網絡安全與攻防8篇

緒論：在尋找寫作靈感嗎？愛發表網為您精選了8篇網絡安全與攻防，愿這些內容能夠啟迪您的思維，激發您的創作熱情，歡迎您的閱讀與分享！

篇1

關鍵詞：主動防御；網絡安全；攻擊；防御

中圖分類號：TP393.08文獻標識碼：A 文章編號：1009-3044(2010)20-5442-02

Design of Network Safety Attack and Defense Test Platform based on Active Defense

WANG Chao-yang

(5 Department 43 Team, Artillery Academy of the P.L.A, Hefei 230031, China)

Abstract: Now traditional passive defense technology will not reply the behavior of unceasing increase large-scale network attack. According to the characteristic and the advantage of active defense, the article has introduced a kind of design scheme test platform abort network safety attack and defense based on the technology of active defense, and the design and realization of system from the two pieces of experiment modular abort attack and defense.

Key words: active defense; network safety; attack; defense

目前，伴隨著計算機網絡的大量普及與發展，網絡安全問題也日益嚴峻。而傳統的、被動防御的網絡安全防護技術也將越來越無法應對不斷出現的新的攻擊方法和手段，網絡安全防護體系由被動防御轉向主動防御是大勢所趨。因此，立足現有網絡設備進行攻防實驗平臺的設計和研究，對于未來網絡安全防護技術的研究具有深遠的指導意義。

1 系統功能設計概述

1.1 主動防御技術的概念

主動防御技術是一種新的對抗網絡攻擊的技術，也是當今網絡安全領域新興的一個熱點技術。它源于英文“Pro-active Defense”，其確切的含義為“前攝性防御”，是指由于某些機制的存在，使攻擊者無法完成對攻擊目標的攻擊。由于這些前攝性措施能夠在無人干預的情況下預防安全事件，因此有了通常所說的“主動防御”[1]。網絡安全主動防御技術能夠彌補傳統被動防御技術的不足，采用主機防御的思想和技術，增強和保證本地網絡安全，及時發現正在進行的網絡攻擊，并以響應的應急機制預測和識別來自外部的未知攻擊，采取各種應對防護策略阻止攻擊者的各種攻擊行為。

1.2 系統設計目標

目前關于主動防御的網絡安全防御策略理論研究的較多，但是對于很多實際應用方面還缺乏實戰的指導和經驗。網絡安全攻防實驗平臺主要依據主動防御技術體系為策略手段，針對現有網管軟件存在的問題，進行主動防御技術體系優化，其核心在于在實驗中實現系統的漏洞機理分析、安全性檢測、攻擊試驗、安全應急響應和提供防御應對策略建議等功能，能夠啟發實驗者認識和理解安全機理，發現安全隱患，并進行系統安全防護。

1.3 實驗平臺功能

基于主動防御的網絡安全攻防實驗平臺是一個網絡攻擊與防御的模擬演示平臺，在單機上模擬出基本的網絡節點(設備)，然后在這個模擬的網絡環境中演示出網絡攻擊與防御的基本原理和過程，并以可視化的結果呈現出來。該實驗平臺所仿真的機理和結果能夠依據網絡安全的需求，最終用于網絡攻防測評和實戰的雙重目的。并可以為網絡攻擊和防護技能人才更好的學習提供一定的參考。為完整地體現網絡戰攻防的全過程，該平臺分為攻擊模塊與防御模塊兩部分。

攻擊模塊部分包括主機端口的掃描、檢測、Web/SMB攻擊模塊和IDS等。其主要功能是實現對于目標系統的檢測、漏洞掃描、攻擊和與防護端的通訊等[2]。

防御模塊部分主要是基于主動防御技術的功能要求，實現檢測、防護和響應三種功能機制。即能夠檢測到有無攻擊行為并予以顯示、給出陷阱欺騙可以利用的漏洞和提供防護應對策略等，如: 網絡取證、網絡對抗、補丁安裝、系統備份、防護工具的選購和安裝、響應等。

2 攻防實驗平臺模型設計

2.1 設計方案

要實現網絡攻防的實驗，就必須在局域網環境構建仿真的Internet環境，作為攻防實驗的基礎和實驗環境。仿真的Internet環境能實現www服務、FTP、E-mail服務、在線交互通信和數據庫引擎服務等基本功能。依據系統的功能需求分析，該平臺要實現一個集檢測、攻擊、防護、提供防護應對策略方案等功能于一體的軟件系統。主要是除了要實現基本的檢測、攻擊功能外，還必須通過向導程序引導用戶認識網絡攻防的機理流程，即:漏洞存在―漏洞檢測（攻擊模塊）―攻擊進行(攻擊模塊)―系統被破壞―補救措施（防御模塊）―解決的策略方案（防御模塊）[3]，以更好的達到實驗效果。

平臺整體采用C/S模式，攻擊模塊為客戶端，防御模塊為服務器端。攻擊模塊進行真實的掃描、入侵和滲透攻擊，防御模塊從一定程度上模擬并顯示受到的掃描、攻擊行為，其模擬的過程是動態的，讓實驗者看到系統攻擊和被攻擊的全部入侵過程，然后提供響應的防護應對策略。攻防實驗平臺模型如圖1所示。

2.2 基于主動防御的網絡安全體系

根據本實驗平臺設計的思想和策略原理，為實現主動防御的檢測、防護和響應功能機制，構建基于主動防御技術的網絡安全策略體系（如圖2所示）。安全策略是網絡安全體系的核心，防護是整個網絡安全體系的前沿，防火墻被安置在局域網和Internet網絡之間，可以監視并限制進出網絡的數據包，并防范網絡內外的非法訪問[4-5]。主動防御技術和防火墻技術相結合，構建了一道網絡安全的立體防線，在很大程度上確保了網絡系統的安全，對于未來的網絡安全防護具有深遠的意義。檢測和響應是網絡安全體系主動防御的核心，主要由網絡主機漏洞掃描（包括對密碼破解）、Web/SMB攻擊、IDS、網絡取證、蜜罐技術等應急響應系統共同實現，包括異常檢測、模式發現和漏洞發現。

2.3 攻防模塊設計

該實驗平臺的攻擊模塊和防御模塊利用C/S模式采用特定端口進行通訊。攻擊端以動作消息的形式，把進行的每一個動作發往防御端，防御模塊從數據庫中調用相關數據進行模擬、仿真，讓實驗者看到和體會到自身系統受到的各種攻擊。攻防模塊經過TCP/IP建立連接后，開始進行掃描、檢測、Web/SMB攻擊和IDS等入侵行為，攻擊端每一個消息的啟動都會發給防御端一個標志位，防御模塊經判斷后，調用相關的顯示和檢測模塊進行處理，并提供相應的防護應對策略。

3 平臺的實現

3.1 主動防御思想的實現

在一個程序中，必須要通過接口調用操作系統所提供的功能函數來實現自己的功能。同樣，在平臺系統中，掛接程序的API函數，就可以知道程序的進程將有什么動作，對待那些對系統有威脅的動作該怎么處理等等。實驗中，采取掛接系統程序進程的API函數，對主機進程的代碼進行真實的掃描，如果發現有諸如SIDT、SGDT、自定位指令等，就讓進程繼續運行；接下來就對系統進程調用API的情況進行監視，如果發現系統在數據的傳輸時違反規則，則會提示用戶進行有針對性的操作；如果發現一個諸如EXE的程序文件被進程以讀寫的方式打開，說明進程的線程可能想要感染PE文件，系統就會發出警告；如果進程調用了CreateRemoteThread()，則說明它可能是比較威脅的API木馬進程，也會發出警告。

3.2 攻擊程序模塊實現

網絡安全攻防實驗平臺的設計是基于面向對象的思想，采用動態連接庫開發掃描、檢測、攻擊等功能模塊。利用套接字變量進行TCP/IP通信，調用DLL隱式連接和顯示連接，采用在DLL中封裝對話框的形式，也就是把掃描、檢測、攻擊等功能和所需要的對話框同時封裝到DLL中，然后主程序直接調用DLL[6]。實驗中，可以在攻擊程序模塊中指定IP范圍，并輸入需要攻擊的主機IP地址和相應的其他參數，對活動主機漏洞進行掃描和密碼攻擊（如圖3所示）；并指定IP，對其進行Web/SMB攻擊，然后輸出攻擊的結果和在攻擊過程中產生的錯誤信息等。

