rootkit是一組能獲得計算機系統root或者管理員權限對計算機進行訪問的工具。rootkit有以下功能:
隱藏文件:該惡意軟件可以修改sys_getdents64系統調用或者直接更改底層readdir實現文件及目錄的隱藏;
隱藏進程:和隱藏文件的方法類型,通過隱藏proc文件系統下的進程目錄實現隱藏進程的效果;
隱藏連接:通過hook sys_read的調用實現隱藏連接,也可以通過修改計算機相應函數來隱藏;
隱藏模塊:通過將模塊從內核模塊鏈表中摘除從而達到隱藏效果;
嗅探:通過libpacap庫直接訪問鏈路層截獲數據包等方式來嗅探;
密碼記錄:一般通過判斷當前運行程序的進程名或當前終端是否關閉回顯的方式來獲取用戶輸入的賬戶和密碼;
日志擦除:內置他人編寫的相應工具對日志文件進行修改,并且可以實現一些隱藏用戶的操作。
DHCP服務面臨以下網絡攻擊:
DHCP服務欺騙攻擊:在DHCP工作過程中,通常服務器和客戶端沒有認證機制,如果網絡上存在多臺DHCP服務器,那么,不僅會給網絡造成混亂,也對網絡安全造成很大威脅。黑客將正常的DHCP服務器中的IP地址耗盡,然后冒充合法的DHCP服務器,為客戶端分配IP地址等配置參數。例如,黑客利用冒充的DHCP服務器,為用戶分配一個經過修改的DNS服務器地址,在用戶毫無察覺的情況下被引導至預先配置好的假金融網站或電子商務網站,騙取用戶的賬戶和密碼,這種攻擊的危害是很大的。
中間人攻擊:按照ARP協議的設計,一個主機即使收到的ARP應答并非自身請求得到的,也會將其IP地址和MAC地址的對應關系添加到自身的ARP映射表中。這樣可以減少網絡上過多的ARP數據通信,但也為ARP欺騙創造了條件。
IP/MAC欺騙攻擊:常見的欺騙種類有MAC欺騙、IP欺騙、IP/MAC欺騙,黑客可以偽造報文的源地址進行攻擊,其目的一般為偽造身份或者獲取針對IP/MAC的特權。另外,此方法也被應用于DoS(Deny of Service,拒絕服務)攻擊,嚴重危害了網絡安全。
DHCP報文泛洪攻擊:DHCP報文泛洪攻擊是指:惡意用戶利用工具偽造大量DHCP請求報文發送到服務器,一方面惡意耗盡IP資源,使得合法用戶無法獲得IP資源;另一方面,如果交換機上開啟了DHCP Snooping功能,則會將接收到的DHCP報文送到CPU,因此,大量的DHCP報文攻擊設備會使DHCP服務器高負荷運行,甚至會導致設備癱瘓。
信息安全策略主要包括:
物理安全策略的目的是保護計算機系統、網絡服務器、打印機等硬件實體和通信鏈路免受自然災害、人為破壞和搭線攻擊;驗證用戶的身份和使用權限,防止用戶越權操作;確保計算機系統有一個良好的電磁兼容工作環境;建立完備的安全管理制度,防止非法進入計算機控制室和各種偷竊、破壞活動的發生。抑制和防止電磁泄漏是物理安全策略的一個主要問題。
系統管理策略負責制定系統升級、監控、備份、審計等工作的指導方針和預期目標。系統管理人員和維護人員依據這些策略安排自己的具體工作。這些策略應該明確規定什么時間多少時間去升級系統,什么時候應該如何進行系統監控,什么時候進行日志審查和系統備份等。策略必須足夠詳細,以幫助系統管理人員能確切知道對系統和網絡需要做哪些工作。
訪問控制是網絡安全防范和保護的主要策略,它的主要任務是保證網絡資源不被非法使用和非授權訪問。它也是維護網絡系統安全、保護網絡資源的重要手段。各種安全策略必須相互配合才能真正起到保護作用,但訪問控制可以說是保證網絡安全最重要的核心策略之一。
