浏览模式: 普通 | 列表

推荐日志 多重保护防范办公室内网安全

[ 2007-03-25 03:52:43 | 作者: sun ]
一、边际设备保护

网关是内外网通信的必经之路,是外网联入内网的咽喉。相对来说,内网的木马病毒都是比较少的,但是缺乏隔离机制的内网,一旦有一台计算机被病毒木马所感染,其它的也就都陷入了非常危险的境地。正如流感一般,虽然轻易不会得流感,但如果一家人中有一人不小心得上了,那其它家庭成员也就很容易被感染。

所以,对于一个局域网络来说,在边际处至少应当有一个初具安全防范功能的路由器或是防火墙,以建立第一道防线。

二、口令安全

现在大部分人都认识到口令安全的重要性了,不过还是要重申一下:口令的位数要尽可能的长;不要选用生日、门牌号码、电话号码等容易猜测的密码作为口令;不要在每个系统上都使用同一种口令;最好使用大小写的字母和数字混合和没有规律的密码作为口令,并定期改变各系统的口令。另外,个人私用密码最好与工作时使用的密码分开。

三、终端计算机防护

一般来说,终端计算机上必然需要安装的防护软件就是杀毒软件了,基本要求就是能实时防护(特别在上外网的时候)、数据库更新快,以及占用系统资源小。个人强烈推荐使用kaspersky,技术实力没的说,俄国技术,病毒数据库每天更新两次,并承诺对新病毒的响应时间为30分钟,使用起来也比较方便,又有汉化版,好处说不完(唯一缺点就是不是国产的,使用它不能算支持民族企业了)。

操作系统绝大多数人应当用的是微软的windows系列,windows9x系列稳定性是不太强,幸而从windows2000之后已经不太容易死机了,操作系统本身的稳定性还可以,主要受影响的就是在安装软件时不小心装上的哪些如同“牛皮癣”一般的各类插件了,如XX实名,XX猪,XX21,XX助手,XX搜等等,不仅占用了大量的系统资源和窗口空间,影响开机速度,有时还会引起不知名的错误。想卸载的话就在google、baidu上面搜搜吧,相关的资料还是不少的。另外,系统补丁也要及时打上。

定期备份重要数据也是非常重要的。一方面,硬盘数据恢复的价格一般要高于购买硬盘的价格,而且未必能够恢复出来;另一方面,若误操作将重要数据删除,这时候备份的重要性就体现出来了。

对于拥有数十台、上百台甚至以上的企业,添加域控制器进行管理是一个十分有效的方法。企业一般通过代理或者路由上网,那么可以使用“网盾IPtrust内网安全管理系统”对内部计算机的操作行为进行监控,他可以对终端操作、网站浏览和各类即时信息软件进行监控,并且也可以限制或禁止游戏、多媒体、股票软件等非工作用的软件,还能进行网站的过滤,限制色情、政治或是其它各类网站。

四、物理防护

这里指的是各种PC、路由器、交换机、工作站等硬件设备和通信链路的安全,主要应当注意重要设备如对外提供服务的服务器的供电以及防止水灾、火灾、雷击等自然灾害,人为破坏和误操作、外界的电磁干扰等,物理安全的威胁可直接造成设备的损坏和数据的丢失。为防止这类事故要建立机房的管理制度,并严格执行,在基建阶段就要做好机房、电源的防雷工作。

小结

要更好的解决内网的安全问题,需要从各种角度看待内网安全。在目前网络飞速发展的形势下,安全问题不能只停留在“堵”,“杀”或者“防”的层面上,要以动态的方式迎接各方面的挑战,不断学习跟上新技术的变化。除了技术上的防范,健全网络安全的管理制度,建立健全各种规章制度也是保障内网安全必不可少的措施。

推荐日志 企业中进行病毒管理防范的技巧

[ 2007-03-25 03:52:30 | 作者: sun ]
对于企业反病毒来说,如何通过少量的管理员来维护庞大的内部网络是首要问题,如何通过整体的管理策略和解决方案,来让企业网络管理员能便捷、轻松、放心地掌控企业信息安全。可以说,企业防毒,“三分技术,七分管理”。本文将着重介绍目前主要的企业反病毒管理策略。

企业反病毒管理策略

1. 集中管理

在管理方式上,可分为B/S架构和C/S架构两大主流,B/S架构相对C/S架构来说实现更为复杂,但给管理员提供了一个可移动的管理控制台,更便捷、灵活。而C/S架构则具有实时性的优点,能够实时反映状态信息。

2. 分级(分地)管理

在集中管理的基础上,衍生出分级(分地)管理的策略,针对那些有分支机构企业,提供中央加地方的管理模式,中央的管理员能够管理企业网络内所有机器,而分支机构的日常维护工作则由地方管理员来执行,这样的管理策略显然比单纯的集中管理更可靠、灵活。

3. 分组管理

分组管理是对一个企业机器群的细分管理方式。一个企业内部可能分为研发、市场、财务等部门,而相应的安全性、稳定性的要求是不一样的,分组管理在客户端设置、警报级别等方面进行细分管理,帮助企业管理员制定更完善和有针对性的安全管理策略。

4. 权限管理

权限管理是一种强制性策略,管理员通过设置客户端权限,来保护整个网络的利益。通过权限管理,管理员可限制反病毒客户端的直接控制权,比如开/关防火墙、卸载客户端、关闭客户端、更改客户端设置。

5. 升级管理

保证全网所有客户端病毒库的及时更新是升级管理的目的,为了减少网络带宽和管理员维护的难度,在企业内网搭建专用的升级服务器是最佳解决方案。升级服务器包括自动更新、手动更新、升级包更新等升级方式,相应的管理接口有日志管理、病毒库管理。

