入侵防范范文(精选10篇)
入侵防范 第1篇
1 木马的工作原理
木马在实质上只是一个网络客户端/服务器程序, 是一种基于远程控制的黑客工具, 木马一般有两部分组成:服务器端, 客户端。在Windows系统中, 木马一般是一个网络服务程序, 服务器端运行于感染的机器上监听它的一些特定端口, 这个端口号多数比较大 (5000以上, 但也有部分是5000以下的) 。当该木马相应的客户端程序在此端口上请求连接时, 木马的客户端和服务器端就建立一个TCP连接, 这样客户端就可以控制感染木马的机器, 以达到攻击的目的。
1.1 利用木马对目标进行攻击。
1.1.1传播木马。木马的传播方式主要有两种:一种是通过E-MAIL, 黑客把木马程序以附件的形式用邮件中发送出去, 收信人只要打开附件, 系统就会感染木马;另一种是软件下载, 一些非正规的网站以提供软件下载为名义, 将木马捆绑在软件安装程序上, 下载后, 只要运行这些程序, 木马就会自动安装。现在有专门的捆绑软件, 可以把不同功能的软件捆绑在一起。1.1.2木马的隐藏方式。鉴于木马的危害性, 很多人对木马知识还是有一定了解的, 这对木马的传播起了一定的抑制作用。为了使木马不被发现, 木马配置程序会采用诸如修改图标, 捆绑文件, 定制端口, 自我销毁等伪装手段, 黑客开发了多种功能来伪装木马, 以达到降低用户警觉, 欺骗用户的目的, 下面介绍一下常见的几种伪装手段。a.修改图标。服务器的图标必须能够迷惑目标电脑的主人, 如果木马的图标看上去象是系统文件, 电脑的主人就不会轻易地删除他。另外在E-mail的附件中, 木马设计者们将木马服务端程序的图标改成HTML、TXT、ZIP等各种文件的图标, 这样就有相当大的迷惑性, 现在这种木马很常见。b.捆绑文件。为了启动木马, 最容易下手的地方是三个, 注册表、win.ini、system.ini, 电脑启动的时候, 需要装载这三个文件。还有替换windows启动程序装载的, 例如schoolbus 1.60版本。以上木马的启动方式都属于非捆绑方式, 大部分木马是使用这几种方式启动的。但是非捆绑方法会在注册表等位置留下痕迹, 很容易发现。如果把木马捆绑到一般的程序上, 启动是不确定的, 但是要靠电脑主人启动被捆绑的程序, 木马才会运行。c.出错显示。有一定木马知识的人都知道, 如果打开一个文件, 没有任何反应, 这很可能就是个木马程序, 木马的设计者也意识到了这个缺陷, 所以已经有木马提供了一个叫做出错显示的功能。当服务端用户打开木马程序时, 会弹出一个错误提示框, 错误内容可自由定义, 大多会定制成一些诸如“文件已破坏, 无法打开!”之类的信息, 其实却是启动木马。d.定制端口。很多老式的木马端口都是固定的, 这使得木马隐蔽性较差, 只要查一下特定的端口就知道感染了什么木马, 这样就可以很容易的把它删除。像netspy的端口号是7306, 冰河的端口号是7626。现在很多新式木马已经可以定制端口, 控制端用户可以在1024-65535之间任选一个端口作为木马端口 (一般不选1024以下的端口) , 这样要判断所感染木马的类型就不太容易了。e.自我销毁。这项功能是为了弥补木马的一个缺陷。我们知道当服务端用户打开含有木马的文件后, 木马会将自己拷贝到WINDOWS的系统文件夹中 (C:WIN-DOWS或C:WINDOWSSYSTEM目录下) , 一般来说原木马文件和系统文件夹中的木马文件的大小是一样的 (捆绑文件的木马除外) , 那么中了木马的人只要在近来收到的信件和下载的软件中找到原木马文件, 然后根据原木马的大小在系统目录的文件夹查找相同大小的文件, 然后判断哪一个是木马。而木马的自我销毁功能是指安装完木马后, 原木马文件将自动销毁, 这样服务端用户就很难找到木马的来源, 给查找、删除木马带来困难。f.木马文件的文件名、存放位置。在windows系统中木马存放的位置一般是c:windows和c:windowssystem中, 主要是因为这两个目录下面的文件大都是系统文件, 并且文件最多。木马的文件名一般是与一些系统的文件名比较接近, 以达到迷惑受害人的目的。比如木马Sub Seven1.7版本的服务器文件名是c:windowsKERNEL16.DLL, 它与windows中的一个系统文件c:windowsKERNEL32.DLL很相近。g.隐蔽运行。既然是木马, 当然不会轻易被看出破绽, 对于程序设计人员来说, 要隐藏自己所设计的窗口程序, 主要途径有:在任务栏中将窗口隐藏。
1.2 运行木马。
服务端用户运行木马或捆绑木马的程序后, 木马就会自动进行安装。首先将自身拷贝到WINDOWS的系统文件夹中 (C:WIN-DOWS或C:WINDOWSSYSTEM目录下) , 然后在注册表, 启动组, 非启动组中设置好木马的触发条件, 这样木马的安装就完成了。木马被激活后, 进入内存, 并开启事先定义的木马端口, 准备与控制端建立连接。这时服务端用户可以在MS-DOS方式下, 键入netstat-a查看端口状态, 一般个人电脑在脱机状态下是不会有端口开放的, 如果有端口开放, 你就要注意是否感染木马了。机器在联网情况下, 查看有没有异常的开放端口, 如果有的话可能感染了木马。
1.3 信息泄露。
一般来说, 设计成熟的木马都有一个信息反馈机制。所谓信息反馈机制是指木马成功安装后会收集一些服务端的软硬件信息, 并通过E-MAIL等方式告知控制端用户。通过邮件可以知道服务端的一些软硬件信息, 包括使用的操作系统, 系统目录, 硬盘分区状况, 系统口令等。
1.4 建立连接。
一个木马连接的建立首先必须满足两个条件:一是服务端已经安装了木马程序;二是控制端, 服务端都要在线。在此基础上控制端可以通过木马端口与服务端建立连接。
1.5 远程控制。
木马连接建立后, 控制端端口和木马端口之间将会出现一条通道, 控制端上的控制端程序可借助这条通道与服务端上的木马程序取得联系, 并通过木马程序对服务端进行远程控制。下面介绍一下控制端具有哪些控制权限。a.窃取密码:一切以明文的形式传输的密码都能被木马侦察到。此外很多木马还提供有击键记录功能, 它将会记录服务端每次敲击键盘的动作, 所以一旦有木马入侵, 密码将很容易被窃取。b.文件操作:控制端可以远程控制服务端, 对文件进行删除、新建、修改、上传、下载、运行、更改属性等一系列操作, 基本涵盖了WINDOWS平台上所有的文件操作功能。c.系统操作:这项内容主要是对服务器端所做的操作, 主要有重启或关闭操作系统, 断开网络连接, 控制的鼠标、键盘, 监视桌面操作, 查看进程等, 客户端甚至可以随时给服务器端发送信息。
2 木马的破解与防范
2.1 端口扫描。
端口扫描是检查远程机器有无木马的最好办法, 端口扫描的原理非常简单, 扫描程序尝试连接某个端口, 因为B机装有木马程序, 所以它的木马端口7626是处于开放状态的, 如果成功, 则说明端口开放, 如果失败或超过某个特定的时间 (超时) , 则说明端口关闭。查看连接和端口扫描的原理基本相同, 不过是在本地机上通过netstat-a (或某个第三方的程序) 查看所有的TCP/UDP连接, 查看连接要比端口扫描快, 缺点同样是无法查出驱动程序/动态链接木马。
2.2 检查注册表。
上面在讨论木马的启动方式时已经提到, 木马可以通过注册表启动 (现在大部分的木马都是通过注册表启动的) , 那么, 我们同样可以通过检查注册表来发现“马蹄印”。
2.3 查找文件。
查找木马特定的文件也是一个常用的方法.例如冰河的一个特征文件是kernl32.exe (kernel32伪装成Windows的内核) , 另一个更隐蔽, 是sysexlpr.exe (伪装成超级解霸) , 冰河之所以给这两个文件取这样的名字就是为了更好的伪装自己, 只要删除了这两个文件, 冰河就已经不起作用了。其他的木马也是一样, 前提是查相关资料, 知道木马的特征, 再手工杀除。
2.4 杀病毒软件。
上面说了一些如何查杀木马的方法, 但是那些只是针对比较熟悉注册表和系统目录的高手而言, 一般的用户面对kernl32.exe这样貌似内核程序的文件是不 (下转22页) (上接115页) 敢删除的。所以说安装防火墙是比较好的一种方法, 虽然目前出现了反弹端口型木马, 可以绕过防火墙, 但是防火墙还是能够将大多数木马拒之门外的, 防火墙的阻塞方式不仅适用于TCP数据包, 还适用于UDP, ICMP等IP数据包, 只要设置好了IP规则, 就算是木马已经启动了都没有关系, 因为防火墙会将客户端和木马程序隔离开。另外, 目前的木马查杀软件比较成熟, 也是比较有效的。
最后, 安全是一个持续性的过程, 并不是一劳永逸的。网络结构在变化, 攻击在变化, 服务器的操作系统、应用程序也在变化, 这些都会造成原有安全部署的部分失效。所以, 提高网络安全意识, 对于保证计算机系统的安全不无裨益。防范木马病毒人侵也只是提高计算机安全性的一个方面, 因此, 全方位的网络安全措施才能应对各种不同的威胁和脆弱性, 也只有这样才能确保网络信息的保密性、完整性和可用性。
参考文献
[1]罗守山.入侵检测[M].北京:北京邮电大学出版社, 2004, 5.[1]罗守山.入侵检测[M].北京:北京邮电大学出版社, 2004, 5.
