時間:2023-09-13 17:14:39
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇網絡安全與攻防,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
前言
博弈論在網絡安全問題中的應用,注重在事前進行分析和研究,從而保證信息網絡安全。博弈模型的構建,從網絡攻擊和防御兩個角度出發,探討了網絡防御過程中存在的脆弱點,通過對這些脆弱點進行改善,以期更好地提升網絡安全。目前應用于網絡安全最優攻防決策的方法,主要以狀態攻防圖為主,通過結合安全脆弱點對系統安全情況進行評估,并結合效用矩陣,得出最優攻防決策。最優攻防決策方法的利用,能夠彌補當下防火墻以及殺毒軟件被動防御存在的缺陷,更好地保證網絡安全。
1博弈模型與狀態攻防圖分析
博弈模型是一種事前進行決策的分析理論,在具體應用過程中,需要考慮到理論與實際之間的差異性,從而保證博弈模型能夠對安全問題進行較好的解決。博弈模型在應用過程中,要注重對狀態攻防圖進行把握。狀態攻防圖是一種狀態轉換系統圖,其公式為:),,,(GDSSTSSADG,公式中S表示為狀態節點集,反映出了網絡的安全狀態;T表示圖中邊集,反映了網絡安全狀態的變化關系;DS則表示了網絡的初始狀態;GS為攻擊目標集合。狀態攻防圖在具體應用過程中,需要對其生成算法進行把握。首先,需要輸入的信息包括以下幾點:網絡拓撲的可達矩陣;脆弱點集合;可利用規則;初始狀態節點;其次,對狀態攻防圖SADG進行輸出。狀態攻防圖的輸出,主要包括了以下內容:網絡拓撲可達矩陣RM;初始安全狀態節點So;主機節點集合;vuls集合等。在對狀態攻防圖利用過程中,需要根據狀態變遷情況,對狀態攻防圖進行相應的完善,以使其功能和作用得到有效發揮。
2網絡攻防博弈模型構建
在進行網絡攻防博弈模型構建過程中,要對網絡安全防御圖和攻防博弈模型的內容有一個較好的了解,從而利用網絡安全防御圖,對防御節點信息進行把握,保證系統能夠有效的抵御攻擊。同時,網絡攻擊博弈模型構建過程中,要對成本和收益進行較好把握,建立完善的攻防博弈模型,對攻擊和防御因素進行較好把握。2.1網絡安全防御圖網絡攻防博弈模型構建過程中,需要對網絡安全防御圖內容予以一定的認知和把握,從而為網絡攻防博弈模型構建提供有利條件。從網絡安全防御圖的本質來看,其是一個6元組,對其可以利用公式進行表示:StsSS}...0..{SdSSa,其中S為整個網絡安全防御圖的節點集,t代表了網絡節點狀態下的網絡安全情況,So反映了最初階段的集合狀態;Ss則代表了攻擊目標集合;Sa表示對抗攻擊集合;Sd則代表防御集合。在對SStS}...0..{SdSSsa應用過程中,要對每一個節點的網絡安全狀態進行把握,并對網絡訪問能力進行分析,從而了解到攻擊者可能采取的攻擊方式。2.2攻防博弈模型攻防博弈模型的利用,能夠有效地構建最優防御策略,從而在成本和效果方面,都能夠獲得較好的收益。攻防博弈模型在利用過程中,其模型是一個3元組,利用公式在對攻防博弈模型表達時,攻防博弈模型=USN},,{,其中,N代表了攻防博弈模型的設計者;S反映出了策略集合;U則代表了攻防策略。在利用攻防博弈模型在對網絡安全問題分析過程中,網絡安全產生的損失,表示了攻擊者所獲得的利益。在對攻防博弈模型選擇過程中,需要對相關算法進行較好的把握。具體步驟如下:第一步,確定初始化攻防博弈模型:aPSdSadP),(),,(),,(UdUa;第二步對攻擊策略集合進行構建;第三步建立防御策略集合:sdnsdsdSd},...2,1{;第四步,對防御策略進行給出:UdijtDeaitiDcos)(cos.costDe;第五步,生成矩陣U;第六步對SaPPad),(),,(),,(UdUSda進行求解。通過利用攻防博弈模型USN},,{,能夠對最優攻防決策方法進行把握,從而為網絡安全提供重要幫助。
3基于博弈模型的網絡安全最優攻防決策方法實例分析
在對博弈模型基礎下的網絡安全最優攻防決策方法分析過程中,通過利用實例,可以對這一問題進行更好的認知和了解。本文在實例分析過程中,網絡拓撲圖設計情況如圖1所示:結合圖1來看,網絡拓撲中主要涉及到了互聯網、攻擊主機、防火墻、server1-4數據節點、路由器等裝置。在進行實例分析過程中,脆弱點的設計,主要為權限提升類弱點。關于脆弱點的信息,我們可以從表1中看出:在對網絡各節點中的脆弱點掃描完成后,需要對攻擊路徑進行較好的把握,從而對攻擊成功的概率和危害性進行分析,以保證網絡安全防御能夠具有較強的針對性和可靠性。關于攻擊路徑問題,我們可以從表2中看出:針對于攻擊方,為了保證系統安全,防御方需要針對于攻擊方,提供相應的解決對策。對此,利用博弈模型進行最優攻防決策過程中,具體內容我們可以從下面分析中看出:首先,應對于Server1節點的最優攻擊策略在于對“2005-0768”的脆弱點進行利用,從而對這一節點進行攻擊,獲取用戶權限。用戶在防御過程中,需要對Server1的節點進行升級,從而保證對攻擊方進行有效的防范。其次,在對Server2節點進行攻擊過程中,其脆弱點為“2005-1415”和“2004-2366”節點,從而對用戶權限進行獲得。用戶在進行防御過程中,需要對Server1的GoodTeshetserverTeln節點進行升級,并對Server2中的“2005-1415”節點和“2004-2366”節點進行升級,這樣一來,考慮到攻擊成功的概率64.6%,需要對防火墻等防御系統進行更新,以避免系統遭受攻擊。再次,在對Server3進行攻擊過程中,首先對Server1的權限進行獲取,之后利用Server2的脆弱點攻擊Server3,獲取Server3的用戶權限。用戶在進行防御過程中,需要針對于Server3的脆弱點對防御系統進行更新。最后,在對Server4攻擊過程中,需要獲取Server1、Server2、Server3的權限,從而攻擊Server4的脆弱點2002-0694,攻擊成功率在70.7%左右。在進行防御過程中,需要對Server4的脆弱點進行更新,并利用Sendmail補丁,以避免系統遭受攻擊和入侵。
4結論
(中國人民公安大學(團河校區)網絡安全保衛學院,北京100076)
摘要:網絡攻防課題已經為越來越多的高校所重視,國內越來越多的CTF網絡攻防競賽也是愈演愈烈。文章提出將CTF的比賽模式應用于網絡安全的教學過程,以提高學生在學習過程中的積極性,同時闡述競賽平臺總體結構、后臺數據庫關系以及主要題目類型的歸納設計。
關鍵詞 :CTF;網絡安全;競賽平臺設計
文章編號:1672-5913(2015)17-0047-04 中圖分類號:G642
基金項目:中國人民公安大學基本科研業務費項目( 2015JKF01435)。
第一作者簡介:高見,男,講師,研究方向為網絡安全,gaojianbeijing2006@163.com。
1 C語言實驗情況現狀
CTF(capture the flag)即奪旗競賽。在網絡安全領域,經常以CTF的形式舉行比賽以展示自己的網絡安全技能。1996年的DEFCON全球黑客大會首次使用奪旗競賽的形式,代替之前黑客們互相真實攻擊進行技術較量的方式。CTF發展至今,已經成為全球范圍網絡安全圈流行的競賽形式。2013年,全球舉辦了超過50場國際性CTF賽事;而DEFCON作為CTF賽制的發源地,DEFCON CTF也成為目前全球最高技術水平和影響力的CTF競賽,類似于CTF賽場中的“世界杯”。奪旗競賽可以增加比賽的趣味性和競爭性,因此將其借鑒到各高校的C語言實驗教學過程中,可以提高學生對課程的學習興趣,使學生在游戲中學習,在競賽中提高。
2 競賽模式種類
2.1 解題模式
在解題模式( jeopardy) CTF賽制中,參賽隊伍可以通過互聯網或者現場網絡參與。這種模式的CTF競賽與ACM編程競賽、信息學奧賽類似,以解決網絡安全技術挑戰題目的分值和時間排名,通常用于在線選拔賽。題目主要包含逆向、漏洞挖掘與利用、Web滲透、密碼、取證、隱寫、安全編程等類別。
2.2 攻防模式
在攻防模式(attack-defense)CTF賽制中,參賽隊伍在網絡空間互相進行攻擊和防守,通過挖掘網絡服務漏洞并攻擊對手服務得分,通過修補自身服務漏洞進行防御以避免丟分。攻防模式CTF賽制可以實時通過得分反映出比賽情況,最終也以得分直接分出勝負,是一種競爭激烈、具有很強觀賞性和高度透明性的網絡安全賽制。在這種賽制中,不僅僅是比參賽隊員的智力和技術,還比體力(因為比賽一般會持續48小時及以上),同時也比團隊之間的分工配合與合作。
2.3 混合模式
