Linux系統的防火墻提供了以下四種功能:
訪問控制能力:防火墻可以正確執行基于源地址、目標地址、用戶和時間的訪問控制策略,從而可以杜絕非授權的訪問,同時保護內部用戶的合法訪問不受影響。
安全審計能力:實時記錄通過防火墻的網絡訪問情況,建立完備的日志、審計和追蹤網絡訪問記錄,并可以根據需要產生報表。
抗攻擊能力:防火墻是內部網絡與外部網絡進行信息交互的唯一通道,所有的攻擊都是直接面對防火墻的,這個防火墻稱為堡壘機,因此要求堡壘機具有高度的安全性和抵御各種攻擊(內部的或外部的)的能力。
其他附屬功能:如與審計相關的報警和入侵檢測,與訪問控制相關的身份驗證、加密和認證,甚至VPN等。
工控系統應用程序中有以下漏洞:
緩沖區溢出的漏洞:程序經過編譯后包含不同的段,其中很多段都包含了接收外部系統(文件、網絡、鍵盤等)填充數據的緩沖區。一些比較有趣的段是棧段、堆段、未初始化的靜態變量段向下生長(用于靜態初始化的變量)以及環境段。每個段的作用各不相同,因此程序和操作系統對不同段的處理方式也不一樣。有大量文獻介紹如何向這些段注入數據以控制應用程序的后續執行,因此這種攻擊形式又稱為軟件攻擊。
整型溢出、上溢、下溢、截斷與符號失配:整型是編程中基本的數據類型,因此,如果要對整型的不正確使用進行漏洞利用,那么理解整型如何工作是非常重要的。首先需要認識到,不同于數學中的整數,計算機中的整型數據不能一直增長到無窮大。基于CPU的架構,整型通常是固定長度的。鑒于這種類型的漏洞非常微妙并且非常底層,可以想象到在工控系統應用程序中很可能存在這些漏洞。
指針操縱:借助指針能夠實現各種有趣的數據結構和優化,但是如果對指針處理不當,則可能導致整個程序的崩潰。攻擊者還可以借助某個數值來繞過安全保護(通過跳轉到函數中間;該安全保護在敏感操作之前進行安全檢査),也可以借助某個數值使其指向攻擊者控制的數據緩沖區,從而導致任意代碼執行漏洞。
格式化字符串:格式化字符串是用于指示數據格式的具有特殊結構的字符串。與之前提到的某些漏洞一樣,格式化字符串漏洞源于直接使用了用戶提供的數據,而不對其進行驗證。在這種情況下,用戶數據就成了格式化字符串的參數。一旦攻擊者知道緩沖區在哪里(無論是某一個內存地址的絕對地址還是相對地址),攻擊者就可以將執行流導向那里。如果緩沖區中包含惡意指令,那么在某種程度上就能夠實現對機器的有效漏洞利用,從而導致該機器完全處于攻擊者的控制之下。攻擊者也可以通過覆蓋指針將執行流重定向到含有惡意指令的緩沖區。
目錄遍歷:有很多實例程序出于這樣或那樣的原因需要訪問文件系統,有些程序可能需要存儲,目錄遍歷漏洞就是這些漏洞中的一種。無論出于哪種原因,程序員都需要使用字符串來指示文件的路徑。當用戶輸入的數據對路徑字符串可能的編碼形式造成影響時,是因為訪問大多數文件系統時遇到了特殊的字符和字符串。如果攻擊者自己也購買了一套應用程序或設備,對應用程序、設備固件進行了深入研究,從而實現對關鍵文件的篡改,并最終對用戶的應用程序或設備固件進行了替換,使得程序或設備在執行其所有正常功能的同時,還在后臺執行其他任務,該文件就可能一直運行,而沒有人注意到數據已經泄露或者已經被植入了黑客稍后會用到的后門。任何能夠導致攻擊者代碼在目標系統上運行的漏洞都是危險的。
