第周黑客的防范和漏洞掃描

1、黑客的防范和漏洞掃描1黑客的防范黑客攻擊與防范現(xiàn)狀1999年10月，國(guó)家有關(guān)部門通過模擬攻擊對(duì)650個(gè)政府上網(wǎng)單位的信息安全工作進(jìn)行調(diào)查，發(fā)現(xiàn)其中80的網(wǎng)站基本沒有安全措施。主要問題：認(rèn)為不需要防范認(rèn)為無法防范防范是專業(yè)人員的事情2防范措施：1.使用高安全級(jí)別的操作系統(tǒng)在建設(shè)網(wǎng)絡(luò)選擇網(wǎng)絡(luò)操作系統(tǒng)時(shí)，要注意其提供的安全等級(jí)，應(yīng)盡量選用安全等級(jí)高的操作系統(tǒng)。網(wǎng)絡(luò)操作系統(tǒng)的安全等級(jí)是網(wǎng)絡(luò)安全的根基，如根基不好則網(wǎng)絡(luò)安全先天不良，在此之上的很多努力將無從談起。網(wǎng)絡(luò)系統(tǒng)安全起碼要求C2級(jí)。各網(wǎng)絡(luò)管理部門應(yīng)按系統(tǒng)的安全等級(jí)，選用符合安全等級(jí)保護(hù)要求的操作系統(tǒng)，及時(shí)更新操作系統(tǒng)版本。3防范措施：2.限制系統(tǒng)

2、功能可通過采取一些措施來限制系統(tǒng)可提供的服務(wù)功能和用戶對(duì)系統(tǒng)的操作權(quán)限，以減少黑客利用這些服務(wù)功能和權(quán)限攻擊系統(tǒng)的可能性。例如，通過增加軟硬件，或者對(duì)系統(tǒng)進(jìn)行配置如增強(qiáng)日志、記賬等審計(jì)功能來保護(hù)系統(tǒng)酌安全；限制用戶對(duì)一些資源的訪問權(quán)限，同時(shí)也要限制控制臺(tái)的登錄，可以通過使用網(wǎng)絡(luò)安全檢測(cè)儀發(fā)現(xiàn)那些隱藏著安全漏洞的網(wǎng)絡(luò)服務(wù)。4防范措施：3.發(fā)現(xiàn)并及時(shí)堵住系統(tǒng)漏洞為了提高網(wǎng)絡(luò)安全檢測(cè)手段的自動(dòng)化程度，生產(chǎn)了網(wǎng)絡(luò)安全檢測(cè)工具，如著名的ISS公司。ISS公司是美國(guó)著名的網(wǎng)絡(luò)安全評(píng)估工具和技術(shù)提供商，它是由一名昔日的黑客創(chuàng)立的，該公司的特點(diǎn)是以攻擊方式而不是絕對(duì)防衛(wèi)的方式對(duì)網(wǎng)絡(luò)進(jìn)行測(cè)試性侵入，找出企業(yè)現(xiàn)行

3、網(wǎng)絡(luò)中的弱點(diǎn)，提醒該企業(yè)如何堵住這些漏洞。該公司于1998年6月推介其網(wǎng)絡(luò)安全監(jiān)控工具SAFEsuite系列產(chǎn)品(簡(jiǎn)稱ISS)，它目前己被作為一種標(biāo)準(zhǔn)的測(cè)試工具。5Internet ScannerISS公司的SAFEsuite套件系列，包括網(wǎng)絡(luò)掃描儀 (Internet Scanner)，系統(tǒng)掃描儀 (System Scanner),數(shù)據(jù)庫(kù)掃描儀 (Database Scanner)，實(shí)時(shí)入侵監(jiān)控 (RealSecure) 和SAFEsuite套件安全決策軟件 (SAFEsuite Decisions) 是業(yè)界安全風(fēng)險(xiǎn)管理最先進(jìn)和完善的方案。ISS的可適應(yīng)性網(wǎng)絡(luò)安全軟件制定了一套安全控制系統(tǒng)，

