下面以某開源堡壘機搭建為例:
準備Python3和Python虛擬環境:
a. 安裝依賴包;
b. 編譯安裝python3;
c. 建立Python虛擬環境;
安裝堡壘機:
a. 下載或Clone項目;
b. 安裝依賴RPM包;
c. 安裝Python庫依賴;
d. 安裝Redis;
e. 創建數據庫堡壘機并授權;
f. 修改堡壘機配置文件;
g. 生成數據庫表結構和初始化數據;
h. 運行堡壘機;
安裝SSHServer和WebSocketServer:
a. 下載或Clone項目;
b. 安裝依賴;
c. 查看配置文件并運行;
d. 測試連接;
安裝WebTerminal前端;
配置Nginx整合各組件;
360安全衛士是一款非常不錯安全軟件,內網360安全衛士更新方法如下:
下載離線版安全衛士
去360官網下載離線版安全衛士
拷貝安裝到內網計算機
將下載的離線版360安全衛士用U盤拷貝到內網計算機中安裝即可
網絡結構因素
網絡基本拓撲結構有3種:星型、總線型和環型。一個單位在建立自己的內部網之前,各部門可能已建造了自己的局域網,所采用的拓撲結構也可能完全不同。在建造內部網時,為了實現異構網絡間信息的通信,往往要犧牲一些安全機制的設置和實現,從而提出更高的網絡開放性要求。
網絡協議因素
在建造內部網時用戶為了節省開支必然會保護原有的網絡基礎設施。另外,網絡公司為生存的需要對網絡協議的兼容性要求越來越高,使眾多廠商的協議能互聯、兼容和相互通信。這在給用戶和廠商帶來利益的同時也帶來了安全隱患。如在一種協議下傳送的有害程序能很快傳遍整個網絡。
地域因素
由于內部網Intranet既可以是LAN也可能是WAN,網絡往往跨越城際甚至國際。地理位置復雜通信線路質量難以保證,這會造成信息在傳輸過程中的損壞和丟失也給一些“黑客”造成可乘之機。
用戶因素
企業建造自己的內部網是為了加快信息交流,更好地適應市場需求。建立之后,用戶的范圍必將從企業員工擴大到客戶和想了解企業情況的人。用戶的增加,也給網絡的安全性帶來了威脅,因為這里可能就有商業間諜或“黑客。”
主機因素
建立內部網時使原來的各局域網、單機互聯,增加了主機的種類,如工作站、服務器,甚至小型機、大中型機。由于它們所使用的操作系統和網絡操作系統不盡相同,某個操作系統出現漏洞,就可能造成整個網絡的大隱患。
單位安全政策
實踐證明80%的安全問題是由網絡內部引起的,因此單位對自己內部網的安全性要有高度的重視必須制訂出一套安全管理的規章制度。
人員因素
人的因素是安全問題的薄弱環節。要對用戶進行必要的安全教育,選擇有較高職業道德修養的人做網絡管理員制訂出具體措施提高安全意識。
其他因素
其他因素如自然災害等也是影響網絡安全的因素。
數字程控交換在技術上表現為以下三個主要特征:
采用大規模集成電路,實現了用戶接口模塊(用戶級)和數字交換網絡(選組級)的全數字化;
在信令技術方面,普遍采用7號共路信令方式;
隨著微處理機技術的迅速發展,數字程控交換普遍采用多機分散控制方式。
入侵者所采用的攻擊手段主要有以下八種特定類型。
冒充:將自己偽裝成具有較高權限的用戶,并以他的名義攻擊系統。
重演:利用復制合法用戶所發出的數據(或部分數據)并重發,以欺騙接收者,進而達到非授權入侵的目的。
篡改:通過秘密篡改合法用戶所傳送數據的內容,實現非授權入侵的目的。
服務拒絕:中止或干擾服務器為合法用戶提供服務或抑制所有流向某一特定目標的數據,如流向安全審計服務的數據信息。
