硬盤格式化是指對磁盤或磁盤中的分區進行初始化的一種操作,這種操作通常會導致現有的磁盤或分區中所有的文件被清除。格式化通常分為低級格式化和高級格式化。如果沒有特別指明,對硬盤的格式化通常是指高級格式化。磁盤格式化是在物理驅動器的所有數據區上寫零的操作過程,格式化是一種純物理操作,并且標記出不可讀和壞的扇區。由于大部分硬盤在出廠時已經格式化過,所以只有在產生錯誤時才需要進行格式化。
格式化分為物理格式化和邏輯格式化。物理格式化又稱低級格式化,是對磁盤的物理表面進行處理,在磁盤上建立標準的磁盤記錄格式,劃分磁道和扇區。邏輯格式化又稱高級格式化,是在磁盤上建立一個系統存儲區域。格式化才能使磁盤的結構能被操作系統認識。
格式化分兩個類型,第一個是對系統盤(默認為C盤)進行格式化,在正常開啟計算機進入操作系統后,是無法格式化系統盤的,只能在安裝操作系統過程中選擇是否格式化。
第二是對非系統盤(默認為D盤,E盤等)進行格式化,在進入操作系統后,只要在磁盤盤符上點擊右鍵選擇格式化即可,完畢后,磁盤內的內容就都沒有了,無法恢復。
DPI防護技術具備以下這些功能:
業務識別:一般而言,對于業務識別有兩種方法:一種是對運營商開通的合法業務,另外一種是運營商需要進行監管的業務。前者可以通過業務流的五元組來標識,如VOD業務,其業務流的地址是屬于VOD服務器網段的地址,其端口是一個固定的端口。系統一般采用ACL的方式,識別出該類業務。后者需要DPI技術,通過前述的業務識別方法,對IP數據分組的內容進行分析,通過特征字的查找或者業務的行為統計,得到業務流的類型。
業務控制:通過DPI技術識別出各類業務流后,根據網絡配置的組合條件,如用戶、時間、帶寬和歷史流量等,對業務流進行控制。控制方法包括:正常轉發、阻塞、限制帶寬、整形和重標記優先級等。為了便于業務的運營,業務控制策略一般集中配置在策略服務器中,用戶上線后動態下發。
業務統計:DPI的業務統計功能是為了直觀地統計網絡的業務流量分布和用戶的各種業務使用情況,從而更好地發現促進業務發展和影響網絡正常運營的因素,為網絡和業務優化提供依據。例如發掘對用戶有吸引力的業務,驗證業務提供水平是否達到了用戶的服務等級協議(SLA),統計分析出網絡中的攻擊流量占多少比例,多少用戶正在使用某種游戲業務,哪幾種業務最消耗網絡的帶寬和哪些用戶使用了非法VOIP等。
雙向負載檢測:深度檢測具有強大功能,能夠允許數據分組通過,拒絕數據分組,檢查或修改第4~7層數據分組,包括分組頭部或負載。HTTP深度檢測能夠查看到消息體中的URL、分組頭部和參數等信息。深度檢測防火墻能夠自動進行動態配置,以便正確檢測服務變量,如最大長度、隱藏字段和Radio按鈕等。如果請求的變量不匹配、不存在或者不正確,深度檢測防火墻會將請求丟棄掉,將該事件寫入日志、并向管理員發出警告信息。
行為模式識別:行為模式識別基于對終端已經實施的行為分析,判斷出用戶正在進行的動作或者即將實施的動作。行為模式識別技術通常用于無法根據協議判斷的業務的識別。例如,SPAM(垃圾郵件)業務流和- mail業務流從E-mail的內容上看是完全一致的,只有通過對用戶行為的分析,才能夠準確地識別出SPAM業務。
域名劫持是互聯網攻擊的一種方式,通過攻擊域名解析服務器(DNS),或偽造域名解析服務器(DNS)的方法,把目標網站域名解析到錯誤的地址從而實現用戶無法訪問目標網站的目的。域名劫持的危害:
域名被解析到其它地址,用戶無法正常訪問,網站流量受損。
通過泛解析生成大量子域名,共同指向其它地址(往往是惡意垃圾網站)。
域名被解析到惡意釣魚網站,導致用戶財產損失。
當域名被劫持后的內容干擾搜索結果時,為保障用戶的使用體驗和安全,百度搜索引擎會暫時關閉對域名的收錄和展示,待嚴格審核確認后才會再度放開。