6. 警报与日志

警报在疫情发生或者将要发生时提醒管理员,使管理员可以预先防范,或者采取应急措施,保障企业数据安全。而日志是管理员对行为的一种回溯途径,可以帮助管理员查找历史记录、可疑操作以及越权操作,以发现安全管理隐患。



金山毒霸网络版的管理策略

1. B/S管理架构

金山毒霸网络版采用业界主流的B/S结构,可保证管理员在任何一台具备上网条件的计算机上(即使在外出差)对整个防毒体系进行集中统一的管理。

2. 无限分层的多级管理

针对政府、军队及大型企业集团的多级行政架构,金山毒霸网络版采用了可无限分层的多级管理中心,各级管理中心对应于相应的行政层级,且每级都可实现对下级单位的统一管理。这种模式将行政架构、计算机网络系统及防毒体系三者完全融合。

3. 分级架构、集中管理

金山毒霸网络版实现跨地区多网域的分级防毒体系架构,管理员可在总部对各地分支机构的所有防毒节点进行集中统一管理,各分支机构也可实施本地化管理。该架构具有良好的可扩展性和可伸缩性,能很好适应网络规模扩大或新增管理节点。

4. 可级联的升级服务器

采用独立的升级服务器,支持分级,以实现服务器升级流量的负载均衡效果,优化网络整体性能;

与局域网用户相比,普通拨号上网的用户在预防黑客入侵的对抗中,往往处于更不利的地位。但是,许多上网的虫虫一向对网络安全抱着无所谓的态度,认为最多不过是被人盗用账号而损失几千元而已,却没有想到被盗用的账号如果被黑客利用做为跳板从事网络破坏活动,你可能就要背黑锅了。根据笔者一位朋友对拨号上网用户的抽样追踪发现,在广州城里,居然有三成多的用户半年以内都不更换一次账号密码!由于从事黑客活动越来越容易,是到了需要提高网络安全意识的时候了,下面的方法将有助于拨号上网用户预防黑客入侵。

一、 经常修改密码

老生常谈了,但却是最简单有效的方法。由于许多黑客利用穷举法来破解密码,像John这一类的密码破解程序可从因特网上免费下载,只要加上一个足够大的字典在足够快的机器上没日没夜地运行,就可以获得需要的帐号及密码,因此,经常修改密码对付这种盗用就显得十分奏效。由于那么多潜在的黑客千方百计想要获得别人的密码,那么拨号上网用户就应该加强防范,以下四个原则可提高密码的抗破解能力。

1.不要选择常用字做密码。

2.用单词和符号混合组成密码。

3.使用9个以上的字符做密码,使你的密码尽可能地长,对Windows系统来说,密码最少要由9个字符组成才算安全。

4.密码组成中最好混合使用大小写字母,一般情况下密码只由英文字母组成,密码中可使用26或52个字母。若对一个8个字母组成的密码进行破解,密码中字母有无大小写之分将使破解时间产生256倍的差别。

二、 请他人安装后应立即修改密码

这是一个很容易忽略的细节,许多用户第一次不懂得如何拨号上网,就请别人来教,这样常常把用户名和密码告诉此人,这个人记住以后就可以回去盗用服务了。所以,用户最好自己学会如何拨号后再去申请上网账号,或者首先向ISP问清如何修改自己的密码,在别人教会自己如何拨号后,立刻将密码改掉,避免被人盗用。

三、 使用“拨号后出现终端窗口”功能

选中某一连接,单击鼠标右键,选“属性/常规/配置/选项/拨号后出现终端窗口”,然后拨号时,在拨号界面上不要填入用户名和密码(更不要选中“保存密码”项),在出现拨号终端窗口后再进行相应的输入,这可以避免用户名和密码被记录到硬盘上的密码文件中,同时,也可以避免被某些黑客程序捕获用户名和密码。

四、 删除.pwl文件

在Windows目录下往往有一些以“.pwl”为后缀名的密码文件,“.pwl”是password的音译缩写。比如:在最初的Windows 95操作系统中密码的保存即存在安全漏洞,从而使黑客可以利用相应的程序轻松获取保存在pwl文件里的密码。这一漏洞在Windows 97中已经被修复。因此,你需要为你的电脑安装Windows 97以上版本的操作系统。pwl文件还常常记录其他地方要用到的密码,比如开启Exchange电子信箱的密码、玩Mud游戏的密码等,要经常删除这些pwl文件避免将密码留在硬盘上。

五、 禁止安装击键记录程序

很多人知道doskey.exe这个程序,这个在DOS下常用的外部命令能通过恢复以前输入的命令来加快输入命令的速度,在Windows下也有了许多类似的程序,如keylog,它不但能记录用户的击键动作甚至能以快照的形式记录到屏幕上发生的一切。还有些程序能将击键字母记录到根目录下的某一特定文件中,而这一文件可以用文本编辑器来查看。密码就是这样被泄露出去的,偷盗者只要在根目录下看看就可以了,根本无需任何专业知识!