DLL劫持:作為軟件設計工作的一部分,通常會對常用組件進行分解,從而實現組件的多處復用。這一原則無論對于代碼片段,還是對于操作系統級別的軟件,抑或是介于兩者之間的其他軟件都是適用的。減小程序規模、提高代碼模塊化的常用方法之一是使用動態鏈接庫文件。從攻擊者的角度來看,DLL劫持是一種獲得程序訪問權限的好方法,并且同緩沖區溢出、格式化字符串等方法相比,DLL劫持更加可靠、穩定。在這種情況下,程序可以有意加載攻擊者的代碼并直接對其進行調用,程序只需要將執行流程轉交給惡意代碼就可以了。
暴力攻擊:暴力通常意味著嘗試每一個可能的選項,從中找出最終能夠奏效的選項。此方法通常用于口令破解。在某種程度上,DoS攻擊也可以應用暴力攻擊,因為它們傾向于持續發送一段代碼,或者不斷消耗內存直到目標崩潰。
加強工業網絡方法有以下這些:
工業主機白名單控制:工業主機由于長期不間斷運行,不能及時打補丁,并且受到聯網條件的限制,無法實時更新病毒庫,因此傳統殺毒機制不適用于工業主機。比較有效的方式是采用白名單控制技術,對工業軟件相關的進程文件進行掃描識別,為每個可信文件生成唯一的特征碼,特征碼的集合構成特征庫,即白名單。只有白名單內的軟件才可以運行,其他進程都被阻止,以防止病毒、木馬、違規軟件的攻擊。
工控協議識別與控制:為了保障數據傳輸的可靠性與實時性,工業生產網已發展了多套成熟的通信協議,主流的有幾十種,大致分為工業總線協議和工業以太網協議兩大類,如Modbus、S7、OPC、Profinet、IEC104等。工控協議的識別能力是安全設備工作的基礎,也是評價產品能力的重要指標。
工控漏洞利用識別與防護:工控系統漏洞是工控網絡安全問題的主要來源。由于工控設備很少升級或者不升級,因此普遍存在可被攻擊的漏洞,而由于技術的專業性和封閉性,這些漏洞很容易被作為0day利用。因此工控安全產品對工控漏洞利用行為的識別能力,以及相應的防護能力,是工控安全防護能力建設的核心。
工控網絡流量采集與分析:獲取網絡流量是發現網絡攻擊的前提,流量采集與分析廣泛應用于網絡安全方案,是一項比較成熟的技術。對于工控網絡,除了基本的流量識別與統計分析外,還需要理解生產過程的操作功能碼,根據業務邏輯判斷是否發生異常。此外,根據設備間通信的規律建立流量基線模型,對多源數據進行關聯分析,能夠有效地識別異常行為和網絡攻擊。
工業網絡安全態勢感知:態勢感知是安全防御的重要手段,對于工控網絡,通過安全態勢感知平臺,可以直觀地了解網絡中的資產分布、漏洞分布、網絡攻擊事件,對網絡的整體風險水平進行量化評估。態勢感知平臺需要多種核心能力支持,包括完善的數據獲取能力、大數據分析與建模能力、網絡攻擊溯源分析能力、安全事件閉環處理能力等,是工控網絡安全防護的核心產品。
水平越權訪問是一種“基于數據的訪問控制”設計缺陷引起的漏洞,垂直越權是一種“基于URL的訪問控制”設計缺陷引起的漏洞,本質上是所利用的漏洞不同獲得的權限不同。垂直越權是一種“基于URL的訪問控制”設計缺陷引起的漏洞,又叫做權限提升攻擊,而水平越權訪問是一種“基于數據的訪問控制”設計缺陷引起的漏洞,兩者在本質上完全不同。
兩者具體如下:
水平越權訪問是一種“基于數據的訪問控制”設計缺陷引起的漏洞。由于服務器端在接收到請求數據進行操作時沒有判斷數據的所屬人/所屬部門而導致的越權數據訪問漏洞。假設用戶x和用戶y屬于同一角色,擁有相同的權限等級,他們能獲取自己的私有數據(數據x和數據y),但如果系統只驗證了能訪問數據的角色,而沒有對數據做細分或者校驗,導致用戶x能訪問到用戶y的數據(數據y),那么用戶x訪問數據y的這種行為就叫做水平越權訪問。
垂直越權是一種“基于URL的訪問控制”設計缺陷引起的漏洞,又叫做權限提升攻擊。由于后臺應用沒有做權限控制,或僅僅在菜單、按鈕上做了權限控制,導致惡意用戶只要猜測其他管理頁面的URL或者敏感的參數信息,就可以訪問或控制其他角色擁有的數據或頁面,達到權限提升的目的。