DCS硬件系統各部分的基本功能如下:
工程師站:主要給儀表工程師使用,作為系統設計和維護的主要工具。儀表工程師可在工程師站上進行系統配置、I/O數據設定、報警和報表設計打印、操作畫面設計和控制算法設計等工作。一般每套系統配置一臺工程師站即可。工程師站可以通過網絡連入系統在線(On-Line)使用,比如在線進行算法仿真調試,也可以不連入系統離線(Off-Line)運行。基本上在系統投運后,工程師站就可以不再連入系統甚至不上電。
操作員站:主要由運行操作員使用,作為系統投運后日常值班操作的人機接口(Man-Machine Interface, MMI)設備使用。在操作員站上,操作人員可以監視工廠的運行狀況并進行少量必要的人工控制。每套系統按工藝流程的要求,可以配置多臺操作員站,每臺操作員站供一位操作員使用,監控不同的工藝過程,或者多人備份同時監控相同的工藝過程。有的操作員人機接口還需配置大屏幕(占一面墻)進行顯示。
系統服務器:一般每套DCS配置一臺或一對冗余的系統服務器。系統服務器的用途可以有很多種,各個廠家的定義可能有差別。總的來說,系統服務器可以用作系統級的過程實時數據庫,存儲系統中需要長期保存的過程數據;向企業管理信息系統提供單向的過程數據,此時為區別慢過程的MIS辦公信息,將安裝在服務器上的過程信息系統稱為RealMIS,即實時管理信息系統,因為它提供的是實時的工藝過程數據;作為DCS向其他系統提供通信接口服務并確保系統隔離和安全,如防火墻(FireWall)功能。
主控制器:主控制器是DCS中各個現場控制站的中央處理單元,是DCS的核心設備。在一套DCS應用系統中,根據危險分散的原則,按照工藝過程的相對獨立性,每個典型的工藝段應配置一對冗余的主控制器,主控制器在設定的控制周期下,循環執行以下任務:從I/O設備采集現場數據→執行控制邏輯運算→向輸出設備輸出控制指令→與操作員站進行數據交換。
輸入/輸出設備:用于采集現場信號或輸出控制信號,主要包含模擬量輸入(Analog Input, AI)設備、模擬量輸出(Analog Output,AO)設備、開關量輸入(Digital Input,DI)設備、開關量輸出(Digital Output, DO)設備、脈沖量輸入(Pulse Input,PI)設備以及一些其他的混合信號類型I/O設備或特殊I/O設備。
控制網絡及設備:控制網絡用于將主控制器與I/O設備連接起來,其主要設備包括通信線纜(即通信介質)、重復器、終端匹配器、通信介質轉換器、通信協議轉換器及其他特殊功能的網絡設備。
系統網絡及設備:系統網絡用于將操作員站、工程師站、系統服務器等操作層設備和控制層的主控制器連接起來。組成系統網絡的主要設備有網絡接口卡、集線器(或交換機)、路由器和通信線纜等。后續章節將詳細敘述。
電源轉換設備:主要為系統提供電源,主要設備包含AC-DC轉換器、雙路AC切換裝置(僅在某些場合使用)和不間斷電源(UPS)等。
機柜和操作臺:機柜用于安裝主控制器、I/O設備、網絡設備以及電源裝置。操作臺用于安裝操作員站設備。
漏洞掃描屬于主動防御。通過專用工具掃描手段對指定的遠程或者本地的網絡設備、主機、數據庫、操作系統、中間件、業務系統等進行脆弱性評估,發現安全漏洞。漏洞掃描服務可以為客戶提供包括網絡設備、操作系統、數據庫、常見應用服務器以及WEB應用等范圍的掃描。
漏洞掃描服務實施過程:
準備階段:前期技術交流包括相關安全掃描技術、掃描原理、掃描方式及掃描條件進行交流和說明;同時商談安全漏洞掃描服務的范圍,主要是哪些主機,網絡設備,應用系統等;并結合實際業務情況需求,確定掃描范圍,掃描實施的時間,設備接入點,IP地址的預留,配合人員及其他相關的整體漏掃方案。
