浏览模式: 普通 | 列表

推荐日志 菜鸟安全加倍:精通防火墙问与答

[ 2007-03-25 03:55:36 | 作者: sun ]
凡是网络存在之处,都不可避免地会受到诸多不安全因素的威胁,在系统中安装防火墙无疑是最明智、有效的选择。我们既然寄希望于防火墙成为个人计算机与网络之间的一道安全屏障,就一定要对防火墙的方方面面有通透的了解,才能事半功倍,达到预期效果。
  问:Windows 2003 自带的防火墙应该如何打开和关闭?

  答:可以直接在网卡属性里面设置,也可以在服务里面自己开启服务。

  *******************************************************

  问:除了Norton 8.1版能装在Windows 2003,还有哪个杀毒软件能支持Windows 2003的?

  答:McAfee VirusScan Enterprise、Kaspersky Anti-Virus for NT Server 都可以,但惟一通过Windows 2003认证的目前是趋势SPNT 5.57中文版。

  ******************************************************

  问:Windows 2000 Server装了ZoneAlarm Pro防火墙,还装了Terminal Service终端服务用来远程控制。可怎么配置都无法从远程连接终端服务,大概是ZoneAlarm Pro禁止了链接请求。应该怎样配置才能让ZoneAlarm Pro允许终端服务连接呢?

  答:开放3389端口。

  ***************************************************

  问:我在使用 Norton Internet Security 时遇到了以下问题:一是由于硬性屏蔽了来路信息,导致 Discuz 提交安全检查无法通过,在发帖等情况下提示为未定义操作;二是由于误判断,将发帖时的 Discuz 代码辅助提示判断为广告信息而不被执行。有何解决方法?

  答:修改 Norton 的默认配置可以避免以上问题,方法如下(以 Norton Internet Security 2003 中文版为例)。

  1. 调出“选项”窗口,选择“Norton Internet Security→Web内容→浏览站点的信息”,选择“允许”。

  2. 选择“禁止广告→配置”,取消“启用禁止广告”复选框。

  经过上述修改后,在安装有 Norton Internet Security 的机器上仍然可以顺畅地访问 Discuz! 及其他网站。

  ************************************************************

  问:单位有人使用BT大量下载东西。以前我在防火墙上封掉对外的6969端口好像很有效果,但是最近好像没啥效果了。请问有什么好的建议吗?

  答:那就使用防火墙把6999-9999端口都封了,不过,他们还会开别的,用监视看他们用哪个就封哪个。

  ***********************************************************

  问:朋友的一台笔记本电脑,主要就是写写文章,上网查点东西,不玩游戏,其他东西做的也不多。3月份重装系统安装了ZoneAlarm防火墙后,就开始出现:如果ADSL网络没有流量(就是不访问点什么,停在那里不动)大概过10分钟就会断线,然后机器重新拨号连接!我检查半天,就是找不到有什么问题,请问可能会是什么原因?

  答:通常来说,这类防火墙都有当网络闲置时自动断线的功能,而且,一般来说,这个功能默认情况下是启用的,解决这位朋友遇到的问题办法其实很简单,只需去掉这个功能即可。

  ************************************************************

  问:装Kerio Personal Firewall 2.1.5防火墙的这台机器是直接拨号上网ADSL,两台机器是Hub相连的,通过Windows XP的那个共享来一起上网。现在装了防火墙之后,另一台就不能上网了,不论做什么都不行。请问大家,要创建些怎样的规则才行呢?

  答:选择“管理→防火墙→高级→Microsoft网络”,选中“允许其他用户访问我的共享文件夹和打印机”即可。

  ********************************************************

  问:我现在QQ每发送一个消息,Norton都会进行病毒扫描。在内存驻留Savscan.exe这个程序,在后台强行关闭不了这个文件,一关闭就会出现提示,但是仍然继续扫描,好像是扫描msg.db的一个文件。扫描过程使我用QQ速度很慢,而且CPU占用率很高,请问我如何关闭Norton对QQ的病毒扫描?

  答:在Norton的程序选项中,选择“系统→自动防护→排除”,在右侧列表中将QQ程序添加至要“排除的项目”。再选择“其它→威胁类别→排除”,同样添加QQ程序至右侧列表中。

推荐日志 如何成为一个网络安全专家

[ 2007-03-25 03:55:24 | 作者: sun ]
cceye译
译自 RFP Cceye注脚:既 .rain.forest.puppy. 也是我在 BUG trag 见到的最有影响力的发言
者. )原文在: http://cceye.iscool.net

[ 我写这个并不是因为我已经厌倦了一遍又一遍的回答一样的问题,而是考虑到这确实是一个有意
义的问题,其实很多人(90%)确实需要问这个问题而从来没有去问.]

[ 这是一个可能经常更新的文档 ]


我被问了很多次有关于很多领域的问题.
比如:什么编程语言你最推荐? 应该读什么书作为开始?
总而言之,如何在安全领域内成为一个有影响的人.
既然我的答案和一般的答案有所不同,我打算把我的看法说出来.

-----------------------------------------------------------------------
从那里开始?
-----------------------------------------------------------------------

我的观点可能和一般的看法十分的不一样。如果你是刚刚起步,我建议你---*不要*以
Technotronic, Bugtraq,
Packetstorm, Rootshell (不知道这个是否还在运行?), 等等地方为开始。

没错!*不要*从那里开始。(尽管他们是很好的站点,而且这里没有说你不要去访问他们的站
点)。
原因十分简单。如果你以为通晓“安全”就是知道最新的漏洞,你将会发现你自己一无所获。
我同意,知道什么是好的,什么有漏洞是十分有必要的。但是这些并不能够给你的高手之路打下坚
实的基础知识。很好,你知道RDS 是最新的漏洞,你知道如何下载并使用利用这个漏洞的SCRIPT
工具。你知道如何修补这个漏洞(也许。很多人只知如何攻击,不知道如何防护)3个月后,补丁
漫天飞舞。这个漏洞已经不存再了------现在你的那些知识还有什么用?而且还不算你可能根本
没有理解漏洞的分析。
你的知识是什么? 分析?还是攻击手段?
这是我想要再一次强调的。人们可能没有注意,已经有很多人认为只要他们知道最新的漏洞他们就
是安全专家。NO! NO ! NO!所有他们知道的只不过是“漏洞”,而*不是* “安全”。


例如:你知道有关于PHF 的漏洞,SHOWCODE。ASP 的漏洞。 COUNT。CGI 和TEST-CGI 的漏洞。
但是你知道为什么他们会成为CGI 的漏洞吗?你知道如何编一个安全的通用网关吗?你会根据一
个CGI 的工作状态来判断他可能有哪些漏洞或那方面的漏洞吗?或者,你是不是只知道这些CGI
有漏洞呢?

