帥末 的所有回復(675)
排序:
排序:
評論于 5個月前,獲得 0 個贊
評論于 1年前,獲得 0 個贊
蜜罐不是被動防御技術,蜜罐是一種一種安全威脅的主動防御技術,它通過模擬一個或多個易受攻擊的主機或服務來吸引攻擊者,捕獲攻擊流量與樣本,發現網絡威脅、提取威脅特征,蜜罐的價值在于被探測、攻陷。其在本質上來說,是一個與攻擊者進行攻防博弈的過程。但是在蜜罐沒有出現之前很多防御手段都是被動防御技術,被動防御主要是面向于已知的那些特征的危險,而蜜罐可以誘騙攻擊者實現主動防御。
主動防御技術有以下作用:
讓入侵者的入侵速度變慢或入侵脫軌,使其無法繼續入侵或者完成入侵行動,從而增加入侵者犯錯的概率并暴露其存在(IP地址)或暴露他們的入侵媒介。
增加入侵成本。主動防御也可能意味著”非對稱防御”,通過增加入侵者攻擊的成本和時間。
可以檢測和阻止內外威脅。不僅能檢測和阻止互聯網中(外部威脅)的入侵者對局域網的入侵行為,還能檢測局域網中(內部威脅)的攻擊行為,包括勒索軟件,勒索和加密劫持等。
收集取證入侵者犯罪行為。主動防御使系統能夠提前主動檢測和破壞入侵行動,收集和了解了入侵手法和威脅情報并記錄到主動防御系統的數據庫中,主動防御系統會做出對應防范策略,以防止類似事件再次發生。
向入侵者發動反擊。某些特殊場合,主動防御系統會向入侵者發動反擊行為。這通常是為軍事和執法部門保留的權利,這些部門有資源也有權限確認攻擊來源并采取適當的行動。
評論于 1年前,獲得 0 個贊
外網漏洞掃描一般指掃描暴露在外網里的系統、網絡組件或應用程序,檢測其中的漏洞或安全弱點,而漏洞掃描器則是用來執行漏洞掃描的工具。漏洞掃描器一般基于漏洞數據庫來檢查遠程主機,漏洞數據庫包含了檢查安全問題的所有信息(服務、端口、包類型、潛在的攻擊路徑,等等)。它可以掃描網絡和網站上的上千個漏洞,提供一個風險列表,以及補救的建議。
漏洞掃描可以分成四個部分:
1、用戶接口:用戶通過這個接口運行和配置一個掃描。這可以是圖形界面(GUI)也可以是命令行接口(CLI)。
2、掃描引擎:掃描引擎通過安裝和配置的插件來執行掃描。
3、掃描數據庫:掃描數據庫保存了掃描器需要的數據。包括,漏洞信息、插件、消除漏洞的步驟、CVE-ID映射(常見的漏洞)、掃描結果,等等。
4、報告模塊:報告模塊提供了不同的選項,可以生成不同類型的報告。比如,詳細報告、漏洞列表、圖形化報告,等等。
評論于 1年前,獲得 0 個贊
常見的惡意代碼有以下這些:
計算機病毒:通過感染文件,一般包括可執行文件、數據文件、電子郵件等或者通過磁盤引導扇區進行傳播,一般需要宿主程序被執行或人為交互才能運行。
蠕蟲:一般不需要宿主的單獨文件,通過網絡傳播,自動復制。蠕蟲病毒是一種常見的計算機病毒,是無須計算機使用者干預即可運行的獨立程序,它通過不停的獲得網絡中存在漏洞的計算機上的部分或全部控制權來進行傳播。
惡意移動代碼:從遠程主機下載到本地執行的輕量級惡意代碼,不需要或者僅僅需要極少的人為干預即可執行的惡意程序。
后門:該類病毒的特性是通過網絡傳播,給系統開后門,給用戶電腦帶來安全隱患。2004年年初,IRC后門病毒開始在全球網絡大規模出現。一方面有潛在的泄漏本地信息的危險,另一方面病毒出現在局域網中使網絡阻塞,影響正常工作,從而造成損失。
特洛伊木馬:特洛伊木馬(Trojan Horse)是指寄宿在計算機里的一種非授權的遠程控制程序,這個名稱來源于公元前十二世紀希臘和特洛伊之間的一場戰爭。由于特洛伊木馬程序能夠在計算機管理員未發覺的情況下開放系統權限、泄漏用戶信息、甚至竊取整個計算機管理使用權限,使得它成為了黑客們最為常用的工具之一。