掃描過程:依據前期準備階段的漏掃方案,進行漏洞掃描、漏洞分析和漏洞測試,掃描過程主要是進行范圍內的漏洞信息數據收集,為下一步的報告撰寫提供依據和數據來源。漏洞掃描,采用漏洞掃描工具進行范圍內的安全掃描。漏洞分析,主要是對掃描結果進行分析,結合掃描結果和實際客戶系統狀況,進行安全分析。漏洞驗證,對部分需要人工確定和安全分析的漏洞,進行手工測試,以確定其準確性和風險性。
報告與匯報:這個階段主要對現場進行掃描后的數據進行安全分析,安全工程師對漏洞掃描工具輸出的報告,漏洞分析結果及漏洞測試具體情況進行綜合梳理,分析,總結。最后給出符合客戶信息系統實際情況的安全需求的安全建議。
以下是一些可以對web服務器或其他服務器進行掃描的掃描工具:
Nikto
這是一個開源的Web服務器掃描程序,它可以對Web服務器的多種項目(包括3500個潛在的危險文件/CGI,以及超過900個服務器版本,還有250多個服務器上的版本特定問題)進行全面的測試。其掃描項目和插件經常更新并且可以自動更新(如果需要的話)。Nikto可以在盡可能短的周期內測試你的Web服務器,這在其日志文件中相當明顯。不過,如果你想試驗一下(或者測試你的IDS系統),它也可以支持LibWhisker的反IDS方法。
Paros
這是一個對Web應用程序的漏洞進行評估的代理程序,即一個基于Java的web代理程序,可以評估Web應用程序的漏洞。
WebScarab
它可以分析使用HTTP 和HTTPS協議進行通信的應用程序,WebScarab可以用最簡單地形式記錄它觀察的會話,并允許操作人員以各種方式觀查會話。如果你需要觀察一個基于HTTP(S)應用程序的運行狀態,那么WebScarabi就可以滿足你這種需要。不管是幫助開發人員調試其它方面的難題,還是允許安全專業人員識別漏洞,它都是一款不錯的工具。
WebInspect
這是一款強大的Web應用程序掃描程序。SPI Dynamics的這款應用程序安全評估工具有助于確認Web應用中已知的和未知的漏洞。它還可以檢查一個Web服務器是否正確配置,并會嘗試一些常見的Web攻擊,如參數注入、跨站腳本、目錄遍歷攻擊(directory traversal)等等。
Whisker
Libwhisker是一個Perla模塊,適合于HTTP測試。它可以針對許多已知的安全漏洞,測試HTTP服務器,特別是檢測危險CGI的存在。Whisker是一個使用libwhisker的掃描程序。
Burpsuite
這是一個可以用于攻擊Web應用程序的集成平臺。Burp套件允許一個攻擊者將人工的和自動的技術結合起來,以列舉、分析、攻擊Web應用程序,或利用這些程序的漏洞。各種各樣的burp工具協同工作,共享信息,并允許將一種工具發現的漏洞形成另外一種工具的基礎。
Wikto
可以說這是一個Web服務器評估工具,它可以檢查Web服務器中的漏洞,并提供與Nikto一樣的很多功能,但增加了許多有趣的功能部分,如后端miner和緊密的Google集成。它為MS.NET環境編寫,但用戶需要注冊才能下載其二進制文件和源代碼。
Acunetix Web Vulnerability Scanner
這是一款商業級的Web漏洞掃描程序,它可以檢查Web應用程序中的漏洞,如SQL注入、跨站腳本攻擊、身份驗證頁上的弱口令長度等。它擁有一個操作方便的圖形用戶界面,并且能夠創建專業級的Web站點安全審核報告。
Watchfire AppScan
這也是一款商業類的Web漏洞掃描程序。AppScan在應用程序的整個開發周期都提供安全測試,從而測試簡化了部件測試和開發早期的安全保證。它可以掃描許多常見的漏洞,如跨站腳本攻擊、HTTP響應拆分漏洞、參數篡改、隱式字段處理、后門/調試選項、緩沖區溢出等等。