六、 对付特洛伊木马

特洛伊木马程序常被定义为当执行一个任务时却实际上执行着另一个任务的程序,用“瞒天过海”或“披着羊皮的狼”之类的词来形容这类程序一点也不为过。典型的一个例子是:伪造一个登录界面,当用户在这个界面上输入用户名和密码时,程序将它们转移到一个隐蔽的文件中,然后提示错误要求用户再输入一遍,程序这时再调用真正的登录界面让用户登录,于是在用户几乎毫无察觉的情况下就得到了记录有用户名和密码的文件。现在互联网上有许多所谓的特洛伊木马程序,像著名的BO、Backdoor、Netbus及国内的Netspy等等。严格地说,它们属于客户机/服务器(C/S)程序,因为它们往往带有一个用于驻留在用户机器上的服务器程序,以及一个用于访问用户机器的客户端程序,就好像NT的Server和Workstation的关系一样。

在对付特洛伊木马程序方面,有以下几种办法:

多读readme.txt。许多人出于研究目的下载了一些特洛伊木马程序的软件包,在没有弄清软件包中几个程序的具体功能前,就匆匆地执行其中的程序,这样往往就错误地执行了服务器端程序而使用户的计算机成为了特洛伊木马的牺牲品。软件包中经常附带的readme.txt文件会有程序的详细功能介绍和使用说明,尽管它一般是英文的,但还是有必要先阅读一下,如果实在读不懂,那最好不要执行任何程序,丢弃软件包当然是最保险的了。有必要养成在使用任何程序前先读readme.txt的好习惯。

值得一提的是,有许多程序说明做成可执行的readme.exe形式,readme.exe往往捆绑有病毒或特洛伊木马程序,或者干脆就是由病毒程序、特洛伊木马的服务器端程序改名而得到的,目的就是让用户误以为是程序说明文件去执行它,可谓用心险恶。所以从互联网上得来的readme.exe最好不要执行它。



本周二,联合国发表的一份调查报告称,全球的许多网站都无法为残疾人所访问,但通过简单的改进就能够符合国际可访问性标准。

英国高科技厂商Nomensa对20个国家的100个流行的网站进行了研究,发现许多网站不符合国际访问性标准。Nomensa的沃森在联合国总部的一个新闻发布会上说,很显然,我们有些困难需要克服。沃森本人就是个盲人。

沃森表示,尽管许多网站已经采取了提高可访问性的措施,但是,它们需要做出更多的努力,使自己能够为不能使用计算机鼠标、弱视的人、甚至是盲人所访问。

沃森指出,在调查中最常见的问题是对JavaScript脚本语言的使用,以及使用不带解释性文字的图像。大量使用JavaScript使得约10%的互联网用户无法访问关键的信息,因为他们缺乏必要的软件;图片的文字描述使盲人能够通过使用可以将文本转化为语音的屏幕文本阅读软件“看到”图像。

这次调查发现的另一个问题是颜色搭配不够好,给患有色盲等轻微眼疾的用户访问网页带来了困难。

在被调查的100个网站中,有3个符合基本的可访问性标准——德国总理、英国首相,以及西班牙政府的网站。

推荐日志 创建容易记忆而又安全的密码

[ 2007-03-25 03:51:48 | 作者: sun ]
用户们经常会忘记自己的密码。为了不忘记密码,他们就是用些简单的信息来创建密码,比如用养的狗的名字,儿子的名字和生日,目前月份的名称——或者任何可以帮助他们记住密码的东西。
  对于那些侵入你的计算机系统的黑客来说,你创建的这些密码毫无作用,就好比把门锁上了却把钥匙扔在门外的擦鞋垫上一样。黑客不需要使用特殊工具就能发现你个人的基本信息——名字,孩子的名字,生日,宠物名字,等等。他可以把这些作为破解你密码的线索一一尝试。

  想要创建安全又好记的密码,请遵循如下几个简单的要求:

1、别用个人信息

  永远不要用个人信息来创建密码。别人很容易猜到你可能用姓,宠物名字,孩子的出生日期或者其他类似的细节。

2、别用真实的单词

  黑客们能用某些工具猜出你的密码。现如今的计算机不需要花很久的时间就可以把字典中的所有单词都试一遍,然后找出你的密码。所以你最好别用真实的单词做密码。

3、混用不同体的字符

  混用不同的字体的字符可以使你的密码更安全。既用大写字母也用小写字母,以及数字,甚至诸如‘&’和‘%’等。

4、使用惯用语

  除了记住那些用各种字符组成的密码,你还可以使用惯用语,它同样可以组成不是字典中的单词的密码。你可以想出一句话或者一行你喜欢的歌曲或诗歌,用它每个单词的首字母创建一个密码。

  例如,与其创建一个'yrHes'这样的密码,你不如用“I like to read the About.com Internet / Network Security web site”这句话,把它转成如“il2rtA!nsws”这样的密码。这个密码中,用‘2’取代‘to’,并且用惊叹号代替‘Internet’的首字母‘i’。你也可以用各种各样的字符来创建难以被破解的密码,并且便于自己记忆。

5、使用密码管理工具

  安全地储存和记忆密码的另一个办法就是使用密码管理工具。这类工具把用户名密码加密后保存。有些甚至可以在你访问网站时自动向站点或者应用程序填写用户名和密码信息。

6、使用不同的密码

  如果想要保护你的账户和程序,你应该为每个应用程序使用不同的用户名和密码。即使其中的某一个密码被破解了,你其他的密码还是安全的。另一个方法比这种方法的安全性略低,但是它可以使你在安全与方便之间取个折衷。这种方法就是对那些不需要额外保障其安全性的应用都是用一套用户名和密码,而在你的银行或者信用卡的网站则用单独的用户名和更安全的密码。

7、经常更换密码

  你应该至少每30到60天就应该更换密码。并且至少一年之内不应当重复使用同一个密码。

8、加强密码的安全性

  与其依靠计算机的每一位使用者去理解并遵循以上的建议,你还不如给操作系统配置密码策略,这样系统将不接受那些不符合最低安全要求的密码

推荐日志 Windows服务器:切断默认共享通道七招

[ 2007-03-25 03:51:37 | 作者: sun ]
在Windows服务器系统中,每当服务器启动成功时,系统的C盘、D盘等都会被自动设置成隐藏共享,尽管通过这些默认共享可以让服务器管理维护起来更方便一些;但在享受方便的同时,这些默认共享常常会被一些非法攻击者利用,从而容易给服务器造成安全威胁。如果你不想让服务器轻易遭受到非法攻击的话,就必须及时切断服务器的默认共享“通道”。下面,本文就为大家推荐以下几则妙招,以便让你轻松禁止掉服务器的默认共享。

