發布時間:2023-10-10 10:37:20
序言:寫作是分享個人見解和探索未知領域的橋梁,我們為您精選了8篇的高級網絡信息安全樣本,期待這些樣本能夠為您提供豐富的參考和啟發,請盡情閱讀。
隨著科學技術的不斷發展,計算機網絡也日益普及,給人們的生活、工作帶來了巨大便利。計算機網絡打破了時間和空間的限制,在計算機網絡的支持下,信息可以共享,大大地提高了工作效率。然而,計算機網絡具有開放性、虛擬性,在享受計算機網絡便利的同時, 我們也需要承受其帶來的威脅———信息安全威脅。網絡環境下,病毒、木馬等問題時刻存在,一旦高校計算機網絡系統遭受病毒、木馬威脅,就會影響到網絡系統的正常運行,使得一些重要信息丟失,進而出現嚴重后果。因此,在推廣計算機網絡應用的過程中,高校 必須積極做好信息安全防護工作。
1 高校計算機網絡信息安全威脅
1.1 計算機病毒威脅
計算機病毒就是病毒制造者利用軟件在他人計算機中插入能夠破壞其計算機正常運行的代碼[1]。計算機病毒具有傳播性、隱蔽性等特點,一旦計算機系統遭受病毒攻擊,整個計算機系統就會崩潰,無法正常運行,更甚者造成計算機系統中重要的信息丟失。現行社會形勢下,互聯網已經走進高校,成為高校事業建設發展不可或缺的一部分。高校利用計算機網絡建立了屬于自己的校園網絡體系和教務管理系統,如果高校建立的網絡系統遭受到病毒威脅,就會造成不可估量的后果。如,學生學籍信息的泄漏,一旦學生學籍信息泄漏, 就會給學生造成不利。
1.2 木馬威脅
所謂木馬就是隱藏在正常程序中的一段具有破壞功能的惡意代碼。木馬經常隱藏在游戲或圖形軟件中,一旦人們進入到破壞者事先編好的木馬程序,惡意代碼就會侵入用戶計算機系統,破壞、刪除用戶計算機系統中的文件,更甚者對計算機系統硬盤進行強制性格式 化。現階段,高校基本上已經實現了網絡辦公,但是在開放的網絡環境下,計算機時常會彈出一些推薦網頁和小窗口,出于好奇,一旦用戶進入含有木馬的小窗口或者網頁,這時用戶電腦上的各種文件、程序以及電腦上使用的賬號,密碼就無安全可言了。
1.3 電腦黑客
電腦黑客是伴隨著互聯網的發展而出現的一種網絡威脅,是指通過互聯網非法入侵他人計算機系統,查看、更改、盜取他人數據的人。在這個以利益為核心價值觀的社會里,一些不法分子為了利益,不惜觸碰法律,非法入侵他人的計算機,竊取、篡改他們計算機系 統中的信息。對于高校而言,高校發展過程中形成了許多機密信息,一旦高校計算機系統受到黑客攻擊,就會造成重要信息失竊,進而造成不可估量的損失。
2 高校計算機網絡信息安全工作存在的問題
2.1 安全意識不高
隨著計算機網絡優勢的顯現,計算機網絡逐漸滲透高校教育管理的各個層面,成為教職工、學生日常工作、生活中不可或缺的一部分。然而就目前來看,無論是教職工,還是學生,他們都只看到了計算機網絡有利的一面,沒有看到計算機網絡不利的一面,他們的安 全意識還比較低,他們在使用計算機網絡時,不注重計算機系統安全隱患的排查,直接點擊電腦上彈出的小窗口,嚴重影響到了信息安全。
2.2 計算機網絡系統安全性不高
現階段,高校開始引進計算機網絡來推進教學及相關工作的開展,但是高校在建立網絡系統中,沒有考慮到計算機網絡系統自身的安全性,認為只需要投入硬件配套設施就可以,對軟件設施不重視,沒有考慮到軟件系統的安全摘要:隨著互聯網時代的到來,計算機網絡開始走進校園,在高校發展過程中發揮著越來越重要的作用。但是計算機網絡是一把性,這樣組建起來的網絡系統就會存在很大漏洞,容易遭受網絡攻擊。
2.3 網絡信息安全防護制度缺失
網絡信息安全管理是一項至關重要的工作,需要高校確立完善的安全防護制度。然而就目前來看,高校在推進網絡信息化建設過程中存在一個普遍問題,即“重建輕管”,認為只要引進計算機設備就可以,對計算機設備運行的管理不給予重視,沒有建立與之相匹配 的安全防護制度。由于安全制度缺失,網絡系統安全管理就會被忽略,進而容易出現信息安全問題。
3 高校計算機網絡信息安全防護的重要性分析
現行社會形勢下,計算機網絡已經走進高校校園,為廣大師生帶來了巨大便利。但是計算機網絡是一把雙刃劍,在其便利高校教育管理工作的同時,也帶來了一定的信息安全威脅。網絡具有開放性、虛擬性,這也使得高校計算機網絡系統會面臨著黑客、病毒、木馬 等安全威脅。一旦高校計算機系統遭受網絡攻擊,高校網絡系統就無法正常運行,更甚者造成巨大利益和財產損失,因此,做好網絡信息安全防護至關重要。計算機網絡信息安全防護工作不僅關系著高校事業的發展,更關系著廣大師生的利益,切實做好計算機網絡信息 安全防護工作,可以有效保障高校計算機網絡系統安全運行,更好地服務高校教育管理工作,推動高校事業的穩定發展[2]。
4高校計算機網絡信息安全防護策略
計算機網絡具有開放性和虛擬性,這也使得計算機網絡存在一定的安全威脅,一旦計算機網絡受到非法攻擊,計算機網絡信息就毫無安全可言,進而會阻礙計算機網絡的發展。因此,高校在應用計算機網絡的同時,必須采取有效措施,積極做好計算機網絡信息安全 防護工作。
4.1 加大網絡安全的宣傳
網絡信息安全防護是一項重要的工作,要想切實保障網絡信息安全,就必須爭取廣大教職工的共同參與,因此,加大網絡信息安全的宣傳尤為重要。高校要借助廣播、網絡等途徑向廣大師生宣傳網絡信息安全相關知識,告知廣大師生網絡潛在的安全威脅,提高師生 對網絡安全的認識,從而更好地規范他們的網絡行為,遠離網絡威脅。
4.2 安裝殺毒軟件
針對病毒威脅,高校可以在計算機系統中安裝殺毒軟件,通過殺毒軟件來保護計算機系統免受病毒侵害。目前,市場上常用的殺毒軟件就有360殺毒軟件、金沙毒霸、魯大師等[3]。高校可以安裝其中的任意一款來保障計算機系統安全。在使用計算機時,先通過殺毒 軟件進行殺毒,將計算機系統中垃圾文件、病毒清理掉,確保計算機無病毒威脅;在計算機使用結束后,同樣要及時殺毒,以防病毒殘留。
4.3 設置防火墻
防火墻就是一個位于計算機和它所連接的網絡之間的軟件,防火墻可以對流經它的網絡通信進行掃描,從而過濾掉一些攻擊,避免計算機受到惡意入侵[4]。同時,防火墻還可以關閉不適用的端口,攔截木馬,防止來歷不明的入侵者的所有通信。防火墻作為一種安全防范措施,在計算機網絡系統中設置防火墻,可以大大的提高計算機網絡的安全性,避免計算機網絡系統受到惡意入侵和攻擊。
4.4 加大網絡安全技術的應用
隨著計算機網絡信息安全問題的日益突出,人們對網絡安全技術的研究也越來越深入,一些安全技術也逐漸得到了推廣,為計算機網絡信息安全提供了技術保障,如身份認證技術、加密技術、跟蹤技術等。在高校計算機網絡系統中,管理者可以利用先進的網絡信息 安全技術來保障計算機系統安全,防止信息被竊取和篡改,以加密技術為例,在存儲信息、傳遞信息的時候,可以對信息進行加密處理,利用技術手段把重要的數據變為亂碼加密傳送,在達到目的地后再用相同的手段還原,從而避免信息受到惡意攻擊,提高信息的安全 性[5]。
4.5 建立可行的安全防護制度
在推進高校網絡信息化建設過程中,高校有必要建立一套完善的安全防護制度來保障網絡信息安全管理工作。首先,建立完善的計算機網絡信息安全管理制度,從制度層面對網絡信息安全工作作出全面的規定;其次,建立計算機網絡信息安全排查和監督機制,對計 算機網絡系統的安全運行進行全面管理;再者,落實責任制,將計算機網絡信息安全相關責任落實到具體人身上,從而更好地規范用網行為[6]。另外,高校要成立一支專業的小組,定期檢查高校網絡運行環境,對高校網絡進行維護,確保高校網絡安全、穩定運行。
5 結束語
綜上,計算機網絡在高校中的應用越來越普遍,已成為高校教育管理不可或缺的一部分。但是在計算機網絡便利高校教育管理工作的同時,也使得高校面臨著一定的信息安全威脅,為此,高校必須做好計算機網絡信息安全防護工作。為了保證計算機網絡信息安全, 高校不僅要加強計算機網絡信息安全管理,更要加大信息安全技術的應用,提高計算機網絡系統的安全性,從而避免計算機網絡受到非法攻擊,保證學校網絡的安全、穩定運行。
參考文獻
[1]楊海利.對于當前計算機網絡信息安全及防護策略的思考[J].網絡安全技術與應用,2020(06):2-3.