內部攻擊:利用其所擁有的權力或越權對系統進行破壞活動。這是最危險的類型,已有資料表明70%以上的犯罪事件都與內部攻擊有關。
外部攻擊:通過搭線竊聽、截獲輻射信號、冒充系統管理人員或授權用戶或系統的組成部分、設置旁路躲避鑒別和訪問控制機制等各種手段入侵系統。
陷阱門:首先通過某種方式侵入系統,然后,安裝陷阱門。并通過更改系統功能屬性和相關參數,使入侵者在非授權情況下能對系統進行各種非法操作。
特洛伊木馬:這是一種具有雙重功能的客戶/服務體系結構。特洛伊木馬系統不但擁有授權功能,而且還擁有非授權功能,一旦建立這樣的體系,整個系統便被占領。例如,一個同時向非授權信道復制消息的中繼就是一個特洛伊木馬。
殺毒軟件常見的查殺分為以下三種:
文件查殺
是我們的病毒特征碼與殺毒軟件中的病毒庫中的代碼來進行比較,如果病毒庫中有相同的特征碼,就會認為這個是病毒特征碼。通俗一點講,比如你身上一個特征 它就會認識到這個特征就是你了。所以,對于這樣的查殺模式。我們只要改變特征碼殺毒軟件就會不認識了。
內存查殺
其實內存查殺也是通過特征碼的,和文件查殺基本上一樣,一個區別就是它是通過內存特征碼來查殺的。
行為查殺
是通過判斷程序的動作來進行定義,如果程序對某個地方進行動作就會被認為是病毒了。比如對灰鴿子做內存免殺后,發現能過。但是一運行就會被報毒。
微服務通用安全性實現技術包括以下這些:
單向散列加密技術:單向散列加密算法常用于生成消息摘要(Message Digest),其主要特點在于單向不可逆和密文長度固定,同時也具備“碰撞”少的優點,即明文的微小差異就會導致所生成密文完全不同。同時可以通過加鹽(Salt)的方式進一步提高破解的難度。所謂加鹽,就是在初始化明文數據時,由系統自動往這個明文里添加一些附加數據再散列。當使用該數據時,系統為用戶提供的代碼撒上同樣的“鹽”,然后散列并再比較散列值以判斷明文是否正確。這個“鹽”值是由系統隨機生成的,并且只有系統知道。這樣即便在兩個不同場景下使用了同樣的明文,由于系統每次生成的鹽值不同,它們的散列值也不同。常見的單向散列加密算法實現包括MD5和SHA。
對稱加密技術:對稱加密(Symmetric Encryption)中加密和解密采用統一算法,密鑰對稱。使用對稱密鑰的優點在于簡單、高效、長秘鑰難破解,但需要確保密鑰交換過程的安全性。DES 和AES算法是目前對稱加密的主要實現方式。
非對稱加密技術:區別于對稱加密在加密和解密時使用同一密鑰,非對稱加密(Asymmetric Encryption)需要兩個密鑰來進行加密和解密,這兩個密鑰分別稱為公鑰(Public Key)和私鑰(Private Key)。首先乙方生成一對密鑰(公鑰和私鑰),并將公鑰向甲方公開,得到該公鑰的甲方使用該公鑰對機密信息進行加密后發送給乙方,乙方再用自己保存的私鑰對加密后的信息進行解密。在傳輸過程中,即使攻擊者截獲了傳輸的密文,并得到了乙的公鑰,也無法破解密文,因為只有乙的私鑰才能解密密文。同樣,如果乙要回復加密信息給甲,那么需要甲先公布自己的公鑰給乙用于加密,甲自己保存乙的私鑰用于解密,甲乙之間使用非對稱加密的方式完成敏感信息的安全傳輸。顯然非對稱加密在算法實現和密鑰管理上比較復雜,目前典型的實現有RSA算法。
