前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇网络安全企业调研报告范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
“其实,APPA企业应用加速解决方案的,很大程度上是因为我们看好大型企业市场未来的发展潜力。”网宿科技副总裁刘洪涛在采访中表示,“国内大型企业,在过去10多年的时间里,一直在做信息化建设,如今,信息化基础建设完成后,会更多地去考虑平台的使用效率。”
近日网宿科技针对国内大型集团企业信息化现状的调研报告显示,越来越多的企业从单一地区走向了区域扩张、全国扩展乃至全球化的道路。“应用趋向集中, 员工趋于分散”是这些公司业务扩展的真实写照。这些集团企业的业务系统中,存在跨互联网访问/交互的比例很高,其中跨互联网的OA比例达到了39.7%;而企业的核心业务系统ERP、财务管理也达到了26.5%和30.9%。通过异地登录办公系统和邮件系统是异地办公模式中应用最多的,比例分别为72.1%和79.4%;而在线审批和网上公告板的应用也达到了60%左右。
如此多的企业业务应用需要跨越互联网操作,其必然会受到业务系统速度、网络安全、稳定性等因素的影响,从而制约企业业务的发展。
关键词:双导师双主体;引导式;职业技能大赛
中图分类号:G424 文献标识码:A 文章编号:1009-3044(2017)02-0122-02
双导师制是一种目前在工程硕士的培养当中普遍采取的培养模式,但是在高职院校当中应用的相对还是较少。高职院校引入企业导师参与教学实践,目前采取较多的方式是将企业导师作为校内教师的一种补充,完成各种课程,尤其是实践性课程的教学任务。在长期的使用当中,企业导师的使用出现了较多的问题,比较突出的包括以下几点:
1) 教学技能和教学理念的缺失,部分企业导师因为缺少教学培训,虽然技能很强,但是无法以合理的方式传授给学生,也缺少课堂的组织能力,导致课堂当中学生玩手机、玩游戏等情况较为严重。
2) 上课时间无法保障,企业导师由于在企业另有岗位,在本校上课仅仅是兼职活动,因为单位的各种正常工作安排时有发生,导致因公因私的调课率远高于校内教师。
3) 备课时间无法保障,部分企业导师由于工作繁忙,无法保障备课任务,导致上课时照本宣科,影响了学生的学习效果。
根据企业导师的使用当中出现的问题,发现企业导师并不是很适合作为单独的教师使用,最好是搭配校内教师和校外教师互相配合。由校内导师负责知识、技能的传授指导,校外教师负责技能的方向性指导和在企业的顶岗实习指导。
将学生根据职业定位和学习特点分成不同的学习小组,每一个小组搭配企业和学院双导师。在对内的教学组织当中实施双主体模式,教师作为教学引导的主体,负责引导学生进行自主学习;学生作为学习的主体,在教师的引导和组织下开始学习。这样的一种培养模式,本研究暂时称之为:双导师、双主体培养模式。
信息安全技术专业2014级学生总人数57人,专任教师总人数5人,行业兼职教师2人,校内兼课教师3人。生师比接近10:1,学生数量不大,教师数量基本够用,能满足试点时的人力富裕要求。为了实践这一培养模式的可行性,在对学生和教师进行综合考量下,选择在本院信息安全技术专业当中进行试点应用。
1 调研学生的职业定位
信息安全专业人数较少,但是学生在报考本专业的时候,有一定的盲目性,所以首先在2014级信息安全专业当中进行了一次全面的调研,确认每个学生的职业定位和学习方向。通过调研发现,发出调研报告57份,回收50份,其中学生的专业定位数据如表1所示。
2 对学生进行分组
根据表格1数据,同时考虑到本专业教师数量因素,第一期先从中选取参与方向人数最多,并且跟专业的关联度最高,与职业技能大赛结合最紧密的两个方向:渗透测试和网络安全管理方向:这两个方向分别针对了两个职业技能大赛,网络安全攻防大赛和计算C网络应用大赛,所对应的企业岗位分别是web渗透测试和网络安全工程师岗位。而根据历年的毕业生跟踪数据显示,这也是学生入门工资较高的两个职业岗位。
3 选取参与教师,聘任企业导师
导师的选择是项目进行的重点,也是难点之一,不仅仅要选择职业技能最为突出的教师参与,而且要克服经费不足问题,教师要具有较高的奉献精神,尤其是在项目运行当中,有着严格的项目考核机制,如果考核不合格,将不予拨付经费,所以教师的选择尤其困难。
在具体的选拔过程当中,校内教师选择指导大赛经验较为丰富,指导过多次职业技能大赛的两位专业负责人作为校内指导教师,以专业负责人岗位津贴作为教师的项目启动经费。
企业导师的选择选取了与本校合作较多,有较多实验室和校园网建设合作的教师作为企业导师,并且聘任了两位往届优秀毕业生作为企业导师;因为对于部分长期合作的企业,本专业三年以来,累积输送了十人以上作为企业的实习生和员工,企业的合作培养参与度较高,企业领导也较为重视,批准了企业员工参与项目建设。而本专业往届学生参与指导时也较少考虑经费因素,比较有利于在经费较为紧缺的情况下开展项目。
