亲临现场以及犯罪证据难以留下有大大相关。当今各国对于计算机网络安全的防护己成为遏制计算机犯罪的严重社会问题[2]。网络信息安全关系着国家的安全,民族的发展,随着全球信息化越来越广,它扮演的角色越来越重要。我们提倡网络安全建设,大力保障网络信息安全就是要保护网络系统的硬件、软件,主要是保护系统中的数据,使之不被破坏、更改、泄露,最终使得整个网络系统能够正常的运行并提供服务[3]。

二、常见网络攻击方法

由于系统开发者的疏忽或自留后门导致漏洞无处不在。补丁的速度远远跟不上漏洞的出现速度,黑客们正是攻击安全漏洞和系统缺陷来达到目的。

(一)拒绝服务攻击。DoS是Denial of Service的简称,即拒绝服务[4],造成Dos的攻击行为被称为DoS攻击,其目的是使计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。带宽攻击指以极大的通信量冲击网络,使得所有可用网络资源都被消耗殆尽,最后导致合法的用户请求就无法通过。连通性攻击指用大量的连接请求冲击计算机,使得所有可用的操作系统资源都被消耗殆尽,最终计算机无法再处理合法用户的请求。

(二)利用型攻击。利用型攻击是一类试图直接对你的机器进行控制的攻击,下面介绍常见的三种攻击的防御手段:(l)口令猜测:设置难以猜测的口令,比如多种符号组合。确保像NFS、NetBIOS和Telnet这样可利用的服务不暴露在公共范围。如果该服务支持锁定策略,就进行锁定。(2)特洛伊木马:不下载、不执行可疑程序,安装木马防火墙。(3)缓冲区溢出:利用SafeLib、tripwire这样的程序保护系统,或者浏览最新的安全公告不断更新操作系统[5]。

(三)信息收集型攻击。尽管分类讨论问题的解法无定规可循,但就中学数学而言,从基本概念的内涵、定理、公式和法则的限制条件出发,分析常见的诱因,就能获得解决这类问题的基本策略和思维的基本模式。信息收集型攻击是一个为进一步入侵收集信息的攻击。主要包括:扫描技术、体系结构刺探、利用信息服务。使用具有己知响应类型的数据库的自动工具,对来自目标主机的、对坏数据包传送所做出的响应进行检查。通过将不同系统回应的响应与数据库中的已知响应进行对比,就可以确定出目标主机所运行的操作系统。防御方法是去掉或修改各种Banner,包括操作系统和各种应用服务的,阻断用于识别的端口扰乱对方的攻击计划。

(四)假消息攻击。用于攻击目标配置不正确的消息,有以下两种手段:(1)DNS高速缓存污染:DNS服务器与其他名称服务器交换信息的时候并不进行身份验证,这就使得攻击者可以将不正确的信息掺进来并把用户引向他自己的主机。防御方法是在防火墙上过滤入站的DNS更新,外部DNS服务器不应能更改你的内部服务器对内部机器的认识。(2)伪造电子邮件:由于SMTP并不对邮件的发送者的身份进行鉴定,因此攻击者可以对你的内部客户伪造电子邮件,声称是某个客户认识并相信的人,当然附带上可安装的特洛伊木马程序,或者是一个引向恶意网站的连接。我们可以使用PGP等安全工具并安装电子邮件证书进行防御。

三、网络攻击应对策略

(一)防范网络病毒。加强工作站的管理。工作站是网络的入口,在工作站上安装固化了杀毒软件的硬件或芯片,这样就可以对必经路径加强检查和过滤,达到提前拦截病毒的效果。服务器是整个网络的核心,一旦服务器被感染而崩溃,整个网络会立即瘫痪,那么所谓的网络服务也不将存在。我们应该以服务器的防毒为重心,为它提供实时扫描病毒的软件,并加大服务器权限的管理力度,杜绝病毒在网络上的蔓延[6]。

(二)备份与恢复。组合使用正常备份和增量备份来备份数据,需要最少的存储空间,并且是最快的备份方法。与备份完全相逆的就是恢复了,在文件缺失或是系统遭受攻击而瘫痪的情况下,我们就可以利用前面的备份数据进行数据恢复,来达到保持信息安全的目的。