摘要認證技術:摘要認證中,摘要的對象是客戶端參數和服務器端響應,即在請求-應答式交互過程中,需要站在發生交互的客戶端和服務器端分別判斷對方是否合法。摘要認證的過程也比較簡單,即通過MD5或SHA算法結合加鹽機制進行摘要的生成和比對以判斷信息是否被篡改。整個認證就是一個客戶端參數摘要生成→服務器端參數摘要驗證→服務器端響應摘要生成→客戶端響應摘要驗證的閉環交互過程。這里需要考慮如何保證客戶端和服務器端使用同一個Salt,服務器端可以在認證之前通過某種方式把Salt發給需要接入的客戶端。
簽名認證技術:摘要認證的主要問題就是如何防止Salt泄露,而簽名認證則不使用Salt,基本思路是使用非對稱加密算法加密數字摘要,是混合算法的一種具體應用。同摘要認證一樣,簽名認證也通過客戶端參數簽名生成→服務端參數簽名驗證→服務端響應簽名生成→客戶端響應簽名驗證完成閉環。摘要認證中通常使用MD5with RSA和SHA1with RSA等算法組合。
UDP的優點主要有以下四個:
傳輸數據之前通信雙方不需要建立連接,因此不存在連接建立的時延。在發送端,UDP傳送數據的速度僅僅受應用程序生成數據的速度、計算機的能力和傳輸帶寬的限制;在接收端, UDP把每個數據報放在隊列中,應用程序每次從隊列中讀一個數據報。
傳輸數據不需要維護連接狀態,包括收發狀態等,這樣一臺服務器可同時向多個客戶端傳輸相同的數據,如實現多播。
UDP數據報首部很短,只有8字節,相對于TCP的20字節首部的開銷要小很多。
吞吐量不受流量控制算法的調節,只受應用軟件生成數據的速率、傳輸帶寬、信源和信宿主機性能的限制。
現代網絡計算機病毒的流行特征:
病毒與黑客程序相結合:隨著網絡的普及和網速的提高,計算機之間的遠程控制越來越方便,傳輸文件也變得非常快捷,正因為如此,病毒與黑客程序(木馬病毒)結合以后的危害更為嚴重,病毒的發作往往伴隨著用戶機密資料的丟失。病毒的傳播可能會具有一定的方向性,按照制作者的要求侵蝕固定的內容。
蠕蟲病毒更加泛濫:其表現形式是郵件病毒會越來越多,這類病毒是由受到感染的計算機自動向用戶的郵件列表內的所有人員發送帶毒文件,往往在郵件當中附帶一些具有欺騙性的話語,由于是熟人發送的郵件,接受者往往沒有戒心。因此,這類病毒傳播速度非常快,只要有一個用戶受到感染,就可以形成一個非常大的傳染面。
病毒破壞性更大:計算機病毒不再僅僅以侵占和破壞單機的資料為目的。木馬病毒的傳播使得病毒在發作時有可能自動聯絡病毒的創造者(如愛蟲病毒),或者采取DoS(拒絕服務)的攻擊(如紅色代碼病毒)。一方面可能會導致本機機密資料的泄露,另一方面會導致一些網絡服務的中止。而蠕蟲病毒則會搶占有限的網絡資源,造成網絡堵塞(如Nimda病毒),如有可能,還會破壞本地的資料(如針對911恐怖事件的Vote病毒)。
制作病毒的方法更簡單:由于網絡的普及,使得編寫病毒的知識越來越容易獲得。同時,各種功能強大而易學的編程工具讓用戶可以輕松編寫一個具有極強殺傷力的病毒程序。用戶通過網絡甚至可以獲得專門編寫病毒的工具軟件,只需要通過簡單的操作就可以生成破壞性的病毒。
病毒傳播速度更快,傳播渠道更多:目前上網用戶已不再局限于收發郵件和網站瀏覽,此時,文件傳輸成為病毒傳播的另一個重要途徑。隨著網速的提高,在數據傳輸時間變短的同時,病毒的傳送時間會變得更短。同時,其他的網絡連接方式如ICQ、IRC也成為了傳播病毒的途徑。
病毒的實時檢測更困難:眾所周知,對待病毒應以預防為主,如果發生了病毒感染,往往就已經造成了不可挽回的損失,因此對網上傳輸的文件進行實時病毒檢測成了亟待解決的重要問題。但是,有些病毒實時檢測很難發現。
