時間:2023-09-22 17:04:51
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇網絡攻防與安全滲透,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2012)12-2729-02
Security and Defense Technology in the Campus Network Research
CHENG Xi-jia
(Modern Educational Technology Center, Hunan Communication Polytechnic, Changsha 410004,China)
Abstract: At present, the domestic university basically have set up their own campus network, Campus network security is becoming more and more serious, Facing the external network not only attack, And may face from internal network of attack. Therefore, to establish a safe campus network defense system, is the current network managers need to solve the problems. This paper proposes an improved test method of attack, not only can monitor the network behavior, but also can effectively control the illegal network behavior.
Key words: network security; security defense; attack test
隨著高校校園網絡的建設使用,網絡安全問題也隨之而來,一般高校的網絡管理人員都在網絡和內網之間部署了防火墻,以免遭受來自外部網絡的攻擊。但是,防火墻并不能有效的防止來自內部網絡的攻擊,而往往某些大學生利用自己所學知識,出于一種好奇心理來發動來自內部網絡的攻擊,這些攻擊令網絡管理者們放不甚防,導致某些試卷或成績被竊取或篡改,從而給學校的工作帶來了很大的麻煩。因此,如何建立一套有效的校園網絡安全防御體系,是值得高校網絡管理者們研究和探討的重要課題。
1校園網攻防試驗技術分析
校園網攻防試驗主要用來檢測網絡中是否存在安全問題,其試驗步驟主要有預攻擊探測、漏洞掃描和攻擊、獲取目標控制權、安裝系統后門、繼續滲透并獲取機密信息、消滅蹤跡。校園網攻防試驗技術主要可以從以下幾個方面來在著手:預攻擊探測技術分析、漏洞掃描技術分析以及一些常見的網絡攻擊技術分析。預攻擊探測技術分析可以通過對端口掃描、操作系統識別技術以及資源掃描與查找技術等幾個方面來完成;漏洞掃描技術分析可以通過口令破解技術、網絡嗅探技術以及漏洞掃描技術預防等來實現;常見的網絡攻擊技術分析可以通過對木馬攻擊、Dos攻擊以及欺騙攻擊來實現。
2校園網攻防試驗策略研究
目前的攻防試驗方法主要有兩種,一種是在系統開發之前,實驗者比較熟悉用戶的使用環境,設計者可以針對用戶的使用環境來進行開發,如校園網絡的攻防試驗;另一種是實驗者除了知道攻防試驗的大致范圍以外并不知道其他參數,需要通過攻防試驗來收集信息,并通過對這些信息的分析,得出有價值的結論。這兩種方法都存在各自的不足之處,在此基礎上,我們提出了一種改進的攻防試驗方法,這種方法通過網絡攻防試驗的層次來進行劃分,主要分為外部網絡攻防、內部網絡攻防以及網間網絡攻防等幾個方面。外部網絡攻防主要是指實驗者通過互聯網來對試驗的網絡發動攻擊,其中主要包含防火墻試驗攻擊、網絡設備的攻擊、網絡應用子系統的攻擊以及用戶的口令安全性測試等方面,通過試驗發現網絡中的一些漏洞并進行彌補,提高網絡的安全性能。在內部網絡攻防試驗中,可以模擬兩種攻擊者的身份,一種是外部網絡攻擊成功后的攻擊者,另一種是來自內部網絡的成員。這樣既可以檢驗外部攻擊者進入內部網絡的安全性能,又可以來自內部網絡成員對網絡的安全威脅。網間網絡攻防主要用來試驗一個大型的網絡,大型網絡通常都會利用路由器或交換機等網絡設備,來將網絡劃分為多個子網,網間網絡攻防通過使用某個網絡段來發動對其他網絡段或整個網絡的攻擊,通過試驗來對網絡間連接設備進行安全評估。
3校園網絡監控系統的設計
3.1系統的拓撲結構設計
本系統所在的計算機需要安裝兩塊網卡,一塊連接中心交換機的鏡像端口,負責捕獲網絡數據包;另一塊接入校園網,負責發送網絡數據包。其物理拓撲結構如圖1。
圖1系統的拓撲結構
3.2系統的邏輯結構設計
本系統的邏輯結構主要包含內核驅動程序和用戶界面,內核驅動程序主要捕獲數據包,并將捕獲后的數據包進行分析,然后進行發送并寫入數據庫,用戶界面主要完成一些可視化的基本操作。本系統在連接鏡像端口后,監測網絡中的數據包,INC微端口程序在獲取數據包后進行分析處理,然后發送到中間層驅動程序。接下來是比較數據包與設定的訪問規則,如果認為數據包是非法的,就馬上偽造一個RST應答信息,然后傳入到校園網絡中。
3.3內核子系統設計
內核子系統是整個系統的核心部分,主要分為五個模塊:數據包捕獲模塊、協議分析模塊與訪問規則比較模塊、偽造數據包模塊、偽造包發送模塊、用戶層子系統模塊。系統的中間層驅動程序框架如圖2。
圖2系統的中間層驅動程序框架
數據包捕獲模塊主要完成對網絡中數據包的捕獲,并將其存入數據包的緩存區中,提供給其他模塊來處理,此模塊中需要構建封包描敘符鏈表,以便對到達的數據包進行封包;協議分析模塊與訪問規則比較模塊,主要來完成對捕獲的數據進行協議分析和歸類,并判斷數據包的合法性,在設計此模塊時,考慮到網絡中數據包的流量比較大,可以采用多線程設計;偽造數據包模塊主要用來偽造數據包,當在規則對比模塊中發現有非法數據包時,需要對該數據包修改后重新打包,通過分析數據幀的首部,偽造數據包信息,重新打包后發送到網絡當中;偽造包發送模塊主要用來對偽造的數據包進行發送,在本系統中設計了兩塊網卡,其中一塊是連接交換機鏡像端口,用來捕獲數據包;另一塊是連接校園網,用來發送數據包。系統在找到發送的網卡后,獲取發送數據的控制權,將數據包發送到網絡中,發送成功后釋放該數據包的發送資源。用戶層子系統模塊主要用來讀取捕獲的數據包,并設置訪問規則以及察看數據包等功能。主要由五個部分組成:數據包的讀取、將數據包寫入數據庫、設置用戶端訪問規則、設置內核訪問規則以及設計用戶界面模塊。
4總結
隨著網絡技術的不斷發展,網絡安全面臨的威脅也在日益增加。隨著當前高校校園網的廣泛應用,在學習和工作方面帶來便利的同時,也存在著很大的風險,如果校園網一旦被攻破,將帶來非常嚴重的后果,例如考試成績將被篡改,考試試卷將泄漏等。所以,對高校校園網絡的管理者們提出更高的要求,如何建立一套有效的校園網絡安全防御體系,將是值得網絡管理者們研究和探討的重要課題。
參考文獻:
[1]陳訓遜,方濱興,胡銘曾.一個網絡信息內容安全的新領域——網絡信息滲透檢測技術[J].通信學報,2008(7).
[2]許治坤,王偉,郭添森,等.網絡攻防技術[M].北京:電子工業出版社.2008.
[3]王彬,吳渝,王國撤.基于防火墻穿透技術Firewalking的安全探測系統[J].計算機應用研究,2011(2).