  功能配置法

  这种方法是通过Windows XP或Windows 2003系统中的msconfig命令,来实现切断服务器默认共享“通道”目的的。使用该方法时,可以按照如下步骤来进行:

  依次单击“开始”/“运行”命令,在随后出现的系统运行设置框中,输入字符串命令“msconfig”,单击“确定”按钮后,打开一个标题为系统配置实用程序的设置窗口;

  单击该窗口中的“服务”选项卡,在其后打开的如图1所示的选项设置页面中,找到其中的“Server”项目,并检查该项目前面是否有勾号存在,要是有的话必须将其取消掉,最后单击一下“确定”按钮,以后重新启动服务器系统时,服务器的C盘、D盘等就不会被自动设置成默认共享了。

  小提示:尽管Windows 2000服务器系统没有系统配置实用程序功能,但考虑到该系统的内核与Windows 2003系统内核比较接近,因此你可以将Windows 2003系统中的msconfig.exe文件和msconfig.chm文件直接复制到Windows 2000系统目录中,以后你也可以在该系统的运行对话框中,直接启动系统配置实用程序功能了。如果在启动该功能的过程中,遇到有错误提示窗口弹出时,你可以不必理会,不停单击“取消”按钮就可以看到系统配置实用程序设置窗口了。

  “强行”停止法

  所谓“强行”停止法,其实就是借助Windows服务器的计算机管理功能,来对已经存在的默认共享文件夹,“强制”停止共享命令,以便让其共享状态取消,同时确保这些文件夹下次不能被自动设置成共享。在“强行”停止默认共享文件夹的共享状态时,你可以按照下面的步骤来进行:

  依次单击“开始”/“运行”命令,在打开的系统运行设置框中,输入字符串命令“compmgmt.msc”,单击“确定”按钮后,打开打开Windows服务器系统的“计算机管理”界面;

  在该界面的左侧列表区域中,用鼠标逐一展开“系统工具”、“共享文件夹”、“共享”文件夹,在对应“共享”文件夹右边的子窗口中,你将会发现服务器系统中所有已被共享的文件文件夹都被自动显示出来了,其中共享名称后面带有“$”符号的共享文件夹,就是服务器自动生成的默认共享文件夹;

  要取消这些共享文件夹的共享状态,你只要先用鼠标逐一选中它们,然后再用右键单击之,在其后打开的快捷菜单中,选中“停止共享”选项,随后屏幕上将打开一个如图2所示的对话框,要求你确认一下是否真的想停止已经选择的共享,此时你再单击一下“是”按钮,所有选中的默认共享文件夹的共享标志就会自动消失了,这表明它们的共享状态已经被“强行”停止了,以后哪怕是重新启动服务器系统,服务器的C盘、D盘也不会被自动设置成默认共享了。

逐一删除法

  所谓“逐一删除法”,其实就是借助Windows服务器内置的“net share”命令,来将已经处于共享状态的默认共享文件夹,一个一个地删除掉(当然这里的删除,仅仅表示删除默认共享文件夹的共享状态,而不是删除默认文件夹中的内容),但该方法有一个致命的缺陷,就是无法实现“一劳永逸”的删除效果,只要服务器系统重新启动一下,默认共享文件夹又会自动生成了。在使用该方法删除默认共享文件夹的共享状态时,可以参考如下的操作步骤:

  首先在系统的开始菜单中,执行“运行”命令,打开系统运行设置框,在该对话框中输入字符串命令“cmd”后,再单击“确定”按钮,这样Windows服务器系统就会自动切换到DOS命令行工作状态;

  然后在DOS命令行中,输入字符串命令“net share c$ /del”,单击回车键后,服务器中C盘分区的共享状态就被自动删除了;如果服务器中还存在D盘分区、E盘分区的话,你可以按照相同的办法,分别执行字符串命令“net share d$ /del”、“net share e$ /del”来删除它们的共享状态;

  此外,对应IP$、Admin$之类的默认共享文件夹,你们也可以执行字符串命令“net share ipc$ /del”、“net share admin$ /del”,来将它们的隐藏共享状态取消,这样的话非法攻击者就无法通过这些隐藏共享“通道”,来随意攻击Windows服务器了。

  “自动”删除法

  如果服务器中包含的隐藏共享文件夹比较多的话,依次通过“net share”命令来逐一删除它们时,将显得非常麻烦。其实,我们可以自行创建一个批处理文件,来让服务器一次性删除所有默认共享文件夹的共享状态。在创建批处理文件时,只要打开类似记事本之类的文本编辑工具,并在编辑窗口中输入下面的源代码命令:

    @echo off

    net share C$ /del

    net share D$ /del

    net share ipc$ /del

    net share admin$ /del

    ……

  完成上面的代码输入操作后,再依次单击文本编辑窗口中的“文件”/“保存”菜单命令,在弹出的文件保存对话框中输入文件名为“delshare.bat”,并设置好具体的保存路径,再单击一下“保存”按钮,就能完成自动删除默认共享文件夹的批处理文件创建工作了。以后需要删除这些默认共享文件夹的共享状态时,只要双击“delshare.bat”批处理文件,服务器系统中的所有默认共享“通道”就能被自动切断了。
一、网站的通用保护方法


针对黑客威胁,网络安全管理员采取各种手段增强服务器的安全,确保WWW服务的正常运行。象在Internet上的Email、ftp等服务器一样,可以用如下的方法来对WWW服务器进行保护:

安全配置

关闭不必要的服务,最好是只提供WWW服务,安装操作系统的最新补丁,将WWW服务升级到最新版本并安装所有补丁,对根据WWW服务提供者的安全建议进行配置等,这些措施将极大提供WWW服务器本身的安全。

防火墙 

安装必要的防火墙,阻止各种扫描工具的试探和信息收集,甚至可以根据一些安全报告来阻止来自某些特定IP地址范围的机器连接,给WWW服务器增加一个防护层,同时需要对防火墙内的网络环境进行调整,消除内部网络的安全隐患。   

漏洞扫描 

使用商用或免费的漏洞扫描和风险评估工具定期对服务器进行扫描,来发现潜在的安全问题,并确保由于升级或修改配置等正常的维护工作不会带来安全问题。   

入侵检测系统   

利用入侵检测系统(IDS)的实时监控能力,发现正在进行的攻击行为及攻击前的试探行为,记录黑客的来源及攻击步骤和方法。   

这些安全措施都将极大提供WWW服务器的安全,减少被攻击的可能性。

二、网站的专用保护方法

尽管采用的各种安全措施能防止很多黑客的攻击,然而由于各种操作系统和服务器软件漏洞的不断发现,攻击方法层出不穷,技术高明的黑客还是能突破层层保护,获得系统的控制权限,从而达到破坏主页的目的。这种情况下,一些网络安全公司推出了专门针对网站的保护软件,只保护网站最重要的内容--网页。一旦检测到被保护的文件发生了{非正常的}改变,就进行恢复。一般情况下,系统首先需要对正常的页面文件进行备份,然后启动检测机制,检查文件是否被修改,如果被修改就需要进行恢复。我们对以下几个方面的技术进行分析比较:  

监测方式   

本地和远程:检测可以是在本地运行一个监测端,也可以在网络上的另一台主机。如果是本地的话,监测端进程需要足够的权限读取被保护目录或文件。监测端如果在远端的话,WWW服务器需要开放一些服务并给监测端相应的权限,较常见的方式是直接利用服务器的开放的WWW服务,使用HTTP协议来监测被保护的文件和目录。也可利用其它常用协议来检测保护文件和目录,如FTP等。采用本地方式检测的优点是效率高,而远程方式则具有平台无关性,但会增加网络流量等负担。  

定时和触发:绝大部分保护软件是使用的定时检测的方式,不论在本地还是远程检测都是根据系统设定的时间定时检测,还可将被保护的网页分为不同等级,等级高的检测时间间隔可以设得较短,以获得较好的实时性,而将保护等级较低的网页文件检测时间间隔设得较长,以减轻系统的负担。触发方式则是利用操作系统提供的一些功能,在文件被创建、修改或删除时得到通知,这种方法的优点是效率高,但无法实现远程检测。  

比较方法  

在判断文件是否被修改时,往往采用被保护目录和备份库中的文件进行比较,比较最常见的方式全文比较。使用全文比较能直接、准确地判断出该文件是否被修改。然而全文比较在文件较大较多时效率十分低下,一些保护软件就采用文件的属性如文件大小、创建修改时间等进行比较,这种方法虽然简单高效,但也有严重的缺陷:{恶意入侵者}可以通过精心构造,把替换文件的属性设置得和原文件完全相同,{从而使被恶意更改的文件无法被检测出来}。另一种方案就是比较文件的数字签名,最常见的是MD5签名算法,由于数字签名的不可伪造性,数字签名能确保文件的相同。   

恢复方式   

恢复方式与备份库存放的位置直接相关。如果备份库存放在本地的话,恢复进程必须有写被保护目录或文件的权限。如果在远程则需要通过文件共享或FTP的方式来进行,那么需要文件共享或FTP的帐号,并且该帐号拥有对被保护目录或文件的写权限。  

备份库的安全  

当黑客发现其更换的主页很快被恢复时,往往会激发起进一步破坏的欲望,此时备份库的安全尤为重要。网页文件的安全就转变为备份库的安全。对备份库的保护一种是通过文件隐藏来实现,让黑客无法找到备份目录。另一种方法是对备份库进行数字签名,如果黑客修改了备份库的内容,保护软件可以通过签名发现,就可停止WWW服务或使用一个默认的页面。

通过以上分析比较我们发现各种技术都有其优缺点,需要结合实际的网络环境来选择最适合的技术方案。   

三、网站保护的缺陷

尽管网站保护软件能进一步提高系统的安全,仍然存在一些缺陷。首先这些保护软件都是针对静态页面而设计,而现在动态页面占据的范围越来越大,尽管本地监测方式可以检测脚本文件,但对脚本文件使用的数据库却无能为力。   

另外,有些攻击并不是针对页面文件进行的,前不久泛滥成灾的"Red Code"就是使用修改IIS服务的一个动态库来达到攻击页面的目的。另一个方面,网站保护软件本身会增加WWW服务器的负载,在WWW服务器负载本身已经很重的情况下,一定好仔细规划好使用方案。   

四、结论

本文讨论了网站常用的保护方法,详细地分析比较了专用网站保护软件采用的各种技术实现和优缺点,并指出了其缺陷。安全虽不是使用某个工具或某些工具就可以解决的,但使用这些工具能帮助提高安全性,减少安全风险。

推荐日志 网络层安全服务与攻击分析

[ 2007-03-25 03:51:11 | 作者: sun ]
在网络层实现安全服务有很多的优点。首先,由于多种传送协议和应用程序可以共享由网络层提供的密钥管理架构,密钥协商的开销被大大地削减了。其次,若安全服务在较低层实现,那么需要改动的程序就要少很多。但是在这样的情况下仍会有新的安全问题。本文将对此作出阐述。
  