[2]李辉.黑客攻防与计算机病毒分析检测及安全解决方案[M].北京:电子信息技术出版社, 2006.[2]李辉.黑客攻防与计算机病毒分析检测及安全解决方案[M].北京:电子信息技术出版社, 2006.
[3]张友生.计算机病毒与木马程序剖析[M].北京:科海电子出版社, 2003.[3]张友生.计算机病毒与木马程序剖析[M].北京:科海电子出版社, 2003.
学校防范非法入侵的预案 第2篇
防范非法入侵预案
为有效预防精神失常者、社会不良分子、恐怖分子、在案逃犯等对在校师生的人生侵犯,有效地控制事态的扩大,切实保障广大师生生命与财产的安全,维护学校正常的教育教学秩序,特制定本预案。
一、预防措施
1、学校选派符合条件的人员担任门卫,严格执行门卫来访登记、验证制度,如果有精神失常者、社会不良分子、恐怖分子、在案逃犯等想强行进入学校,门卫人员一方面与他周旋,必要时拿出警用橡胶棍、高压脉冲警棍、催泪剂、套圈、警用钢叉、长木棍等,以备自卫防范,另一方面用对讲机或校内电话想方设法与学校安全领导小组成员、学校带班领导、值班教师等取得联系,控制非法入侵人员进入学校。
2、学校安全领导小组得到信息后,分成二组,一组(谈判组)由分管副校长任组长,马上赶到学校门口与非法入侵者谈判、协商,尽量阻止非法入侵,另一方面与派出所取得联系,寻求他们的帮助;另一组(疏散组)由业务副校长任组长,安排人员分头通知各教研组长,各教研组长通知班主任或课任老师,作好疏散逃离的准备。
3、在警察未到的情况下,谈判组想方设法让非法入侵者转移到办公室或远离校门口的地方,继续与他周旋,一旦非法入侵者拿出凶器,谈判组人员不惊慌不逃离,确保师生的生命、财产安全。
4、疏散组人员与教研组长分散到各个层面,指挥师生有序逃离,不争抢、不推攘,以免意外事故发生。一旦非法入侵者侵入,疏散组与教研组长马上上前围堵,确保师生的生命、财产安全。
5、积极组织师生进行防范非法入侵事件的演习,提高师生的防范和自救自护能力。
6、严格值班监视制度,值班人员经常巡视,关心学校各处的情况。
7、全校教师要提高安全意识,增强工作责任心,加强管理。加强对师生的法制和安全教育,增强师生的法制意识。
8、加强安全意识,发生学生因琐事发生打架等现象者,任课教师、班主任要及时疏导,化解矛盾纠纷。
9、做好学生离校的工作,要求做到以下几点:
(1)教育学生不得提前到校、私自留校。
(2)学生原则上不得出校,若确需出校的,必须有班主任和就业办签字的请假条方可外出。
(3)学生离校后责任自负。
二、事件的处理
一旦发生非法入侵暴力事件,务必以保护学生的生命安全为主要目的,按照下列程序处理:
1、门卫或安全领导小组报警。拨打“110”报警电话。
2、校内发现不良分子袭击、行凶、行窃、斗殴,先由校就业办与之周旋、制止、制服,为防不测,由校体育教师在旁协助。选派应变能力强、口才较好的老师、身体强壮的老师与非法入侵者周旋,对非法入侵者进行劝说,以拖延时间。
3、保护有关对象及全体学生,将保护者护送到安全处。
4、一旦发生伤害事故,学校带班领导、驾驶员、校医、值班老师、会计、班主任以最快的速度将伤员送往就近医院进行抢救,班主任通知家长或亲属。
5、党政办将情况速报市教育局。
6、学校在警方的指导下维持秩序,配合警方调查,作善后处理。
三、组织机制
1、学校安全工作领导小组统一组织事故的预防和处理工作,实行分工负责制,一旦发生事故,由校长指挥,校长不在由分管副校长指挥。
2、各类人员分工明确、行动步骤清晰。成立学校处理突发事件工作领导小组。具体负责由分管副校长担任。其中党政办
负责报警,就业办组织班主任老师在事发第一时间能及时通知家长,教导处调集校医(陈晓燕)采取急救,总务处组织财务室(胡锡强、张聿洁)准备资金,校车驾驶员车辆出动一同送往医院,就业办留学校进行联络及开展调查取证。使学生伤害程度降到最低。
附:学校安全工作领导小组名单
2010年5月4日
学校安全工作领导小组成员名单:
组长:许凤势
副组长:杜升光(谈判组组长)
王军成(疏散组组长)
郭建英 防范生物 入侵刻不容缓 第3篇
记者:紫茎泽兰为什么会在短时间内迅速繁殖,它的危害性有哪些?目前又有哪些防控措施?
郭建英:因为紫茎泽兰可以进行有性或无性繁殖,每株可年产瘦果1万粒左右,籍冠毛随风传播。根状茎发达,可依靠强大的根状茎快速扩展蔓延。而且适应能力极强,干旱、瘠薄的荒坡隙地,甚至石缝和楼顶上都能生长。除了会破坏畜牧业生产,农业生产,本地植被群落结构、影响园林、旅游业景观之外,紫茎泽兰还会危及人畜健康,它的植株内含有芳香类化学物质和一些尚不清楚的有毒物质,其具有带纤毛的种子和花粉,可引起马属动物的哮喘病,其花粉也能引起人类过敏性疾病。
目前最主要的防控措施是人工拔除,在秋冬季节,人工挖除紫茎泽兰全株,集中晒干烧毁。此方法适用于经济价值高的农田、果园和草原草地。但在人工拔除时注意防止土壤松动,以免引起水土流失。此外,还可以采用生物防除、化学防治的办法。
记者:您的新星项目是关于“分子标记技术在紫茎泽兰遗传分化研究中的应用”的研究,通过新星计划的支持,该项目取得了哪些成果?
郭建英:通过新星计划和国家重点基础研究发展计划(973)的支持,我们采用AFLP和ISSR技术,明确了入侵我国的紫茎泽兰具有丰富的遗传多样性,产生了一定程度的遗传分化,形成了不同的地理种群:地理距离和海拔是影响种群间基因交流的重要因素:并推测了紫茎泽兰在我国的传播与扩散路径。
记者:除了生物入侵之外,近年来您还进行了哪些方面的研究。
郭建英:2002年至今,根据课题组研究重心的变化,我的研究方向也相应地进行了调整,开始从事重要外来物种入侵机理和外来入侵物种防控方面的研究,包括:中国外来入侵农业病虫害信息分析与集成,外来入侵物种安全性考察,紫茎泽兰的遗传分化与传播扩散,烟粉虱对高温胁迫的响应机制,外来入侵杂草豚草和水花生的生物防治等。
在此之前,我的主要研究方向分为两个个方面:一是生物防治和害虫综合治理。这是1997年参加工作以来一直涉及的领域,当时我所在的研究所名称为中国农业科学院生物防治研究所,我着重研究生态农业的可持续植保技术,包括:农田优势天敌功能团立体调控技术、生物防治技术的协调利用与应用、生态调控与生态修复技术、安全生产关键技术组装与优化;二是转Bt基因棉的生态风险评价。主要是在2000-2005年结合承担的项目,研究Bt棉的田间生态效应、Bt棉对非目标害虫、天敌昆虫、土壤动物等的生态影响,及增强Bt棉田自然控害功能的生态效应等。
记者:目前,我国生物入侵相关技术的研究取得了哪些成果,还存在哪些问题需要解决?