混合模式( mix)是結合了解題模式與攻防模式的CTF賽制。參賽隊伍通過解題可以獲取一些初始分數,然后通過攻防對抗進行得分增減的零和游戲,最終以得分高低分出勝負。采用混合模式CTF賽制的典型代表如iCTF國際CTF競賽。
3 競賽平臺設計
競賽平臺結構分為網絡攻防競賽網站和網絡攻防競賽平臺靶機服務器。網絡攻防競賽網站搭建于真實服務器上,用于參賽隊員答題以及瀏覽比賽事項。競賽題目存放于網絡攻防競賽平臺服務器的虛擬機環境中。比賽過程中會出現隊員互相攻擊的情況,為了避免網站資源受到攻擊而產生崩潰,在虛擬環境中可以利用快照備份當前的漏洞環境。
網絡攻防靶機服務器提供3臺靶機,均存放于服務器虛擬機中。銅牌靶機、銀牌靶機、金牌靶機均在同一網段上。競賽平臺體系結構如圖1所示。
該設計平臺采用PHP+MySQL的方式進行搭建,后臺數據庫表的關系如圖2所示。
其中,Student表中存放選手的基本信息,包括學號、姓名、年級、區隊、登錄密碼和Salt;Chapter表中,存放題目類型的ID號和類型的名稱;Examination表中存放每道題的唯一ID號、題目對應的類型號(通過外鍵連接)、題干內容、題目所涉及的文件和題目對應的分數;Result表中存放選手答題的結果,其中包括每道題的ID(通過外鍵連接)、選手的ID(通過外鍵連接)、提交的答案和代碼;Score表中存放選手答題的成績,其中包括每道題的ID(通過外鍵連接)、選手的ID(通過外鍵連接)和題目對應的分數;Answer表中存放題目的標準答案,包括每道題的ID(通過外鍵連接)、選手的ID(通過外鍵連接)和題目對應的答案。選手的ID號可以為空,如果對于同一道題目每個學生的答案是唯一的,那么記錄中就只有題目ID和題目的答案;如果對于同一道題目每個選手的答案可能是不唯一的(如寫出每個學生學號后4位對應的16進制數),那么記錄中要有題目ID和學生ID及答案。
4 實驗內容設計
4.1 Web安全題目設計
根據Web應用程序安全項目(OWASP,open web application security project)近幾年公布的OWASP top 10 Web安全威脅,我們總結目前主流的Web安全漏洞有以下幾方面。
(1)注入漏洞。目前主流的注入漏洞為SQL注入漏洞以及OS命令注入漏洞。這一類漏洞發生在開放者未對用戶輸入的字符進行充分的安全檢查,導致用戶輸入的數據會被當作命令或者查詢執行,致使注入漏洞產生。
(2)跨站腳本攻擊(XSS)。截至2015年,XSS漏洞是繼SQL注入以后第2個嚴重的Web安全威脅。它利用開發者或瀏覽器對用戶輸入字符未加過濾的疏忽,通過JavaScript代碼實現惡意攻擊。
(3)跨站請求偽造(CSRF)。跨站請求偽造是用戶在權限認證后,攻擊者將偽造好的釣魚頁面發送給用戶,用戶點擊后觸發CSRF進行一系列操作。
(4)中間人攻擊(MITM)。目前,中間人攻擊( MITM)的安全威脅主要來自局域網環境,因為網絡上普遍采用Http協議傳輸數據,但這種協議傳輸的數據是未經加密的。當用戶與攻擊者同處于一個局域網環境下,攻擊者通過劫持網關,可以嗅探到用戶通過Http協議發送的賬號以及圖片或視頻的數據流。
4.2 加密解密題目設計
加密解密題目通常采用較為冷門的加密算法對文件或文本字符串進行加密,要求答題者對各類算法有一定的了解。應用程序的加密解密往往涉及匯編、逆向等知識。考慮到答題者中存在未學習過此類課程的學生,因此加密解密的題目可出兩道題,分別為應用程序加密解密、字符串加密解密。
4.3 Wi-Fi破解及數據分析題目設計
本題由Wi-Fi破解及數據分析兩部分組成。首先,搭建一個局域網環境,包含A服務器以及B服務器。A服務器開啟無線連接,該無線連接密碼由WPA密鑰加密,密碼強度為純數字。答題者只有通過相關的Wi-Fi破解工具窮舉出Wi-Fi密碼才能夠得到連接密碼。在整個過程中,A服務器總是向B服務器發送UDP數據包,其中包含題目的FLAG。答題者需要在連入Wi-Fi后,通過嗅探工具截取發送數據并通過分析得到FLAG,完成本題。
4.4 取證分析題目設計
取證分析作為比賽題目的重點,在設計過程中也是難度最大的,因為網絡安全專業課培養方案中有取證分析的課程,主要介紹目前公安取證的基本方法和技術,而在網絡攻防競賽平臺的設計中,無法將課程中使用的取證大師等工具移植到平臺。為了使取證題目更具實戰意義,教師可將題目設計為分析系統日志,將日志設計為一臺已經被入侵服務器的系統日志。被入侵服務器的系統為Windows XP SQL系統,系統被黑客人侵后留下系統日志,答題者需要在審計日志后得到黑客入侵的IP地址,通過找到對應的端口得到黑客的服務器;黑客服務器中搭建一個Web服務器并創建一個網站,網站功能為驗證答題者在系統審計過程中得到的信息。只有完成所有問題,才能夠得到題目的FLAG。
5 虛擬靶機設計
虛擬靶機作為網絡攻防競賽平臺中最重要的題目,由于更加貼近實戰角度,因此設計時應更多考慮到實戰環境因素。靶機平臺搭建在服務器的虛擬機中,它們有不同的系統環境。虛擬機采用的是Vmware workstation 9.0軟件,它的好處在于可以方便地編輯網絡環境,快速組建可用有效的虛擬局域網。靶機平臺在網絡攻防競賽平臺中不僅只扮演靶機的角色,而且也對其他題目進行支持。因此,在設計靶機系統的同時要考慮到虛擬系統的負載能力,避免因系統線程過多導致系統死機,影響比賽的進行,可以采用虛擬機的快照功能保存當前系統環境;在比賽過程中出現問題時,可以利用快照隨時還原系統,保障比賽進度。
靶機系統的主要考查點包括3個:系統漏洞的發現與利用、系統網絡服務漏洞的發現與利用、網站漏洞的發現與利用。這3個主要考查點的背后同樣包含著大量的考查節點,它們組合在一起形成3臺靶機系統。銅牌、銀牌、金牌分別由簡單到困難的程度定義,在系統中利用漏洞的難度也不斷提高。為了保證大部分學生能夠攻破銅牌靶機,教師在設計之初,可將銅牌靶機定義為只含有系統漏洞和輸入法漏洞的靶機。這兩種漏洞的利用方法都很簡單,可以提高參賽隊員的信心,令學生對剩下的銀牌靶機和金牌靶機有攻破的欲望。教師可將靶機平臺所占分數設定為不超過總分數的40%,將銅牌靶機定為200分、銀牌靶機定為300分、金牌靶機定為500分。
5.1 銅牌靶機
銅牌靶機設定為易得分題,靶機系統為Windows XP系統。靶機的漏洞為系統層漏洞MS08-064。為了增強題目的靈活性,教師可在增加系統漏洞的同時增加網絡服務漏洞。IIS 6.0漏洞多種多樣,可以給答題者提供更多的答題思路。
5.2 銀牌靶機
銀牌靶機難度較銅牌靶機更大,考查答題者對網站整體入侵思路的掌握。在設計網站之初,銀牌靶機為PHP代碼編寫的賭博網站。網站中可設計多處漏洞,如XSS漏洞、SQL漏洞、任意文件讀取漏洞。答題者需要在滲透進入服務器并遠程連接服務器后在某個文件夾內得到加密的RAR壓縮包,通過暴力破解得到題目的FLAG。
5.3 金牌靶機
金牌靶機的難度較大,為附加題目。金牌靶機系統為Linux系統,默認安裝有Apache以及PHP環境,網站為PHP代碼編寫的詐騙網站。詐騙網站結構簡單,僅有部分功能可以供答題者利用,其他頁面均為靜態頁面。答題者需要在頁面中尋找線索,才能夠得到網站的后臺地址。通過工具窮舉爆破,可以登錄網站后臺。網站后臺僅有上傳功能并且利用白名單進行過濾,答題者需要在繞過白名單后才能夠利用后門繼續滲透服務器。FLAG文本文件具有系統權限,因此答題者只有在對Linux系統提權的情況下,才能夠得到FLAG完成此題。目的分值比如設為10分,當前5位學生得到正確答案后,該題目的分數自動降為9分,當有10位學生得到正確答案時,分值再自動減少,一直減少到6分(及格分)為止。這樣可以激勵學生在短時間內迅速思考,并將最先做完的學生的分數和最后做完的學生的分數進行區分。
6 結語
隨著國家大力發展網絡安全教育,相信一定會有越來越多的人投入學習網絡安全的隊伍中。在目前的發展趨勢下,單一的課本技能已經不能解決日益復雜的網絡安全問題,需要一個可以貼近實戰的平臺對學生所學的知識進行整理和實踐。網絡攻防競賽平臺的設計便是以此為初衷,它的設計在于提高學生對于網絡安全的學習熱情,通過比賽也能更好地選拔網絡安全人才,對網絡安全人才的培養非常有意義。網絡攻防競賽平臺的設計參考了目前國內主流的CTF網絡安全競賽的規則設計,其中加入了一些公安業務需要的技能考核元素,對學生了解更多的網絡安全知識起到很好的鋪墊作用。
參考文獻:
[1]賓浩斯.心理大師手則:記憶的奧秘[M].北京:北京理工大學出版社,2013: 56-57.
[2]黃龍軍.游標在Online Judge中的應用[J].紹興文理學院學報,2012,32(8): 26-29.
[3]丁琦,汪德宏,基于工作過程的高職課程教學模式探討[J].職教論壇,2010(2): 45-46.