[2]向燦,龔旬.計算機網絡信息安全及其防護策略的研究[J].網絡安全技術與應用,2020(06):4-5.
[3]焦媛.計算機網絡信息安全及其防護策略[J].計算機產品與流通,2020(07):28.
[4]高陽.計算機網絡信息安全及防護策略[J].佳木斯職業學院學報,2020,36(05):257-258.
關鍵詞:高中生;計算機網絡技術;信息安全
引言:
我國科技領域在近年來取得了明顯的進步,而其中發展勢頭最強勁的就是計算機網絡技術,這標志著我國目前已經全面進入了信息時代。然而,在推廣和普及計算機使用的過程中,一些不法分子卻利用網絡技術破壞用戶的計算機系統,盜取用戶重要的數據資料信息,導致其遭受不可估量的經濟損失,對我國計算機網絡信息技術的普及造成了一定程度的消極影響。筆者作為一名高中生,在計算機使用的過程中,也深感網絡信息安全的重要性,基于此,本文將從以下幾個方面對計算機網絡信息安全技術進行探究。
一、當前計算機網絡的發展實際分析
隨著當前我國社會經濟整體格局的不斷發展,計算機網絡系統也逐步得到了優化。筆者結合當前我國計算機網絡的實際應用情況進行了如下分析:首先是當前國內計算機網絡的構建還處于發展的初級,資源體系的完整性不高。例如,有效信息資源和無效信息資源混雜于信息網絡之中,容易對我們高中生形成誤導,從而造成計算機網絡信息的應用既有積極一面又有消極一面的現象;其次是計算機網絡安全管理中還有很多不足之處。例如,很多同學的社交軟件如微信、QQ、微博等都曾經出現過被盜或被病毒干擾等情況,這種現象直接體現了當前計算機網絡安全管理中的不足;最后是計算機系統資源開發的水平還有很大提升空間,例如,很多同學反映,在課后利用計算機網絡復習高中知識的過程中,尋找和篩選相關學習資料時會耗費大量的時間,這說明利用計算機網絡輔助高中知識學習的效率還很低。由此可見,雖然目前我國計算機網絡的發展框架已經具備了一定的規模,但是仍然有一些不足存在,還需要在未來的發展中逐步完善。
二、計算機網絡信息管理及安全防護中的問題
(一)木馬程序或病毒對信息管理與安全進行破壞
在我國計算機安全問題中,最常見的威脅源就是木馬程序和電腦病毒。這兩者都是將具有一定破壞性功能的數據信息隱藏于正常計算機程序中,使計算機用戶在安裝或使用計算機程序的過程中感染木馬和病毒,進而破壞計算機網絡,造成數據資料的丟失和損害。除此以外,部分計算機病毒還會造成系統的癱瘓,嚴重影響計算機的正常使用。
(二)黑客攻擊
當前,計算機網絡信息安全管理中存在的另一個難點就是網絡黑客的入侵,來自黑客的攻擊往往會對用戶造成非常巨大的影響。黑客攻擊我們一般將其分為以下兩種類型:一是網絡偵查型,這種方式較為隱蔽,不會對用戶的正常使用造成影響,因此用戶很難發現。從而在用戶毫不知情的情況盜取其計算機中的數據和信息;二是網絡攻擊型,相比于網絡偵查型,這種方式具有明顯的破壞性,黑客往往會采用一些破壞性的方式盜取和損害用戶計算機中存儲的數據信息。除此以外,在對用戶計算機入侵的過程中,黑客往往還會通過對一些網絡技術的運用,造成用戶計算機部分功能或程序異常,無法使用,甚至有可能會破壞計算機主機。
(三)存在網絡漏洞以及配置不科學
受技術能力的限制,很多計算機系統在研發和設計的過程中都或多或少的存在一些問題,其中多為存在網絡漏洞或配置不協調等問題。而網絡信息安全問題也多是由此出現。除此以外,計算機生產和設計上存在的問題也會造成文件和服務器的配置不科學的情況[1]。計算機網卡選擇的不合理也會對計算機的運行效率造成影響,計算機運行速度如果太慢,必然會降低其系統的穩定性,進而導致計算機更加難以抵御網絡病毒和木馬。
三、計算機網絡信息安全的提升策略
(一)加強信息安全防范意識
在網絡信息安全管理中,要不斷提升管理手段和技術手段,采取更加科學有效的措施來加強計算機網絡安全管理。此外,計算機用戶平時在使用計算機網絡時,要在計算機中安裝上殺毒短劍,同時將其更新至最新版本,不給不法分子可乘之機,從而使計算機網絡信息安全性從根本上得到提升。
(二)應用防火墻技術
計算機防火墻技術是由軟硬件共同組成,并在網絡系統中發揮其監督。控制與保護的作用。應用防火墻技術以后,計算機在接收和傳輸網絡信息的過程中,都要經過防火墻進行,而防火墻則通過分析、限制和分離網絡信息這些功能,保證計算機網絡信息的安全性[2]。防火墻作為一種有效保護計算機網絡信息安全的技術,其作用主要就是阻止未被允許的數據信息在內外網之間的傳輸,也可以實現對計算機網絡訪問和存取行為的監控和審核,防止數據信息外泄。應用級防火墻以及過濾型防火墻是目前最常見的兩種防火墻類型,其中應用級防火墻通常于特定的信息網絡中使用,過濾型防火墻則是主要用于提升信息的透明性,提升信息處理的速度和效率。隨著近年來我國計算機網絡水平的不斷提升,應用防火墻的水平也應不斷加快發展,只有這樣,才能進一步提升計算機網絡信息的安全性。
(三)采用隔離技術
所謂隔離技術,一般包含物理隔離與邏輯隔離兩種。物理隔離主要指的是通過物理方式將計算機主機與互聯網相隔離,并以單獨的形式將加密文件儲存與計算機中,同時在處理網絡信息時使用其他專屬的計算機進行[3]。除此以外,在兩臺計算機信息傳輸的過程中也應利用專線進行。然而這種物理隔離的方式由于成本較大的原因,普通計算機用戶基本難以實現,而且如果傳輸距離較遠時,也容易給非法接入者提供可乘之機。邏輯隔離則主要是利用物理方式在被隔離的兩端進行數據通道連線,同時采用相關的技術手段保證不存在其他信息通道,以實現對數據信息的轉換、剝離等控制措施。
(四)采用信息加密技術
在網絡信息儲存與傳輸的過程中采用科技手段確保其完整性和安全性的方法我們將其成為信息加密技術。通過對信息加密技術的應用,可以使計算機網絡信息的安全性得到有效提升,同時這也是對計算機網絡信息安全的一種主動性的保護方式。信息加密技術采用特定算法對數據信息進行加密運算,并以密文的方式替換掉數據信息資料中的明文,以保證原始信息的安全性。在我們日常生活中隨處可見的計算機網絡密碼和加密信件等都屬于信息加密技術的一種方式,信息加密技術越是復雜,信息的安全性就越有保證。數據加密作為一種現代社會常見的信息加密技術,主要是以密鑰和密函的方式來完成加密,從而對計算機信息網絡中數據信息形成保護。應用這種加密方式時,發送數據和接收數據都需要通過密鑰或密函老實現。除此以外,通過運用數據加密技術,還可以獲取客戶真實的數據信息,再通過對真實數據信息的利用與網絡信息互相聯通,以動態化的形式對網絡信息數據進行保護。利用網絡信息數據加密技術可以有效提升計算機網絡信息的傳輸安全性,并確保網絡信息不會泄露,提升互聯網信息的整體安全技術與運行穩定性。
結語:
總而言之,現代社會,計算機網絡技術已經成為了我們日常學習、工作和生活中必不可少的一個組成部分。信息安全問題也隨之日益突出,并受到社會各界的廣泛關注。基于此,我們在探索計算機網絡信息安全技術的同時,還應不斷加強我們自身的安全防范意識,才能促進計算機網絡信息安全水平進一步提升。
參考文獻:
[1]徐振興.計算機網絡信息安全中數據加密技術應用與實踐[J].中國新技術新產品,2017(20):147-148
[2]沈傳友.計算機網絡信息安全及其防護對策[J].網絡安全技術與應用,2017(9):3-3