(三)提高个人信息安全意识。系统是以用户为中心的,合法用户可以在系统上进行一系列合法的操作圈。如何限制用户的不合法操作,这就需要系统管理员对用户权限加以控制,以避免故意或无意的破坏。但是更多的安全措施必须由用户自己来完成,譬如:(1)密码控制(2)文件管理(3)运行安全的程序。(4)安装杀毒软件和防火墙并随时更新病毒库。

参考文献:

[1]李海强.网络安全及网络安全评估的脆弱性分析[J].硅谷

[2]王宇,卢星.信息网络安全脆弱性分析[J].计算机研究与发展,2006,2

[3]网络安全-业务保障[J].中国计算机用户,2001,7

[4]许宝如.对计算机网络安全问题的思考[J].江西科技师范学院学报,2004,2

常见网络安全漏洞范文第3篇

1.1气象部门网络安全的主要防御结构

一般情况下,在气象网络中,防火墙是最重要的硬件防御系统之一,根据台站区域网络的组成部件设置防火墙,并根据气象部门业务安全需求采取相应的防控措施。在气象信息中心,多个硬件防火墙被部署在区域网络内重要的业务需求范围内,确保该区域内的气象观测业务可顺利、安全运行。对于突发网络故障,可通过查询网络日志、查看网络历史询问记录等处理,从而使网络恢复正常。同时,网络入侵检测系统也是网络防护的重要手段,可定时对网络中可能存在的入侵或攻击进行检测,查出存在的漏洞、攻击模式和用户行为模式的差别等,并对网络及系统中出现的异常行为作出响应。此外,软件防护系统也是不容忽视的重要环节,通过防病毒软件对计算机网络进行查杀,消除网络中存在的威胁因素;网络管理软件可对连接的网络设备进行监管,检测网络中存在的异常行为,有效防御病毒,从而切实做好气象网络安全防御工作。

1.2网络安全现状

随着现代化气象观测信息的不断增多,自动站长期不间断运行,容易导致网络负载量大,进而增加了局部网络病毒木马入侵的概率,且其对外开放的资源共享端口也容易出现网络堵塞。此外,内部计算机人员的操作不当、对计算机终端安全意识较差的现象普遍存在,这都对气象网络安全造成了严重的威胁。

2气象部门网络安全中存在的威胁

2.1网络安全漏洞

漏洞是气象部门计算机网络安全的重大隐患之一,主要包括操作系统漏洞和硬件产品漏。大多数的木马病毒、非法入侵等都是基于计算机网络中存在的漏洞而对其攻击的,它是网络安全的一大威胁。

2.2内部网络防护措施不完善

气象计算机网络属于独立局域网,根据其具有的工作特性,需要实时对数据进行快速、便捷的传递,但这样容易引起病毒的直接感染。由于防护措施不完善,如果操作某一个被病毒感染的移动硬盘时,会连带服务器及其他电脑同时被感染。此时,即便设有防火墙装置,也阻挡不了网络内部遭受攻击。

2.3恶意代码威胁

需要及时对计算机中安装的软件防护杀毒系统升级和补丁修复。随着网络技术的发展,病毒的破坏力越来越强。如果没有及时制止病毒的入侵,则可能会造成计算机彻底被控制或瘫痪。

2.4网络黑客攻击

网络黑客一般为对计算机网络较为精通的不法分子,他们通过网络操作系统的漏洞对系统进行攻击,可导致系统瘫痪或异常。网络操作系统有多种,常用的为WindowsNT操作系统。因此,该系统已成为网络黑客的重点攻击对象。

2.5操作人员的安全意识较差

部分气象计算机操作人员不具备专业的网络知识,对于计算机网络安全了解不足,存在在计算机上下载其他与气象无关的资源的情况,或通过移动硬盘在局域网内进行各种数据资料的传输,这增加了病毒入侵的概率,容易造成数据丢失或泄露。如果将在Internet上使用过的笔记本电脑连接到气象内部网络中,也可能会增加气象网络病毒入侵的概率。