所以我建议你*不要*从漏洞开始。就当他们不存在(你知道我的意思)。你真正需要做的是从一个
普通用户开始。

-----------------------------------------------------------------------
做一个用户。
-----------------------------------------------------------------------

我的意思是你至少要有一个基本的常规的知识。例如:如果你要从事 WEB HACKING 你是否可能连
浏览器都不会使用?你会打开NETSCAPE , 打开IE? 很好!你会输入姓名。你知道 。HTML 是
网页。 很好。。。你要一直这样下去,变成一个熟练的用户。你会区别ASP 和CGI 是动态的。
什么是PHP ? 什么是转向?COOKIE? SSL?你要知道任何一个普通用户可能接触到的关于WEB
的事物。
不是进攻漏洞,仅仅是使用。没有基础的(也许是枯燥的)的这些东西你不可能成为高手++。
这里没有任何捷径。
好, 现在你知道这里的一切了, 你用过了。在你HACK UNIX 之前你至少要知道如何LOGIN 。
LOGOUT 。 使用 SHELL COMMAND 。 使用一般的常用的程序。 ( MAIL , FTP ,WEB 。
LYNX 。 等等)。 你要想成为一个管理员,你要知道基本的操作。


-----------------------------------------------------------------------
成为一个管理员。
-----------------------------------------------------------------------
现在你已经超过了一个普通用户的领域了。进入了更复杂的领域。你要掌握更多的东西。
例如:WEB 服务器的类型。和其他的有什么区别?如何去配置他。想这样的知识你知道的越多意
味着你更了解他是如何工作的。他是干什么的。你理解HTTP 协议吗?你知道HTTP 1。0 和
HTTP1。1 之间的区别吗?WEBDAV 是什么?知道HTTP1。1 虚拟主机有助于你建立你的WEB 服务
器。。。。 深入, 深入。

操作系统?如果你从来没有配置过NT 你怎么可能去进攻一个NT 服务器?你从来没有用过
RDISK, 用户管理器, 却期望CRACK 一个ADMIN 的密码,得到用户权限?你
想使用RDS 而一切你在NT 下的操作你一直是使用图形界面?再一次,你需要从管理员上升到一
个”超级管理员“。这里不是指你有一个超级用户的权限。而是你的知识要贯穿你的所有领域。很
好, 你会在图形界面下添加用户,命令行方式怎么样?而且,那些在 SYSTERM32 里的。EXE 文
件都是干什么的?你知道为什么USERNETCTL 必须要有超级用户权限?你是不是从来没有接触过
USERNETCTL?深入, 深入。。。。

成为一个”百晓生“这是关键。不要以为知道如何作到就行了(骗老板可以,骗进攻
者??。。。)尽可能的知道越多越好。成为一个技术上的首脑。但是。。。。。。


-----------------------------------------------------------------------
你不可能知道所有的事情。
-----------------------------------------------------------------------

哎!这是生命中不得不面对的悲惨事实。不要以为你能。。。。如果你认为你可以。你在自欺欺
人。你需要做的是选择一个领域。一个你最感兴趣的领域。进一步的学习更多的知识。
成为一个用户, 成为一个管理员,成为一个首脑。成为在某领域的最优秀的家伙(小伙,姑
娘) 不要仅仅学习如何使用WEB 浏览器,怎样写CGI 就行了。知道HTTP ,知道WEB 服务器是干
什么的,怎么干的。知道在那里找答案。知道当服务器不正常工作时应该怎样让他工作。

当你在你的领域内有一定经验时,你自然就知道怎样进攻了。

这其实是很简单的道理。如果你知道所有的关于这里的知识,那么。你也知道安全隐患在那里。所
有的漏洞,新的,旧的,将来的,你自己就能够发现未知的漏洞(你这时已经是一个网络高手
了),你,找漏洞,是的,可以,但你必须了解你要找的一切先。

所以,放下你手中的WHISKER 的拷贝。去学习到底那些CGI 是干什么的。他们怎么使通过HTTP使
WEB 服务器有漏洞的?很快你就会知道到底WHISKER 是干什么的了。


-----------------------------------------------------------------------
编程语言。
-----------------------------------------------------------------------

一些最近我经常被问的问题中最常听的问题就是我认为什么编程语言应该学:

我想这要根据一些具体情况。----大致上是你准备花费多少时间在上面,你想让这个语言有多么
有用。一个程序要多长时间完成。和这个程序能完成多么复杂的事情。
以下有几个选项(排列没有什么意义)。


Visual Basic.
- 非常容易学习的语言。很多这方面的书,公开的免费原代码也很多。你应该可以很快的使用他。
但是这个语言有一个限度。他并不是象 比如 c++ 一样强大。你需要在WINDOWS 下运行他。需要
一个VB 的编程环境(不论盗版还是正版的 ,反正他不是免费的)。想用VB 来编攻击代码,或
补丁是十分困难的。

C++
- 也许是最强大的语言.在所有的操作系统里都有.在网上有上吨的原代码和书是免费的。
,包括编程环境。比VB 要复杂一点。也许要掌握他花费的时间要比VB 要多一点。简单的东西容易
学,干复杂的活的东西理解起来也要复杂一点。你自己衡量。


Assembly
- 最复杂的,也是最难学习的语言,如果你把他当作第一个你要学习的语言,那么将会难的你头要
爆裂。但是,你先学了汇编,其余的还不是小菜
有一些书,这方面的教材有减少的趋势。但是汇编知识对某些方面来说是致关紧要的。比如:缓冲
逸出。攻击。很多这类的免费软件。但从这个语言开始是十分*困难*。


Perl
- 一个很不错的语言. 他象VB 一样容易.学习他相应的容易一些.他也象VB一样有限制,但是他在
多数操作平台都能运行.(UNIX . 和WIN ).所以这是他的优势.很多这方面的书. (O‘Reilly
‘Camel‘ books), 而且这个语言是完全免费的.你可以使用他来作一些普通的攻击工具. 他主要
是作用于一些文本的技巧攻击.不适合做二进制程序.
我想这是所有你想知道的. 有把握的说 C/C++是最佳选择.


------------------------------------------------------------------------
推荐的书
-----------------------------------------------------------------------

另外一个问题是我推荐去读什么书:

我个人手边总是有以下的几本书做参考:

Applied Cryptography (Bruce Scheiner)
Linux Application Development (Mike Johnson and Erik Troan)
Windows Assembly Language and Systems Programming (Barry Kauler)
Perl Cookbook (Tom Christiansen and Nathan Torkington) (O‘Reilly)
Linux Programmer‘s Reference (Richard Petersen) (Osborne)
All the O‘Reilly ‘Pocket Reference‘ books, which include vi, emacs,
python, perl, pl/sql, NT, javascript, sendmail, tcl/tk, perl/tk

我总是在这些书的一些基本的规则里思考.

我的心得,大部分 O‘Reilly 书耐读.找一个你感兴趣的领域专心去钻研.