關鍵詞:校園網絡 網絡安全 管理
高校校園網作為高校這個特殊環境中傳遞信息的媒介,是學校重要的教學、科研信息基礎設施,它提供教學,科研,娛樂,教育管理,招生。隨著校園網的逐步發展,網絡應用的逐漸普及,校內部的網絡越來越多的暴露給了外部世界。因此,在校園網絡及其信息系統中如何設置自己的安全措施,使它安全、穩定、高效地運轉,發揮其應有的作用,成為各校越來越重視的問題。
針對層出不窮的校園網絡安全問題,高校內設辦公機構和部門都購置了各種網絡安全產品,如防火墻、入侵檢測系統、漏洞掃描器、系統實時監控器、VPN網關、網絡防病毒軟件等。毋容置疑,這些產品分別在不同的側面保護著網絡系統。但是,從系統整體安全考慮,這些單一的網絡安全產品都存在著不同的安全局限性。并且網絡安全不僅有著眾多的技術安全因素,更多的在網絡安全的管理、部署和操作方面,因此,將技術和管理相結合,建立一個多層次的校園網安全防御體系,對于構建安全的校園網環境有著重大的意義。
保障高校校園網絡安全應該從網絡安全技術和安全策略方面去同步加強,安全策略是先導,先進的網絡安全技術是根本。
網絡信息安全策略是指為保證提供一定級別的安全保護所必須遵守的規則。信息安全的實現要依靠先進的技術、嚴格的安全管理、法律約束和安全教育。本文從此三個方面去綜合考慮、規劃建設校園網絡,構建了一個多層次的校園網安全主動防御體系模型。
一、依托網絡安全技術構建網絡安全堡壘
1.合理規劃設計校園網絡物理結構
校園網絡是教學,科研,娛樂,教務管理、圖書管管理等活動的基礎設施。特別地,在科研、教務管理、圖書館管理等方面,對校園網絡安全要求很高。對這些關鍵部門,構建相應的辦公網絡時,應該在物理上獨立實施建設。與其他一些安全級別不同的部門在物理網絡建設上應該盡量隔離,這樣的物理安全設計為保證校園網信息網絡系統的物理安全,除在網絡規劃和場地、環境等要求之外,還要防止系統信息在空間的擴散。
計算機系統通過電磁輻射使信息被截獲而失密的案例已經很多,在理論和技術支持下的驗證工作也證實這種截取距離在幾百甚至可達千米的復原顯示技術給計算機系統信息的保密工作帶來了極大的危害。為了防止系統中的信息在空間上的擴散,通常是在物理上采取一定的防護措施,來減少或干擾擴散出去的空間信號。
正常的防范措施主要在三個方面:對主機房及重要信息存儲、收發部門進行屏蔽處理,即建設一個具有高效屏蔽效能的屏蔽室,用它來安裝運行主要設備,以防止磁鼓、磁帶與高輻射設備等的信號外泄。為提高屏蔽室的效能,在屏蔽室與外界的各項聯系、連接中均要采取相應的隔離措施和設計,如信號線、電話線、空調、消防控制線,以及通風、波導,門的關起等。對本地網、局域網傳輸線路傳導輻射的抑制,由于電纜傳輸輻射信息的不可避免性,現均采用光纜傳輸的方式,大多數均在Modem出來的設備用光電轉換接口,用光纜接出屏蔽室外進行傳輸。
2.構建應用級網關、實時入侵檢測(IDS)
應用級網關作為防火墻(Firewall)中的一個主要類型,它通過偵聽網絡內部客戶的服務請求,檢查并驗證其合法性,若合法,它將作為一臺客戶機一樣向真正的服務器發出請求并取回所需信息,最后再轉發給客戶。對于內部客戶而言,應用級網關好像原始的公共服務器,對于公共服務器而言,服務器好像原始的客戶一樣,亦即應用級網關充當了雙重身份,并將內部系統與外界完全隔離開來,外面只能看到服務器,而看不到任何內部資源。
IDS作為一種積極主動的安全防護技術,提供了對內部攻擊、外部攻擊和誤操作的實時保護,在網絡受到危害之前進行攔截和響應。防火墻能夠將一些預期的網絡攻擊阻擋于網絡外面,而IDS還能對一些非預期的攻擊進行識別并做出反應。將IDS與防火墻聯動,能更有效地阻止攻擊事件,把網絡隱患降至較低程度。
3.建立多層次的病毒防護體系
這里的多層次病毒防護體系是指在Internet網關(具有垃圾郵件過濾功能)上安裝基于Internet網關的反病毒軟件;在服務器上安裝基于服務器的反病毒軟件;在校園網的每個臺式機上安裝臺式機的反病毒軟件。同時,還需要做好如下工作:定時對網絡進行殺毒;對每臺計算機都開啟病毒監控;經常對服務器和客戶機的殺毒軟件進行升級。
二、加強和規范校園網絡安全管理
1.加強黑客入侵檢測與防范
校園網入侵者一般為校園網內部用戶,有著窺探他人隱私的好奇性,攻入私人計算機。有的入侵者希望通過入侵學校數據庫,以達到修改個人資料和學習成績為目的。個別的電腦高手希望通過入侵,引起他人注意,以顯示自己的能力,這樣的人不會盜取別人的電腦資料,但會故意留下“足跡”,如進行破壞或是“留言”。
為了維護高校教務系統及圖書館管理系統安全,應該特別加強黑客入侵檢測,并嚴格防范。主要可以采取以下幾方面的措施:
(1)檢測網絡嗅探程序
網絡嗅探是一種常用的收集網絡數據包的方法,其基本原理是對經過網卡的數據包進行捕獲和解碼,從鏈路層協議開始進行解碼分析,一直到應用層的協議,最后獲取數據包中需要的內容,如賬號、口令等。
當電腦系統被一些網絡嗅探程序跟蹤時,可能會出現網絡通訊丟包率非常高或是網絡帶寬出現反常,這些情況是網絡有嗅探器的可能反應。網絡管理員就應該及時加以處理。通常,可以在關鍵的系統上部署檢測嗅探器工具,例如AntiSniff工具,來自動檢測網絡嗅探程序。
(2)及時更新IIS漏洞
由于寬帶的普及,給自己的計算機裝上簡單易學的IIS,搭建一個ftp或是web站點,已經不是什么難事。但是IIS層出不窮的漏洞實在令人擔心。遠程攻擊著只要使用webdavx3這個漏洞攻擊程序和telnet命令就可以完成一次對IIS的遠程攻擊防范措施:關注微軟官方站點,及時安裝IIS的漏洞補丁。
(3)選擇性關閉IPC$共享、防止IPC$共享入侵
IPC$ (Internet Process Connection)是共享“命名管道”的資源,它是為了讓進程間通信而開放的命名管道,通過提供可信任的用戶名和口令,連接雙方可以建立安全的通道并以此通道進行加密數據的交換,從而實現對遠程計算機的訪問。它有一個特點,即在同一時間內,兩個IP之間只允許建立一個連接。2000/XP/2003在提供了IPC$功能的同時,在初次安裝系統時還打開了默認共享,即所有的邏輯共享(c$,d$,e$)和系統目錄winnt或windows(admin$)共享。所有的這些,微軟的初衷都是為了方便管理員的管理,但在有意無意中,導致了系統安全性的降低。個人用戶如果無網絡服務的可關閉IPC$共享,最好的方法是給自己的賬戶加上強口令,并不定期地更換。
2.加強校園網絡中服務器安全規范
(1)制定縝密的服務器管理制度,對服務器的操作從程序上進行規范。確保安裝正版操作系統和殺毒軟件,及時更新,打上漏洞補丁。各種密碼必須做到定期更換,經常對服務器進行漏洞掃描,確保安全。
本文為全文原貌 未安裝PDF瀏覽器用戶請先下載安裝 原版全文
(2)建立定期備份制度,服務器可以采用RAID5(磁盤陣列)技術,或者是雙機容錯技術等等,確保系統能不間斷運行。
(3)根據分配工作的不同,賦予操作人員不同級別的權限,同時建立完備的日志系統,做到出現問題能立馬有跡可循。
3.建立校園網的統一認證系統
