威脅分析主要包括以下幾個方面:
有多少外部入口點存在?有哪些威脅?
研究誰會對網絡產生威脅:威脅來自黑客,還是訓練有素的有知識的入侵者,或是來自工業間諜?
分析會有什么樣的威脅:入侵者訪問哪些數據庫、表、目錄或信息?威脅是網絡內部的非授權使用,還是移動數據?
數據是遭受到了破壞,還是受到了攻擊?攻擊是網絡內、外的非授權訪問,還是地址欺騙、IP欺騙及協議欺騙等?
確定安全保護的目標。
提出價格合理的安全機制。
根據威脅程度的大小、方向和入侵的對象,進行分析評價,作為制定Web的安全策略和設計網絡安全措施的基本依據。安全設計時,要優先考慮必要的且可行的步驟,正確制定安全策略,并采取必要的安全措施。
因特網的以下幾個特性易被攻擊者利用:
分組交換:因特網是基于分組交換的,這使得它比采用電路交換的電信網更容易受攻擊,主要表現在:所有用戶共享所有資源,給予一個用戶的服務會受到其他用戶的影響;攻擊數據包在被判斷為是否惡意之前都會被轉發到受害者;路由分散決策,流量無序等。
認證與可追蹤性:因特網沒有認證機制,任何一個終端接入即可訪問全網(而電信網則不是,有UNI、NNI接口之分),這導致了一個嚴重的問題就是IP欺騙,攻擊者可以偽造數據包中的任何區域的內容然后發送數據包到Internet中。通常情況下,路由器不具備數據追蹤功能,因此很難去驗證一個數據包是否來自其所聲稱的地方。通過IP欺騙隱藏來源,攻擊者就可以發起攻擊而無須擔心對由此造成的損失負責。
匿名與隱私:網絡上的身份是虛擬的,普通用戶無法知道對方的真實身份,也無法拒絕來路不明的信息(如郵件)。20年前,美國《紐約客》雜志以黑色幽默方式直指網絡虛擬化之弊—“在互聯網上,沒有人知道你是一條狗。”
盡力而為的服務策略:因特網采取的是盡力而為策略,即只要是交給網絡的數據,不管其是正常用戶發送的正常數據,還是攻擊者發送的攻擊流量,網絡都會盡可能地將其送到目的地。把網絡資源的分配和公平性完全寄托在終端的自律上,在現在看來,這顯然是不現實的。
對全球網絡基礎實施的依賴:全球網絡基礎設施不提供可靠性、安全性保證,這使得攻擊者可以放大其攻擊效力:首先,一些不恰當的協議設計導致一些(尤其是畸形的)數據包比其他數據包耗費更多的資源(如TCP 協議的連接請求SYN包比其他的TCP包占用的目標資源更多);其次,Internet是一個大“集體”,其中存在的很多不安全系統會嚴重威脅整個網絡的安全。
無尺度網絡:因特網是一種無尺度網絡。無尺度網絡的典型特征是網絡中的大部分節點只和很少節點連接,而有極少數節點與非常多的節點連接。這種關鍵節點(稱為“樞紐”或“集散節點”)的存在使得無尺度網絡對意外故障有強大的承受能力(刪除大部分網絡節點而不會引發網絡分裂),但面對針對樞紐節點的協同性攻擊時則顯得脆弱(刪除少量樞紐節點就能讓無尺度網絡分裂成微小的孤立碎片)。例如,2016年清華大學段海新等人在NDSS 2016會議上提出的CDN Loop攻擊可導致多個內容分發網絡(Content Delivery Network,CDN)平臺癱瘓,進而導致互聯網大面積癱瘓。
互聯網的級聯特性:互聯網是一個由路由器將眾多小的網絡級聯而成的大網絡。當網絡中的一條通信線路發生變化時,附近的路由器會通過“邊界網關協議(BGP)”向其鄰近的路由器發出通知。這些路由器接著又向其他鄰近路由器發出通知,最后將新路徑的情況發布到整個互聯網。也就是說,一個路由器消息可以逐級影響到網絡中的其他路由器,形成“蝴蝶效應”。“網絡數字大炮”就是針對互聯網的這種級聯結構發起的一種拒絕服務攻擊武器,利用偽造的BGP協議消息攻擊路由器,導致網絡中幾乎所有路由器都被占用,正常的路由中斷無法得到修復,最終可導致互聯網大面積癱瘓。