推荐日志 PHP漏洞点滴

[ 2007-03-25 03:55:12 | 作者: sun ]
这些代码都是真实存在的漏洞代码,我想把他们收集起来,漏洞代码看多了势必提高自己的漏洞识别能力.至少当拿到一个待分析的程序时知道那些地方会出问题,从而有目的性的读.
1鸡肋的注入
现在PHP程序能直接注入的情况已经很少了,即使你按默认安装PHP,MAGIC就是打开的,这样提交的单引
号就会被转义成\’,这样就无法闭合单引号,也就不存在后面的查询,现在有好多程序都存在这种情况
,举个例子:
if($_GET[’x’] == "") {
if($_GET[’showimage’] == "") {
$row = sql_array("select * from ".$pixelpost_db_prefix."pixelpost where
datetime〈=’$cdate’ order by datetime DESC limit 0,1");
} else {
$row = sql_array("select * from ".$pixelpost_db_prefix."pixelpost where
(id=’".$_GET[’showimage’]."’)");
}
这样写程序的现在很多见的,说他是个漏洞,可利用价值很低;说他不是漏洞,可理论上确实存在注入
,很有点鸡肋的感觉,其实只需这样写就天下太平了:
$row = sql_array("select * from ".$pixelpost_db_prefix."pixelpost where (intval
(id=’".$_GET[’showimage’]."’))");
2跨站的问题
出现跨站漏洞的代码多种多样,今天看到了一种就记录下来
$message = isset($_POST[’message’]) ? $_POST[’message’] : "";
if (eregi("\r",$message) || eregi("\n",$message)){ die("No
intrusion! ?? :(");}
$message = clean(nl2br($message),’html’);
$name = isset($_POST[’name’]) ? $_POST[’name’] : "";
if (eregi("\r",$name) || eregi("\n",$name)){ die("No intrusion! ??
:(");}
$name = clean($name,’html’);
$url = isset($_POST[’url’]) ? $_POST[’url’] : "";
if (eregi("\r",$url) || eregi("\n",$url)){ die("No intrusion! ??
:(");}
$url = clean($url,’html’);
$parent_name = isset($_POST[’parent_name’]) ? $_POST[’parent_name’]
: "";
if (eregi("\r",$parent_name) || eregi("\n",$parent_name)){ die("No
intrusion! ?? :(");}
$parent_name = clean($parent_name);
$email = isset($_POST[’email’]) ? $_POST[’email’] : "";
if (eregi("\r",$email) || eregi("\n",$email)){ die("No intrusion!
?? :(");}
$email = clean($email,’html’);
if(($parent_id != "") and ($message != "")) $query = "Insert INTO
".$pixelpost_db_prefix."comments(id,parent_id,datetime,ip,message,name,url,email)
VALUES(’NULL’,’$parent_id’,’$datetime’,’$ip’,’$message’,’$name’,’$url’,’$email’)";
$result = mysql_query($query);
clean()函数并不是过滤用的,以上程序只是用了个3元判断是否有$_POST[$var],如果有就赋值,然
后就提交到数据库里了。
修补方法也很简单,可以用PHP自带的htmlspecialchars函数过滤掉HTML实体或者自己写过滤函数:
function dangerchr($var){
$var = str_replace("\t","",$msg);
$var = str_replace("〈","〈",$msg);
$var = str_replace("〉","〉",$msg);
$var = str_replace("\r","",$msg);
$var = str_replace("\n","〈br /〉",$msg);
$var = str_replace(" "," ",$msg);

}------来自PW的
3目录遍历漏洞:
这类漏洞一般会出现在一些比较简单的留言日记类程序或者邮件列表程序中。
Simplog是国外的一款基于PHP的日记程序。该程序中就出现了目录遍历漏洞
漏洞代码如下:
〈?
$act = $_GET[’act’];
if ($act == ’’)
{
include("blog.txt");
}
else
{
include("act/$act.txt");
}
?〉
〈?
$blog_id = $_GET[’blogid’];
if ($blog_id == ’’)
{
include("blog.txt");
}
else
{
include("./blog_entries/$blog_id.txt");
}
?〉
从上面的代码可以清晰的看出问题所在,第一段程序获得$_GET[]提交的数据并赋值给$act,这里没有对
act做任何的过滤,而在后面判断如果变量为空就把blog.txt包含进来,如果不为空就包含act目录下的
$act.txt文件,这样当我们不管提交什么文件类型都会被加上.txt后缀,再加上我们可以用../来跳转到别的
目录,就可以遍历整个服务器上的文件了。第2段程序也是同样的漏洞,只不过变量变成数字型了,我们
一样可以构造类似于index.php?act=blog&blogid=../config.php这样的URL来读取敏感文件内容。
修补方法很简单,对于数字形的只需用intval()函数来把ID强制整形化就可以了,对于字符形的可以
用类似的代码来过滤$act = str_replace("../","",$act),当然这样写是不全面的,如有需要可以自定
义一个过滤的函数,把危险字符都替换掉。
起先也只是自己收到Q友的这种病毒信息,没想到,从苏州回到上海之后,自己也就中标了。这东西害人不浅。病毒如下:“我刚刚给你点了一首好听的歌放在手机信箱里你用手机拨 1②590556225就可以听了,听完后有我留言”。在网上查过,有人打过这类的电话,70元的话费只剩1元了,谋财的。我杀了两天的时间才在迷失中搞定,现在还不知有没有彻底清除掉,询问多个同学,好象没有再出现,叫人深恶痛绝的状况。随将自己解决的方法与大家共享,以抵制垃圾人物制造的垃圾程序。
在中毒后,我下载了N多的杀毒软件,包括本机中原有的“木马杀客”、“卡巴斯基”,以及下载的,“QQKAV”、“Saint”、“瑞星QQ专杀”、“Ewido”、“Virus Scan”只有“Ewido”和“QQKAV”查杀到多个病毒,但问题仍然没有解决,晚上和同事出去吃完饭回来,病毒更加猖獗。向我大学同学发了N个病毒,他的电脑好像也中标了,发给我的,被我的“QQKAV”给屏蔽了,丫的,不解决不行呀,这不是害人又害已吗~~~~~~~~~~~~多次重起电脑后发现在,在刚刚打开桌面的时候,有两个不知名的进程在运行,然后就没了,进程查看器也看不到了。分别是:“8AB0E010.EXE”和“D504584F.EXE”,到注册表里找到这两个文件:打开—开始—运行—输入“regedit”—CTRL+F—把刚刚那两个文件名写上,再找呀,时间漫长~~=====删除。继续再找下,防止没有删除,汗,还又出来了,怎么删也没行,找到原文件删,打开我的电脑,使用查询快键方式“CTRL+F”,查找下,全在WINDOWS系统里面,我删~~~~~~~~~但是与这两个名字相同,后缀名不同的DLL文件删不了,可能还有程序在占用。我都快傻了。重起,按F8,进入安全模式,按上面的步骤再删一次,把DLL文件也删了,全删了,OK。重起之后看不到这两个进程了。
但再用Ewido杀时候还有一个毒(可能是,英文版的,偶不认识)HKLM/SOFTWARE/Microsoft/Internet Explorer/ActiveX Compatibility/{471E7641-6365-43FE-8464-37DEF8335FB0}/{4A2AACF3-ADF6-11D5-98A9-00E018981B9E} -> Adware.NewDotNet : No action taken 找到这个注册表位置,删,删了再杀,有再删,不行就到安全模式下删。重查杀两次,没有了。哈哈~~~~~~~~~不知道问题有没有最终解决。
如有朋友看到此文有更好的解决软件,请给我留言,告之下,十分感谢ING。

推荐日志 判断你的电脑是否中了病毒

[ 2007-03-25 03:54:49 | 作者: sun ]

各种病毒时至今日也可算是百花齐放了,搞得人心惶惶,一旦发现自己的电脑有点异常就认定是病毒在作怪,到处找杀毒软件,一个不行,再来一个,总之似乎不找到"元凶"誓不罢休一样,结果病毒软件是用了一个又一个,或许为此人民币是用了一张又一张,还是未见"元凶"的踪影,其实这未必就是病毒在作怪。


这样的例子并不少见,特别是对于一些初级电脑用户。下面我就结合个人电脑使用及企业网络维护方面的防毒经验从以下几个方面给大家介绍介绍如何判断是否中了病毒,希望对帮助识别"真毒"有一定帮助!