N-Stealth
N-Stealth是一款商業級的Web服務器安全掃描程序。它比一些免費的Web掃描程序,如Whisker/libwhisker、 Nikto等的升級頻率更高,它宣稱含有“30000個漏洞和漏洞程序”以及“每天增加大量的漏洞檢查”,不過這種說法令人質疑。還要注意,實際上所有通用的VA工具,如Nessus, ISS Internet Scanner, Retina, SAINT, Sara等都包含Web 掃描部件。(雖然這些工具并非總能保持軟件更新,也不一定很靈活。)N-Stealth主要為Windows平臺提供掃描,但并不提供源代碼。
典型軟件供應鏈攻擊行為有以下這些:
污染軟件開發工具及編譯過程,添加后門、捆綁惡意軟件等,在XcodeGhost事件中,超過4000個iOSAPP是用被污染的XCode所開發,并在編譯過程中被植入惡意代碼,受制于國際帶寬的影響,此下載速度非常緩慢,黑客正是利用這一點,將被污染的XCode上傳到國內各種服務器并推廣下載鏈接,讓很多開發者猝不及防。
直接污染代碼,添加后門,XShell被發現植入了后門代碼,并經過官方的代碼簽名,可導致使用該工具的用戶泄露所管理的主機敏感信息;據分析,黑客極有可能入侵了相關開發人員的電腦。
污染社區軟件源,誤導用戶下載惡意的開源組件,并使用在生產環境,很多軟件源實際上并沒有一個官方組織對其負責,常見的如Python的pip源、npm源等,都是人人可以上傳的社區源。
入侵官方網站,替換官方軟件或升級包。黑客通過入侵官方的web服務器將原有的官方軟件或者其補丁修改為木馬程序,或者其他一些惡意病毒,當受害者下載時會將這些惡意病毒下載執行。
黑客向正常的開源組件貢獻惡意代碼,尋求合入主分支,或者嘗試向那些沒有精力維護開源組件的原作者索取控制權。
WLAN安全威脅如下:
無授權訪問:是指入侵者能夠訪問未授權的資源或收集有關信息。對資源的非授權訪問可能有兩種方式。一種是入侵者突破安全防線來訪問資源;另一種是入侵者盜用合法用戶授權,而以合法人的身份進行非法訪問。入侵者以查看、刪除或修改機密信息,造成信息泄漏、完整性破壞和非法使用。
竊聽:是指入侵者能夠通過通信信道來獲取信息。無線網絡的電磁波輻射難以精確地控制在某個范圍之內,所以在數據發射機覆蓋區域內的幾乎任何一個無線網絡用戶都能夠獲取這些數據。
偽裝:是指入侵者能夠偽裝成其他實體或授權用戶,對機密信息進行訪問;或者偽裝成基站,以接收合法用戶的信息。
篡改信息:當非授權用戶訪問系統資源時,會篡改信息,從而破壞信息的完整性。
否認:是指接受信息或服務的一方事后否認曾經發送過請求或接收過信息或服務。這種安全威脅主要來自系統內其他合法用戶,而不是來自于未知的攻擊者。
重放、重路由、錯誤路由、刪除消息:重放攻擊是攻擊者復制有效的消息事后重新發送或重用這些消息以訪問某種資源;重路由攻擊(主要是在Ad Hoc模式中)是指攻擊者改變消息路由以便捕獲有關信息;錯誤路由攻擊能夠將消息路由到錯誤的目的地;而刪除消息是攻擊者在消息到達目的地前將消息刪除掉,使得接收者無法收到消息。
網絡泛洪:當入侵者發送大量假的或無關的消息時,會發送網絡泛洪,從而使得系統忙于處理這些偽造的消息而耗盡其資源,進而無法對合法用戶提供服務。
對丟失或被盜的無線設備的破解:這種安全威脅通常會被忽視。因為它看在日常生活中太過普通,但如果一個人丟失了智能手機,筆記本電腦等,而它被授權連接到你的網絡,這是非常容易導致小偷獲得完全訪問。小偷或攻擊者所需要做的僅僅是通過密碼,這通常實施起來較為簡單。讓丟失電子設備者立即報告被盜或者丟失的設備,以便遠程鎖定、修改密碼或將設備清除干凈,應當引起大家的重視。