僵尸程序:僵尸程序通過聊天室,文件共享網絡感染存在漏洞的計算機。這些被感染的計算機所保存的 信息都可被黑客隨意取用。不論是對網絡安全還是用戶數據安全的保護來說,“僵尸網絡”都因其極具威脅,而在國際上引起廣泛關注。
內核嵌套:通過替換或者修改系統關鍵的可執行文件,或者通過控制操作系統內核,用以獲取并保持最高的控制權。
融合型惡意代碼:融合多種惡意代碼技術,構造一種具有強破壞性的惡意代碼形態。
評論于 7個月前,獲得 0 個贊
基于主機的入侵檢測系統有以下優點:
能夠確定攻擊是否成功:由于基于主機的IDS使用包含有確實已經發生的事件信息的日志文件作為數據源,因而比基于網絡的IDS更能準確地判斷出攻擊是否成功。在這一點上,基于主機的IDS可謂是基于網絡的IDS的完美補充。
非常適合于加密和交換環境:由于基于網絡的IDS是以網絡數據包作為數據源,因而對于加密環境來講,它是無能為力的,但對于基于主機的IDS就不同了,因為所有的加密數據在到達主機之前必須被解密,這樣才能被操作系統所解析。對于交換網絡來講,基于網絡的IDS在獲取網絡流量上面臨著很大的挑戰,但基于主機的IDS就沒有這方面的限制。
近實時的檢測和響應:基于主機的IDS不能提供真正的實時響應,但是由于現有的基于主機的IDS大多采取的是在日志文件形成的同時獲取審計數據信息,因而就為近實時的檢測和響應提供了可能。
不需要額外的硬件:基于主機的IDS是駐留在現有的網絡基礎設施之上的,包括文件服務器、Web服務器和其它的共享資源等,這樣就減少了基于主機的IDS的實施成本。因為不再需要增加新的硬件,所以也就減少了以后維護和管理這些硬件設備的負擔。
可監視特定的系統行為:基于主機的IDS可以監視用戶和文件的訪問活動,這包括文件訪問、文件權限的改變、試圖建立新的可執行文件和試圖訪問特權服務等。例如,基于主機的IDS可以監視所有的用戶登錄及注銷情況,以及每個用戶連接到網絡以后的行為。
評論于 3個月前,獲得 0 個贊
有效防范拒絕服務攻擊的措施有以下這些:
加強用戶的安全防范意識:對于用戶,要不斷加強安全技能知識的培訓,提高安全意識,降低因個人疏忽造成的不安全因素的入侵和安全危機,如數據的丟失、密碼外泄等情況;關閉不必要的網絡接口,尤其是明顯存在安全漏洞的接口,如Portmapper接口等;在使用的計算機上安裝防范功能較強的軟件,對計算機做定時的安全掃描工作,把安全隱患扼殺在萌芽之中;將安全防范知識做到學以致用。
增加安全防范手段:對于那些可以有效地防治安全漏洞的軟件要進行必要的了解和掌握,同時還要對網絡中出現的不同安全隱患攻擊類型和方法進行了解,以便能夠更好地發現網絡中出現的問題,并根據具體的問題提出相應的解決措施。當發現有危險的軟件運行時,要及時運用檢測系統進行必要的檢測和攔截;同時還可以使用一些專門的漏洞檢查工具進行問題的檢測,如網絡測試儀、流量測試儀等,及時地找出修復漏洞的方法和措施,減少不必要的損失。
正確運用安全防范工具:在網絡系統受到外界攻擊時,及時地使用網絡檢測軟件對不安全因素進行檢測,同時來判斷安全隱患的來源以及是否會對網絡系統造成嚴重的損害;也可以使用那些專門檢測網絡安全隱患的軟件,定期進行檢測。其目的主要是為了能夠對黑客初期的攻擊進行防范,采取適當的措施以避免對網絡系統造成重大危害,讓站點可以持續地提供服務給所有的請求者。
評論于 2個月前,獲得 0 個贊