中間盒子:“中間盒子”由美國UCLA大學的張麗霞教授提出,是指部署在源與目的主機之間的數據傳輸路徑上的、實現各種非IP轉發功能的任何中介設備,例如:用于改善性能的DNS 緩存(cache)、HTTP代理/緩存、CDN等,用于協議轉換的NAT(Network Address Translation)、IPv4-IPv6轉換器等,用于安全防護的防火墻、入侵檢測系統/入侵防御系統(IDS/IPS)等不同類型的中間盒子大量被插入互聯網之中。
DDoS攻擊是通過大規模互聯網流量淹沒目標服務器或其周邊基礎設施,以破壞目標服務器、服務或網絡正常流量的惡意行為。被DDoS攻擊時的五個現象:
被攻擊主機上有大量等待的TCP連接。
大量到達的數據分組(包括TCP分組和UDP分組〉并不是網站服務連接的一部分,往往指向機器的任意端口。
網絡中充斥著大量的無用的數據包,源地址為假。
制造高流量的無用數據,造成網絡擁塞,使受害主機無法正常和外界通信。
利用受害主機提供的服務和傳輸協議上的缺陷,反復發出服務請求,使受害主機無法及時處理所有正常請求。
嚴重時會造成死機。
DDoS防御的方法:
采用高性能的網絡設備
首先要保證網絡設備不能成為瓶頸,因此選擇路由器、交換機、硬件防火墻等設備的時候要盡量選用知名度高、口碑好的產品。再就是假如和網絡提供商有特殊關系或協議的話就更好了,當大量攻擊發生的時候請他們在網絡接點處做一下流量限制來對抗某些種類的DDOS攻擊是非常有效的。
盡量避免NAT的使用
無論是路由器還是硬件防護墻設備要盡量避免采用網絡地址轉換NAT的使用,因為采用此技術會較大降低網絡通信能力,其實原因很簡單,因為NAT需要對地址來回轉換,轉換過程中需要對網絡包的校驗和進行計算,因此浪費了很多CPU的時間,但有些時候必須使用NAT,那就沒有好辦法了。
充足的網絡帶寬保證
網絡帶寬直接決定了能抗受攻擊的能力,假若僅僅有10M帶寬的話,無論采取什么措施都很難對抗現在的SYNFlood攻擊,當前至少要選擇100M的共享帶寬,最好的當然是掛在1000M的主干上了。但需要注意的是,主機上的網卡是1000M的并不意味著它的網絡帶寬就是千兆的,若把它接在100M的交換機上,它的實際帶寬不會超過100M,再就是接在100M的帶寬上也不等于就有了百兆的帶寬,因為網絡服務商很可能會在交換機上限制實際帶寬為10M,這點一定要搞清楚。
升級主機服務器硬件
在有網絡帶寬保證的前提下,請盡量提升硬件配置,要有效對抗每秒10萬個SYN攻擊包,服務器的配置至少應該為:P42.4G/DDR512M/SCSI-HD,起關鍵作用的主要是CPU和內存,若有志強雙CPU的話就用它吧,內存一定要選擇DDR的高速內存,硬盤要盡量選擇SCSI的,別只貪IDE價格不貴量還足的便宜,否則會付出高昂的性能代價,再就是網卡一定要選用3COM或Intel等名牌的,若是Realtek的還是用在自己的PC上吧。
把網站做成靜態頁面