該策略是根據網絡資源的職責確定哪些用戶允許使用哪些設備,例如用戶如何獲得授權訪問打印機,哪些用戶可以在某個時間段內使用,用戶采用何種登錄方式(遠程/本地)才能使用設備,哪些用戶可以獲得系統程序和應用程序的使用授權,授權訪問哪些數據,并指定對用戶的授權方式和程序。
網絡管理員應對網絡實施監控,服務器應記錄用戶對網絡資源的訪問。對非法的網絡的訪問,服務器應以圖形文字或聲音等形式報警,以引起網絡管理員的注意。如果不法分子試圖進入網絡,網絡服務器應自動記錄企圖嘗試進入網絡的次數,如果非法訪問的次數達到設定數值,那么該賬戶將自動鎖定。
在網絡安全中,除了采用上述技術措施之外,加強網絡的安全管理,制定有關規章制度,對于確保網絡的安全、可靠地運行,將起到十分有效的作用。網絡的安全管理策略包括:確定安全管理的等級和安全管理的范圍,制定有關網絡操作使用規程和人貫出入機房管理制度,制定網絡系統維護制度和應急措拖。
災難恢復計劃是指在緊急情況或安全事故發生而導致系統崩潰、數據丟失等現象時,如何保障計算機信息系統繼續運行或緊急恢復到問題發生前的正常運行狀態。災難恢復計劃是信息安全管理人員所面臨的最大的難題之一。簡單的可能是單個系統癱瘓的恢復,復雜的可以是一個大型跨國公司的業務運作系統如何從自然災害和惡性事故中恢復。一份切實有效的保障計劃和恢復計劃是信息安全管理策略的重中之重。
模糊測試的局限性如下:
訪問控制漏洞的發現能力有限:通過模糊測試技術挖掘出的漏洞大多是傳統的溢出類漏洞,由于該技術的邏輯感知能力有限,對于違反權限控制的安全漏洞,如后門、繞過認證等漏洞的發現能力有限。
設計邏輯缺陷的發現能力有限:糟糕的邏輯往往并不會導致程序崩潰,而模糊測試發現漏洞的一個最重要依據就是監測目標程序的崩潰,因此,模糊測試對這種類型的漏洞也無能為力。
多階段安全漏洞的發現能力有限:模糊測試對識別單獨的漏洞很有用,但對那些小的漏洞序列構成的高危漏洞的發現能力有限。
多點觸發漏洞的發現能力有限:識別模糊測試技術不能準確地發現多條件觸發的漏洞。而且通常只能判斷出待測試軟件中存在何種漏洞,并不能準確地定位到程序源代碼中漏洞的位置。
模糊測試技術不能保證畸形輸入數據能夠覆蓋到所有的分支代碼:這就使得即使通過模糊測試檢驗的軟件仍可能存在未被發現的漏洞。
PaaS云計算服務器平臺有以下業務價值:
快速的平臺搭建:PaaS 可為軟件的部署和運行提供及時可用的平臺環境,為用戶省去了復雜煩瑣的平臺搭建過程。利用PaaS 為用戶提供的部署模板和標準化平臺組件,用戶可以在短時間之內獲取滿足其應用程序運行要求的運行時環境;使用平臺提供的部署工具,用戶可將與平臺環境兼容的應用程序迅速部署到平臺中。因此,PaaS能夠為用戶將原本可能需要數天甚至數周的平臺環境搭建與調試時間縮短到小時級別,并為用戶的應用快速響應業務需求提供先決條件。
敏捷的應用開發:PaaS 為軟件開發人員提供了成熟的軟件開發平臺,軟件開發人員可使用PaaS提供的仿真環境或直接在PaaS的運行環境中對開發的軟件進行調試。同傳統的軟件開發相比,PaaS不僅為軟件開發人員節省了軟件開發環境搭建的時間,更將軟件開發過程中對服務器、網絡以及平臺組件的維護與應用程序的開發隔離,使開發人員能夠把更多精力投入到軟件的設計、實現和優化中。PaaS 在其開發環境中為用戶集成了軟件生命周期管理、項目管理、團隊協作等一系列工具,優化軟件開發過程。PaaS的服務商通常都具備豐富的項目開發與管理經驗,他們能夠將其經驗轉化為服務,為用戶提供便捷、高效的項目管理機制。