應對DNS服務器面臨的安全隱患有兩個最有效的原則:
選擇安全沒有缺陷的DNS版本:這個還不是最安全的,你無法保證選擇一個安全且沒有缺陷的DNS版本,這個只能解決一時的問題很難解決長久的問題。這個方法屬于治標不治本。
保持DNS服務器配置正確、可靠:這個辦法相對于第一個辦法更可靠,如果配合上經常更新那基本很安全。這個需要管理要有很高的安全意識和經常關注服務器版本的更新和及時下載安裝。
預防DNS欺騙攻擊的方法有以下這些:
使用較新的DNS軟件,因為其中有些可以支持控制訪問方式記錄DNS信息,域名解析服務器只對那些合法的請求做出響應。內部的請求可以不受限制地訪問區域信息,外部的請求僅能訪問那些公開的信息。
直接用IP訪問重要的服務,這樣至少可以避開DNS欺騙攻擊,但需要記住自己要訪問的IP地址。
正確配置區域傳輸。即只允許相互信任的DNS服務器之間才允許傳輸解析數據。
配合使用防火墻。使用防火墻可使得DNS服務器位于防火墻的保護之內,只開放相應的服務端口和協議。
保護DNS服務器所存儲的信息。部分注冊信息的登錄方式仍然采用一些比較過時的方法,如采用電子郵件的方式就可以升級DNS注冊信息,這些過時的方法需要添加安全措施,如采用加密的口令,或者采用安全的瀏覽器平臺工具來提供管理域代碼記錄的方式。
系統管理員也可以采用分離DNS的方式,內部的系統與外部系統分別訪問不同的DNS系統,外部的計算機僅能訪問公共的記錄。
評論于 1年前,獲得 0 個贊
軟件安全涉及范圍包括:
軟件本身的安全保密:指軟件完整,即保證操作系統軟件、數據庫管理軟件、網絡軟件、應用軟件及相關資料的完整和保密。包括軟件開發規程、軟件安全保密測試、軟件的修復與復制、口令加密與限制技術、防動態跟蹤技術等。
數據的安全保密:指系統擁有和產生的數據信息完整、有效、使用合法,不被破壞或泄露。包括輸人、輸出、識別用戶、存儲控制、審計與追蹤、備份與恢復。
軟件系統運行的安全:指系統資源和信息使用的安全。包括電源、環境、人事、機房管理、出人控制、數據與介質管理體制等。
評論于 8個月前,獲得 0 個贊
物理層的主要功能包括以下四種:
為數據端設備提供傳送數據的通路:數據通路可以是一個物理媒體,也可以是多個物理媒體連接而成。一次完整的數據傳輸包括激活物理連接,傳送數據,終止物理連接。所謂激活,就是不管有多少物理媒體參與,都要在通信的兩個數據終端設備間連接起來,形成一條通路。
傳輸數據:物理層要形成適合數據傳輸需要的實體,為數據傳送服務。既要保證數據能在其上正確通過,又要提供足夠的帶寬,以減少信道上的擁塞。
完成物理層的一些管理工作:鏈路層應能滿足點到點、一點到多點、串行或并行、半雙工或全雙工、同步或異步傳輸等各種數據傳輸的需要,并能對其實施必要的管理。
通信雙方從物理層建立的連接稱為物理電路:在有些網絡的物理電路中,還會有虛電路的概念,一條物理電路可以支持若干條虛電路。
評論于 2年前,獲得 0 個贊
1.利用日志文件查找攻擊者
由于典型的APT攻擊是在較長時間內以協調的方式運用常見工具,因此將阻斷魚叉式釣魚嘗試等孤立事件識別為更大規模APT攻擊征兆幾乎是不可能做到的。但如果將各種系統的信息關聯起來(一般是利用日志文件),就可以立刻發現這些看似無關的事件之間的關系。可以在 Web 網關代理、網關防病毒、防火墻、網頁過濾器、DNS、IPS/IDS以及其它解決方案的日志文件中找到APT活動的痕跡。在建立了典型活動的基準線后,應該制定對異常情況的敏感度,這樣就知道何時需要檢查其它系統的日志中有無相似的APT警報信號。將多個系統關聯起來的報告工具使建立反映異常活動情況的基準線和設計報告的工作得到簡化。