  目前公认的网络攻击三种原型是窃听 、篡改、伪造、拒绝服务攻击等。
  
  IPSec 针对攻击原型的安全措施
  
  IPsec提供三项主要的功能:认证功能(AH),认证和机密组合功能(ESP)及密钥交换功能。AH的目的是提供无连接完整性和真实性包括数据源认证和可选的抗重传服务;ESP分为两部分,其中ESP头提供数据机密性和有限抗流量分析服务,在ESP尾中可选地提供无连接完整性、数据源认证和抗重传服务。
  
  IPSec提供了一种标准的、健壮的以及包容广泛的机制,可用它为IP及上层协议(如UDP和TCP)提供安全保证。它定义了一套默认的、强制实施的算法,以确保不同的实施方案相互间可以共通。而且很方便扩展。IPSec可保障主机之间、安全网关(如路由器或防火墙)之间或主机与安全网关之间的数据包的安全。IPSec是一个工业标准网络安全协议,为IP网络通信提供透明的安全服务,保护TCP/IP通信免遭窃听和篡改,可以有效抵御网络攻击,同时保持易用性。IPSec有两个基本目标:保护IP数据包安全;为抵御网络攻击提供防护措施。IPSec结合密码保护服务、安全协议组和动态密钥管理,三者共同实现上述两个目标,IPSec基于一种端对端的安全模式。这种模式有一个基本前提假设,就是假定数据通信的传输媒介是不安全的,因此通信数据必须经过加密,而掌握加解密方法的只有数据流的发送端和接收端,两者各自负责相应的数据加解密处理,而网络中其他只负责转发数据的路由器或主机无须支持IPSec。
  
  IPSec提供三种不同的形式来保护通过公有或私有IP网络来传送的私有数据。
  
  (1)验证:通过认证可以确定所接受的数据与所发送的数据是一致的,同时可以确定申请发送者在实际上是真实发送者,而不是伪装的。
  
  (2)数据完整验证:通过验证保证数据从原发地到目的地的传送过程中没有任何不可检测的数据丢失与改变。
  
  (3)保密:使相应的接收者能获取发送的真正内容,而无关的接收者无法获知数据的真正内容。
  
  IPv6下对网络安全的威胁
  
  针对密码攻击的分析
  
  基于密码的攻击很具有生命力,在IPv6环境下同样面临着这样的威胁。虽然在网络IPv6下IPsec是强制实施的,但是在这种情况下,用户使用的操作系统与其他访问控制的共同之处就是基于密码进行访问控制。对计算机与网络资源的访问都是由用户名与密码决定的。对那些版本较老的操作系统,有些组件不是在通过网络传输标识信息进行验证时就对该信息加以保护,这样窃听者能够获取有效的用户名与密码,就拥有了与实际用户同样的权限。攻击者就可以进入到机器内部进行恶意破坏。
  
  针对泄漏密钥攻击的分析
  
  IPv6下IPsec工作的两种模式(传输模式和隧道模式)都需要密钥交换这样的过程,因此对密钥的攻击仍然具有威胁。尽管对于攻击者来说确定密钥是一件艰难而消耗资源的过程,但是这种可能性实实在在存在。当攻击者确定密钥之后,攻击者使用泄露密钥便可获取对于安全通信的访问权,而发送者或接收者却全然没有察觉攻击,后面所进行的数据传输等等遭到没有抵抗的攻击。进而,攻击者使用泄露密钥即可解密或修改其他需要的数据。同样攻击者还会试图使用泄露密钥计算其它密钥,从而使其获取对其它安全通信的访问权。
  
  针对应用层服务攻击
  
  应用程序层攻击的目标是应用程序服务器,即导致服务器的操作系统或应用程序出错。这会使攻击者有能力绕过正常访问控制。攻击者利用这一点便可控制应用程序、系统或网络,并可进行下列任意操作:读取、添加、删除或修改数据或操作系统 ;引入病毒,即使用计算机与软件应用程序将病毒复制到整个网络;引入窃探器来分析网络与获取信息,并最终使用这些信息导致网络停止响应或崩溃;异常关闭数据应用程序或操作系统;禁用其它安全控制以备日后攻击。
  
  由于IPsec在网络层进行数据包加密,在网络传输过程中防火墙无法有效地将加密的带有病毒的数据包进行有效的监测,这样就对接收端的主机或路由器构成了威胁。
  
  可能发生的拒绝服务攻击
  
  密钥管理分为手工密钥管理和自动密钥管理。Internet密钥管理协议被定位在应用程序的层次,IETF规定了Internet安全协议和密钥管理协议ISAKMP(Internet Security Association and Key Management Protocol) 来实现IPSec的密钥管理需求, 为身份验证的SA 设置以及密钥交换技术定义了一个通用的结构, 可以使用不同的密钥交换技术;IETF还设计了OA KL EY密钥确定协议(Key Determination Protocol) 来实施ISAKMP的具体功能, 其主要目的是使需要保密通信的双方能够通过这个协议证明自己的身份、认证对方的身份、确定采用的加密算法和通信密钥, 从而建立起安全的通信连接。
  
  对IPsec最主要的难应用性在于它们所强化的系统的复杂性和缺乏清晰性。IPsec中包含太多的选项和太多的灵活性。对于相同的或者类似的情况常常有多种做法。
  
  IKE的协议容易受到拒绝服务攻击。攻击者可以在因特网初始化许多连接请求就可以做到,这时服务器将会维护这些恶意的“小甜饼”。
  
  加密是有代价的。进行模数乘幂运算,或计算两个非常大的质数的乘积,甚至对单个数据包进行解密和完整性查验,都会占用cpu的时间。发起攻击的代价远远小于被攻击对象响应这种攻击所付出的代价。例如,甲想进行一次Diffie-Hellman密钥交换,但mallory向她发送了几千个虚假的Diffie-Hellman公共值,其中全部填充伪造的返回地址。这样乙被动地进入这种虚假的交换。显然会造成cpu的大量浪费。
  