4 确认双方职能,激励学生参与
在整个项目的运行当中,突出双导师指导下的双主体模式,跟以往单纯针对职业技能大赛的短时间培训不同,本项目运行特别突出学生的主体作用,学生才是整个项目的学习主体,教师只是作为引导的主体参与活动。
为了能更有效的激励学生的参与度,安排学生走访了海南省澄迈软件园,实地调研了其中的多家企业,同时邀请了职业技能培训机构对学生进行了就业形式分析;在完成了第一期调研的基础上,邀请往届优秀学生分成创业组和技能组分别和项目组学生进行交流和座谈,引导学生进一步明确自身的职业方向。
企业导师的职业技能很强,但是工作繁忙,指导时间不可能很长,所以在整个项目的运行当中,主要提供方向性的指导,让学生明确职业工作当中需要哪些技能,有哪些需要注意的关键点;而具体的技能传授和学习引导由学校内部教师进行,校内教师作为学生和企业导师的桥梁,帮助企业导师将技能需求明晰化、项目化之后传达给学生;将学生遇到的无法解决的问题、对企业实践经验的需求明确化、提炼之后转达给企业导师。
学生是整个项目运行的重中之重,为了更加有力的提高学生的自身参与度,增强学生的自学能力,最后实现自我学习的目标。在整个的项目运行当中,遵循建构主义的学习思路,将内容变问题,将讲授变研讨,将答案变行动;不再简单地将知识、技能传授给学生(基础技能在课内教育当中已经基本实现),而是在已有知识技能基础上,以项目化推进的形式,引导学生主动深化知识,在内部的交流合作当中,发现新问题,解决新问题,提出新思路,实现新目标;
在具体的培养当中,网络安全管理方向的学生紧紧围绕H3C网络工程师的考核需求,以逐步参与校园网管理的方式增强学生的职业代入感和责任感;web入侵渗透测试方向的学生紧紧围绕CTF大赛的模式,在逐步进行的过关竞赛当中积累技能和信心,寓教于乐。
5 考核管理机制
质量是检验一切的真理,学生的培养当中,是否真的切实学习到了所需要的知识技能,是否真的提升了学生的自我学习能力,是否真的增强了学生的就业竞争力,都需要一个考核认证机制,否则在项目的实施当中,就很容易流于形式,从而影响了项目的成效。
在首先确立了学生职业技能需求的基础上,整个目标管理机制分为过程性检验机制和终结性检验机制。
过程性检验机制包括在线资源记录(图1)、音频视频资料(图2)、在线交流记录(图3)、面对面指导记录;在整个过程中引入CRP平台的导师平台,由学生和教师双向确认辅导记录(图4),确保整个辅导过程可控、可靠、有效。
形成性检验机制只能保证项目的进行是可控可靠的,但是无法从根本上保障质量的落实,所以终结性考核的作用就显得尤为重要,本项目两个实践组的目标非常的明确:大赛和就业,所以在最后的考核当中就包含上述两个方面。
在运行了一个学期之后,目前本项目组成员在海南省各项技能大赛当中收获喜人,获得海南省职业技能竞赛计算机网络应用赛项二等奖一项;中国大学生计算机设计大赛海南赛区一等奖一项,二等奖一项,三等奖一项;软件开发大赛JAVA赛项高职组海南省一等奖一项,二等奖一项,三等奖两项;海南省第一届网络安全大赛,本组成员参与获得初赛排名第七,成功晋级决赛。
6 总结分析
双导师、双主体制培养模式的实施当中,还碰到了很多的问题,学生的参与面不够广,目前本专业教师的数量还不足以满足全部学生的参与,生均培养成本较高,如果项目全面铺开,将带来更大的成本投入;企业导师的参与积极性不高,由于企业教师的工作较为繁忙,并不热衷于⒂牖疃,在项目运行中,企业导师只能满足最多不超过一周一次的活动参与,给学生的指导力度不足,提供的实习岗位有限,限制了学生的实践动手机会;学生的自我学习能力较差,在以问题引导,项目引导的方式开展学习时,学生的知识储备不足,自我学习能力和自我管理能力还有所欠缺,目前主要通过微课、慕课、在线实训平台的方式进行弥补,但是效果还有待进一步加强。
虽然存在诸多的问题,但是在运行了一个学期之后,部分拔优学生的技能水平和自我学习能力已经有了明显的提高,在项目的下一步试点中,准备进一步铺开其他项目之后,应该可以吸引更多的学生参与,给合作企业提供更优质的实习生,给项目导师提供更高的经费支持,从而推动企业的参与积极性,取得更好的实践效果。
参考文献:
[1] 邓艳,林军. 全日制专业学位研究生“双导师”制度实施优化方略――以南京邮电大学为例[J]. 重庆科技学院学报:社会科学版,2012(17).
[2] 黄振中.“双导师制”在法律硕士教学与培养中的完善与推广[J]. 中国大学教学, 2012(2).
[3] 耿有权,彭维娜,彭志越,等.全日制专业学位研究生培养模式运行状况的调查研究――基于全国14所重点高校问卷数据[J]. 现代教育管理, 2012(1).