2.網頁過濾器和安裝系統補丁
由于大部分APT都會充分利用常見的攻擊方法和工具,因此在防御上首先要正確地運用標準防御。如果正確地使用防御并經常性地對它們進行更新,當然會有幫助。不過最好是加入云服務,這樣就不需要下載、安裝補丁或更新了。
3.內部人員威脅
迄今為止,最危險的內部人員是那些因無知而向攻擊者提供攻擊組織手段的雇員。有太多的用戶并沒有意識到他們粗心大意的登錄和社交網絡習慣可能給企業數據帶來的安全風險,APT和大眾市場惡意軟件攻擊通常都會對這種疏忽加以利用。
(1)限制能夠遠程訪問機構資源的帳號,大多數攻擊都采用了某種遠程接入機制。如果信息系統提供VPN或者撥號接入,考慮把遠程接入帳號僅限于提供給那些有合法的業務需求的人。
(2)限制遠程接入的范圍,不要自動批準遠程接入者擁有與其在辦公室擁有的同樣級別的權限。限制通過遠程接入訪問重要的資源。這樣不僅可以保護不受內部人員的遠程威脅,而且還要防止惡意軟件通過遠程接入連接引起的日益增長的威脅。
(3)強制執行最小權限原則,每一個人都只需要擁有最低限度的權限,這個原則通常只是在口頭上,而沒有在行動上落實。需要進行帳號審查,保證沒有因為工作變動和職責的變動而影響到用戶的使用權限。
(4)不定期的進行內部安全培訓。
4.分層防御
提倡采用分層防御策略來應對處于生命周期各階段的威脅,以實現容錯型安全狀態。可以借助APT的實際定義評估現有解決方案對攻擊者在各個階段可能使用的各種工具的防御能力。
通過部署分層控制來實現深度防御信息系統安全,是抵御APT的最佳方法。
(1)整理網絡中已經存在的控制,確保這些控制是有效的且受到良好管理的。對已經部署的防火墻、入侵檢測和預防系統(IDS/IPS)、反惡意軟件包和其他控制,需要進行定期審計,保證它們部署一致。另外,在考慮增加額外的防御層前,也需要檢查這些基礎信息。
(2)如果沒有部署安全事故和事件管理系統,可以利用進行部署。安全事故和事件管理系統是對付APT的有效工具,因為這個系統可以從不同來源收集和關聯安全數據,幫助找出APT攻擊滲透進入網絡的蹤跡。
(3)數據丟失防護系統是一個很好的最后防線,它能夠檢測和阻止出有人有意或無意地將敏感信息從網絡中移除。
(4)內容過濾系統可以幫助進一步防止釣魚攻擊和其他web與電子郵件威脅。雖然員工培訓是防止社會工程學的最有效的方式,但內容過濾可以在用戶泄露其賬戶信息前阻止用戶。
評論于 1年前,獲得 0 個贊
公司網絡安全具體指以下這些:
網絡終端安全:防病毒、非法入侵、共享資源控制;
內部局域網安全:內部訪問控制、網絡阻塞、病毒檢測;
外網安全:非法入侵、病毒檢測、流量控制、外網訪問控制;
硬件系統級安全:門禁控制、機房設備監控、防火、防水;
操作系統級安全:系統登錄安全、系統資源安全、儲存安全、服務安全;
應用系統級安全:登錄控制、操作權限控制;
本地數據安全:本地文件安全、本地程序安全;
服務器數據安全:數據庫安全、服務器文件安全、服務器應用系統、服務程序安全。
評論于 1年前,獲得 0 個贊
保護工業生產網絡安全技術有以下這些:
工業主機白名單控制技術:工業主機由于長期不間斷運行,不能及時打補丁,并且受到聯網條件的限制,無法實時更新病毒庫,因此傳統殺毒機制不適用于工業主機。比較有效的方式是采用白名單控制技術,對工業軟件相關的進程文件進行掃描識別,為每個可信文件生成唯一的特征碼,特征碼的集合構成特征庫,即白名單。只有白名單內的軟件才可以運行,其他進程都被阻止,以防止病毒、木馬、違規軟件的攻擊。