4、使用戶企業(yè)可以得到相關(guān)部門對(duì)它們網(wǎng)絡(luò)安全狀況的重要反饋。SAFEsuite套件通過對(duì)Web站點(diǎn)，防火墻，路由器，外部網(wǎng)絡(luò)，操作系統(tǒng)，主機(jī)和工作站的安全風(fēng)險(xiǎn)監(jiān)測(cè)和響應(yīng)，對(duì)整個(gè)企業(yè)的信息進(jìn)行保護(hù)。它同時(shí)可以檢測(cè)出各種系統(tǒng)漏洞，操作系統(tǒng)與數(shù)據(jù)庫(kù)系統(tǒng)配置和常見的和用戶有關(guān)的安全弱點(diǎn)。6防范措施：4.身份認(rèn)證身份認(rèn)證是網(wǎng)絡(luò)安全系統(tǒng)中的第一道關(guān)卡，是網(wǎng)絡(luò)安全技術(shù)的一個(gè)重要方面。身份認(rèn)證機(jī)制限制非法用戶訪問網(wǎng)絡(luò)資源，是其他安全機(jī)制的基礎(chǔ)。是最基本的安全服務(wù)，其他的安全服務(wù)都要依賴于它。一旦身份認(rèn)證系統(tǒng)被攻破，那么系統(tǒng)的所有安全措旌將形同虛設(shè)。黑客攻擊的目標(biāo)往往就是身份認(rèn)證系統(tǒng)。身份認(rèn)證一般可分為用戶與主機(jī)間

5、的認(rèn)證和主機(jī)與主機(jī)之間的認(rèn)證，其中用戶與主機(jī)間的身份認(rèn)證可以分為以下幾種方式。7基于回調(diào)調(diào)制解調(diào)器的認(rèn)證方式回調(diào)調(diào)制解調(diào)器是一種維護(hù)系統(tǒng)有效用戶表及其相應(yīng)電話號(hào)碼的設(shè)備。當(dāng)用戶撥號(hào)調(diào)用系統(tǒng)時(shí)，回調(diào)調(diào)制解調(diào)器獲得用戶的登錄戶頭，掛起，再回頭調(diào)用用戶終端。這種方法的優(yōu)點(diǎn)是，限制只有電話號(hào)碼存于調(diào)制解調(diào)器中的人才是系統(tǒng)的用戶，從而使非法侵入者不能從其他位置調(diào)用系統(tǒng)并登錄。這一方法的缺點(diǎn)是限制了用戶的靈活性，并且仍需要口令。因?yàn)檎{(diào)制解調(diào)器不能僅從用戶發(fā)出調(diào)用的地方惟一地標(biāo)識(shí)用戶。8基于口令的認(rèn)證方式基于口令的認(rèn)證方式是最常用的一種技術(shù)。但它存在嚴(yán)重的安全問題?？诹钍且环N單因素的認(rèn)證，安全性僅依賴于口令

6、，口令一旦泄露，用戶即可被冒充。口令一般是經(jīng)過加密后存放在口令文件中，如果口令文件被竊取，那么就可以進(jìn)行離線的字典式攻擊。這也是黑客雖常用的手段之一。目前，人們?cè)谑褂绵]箱或留言扳時(shí)所采用的密碼是十分容易被破譯的，在一些個(gè)人的小網(wǎng)站上的留言板上發(fā)言時(shí)，發(fā)言密碼不要使用和自己郵箱一樣的密碼。因?yàn)榫W(wǎng)站的管理員可以輕而易舉地看到你的密碼，如果網(wǎng)管缺乏職業(yè)道德，就很有可能進(jìn)入你的郵箱。9基于智能卡的認(rèn)證方式智能卡具有硬件加密功能，有較高的安全性。每個(gè)用戶持有一張智能卡，智能卡存儲(chǔ)用戶個(gè)性化的秘密信息，同時(shí)在驗(yàn)證服務(wù)器中也存放該秘密信息。進(jìn)行認(rèn)證時(shí)，用戶輸入PIN(個(gè)人身份識(shí)別碼)，智能卡認(rèn)證PIN成功后

7、，即可讀出智能卡中的秘密信息，進(jìn)而利用該秘密信息與主機(jī)之間進(jìn)行認(rèn)證?；谥悄芸ǖ恼J(rèn)證方式是一種雙因素的認(rèn)證方式(PIN+智能卡)，即使PIN或智能卡被竊取，用戶仍不會(huì)被冒充?？杉訌?qiáng)安全性。10基于生物特征的認(rèn)證方式這種認(rèn)證方式是以人體維一的、可靠的、穩(wěn)定的生物特征 (如指紋、虹膜、臉部、掌紋等)為依據(jù)，采用計(jì)算機(jī)的強(qiáng)大功能和網(wǎng)絡(luò)技術(shù)進(jìn)行圖像處理和模式識(shí)別。該技術(shù)具有很好的安全性、可靠性和有效性，與傳統(tǒng)的身份確認(rèn)手段相比，無疑產(chǎn)生了質(zhì)的飛躍。近幾年來，全球的生物識(shí)別技術(shù)已從研究階段轉(zhuǎn)向應(yīng)用階段，使生物識(shí)別技術(shù)的應(yīng)用即將成為可能。11眼球虹膜識(shí)別系統(tǒng)只需要對(duì)著鏡頭看一眼，電腦就可以迅速核對(duì)數(shù)據(jù)庫(kù)中