關鍵詞:計算機網絡;五位一體;人才培養
計算機網絡產業作為我國的基礎性和戰略性產業,在促進國家經濟發展和社會信息化中具有舉足輕重的地位。計算機網絡專業的學生作為未來計算機網絡產業發展的主體力量,其培養非常關鍵。基于學生、教師和學校管理層面的積極參與,廣東外語外貿大學提出“五位一體”的培養思路和方法,經過多年的實踐,形成特色鮮明的計算機網絡創新人才培養模式。
1 “五位一體”人才培養模式的理念與內涵
“五位一體”是指由理論與實驗教學、組建學生團隊、參與教師課題、參加學術競賽和資格認證考試等多種培養方式構成的一個立體化人才培養模式。多階段、多層次的學習與實踐,一方面使學生融會貫通所學到的知識,從被動填充式的學習轉變為主動探索性的學習;另一方面對學生的分析能力、實踐能力、創新能力以及解決實際問題的能力進行全方位訓練,以激發學生的創新能力并將其很好地展現出來。
1)理論與實驗教學。
課堂理論教學讓學生一方面了解該課程的發展歷史,理解基本理論概念和不同的知識點細節,掌握教學內容中的理論、原理和方法;另一方面理解不同概念的關系、不同理論體系的優勢和差別,建立系統的知識體系,從整體上理解該課程。
實驗教學讓學生在實驗過程中進一步理解和掌握學到的理論知識。學生通過包含不同知識點的實驗,加深對知識細節的理解;通過系統實驗理解不同知識點在組成系統時的作用,同時加深對整個知識系統結構的認識;通過擴展實驗靈活應用已學知識并探索新的內容。
2)組建學生團隊。
在學生創新團隊中,有相同興趣的學生聚在一起討論和學習。知識水平處于較低層次的學生能夠得到基礎的培訓和指導并明確學習目標。一方面,學生的專業知識能夠得到較快提升,學生可以在學習上少走彎路;另一方面,由于有清晰的奮斗目標,學習信心和動力會更強。知識水平處于較高層次的學生一般以指導者和帶頭人的角色參與團隊創新活動,通過指導知識水平處于較低層次的同學,激勵自己進一步主動學習和掌握新知識。團隊成員之間的協同與合作、相互競爭與激勵能夠提高學生的創新能力,激發學生的創新思維。
3)參與教師課題。
大學生通過參與專業教師的科研項目,培養自己的創新意識和解決實際問題的能力。教師從低年級學生中選擇合適的學生參與項目并悉心培養,直到學生本科畢業。通過參與實際科研項目的設計、開發、應用與維護,學生既可以鍛煉理論結合實際的能力和動手能力,又能提高對實際網絡知識的認識與應用分析能力和科研創新水平。
4)參加學術競賽。
參加學術競賽,學生需要主動地選題、查詢資料、開發作品和組織參賽等。學術競賽很多題目的難度都高于書本上的理論知識,需要學生主動地查閱文獻,對整個參賽項目的實現理論、路徑、方法和系統進行構思、嘗試。在整個過程中,學生不僅可以很好地運用已掌握的知識,而且可以了解未知的知識。
5)資格認證考試。
通過參加資格認證考試,學生可以系統深入地掌握某個專業的知識,全面掌握該專業各個方面的內容;通過資格認證考試,學生可以選擇一條比較清晰的專業發展路徑,不會誤入歧途。獲得資格證書的學生,在就業和專業發展方面具有很大優勢,在個人職業規劃和職業發展道路上可以先人一步。
2 “五位一體”人才培養模式在計算機網絡專業教學中的實踐
計算機網絡人才需要掌握計算機、通信和安全等多學科知識,但作為一門交叉學科,計算機網絡絕不是計算機、通信和安全等學科的簡單堆砌,而是將這些學科相互融合和滲透,產生新的理論和方法。這些理論和方法包括計算機網絡底層和通信協議、網絡規劃設計與網絡系統集成、網絡底層軟件開發、網絡應用軟件開發、網絡安全協議與開發等多方面和多層次的知識。針對計算機網絡專業的特性,我們制定出一套完整的“五位一體”人才培養模式,并在實踐中取得良好成效。
1)理論與實驗教學的實踐。
計算機網絡專業要求學生系統掌握計算機網絡原理與技術,具有扎實的專業基礎理論知識和較強的動手能力,適應社會信息化需求,成為從事計算機網絡軟件系統設計、網絡系統集成、網絡協議開發和網絡安全等方面工作的專門人才。基于這樣的培養目標,我們在理論教學上針對計算機網絡專業人才培養采取以下措施:
①開設計算機網絡、TCP/IP協議和無線網絡協議等3門專業核心課課程,從網絡的核心——協議構建學生的網絡知識體系。
②開設網絡操作系統、網絡數據庫、Java程序設計高級進階、網絡安全等專業課,分別從操作系統、數據庫、網絡開發語言和安全等多個方面進一步加深和擴展學生的計算機網絡理論知識學習。
③開設網站建設、網絡軟件系統設計和組網技術等網絡設計專業應用課程,從應用層和管理層擴展學生的網絡知識。
④開設網絡新技術等專業拓展課,重點介紹IPV6、云計算、光網和無線傳感器等網絡技術方面的前沿知識。
在實驗教學上,我們建立網絡協議分析實驗室、網絡安全實驗室、CISCO網絡實驗室等多個計算機網絡專業實驗室。從基礎實驗、專業實驗和項目實訓等多個層次開展網絡實驗,讓學生鞏固和掌握網絡知識,具體包括以下幾個方面:
①網絡協議分析實驗室讓學生可以從網絡底層協議出發,從模擬和分析Mac幀開始,逐漸實現TCP/IP各層的大部分常用協議。
②網絡安全實驗室主要讓學生演練網絡安全的內容,包括密碼學實驗、PIG實驗、安全審計實驗、單機攻防實驗、網絡攻防實驗、病毒攻防實驗、防火墻實驗、VPN實驗和入侵檢測實驗等。
③CISCO網絡實驗室主要幫助學生學習網絡系統集成與管理。當前我們在教學中采用的是路由交換和安全方面的實驗,如網絡設備配置、VLAN、路由策略、BGP、AAA、網絡攻擊、IOS FW和IPS等。
④對于其他的網絡實驗如網絡協議優化、無線傳感網絡協議等,我們都使用NS2網絡模擬器實現。
2)組建學生團隊的實踐。
組建學生創新團隊是以項目為導向培養學生的創新精神和團隊意識。當前與網絡相關的學生創新團隊主要有兩類,一類是以學生自治為主的創新團隊,一類是以教師指導為主導的創新團隊。
學生自治團隊主要由學生自己管理,一般是以半企業化模式運營,同時致力于商業或非商業項目開發。例如,Quanta團隊在組織架構上包括CTO、CEO、COO、運營部、設計部和研發部等多個部門,新成員招聘、成員培訓、項目投標等都由學生來組織;研發部包括前臺工程師、PHP工程師和.Net工程師等多個技術部門,主要是開發基于網絡的各種應用,目前已開發粵商研究所、廣外地帶等20多個項目。其中,在2008年網易高校奧運觀方網比賽中,Quanta團隊榮獲冠軍并贏得50萬元人民幣獎金。
以教師指導為主導的團隊中最典型的代表是網絡安全團隊,它是由校內教師和校外網絡安全專家聯合指導建立的學生創新團隊。根據不同的技術內容,團隊分為僵尸網絡攻防研究、APT前期滲透攻防研究、局域網絡安全的攻防研究和黑客反匯編技術等多個小組,小組長由高年級學生擔任。該類團隊建立多個攻防實驗論壇,針對不同的問題進行真實模擬攻擊。我們與廣東省安全測評中心合作,他們為我們提供多位知名網絡安全專家進行技術指導。在技術水平上,我們制定10個不同的級別標準,學生若要達到某個級別的安全技術水平,需通過該級別的技術演練和考試。
3)參與教師課題的實踐。
指導教師首先公布科研課題的內容和要求,學生根據自己的興趣愛好選擇科研課題,教師對報名的學生進行篩選,一般從大二的學生中選擇。一方面,大二的學生已經具備基本的專業能力,具有參與項目的基礎;另一方面,他們還有2年多的時間參與項目,教師可以對其進行悉心培養。另外,一般一個項目是以2年或3年為實施期限,這樣當學生畢業時,項目剛好可以完成。
學生在參與項目時,要嚴格遵循指導教師的要求。教師會制訂培養計劃,同時定期檢查學生的項目實施進度,對參與項目的學生進行年度考核并實行淘汰機制,如果學生沒有通過該年的考核,則會被要求退出科研項目。對于貢獻比較大的學生,教師會給予一定的獎勵。
4)參加學術競賽的實踐。
在學生層面,學院會為參賽學生提供實驗室并每年給參數隊伍提供一筆經費。在教師層面,學院制定《鼓勵教師指導學生參賽條例》,對教師指導學生參賽給予一定支持和經濟上的獎勵,同時在評獎和評職稱等方面會優先考慮指導學生競賽的教師。
在網絡層面,我們每年參加“思科杯”大學生網絡創意大賽、廣東省“高校杯”軟件設計大賽、泛珠三角“安利杯”大學生軟件作品大賽。同時,學院每年會舉辦一次學生項目申報大賽,為學生提供競技平臺。對于每一個參賽項目,學院首先在網站上參賽要求和時間安排,由學生組隊報名;然后項目負責教師組織專家對參賽隊伍進行選拔,為選的隊伍提供實驗室、經費和指導教師等,在準備參賽過程中至少會組織專家對項目的進展和內容等進行2次檢查;最后在參賽前,項目負責教師會組織專家對參賽隊伍的PPT和展示形式等進行包裝上的指導。
5)網絡認證考試的實踐。
在網絡認證考試方面,我們主要是組織學生參加CISCO的CCNA和CCNP認證考試。在師資方面,學院投入大量經費培訓教師;在硬件設備上,學校投資200多萬元人民幣組建思科實驗室,該實驗室目前主要支持CCIE級別的路由與交換、語音、無線和安全等4個類別。
我們首先開設組網技術課程,該課程已經包括CCNA路由交換的絕大部分內容,對于想報考CCNA的學生,組織他們有針對性地學習CCNA的考試知識點,熟悉考試內容和實驗環境。對于CCNP的培訓,我們要求學生先通過CCNA后才能報名,然后選擇在暑假或寒假對學生進行培訓。
3 “五位一體”人才培養模式的思考
“五位一體”人才培養模式緊緊抓住人才培養的主題,通過“教學、實驗、社團、項目和考證”等多方面、多層次的培養方式,較好地解決了當前計算機網絡人才培養中存在的一些深層次問題。通過實踐,我們取得良好教學效果,積累了一些經驗,同時對于如何進一步提高人才培養,我們也提出幾點思考。
1)建立制度保障機制。學院需要建立明確的制度,對培養模式的原則、目標、管理方式、各方權利和義務、激勵機制等內容做出明確規定。有了完善的配套制度保證,該培養模式才能夠持續和有序的發展。
2)建立利益驅動機制。參與人才培養的各方都能夠獲得利益需求時,培養模式才能夠得到良性發展。對于學生,一方面要保證學生能不斷地學到知識,另一方面要加大宣傳和建立榜樣;對于教師,主要側重在職稱、評優、工作量獎勵方面保證其利益。
3)更好地調動學生積極性。所有的培養模式都需要學生積極主動地參與,只有學生的學習興趣被激發,并且學生能夠持久地保持學習熱情,才能更好地實現培養目標。
4)讓學生更好地參與社會實踐。由于受學時限制,學生的很多工作都要在課外自主完成,因此,如何協調和保證學生有足夠的時間接觸更多實際問題并參與解決實際工作,就顯得尤為重要。
關鍵詞:Python;SQLMAP;系統安全
引言
隨著我國互聯網的高速發展,基于Web的三層網絡架構體系得到廣泛應用。瀏覽器/服務器(B/S)架構的網絡應用越來越多,這意味著更多企業單位選擇瀏覽器/服務器的應用系統取代傳統的客戶端/服務器應用系統。由于網絡攻擊技術發展速度遠超于網絡防御技術的發展,加之編程人員細節編寫不規范,導致網絡攻擊泛濫。
1 Python
1.1 概述
Python是一種開源的、面向對象的、解釋型的計算機程序設計語言,由Guido Rossum于1989年發明。其源代碼及解釋器CPython遵循GPL(GNU General Public License)協議。Python的語法簡潔清晰,是一種代表簡單主義思想的語言,強制用空白符(white space)作為語句縮進是其特色之一。Python具有高效率的高層數據結構,簡單而有效的實現面向對象編程。
1.2 特點
Python具有極其豐富和強大的庫。Python又被稱為膠水語言,能夠把用其他語言制作的各種模塊(尤其是C/C++)輕松地聯合在一起。在眾多應用情形中,比較常見的是使用Python快速生成程序原型(有時是程序的的最終界面),然后對其別要求的部分,采用更合適的語言進行改寫。
2 SQLMAP檢測試驗
2.1 注入點掃描
SQLMAP是一款基于Python用來檢測與利用注入漏洞的免費開源工具,在整個注入過程中可實現自動化處理(數據庫指紋、訪問底層文件系統、執行命令)。
對Asp站點進行注入點掃描,掃描后最終注入點匯總見圖1,選取正確的注入點對服務器進行注入工作,獲取服務器超級管理員權限。
2.2 服務器信息獲取
檢測代碼(sqlmap.py-u "http://*****.com/contact.asp?classid=65"-dbs)經檢測該站點服務器系統為Windows 2008 R2或者Windows 7版本,使用的是微軟Access數據庫。注入點注入類型為布爾型GET型注入,命令代碼-u指定url鏈接-dbs是獲得服務器及數據庫信息。
利用注入點對數據庫進行比對獲得以下表單(user、admin、company、news、service),通過SQLmap對站點數據庫進行自動化比對,獲取站點主數據庫中的表admin中的相關數據。對admin表進行數據庫下載拖拽,獲得超級管理員用戶名與加密后的用戶密碼,對密文進行解密獲得明文為nanwang1999。
在暴力破解后臺超級管理員賬號密碼后進行登陸驗證,驗證注入漏洞的真實性,及時進行后臺升級工作、補丁安裝等工作,加強字符過濾。保證內部數據安全性。
3 結論
本文介紹基于Python語言下的SQLmap的注入漏洞掃描,使用SQLmap對站點進行注入點檢查測試,利用注入漏洞,進行網絡滲透測試工作,獲取站點數據庫,獲取站點超級管理員登陸賬號及密碼。通過對站點進行注入漏洞測試檢查,及時發現安全問題,提高網絡安全系數,保證使用單位數據安全性。
參考文獻
[1]Pual Barry.深入淺出Python(影印版)[M].南京:東南大學出版社,2011.