隨著網絡技術和應用的迅速發展,網絡空間已成為陸、海、空、天以外的第五疆域。在某種意義上,網絡安全影響著甚至決定著其他疆域的安全,全球網絡空間軍備競賽的風險不斷增加。世界各國都開始重視加強網絡戰的攻防實力,紛紛組建網絡攻擊力量,構建各自的“網絡威懾”,已經有50多個國家成立了網絡部隊,其中包括美國、俄羅斯、以色列等,各國仍在進一步擴大網絡部隊規模。
會上,工業和信息化部賽迪智庫信息安全研究所劉權所長分享了賽迪智庫網絡安全研究所第一季度的總結和分析。在移動互聯網領域,用戶和應用的數量快速增長,帶來嚴重信息安全隱患,移動終端惡意軟件數量暴增,《2013中國移動互聯網環境治理報告》指出, 2013年,移動互聯網惡意程序傳播事件1295萬余次,比2012年同期增長22倍。據阿里巴巴移動安全報告顯示,參與檢測的app樣本中,近97%的app都存在漏洞問題,且平均漏洞量高達40個。
劉權所長指出,我國網絡安全系統攻防能力不足,網絡空間缺乏戰略威懾。產業根基不牢,安全可控戰略實現面臨困難。我國網絡安全系統在預測、反應、防范和恢復能力方面存在許多薄弱環節;重要信息系統和工業控制系統對外依賴嚴重。目前,13%的重要系統若沒有境外技術支持和運維服務,系統就無法正常運行;產品存在“帶病上崗”現象,對國外產品缺少安全仿真驗證環境。長期“跟隨跑”戰術已經使得我國的信息安全技術喪失了獨立性,技術發展過程中過多地使用“拿來主義”,淪為代工廠。同時我國對各類網絡犯罪技術缺乏有效應對。“心臟出血”漏洞以超強破壞力在網絡安全業界引發了廣泛擔憂,從近期一份有關“從應對‘心臟出血’漏洞看各國攻防能力”的研究成果顯示,我國在網絡空間上的重要資產數量遠低于其他國家,但在漏洞修復趨勢和危機應急反應能力方面,全球排名僅占第102位,與我國的網絡大國地位極不相稱。
中央網絡安全和信息化領導小組的成立,是我國把信息安全提高到國家戰略的層面給予高度重視的體現。網絡安全已然受到越來越多的關注。一方面網絡管理進一步加強的同時,網絡安全審查制度將出臺;另一方面,包括蘋果公司在內的若干全球品牌已被相關部門從政府采購名單中剔除,網絡安全和信息化領域的國產化迅速發展。這些都促進了中國的信息安全熱潮被掀起。
根據基于工作過程的課改思想,每堂課都圍繞一個完整的工作情景進行設計,主要是一些典型的網絡攻防任務,包括教師的演示和隨后要求學生完成的實驗任務。這里的關鍵是設計的題目必須切合實際并難度適中,太難會讓學生無從下手而氣餒,太容易則讓學生只簡單重復教師演示而不動腦筋。具體設計自然要結合每個學校具體條件,以下是一些經驗原則。
1.完整的攻防過程模擬
每次教學都是先構建出一個網絡環境,然后在此基礎上進行具體網絡攻防任務的演示和練習。這樣做有兩個好處,首先是構建網絡會牽涉到前導課程例如網絡基礎和互聯、操作系統、網頁制作的知識,先配置出網絡環境有利于復習那些知識和技能。另外這樣做讓學生從頭至尾清晰地觀察到任務的操作步驟,能盡快進入學校狀態。
實踐證明,課堂上講到某個情景任務時,如能講授理論的同時,親自進行完整的演示,教學效果是非常好的,當然這會考驗教師自己的水平和應變能力,并存在一些不可控的風險,例如發生了意料之外的故障導致演示失敗。因此,教師本人也需要不斷提高自己的水平,即使水平已經足夠,也需要更新知識與時俱進,并經常操作保持熟練度,才能在課堂上游刃有余地向學生講授和演示。
通常沒有專門網絡安全實訓室情況下,可以綜合VMwareWorkstation、GNS3等虛擬機和模擬器軟件構建全仿真網絡攻防環境。實際上,合理設計加熟練使用,完全可以仿真出足夠復雜和逼真的網絡環境,演示和練習效果也很好。
2.保持趣味性
不少學生對網絡安全有認識誤區,一種常見的想法是認為網絡入侵技術都很神秘和高端,只有最聰明的黑客才有能力做到。對此可以在教學過程一開始就演示Sniffer嗅探密碼、木馬植入和遠程控制等實驗,可以起到先聲奪人的效果,讓學生被有趣的實驗任務吸引,并認識到其實某些網絡攻擊技術并沒有想象的那么難,自己完全可以學會。另外先學習入侵,可以切實感悟到網絡安全的脆弱性,有利于后面認真學習安全防護技術。
教學過程中還可以盡量聯系現實世界和最新時事,例如講到密碼學知識,聯系到現實世界上的情報戰。講到MD5等散列技術,提及CSDN網站用戶泄露事件等,都是保持學生學習興趣的好方法。
3.直面難點
另一個常見認識誤區是,有些學生了解了一些網絡攻防的基本原理,并在實驗環境學會了一些工具的簡單使用后,就認為網絡安全其實也沒什么稀奇,即使不懂原理的拿現成的工具也能完成任務,可一旦面臨實際環境中稍微復雜一點情況,又束手無策了。
因此,也需要給學生講授一些類似驅動編寫、反匯編、反編譯等高級安全技術。雖然,現在很多學生已經不學匯編、編譯原理、操作系統原理這些基礎課程了,在有限的課時里無法將技術講深講透,但實踐證明做一些最簡單演示和練習讓學生入門是可能的也是有益的。例如,簡單使用動態調試工具OllyDBG和反匯編工具IDAPro去爆破一個簡單的軟件,用開源的MetaSploit漏洞測試平臺在沒有賬號密碼的情況下直接入侵一個有漏洞的系統等。
4.適當緊跟最新技術
網絡安全領域很多基本原理和方法是多年來沒有多大變化的,所以并不需要刻意追求采用最新的平臺和版本進行教學。不過對一些過于古老的系統和技術,例如Windows2000、RedhatLinux9及更早的操作系統,IE6以前的安全漏洞之類就確實沒必要再講了。而對于像無線網絡、智能手機之類較新領域的安全課題則可以根據條件適當提及。
學習環節的設計
教的環節設計的再好,也無法面面俱到解決所有問題。網絡安全的特點是知識點特多,更新快,一些微妙的特定技巧還很難用語言講清楚,基本只能靠自己去摸索領悟。因此需要創造條件鼓勵學生自主學習和進修。
1.設計的實驗實訓題目不完全定死,保留一定的靈活性,必要時給出思考題和提高難度的操作題。
2.利用目前硬件資源比以前普及和便宜得多的優勢,鼓勵學生在課外時間用自己的計算機或購買的服務資源進行相關的系統構建或項目開發。例如我院的一個社團曾通過自己購買VPS服務器、DNS域名,自己開發宣傳用網站等,使負責網絡建設和維護的同學得到了極大的鍛煉。
【關鍵詞】網絡 安全 攻防
對于信息系統的非法入侵和破壞活動正以驚人的速度在全世界蔓延,帶來巨大的經濟損失和安全威脅。面對不容樂觀的網絡環境,無論是國家,網絡管理人,乃至個人,都應該掌握基本的網絡攻防技術,了解網絡攻防的基礎技術,做好自身防范,增強抵御黑客攻擊的意識和能力。
一、認識網絡攻擊
1.網絡安全的定義
網絡安全的最終目標是通過各種技術與管理手段實現網絡信息系統的機密性、完整性、可用性、可靠性、可控性和拒絕否認性,其中前三項是網絡安全的基本屬性。保證網絡安全實質就是要保證網絡上各種信息的安全,涵蓋領域非常廣泛。但網絡安全具有動態性,其概念是相對的。任何一個系統都是具有潛在的危險和安全威脅,沒有絕對的安全,安全程度也是會隨著時間的變化而改變的。在一個特定的時期內,在一定的安全策略下,系統是相對安全的。但是隨著時間變化和環境演變,如攻擊技術的進步、新漏洞的暴露等,使得系統遭遇不同的威脅,系統就變得再不安全。
2.網絡攻擊的分類
人們在網絡攻擊的分類上已經做過不少研究,由于這些分類研究的出發點和目的不同,為此,分類著眼點一級原則、標準也不盡相同,分類的結果也存在很大差異。著名安全學家Amoroso對分類研究提出了一些有益的建議,他認為攻擊分類的理想結果應該具有六個特征:互斥性、完備性、無二義性、可重復性、可接受性、實用性。雖然分類研究中還沒有一個分類結果能夠真正滿足以上六個特征,但對于分類研究和安全防御方面都有一定的借鑒意義。目前已有的網絡攻擊分類方法大致可以分為以下幾類:
(1)基于經驗術語的分類方法
(2)基于單一屬性的分類方法
(3)基于多屬性的分類方法
(4)基于應用的分類方法
(5)基于攻擊方式的分類方法
在最高層次上,按照攻擊方式進行劃分,可以將網絡攻擊分為兩類:主動攻擊和被動攻擊。主動攻擊主要有竊取、篡改、假冒和破壞等攻擊方法。對付主動攻擊的主要措施是及時發現并及時恢復所造成的破壞。被動攻擊主要是收集信息,主要有嗅探、信息收集等攻擊方法。由于被動攻擊很難被發現,因此預防很重要,防止被動攻擊的主要手段是數據加密傳輸。
二、安全隱患
網絡具有開放性和自由性的特點,因此網絡安全存在很大的風險和脆弱性。越來越多的網絡攻擊使得網絡合法用戶的個人信息和重要數據被非法占用和利用。入侵者破壞網絡安全的屬性,從而獲得用戶甚至是超級用戶的權限,進行不許可的操作。入侵者(黑客)可能是友善的,只是為了試探一下,或者了解一下網絡戰其他機器上的內容;也可能是惡意的,企圖獲取未經授權的數據,或者破壞系統。但不管出于什么目的,都反應出當今網絡的安全隱患非常嚴重,面臨的網絡風險非常嚴峻,造成的損失和破壞性更是不可估量的。網絡具有的脆弱性是指系統中存在的漏洞,各種潛在的威脅通過利用這些漏洞給系統造成損失。脆弱性的存在將導致風險,而威脅主體利用脆弱性產生風險。產生這些安全隱患的因素有很多,沒有一個系統是絕對安全、無脆弱性的,我們只能盡量保證網絡的安全。
三、攻擊技術
1.絕服務攻擊
拒絕服務攻擊即DoS攻擊是目前黑客經常采用而難以防范的攻擊手段。其目的是使計算機或網絡無法提供正常的服務。最常見的DoS攻擊有計算機網絡帶寬攻擊和連通性攻擊。帶寬攻擊指以極大的通信量攻擊網絡,使得所有可用網絡資源被消耗殆盡,最終導致合法用戶請求無法通過。連通性攻擊指用大量的連接請求沖擊計算機,使得所有可用的操作系統資源被消耗殆盡,最終計算機無法再處理合法用戶的請求。
2.沖區溢出攻擊
緩沖區溢出是指向固定長度的緩沖區寫入超出其預先分配長度的內容,造成緩沖區中數據的溢出,從而覆蓋緩沖區相鄰的內存空間。就像個杯子只能盛一定量的水,如果倒入太多的水到杯子中,多余的水就會溢出到杯外。
3.b應用安全攻擊
Web應用呈現出快速增長的趨勢,越來越多的單位開始將傳統的Client/Server應用程序轉變為三層Brower/Server結構,即客戶端瀏覽器(表示層)/Web服務器(應用層)/數據庫(Brower/Server/Database)三層結構。三層結構的劃分,在傳統兩層模式的基礎上增加了應用服務這一級,使邏輯上更加獨立,每個功能模塊的任務更加清晰。在這種結構下,用戶工作界面通過WWW瀏覽器實現。然而,易于開發的Web應用卻有許多安全問題值得關注。