工控協議識別與控制技術:為了保障數據傳輸的可靠性與實時性,工業生產網已發展了多套成熟的通信協議,主流的有幾十種,大致分為工業總線協議和工業以太網協議兩大類,如Modbus、S7、OPC、Profinet、IEC104等。工控協議的識別能力是安全設備工作的基礎,也是評價產品能力的重要指標。
工控漏洞利用識別與防護技術:工控系統漏洞是工控網絡安全問題的主要來源。由于工控設備很少升級或者不升級,因此普遍存在可被攻擊的漏洞,而由于技術的專業性和封閉性,這些漏洞很容易被作為0day利用。因此工控安全產品對工控漏洞利用行為的識別能力,以及相應的防護能力,是工控安全防護能力建設的核心。
工控網絡流量采集與分析技術:獲取網絡流量是發現網絡攻擊的前提,流量采集與分析廣泛應用于網絡安全方案,是一項比較成熟的技術。對于工控網絡,除了基本的流量識別與統計分析外,還需要理解生產過程的操作功能碼,根據業務邏輯判斷是否發生異常。此外,根據設備間通信的規律建立流量基線模型,對多源數據進行關聯分析,能夠有效地識別異常行為和網絡攻擊。
工業網絡安全態勢感知技術:態勢感知是安全防御的重要手段,對于工控網絡,通過安全態勢感知平臺,可以直觀地了解網絡中的資產分布、漏洞分布、網絡攻擊事件,對網絡的整體風險水平進行量化評估。態勢感知平臺需要多種核心能力支持,包括完善的數據獲取能力、大數據分析與建模能力、網絡攻擊溯源分析能力、安全事件閉環處理能力等,是工控網絡安全防護的核心產品。
評論于 11個月前,獲得 0 個贊
網絡接入控制具備的能力如下:
身份認證:對接入網絡的用戶身份進行合法性認證,只有合法用戶才允許接入是園區網絡安全的基本需求。
訪問控制:根據用戶身份、接入時間、接入地點、終端類型、終端來源、接入方式(簡稱5W1H)精細匹配用戶,控制用戶能夠訪問的資源。
終端安全檢查和控制:對用戶終端的安全性進行檢查,只有“健康的、安全的”用戶終端才可以接入網絡。
系統修復和升級:如果系統存在安全隱患,NAC方案提供了系統自動和手動修復升級功能。可自動下載和升級系統補丁、觸發病毒庫的更新、自動殺死非法/違規進程等強制安全措施。
網絡接入控制的應用如下:
企業網絡:NAC方案在企業網絡中通常會按照用戶的角色,嚴格區分員工和非員工的網絡訪問權限。
BYOD:為滿足企業員工對于新科技和個性化的追求、提高員工的工作效率,許多企業開始考慮允許員工自帶智能設備(例如手機、平板或筆記本電腦等移動設備)接入企業內部網絡,這就是BYOD(Bring Your Own Device)。員工自帶的設備通常沒有安裝安全終端,接入企業內部網絡可能會帶來安全隱患。NAC方案借助終端類型識別技術,自動識別企業員工接入內部網絡的設備類型,實現基于用戶、設備類型及設備環境的認證和授權。
物聯網:大多數的物聯網設備不支持傳統的身份驗證協議或安全證書。NAC方案通過物聯網設備的電子規約信息(包括設備版本號、廠家信息、版本號、產品名稱、終端類型等)自動識別物聯網設備,之后,根據各自配置的安全策略,完成物聯網設備的入網認證。
公共WIFI網絡:公共WIFI網絡非常普及,幾乎所有的咖啡館、商店、機場、酒店和其他公共場所都為他們的顧客和訪客提供了公共WiFi接入。對于完全開放的公共WIFI網絡安全性很低,這是由于任何人、無需任何身份驗證都可以登錄,用戶連接網絡時需要慎重考慮。NAC提供微信認證、短信認證方案,用戶接入公共WIFI時,通過微信掃碼或者在Web Portal頁面上輸入手機號實現用戶實名入網。