[2]David M.Beazley,Python參考手冊[M].北京:人民郵電出版社,2011.
[3]吳翰清.白帽子講Web安全[M].北京:電子工業出版社,2012.
[4]梁亞聲.計算機網絡安全教程[M].北京:機械工業出版社,2008.
[關鍵詞]智能油田;信息安全;綜合審計;關聯分析
doi:10.3969/j.issn.1673-0194.2020.22.028
[中圖分類號]TP393.08;F239.4[文獻標識碼]A[文章編號]1673-0194(2020)22-00-02
1智能油田信息安全風險
在數字化轉型發展背景下,智能油田建設與應用進程逐漸加快,網絡與信息系統的基礎性、全局性作用不斷增強,而保證核心數據資產的安全對油田業務的高質量發展至關重要。當前國內外網絡安全形勢嚴峻,境內外惡意分子以及被政治、經濟利益裹挾的黑客組織,對能源行業加劇進行網絡滲透,攻擊關鍵信息基礎設施、竊取商業機密等敏感信息,對油田信息安全構成了極大的外部威脅。此外,內部員工違規訪問不良網站內容,使智能系統面臨著嚴重法律風險,加上員工有意識或無意識的網絡泄密事件與系統運維人員違規操作事件頻發,嚴重威脅了智能油田發展。目前,我國油田信息安全建設思路已經從防外為主,逐步轉為以內外兼顧的策略,信息安全審計成為縱深安全防御延伸和安全體系建設的重要環節。為遵循國家網絡強國戰略、達到網絡安全合規要求,有效避免黑客攻擊、網絡泄密、違規上網、數據竊取等安全風險,我國急需建立智能油田信息安全綜合審計平臺,實現信息內容實時檢查、網絡行為全面監測、安全事件追溯取證,為油田高質量發展保駕護航。
2信息安全綜合審計關鍵技術
信息安全綜合審計是企業內控管理、安全風險治理不可或缺的保障措施,主要指對網絡運行過程中與安全有關的活動、數據、日志以及人員行為等關鍵要素進行識別、記錄及分析,發現并評估安全風險。針對智能油田業務需求場景,重點解決3項技術難題:一是如何基于縱深防御理論通過大數據、云計算等技術,對油田不同防御層級的日志、流量等信息進行關聯分析建模,有效預防黑客隱蔽型攻擊;二是如何通過建立面向油田具體業務場景的敏感信息指紋庫、安全策略庫、行為特征庫,構建覆蓋敏感文件信息處理、存儲、外發等關鍵環節的縱深防護與事件溯源取證機制;三是如何通過深度網絡業務流量識別與數據建模分析技術,建立面向油田具體業務場景的員工上網行為監管審計機制,實現對員工違規網絡行為的全面管控。
2.1多源異構網絡日志信息統一標準化方法與關聯分析模型
設計多源異構網絡日志信息格式標準化方法,利用基于大數據處理的日志過濾與關聯分析建模技術,整合網絡泄密、違規上網、黑客攻擊等網絡風險事件日志信息,建立油田信息安全風險關聯分析模型。
2.2信息安全審計敏感信息指紋庫、行為特征庫、審計策略庫
結合油田具體業務需求場景,運用數據分類分級與指紋識別技術、深度業務流量識別與建模方法,建立滿足國家合規要求及油田特有應用場景需求的敏感信息指紋庫、網絡行為特征庫及安全審計策略庫。
2.3數據防泄露與敏感信息內容檢查機制
基于操作系統底層驅動過濾的數據通道防護技術、基于智能語義分析的敏感信息內容審計技術,實現對員工通過云盤、郵件、即時通信、移動介質等方式外發涉密信息的實時檢測與控制,徹底解決員工有意識或無意識地違規存儲、處理、外發涉密信息問題。
3智能油田信息安全綜合審計平臺建設及應用
信息安全綜合審計平臺是一個綜合利用云計算、大數據、人工智能、數據指紋、異構數據采集等技術,實現網絡行為監控、信息內容審計、數據庫操作審計、網絡異常流量監測預警的審計溯源系統,在滿足網絡合規性要求的同時,為信息安全管理與系統運維人員提供了網絡安全監測、事件追溯取證的基本手段,提升了油田對敏感數據的監測預警和傳輸阻斷能力,防止了敏感信息泄露,增強了對外部黑客隱蔽性網絡攻擊行為與內部運維人員違規業務操作的防御能力。其中,圖1是智能油田信息安全綜合審計平臺總體架構。
基于信息安全綜合審計關鍵技術研究與集成創新,相關單位研發建立了智能油田信息安全綜合審計平臺,以縱深防御理論為指導,通過網絡層面的行為和流量審計、信息系統層面日志和數據庫審計、終端層面的信息內容審計等,實現對網絡風險事件的事前防范、事中告警、事后追溯,形成上網行為全面管控、網絡保密實時防護、網絡攻擊深度發現的主動治理新模式。貫穿數據信息的產生、存儲、傳輸、應用全生命周期的關鍵過程,自主建立油田敏感信息指紋庫,構建基于涉密違規存儲遠程檢查、終端違規外發自動阻斷、網絡敏感信息識別告警功能的數據安全縱深防護與事件追溯取證機制,為網絡保密主動治理提供技術手段。通過設計跨平臺、多協議網絡信息采集接口機制與多源異構日志標準化數據模型,結合云計算與大數據處理技術,建立適應油田海量非結構化日志信息的存儲云中心,且基于深度學習算法建立關聯模型,通過日志信息縱向聚合與橫向關聯實現網絡行為與信息內容全面審計。
為保障智能油田核心數據安全與網絡系統運行安全,將平臺成功應用于油田網絡安全保障與網絡攻防實戰演練、網絡保密治理與數據安全保護、員工上網行為管理與審計、IT基礎設施運維操作審計等,有效提升智能油田精細化管理水平。通過平臺網絡安全審計功能,將網絡層面防火墻、入侵檢測、高級威脅檢測、蜜罐入侵誘捕、Web應用防火墻、流量溯源分析、漏洞掃描等網絡安全監測防護設備提供的黑客網絡攻擊行為日志信息,應用系統層面服務器操作系統、中間件、數據庫等產生的系統日志信息以及終端計算機層面產生的病毒防護、主機漏洞、基線配置等日志信息進行集中統一標準化處理,通過提取關鍵要素信息進行關聯建模分析,實現對黑客隱蔽性網絡攻擊行為的深度發現與事件追蹤溯源,為油田網絡安全日常防御保障提供監測分析技術手段,為油田網絡攻防對抗實戰演習統一決策指揮提供平臺支撐。通過信息安全綜合審計平臺的信息內容審計功能,實現對內部員工通過電子郵件、即時通信、網絡云盤、網站上傳等方式外發敏感數據信息的實時監測,結合平臺數據防泄露功能,實現對員工辦公終端計算機違規存儲、處理、外發敏感數據信息文件行為的實時告警提示與阻斷控制,同時針對油田不同業務場景,制定開發科研、生產、經營、管理等不同業務敏感數據信息審計策略,實現對內部員工有意識或無意識網絡泄密行為的事前告警提示、事中監測阻斷、事后追溯取證,為網絡保密治理提供有效的技術手段,保障智能油田核心數據安全。通過信息安全綜合審計平臺的上網行為審計功能,實現對油田內部員工上網行為的有效管理,對員工通過油田網絡進行網站訪問、網絡應用等行為進行實時監測審計,防止員工因訪問不良網站給企業帶來的法律風險,同時避免因訪問惡意網站給企業帶來木馬病毒等網絡安全風險,滿足網絡安全管理合規要求。利用信息安全綜合審計平臺提供的運維操作行為審計功能,對運維管理人員的操作日志進行集中監測分析,整合利用日志數據價值,實現對網絡設備、安全設備、服務器、數據庫等信息基礎設施運維操作活動的實時監控、記錄及告警,有效規避運維操作過程中產生的網絡安全風險。
特征碼策略已過時
傳統防火墻設備的防護思路是基于惡意代碼特征庫的更新。當新的木馬、病毒或漏洞出現時,各種惡意代碼報告涌現,安全廠商通過捕捉樣本,分析病毒、木馬和漏洞的特征,找到能唯一識別這些木馬、病毒的特征,進而更新其特征庫,以識別出企業網絡中的安全威脅。在泛在攻擊時代,安全廠商及時捕捉攻擊特征并快速做出反應。但在針對性攻擊逐漸占主流的今天,傳統防火墻就無能為力了。正如嚴雷所言:“攻擊策略只針對特定的一兩個對象起效,并不具有普遍性,因此惡意代碼報告就不存在了。”
應對針對性攻擊的另一個難題在于樣本難以捕捉和分析。這是因為惡意程序往往具有自我銷毀功能,在執行完攻擊和破壞任務之后立刻“自殺”。嚴雷介紹稱:“火焰病毒共有20多種變種,目前大約只有6種被捕捉到。即使捕捉到了惡意病毒,對它的分析也需要耗費大量時間并且非常艱難。”
變被動為主動
針對性攻擊方興未艾,傳統防火墻黔驢技窮,安全廠商該如何轉換安全防護思路?在嚴雷看來,主動防御是下一代防火墻的靈魂。怎樣實現主動防御?網康科技給出的思路是:改分析惡意代碼特征為分析用戶的行為,將整個流量和日志全部展現出來并進行關聯分析,判斷用戶行為的安全性。
針對性攻擊比較復雜,黑客往往會使用一系列的攻擊手段。在此過程中,惡意軟件需要與遠程控制中心進行多次通信。因此嚴雷認為黑客的攻擊行為并非無跡可尋:“通常企業都有一定的行為模式,一旦出現很大的異常行為,就意味著安全風險的存在。比如企業內部的QQ、apk文件下載等應用的流量在短期內突然增加,企業網絡突然出現與國外網絡通信的異常鏈接等。下一代防火墻通過聯合監控和行為對比,對不同應用的異常流量進行追蹤,就能發現攻擊的特征。”