4.毒、蠕蟲與木馬
計算機病毒,指編制或者在計算機程序中插入的破壞計算機功能或者破壞數據,影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼。蠕蟲是一種通過網絡傳播的惡性病毒,它具有病毒的一些特征,同時具有自己的一些特征,如不需要宿主文件、自身觸發等。木馬專指表面上是有用、實際目的卻是危害計算機安全并導致嚴重破壞的計算機程序。
四、防御技術
主要的防御技術有PKI網絡安全協議;防火墻;入侵檢測系統。
1.網絡安全協議
目前廣泛采用公鑰基礎設施PKI技術。PKI是一種新的安全技術,主要功能是對秘鑰和公鑰進行管理。
2.火墻技術
防火墻技術是解決網絡安全問題的主要手段之一。是一種加強網絡之間訪問控制的網絡設備,它能夠保護內部網絡信息不被外部非法授權用戶訪問。但是防火墻技術只能防外不防內,不能防范網絡內部的攻擊,也不能防范病毒,且經偽裝通過了防火墻的入侵者可在內部網上橫行無阻。
3.侵檢測系統
入侵檢測是對入侵行為進行識別和判斷的處理過程,它通過從計算機網絡或計算機系統中的若干關鍵點手機信息并對其進行分析,從中發現網絡或系統中是否有違反安全策略和危及系統安全的行為。
參考文獻:
摘要:本文結合筆者的實際教學經驗,從課程實驗課的教學目標、教學方法和考核方式三個方面探索了新的教學方法。
關鍵詞:網絡攻防技術;實驗課;教學研究
中圖分類號:G642
文獻標識碼:B
實驗教學在高校教學體系中占有十分重要的地位,進行實驗教學改革與探索的目的是提高實驗教學質量,使實驗教學在人才培養中發揮更大的作用。下面結合筆者自身的教學經驗,從教學目標、教學方法和考核方式三個方面對實驗課的教學進行了一些探索。
1完善教學內容
1.1教學內容設計
“網絡攻防技術”課程實驗課的教學目標就是以實驗為手段,使學生在實際操作過程中鞏固已有的網絡攻防理論知識,并以此為基礎了解目前常見的漏洞和攻擊模式,熟練配置一個安全的網絡系統,培養學生使用計算機網絡工具和設備來組建、配置和調試安全的局域網。
我們認為,目前的網絡攻防技術課程實驗課教學設計具有兩大特點:一是要突出實驗課在網絡攻防課程教學中的地位和作用;二是要以培養學生技術應用能力為主線設計實驗課的教學內容。為此,結合我院網絡實驗室已有的實驗設備和工具情況,我們設計了如下教學內容。
(1) 網絡安全漏洞測試與評估實驗:安裝并使用安全測試評估工具Shadow Security Scanner;使用Shadow Security Scanner對局域網的特定主機進行網絡安全檢測;分析并撰寫安全評估報告,及安全加固措施。
(2) 網絡嗅探與欺騙實驗:使用網絡嗅探工具Iris對局域網的特定主機進行ARP、ICMP、TCP、UDP等協議的數據報網絡嗅探;使用Iris對局域網的特定主機進行ARP欺騙。
(3) 計算機木馬與后門實驗:使用后門工具Hkdoor對局域網的特定主機進行FindPass、Shutdown等遠程監控;使用HkDoor與局域網的特定主機進行FTP數據傳輸。
(4) 軟件緩沖區溢出漏洞利用設計實驗:編寫并運用由MessageBoxA顯示信息的ShellCode代碼;編寫具有安全漏洞實例代碼的攻擊利用程序,并測試通過。
1.2實驗環境設置
網絡攻防實驗與其他實驗有著很大的區別,主要表現為系統性與繼承性。
系統性是指網絡攻防面對的是系統集成問題,其實驗的對象和環境是一個計算機網絡。計算機網絡所面對的系統集成問題與電子測量、電子技術、微機接口等實驗課程不大一樣。微機接口等實驗立足與元件級,即把一些元件按實驗內容設計出電路圖,再連接成相應的電路,實驗結果是完成某一功能。由于功能單一,整體結構簡單,因而安裝、調試過程難度均不大。而網絡攻防實驗無論硬件和軟件的復雜程度都大大超過微機接口實驗,系統集成后復雜程度更高。因此,我們在實驗中更要注意從系統的、聯系的觀點看問題,這也是培養學生處理大系統,從事系統開發和提高系統集成能力的好機會。
繼承性有硬件、軟件方面的。硬件方面繼承性是指只有完成了基本的組網實驗,后繼實驗才能順利地在此環境下進行。軟件方面的繼承性是指每一種網絡環境下的實驗,都基于特定的網絡操作系統,只有完成了有關網絡操作系統的安裝、配置,這個網絡環境下的其他實驗才能順利進行。因為網絡實驗的系統性和繼承性,使得網絡攻防的實驗對實驗環境要求較高,涉及實驗的設備與組織管理多方面,實驗前后的許多工作需要實驗室的支持與配合,實驗指導老師需要對實驗環境有較深的了解,每一個實驗項目都要考慮其可行性和可操作性。開設網絡教學實驗,需要有更多的實驗設備與技術力量的支持,相對于計算機課程的其他實驗,難度更大。因此實驗前的準備功夫一定要做好,只有這樣才能理清實驗目的、要求,列出實驗步驟,對可能出現的問題有充分的準備,才不會臨到實驗時手忙腳亂、窮于應付。
2改革實驗課教學方法
2.1教師的主導作用
一直以來,計算機課程實驗主要是驗證性實驗,嚴格來說這種實驗只能稱為上機,談不上實驗教學。改革實驗教學方法,規范管理,提高教學水平,就是要注重學生是教育主體的作用,通過對學生的引導、幫助和促進,充分調動他們獲取知識的積極性和主動性,增強能力,提高素質。實驗是教學過程中的一個重要環節,因此實驗教學方法的好壞直接影響著學生對實驗的態度,影響著他們的動手能力,創新意識的培養。我們認為網絡攻防技術這門課程既有一般計算機課程的普遍性,也有其自身特性,網絡攻防技術實驗不僅是理論的驗證,更重要的是通過網絡與系統安全的實驗操作,培養學生對網絡安全的分析、設計、管理和應用的實驗技能,加深對網絡攻防理論知識的理解和應用。
在教師主導作用方面,我們首先改變過去按部就班的教學模式[3],以啟發式的方式指導實驗。教師在備課時,對每次實驗重點和難點、實驗中可能出現的問題、實驗的數據和結果做到心中有數。實驗過程中,教師加強巡視,出現問題,一般由學生自主研究解決,教師作啟發提示、釋疑和引導。這樣的實驗不光是學生動手做,教師在整個實驗中起著主導作用。
在學生主體方面,由于實驗報告是培養學生寫作能力、表達能力、分析能力和總結能力的一種較好方式。因此,要求學生每一個實驗都要提交實驗報告。在報告中注重分析、總結實驗中的收獲、體會,使學生從實驗中不斷積累經驗,獲得更多的實驗技能。在實驗課結束時,組織實驗技能考核,最后根據學生實驗情況、實驗報告、考核及平時成績,客觀評價學生的實驗成績。
通過以上措施,提高了學生對實驗課的重視程度,同時對指導老師也提出了更高的要求。可見,把教師的主導作用和學生的主體作用結合起來,有利于提高實驗教學水平。
2.2學生的組織管理
我院根據網絡攻擊技術實驗的特點,采取了獨立實驗和分組實驗等多種形式進行實驗操作。更多地采用分批分組來組織實驗,學生相互學習、相互討論切磋,提出一個最優方案,然后實施。
在實踐中,我們發現分組實驗的許多優點。網絡安全從軟件、硬件和通信幾個方面來說,都是一個復雜的網絡系統,網絡攻防的信息探測、分析、漏洞掃描、實施,以及滲透測試一般都是一個群體來實現的,學生將來如何從事網絡攻防方面的工作,也需要與人合作,分組實踐,加強了學生之間相互學習研究、溝通和合作的精神。對于實驗能力較強的學生,可以指定他們做一些實驗輔導工作,由他們負責所在小組的實驗,這種變教師指導實驗為學生指導實驗的教學方式,充分調動了學生參加實驗教學的積極性。網絡攻防實驗不光是需要計算機和網絡,還需要一些配套設施,且操作有一定的破壞性,一人一套設備有時是不可能也沒必要,以小組為單位,有利于實驗室的恢復和維護。不過,分組實驗有些問題也要引起注意。如在一個小組中,學生的能力相對有強弱之分,如果以小組為單位完成某個實驗,那么學生為盡早完成,可能由能力強的學生做完了事,而其他同學,尤其是能力較差的學生就沒有得到應用的實踐。所以,在實驗的組織與管理中,應當注意對不同層次學生做不同要求,采取多種形式提高學生對實驗的興趣,加強分組分配的合理性以及實驗過程中鼓勵弱勢學生的積極參與。
2.3實驗課教學方法改進
實驗課是培養學生動手能力的最基本環節,在很大程度上影響著實驗課的教學目標能否順利實現。因此,結合網絡攻防技術課程實驗課的教學特點,我院對本課程實驗教學方法進行了積極的探索和改革。
(1) 規范操作流程。實驗之前,要求學生撰寫并提交以明確實驗目的、實驗任務、分析或預測可能困難為目標的預習報告;實驗過程中,應按規定操作,并遵守實驗室各項規章制度;實驗完成后,應及時提交實驗報告、實驗心得以及經驗總結等相應資料。
(2) 改革教學模式。減少演示性實驗內容,增加技能性、設計性和綜合性實踐教學內容;在教學過程中,結合流行的新網絡技術講解,激發學生學習的積極性,在實驗課中使學生由被動受教育轉為積極主動受教育。
(3) 改革教學方式。減少教師手把手的教學方式,指導和啟發學生分析、解決問題,盡可能地讓學生通過自己查找資料、相互討論,解決實踐過程中遇到的問題。
(4) 激發學生的創造性思維。鼓勵學生對同一個實際問題從不同角度來思考,并提出不同的解決方案。教師在規定問題求解的大范圍前提下,可讓學生自行完成方案設計和實驗操作,充分挖掘學生的創新性、靈活性等,并讓優秀方案設計者談談其設計思路、心得體會,促進學生間的相互交流,營造濃厚的學習氛圍。
(5) 培養學生查找和搜索專業資料的能力。教師可以在實驗課的不同階段,布置一些與本階段學習相關的最前沿的主題,讓學生自己去查找,并進行相互之間的交流,這不僅僅可以開闊學生的知識視野,也為最后階段的綜合網絡實踐順利完成提供了文獻查閱方面的保障。
(6) 鼓勵學生深入實驗。在完成規定的教學內容外,安排一些更具有實用性、工程性特點的實驗內容,加強對學生動手能力的訓練。
3結束語
隨著計算機業的發展,網絡環境下的實驗在不斷更新,實驗內容也必須隨之而更新,這對于提高實驗教學質量有著重要作用,因此改革之路仍然漫長,我們仍需不斷探索。
(訊)實體戰爭打不起來,虛擬網絡戰爭已經開始!我們在6月7日的深度報告《IT安全是和平時期國家的制高點》里明確指出,在可預見的未來5-10年以內,發生中國卷入的區域性戰爭的可能性微乎其微,和平共處是世界發展的主流。雖然實體戰爭不可能發生,但是虛擬的網絡戰爭已經開始了。
去年12月底,美國就對朝鮮進行了全面的網絡攻擊,使得朝鮮全國網絡癱瘓了2天。美國組建了網絡戰聯合功能構成司令部,擁有約9萬名安全研究軍人,日本于2011年建立網絡空間防衛隊,投資了約70億日元負責安全項目。在和平時代,網絡的攻防成為國家間沒有硝煙的戰場。