3.3 防御程序模塊實現

在程序的運行中，采取利用網絡偵聽機制監聽攻擊模塊的每一次動作消息的形式，自動顯示給用戶所偵聽到外部攻擊行為（如圖4所示：Web/SMB攻擊）。該模塊同樣使用了WinSock類套接字進行通訊，在創建了套接字后，賦予套接字一個地址。攻擊模塊套接字和防御模塊套接字通過建立TCP/IP連接進行數據的傳輸。然后防御模塊根據接收到的標志信息，在數據庫中檢索對應的記錄，進行結果顯示、網絡取證、向用戶提供攻擊的類型及防護方法等多種應對策略。其中的蜜罐響應模塊能夠及時獲取攻擊信息，對攻擊行為進行深入的分析，對未知攻擊進行動態識別，捕獲未知攻擊信息并反饋給防護系統，實現系統防護能力的動態提升。

4 結束語

基于主動防御的網絡安全攻防實驗平臺主要是針對傳統的被動式防御手段的不完善而提出的思想模型。從模型的構建、平臺的模擬和實驗的效果來看，其系統從一定程度上真實的模擬了網絡設備的攻防功能，可以為網絡管理者和學習者提供一定的參考和指導。

參考文獻：

[1] 楊銳,羊興.建立基于主動防御技術的網絡安全體系[J].電腦科技,2008(5).

[2] 裴斐,鄭秋生,等.網絡攻防訓練平臺設計[J].中原工學院學報,2004(2).

[3]Stuart McClure, Joel Scambray, George Kurtz. 黑客大曝光―網絡安全的機密與解決方案[ M].北京:清華大學出版社，2002

[4] 張常有.網絡安全體系結構[M].成都:電子科技大學出版社,2006(15).

[5] 黃家林,張征帆.主動防御系統及應用研究[J].網絡安全技術與應用,2007(3).

篇2

關鍵詞： 網絡工程； 網絡安全與管理； 知識結構； 課程體系

中圖分類號：G642 文獻標志碼：A 文章編號：1006-8228（2013）10-62-02

0 引言

網絡工程專業從1998年教育部批準開設以來，發展十分迅速。截止2012年，全國已有329所高等學校設置了網絡工程專業，其中重點院校超過50所。經過十多年的發展，網絡工程從原來計算機專業的一個專業方向發展成為全國性的大專業。2011年教育部將網絡工程專業列入高等學校本科專業基本目錄，標志著網絡工程專業已經成為一個穩定發展的基本本科專業[1]。

網絡工程專業在快速發展的同時，也面臨著一些普遍性的困難與問題。比如：網絡工程專業與計算機科學與技術、軟件工程、信息安全等其他信息類專業的差異區分不夠明顯，辦學特色不夠鮮明。因此，有必要從專業方向和課程體系建設入手，結合自身辦學優勢，制定特色鮮明的網絡工程專業人才培養方案。這樣，才能培養出合格的網絡工程專業人才。

筆者所在學院2012年獲批了中央支持地方高校發展專項資金，重點建設“網絡與信息安全”實驗室，改善網絡工程專業的實踐教學條件。網絡工程系以此為契機，結合已有的信息安全師資優勢，凝練出網絡安全與管理方向，并開展相應的專業課程體系改革。本文以此為背景，探討網絡工程專業網絡安全與管理方向的人才培養方案。

1 網絡安全與管理方向人才培養要求

與其他信息類專業類似，網絡工程專業網絡安全與管理方向的人才培養要求從素質和能力兩方面入手。

1.1 基本素質

網絡工程專業人才要求具備的基本素質包括思想政治素質、人文素質、職業道德素質、專業素質、心理素質和身體素質等[2]。

思想政治素質要求政治立場堅定，熱愛祖國，增強社會責任感，樹立崇高理想，培養高尚情操，養成正確的人生觀和價值觀。人文素質要求具有深厚的文化底蘊，高雅的文化氣質，良好的人際交往能力和團隊合作精神。職業道德素質要求遵紀守法，遵守社會公德，堅持職業道德的底線，具備實事求是，堅持真理的品格，具有愛崗敬業的精神，一絲不茍的作風，以及服務社會的意識。專業素質要求掌握科學的思維方式和研究方法，養成良好的學習習慣和工作風格，具備較好的創新思維和踏實嚴謹的實干精神。心理素質和身體素質要求具有健康的體魄，樂觀向上的心態，堅忍不拔的毅力和身體力行的風格。

1.2 基本能力

網絡工程專業人才要求具備的基本能力包括學習能力、分析解決問題的能力、閱讀寫作能力、協同工作能力、專業適應能力、創新能力[2]。

學習能力是指自學能力，即知識和技術的獲取能力、理解能力與應用能力。分析解決問題的能力是指通過專業調研、理論分析、設計開發、仿真實驗等方法解決網絡工程領域實際問題的能力。閱讀寫作能力是指專業技術文檔的閱讀能力與寫作能力。協同工作能力包括專業表達能力、問題溝通能力、協作能力、組織管理能力。專業適應能力是指在學習網絡工程專業知識和技術的基礎上，能夠從事并適應相關領域的研究、開發與管理工作，并能適應網絡工程專業技術和市場不斷發展變化的能力。創新能力包括創新思維能力和創新實踐能力。

1.3 專業能力

網絡安全與管理專業方向的人才培養除了滿足網絡工程專業人才培養基本要求外，還需要注重培養兩方面的專業能力：網絡系統安全保障能力和網絡管理維護能力[3]。網絡系統安全保障能力是指熟悉信息安全基本理論和常見網絡安全技術的工作原理，掌握主流網絡安全產品的安裝、配置和使用方法，能初步設計開發網絡安全產品。網絡管理維護能力是指熟悉常見網絡設備與系統的工作原理，掌握網絡管理的主流模型、系統功能、以及各類管理技術與方法，能初步管理和維護網絡與信息系統。

2 網絡安全與管理方向專業課程體系

2.1 知識結構

網絡工程專業網絡安全與管理專業方向人才要求具備的知識可分為三大類：公共基礎知識、專業基礎知識、專業知識。

公共基礎知識相對固定，具體知識包括政治理論知識、人文社科知識、自然科學知識。其中，政治理論知識包括基本原理、中國近現代史綱要、思想和中國特色社會主義理論。人文社科知識包括大學英語、大學生心理健康、思想道德修養與法律基礎、社會和職業素養、軍事理論、體育。自然科學知識包括高等數學、線性代數、概率論與數理統計、大學物理、大學物理實驗。

專業基礎知識根據網絡工程專業人才的專業能力要求制定，具體包括電子技術基礎、計算技術基礎、計算機系統基礎。其中，電子技術基礎包括數字電路、模擬電路和電路基礎，技術技術基礎包括數據結構、離散數學、程序設計、算法分析與設計，計算機系統基礎包括計算機組成原理、操作系統、數據庫原理、軟件工程。

專業知識相對靈活，通常根據所在院校的專業特色和辦學條件制定，具體包括專業核心知識、專業方向知識、專業實踐環節[1]。下面重點討論這部分內容。

2.2 課程體系

依據上述知識結構，結合筆者所在學院的師資力量、辦學條件和專業特色，制定了網絡工程專業網絡安全與管理方向的專業課程體系，如圖1所示。由于公共基礎課程基本固定不變，在此不再列出。

2.3 專業方向課程知識點

網絡工程專業網絡安全與管理方向可分為網絡安全和網絡管理兩個分支。其中，網絡安全分支課程包括信息安全基礎[4]、網絡安全技術[5]、網絡攻防技術，每門課程的主要知識點如表1所示。網絡管理分支課程包括網絡管理[6]、網絡性能測試與分析、網絡故障診斷與排除，每門課程的主要知識點如表1所示。

3 結束語

本文以筆者所在學院的網絡工程專業建設為背景，分析了網絡工程專業人才培養的基本要求。在此基礎上，說明了網絡安全與管理專業方向人才培養的專業能力要求，進而得出與之相適應的知識體系結構和課程體系內容。最后重點介紹了網絡安全與管理專業方向主要課程的知識單元與相應的知識點。接下來的工作是將該課程體系落實到網絡工程專業培養方案中，并在具體實施過程中發現問題，解決問題，分段調整，逐步完善。希望本文所作的研究與探討能給兄弟院校的網絡工程專業建設提供有價值的參考。

參考文獻：

[1] 教育部高等學校計算機科學與技術教學指導委員會.高等學校網絡工程專業規范[M].高等教育出版社，2012.

