javaweb是java開發中的一個方向java有搞安卓的,搞web的,搞嵌入式的等。javaweb就是指搞web方向的,javaweb分兩塊,一塊是服務器端叫后端,另一塊叫前端,也就是web前端。
javaweb主要側重后端,運用jsp,servelt以及一些框架比如spring,structs以及與數據庫交互的知識,也會涉及html,css,javascript。
在Java中,動態web資源開發技術統稱為Java Web。
動態WEB中,程序依然使用客戶端和服務端,客戶端依然使用瀏覽器(IE、FireFox等),通過網絡(Network)連接到服務器上,使用HTTP協議發起請求(Request),現在的所有請求都先經過一個WEB Server Plugin(服務器插件)來處理,此插件用于區分是請求的是靜態資源(.htm或者是.htm)還是動態資源。
內容安全網關系統包括以下功能模塊:
信息獲取模塊:這是進行內容安全管理的前提。信息獲取包括兩個關鍵步驟:捕獲信道和提取數據。很多情況下,提取數據相當于解析協議。通常,協議解析的準確度相對較高,因此系統實現的關鍵是信道捕獲,即主動監聽并發現信息傳輸鏈路,進而提取訪問信息。
內容管理模塊:信息采集器獲取網絡數據后,由信息分類器將信息根據業務種類加以分類,如網頁信息、郵件信息等,分類后的信息送入相應的過濾器,按規則進行信息過濾等操作。管理員能夠對過濾等級(過濾靈敏度)進行調節,從而改變內容信息過濾的粒度。過濾等級默認級別應該為最高級別。
流量管理模塊:過濾后的信息在通過標記器時首先被打上標記值,然后送到對應的類中,控制策略決定了信息被打上何種標記值,將被送往哪一個類處理,類的帶寬決定了相應信息流的流速。
行為審計模塊:行為管理涉及互聯網應用中的各種網絡通信交流模式。根據設定的行為管理策略,對各種網絡應用行為進行監控,對符合行為策略的事件實時告警、阻斷并記錄,實現全程網絡行為監管。
系統管理模塊:在管理方式上,可以進行統一管理,也可以通過B/S方式進行無客戶端的管理;支持集中部署和分布式部署,支持行為記錄、日志的獨立收集或多點統一收集,也可實現分級的行為記錄、日志收集,為用戶工程方案的設計和實施提供了更大的靈活度。
網絡邊界安全設備有以下這些:
防火墻:網絡邊界間的隔離和對網絡中數據交互的控制。在典型的網絡環境中的主要作用是防范外部網絡(如internet)對內部網絡(如內部辦公局域網)的非法訪問行為和惡意攻擊行為等安全威脅,防火墻最基礎的功能是策略控制流入流出IP及端口、nat、端口映射。防火墻定義也較為模糊,多帶有集成功能,目前,世面上購買的防火墻大多也帶有IPS功能或服務(兼顧功能)。
IPS:防御網絡中的攻擊和入侵等行為的網關型安全設備,在安全功能上是對防火墻的一個補充,它能夠比防火墻更深入的對數據進行檢測和控制,進而提升網絡對于入侵攻擊等威脅的防范水平。本質是增強入侵行為庫,檢測出后自動進行防御。
上網行為管理:全面管理每一位用戶的上網行為,可以對用戶的上網操作進行阻斷、放行、記錄、提醒等管控,保證上網行為的合法性、健康性和有序性。另外,在流量管理方面可以針對當前總體帶寬調整每位用戶的動態帶寬。
網閘:網閘又叫信息交換與安全隔離系統,用以實現不同安全級別網絡之間的安全隔離,并提供適度可控的數據交換的軟硬件系統,在網絡隔離級別上高于防火墻。它一般由內網主機、外網主機和隔離硬件的“2+1”架構組成,能夠創建一個內、外網物理連接但邏輯隔離的網絡環境。
日志審計:日志審計通過收集存儲網絡上所有軟硬件設備產生的日志、審計信息,根據策略進行存儲,為事后取證提供依據。對所收集的信息進行匯總、分析、報警,對安全問題進行挖掘,提供各種報表,幫助管理員更好的掌握網絡情況。
數據庫審計:系統通過對被內部人員的數據庫操作及運維操作等網絡行為進行解析、分析、記錄、匯報,可以幫助用戶進行事前規劃預防、事中實時監視、事后合規報告、事故追蹤溯源,加強內外部網絡行為監管。
IDS:在網絡中部署IDS設備可以對整個網絡系統進行實時監視,它抓取網絡中指定的數據包,對其分析和統計,并能夠展示全面的網絡監控報表。對于分析發現的具有威脅的網絡數據或者行為產生告警。IDS的使用給網絡管理人員提供了非常好的輔助管理工具和運維依據。
漏洞掃描:漏洞存在于網絡系統的各個角落,交換機路由器、服務器、PC機、應用系統等都可能存在漏洞,極易遭受攻擊入侵。而一般漏洞是很難去發現和印證的。漏洞掃描系統就是發現漏洞和協助我們去修補漏洞的一種產品。
堡壘機:在信息系統的運維操作過程中,經常會出現多名維護人員共用設備(系統)帳號進行遠程訪問的情況,從而導致出現安全事件無法清晰地定位責任人。系統為每一個運維人員創建唯一的運維帳號(主帳號),運維帳號是獲取目標設備訪問權利的唯一帳號,進行運維操作時,從而準確定位事故責任人,彌補傳統網絡安全審計產品無法準確定位用戶身份的缺陷,有效解決帳號共用問題。
下面列舉一下知名的木馬病毒的進程:
1、Esafe.exe: 將死者病毒。
2、Tftp : exe: 尼姆達病毒。
3、Bbeagle.exe: 惡鷹蠕蟲病毒。
4、Rundll.exe: SCKISS愛情森林。
5、Rundll32.exe: 狩獵者病毒。
6、Spfw.exe: 瑞波變種PX.