網關防毒已成趨勢:如果等病毒已經進入局域網后再進行查殺,顯然為時已晚。因此,通過網關把病毒拒絕在網絡之外是最好的解決辦法。這種辦法還可以防止將網絡內部受到感染的病毒文件傳到其他的網絡當中,使得各個網絡能夠互相獨立。
UDP的應用主要有以下方面:
UDP適合于這樣的進程:它需要簡單的請求—響應通信,而較少考慮流量控制和差錯控制。對于需要傳送成塊數據的進程(如FTP)則通常不使用UDP。
UDP適用于具有內部流量控制和差錯控制機制的進程。例如,簡單文件傳輸協議(TFTP)的進程就包含流量控制和差錯控制,它可很容易地使用UDP。
對于多播來說,UDP是一個合適的傳輸協議。多播能力已嵌入到UDP軟件中,但沒有嵌入到TCP軟件中。
UDP可用于管理進程,如SNMP。
UDP可用于某些路由選擇更新協議,如路由選擇信息協議(RIP)。
UDP通常用于交互實時應用,這些應用不能容忍接受報文之間的不一致延遲。
軟件的安全設計應該盡量遵循一些基本的安全設計原則,這些原則是軟件開發和軟件測試中有關安全經驗的總結,可以用于指導安全開發人員開發更為安全的軟件。
最小特權原則
對于請求存儲資源的主體,只應該分配最少的必要權限,而且應該保證賦予權限分配的必要時間最短。如果授予一個用戶或進程、組件超過其行為必要的權限范圍的許可,該用戶或進程、組件就有可能獲得或修改其沒有權限處理的信息。
權限分離原則
盡量把軟件劃分為不同的獨立組件,把權限分成不同的權限許可和認證條件,用戶授予不同的權限角色。不要將權限一次性授予一個用戶,應該根據需要提供多重認證與檢查機制再進行授予。
最少共享機制原則
避免多個主體共享同一個資源,因為敏感的信息可能通過相同的資源在這些主體之間共享,導致被其他用戶獲取。每個主體應該有不同的資源或不同的資源實例,在保證多用戶存取訪問靈活性的同時,防止由單一的共享機制導致潛在違背安全性的行為。
完全中立原則
每次主體對資源的請求,系統都應該實行認證和執行檢查,特別是和安全相關的內容,以避免錯誤地賦予主體過高的權限,或者在第一次授予權限之后,主體被攻擊之后攻擊者濫用相關權限。為了提高性能,一些系統會緩存主體的權限,這種做法易使系統產生較高的安全風險。
心理可接受程度原則
安全機制應該盡可能對用戶透明,只引入少量的資源使用限制,對用戶友好,才能在使用時方便用戶的理解和使用,真正起到安全防護的作用。如果安全機制妨礙了資源的可用性或使得資源難以獲取,那么用戶很可能會選擇關閉這些安全機制或功能。
默認故障處理保護原則
當系統失效或產生故障時,必須是以安全的方式來處理系統信息,系統故障處理默認應該是安全的設置。例如,即使喪失了可用性,也應該保障系統的機密性和完整性;故障發生時必須阻止未授權的用戶獲得訪問權限;發生故障后,應該不向遠程未授權的用戶暴露敏感信息,如錯誤號和錯誤信息、服務器信息之類。
經濟機制原則
復雜性是評估一個系統安全性的重要因素之一。如果設計、實現的功能非常復雜,那么系統存在安全漏洞的可能性就會大大增加,一些問題在復雜的系統中很難被及時發現。系統的設計和實現應該盡量簡單,以降低因復雜性帶來的安全問題。
不信任原則
開發者應該假定系統環境是不安全的。減少對用戶、外部系統、其他組件的信任,對外部實體所有的輸入都需要進行檢查。另外,也不應該認為每次對函數或系統的調用操作都會成功,必須對每次函數或系統調用返回值進行檢查,并進行正確的處理。
縱深防御原則