正式以法律的角度來確保我國的軍事安全、科技安全領域:在維護國家安全的任務方面,新法要求,國家加強自主創新能力建設,加快發展自主可控的戰略高新技術和重要領域核心關鍵技術,加強知識產權的運用、保護和科技保密能力建設,保障重大技術和工程的安全。
國家建設網絡與信息安全保障體系,提升網絡與信息安全保護能力,加強網絡和信息技術的創新研究和開發應用,實現網絡和信息核心技術、關鍵基礎設施和重要領域信息系統及數據的安全可控。
IT安全是國家戰略安全的制高點:當代社會已經進入數字社會,互聯網開始連接一切,構成互聯網時代的基礎則是各種通訊設備和系統應用軟件,信息安全是國家安全的重中之重,保障互聯網安全,保障IT信息產業安全將是重頭戲。
在互聯網的時代,IT產業國產化的進程不可逆轉。加大IT安全有兩條路徑,即防護和自身系統國產化。前者需要加大對防火墻、攻防產品的投入;后者則是加大系統的國產化率,做到自主可控。
網絡安全法人大二次審稿結束,政策依然密集支持:現在法律已經落地,那么以前各個部門、領域的臨時網絡安全措施便有了法律依據,從投資邏輯上我們具體可以關注三條線:軟件自主可控,硬件自主可控以及系統自主可控,軟件自主可控表現在架構上,更多的使用云計算架構替代傳統國外巨頭的軟件設施;硬件上來看,從芯片、服務器、網絡安全設備等等,開始對國外設備進行替代;從系統自主可控,更多的以具有保密資質的國內企業來完成以往國外公司招標的系統。
投資建議
我們維持行業“增持”評級,投資組合為:中科曙光、紫光股份、北信源、啟明星辰、綠盟科技。(來源:國金證券 文/鄭宏達 編選:中國電子商務研究中心)
關鍵詞:軟件工程;網絡安全;教學改革
中圖分類號:G642文獻標識碼:A文章編號:1009-3044(2010)08-1934-02
The Design and Implement of the Basis of Computer Applications
YU Ying, DENG Song, WANG Ying-long
(Department of Software, Jiangxi Agricultural University, Nanchang 330045, China)
Abstract: In order toenhance the student's applicational ability, This paper talk about the reform of network security course from such aspects as teaching materials, teaching management, teaching method, practice step and improving the ability of student.
Key words: software engineering; network security; educational reform
近年來,我院圍繞軟件工程專業面向軟件產業培養高素質應用型軟件工程人才這個定位,不斷探索新的培養理念、培養模式,調整課程體系和教學目標、改革教學方法和教學手段。本文結合我院人才培養的改革與實踐,探討“網絡安全”課程教學改革。
“網絡安全”是我院軟件工程專業網絡工程方向的一門方向專業課,在專業課程中占據很重的分量。“網絡安全”是一門綜合性很強的課程,涉及的知識包括計算機科學、網絡技術、通信技術、密碼技術、信息安全技術、數論、信息論等多門學科。根據培養應用型人才這個目標,我們將授課目標定位在培養掌握網絡安全的基礎概念合理論,了解計算機網絡潛在安全問題,掌握常用的計算機網絡安全技術,增強學生的安全意識以及對安全問題的分析和處理能力,能在實際生活和工作中解決某些具體安全問題的應用型人才。因此,軟件工程專業“網絡安全”課程不能與計算機專業開設的網絡安全課程一樣,著重基礎理論教學。如何進行軟件工程專業下的“網絡安全”課程教學改革,加強學生實踐動手能力的培養突出應用能力的培養,使之符合軟件工程專業強調學生動手實踐能力的特點是本文要探討的內容。
1 合理組織教學內容,適應教學要求
“網絡安全”課程覆蓋知識面廣泛,學生不可能在有限的時間內掌握所有的安全技術,根據確定的課程目標,針對培養應用型人才的需要,確定本課程教學內容包括計算機網絡安全基礎理論(網絡安全體系結構、網絡安全評估標準、網絡安全協議基礎)、網絡安全攻擊技術(網絡掃描、網絡監聽、攻擊類型)、網絡安全防御技術(數據加密認證技術、防火墻、入侵檢測、操作系統安全配置方案)、網絡安全綜合解決方案四個部分。在課程選擇上從傳統的偏重網絡安全理論的介紹,轉變為比較實用的新型技術的學習,突出應用能力的培養。
由于目前沒有專門針對軟件工程專業的網絡安全教材,通用的網絡安全教材一般著重就介紹網絡安全理論與常用網絡攻防技術。知識點孤立、分散,沒有形成一個完整的體系。很少有教材綜合多個知識點結合案例進行講解分析,而且教材中關于網絡安全綜合解決方案的內容很簡單,篇幅也很少,不適合培養應用型人才的需要。為了解決這個問題,我們整合多本教材作為授課教材。在授課內容的組織上,重新調整次序,將前三部分內容穿插在綜合解決方案里,保證授課內容包含教學大綱要求掌握的所有知識點。
在教學大綱編寫上,我們改變以往“網絡安全”課程單獨制定大綱的方式,將本課程和其它網絡相關課程一起按課程模塊統一制定大綱,使得教學內容的總體布局更加科學合理。例如,網絡安全協議――TCP/IP協議簇安排在“TCP/IP協議原理及應用”課程中重點講解,防火墻及IDS的配置安排在“網絡設備”課程中講解,避免出現知識盲點和教學內容重復現象。
2 改進教學方法,激發學生學習興趣
采用以案例教學為主,理論教學為輔的方法。圍繞解決企業安全問題這條主線,把課程內容分為發現安全問題、分析安全問題、解決安全問題3大部分,通過一個實際的案例(某大學校園網)貫穿始終,圍繞著課程主線,逐步將知識點滲透。目前常見的攻擊技術(口令攻擊、木馬、IP欺騙、拒絕服務攻擊、會話劫持等)和防御技術(防火墻、入侵監測等)都可以在校園網中找到案例,因此將校園網安全問題作為案例講解有一定的代表性。在案例中設計了各種常見的網絡攻擊的情景,通過實際情景引申出原理的講解,原理依然采用多媒體設備進行課堂講授,對于常見攻擊要進行當堂演示,回放攻擊過程,然后再講解具體的防御措施和手段,并演示防御過程。采用這種授課方式使學生切實感受到各種安全問題的存在,加深對各種攻擊技術和防御方法的理解,靈活掌握各種防御技術的應用。通過一個完整案例的分析講解,使各個知識點不再孤立,而是形成一個整體,與現實中各種網絡安全綜合解決過程相符。每個部分中各知識點均配有其它案例作補充,例如常見網絡攻擊技術均設計有相關案例講解分析,而且根據網絡安全最新技術,每年調整案例內容。
在教學過程中轉變傳統的“填鴨式”教學為啟發式教學,讓學生以企業安全顧問的角色對企業的運行過程及網絡架構進行診斷,找出問題并提出解決方案和整改措施,最后要學生根據所學知識完成二次案例設計。實際的案例討論和應用將理論與實際完全結合起來,既有邏輯性,也有趣味性。學生全方位參與教學過程,充分調動了學生的學習積極性,引導學生發現問題,解決問題,培養學生動手的能力,激發學生的學習主動性。
3 加強實踐教學,提高動手能力
網絡安全是實踐性非常強的課程,光說不練不行。本課程實驗教學最初分為基礎驗證型和綜合設計型兩個層次。實驗內容涵蓋了網絡攻擊技術、訪問控制技術、防火墻技術、入侵檢測技術等。為了加強學生專業創新能力和應用能力的培養,在原有兩個層次之上增加一個研究創新型實驗,調整為3個層次,并加大后面層次的比重。
基礎驗證實驗內容與理論課內容相銜接,且相對固定。包括網絡掃描、網絡監聽、DES算法實現、程序實現簡單IDS、口令攻擊、木馬攻擊、拒絕服務攻擊等。通過基礎實驗幫助學生掌握密碼學算法實現,網絡安全設備配置,并讓學生體驗網絡攻擊防御的全過程。本類型實驗安排在每個理論知識點講解后進行。
綜合設計實驗鍛煉學生綜合運用網絡安全知識解決問題的能力,在真實網絡環境中,將學生分成兩組,一組學生發現網絡存在的安全漏洞并進行攻擊,另一組對發現的攻擊行為進行分析,確定攻擊類型并采取相應的措施,一遍攻防實驗結束后再輪換。該類型實驗主要通過課程實訓、實習基地實戰訓練等方式實現,要求學生綜合運用所學網絡安全知識,提高解決具體問題的能力,培養整體安全意識。該類型實驗安排在理論課完成后,集中一周或兩周進行;
研究創新實驗要求學生利用學過的知識和積累的經驗,針對創新課題提出有創意的設計并加以實現。該層次實驗主要通過創新課題研究、畢業設計與畢業論文、競賽項目、興趣小組等方式實現。內容來源于教師的科研項目、學生的自主科研選題、社會實踐活動和企事業應用需求,實驗內容每年都在更新。
4 注重能力培養,提高學生綜合素質
近年來,我院從應用型人才標準出發認真研究了國內外各高校軟件工程專業人才培養模式,辦學經驗,認識到軟件工程教育不僅要使我們的學生掌握專業相關知識、系統分析和設計能力、科學分析方法、工程思維能力。還必須具備良好的學習能力、語言表達能力、溝通能力和團隊協作能力等。因此,在我們進行教學改革時,要把對學生能力的培養和課程的學習融合起來。在“網絡安全”課程的教學活動中,為了培養學生的能力,我們做了以下幾方面工作。
以項目為載體,將學生的基礎知識學習和綜合能力訓練、扎實的課程學習和廣泛的探索興趣結合起來,引導學生養成終身學習的習慣,培養工程思維方式以及系統分析設計能力。在實驗過程中,注重學生主觀能動意識的培養。
將合作性實驗模式引入實驗教學,通過合作,培養了學生的團隊意識、和同學、老師的交流溝通能力,提高學生的綜合素質,培養創新意識和能力。
開設《大學語文》、《思想道德修養》等課程增強學生良好的職業道德和責任感的培養,提高人文素質。
5 結束語
隨著網絡安全形勢的日益嚴峻,《網絡安全》課程成為熱點課程,且隨著攻防對抗不斷升級,新技術不斷產生,課程內容也不斷變化,這些給我們的教學工作帶來難度。如何設計深淺適宜,符合應用型人才培養目標的授課內容、如何把抽象的理論變成學生易懂的知識,要需要在以后的教學實踐中進行不斷的總結和提高。
參考文獻:
[1] 駱斌,趙志宏,邵棟.軟件工程專業工程化實踐教學體系的構建與實施[J].計算機教育,2005(4):25-28.