病毒与软、硬件故障的区别和联系


电脑出故障不只是因为感染病毒才会有的,个人电脑使用过程中出现各种故障现象多是因为电脑本身的软、硬件故障引起的,网络上的多是由于权限设置所致。我们只有充分地了解两者的区别与联系,才能作出正确的判断,在真正病毒来了之时才会及时发现。下面我就简要列出了分别因病毒和软、硬件故障引起的一些常见电脑故障症状分析。


病毒入侵后可能引起软、硬件故障的可能性


经常死机:病毒打开了许多文件或占用了大量内存;不稳定(如内存质量差,硬件超频性能差等);运行了大容量的软件占用了大量的内存和磁盘空间;使用了一些测试软件(有许多BUG);硬盘空间不够等等;运行网络上的软件时经常死机也许是由于网络速度太慢,所运行的程序太大,或者自己的工作站硬件配置太低。


系统无法启动:病毒修改了硬盘的引导信息,或删除了某些启动文件。如引导型病毒引导文件损坏;硬盘损坏或参数设置不正确;系统文件人为地误删除等。


文件打不开:病毒修改了文件格式;病毒修改了文件链接位置。文件损坏;硬盘损坏;文件快捷方式对应的链接位置发生了变化;原来编辑文件的软件删除了;如果是在局域网中多表现为服务器中文件存放位置发生了变化,而工作站没有及时涮新服器的内容(长时间打开了资源管理器)。


经常报告内存不够:病毒非法占用了大量内存;打开了大量的软件;运行了需内存资源的软件;系统配置不正确;内存本就不够(目前基本内存要求为128M)等。


提示硬盘空间不够:病毒复制了大量的病毒文件(这个遇到过好几例,有时好端端的近10G硬盘安装了一个WIN98或WINNT4.0系统就说没空间了,一安装软件就提示硬盘空间不够。硬盘每个分区容量太小;安装了大量的大容量软件;所有软件都集中安装在一个分区之中;硬盘本身就小;如果是在局域网中系统管理员为每个用户设置了工作站用户的"私人盘"使用空间限制,因查看的是整个网络盘的大小,其实"私人盘"上容量已用完了。


软盘等设备未访问时出读写信号:病毒感染;软盘取走了还在打开曾经在软盘中打开过的文件。


出现大量来历不明的文件:病毒复制文件;可能是一些软件安装中产生的临时文件;也或许是一些软件的配置信息及运行记录。


启动黑屏:病毒感染(记得最深的是98年的4.26,我为CIH付出了好几千元的代价,那天我第一次开机到了Windows画面就死机了,第二次再开机就什么也没有了);显示器故障;显示卡故障;主板故障;超频过度;CPU损坏等等


数据丢失:病毒删除了文件;硬盘扇区损坏;因恢复文件而覆盖原文件;如果是在网络上的文件,也可能是由于其它用户误删除了。


键盘或鼠标无端地锁死:病毒作怪,特别要留意"木马";键盘或鼠标损坏;主板上键盘或鼠标接口损坏;运行了某个键盘或鼠标锁定程序,所运行的程序太大,长时间系统很忙,表现出按键盘或鼠标不起作用。


系统运行速度慢:病毒占用了内存和CPU资源,在后台运行了大量非法操作;硬件配置低;打开的程序太多或太大;系统配置不正确;如果是运行网络上的程序时多数是由于你的机器配置太低造成,也有可能是此时网路上正忙,有许多用户同时打开一个程序;还有一种可能就是你的硬盘空间不够用来运行程序时作临时交换数据用。


系统自动执行操作:病毒在后台执行非法操作;用户在注册表或启动组中设置了有关程序的自动运行;某些软件安装或升级后需自动重启系统。


通过以上的分析对比,我们知道其实大多数故障都可能是由于人为或软、硬件故障造成的,当我们发现异常后不要急于下断言,在杀毒还不能解决的情况下,应仔细分析故障的特征,排除软、硬件及人为的可能性。



网络犯罪日益猖獗,明年也肯定会有新病毒、新犯罪手段出现,虽然这些现在可能和你没有关系,但是常在江湖漂,哪能不挨刀,McAfee在分析明年安全形势的时候做出了十条预测,我们与大家分享一下,了解之后预防胜于治疗,希望大家永远不要被病毒、木马、流氓软件骚扰。

网络冲浪,小心为上,让我们来看看这十条预测:

1.盗窃密码的网页会增加,多数是模仿知名网站例如eBay的登陆界面,诱使用户上当。

2.垃圾邮件、占据带宽的图像邮件等比率会继续增长。

3.视频网站的流行会让黑客也注意到MPEG这一散布恶意代码的途径。

4.当移动设备变得更加智能的时候,针对它们的攻击也会增加。

5.随着网络的发展,广告流氓软件也会增多。

6.身份和数据被盗仍会成为广大用户头痛的原因,除了计算机被控制之外,装有信息的设备丢失和网络通讯截取也是主要丢失原因。

7.使用“机器人”来自动完成任务,也会让黑客较容易盯上你。

8.恶意软件、木马、病毒将会更不容易彻底清除,它们会采用更加难缠的备份恢复手段。

9.32位平台上的攻击型rootkit会增加,不过相应的防护技术也会进步。

10.系统或软件漏洞仍会持续刺激“信息地下市场”。

虽然情况看上去不太乐观,但是就如McAfee安全研究通信主管David Marcus所说的:“这不是世界末日,坏家伙在尽力而为,安全业界也在日益成长中。”


推荐日志 网络安全热点技术大放送

[ 2007-03-25 03:54:26 | 作者: sun ]
据统计,全球平均每20秒钟就发生一次网上入侵事件,我国互联网站点已达3万个之多,国内有80%以上的网站缺乏安全措施,20%的网站有严重的安全问题。国内各行业、企业用户已逐渐意识到网络安全的重要性,正在打算或者已经开始实施完善的安全解决方案。那么,目前主流的网络安全技术、产品和市场到底如何呢?记者总结了日前参加第三届中国国际计算机信息系统安全展览会时的所见所闻,以飨读者。

今年的安全展参展厂商有60家左右,规模比去年小,涵盖了信息与网络安全所涉及的主要方面,但这其中最值得的关注的依然是防火墙、防病毒以及入侵检测几大领域。

硬件防火墙是主流
防火墙作为防护网络安全的第一道门,是目前市场规模最大的一种产品,也是企业用户率先选用的网络安全产品。同时,由于防火墙技术相对比较成熟,几乎每家的产品都使用了包过滤、状态检测以及应用层代理这三种实现技术,所以很多网络安全企业认为防火墙门槛比较低,纷纷从防火墙切入网络安全领域。
作为目前最琳琅满目的网络安全产品,从实现形式来说,我们可以看到以硬件为主体的防火墙是主流方向,国内代表当属天融信、东方龙马、安氏、联想网御等,国外代表是Cisco PIX、NetScreen、SonicWall等。据安全专家介绍,大家之所以都在走硬件防火墙之路,其中一个原因是软件往往会成为影响网络性能的瓶颈,我们报社曾经刊登的“防火墙测试报告”中也显示出硬件防火墙性能远远高于软件,同时国内用户往往感觉硬件比软件要安全。
CheckPoint FireWall-1作为业界第一大防火墙品牌,以软件制胜,但实际上此次展会上所见到的集成了CheckPoint FireWall-1内核的上海应确信有限公司安全产品和群柏数码所带来的诺基亚系列安全产品都是典型的硬盒子。国内自主研发的防火墙产品基本上都是将以Linux 为内核开发的防火墙软件固化在硬件中提供给用户。

入侵检测应用崭露头角
对于企业用户来说,防火墙毕竟还是被动防护手段,入侵检测作为一种主动动态的防护手段,与防火墙、防病毒产品结合在一起,才能构筑完整的安全防护解决方案。
此次展会上,我们看到入侵检测产品数量远比去年增加了不少,但厂商规模和实力相差甚大。据专家介绍,其实,国内不少入侵检测产品是拿国外的产品改头换面,并非真正从底层进行研发的,所以用户选择时一定要擦亮眼睛。同时,用户在选购入侵检测产品时,除了考虑检测能力和协议分析能力以外,还需要注意产品本身的升级扩充能力,因为入侵检测产品与防病毒软件一样依赖于巨大的攻击特征库,特征库的更新对产品的功能和性能都非常重要。当然,对于入侵检测产品来说,产品本身的安全性也非常关键。