2.6IP地址冲突

气象部门内部的计算机经常出现IP地址冲突的现象。1台或多台电脑常因测试或其他原因需要临时修改IP地址,但修改后往往没有及时改回,进而造成IP冲突无法联网,这会对气象观测数据的传输等环节造成影响。

2.7缺乏内部网络安全技术人员

目前,由于气象台站受到资金或其他因素的制约,导致气象台站缺乏相关的网络安全专业技术人员。当出现网络故障时,基本是由在职的其他工作人员进行维护的,但网络管理员自身的水平较低,仅可以应付简单的常见网络安全故障,对于专业病毒防御、网络区域设置等关键技术的掌握甚少,出现复杂的网络安全故障无法及时解决,进而影响了台站的正常、稳定运行。

3改善气象部门网络运行环境的措施

3.1加强网络安全管理

应加强气象部门全体人员的计算机网络安全意识,针对重点网络威胁进行分析,并对其可能造成的影响进行估算,从而使更多的职工关注网络安全问题;制订相关的计算机操作和日常网络应用安全规范准则,使全体职工养成良好的上网和工作习惯;对在职的网络管理人员进行技能培训,提高其技能水平,以确保气象业务在良好的环境中进行;引进复合型人才,加强技术人才队伍的培养。网络安全涉及的范围广、信息量大,对人才的需求也较大。因此,可通过参加高新技术学习、开展重点问题交流等途径提高管理人员的业务水平,使他们能担当起气象网络信息安全建设的重任。

3.2科学、合理配置网络安全系统

常见网络安全漏洞范文第4篇

关键词:网络安全;网络攻击;安全策略

1 引言

随着Internet的发展,高信息技术像一把双刃剑,带给我们无限益处的同时也带给网络更大的风险。网络安全已成为重中之重,攻击者无处不在。因此网络管理人员应该对攻击手段有一个全面深刻的认识,制订完善安全防护策略。

2 常见网络攻击的原理和手段

2.1 口令入侵

所谓口令入侵是指使用某些合法用户的账号和口令登录到目的主机,然后再实施攻击活动。获得用户账号的方法很多,如利用目标主机的Finger功能、X.500服务、从电子邮件地址中收集、查看习惯性账号。获取用户的账号后,利用一些专门软件强行破解用户口令。

2.2 放置特洛伊木马程序 [1]

特洛伊木马程序可以直接侵入用户的电脑并进行破坏,它常被伪装成工具程序或者游戏等诱使用户打开或下载,一旦用户打开或者执行了这些程序,它们就会像古特洛伊人在敌人城外留下的藏满士兵的木马一样留在自己的电脑中,并在计算机系统中隐藏一个可以在windows启动时悄悄执行的程序。当你连接到因特网上时,这个程序就会通知攻击者,来报告你的IP地址以及预先设定的端口。攻击者在收到这些信息后,再利用预先潜伏的程序,就可以任意地修改你的计算机的参数设定、复制文件、窥视你整个硬盘中的内容等,从而达到控制你的计算机的目的。

2.4 电子邮件攻击

电子邮件是互联网上运用得十分广泛的一种通讯方式。攻击者使用一些邮件炸弹软件或CGI程序向目的邮箱发送大量内容重复、无用的垃圾邮件,从而使目的邮箱被撑爆而无法使用。攻击者还可以佯装系统管理员,给用户发送邮件要求用户修改口令或在貌似正常的附件中加载病毒或其他木马程序。

2.5 网络监听 [2]

网络监听是主机的一种工作模式,在这种模式下,主机可以接收到本网段在同一条物理通道上传输的所有信息,而不管这些信息的发送方和接收方是谁。因为系统在进行密码校验时,用户输入的密码需要从用户端传送到服务器端,而攻击者就能在两端之间进行数据监听。此时若两台主机进行通信的信息没有加密,只要使用某些网络监听工具(如NetXRay for Windows95/98/NT、Sniffit for Linux、Solaries等)就可轻而易举地截取包括口令和账号在内的信息资料。

2.6 安全漏洞攻击[2]