中心化的業務與數據管理:對于企業用戶來說,使用PaaS 提供的碎片化的業務功能和數據服務,能夠實現更加靈活的業務流程。由于 PaaS 對平臺組件實施了中心化的管理,用戶可以在企業平臺內部將各自的業務流程、數據共享,企業平臺可以全面監控用戶對平臺的操作和對數據的訪問。因而,PaaS能夠為企業內部IT資源建立更加可控的管理機制和更加便捷的共享機制。對于軟件生產來說,PaaS的集中管理和共享機制為軟件的測試提供了更加便利的條件。測試者可以在 PaaS的運行環境中對軟件進行測試,并將出現問題的場景直接與開發者共享,為開發者和測試者建立了高效的溝通機制,更加明確軟件生產過程中人員的職責,從而提高軟件生產的效率。
便捷可伸縮的應用開發部署:PaaS 通常提供了支持高度可伸縮的應用程序開發的高層框架。PaaS 應用程序的開發者按照 PaaS的框架,在應用程序的設計開發中實現的伸縮性能夠使應用程序及平臺資源平滑、按需的匹配并發訪問量和業務量的波動。不同的 PaaS部署模式能夠帶來不同級別的可伸縮性,如企業自建的PaaS只能在企業的IT資源內部進行伸縮,外包的 PaaS 可使用服務商的計算資源進行更大規模的伸縮,而在公有 PaaS 中,在其可伸縮框架之上實現的應用程序可以利用大量的數據和計算服務,滿足任意規模用戶的訪問需求。
節省建設和使用成本:公有和外包的 PaaS 幾乎不需要用戶對平臺進行前期建設,只要用戶的應用程序能夠兼容服務商的平臺環境,就可以立即實現應用程序的部署;用戶構建平臺環境時,只需要對 PaaS 提供的服務進行簡單的定制就可以獲取滿足其需求的平臺。因此,PaaS 能夠將原本耗時耗力的平臺建設過程縮短到小時甚至分鐘級別。同時,用戶(尤其是中小企業用戶和ISV)不需要為應對高峰業務需求在平時購買多余的計算資源,服務商可按照用戶的應用程序訪問量和負載自動實現資源規模的伸縮,并按照業務量向用戶收取費用。在私有云環境中,用戶可根據集中監控的業務量在平臺資源池的層面平衡部門之間的負載,以提高資源的使用效率,減少冗余的計算資源購買和運維成本。
等級保護由公安部負責其中網安大隊執行,因為公安部是國務院組成部門,是全國公安工作的最高領導機關和指揮機關,公安部設有網安支隊,是監督、檢查、指導、協調全市公共信息網絡和國際互聯網的安全保護及管理工作,指導全市公安機關互聯網監控點建設和網上信息監控工作等部門。
另外公安部還設有辦公廳、情報指揮、研究室、督察審計、人事訓練、新聞宣傳、經濟犯罪偵查、治安管理、刑事偵查、反恐怖、食品藥品犯罪偵查、特勤、鐵路公安、網絡安全保衛、監所管理、警務保障、交通管理、法制、國際合作、裝備財務、禁毒、科技信息化等局級機構,分別承擔有關業務工作。海關總署緝私局、中國民用航空局公安局列入公安部序列,分別接受公安部和海關總署、公安部和中國民用航空局雙重領導,以公安部領導為主。
公安機關負責信息安全等級保護工作的監督、檢查、指導。
國家保密工作部門負責等級保護工作中有關保密工作的監督、檢查、指導。
國家密碼管理部門負責等級保護工作中有關密碼工作的監督、檢查、指導。
在信息安全等級保護工作中,涉及其他職能部門管轄范圍的事項,由有關職能部門依照國家法律法規的規定進行管理。
國務院信息化工作辦公室及地方信息化領導小組辦事機構負責信息安全等級保護工作中部門間的協調。
信息系統的主管部門應當依照相關規范和標準督促、檢查、指導本行業、本部門或本地區信息系統運營、使用單位的信息安全等級保護工作。
信息系統運營、使用單位應當按照等級保護的管理規范和相關標準規范履行信息安全等級保護的義務和責任。