[2] 姜臘林，王靜，徐蔚鴻.網絡工程專業物聯網方向課程改革研究[J].計算機教育，2011.19：48-50

[3] 曹介南，蔡志平，朱培棟等.網絡工程專業與計算機專業差異化教學研究[J].計算機教育，2010.23：139-142

[4] 教育部信息安全類專業教學指導委員會.信息安全類專業指導性專業規范[M].高等教育出版社，2010.

篇3

關鍵詞： 網絡信息安全； 計算機； APT； 安全防御； 惡意威脅

中圖分類號： TN711?34 文獻標識碼： A 文章編號： 1004?373X（2015）21?0100?05

Threat to network information security and study on new defense

technologies in power grid enterprises

LONG Zhenyue1， 2， QIAN Yang1， 2， ZOU Hong1， 2， CHEN Ruizhong1， 2

（1. Key Laboratory of Information Testing， China Southern Power Grid Co.， Ltd.， Guangzhou 510000， China；

2. Information Center， Guangdong Power Grid Co.， Ltd.， Guangzhou 510000， China）

Abstract： With the continuous development of management informationization of the power grid enterprises， automatic power grid operation and intelligent electrical equipment， the information security has become more important. For the serious situation of network information security， the new?type defense technologies are studied， which are consisted of advanced persistent threat （APT） protection technology and vulnerability scanning technology. Combining with the advantages and disadvantages of these technologies， the strategy of defense effectiveness analysis based on the minimum attack cost is proposed， which can compute the defense capability of the network.

Keywords： network information security； computer； APT； safety defense； malicious threat

0 引 言

隨著電網企業管理信息化、電網運行自動化、電力設備智能化的不斷發展，電網企業信息安全愈發重要。信息化已成為電力企業工作中的重要組成部分，各類工作對網絡的高度依賴，各類信息以結構化、非結構化的方式儲存并流轉于網絡當中，一旦信息網絡被攻破，則往往導致服務中斷、信息泄漏、甚至指令錯誤等事件，嚴重威脅生產和運行的安全。因此，保障網絡信息安全就是保護電網企業的運行安全，保障網絡安全是電網企業的重要職責[1]。

目前的網絡信息安全形勢依然嚴峻，近年來，業務從單系統到跨系統，網絡從零星分散到大型化、復雜化，單純的信息安全防護技術和手段已經不能滿足企業安全防護的需要，應針對性地研究具有縱深防御特點的安全防護體系，以信息安全保障為核心，以信息安全攻防技術為基礎，了解信息安全攻防新技術，從傳統的“知防不知攻”的被動防御向“知攻知防”的縱深積極防御轉變，建立全面的信息安全防護體系。

1 概 述

從廣義層面而言，網絡信息安全指的是保障網絡信息的機密性、完整性以及有效性，涉及這部分的相關網絡理論以及技術都是網絡信息安全的內容。從狹義層面而言，網絡信息安全指的是網絡信息的安全，主要包括網絡軟硬件及系統數據安全[2]。網絡信息安全需要保證當網絡受到惡意破壞或信息泄露時，網絡系統可以持續正常運行，為企業提供所需的服務。

通過對我國某電網企業及其下轄電力單位的調研，以及對近5年電力信息資產信息安全類測評結果的統計得知，電網企業現存的網絡安全情況主要分為以下3類：網絡安全風險與漏洞弱點事件、數據安全風險與漏洞弱點事件、管理類安全風險與漏洞弱點事件。整體上看，電網企業的信息安全問題仍不容樂觀，近年來隨著網絡的復雜化，攻擊的新型化和專業化，網絡安全防護的情況亟待加強。總體而言，首先要加強并提升網絡、應用等方面安全水平，保證信息源頭的安全情況；其次加強管理類安全，特別是人員管理、運維管理等方面；最后研究分析最新攻防技術的特點，結合電網實際現狀，構建適用于現有網絡環境與架構的信息安全縱深防御體系。

本文主要針對第三點展開論述，研究包括高級持續威脅（APT）防護技術、漏洞掃描技術等新型的攻擊及其防護技術，提取在復雜網絡系統中的防御共同點，并給出一類策略用于分析網絡信息安全防御的有效性。

2 信息安全的攻防新技術

電網企業所依賴的信息安全隔離與防御技術主要包括數據加密技術、安全隔離技術、入侵檢測技術、訪問控制技術等。一方面，通過調研與統計分析。目前電網的信息安全建設主要以防止外部攻擊，通過區域劃分、防火墻、反向、入侵檢測等手段對外部攻擊進行防御，對內部的防御手段往往滯后，電網內部應用仍然存在一定的安全風險與漏洞弱點。如果一道防線失效，惡意的攻擊者可能通過以內部網絡為跳板威脅電網企業的安全；另一方面，電網企業中目前使用的防御技術一般是孤立的，未形成關聯性防御，而目前新型的攻擊往往會結合多個漏洞，甚至是多個0day漏洞進行組合攻擊，使得攻擊的隱蔽性、偽裝性都較強。因此，要構建信息安全防御體系，僅憑某單一的防護措施或技術無法滿足企業的安全要求，只有構建完整的信息安全防護屏障，才能為企業提供足夠的信息安全保障能力。

經過分析，目前針對電網企業的新型攻防技術有如下幾類：

2.1 高級持續威脅攻擊與防護技術

高級持續威脅（APT）是針對某一項有價值目標而開展的持續性攻擊，攻擊過程會使用一切能被利用的手段，包括社會工程學攻擊、0day漏洞攻擊等，當各攻擊點形成持續攻擊鏈后，最終達到攻擊目的。典型的APT攻擊案例如伊朗核電項目被“震網（Stuxnet）”蠕蟲病毒攻擊，通過攻擊工業用的可編程邏輯控制器，導致伊朗近[15]的核能離心機損壞。

根據APT攻擊的特性，企業可以從防范釣魚攻擊、識別郵件中的惡意代碼、識別主機上的惡意代碼、監測網絡數據滲出等多個環節進行檢測，主要涉及以下幾類新型技術。

2.1.1 基于沙箱的惡意代碼檢測技術

惡意代碼檢測中最具挑戰性的是檢測利用0day漏洞的惡意代碼，傳統的基于特征碼的惡意代碼檢測技術無法應對0day攻擊。目前最新的技術是通過沙箱技術，構造模擬的程序執行環境，讓可疑文件在模擬環境中運行，通過軟件所表現的外在行為判定是否是惡意代碼。

2.1.2 基于異常的流量檢測技術

傳統的入侵檢測系統IDS都是基于特征（簽名）的深度包檢測（DPI）分析，部分會采用到簡單深度流檢測（DFI）技術。面對新型威脅，基于DFI技術的應用需要進一步深化?；诋惓５牧髁繖z測技術，是通過建立流量行為輪廓和學習模型來識別流量異常，進而識別0day攻擊、C&C通信以及信息滲出等惡意行為。

2.1.3 全包捕獲與分析技術

由于APT攻擊的隱蔽性與持續性，當攻擊行為被發現時往往已經持續了一段時間；因此需要考慮如何分析信息系統遭受的損失，利用全包捕獲及分析技術（FPI），借助海量存儲空間和大數據分析（BDA）方法，FPI能夠抓取網絡定場合下的全量數據報文并存儲，便于后續的歷史分析或者準實時分析。

2.2 漏洞掃描技術

漏洞掃描技術是一種新型的、靜態的安全檢測技術，攻防雙方都會利用它盡量多地獲取信息。一方面，攻擊者利用它可以找到網絡中潛在的漏洞；另一方面，防御者利用它能夠及時發現企業或單位網絡系統中隱藏的安全漏洞。以被掃描對象分類，漏洞掃描主要可分為基于網絡與基于主機的安全漏洞掃描技術。

2.2.1 基于網絡的安全漏洞掃描技術

基于網絡的安全漏洞掃描技術通過網絡掃描網絡設備、主機或系統中的安全漏洞與脆弱點。例如，通過掃描的方式獲知OpenSSL心臟出血漏洞是否存在?；诰W絡的安全漏洞掃描技術的優點包括：易操作性，掃描在執行過程中，無需目標網絡或系統主機Root管理員的參與；維護簡便，若目標網絡中的設備有調整或變化，只要網絡是連通的，就可以執行掃描任務。但是基于網絡的掃描也存在一些局限性：掃描無法直接訪問目標網絡或系統主機上的文件系統；其次，掃描活動不能突破網絡防火墻[3]。