8、的資料，并識(shí)別出看鏡頭的人是誰。12防火墻技術(shù)反黑客最常用的是防火墻技術(shù)。防火墻是一種用來加強(qiáng)網(wǎng)絡(luò)之間訪問控制的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備，該設(shè)各通常是軟件和硬件的組合體。它是基于被保護(hù)網(wǎng)絡(luò)具有明確定義的邊界和服務(wù)，并且網(wǎng)絡(luò)安全的威脅僅來自外部網(wǎng)絡(luò)。它通過監(jiān)測(cè)、限制以及更改跨越“防火墻”的數(shù)據(jù)流，對(duì)外部網(wǎng)絡(luò)屏蔽有關(guān)被保護(hù)網(wǎng)絡(luò)的信息、結(jié)構(gòu)，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的安全保護(hù)。13數(shù)據(jù)加密技術(shù)數(shù)據(jù)加密技術(shù)是為了提高信息系統(tǒng)的數(shù)據(jù)安全性、保密性和防止數(shù)據(jù)被破解所采用的主要手段之一。加密是一種主動(dòng)安全防御策略，用很小的代價(jià)就能為信息提供相當(dāng)大的安全保護(hù)。加密的基本功能防止不速之客查看機(jī)密的數(shù)據(jù)文件。防止機(jī)密數(shù)據(jù)被泄露或篡改。

9、防止特權(quán)用戶(如系統(tǒng)管理員)查看私人數(shù)據(jù)文件。使入侵者不能輕易地查找一個(gè)系統(tǒng)的文件。14數(shù)據(jù)加密三種方式鏈路加密。通常把網(wǎng)絡(luò)層以下的加密叫鏈路加密，主要用于保護(hù)通信節(jié)點(diǎn)問傳輸?shù)臄?shù)據(jù)，加解密由置于線路上的密碼設(shè)備實(shí)現(xiàn)。節(jié)點(diǎn)加密。對(duì)鏈路加密的改進(jìn)。在協(xié)議傳輸層上進(jìn)行加密，對(duì)源節(jié)點(diǎn)和目標(biāo)節(jié)點(diǎn)之間傳輸數(shù)據(jù)進(jìn)行加密保護(hù)，與鏈路加密類似，只是加密算法結(jié)合在依附于節(jié)點(diǎn)的加密模件中，克服了鏈路加密在節(jié)點(diǎn)處易遭非法存取的缺點(diǎn)。端對(duì)端加密。網(wǎng)絡(luò)層以上的加密稱為端對(duì)端加密。它首先對(duì)進(jìn)入網(wǎng)絡(luò)的數(shù)據(jù)加密，然后待數(shù)據(jù)從網(wǎng)絡(luò)傳送出后再進(jìn)行解密。對(duì)應(yīng)用層的數(shù)據(jù)信息進(jìn)行加密，易于用軟件實(shí)現(xiàn)，成本低，網(wǎng)絡(luò)本身不需增添專門的加密設(shè)

10、備，適合大型網(wǎng)絡(luò)系統(tǒng)中信息在多個(gè)發(fā)方和收方之間傳輸?shù)那闆r。15計(jì)算機(jī)病毒防治由于網(wǎng)絡(luò)系統(tǒng)的開放性、資源的共享性、連接方式的多樣性、終端分布的不均勻性、網(wǎng)絡(luò)邊界的不可知性也帶來了許多問題。其中，最引人注目的問題當(dāng)屬網(wǎng)絡(luò)環(huán)境下計(jì)算機(jī)病毒的防范。過去人們對(duì)隱蔽性病毒的認(rèn)識(shí)，主要集中在病毒盡量不使宿主程序產(chǎn)生較大的變化等方面，而今天計(jì)算機(jī)病毒可能在用戶發(fā)送電子郵件、上網(wǎng)瀏監(jiān)下載、登錄文件服務(wù)器時(shí)，在用戶毫不察覺的情況下，傳染給用戶及與被傳染用戶有業(yè)務(wù)聯(lián)系的所有合作伙伴。16計(jì)算機(jī)病毒的新技術(shù)計(jì)算機(jī)病毒的編程技術(shù)，隨著網(wǎng)嶄技術(shù)的發(fā)展也在不斷地提高和變化，過去病毒的最大特點(diǎn)是能夠復(fù)制自身給其他的程序，現(xiàn)在