桌面云在運營商中的應用價值有以下這些:
節省成本:服務器、存儲設備、交換機等硬件設備集中部署,集中制冷,節約能源。
數據安全:數據集中在云端存放,瘦客戶機本地不保存數據。營業員接入云桌面,要通過身份驗證,可以采用AD認證或UKey認證的方式。營業員使用外設拷貝、記錄日志,用于安全審計。
隨時隨地接入:開通連接權限后,可以通過多種終端(如PC、手機、PAD)隨時隨地登錄云桌面辦公。人員的調動不需要重新分配新計算機,云桌面專人專用,隨時可以訪問。
運維便捷:遠端的瘦客戶機基本不會出問題,而硬件設備都集中在機房,出故障可以快速排查,并且有統一的運維管理門戶,隨時監控,告警可以通過郵件或短信通知,快速反應。而不像過去,營業廳分布在各個不同的地方,出問題需要專門去營業廳排查。
軟件的升級與管控方便:專門的業務軟件可以安裝到模板里,只安裝一次,后面直接克隆使用。軟件升級包可以在后臺推送,靜默安裝,不影響用戶體驗,節省大量的人力。對于違禁軟件,可以禁止安裝。
信息系統等級保護的好處如下:
對于企業來說,實施信息安全等級保護測評能夠有效地提高單位信息和信息系統安全建設的整體水平,有效控制企業信息安全建設成本;有利于明確國家、法人和其他組織、公民的信息安全責任,加強企業信息安全管理。
對于信息系統來說,通過等級保護測評可及時發現信息系統安全狀況并制定方案進行整改,當信息系統完全達到安全保護能力要求時,信息系統就基本可做到“進不來、拿不走、改不了、看不懂、跑不了、可審計、打不垮”。
軟件安全測試框架包括以下內容:
制定安全測試策略:明確軟件安全測試的目標、范圍、標準、風險控制要素、測試資源、成本與效益、由誰在什么時間進行測試等,制定軟件安全測試的基本原則。特別是對于由第三方執行的安全測試,明確測試的約束條件,知道測試的邊界是非常重要的。
設計基于風險的安全測試計劃:明確測試目的、方法和測試的重點領域等,測試計劃也可以用于驗證軟件產品的可接受程度。
規范化的軟件安全需求:軟件安全需求是測試需求的主要內容,也是軟件安全測試要實現的目標。通過針對待測試對象的安全需求分析與轉換,生成測試需求和測試用例。
軟件結構風險分析:軟件安全測試必須使用基于風險的方法,在對軟件系統結構進行分析的基礎上,對軟件的安全性進行充分評估,在一定的時間成本約束下,將測試適當聚焦于重點安全領域問題。
執行軟件安全測試:通過白盒測試、黑盒測試等方法,對軟件安全功能和安全漏洞等進行測試。
測試環境管理:設置穩定、可控的測試環境,使測試人員花費較少的時間完成測試,保證每一個被提交的漏洞都能夠準確地重現。并且在用戶環境下進行系統滲透測試時,在安全測試之后需要對現場進行清理,保證系統恢復到測試前的狀態。
測試數據管理:軟件安全測試用例、測試輸出結果和測試生成報告等都要進行文檔化,以保證測試能夠有效地幫助發現軟件存在的安全問題,并不斷改進。
判定郵件是垃圾郵件的核心技術包括以下四種:
IP黑/白名單:將經常發垃圾郵件的IP地址添加到IP黑名單中,以后再從同樣的IP地址發來的信件都被判定為垃圾郵件。如果IP地址被加入到白名單中,則認為從那里來的任何郵件都不是垃圾郵件。這種技術的優點是容易實現,缺點是容易把正常郵件當成垃圾郵件過濾掉。
統計分析技術:分析大量的已正確識別的垃圾和非垃圾郵件,然后產生一個概率數據庫,它包括所有的單詞以及每個單詞出現在垃圾郵件中的概率值。例如,單詞“優惠”有99%的可能出現在垃圾郵件中。用概率數據庫,一個郵件的概率很容易被計算出,從而能識別出郵件的合法性。