  IPsec对相应的攻击提出了相应的对策。但它并不是通过抵挡服务否认攻击来进行主动防御,只是增大了发送这种垃圾包的代价及复杂度,来进行一种被动防御。
  
  但是攻击者仍然可以利用IKE协议的漏洞从而使服务中断。
  
  以下是基于签名的IKE阶段1主模式的认证失败(如图4所示)。
  
  (Malice 对I使用他的真实身份信息,而对R则冒充I)
  
  1. I到Malice:HDRI,SAI;
  
  1’Malice(“I”)到R:HDRI,SAI;
  
  2’R到Malice(“I”):HDRR,SAR;
  
  2.Malice到I:HDRR,SAR;
  
  3.I到Malice:HDRI,gx,NI;
  
  3’Malice(“I”)到R:HDRI,gx,NI;
  
  4’R到Malice(“I”):HDRR,gy,NR;
  
  4.Malice到I:HDRR,gy,NR;
  
  5.I到Malice:HDRI,{IDI,CertI,SigI}gxy?;
  
  5’Malice(“I”)到R:HDRI,{IDI,CertI,SigI}gxy;
  
  6’R到Malice(“I”):HDRR,{IDR,CertR,SigR}gxy;
  
  6. Dropped。
  
  这样,R认为刚才和他对话并和他共享会话密钥的是I,而I却认为刚才是和Malice进行了一次不成功的通信。R根本不会被通知存在任何异常,并且也许会拒绝来自I的服务;实际上R进入了这样一种状态,只接受来自I的服务请求(也许直到“超时”后,R才会脱离这样的状态。)
  
  面对越来越多的网络安全问题,唯有各种安全协议有效地结合起来使用才会降低攻击的可能性。由于IPsec是IPv6下强制使用的,加上网络层加密的特殊优点,把工作于IP层的IPsec和其他的安全协议(SSL等)结合起来可以将网络安全的质量提高到更高的一个水平。但是同时道高一尺,魔高一丈,新的安全问题会接踵而至,对于协议的漏洞,要先知先觉,这样才会未雨绸缪,防患于未然。
近期读了一些关于网络入侵的文章,感觉到增强网络安全是一项日常性的工作,并不是说网络设备、服务器配置好了就绝对安全了,操作系统和一些软件的漏洞是不断被发现的,比如冲击波、震荡波病毒就是利用系统漏洞,同样利用这些漏洞可以溢出得到系统管理员权限, server-U的提升权限漏洞也可以被利用。在这些漏洞未被发现前,我们觉得系统是安全的,其实还是不安全的,也许漏洞在未公布前已经被部分hacker 所知,也就是说系统和应用软件我们不知道还会存在什么漏洞,那么日常性的防护就显得尤为必要。

  一、做好基础性的防护工作,服务器安装干净的操作系统,不需要的服务一律不装,多一项就多一种被入侵的可能性,打齐所有补丁,微软的操作系统当然推荐WIN2K3,性能和安全性比WIN2K都有所增强,选择一款优秀的杀毒软件,至少能对付大多数木马和病毒 的,安装好杀毒软件,设置好时间段自动上网升级,设置好帐号和权限,设置的用户尽可能的少,对用户的权限尽可能的小,密码设置要足够强壮。对于MSSQL,也要设置分配好权限,按照最小原则分配。最好禁用xp_cmdshell。有的网络有硬件防火墙,当 然好,但仅仅依靠硬件防火墙,并不能阻挡hacker的攻击,利用反向连接型的木马和其他的办法还是可以突破硬件防火墙的阻挡。WIN2K3系统自带的防火墙功能还不够强大,建议打开,但还需要安装一款优秀的软件防火墙保护系统,我一般习惯用ZA,论坛有 很多教程了。对于对互联网提供服务的服务器,软件防火墙的安全级别设置为最高,然后仅仅开放提供服务的端口,其他一律关闭,对于服务器上所有要访问网络的程序,现在防火墙都会给予提示是否允许访问,根据情况对于系统升级,杀毒软件自动升级等有必要访问外网 的程序加到防火墙允许访问列表。那么那些反向连接型的木马就会被防火墙阻止,这样至少系统多了一些安全性的保障,给hacker入侵就多一些阻碍。网络上有很多基础型的防护资料,大家可以查查相关服务器安全配置方面的资料。

  二、修补所有已知的漏洞,未知的就没法修补了,所以要养成良好的习惯,就是要经常去关注。了解自己的系统,知彼知己,百战百胜。所有补丁是否打齐,比如mssql,server-U,论坛程序是否还有漏洞,每一个漏洞几乎都是致命的,系统开了哪些服务,开了哪些端口,目前开的这些服务中有没有漏洞可以被黑客应用,经常性的了解当前黑客攻击的手法和可以被利用的漏洞,检查自己的系统中是否存在这些漏洞。比如SQL注入漏洞,很多网站 都是因为这个服务器被入侵,如果我们作为网站或者服务器的管理者,我们就应该经常去关注这些技术,自己经常可以用一些安全性扫描工具检测检测,比如X- scan,snamp, nbsi,PHP注入检测工具等,或者是用当前比较流行的hacker入侵工具检测自己的系统是否存在漏洞,这得针对自己的系统开的服务去检测,发现漏洞及时修补。网络管理人员不可能对每一方面都很精通,可以请精通的人员帮助检测,当然对于公司来说,如果 系统非常重要,应该请专业的安全机构来检测,毕竟他们比较专业。