许多系统都有这样那样的安全漏洞(Bugs)。如缓冲区溢出攻击。由于很多系统在不检查程序与缓冲之间变化的情况,就任意接受任意长度的数据输入,把溢出的数据放在堆栈里,系统还照常执行命令。这样攻击者只要发送超出缓冲区所能处理的长度的指令,系统便进入不稳定状态。若攻击者特别配置一串准备用作攻击的字符,他甚至可以访问根目录,从而拥有对整个网络的绝对控制权。

3 网络攻击应对策略

在对网络攻击进行上述分析与识别的基础上,认真制定有针对性的策略。明确安全对象,设置强有力的安全保障体系。同时还必须做到未雨绸缪,预防为主,将重要的数据备份并时刻注意系统运行状况。

3.1 利用安全防范技术

正因为网络安全问题,复杂多样,所以出现了一些技术来帮助管理员来加强网络安全。其中主要分为,加密技术,身份认证技术,防火墙技术等等。管理员可以利用这些技术组合使用来保证网络主机的安全。

3.1.1 加密技术

加密技术主要分为公开算法和私有算法两种,私有算法是运用起来是比较简单和运算速度比较快的,但缺点是一旦被解密者追踪到算法,那么算法就彻底废了。公开算法的算法是公开的,有的是不可逆,有用公钥,私钥的。优点是非常难破解,可广泛用于各种应用。缺点是运算速度较慢。使用时很不方便。

3.1.2 身份认证技术

身份认证技术在电子商务应用中是极为重要的核心安全技术之一,主要在数字签名是用公钥私钥的方式保证文件是由使用者发出的和保证数据的安全。在网络应用中有第三方认证技术Kerberos,它可以使用户使用的密码在网络传送中,每次均不一样,可以有效的保证数据安全和方便用户在网络登入其它机器的过程中不需要重复输入密码。

3.1.3 防火墙 [3]

防火墙技术是比较重要的一个桥梁,以用来过滤内部网络和外部网络环境,在网络安全方面,它的核心技术就是包过滤,高级防火墙还具有地址转换,虚拟私网等功能。

3.2 制订安全策略

系统管理员应提高认识,并分析做出解决办法和提出具体防范方法。更应该在保证好机器设备正常运转的同时,积极研究各种安全问题,制订安全策略。虽然没有绝对的把握阻止任何侵入,但是一个好的安全策略可以最少的机会发生入侵情况,即使发生了也可以最快的做出正确反应,最大程度减少经济损失。

3.2.1 提高安全意识

(1)不随意打开来历不明的电子邮件及文件,不随意运行不明程序。

(2)尽量避免从Internet下载不明软件。一旦下载软件及时用最新的病毒和木马查杀软件进行扫描。

(3)密码设置尽可能使用字母数字混排,不容易穷举。重要密码最好经常更换。

(4)及时下载安装系统补丁程序。

3.2.2 使用防毒、防黑等防火墙

防火墙是用以阻止网络中的黑客访问某个机构网络的屏障,也可称之为控制进/出两个方向通信的门槛。在网络边界上通过建立起来的相应网络通信监控系统来隔离内部和外部网络,以阻档外部网络的侵入。

3.2.3 设置服务器,隐藏自己的IP地址。

事实上,即便你的机器上被安装了木马程序,若没有你的IP地址,攻击者也是没有办法的,而保护IP地址的最好方法就是设置服务器。服务器能起到外部网络申请访问内部网络的中间转接作用。当外部网络向内部网络申请某种网络服务时,服务器接受申请,然后它根据其服务类型、服务内容、被服务的对象、服务者申请的时间、申请者的域名范围等来决定是否接受此项服务。

3.2.4 将防毒、防黑当成日常例性工作,定时更新防毒组件,将防毒软件保持在常驻状态,以彻底防毒。

3.2.5 对于重要的资料做好严密的保护,并养成资料备份的习惯。

4 结束语

没有绝对安全的网络系统,安全问题是多种多样,且随着时间技术的变化而变化,所以安全防护也是非常重要的,保持清醒正确的认识,同时掌握最新的安全问题情况,再加上完善有效的安全策略,是可以阻止大部分安全事件的发生,保持最小程度的损失。

参考文献:

[1]耿杰,方风波.计算机网络安全与实训[M].北京:科学出版社出版,2006,155-158.