关键词:供电企业;班组管理;信息化建设
信息化建设主要指的是在企业的日常生产与经营活动中引入计算机管理平台,从而逐步提升企业的管理水平与经济效益。当前,我国很多地方的县级供电企业在班组管理工作中逐渐构建出集生产管理、人力资源、电力营销、财务管理及文件处理为一体的信息系统,大大提升了企业的市场竞争力。
1 供电企业班组管理信息化建设存在的问题分析
1.1 信息化观念较为陈旧落后 现如今,我国有部分地方的供电企业在班组管理中依然坚持“安全生产第一”的发展理念,该类企业往往过度注重安全生产活动,而忽视了企业的营销及其他方面业务的开展。虽然有很多地方的供电企业班组管理工作都逐渐强化了信息化建设的进程,但其重视程度依然无法与安全生产相比。依据现有的统计表明,在我国所有的供电企业班组建设与管理工作中,有超过58%的供电企业在信息化建设力度投入方面较为缺乏,其中用于投入信息技术研发及引进设备的资金更是缺少。
1.2 缺乏专业统一的信息系统开发标准 当前,我国不同的网省公司在班组管理模式方面存在较大的差异,有时候即使是在同一家供电企业的内部,各个城市地区之间的班组管理模式也会有很大的不同。这些客观因素的存在造成不同的专业应用系统缺乏统一的标准,并且开发出来的软件也并未能完全适用于企业的班组管理实际工作情况。
1.3 班组管理的信息化人才稀缺 在对供电企业班组信息化建设人才的培养方面,由于多数的企业都过度重视营销及生产等方面的人才培养,而忽视了通信、网络以及计算机等人才的培养。这种现象的存在使得信息技术人才缺乏对企业班组管理的认同感与归属感,认为自身的发展空间十分狭隘。在信息管理机制体制建设方面,由于未能实行有效的激励机制及健全的考核评价制度,造成供电企业班组建设中缺乏有效的人才培养机制。[1]
1.4 班组管理信息化建设安全性较低 供电企业班组管理工作中,开展信息化建设的基础就是局域网,网络安全与畅通是企业班组进行信息化建设所必须考虑的核心问题。任何一次的局域网停运,都可能造成企业班组管理各项工作陷入停顿状态,造成严重的经济损失。
2 供电企业班组管理信息化建设的相关措施
2.1 加大资金投入,更新老化陈旧的设备 在日常的班组建设与管理工作中,要想逐步提升信息化建设的水平,就应当保证信息系统得以正常平稳运行,对于一些使用年限较久的计算机设备应当及时更新。企业可以适当加大对班组管理工作的资金投入,使其能够分拨出一部分资金用于信息化建设,从而提高供电企业信息化建设的水平,强化基础硬件设备条件。
2.2 统一规划与开展信息化建设 供电企业可以通过强化企业网络建设力度,逐步夯实信息化建设基础,将通信与网络的覆盖层面触及班组管理的方方面面。除此之外,还应当对班组成员开展全面的信息技术知识教育及技能培训,通过强化有效管理、提升资源整合以及推行标准化技术等手段,实现企业信息化平台建设,全面转变信息化建设理念,构建高效、全面、统一的网络服务平台。[2]
2.3 强化局域网络维护与监管力度 供电企业班组管理信息化建设目标的实现主要是组建网络而完成的。当前,供电企业班组管理工作中内部局域网相继完成建设,因而加强网络的日常监管与维护显得尤为重要。局域网信息传递的主要渠道就是通过网络拓扑结构进行的。其中,拓扑结构包括星型拓扑结构、树形拓扑结构及环形拓扑结构,不同的拓扑结构能够进行组合,从而构建出局域网运行的基础架构。局域网拓扑结构与线路连接之间的差异,需要借助集线器和集中器等特殊设备,从而使网络软件能够满足特定应用的需求。[3]而对这些设备进行监管与维护是保证信息化建设效率与水平的关键所在。为此,企业班组的信息化人才应当对网线、配线架、路由器、交换机及服务器进行定期的检查和维修,对于一些超限使用的仪器设备应当进行及时的更换。当网络出现故障或异兆时,应当采取科学的紧急维修措施,通过分析与检查确定故障部位或故障设备,从而及时解决问题。[4]
2.4 大力培养班组信息化人才 供电企业在班组管理过程中,应当通过增加激励方式、设置平等待遇的方式培养出一批专业化的信息技术人才。将业务管理与信息化建设放在相同的地位同步建设。在班组日常管理工作中,可以举办或组织实施信息化专业人才培养、专业竞赛、岗位练兵等活动,为从事班组管理信息岗位的工作人员提供施展才能的平台和发展的空间。[5]此外,企业还应当加强对班组员工在信息化知识方面的教育与学习,营造出和谐良好的学习环境。更为重要的是,供电企业应当注重对班组管理的复合型人才的培养,尤其要培养出一批既懂得信息技术管理又懂得班组管理的人员,从而使得企业班组管理水平得到更大的进步。
3 结语
随着我国供电企业的不断发展,社会民众对于供电企业的服务需求也在不断增加,这就对于企业的信息化建设提出了更加严格的要求。在当前新时期环境下,供电企业只有全面推进信息化建设速度,加快信息化建设效率,才能有效提升班组管理工作水平,才能促进班组管理人员的全面发展,为企业创造出更大的经济效益与社会效益。
参考文献:
[1]卢银花,巫绍基.供电企业班组管理信息平台建设调研报告[J].江西电力职业技术学院学报,2013(02):92-93.
[2]李红兵.试论如何加强新形势下电力企业班组建设[J].中国高新技术企业,2013(25):149-150.
[3]刘海珠,秦燕英.班组活企业兴――国网长春供电公司班组建设工作走笔[J].中国职工教育,2014(13):44-46.
[4]刘永卫,姜晖翔,眭建新.国网湖南电力县供电企业信息化建设延伸覆盖[J].中国管理信息化,2014(22):49-50.
【 关键词 】 高级隐遁技术;高级持续性攻击;检测方法
China’s Situation of Protection Techniques against Special Network Attacks
Xu Jin-wei
(The Chinese PLA Zongcan a Research Institute Beijing 100091)
【 Abstract 】 By the end of 2013,the author visited more than ten domestic well-known information security companies to make a special investigation and research on the focused “APT” attack issue. During the visit, the author made deeply exchange and discussion with the first-line professional research and management personnel and gained much knowledge. This article mainly introduces the present situation of protect technology construction by some of domestic information security companies against network attacks, as an inspiration to the colleagues?and units in the information security industry.