反向查詢技術:垃圾郵件一般都是使用的偽造的發送者地址,極少數的垃圾郵件才會用真實地址。為了限制偽造發送者地址,一些系統要求驗證發送者郵件地址。
密碼技術:采用密碼技術來驗證郵件發送者的合法性,它通過證書方式來提供證明。沒有適當的證書,偽造的郵件就很容易被識別出來。
計算機安全審計內容有以下這些:
主機審計:主機審計包含 Windows、Linux、Unix 等操作系統類型。包含客戶機和服務器的審計。當然針對服務器的又衍生出了獨立的服務器審計、服務器加固產品。
網絡審計:目前網絡審計和入侵檢測的融合度非常高,但是一般而言,除了入侵行為審計,還應具備 HTTP 審計、POP3/SMTP 審計、Telnet 審計、FTP 審計等。當然這里又有的地方和上網行為管理、上網行為審計有關。
數據庫審計:數據庫審計的形式一般有兩種:硬件旁路、軟件 Agent。前者部署便捷對主機無損耗、后者功能強大但易有兼容性問題。
運維審計:常見的產品名稱一般為:內控堡壘主機、運維操作審計。主要針對的設備:路由器、交換機、Windows 服務器、Unix 服務器、利用命令行操作的數據庫等。操作方式兼容:SSH、Telnet、RDP、X-Win、VNC、Rlogin、FTP 等。
日志審計:通過 syslog、SNMP Trap、FTP、Agent 等方式接收網絡中 “幾乎所有設備、軟件、應用” 的日志信息。
業務審計:針對企業的 OA、ERP、財務軟件、繳費軟件等具體業務做審計,幾乎全部需要定制開發,所以市面上做的不算特別多,即使在做一般也不會大張旗鼓的宣傳。
配置審計:如果是基于等級保護來做,那么公安的檢查標準里面有一項是針對 Windows、Linux 主機的安全檢查。
電子郵件的防范措施包括:
使用安全電子郵件:安全電子郵件通過使用數字證書對郵件進行數字簽名和加密,保證郵件的真實性和不被其他人偷閱。
對電子郵件及其系統進行病毒防護:選擇一款可靠的防毒軟件,借用防毒軟件中的郵件實時監視功能,在接收郵件過程中進行病毒掃描,有效防止郵件病毒的侵入。對于防毒軟件要注意定期升級更新,否則就很難對新病毒進行查殺。其次,了解一些郵件病毒具有的廣泛共性以便識別郵件病毒。當收到郵件時先看郵件大小,如果發現郵件中無內容,無附件,郵件自身又較大,則可能包含有病毒,如果附件的后綴名是雙后綴也極有可能是病毒,直接刪除即可。另外,由于一些客戶端程序一直以來都是黑客們照顧的重點,同時這些程序存在一些安全漏洞,因此要及時更新電子郵件客戶端程序,下載升級補丁。
設置信箱過濾:電子郵箱的過濾器可使用戶按照郵件的來源,接收者,主題,長度來設置過濾規則。過濾器可設置在本地的電子郵件客戶端程度上,也可直接通過瀏覽器在POP3信箱的內部進行設置。在設置時,要注意’’接收信件大小’’選項,建議將這個數值控制在電子信箱容量的1/3左右,如果發過來信件大小超過了這一數值,就被認為是郵件炸彈,而直接被系統舍棄。通過郵箱過濾不僅可以防止垃圾郵件,還可以過濾掉一些帶病毒郵件,使其不進入收件箱中,減少病毒感染的機會。
公共場所電子郵件安全防范:網吧、學校公共機房、單位等公共場所接收發送電子郵件,由于其它人都有機會接觸你收發電子郵件的機器,這樣電子郵件很容易被別人竊取,所以要特別注意公共場所電子郵件的安全。如果使用電子郵件客戶端程序收發電子郵件,注意對郵箱進行加密,否則別人可以直接查看你接收和發送出去的電子郵件,或者你在查閱郵件后直接把郵件徹底刪除,注意要從垃圾箱里面清除掉被刪除郵件,避免別人查閱到你的郵件。