初始配置問題:這個安全威脅問題主要是出在用戶身上。簡單的配置問題往往是許多漏洞的原因,因為許多用戶接入點根本沒有進行安全配置。配置的其他潛在問題包括密碼安全性差、弱安全部署和默認SSID使用。新手用戶往往傾向于快速設置這些設備并獲得訪問權限,或者無需進一步配置就可以打開一個網絡供外部使用。這些行為允許攻擊者在無人知曉的情況下竊取SSID并進行連接。
非法接入攻擊:攻擊者經常使用的一種方法是在現有無線局域網的范圍內設置一個非法接入點。攻擊者為了迷惑該區域的一些授權設備,通過一些手段使其與惡意接入點相關聯。非法接入攻擊往往需要一些物理上的連接訪問來實施連續地攻擊行為。這種物理連接有時可以認為是必需的,很多設備如果與惡意接入點關聯,則無法執行其正常功能,從而導致再次與惡意接入點斷開連接。但是,如果攻擊者能夠訪問該無線網絡上的一個物理端口,然后將接入點掛接到這個端口上,那么就有可能讓設備在一段較長的時間內關聯并從這些設備中捕獲數據。當然,現在也有很多惡意接入設備在捕獲正常設備后提供簡單的互聯網訪問,并讓用戶在很長一段時間內不知道他們的漏洞。該類攻擊也經常會被用到一些未經授權的、非惡意的接入點和特設網絡。在這些情況下,合法用戶設置自己使用的接入點或ad-hoc網絡,但沒有實現適當的安全技術,這為攻擊者實施監視提供了一個機會。
WLAN安全防護措施如下:
有效隔離:在 WLAN 中,可以利用虛擬局域網(VLAN)把一個局域網從邏輯上分成幾個獨立的廣播域。網絡將根據無線客戶端的身份,而不是它的物理位置分配和執行 WLAN 策略。根據不同的身份為每個 VLAN 分配不同的 SSID,當 WLAN 與某個特定的 VLAN 關聯時,用戶通過 SSID 可以獲得對該 VLAN 上的網絡資源的訪問權限。同時若將 AP 安裝在像防火墻這樣的網絡安全設備的外面,可以阻止流量監聽和流量分析等攻擊手段。此外,通過對無線網絡設備的設定,建立基于 MAC 地址的訪問控制列表,AP 將對收到的每個數據包的源地址做出過濾,只有在訪問控制列表中的地址才能被轉發,否則將會被丟棄或攔阻。
加強 WLAN 的身份認證:身份認證是防護網絡安全的前提,一般家庭用戶可以啟用預共享密鑰 PSK 來進行用戶的身份認證,但如果對安全要求較高的企業和政府部門的 WLAN 系統必須使用增強的企業級安全認證方案 802.1x/EAP。802.1x/EAP-TLS 認證方式中,802.1x 的客戶端認證請求可以結合外部的RADIUS服務器進行認證,由于RADIUS部署的性價比較高,目前已成為中小型企業身份認證的首選。
監測非法無線局域網設備:無線局域網環境下的設備安全狀況可以借助監控裝置捕獲到的結果來進行分析評估,首先對捕獲設備部署數據幀以作為數據采集點。采集點設備的性能越高,則無線環境信息采集的精確度越高,同時部署的密度越高,信息采集的覆蓋率越高。然后通過監測捕獲無線環境下的數據幀,獲取到各種 AP 與無線終端設備的相關信息。除此之外,對于設備的嚴格控制,可以通過設置黑白名單實時對非授權設備進行報警。
部署無線入侵防御系統:可以對有惡意的用戶攻擊和入侵行為進行早期檢測,保護企業網絡和用戶不被無線網絡上未經授權的設備訪問。WIPS 可以在不影響網絡性能的情況下對無線網絡進行監測,從而提供對各種攻擊的實時防范。可以進行對非法 AP 及非法的客戶端進行檢測,防御 DOS 攻擊及進行無線網絡的接入控制。
采用無線加密協議防止未授權用戶:保護無線網絡安全的最基本手段是加密,通過簡單的設置AP和無線網卡等設備,就可以啟用WEP加密。無線加密協議(WEP)是對無線網絡上的流量進行加密的一種標準方法。