評論于 9個月前,獲得 0 個贊
物聯網WCDMA通信技術有以下特點:
WCDMA物理層采用DS-CDMA多址技術,將用戶數據和利用CDMA擴頻碼得到的偽隨機序列即碼片(chip)序列相乘,從而將用戶信息擴展到較寬的帶寬上(可以根據具體速率要求,選用不同的擴頻因子)。
WCDMA支持頻分雙工/時分雙工(FDD/TDD)兩種工作模式。其中FDD要求為上下行鏈路成對分配頻譜,而TDD可以使用不對稱頻譜供上下行鏈路共享,因此從某種意義上說,TDD可以更節省地使用頻譜資源。
WCDMA支持異步基站操作,網絡側對同步沒有要求,因而易于完成室內和密集小區的覆蓋。
WCDMA采用10ms幀長,碼片速率為3.84Mchip/s。其3.84Mchip/s的碼片速率要求上下行鏈路分別使用5MHz的載波帶寬,實際載波間距離的要求根據干擾的不同在4.4~5MHz之間變化,變化步長為200kHz。對于人口密集地帶可選用多個載波覆蓋。其10ms幀長允許用戶的數據速率可變,雖然在10ms內用戶比特率不變,但10ms幀之間用戶的數據容量可變。
WCDMA在上下行鏈路均利用導頻相干檢測,擴大了覆蓋范圍。WCDMA空中接口包括先進的CDMA接收機,它利用了多用戶檢測和自適應智能天線技術,這些手段可以較好地提高系統覆蓋和容量。
WCDMA允許不同服務質量(QoS)要求的業務進行復用。
WCDMA系統允許與全球移動通訊系統(GSM)網絡共存和協同工作,支持系統間的切換。
WCDMA在上行傳輸信號的包絡中無周期性分量,故可避免音頻干擾。
評論于 8個月前,獲得 0 個贊
無論是被動或者主動網絡安全防御手段都有以下缺陷:
從發送一個報文就可以導致系統崩潰到隨處可以下載運行的用于進行分布式拒絕服務攻擊的腳本的泛濫,絕大多數攻擊都使用偽造的IP地址,使被攻擊者很難確定攻擊源的位置。雖然目前已有一些較為成熟的技術可用于阻止部分網絡攻擊,如入侵監測系統可以監測到網絡攻擊,防火墻可以阻擋部分攻擊,但是都無法識別出攻擊源,從而不能有針對性地實施保護策略。
防火墻的出發點是防止外部黑客的攻擊,從根本上來說是防外不防內。據美國的一份調查報告透漏,許多公司由于不經心的錯誤、病毒、內外入侵而遭受了難以估量的經濟損失,其中公司的內部人員的蓄意破壞占32%。此外,防火墻產品的自身是否安全、是否設置錯誤,都需要經過實踐檢驗。從技術的角度來說,防火墻雖然堵住了大量不安全的缺口,但還是小心翼翼地向外界打開了一扇訪問內部信息的小門。盡管此門的開啟受到限制,可路卻通了。如果有人利用這條路徑進行數據驅動型的攻擊,防火墻是無能為力的。
缺乏安全性實踐。這主要表現在安全協議標準不統一,網絡信息安全產品處在初期發展階段,缺少網絡環境下用于產品評價的安全性準則和評價工具,系統管理人員缺少安全意識和安全管理培訓等。在系統安全受到威脅時,缺少應有的安全管理方法、步驟和安全對策,如事故通報、風險評估、改正安全缺陷、評估損失、相應的補救恢復措施等。
入侵檢測系統、防火墻、防病毒軟件等信息安全產品技術基本上都屬于被動防御,各有其脆弱性和局限性,如不能防止來自網絡內部的攻擊、不能識別數據驅動式攻擊等。有關方面的統計顯示,90%的系統安裝了防病毒軟件,但這些系統中依然有85%感染了計算機病毒;89%的系統安裝有防火墻,但其中90%的系統仍然有安全漏洞;60%的系統安裝有入侵檢測系統,但仍有40%遭到外來的入侵。