2.2.2 基于主機的安全漏洞掃描技術

基于主機的安全漏洞掃描技術是通過以系統管理員權限登錄目標主機，記錄網絡或系統配置、規則等重要項目參數，通過獲取的信息與標準的系統安全配置庫進行比對，最終獲知系統的安全漏洞與風險。

基于主機的安全漏洞掃描技術的優點包括：可使用的規則多，掃描結果精準度高；網絡流量負載較小，不易被發現。該技術也存在一些局限性：首先，基于主機的安全漏洞掃描軟件或工具的價格昂貴；其次，基于主機的安全漏洞掃描軟件或工具首次部署的工作周期較長。

3 基于最小攻擊代價的網絡防御有效性分析策略

惡意攻擊總是以某一目標為導向，惡意攻擊者為了達到目標會選擇各種有效的手法對網絡進行攻擊。在復雜網絡環境下，如果可以盡可能大地提高惡意攻擊者的攻擊代價，則對應能達到提高有效防御的能力?；谶@個假設，這里展示一種在復雜網絡環境下分析攻擊有效性的策略，并依此計算從非安全區到目標區是否存在足夠小的攻擊代價，讓惡意攻擊可以獲取目標。如果存在，則可以被惡意攻擊利用的路徑將被計算出來；如果不存在，則證明從非安全區到目標區的安全防御能力是可以接受的。

以二元組的形式描述網絡拓撲圖[4][C，]其中節點是網絡中的各類設備，邊表示設備間的關聯關系。假設非安全區域為[Z，]目標區域為[D。]在網絡中，攻擊者如果能達到目標，必然至少存在一條從非安全區節點到目標節點[d]的通路[p，]且這條通路上的攻擊代價小于值[w。]其中，攻擊代價指攻擊者能夠利用攻擊工具、系統缺陷、脆弱性等信息，實現其對目標的入侵行為所付出的代價。直觀地，由于攻擊行為往往會因遇到安全設備和安全策略的阻攔，而導致其成功實現其攻擊目的的時間、精力甚至資金成本提高，攻擊者為達到其攻擊目標所付出的所有的行為成本即攻擊代價。

在圖[G]中，每一個節點[v]具有輸入權限[q]和獲利權限[q]（如表1所示）、本身的防護能力[pr]以及風險漏洞數L（L≥0）。攻擊者能力是指攻擊者通過輸入權限[q，]通過任意攻擊手段，在節點[v]上所能獲取的最高權限值（獲利權限）[q′。]直觀地，輸入權限代表攻擊者在對某節點進行攻擊前所擁有的權限，如Web服務器一般均具有匿名訪問權限；獲利權限代表攻擊者最終可以利用的系統權限。

最短攻擊路徑是從非安全區域[Z]中任意節點[z]到目標節點[d]所有攻擊路徑中，防護成功率最低的[Pr]所對應的路徑。最短攻擊路徑所對應耗費的攻擊代價為最小攻擊代價[4]，也是該網絡的防護能力有效性分值。

攻擊代價閾值：一旦攻擊者付出的攻擊代價超過其預期，攻擊者很大程度上將會停止使得攻擊代價超限的某一攻擊行為，轉而專注于攻擊代價較小的其他攻擊路徑。攻擊代價閾值即攻擊者為達到目標可接受的最大攻擊代價。如果防護能力有效性分值小于攻擊代價閾值，則說明攻擊目標可以達到。

攻擊代價閾值一般可以通過人工方式指定，本文采用德爾斐法，也被稱為專家咨詢法的方式來確定。經過專家分析和評判，將攻擊代價閾值設定為[t，]當攻擊路徑防護能力小于[t]即認為攻擊者會完成攻擊行為并能成功實施攻擊行為。

4 網絡防御有效性分析應用

假設在電網企業復雜網絡環境場景下存在一類新型的APT攻擊，網絡中使用兩種策略A，B進行攻擊防御。策略A采用了現有的隔離與防御技術，策略B是在現有基礎上增加應用了APT防御技術。計算兩類策略下的最小攻擊代價，并進而對APT防護效果進行分析。

4.1 策略選取

4.1.1 策略A

圖1為一個簡化的復雜網絡環境實例拓撲，其中DMZ區部署的Web服務器為內、外網用戶提供Web服務，電網地市局局域網的內部用戶不允許與外網直接連接，限網。各安全域之間具體訪問控制策略如下：

（1） 只允許地市局局域網用戶訪問DMZ區Host2（H2）上的IIS Web服務和Host3（H3）上的Tomcat服務；

（2） DMZ 區的H2 允許訪問H3上的Tomcat服務和IDC區Host4（H4）上的Oracle DB服務；

（3） 禁止H2和H3訪問Domino服務器Host5（H5）；

（4） H5允許訪問DMZ的H2和H3及IDC區的H4。

4.2 效果分析

通過上述計算結果表明，在應用策略A與B情況下，局域網用戶到DMZ區域目標主機存在的攻擊路徑的防護有效性分值分別是（0.3，0.3，0.51）與（0.93， 0.93，0.979）。在策略A的情況下，通過DMZ區的H2為跳板，攻擊IDC的目標主機H4，最短攻擊路徑的防護有效性分值只有0.51，說明局域網內的攻擊者能在花費較小代價的情況下，輕易地獲取內網DMZ或IDC服務器的系統權限，從而造成較大的危害。而增加APT防護設備之后，通過DMZ區的H2為跳板，攻擊IDC的目標主機H4，防護有效性分值提升為0.979，其他攻擊路徑的防護有效性也有明顯提高。

策略A與策略B的對比結果表明，在DMZ區域有APT防護技術情況下，網絡環境下整體的隔離與防御能力得到了明顯提升，從而驗證了隔離與防御新技術的防護效果。

5 結 語

在新形勢、新技術下，我國電網企業網絡信息安全仍面臨著嚴峻的挑戰，應當高度重視網絡信息安全工作，不斷發展完善信息安全防御新技術，改善網絡信息安全的水平。單純使用某種防御技術，往往已無法應對快速變化的安全防御需求，只有綜合運用各種新型的攻防技術，分析其關聯結果，并通過網內、網間各類安全設備、安全措施的互相配合，才能最終建立健全網絡信息安全防范體系，最大限度減少惡意入侵的威脅，保障企業應用的安全、穩定運行。

參考文獻

[1] 高子坤，楊海洲，王江濤.計算機網絡信息安全及防護策略分析[J].科技研究，2014，11（2）：155?157.

[2] 彭曉明.應對飛速發展的計算機網絡的安全技術探索[J].硅谷，2014，15（11）：86?87.

[3] 范海峰.基于漏洞掃描技術的網絡安全評估方法研究[J].網絡安全技術與應用，2012，8（6）：9?11.

[4] 吳迪，馮登國，連一峰，等.一種給定脆弱性環境下的安全措施效用評估模型[J].軟件學報，2012，23（7）：1880?1898.