【 Keywords 】 advanced evasion techniques; advanced persistent threat; detection methods
1 引言
2010年发生的“震网”病毒对伊朗布什尔核电站离心机的攻击和2013年的“斯诺登”事件,标志着信息安全进入了一个全新的时代:新型攻击者(国家组织的专业团队),采用全新的方式(APT[注1])攻击国家的重要基础设施。
APT攻击因其采用了各种组合隐遁技术,具有极强的隐蔽攻击能力,传统的依赖攻击特征库比对模式的IDS/IPS无法检测到它的存在,APT攻击得手后并不马上进行破坏的特性更是难以发觉。它甚至能在重要基础网络中自由进出长时间潜伏进行侦察活动,一旦时机成熟即可通过在正常网络通道中构筑的隐蔽通道盗取机密资料或进行目标破坏活动,APT的出现给网络安全带来了极大危害。目前在西方先进国家,APT攻击已经成为国家网络安全防御战略的重要环节。例如,美国国防部的High Level网络作战原则中,明确指出针对APT攻击行为的检测与防御是整个风险管理链条中至关重要也是最基础的组成部分。
从资料中得知,国外有些著名的信息安全厂商和研究机构,例如美国电信公司Verizon Business的ICSA实验室,芬兰的Stonesoft公司几年前就开展了高级隐遁技术的研究;2013年美国的网络安全公司FireEye(FEYE)受到市场追捧,因为FireEye能够解决两大真正的安全难题――能够阻止那种许多公司此前无法阻止的网络攻击,即所谓的“零天(Zeroday)”攻击和“高级持续性威胁(APT)”。零天攻击是指利用软件厂商还未发现的软件漏洞来发动网络攻击,也就是说,黑客在发现漏洞的当天就发动攻击,而不会有延迟到后几天再发动攻击,软件厂商甚至都来不及修复这些漏洞。高级持续性威胁则是由那些想进入特殊网络的黑客所发动的一系列攻击。FireEye的安全应用整合了硬件和软件功能,可实时通过在一个保护区来运行可疑代码或打开可疑电子邮件的方式来查看这些可疑代码或可疑电子邮件的行为,进而发现黑客的攻击行为。
APT攻击的方式和危害后果引起了我国信息安全管理机构和信息安全专业检测及应急支援队伍的高度重视。国家发改委在关于组织实施2013年信息安全专项通知中的 “信息安全产品产业化”项目中,首次明确指明“高级可持续威胁(APT)安全监测产品”是支持重点产品之一。我国的众多信息安全厂商到底有没有掌握检测和防护APT的技术手段?2013年底,带着这个疑问专门走访了几家对此有研究和技术积累的公司,听取了他们近年来在研究防护APT攻击方面所取得的成果介绍,并与技术人员进行了技术交流。
2 高级隐遁技术(AET[注2])
根据IMB X-force小组针对2011年典型攻击情况的采样分析调查,如图1所示可以看出,有许多的攻击是未知(Unknown)原因的攻击。Gartner《Defining Next-Generation Network Intrusion Prevention》文章中也明确提出了利用先进技术逃避网络安全设备检查的事件越来越多。同时,NSS Lab最新的IPS测试标准《NSS Labs ips group 渗透测试工具t methodology v6.2》,已经把layered evasion(也就是AET)作为必须的测试项。
结合近年情况,各国基础网络和重要信息系统所面临的最新和最大的信息安全问题,即APT攻击,我们相信高级隐遁技术有可能已经在APT中被黑客广泛采用。
目前,各企事业单位为了应对网络外部攻击威胁,均在网络边界部署了入侵检测系统(简称IDS)和入侵防御系统(简称IPS),这些措施确实有效地保护了企业内部网络的安全。黑客们为了试图逃避IPS这类系统的检测,使用了大量的逃避技术。近年来,国外信息安全机构发现了一套新型逃避技术,即将以前的逃避技术进行各种新的组合,以增加IPS对入侵检测的难度。这些新型逃避技术,我们称之为高级隐遁技术(AET)。AET可利用协议的弱点以及网络通信的随意性,从而使逃避技术的数量呈指数级增长,这些技术的出现对信息安全而言无疑是个新的挑战。
使用畸形报头和数据流以及迷惑性代码调用的AET攻击的原理:包含AET攻击代码的非常规IP数据流首先躲避过IDS/IPS的检测,悄悄渗透到企业网中;之后,这些数据流被用规范方式重新组装成包并被发送至目标终端上。以上过程看似正常,但这样的IP包经目标终端翻译后,则会形成一个可攻击终端系统的漏洞利用程序,从而给企业的信息资源造成大规模破坏,只留下少量或根本不会留下任何审计数据痕迹,这类攻击就是所谓的隐遁攻击。
2.1 常见的高级隐遁技术攻击方法
常见的高级隐遁技术攻击方法有字符串混淆、加密和隧道、碎片技术和协议的违规。这些仅列举了TCP协议某层的几种隐遁攻击的技术,实际上高级隐遁技术千变万化,种类叠加后更是天文数字。
2.2 高级隐遁技术的测试
为了研究AET的特点,研发AET检测、防护工具,国内有必要搭建自己的高级隐遁监测审计平台来对现有的网络安全设备进行测试和分析,并根据检测结果来改进或重新部署现有网络中的网络安全设备。
国内某信息安全公司最近研制成功一款专门针对高级隐遁技术测试的工具CNGate-TES。CNGate-TES有针对CVE-2008-4250/CVE-2004-1315/CVE-2012-0002漏洞的各种组合、叠加隐遁模拟的测试工具,从IP、TCP、NetBios、SMB、MSRPC、HTTP等各层都有自己相应的隐遁技术。各个层之间的隐遁可以互相叠加组合,同一层内的隐遁技术也可以互相叠加组合。