防病毒走向多层次
如今,越来越多的企业用户认识到单靠在客户端安装个人防病毒软件并不能解决问题,病毒是无孔不入的,有的病毒来自软盘或光盘,有的来自电子邮件,有的是通过Internet浏览、下载文件时感染。因此针对不同的病毒来源,用户应该建立全方位的防病毒体系,也就是在客户端、服务器端(包括文件服务器、邮件服务器、Web服务器等)以及网关端都部署防病毒产品,这种多层次防病毒体系将从不同的角度全面保障企业免受病毒之侵害。IDC统计数字表明,防病毒软件市场正从消费性市场逐渐转型成为企业防毒软件市场,成长动力主要源自于服务器和订阅服务市场,其在2005年将占据整体防毒软件市场中的70%。如今,不只是国外厂商在企业级防毒方面提供完善的方案,国内厂商如瑞星也在大力推广自己的网络防病毒软件。
当然,对于用户来说,要想真正实现对病毒的防患于未然,还必须要时常更新病毒特征库。同时,对于企业级防病毒软件来说,部署与管理是非常重要的问题。各防病毒软件厂商都推出了专门的管理工具来实现对各节点防病毒软件的管理与升级。

协作与宽带——安全产品之方向
以往企业用户采购安全产品往往只买一个防火墙或一套防病毒软件,并没有真正将网络安全作为一种完整的体系来考虑。而实际上,今天的用户正在朝向构建网络安全体系的方向发展。
当然,国内的产品与国外的产品相比较,在产品系列的完整性和产品性能上都存在较大的差距,各产品间缺乏协作,难以适应国内安全产品市场的需求。由于单一的网络安全产品,如防火墙、入侵检测系统等,只注重于网络安全的某一方面,难以满足日益复杂的安全需求。实际应用中,用户往往要购买多类产品。可是,由于产品之间相互独立,合作起来很不方便,无法发挥整体优势。因此,将各类产品集成起来,使之相互协作,成为当前网络安全发展的一个重要趋势。
我们可以看到,原本生产单一网络安全产品的厂商正将产品朝向多元化方向发展或者与其他安全厂商携手并进,以实现不同网络安全产品之间的互动。比如,CheckPoint的OPSEC便是为了集结其他安全领域的强手而推出的一个平台,国内的天融信也推出了类似的TOPSEC平台以实现以防火墙为基础的网络安全防护体系。安氏公司8月初推出的LinkTrust防火墙与ISS的入侵检测体系以及趋势科技的InterScan防病毒网关实现互动,真正结成了完整的网络安全体系。
另外,随着宽带应用的发展,高速网络已经开始从100M带宽向1000M带宽过渡,现有的产品难以适应高速网络的安全需求,如何在这种情况下实现安全与性能之间的平衡是网络安全产品面临的一大挑战。比如,在防火墙领域,用户希望高速度的宽带防火墙,Cisco和NetScreen都已推出了千兆级防火墙产品;入侵检测产品也在朝向宽带方向发展,目前很多厂商在采用集群技术实现千兆级入侵检测。

安全服务不容忽视
如同软件服务一样,安全服务是一个重要方向无庸置疑。但就目前的网络安全市场来说,安全服务还处于初级阶段。虽然有一些厂商宣称自己是安全服务提供商,但要想将安全服务作为唯一的盈利点,在目前市场状态下还无法实现。所以,目前安全服务的提供者往往又是安全产品的生产者或有其他业务作为基础,将安全服务作为增值来发展,这使得国内安全服务的质量参差不齐。
同时,就国内的网络安全应用水平来说,网络管理人员至少有90%以上没有受过正规的网络安全培训;很多网络管理员还是新手上路。信息系统从基础设施到应用程序都存在着大量的漏洞与隐患,即使是经验丰富的系统管理员对层出不穷的漏洞与日新月异的黑客技术也常常感到束手无策。在这种情况下,用户确实需要专业化的网络安全服务,希望厂商能够提供从安全检测及风险评估,安全方案设计与系统集成,安全应急响应以及相关的安全技术咨询与培训服务在内的完善的服务。但面对这么多宣称能够提供安全服务的厂商,用户不知如何选择,因此制定衡量安全服务厂商资质的标准是亟需解决的重要问题。
国家正在引导网络安全服务朝向规范化方向发展。不久前,信息产业部计算机网络与信息安全管理工作办公室组织进行了“国家计算机网络安全服务试点单位”选拔工作。三O卫士信息安全事务所、玛赛、中联绿盟等十几家单位入选国家首批网络安全服务试点单位,将为全国范围内的信息安全建设提供示范工程,对促进安全服务的规范化起到重要的作用

推荐日志 入侵检测技术全攻略

[ 2007-03-25 03:54:13 | 作者: sun ]
入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。这些都通过它执行以下任务来实现:
· 监视、分析用户及系统活动;
· 系统构造和弱点的审计;
· 识别反映已知进攻的活动模式并向相关人士报警;
· 异常行为模式的统计分析;
· 评估重要系统和数据文件的完整性;
· 操作系统的审计跟踪管理,并识别用户违反安全策略的行为。

对一个成功的入侵检测系统来讲,它不但可使系统管理员时刻了解网络系统(包括程序、文件和硬件设备等)的任何变更,还能给网络安全策略的制订提供指南。更为重要的一点是,它应该管理、配置简单,从而使非专业人员非常容易地获得网络安全。而且,入侵检测的规模还应根据网络威胁、系统构造和安全需求的改变而改变。入侵检测系统在发现入侵后,会及时作出响应,包括切断网络连接、记录事件和报警等。

信息收集

入侵检测的第一步是信息收集,内容包括系统、网络、数据及用户活动的状态和行为。而且,需要在计算机网络系统中的若干不同关键点(不同网段和不同主机)收集信息,这除了尽可能扩大检测范围的因素外,还有一个重要的因素就是从一个源来的信息有可能看不出疑点,但从几个源来的信息的不一致性却是可疑行为或入侵的最好标识。

当然,入侵检测很大程度上依赖于收集信息的可靠性和正确性,因此,很有必要只利用所知道的真正的和精确的软件来报告这些信息。因为黑客经常替换软件以搞混和移走这些信息,例如替换被程序调用的子程序、库和其它工具。黑客对系统的修改可能使系统功能失常并看起来跟正常的一样,而实际上不是。例如,unix系统的PS指令可以被替换为一个不显示侵入过程的指令,或者是编辑器被替换成一个读取不同于指定文件的文件(黑客隐藏了初试文件并用另一版本代替)。这需要保证用来检测网络系统的软件的完整性,特别是入侵检测系统软件本身应具有相当强的坚固性,防止被篡改而收集到错误的信息。

入侵检测利用的信息一般来自以下四个方面:

1.系统和网络日志文件

黑客经常在系统日志文件中留下他们的踪迹,因此,充分利用系统和网络日志文件信息是检测入侵的必要条件。日志中包含发生在系统和网络上的不寻常和不期望活动的证据,这些证据可以指出有人正在入侵或已成功入侵了系统。通过查看日志文件,能够发现成功的入侵或入侵企图,并很快地启动相应的应急响应程序。日志文件中记录了各种行为类型,每种类型又包含不同的信息,例如记录“用户活动”类型的日志,就包含登录、用户ID改变、用户对文件的访问、授权和认证信息等内容。很显然地,对用户活动来讲,不正常的或不期望的行为就是重复登录失败、登录到不期望的位置以及非授权的企图访问重要文件等等。

2.目录和文件中的不期望的改变

网络环境中的文件系统包含很多软件和数据文件,包含重要信息的文件和私有数据文件经常是黑客修改或破坏的目标。目录和文件中的不期望的改变(包括修改、创建和删除),特别是那些正常情况下限制访问的,很可能就是一种入侵产生的指示和信号。黑客经常替换、修改和破坏他们获得访问权的系统上的文件,同时为了隐藏系统中他们的表现及活动痕迹,都会尽力去替换系统程序或修改系统日志文件。