防范黑客入侵攻击电脑的主要方法 第4篇
知己知彼, 百战百胜。要对网络黑客的入侵进行有效地防御, 就必须先了解黑客入侵、攻击的基本方法, 下手的目标以及各种可能的黑客行为, 然后再针对这些不同的方法和环节来找出围堵与防御之道。如此才能有效地将黑客阻拦于门外, 以保护我们的系统与数据。
1 黑客常用的攻击手段
1.1 以假乱真
在登录一些站点, 特别是那些提供个人服务 (比如股票、银行) 的站点时, 访问者往往会被要求填写一些密码之类的个人信息, 黑客就利用这个过程窃取访问者的秘密。黑客伪造一个登录页面, 抢在真正的登录页面之前出现, 待访问者认真写下登录信息并发送后, 真正的登录页面才出现。
防范这种情况, 最佳的解决之道就是防范于未然, 经常查看服务器的运作日志, 若发现疑点要及早处理, 将隐患消灭在萌芽状态。
1.2 声东击西
黑客利用某些防火墙漏洞, 将自己的IP请求设置为指向防火墙的路径, 而不是防火墙保护的主机, 畅通无阻地接近防火墙, 此时再利用防火墙作为跳板, 便可轻松入侵主机。如有这种情况发生, 就得考虑是否应该更换防火墙, 或升级原来的防火墙, 为它打上补丁。
1.3 单刀直入
黑客凭借自己高超的技术, 通过分析DNS (域名管理系统) 而直接获取Web服务器等主机的IP地址, 从而为入侵主机彻底扫除障碍。
对付这种黑客, 除了不要接受免费的域名服务, 几乎没有更好的办法。因为正规的注册域名服务一般都会有有效的安全手段, 可以保证少受攻击或不受攻击。
1.4 旁敲侧击
电子邮件其实是一种很脆弱的通信手段。一方面电子邮件的安全性很差, 传送的资料很有可能丢失或被拦截, 另一方面特洛伊木马等黑客程序大量通过电子邮件进驻用户的机器。
电子邮件是网络上用得最多的东西。许多公众网站和大公司局域网, 出于吸引访问者或工作的需要, 提供免费邮件或内部邮件的服务, 因此邮件服务器就成了黑客攻击的对象。
防范这些黑客, 可采取以下措施:邮件服务器专设专用, 不与内部局域网发生关系;开启防火墙的邮件中转功能, 让中转站过滤所有邮件等。
2 黑客入侵电脑的方式
一般上网的个人电脑是许多黑客 (不论是高手级或入门者) 与病毒最喜欢下手的目标。许多电脑都没啥防御措施, 即使有, 也不像服务器那么难以入侵。入侵一台电脑, 可以有多种入侵方式。
(1) 最常见的是IP入侵攻击。黑客在发动一场攻击之前, 一般需要先确定攻击目标, 就是要确定目标电脑的IP地址。确定了目标IP地址之后, 黑客还需要目标计算机的各种信息, 这些信息能帮助黑客发现目标的弱点。如果能将自己上网时的IP地址隐藏起来或使用仿真IP, 让黑客很难找到或下手, 入侵或攻击也就难了。
(2) 有时候, 黑客也会选择E-Mail入侵或攻击。不过由于成功率相对于通过IP入侵方式低了许多, 所以通常是在IP入侵不成功后的第二个选择。E-Mail攻击常见的情况是通过一种特殊的群发电子邮件的软件, 对某一特定地址发送大量的源地址不详、容量庞大、充满了恶意代码或骂人话的恶意邮件, 也就是通常所说的垃圾邮件。有时, 黑客会把某些木马通过捆绑等方式, 隐藏在一个很诱人的flash动画附件中, 或者做成一个毫不起眼的“TXT”文本文件。这TXT文件, 有可能是隐藏了HTML扩展名的TXT文件, 也有可能是恶意碎片文件。要彻底地防御黑客或病毒使用E-Mail入侵并不困难, 只要对收到的邮件多加检查, 不要打开来路不明的邮件, 经常对邮件程序进行漏洞修补, 就可以化险为夷。
(3) 通过即时通讯软件 (即IM软件) 入侵、传播病毒和木马也是许多黑客惯用的手法, 特别对于自己认识的人就更容易疏于防范。随着互联网的不断普及和发展, 即时通讯软件已经越来越深入地融入我们的日常生活当中, 所有当前应用的windows软件都默认安装了至少一个即时通讯软件, 而且个人数字助理和手机也安装了IM软件。IM软件广泛的跨平台应用给病毒制造者提供了一个新的平台。即时通讯软件具有如下几个特点: (1) 更加的隐蔽性; (2) 攻击更加便利; (3) 更快的传播速度。
目前, 袭击即时通讯软件的病毒主要分为三类: (1) 以QQ、MSN等即时通讯软件为传播渠道的病毒; (2) 专门针对即时通讯软件本身窃取用户帐号、密码的病毒; (3) 不断给用户发消息的骚扰性病毒。一般来说, 当一种软件的用户量达到了500~1000以上的数量级时, 就会成为病毒攻击的对象。
据统计, 2005第一季度由IM所产生的安全威胁比去年同期增长了2.5倍, 仅2005年头三个月总共发现的全新IM威胁数量就超过了75个。对即时通讯工具的攻击已经成为了黑客攻击用户的一个新热点。
IM病毒的预防及处理方法如下: (1) 尽量不要在公共场合使用IM软件; (2) 随时注意微软公司官方的安全公告, 及时下载更新系统漏洞补丁, 不给病毒制造者以可乘之机; (3) 养成良好的上网习惯, 时刻提高警惕; (4) 制定适合公司环境的内部信息交换规范, 严格管理并实时监控内部员工IM软件的使用情况; (5) 关闭或删除系统中不需要的服务。如FTP客户端、Telne及Web服务等; (6) 建议使用6位以上的复杂密码; (7) 当用户发现病毒或异常时应立即断网, 以防止计算机受到更多的感染; (8) 使用最新版本的主流信息安全产品, 提高系统安全级别。
3 结束语
互联网络正以惊人的速度改变着人们的生活方式和工作效率。从商业机构到个人都将越来越多地通过互联网处理银行事务、发送电子邮件、购物、炒股和办公。这无疑给社会、企业乃至个人带来了前所未有的便利, 所有这一切都得益于互联网的开放性和匿名性特征。然而, 正是这些特征也决定了互联网不可避免地存在着信息安全隐患。计算机操作系统本身的一些缺陷, 使得计算机网络的安全岌岌可危。我们应该把被保护的网络、主机由开放的、无边界的网络环境中独立出来, 成为可管理的、可控制的、安全的内部网络。最基本的分隔手段是防火墙。防火墙作为网络安全的第一道门户, 可以实现内部网络 (信任网络) 与外部不可信任网络 (如因特网) 之间或是内部网不同网络安全区域的隔离与访问控制, 保证网络系统及网络服务的可用性, 有效阻挡来自Internet的外部攻击。面对日益危险的网络环境, 除了一个值得信赖的防火墙之外, 同时也需要一个受官方认可的反病毒软件, 去防范病毒、木马的侵袭。除此之外, 要有良好的安全意识, 从用电脑习惯上远离黑客的入侵攻击。
摘要:病毒破坏和黑客攻击是目前网络中危害电脑系统的两大不安全因素。黑客是破坏网络安全的根源。建立完善的保护系统, 有效地防范黑客的恶意攻击, 是维护电脑安全的根本所在。
关键词:黑客入侵,黑客攻击,防范
参考文献
[1]曲鼎, 王岗.PC实用之道——病毒与黑客攻防[M].北京:清华大学出版社, 2006.
[2]甘立富.防范黑客X秘笈精华本[M].北京:人民邮电出版社, 2006.