7、Runouce.exe:中國黑客病毒。
8、Netspy.exe: 網絡精靈。
9、Internet.exe: 網絡神偷。
10、Diagcfg.exe: 廣外女生。
11、Dvldr32.exe: 口令病毒。
12、Regscan.exe: 波特后門變種。
13、Avserve.exe: 震蕩波病毒。
14、dllhost.exe: 沖擊波病毒。
15、Flcss.exe: Funlove病毒。
16、lcsupp95.exe: 將死者病毒。
17、lexplore.exe: 惡郵差病毒。
18、msblast.exe: 沖擊波病毒。
19、Rpcsrv.exe: 惡郵差病毒。
20、Svchost.exe: 藍色代碼蠕蟲病毒。
21、Scanrew.exe: 傳奇終結者。
22、Sysedit32.exe: SCKISS愛情森林.
23、Scvhost.exe: 安哥病毒。
24、Syshelp.exe: 惡郵差病毒。
25、Internet.exe: 傳奇幽靈。
26、Checkdll.exe: 網絡公牛。
27、Kernel32.exe: 冰河。
28、WScript.exe: 愛蟲病毒。
29、Vshwin32.exe: 將死者病毒。
信息系統安全風險評估過程的順利進行需要一些相關的單位與人員的積極參與;而機構為支持信息系統安全風險評估的執行,必須在機構的管理體系內確立這些相關的角色。這些角色主要包括:
主管部門:責任是提出、制定并批準機構自身的信息安全風險管理策略,領導和組織本機構內的信息系統安全評估工作,以及基于機構內信息系統的特征和風險評估的結果,判斷信息系統殘余風險是否可接受,并確定信息系統是否可以投入運行,檢查信息系統運行中產生的安全狀態報告,定期或不定期地開展新的信息安全風險評估工作。
信息系統擁有者:需要制定安全計劃并上報主管機關審批。信息系統擁有者有責任組織實施信息系統自評估工作,也要配合強制性檢查評估或委托評估工作,并提供必要的文檔等資源。如果情況需要,也必須向主管機關提出新一輪風險評估的建議,并改善信息安全防護措施以達到有效的控制信息安全風險。
信息系統承建者:一般是指開發商或者系統集成商。在風險評估過程中,信息系統承建者需要根據信息系統建設方案的風險評估結果來修正安全方案,使安全方案成本合理、積極有效,并減少在建設階段引入的新風險,并確保安全組件產品得到了相關機構的認證。
信息系統安全評估機構:責任和義務是提供獨立的信息系統安全風險評估,對信息系統中的安全防護措施進行評估,以判斷這些安全防護措施在特定運行環境中的有效性,以及實現了這些措施后系統中存在的殘余風險。評估機構還要提出調整建議。此外,信息系統安全評估機構的最大責任是為被評估單位保密。評估機構必須深入整個被評估單位的各個層面,了解單位的機構架構、關鍵流程、管理規程,包括一些系統配置的機密信息,如網絡配置拓撲等。所以,風險評估結構的選擇十分重要,保護風險評估中獲得的敏感信息不被無關人員和單位獲得,這是評估單位和被評估單位最關心的問題。
信息系統的關聯機構:如后勤保障機構,人事管理機構,紀檢監察機構等,需要遵守安全策略、法規、合同等涉及信息系統交互行為的安全要求,減少信息安全風險,協助風險評估機構確定評估邊界,在風險評估中提供必要的資源和資料。
防火墻等安全設備接入Internet方式有以下這些:
DHCP:DHCP(動態主機配置協議)是一個局域網的網絡協議。指的是由服務器控制一段IP地址范圍,客戶機登錄服務器時就可以自動獲得服務器分配的IP地址和子網掩碼。默認情況下,DHCP作為Windows Server的一個服務組件不會被系統自動安裝,還需要管理員手動安裝并進行必要的配置。
PPPOE:PPPoE(英語:Point-to-Point Protocol Over Ethernet),以太網上的點對點協議,是將點對點協議(PPP)封裝在以太網(Ethernet)框架中的一種網絡隧道協議。由于協議中集成PPP協議,所以實現出傳統以太網不能提供的身份驗證、加密以及壓縮等功能,也可用于纜線調制解調器(cable modem)和數字用戶線路(DSL)等以以太網協議向用戶提供接入服務的協議體系。
專線:通常附帶固定的公網IP,這種線路延遲小,上下行對等,價格比較貴。
防火墻能實現以下功能:
集中化的安全管理,強化安全策略
由于Internet上每天都有上百萬人在那里收集信息、交換信息,不可避免地會出現個別品德不良的人,或違反規則的人,防火墻是為了防止不良現象發生的“交通警察”,它執行站點的安全策略,僅僅容許“認可的”和符合規則的請求通過。