3.程序执行中的不期望行为

网络系统上的程序执行一般包括操作系统、网络服务、用户起动的程序和特定目的的应用,例如数据库服务器。每个在系统上执行的程序由一到多个进程来实现。每个进程执行在具有不同权限的环境中,这种环境控制着进程可访问的系统资源、程序和数据文件等。一个进程的执行行为由它运行时执行的操作来表现,操作执行的方式不同,它利用的系统资源也就不同。操作包括计算、文件传输、设备和其它进程,以及与网络间其它进程的通讯。

一个进程出现了不期望的行为可能表明黑客正在入侵你的系统。黑客可能会将程序或服务的运行分解,从而导致它失败,或者是以非用户或管理员意图的方式操作。

4. 物理形式的入侵信息

这包括两个方面的内容,一是未授权的对网络硬件连接;二是对物理资源的未授权访问。黑客会想方设法去突破网络的周边防卫,如果他们能够在物理上访问内部网,就能安装他们自己的设备和软件。依此,黑客就可以知道网上的由用户加上去的不安全(未授权)设备,然后利用这些设备访问网络。例如,用户在家里可能安装Modem以访问远程办公室,与此同时黑客正在利用自动工具来识别在公共电话线上的Modem,如果一拨号访问流量经过了这些自动工具,那么这一拨号访问就成为了威胁网络安全的后门。黑客就会利用这个后门来访问内部网,从而越过了内部网络原有的防护措施,然后捕获网络流量,进而攻击其它系统,并偷取敏感的私有信息等等。

信号分析

对上述四类收集到的有关系统、网络、数据及用户活动的状态和行为等信息,一般通过三种技术手段进行分析:模式匹配,统计分析和完整性分析。其中前两种方法用于实时的入侵检测,而完整性分析则用于事后分析。

1. 模式匹配

模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为。该过程可以很简单(如通过字符串匹配以寻找一个简单的条目或指令),也可以很复杂(如利用正规的数学表达式来表示安全状态的变化)。一般来讲,一种进攻模式可以用一个过程(如执行一条指令)或一个输出(如获得权限)来表示。该方法的一大优点是只需收集相关的数据集合,显著减少系统负担,且技术已相当成熟。它与病毒防火墙采用的方法一样,检测准确率和效率都相当高。但是,该方法存在的弱点是需要不断的升级以对付不断出现的黑客攻击手法,不能检测到从未出现过的黑客攻击手段。

2.统计分析

统计分析方法首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性(如访问次数、操作失败次数和延时等)。测量属性的平均值将被用来与网络、系统的行为进行比较,任何观察值在正常值范围之外时,就认为有入侵发生。例如,统计分析可能标识一个不正常行为,因为它发现一个在晚八点至早六点不登录的帐户却在凌晨两点试图登录。其优点是可检测到未知的入侵和更为复杂的入侵,缺点是误报、漏报率高,且不适应用户正常行为的突然改变。具体的统计分析方法如基于专家系统的、基于模型推理的和基于神经网络的分析方法,目前正处于研究热点和迅速发展之中。

3.完整性分析

完整性分析主要关注某个文件或对象是否被更改,这经常包括文件和目录的内容及属性,它在发现被更改的、被特络伊化的应用程序方面特别有效。完整性分析利用强有力的加密机制,称为消息摘要函数(例如MD5),它能识别哪怕是微小的变化。其优点是不管模式匹配方法和统计分析方法能否发现入侵,只要是成功的攻击导致了文件或其它对象的任何改变,它都能够发现。缺点是一般以批处理方式实现,不用于实时响应。尽管如此,完整性检测方法还应该是网络安全产品的必要手段之一。例如,可以在每一天的某个特定时间内开启完整性分析模块,对网络系统进行全面地扫描检查。

入侵检测系统的典型代表是ISS公司(国际互联网安全系统公司)的RealSecure。它是计算机网络上自动实时的入侵检测和响应系统。它无妨碍地监控网络传输并自动检测和响应可疑的行为,在系统受到危害之前截取和响应安全漏洞和内部误用,从而最大程度地为企业网络提供安全。

入侵检测功能

·监督并分析用户和系统的活动
·检查系统配置和漏洞
·检查关键系统和数据文件的完整性
·识别代表已知攻击的活动模式
·对反常行为模式的统计分析
·对操作系统的校验管理,判断是否有破坏安全的用户活动。
·入侵检测系统和漏洞评估工具的优点在于:
·提高了信息安全体系其它部分的完整性
·提高了系统的监察能力
·跟踪用户从进入到退出的所有活动或影响
·识别并报告数据文件的改动
·发现系统配置的错误,必要时予以更正
·识别特定类型的攻击,并向相应人员报警,以作出防御反应
·可使系统管理人员最新的版本升级添加到程序中
·允许非专家人员从事系统安全工作
·为信息安全策略的创建提供指导
·必须修正对入侵检测系统和漏洞评估工具不切实际的期望:这些产品并不是无所不能的,它们无法弥补力量薄弱的识别和确认机制
·在无人干预的情况下,无法执行对攻击的检查
·无法感知公司安全策略的内容
·不能弥补网络协议的漏洞
·不能弥补由于系统提供信息的质量或完整性的问题
·它们不能分析网络繁忙时所有事务
·它们不能总是对数据包级的攻击进行处理
·它们不能应付现代网络的硬件及特性

入侵检测作为一种积极主动地安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。从网络安全立体纵深、多层次防御的角度出发,入侵检测理应受到人们的高度重视,这从国外入侵检测产品市场的蓬勃发展就可以看出。在国内,随着上网的关键部门、关键业务越来越多,迫切需要具有自主版权的入侵检测产品。但现状是入侵检测仅仅停留在研究和实验样品(缺乏升级和服务)阶段,或者是防火墙中集成较为初级的入侵检测模块。可见,入侵检测产品仍具有较大的发展空间,从技术途径来讲,我们认为,除了完善常规的、传统的技术(模式识别和完整性检测)外,应重点加强统计分析的相关技术研究。

推荐日志 面对黑客攻击 网络防火墙不是万能的

[ 2007-03-25 03:54:00 | 作者: sun ]

单凭防火墙再也不足以保护网上资产。如今,黑客及其攻击策略是越来越精明、越来越危险。当前的一大威胁就是应用层攻击,这类攻击可以偷偷潜入防火墙、直至潜入Web应用。没错,这类攻击有不少喜欢把宝贵的客户数据作为下手目标。


那么,为什么普通防火墙阻止不了这类攻击呢?因为这类攻击伪装成正常流量,没有特别大的数据包,地址和内容也没有可疑的不相配,所以不会触发警报。最让人害怕的一个例子就是SQL指令植入式攻击(SQL injection)。在这种攻击中,黑客利用你自己的其中一张HTML表单,未经授权就查询数据库。另一种威胁就是命令执行。只要Web应用把命令发送到外壳程序,狡猾的黑客就可以在服务器上随意执行命令。


另一些攻击比较简单。譬如说,HTML注释里面往往含有敏感信息,包括不谨慎的编程人员留下的登录信息。于是,针对应用层的攻击手段,从篡改cookies到更改HTML表单里面的隐藏字段,完全取决于黑客的想象力。不过好消息是,大多数这类攻击是完全可以阻止的。


如果结合使用,两种互为补充的方案可以提供稳固防线。首先,使用应用扫描器彻底扫描你的Web应用,查找漏洞。然后,使用Web应用防火墙阻止不法分子闯入。


应用扫描器基本上可以对你的服务器发动一系列模拟攻击,然后汇报结果。KaVaDo ScanDo、Sanctum AppScan Audit和SPI Dynamics在详细列出缺陷、建议补救方法方面的功能都相当全面。AppScan Audit尤其值得关注,因为这款产品具有事后检查功能,可以帮助编程人员在编制代码时就查出漏洞。不过,这些工具包没有一款比得上安全专业人士的全面审查。