防范 入侵攻击的主要方法分析小结 第5篇
网络管理人员应认真分析各种可能的入侵和攻击形式,制定符合实际需要的网络安全策略,防止可能从网络和系统内部或外部发起的攻击行为,重点防止那些来自具有敌意的国家、企事业单位、个人和内部恶意人员的攻击。
防止入侵和攻击的主要技术措施包括访问控制技术、防火墙技术、入侵检测技术、安全扫描、安全审计和安全管理。
一、访问控制技术
访问控制是网络安全保护和防范的核心策略之一。访问控制的主要目的是确保网络资源不被非法访问和非法利用。访问控制技术所涉及内容较为广泛,包括网络登录控制、网络使用权限控制、目录级安全控制,以及属性安全控制等多种手段。
1.网络登录控制
网络登录控制是网络访问控制的第一道防线。通过网络登录控制可以限制用户对网络服务器的访问,或禁止用户登录,或限制用户只能在指定的工作站上进行登录,或限制用户登录到指定的服务器上,或限制用户只能在指定的时间登录网络等。
网络登录控制一般需要经过三个环节,一是验证用户身份,识别用户名;二是验证用户口令,确认用户身份;三是核查该用户账号的默认权限。在这三个环节中,只要其中一个环节出现异常,该用户就不能登录网络。其中,前两个环节是用户的身份认证过程,是较为重要的环节,用户应加强这个过程的安全保密性,特别是增强用户口令的保密性。用户可以使用一次性口令,或使用IC卡等安全方式来证明自己的身份。
网络登录控制是由网络管理员依据网络安全策略实施的。网络管理员可以随时建立或删除普通用户账号,可以控制和限制普通用户账号的活动范围、访问网络的时间和访问方式,并对登录过程进行必要的审计。对于试图非法登录网络的用户,一经发现立即报警。
2.网络使用权限控制
当用户成功登录网络后,就可以使用其所拥有的权限对网络资源(如目录、文件和相应设备等)进行访问。如果网络对用户的使用权限不能进行有效的控制,则可能导致用户的非法操作或误操作。网络使用权限控制就是针对可能出现的非法操作或误操作提出来的一种安全保护措施。通过网络使用权限控制可以规范和限制用户对网络资源的访问,允许用户访问的资源就开放给用户,不允许用户访问的资源一律加以控制和保护。
网络使用权限控制是通过访问控制表来实现的。在这个访问控制表中,规定了用户可以访问的网络资源,以及能够对这些资源进行的操作。根据网络使用权限,可以将网络用户分为三大类:一是系统管理员用户,负责网络系统的配置和管理;二是审计用户,负责网络系统的安全控制和资源使用情况的审计;三是普通用户,这是由系统管理员创建的用户,其网络使用权限是由系统管理员根据他们的实际需要授予的。系统管理员可随时更改普通用户的权限,或将其删除。
3.目录级安全控制
用户获得网络使用权限后,即可对相应的目录、文件或设备进行规定的访问。系统管理员为用户在目录级指定的权限对该目录下的所有文件、所有子目录及其子目录下的所有文件均有效。如果用户滥用权限,则会对这些目录、文件或设备等网络资源构成严重威胁。这时目录级安全控制和属性安全控制就可以防止用户滥用权限。
一般情况下,对目录和文件的访问权限包括系统管理员权限、读权限、写权限、创建权限、删除权限、修改权限、文件查找权限和访问控制权限。目录级安全控制可以限制用户对目录和文件的访问权限,进而保护目录和文件的安全,防止权限滥用。
4.属性安全控制
属性安全控制是通过给网络资源设置安全属性标记来实现的。当系统管理员给文件、目录和网络设备等资源设置访问属性后,用户对这些资源的访问将会受到一定的限制,
通常,属性安全控制可以限制用户对指定文件进行读、写、删除和执行等操作,可以限制用户查看目录或文件,可以将目录或文件隐藏、共享和设置成系统特性等。
5.服务器安全控制
网络允许在服务器控制台上执行一系列操作。用户使用控制台可以装载和卸载模块,可以安装和删除软件等。网络服务器的安全控制包括设置口令锁定服务器控制台,以防止非法用户修改、删除重要信息或破坏数据;设定服务器登录时间限制、非法访问者检测和关闭的时间间隔。
二、防火墙技术
防火墙是用来保护内部网络免受外部网络的恶意攻击和入侵,为防止计算机犯罪,将入侵者拒之门外的网络安全技术。防火墙是内部网络与外部网络的边界,它能够严密监视进出边界的数据包信息,能够阻挡入侵者,严格限制外部网络对内部网络的访问,也可有效地监视内部网络对外部网络的访问。
三、入侵检测技术
入侵检测技术是网络安全技术和信息技术结合的产物。使用入侵检测技术可以实时监视网络系统的某些区域,当这些区域受到攻击时,能够及时检测和立即响应。
入侵检测有动态和静态之分,动态检测用于预防和审计,静态检测用于恢复和评估。
四、安全扫描
安全扫描是对计算机系统或其他网络设备进行相关安全检测,以查找安全隐患和可能被攻击者利用的漏洞。从安全扫描的作用来看,它既是保证计算机系统和网络安全必不可少的技术方法,也是攻击者攻击系统的技术手段之一,系统管理员运用安全扫描技术可以排除隐患,防止攻击者入侵,而攻击者则利用安全扫描来寻找入侵系统和网络的机会。
安全扫描分主动式和被动式两种。主动式安全扫描是基于网络的,主要通过模拟攻击行为记录系统反应来发现网络中存在的漏洞,这种扫描称为网络安全扫描;而被动式安全扫描是基于主机的,主要通过检查系统中不合适的设置、脆弱性口令,以及其他同安全规则相抵触的对象来发现系统中存在的安全隐患,这种扫描称为系统安全扫描。
安全扫描所涉及的检测技术主要有以下四种:
(1)基于应用的检测技术。它采用被动的、非破坏性的办法检查应用软件包的设置,发现安全漏洞。
(2)基于主机的检测技术。它采用被动的、非破坏性的办法对系统进行检测。通常,它涉及系统的内核,文件的属性,操作系统的补丁等问题。
这种技术还包括口令解密,把一些简单的口令剔除。因此,这种技术可以非常准确地定位系统的问题,发现系统的漏洞。它的缺点是与平台相关,升级复杂。
(3)基于目标的漏洞检测技术。它采用被动的、非破坏性的办法检查系统属性和文件属性,如数据库、注册号等。通过消息摘要算法,对文件的加密数进行检验。这种技术的实现是运行在一个闭环上,不断地处理文件、系统目标、系统目标属性,然后产生检验数,把这些检验数同原来的检验数相比较。一旦发现改变就通知管理员。
(4)基于网络的检测技术,它采用积极的、非破坏性的办法来检验系统是否有可能被攻击而崩溃。它利用了一系列的脚本模拟对系统进行攻击的行为,然后对结果进行分析。它还针对已知的网络漏洞进行检验。网络检测技术常被用来进行穿透实验和安全审计。这种技术可以发现一系列平台的漏洞,也容易安装。但是,它可能会影响网络的性能。
安全扫描技术正逐渐向模块化和专家系统两个方向发展。
在模块化方面,整个安全扫描系统由若干个插件组成,每个插件封装一个或多个漏洞扫描方法,主扫描过程通过调用插件的方法来执行扫描任务。系统更新时,只需添加新的插件就可增加新的扫描功能。另外,由于插件的规范化和标准化,使得安全扫描系统具有较强的灵活性、扩展性和可维护性。
在专家系统方面,安全扫描能够对扫描结果进行整理,形成报表,同时可针对具体漏洞提出相应的解决办法。随着安全扫描技术的发展,希望安全扫描系统能够对网络状况进行整体评估,并提出针对整个网络的安全解决方案。未来的系统,不仅仅是一个漏洞扫描工具,还应该是一个安全评估专家。
网页木马入侵方式与防范措施研究 第6篇