風險評估是指從風險管理角度,依據國家有關信息安全技術標準和準則,運用科學的方法和手段,對信息系統及處理、傳輸和存儲信息的保密性、完整性及可用性等安全屬性進行全面科學地分析;對網絡與信息系統所面臨的威脅及存在的脆弱性進行系統的評價;對安全事件一旦發生可能造成的危害程度進行評估,并提出有針對性地抵御威脅的防護對策和整改措施。
風險評估需要分析以下這些內容:
對資產進行識別,并對資產的重要性進行賦值;
對威脅進行識別,描述威脅的屬性,并對威脅出現的頻率賦值;
對資產的脆弱性進行識別,并對具體資產脆弱性的嚴重程度賦值;
根據威脅和脆弱性的識別結果判斷安全事件發生的可能性;
根據脆弱性的嚴重程度及安全事件所作用資產的重要性計算安全事件的損失;
根據安全事件發生的可能性以及安全事件的損失,計算安全事件一旦發生對組織的影響,即風險值。
SQL語言有以下特點:
一體化:SQL風格統一,可以完成數據庫活動中的全部工作,包括創建數據庫、定義模式、更改和查詢數據以及安全控制和維護數據庫等。這為數據庫應用系統的開發提供了良好的環境。用戶在數據庫系統投入使用后,還可以根據需要隨時修改模式結構,并且可以不影響數據庫的運行,從而使系統具有良好的可擴展性。
高度非過程化:使用SQL訪問數據庫時,用戶沒有必要告訴計算機“如何”一步步地實現操作,只需要用SQL描述要“做什么”,然后由數據庫管理系統自動完成全部工作。
簡潔:雖然SQL功能很強,但它只有為數不多的幾條命令。另外,SQL的語法也比較簡單,接近自然語言(英語),因此容易學習和掌握。
可以多種方式使用:SQL可以直接以命令方式交互使用,也可以嵌入到程序設計語言中使用。現在很多數據庫應用開發工具(如C#、PowerBuilder、Delphi等)都將SQL直接融入自身的語言中,使用起來非常方便。這些使用方式為用戶提供了靈活的選擇余地。而且,不管是哪種使用方式,SQL的語法都是一樣的。
面向集合的操作方式:SQL語言采用集合操作方式,不僅查找結果可以是元組的集合,而且一次插入、刪除、更新操作的對象也可以是元組的集合。
在勒索病毒的處置上,通常需要應急響應工程師采取手動處置與專業查殺工具處置相結合的方法。當發現勒索病毒后,可以參考使用以下處置方法:
隔離被感染的服務器/主機
在確認服務器/主機感染勒索病毒后,應立即隔離被感染服務器/主機,防止病毒繼續感染其他服務器/主機。隔離可主要采取以下兩種手段:
物理隔離主要為斷網或斷電,關閉服務器/主機的無線網絡、藍牙連接等,禁用網卡,并拔掉服務器/主機上的所有外部存儲設備;
訪問控制主要是指對訪問網絡資源的權限進行嚴格認證和控制,常用的操作方法是加策略和修改登錄密碼;
排查業務系統
業務系統的受影響程度直接關系著事件的風險等級。在隔離被感染服務器/主機后,應對局域網內的其他機器進行排查,檢查核心業務系統是否受到影響,生產線是否受到影響,并檢查備份系統是否被加密等,以確定感染的范圍。另外,備份系統如果是安全的,就可以避免支付贖金,順利恢復文件。
在完成以上基本操作后,為了避免造成更大的損失,建議在第一時間聯系專業技術人員或安全從業人員,對勒索病毒的感染時間、傳播方法、感染種類等問題進行系統排查。
確定勒索病毒種類,進行溯源分析
溯源分析一般需要查看服務器/主機上保留的日志和樣本。通過日志可以判斷出勒索病毒可能通過哪種方法侵入服務器/主機,如果日志被刪除,就需要在服務器/主機上尋找相關的病毒樣本或可疑文件,再通過這些可疑文件判斷病毒的入侵途徑。當然,也可以直接使用專業的日志分析工具或聯系專業技術人員進行日志及樣本分析。
恢復數據和業務