下一代防火墻之所以能夠實現聯合監控和追蹤的功能,主要得益于它的深度整合引擎。“基于深度整合引擎,在考察基于網易郵箱下載附件的動作時,我們不僅能搜索到流量監控的日志,還能搜索到網址過濾、防病毒等多種類型的日志。”嚴雷表示,“深度整合是指將網絡監控的所有數據整合在一起,互相之間能相互索引。企業可根據源、目的、行為、動作等指標進行聯合考察,讓企業IT人員更清晰、全面地了解當前的網絡狀況。這樣做的好處是,企業不僅可以發現黑客的攻擊行為,還能進一步確定黑客都干了什么,還有哪些其他攻擊行為。
建立多重防線
在主動防御理念的指導下,網康科技在去年10月的下一代防火墻基礎上進行升級,在今年4月16日了新版產品下一代防火墻2.0(網康NGFW2.0),在安全技術、防護措施和貼近客戶價值等方面進行了大幅改進。
云安全技術的應用被網康科技看作是最重要的改進之一。由于木馬變種速度加快,頻繁更新本地特征庫帶來的性能下降讓讓企業頭疼,并且特征庫的更新速度遠遠無法跟上木馬變種的速度。為此,網康NGFW2.0采用了云查殺技術。嚴雷認為,這樣做的好處是查殺的速度更快,準確率大幅提升。“通過與其他安全廠商合作,網康在云端的病毒和木馬庫的總特征數達到5000萬,并且更新頻率大大提高。同時,云端檢測不會出現性能瓶頸,隨著樣本庫的增長,企業只需調整云中心的硬件配置即可。”
對僵尸網絡的分析是網康下一代防火墻主動防御思想的集中體現。嚴雷透露,網康NGFW2.0引入僵尸主機定位功能,通過對主機的網絡行為進行分析,與其常見行為進行對比,可確定哪些主機已被控制。嚴雷表示:“通過網康NGFW2.0的早期診斷,完全有機會在僵尸網絡發作之前將其鏟除。”盡管還處在初級階段,但網康科技對通過主機行為分析尋找僵尸網絡的思路充滿信心。
(逄 丹)
網絡安全試點示范交流會
3月16日至17日,電信和互聯網行業網絡安全試點示范工作經驗交流會暨成果展在廣西南寧召開。會議分析了當前網絡安全面臨的新挑戰,強調當前網絡安全呈現出網絡攻擊呈上升態勢、數據和用戶信息安全隱患突出、融合發展帶來網絡安全新威脅、攻防非對稱態勢突出等四方面特點,網絡安全威脅風險滲透到政治、經濟、文化、社會、國防等領域,上升到了一個新階段。
(逄 丹)
移動辦公新格調 愛普生DS-310/360W掃描新品來襲
移動辦公是當今高速發展的通信業與IT業交融的產物,高效與便利的完美結合,使之成為了繼電腦無紙化辦公、互聯網遠程化辦公之后的新一代辦公模式。出差或外出拜訪客戶時,還在為沒能及時掃描重要文件苦惱?政府監管部門執法辦公卻還沒有一臺合適的掃描設備?對此,愛普生全新推出了緊湊型A4饋紙式掃描儀DS-310/360W,其緊湊的機身、強大的功能,輕巧的便攜性可有效滿足諸多行業對移動辦公的需求。
那么,小身材、大功能的DS-310/360W究竟有怎樣的表現呢?我們一起來看!
輕薄小巧 移動便攜
作為一款緊湊型文檔掃描儀,DS-310/360W最突出的特點就是小!小巧靈活的機身,完全不會占用空間,DS-310機身尺寸288×88.5×51mm,重量1.1kg,不使用的時候可以很方便地放在辦公桌的抽屜里。DS-360W機身尺寸288×88.5×67mm,內置電池,重量也只有1.3kg,外出時可以輕松放入公文包。
多種供電方式可選 應用靈活
一款便攜式的文檔掃描儀的供電方式當然至關重要,源源不斷的電力供給才能為掃描儀的正常工作提供保障。DS-310/360W支持電源適配器供電與USB供電,通過USB供就可以將PC等設備和掃描儀直接連接,真正實現移動操作、便捷辦公。此外,DS-360W內置電池,同時還支持電池供電。在電池供電模式下,還可以掃描大約700頁的文檔,這就為外出辦公提供了便利。
高速高效 省時省力
身材雖精致小巧,但功能卻十分強大,這里就不得不提到DS-310/360W具備的高速雙面掃描功能。掃描速度最快可達25ppm/50ipm,并且支持200dpi和300dpi黑/白/灰色彩模式的雙面掃描同速,使文檔電子化效率大大提高。
卡片掃描 獨特卡槽設計
想掃描身份證、銀行卡,可饋紙式文檔掃描儀該怎么掃描呢?別擔心,這一點愛普生早就想到啦!DS-310/360W的設計充分考慮到了用戶這一需求,獨特的吸入式卡槽設計,當客戶需要進行卡片掃描時,只需將機身上的滑動按鈕撥到“卡片(掃描)”位置,即可開始卡片掃描。掃描完成后卡片會被自動退出到進卡位置,卡片掃描輕松自如,分分鐘就能搞定。
內置WiFi可實現無線掃描
出門在外,沒有網絡,想掃描文件怎么辦?別擔心,DS-360W內置WiFi功能,移動便攜設備只需下載Epson Document scan即可與DS-360W進行直接連接掃描。同時支持無線路由連接和直接連接兩種連接方式,方便用戶按需選擇連接方式,更加易用。
專業掃描驅動 應用簡便
Epson Scan2是愛普生專為文檔掃描儀設計的全新掃描驅動軟件,處理速度更快,同時具備更多更專業的掃描功能和圖像處理功能,應用更簡便。
一、計算機網絡安全及其面臨的威脅
1.計算機網絡安全的含義。計算機網絡安全的具體含義會隨著使用者的變化而變化,使用者不同,對網絡安全的認識和要求也就不同。
2.計算機網絡中的安全缺陷及產生的原因。網絡安全缺陷產生的原因主要有:
第一,TCP/IP的脆弱性。第二,網絡結構的不安全性。第三,易被竊聽。第四,缺乏安全意識。
3.網絡攻擊和入侵的主要途徑。網絡入侵的主要途徑有:破譯口令、IP欺騙和DNS欺騙。
獲得普通用戶賬號的方法很多,如:利用目標主機的Finger功能:當用Finger命令查詢時,主機系統會將保存的用戶資料(如用戶名、登錄時間等)顯示在終端或計算機上;利用目標主機的X.500服務:有些主機沒有關閉X.500的目錄查詢服務,也給攻擊者提供了獲得信息的一條簡易途徑。IP欺騙是指攻擊者偽造別人的IP地址,讓一臺計算機假冒另一臺計算機以達到蒙混過關的目的。域名系統(DNS)是一種用于TCP/IP應用程序的分布式數據庫,它提供主機名字和IP地址之間的轉換信息。通常,網絡用戶通過UDP協議和DNS服務器進行通信,而服務器在特定的53端口監聽,并返回用戶所需的相關信息。DNS協議不對轉換或信息性的更新進行身份認證,這使得該協議被人以一些不同的方式加以利用。當攻擊者危害DNS服務器并明確地更改主機名―IP地址映射表時,DNS欺騙就會發生。這些改變被寫入DNS服務器上的轉換表。
二、計算機防御對策
根據網絡作戰的目標范圍,網絡作戰模型包含4個層次:第1層次,實體層次的計算機網絡對抗;第2層次,能量層次的計算機網絡對抗;第3層次,信息層次(邏輯層次)的計算機網絡對抗;第4層次,感知層次(超技術層次)的計算機網絡對抗。針對不同層次對抗,計算機網絡防御應采取相應的對策。
1.實體層次防御對策。在組建網絡的時候,要充分考慮網絡的結構、布線、路由器、網橋的設置、位置的選擇,加固重要的網絡設施,增強其抗摧毀能力。與外部網絡相連時,采用防火墻屏蔽內部網絡結構,對外界訪問進行身份驗證、數據過濾,在內部網中進行安全域劃分、分級權限分配。對外部網絡的訪問,將一些不安全的站點過濾掉,對一些經常訪問的站點做成鏡像,可大大提高效率,減輕線路負擔。
2.能量層次防御對策。目前主要防護措施有2類:一類是對輻射的防護,主要采取對電源線和信號線加裝性能良好的濾波器,減小傳輸阻抗和導線間的交叉耦合;給網絡加裝電磁屏蔽網,防止敵方電磁武器的攻擊。另一類是對自身輻射的防護,這類防護措施又可分為2種:一是采用各種電磁屏蔽措施,如對設備的金屬屏蔽和各種接插件的屏蔽,同時對機房的下水管、暖氣管和金屬門窗進行屏蔽和隔離;二是干擾的防護措施,即在計算機系統工作的同時,利用干擾裝置產生一種與計算機系統輻射相關的偽噪聲向空間輻射來掩蓋計算機系統的工作頻率和信息特征。
3.信息層次防御對策。信息層次的計算機網絡對抗是運用邏輯手段破壞敵方的網絡系統,保護己方的網絡系統的對抗。這個概念接近于美國人講的Cyberspace Warfare,主要包括計算機病毒對抗、黑客對抗、密碼對抗、軟件對抗,芯片陷阱等多種形式。他與計算機網絡在物理能量領域對抗的主要區別表現在:信息層次的對抗中獲得制信息權的決定因素是邏輯的,而不是物理能量的,取決于對信息系統本身的技術掌握水平,是知識和智力的較量,而不是電磁能量強弱的較量。信息層次的計算機網絡對抗是網絡對抗的關鍵層次,是網絡防御的主要環節。信息層次的防御對策主要是防御黑客攻擊和計算機病毒。
(1)防御黑客攻擊。黑客攻擊是黑客自己開發或利用已有的工具尋找計算機系統和網絡的缺陷和漏洞,并對這些缺陷實施攻擊。在計算機網絡飛速發展的同時,黑客技術也日益高超,目前黑客能運用的攻擊軟件已有1000多種。從網絡防御的角度講,計算機黑客是一個揮之不去的夢魘。借助黑客工具軟件,黑客可以有針對性地頻頻對敵方網絡發動襲擊令其癱瘓,多名黑客甚至可以借助同樣的軟件在不同的地點“集中火力”對一個或者多個網絡發起攻擊。而且,黑客們還可以把這些軟件神不知鬼不覺地通過互聯網按到別人的電腦上,然后在電腦主人根本不知道的情況下“借刀殺人”。