事件發生以來,業界反應極為迅速,一批網絡安全企業和科研單位通過官方網站和社交媒體等多種渠道,不斷更新威脅動態,共享技術情報,及時技術保護措施和應對方案;政府部門和專業機構也及時公告和處置指南,增進了社會公眾的關注度,加強了對基本防護信息的認知,降低了本次事件的影響程度。由于各方應對及時,“永恒之藍”勒索蠕蟲爆發在5月13日達到高峰后,感染率快速下降,周一上班并未出現更大規模的爆發,總體傳播感染趨勢得到快速控制。事件過后,對網絡安全行業敲響了警鐘,也有必要對這次事件進行經驗總結,現將對勒索蠕蟲病毒事件的一些思考分享出來。
“永恒之藍”事件回溯
2017年4月期間,微軟以及國內的主要安全公司都已經提示客戶升級微軟的相關補丁修復“永恒之藍”漏洞,部分IPS技術提供廠商也提供了IPS規則阻止利用“永恒之藍“的網絡行為;(預警提示)
2017年5月12日下午,病毒爆發;(開始)
2017年5月12日爆發后幾個小時,大部分網絡安全廠商包括360企業安全、安天、亞信安全、深信服等均發出防護通告,提醒用戶關閉445等敏感端口;(圍堵)
2017年5月13日,微軟總部決定公開已停服的XP特別安全補丁;國內瑞星、360企業安全、騰訊、深信服、藍盾等均推出病毒免疫工具,用于防御永恒之藍病毒;(補漏)
2017年5月13日晚,來自英國的網絡安全工程師分析了其行為,注冊了MalwareTech域名,使勒索蠕蟲攻擊暫緩了攻擊的腳步;(分析)
2017年5月15日,廠商陸續“文件恢復”工具,工作機制本質上是采用“刪除文件”恢復原理/機制,即恢復“非粉碎性刪除文件”;(刪除文件恢復)
2017年5月20日,阿里云安全團隊推出“從內存中提取私鑰”的方法,試圖解密加密文件;生效的前提是中毒后電腦沒重啟、中毒后運行時間不能過長(否則會造成粉碎性文件刪除);(僥幸解密恢復)
2017年5月20日之后,亞信安全等網絡安全公司推出基于該病毒行為分析的病毒防護工具,用于預防該病毒變種入侵;(未知變種預防)
2017年6月2日,國內網絡安全企業找到了簡單靈活的、可以解決類似網絡攻擊(勒索病毒)方法的防護方案,需要進一步軟件開發。
事件處理顯示我國網絡安全能力提升
(一)網絡安全產業有能力應對這次“永恒之藍”勒索蠕蟲事件
早在4月15日,NSA泄漏“永恒之藍”利用工具,國內不少主力網絡安全企業就針對勒索軟件等新安全威脅進行了技術和產品的準備,例如深信服等部分企業就提取了“永恒之藍”的防護規則,并部分升級產品,還有部分企業識別并提前向客戶和社會了預警信息,例如,在這次事件爆發時,亞信安全等網絡安全企業保證了客戶的“零損失”。
事件發生后,國內網絡安全企業積極行動,各主要網絡安全企業都進行了緊急動員,全力應對WannaCry/Wcry等勒索病毒及其種的入侵,幫助受到侵害的客戶盡快恢復數據和業務,盡量減少損失。同時,也積極更新未受到侵害客戶的系統和安全策略,提高其防護能力。360企業安全集團、安天等公司及時病毒防范信息,并持續更新補丁工具。此次“永恒之藍” 勒索蠕蟲被迅速遏制,我國網絡安全企業發揮了重要作用,幫助客戶避免被病毒侵害而遭受損失,幫助受到感染的客戶最大限度地減少損失。
(二)網絡安全防護組織架構體系科學、組織協調得力
隨著《中國人民共和國網絡安全法》的頒布實施,我國已經初步建立了一個以網信部門負責統籌協調和監督管理,以工信、公安、保密等其他相關部門依法在各自職責范圍內負責網絡安全保護和監督管理工作的管理體系。既統籌協調、又各自分工,我國的網絡安全管理體系在應對此次事件中發揮了重要作用。
依照相關法律規范,在有關部門指導下,眾多網信企業與國家網絡安全應急響應機構積極協同,快速開展威脅情報、技術方案、通道、宣傳資源、客戶服務等方面的協作,有效地遏制住了事態發展、減少了損失。
安全事件暴露出的問題
(一)網絡安全意識不強,對安全威脅(漏洞)重視不夠
4月14日,Shadow Brokers 再次公布了一批新的 NSA 黑客工具,其中包含了一個攻擊框架和多個Windows 漏洞利用工具。攻擊者利用這些漏洞可以遠程獲取 Windows 系統權限并植入后門。
針對此次泄露的漏洞,微軟提前了安全公告 MS17-010,修復了泄露的多個 SMB 遠程命令執行漏洞。國內網絡安全廠商也提前了針對此次漏洞的安全公告和安全預警。但是國內大部分行業及企事業單位并沒有給予足夠的重視,沒有及時對系統打補丁,導致“永恒之藍”大范圍爆發后,遭受到“永恒之藍”及其變種勒索軟件的攻擊,數據被挾持勒索,業務被中斷。
在服務過程中發現,大量用戶沒有“數據備份”的習慣,這些用戶遭受“永恒之藍”攻擊侵入后,損失很大。
(二)安全技術有待提高(安全攻防工具)
繼2016年8月份黑客組織 Shadow Brokers 放出第一批 NSA“方程式小組”內部黑客工具后,2017年4月14日,Shadow Brokers 再次公布了一批新的 NSA 黑客工具,其中包含了一個攻擊框架和多個Windows 漏洞利用工具。攻擊者利用這些漏洞可以遠程獲取 Windows 系統權限并植入后門。
目前,我國在網絡安全攻防工具方面的研發與歐美國家相比還存在較大差距,我國在網絡安全漏洞分析、安全防護能力上需進一步加強。勒索蠕蟲入侵一些行業和單位表明不少單位的安全運維水平較低。
實際上,防御這次勒索蠕蟲攻擊并不需要特別的網絡安全新技術,各單位只需要踏踏實實地做好網絡安全運維工作就可以基本避免受到侵害。具體而言,各單位切實落實好安全管理的基礎性工作――漏洞閉環管理和防火墻或網絡核心交換設備策略最小化就可以基本防御此次安全事件。
在漏洞管理中運用系統論的觀點和方法,按照時間和工作順序,通過引入過程反饋機制,實現整個管理鏈條的閉環銜接。也就是運用PDCA的管理模式,實現漏洞管理中,計劃、實施、檢查、改進各工作環節的銜接、疊加和演進。要盡力避免重發現、輕修復的情況出現。及時總結問題處置經驗,進行能力和經驗積累,不斷優化安全管理制度體系,落實嚴格、明確的責任制度。需要從脆弱性管理的高度,對系統和軟件補丁、配置缺陷、應用系統問題、業務邏輯缺陷等問題進行集中管理。通過這些規范、扎實的工作,切實地提升安全運維能力。
基礎工作做到位,防護能力確保了,可以有效避免大量網絡安全事件。
對提升網絡安全防護能力的建議
(一)完善隔離網的縱深防御,內網沒有免死金牌!