11、計(jì)算機(jī)病毒具有了蠕蟲的特點(diǎn)，可以利用網(wǎng)絡(luò)進(jìn)行快速傳播。有些病毒由黑客編寫，其有黑客程序的功能，一旦侵入計(jì)算機(jī)系統(tǒng)后，病毒控制者便可以從入侵的計(jì)算機(jī)系統(tǒng)中竊取信息并遠(yuǎn)程控制這些系統(tǒng)。網(wǎng)絡(luò)環(huán)境下，計(jì)算機(jī)病毒具有不可估量的威脅性和破壞力，如果不重視計(jì)算機(jī)網(wǎng)絡(luò)病毒的防范，那么可能會(huì)造成災(zāi)難性的后果。因此，對(duì)計(jì)算機(jī)病毒，特別是帶有黑客程序的計(jì)算機(jī)病毒的防范是網(wǎng)絡(luò)安全技術(shù)中特別重要的一環(huán)。17攻擊檢測(cè)技術(shù)攻擊檢測(cè)技術(shù)是一種利用攻擊者的蛛絲馬跡，如試圖登錄的失敗記錄，或者通過監(jiān)視某些特定指標(biāo)如CPU、內(nèi)存、磁盤的不尋?；顒?dòng)等，通過收集網(wǎng)絡(luò)中的有關(guān)信息和數(shù)據(jù)，對(duì)其進(jìn)行分析發(fā)現(xiàn)隱藏在其中的攻擊者的足跡，并獲取攻

12、擊證據(jù)和制止攻擊者的行為，從而有效地發(fā)現(xiàn)來自外部或內(nèi)部的非法攻擊的技術(shù)。18基于用戶行為概率統(tǒng)計(jì)模型的攻擊檢測(cè)這種攻擊檢測(cè)方法是基于對(duì)用戶歷史行為以及在早期的證據(jù)或模型的基礎(chǔ)上進(jìn)行的，由審計(jì)系統(tǒng)實(shí)時(shí)地檢測(cè)用戶對(duì)系統(tǒng)的使用情況，根據(jù)系統(tǒng)內(nèi)部保存的用戶行為概率統(tǒng)計(jì)模型進(jìn)行檢測(cè)。當(dāng)發(fā)現(xiàn)有可疑的行為發(fā)生時(shí)，保持跟蹤并監(jiān)測(cè)、記錄該用戶的行為。系統(tǒng)要根據(jù)每個(gè)用戶以前的歷史行為，生成每個(gè)用戶的歷史行為記錄庫(kù)，當(dāng)用戶改變他們的行為習(xí)慣時(shí)，這種異常就會(huì)被檢測(cè)出來。19基于神經(jīng)網(wǎng)絡(luò)的攻擊檢測(cè)這種方法是利用神經(jīng)網(wǎng)絡(luò)技術(shù)來進(jìn)行攻擊檢測(cè)的，它對(duì)于用戶行為具有學(xué)習(xí)和自適應(yīng)性，能夠根據(jù)實(shí)際檢測(cè)到的信息有效地加以處理并做出判

13、斷，這樣就有效地避免了基于統(tǒng)計(jì)模型的檢測(cè)方法的缺點(diǎn)。到現(xiàn)在為止，這種攻擊檢測(cè)方法還不太成熟。20基于專家系統(tǒng)的攻擊檢測(cè)根據(jù)安全專家對(duì)可疑行為的分析經(jīng)驗(yàn)來形成的一套推理規(guī)則，然后在此基礎(chǔ)上建立相應(yīng)的專家系統(tǒng)。專家系統(tǒng)自動(dòng)進(jìn)行對(duì)所涉及的攻擊行為的分析工作。由于這類系統(tǒng)的推理規(guī)則一般都是根據(jù)已知的安全漏洞進(jìn)行安排和策劃的，因此對(duì)于來自于未知漏洞的攻擊威脅通常就難以應(yīng)付了。專家系統(tǒng)對(duì)歷史數(shù)據(jù)的依賴性總的來說比基于統(tǒng)計(jì)模型的檢測(cè)方法要少，因此系統(tǒng)的適應(yīng)性就比較強(qiáng)，可以較靈活地適應(yīng)廣譜形的安全策略和檢測(cè)需求。21基于模型推理的攻擊檢測(cè)根據(jù)攻擊者在進(jìn)行攻擊時(shí)所執(zhí)行的某些行為程序的特征，建立一種攻擊行為模型，