测试的目的是检验网络中的IDS/IPS是否具备检测和防护AET的能力。
CNGate-TES测试环境部署如图2所示。
3 下一代威胁与 APT
下一代威胁主要是指攻击者采取了现有检测体系难以检测的方式(未知漏洞利用、已知漏洞变形、特种木马等),组合各种其他手段(社会工程、钓鱼、供应链植入等),有针对性地对目标发起的攻击。这种攻击模式能有效穿透大多数公司的内网防御体系,攻击者成功控制了内网主机之后,再进行内部渗透或收集信息。
对信息系统的下一代威胁和特征有几点。
0DAY漏洞威胁:0DAY漏洞由于系统还未修补,而大多数用户、厂商也不知道漏洞的存在,因此是攻击者入侵系统的利器。也有很多利用已修复的漏洞,但由于补丁修复不普遍(如第三方软件),通过变形绕过现有基于签名的检测体系而发起攻击的案例。
多态病毒木马威胁:已有病毒木马通过修改变形就可以形成一个新的未知的病毒和木马,而恶意代码开发者也还在不断开发新的功能更强大的病毒和木马,他们可以绕过现有基于签名的检测体系发起攻击。
混合性威胁:攻击者混合多种路径、手段和目标来发起攻击,如果防御体系中存在着一个薄弱点就会被攻破,而现有安全防御体系之间缺乏关联而是独立防御,即使一个路径上检测到威胁也无法将信息共享给其他的检测路径。
定向攻击威胁:攻击者发起针对具体目标的攻击,大多数情况下是从邮件、IM、SNS发起,因为这些系统账户背后标记的都是一个真实固定的人,而定向到人与他周边的关系,是可以在和攻击者目标相关的人与系统建立一个路径关系。定向攻击如果是小范围发起,并和多种渗透手段组合起来,就是一种APT攻击,不过定向攻击也有大范围发起的,这种情况下攻击者出于成本和曝光风险考虑,攻击者往往使用已知的安全漏洞来大规模发起,用于撒网和捞鱼(攻击一大片潜在受害者,再从成功攻击中查找有价值目标或作为APT攻击的渗透路径点)。
高级持续性威胁: APT是以上各种手段(甚至包括传统间谍等非IT技术手段)的组合,是威胁中最可怕的威胁。APT是由黑客团队精心策划,为了达成即定的目标,长期持续的攻击行为。攻击者一旦攻入系统,会长期持续的控制、窃取系统信息,关键时也可能大范围破坏系统,会给受害者带来重大的损失(但受害者可能浑然不知)。APT攻击,其实是一种网络情报、间谍和军事行为。很多时候,APT都具有国家和有政治目的组织的背景,但为了商业、知识产权和经济目的的APT攻击,也不少见。
3.1 APT攻击过程和技术手段
APT攻击可以分为大的三个环节,每个环节具体的工作内容,如图3所示。
在攻击前奏环节,攻击者主要是做入侵前的准备工作。主要是收集信息:了解被攻击目标的IT环境、保护体系、人际关系、可能的重要资产等信息,用于指导制定入侵方案,开发特定的攻击工具。在收集信息时,攻击者可以利用多种方式来收集信息,主要有网络公开信息收集、钓鱼收集、人肉搜集、嗅探、扫描等,信息收集是贯穿全攻击生命周期的,攻击者在攻击计划中每获得一个新的控制点,就能掌握更多的信息,指导后续的攻击。
技术准备:根据获取的信息,攻击者做相应的技术准备,主要有入侵路径设计并选定初始目标,寻找漏洞和可利用代码及木马(漏洞、利用代码和木马,我们统称为攻击负载),选择控制服务器和跳板。
周边渗透准备:入侵实际攻击目标可信的外部用户主机、外部用户的各种系统账户、外部服务器、外部基础设施等。
在入侵实施环节,攻击者针对实际的攻击目标,展开攻击;主要内容有攻击者利用常规的手段,将恶意代码植入到系统中;常见的做法有通过病毒传播感染目标、通过薄弱安全意识和薄弱的安全管理控制目标,利用缺陷入侵、漏洞入侵、通过社会工程入侵、通过供应链植入等。
SHELLCODE执行:大多数情况攻击者利用漏洞触发成功后,攻击者可以在漏洞触发的应用母体内执行一段特定的代码(由于这段代码在受信应用空间内执行,很难被检测),实现提权并植入木马。
木马植入:木马植入方式有远程下载植入、绑定文档植入、绑定程序植入、激活后门和冬眠木马。
渗透提权:攻击者控制了内网某个用户的一台主机控制权之后,还需要在内部继续进行渗透和提权,最终逐步渗透到目标资产存放主机或有特权访问攻击者目标资产的主机上,到此攻击者已经成功完成了入侵。
在后续攻击环节,攻击者窃取大量的信息资产或进行破坏,同时还在内部进行深度的渗透以保证发现后难以全部清除,主要环节有价值信息收集、传送与控制、等待与破坏;一些破坏性木马,不需要传送和控制,就可以进行长期潜伏和等待,并按照事先确定的逻辑条件,触发破坏流程,如震网,探测到是伊朗核电站的离心机环境,就触发了修改离心机转速的破坏活动,导致1000台离心机瘫痪。
深度渗透:攻击者为了长期控制,保证被受害者发现后还能复活,攻击者会渗透周边的一些机器,然后植入木马。
痕迹抹除:为了避免被发现,攻击者需要做很多痕迹抹除的工作,主要是销毁一些日志,躲避一些常规的检测手段等。
3.2 APT检测方法
随着APT攻击被各国重视以来,一些国际安全厂商逐步提出了一些新的检测技术并用于产品中,并且取得了良好的效果,这些检测技术主要有两种。
虚拟执行分析检测:通过在虚拟机上执行检测对抗,基于运行行为来判定攻击。这种检测技术原理和主动防御类似,但由于不影响用户使用,可以采用更深更强的防绕过技术和在虚拟机下层进行检测。另外,可疑可以由对安全研究更深入的人员进行专业判定和验证。国外多家厂商APT检测的产品主要使用该技术。
内容无签名算法检测:针对内容深度分析发现可疑特征,再配合虚拟执行分析检测。该技术需要对各种内容格式进行深入研究,并分析攻击者负载内容的原理性特征。该技术可以帮助快速过滤检测样本,降低虚拟执行分析检测的性能压力,同时虚拟执行分析检测容易被对抗,而攻击原理性特征比较难绕过。国外几个最先进的APT检测厂商检测的产品里部分使用了该技术。