网页木马是基于B/S结构的网页脚本, 通常由asp、php、jsp、javascript等脚本语言编写, 以网页文件形式或伪装成图片等其他文件形式存在的一种命令执行环境, 也可以称为一种网页后门。它和其它网页程序并没有本质区别, 和其它网页程序的区别仅仅在于网页木马是入侵者上传到目标空间, 并帮助入侵者控制目标空间的网页程序。
网页木马按文件大小和功能划分为“小马”和“大马”, 小马的文件比较小, 甚至只需要一句话, 功能也比较简单, 但是很关键, 虽然只有很简单的一句或几句话, 但是可以通过它把功能强大, 体积较大的“大马”文件上传到服务器, 从而控制网站, 甚至控制服务器。如常用的asp小马只有<%execute request (“value”) %>、<%eval request (“value”) %>等一句话, 其中value是值, 入侵者自己定义。入侵者知道小马的URL和自己定义的value, 就可以通过它把“大马”文件上传到服务器, 进而控制网站或服务器。
网页木马隐蔽性非常好。它们或嵌套在正常网页中运行, 或伪装成图片或压缩文件等, 有的虽然是单独的一个网页脚本, 但看起来和正常的网页程序没有区别, 不容易被发现。网页木马入侵时和正常的网页一样是通过80端口传递数据, 因此不会被防火墙拦截。同时, 使用网页木马一般不会在系统日志中留下记录, 只会在网站的web目志中留下一些数据提交记录, 很难发现入侵痕迹。
2 网页木马入侵步骤
网页木马入侵的一般步骤为:
(1) 扫目录。黑客入侵网站, 一般第一件事就是扫目录, 如果扫到网站有上传点, 直接上传木马, 很多asp网站的上传点很容易猜到。
(2) 通过漏洞向网站写入“小马”。
(3) “小马”代码被网站执行。
(4) 通过木马客户端连接“小马”。
(5) 上传“大马”进一步控制网站。
(6) 配合“大马”进行提权。
(7) 完全控制服务器。
3 网页木马上传常用漏洞
3.1 上传漏洞
因过滤上传文件不严或其它漏洞, 导致黑客可以直接上传Web Shell到网站可写目录中, 从而拿到网站的管理员控制权限。譬如老版本的fckeditor编辑器的上传组件存在公开的漏洞, 可以上传任意格式的文件, 只要短短几分钟, 一个小马就可以上传到服务器。
3.2 SQL注入漏洞
由于程序没有过滤用户的输入, 攻击者通过向服务器提交恶意的SQL查询语句, 应用程序接收后错误的将攻击者的输入作为原始SQL查询语句的一部分执行, 导致改变了程序原始的SQL查询逻辑, 额外的执行了攻击者构造的SQL查询语句。SQL注入漏洞可以用来从数据库获取敏感信息, 或者利用数据库的特性执行添加用户, 导出文件等一系列恶意操作, 甚至有可能获取数据库乃至系统最高权限。
3.3 添加上传文件类型漏洞
有些网站后台允许添加上传类型, 由此很容易被黑客利用, 譬如ewebeditor在线编辑器。e Web Editor提供了后台登录, 如果没有更改其默认登录用户名及密码, 那么就可通过扫描器扫描其登录后台, 添加上传文件类型, 利用其上传功能将包含一句话木马的文件或者ASP木马上传到网站, 然后运行其进行入侵攻击。
3.4 后台数据库备份及恢复功能漏洞
主要是利用后台对access数据库的“备份数据库”或“恢复数据库”功能, “备份的数据库路径”等变量没有过滤导致可以把任意文件后缀改为asp, 从而得到Web Shell。
3.5 IIS解析漏洞
在网站下建立名字为*.asp、*.asa的文件夹, 其目录内的任何扩展名的文件都被IIS当作asp文件来解析并执行。例如创建目录vidun.asp, 那么/vidun.asp/1.jpg将被当作asp文件来执行。
网站上传图片的时候, 将网页木马文件的名字改成“*.asp;.jpg”, 也同样会被IIS当作asp文件来解析并执行。例如上传一个图片文件, 名字叫“vidun.asp;.jpg”的木马文件, 该文件可以被当作asp文件解析并执行。
4 网页木马的防范
4.1 查找并堵塞网站漏洞
一切入侵活动皆依赖漏洞, 如果网站不存在漏洞, 那么就不会被写入木马。堵塞漏洞关键的是要知道黑客常用的入侵方式和经常利用的漏洞, 笔者在前文已经做了介绍, 网站管理者应针对这些漏洞进行测试, 对于网站存在的漏洞, 通过编程使其完善。
使用工具可以较快的发现网站的漏洞, 然后进行修补。利用御剑后台扫描、wwwscan等网站漏洞扫描工具, 可以检查网站是否存在上传点, 后台目录是否独特, 是否能被黑客发现;利用IBM Rational App Scan、啊D、明小子、网站安全狗等工具可以检查网站是否存在SQL注入点。
根据网站服务器上面查找到的木马和网站日志, 反推木马上传方式, 查找网站安全漏洞, 并进行测试、修补和完善。
4.2 合理设置访问权限
网站的访问权限应该做严格的限制。不需要写操作的文件或文件夹设置为只读, 需要写操作的文件或文件夹赋予读写权限, 但不允许执行权限。
4.3 限制开放功能函数和组件
网站应该尽量少开放甚至不开放功能函数, 如php的popen () 、exec () 、passthru () 、system () ;而对于asp的网站, 应限制Wscript.shell组件的使用。
4.4 过滤数据
网站系统对用户提交的所有数据应该进行某些特殊符号的转义, 如单引号、反斜杠、尖括号等;对于网站留言和注册功能, 应对用户提交的数据进行过滤, 替换一些危险的代码。
4.5 提高安全意识
不使用默认的数据库路径和默认的管理员密码;设置尽量独特的后台目录结构;涉及用户名与口令的代码最好封装在服务器端;涉及到与数据库连接的用户名与口令给予最小的权限;需要经过验证的页面, 跟踪上一个页面的文件名, 只有从上一页面转进来的会话才能读取这个页面;检查html在线编辑器及其它具有上传功能的软件模块是否存在上传漏洞;为网站配置可靠的防注入程序, 在数据库中限制字符的类型和长度。
4.6 数据库的安全设置
严格设置数据库的写入操作;隐藏网站的数据库, 不让攻击者知道数据库文件的链接地址;在数据库连接文件中加入容错代码等, 防止暴库;数据库进行防下载处理。
4.7 日常多维护
定期备份网站源码及数据库文件, 当发现被入侵, 及时修复网站源码内容。
定期全面检查网站文件, 根据文件夹及其文件属性 (名称、大小、文件类型、修改时间等) 判断哪些文件及文件夹最近被修改过。通过比较修改时间来检查是否有非法用户上传文件。
启用并审核Web站点日志记录, 查看是否有非法上传文件、SQL注入等, 及时发现和排除可疑文件。
使用D盾_web查杀软件, 可以较快的在海量的源文件代码中查找隐藏在正常文件里的后门, 极大的减少追查网页木马的工作量。
利用Macromedia Dreamweaver和操作系统自带的搜索功能, 对木马的关键字搜索, 比如<%eval request () %>等, 也可以发现部分网页木马。
摘要:网页木马对网站的安全构成严重威胁, 然而网页木马又具有较高的隐蔽性。因此识别网页木马并了解其入侵方式, 及时堵塞网站安全漏洞, 是我们网站管理员必须要掌握的。详细介绍了网页木马的形式, 入侵原理、经常利用的漏洞并给出了防范措施。
关键词:网页木马,入侵,漏洞,防范
参考文献
[1]安晓瑞.ASP网站中asp一句话木马的安全性问题及防范措施的研究[J].首都师范大学学报:自然科学版, 2014.
[2]罗泽林, 陈思亮, 张贵洲, 谢乔, 庄小妹.网页木马的攻击与防范[J].电脑知识与技术, 2014.