網絡日志及使用統計
因為防火墻是所有進出信息必須通路,所以防火墻非常適用收集關于系統和網絡使用和誤用的信息。作為訪問的唯一點,防火墻能在被保護的網絡和外部網絡之間進行記錄,對網絡存取訪問進行和統計
保護那些易受攻擊的服務
防火墻能夠用來隔開網絡中一個網段與另一個網段。這樣,能夠防止影響一個網段的問題通過整個網絡傳播。
增強的保密
用來封鎖有關網點系統的DNS信息。因此,網點系統名字和IP地址都不要提供給Internet。
實施安全策略
防火墻是一個安全策略的檢查站,控制對特殊站點的訪問。所有進出的信息都必須通過防火墻,防火墻便成為安全問題的檢查點,使可疑的訪問被拒絕于門
保護物聯網安全有如下方式:
開啟物聯網設備的安全設置,并保持最新狀態:市面上的許多物聯網設備自帶安全設置,但并非所有的安全設置都是有效可用的。在使用一個新的設備前,我們需要確保打開了設備的安全設置,還需要驗證設備的安全設置有沒有自動更新功能,如果沒有,我們要定期檢查設備,并及時更新安全軟件。
了解設備:作為物聯網設備的使用者,你必須了解物聯網中的每一個設備,知道哪些類型的設備連接到你的網絡,并將所有連接的物聯網設備詳細的記錄下來包括設備的制造商、型號、序列號、軟件和固件版本等等。
使用強密碼:在購買了新的物聯網設備后,需要及時更改設備默認的用戶名和密碼,連接在物聯網上的每一個設備,請使用不同的強密碼。企業可以使用公鑰基礎設施(PKI)和數字證書,來為設備身份和信任提供安全的基礎,確保可信的連接。
使用端到端加密:物聯網中的設備能夠相互溝通,當它們這樣做的時候,數據就從一個點傳輸到另一個點,而且往往是在沒有加密的情況下。為了讓物聯網更加安全,設備應該有加密數據傳輸選項,以防止包嗅探(一種常見的攻擊形式)。
使用最新的固件及系統:保持固件完全更新以避免網絡攻擊和黑客攻擊。盡管設備在購買時的固件、系統都是最新的,但在長時間的使用過程中,如果設備不能自動更新系統和固件,將會給黑客攻擊的機會,因此,物聯網中的所以設備應使用最新的固件及系統。
禁用你不需要的功能:保護設備的一個很好的步驟是禁用任何你不需要的特性或功能。這包括開放的TCP/UDP端口,開放的串行端口,開放的密碼提示,未加密的通信,不安全的無線電連接或任何可以進行代碼注入的地方,如Web服務器或數據庫。
避免使用公共Wi-Fi:即使公共Wi-Fi需要密碼才能登錄,這并不一定意味著網絡連接是安全的。黑客的最終目標是連接到已連接多個用戶的網絡,獲取公共WiFi中的目標,如果必須使用公共Wi-Fi,請使用VPN來連接網絡。
創建訪客網絡:為您的訪客和訪客建立一個單獨的網絡,以便他們可以訪問您的網絡而無需訪問共享文件或聯網設備。這是保持您的物聯網網絡私有和安全的最佳方法之一,這樣,即使您的任何設備都會遭到黑客攻擊,其他設備仍處于安全模式。
請勿將未使用的設備連接到網絡:黑客一旦突破了設備的安全防護,獲得了的訪問權限,他們將嘗試損害、盜取數據。因此,物聯網中最好只連接使用的設備,未使用的設備不必加入到物聯網中,避免黑客的攻擊。
主動監控物聯網設備:保護好物聯網安全的最重要一點是,我們需要主動監控物聯網設備。通過對物聯網設備的實時持續監控,我們可以看到設備的安全報告,也能夠第一時間得到安全警報,這對管理物聯網是必不可少的。
移動應用軟件需要解以下安全問題:
不識別黑客代碼:許多黑客創作代碼的目的是想讓開發人員采用他們的想法。許多人進行開發不是從零開始,而是選擇開源框架或現成代碼構建自己的APP。移動應用開發公司不應該在沒有驗證的情況下采用第三方代碼,尤其是用APP處理敏感的用戶信息。
不清理緩存:移動設備很容易受到安全漏洞的影響,因為很容易訪問到內部的緩存信息。開發一個應用程序,應設定清理周期,智能進行緩存清理或輸入密碼進行清理。
不徹底執行安全測試:對應用程序開發人員來說,對APP進行適當的安全測試并采取適當的措施來修復漏洞是本職工作。許多開發人員比較松散,以beta模式發布APP,讓用戶陷入安全風險中。這不僅影響到用戶數據的安全,還會帶來消極的品牌形象。所以,應正確全面地進行測試,測試相機、GPS、傳感器等各個方面。
技術弱或不加密:加密算法是阻擋黑客攻擊用戶手機或服務器的第一道防線。但是有了加密算法并不意味著不會遭到攻擊,隨著技術的發展,加密算法也需要升級。有些通過簡單的語言存儲用戶信息的APP很容易遭到黑客攻擊。