篇4

【關鍵詞】計算機網絡；信息安全；攻擊方式；應對策略

一、當前網絡信息面臨的安全威脅

1、軟件本身的脆弱性。各種系統軟件、應用軟件隨著規模不斷擴大，自身也變得愈加復雜，只要有軟件，就有可能存在安全漏洞，如Windows、Unix、XP等操作系統都或多或少的漏洞，即使不斷打補丁和修補漏洞，又會不斷涌現出新的漏洞，使軟件本身帶有脆弱性。2、協議安全的脆弱性。運行中的計算機都是建立在各種通信協議基礎之上的，但由于互聯網設計的初衷只是很單純的想要實現信息與數據的共享，缺乏對信息安全的構思，同時協議的復雜性、開放性，以及設計時缺少認證與加密的保障，使網絡安全存在先天性的不足。3、人員因素。由于網絡管理人員和用戶自身管理意識的薄弱，以及用戶在網絡配置時知識與技能的欠缺，造成配制時操作不當，從而導致安全漏洞的出現，使信息安全得不到很好的保障。4、計算機病毒。當計算機在正常運行時，插入的計算機病毒就像生物病毒一樣，進行自我復制、繁殖，相互傳染，迅速蔓延，導致程序無法正常運行下去，從而使信息安全受到威脅，如“熊貓燒香病毒”

二、常見網絡攻擊方式

1、網絡鏈路層。MAC地址欺騙：本機的MAC地址被篡改為其他機器的MAC地址。ARP欺騙：篡改IPH和MAC地址之間的映射關系，將數據包發送給了攻擊者的主機而不是正確的主機。2、網絡層。IP地址欺騙：是通過偽造數據包包頭，使顯示的信息源不是實際的來源，就像這個數據包是從另一臺計算機上發送的。以及淚滴攻擊、ICMP攻擊和RIP路由欺騙。3、傳輸層。TCP初始化序號預測：通過預測初始號來偽造TCP數據包。以及TCP端口掃描、land攻擊、TCP會話劫持、RST和FIN攻擊。4、應用層。DNS欺騙：域名服務器被攻擊者冒充，并將用戶查詢的IP地址篡改為攻擊者的IP地址，使用戶在上網時看到的是攻擊者的網頁，而不是自己真正想要瀏覽的頁面。以及電子郵件攻擊和緩沖區溢出攻擊。5、特洛伊木馬。特洛伊木馬病毒是當前較為流行的病毒,和一般病毒相比大有不同，它不會刻意感染其他文件同時也不會自我繁殖，主要通過自身偽裝，從而吸引用戶下載，進而使用戶門戶被病毒施種者打開，達到任意破壞、竊取用戶的文件，更有甚者去操控用戶的機子。6、拒絕服務攻擊。有兩種表現形式：一是為阻止接收新的請求，逼迫使服務器緩沖區滿；另一種是利用IP地進行欺騙，逼迫服務器對合法用戶的連接進行復位，從而影響用戶的正常連接。

三、網絡安全采取的主要措施

1、防火墻。是網絡安全的第一道門戶，可實現內部網和外部不可信任網絡之間，或者內部網不同網絡安全區域之間的隔離與訪問控制，保證網絡系統及網絡服務的可用性。2、虛擬專用網技術。一個完整的VPN技術方案包括VPN隧道技術、密碼技術和服務質量保證技術。先建立一個隧道，在數據傳輸時再利用加密技術對其進行加密，使數據的私有性和安全性得到保障。3、訪問控制技術。是機制與策略的結合，允許對限定資源的授權訪問，同時可保護資源，阻止某些無權訪問資源的用戶進行偶然或惡意的訪問。4、入侵檢測技術。是指盡最大可能對入侵者企圖控制網絡資源或系統的監視或阻止，是用于檢測系統的完整性、可用性以及機密性等方式的一種安全技術，同時也是一種發現入侵者攻擊以及用戶濫用特權的方法。5、數據加密技術。目前最常用的有對稱加密和非對稱加密技術。使用數字方法來重新組織數據[2]，使得除了合法使用者外，任何其他人想要恢復原先的“消息”是非常困難的。6、身份認證技術。主要有基于密碼和生物特征的身份認證技術。其實質是被認證方的一些信息，如果不是自己，任何人不能造假。四、總結網絡信息安全是一個不斷變化、快速更新的領域，導致人們面對的信息安全問題不斷變化，攻擊者的攻擊手段也層出不窮，所以綜合運用各種安全高效的防護措施是至關重要的。為了網絡信息的安全，降低黑客入侵的風險，我們必須嚴陣以待，采取各種應對策略，集眾家之所長，相互配合，從而建立起穩固牢靠的網絡安全體系。

參考文獻

[1]王致.訪問控制技術與策略[N].網絡世界，2001-07-23035.

[2]馬備，沈峰.計算機網絡的保密管理研究[J].河南公安高等?？茖W校學報，2001，05:22-29.

[3]衷奇.計算機網絡信息安全及應對策略研究[D].南昌大學,2010.

篇5

【關鍵詞】客運專線；CTC網絡安全防御系統；功能研究

1引言

CTC又名分散自律調度系統，該系統的功能主要是確保列車安全正常地行駛，調度生產業務系統。這一系統具有2大特點，即獨立成網及封閉運行，并且其主要組件并不強大[1]?？瓦\專線的行車安全主要在于系統的保密性、完整性、可用性3點，按照我國等級保護防御區劃分原則和信息系統的功能、安全性能等標準，客運專線CTC系統必須具備防火墻、入侵檢測、動態口令、安全漏洞、SAV網絡病毒防護5個安全系統。

2防火墻及入侵檢測系統

CTC的安全防御系統中，防火墻和入侵檢測系統屬于基本安全設施，這對于構建安全密實的網絡系統十分必要。防火墻的功能是過濾數據包，對鏈接狀態進行檢查，并檢查入侵的行為和會話。防火墻按照用戶定義對一些數據實行允許進入或阻攔，以確保內部網絡設備及系統不會遭受非法攻擊，從而影響訪問。此外，可以實現每個通過防火墻的鏈接都可以快速地建立對應的狀態表。如果鏈接異常，會話遭到威脅或攻擊后，防火墻可以很快地阻斷非法鏈接。通過入侵行為的特點，入侵系統可以及時地對每一個數據包進行認真檢查，如果數據包對系統存在攻擊性，入侵檢測系統必須及時斷開這一鏈接，并且由管理人員定義的處理系統會盡快獲取幕后攻擊者的詳細信息，同時，為要得到處理的事件提供對應數據。CTC網絡的結構性質為雙通道冗余結構，CTC中心和沿線的各個車站數量龐大，并且有著海量的數據流量，業務連接安全性要求很高，CTC中心和沿線車站的各個接口都安置了4臺中心防火墻，每網段安置2臺；CTC中心和其他系統接口各安置2臺防火墻，采用透明模式進行接入。客運專線CTC系統防火墻詳見圖1。

3安全漏洞評估

安全漏洞的評估系統是一個漏洞及風險評估的有效工具，主要用來對網絡的安全漏洞進行發現、報告以及挖掘，主要作用是對目標網絡設備安全漏洞實行檢測，并提出具體檢測報告以及安全可行的漏洞解決方案，使系統管理員可以提前修補可能引發黑客進入的多個網絡安全漏洞，避免黑客入侵帶來損失?？瓦\專線CTC系統中心完整地部署了一整套安全漏洞評估系統，基于全面以及多角度的網絡關鍵服務器漏洞分析的評估基礎，確保CTC以及TDCS等系統安全運行。還能對黑客的進攻方式進行模擬，并提交相應的風險評估報告，提出對應的整改措施。預防性的安全檢查暴露了目前網絡系統存在的安全隱患，對此必須實行相應的整改，最大程度地降低網絡的運行風險。漏洞評估組需要在網絡安全集中管理平臺下實現統一監測，并且匯總漏洞威脅時間，結合實際情況及設施制定相應的安全策略。當前存在的安全漏洞掃描一定要從技術底層實現有效劃分，分別對主機及網絡漏洞進行掃描。主機漏洞評估EVP，針對文件權限、屬性、登錄設置的值和使用者賬號等使用主機型漏洞評估掃描器進行評估。網絡型漏洞掃描器NSS，在網絡漏洞基礎上的評估掃描器采用黑客入侵觀點，自動對網上系統和服務實行掃描，對一般性的入侵和具體入侵場景實行真實模擬，最重要的是測試網絡基礎設施的安全漏洞，會提供相應的修補漏洞意見，掃描圖形視圖的完整顯示過程，掃描相應漏洞而且對漏洞的出現原因進行查找，提供具有實際執行可行性的管理報告，針對多個系統實施掃描。

4反病毒網絡系統

根據病毒具有的特征以及多層保護需求，客運專線CTC系統必須要統一、集中監控、多面防護，正對整體以及全面反病毒系統實現積極有效的安排，并融合各層面，覆蓋CTC中心、下屬車站等。并且還要在客運專線的中心部署2臺SAV反病毒服務器，二者相互輔助。對服務器設備和車站終端等實施統一的SAV客戶端，并且對網絡內存的所有病毒實行統管理、分析，監控、查殺[2]。以整體反病毒解決方案為依據，網絡反病毒系統的部署具體要從下面幾項開展，多操作系統的服務器、反病毒軟件、集中監管的多個系統。