数据库安全及防范入侵的研究 第7篇
1 数据库安全机制
1.1 数据库的安全机制
数据库只有通过安全机制才能实现其相应的安全策略,目前,最常见的安全机制主要有以下几个方面:
(1)标识与认证
标识指的是让系统明确具体用户的身份及相应的权限,数据库系统一般都是通过用户名(ID)和密码来进行控制的。认证是对系统对用户身份的验证。数据库管理系统的使用首先就是进行标识和认证,这也是数据库系统安全运行的基础。随着IT行业的不断发展,对用户的标识和认证技术也在不断地进步,除录入ID及密码方法外,还有智能卡验证及生物认证等新型技术手段。
(2)访问控制
当用户对数据库发送相关的访问请求时,数据库系统会根据用户的标识和认证,对其权限进行分析,以确定用户的访问权限规则。当前访问控制的类型主要有:MAC(强制访问控制)、DAC(自主访问控制)和RBAC(基于角色的访问控制)。
MAC的基本思想是:首先对用户和数据库中的具体对象制定其相应的安全级别,并对其安全级别设置对应的规则,通过匹配规则的方式来确定用户是否能够正常读取或写入其对应的数据。
DAC的基本思想是:根据主体的身份对客体访问进行有效的约束,需要注意的是,该方式主要对单一用户起作用。
RBAC的基本思想是:将整个系统分为角色、用户、权限、对象及操作等5个属性。对每一个角色都分配其对应的权限,用户假如要使用某一权限,那么首先要成为对应的角色成员。一般来说,每一个角色获取其最小范围的使用权限。
(3)审计
对数据库系统的一切操作都进行记录,对审计日志进行分析,可以有效地分析出具体用户对数据库的操作情况,对内部攻击和外部攻击进行识别,发现其非法入侵用户,有针对性地对造成数据库状况的操作进行处理。
(4)数据加密
数据库的数据要在网络中进行传输和存储,不可避免地被非法分子进行窃取,利用数据加密可以有效地保护数据库中数据的安全。
(5)数据备份
当数据库受到不可恢复的破坏时,为了让系统及时恢复运行,对数据库中的数据及时进行备份,可以让系统恢复至破坏前状态,保证系统的正常运行。
1.2 安全机制的不足
数据库的安全机制提供了系统安全的基本保障,但这些并不足以将所有的隐患排除,其不足之处体现在:数据库系统是安装在操作系统之上的,在互联网日益发达的今天,黑客可以利用各种方式轻松入侵操作系统,这让操作系统平台上的数据库的安全受到极大的挑战;用户认证的不足主要是非法用户一旦获取了合法的账号密码,那么非法用户就可以顺利进行了数据库之中进行操作和处理,对数据的安全形成极大的危害;审计的不足体现在只能在事后对入侵事件进行分析,而不能及时发现并处理入侵事件。
2 非法入侵数据库的过程
非法用户入侵数据库系统之前,会对相关的信息进行收集,明确其入侵的目标,查找其待攻击目标系统的安全漏洞,并针对其漏洞制定相应的攻击策略,对其进行入侵并进入系统。非法用户会根据所进入系统的权限对数据库系统中的数据进行访问及操作,获得其有用的信息或对系统进行深一步的破坏。并在此权限的基础上,获得更高的权限,在系统中安装对应的木马,以便于下一次的入侵,找出自身相关操作的审计日志中记录并删除。
非法用户入侵数据库系统主要采取以下几种方式:
(1)破解口令
对于研发人员和设计人员来说,对于系统口令的保密机制重要性有清晰的认识,在口令的设置方面,都采用比较复杂的口令。而对于用户来说,则对于口令重要性认识不足,在口令的设置方面,为了便于每一次的登录,口令设置的相对比较简单,这就给非法用户可趁之机,非法用户利用穷举法的方法进行强制破解,从而让非法用户轻松取得了相关账户的所有权,给系统带来危害。
(2)变更权限
权限的变更主要是指非法用户通过获取额外的权限,可以操作和访问本不应该操作的数据信息,这是比较常见的入侵手段,非法用户的权限超出了自身的工作范围。
(3)利用数据库服务漏洞
在数据库中,有些服务及功能在系统的运行中不需要使用,非法用户利用该服务对系统进行非法登录。例如:Oracle数据库中的监听器,一般用户都会给数据库提供用户及密码,但是监听器的密码一般都不会设置。而监听器对数据库的网络连接进行连接,使数据库与用户的连接泄露。
(4)SQL注入
用户利用数据库中的SQL语句以获取相关的数据库的相关信息,当SQL语句提交给数据库并运行,此时就形成SQL的注入攻击,利用其相关的查询代码,数据库会根据SQL语句的运行返回其相关的结果,从而从数据库中提取有价值的数据信息,利用这些信息取得对数据库的控制。
SQL注入是当前最流行的入侵方法,它是利用应用程序和数据库的漏洞,在利用SQL注入以前,入侵者已经取得了系统的身份验证,并且在数据库中得到验证,此时用户将非法的SQL语句移值到数据库中运行时,数据库并不认为其非法,从而对数据库的安全造成了一定的损害。
(5)获取备份数据
数据库系统为了保障系统在受到破坏时,能够及时恢复,会对整个数据库进行定期的备份,假如这些备份数据被非法用户获取,那么就会利用备份数据的恢复从而得到原数据库中的信息。
3 入侵检测系统
3.1 基本思想
应用程序的开发、设计、运行及管理维护主要过程如图1所示,主要由人(用户、管理员、程序员等)、中间件(应用程序、开发工具、操作系统、数据库管理工具等)和数据库组成。
根据如图1所示,可知在整个系统的设计中,SQL语句的结构、执行顺序都是固定的,不合法的SQL语句会把SQL语句的执行顺序破坏。因此入侵检测系统的设计可以从检测SQL语句的结构、操作行为及系统的操作步骤等几个方面进行入手。从而迅速地查出系统中非法SQL语句的执行,并第一时间进行报警处理。
3.2 系统构成
根据其系统的基本思想对系统进行分析,将整个系统划分为数据采集、SQL解析、SQL检测、行为检测和响应单元5个模块,其结构如图2所示。
3.3 SQL解析模块
SQL解析模块在整个系统中占据着十分重要的地位,其解析主要由两部分组成,首先利用串匹配技术对系统中待运行的SQL语句进行关键字识别,其次利用有限自动机对语句进行分析。其核心代码如下所示:
4 结语
针对数据库安全展开研究,并在SQL注入攻击模式下,设计了相关的检测系统。
参考文献
[1]李飞.信息安全理论与技术[M].西安:西安电子科技大学出版社,2010.
[2]高延玲.网络数据库研究与应用.西安电子科技大学出版社,2004:21-28.
[3]蔡红柳,何新华.信息安全技术及应用实验.北京:科学出版社,2005.
入侵防范 第8篇
关键词:SQL Server数据库,安全,配置,入侵,防范
目前电脑和网络已经是我们生活的重要组成部分,同时SQL Server数据库已经融入到各类业务系统之中。然而如果设置不当,SQL Server中的数据就可能受到破坏,比如电脑的软硬件的影响、病毒和其他的恶意攻击源等。所以,SQL Server管理人员的重要职责就是高效、有序、安全地管理这个数据库。
1 SQL Server面临的安全隐患
电子商务、ERP系统和金融系统大都是在SQL Server上建立的。大部分的公司、机构和机关单位都是用各类数据库来存储数据的,其中的数据包含一些基本的档案信息、人员薪酬、档案信息、公司账目信息、转账记录、业务信息和账户信息等,另外还存储着公司商业机密和企业的发展策略。为了防止公司的重要的机密和信息泄漏,有必要采取措施保障数据库安全。所以,如何保证数据的完备性和规范存储是很关键的。然而,随着各种安全漏洞的出现,SQL Serve将面临各种挑战,比如密码破解、系统入侵和系统本身存在的问题。
Microsoft SQL Server已经渗透到业务系统底层当中,很大一部分的购物网站,网站的数据平台就是在Microsoft SQL Server数据库基础上建立的,然而大众对互联网和电脑系统的安全问题的关注远远超过数据库的关注。许多管理人员片面认为把系统和网络的完全防范做到位,应用软件也就没问题。但是,往往因为他们不了解数据库,所以对其数据库的安全维护不够重视。更令人担忧的问题是,包括一些安全公司在内也对数据的安全问题不够重视。系统的安全问题和不正确的安全设置会导致较为严重的事故,并且难以查出。一般软件系统是由拥有最高权限的管理人员管理的,但普遍应用的SQL Server数据库是端口型的,意味着每个人都可以尝试进入SQL Server数据库系统。
2 数据库的安全配置
大多数的数据库是在Microsoft SQL Server2005的基础上建立的,大部分的公司、机构和机关单位都是用各种各样的数据库来存储数据的,其中的数据包含一些基本的个人信息、账目信息等,同时还存储着像需严格保密的公司客户信息、生产资料、商业机密、发展策略,甚至还存储着国家机密。所以,许多系统的管理人员和用户会遇到一个共同的难题就是用什么方式来确保数据的安全,对于数据的管理要达到安全、完备、高效的目标。为达到这个目标,提出以下关于配置方面的意见:
SQL Server数据库有两种身份验证模式:一种是Windows验证,一种是数据库验证。SQL Server用户要对数据库和程序的连接进行处理,因此,数据库安全的首要任务是保证用户名和密码的安全。
2.1 默认用户名sa的相关设置
SQL Server默认的超级管理员名字是sa。外界的黑客会首先对sa用户名进行强行破解。
在SQL Server 2005中,可以禁用用户名sa。在sa用户名上点击右键,在“属性”中选择“状态”,下面点选“是否允许链接到数据库引擎”中的拒绝,禁用“登录”。用户名sa就被禁用了。
在SQL Server 2000中要设置高强度的密码。可以任意录入数字、字母和字符组合的字符串,然后以Windows验证的方式进行登录。
2.2 用户建立
数据库管理员要借助拥有sa权限的用户来建立.数据库、新建用户、分配权限等。在禁用sa后,网络系统程序要有相应级别的用户名和密码来读取数据库,以及插入记录、修改数值等。要按照如下规则新建用户名:
A:数据库管理员建立一个复杂的用户名,设置高强度的密码。
B:切忌采用如admin、guest、user、users等等较常见的用户名,黑客会首选这些用户名进行猜解。