(2)防御計算機病毒。由于計算機病毒的傳染性、潛伏性和巨大的破壞性。計算機病毒作為信息戰的武器,其攻防對抗的焦點和關鍵技術是病毒的制作技術、注入技術、激活技術和隔離技術,其中實施病毒戰難度最大的是注入、激活和隔離技術。防御計算機病毒,首先要進行計算機病毒的種類、性能、干擾機理的研究,加強計算機病毒注入、激活、耦合技術的研究和計算機病毒的防御技術的研究。但是要從根本上解決問題,就必須要用我國自己的安全設備加強信息與網絡的安全性,大力發展基于自主技術的信息安全產業。
4.感知層次(超技術層次)防御對策。感知層次(超技術層次)的計算機網絡對抗是網絡空間中面向信息的超邏輯形式的對抗。因此,感知層次的計算機網絡防御,一是依靠實體層次和信息層次的防御,二是依靠網絡進攻和其他渠道。如通過網絡進攻,攻擊敵方的網站、服務器,阻塞敵方的網絡通道,可以防止敵惡意信息和欺騙信息在己方網絡中的存在;通過加強政治思想教育,心理素質培養,正面的輿論引導,科技知識的宣傳,可以消除或減弱在感知層次的計算機網絡進攻不良影響。
隨著計算機技術和通信技術的發展,計算機網絡將日益成為工業、農業和國防等方面的重要信息交換手段,滲透到社會生活的各個領域。因此,認清網絡的脆弱性和潛在威脅,采取強有力的安全策略,對于保障網絡的安全性將顯得十分重要。
參考文獻:
隨著互聯網在生活中的全面滲透,全民理財進入新時代,然而,網上銀行如何取證又成為一個新問題。有沒有一套系統讓理財平臺上所有的行為都得以規范制約,并方便取證?杭州安存網絡科技有限公司副總裁單勇忠認為,互聯網領域存在一個電子數據取證標準化的難題。
2006年,在義烏小商品市場發生一場民事訴訟,原告提供通過QQ、郵件發生交易的證據(打印),但是法官稱無法證明證據是否經過修改而無效。盡管2013年1月1日新實施的《民事訴訟法》明確規定:QQ聊天內容等電子數據都可以作為法律證據。但是兩年過去了,直到今天,電子數據被采納為合法證據的并不多。
單勇忠分析說,由于電子數據存在易變性、易改無痕性、不易歸檔等特性。因此,基于投資行為的謹慎心理還是不會輕易將此作為證據。“加上互聯網的開放環境,同時又有國際黑客的攻防戰等因素存在,因此,網上所有的行為很可能被篡改。”
由此,杭州安存網絡科技有限公司創始人跨界創新,于2008年成立公司,開發了一套金融安全級別的全數據生命周期電子數據存管與證明體系,無憂存證主要應用于保全互聯網金融交易數據。在數據生成時實時備份在獨立第三方的一端,在數據傳輸過程當中采用最高級別的安全措施,通過公安部的完整性鑒別認證,證明傳輸數據過程中沒有被篡改,建立專用獨立的公證取證通道。
單勇忠介紹說,不管自然人還是法人代表跟合同另一方進行溝通交流時,無論QQ、微信、郵件,通過安存這套保全系統,有實時完整最高級別防護措施,存管到一個第三方獨立的安全云端,來確保跟對方交流的所有內容是客觀真實 的,“萬一在發生糾紛的時候,就可以直接在平臺申請公證,公證員來調取原始數據。這樣就可以來證明你的權益。目前,全國28個省(市、區)150多個城市的公證機構與安存展開了合作,200多家法院在使用安存的產品。”
2015年1月22日,浙江省出臺《浙江省促進互聯網金融持續健康發展暫行辦法》,包括互聯網+,還有股權投融資試點,一行三會的意見等,其中有一條對互聯網金融平臺的約束。單勇忠認為這很正常,一個新興行業發展成產業時,需要監管,也需要一個行業標準,他表示無憂存證的發展目標就是希望成為互聯網金融業的取證標準。
“當無憂存證進行一個標配,也是云商做一個法治系統的標配。重點數據保全的解決方案,提供金融一站式數據保全方案,利用無憂存證,加上語音,加上存證,這樣能證明交易的真實合法性,所有平臺發的要約方的標的都得到真實證明。無憂存證是專門為金融業所提供的。”單勇忠說。這個系統作為互聯網金融平臺標準配置,已經形成一套完整的運作程序,如建立客戶執行存管制度,包括消費者權益保護,尤其在健全信息和合格披露,怎樣來讓存管方的所有投資行為得到保護,這一條有相對的解決方案,一級消費者權益如何教育消費者,條款解決,“合同內容要明確,一定不能被篡改,簽名有效,一定是真實的,沒有被脅迫和誤導”,在平臺上分三個層面:業務層面,投資人開戶,綁定銀行卡,認購協議;還有保全層面,全部清晰保管獨立第三方,包括證據層面,出具證書,履約,以電子存證第三方展現出來,“證據鏈可以追溯,閉環的,有了標準配置可以放心投資到互聯網當中來,這些憑證是虛擬互聯網世界走向真實的過程中邁出的第一步。”
關鍵詞:計算機網絡技術;思想政治理論;課堂實踐教學
1課程思政教學項目研究意義
計算機網絡技術課程按照計算機類教學質量國家標準中屬于計算機科學與技術和網絡工程專業的核心專業課程,其內容在人才培養方案專業課程設置中承上啟下,至關重要作用;且從就業而言,網絡工程專業在計算機專業中就業需求量最大,因此學生學習興趣濃厚、重視度較高。中華民族處于一個新的時代,為實現中華民族的騰飛夢,培養擔當民族復興大任的時代新人尤為重要。以在理論指導下,堅持知識傳授與社會主義核心價值觀指導相結合,運用能夠培養大學生理想信念,價值取向,政治信念和社會責任的主體和內容,進一步將其融入社會主義核心價值觀,全面提高大學生的推理辨別是非能力,使其成為德才兼備、全面發展的人才。在教學大綱編寫中,以專業課程知識教學為載體,以德育為基礎,充分挖掘專業知識中蘊含的道德元素,實現專業課程與思想政治教育的有機結合,滲透到整個教學過程中,幫助學生樹立社會主義新時代的核心價值觀。通過運用德育主體思想,提煉專業課程中蘊含的思想,使其轉化成為具體而生動的社會主義核心價值觀的有效教學載體。
通過隱性滲透、寓道德教育于各門專業課程之中,通過潤物細無聲、滴水穿石的方式,實現顯性教育與隱性教育的有機結合。思想政治課的內容過于理論化,容易使學生在課堂上產生枯燥、乏味的情緒。因此,我們應該把計算機網絡技術課程加入到學生思想道德教育的隊伍中,共同努力挖掘課程的思想政治價值,真正實現全過程、全方位的教育。課程思想政治改革是立德樹人的必然要求,也是全面育人的重要途徑。作為一名信息工程學院計算機專業教師,要充分意識到改革的重要性,不斷加強自己的道德修養,積極探索改革方式方法,及時總結經驗與問題,努力走出一條具有專業特色的思想政治教育之路。
以“思想政治課”為目標,通過積極培育和踐行社會主義核心價值觀,運用哲學方法論,引導學生正確做人、做事,結合以下內容進行設計各教學主體和教育活動。核心價值觀--富強:實現科學技術現代化,提高綜合國力,圓中國夢。核心價值觀--愛國:熱愛祖國,熱愛人民,展現時代精神;核心價值觀--敬業:努力學習,刻苦鉆研,有研究和創新精神;為此,本課程與思想政治教育有著相同的方法,最終目的是教學生如何做人和做事。因此,以本課程為載體,對學生進行思想政治教育是銜接密切,可以很好地發揮兩者的協同教育作用。
2課程建設基礎
我校信息工程學院十二五期間加強應用型人才培養,尤其是計算機網絡工程系列技術人才的培養;十三五”期間將建立起較為完善的本科人才培養體系和結構合理、特色鮮明的學科專業體系,同樣是以計算機網絡系列技術作為主要課程體系。
《計算機網絡原理》是信息工程學院本科和專科生的一門專業核課程,同時也是進一步研究TCP/IP體系結構與網絡互聯的前導課程。本課程圍繞計算機網絡的基本組成和體系結構,系統地講述計算機網絡系統及其體系結構的基本功能、TCP/IP分層、網絡性能指標、以太網和高速以太網、網絡路由、傳輸層協議、網絡應用等,同時通過課堂講授、課程實驗相結合的方式,使學生系統地理解計算機網絡的基本概念和工作原理,熟悉計算機網絡和互聯網組成,掌握計算機網絡協議的基本分析與設計方法,為進一步學習后續課程,培養對計算機網絡系統的認知、設計與應用開發能力奠定良好的基礎。國內外許多大學已將計算機網絡語言列入了本科教學計劃,掌握計算機網絡已經成為共識。《計算機網絡技術》是計算機網絡專業、計算機科學與技術專業、網絡工程專業等相關專業的一門重要的網絡技術的基礎課程,也是網絡工程本科教學體系的核心課程。
我校網絡工程專業設定的是計算機網絡系列課程教學,分別包括網絡工程設計,網絡操作系統,網絡安全技術,路由交換技術,及其相關無線網絡技術和數據存儲課程等。
這兩年,我校信息工程學院同華三和華為公司合作的課程內容,也是計算機網絡數字通信系列課程和網絡安全、無線網絡等課程。其中2019年初的集中實訓采用了寶德等公司方案,引進了該公司的講師,對我校網絡工程專業學生進行了構建中小企業網絡設計,構建高性能園區網、無線網絡技術等課程的集中實訓。計算機網絡系列課程教學在我校信息工程學院計算機科學與技術專業和網絡工程專業規劃的課程體系中占有重要地位。