大量事實證明,把網站盡可能做成靜態頁面,不僅能大大提高抗攻擊能力,而且還給黑客入侵帶來不少麻煩,至少到現在為止關于HTML的溢出還沒出現,看看吧!新浪、搜狐、網易等門戶網站主要都是靜態頁面,若你非需要動態腳本調用,那就把它弄到另外一臺單獨主機去,免的遭受攻擊時連累主服務器,當然,適當放一些不做數據庫調用腳本還是可以的,此外,最好在需要調用數據庫的腳本中拒絕使用代理的訪問,因為經驗表明使用代理訪問你網站的80%屬于惡意行為。
增強操作系統的TCP/IP棧
Win2000和Win2003作為服務器操作系統,本身就具備一定的抵抗DDOS攻擊的能力,只是默認狀態下沒有開啟而已,若開啟的話可抵擋約10000個SYN攻擊包,若沒有開啟則僅能抵御數百個,具體怎么開啟,自己去看微軟的文章吧!《強化TCP/IP堆棧安全》。也許有的人會問,那我用的是Linux和FreeBSD怎么辦?很簡單,按照這篇文章去做吧!《SYNCookies》。
安裝專業抗DDOS防火墻
其他防御措施
以上幾條對抗DDOS建議,適合絕大多數擁有自己主機的用戶,但假如采取以上措施后仍然不能解決DDOS問題,就有些麻煩了,可能需要更多投資,增加服務器數量并采用DNS輪巡或負載均衡技術,甚至需要購買七層交換機設備,從而使得抗DDOS攻擊能力成倍提高,只要投資足夠深入。
檢測木馬的主流技術有以下這些:
特征碼檢測技術:特征碼技術是反病毒反木馬領域最早使用的技術,也是目前公認的最成熟、最有效的惡意代碼檢測技術。即便現在動態檢測技術發展得如此迅速,也沒有撼動特征碼檢測技術的地位。特征碼技術準確性高、誤報率低、檢測速度快的優點是其他檢測技術無法比擬的,因此一直被殺毒軟件廣泛使用并且沿用至今。特征碼檢測技術主要包括基于特征碼的靜態掃描、廣譜特征碼掃描和內存特征碼比對技術3類。
基于文件靜態特征的檢測技術:木馬程序的本質是可執行文件。通常Windows操作系統中的EXE和32位的DLL文件都采用的是PE(Portable Executable)格式。由于PE文件具有規范的結構,因此可以利用數據挖掘等信息處理技術分析木馬文件與正常的可執行文件的靜態特征,研究兩者的區別,找出木馬文件不同于正常文件的特征,用于木馬的檢測。目前,基于此思想的木馬檢測方法主要有PE文件API分析法和靜態特征法。
文件完整性檢測技術:由于木馬感染計算機后通常會修改某些系統文件,因此可以通過檢查系統文件的完整性判斷木馬是否存在。文件完整性檢測技術又稱校驗和檢測技術,其基本原理是在系統正常的情況下對所有的系統文件做校驗,得到每個系統文件的校驗和,并保存到數據庫中。在后續檢測時,首先計算當前狀態下系統文件的校驗和,然后與數據庫中保存的完整的校驗和做比較,如果出現某個系統文件的兩個校驗和不一致,則認為此文件的完整性被破壞,即此文件被修改過,則當前計算機有可能感染了木馬。
虛擬機檢測技術:虛擬機檢測技術的原理和VMWare有些類似,都是一種模仿操作系統環境的虛擬環境。虛擬機技術用于木馬檢測的方法是誘使木馬把虛擬機當作真正的主機環境,開始安裝、運行以及破壞操作,這樣木馬就把運行的流程以及行為特征都暴露在分析人員的眼前,這樣病毒分析人員就可以根據這些信息判斷是否為木馬并制定反木馬的策略。
行為分析技術:行為分析(Behavior Analysis)技術是一種基于程序行為的動態分析技術,主要用于未知木馬的檢測,在一定程度上解決了信息安全領域防御落后于攻擊的難題,是主動防御技術的一種實現方法。行為分析是根據可疑程序運行過程中所體現的一系列行為來判斷此程序是否為木馬。這些行為包括對文件、注冊表的操作以及網絡通信的動作等。因此首先要動態監控并獲取運行程序的行為,然后分析行為之間的邏輯關系,并運用一定的算法計算出此程序的可疑度,從而決定是否把該程序判定為木馬。