靜態IP與MAC地址綁定:無線路由器或AP在分配IP地址時,通常是默認使用DHCP即動態IP地址分配,這對無線網絡來說是有安全隱患的,“不法”分子只要找到了無線網絡,很容易就可以通過DHCP而得到一個合法的IP地址,由此就進入了局域網絡中。因此,建議關閉DHCP服務,為家里的每臺電腦分配固定的靜態IP地址,然后再把這個IP地址與該電腦網卡的MAC地址進行綁定,這樣就能大大提升網絡的安全性。
防火墻雙宿主數據體系結構有以下特點:
網絡結構簡單,由于內、外網絡之間沒有直接的數據通信,網絡較為安全。
雙宿主主機體系結構相對于分組過濾路由器來說,堡壘主機的系統軟件可用于維護系統日志、硬件拷貝日志或遠程管理日志。這對于日后的檢查很有用。但這不能幫助網絡管理者確認內部網中哪些主機可能已被黑客入侵。
采用應用層代理機制,可以方便形成應用層的數據與信息過濾。
由于存在內部用戶賬號,可以保證對外資源進行有效控制。
雙宿主主機體系結構的一個致命弱點是,一旦入侵者侵入堡壘主機并使其只具有路由功能,導致內部網絡處于不安全的狀態。
用戶訪問外部資源較為復雜,用戶需要想登錄到堡壘主機才能訪問外部資源。
通信網絡安全是保障信息在傳輸形式中實現的可用性、完整性、可靠性以及具有較大的保密性的一種定義。而從一般意義上來說,通信網絡安全可靠性是根據網絡中的相關特點,利用一些安全措施對計算機網絡中出現的硬件問題、軟件問題以及各個數據信息加以防范和保護行為,從而防止相關服務出現一定的竊取行為。
通信技術的威脅具有多來源的特征,具體來說,其來源主要集中在軟件、病毒、通信道。通信網絡安全主要內容如下:
保密性:指防止靜態信息被非授權訪問和防止動態
完整性:要求在存儲或傳輸時信息的內容和順序都 不被偽造、亂序、重置、插入和修改。
可靠性:指信息的可信度,包括信息的完整性、準確性和發送人的身份認證等方面。
實用性:即信息的加密密鑰不可丟失。
可用性:指主機存放靜態信息的可用性和可操作性。
占有性:若存儲信息的主機、磁盤等信息載體被 盜用,則將導致對信息占有權的喪失。
無線路由器密碼破解的速度取決于軟件和硬件,只要注意在密碼設置時盡量復雜些,即可增強安全性。此外,還可以采用以下幾種設置方法:
采用WPA/WPA2加密方式,而不采用有缺陷加密方式,這是最常用的加密方式。
不用初始口令和密碼,而用長且復雜的密碼,并定期更換,不使用易猜密碼。
無線路由器后臺管理默認的用戶名和密碼一定要盡快更改并定期更換。
禁用WPS功能。現有的WPS功能存在漏洞,使路由器的接入密碼和后臺管理密碼有可能暴露。
啟用MAC地址過濾功能,綁定常用設備。經常登錄路由器管理后臺,查看并斷開連入Wi-Fi的可疑設備,封掉MAC地址并修改Wi-Fi密碼和路由器后臺賬號密碼。
關閉遠程管理端口和路由器的DHCP功能,啟用固定IP地址,不要讓路由器自動分配IP地址。
注意固件升級。一定及時修補漏洞升級或更換成更安全的無線路由器。
不管在手機端還是計算機端都應安裝病毒檢測安全軟件。對于黑客常用的釣魚網站等攻擊手法,安全軟件可以及時攔截提醒。
操作系統的主要安全問題一般包括以下這些:
操作系統是應用軟件和服務運行的公共平臺,操作系統安全漏洞是網絡安全的主要隱患和風險。
通過操作系統漏洞或端口,獲得授權或篡改未授權或越權數據信息,危害信息系統的保密性和完整性。
利用操作系統,破壞或影響計算機系統的正常運行或用戶的正常使用,危害計算機系統的可用性。
以操作系統為對象,破壞或影響系統完成的功能,除了計算機病毒破壞系統正常運行和用戶正常使用外,還有一些人為因素或自然因素,如干擾、設備故障和誤操作也會影響軟件的正常運行。