在服務器/主機上如果存在數據備份,那么可以通過還原備份數據的方式直接恢復業務;如果沒有數據備份,那么在確定是哪種勒索病毒之后,可通過查找相應的解密工具進行數據恢復;如果數據比較重要,并且業務急需恢復,還可以嘗試使用以下方法:
后續防護建議
服務器、終端防護
網絡防護與安全監測
應用系統防護及數據備份
定級對象應當具備以下條件:
具有確定的主要安全責任主體
承載相對獨立的業務應用
包含相互關聯的多個資源
確定定級對象可通過以下工作進行:
1)系統識別和描述
識別基本信息
識別管理框架
識別業務種類和業務流程
識別信息資產
識別網絡結構
識別軟硬件設備
識別用戶類型和分布
2)信息系統劃分
分析安全管理責任,確定管理邊界
分析網絡結構和已有內外部邊界
分析業務流程和業務間關系
初步劃定信息系統
各信息系統描述
系統識別
系統劃分
系統劃分方法
業務信息受到破壞后的侵害客體
系統服務受到破壞后的侵害客體
多種信息和多種服務系統的處理
業務信息受到破壞后對客體的侵害程度
系統服務受到破壞后對客體的侵害程度
多種信息和多種服務系統的處理
綜合判定侵害程度 :
如果受侵害客體是公民、法人或其他組織的合法權益,則以本 人或本單位的總體利益作為判斷侵害程度的基準。
如果受侵害客體是社會秩序、公共利益或國家安全,則應以整 個行業或國家的總體利益作為判斷侵害程度的基準。
按入侵檢測形態
硬件入侵檢測
軟件入侵檢測
按目標系統的類型
網絡入侵檢測
主機入侵檢測
混合型
按檢測方法
異常入侵檢測
誤用入侵檢測
按系統結構
集中式
分布式
漏洞的生命周期包含以下三個周期階段:
0day漏洞產生但是未被發現:在第一階段也是漏洞最大的階段,因為在這個階段,官方還沒有針對這個漏洞的補丁,而且這個漏洞并不是每個人都知道的,所以攻擊者也最容易得手。
1day漏洞被發現但未發布漏洞補丁:在這個階段攻擊者也有辦法向用戶發動攻擊,因為在漏洞補丁發布的第一天,很多用戶都沒有來得及安裝補丁,但是攻擊者可以利用對補丁修改的文件進行差量分析,從而猜測漏洞的原理,并寫出攻擊代碼。
發布漏洞補丁到漏洞消亡:隨著用戶逐漸地安裝補丁和新的漏洞的產生,這個舊漏洞的危害也就變得越來越小,逐漸走向消亡。
防火墻會話表中含有以下信息:
協議:指明會話的協議;
VPN:在虛擬防火墻中使用;
ID:標志唯一的會話;
ZONE(區域):指明流量的區域走向;
TTL:會話的老化時間;
Left:會話剩余時間;
output-interface:出接口;
nextHop:下一跳;
MAC:mac地址。
基于PKM協議的IEEE802.16d協議存在以下缺陷:
單向認證:PKM協議的前提是網絡可信,因此只需要網絡認證用戶,而不需要用戶認證網絡,這樣可能帶來偽網絡和偽基站攻擊等形式的中間人攻擊。采用雙向認證,即讓用戶能夠認證網絡是合法的網絡是解決中間人攻擊的有效方法。
未明確定義授權安全關聯:IEEE 802.16d未明確定義授權安全關聯,這會引起許多安全問題。例如,安全關聯狀態無法區分不同的授權安全關聯實例,使得協議易受重放攻擊,而不辨別BS身份也會受到重放或偽造攻擊。
認證機制缺乏擴展性:SS中的公鑰證書是其設備證書,證書持有者字段為設備的MAC地址,缺少對其他認證機制的考慮。IEEE 802.16d還假定數字證書的發布是明確的,即沒有兩個不同的公鑰/私鑰使用方使用同一個MAC地址,但如果不能滿足此假設,則攻擊者可以偽裝成另一方。