C:用户名和密码不能相同,密码要足够复杂。
2.3 SQL注入攻击例析
在结构化查询语句中,一个常见的SQL语句为:
Select xingming from shujuku;
该语句的功能是从shujuku表中检索所有学生的名字,然后进行细化:
这样,就把姓名为zhangsan的学生检索出来了。
有必要强调,抽取的学生姓名zhangsan是用单引号‘’界定的,如果该字段可以由用户自行输入,黑客就会在这个查询语句中借机注入SQL语句,比如,学生名字变为zhang‘san’,如此,检索语句就变为:
数据库执行该语句时,会造成错误:服务器:消息170,级别15,状态1,行3第3行:'san'附近有语法错误。'zhang'san'中zhang后面的单引号是后边语句的san被编译成了非法结构化语句,阐述了SQL错误。如果黑客输入如下语句:zhang’;drop table xuexiao-,因为zhang’后面有分号,就不会产生错误,二是继续执行后边的drop table xuexiao。数据库会执行删除xuexiao数据表。上面以微软的SQL Server进行了SQL注入的举例,其他类型的数据库注入方式与此类似。
并不是SQL注入式攻击只有这一种形式,也可以用未授权方式访问,或洪水泛滥式攻击,造成拒绝服务的情况。在密码登陆框中要有用户名、密码两个文本框,用户在表单中录入后提交至服务器来处理,验证用户名、密码,如果合法,则进入系统。服务器处理方式为:
黑客如果输入为用户名是'admin'-的,密码为空,则服务器执行时就变为:
在此,验证密码部分被注释屏蔽了,查询变为select*from shujubiao where id='admin'
此时,不验证密码,同时,如果系统中确有名字为admin的用户,攻击者就以此进入系统。
还有一种情况时,如果黑客不清楚系统中的现有用户,那他就不能以上述方式进入系统了,这样,黑客可以按照恒为真的策略来注入:
在此,'i'='i是恒为真的,所以,不管id录入的是什么,都会返回用户表中的第一条记录,黑客都可以入侵系统了。
上面借助微软的SQL Server和IIS等技术为例来说明SQL注入,但并不是说攻击只面向微软的系列产品。其实,所有面向网络应用的程序,不管用哪种数据库,设置不当都会遭受攻击。
3 防范注入攻击的服务器配置
SQL Server配置失当会导致安全问题,黑客可以凭借信息获取高等级权限,然后执行SQL语句。将SQL Server进行可靠配置,可以有效防范SQL注入式攻击。
3.1 应用安全的账号策略
因为SQL Server不能删除sa超级管理员,也不能改名,因此,必须强化对其保护。除了设置高强度密码外,尽量不要在程序中调用sa用户。只有没有办法登录数据库时,或其他管理员密码忘记时,采用sa。可以新建与sa具有同权限的用户来对数据库进行管理。同时要控制高权限用户的数量。
数据库的认证有Windows认证和混合认证,如果不考虑操作系统管理员来操作数据库,可以在系统中删除“BUILTINAdministrators”。但是这样会导致在忘记sa密码时,无法再操作数据库。许多程序调用数据库只是查询和修改,可以按照相应权限分配账号,只要满足权限要求即可。例如,查询时,只用简单的公共账号即可。
3.2 强化数据库日志作用
在审核数据库登录行为时,以“安全性”设置实例属性,记录全部审核级别,则数据库的日志就会记录所有账号的登录行为。管理员可以定期查看,以检查是否有可疑行为登录。
3.3 管理扩展存储过程
在数据库中要慎重调用账号扩展存储,在通常的应用中,级别用不到系统的存储。SQL Server的存储过程是用来适应用户的,可以删掉非必要的存储过程,以避免某些存储过程被黑客利用,而提升权限用以破坏系统。如果不需要存储,则可以去掉xp_cmdshell。
4 结语
通过以上方式,可以在很大程度上强化SQL Server的安全性,防范注入式攻击等行为,避免黑客的攻击,但SQL Server的安全防范是多方面的,其安全策略并不局限于以上几种。因此,有必要持续探讨SQL Server的安全技术,以保障数据库的平稳、安全运行,服务于各类业务系统建设。
参考文献
[1]杨应全,李雪茹.SQL Server数据访问安全策略.现代情报,2006,08.
[2]吴丽娟.浅析SQL Server数据库的安全和管理策略.信息安全与技术,2011,06.
[3]王有伟.浅谈SQL Server数据库的安全问题.信息安全与技术,2012,03.
[4]贺亚茹.基于SQL Server的企业数据库系统安全机制设计.工矿自动化,2012,09.
入侵防范 第9篇
随着计算机网络技术、通讯技术的发展和因特网的日益普及, 网络概念已不再局限于某一领域。而是广泛深入渗透到社会生活的方方面面, 计算机网络已成为全球信息基础设施的主要组成部分。形成了一个规模宏大的网络社会。同任何高科技一样。
网络在为人们交换信息。促进科学、技术、文化、教育、生产发展带来诸多方便的同时也带来了很多负面影响, 网络黑客、病毒蔓延、垃圾信息等利用网络进行的非法活动直接或间接地给人们生活带来了许多不便。因此, 要想更好地保护自己不受黑客的伤害, 就必须对黑客技术有一定的了解。只有对黑客的种种攻击手段有了详尽的认识, 才能进行更有效、更具针对性的防御, 使自己免受黑客攻击越来越显得十分重要。
2. 黑客攻击网络系统的手段
黑客攻击行为类型分为四类:闯入、拒绝服务、信息窃取、电子欺骗。
2.1 闯入。
最常见的的攻击就是闯入, 他们闯进计算机里。就象普通合法用户一样使用你的电脑。闯入的手段是比较多的, 一种是猜测用户的密码。在有些情况下是比较容易的, 有许多用户并不太重视自己的密码.或嫌麻烦怕忘记密码而将密码设得很容易被猜到, 服务器里有至少有百分之五的用户密码是非常简单和易猜的.甚至很多用户的密码与用户名居然是一样的。另一种是扫描整个系统, 发现软件、硬件的漏洞、服务端口的不当开放或配置错误.以获得系统的进入权。
2.2 拒绝服务。
这是一种远程摧毁或中断对方机器的功能或服务的攻击方式。攻击的手段也是多种多样的, 最早出现的是叫“邮包炸弹”, 攻击者用程序不断向被攻击者的邮箱发出大量邮件。同时还藏匿自己的地址信息.以至于邮件使用者的计算机无法处理如洪水般涌来的大量邮件, 导致邮件服务系统由于大量的服务进程而崩溃。
2.3 信息窃取。
有一些攻击手段允许攻击者即使不访问被攻击者的电脑系统。也能得到想要的数据。比较典型的是用网络嗅查器侦听同一网络中的信息, 从中发现有用的信息, 如用户名、密码等, 甚至付款信息。
2.4 电子欺骗。
电子欺骗是结合DOS技术的技巧性攻击。它包括了IPspoofing, Web spoofing, DNS spoofing, fake mail等。IP spoofing是利用面向连接的TCP协议3次“握手”的机会, 在合法通信双方进行第2次“握手”后, 攻击者用DOS技术将其中一用户down掉, 然后以另一用户的身份进行“握手”, 从而使其变成合法的连接者。
3. 安全防范措施
3.1 物理安全措施。
物理安全措施的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏;验证用户的身份和使用权限、防止用户越权操作;确保计算机系统有一个良好的电磁兼容工作环境;建立完备的安全管理制度, 防止非法进入计算机控制室和各种偷窃、破坏活动的发生。抑制和防止电磁泄露是物理安全策略的一个主要问题。目前主要防护措施有两类:一类是对传导发射的防护, 主要采取对电源线和信号线加装滤波器, 减少传输阻抗和导线问的交叉耦合。另一类是对辐射的防护, 这类防护措施采用各种电磁屏蔽措施对机房的下水管、暖气管和金属门窗进行屏蔽和隔离或者在计算机系统工作的同时, 利用干扰装置产生一种与计算机系统辐射相关的伪噪声向空间辐射来掩盖计算机系统的工作频率和信息特征。
3.2 网络的权限控制。
它是针对网络非法操作的安全保护措施。用户和用户组被赋予某一权限, 我们可以根据访问权限将用户分为:一是特殊用户 (即系统管理员) ;二是一般用户, 系统管理员根据他们的实际需要为他们分配操作权限;三是审计用户, 负责网络的安全控制与资源使用情况的审计。
3.3 属性安全控制。
当用户使用文件、目录和网络设备时, 网络系统管理员应给文件、目录等指定访问属性。属性往往能控制向某个文件写数据、拷贝文件、删除目录或文件、查看目录和文件、执行文件、共享、更改系统属性等权限。网络的属性可以保护重要的目录和文件。防止用户对目录和文件的误删除、执行修改、显示等。
3.4 网络服务器安全控制。
网络允许在服务器控制台上执行一系列操作。网络服务器的安全控制包括设置口令锁定服务器控制台, 以防止非法用户修改、删除重要信息或破坏数据。可以设定服务器登录时间限制、非法访问及检测和关闭的时间间隔。
3.5 网络监测和访问控制。
网络管理员应对网络实施监控服务器记录用户对网络资源的访问。对非法的网络访问。服务器应以图形、文字或声音等形式报警。以引起网络管理员的注意。网络服务器应自动记录企图尝试进入网络的次数, 如果非法访问的次数达到设定数值, 那么该账户将被自动锁定。
3.6 加强安全管理。
网络安全管理措施除了采用上述技术措施之外, 加强网络的安全管理, 制定有关规章制度, 对于确保网络的安全、可靠地运行, 将起到十分有效的作用。网络安全管理策略包括:确定安全管理等级和安全管理范围;指定有关网络操作使用规程和人贝出入机房管理制度;制定网络系统的维护制度和应急措施等。
4. 结束语
提高网络管理人员的素质, 以防止技术参数的人为错误配置而导致黑客入侵, 相信在不久的将来, 网络安全防范措施必将对企业和国家的信息安全发挥出日益巨大的作用, 黑客的智能化犯罪必将得到有效控制, 国家信息安全必将在现代电子技术的支撑下得到可靠的保障。
参考文献
[1]霍宝锋, 常见网络攻击方法及其对策研究[J]、计算机工程.2002. (8) :9~l1.