一旦你设法堵住了漏洞,接下来就是部署Web应用防火墙。这类防火墙的工作方式很有意思:弄清楚进出应用的正常流量的样子,然后查出不正常流量。为此,Web应用防火墙必须比普通防火墙更深层地检查数据包。Check Point在这方面最出名,不过KaVaDo、NetContinuum、Sanctum和Teros等其它厂商的名气相对要小。这类防火墙有的采用软件,有的采用硬件,还有一些则兼而有之。不过别误以为这类防火墙是即插即用的,即便采用硬件的也不能。与入侵检测系统一样,你也要认真调整Web应用防火墙,以减少误报,又不让攻击潜入进来。


由于垃圾邮件以及越来越狡猾的攻击,如果您以为安装防火墙就万事大吉,高枕无忧的话,您就应该好好想想上面所说您该如何应对。

1.引言


随着计算机网络的不断发展,全球信息化已成为人类发展的大趋势。但由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征,致使网络易受黑客、怪客、恶意软件和其他不轨的攻击,所以网上信息的安全和保密是一个至关重要的问题。对于军用的自动化指挥网络、C3I系统和银行等传输敏感数据的计算机网络系统而言,其网上信息的安全和保密尤为重要。因此,上述的网络必须有足够强的安全措施,否则该网络将是个无用、甚至会危及国家安全的网络。无论是在局域网还是在广域网中,都存在着自然和人为等诸多因素的脆弱性和潜在威胁。故此,网络的安全措施应是能全方位地针对各种不同的威胁和脆弱性,这样才能确保网络信息的保密性、完整性和可用性。


2.计算网络面临的威胁


计算机网络所面临的威胁大体可分为两种:一是对网络中信息的威胁;二是对网络中设备的威胁。影响计算机网络的因素很多,有些因素可能是有意的,也可能是无意的;可能是人为的,也可能是非人为的;可能是外来黑客对网络系统资源的非法使用,归结起来,针对网络安全的威胁主要有三:


(1)人为的无意失误:如操作员安全配置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎,用户将自己的帐号随意转借他人或与别人共享等都会对网络安全带来威胁。


(2)人为的恶意攻击:这是计算机网络所面临的最大威胁,敌手的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;另一类是被动攻击,它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成极大的危害,并导致机密数据的泄漏。


(3)网络软件的漏洞和“后门”:网络软件不可能是百分之百的无缺陷和无漏洞的,然而,这些漏洞和缺陷恰恰是黑客进行攻击的首选目标,曾经出现过的黑客攻入网络内部的事件,这些事件的大部分就是因为安全措施不完善所招致的苦果。另外,软件的“后门”都是软件公司的设计编程人员为了自便而设置的,一般不为外人所知,但一旦“后门”洞开,其造成的后果将不堪设想。


3.计算机网络的安全策略


(1)物理安全策略


物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击;验证用户的身份和使用权限、防止用户越权操作;确保计算机系统有一个良好的电磁兼容工作环境;建立完备的安全管理制度,防止非法进入计算机控制室和各种偷窃、破坏活动的发生。


抑制和防止电磁泄漏(即TEMPEST技术)是物理安全策略的一个主要问题。目前主要防护措施有两类:一类是对传导发射的防护,主要采取对电源线和信号线加装性能良好的滤波器,减小传输阻抗和导线间的交叉耦合。另一类是对辐射的防护,这类防护措施又可分为以下两种:一是采用各种电磁屏蔽措施,如对设备的金属屏蔽和各种接插件的屏蔽,同时对机房的下水管、暖气管和金属门窗进行屏蔽和隔离;二是干扰的防护措施,即在计算机系统工作的同时,利用干扰装置产生一种与计算机系统辐射相关的伪噪声向空间辐射来掩盖计算机系统的工作频率和信息特征。


(2)访问控制策略


访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和非常访问。它也是维护网络系统安全、保护网络资源的重要手段。各种安全策略必须相互配合才能真正起到保护作用,但访问控制可以说是保证网络安全最重要的核心策略之一。下面我们分述各种访问控制策略。


(3)入网访问控制


入网访问控制为网络访问提供了第一层访问控制。它控制哪些用户能够登录到服务器并获取网络资源,控制准许用户入网的时间和准许他们在哪台工作站入网。


用户的入网访问控制可分为三个步骤:用户名的识别与验证、用户口令的识别与验证、用户帐号的缺省限制检查。三道关卡中只要任何一关未过,该用户便不能进入该网络。


对网络用户的用户名和口令进行验证是防止非法访问的第一道防线。用户注册时首先输入用户名和口令,服务器将验证所输入的用户名是否合法。如果验证合法,才继续验证用户输入的口令,否则,用户将被拒之网络之外。用户的口令是用户入网的关键所在。为保证口令的安全性,用户口令不能显示在显示屏上,口令长度应不少于6个字符,口令字符最好是数字、字母和其他字符的混合,用户口令必须经过加密,加密的方法很多,其中最常见的方法有:基于单向函数的口令加密,基于测试模式的口令加密,基于公钥加密方案的口令加密,基于平方剩余的口令加密,基于多项式共享的口令加密,基于数字签名方案的口令加密等。经过上述方法加密的口令,即使是系统管理员也难以得到它。用户还可采用一次性用户口令,也可用便携式验证器(如智能卡)来验证用户的身份。


网络管理员应该可以控制和限制普通用户的帐号使用、访问网络的时间、方式。用户名或用户帐号是所有计算机系统中最基本的安全形式。用户帐号应只有系统管理员才能建立。用户口令应是每用户访问网络所必须提交的“证件”、用户可以修改自己的口令,但系统管理员应该可以控制口令的以下几个方面的限制:最小口令长度、强制修改口令的时间间隔、口令的唯一性、口令过期失效后允许入网的宽限次数。


用户名和口令验证有效之后,再进一步履行用户帐号的缺省限制检查。网络应能控制用户登录入网的站点、限制用户入网的时间、限制用户入网的工作站数量。当用户对交费网络的访问“资费”用尽时,网络还应能对用户的帐号加以限制,用户此时应无法进入网络访问网络资源。网络应对所有用户的访问进行审计。如果多次输入口令不正确,则认为是非法用户的入侵,应给出报警信息。


(4)网络的权限控制


网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源。可以指定用户对这些文件、目录、设备能够执行哪些操作。受托者指派和继承权限屏蔽(IRM)可作为其两种实现方式。受托者指派控制用户和用户组如何使用网络服务器的目录、文件和设备。继承权限屏蔽相当于一个过滤器,可以限制子目录从父目录那里继承哪些权限。我们可以根据访问权限将用户分为以下几类:(1)特殊用户(即系统管理员);(2)一般用户,系统管理员根据他们的实际需要为他们分配操作权限;(3)审计用户,负责网络的安全控制与资源使用情况的审计。用户对网络资源的访问权限可以用一个访问控制表来描述。


(5)目录级安全控制


网络应允许控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效,用户还可进一步指定对目录下的子目录和文件的权限。对目录和文件的访问权限一般有八种:系统管理员权限(Supervisor)、读权限(Read)、写权限(Write)、创建权限(Create)、删除权限(Erase)、修改权限(Modify)、文件查找权限(File Scan)、存取控制权限(Access Control)。用户对文件或目标的有效权限取决于以下二个因素:用户的受托者指派、用户所在组的受托者指派、继承权限屏蔽取消的用户权限。一个网络系统管理员应当为用户指定适当的访问权限,这些访问权限控制着用户对服务器的访问。八种访问权限的有效组合可以让用户有效地完成工作,同时又能有效地控制用户对服务器资源的访问 ,从而加强了网络和服务器的安全性。