認證是網絡信息安全的關鍵技術之一,其目的是實現身份鑒別服務、訪問控制服務、機密和不可否認服務等。校園網與 Internet沒有實施物理隔離。但是,對于運行內部管理信息系統的內網,建立其統一的身份認證系統仍然是非常必要的,以便對數字證書的生成、審批、發放、廢止、查詢等進行統一管理。
三、加強高校網絡安全教育
要確保高校網絡安全,除了依賴最新的網絡安全技術去構建網絡安全屏障外,還要加強高校網絡安全教育。主要有以下幾方面的措施:
1.對網絡管理員定期進行專業培訓
有些網絡管理員專業知識和技能不夠、責任心不強,部分網絡管理員在工作之前沒有受過系統的專業培訓。所以,不能很好地勝任本職工作。
嚴格的管理是校園網安全的重要措施。事實上,很多學校都疏于這方面的管理,對網絡安全保護不夠重視。為了確保整個網絡的安全有效運行,有必要制定出一套滿足網絡實際安全需要的、切實可行的安全管理制度。
2.在高校師生中普遍開展網絡安全教育
高校中教師作為知識的引導傳播者,在信息化教育不斷發展的高校教育中,教師網絡安全意識的提高,首先要從提高教師對網絡安全的認識做起。教師應了解相關的網絡安全法律、法規,如內容分級過濾制度等。教師應意識到無論是在學校還是家庭,都應加強網絡安全和道德教育,積極、耐心的引導學生,使他們形成正確的態度和觀念去面對網絡。同時,給學生提供豐富、健康的網絡資源,為學生營造良好的網絡學習氛圍,并教育學生在網上自覺遵守道德規范,維護自身和他人的合法權益。
四、總結
高校校園網絡信息安全是我們非常關注但又難以徹底解決的問題。校園網絡建設沒有統一的標準和規范,目前也沒專門的技術或產品能夠完全解決網絡的安全問題。我們只能根據最新的信息安全保障體系理念,采用安全策略分析、授權訪問、認證技術、密碼技術、防火墻技術、IPSec技術(IP Security)信息與網絡安全最新的技術去構建校園網絡的安全體系,另外,我們在思想上要認識到網絡安全的重要性,在校園網絡安全建設硬件方面不但要有資金投入,還要不斷加強校園網絡管理人員和校園網用戶的網絡安全知識教育培訓,樹立大家的網絡安全防范意識。這樣,就可以使網絡安全事故發生的可能性降低到最小。我們相信,隨著教育信息化的發展,校園網絡安全也越來越受到大家的關注,校園網也會越來越安全。
參考文獻:
[1]陳新建.校園網的安全現狀和改進對策[J].網絡安全技術與運用.
[2]劉建煒.基于網絡層次結構安全的校園網絡安全防護體系解決方案[J].教育探究,2010,(3).
[3]謝希仁.計算機網絡[M].大連:大連理工大學出版社,2003.
【 關鍵詞 】 高級隱遁技術;高級持續性攻擊;檢測方法
China’s Situation of Protection Techniques against Special Network Attacks
Xu Jin-wei
(The Chinese PLA Zongcan a Research Institute Beijing 100091)
【 Abstract 】 By the end of 2013,the author visited more than ten domestic well-known information security companies to make a special investigation and research on the focused “APT” attack issue. During the visit, the author made deeply exchange and discussion with the first-line professional research and management personnel and gained much knowledge. This article mainly introduces the present situation of protect technology construction by some of domestic information security companies against network attacks, as an inspiration to the colleagues?and units in the information security industry.
【 Keywords 】 advanced evasion techniques; advanced persistent threat; detection methods
1 引言
2010年發生的“震網”病毒對伊朗布什爾核電站離心機的攻擊和2013年的“斯諾登”事件,標志著信息安全進入了一個全新的時代:新型攻擊者(國家組織的專業團隊),采用全新的方式(APT[注1])攻擊國家的重要基礎設施。
APT攻擊因其采用了各種組合隱遁技術,具有極強的隱蔽攻擊能力,傳統的依賴攻擊特征庫比對模式的IDS/IPS無法檢測到它的存在,APT攻擊得手后并不馬上進行破壞的特性更是難以發覺。它甚至能在重要基礎網絡中自由進出長時間潛伏進行偵察活動,一旦時機成熟即可通過在正常網絡通道中構筑的隱蔽通道盜取機密資料或進行目標破壞活動,APT的出現給網絡安全帶來了極大危害。目前在西方先進國家,APT攻擊已經成為國家網絡安全防御戰略的重要環節。例如,美國國防部的High Level網絡作戰原則中,明確指出針對APT攻擊行為的檢測與防御是整個風險管理鏈條中至關重要也是最基礎的組成部分。
從資料中得知,國外有些著名的信息安全廠商和研究機構,例如美國電信公司Verizon Business的ICSA實驗室,芬蘭的Stonesoft公司幾年前就開展了高級隱遁技術的研究;2013年美國的網絡安全公司FireEye(FEYE)受到市場追捧,因為FireEye能夠解決兩大真正的安全難題――能夠阻止那種許多公司此前無法阻止的網絡攻擊,即所謂的“零天(Zeroday)”攻擊和“高級持續性威脅(APT)”。零天攻擊是指利用軟件廠商還未發現的軟件漏洞來發動網絡攻擊,也就是說,黑客在發現漏洞的當天就發動攻擊,而不會有延遲到后幾天再發動攻擊,軟件廠商甚至都來不及修復這些漏洞。高級持續性威脅則是由那些想進入特殊網絡的黑客所發動的一系列攻擊。FireEye的安全應用整合了硬件和軟件功能,可實時通過在一個保護區來運行可疑代碼或打開可疑電子郵件的方式來查看這些可疑代碼或可疑電子郵件的行為,進而發現黑客的攻擊行為。
APT攻擊的方式和危害后果引起了我國信息安全管理機構和信息安全專業檢測及應急支援隊伍的高度重視。國家發改委在關于組織實施2013年信息安全專項通知中的 “信息安全產品產業化”項目中,首次明確指明“高級可持續威脅(APT)安全監測產品”是支持重點產品之一。我國的眾多信息安全廠商到底有沒有掌握檢測和防護APT的技術手段?2013年底,帶著這個疑問專門走訪了幾家對此有研究和技術積累的公司,聽取了他們近年來在研究防護APT攻擊方面所取得的成果介紹,并與技術人員進行了技術交流。
2 高級隱遁技術(AET[注2])