服務器端缺乏安全性:許多APP開發者雖然為其APP提供了良好的安全性,但是疏忽了服務端的安全性。這種疏忽可能會導致信用卡、身份證等信息的泄露。如果要處理收集用戶的大數據,應申請安全套接字認證(SSL),盡可能避免使用低級的加密算法,防止分析信息和廣告信息的泄露。
升級和補丁修復不及時:只要發布了APP,黑客們就會利用APP暴露出的缺點。一旦問題暴露出來了,就必須去解決這些問題,及時利用補丁進行APP更新,以快速恢復APP功能及提升用戶體驗。不解決問題或解決問題不及時很可能會使APP失去競爭力。
未使用企業移動管理(EMM)保護設備:企業移動管理解決方案極大地保護設備免遭越獄或刷機,這樣可以避免移除移動操作系統提供的內置安全性,保證數據的安全。并且EMM提供了一種在應用程序啟動之前對用戶身份進行驗證的機制,可以應用于各種安全策略以防止黑客入侵。
沒有物理防御措施:APP開發者應考慮技術之外的問題(如設備丟失或被盜),可采取的應對措施,如APP可以實現會話超時、每周或每月清除設備的存儲密碼等。
嗅探器可能造成的危害有以下這些:
捕獲用戶賬號和密碼:Sniffer可以記錄到網絡中傳輸的各種用戶賬號(如系統登錄賬號、各種網絡游戲賬號、網上銀行賬號等)和密碼等敏感信息,哪怕這些敏感信息進行了加密傳輸,嗅探者也有可能使用各種破解工具獲得敏感信息的明文。
能夠捕獲專用的或者機密的信息:比如電子郵件,嗅探者通過攔截整個電子郵件數據包,從而獲得郵件的完整內容。
獲取更高級別的訪問權限:一旦嗅探者得到用戶賬號和密碼,必然可以通過系統登錄的認證而獲取更高級別的系統訪問權限,這樣就能夠獲取到更多的敏感信息。
嗅探低級的協議信息:通過對底層的信息協議的嗅探,獲取到主機的MAC地址、IP地址、IP路由信息和TCP連接的順序號等。利用獲取的這些信息,能夠對整個網絡或者主機形成更多的危害,例如IP地址欺騙就要求準確插入TCP連接的順序號。
預防網絡嗅探攻擊的措施有以下這些:
使用安全的拓撲結構:嗅探器只能在當前網絡段上進行數據捕獲。這就意味著,將網絡分段工作進行得越細,嗅探器能夠收集的信息就越少。但是,除非你的公司是一個ISP,或者資源相對不受限制,否則這樣的解決方案需要很大的代價。網絡分段需要昂貴的硬件設備。有三種網絡設備是嗅探器不可能跨過的:交換機、路由器、網橋。我們可以通過靈活的運用這些設備來進行網絡分段。
對會話加密:會話加密提供了另外一種解決方案。不用特別地擔心數據被嗅探,而是要想辦法使得嗅探器不認識嗅探到的數據。這種方法的優點是明顯的即使攻擊者嗅探到了數據,這些數據對他也是沒有用的。
用靜態的ARP或者IP-MAC對應表代替動態的:該措施主要是進行滲透嗅探的防范,采用諸如ARP欺騙手段能夠讓入侵者在交換網絡中順利完成嗅探。網絡管理員需要對各種欺騙手段進行深入了解,比如嗅探中通常使用的ARP欺騙,主要是通過欺騙進行ARP動態緩存表的修改。在重要的主機或者工作站上設置靜態的ARP對應表,比如Win2000系統使用arp命令設置,在交換機上設置靜態的IP-MAC對應表等,防止利用欺騙手段進行嗅探。
物理防范:入侵者要讓嗅探器發揮較大功效,通常會把嗅探器放置在數據交匯集中區域,比如網關、交換機、路由器等附近,以便能夠捕獲更多的數據。因此,對于這些區域就應該加強防范,防止在這些區域存在嗅探器。
建設完善的安全制度:除網絡管理員外其他人員禁止在網絡中使用任何嗅探工具,是完全有必要的。這能從制度上明確限制一些工作站主動使用嗅探器的情況。對于網絡管理員來說更重要的是要建立安全意識,了解你的用戶,定期檢查你網絡中的重點設備,如服務器、交換機、路由器。對用戶要定期發送安全郵件,發送郵件是讓用戶具有安全意識。管理意識是提高安全性的另一個重要因素。
使用VLAN隔離:利用VLAN技術將連接到交換機上的所有主機進行邏輯分開,將他們之間的通信變為點到點的通信方式。
保護好個人信息:平時要做好手機號、身份證號、銀行卡號、支付平臺賬號等敏感的私人信息保護。
提高安全意識如果早上起來,看到半夜收到奇怪的驗證碼短信,一定要想到可能是遇到短信嗅探攻擊,如果發現錢被盜刷了,火速凍結銀行卡,保留短信內容,報警。
linux入侵后檢測以下日志文件:
內核及系統日志:這種日志數據由系統服務rsyslog統一管理,根據其主配置文件/etc/rsyslog.conf中的設置決定將內核消息及各種系統程序消息記錄到什么位置。系統中有相當一部分程序會把日志文件交由rsyslog管理,因而這些程序使用的日志記錄也具有相似的格式。