14、根據(jù)這種行為模型所代表的攻擊意圖的行為特征來判斷是否屬于攻擊行為。如果某種攻擊模型建立了，系統(tǒng)還可提供證據(jù)來證實(shí)攻擊行為確實(shí)發(fā)生了，以此來減少錯(cuò)報(bào)和漏報(bào)的可能。22攻擊檢測(cè)系統(tǒng)的6種功能監(jiān)視用戶和系統(tǒng)的運(yùn)行狀況，查找非法用戶和合法用戶的越權(quán)操作。檢測(cè)系統(tǒng)配置的正確性和安全漏洞，并提示管理員修補(bǔ)漏洞。對(duì)用戶非正?；顒?dòng)的統(tǒng)計(jì)分析，發(fā)現(xiàn)攻擊行為的規(guī)律。檢查系統(tǒng)程序和數(shù)據(jù)的一致性和正確性，如計(jì)算和比較文件系統(tǒng)的校驗(yàn)和。能夠?qū)崟r(shí)對(duì)檢測(cè)到的攻擊行為并進(jìn)行反應(yīng)。操作系統(tǒng)的審計(jì)跟蹤管理。23核心軟件國(guó)產(chǎn)化網(wǎng)絡(luò)已經(jīng)正在給我國(guó)帶來經(jīng)濟(jì)、科技、文化、教育和國(guó)防等各個(gè)方面的巨大效益。但同時(shí)，它也使我國(guó)更加易于受到網(wǎng)絡(luò)

15、黑客的襲擊。所以，從更高層次上講，核心軟件國(guó)產(chǎn)化，已成為與國(guó)家安全息息相關(guān)的緊迫而重大的戰(zhàn)略需要。24加強(qiáng)內(nèi)部管理為了對(duì)付內(nèi)部產(chǎn)生的黑客行為，要在安全管理方面采取措施。必須慎重選擇網(wǎng)絡(luò)系統(tǒng)管理人員，網(wǎng)絡(luò)管理人員要有高度的責(zé)任心，網(wǎng)絡(luò)管理等要害崗位人員調(diào)動(dòng)時(shí)要采取相應(yīng)防護(hù)措施。制訂詳細(xì)的安全管理制度，有關(guān)崗位之間要能互相制約。企業(yè)與員工簽訂著作權(quán)轉(zhuǎn)讓合同，使有關(guān)文件資料、軟件著作權(quán)和其他附屬資產(chǎn)權(quán)歸企業(yè)所有。25加強(qiáng)內(nèi)部管理將部門內(nèi)電子郵件資料及因特網(wǎng)網(wǎng)址劃分保密等級(jí)，依據(jù)等級(jí)高低采取相應(yīng)的安全措施及給予不同的權(quán)限。定期改變口令。加強(qiáng)技術(shù)上的管理。26備份、清除與物理安全備份：在另一個(gè)地方制作一份拷貝，這個(gè)拷貝或備份將保留在一個(gè)安全的地方，一旦失去原件，就能使用備份恢復(fù)。應(yīng)該有規(guī)律地備份以便使用戶避免由于硬件故障導(dǎo)致數(shù)據(jù)的損失。清除措施：通常被刪除的文件，并未真正的刪除掉，黑客可以使用技術(shù)手段恢復(fù)這些文件，找到有用的信息。物理安全：各種通信線路的安全問題尤其需要注意。如果能夠物理接觸網(wǎng)絡(luò)設(shè)備，實(shí)施攻擊的難度大大下降。27作業(yè)什么是黑客？黑客常用攻擊手段有哪些？28本章目標(biāo)理解漏洞的概念和危害性理解漏洞掃描的意義和方法掌握典型漏洞掃描工具的用法了解常見漏洞及其危害掌握漏洞修復(fù)的必要性和基