這次事件的爆發也反映出不少行業和單位的網絡安全管理意識陳舊落后。部分決策者和運維管理人員盲目地認為網絡隔離是解決安全問題最有效的方式,簡單地認為只要采取了隔離方案就可以高枕無憂。一些單位在內網中沒有設置有效的網絡安全防護手段,一旦被入侵,內網可謂千瘡百孔、一瀉千里。部分單位的內網甚至還缺乏有效的集中化管理手段和工具,對于網絡設備、網絡拓撲、數據資產等不能夠實現有效的統一管理,這給系統排查、業務恢復、應急響應都帶來了很大的困難,也大幅度地增加了響應時間和響應成本。這次事件中一些使用網絡隔離手段的行業損失慘重,這種情況需要高度警醒。
在4?19重要講話中專門指出:“‘物理隔離’防線可被跨網入侵,電力調配指令可被惡意篡改,金融交易信息可被竊取,這些都是重大風險隱患。”
一定要破除“物理隔離就安全”的迷信。隨著IT新技術的不斷涌現和信息化的深入發展,現實中的網絡邊界越來越模糊,業務應用場景越來越復雜,IT 系統越來越龐大,管理疏忽、技術漏洞、人為失誤等都可能被利用,有多種途徑和方法突破隔離網的邊界阻隔。網絡隔離不是萬能的,不能一隔了之,隔離網依然需要完善其縱深防御體系。
在網絡安全建設和運營中,一定要堅持實事求是的科學精神。在全社會,特別是在政府、重點行業的企事業單位各級領導應樹立正確的網絡安全觀仍是當今重要的緊迫工作。
(二)強化協同協作,進一步發揮國家隊的作用
面對日益復雜的網絡空間安全威脅,需要建立體系化的主動防御能力,既有全網安全態勢感知和分析能力,又有縱深的響應和對抗能力。動態防御、整體防御才能有效地應對未知的安全威脅。體系化能力建設的關鍵在于協同和協作,協同協作不僅僅是在網絡安全廠商之間、網信企業之間、網絡安全廠商與客戶之間、網信企業與專業機構之間,國家的相關部門也要參與其中。國家的相關專業機構,如國家互聯網應急中心(CNCERT)等應在其中承擔重要角色。
在安全事件初期,各種信息比較繁雜,并可能存在不準確的信息。建議國家信息安全應急響應機構作為國家隊的代表,在出現重大安全事件時,積極參與并給出一個更獨立、權威的解決方案,必要時可以購買經過驗證的第三方可靠解決方案,通過多種公眾信息平臺,免費提供給社會,以快速高效地應對大規模的網絡攻擊事件。
(三)進一步加強網絡安全意識建設和管理體系建設
三分技術、七分管理、十二分落實。安全意識和責任制度是落的基本保障。
加強網絡安全檢查機制。加強對國家關鍵基礎設施的安全檢查,特別是可能導致大規模安全事件的高危安全漏洞的檢查。定期開展網絡安全巡檢,把網絡安全工作常態化。把安全保障工作的重心放在事前,強化網絡安全運營的理念和作業體系,把網絡安全保障融入到日常工作和管理之中。
采用科學的網絡安全建設模型和工具,做好頂層設計,推進體系化和全生命周期的網絡安全建設與運營。盡力避免事后打補丁式的網絡安全建設模式,把動態發展、整體的網絡安全觀念落實到信息化規劃、建設和運營之中。
安全建設不要僅考慮產品,同時要重視制度、流程和規范的建設,并要加強人的管理和培訓。
加強網絡安全意識教育宣傳。通過互聯網、微信、海報、報刊等各種形式的宣傳,加強全民網絡安全意識教育的普及與重視。在中小學普及網絡安全基礎知識和意識教育。借助“國家網絡安全宣傳周”等重大活動,發動社會資源進行全民宣傳教育,讓“網絡安全為人民、網絡安全靠人民”的思想深入人心。
(四)進一步加強整體能力建設
切實落實“4?19講話”精神,加快構建關鍵信息基礎設施安全保障體系,建立全天候全方位感知網絡安全態勢的國家能力與產業能力,增強網絡安全防御能力和威懾能力。不僅要建立政府和企業網絡安全信息共享機制,同時要積極推進企業之間的網絡安全信息共享,探索產業組織在其中能夠發揮的積極作用。
加強網絡安全核心技術攻關。針對大型網絡安全攻擊,開發具有普適性的核心網絡安全關鍵技術,例如可以有效防御各類數據破壞攻擊(數據刪除、數據加密、數據修改)的安全技術。
完善國家網絡安全產業結構。按照國家網絡安全戰略方針、戰略目標,加強網絡某些安全產品(安全檢測、數據防護等)的研發。
加強網絡安全高端人才培養。加強網絡安全高端人才培養,特別是網絡安全管理、技術專家培養,尤其是網絡安全事件分析、網絡安全應急與防護,密碼學等高級人才的培養。
加強網絡安全攻防演練。演練優化安全協調機制,提高安全技能和安全應急響應效率。
(五)加強對網絡安全犯罪行為的懲罰
【關鍵詞】局域網 網絡安全 入侵檢測
一、前言
近年來,隨著計算機在辦公中的普及應用,局域網在辦公以及學習中的地位日漸突出,針對局域網的攻防也日益增多。這類攻擊有以病毒的形式進行傳播和攻擊,也有網絡黑客的破壞和IP地址被盜用等各種形式,不論怎樣這都嚴重影響了計算機中數據的安全性。如何消除局域網中的隱患,提高局域網的安全性,也顯得更為迫切。
二、系統功能分析
本文是在windows平臺上設計并實現局域網安全攻防測試與分析系統,本系統主要用于局域網的安全攻防測試,系統需要滿足以下幾點功能:實現數據包的抓捕。實現以太網協議分析的功能,通過對數據包的分析,顯示源MAC地址、目的MAC地址、協議類型。實現ARP協議,IP協議,TCP協議,UDP協議,ICMP協議分析的功能等。實現入侵檢測功能,通過對數據包的分析,顯示入侵者的時間、入侵者的IP、攻擊信息。通過多線程來控制,實現實時顯示的效果。
三、系統設計
(1)數據包的捕獲:在本系統中將使用多線程實現,一個線程用來捕獲數據包和協議分析,而主線程用來顯示分析后的網絡協議信息,這樣就避免了程序界面顯示的停滯現象。
(2)協議分析。在協議分析過程中,以太網協議分析是第一步。首先要分析以太網的協議部分,然后根據以太網中的協議字段再分析其他的協議數據。在本系統中,使用多線程技術來實現數據包的捕獲,數據包的分析和數據包的顯示同步進行。
(3)入侵檢測設計。特征選取問題是入侵檢測系統的核心問題之一,準確的特征選取對于降低入侵檢測系統的誤碼率和漏報率,對于提高入侵檢測系統的檢測效率都起著重要的作用。模式匹配算法的性能直接影響入侵檢測系統的檢測效率。本系統擬采用BM算法。
四、系統詳細設計
此系統包括三個部分:探測器主要負責收集數據;分析器負責從一個或多個探測器處接受信息,并通過分析來確定是否發生了非法入侵活動;用戶接口使得用戶易于觀察系統的輸出信號,并對系統的行為進行控制。
(1)捕獲數據包。捕獲數據包是整個系統中最重要的一部分,只有抓取了包才能進行下一步的分析。分析各協議的內容及是否進行了入侵檢測。
捕獲數據包的函數為PacketOperation(),主要實現獲取主機所有網絡接口,再顯示在網絡接口選擇的對話框內,讓用戶選擇所要捕獲的網絡接口,如圖1所示:
(2)協議分析。在協議分析過程中,以太網協議分析是第一步。首先要分析以太網的協議部分,然后根據以太網中的協議字段再分析其他的協議數據。以太網協議分析的功能由函數EthernetOperation()來完成,顯示結果如圖2所示:
分析TCP協議時,還可以進一步分析基于TCP協議的其他應用層協議。 UDP協議分析是在分析IP協議基礎上進行的,當IP協議字段Protocol等于17的時候分析UDP協議。在分析UDP協議時,也可以根據端口號判斷上層協議種類并進一步分析。
(3)入侵檢測實現。 入侵檢測是整個系統的核心部分,以上所有的分析都是為這一部分做鋪墊的。 本系統中使用的模式匹配算法是BM算法。
在本系統中實現了TCP掃描入侵檢測的功能,由函數ScanDetect()來完成。ScanDetect()函數的實現如下:
int ScanDetect(void)
{if((TcpProtocol.Flags &0x02)&&(!(TcpProtocol.Flags &0x10)))
{AfxBeginThread(SYNScanDetectThread, hWnd);}
{return 1;}
該函數實現了對TCP SYN掃描的入侵檢測功能,在掃描檢測ScanDetect()函數中開創了一個新的線程,其回調函數SYNScanDetectThread()實現了TCP SYN掃描入侵檢測的功能。
在TCP入侵檢測功能中根據端口號進行檢測,可以在此實現其他TCP服務的檢測功能。本系統實現了端口80,25,21,110的檢測模塊,分別是Web服務,E-mail服務,Ftp服務以及Pop3服務檢測。
關鍵詞:信息安全;新一代網絡攻擊;APT;社會工程學
中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2013)05-0974-02
近年來,隨著云計算、虛擬化、社交網絡、IPv6等新技術、新應用的不斷發展和廣泛應用,網絡安全攻擊也趨向新型的高級持續性攻擊。在攻擊的過程中,攻擊者綜合運用社會工程學、0Day、Botnet、惡性文件、AET高級規避攻擊等技術手段。攻擊的方式也已從上一代單純基于字符串的攻擊演變為新一代面向應用和內容的深度、復雜、高級可持續攻擊。傳統的入侵檢測以及安全保護設備、工作方式、管理模式在面對新一代的網絡安全威脅時已經無法適應當前的安全形勢的發展。過去所掌握的技術手段、所積累的大量經驗和教訓等,目前已經不足以應對未來的新一代網絡安全威脅。
1 新一代網絡攻擊方式
1.1 網絡安全攻擊的4個階段
根據國家網絡信息安全技術研究所的有關報告分析,網絡安全攻擊從表現形式上可以分為4個階段:第一個階段,是攻擊者制造一個有影響力的攻擊。比如 2001 年的紅色代碼,2003年的沖擊波,2004年的振蕩波等。這些事件影響力都非常大,但是破壞對攻擊者本身并沒有帶來什么好處。第二個階段,攻擊的主要目的轉向“賺錢”,網絡上多種形式的敲詐變得比較常見,很多商業網站都成為地下產業鏈的一環,用惡意攻擊的形式來取代正常的競爭。第三個階段,另一種不同于以前的攻擊出現了,這就是竊密。第四個階段就是從現在開始的,網絡竊密的方法已經大不相同,網絡攻擊的目的也遠不僅止于竊密。新階段的網絡攻擊與以往那些階段有很大不同,使得過去在網絡安全領域所積累的東西面臨過期的危險。