用戶日志:這種日志數據用于記錄Linux操作系統用戶登錄及退出系統的相關信息,包括用戶名、登錄的終端、登錄時間、來源主機、正在使用的進程操作等。
程序日志:有些應用程序會選擇由自己獨立管理一份日志文件,用于記錄本程序運行過程中的各種事件信息,而不是交給rsyslog服務管理。由于這些程序只負責管理自己的日志文件,因此不同程序所使用的日志記錄格式可能會存在較大的差異。
防火墻常見故障如下:
接好防火墻強后網絡不通,無法ping通其他設備,其他設備也無法ping通防火墻;
使用時感覺防火墻性能配置低但實際配置并不低;
有的端口打開了快傳有的沒有,在組合起來應用時某些端口性能很低;
ACL加速編譯失敗;
配置了黑名單表項,但是Buildrun信息中卻沒有顯示;
使用地址搬到功能后原來配置的靜態ARP表項消失;
配置了VGMP卻沒有其作用;
透明模式下ARP表項學習有問題;
配置NAT Server之后從其他域網絡訪問這個NAT server對應的私網IP地址不通。
交換機本身沒有日志審計功能無法開啟,需要將日志輸出到日志審計設備具體操作步驟如下:
<HUAWEI> system-view
[HUAWEI] sysname SwitchA
[SwitchA] info-center enable# 命名信息通道。
[SwitchA] info-center channel 6 name loghost1
[SwitchA] info-center channel 7 name loghost2
# 配置Log信息輸出到日志主機所使用的信息通道。
[SwitchA] info-center loghost 10.1.1.1 channel loghost1
[SwitchA] info-center loghost 10.1.1.2 channel loghost1
[SwitchA] info-center loghost 10.2.1.1 channel loghost2
[SwitchA] info-center loghost 10.2.1.2 channel loghost2
# 配置向日志主機通道輸出Log信息的規則。
[SwitchA] info-center source arp channel loghost1 log level notification
[SwitchA] info-center source aaa channel loghost2 log level warning[SwitchA] vlan 100
[SwitchA-vlan100] quit
[SwitchA] interface gigabitethernet 0/0/1
[SwitchA-GigabitEthernet0/0/1] port link-type hybrid
[SwitchA-GigabitEthernet0/0/1] port hybrid pvid vlan 100
[SwitchA-GigabitEthernet0/0/1] port hybrid untagged vlan 100
[SwitchA-GigabitEthernet0/0/1] quit
[SwitchA] interface vlanif100
[SwitchA-Vlanif100] ip address 172.16.0.1 255.255.255.0
[SwitchA-Vlanif100] return在Server端配置日志主機
設備會產生大量的Log信息,而設備本身的存儲空間相對有限,就需要配置日志主機實現對設備Log信息的收集。日志主機可以是安裝UNIX或LINUX操作系統的主機,也可以是安裝第三方日志軟件的主機,具體配置步驟請參見相關手冊。
檢測配置結果
# 查看輸出方向為日志主機的配置信息。
<SwitchA> display info-center
Information Center:enabled
Log host:
10.1.1.1, channel number 6, channel name loghost1,
language English , host facility local7
10.1.1.2, channel number 6, channel name loghost1,
language English , host facility local7
10.2.1.1, channel number 7, channel name loghost2,