軟件應該設置多重安全措施,并充分利用操作系統提供的安全防護機制,形成縱深防御體系,以降低攻擊者成功攻擊的幾率。多重安全措施使攻擊者繞過每一個機制才能達到目的,提高了攻擊者的攻擊成本,降低了安全危害。
保障最弱環節原則
攻擊者一般從系統最薄弱的環節發起攻擊,而不是針對已經加固的組件。相對于破解一個數學上已經證明了比較安全的算法,攻擊者更喜歡利用軟件的安全漏洞。因此,軟件開發者必須了解自己軟件的薄弱點,對這些弱點實施更強的安全保護措施。
公開設計原則
應該假定攻擊者有能力獲取系統足夠的信息,不能依賴于攻擊者“不可能知道”來保護系統的安全。如果設計的加密算法存在弱密鑰,或者系統設有萬能口令等,攻擊者通過反匯編分析能夠獲取這些信息,攻擊者還可能是內部被辭退的員工,因此,依賴于攻擊者無法掌握某些特定信息來保護系統的安全是不可靠的。
隱私保護原則
系統收集到的用戶信息都必須實施妥善和安全的保護。攻擊者獲得了用戶的隱私數據之后,可以進一步發起針對用戶的各種攻擊,如欺騙等,因此不應該向其他用戶泄漏用戶的隱私信息。
攻擊面最小化原則
攻擊面(attack surface)通常也稱受攻擊面,是指對一個軟件系統可以采取的攻擊方法的集合。因為攻擊者對軟件的攻擊是通過其暴露在外部的接口、功能、服務和協議等資源來實施的,通過對每種資源計算其被攻擊成功的可能性,并將這些可能性綜合歸納,即可以衡量軟件的攻擊面大小。可以看出,一個軟件的攻擊面越大,其安全風險也就越大。
減少攻擊面是安全設計中的一個重要步驟,軟件設計人員需要仔細評估軟件中所有的功能模塊和接口的特性,分析其可能存在的安全風險,并設定相應的限制措施。如果一個功能/數據接口不是必要的,則應該取消或禁止,或者默認不開啟。如果一個功能/數據接口的配置沒有特殊的理由,則默認應該按安全的方式進行設置。
內網安全保密技術有以下這些:
入網訪問控制技術:訪問控制技術,指防止對任何資源進行未授權的訪問,從而使計算機系統在合法的范圍內使用。意指用戶身份及其所歸屬的某項定義組來限制用戶對某些信息項的訪問,或限制對某些控制功能的使用的一種技術,如UniNAC網絡準入控制系統的原理就是基于此技術之上;
網絡的權限控制技術:權限管理,一般指根據系統設置的安全規則或者安全策略,用戶可以訪問而且只能訪問自己被授權的資源,不多不少。權限管理幾乎出現在任何系統里面,只要有用戶和密碼的系統。 很多人常將“用戶身份認證”、“密碼加密”、“系統管理”等概念與權限管理概念混淆;
目錄級安全控制技術:指的是提供一種高度可靠的安全保護手段的系統,可以最大限度地避免相關設備的不安全狀態,防止惡性事故的發生或在事故發生后盡可能地減少損失,保護生產裝置及最重要的人身安全;
屬性安全控制技術:類似目錄級安全控制技術,只不過是改為屬性控制;
防火墻控制技術:防火墻是一個由計算機硬件和軟件組成的系統,部署于網絡邊界,是內部網絡和外部網絡之間的連接橋梁,同時對進出網絡邊界的數據進行保護,防止惡意入侵、惡意代碼的傳播等,保障內部網絡數據的安全;
授權機制權限控制技術:類似入網訪問控制技術,將入網訪問改為授權訪問,其本質都是訪問控制技術;
加密機制技術:通過單向加密、雙向加密來實現加密,保證內網的信息不外泄。
木馬欺騙計算機的手段有以下這些:
修改圖標:現在已經有木馬可以將木馬服務端程序的圖標改成HTML、TXT、ZIP等各種文件的圖標,這就具備了相當大的迷惑性。不過,目前提供這種功能的木馬還很少見,并且這種偽裝也極易被識破,所以完全不必擔心。