[2]刘远生,等.计算机网络安全[M].北京:清华大学出版社出版,2006.229-244.

[3]姜文红.网络安全与管理[M].北京:清华大学出版社出版,2007.100-113.

常见网络安全漏洞范文第5篇

 

1美国电力行业信息安全的战略框架

 

为响应奥巴马政府关于加强丨Kj家能源坫础设施安全(13636行政令,即ExecutiveOrder13636-ImprovingCriticalInfrastructureCybersecurity)的要求,美国能源部出资,能源行业控制系统工作组(EnergySec*torControlSystemsWorkingGroup,ESCSWG)在《保护能源行业控制系统路线图》(RoadmaptoSecureControlSystemsintheEnergySector)的基础上,于2011年了《实现能源传输系统信息安全路线阁》。2011路线图为电力行业未来丨0年的信息安全制定了战略框架和行动计划,体现了美国加强国家电网持续安全和可靠性的承诺和努力%

 

路线图基于风险管理原则,明确了至2020年美国能源传输系统网络安全目标、实施策略及里程碑计划,指导行业、政府、学术界为共丨司愿景投入并协同合作。2011路线图指出:至2020年,要设计、安装、运行、维护坚韧的能源传输系统(resilientenergydeliverysystems)。美国能源彳了业的网络安全目标已从安全防护转向系统坚韧。路线图提出了实现目标的5个策略,为行业、政府、学术界指明了发展方向和工作思路。(1)建立安全文化。定期回顾和完善风险管理实践,确保建立的安全控制有效。网络安全实践成为能源行业所有相关者的习惯,,(2)评估和监测风险。实现对能源输送系统的所有架构层次、信息物理融合领域的连续安全状态监测,持续评估新的网络威胁、漏洞、风险及其应对措施。(3)制定和实施新的保施。新一代能源传输系统结构实现“深度防御”,在网络安全事件中能连续运行。(4)开展事件管理。开展网络事件的监测、补救、恢复,减少对能源传输系统的影响。开展事件后续的分析、取证以及总结,促进能源输送系统环境的改进。(5)持续安全改进。保持强大的资源保障、明确的激励机制及利益相关者密切合作,确保持续积极主动的能源传输系统安全提升。为及时跟踪2011路线图实施情况,能源行业控制系统工作组(ESCSWG)提供了ieRoadmap交互式平台。通过该平台共享各方的努力成果,掌握里程碑进展情况,使能源利益相关者为路线图的实现作一致努力。

 

2美国电力行业信息安全的管理结构

 

承担美国电力行业信息安全相关职责的主要政府机构和组织包括:国土安全部(DHS)、能源部(1)0£)、联邦能源管理委员会(FEUC)、北美电力可靠性公司(NERC)以及各州公共事业委员会(PUC)。2.1国土安全部美国国土安全部是美国联邦政府指定的基础设施信息安全领导部I'j'负责监督保护政府网络安全,为私营企业提供专业援助。2009年DHS建立了国家信息安全和通信集成中心(NationalCyhersecurityandCommunicationsIntegrationCenter,NCCIC),负责与联邦相关部门、各州、各行业以及国际社会共享网络威胁发展趋势,组织协调事件响应。

 

2.2能源部

 

美国能源部不直接承担电网信息安全的管理职责,而是通过指导技术研发和协助项目开发促进私营企业发展和技术进步能源部的电力传输和能源可靠性办公室(Office(>fElectricityDelivery<&EnergyReliability)承担加强国家能源基础设施的可靠性和坚韧性的职责,提供技术研究和发展的资金,推进风险管理策略和信息安全标准研发,促进威胁信息的及时共享,为电网信息安全战略性综合方案提供支撑。

 