以軟件為對象,非法復制或非法使用。通常網絡入侵者通過相應的掃描工具,找出被攻擊目標的系統漏洞,并使用相關的手段利用該漏洞進行攻擊。
加強操作系統安全性的方法有以下這些:
更換默認密碼:如此之多的設備和應用程序使用的還是默認的用戶名和密碼,這種情況多少有些令人驚訝。網絡攻擊者也清楚地認識到這一點。如果不相信的話,可以在網上搜索默認密碼,就會明白更換它們的重要性了。采用有效的密碼策略是最好的辦法;對于網絡安全來說,任何字符串密碼與默認密碼相比,都是向正確方向邁出的一大步。
不要重復使用密碼:相同的用戶名/密碼組合被頻繁地重復使用,這樣做可以帶來很大的方便。但不法之徒也會了解到這一點。如果他們獲得了一個用戶名/密碼組合,就會在其它地方進行嘗試。不要為他們提供方便。很多有用的密碼助手只需要記住可以進入的主密碼就可以了。此后,只要選擇對應的項目就可以完成整個操作。
在員工離職時,立即禁用其帳戶:當攻擊者獲得內部信息的時間,更容易造成安全漏洞。因此,必須在員工離開的時間,禁用其使用的所有帳戶。這與員工的整個離職過程是否友好并沒有關系。
審查安全日志:優秀的系統管理員了解基線的位置并且會天天對系統日志進行審查。由于本文講述的是安全漏洞的相關內容,因此,在這里,特別強調安全日志,因為它們是安全的第一道防線。舉例來說,當審查Windows服務器安全日志時,系統管理員發現了529起事件(未知用戶名或錯誤密碼導致的登陸失敗)。這就是一個警告。系統管理員應該確認是有用戶忘記了密碼,還是攻擊者正試圖進行連接。
定時進行網絡掃描:對于系統基線目錄來說,對網絡掃描結果進行對比是非常重要的。它可以讓系統管理員了解網絡的實際情況,并在流氓設備出現于網絡中時立即給予警告。掃描網絡的一種方法是使用微軟內置的net view命令。另一種方法是采用免費工具。他們采用了圖形用戶截面,擁有的功能也更加豐富。
監控網絡外部流量:惡意軟件正在變得越來越隱蔽,以防止被發現。對其進行監測的一種方法就是監控網絡外部流量。當外部數據流量偏離正常的基線時,就需要提高警惕了。說實話,這可能是敏感信息被竊取或電子郵件群發器正在濫發郵件的唯一跡象了。
定期安裝補丁和更新軟件:保證操作系統及應用軟件的及時更新,是挫敗來自網絡外部邊界(因特網)攻擊企圖的最佳方式。就這么簡單。如果操作系統和應用軟件不存在缺陷,漏洞就無法起作用。
核心交換機的特點如下:
訪問控制列表它可以對IP數據包進行控制:比如限制它的流量、出入以及提供QoS等等。
具有較好的安全性能:交換機都可以進行MAC地址的過濾、MAC地址鎖定,并可以構建靜態的MAC轉發表。
易于擴展,靈活應用:可以通過網絡管理軟件進行管理,也可以通過其本身的訪問控制對其進行遠程訪問。增加網絡的安全性和可控制性。
能夠支持IEEE802.1Q和基于端口技術的VLAN:而IEEE802.1QVLAN中涉及的GVRP(GARP,VLAN注冊協議)和GMRP(GARP組播注冊協議)也被廣泛地支持。
具有SNMP功能:更能對網絡實現很好的管理和控制。
提供的端口靈活:根據網絡的應用選擇不同的接口形式如SFP、GE、快速以太口、以太口等。
支持vlan的劃分:用戶可以針對不同的應用進行區域劃分,有效的對網絡進行控制和管理。進步抑制廣播風暴。
轉發速度快:背板帶寬大,數據轉發速度更快。
組網靈活:應用大中型網絡的接入層。
能夠實現負載均衡:鏈路聚合可以讓交換機和交換機以及交換機和服務器之間通過多個以太網端口綁定在一起,實現負載均衡。
典型的安全策略脆弱性體現在以下幾個方面:
經常使用默認配置:使用默認的配置通常會導致主機上那些不安全、不必要的端口,以及容易被利用的服務和應用程序等被開放。