  三、服务器的远程管理,相信很多人都喜欢用server自带的远程终端,我也喜欢,简洁速度快。但对于外网开放的服务器来说,就要谨慎了,要想到自己能用,那么这个端口就对外开放了,黑客也可以用,所以也要做一些防护了。一就是用证书策略来限制访问者,给 TS配置安全证书,客户端访问需要安全证书。二就是限制能够访问服务器终端服务的IP地址。三是可以在前两者的基础上再把默认的3389端口改一下。当然也可以用其他的远程管理软件pcanywhere也不错。

  四、另外一个容易忽视的环节是网络容易被薄弱的环节所攻破,服务器配置安全了,但网络存在其他不安全的机器,还是容易被攻破,“千里之堤,溃于蚁穴 ”。利用被控制的网络中的一台机器做跳板,可以对整个网络进行渗透攻击,所以安全的配置网络中的机器也很必要。说到跳板攻击,水平稍高一点的hacker攻击一般都会隐藏其真实IP,所以说如果被入侵了,再去追查的话是很难成功的。Hacker利用控制的肉鸡,肉鸡一般都是有漏洞被完全控制的计算机,安装了一些代理程序或者黑客软件,比如DDOS攻击软件,跳板程序等,这些肉鸡就成为黑客的跳板,从而隐藏了真实IP。

 五、最后想说的是即使大家经过层层防护,系统也未必就绝对安全了,但已经可以抵挡一般的hacker的攻击了。连老大微软都不能说他的系统绝对安全。系统即使只开放80端口, 如果服务方面存在漏洞的话,水平高的hacker还是可以钻进去,所以最关键的一点我认为还是关注最新漏洞,发现就要及时修补。“攻就是防,防就是攻” ,这个观点我比较赞同,我说的意思并不是要去攻击别人的网站,而是要了解别人的攻击手法,更好的做好防护。比如不知道什么叫克隆管理员账号,也许你的机器已经被入侵并被克隆了账号,可能你还不知道呢?如果知道有这种手法,也许就会更注意这方面。自己的网站 如果真的做得无漏洞可钻,hacker也就无可奈何了。

  希望大家有好的思路和经验能够多探讨探讨,要做好网络安全还有很多细节需要注意,一个微小的疏忽都可能导致功亏一篑
.

目前,黑客攻击已成为一个很严重的网络问题。许多黑客甚至可以突破SSL加密和各种防火墙,攻入Web网站的内部,窃取信息。黑客可以仅凭借浏览器和几个技巧,即套取Web网站的客户信用卡资料和其它保密信息。


随着防火墙和补丁管理已逐渐走向规范化,各类网络设施应该是比以往更完全。但不幸的是,道高一尺,魔高一丈,黑客们已开始直接在应用层面

对Web网站下手。市场研究公司Gartner的分析师指出,目前有70%的黑客袭击事件都发生在应用程序方面。要增强Web网站的安全性,首先要澄清五个误解。


一、“Web网站使用了SSL加密,所以很安全”


单靠SSL加密无法保障网站的安全。网站启用SSL加密后,表明该网站发送和接收的信息都经过了加密处理,但是SSL无法保障存储在网站里的信息的安全。许多网站采用了128位SSL加密,但还是被黑客攻破。此外,SSL也无法保护网站访问者的隐私信息。这些隐私信息直接存在网站服务器里面,这是SSL所无法保护的。


二、“Web网站使用了防火墙,所以很安全”


防火墙有访问过滤机制,但还是无法应对许多恶意行为。许多网上商店、拍卖网站和BBS都安装了防火墙,但依然脆弱。防火墙通过设置“访客名单”,可以把恶意访问排除在外,只允许善意的访问者进来。但是,如何鉴别善意访问和恶意访问是一个问题。访问一旦被允许,后续的安全问题就不是防火墙能应对了。


三、“漏洞扫描工具没发现任何问题,所以很安全”


自1990年代初以来,漏洞扫描工具已经被广泛使用,以查找一些明显的网络安全漏洞。但是,这种工具无法对网站应用程序进行检测,无法查找程序中的漏洞。


漏洞扫描工具生成一些特殊的访问请求,发送给Web网站,在获取网站的响应信息后进行分析。该工具将响应信息与一些漏洞进行对比,一旦发现可疑之处即报出安全漏洞。目前,新版本的漏洞扫描工具一般能发现网站90%以上的常见安全问题,但这种工具对网站应用程序也有很多无能为力的地方。


四、“网站应用程序的安全问题是程序员造成的”


程序员确实造成了一些问题,但有些问题程序员无法掌控。


比如说,应用程序的源代码可能最初从其它地方获得,这是公司内部程序开发人员所不能控制的。或者,公司可能会请一些离岸的开发商作一些定制开发,与原有程序整合,这其中也可能会出现问题。或者,一些程序员会拿来一些免费代码做修改,这也隐藏着安全问题。再举一个极端的例子,可能有两个程序员来共同开发一个程序项目,他们分别开发的代码都没有问题,安全性很好,但整合在一起则可能出现安全漏洞。


很现实地讲,软件总是有漏洞的,这种事每天都在发生。安全漏洞只是众多漏洞中的一种。加强员工的培训,确实可以在一定程度上改进代码的质量。但需要注意,任何人都会犯错误,漏洞无可避免。有些漏洞可能要经过许多年后才会被发现。


五、“我们每年会对Web网站进行安全评估,所以很安全”


一般而言,网站应用程序的代码变动很快。对Web网站进行一年一度的安全评估非常必要,但评估时的情况可能与当前情况有很大不同。网站应用程序只要有任何改动,都会出现安全问题的隐患。


网站喜欢选在节假日对应用程序进行升级,圣诞节就是很典型的一个旺季。网站往往会增加许多新功能,但却忽略了安全上的考虑。如果网站不增加新功能,这又会对经营业绩产生影响。网站应该在程序开发的各个阶段都安排专业的安全人员。