能源部2012年与美国国家标准技术研究院、北美电力可靠性公司合作编制了《电力安全风险管理过程指南》(ElectricitySubsectorCybersecurityRiskManagementProcess)151;2014年与国土安全部等共同协作编制完成了《电力行业信息安全能力成熟度模型》(ElectricitySubsectorcybersecurityCapabilityMaturityModel(ES-C2M2)丨6丨,以支撑电力行业的信息安全能力评估和提升;2014年资助能源行业控制系统工作组(ESCSWG)形成了《能源传输系统网络安全采购用语指南》(CybersecurityProcurementlanguageforEnergyDeliverySystems)171,以加强供应链的信息安全风险管理。

 

在201丨路线图的指导下,能源部启动了能源传输系统的信息安全项目,资助爱达荷国家实验室建立SCADA安全测试平台,发现并解决行业面临的关键安全漏洞和威胁;资助伊利诺伊大学等开展值得信赖的电网网络基础结构研究。

 

2.3联邦能源管理委员会

 

联邦能源管理委员会负责依法制定联邦政府职责范围内的能源监管政策并实施监管,是独立监管机构。2005年能源政策法案(EnergyPolicyActof2005)授权FERC监督包括信息安全标准在内的主干电网强制可靠性标准的实施。2007年能源独立与安全法案(EnergyIndependenceandSecurityActof2007(EISA))赋予FERC和国家标准与技术研究所(National丨nstituteofStandardsan<丨Technology,NIST)相关责任以协调智能电网指导方针和标准的编制和落实。2011年的电网网络安全法案(GridCyberSecurityAct)要求FKRC建立关键电力基础设施的信息安全标准。

 

2007年FERC批准由北美电力可靠性公司制定的《关键基础设施保护》(criticalinfrastructprotection,CIPW标准为北美电力可靠性标准之中的强制标准,要求各相关企业执行,旨在保护电网,预防信息系统攻击事件的发生。

 

2.4北美电力可靠性公司

 

北美电力可靠性公司是非盈利的国际电力可靠性组织。NERC在FERC的监管下,制定并强制执行包括信息安全标准在内的大电力系统可靠性标准,开展可靠性监测、分析、评估、信息共享,确保大电力系统的可靠性。

 

NERC了一系列的关键基础设施保护(CIP)标准181作为北美电力系统的强制性标准;与美国能源部和NIST编制了《电力行业信息安全风险管理过程指南》,提供了网络安全风险管理的指导方针。

 

归属NERC的电力行业协凋委员会(ESCC)是联邦政府与电力行业的主要联络者,其主要使命是促进和支持行业政策和战略的协调,以提高电力行业的可靠性和坚韧性'NERC通过其电力行业信息共享和分析中心(ES-ISAC)的态势感知、事件管理以及协调和沟通的能力,与电力企业进行及时、可靠和安全的信息共享和沟通。通过电网安全年会(GridSecCon)、简报,提供威胁应对策略、最佳实践的讨论共享和培训机会;组织电网安全演练(GridEx)检查整个行业应对物理和网络事件的响应能力,促进协调解决行业面临的突出的网络安全问题。

 

2.5州公共事业委员会

 

美国联邦政府对地方电力公司供电系统的可靠性没有直接的监管职责。各州公共事业委员会负责监管地方电力公司的信息安全,大多数州的PUC没有网络安全标准的制定职责。PUC通过监管权力,成为地方电力系统和配电系统网络安全措施的重要决策者。全国公用事业监管委员协会(NationalAssociationofRegulatoryUtilitycommissioners,NARUC)作为PUC的一■个联盟协会,也采取措施促进PUC的电力网络安全工作,呼吁PUC密切监控网络安全威胁,定期审查各自的政策和程序,以确保与适用标准、最佳实践的一致性

 

3美国电力行业信息安全的硏究资源

 

参与美国电力行业信息安全研究的机构和组织主要有商务部所属的国家标准技术研究院及其领导下的智能电网网络安全委员会、国土安全部所属的能源行业控制系统工作组,重点幵展电力行业信息安全发展路线图、框架以及标准、指南的研究。同时,能源部所属的多个国家实验室提供网络安全测试、网络威胁分析、具体防御措施指导以及新技术研究等。

 

3.1国家标准技术研究院(NIST)

 