關鍵性配置沒有保存或備份:事故發生后可以對工業控制系統參數配置進行及時恢復,或者對系統進行重要配置時,可以繼續保持系統的可用性并防止數據丟失。開發確保工業控制系統配置參數可用性的規范操作流程是非常重要的。
便攜式設備的數據沒有受到保護:如果敏感數據(如密碼等)完整地存儲在便攜式設備中,并且此類設備遺失或被盜,將危及整個系統的信息安全。出現此類情況時,為保護敏感數據的安全性,需要設計配套的策略、過程和機制。
主機防火墻被關閉:由于OPC通信的需要,為了不影響工業控制系統應用軟件的運行,自動化廠商的軟件安裝指導中通常會要求關閉主機防火墻,這給惡意代碼的傳播留下了安全隱患。
缺乏恰當的密碼管理機制:當系統中需要使用密碼時必須設計正確的密碼管理策略,密碼管理機制越健全,密碼使用過程將受到越充分的保護。若缺乏恰當的密碼管理機制,整個系統將不可能對密碼進行合理的控制,極易引發對系統的非授權訪問。密碼管理機制必須作為整個工業控制系統信息安全體制的重要組成部分,并需要考慮工業控制系統處理復雜密碼的能力。
不使用密碼:工業控制系統的每種功能部件都需要密碼來阻止非授權的訪問,如果不使用密碼將導致一些與密碼相關的脆弱性。例如,系統登錄過程(如果系統具有用戶賬號);系統啟動過程(如果系統沒有用戶賬號);系統屏幕保護(如果工業控制系統是無人值守的)。
口令破解:口令需要被秘密保存以防止非授權訪問,口令破解的例子包括口令被簡單記錄在工業控制系統設備周圍那些顯眼的位置;將口令告訴每一個系統的使用者;以社會工程的途徑將密碼告訴惡意攻擊者;通過未經過保護的通信信道傳送未加密的口令。
口令猜測:未經過認真設計的口令很容易被攻擊者或計算機算法猜測出來,并獲得對系統的非授權訪問,這方面的例子包括簡短、簡單(如使用相同字母)的口令,或者不滿足常規安全長度的口令;使用設備供應商默認提供的口令。
未安裝入侵檢測/入侵防御軟件:工業控制系統事故將導致系統失去可用性,造成系統數據的失竊、修改、刪除,以及設備執行不正確的控制指令。入侵檢測/入侵防御軟件將阻止或防御多種不同類型的攻擊,包括拒絕服務攻擊,并可以定位已受到攻擊的內網主機,例如那些已經感染病毒的主機。入侵檢測/入侵防御軟件必須在安裝前經過嚴格測試,以確保安裝后不會危及工業控制系統的正常運轉。
沒有定期維護日志:如果系統中沒有正確和及時的日志,追查信息安全事故發生的原因將會變得困難,不能及時察覺安全事件,雖然安裝了日志和其他信息安全檢測工具,但它們并不能對系統進行實時監視,因而安全事件并不能被快速檢測和處理。
未安裝防病毒軟件:惡意軟件將導致系統性能下降、失去正常功能、系統數據失竊、遭受篡改、刪除等后果。防病毒軟件(如殺毒軟件)可以用來保護系統不受病毒感染,而過時或失效的防病毒軟件和策略將使系統容易遭受新病毒的攻擊。防病毒軟件在安裝前未經過全面測試有可能影響工業控制系統的正常運轉。
已經實施的信息安全技術措施被默認禁用:設備產品中安裝的所有信息安全機制,如果被配置成禁用或在實際操作中受到限制時,將失去作用。
信息安全等級保護工作包括定級、備案、安全建設和整改、信息安全等級測評、信息安全檢查五個階段。
定級(企業自主定級-專家評審-主管部門審核-公安機關審核):定級一般按照信息的重要程度由低到高分為5個等級,1級為最低、5級為最高級別。如果定了1級,不需要做等級測評,自助進行保護即可;網絡運營者通過自主+專家評審+主管部門環節定級。
備案(企業提交備案材料-公安機關審核-發放備案證明):網絡運營者需要去運營地區的網安部門辦理備案手續。
測評(等級測評-三級每年測評一次):主要是由公安部授權委托的全國100多家測評機構,對信息系統進行安全測評,測評通過后出具《等級保護測試報告》。
建設整改(安全建設-安全整改)。
監督檢查(公安機關每年監督檢查)。