国内某公司总结了近年来对APT攻击特点的研究和检测实践,提出了建立新一代安全检测体系的设想。
3.2.1基于攻击生命周期的纵深检测体系
从攻击者发起的攻击生命周期角度,可以建立一个纵深检测体系,覆盖攻击者攻击的主要环节。这样即使一点失效和被攻击者绕过,也可以在后续的点进行补充,让攻击者很难整体逃逸检测。
信息收集环节的检测:攻击者在这个环节,会进行扫描、钓鱼邮件等类型的刺探活动,这些刺探活动的信息传递到受害者网络环境中,因此可以去识别这类的行为来发现攻击准备。
入侵实施环节的检测:攻击者在这个环节,会有基于漏洞利用的载体、木马病毒的载体传递到受害者网络环境中,因此可以去识别这类的行为和载体来发现攻击发起。
木马植入环节:攻击者在这个环节,会释放木马并突破防御体系植入木马。因此可以去识别这类的行为来发现入侵和入侵成功。
控制窃取与渗透环节:攻击者在这个环节,会收集敏感信息,传递敏感信息出去,与控制服务器通讯,在本地渗透等行为。因此可以去识别已经受害的主机和潜在被攻击的主机。
3.2.2基于信息来源的多覆盖检测
从攻击者可能采用的攻击路径的角度,可以建立一个覆盖广泛的检测体系,覆盖攻击者攻击的主要路径。这样避免存在很大的空区让攻击者绕过,同时增加信息的来源度进行检测。
从攻击载体角度覆盖:攻击者发起攻击的内容载体主要包括:数据文件、可执行文件、URL、HTML、数据报文等,主要发起来源的载体包括邮件、HTTP流量和下载、IM通讯、FTP下载、P2P通讯。
双向流量覆盖:攻击者在信息收集环节、入侵实施环节主要是外部进入内部的流量。但在木马植入环节、控制窃取与渗透环节,则包含了双向的流量。对内部到外部的流量的检测,可以发现入侵成功信息和潜在可疑已被入侵的主机等信息。
从攻击类型角度覆盖:覆盖主要的可以到达企业内容的攻击类型,包括但不限于基于数据文件应用的漏洞利用攻击、基于浏览器应用的漏洞利用攻击、基于系统逻辑的漏洞利用攻击、基于XSS、CSRF的漏洞利用攻击、进行信息收集的恶意程序的窃取、扫描、嗅探等。
从信息来源角度覆盖:主要覆盖网络流来收集流量,但是考虑到加密流量、移动介质带入的攻击等方式,还需要补充客户端检测机制。同时为了发现更多的可疑点,针对主机的日志挖掘,也是一个非常重要的信息补充。
3.2.3基于攻击载体的多维度检测
针对每个具体攻击载体点的检测,则需要考虑多维度的深度检测机制,保证攻击者难以逃过检测。
基于签名的检测:采用传统的签名技术,可以快速识别一些已知的威胁。
基于深度内容的检测:通过对深度内容的分析,发现可能会导致危害的内容,或者与正常内容异常的可疑内容。基于深度内容的检测是一种广谱但无签名检测技术,让攻击者很难逃逸,但是又可以有效筛选样本,降低后续其他深度分析的工作量。
基于虚拟行为的检测:通过在沙箱中,虚拟执行漏洞触发、木马执行、行为判定的检测技术,可以分析和判定相关威胁。
基于事件关联的检测:可以从网络和主机异常行为事件角度,通过分析异常事件与发现的可疑内容事件的时间关联,辅助判定可疑内容事件与异常行为事件的威胁准确性和关联性。
基于全局数据分析的检测:通过全局收集攻击样本并分析,可以获得攻击者全局资源的信息,如攻击者控制服务器、协议特征、攻击发起方式,这些信息又可以用于对攻击者的检测。
对抗处理与检测:另外需要考虑的就是,攻击者可以采用的对抗手段有哪些,被动的对抗手段(条件触发)可以通过哪些模拟环境手段仿真,主动的对抗手段(环境检测)可以通过哪些方式检测其对抗行为。
综上所述,新一代的威胁检测思想,就是由时间线(攻击的生命周期)、内容线(信息来源覆盖)、深度线(多维度检测),构成一个立体的网状检测体系,攻击者可能会饶过一个点或一个面的检测,但想全面地逃避掉检测,则非常困难。只有逐步实现了以上的检测体系,才是一个最终完备的可以应对下一代威胁(包括APT)的新一代安全检测体系。
4 结束语
结合目前我国防护特种网络攻击技术现状,针对AET和APT的防护提出三点建议。
一是国家信息安全主管部门应将高级隐遁攻击和APT技术研究列入年度信息安全专项,引导国内信息安全厂商重点开展针对高级隐遁攻击和高级持续性威胁的防御技术研发,推动我国具有自主知识产权的新一代IDS和IPS产品产业化。
二是有条件的网络安全设备厂商应建设网络攻防实验室,搭建仿真实验环境,对网络IDS/IPS进行高级隐遁技术和APT的攻防测试,收集此类攻击的案例,积累检测和防御此类攻击的方法和经验。
三是在业界成立“防御特种网络攻击”学术联盟,定期开展学术交流并尝试制定特网攻击应急响应的防护技术要求和检测标准。
[注1] APT(Advanced Persistent Threat)直译为高级持续性威胁。这种威胁的特点:一是具有极强的隐蔽能力和很强的针对性;二是一种长期而复杂的威胁方式。它通常使用特种攻击技术(包括高级隐遁技术)对目标进行长期的、不定期的探测(攻击)。
[注2] AET(Advanced Evasion Techniques),有的文章译为高级逃避技术、高级逃逸技术,笔者认为译为高级隐遁技术比较贴切,即说明采用这种技术的攻击不留痕迹,又可躲避IDS、IPS的检测和阻拦。
参考文献
[1] 关于防御高级逃逸技术攻击的专题报告.
[2] Mark Boltz、Mika Jalava、Jack Walsh(ICSA实验室)Stonesoft公司.高级逃逸技术-避开入侵防御技术的新方法和新组合 .