根據IMB X-force小組針對2011年典型攻擊情況的采樣分析調查,如圖1所示可以看出,有許多的攻擊是未知(Unknown)原因的攻擊。Gartner《Defining Next-Generation Network Intrusion Prevention》文章中也明確提出了利用先進技術逃避網絡安全設備檢查的事件越來越多。同時,NSS Lab最新的IPS測試標準《NSS Labs ips group 滲透測試工具t methodology v6.2》,已經把layered evasion(也就是AET)作為必須的測試項。
結合近年情況,各國基礎網絡和重要信息系統所面臨的最新和最大的信息安全問題,即APT攻擊,我們相信高級隱遁技術有可能已經在APT中被黑客廣泛采用。
目前,各企事業單位為了應對網絡外部攻擊威脅,均在網絡邊界部署了入侵檢測系統(簡稱IDS)和入侵防御系統(簡稱IPS),這些措施確實有效地保護了企業內部網絡的安全。黑客們為了試圖逃避IPS這類系統的檢測,使用了大量的逃避技術。近年來,國外信息安全機構發現了一套新型逃避技術,即將以前的逃避技術進行各種新的組合,以增加IPS對入侵檢測的難度。這些新型逃避技術,我們稱之為高級隱遁技術(AET)。AET可利用協議的弱點以及網絡通信的隨意性,從而使逃避技術的數量呈指數級增長,這些技術的出現對信息安全而言無疑是個新的挑戰。
使用畸形報頭和數據流以及迷惑性代碼調用的AET攻擊的原理:包含AET攻擊代碼的非常規IP數據流首先躲避過IDS/IPS的檢測,悄悄滲透到企業網中;之后,這些數據流被用規范方式重新組裝成包并被發送至目標終端上。以上過程看似正常,但這樣的IP包經目標終端翻譯后,則會形成一個可攻擊終端系統的漏洞利用程序,從而給企業的信息資源造成大規模破壞,只留下少量或根本不會留下任何審計數據痕跡,這類攻擊就是所謂的隱遁攻擊。
2.1 常見的高級隱遁技術攻擊方法
常見的高級隱遁技術攻擊方法有字符串混淆、加密和隧道、碎片技術和協議的違規。這些僅列舉了TCP協議某層的幾種隱遁攻擊的技術,實際上高級隱遁技術千變萬化,種類疊加后更是天文數字。
2.2 高級隱遁技術的測試
為了研究AET的特點,研發AET檢測、防護工具,國內有必要搭建自己的高級隱遁監測審計平臺來對現有的網絡安全設備進行測試和分析,并根據檢測結果來改進或重新部署現有網絡中的網絡安全設備。
國內某信息安全公司最近研制成功一款專門針對高級隱遁技術測試的工具CNGate-TES。CNGate-TES有針對CVE-2008-4250/CVE-2004-1315/CVE-2012-0002漏洞的各種組合、疊加隱遁模擬的測試工具,從IP、TCP、NetBios、SMB、MSRPC、HTTP等各層都有自己相應的隱遁技術。各個層之間的隱遁可以互相疊加組合,同一層內的隱遁技術也可以互相疊加組合。
測試的目的是檢驗網絡中的IDS/IPS是否具備檢測和防護AET的能力。
CNGate-TES測試環境部署如圖2所示。
3 下一代威脅與 APT
下一代威脅主要是指攻擊者采取了現有檢測體系難以檢測的方式(未知漏洞利用、已知漏洞變形、特種木馬等),組合各種其他手段(社會工程、釣魚、供應鏈植入等),有針對性地對目標發起的攻擊。這種攻擊模式能有效穿透大多數公司的內網防御體系,攻擊者成功控制了內網主機之后,再進行內部滲透或收集信息。
對信息系統的下一代威脅和特征有幾點。
0DAY漏洞威脅:0DAY漏洞由于系統還未修補,而大多數用戶、廠商也不知道漏洞的存在,因此是攻擊者入侵系統的利器。也有很多利用已修復的漏洞,但由于補丁修復不普遍(如第三方軟件),通過變形繞過現有基于簽名的檢測體系而發起攻擊的案例。
多態病毒木馬威脅:已有病毒木馬通過修改變形就可以形成一個新的未知的病毒和木馬,而惡意代碼開發者也還在不斷開發新的功能更強大的病毒和木馬,他們可以繞過現有基于簽名的檢測體系發起攻擊。
混合性威脅:攻擊者混合多種路徑、手段和目標來發起攻擊,如果防御體系中存在著一個薄弱點就會被攻破,而現有安全防御體系之間缺乏關聯而是獨立防御,即使一個路徑上檢測到威脅也無法將信息共享給其他的檢測路徑。
定向攻擊威脅:攻擊者發起針對具體目標的攻擊,大多數情況下是從郵件、IM、SNS發起,因為這些系統賬戶背后標記的都是一個真實固定的人,而定向到人與他周邊的關系,是可以在和攻擊者目標相關的人與系統建立一個路徑關系。定向攻擊如果是小范圍發起,并和多種滲透手段組合起來,就是一種APT攻擊,不過定向攻擊也有大范圍發起的,這種情況下攻擊者出于成本和曝光風險考慮,攻擊者往往使用已知的安全漏洞來大規模發起,用于撒網和撈魚(攻擊一大片潛在受害者,再從成功攻擊中查找有價值目標或作為APT攻擊的滲透路徑點)。
高級持續性威脅: APT是以上各種手段(甚至包括傳統間諜等非IT技術手段)的組合,是威脅中最可怕的威脅。APT是由黑客團隊精心策劃,為了達成即定的目標,長期持續的攻擊行為。攻擊者一旦攻入系統,會長期持續的控制、竊取系統信息,關鍵時也可能大范圍破壞系統,會給受害者帶來重大的損失(但受害者可能渾然不知)。APT攻擊,其實是一種網絡情報、間諜和軍事行為。很多時候,APT都具有國家和有政治目的組織的背景,但為了商業、知識產權和經濟目的的APT攻擊,也不少見。
3.1 APT攻擊過程和技術手段
APT攻擊可以分為大的三個環節,每個環節具體的工作內容,如圖3所示。
在攻擊前奏環節,攻擊者主要是做入侵前的準備工作。主要是收集信息:了解被攻擊目標的IT環境、保護體系、人際關系、可能的重要資產等信息,用于指導制定入侵方案,開發特定的攻擊工具。在收集信息時,攻擊者可以利用多種方式來收集信息,主要有網絡公開信息收集、釣魚收集、人肉搜集、嗅探、掃描等,信息收集是貫穿全攻擊生命周期的,攻擊者在攻擊計劃中每獲得一個新的控制點,就能掌握更多的信息,指導后續的攻擊。
技術準備:根據獲取的信息,攻擊者做相應的技術準備,主要有入侵路徑設計并選定初始目標,尋找漏洞和可利用代碼及木馬(漏洞、利用代碼和木馬,我們統稱為攻擊負載),選擇控制服務器和跳板。
周邊滲透準備:入侵實際攻擊目標可信的外部用戶主機、外部用戶的各種系統賬戶、外部服務器、外部基礎設施等。
在入侵實施環節,攻擊者針對實際的攻擊目標,展開攻擊;主要內容有攻擊者利用常規的手段,將惡意代碼植入到系統中;常見的做法有通過病毒傳播感染目標、通過薄弱安全意識和薄弱的安全管理控制目標,利用缺陷入侵、漏洞入侵、通過社會工程入侵、通過供應鏈植入等。
SHELLCODE執行:大多數情況攻擊者利用漏洞觸發成功后,攻擊者可以在漏洞觸發的應用母體內執行一段特定的代碼(由于這段代碼在受信應用空間內執行,很難被檢測),實現提權并植入木馬。
木馬植入:木馬植入方式有遠程下載植入、綁定文檔植入、綁定程序植入、激活后門和冬眠木馬。
滲透提權:攻擊者控制了內網某個用戶的一臺主機控制權之后,還需要在內部繼續進行滲透和提權,最終逐步滲透到目標資產存放主機或有特權訪問攻擊者目標資產的主機上,到此攻擊者已經成功完成了入侵。
在后續攻擊環節,攻擊者竊取大量的信息資產或進行破壞,同時還在內部進行深度的滲透以保證發現后難以全部清除,主要環節有價值信息收集、傳送與控制、等待與破壞;一些破壞性木馬,不需要傳送和控制,就可以進行長期潛伏和等待,并按照事先確定的邏輯條件,觸發破壞流程,如震網,探測到是伊朗核電站的離心機環境,就觸發了修改離心機轉速的破壞活動,導致1000臺離心機癱瘓。