與AK相關的問題:所有的密鑰協商及數據加密密鑰的產生依賴于AK的保密性,但是IEEE 802.16d協議沒有具體描述認證和授權中AK是如何產生的。另外,由于AK的生存時限較長(達到70d),而協議只使用一個2b的密鑰標識符作為密鑰序列空間,即一個AK時限內最多只能使用4個TEK,這使得攻擊者可以使用已過期的TEK進行加密,然后重放數據,極易造成重放攻擊。建議使用4b或者8b的密鑰標識符作為密鑰序列空間,或者縮短AK的生存時限以防止重放攻擊。
PKI部署困難:PKM協議需要公鑰基礎設施PKI的支持,目前單純的公鑰證書驗證合法即可信的方法無法面對今后大規模應用的安全需求。同時,解決不同制造商設備之間的互信問題也是一個不小的挑戰。PKM中的密鑰協商適合于單播密鑰,并不適用于組播密鑰,組播密鑰必須采用網絡統一分配的方式來發放和更新。
其他方面:密鑰管理協議問題,例如,沒有TEK有效性的保證;密碼算法協商缺乏保護,可能造成降級攻擊;TEK授權和密鑰協商請求由SS發起,可能帶來拒絕服務(DoS)攻擊隱患;重認證機制。
格盤病毒是一種通過發送釣魚郵件,使用大量的社會工程學誘使受害者打開這些文件,從而感染病毒。格盤病毒分為兩部分:一部分是系統的感染程序,另一部分是MBR區的改寫程序。系統的感染程序結束用戶系統指定進程,刪除注冊表中“安全模式”相關的項,使系統無法進入安全模式,同時進行映像劫持,在用戶執行被劫持的程序時,會運行指定的程序。感染程序還能篡改系統文件,關閉Windows系統文件保護。
降低計算機病毒危害的措施有以下這些:
安裝和維護防病毒軟件:防病毒軟件可識別惡意軟件并保護我們的計算機免受惡意軟件侵害。安裝來自信譽良好的供應商的防病毒軟件是預防和檢測感染的重要步驟。始終直接訪問供應商網站,而不是點擊廣告或電子郵件鏈接。由于攻擊者不斷地制造新病毒和其他形式的惡意代碼,因此保持我們使用的防病毒軟件保持最新非常重要。
謹慎使用鏈接和附件:在使用電子郵件和網絡瀏覽器時采取適當的預防措施以降低感染風險。警惕未經請求的電子郵件附件,并在單擊電子郵件鏈接時小心謹慎,即使它們貌似來自我們認識的人。
阻止彈出廣告:彈出窗口阻止程序禁用可能包含惡意代碼的窗口。大多數瀏覽器都有一個免費功能,可以啟用它來阻止彈出廣告。
使用權限有限的帳戶:瀏覽網頁時,使用權限有限的賬戶是一種很好的安全做法。如果我們確實受到感染,受限權限可防止惡意代碼傳播并升級到管理賬戶。
禁用外部媒體自動運行和自動播放功能:禁用自動運行和自動播放功能可防止感染惡意代碼的外部媒體在我們的計算機上自動運行。
更改密碼:如果我們認為我們的計算機受到感染,應該及時更改我們的密碼(口令)。這包括可能已緩存在我們的網絡瀏覽器中的任何網站密碼。創建和使用強密碼,使攻擊者難以猜測。
保持軟件更新:在我們的計算機上安裝軟件補丁,這樣攻擊者就不會利用已知漏洞。如果可用,請考慮啟用自動更新。
資料備份:定期將我們的文檔、照片和重要電子郵件備份到云或外部硬盤驅動器。如果發生感染,我們的信息不會丟失。
安裝或啟用防火墻:防火墻可以通過在惡意流量進入我們的計算機之前阻止它來防止某些類型的感染。一些操作系統包括防火墻;如果我們使用的操作系統包含一個防火墻,請啟用它。
使用反間諜軟件工具:間諜軟件是一種常見的病毒源,但可以通過使用識別和刪除間諜軟件的程序來最大程度地減少感染。大多數防病毒軟件都包含反間諜軟件選項,確保啟用。
監控賬戶:尋找任何未經授權的使用或異常活動,尤其是銀行賬戶。如果我們發現未經授權或異常的活動,請立即聯系我們的賬戶提供商。
避免使用公共Wi-Fi:不安全的公共Wi-Fi可能允許攻擊者攔截我們設備的網絡流量并訪問我們的個人信息。