[3] 恶意代码综合监控系统技术白皮书.国都兴业信息审计系统技术(北京)有限公司.
[4] 杜跃进.从RSA2012看中国的网络安全差距.2012信息安全高级论坛.
[5] 张帅.APT攻击那些事.金山网络企业安全事业部.
[6] 徐金伟,徐圣凡.我国信息安全产业现状调研报告.2012.5.
[7] 徐金伟.我国专业公司网络流量监控技术现状. 2012.6.
[8] 北京科能腾达信息技术股份有限公司.CNGate-TES测试手册.
[9] 南京翰海源信息技术有限公司.星云2技术白皮书V1.0.
关键词:物流企业;物联网;物联网技术
中图分类号:F27 文献标识码:A
收录日期:2014年8月20日
我国于2009年正式提出建立传感信息中心,之后许多省市都快速发展物联网技术在诸多领域中的运用。但很长时间里,物联网概念几乎家喻户晓,看似发展迅速,实则缺乏理性且进展缓慢。随着2013年的《国务院关于推进物联网有序健康发展的指导意见》和《物联网发展专项行动计划》,才标志着物联网发展政策顶层架构设计基本完成,同时意味着物联网迈入实质性发展阶段。
一、物联网技术在物流企业运用现状
物流作为一种古老的经济活动,随着商品生产的出现和发展。物联网的发展离不开物流行业支持。当前物联网运用主要集中生产领域和物流领域。特别是在物流领域,物流公司与物联网关系十分密切,通过物联网建设,企业不但可以实现物流的顺利运行,城市交通和市民生活也将获得很大的改观。物联网技术的应用将极大地提升物流的效率。不但可以减少仓储物流、人力成本、货物装卸等物流成本。而且贯穿全覆盖的物联网,可以使得整个供应链精准、透明和高效,实现了传统物流所不可能完成的目标。
2013年根据物流行业协会的调研报告显示,中国物流行业物联网设备增长幅度超过60%,物流作业状况的物联网管理系统增幅在26%,物联网技术设备得到广泛运用。物联网技术对配送过程的透明化管理和信息追踪,效果十分显著。电子标签拣选系统出货量增长35%以上。在自动输送分拣系统、自动化仓储系统,红外感知技术、激光感知技术、RFID技术、二维码技术等各项物联网感知技术都得到了广泛应用。在物流订单处理流程上,实现订单拣选信息自动处理成语音系统,语音拣选系统拣选信息输入拣选显示设备,减少了环节,加快了工作节奏。物联网技术对自动化智能仓库领域的管理大大提高仓储设施的空间利用率,出货效率飞速提高,更使得单品出货量较大的物流企业增强了竞争力。激光导引、磁条感知和物联网智能搬运系统在自动化物流中心的应用也很多,增长率在28%以上。在货物出入库方面,物联网系统根据信息指令对货物进行智能堆码跺,也是物流技术装备物联网技术的主要领域。总之,2013年是物联网在物流领域内高速增长和发展的一年。
二、物流企业物联网技术应用中存在的问题
(一)法律法规不完善。物联网法律问题的复杂性在于和我们生活的方方面面结合所产生的复合性问题。物联网建设涉及到交通、环境、政府工作、公共安全、财务安全、个人健康和情报搜集等多个领域,完善它需要多种力量的整合。当前物联网法律法规,特别是针对物流企业的物联网建设的法律法规不够完善。这些新型问题是对现有法律体系的挑战,同时并不排斥复合传统的法律。传统法律体系中的侵权、违约、个人隐私、公共安全等问题全部都会再现,同时由于物流企业的自身特征,物联网法律法规的不完善又会在其中得到延伸。
(二)潜在的安全问题。物联网建设要求信息化,需要信息的开放,而安全性要求信息的独立,因此需要做的信息化和安全性的统筹兼顾。由于物联网是由大量设备构成,所以影响通信网络、传统网络、移动网络的安全。在物联网的应用中,如果网络安全无保障,那么个人隐私、物品信息等随时都可能被泄露。而且如果网络不安全,物联网的应用为黑客提供了远程控制他人物品,甚至有造成危害社会公共安全的可能性,如篡改危险品物流信息,夺取机场、车站物流管理权限。所以,物联网在信息安全方面存在一定问题。
首先,技术设备的安全问题。物联网技术使物流企业节约人力成本,实现远程操控机器完成一些复杂、危险和机械的工作。这样,物联网技术设备多数是部署在无人监控的地点工作,任何人都可以轻易接触到这些设备。而且物联网操作设备功能简单、携带能量少,这使得它们无法拥有复杂的安全保护能力,但同时物联网涉及的通信网络多种多样,数据传输也没有特定的标准,安全保护体系不完善。如果针对物联网设备或操控设备的传感器进行破坏,通过破译传感器通信协议,影响设备的正常运行,或对它们进行非法操控,后果不堪设想。
其次,核心网络的信息安全问题。虽然物联网本身核心网络具有完整的安全保护能力。但通过实地调查发现,物流企业在建设物联网时,普遍都有:节点数量庞大,而且以集群方式存在的特点。这样数据信息在传输时,大量物联网设备发送数据,远远高于目前的IP网所提供的能力,进而造成网络拥塞。调查显示,几乎所有物流企业的通行网络都是面向连接的工作方式,所以物联网的广泛应用必须解决地址空间空缺,网络安全标准,物联网核心网络数据分组技术等问题。此外,物流企业通信网络的安全架构均是从人的通信角度设计的,不完全适用于机器间的通信,如果基于现有的互联网安全机制建设物联网,又会割裂物联网机器间的逻辑关系。