鎖定身份:通過添加多因素身份驗證(MFA)等額外保護來保護帳戶和身份。切勿重復使用密碼并始終更改默認密碼。
建立針對金融欺詐的協議和流程:建立和培訓應對BEC的預案和流程,以防止BEC和金融欺詐帶來財務損失,例如要求多個審批者或“帶外”供應商驗證才能將資金轉移到新賬戶。此外,還需要輔以對應的安全意識培訓,以防陷入網絡釣魚。
對電子郵件采取零信任安全方法:必須驗證電子郵件中發生的所有通信。通過評估發件人以外的消息的有效性來消除隱含的信任風險,以降低來自被入侵的合作伙伴可能引入的風險。選擇一個安全系統,可以檢測入侵并控制來自入侵組織的通信,將零信任方法擴展到電子郵件安全。
防范Web攻擊的原則如下:
采用最新的技術或軟件版本。
永遠把訪問者想象成可能是惡意的。
只允許合理的請求,而不是嘗試禁止不合理的請求(白名單,而非黑名單)。
考慮如何在限制最小權限的情況下提供網頁內容,而不是以最方便的方式提供網頁內容。
對于包含敏感信息內容,一定要進行足夠強度的加密。
利用漏洞自動運行爆發的病毒主要有以下幾種:
網頁內嵌病毒:它會在原本正常的網頁中寫入一條運行病毒的腳本語句,這樣只要我們訪問這個網頁就會運行病毒。
U盤病毒:U盤病毒則是利用Windows系統移動設備的自動播放功能運行。病毒會在我們的U盤中寫入一個病毒程序,再寫入一個控制自動播放功能運行病毒程序的autorun.inf文件,這樣當用戶插入U盤雙擊打開U盤的同時,U盤中的病毒就會運行起來。
感染型病毒:這種病毒則是將正常程序感染上病毒代碼,這樣當用戶在原本安全的計算機上運行這個已經感染了病毒的程序就會中毒。所以以前使用正常的程序現在使用未必正常。
郵件病毒:郵件病毒則是將病毒內嵌在郵件中,當收件人打開郵件的同時病毒隨之運行起來。
網游竊賊病毒:是“網游竊賊”木馬家族最新成員之一,采用VC++ 6.0編寫。“網游竊賊”變種edn運行后,會修改注冊表,以實現木馬開機自啟動。同時病毒會在后臺秘密監視用戶打開的窗口,一旦發現用戶登陸便盜取帳戶、密碼、金錢、裝備、包中物品等私密信息,并在后臺將盜取的帳號信息發送到駭客指定的服務器上,帶來巨大的損失。
超融合基礎安全架構有以下應用場景:
核心業務應用:核心業務應用是指那些如果停機或性能下降會對業務造成影響的應用,這些應用包括核心數據庫、ERP和CRM等。
私有云和混合云:私有云對于數據中心的建設與管理至關重要。無論是開發測試還是正式的生產環境都可以基于私有云環境構建。私有云以虛擬化和資源池為基礎,并以流程化的云管理平臺為依托,且支持用戶自助服務。
大數據:通過大數據,企業最大化利用數據的價值來幫助業務發展。而隨著大數據應用的普及,用戶對于大數據的實時性也提出了要求。因此,這也要求基礎架構可以提供更好的性能和擴展性。
分支機構:分支機構一直是IT管理上的難點,通常分支機構的IT力量比較薄弱,不具備專業數據中心和專業IT人員的條件通過采用HCI構建分支機構IT環境,可以讓IT部門在單一控制臺進行統一的IT管理與監控,并可以設置數據保護與災難恢復策略來保護分支機構的系統和數據,防止因為系統停機或數據丟失對組織造成業務上的影響。
數據保護與災難恢復:數據保護與災難恢復可以防止數據中心因為電力、網絡、系統故障導致的系統停機或數據丟失。通過HCI構建災備站點,可以讓系統和數據跨數據中心存儲和運行,當災難發生時,系統可以自動化或手工進行系統和數據的恢復。