5動態口令

身份認證屬于安全防御線的第一道保護。我國的CTC安全建設在最初的使用中運用的是靜態密碼認證，每一系統和設備都具備自身的專屬密碼，管理很不方便。大量的管理和維護導致操作人員難以實現方便快捷的使用，因此，出于使用便利，會將設備密碼設置為統一密碼，系統內各種網絡設備和服務器的密碼基本上人人都知道；另外，靜態口令極易被人猜出、截獲、破解，黑客可以通過對密碼的猜測或使用成熟破譯軟件破解用戶口令，導致CTC面臨極大的隱患。在CTC系統網絡中，對CTC系統中心設置相應的動態口令，隨后客戶端認證請求會自動地分配到認證服務器，該模式充分降低了服務器的工作負荷，提升了系統性能。身份證的依據和訪問控制組能通過網絡安全集中管理平臺發揮監測、報警等功能。安全策略的集中配備，對安全事件進行統一響應，并且充分實現分層、統一用戶管理、訪問認證授權AAA等策略。動態口令身份認證在AAA認證中的功能為雙因素認證，有效解決了靜態口令存在的多種問題，提升了系統的安全性。客運專線CTC系統運用動態口令后，實現了對整個網絡、運用和主機等的統一覆蓋，實現了安全的身份認證控制訪問組件，統一身份認證和授權統一，同時還提供了集中身份認證等，通過授權嚴格對多個訪問資源權限實施限制。

6結語

目前，客運專線CTC中心網絡運用安全，正處于建立知識信息安全系統和確保信息化的重要階段，在這一進程的后期階段還要滿足國家等級保護政策需求，對縱深防護體系進行深入研究，確保鐵路運輸生產業務順利開展，充分實現鐵路信息化運行，將鐵路運行的安全性實現提升。

【參考文獻】

【1】戴啟元.客運專線CTC系統網絡安全設計[J].鐵道通信信號,2010,46(4):66-68.

篇6

關鍵詞：黑客；攻擊；防范；計算機；掃描

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2013）17-3953-02

凡事都具有兩面性，有利有弊。internet就是典型的有利有弊的事物。internet改變了人們的生活，改變了世界，讓世界變小，讓人們的地理距離變近。方便了人們的生活，人們足不出戶就能辦理眾多業務，能夠買到衣服，也能交水費、電費、手機費等。大大節約了人們的時間，也節約了很多成本。這是internet有利的一面。同時internet還存在弊端的一面，就是安全系數不夠高，容易被一些不法分子利用，讓網上交易存在一定的風險。如果電子郵件被截，就會泄露重要的商業信息；如果購物時的交易信息被截，就會導致金錢的損失。為了盡量避免損失，人們也在研究黑客攻擊的手段，也在做一些防范措施。該文就針對黑客攻擊的手段以及應該怎樣防范進行闡述。

1 黑客的概念

熟悉網絡的人都了解hacker這個詞，甚至一些不經常使用計算機的人也多少對黑客有一些了解。對于hacker的定義，應該分為兩個階段，前一個階段對黑客應該定義為：計算機領域的探索者，追求計算機的最大性能的發揮，是人類智慧與計算機的較量。從感彩來說，這個階段的hacker是值得稱贊的，是計算機不懈努力的探索者。但是經過internet的發展，一些人利用黑客技術達到一些不良的目的，于是隨著網絡的復雜化，黑客變成了人人避之不及的一類人群。

現在的黑客定義為：利用一些手段非法竊取別人計算機的重要信息，達到控制計算機的目的。一旦計算機被黑客控制，信息被外露，就會給計算機的使用者帶來損失，或者是專業知識或者是金錢。

2 黑客攻擊的手段

2.1通過計算機漏洞進行攻擊

黑客攻擊計算機的主要途徑是通過系統漏洞。每個計算機或多或少都存在一些安全隱患，一些安全隱患是由于系統性能的不完備造成的，也就是先天存在的隱患。對于這些漏洞，計算機的使用者無法彌補。還有一種情況就是計算機的使用者后期造成的，在使用計算機的過程中不及時安裝補丁，給黑客以可乘之機。利用公開的工具：象Internet的電子安全掃描程序IIS、審計網絡用的安全分析工具SATAN等這樣的工具，可以對整個網絡或子網進行掃描，尋找安全漏洞通過系統的漏洞，黑客就能輕松進入電腦，獲取一些重要信息，達到控制計算機的目的。有些黑客是通過掃描器來發現目標計算機的漏洞的。

掃描原理：

1）全TCP連接

2）SYN掃描（半打開式掃描）

發送SYN，遠端端口開放，則回應SYN=1，ACK=1，本地發送RST給遠端，拒絕連接

發送SYN，遠端端口未開放，回應RST

3）FIN掃描（秘密掃描）

本地發送FIN=1，遠端端口開放，丟棄此包，不回應

本地發送FIN=1，遠端端口未開放，返回一個RST包

2.2通過專門的木馬程序侵入電腦

除了利用計算機的漏洞之外，黑客還可以通過專門的木馬程序對計算機進行攻擊。現在用戶使用計算機大部分聯網的，隨著internet功能的不斷完善，用戶在internet上可以閱讀，可以購物，可以看視頻，這些開放的端口就給黑客提供了機會。黑客會利用用來查閱網絡系統的路由器的路由表，了解目標主機所在網絡的拓撲結構及其內部細節的snmp協議，能夠用該程序獲得到達目標主機所要經過的網絡數和路由器數的traceroute程序。

2.3利用一些管理工具進行大面積攻擊

在辦公區域或者學校等會使用局域網，在這些區域網中，會有管理者。管理者為了方便管理，會在區域網內安裝網絡監測器。網絡監測器的初衷是為了便于管理者的管理，提高局域網內計算機的安全系數。但是如果網絡監測器被黑客利用，就會造成嚴重的后果。黑客掌握了網絡監測器的信息后，就能控制主機，通過控制主機，再去控制局域網內的其他機器。通過網絡監測器，黑客就能輕而易舉地控制多臺機器，截獲大量重要信息甚至商業機密。現在計算機雖然很普遍，使用的人數也在逐年增多，但是人們對計算機的安全性能不是很少了解，很多用戶在使用計算機時都不設置密碼，讓黑客很容易就能進入。

3 遭到黑客攻擊的危害

提高黑客，計算機的使用者很頭疼，都害怕侵入自己的計算機。之所以人們會害怕黑客，是因為黑客的攻擊會給人們造成很大的損失。一個損失就是計算機的癱瘓。在遭受到黑客的攻擊之后，計算機無法正常使用，速度或者性能都大大下降。嚴重影響工作效率。另一個損失就是機密材料被竊取。很多人都把自己的資料存儲到計算機中，因為這樣方便使用和管理。但是一旦被黑客控制，就面臨機密資料的泄密，給公司或者個人都會造成重大的損失。黑客攻擊還會造成的損失就是錢財的損失。為了節約時間，很多人會在網上購物、交費等，網上交易時會涉及到銀行卡以及個人賬戶的用戶名和密碼，如果信息被黑客控制，會造成金錢上的損失。正因為黑客攻擊會給計算機的使用者造成過大或過小的損失，計算機的使用者應該加強防范，盡量避免遭受黑客的攻擊，盡量降低自己的損失。對黑客的防范，大多數計算機的使用者不了解專門的工具或者比較專業的防范措施，只能從身邊最簡單、最常用的做起。

4 防范黑客攻擊的方法

4.1每天為計算機體檢，采用專業技術避免入侵

黑客是具有高超的計算機技術的，而一般的計算機使用者沒有過多的專業知識，因此，計算機使用者在和黑客的斗爭中并不占優勢。只能做一些力所能及的事情。最常用的防范措施就是每天體檢，殺毒。每個計算機上都會裝有殺毒軟件，要充分利用這些殺毒軟件，將有可能入侵的木馬程序攔截，將已經如今的病毒殺死。做到每天體驗，及時修復系統漏洞，這樣受到黑客攻擊的概率就會小很多了。另外，還可以采用專業技術，來避免黑客的入侵。例如為了保護氣象行政許可專門設計的系統，基于.NET技術，采用功能模塊化的管理，將功能模塊的權限授予使用者，權限使用Session驗證，系統將數據邏輯都寫在程序代碼中，數據庫采用SQL Server 2005。