最后,各环节加密的安全问题。当前,网络层传输的加密机制通常是逐跳加密,即信息发送过程中数据是加密的,但是途经的每个节点上都是需要解密和加密,这样导致数据在每个节点都是明文。这样可以适用所有物流作业业务,各业务可在同一个物联网业务平台管理,保障了物联网的高效率、低成本。但是,逐跳加密是要在各节点进行解密,所有节点都有可能被破解加密的信息,因此逐跳加密对传输路径中各节点的可信任度要求很高。在业务层传输的加密机制大都是端到端的,即信息仅在发送端和接收端的各节点上均是密文。可以根据不同的物流作业状况选择不同等级的安全保护策略,从而可以为高安全要求的业务定制高安全等级的保护。但是,这种加密机制不对消息的目的地址进行保护,从而不能掩盖传输消息的源地址和目标地址,同样会受到恶意攻击。
总之,多元的数量庞大的物联网核心网络,需要一个统一且强大的安全管理平台;明确物联网中的特殊安全需要,供何种等级的安全保护,架构合理的适合物流企业的物联网安全机制问题亟待解决。否则将成为物流企业未来发展物联网技术的最大障碍。
(三)物联网技术标准缺乏统一。物流企业物联网技术的建设包括对企业的各种资源建立一个规范统一的编码,信息的采集渠道和方式要规范、通畅、稳定,要科学、合理、深入的研究物流企业工作流程方式。标准不统一,影响物联网的推进。现有各行各业的管理信息系统中,对物品的编码结构形式各异,对构建互联互通的物联网带来了很大的障碍,现在全国都在进行物联网技术标准统一的工作,是全国物流企业所面对的难题。
(四)技术不够成熟。在物联网技术中,相对已较为成熟,商业化程度比较高的是卫星定位技术和网络传输技术,但作为物联网技术核心的RFID和传感器技术,还未能产业化、规模化。RFID技术目前仍以低频为主,而高频RFID刚进入产业化初期阶段,还有很大的提升空间,应用过程中存在不少问题和障碍,解决方案还需要进一步完善。
(五)改造成本过高。改造成本高是物联网技术在物流产业中应用的一大障碍。关键原因是核心技术和标准未能实现自主、芯片和高端传感器几乎全部依赖进口,这样就给低利润率的物流产业带来沉重负担。
(六)缺少专业人才。目前,高校对于物联网技术的应用,多数是对实验室的建设或相近计算机技术专业的改造,纯粹的物联网工程专业的建设很少,物联网专业人才培养有待加强。
三、完善物流企业物联网技术应用对策建议
(一)建立健全相关法律法规。物流企业物联网的建立和应用时长期而艰巨的任务,需要建立和完善相应的制度,建立物联网的长效发展机制。物联网的实现不仅涉及技术方面的问题,同时还会涉及有关管理、协调、合作等多方面的问题,还涉及个人隐私保护的问题。
涉及的法律法规有以下几个方面:一是保护个人隐私方面的法律规范。防止个人隐私信息被随意取得,避免人们担心隐私泄露而拒绝接受物联网的可能,这就要靠国家出台相应的法律政策,鉴于法制在我国的不断完善和人们法律意识的不断提高,相信相关法律的出台将为这一问题的解决提供方案;二是要建立物联网核心技术的知识产权保护的相关法律。保护知识产权就是保护企业的合法利益,法律就是保护这一利益的最有效地手段。保护物联网的知识产权就是保护物联网企业的利益和生产研发积极性的有效措施;三是要完善物联网,特别是针对物流行业和各行业物流作业中使用物联网技术的法律法规,其目的是为物流行业的发展提供一定的规范要求,确保其健康有序的发展。政府部门要根据不同发展的阶段的特征,对相关法规进行适时合理的调整,保证其有效性。
(二)加强安全保障。针对物流作业数据的识别以及感知功能方面是由很多个感知节点来共同实现的特点。从措施上补救:首先,建立一个远程的设备控制操作管理的平台,对于那些节点被破坏的,网络之中能够自动的愈合,网络相关的功能也就不会受到任何影响;其次,针对物流企业物联网终端类型过于多元化,加之分布广泛、节点移动性、网络异构性和业务复杂性等特点。我们可以实行身份认证以及访问限制的有机组合进行控制。同时,使用云计算技术,用云储存来存储物联网那些海量资源数据;最后,在加密环节上,可以仅在感知和应用端产生明文,在网络中的其他节点都是密文传送,减少信息泄漏的节点,同时对于感知对象以及传感设备方面可以适当地进行互相的认证,在合法的情况以及环境之中才能够顺利地进行。这样针对物流行业特点,从安全层面上保障了物联网的有效应用。
(三)整合产学研力量。由政府部门牵头,组织有关科研教育单位的专业力量,制定适合物流科学的物联网建设和应用的具体计划,分别对物流企业的技术、经济、管理等问题展开系统的研究工作。有利于政府结合各种资源,建立统一的适合物流企业的物联网技术标准。同时,推动高校联合、委托高校定向培养、组织专家研讨会、互派学习,加快物流人才体系的建设。研究增强政府、高校、企业之间的合作,形成产学研合作的良性循环。这样,既解决了物流企业对物联网人才缺乏的问题。高校也可以在物流企业建立教育基地、实践基地等,有针对性地进行培养适合物流企业的物联网人才;同时理论联系实际,促进物联网专业建设,提高我国自主物联网技术的发展,降低物联网建设、改造和应用的成本,解决物联网在物流企业实际操作中存在的具体问题,也为教育部门提供有价值的参考依据。
四、总结
物流行业在我国的发展也非常迅速,物联网已经成为互联网之后的一次信息革命。物流企业应当抓住机遇,大力发展物联网技术、促进物联网标准的协调统一、推动规模化发展,在将来日益竞争的环境中,打下良好的基础。物联网在物流中的应用是大势所趋,由于发展时间短,不可避免地存在法律法规、安全保障、技术壁垒、人才匮乏等问题。相信随着物联网技术的进一步发展及应用,上述问题最终会得到解决,从而促进物联网在物流企业中大规模的应用。
主要参考文献:
[1]王喜富.物联网与物流信息化[M].电子工业出版社,2011.1.1