1.2 新一代網絡攻擊的原理
新一代網絡攻擊已經不僅僅從單純的軟件的漏洞進行病毒的攻擊,而是結合社會工程學,心理學,將系統的使用者——人作為突破口,再綜合運用各種攻擊技術手段進行有針對性地攻擊,甚至是高級可持續攻擊(APT攻擊)。下面就以新一代網絡攻擊的典型代表—APT攻擊為例進行說明。
APT高級持續性威脅,這種攻擊行為首先具有極強的隱蔽能力,通常是利用企業或機構網絡中受信的應用程序漏洞來形成攻擊者所需的網絡;其次 APT攻擊具有很強的針對性,攻擊觸發之前通常收集大量關于用戶業務流程和目標系統使用情況的精確信息。APT攻擊可能持續的時間很長,攻擊是通過多個步驟,多個間接目標和多種輔助手段最終實現對特定目標的攻擊,經常結合各種社會工程學手段。任何規模的公司,只要員工可以訪問網站、使用電子郵件(尤其是HTML郵件)、傳輸文件等,就有可能受到APT威脅。例如惡意軟件可以通過路過式下載、感染附件或文件進行傳輸。即使是部署了強大的邊緣保護的企業仍然無法逃過APT攻擊,例如通過內部接入被感染的可移動驅動器(U盤、閃存卡)、其他地方被感染的筆記本電腦等。
2 目前的安全防御體系在挑戰中處于劣勢地位
面對新一代的網絡攻擊的挑戰,目前的安全防御體系已經無法適應新形勢、新技術的發展,在攻防的博弈中處于劣勢地位。
第一,在對入侵的預警方面,無法及時發現網絡攻擊。由于攻擊者的誘騙手段往往采用惡意網站,用釣魚的方式誘使目標上鉤。而企業和組織目前的安全防御體系中對于惡意網站的識別能力還不夠,缺乏權威、全面的惡意網址庫,對于內部員工訪問惡意網站的行為無法及時發現。攻擊者還經常采用惡意郵件的方式攻擊受害者,并且這些郵件都被包裝成合法的發件人。而企業和組織現有的郵件過濾系統大部分就是基于垃圾郵件地址庫的,因此,對于這些合法郵件現有的郵件過濾系統無法進行過濾。同時,由于郵件附件中隱含的惡意代碼往往都是0day漏洞,現有的郵件內容分析也難以奏效。
第二,在初始的網絡滲透前,目前的安全防御、檢測設備已經落后。初始的網絡滲透往往使用利用0day漏洞的惡意代碼。而企業和組織目前的安全防御、檢測設備無法識別這些0day漏洞攻擊。 還有一些攻擊是直接通過對目標公網網站的SQL注入方式實現的。很多企業和組織的網站在防范SQL注入攻擊方面缺乏防范。
3 防范新一代網絡攻擊的應對思考
通過以上的分析,不難看出,要有效地防范新一代的網絡攻擊,僅僅依賴傳統的幾臺網絡安全設備是不可能完成的任務,必須從管理和技術手段兩方面入手。
3.1 管理方面的應對
第一,加強培訓,增強安全意識及有關警示教育,特別是如何防范郵件攻擊方面的培訓。從過去的攻擊中,攻擊者所制造的社會工程陷阱大部分會通過郵件的方式進行部署,如利用常見的網頁郵件服務賬號、入侵獲得的電子郵件賬號、偽裝的電子郵件賬號等手段發送攜帶漏洞攻擊信息的郵件,并通過常見軟件的漏洞入侵受害者的電腦。據趨勢科技調查顯示:在2012年,每天產生的企業電子郵件數量高達890億封,占郵件總數的60%;一般企業員工平均每天會發送41封、接收100封電子郵件,而收到的郵件中有16%是垃圾郵件。考慮到企業員工需要頻繁使用電子郵件,以及攻擊者制作社會工程陷阱電子郵件的容易程度,因此,郵件的風險程度愈來愈高,已成為攻擊者的敲門磚,防范好這個環節就可以大大降低被攻陷的風險。有一條通用安全法則是:“你不能阻止愚蠢行為發生,但你可以對其加以控制。”許多威脅通過引誘用戶點擊他們不應理會的鏈接侵入網絡。因此限制沒有經過適當培訓的用戶使用相關功能能夠降低整體安全風險,這是一項需要長期堅持的管理措施。
第二,建立健全分級保護制度,嚴格劃分用戶的訪問權限。攻擊者的最終目的就是竊取企業和組織內部的數據,因此嚴格控制不同的用戶對數據的訪問權限是防止數據泄露的有效途徑。通過建立分級保護制度,將原來的一個大網絡按照保護的等級劃分為多個子網絡,網絡之間相互隔離。隔離網絡域既包括為避免感染的目的與危險網絡域進行隔離,也包括為保護資產的目的而將重要數據網絡域與其他域隔離。這樣,既可以避免一般用戶被攻擊者控制后數據的安全,又可以重點防護核心的數據區域及加強掌握核心數據訪問權限的人員的重點管理,將有限的安全設備用于重點防護區域。
3.2 技術方面的應對
在技術方面,針對傳統安全防護系統的不足及新一代網絡攻擊的技術特點,針鋒相對,改進及采取新的技術手段進行分析和檢測。
第一,基于安全信譽系統進行異常檢測。安全防護系統的最關鍵的一環是如何阻止惡性軟件進入內部網絡,如果能夠實時識別惡性軟件并進行攔截是最完美的,但是由于攻擊技術的不斷進步和攻擊手段的千變萬化,現有的技術和設備要在線實時檢測惡性文件內容幾乎是一個不可能完成的任務。傳統的異常檢測是基于攻擊特征或模式匹配的,采取黑白名單規則判斷。這種簡單的判斷無法滿足現實世界復雜性的需要,容易造成較多的誤判。當前,要改進這種簡單的判斷,采用基于實體信譽的黑白互補的灰度判斷。同時,還可以根據安全威脅的態勢,動態選擇判斷閥值的寬嚴程度,更好地為網絡服務。
第二,基于用戶身份行為分析技術進行攻擊識別。傳統入侵檢測技術手段無法及時有效地檢測到新一代的網絡攻擊,主要是因為難以從數據包中查找到“惡意字符串”,所以無法及時檢測到攻擊事件的發生。但是,網絡中的每個用戶根據各自的工作職責和個人愛好都會形成各自的唯一的行為習慣,而這種行為習慣反映在日常的網絡訪問活動中就形成了各自的唯一的網絡行為。當檢測到網絡中出現了違背白環境模型的異常行為時,則很可能發生了攻擊行為。例如:有一個用戶日常的登錄時間都在工作日的白天時間,當系統檢測到他在深夜時間登錄系統時,報警系統就要報警,提示系統管理員進一步檢查是否有攻擊事件發生。
4 結束語
隨著信息技術和社會文明的不斷進步,新一代網絡攻擊必將進一步加強對我們網絡的攻擊和滲透,我們不可避免地必須面對它的存在,不能存在僥幸心理,要從思想上重視,時刻保持警惕。另一方面,又不能妄自菲薄,自亂陣腳,新一代的網絡攻擊也不是不可防護的,只要認真地對它進行分析,結合技術和管理的手段,不斷改進和完善現有的安全防護體系,網絡攻擊還是可防可控的。雖然,目前在攻防的博弈中暫時處于劣勢,但是通過長期有針對性地努力,我們深信在這場攻防的博弈中一定會重新取得優勢。
參考文獻:
[1] 杜躍進. 全新時代:網絡安全威脅進入新階段[J]. 信息安全與通信保密,2011(9).
在剛剛結束的第十七屆中國信息安全大會上,長亭科技的企業級網絡安全防御產品――長亭雷池Web應用防火墻榮獲“2016年度中國信息安全領域優秀產品獎”。
長亭科技國內真正將智能語義分析技術應用于Web應用安全防護領域的公司,長亭雷池Web應用防火墻打破了十多年來Web應用防護設備(WAF)一直依靠規則(即正則表達式)進行防護的局面,開啟了Web防護的智能時代。因為使用了基于智能語義分析的核心技術引擎和并行數據分析框架,雷池具有快、準、省三大特點。即運行速度快、檢測效果準,省時、省力、省心。最終給客戶呈現的結果是防御效果更好,對企業的原有業務影響較傳統WAF更小。
由于不存在規則疊加,雷池Web應用防火墻的平均處理時間是0.017ms,99%的處理時間都在0.1ms以下,遠快于傳統WAF。
目前,市面上的WAF依靠規則進行威脅識別與防御,判斷用戶輸入是否為威脅的過程較機械,除了容易造成漏報以外,誤報是另一個更嚴重的問題。因為誤報可能導致將正常的用戶輸入攔截,會對企業的業務造成直接的影響,因此,解決誤報問題也是新一代WAF的研究目標。雷池Web應用防火墻采用了基于智能語義分析技術的技術引擎,對攻擊數據的識別有智能解讀的過程,非常有效地降低了誤報率和漏報率。經過真實的數據測試,雷池目前的誤報率在千分之一以下,漏報率在3%以下,較傳統WAF有了不小的進步,真正實現了讓企業業務的Web應用安全防御的無感知但有效。
除此之外,長亭雷池Web應用防火墻會對用戶輸入進行分析,識別其輸入內容是否存在攻擊意圖,這個過程中能有效識別未知威脅(0day),因此,長亭雷池Web應用防火墻真正地實現了對未知威脅的防御能力,這也是基于規則的傳統WAF無法實現的。
長亭科技已為該項技術申請了多項專利保護。
目前,長亭雷池Web應用防火墻已應用在金融、視頻、打車等領域,推出僅兩個月時間,已有20家行業標桿客戶。
在長亭科技等新興網絡安全公司的不斷創新推動下,Web安全防護將逐漸走向智能時代。
長亭科技是一家以技術為導向的新興網絡安全公司,專注于為企業提供網絡安全問題解決方案。公司成立于2014年7月,2015年7月正式開展業務。到2016年7月,長亭科技順利推出兩款企業級產品,長亭科技的業務主導也從單一的安全服務組件轉型為集安全產品和服務為一身的網絡安全解決方案體系,為企業提供更全面的網絡安全防御。
未知攻、焉知防,除了產品的開發能力,長亭科技還擁有超強的攻防技術實力。成立兩年時間,長亭科技已為91家企業提供了安全服務,其中包含電商、互聯網金融、銀行、學校等機構。長亭科技在服務過程中會幫助客戶找到了網絡安全薄弱點,并竭力為客戶提供有效的網絡安全解決方案,幫助客戶有效地提升了網絡安全防御能力。正是這種在安全服務中建立的信任感,為長亭科技產品的推廣鋪墊了良好的基礎。
在未來,長亭科技將建立完善的安全體系,而單點產品的逐步實現讓這個強大的安全體系初具雛形。本次獲獎也證明了長亭科技產品開發的實力、提供網絡安全解決方案的實力和打破傳統單點被動防御的決心。