4.2檢查端口，及時停止黑客的攻擊

除了每天體檢外，計算機的使用者還應該經常檢查計算機的端口，看看是否有自己沒使用的，如果有程序是自己沒使用的，就說明存在了外來程序，要及時阻斷這些程序對計算機的入侵，可以馬上殺毒，或者斷掉與internet的連接，沒有了網絡，黑客就不能繼續控制電腦了。網絡連接斷開后，對計算機進行徹底清理，所有的黑客程序都清理掉，再重新上網。另外要注意，盡量減少開放的端口，像木馬Doly 、trojan、Invisible FTP容易進入的2l端口，（如果不架設FTP，建議關掉它）。23端門、25端口、135端口（防止沖擊波）。137端口，139端口。3389端口，4899端口、8080端口等，為了防止黑客，還不影響我們上網，只開放80端口就行了，如果還需要上pop再開放l09、1l0。，不常用的或者幾乎不用的全部關掉，不給黑客攻擊提供機會。

4.3加強防范，不隨便安裝不熟悉的軟件

對于經常使用計算機的人，面臨黑客攻擊的概率也比較高。防范黑客攻擊的有效方法就是加強警惕，不隨便安裝不熟悉的軟件。當瀏覽網頁時，盡量不打開沒有經過網絡驗證的網頁，這樣的網頁存在著很大的風險。另外，在使用某些工具時，不安裝網頁上提醒的一些附加功能。這些附加功能存在的風險也比較高。比如安裝下載工具就下載，不安裝此軟件具有的其他看電影或者玩游戲的功能，這樣就能大大降低受到黑客攻擊的風險。如果已經確定受到黑客的攻擊，要及時斷掉與internet的連接，將自己的重要信息轉移或者對計算機的信息進行更改，讓黑客無法繼續控制計算機，將自己的損失降到最小。

5 結論

internet雖然存在弊端，但是帶給人們生活的更多的是便利。internet技術在目前還不是很成熟，存在著很多漏洞，所以才被黑客利用。相信隨著internet的發展，internet的安全技術也會得到很大的提升。internet的安全技術提升了，計算機的使用者就不容易遭受黑客的攻擊了。相信在不久的將來，internet的運行環境會很安全，人們將會更安心地使用internet。

參考文獻：

[1] 李振汕.黑客攻擊與防范方法研究[J].網絡安全技術與應用，2008（01）：5-11.

[2] 張寧.淺談黑客攻擊與防范[J].科技信息.2009（11）：15-18.

[3] 周忠保.黑客攻擊與防范[J].家庭電子，2004（05）：52.

[4] 蔣建春，黃菁，卿斯漢.黑客攻擊機制與防范[J].計算機工程.2002（7）：13.

[5] 羅艷梅.淺談黑客攻擊與防范技術[J].網絡安全技術與應用.2009（2）：26-27.

[6] 張艾斌.淺談黑客的攻擊與防范[J].中國科技博覽.2011（33）：33-36.

篇7

關鍵詞：網絡攻擊、密碼、后門、漏洞、防火墻

互聯網發展至今，在人們的生產、學習和生活中以及在國家的政治、經濟、文化生活中的作用，已顯得十分突出，全社會對互聯網的依賴程度也越來越高。同時也出現了一些不可忽視的問題，有人利用互聯網故意制作、傳播計算機病毒等破壞性程序，攻擊計算機系統及通信網絡，危害網絡運行安全，其中黑客攻擊是最令廣大網民頭痛的事情，它是計算機網絡安全的主要威脅。下面著重分析黑客進行網絡攻擊的幾種常見手法及其防范措施。

1、利用網絡系統漏洞進行攻擊

許多網絡系統都存在著這樣那樣的漏洞，這些漏洞有可能是系統本身所有的，如WindowsNT、UNIX等都有數量不等的漏洞，也有可能是由于網管的疏忽而造成的。黑客利用這些漏洞就能完成密碼探測、系統入侵等攻擊。

對于系統本身的漏洞，可以安裝軟件補丁；另外網管員也需要仔細工作，盡量避免因疏忽而使他人有機可乘。

2、解密攻擊

在互聯網上，使用密碼是最常見并且最重要的安全保護方法，用戶時時刻刻都需要輸入密碼進行身份校驗。而現在的密碼保護手段大都認密碼不認人，只要有密碼，系統就會認為你是經過授權的正常用戶，因此，取得密碼也是黑客進行攻擊的一重要手法。

取得密碼也還有好幾種方法，一種是對網絡上的數據進行監聽。因為系統在進行密碼校驗時，用戶輸入的密碼需要從用戶端傳送到服務器端，而黑客就能在兩端之間進行數據監聽。

但一般系統在傳送密碼時都進行了加密處理，即黑客所得到的數據中不會存在明文的密碼，這給黑客進行破解又提了一道難題。這種手法一般運用于局域網，一旦成功攻擊者將會得到很大的操作權益。另一種解密方法就是使用窮舉法對已知用戶名的密碼進行暴力解密。這種解密軟件對嘗試所有可能字符所組成的密碼，但這項工作十分地費時，不過如果用戶的密碼設置得比較簡單，如“123456”、“ABCD”等，那有可能只需一眨眼的功夫就可搞定。

為了防止受到這種攻擊的危害，用戶在進行密碼設置時一定要將其設置得復雜，也可使用多層密碼，或者變換思路使用中文密碼，千萬不要以自己的生日和電話號碼甚至姓名作為密碼，因為一些密碼破解軟件可以讓破解者輸入與被破解用戶相關的信息，如身份證號碼、電話號碼以及生日等，然后對這些數據構成的密碼進行優先嘗試。另外應該經常更換密碼，這樣使其被破解的可能性又下降了不少。

3、通過電子郵件進行攻擊

電子郵件是互聯網上運用得十分廣泛的一種通訊方式。黑客可以使用一些郵件炸彈軟件或CGI程序向目的郵箱發送大量內容重復、無用的垃圾郵件，從而使目的郵箱被撐爆而無法使用。當垃圾郵件的發送流量特別大時，還有可能造成郵件系統對于正常的工作反映緩慢，甚至癱瘓，這一點和后面要講到的“拒絕服務攻擊（DDoS）比較相似。

對于遭受此類攻擊的郵箱，可以使用一些垃圾郵件清除軟件來解決，其中常見的有SpamEater、Spamkiller等，另外Outlook、Foxmail等郵件收發軟件同樣也能達到此目的。

4、拒絕服務攻擊

互聯網上許多大網站都遭受過此類攻擊。實施拒絕服務攻擊（DDoS）的難度比較小，但它的破壞性卻很大。它的具體手法就是向目的服務器發送大量的數據包，幾乎占取該服務器所有的網絡寬帶，從而使其無法對正常的服務請求進行處理，而導致網站無法進入、網站響應速度大大降低或服務器癱瘓。

現在常見的蠕蟲病毒或與其同類的病毒都可以對服務器進行拒絕服務攻擊的進攻。它們的繁殖能力極強，一般通過Microsoft的Outlook軟件向眾多郵箱發出帶有病毒的郵件，而使郵件服務器無法承擔如此龐大的數據處理量而癱瘓。

對于個人上網用戶而言，也有可能遭到大量數據包的攻擊使其無法進行正常的網絡操作，所以大家在上網時一定要安裝好防火墻軟件，同時也可以安裝一些可以隱藏IP地址的程序，怎樣能大大降低受到攻擊的可能性。

5、后門軟件攻擊

后門軟件攻擊是互聯網上比較多的一種攻擊手法。Back Orifice2000、冰河等都是比較著名的特洛伊木馬，它們可以非法地取得用戶電腦的超級用戶級權利，可以對其進行完全的控制，除了可以進行文件操作外，同時也可以進行對方桌面抓圖、取得密碼等操作。

這些后門軟件分為服務器端和用戶端，當黑客進行攻擊時，會使用用戶端程序登陸上已安裝好服務器端程序的電腦，這些服務器端程序都比較小，一般會隨附帶于某些軟件上。有可能當用戶下載了一個小游戲并運行時，后門軟件的服務器端就安裝完成了，而且大部分后門軟件的重生能力比較強，給用戶進行清除造成一定的麻煩。