冒充圖片文件:這是許多黑客常用來騙別人執行木馬的方法,就是將木馬說成為圖像文件,比如說是照片等。應該說這樣是最不合邏輯的,但卻是最多人中招。只要入侵者扮成美眉及更改服務端程序的文件名為“類似”圖像文件的名稱,再假裝傳送照片給受害者,受害者就會立刻執行它。
文件捆綁:惡意捆綁文件偽裝手段是將木馬捆綁到一個安裝程序上,當用戶在進行該程序安裝運行時,木馬就偷偷地潛入了系統。被捆綁的文件一般是可執行文件(即EXE,COM一類的文件)。這樣對一般人的迷惑性很大,而且即使他以后重裝系統,如果他的系統中還保存了那個“游戲”,就有可能再次中招。
出錯信息顯示:眾所周知,當在打開一個文件時如果沒有任何反應,很可能就是個木馬程序。為規避這一缺陷,已有設計者為木馬提供了一個出錯顯示功能。該功能允許在服務端用戶打開木馬程序時,將彈出一個假的出錯信息提示框(內容可自由定義),多是一些諸如“文件已破壞,無法打開!”類信息,當服務端用戶信以為真時,木馬已經悄悄侵入了系統。
把木馬偽裝成文件夾:把木馬文件偽裝成文件夾圖標后,放在一個文件夾中,然后在外面再套三四個空文件夾,很多人出于連續點擊的習慣,點到那個偽裝成文件夾木馬時,也會收不住鼠標點下去,這樣木馬就成功運行了。識別方法:不要隱藏系統中已知文件類型的擴展名稱即可。
給木馬服務端程序更名:木馬服務端程序的命名有很大的學問。如果不做任何修改,就使用原來的名字,誰不知道這是個木馬程序呢?所以木馬的命名也是千奇百怪。不過大多是改為和系統文件名差不多的名字。如果用戶對系統文件不夠了解,那就危險。例如有的木馬把名字改為window.exe,還有的就是更改一些擴展名,比如把dll改為d11(注意看是數字“11”而非英文字母“ll”)等。
防范木馬入侵的措施有以下這些:
不要執行任何來歷不明的軟件:對于從網上下載的軟件在安裝、使用前一定要用多幾種反病毒軟件,最好是專門查殺木馬的軟件進行檢查,確定無毒了再執行、使用。
不要認為郵箱不會收到垃圾和帶毒的郵件:千萬不要認為私人郵箱就不會收到垃圾和帶毒的郵件,即使從沒露過面的郵箱或是ISP郵箱也是有風險的,有些時候你永遠沒辦法知道別人如何得知你的mail地址的。
不要隨便留下個人資料:特別不要在聊天室內公開你的Email地址,更不要將重要口令和資料存放在上網的主機里,以防黑客侵入主機盜走一切個人信息。
不要隨便下載軟件:不要再不可靠的小FTP站點、公眾新聞級、論壇或BBS上下載軟件,因為這些地方正是新病毒發布的首選之地。
不要輕易打開廣告郵件中附件或點擊其中的鏈接:因為廣告郵件也是那些黑客程序依附的重要對象,特別是其中的一些鏈接,只要一點開,木馬病毒就會立馬入侵。
將windows資源管理器配置成始終顯示擴展名:因為一些擴展名為:VBS、SHS、PIF的文件多為木馬病毒的特征文件,更有些文件為又擴展名,更應重點查看,一經發現要立即刪除,千萬不要打開,只有實時顯示了文件的全名才能及時發現。
盡量少用共享文件夾:如果因工作等其它原因必需設置成共享,則最好單獨開一個共享文件夾,把所有需共享的文件都放在這個共享文件夾中,注意千萬不要系統目錄設置成共享,不然這樣被入侵的風險非常高
給電子郵件加密:為了確保郵件不被其它人看到,同時也為了防止黑客們的攻擊,可使用一些郵件加密軟件,提高安全性。
運行反木馬實時監控程序:還有最重要的一點,就是在上網時必需運行反木馬實時監控程序,可即時顯示當前所有運行程序并有詳細的描述信息,還可以外加一些專業的最新殺毒軟件、個人防火墻進行監。