桌面云:通過建設桌面云,可以幫助組織提高數據安全性并簡化IT管理。通過HCI構建桌面云可以滿足桌面云所需的性能、可用性、可擴展性,同時也可以降低桌面云的建設成本并可以進行多個數據中心、多種虛擬化平臺的統一管理。這就要求HCI能夠與主流的桌面云廠商進行官方合作并得到相關的認證。
協作與統一通信:協作與統一通信系統是組織內部、組織與外部進行溝通的重要系統。同時,最終用戶需要通過這些系統實現收發郵件、即時通信、語音電話等功能。用戶體驗關乎協作與統一通信系統的成功與否,通過HCI構建協作與統一通信平臺,可以提高系統的可用性,并可以隨著用戶規模的增長進行擴展。HCI可以伴隨組織規模的增長而增長,并且在集群擴展時得到可預測的性能。
物聯網時分同步碼分多址技術有以下特點:
時分雙工:在TDD(時分同步)模式下,TD-SCDMA采用在周期性重復的時間幀里傳輸基本TDMA突發脈沖的工作模式(與GSM相同),通過周期性轉換傳輸方向,在同一載波上交替進行上下行鏈路傳輸。
智能天線:智能天線系統由一組天線及相連的收發信機和先進的數字信號處理算法構成,能有效產生多波束賦形,每個波束指向一個特定終端,并能自動跟蹤移動終端。在接收端,通過空間選擇性分集,可大大提高接收靈敏度,減少不同位置同信道用戶的干擾,有效合并多徑分量,抵消多徑衰落,提高上行容量;在發送端,智能空間選擇性波束成形傳送,降低輸出功率要求,減少同信道干擾,提高下行容量。
多用戶檢測:多用戶檢測主要是指利用多個用戶碼元、時間、信號幅度以及相位等信息來聯合檢測單個用戶的信號,以達到較好的接收效果。最佳多用戶檢測的目標就是要找出輸出序列最大的輸入序列。對于同步系統,就是要找出函數最大的輸入序列。而使聯合檢測的頻譜利用率提高并在基站和用戶終端的功率控制部分更加簡單,更值得一提的是在不同智能天線情況下,通過聯合檢測就可在現存的GSM基礎設備上通過C=3的蜂窩在復用模式下使TD-SCDMA運行,最終的結果是TD-SCDMA可以在1.6MHZ的低載波頻帶下通過。
軟件無線電:軟件無線電是利用數字信號處理軟件實現無線功能的技術,能在同一個硬件平臺上利用軟件處理基帶信號,通過加載不同的軟件,可實現不同的業務性能。
接力切換:移動通信系統采用蜂窩結構,在跨越空間劃分的小區時,必須進行越區切換,即完成移動臺到基站的空中接口轉換,以及基站到網入口和網入口到交換中心的相應轉移。由于采用智能天線可大致定位用戶的方位和距離,所以TD-SCDMA系統的基站和基站控制器可采用接力切換方式,根據用戶的方位和距離信息,判斷手機用戶現在是否移動到應該切換給另一個基站的臨近區域。如果進入切換區,便可通過基站控制器通知另一個基站做好切換準備,達到接力切換的目的。
防火墻(Firewall),是一種硬件設備或軟件系統,主要架設在內部網絡和外部網絡間,為了防止外界惡意程式對內部系統的破壞,或者阻止內部重要信息向外流出,有雙向監督功能。防火墻阻止以下網絡數據包:
來自未授權的源地址且目的地址為防火墻地址的所有入站數據包。
源地址是內部網絡地址的所有入站數據包。
包含ICMP請求的所有入站數據包。
入侵檢測系統又叫:
入侵檢測系統的功能:
監控用戶和系統的活動
查找非法用戶和合法用戶的越權操作
檢測系統配置的正確性和安全漏洞
評估關鍵系統和數據的完整性
識別攻擊的活動模式并向網管人員報警
對用戶的非正常活動進行統計分析,發現入侵行為的規律
操作系統審計跟蹤管理,識別違反政策的用戶活動
檢查系統程序和數據的一致性與正確性