目前,《計算機網絡技術》課程開課時間分別是:15-16計科開在第4學期,15-17網工開在第2學期,17計科開在第4學期,18網工開在第2學期。由此可見,開課學期逐漸提前,該課程在專業課程建設中具有重要地位。
3課程建設工作目標和實施計劃
諸多學科組成的專業課程是高校教學的重要載體。如何在專業課程中探索思想政治教育的有效要素,并在人才培養的全過程中廣泛實施,是當前高校德育工作亟待解決的熱點和難點問題。學校以教師教育為基礎,立足陶瓷文化為特色,構建服務地方經濟社會發展的多學科協調發展的學科專業體現。在專業教育體系中率先開展課程思政改革全過程,多模式,廣覆蓋,將中華優秀傳統文化,社會主義核心價值觀要求和做人做事原則融入專業教學。本次研究項目以提高計算機網絡技術課教學效果為落腳點,有效整合教學資源,構建全新的計算機網絡技術課教學體系,進行思政改革融入到教學實踐中:
首先應該提高學生學習興趣,整個教學過程中培養禮儀意識。現代社會要求大學生不僅要“知書”,更要“達理”。因此,在教學過程中,要潤物細無聲地向學生滲透禮儀教育。通過課程導入部分,不僅要把課程內容說清楚,而且也要介紹課程的德育目標內容,讓學生們知道未來肩負的民族使命是什么,要求什么樣的從業道德,國家對崗位在全球化競爭中的要求,以及有哪些是未來從業不能觸碰的部分。該部分可以結合實際案例,潛移默化地提升學生在思想政治方面的水平與覺悟。提高計算機網絡技術程教學效果,項目實訓中培養創新創業意識。在專業課學習過程中,根據各學科和專業的特點,要求學生能夠做到學以致用。在這部分將結合實際的思政教學案例進行培訓授課,對國家鼓勵創新、創業的政策進行講解,通過和校企合作企業團隊的項目實訓,讓學生有目的的提前感受在創業中的激情,掌握專業技能,參悟領會到團隊協作的重要性,樹立愛崗敬業的核心價值觀。
關鍵詞:信息安全;風險評估;脆弱性;威脅
中圖分類號:TP393.08 文獻標識碼:A 文章編號:1007—9599 (2012) 14—0000—02
一、引言
隨著信息技術的飛速發展,關系國計民生的關鍵信息資源的規模越來越大,信息系統的復雜程度越來越高,保障信息資源、信息系統的安全是國民經濟發展和信息化建設的需要。信息安全的目標主要體現在機密性、完整性、可用性等方面。風險評估是安全建設的出發點,它的重要意義在于改變傳統的以技術驅動為導向的安全體系結構設計及詳細安全方案的制定,以成本一效益平衡的原則,通過評估信息系統面臨的威脅以及脆弱性被威脅源利用后安全事件發生的可能性,并結合資產的重要程度來識別信息系統的安全風險。信息安全風險評估就是從風險管理角度,運用科學的分析方法和手段,系統地分析信息化業務和信息系統所面臨的人為和自然的威脅及其存在的脆弱性,評估安全事件一旦發生可能造成的危害程度,提出有針對性的抵御威脅的防護對策和整改措施,以防范和化解風險,或者將殘余風險控制在可接受的水平,從而最大限度地保障網絡與信息安全。
二、網絡信息安全的內容和主要因素分析
“網絡信息的安全”從狹義的字面上來講就是網絡上各種信息的安全,而從廣義的角度考慮,還包括整個網絡系統的硬件、軟件、數據以及數據處理、存儲、傳輸等使用過程的安全。
網絡信息安全具有如下5個特征:1.保密性。即信息不泄露給非授權的個人或實體。2.完整性。即信息未經授權不能被修改、破壞。3.可用性。即能保證合法的用戶正常訪問相關的信息。4.可控性。即信息的內容及傳播過程能夠被有效地合法控制。5.可審查性。即信息的使用過程都有相關的記錄可供事后查詢核對。網絡信息安全的研究內容非常廣泛,根據不同的分類方法可以有多種不同的分類。研究內容的廣泛性決定了實現網絡信息安全問題的復雜性。
而通過有效的網絡信息安全風險因素分析,就能夠為此復雜問題的解決找到一個考慮問題的立足點,能夠將復雜的問題量化,同時,也為能通過其他方法如人工智能網絡方法解決問題提供依據和基礎。
網絡信息安全的風險因素主要有以下6大類:1.自然界因素,如地震、火災、風災、水災、雷電等;2.社會因素,主要是人類社會的各種活動,如暴力、戰爭、盜竊等;3.網絡硬件的因素,如機房包括交換機、路由器、服務器等受電力、溫度、濕度、灰塵、電磁干擾等影響;4.軟件的因素,包括機房設備的管理軟件、機房服務器與用戶計算機的操作系統、各種服務器的數據庫配置的合理性以及其他各種應用軟件如殺毒軟件、防火墻、工具軟件等;5.人為的因素,主要包括網絡信息使用者和參與者的各種行為帶來的影響因素,如操作失誤、數據泄露、惡意代碼、拒絕服務、騙取口令、木馬攻擊等;6.其他因素,包括政府職能部門的監管因素、有關部門對相關法律法規立法因素、教育部門對相關知識的培訓因素、宣傳部門對相關安全內容的宣傳因素等。這些因素對于網絡信息安全均會產生直接或者間接的影響。
三、安全風險評估方法
(一)定制個性化的評估方法
雖然已經有許多標準評估方法和流程,但在實踐過程中,不應只是這些方法的套用和拷貝,而是以他們作為參考,根據企業的特點及安全風險評估的能力,進行“基因”重組,定制個性化的評估方法,使得評估服務具有可裁剪性和靈活性。評估種類一般有整體評估、IT安全評估、滲透測試、邊界評估、網絡結構評估、脆弱性掃描、策略評估、應用風險評估等。
(二)安全整體框架的設計
風險評估的目的,不僅在于明確風險,更重要的是為管理風險提供基礎和依據。作為評估直接輸出,用于進行風險管理的安全整體框架。但是由于不同企業環境差異、需求差異,加上在操作層面可參考的模板很少,使得整體框架應用較少。但是,企業至少應該完成近期1~2年內框架,這樣才能做到有律可依。
(三)多用戶決策評估
不同層面的用戶能看到不同的問題,要全面了解風險,必須進行多用戶溝通評估。將評估過程作為多用戶“決策”過程,對于了解風險、理解風險、管理風險、落實行動,具有極大的意義。事實證明,多用戶參與的效果非常明顯。多用戶“決策”評估,也需要一個具體的流程和方法。
(四)敏感性分析
由于企業的系統越發復雜且互相關聯,使得風險越來越隱蔽。要提高評估效果,必須進行深入關聯分析,比如對一個老漏洞,不是簡單地分析它的影響和解決措施,而是要推斷出可能相關的其他技術和管理漏洞,找出病“根”,開出有效的“處方”。這需要強大的評估經驗知識庫支撐,同時要求評估者具有敏銳的分析能力。
(五)集中化決策管理
安全風險評估需要具有多種知識和能力的人參與,對這些能力和知識的管理,有助于提高評估的效果。集中化決策管理,是評估項目成功的保障條件之一,它不僅是項目管理問題,而且是知識、能力等“基因”的組合運用。必須選用具有特殊技能的人,去執行相應的關鍵任務。如控制臺審計和滲透性測試,由不具備攻防經驗和知識的人執行,就達不到任何效果。
(六)評估結果管理
安全風險評估的輸出,不應是文檔的堆砌,而是一套能夠進行記錄、管理的系統。它可能不是一個完整的風險管理系統,但至少是一個非常重要的可管理的風險表述系統。企業需要這樣的評估管理系統,使用它來指導評估過程,管理評估結果,以便在管理層面提高評估效果。
四、風險評估的過程
(一)前期準備階段
主要任務是明確評估目標,確定評估所涉及的業務范圍,簽署相關合同及協議,接收被評估對象已存在的相關資料。展開對被評估對象的調查研究工作。
(二)中期現場階段
編寫測評方案,準備現場測試表、管理問卷,展開現場階段的測試和調查研究階段。
(三)后期評估階段
撰寫系統測試報告。進行補充調查研究,評估組依據系統測試報告和補充調研結果形成最終的系統風險評估報告。
五、風險評估的錯誤理解
1.不能把最終的系統風險評估報告認為是結果唯一。
2.不能認為風險評估可以發現所有的安全問題。
3.不能認為風險評估可以一勞永逸的解決安全問題。
4.不能認為風險評估就是漏洞掃描。
5.不能認為風險評估就是 IT部門的工作,與其它部門無關。
6.不能認為風險評估是對所有信息資產都進行評估。
六、結語
總之,風險評估可以明確信息系統的安全狀況和主要安全風險。風險評估是信息系統安全技術體系與管理體系建設的基礎。通過風險評估及早發現安全隱患并采取相應的加固方案是信息系統安全工程的重要組成部分,是建立信息系統安全體系的基礎和前提。加強信息安全風險評估工作是當前信息安全工作的客觀需要和緊迫需求,但是,信息安全評估工作的實施也存在一定的難題,涉及信息安全評估的行業或系統各不相同,并不是所有的評估方法都適用于任何一個行業,要選擇合適的評估方法,或開發適合于某一特定行業或系統的特定評估方法,是當前很現實的問題,也會成為下一步研究的重點。
參考文獻:
[1]剛,吳昌倫.信息安全風險評估的策劃[J].信息技術與標準化,2004,09
[2]賈穎禾.信息安全風險評估[J].中國計算機用戶,2004,24
[3]楊潔.層次化的企業信息系統風險分析方法研究[J].軟件導刊,2007,03
關鍵詞:網絡空間 戰略價值 保護