當在網上下載數據時，一定要在其運行之前進行病毒掃描，并使用一定的反編譯軟件，查看來源數據是否有其他可疑的應用程序，從而杜絕這些后門軟件。

參考文獻：

[1]《信息網絡安全概論》，周良洪 編著，群眾出版社

[2]《計算機安全技術及應用》，邵波 編著，電子工業出版社

篇8

關鍵詞：網絡信息安全；黑客入侵；防范管理

中圖分類號：F22 文獻標識碼：A

公路信息系統是一項龐大的系統工程，是實現公路管理信息化、決策科學化的重要基礎，涉及到公路管理的各個方面，應按照高起點、高標準、先進實用的方針進行建設，努力提升管理和服務效能。首先，公路管理信息化應當成為管理公路信息資源的工具，解決所管養公路基礎數據的信息化管理問題。這些信息應能同步在電子地圖上顯示，構建可視化的電子公路，使宏觀決策、行業管理等工作更方便、快捷。其次，公路管理信息化應當成為向公眾提供信息服務的手段。通過信息化建設，向社會公眾提供人性化的出行信息。這既是新形勢對公路管理部門提出的新要求，更是體現行業服務理念，樹立行業社會形象的重要措施。第三，公路管理信息化應當成為提高決策水平和工作效率的工具。公路管理工作的許多決策以數據為基礎。傳統的方式往往根據經驗和上報情況為主進行決策，工作效率和決策科學化水平均有大幅提高的余地。因此，應開發與日常業務緊密相關的信息管理系統，全面提高公路管理的現代化水平。加快公路信息化建設，是適應經濟和社會發展的必然要求，是建設服務型公路行業的重要內容，是實現公路管理現代化的必由之路。筆者就宣城市公路局加強公路信息化基礎設施建設情況，對如何加快公路信息化建設作一些思考。

1 計算機網絡信息安全的概念

簡單的說，網絡通信安全性就是保護用戶在網絡上的程序、數據或者設備免遭別人在非授權情況下使用或訪問。其內容可以理解為我們常說的信息安全，是指對信息的保密項、完整性和可用性的保護，因此，網絡通信安全應包括兩個方面：一是網絡用戶資源不被濫用和破壞；二是網絡自身的安全和可靠性。而網絡通信安全的含義是對信息安全的引申，即網絡通信安全是對網絡信息保密性、完整性可可用性的保護。

2網絡攻擊的特點

2.1攻擊快速，手段多樣且日益趨向智能化

最初，網絡上的攻擊者通常用監視他人的上網數據或用非法手段直接截取他人帳號和口令進入別人的計算機系統，以獲取他人計算機上的資料和信息。然而，隨著計算機科技的迅速發展，近幾年來攻擊者用來進行網絡攻擊的工具逐漸的智能化。以前，安全漏洞只在廣泛的掃描完成后才被加以利用，而現在攻擊者利用這些安全漏洞作為掃描活動的一部分，從而輕易的損害了脆弱的網絡計算機系統，加快了攻擊網絡計算機的速度。更有甚者，攻擊者使用分布式攻擊的方式管理和協調分布在許多互聯網系統上的大量已部署的攻擊工具，進而大規模的發動拒絕服務的網絡攻擊，掃描分布在互聯網上的受害者，攻擊他們的計算機系統。

2.2攻擊工具復雜，主要以軟件攻擊為主

一般攻擊工具具有三個特性，即：多變性、成熟性和隱蔽性。多變性是指攻擊工具可以根據隨即選擇、預先定義的決策路徑或者通過入侵者直接管理，來不斷變化它們的模式和行為；而不像以前那樣總是以單一確定的順序執行攻擊步驟。成熟性是指攻擊工具可以通過軟件升級或更換部分軟件功能的方式來發動迅速變化的攻擊，而且會出現多種攻擊工具同時運行的情況。隱蔽性是指攻擊性工具以任何一種形式出現在任何一種可執行的程序中并且在任何一種操作系統中運行。幾乎所有的網絡入侵都是通過對軟件的截取和攻擊從而破壞整個計算機系統的，這一方面也導致了計算機犯罪的隱蔽性。

2.3系統安全漏洞驟增

據統計計算機系統的安全漏洞每一年都成雙倍遞增的趨勢在增長，而且越來越多的新的難以修補的漏洞不斷增加并且攻擊者會在計算機管理者修補這些漏洞之前就對系統進行攻擊。

2.4攻擊者對防火墻的肆意入侵

防火墻的概念來自于消防，在消防中防火墻用于隔離火災區與安全區。對于計算機系統而言，防火墻的功能類似于單位的保安系統，計算機防火墻的功能在于保護局域網中的計算機免遭黑客入侵，保護局域網中的敏感數據和重要文件不被非法讀取、竊取或者破壞。防火墻是抵御入侵者最主要也是最基本的防范管理。但是越來越多的攻擊技術可以繞過防火墻，例如，IPP（Internet打印協議）和Web DAV（基于Web的分布式創作與翻譯）都可以被攻擊者利用來繞過防火墻。

3 網絡攻擊造成的破壞性

1989年全世界第一次計算機病毒高峰期到來，1996年針對微軟Office家族的宏病毒出現，1998年首例針對計算機硬件進行破壞的病毒CIH被發現，而后隨著因特網的傳播，1999年4月26日CIH病毒在我國大范圍爆發，造成大規模的破壞和不可估量的損失；1999年3月26日，首例通過因特網進行傳播的計算機病毒——美麗殺手面世；此后2001年針對Windows系統漏洞的“紅色代碼”“尼姆達”給全世界的網絡管理員提出了嚴峻的安全課題；2002年歲末，可以媲美CIH的硬盤殺手——Worm. OpaSoft.d蠕蟲病毒出現，該病毒可以利用系統漏洞進行傳播，該病毒在Symantec的安全警戒網中提示該病毒的傳播范圍相當寬，破壞力也相當的大。2003年1月25日，一種使全球互聯網趨于癱瘓的病毒——Win32_SQL1434病毒（又稱“SQL殺手”）驚現與因特網，其后的1月30日全球互聯網因為該病毒而大面積癱瘓和阻塞。

4 網絡通信安全的防范管理

4.1計算機終端用戶要做好基礎性的防護工作

即安裝正規的操作系統并打齊所有的補??；安裝干凈的辦公軟件，盡可能的減小系統被入侵的可能性；安裝好殺毒軟件，設置好時間段自動上網升級；設置好帳號和權限，設置的用戶盡可能的少，對用戶的權限盡可能的小，密碼設置要足夠強壯；將軟件防火墻的安全級別設置為最高，然后僅開放提供服務的端口，其他一律關閉，對于服務器上所有要訪問網絡的程序。

4.2定期掃描自己的系統，修補所有已知的漏洞

因為任何一個漏洞對系統來說都可能是致命的。網絡管理員要隨時了解黑客入侵他人系統所常用的手段和那些可以被利用的漏洞，并經常使用安全性高的掃描工具來檢測自己管理的服務器中是否存在這些漏洞。例如系X-scan，snamp，nbsi，PHP注入檢測工具等，或者是用當前比較流行的hacker入侵工具檢測自己的系統是否存在漏洞。

4.3服務器的遠程管理

謹慎使用server自帶的遠程終端，做好防護，防止被黑客利用。服務器管理者可以用證書策略來限制訪問者，給TS配置安全證書，任何客戶端訪問均需要安全證書，并限制能夠訪問服務器終端服務的IP地址。

4.4避免出現整個網絡配置中的薄弱環節

黑客會利用被控制的網絡中的一臺機器做跳板，進而對整個網絡進行滲透攻擊，所以安全的配置網絡中的機器也很必要。

4.5利用系統中的網絡工具對網絡進行監控

一般情況下我們可以從時間查看器中檢索到是否有黑客入侵的蛛絲馬跡。通過對網絡流量是否異常的監控可以發現系統中是否存在蠕蟲病毒或者是否有遭受"洪水"等攻擊的可能，并利用任務管理器終止那些不明進程，檢測出木馬程序并清除。

結語

網絡管理者是信息安全的運維者，要及時掌握足夠的信息安全知識，充分理解相關的安全技術，操作系統和應用軟件的安全性能，以便在系統或網絡一旦發生故障時，能夠迅速判斷出問題所在，給出解決方案，使網絡迅速恢復正常服務。而計算機使用者也要充實網絡通信安全知識，養成安全上網的好習慣。

參考文獻

[1]劉保成，王延風，陳曉燕.基于網絡的現代遠程教育系統的安全研究[J].電子世界，2013.

[2]周偉，張輝，劉孟軻.高校計算機網絡安全實驗課題研究[J].上海工程技術大學教育研究，2012.

[3]江鐵，匡慜.高校校園網安全策略探討[J].警官文苑，2011.