深度滲透:攻擊者為了長期控制,保證被受害者發現后還能復活,攻擊者會滲透周邊的一些機器,然后植入木馬。
痕跡抹除:為了避免被發現,攻擊者需要做很多痕跡抹除的工作,主要是銷毀一些日志,躲避一些常規的檢測手段等。
3.2 APT檢測方法
隨著APT攻擊被各國重視以來,一些國際安全廠商逐步提出了一些新的檢測技術并用于產品中,并且取得了良好的效果,這些檢測技術主要有兩種。
虛擬執行分析檢測:通過在虛擬機上執行檢測對抗,基于運行行為來判定攻擊。這種檢測技術原理和主動防御類似,但由于不影響用戶使用,可以采用更深更強的防繞過技術和在虛擬機下層進行檢測。另外,可疑可以由對安全研究更深入的人員進行專業判定和驗證。國外多家廠商APT檢測的產品主要使用該技術。
內容無簽名算法檢測:針對內容深度分析發現可疑特征,再配合虛擬執行分析檢測。該技術需要對各種內容格式進行深入研究,并分析攻擊者負載內容的原理性特征。該技術可以幫助快速過濾檢測樣本,降低虛擬執行分析檢測的性能壓力,同時虛擬執行分析檢測容易被對抗,而攻擊原理性特征比較難繞過。國外幾個最先進的APT檢測廠商檢測的產品里部分使用了該技術。
國內某公司總結了近年來對APT攻擊特點的研究和檢測實踐,提出了建立新一代安全檢測體系的設想。
3.2.1基于攻擊生命周期的縱深檢測體系
從攻擊者發起的攻擊生命周期角度,可以建立一個縱深檢測體系,覆蓋攻擊者攻擊的主要環節。這樣即使一點失效和被攻擊者繞過,也可以在后續的點進行補充,讓攻擊者很難整體逃逸檢測。
信息收集環節的檢測:攻擊者在這個環節,會進行掃描、釣魚郵件等類型的刺探活動,這些刺探活動的信息傳遞到受害者網絡環境中,因此可以去識別這類的行為來發現攻擊準備。
入侵實施環節的檢測:攻擊者在這個環節,會有基于漏洞利用的載體、木馬病毒的載體傳遞到受害者網絡環境中,因此可以去識別這類的行為和載體來發現攻擊發起。
木馬植入環節:攻擊者在這個環節,會釋放木馬并突破防御體系植入木馬。因此可以去識別這類的行為來發現入侵和入侵成功。
控制竊取與滲透環節:攻擊者在這個環節,會收集敏感信息,傳遞敏感信息出去,與控制服務器通訊,在本地滲透等行為。因此可以去識別已經受害的主機和潛在被攻擊的主機。
3.2.2基于信息來源的多覆蓋檢測
從攻擊者可能采用的攻擊路徑的角度,可以建立一個覆蓋廣泛的檢測體系,覆蓋攻擊者攻擊的主要路徑。這樣避免存在很大的空區讓攻擊者繞過,同時增加信息的來源度進行檢測。
從攻擊載體角度覆蓋:攻擊者發起攻擊的內容載體主要包括:數據文件、可執行文件、URL、HTML、數據報文等,主要發起來源的載體包括郵件、HTTP流量和下載、IM通訊、FTP下載、P2P通訊。
雙向流量覆蓋:攻擊者在信息收集環節、入侵實施環節主要是外部進入內部的流量。但在木馬植入環節、控制竊取與滲透環節,則包含了雙向的流量。對內部到外部的流量的檢測,可以發現入侵成功信息和潛在可疑已被入侵的主機等信息。
從攻擊類型角度覆蓋:覆蓋主要的可以到達企業內容的攻擊類型,包括但不限于基于數據文件應用的漏洞利用攻擊、基于瀏覽器應用的漏洞利用攻擊、基于系統邏輯的漏洞利用攻擊、基于XSS、CSRF的漏洞利用攻擊、進行信息收集的惡意程序的竊取、掃描、嗅探等。
從信息來源角度覆蓋:主要覆蓋網絡流來收集流量,但是考慮到加密流量、移動介質帶入的攻擊等方式,還需要補充客戶端檢測機制。同時為了發現更多的可疑點,針對主機的日志挖掘,也是一個非常重要的信息補充。
3.2.3基于攻擊載體的多維度檢測
針對每個具體攻擊載體點的檢測,則需要考慮多維度的深度檢測機制,保證攻擊者難以逃過檢測。
基于簽名的檢測:采用傳統的簽名技術,可以快速識別一些已知的威脅。
基于深度內容的檢測:通過對深度內容的分析,發現可能會導致危害的內容,或者與正常內容異常的可疑內容。基于深度內容的檢測是一種廣譜但無簽名檢測技術,讓攻擊者很難逃逸,但是又可以有效篩選樣本,降低后續其他深度分析的工作量。
基于虛擬行為的檢測:通過在沙箱中,虛擬執行漏洞觸發、木馬執行、行為判定的檢測技術,可以分析和判定相關威脅。
基于事件關聯的檢測:可以從網絡和主機異常行為事件角度,通過分析異常事件與發現的可疑內容事件的時間關聯,輔助判定可疑內容事件與異常行為事件的威脅準確性和關聯性。
基于全局數據分析的檢測:通過全局收集攻擊樣本并分析,可以獲得攻擊者全局資源的信息,如攻擊者控制服務器、協議特征、攻擊發起方式,這些信息又可以用于對攻擊者的檢測。
對抗處理與檢測:另外需要考慮的就是,攻擊者可以采用的對抗手段有哪些,被動的對抗手段(條件觸發)可以通過哪些模擬環境手段仿真,主動的對抗手段(環境檢測)可以通過哪些方式檢測其對抗行為。
綜上所述,新一代的威脅檢測思想,就是由時間線(攻擊的生命周期)、內容線(信息來源覆蓋)、深度線(多維度檢測),構成一個立體的網狀檢測體系,攻擊者可能會饒過一個點或一個面的檢測,但想全面地逃避掉檢測,則非常困難。只有逐步實現了以上的檢測體系,才是一個最終完備的可以應對下一代威脅(包括APT)的新一代安全檢測體系。
4 結束語
結合目前我國防護特種網絡攻擊技術現狀,針對AET和APT的防護提出三點建議。
一是國家信息安全主管部門應將高級隱遁攻擊和APT技術研究列入年度信息安全專項,引導國內信息安全廠商重點開展針對高級隱遁攻擊和高級持續性威脅的防御技術研發,推動我國具有自主知識產權的新一代IDS和IPS產品產業化。
二是有條件的網絡安全設備廠商應建設網絡攻防實驗室,搭建仿真實驗環境,對網絡IDS/IPS進行高級隱遁技術和APT的攻防測試,收集此類攻擊的案例,積累檢測和防御此類攻擊的方法和經驗。
三是在業界成立“防御特種網絡攻擊”學術聯盟,定期開展學術交流并嘗試制定特網攻擊應急響應的防護技術要求和檢測標準。
[注1] APT(Advanced Persistent Threat)直譯為高級持續性威脅。這種威脅的特點:一是具有極強的隱蔽能力和很強的針對性;二是一種長期而復雜的威脅方式。它通常使用特種攻擊技術(包括高級隱遁技術)對目標進行長期的、不定期的探測(攻擊)。
[注2] AET(Advanced Evasion Techniques),有的文章譯為高級逃避技術、高級逃逸技術,筆者認為譯為高級隱遁技術比較貼切,即說明采用這種技術的攻擊不留痕跡,又可躲避IDS、IPS的檢測和阻攔。
參考文獻
[1] 關于防御高級逃逸技術攻擊的專題報告.
[2] Mark Boltz、Mika Jalava、Jack Walsh(ICSA實驗室)Stonesoft公司.高級逃逸技術-避開入侵防御技術的新方法和新組合 .
[3] 惡意代碼綜合監控系統技術白皮書.國都興業信息審計系統技術(北京)有限公司.
[4] 杜躍進.從RSA2012看中國的網絡安全差距.2012信息安全高級論壇.
[5] 張帥.APT攻擊那些事.金山網絡企業安全事業部.
[6] 徐金偉,徐圣凡.我國信息安全產業現狀調研報告.2012.5.
[7] 徐金偉.我國專業公司網絡流量監控技術現狀. 2012.6.
[8] 北京科能騰達信息技術股份有限公司.CNGate-TES測試手冊.
[9] 南京翰海源信息技術有限公司.星云2技術白皮書V1.0.