[2]卢文斌.网络环境下计算机病毒的防治策略[J].湖北电力, 武汉:2002. (4) :30~32.
入侵防范 第10篇
一、网络安全安全及校园网络管理的现状
计算机网络技术在现代生活中无孔不入, 在各个层面都发挥着不同的作用, 大幅度的改变了人们的生活、生产和学习方式。比如, 电子商务的兴起, 让网上购物得到了人们广泛的认可;在线教育为更多人的提供学习机会, 实现了教育资源的均等化;远程医疗为生命开通了一条绿色通道, 视频会议、政府官方微博为政治提供了更多的实施途径等, 这些足以表明网络的重要性, 也从另一个层面说明了提高网络安全系数, 可以保障人们的财产安全、维护他们应该享受的教育、医疗权利。
同样的, 随着网络在我国各级各类学校中的普及和应用, 学校的管理和教学都在上了一个层次。在学校的网络运用中, 更多的针对学生而构建的, 包括学生个人学籍信息的存储和管理, 以及各种教学资源和教学平台的使用。从校园网的使用对象来说, 各学校建设的校园网的主要点击大部分的来自学生, 而在学校中的学生在处于人生观、世界观的塑造期, 面对形形色色的信息缺乏成熟的处理方式, 对各类新鲜的事物充满了好奇却没有较好的自制能力。
因此, 学生在使用校园网时, 常常被选作黑客入侵的切入点, 这为学校的网络安全管理增加了难度。除此以外, 学校搭建的网络往往具有使用面积大, 连接速度快, 点击群体固定等特点, 与政治、经济挂钩的网站相比, 网络安全建设力度较小, 这也为校园网的安全留下了隐患。比如, 有部分的学校对网络的安全管理毫不设防, 为黑客的入侵敞开了大门。
从校园网被侵入的危害来看, 一旦黑客入侵成功, 所造成的损坏是不可估量的, 小的只是对网页进行修改、宣传不良信息, 大的则盗取学籍信息、考试信息以及一些重要的文件, 让学校的网络不能正常的运转, 进而影响学校的管理和教师的教学。当下, 我国学校的网络安全管理较为薄弱, 校方对其的重视度不够, 对黑客入侵的防范措施还不到位, 有待进一步的改善和加强。
二、黑客入侵校园网的切入点
黑客入侵校园网往往是选择网站管理比较薄弱的环节, 具体可以有以下几种侵入方式:
2.1硬件部分的切入
黑客入侵指的是一些拥有较高的计算机技术员, 通过非法的方法和途径入侵他人的网站, 修改或盗取信息。获取计算机信息的一个途径可以通过电脑硬件来实现, 例如, 以计算机的传输线路以及端口等信息的传输设备为切入点, 以电磁屏蔽为切入点, 以电话线为切入点。黑客利用这些突破点配合通信技术, 对信息进行非法的窃取、上传非法信息以及清空网盘的数据, 还会通过端口来置入病毒, 利用U盘的插口来实现入侵, 对计算机系统进行攻击, 以达到破坏网络正常运转的目的。
2.2软件部分的切入
对网络系统而言, 由于其本身就具有脆弱的可靠性和监控性, 在其认证时的缺陷以及局域网与的不可控性, 造成了网络安全的薄弱性。由于部分软件开发商只顾追求自身利益而缺乏对软件安全性的构建, 大部分的软件都存在着不同程度的漏洞, 在进行路由选择时发生错误, 不同的使用者进行通信时路径被阻断或更换。有的黑客则利用木马等病毒人为的破坏学校网络系统, 通过对信息传递时的内存将没有防范的信息传递到其他的终端上面。
另一方面, 由于网络链接的广泛性, 致使在点击学校网络的同时与外界网络连接时, 就非常容易成为黑客的切入点。由于在网络上面我们就可以下载一些盗取信息的工具, 在一定程度上增加了黑客的数量, 而学校的网络建设中缺乏安全防范措施的建立, 在学校网络中多为一些应用软件的设置, 这也就使得学校的网络系统容易被侵入, 对学校网络产生破坏。
2.3管理人员的切入
在学校的网络安全管理中, 由于管理人员素质差异, 被黑客选作了一个切入点。大部分学校的网络安全管理人员往往因学校的不重视而只是随便的选择一个懂点计算机的人就算完成, 而这部分人因为缺乏专业的学习和培训, 致使其在工作中没有保密的意识, 对打印等设备也没有进行严格的限制性使用。有的管理员, 则由于其对计算机技术掌握程度不高, 在某一操作中出现错误, 从而造成了信息的丢失或是泄露。还有部分管理员则为一己私利主动进行信息的泄露, 对网络系统造成了破坏, 如四六级英语考试的题目泄露事件等。
三、黑客入侵的防范措施
3.1构建优良的学校网络系统
在我们进行学习网络建设时, 要注重网络安全性的建设。在系统设计构建时, 要确保网络系统的完整性, 建设两级以上网络结构。在学校的网络系统中, 设置一个主网络中心, 构建安全有效的认证环节, 保证学校网络信息流通都要进行认证通道才能通过。
在这部分的建设中, 可以用光纤将网络中心的信息传递到教室或办公室中, 然后再设置一个分节点, 通过交换机将大楼的每一个用户连接起来。在主机的电源设置中, 要建设备用电源, 在停电时确保主机的正常运转。在完成整个网络系统的构建之后, 要对计算机硬件进行安全性的验证, 对连接线的短路等问题进行排除, 确保各个物理硬件是安全有效的。
3.2完善网络安全管理体系
首先, 要加强对网络安全管理作用的宣传, 让每一个使用者都认识到网络安全管理的重要性。可以通过讲座培训或者计算机课程讲解一些简单的网络安全防范措施, 动员每一个人都参与到学校的网络安全管理中。引导学生自动的屏蔽一些不良网站信息, 鼓励学生发现一些软件的漏洞, 如在使用某软件就出现了账号被盗等情况。
其次, 要加强网络中心的管理。对于网络中心的管理, 要积极建设防范系统, 加强防火墙的稳定性, 要选择专业人员, 确保制度的落地。对网络中心要做到禁止任何无关人员的进入, 不能随意的关闭和启动不断电系统, 保证交换机不被任何人碰触。管理人员还要定期的对网络中心进行清洁, 保证机房的干燥和清洁。作为管理人员还需要时刻保证计算机技术的学习, 能够及时处理出现的网络安全问题。
四、结束语
先进的网络信息技术在为我们带来欣喜的同时也为我们增添了烦恼, 在学校的网络安全管理中, 我们欠缺的还很多, 薄弱的安全防范措施为黑客的入侵降低了难度, 而被入侵之后对学校造成的破坏是不可以预估的。因此, 学校要重视网络安全管理, 加强网络安全管理体系的构建, 确保从硬件到软件全方位的安全。另外, 选择专业的管理人员也是非常有必要的, 彻底的切断黑客从人员的这个突破点。信息网络技术的不断发展的, 学校的网络安全管理体系也要不断的进行更新和完善。
摘要:校园网络建设为学校管理以及各种教学资源和教学平台的使用带来了质的飞跃。学生在实用校园网络时缺乏对各类信息的成熟的处理方式, 常常被选作黑客入侵的切入点。学校要通过构建优良的学校网络系统, 完善网络安全管理体系, 以切断黑客从计算机硬件、软件和管理人员等方面的入侵。
关键词:校园网络,安全管理,黑客,入侵与防范
参考文献
[1]肖艳萍, 张舜标, 郑铮华.网络安全态势感知在校园网络安全的研究进展与展望[J].广东农工商职业技术学院学报.2013 (04)
[2]程龙泉.整体构建校园网络安全体系的方法与实现[J].计算机安全.2012 (08)