隨著信息技術的深化應用,信息基礎設施成為重要的經濟社會基礎設施,國家安全領域不斷拓展。在傳統的“海、陸、空、天”外,又出現了新的空間,即“網絡空間”。總書記曾明確指出:當前,國際上圍繞信息獲取、利用、控制的斗爭日趨激烈,維護國家在網絡空間的安全和利益成為信息時代的重大戰略課題。
一、網絡空間形成機理、主要特性和戰略價值
⒈網絡空間形成機理
事物是物質和信息的統一體,事物的運動包含信息運動。信息運動同樣源自于事物相互作用,受需求動力、技術要素、主體知識、信息政策等因素影響,并表現出相關特性和屬性。由于信息運動是信息發揮作用的基礎,為增強信息作用效應,人類總是不斷發展信息技術,特別是傳輸技術,以延伸和擴大信息運動的范圍。在此過程中,形成了由技術水平和信息運動機制等社會因素共同決定的信息運動空間。
在人類信息活動從“符號化”、“數字化”、再到“虛擬化”的演變基礎上,隨著網絡技術高度發展和接入終端的普及,在網絡效應(遵循梅特卡夫法則,Metcalf Law)的激勵下,各種信息系統普遍互聯,形成和拓展了“網絡空間”,特別是互聯網技術的出現和普及,極大地擴大了信息運動的范圍。這為構建全球統一的網絡空間提供了可能、奠定了基礎。全球統一的網絡空間使信息運動的數量、方式發生了質的變化,使各種信息活動高度相關和融合,使信息活動的重要性得到進一步的提高,不斷增強了人類的能動性。
在網絡空間內,信息能夠在全球范圍內及時、廣泛地流動,根據不同的主題訴求形成了各類信息空間。相對于現實的各種組織,它可以分為個人信息空間、企業信息空間、國家信息空間等。根據卡斯特爾的研究,“網絡的出現及彼此相連,形成了流動空間……是一種特殊的空間形式。流動空間有三個層次,即電子化的互聯網構成了流動空間的第一個層次,節點與核心構成了流動空間的第二個層次,占支配地位的管理精英的空間組織構成了流動空間的第三個層次”。因此,網絡空間是一個區別于地域空間、存在層次關系的特殊的流動空間。它讓人類突破了地理的約束,信息活動可以在網絡空間上獲得空前的自由。它為人類信息活動的融合提供了前所未有的平臺和空間。
目前,全球已有近200多個國家的十幾億人進入了網絡,出現了“全球互聯”和“網絡社會”的趨勢。截至今年9月,中國互聯網用戶達到1.72億,居全球第二位。
⒉網絡空間主要特性
⑴社會性
顯然網絡空間是一個由無數個信息系統構成和支撐的包容著人文社會組織和環境的新的社會空間,也是一個由虛擬空間與現實世界融合而成的“廣義的世界”。它的“變革超出了社會和技術生產關系的范圍,網絡化邏輯的擴散會從本質上改變生產、經驗、權力與文化過程中的操作和結果”(卡斯特爾,1996),因此簡單認為網絡空間是虛擬的技術系統是非常不充分的。這種認識將導致國家在網絡空間的不作為,導致國家利益的喪失。
⑵融合性
融合性首先表現在不同信息主體的信息網絡互聯互通方面,在此基礎上實現各個網絡空間的互相連接;其次表現在網絡空間的構建和治理機制等方面的趨同。目前,網絡空間的融合步伐將進一步加快,以獲取更大的網絡效應。這一特性使網絡空間極具增長性,表現出強烈的開放性特征。
⑶知識性
“信息空間是知識流動的空間,是知識資產積累、擴散、共享的空間”(布瓦索,2005)。這是由于網絡空間是構建在信息運動的基礎上的,而信息運動的過程是信息、知識的發現和積累,是社會學習過程。在信息技術持續進步和信息空間不斷擴大的帶動下,社會知識資產總量將不斷增加,應用不斷擴大。
⑷發展性
發展性首先表現為網絡空間的時代性,即它是在信息活動已經實現“數字化”的基礎上,隨著網絡這種協同技術的發展和普及而形成的;其次表現在隨著網絡的技術持續發展和應用,網絡空間將進一步拓展、并覆蓋全人類及其活動的所有領域。
⑸非均衡性
網絡空間表現出其規模、品質和效應的非均衡性。不同信息主體擁有的技術水平不一樣,所構建的網絡規模和品質相去甚遠;同時,由于知識開發和利用的不一致,使得網絡空間效應在各國也表現出巨大的差異。這三方面的綜合作用產生了數字鴻溝問題。它使那些擁有網絡空間的區域或組織有能力在更大的空間上開展經濟社會活動,獲得各種機會和收益;而缺少或無法進入網絡空間的只能在原來有限的地域空間內進行活動,獲得的資源必然是有限的,甚至其生存和發展的空間都受到擠壓。特別是在經濟全球化的今天,全球化的生產體系會繞過沒有利益和政治價值的區域,使那些地區被邊緣化、漠視化,喪失融入“平坦世界”、參與競爭的發展機遇。
⒊網絡空間戰略價值
網絡空間所具有的上述特性使網絡空間具有極大的戰略價值:一是支撐網絡空間的信息基礎設施已經是經濟社會極為重要、時效性極強、關聯性極大的基礎設施;二是網絡空間改變了經濟活動中的設計、生成、交易、管理、調節等方式,提升了經濟活動效率;三是網絡空間改變了知識發現、組織、擴散、應用等方式,極大地增強和提升了知識發現等方面的能力和效率,促使知識發現和技術進步成為經濟增長的源泉,促使人類發展模式發生了重大躍遷,即出現了信息發展模式,而這種發展模式的確立,必需牢牢依靠和充分利用網絡空間的戰略資源;四是網絡空間是覆蓋全球的新媒體,同樣存在一個話語權、輿論的主導權的問題,它既可以用來傳播文明、交流信息、促進和諧,也可以被惡意地利用和控制,進行不恰當的宣傳,甚至擾亂經濟社會活動秩序。
二、網絡空間保護的必然性和特殊性
⒈網絡空間保護的必然性
這種必然性來自于兩方面:一是網絡空間具有極大的戰略價值,且不同層級的空間所包含的戰略價值是不一樣的。如果一國無法構建和保護自己的網絡空間,如果無法接入全球化的網絡空間,或喪失核心層空間,無法對網絡空間的組織管理進行必要的表達和訴求,那就不可能最大化地分享網絡空間所具有的戰略資源,將可能造成在網絡空間的不利或被動的局面,甚至嚴重影響到地域空間的利益。二是全球化過程中,世界各國對有限資源的競爭并沒有減弱,甚至趨于激烈,競爭格局依然存在。
正是基于這兩方面的原因,世界各國紛紛加強了網絡空間的開發利用,加強了國家在網絡空間利益的爭奪和保護,避免被排擠在網絡空間之外,避免自己的網絡空間被他國入侵。因此,國家網絡空間的概念和訴求出現了,使網絡空間成為一個國家的新表達,成為必需捍衛和維護的新領地,成為必須拓展、爭奪的新空間。這種爭奪與反爭奪就構成了國家在網絡空間的安全問題。
美國政府高度重視網絡空間國家利益,意識到在網絡日益成為美國社會神經中樞的情況下,安全問題不應再局限于國土安全、經濟安全、能源安全等,而應該包含網絡空間的安全,因此, 2003年2月14日,美國公布了《確保網絡空間安全的國家戰略》,確立了阻止針對至關重要的基礎設施的攻擊、減少網絡空間脆弱性、以及危害最小化和恢復時間最短化等三個目標,并就保護措施做了規定。該報告是美國在“9?11”后,為確保網絡安全而采取的一系列舉措中的一個核心步驟,既凸現了美國政府對網絡空間安全的擔憂與重視,也顯示出其在新世紀保護與拓展網絡空間、確保美國信息霸權的長遠戰略目標。
⒉網絡空間保護的特殊性
⑴保護邊界的不確定性
由于信息運動對技術系統的絕對依賴性和控制機制的存在,信息運動必然存在著自然和社會兩方面的邊界,形成了相對應的“網絡空間邊界”。但是與傳統的“海、陸、空、天”等空間相比,這個邊界沒有與地域存在著嚴格的對應關系。這是因為支撐網絡空間的各類網絡資源可以跨地域規劃和使用,規則可以由他國制定和解釋,及其與他國網絡空間高度融合,使得各國網絡空間的邊界極為模糊。并且隨著保護措施和爭奪手段的發展,邊界也是動態的,是可以調整的,具有極大的可塑性、可侵入性。
⑵訴求的不確定性
由于網絡空間是新的空間形式,網絡空間是新的形式,而且邊界具有極大的可塑性、動態性,因此,網絡空間的指向變得非常模糊和不確定。
⑶攻防雙方的非對稱性
對網絡空間的攻擊在時間、空間、方法方式、攻擊代價和修復成本等方面表現出顯著的非對稱性。防護方面常常處于等待和修復的被動局面。
⑷危害后果的嚴重性
危害后果的嚴重性是指如果網絡空間一旦被破壞,后果十分嚴重,不但影響經濟發展與公眾利益,還可能危及國家安全。正如上海合作組織成員國元首們對國際信息安全發表的聲明所說,“可能造成與使用大規模殺傷性武器相當的世界性災難”。
⑸安全問題的廣泛性
這是指保護的對象既涉及網絡空間所覆蓋的所有領域,也包括構成和支撐網絡空間的傳輸層、信息層、應用層以及相應的安全保護系統等。
網絡空間保護的這些特殊性為實施保護增添了很大的難度和不確定因素。但是,在網絡空間的保護方面,仍然可以建立起特定意義的“網絡空間邊界”。這是必需的,也是能夠做得到的。
三、結束語
總之,現代信息技術已經滲透到人類活動的所有領域,已成為社會生產力發展和人類文明進步新的重要推動力量,并引發著經濟、社會的深刻且長遠的變革,使加速推進信息化成為世界各國共同的戰略選擇。我們要充分認識到網絡空間的戰略價值和加強保護的極端重要性,確立網絡空間作為國家安全的第五空間的地位,倡導建立安全穩定、互利共享、和諧共存的國際網絡空間秩序,加強信息安全領域的國際合作,通過創新和發展具有自主知識產權的技術和產業,增強網絡空間控制力,鞏固和發展我國的網絡空間,牢牢把握我國在網絡空間的話語權、主導權,堅決打擊不恰當的用網行為,以及來自于其他形式和主體的入侵行為,保護這一新的國家空間和重要資源。