入侵檢測技術:入侵檢測是用于檢測損害或企圖損害系統的機密性、完整性或可用性等行為的一類安全技術。此類技術通過在受保護網絡或系統中部署檢測設備來監視受保護網絡或系統的狀態與活動,根據所采集的數據,采用相應的檢測方法發現非授權或惡意的系統及網絡行為,并為防范入侵行為提供技術支持方法。
云安全技術:根據互聯網發展的趨勢可以預測不久的將來殺毒軟件可能無法有效地處理日益增多的惡意程序。來自互聯網的主要威脅正在由電腦病毒轉向惡意程序及木馬,在這樣的情況下,僅僅采用傳統的特征庫判別法顯然已經過時。云安全技術應用后,識別和查殺病毒不再僅僅依靠本地硬盤中的病毒庫,而是依靠龐大的網絡服務,實時進行采集、分析以及處理。
黑客撞庫有以下這些方式:
口令監聽:很多網絡服務在詢問和驗證遠程用戶認證信息時,認證信息都是以明文形式進行傳輸的,如Telnet、FTP和HTTP等都使用明文傳輸,這意味著網絡中的竊聽者只需使用協議分析器就能查看到認證信息,從而分析出用戶的口令。如果獲取的數據包是加密的,還要使用解密算法解密。
截取/重放:有的系統會將服務器中的用戶信息加密后存放,用戶在傳輸認證信息時也先進行加密,這樣雖然能防止竊聽者直接獲得明文口令,但使用截取/重放攻擊,攻擊者只要在新的登錄請求中將截獲的信息提交給服務器,就可以冒充登錄。
窮舉攻擊:也稱為暴力破解,是字典攻擊的一種特殊形式。一般從長度為1的口令開始,按長度遞增,嘗試所有字符的組合方式進行攻擊。利用窮舉攻擊獲取密碼只是時間問題,是密碼的終結者。暴力破解理論上可以破解任何密碼,但如果密碼過于復雜,暴力破解需要的時間會很長。如果用戶口令較短,攻擊者可以使用字符串的全集作為字典,來對用戶口令進行猜測。下面簡要分析一下窮舉攻擊的難度。
簡單口令猜測:很多用戶使用自己或家人的生日、電話號碼、房間號碼、簡單數字或者身份證號碼中的幾位作為口令;也有人使用自己、孩子、配偶或寵物的名字。在詳細了解用戶的社會背景之后,黑客可以列舉出多種可能的口令,并在很短的時間內完成猜測攻擊。此外,很多用戶不更改系統或設備的默認用戶名和口令,這也使得口令很容易被破解。
字典攻擊:如果猜測攻擊不成功,黑客可以繼續擴大攻擊范圍,采用字典攻擊的方法。字典攻擊采用口令字典中事先定義的常用字符去嘗試匹配口令。口令字典是一個很大的文本文件,可以通過自己編輯或者由字典工具生成,里面包含了單詞和數字的組合,或黑客收集的一些常見口令。如果口令就是一個單詞或者是簡單的數字組合,那么破解者就可以很輕易地破解密碼。因此,許多系統都建議用戶在口令中加入特殊字符,以增加口令的安全性。
偽造服務器攻擊:攻擊者通過偽造服務器來騙取用戶認證信息,然后冒充用戶進行正常登錄。
口令泄露:攻擊者通過窺探、社會工程、垃圾搜索和植入木馬等手段,竊得用戶口令;或用戶自己不慎將口令告訴別人;或將口令寫在其他地方被別人看到,造成口令的泄露。其中,社會工程學攻擊通過人際交往這一非技術手段,以欺騙或套取的方式來獲得口令。
直接破解系統口令文件:攻擊者可以尋找目標主機的安全漏洞和薄弱環節,竊取存放系統口令的文件,然后離線破譯加密過的口令,從而得到系統中所有的用戶名和口令。
信息安全保障技術框架的安全原則包括:
保護多個位置