根据2007能源独立与安全法令,美_国家标准技术研究院负责包括信息安全协议在内的智能电网协议和标准的自愿框架的研发能电网互操作标准的框架和路线图》(NISTFrameworkaridRoadmapforSmartGridInteroperabilityStandard)1.0、2.0和3.0版本,明确了智能电网的网络安全原则以及标准等。2011年3月,NIST了信息安全标准和指导方针系列中的旗舰文档《NISTSP800-39,信息安全风险管理》丨叫(NISTSpedalPublication800—39,ManagingInformationSecurityRisk),提供了一系列有意义的信息安全改进建议。2014年2月,根据13636行政令,了《提高关键基础设施网络安全框架》第一版,以帮助组织识别、评估和管理关键基础设施信息安全风险。

 

NIST正在开发工业控制系统(ICS)网络安全实验平台用于检测符合网络安全保护指导方针和标准的_「.业控制系统的性能,以指导工业控制系统安全策略最佳实践的实施。

 

3.2智能电网网络安全委员会

 

智能电网网络安全委员会其前身是智能电网互操作组网络安全工作组(SGIP-CSWG)ra。SGCC一直专注于智能电网安全架构、风险管理流程、安全测试和认证等研究,致力于推进智能电网网络安全的发展和标准化。

 

在NIST的领导下,SGCC编制并进一步修订了《智能电网信息安全指南》(NISTIR7628,GuidelinesforSmartGridCybersecurity),提出了智能电网信息安全分析框架,为组织级研究、设计、研发和实施智能电网技术提供了指导性T.具。

 

3.3国家电力行业信息安全组织(NESC0)

 

能源部组建的国家电力行业信息安全组织(NationalElectricSectorCybersecurityOrganization,NESCO),集结了美国国内外致力于电力行业网络安全的专家、开发商以及用户,致力于网络威胁的数据分析和取证工作⑴。美国电力科学研究院(EPRI)作为NESC0成员之一提供研究和分析资源,开展信息安全要求、标准和结果的评估和分析。NESCO与能源部、联邦政府其他机构等共同合作补充和完善了2011路线图的关键里程碑和目标。

 

3.4能源行业控制系统工作组(ESCSWG)

 

隶属国土安全部的能源行业控制系统工作组由能源领域安全专家组成,在关键基础设施合作咨询委员会框架下运作。在能源部的资助下,ESCSWG编制了《实现能源传输系统信息安全路线图》、《能源传输系统网络安全釆购用语指南》。3.5能源部所属的国家实验室

 

3.5.1爱达荷国家实验室(INL)

 

爱达荷W家实验室成立于1949年,是为美国能源部在能源研究、国家防御等方面提供支撑的应用工程实验室。近十年来,INL与电力行业合作,加强了电网可靠性、控制系统安全研究。

 

在美国能源部的资助下,INL建立了包含美国国内和国际上多种控制系统的SCADA安全测试平台以及无线测试平台等资源,目的对SCADA进行全面、彻底的评估,识別控制系统脆弱点,并提供脆弱点的消减方法113】。通过能源部的能源传输系统信息安全项目,INL提出了采用数据压缩技术检测恶意流量对SCADA实时网络保护的方法hi。为支持美国国土安全部控制系统安全项目,INL开发并实施了培训课程以增强控制系统专家的安全意识和防御能力。1NL的相关研究报告有《SCADA网络安全评估方法》、《控制系统十大漏洞及其补救措施》、《控制系统网络安全:深度防御战略》、《控制系统评估中常见网络安全漏洞》%、《能源传输控制系统漏洞分析>严|等。

 

3.5.2太平洋西北国家实验室(PNNL)

 

太平洋西北国家实验室是美国能源部所属的阔家综合性实验室,研究解决美国在能源、环境和国家安全等方面最紧迫的问题。

 

PNNL提出的安全SCADA通信协议(secureserialcommunicationsprotocol,SSCP)的概念,有助于实现远程访问设备与控制中心之间的安全通信。的相关研究报告有《工业控制和SCADA的安全数据传输指南》等。PNNL目前正在开展仿生技术提高能源领域网络安全的研究项。

 

3.5.3桑迪亚国家实验室(SNL)