參考文獻:
[1]布瓦索.信息要素-在信息經濟中贏得競爭優勢[M].上海:世紀出版社
[2]秦海.信息通信技術與經濟增長:一項基于國際經驗和中國實踐的研究[M].北京:中國人民大學出版社,2006
[3]國務院信息化工作辦公室政策規劃組.國家信息化發展戰略學習讀本[M].北京:電子工業出版社,2006
[4]烏家培.信息社會與網絡經濟[M].長春:長春出版社,2002
關鍵詞:無線局域網;嗅探技術;網絡安全
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2008)36-2858-01
無線局域網(WLAN)利用電磁波在空氣中發送和接受數據,而無需線纜介質,因而安裝方便快捷、組網靈活,在許多領域獲得了廣泛的應用,但由于其傳送數據的開放性,發射的數據可能到達非預期的接收設備,因此通過WLAN傳送的信息存在被竊取的風險。嗅探(Sniffer)技術是網絡安全攻防技術中很重要的一種,是利用計算機的網絡接口截獲網絡中數據報文的一種技術。嗅探一般工作在網絡的底層,可以在對網絡傳輸數據進行記錄,從而捕獲賬號和口令、以及其他用戶敏感信息,甚至可以用來獲取更高級別的訪問權限、分析網絡結構進行網絡滲透等。對黑客來說,通過嗅探技術能以非常隱蔽的方式攫取網絡中的大量敏感信息,與主動掃描相比,嗅探行為更難被察覺,也更容易操作。對安全管理人員來說,借助嗅探技術,可以對網絡活動進行實時監控,并進行發現各種網絡攻擊行為。
在WLAN中網絡嗅探對信息安全的威脅具有很強的隱蔽性,運行監聽程序的主機在竊聽的過程中只是被動的接收網絡中傳輸的信息,它不會與其它主機交換信息,也不修改在網絡傳輸的信息包,使網絡信息的丟失不容易被發現。盡管它沒有對網絡進行主動攻擊或破壞行為明顯,但由它造成的損失也是不可估量的。隨著無線局域網技術的廣泛應用,其安全問題也被越來越多的用戶關注,只有掌握網絡嗅探的原理與本質,才能更有效地防患于未然,增強無線局域網的安全防護能力。
1 網絡嗅探原理
根據TCP/IP協議,數據包是經過封裝后,再被發送的。兩臺計算機完成通訊依靠的是MAC地址而與IP地址無關,而目標計算機MAC地址的獲取是通過ARP協議廣播得到的,而獲取的地址會保存在MAC地址表里并定期更新,期間,計算機是不會再去廣播尋址信息獲取目標MAC地址的,這就給了入侵者以可乘之機。
當一臺計算機要發送數據給另一臺計算機時,它會以IP地址為依據首先查詢自身的ARP地址表,如果里面沒有目標計算機的MAC信息,它就觸發ARP廣播尋址數據直到目標計算機返回自身地址報文,而一旦這個地址表里存在目標計算機的MAC信息,計算機就直接把這個地址作為數據鏈路層的以太網地址頭部封裝發送出去。為了避免出現MAC地址表保持著錯誤的數據,系統在一個指定的時期過后會清空MAC地址表,重新廣播獲取一份地址列表,而且新的ARP廣播可以無條件覆蓋原來的MAC地址表。
假設局域網內有兩臺計算機A和B在通訊,而計算機C要作為一個竊聽者的身份得到這兩臺計算機的通訊數據,那么它就必須想辦法讓自己能插入兩臺計算機之間的數據線路里,而在這種一對一的交換式網絡里,計算機C必須成為一個中間設備才能讓數據得以經過它,要實現這個目標,計算機C就要開始偽造虛假的ARP報文。
ARP尋址報文分兩種,一種是用于發送尋址信息的ARP查詢包,源機器使用它來廣播尋址信息,另一種則是目標機器的ARP應答包,用于回應源機器它的MAC地址,在竊聽存在的情況下,如果計算機C要竊聽計算機A的通訊,它就偽造一個IP地址為計算機B而MAC地址為計算機C的虛假ARP應答包發送給計算機A,造成計算機A的MAC地址表錯誤更新為計算機B的IP對應著計算機C的MAC地址的情況,這樣一來,系統通過IP地址獲得的MAC地址都是計算機C的,數據就會發給以監聽身份出現的計算機C了。但這樣會造成一種情況就是作為原目標方的計算機B會接收不到數據,因此充當假冒數據接收角色的計算機C必須擔當一個轉發者的角色,把從計算機A發送的數據返回給計算機B,讓兩機的通訊正常進行,這樣,計算機C就和計算機A、B形成了一個通訊鏈路,而對于計算機A和B而言,計算機C始終是透明存在的,它們并不知道計算機C在偷聽數據的傳播。只要計算機C在計算機A重新發送ARP查詢包前及時偽造虛假ARP應答包就能維持著這個通訊鏈路,從而獲得持續的數據記錄,同時也不會造成被監聽者的通訊異常。
計算機C為了監聽計算機A和B數據通訊而發起的這種行為,就是“ARP欺騙”(ARP Spoofing)或稱“ARP攻擊”(ARP Attacking),實際上,真實環境里的ARP欺騙除了嗅探計算機A的數據,通常也會順便把計算機B的數據給嗅探了去,只要計算機C在對計算機A發送偽裝成計算機B的ARP應答包的同時也向計算機B發送偽裝成計算機A的ARP應答包即可,這樣它就可作為一個雙向的身份插入兩者之間的通訊鏈路。
2 防范策略
鑒于網絡嗅探器的原理,盡管嗅探技術實現起來比較隱蔽,但并不是沒有防范的方法,可采取以下防范策略對嗅探行為進行防護。
1) 設置網絡為封閉系統。封閉系統是作為一項安全措施限制 SSID 的廣播,隱藏無線網絡。為了避免網絡被NetStumbler之類的工具發現,應把網絡設置為封閉系統。這樣可以比較好的禁止非授權訪問,但不能完全防止被嗅探。
2) 采用可靠的加密協議。如果用戶的無線網絡是用于傳輸比較敏感的數據,那么僅用WEP加密方式是遠遠不夠的,需要進一步采用適合用戶需求的第三方加密方式。加密協議簡單的可以理解為,介于HTTP協議與TCP協議之間的可選層,如SSL協議位于TCP/IP協議與各種應用層協議之間,在TCP之上建立了一個加密通道,對通過這一層的數據進行加密,防止使用明文傳輸信息,為數據通訊提供安全支持。而使用secure shell、secure copy或者IPV6協議都可以使得信息安全的傳輸,從而達到保密的效果。
3) 使用安全外殼協議(SSH)。SSH是一種在不安全網絡上提供安全遠程登錄及其它安全網絡服務的協議,通過使用RSA的算法建立連接。在授權完成后,接下來的通信數據是用IDEA技術來加密的。它既可以代替telnet,又可以為ftp、pop、甚至ppp提供一個安全的“通道”,它為通過TCP/IP網絡通信提供了通用的最強的加密。目前,還沒有人突破過這種加密方法。嗅探到的信息自然將不再有任何價值。
4) 使用一次性口令(OTP)。通常的計算機口令是靜態的,容易被嗅探竊取。采用一次性口令技術,能使竊聽賬號信息失去意義。例如:采用口令序列(S/KEY)時,口令為一個單向的前后相關的序列,系統只用記錄第 N個口令。用戶用第N-1個口令登錄時,系統用單向算法算出第N個口令與自己保存的第N個口令匹配,以判斷用戶的合法性。由于N是有限的,用戶登錄N次后必須重新初始化口令序列。
5) 加強本機監控。不同操作系統的計算機采用的檢測工具不盡相同。大多數UNIX系列操作系統使用“ifconfig”就可以發現網卡是否工作在混雜模式下。但是在許多時候,本地監控卻并不可靠,因為黑客在使用Sniffer的同時,很可能種植了一個ifconfig的“代替品”,檢查的結果自然會隱藏真實的情況。所以,通常還要結合其他更高級的工具,例如tripwire、lsof等。
6) 監控本地局域網的數據幀。查找異常網絡行為是較好的檢測策略。因此系統管理員可以運行自己的Sniffer,例如tcpdump、Windump和snoop等等,監控網絡中指定主機的DNS流量,或使用分析計數器工具(如 AntiSniff)測量當前網絡的信息包延遲時間。
7) 使用安全的拓樸結構。Sniffer無法穿過交換機、路由器、網橋。網絡分段越細,則安全程度越大。
3 結束語
網絡嗅探比較簡單而且容易實現,特別是借助良好的開發環境,可以通過編程輕松實現預期目的,能造成很大的安全危害,但防范嗅探卻相當困難,主要是因為它們不容易被發現。在盡量采用上面提到的防范策略外,系統管理員要定期的對所管理的網絡進行安全測試,防止安全隱患。同時由于許多攻擊來自網絡內部,所以要控制擁有相當權限的用戶的數量。還應注重培訓,不斷提高網管人員的安全意識以及用戶使用網絡的良好習慣。另外,在使用技術防范的同時,安全管理的制度建設也是非常重要的。
參考文獻:
[1] 張耀疆.聚焦黑客―攻擊手段與防護策略[M].北京:人民郵電出版社,2002.
[2] 冷月.無線網絡保衛戰[J].計算機應用文摘,2006(26).