language English , host facility local7
10.2.1.2, channel number 7, channel name loghost2,
language English , host facility local7
Console:
channel number : 0, channel name : console
Monitor:
channel number : 1, channel name : monitor
SNMP Agent:
channel number : 5, channel name : snmpagent
Log buffer:
enabled,max buffer size 1024, current buffer size 512,
current messages 26, channel number : 4, channel name : logbuffer
dropped messages 0, overwritten messages 0
Trap buffer:
enabled,max buffer size 1024, current buffer size 256,
current messages 11, channel number:3, channel name:trapbuffer
dropped messages 0, overwritten messages 0
logfile:
channel number : 9, channel name : channel9, language : English
Information timestamp setting:
log - date, trap - date, debug - date millisecond
Sent messages = 273456, Received messages = 284845
IO Reg messages = 2 IO Sent messages = 11389SwitchA的配置文件
#
sysname SwitchA
#
info-center channel 6 name loghost1
info-center channel 7 name loghost2
info-center source ARP channel 6 log level notification
info-center source AAA channel 7 log level warning
info-center loghost 10.1.1.1 channel 6
info-center loghost 10.1.1.2 channel 6
info-center loghost 10.2.1.1 channel 7
info-center loghost 10.2.1.2 channel 7
#
vlan batch 100
#
interface Vlanif100
ip address 172.16.0.1 255.255.255.0
#
interface GigabitEthernet0/0/1
port link-type hybrid
port hybrid pvid vlan 100
port hybrid untagged vlan 100
#
return企業安全的防護重點是:
DDoS攻擊:I大量數據包涌入受害者的網絡,讓有效請求無法通過。但這只是最基本的DDoS攻擊形式,防御方面的改進已經迫使攻擊者改變了他們的攻擊方式。DDoS攻擊使用的數據包越來越多,攻擊流量最多達到100Gbps。攻擊者還開始針對基礎設施的其他部分,其中企業域名服務的服務器的攻擊者最喜歡的目標。因為當攻擊者成功攻擊DNS服務器后,客戶將無法訪問企業的服務。
舊版本瀏覽器:每年涉及數百萬美元的銀行賬戶欺詐網絡攻擊都是利用瀏覽器漏洞,更常見的是,利用處理Oracle的Java和Adobe的Flash及Reader的瀏覽器插件。漏洞利用工具包匯聚了十幾個針對各種易受攻擊組件的漏洞利用,如果企業沒有及時更新,攻擊者將通過這種工具包迅速侵入企業的系統。例如,最新版本的Blackhole漏洞利用工具包包含7個針對Java瀏覽器插件的漏洞利用,5個針對Adobe PDF Reader插件,2個針對Flash。