大數據時代信息安全面臨挑戰
在大數據時代,無處不在的智能終端、隨時在線的網絡傳輸、互動頻繁的社交網絡使得互聯網時時刻刻都在產生著海量的數據。隨著產生、存儲、分析的數據量越來越大,在這些海量數據背后隱藏著大量的經濟與政治利益。大數據如同一把雙刃劍,在我們享受大數據分析帶來的精準信息的同時,其所帶來的安全問題也開始成為企業的隱患。
1、黑客更顯著的攻擊目標:在網絡空間里,大數據是更容易被“發現”的大目標。一方面,大數據意味著海量的數據,也意味著更復雜、更敏感的數據,這些數據會吸引更多的潛在攻擊者。另一方面,數據的大量匯集,使得黑客成功攻擊一次就能獲得更多數據,無形中降低了黑客的攻擊成本,增加了其“收益率”。
2、隱私泄露風險增加:大量數據的匯集不可避免地加大了用戶隱私泄露的風險。一方面,數據集中存儲增加了泄露風險,而這些數據不被濫用,也成為人身安全的一部分。另一方面,一些敏感數據的所有權和使用權并沒有明確界定,很多基于大數據的分析都未考慮到其中涉及的個體隱私問題。
3、威脅現有的存儲和防護措施:大數據存儲帶來新的安全問題。數據大集中的后果是復雜多樣的數據存儲在一起,很可能會出現將某些生產數據放在經營數據存儲位置的情況,致使企業安全管理不合規。大數據的大小也影響到安全控制措施能否正確運行。安全防護手段的更新升級速度無法跟上數據量非線性增長的步伐,就會暴露大數據安全防護的漏洞。
4、大數據技術成為黑客的攻擊手段:在企業用數據挖掘和數據分析等大數據技術獲取商業價值的同時,黑客也在利用這些大數據技術向企業發起攻擊。黑客會最大限度地收集更多有用信息,比如社交網絡、郵件、微博、電子商務、電話和家庭住址等信息,大數據分析使黑客的攻擊更加精準。此外,大數據也為黑客發起攻擊提供了更多機會。黑客利用大數據發起僵尸網絡攻擊,可能會同時控制上百萬臺傀儡機并發起攻擊。
5、成為高級可持續攻擊的載體:傳統的檢測是基于單個時間點進行的基于威脅特征的實時匹配檢測,而高級可持續攻擊(APT)是一個實施過程,無法被實時檢測。此外,由于大數據的價值低密度特性,使得安全分析工具很難聚焦在價值點上,黑客可以將攻擊隱藏在大數據中,給安全服務提供商的分析制造很大困難。黑客設置的任何一個會誤導安全廠商目標信息提取和檢索的攻擊,都會導致安全監測偏離應有方向。
6、信息安全產業面臨變革:大數據的到來也為信息安全產業的發展帶來了新的契機,還沒有意識到這場變革的安全廠商將在這場變革大潮中被拋棄。大數據正在為安全分析提供新的可能性,在未來的安全架構體系中,通過大數據智能分析有效的將原來分割的安全產品更好的融合起來,成為不同的安全智能節點,這將是在大數據時代安全產業需要研究突破的重點。
RSA信息安全智能分析平臺解析
日前,EMC信息安全事業部RSA宣布推出了RSA信息安全智能分析平臺,該平臺基于RSA NetWitness成熟的技術架構,并將SIEM、網絡取證(Network Forensics)和大數據分析技術進行了融合,為信息安全專業人員提供了深度可視性,幫助他們察看和了解安全漏洞及安全攻擊,使安全風險一出現就能被發現,因此顯著節省了時間,將查找時間從幾天縮短為幾分鐘。另外,通過幫助信息安全專業人員了解起源于企業內部及外部的數字風險,企業還能更好地保護自己的資產,包括知識產權以及其他敏感數據,同時節省與安全威脅管理及法規遵從報告有關的時間和費用。
RSA信息安全智能分析平臺特性:
數據快速捕獲與分析:與信息安全相關的數據,包括通過網絡傳送的完整數據包、日志和安全威脅情報,都能快速捕獲和分析,以加速對潛在安全威脅的檢測。
強大的分析能力:實現比基于SIEM的傳統安全方法大得多的數據采集規模,而且新的分析方法具有更強大的分析能力。
集成了應對安全威脅的智能性:幫助企業實現安全威脅情報供給的可操作性,以加速對指向企業的、潛在攻擊工具及方法的檢測和查找。
安全威脅的背景信息:通過與RSA Archer GRC平臺以及與RSA防數據丟失(DLP)套件的集成,還通過融合其他產品產生的數據,分析人員可以利用業務背景信息,為造成最大風險的安全威脅優先分配資源。
惡意軟件識別:該解決方案利用各種查找方法識別基于惡意軟件的攻擊,識別范圍大得多。
法規遵從報告自動化:通過良好的信息安全實踐,幫助實現法規遵從性。
成熟的大數據平臺及分析方法與信息安全工具相集成,使信息安全保障方式取得了極大的進步。正如所開發的那樣,RSA信息安全智能分析平臺整合了無與倫比的可視性,可利用大數據平臺及先進的分析方法,識別高風險活動、降低高級安全威脅風險并滿足法規遵從要求。
大數據安全未來趨勢展望
據MacDonald預測,到2016年,40%的企業(銀行、保險、醫藥和國防行業為主)將積極地對至少10TB數據進行分析,以找出潛在危險的活動。然而,供應商的產品格局卻無法在短期內進行轉變。現在,企業通常依賴于SIEM系統來關聯和分析安全相關的數據,MacDonald表示目前的SIEM產品無法處理這么大的工作量,大多數SIEM產品提供接近實時數據,但只能處理規范化數據,還有些SIEM產品能夠處理大量原始交易數據,但無法提供實時情報信息。
Gartner公司分析師表示,使用“大數據”來提高企業信息安全不完全是炒作,這在未來幾年內這將成為現實。大數據將為安全團隊帶來新的工作方式,通過了解大數據的優勢、制定切合實際的目標以及利用現有安全技術的優勢,安全管理人員將會發現他們在大數據進行的投資是值得的。
北京元支點信息安全技術有限公司(以下簡稱“元支點”)是安全行業的新軍,專注于數據安全,在國內率先提出對抗性、趣味化、定制化信息安全概念的高新技術企業,全力推動信息安全行業由原來的靜態、被動、枯燥的狀態轉化到主動、對抗型安全狀態;將原有枯燥、高深的安全技術轉化為趣味、易解的狀態。
元支點自成立之初,就確立了以技術為導向,以研發為驅動的經營理念,堅持做自己的產品,研發自有的技術,現已擁有多項自主知識產權的產品,已形成自主品牌――數據機器人。
數據機器人推出的產品采用了前沿技術和創新的方法,譬如幻影技術。IT研究與顧問咨詢公司Gartner于今年6月份公布的2016年十大前沿信息安全技術中的第九項為“偽裝技術”,其注釋為:“這種技術的本質就是有針對性地對攻擊者進行網絡、應用、終端和數據的偽裝,欺騙攻擊者,尤其是攻擊者的工具中的各種特征識別,使得那些工具失效,擾亂攻擊者的視線,將其引入死胡同,延緩攻擊的時間。譬如可以設置一個偽目標/誘餌,誘騙攻擊者對其實施攻擊,從而觸發攻擊告警。”
Gartner預測,到2018 年10%的企業將采用這類技術,主動地與黑客進行對抗。元支點早在2015年初就開始研究探索此項技術在實際對抗中的應用,并在15年9月就率先將此項技術應用在公司產品――端點(主機)高級威脅感知系統,通過在網絡、主機中形成一個可交互的影子層,實現在終端、服務器、網絡、數據庫、應用、數據等各個角落,真正的用戶是看不到這些影子層的,而黑客在入侵時則會因為執行了錯誤的操作,被靈敏感知并判定身份,當其實施攻擊行為時,就會掉入預設的陷阱網絡,看到的所有數據全是虛假的數據,這樣通過提供無止境的虛假數據源,擾亂黑客的視線,精確檢測到攻擊。并且,幻影是動態、不斷變化的,攻擊者即使多次入侵,感覺都是第一次來,讓其“屢敗屢戰,屢戰屢敗”。
通過幻影技術、IP跟蹤技術,還可精準實時繪制黑客肆虐網絡的路線圖,黑客的所有行為都被實時監控,并被記錄作為證據,通過路線圖也能精準感知黑客攻擊的標的物。這是國內率先將此項前沿技術落地的安全產品。
元支點旗下另一款產品――微盾,則是防止黑客利用工具快速扒竊數據的利器,也是元支點公司獨創。在不改變網頁結構的情況下,調整網頁代碼即可以阻止利用工具竊取數據的行為,讓所有基于Web掃描、爬蟲、批量獲取數據工具等的不法行為無效,能有效阻止使用工具掃描漏洞、快速獲取數據行為。
近年來,不斷曝光的大型國企、互聯網知名企業,甚至軍政機關,以及其他物理隔離的內網、專網丟失數據的事件,給國家、企業造成了巨大的損失,我國的信息安全形勢日益嚴峻,也暴露出現有防護方法的缺陷。
【關鍵詞】高級持續性威脅 網絡安全 體系
一、引言