(6)属性安全控制


当用文件、目录和网络设备时,网络系统管理员应给文件、目录等指定访问属性。属性安全控制可以将给定的属性与网络服务器的文件、目录和网络设备联系起来。属性安全在权限安全的基础上提供更进一步的安全性。网络上的资源都应预先标出一组安全属性。用户对网络资源的访问权限对应一张访问控制表,用以表明用户对网络资源的访问能力。属性设置可以覆盖已经指定的任何受托者指派和有效权限。属性往往能控制以下几个方面的权限:向某个文件写数据、拷贝一个文件、删除目录或文件、查看目录和文件、执行文件、隐含文件、共享、系统属性等。网络的属性可以保护重要的目录和文件,防止用户对目录和文件的误删除、、执行修改、显示等。


(7)网络服务器安全控制


网络允许在服务器控制台上执行一系列操作。用户使用控制台可以装载和卸载模块,可以安装和删除软件等操作。网络服务器的安全控制包括可以设置口令锁定服务器控制台,以防止非法用户修改、删除重要信息或破坏数据;可以设定服务器登录时间限制、非法访问者检测和关闭的时间间隔。


(8)网络监测和锁定控制


网络管理员应对网络实施监控,服务器应记录用户对网络资源的访问,对非法的网络访问,服务器应以图形或文字或声音等形式报警,以引起网络管理员的注意。如果不法之徒试图进入网络,网络服务器应会自动记录企图尝试进入网络的次数,如果非法访问的次数达到设定数值,那么该帐户将被自动锁定。


(9)网络端口和节点的安全控制


网络中服务器的端口往往使用自动回呼设备、静默调制解调器加以保护,并以加密的形式来识别节点的身份。自动回呼设备用于防止假冒合法用户,静默调制解调器用以防范黑客的自动拨号程序对计算机进行攻击。网络还常对服务器端和用户端采取控制,用户必须携带证实身份的验证器(如智能卡、磁卡、安全密码发生器)。在对用户的身份进行验证之后,才允许用户进入用户端。然后,用户端和服务器端再进行相互验证。


(10)防火墙控制


防火墙是近期发展起来的一种保护计算机网络安全的技术性措施,它是一个用以阻止网络中的黑客访问某个机构网络的屏障,也可称之为控制进/出两个方向通信的门槛。在网络边界上通过建立起来的相应网络通信监控系统来隔离内部和外部网络,以阻档外部网络的侵入。目前的防火墙主要有以下三种类型;


包过滤防火墙:包过滤防火墙设置在网络层,可以在路由器上实现包过滤。首先应建立一定数量的信息过滤表,信息过滤表是以其收到的数据包头信息为基础而建成的。信息包头含有数据包源IP地址、目的IP地址、传输协议类型(TCP、UDP、ICMP等)、协议源端口号、协议目的端口号、连接请求方向、ICMP报文类型等。当一个数据包满足过滤表中的规则时,则允许数据包通过,否则禁止通过。这种防火墙可以用于禁止外部不合法用户对内部的访问,也可以用来禁止访问某些服务类型。但包过滤技术不能识别有危险的信息包,无法实施对应用级协议的处理,也无法处理UDP、RPC或动态的协议。


代理防火墙:代理防火墙又称应用层网关级防火墙,它由代理服务器和过滤路由器组成,是目前较流行的一种防火墙。它将过滤路由器和软件代理技术结合在一起。过滤路由器负责网络互连,并对数据进行严格选择,然后将筛选过的数据传送给代理服务器。代理服务器起到外部网络申请访问内部网络的中间转接作用,其功能类似于一个数据转发器,它主要控制哪些用户能访问哪些服务类型。当外部网络向内部网络申请某种网络服务时,代理服务器接受申请,然后它根据其服务类型、服务内容、被服务的对象、服务者申请的时间、申请者的域名范围等来决定是否接受此项服务,如果接受,它就向内部网络转发这项请求。代理防火墙无法快速支持一些新出现的业务(如多媒体)。现要较为流行的代理服务器软件是WinGate和Proxy Server。


双穴主机防火墙:该防火墙是用主机来执行安全控制功能。一台双穴主机配有多个网卡,分别连接不同的网络。双穴主机从一个网络收集数据,并且有选择地把它发送到另一个网络上。网络服务由双穴主机上的服务代理来提供。内部网和外部网的用户可通过双穴主机的共享数据区传递数据,从而保护了内部网络不被非法访问。


4.信息加密策略


信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密三种。链路加密的目的是保护网络节点之间的链路信息安全;端-端加密的目的是对源端用户到目的端用户的数据提供保护;节点加密的目的是对源节点到目的节点之间的传输链路提供保护。用户可根据网络情况酌情选择上述加密方式。


信息加密过程是由形形 色色的加密算法来具体实施,它以很小的代价提供很大的安全保护。在多数情况下,信息加密是保证信息机密性的唯一方法。据不完全统计,到目前为止,已经公开发表的各种加密算法多达数百种。如果按照收发双方密钥是否相同来分类,可以将这些加密算法分为常规密码算法和公钥密码算法。


在常规密码中,收信方和发信方使用相同的密钥,即加密密钥和解密密钥是相同或等价的。比较著名的常规密码算法有:美国的DES及其各种变形,比如Triple DES、GDES、New DES和DES的前身Lucifer; 欧洲的IDEA;日本的FEAL-N、LOKI-91、Skipjack、RC4、RC5以及以代换密码和转轮密码为代表的古典密码等。在众多的常规密码中影响最大的是DES密码。


常规密码的优点是有很强的保密强度,且经受住时间的检验和攻击,但其密钥必须通过安全的途径传送。因此,其密钥管理成为系统安全的重要因素。


在公钥密码中,收信方和发信方使用的密钥互不相同,而且几乎不可能从加密密钥推导出解密密钥。比较著名的公钥密码算法有:RSA、背包密码、McEliece密码、Diffe-Hellman、Rabin、Ong-Fiat-Shamir、零知识证明的算法、椭园曲线、EIGamal算法等等。最有影响的公钥密码算法是RSA,它能抵抗到目前为止已知的所有密码攻击。


公钥密码的优点是可以适应网络的开放性要求,且密钥管理问题也较为简单,尤其可方便的实现数字签名和验证。但其算法复杂。加密数据的速率较低。尽管如此,随着现代电子技术和密码技术的发展,公钥密码算法将是一种很有前途的网络安全加密体制。


当然在实际应用中人们通常将常规密码和公钥密码结合在一起使用,比如:利用DES或者IDEA来加密信息,而采用RSA来传递会话密钥。如果按照每次加密所处理的比特来分类,可以将加密算法分为序列密码和分组密码。前者每次只加密一个比特而后者则先将信息序列分组,每次处理一个组。 密码技术是网络安全最有效的技术之一。一个加密网络,不但可以防止非授权用户的搭线窃听和入网,而且也是对付恶意软件的有效方法之一。


5.网络安全管理策略


在网络安全中,除了采用上述技术措施之外,加强网络的安全管理,制定有关规章制度,对于确保网络的安全、可靠地运行,将起到十分有效的作用。


网络的安全管理策略包括:确定安全管理等级和安全管理范围;制订有关网络操作使用规程和人员出入机房管理制度;制定网络系统的维护制度和应急措施等。


6.结束语


随着计算机技术和通信技术的发展,计算机网络将日益成为工业、农业和国防等方面的重要信息交换手段,渗透到社会生活的各个领域。因此,认清网络的脆弱性和潜在威胁,采取强有力的安全策略,对于保障网络的安全性将变得十分重要。