不良網站:知名的合法網站開始成為攻擊者的目標,因為攻擊者可以利用用戶對這些網站的信任。企業不可能阻止員工訪問這些知名網站,并且企業的技術防御總是不夠。還有另一種更陰險的攻擊–惡意廣告攻擊,這種攻擊將惡意內容插入廣告網絡中,惡意廣告可能只是偶爾出現在廣告跳轉中,這使這種攻擊很難察覺。
移動應用程序:60%的移動應用程序從設備獲取獨特的硬件信息并通過網絡接口傳出去,更糟糕的是,10%的應用程序沒有安全地傳輸用戶的登錄憑證此外,支持很多移動應用的Web服務也很不安全。由于用戶不喜歡輸入密碼來使用移動設備上的服務,移動應用經常使用沒有過期的會話令牌。而攻擊者可以在熱點嗅探流量并獲取這些令牌,從而訪問用戶的賬戶。
SQL注入:對于SQL注入攻擊,最簡單的辦法就是檢查所有用戶提供的輸入,以確保其有效性。企業在修復SQL漏洞時,通常專注于他們的主要網站,而忽視了其他連接的網站,例如遠程協作系統等。攻擊者可以利用這些網站來感染員工的系統,然后侵入內部網絡。為了減少SQL注入問題的風險,企業應該選擇自己的軟件開發框架,只要開發人員堅持按照該框架來編程,并保持更新,他們將創造出安全的代碼。
證書的危害:企業不能盲目地信任證書,攻擊者可能使用偷來的證書創建假的網站和服務,或者使用這些證書來簽署惡意代碼,使這些代碼看起來合法。此外,糟糕的證書管理也會讓企業付出巨大的代價。企業應該跟蹤證書使用情況,并及時撤銷問題證書。
跨站腳本問題:跨站腳本利用了瀏覽器對網站的信任,代碼安全公司Veracode發現,超過70%的應用程序包含跨站腳本漏洞,這是影響商業開源和內部開發軟件的首要漏洞問題。企業可以利用自動代碼檢查工具來檢測跨站腳本問題,企業還應該修改其開發流程,在將程序投入生產環境之前,檢查程序的漏洞問題。
物聯網漏洞:在物聯網中,路由器、打印機、門鎖等一切事物都通過互聯網連接,在很多情況下,這些設備使用的是較舊版本的軟件,而這通常很難更新。 攻擊者很容易利用這些設備來侵入企業內部網絡。企業應該及時發現和禁用其環境中任何UPnP端點,并通過有效的工具來發現易受攻擊的設備。
情報機器人:并非所有攻擊的目的都是攻擊企業的防御系統。自動web機器人可以收集你網頁中的信息,從而讓你的競爭對手更了解你的情況,但這并不會破壞你的網絡。企業可以利用web應用程序防火墻服務來判斷哪些流量連接到良好的搜索索引機器人,而哪些連接到競爭對手的市場情報機器人或者假的谷歌機器人。這些服務可以防止企業信息流到競爭對手。
新技術舊問題:不同企業可能會遇到不同的威脅,有網上業務的企業可能會有SQL注入和HTML5問題,有很多遠程辦公人員的企業可能會有移動問題。企業不應該試圖將每一種威脅降到最低,而應該專注于最常被利用的漏洞,并解決漏洞問題。同時,培養開發人員采用安全做法,并讓開發人員互相檢查代碼以減少漏洞。
保障云存儲安全的原則有以下這些:
要有合理的安全假設。最好的安全假設是除自己以外的所有實體都是不可信的,因為假設云存儲服務器是不可信的,所以數據擁有者需要對數據加密存放,提取數據時還要進行數據完整性驗證。此外,在系統實現時的密碼算法可由用戶根據數據的敏感度選擇相應強度的加密算法。
保障整體性原則。正如“木桶原理”所述,短板最終容易成為眾矢之的,即使其他部位安全強度再高,也沒有意義。因此,根據云存儲系統安全體系結構,制定全生命周期的安全方案,各個部位及環節都需要有完備的安全設計。
熟悉安全標準與法規,保障數據的合規性。盡可能選擇本地化服務,要考慮云服務器的物理位置,最好是在可以控制的界限內,比如在企業內部、在國家內部等。
對選擇的云存儲服務提供商要有足夠的了解,包括云存儲服務提供商的信譽、服務質量、服務器的可用性與可靠性,甚至還要了解服務器的具體地理位置,雙方的服務協議盡可能具體和細化。同時,根據數據的敏感度選擇云存儲服務提供商及安全機制。
對于非常重要的數據,可以考慮建立混合云框架,結合私有云和公共云,可以提供所有云計算的優勢,同時對敏感數據實現重點保護。也可以結合多云存儲,以避免單服務提供商可能造成“廠商鎖定”。
建議采用深度防御策略,包括在所有托管主機上應用多因子身份認證,啟用基于主機和基于網絡的入侵檢測系統,應用最小特權、網絡分段概念,實施共享資源補丁策略等。
可能做長遠的考慮。雖然目前一些云服務提供商擁有較好的利潤率,但并不意味著將來也一直如此。因此,業務連續性和災難恢復也是用戶需要考慮的問題。
盡可能做長遠的考慮。雖然目前一些云服務提供商擁有較好的利潤率,但并不意味著將來也一直如此。因此,業務連續性和災難恢復也是用戶需要考慮的問題。
當前企業網絡安全管理中普遍面臨的問題如下:
重視安全技術,忽視安全管理:企業愿意在防火墻等安全技術上投資,而相應的管理水平,手段沒有體現,包括管理的技術和流程,以及員工的管理。
安全管理缺乏系統管理的思想:被動應付多于主動防御,沒有做前期的預防,而是出現問題才去想補救的方法,不是建立在風險評估基礎上的動態的持續改進的管理方法。
企業員工的人為操作失誤:在一個企業中,員工出現操作不當現象會給企業網絡帶來一定的安全隱患,現階段很多企業員工缺乏一定的安全意識,在對用戶口令進行選擇時可能會出現失誤,或者隨意的將自己的企業賬號轉借給他人,又或者是和他人共享,這一系列的問題都給企業網絡安全帶來一定的影響。
惡意攻擊:人為攻擊是企業計算機網絡現階段面臨的一個非常重大的威脅,這類攻擊可以分為主動攻擊和被動攻擊這兩類,主動攻擊具體指的是攻擊人用各種不同的方式有針對性并且又選擇性的對信息的完整性以及有效性進行破壞。而被動攻擊則是指在對網絡正常運行不帶來影響的前提下對企業的重要信息展開截取,盜竊以及破譯,不論是主動攻擊還是被動攻擊都會給企業計算機網絡帶來非常巨大的傷害,重要信息的泄密也會給企業帶來非常重大的損失。
網絡軟件存在的漏洞及后門:現階段各個企業在使用的網絡軟件并不是沒有任何漏洞以及缺陷的,也正是因為存在的這些漏洞導致企業網絡成為黑客攻擊的目標。而軟件后門則是指軟件公司在對該軟件展開編程設計時為了方便自行設置的,也或者是黑客在成功闖入計算機網絡中之后為了可以更加方便的再次入侵而設置的,通常情況下編程設計人員在軟件中設置的后門是不會被外人知道的,然而一旦被某些入侵者知道,將會給企業網絡信息帶來非常重大的損失。
網絡病毒:網絡病毒的產生大多是因為企業網絡系統原本就存在有一定的漏洞,這樣也就給病毒制造者進行病毒入侵提供了機會,企業網絡病毒也就因此產生。
企業網絡安全管理中面臨問題的防護措施如下:
終端設備安全防護:關閉不必要的服務、端口、來賓組等,為不同用戶開放權限較低權限,防止安裝過多應用軟件及病毒、木馬程序的自運行。
進程運行監控:對運行以及試圖運行的進程進行監視、控制。防止病毒、木馬等惡意程序調用進程。及時了解操作系統開啟服務與程序情況,防止惡意程序后臺運行。
操作系統監控:對操作系統內存、CPU利用率等基本性能的監控有助于了解對系統資源占用過大的程序,從而鑒定其是否為正常運行或正常程序。
終端外設監控:采用物理手段或軟件防護封禁USB接口,關鍵設備禁止外接存儲設備,防止因濫用計算機外接存儲設備造成的木馬、病毒的泛濫傳播等。
操作系統密碼監控:定期改變具有一定復雜度的密碼及密碼策略。
網絡配置監控:統計核心計算機網卡的MAC、IP地址、計算機路由器的接口信息。
計算機安全防護:開啟防火墻,建立多級備份機制,工程備份借助云服務或移動硬盤等大存儲設備。
服務器安全防護:所有服務器操作系統必須及時更新修補漏洞,遠程管理端口及系統登錄密碼不定期進行更改,服務器開放指定端口進行互通訪問,數據庫服務器不接通外網,應用程序和數據服務盡量安裝至不同服務器中,通過內網互通訪問。
交換機安全防護:交換機設置安全管理策略,保障故障點準確定位及時處理,交換機網絡配置定期備份,定期改變具有一定復雜度的密碼。
無線網絡安全防護:設置白名單方式,禁止私接無線路由設備,無線設備密碼定期更換。
IP安全管理:IP使用遵循公司規定,使用IP設備位置、用途向相關部門報備,PLC多臺設備協同作業時,需配備獨立網絡接口或管理交換機進行IP隔離。
硬件選型管理:設備選型需業主方認可品牌,如:網絡設備。
設備密碼管理:所有設備不得加密或提供永久性密碼。
生產網IT網管理:接入生產網絡設備遵循公司IP規則,不允許設備接通外部網絡,IT網下不允許訪問生產網絡系統及設備,生產網和IT網直接加裝防火墻隔離訪問,如需互訪通過白名單設置。
網絡維護細則:建立設備信息臺賬:包括設備名稱、型號配置、操作系統安裝日期、數據版本、部署軟件當前資源利用率,以便故障診斷和分析。
機房安全管理:網絡工程師離開機房及時上鎖;未經網絡管理人員同意其他人員禁止擅自更改設備配置;其他人員進入機房需網絡管理人員陪同;未經網絡管理人員同意禁止在機房內計算機上網。
網絡巡檢管理:物理設備(UPS、防火墻、交換機、服務器、路由器、滅火器);應用系統(工業操作系統:MES、SCADA、DCS等;辦公系統OA等);環境(溫度、濕度)。
網絡管理員管理:網絡管理人員不得私自更改現有網絡架構,私自架設與業務無關網絡服務;不得私自修改網絡配置;定期檢查操作系統升級報告,定期檢查防火墻日志。
經驗教訓總結:建立網絡風險登記冊,及時總結故障經驗教訓。