隨著互聯網技術的發展,網絡威脅每天層出不窮,各種攻擊隨時都有可能發生。APT是近年來威脅企業數據安全的主要威脅之一。與分散、單個的網絡攻擊不同,這是一種針對特定組織所做的復雜且多方位的攻擊。這種行為通常需要經過長期的策劃,具有高度的隱蔽性與持續性,目的直達企業核心數據。那些擁有大量機密或金融資產的單位特別容易成為攻擊對象,這對企業信息安全構成了極大的威脅。在傳統的三層網絡防護體系下,IT安全管理人員只是把其當作簡單的網絡攻擊或者病毒攻擊進行處理,使得大部分時間耗費在終端查毒與殺毒的環節中,當一批病毒處理完成后,IT安全管理人員無法準確定位病毒的來源,并且下一次出現的地方也無法預測,不能通過系統的監控作用避免APT攻擊。針對傳統企業級網絡安全體系的弱點,提出了一種有效防范APT攻擊的分層集中式網絡安全體系,通過集中分析與管控的方法來有效防范APT攻擊[1]。
二、APT攻擊的特點
APT攻擊的特點主要表現在針對性、隱藏性、持續性與易變性四個方面[2]。首先,APT是在某個系統下具有計劃性的攻擊類型,這是需要經過細心的策劃過程才能完成,體現出較強的目的性,所以攻擊的方式、種類、內容會發生變化。一個企業在其它地方所獲取到的病毒庫或者所謂的經驗可能對本地情況是無效的。其次,由于APT攻擊具有較強的針對性,為了不輕易被對方發現,需要保持較高的隱蔽性。一方面,其可以通過多形、加密等形式使自己較難被偵查;另一方面,對于企業的IT人員來說這只是將其視為簡單的病毒入侵或者單個的網絡威脅進行處理,不能通過系統的方法達到防范目的。再次,APT攻擊體現出持續性的特點,攻擊時間可以持續幾個月甚至高達一年以上。在這階段攻擊者可以不斷收集各方面信息,為發起攻擊做好充足的準備,或者采用持續攻擊的方式,發現企業內部安全的漏洞,從而獲得可靠的情報。最后,因為APT攻擊具有針對性與持續性的特點,其攻擊者根據收集到的數據信息隨時會改變攻擊方式,如果一條路徑被切斷了,應當充分考慮選擇其它方式的路徑,具有多變性的特點。
三、防范APT攻擊的網絡安全體系
(一)快速有效的威脅檢測技術。這個模塊提供一個統一形式的接口,在原本的三層防護體系下各個位置的安全防護模塊可以將有關的日志信息進行上傳處理,對設定在各個不同網絡位置的安全防護模塊所產生日志分析的實際基礎上,根據系統經驗或者自定義形式規則,能夠主動地發現有可能出現的安全威脅。
(二)基于沙盒的虛擬分析技術。原本的三層安全防護體系對于部分附件/可執行文件容易產生影響,然而缺乏一個準確有效的可行性分析過程,傳統方法一般是將這類型文件進行隔離或者直接忽略處理。假如某個文件屬于正常形式的文件,對其進行隔離處理后,用戶需要進行操作才可以獲取這項文件;假如某個文件屬于惡性文件,忽略處理的話,則會對用戶的系統產生較大影響。所以盡管是隔離或者忽略的方式,都容易會對用戶產生一定的困擾。同時用戶一般不具備足夠的理論知識分析文件是否屬于惡性類型。使用基于沙盒的虛擬分析技術能夠為用戶解決這種問題,將這種文件放置在沙盒中操作處理,觀察對系統的各種更改是否屬于有害的方式,假如是無害的則忽略處理,假如是有害的則應當攔截這類型文件。沙盒是一個封閉模式的模擬環境,同時使用虛擬化的技術,對網絡的總體安全環境不會產生太大的影響[3]。
(三)統一可靠的威脅名單。依據威脅檢測技術與虛擬分析技術的作用效果,能夠生成一個存在可疑性威脅的名單,以便于能夠及時反饋到在各個不同網絡位置的安全防護部分,通過這些網絡安全系統可以更好地進行安全防護。
(四)生成有效的本地病毒庫有利于防范高級持續性威脅與針對性攻擊,一般情況下APT與Targeted Attacks是傳統模式的全局病毒庫所無法處理的,由于這種類型攻擊在其它方面是不會發生的,不能形成有效的病毒庫。子系統根據相關的威脅分析與虛擬分析的實際結果能夠提供一個本地生成病毒庫的具體功能,從而使得安全威脅在網絡體系中能夠進一步得到擴散。
(五)清晰完整的報表系統。這個集中分析與控制系統根據各種不同的目的,提供相應的報表給有關IT信息安全管理人員進行查詢操作,比如攔截計算機病毒數量、本地病毒庫的更新狀態、發現潛在威脅、病毒來源等方面。一個清晰完整的報表系統,可以省去過去階段IT信息安全管理人員在各個系統上進行報表查詢功能,然后可以支持人工整合的處理功能,在很大程度降低日常的管理開銷狀況[4]。
四、結束語
現階段這種分層集中式的網絡安全體系已經開始在部分企業級別的防病毒產品中發揮作用,同時逐漸應用在政府、銀行、大型國企等容易受到APT攻擊威脅的各種機關部門。通過應用防APT攻擊的網絡安全體系,可以削弱APT攻擊的有效性,有利于提升企業信息安全的防護能力,從而降低信息暴露與被盜取的風險因素。
參考文獻:
[1]江原.APT攻擊的那些事[J].信息安全與通信保密,2011(11):22-23.
[2]杜躍進.APT應對面臨的挑戰――關于APT的一些問題[J].信息安全與通信保密,2012(7):13-14.
[3]劉婷婷.APT攻擊悄然來襲 企業信息面臨“精準打擊”[J].信息安全與通信保密,2012(3):39-40.
[4]張帥.對APT攻擊的檢測與防御[J].信息安全與技術,2011(9):125-127.
中標軟件有限公司總經理,中國軟件高級副總裁,研究員級高級工程師,"核高基"國家科技重大專項總體專家組成員,任中國軟件行業協會常務理事,開源及基礎軟件技術創新聯盟理事長。
2013蛇年伊始,科技部副部長曹健林公開解讀了中國云計算發展及其將給國人生產生活帶來的變化。他指出:云安全仍然是影響云計算發展的最關鍵問題。我們要發展信息安全特別是云安全技術,同時,相關法律法規的健全也迫在眉睫。
云計算帶來新安全風險
作為第四次IT革命的云計算是當今主流技術(虛擬化、分布式存儲、分布式計算、SOA、應用調度等)的優化整合提升,給傳統IT服務帶來新的商業模式。
云計算除了資源整合共享導致成本降低之外,最核心優勢就是能夠快速地滿足商業市場變化的需求。
但是,正如老子道德經所云“禍兮,福之所倚;福兮,禍之所伏”,云計算也帶來了新型網絡威脅、數據安全和隱私泄露的風險,甚至在全球范圍內已經發生諸多云計算安全事件。
美國《NetworkWorld》雜志2011年曾專門列出了全球發生過的十個最嚴重的云服務中斷事故,包括亞馬遜、谷歌、Salesforce和微軟在內的多家云服務提供商都曾因為云安全事故而遭受到不同程度的打擊,業務損失嚴重,微軟公司甚至因此全面停止提供Sidekick智能手機的云數據服務。
因此,如何更好地建立企業云計算的安全技術和安全策略管理標準體系,從而有效避免云計算所帶來的安全隱患,已成為行業日益關注的焦點。
在采用云計算之前,企業通過安裝阻止非法訪問內部網絡的硬件防火墻來定義安全邊界,也通過密碼認證等方式來限制和阻止非法用戶的訪問。在移動用戶很少和所有數據都在企業內部的時代,這些安全策略是完全可行的。
進入云時代之后,情況出現了極大的變化:訪問連接無處不在、信息交換多種多樣、之前信任的安全邊界被云計算不斷破壞與重組。因此,傳統靜態的安全控制已經無法滿足云時代的動態特性。云計算的安全技術、安全策略、目標和防范措施都要求企業具有創新思維,要求企業重新定義企業網絡安全邊界。
解決云計算特有安全問題
不管采用什么云服務模型(IaaS、PaaS和SaaS)或云部署方式(公有云、私有云、混合云和社區云),要滿足云端時代的安全需求,傳統信息安全的五大方面(加密、訪問控制、審計、認證、授權驗證)都需要解決云計算特有的問題,如資源虛擬化、多租戶、動態分配、特權用戶以及服務模式等云計算特性,造成信任關系的建立、管理和維護更加困難,服務授權和訪問控制變得更加復雜,網絡安全邊界變得模糊等,這些問題要求在現有安全技術基礎上提供更多的云安全技術和方案來解決。
正是在這樣的云時展大趨勢下,中國電子信息產業集團于2012年先后成立了兩家專注于信息安全的企業:中電信息技術研究院和中電長城網際。
秉承中央企業保障國家基礎信息網絡和重要信息系統的安全為使命,以面向國家重要信息系統的高端咨詢和安全服務業務為主線,著眼于信息化發展的大趨勢和信息安全對抗的嚴峻局面,立足產業、突出國家信息安全頂層設計,提高國家信息安全咨詢與服務能力,帶動產品技術的不斷創新和產業化發展,為國家信息安全保障體系提業支撐。