保護多個位置包括保護網絡和基礎設施、區域邊界、計算環境等,這一原則提醒我們,僅僅在信息系統的重要敏感區域設置一些保護裝置是不夠的,任意一個系統漏洞都有可能導致嚴重的攻擊和破壞后果,所以在信息系統的各個方位布置全面的防御機制,才能將風險降至最低。
分層防御
如果說保護多個位置原則是橫向防御,那么這一原則就是縱向防御,這也是縱深防御思想的一個具體體現。分層防御即在攻擊者和目標之間部署多層防御機制,每一個這樣的機制必須對攻擊者形成一道屏障。而且每一個這樣的機制還應包括保護和檢測措施,以使攻擊者不得不面對被檢測到的風險,迫使攻擊者由于高昂的攻擊代價而放棄攻擊行為。
安全強健性
不同的信息對于組織有不同的價值,該信息丟失或破壞所產生的后果對組織也有不同的影響。所以對信息系統內每一個信息安全組件設置的安全強健性(即強度和保障) ,取決于被保護信息的價值以及所遭受的威脅程度。在設計信息安全保障體系時,必須要考慮到信息價值和安全管理成本的平衡。
以下這些情況會導致無法ping通防火墻或者服務器:
忽略了收斂時間:可能防火墻剛剛啟動或者網線剛接入交換機忽略了生成樹的收斂時間;
防火墻本身問題:有些防火墻本身是拒絕直ping的,主要是防止分布式攻擊;
訪問控制:當ping防火墻時中間某個節點對icmp進行過濾;
多路負載均衡情況:ping遠端目標主機是成功的reply和timed out交錯出現;
網絡設備時延過高:這種情況類似丟包,ping一次發送四個數據包對方延遲過高接受失敗或者返回數據包時失敗;
數據包丟包:這種情況可能是發送過程在某一節點數據包丟失或者返回數據包接受失敗。
核心密碼、普通密碼屬于國家秘密,用于保護國家秘密信息。核心密碼保護信息的最高密級為絕密級。核心密碼是一個組合詞匯,通過倒裝對后面的“密碼”進行修飾和強調。可以理解為非常重要的密碼。目前使用不常見。
核心密碼、普通密碼的科研、生產、檢測、裝備、使用和銷毀單位應當按照法律、行政法規、國家有關規定及國家密碼管理部門的要求,建立健全安全管理制度,采取嚴格的保密措施,確保核心密碼、普通密碼的安全。
除核心密碼外,密碼還包括以下兩個等級:
普通密碼:普通密碼屬于國家秘密。密碼管理部門依照本法和有關法律、行政法規、國家有關規定對核心密碼、普通密碼實行嚴格統一管理。
商用密碼:商用密碼是指對不涉及國家秘密內容的信息進行加密保護或者安全認證所使用的密碼技術和密碼產品。商用密碼技術是商用密碼的核心,是信息化時代社會團體、組織、企事業單位和個人用于保護自身權益的重要工具。國家將商用密碼技術列入國家秘密,任何單位和個人都有責任和義務保護商用密碼技術的秘密。
三類密碼保護的對象不同,對其進行明確劃分,有利于確保密碼安全保密,有利于密碼管理部門根據不同信息等級和使用對象對密碼實行科學管理,充分發揮三類密碼在保護網絡與信息安全中的核心支撐作用。
GDPR關鍵技術方案提供以下這些安全保護措施:
提供個人數據的訪問控制機制。Portal提供基于RBAC(Role Based Access Control,基于角色的訪問控制)的訪問控制機制,只有被授權的賬號才能訪問數據庫中的個人數據。操作系統中的文件權限按照最小權限原則設置。
對于一些敏感的個人數據(如GPS位置信息)進行了加密保存,使用安全的算法和密鑰管理機制。
數據庫支持分租戶存儲,不同租戶的數據存放在不同的邏輯庫中,避免越權訪問。
支持隱私策略配置功能,可以針對不同的應用類型,實施不同的隱私策略。例如,針對隱私敏感度較高的應用,如智能家居,不允許查看設備上報的數據。
個人數據在非信任網絡傳輸時,平臺提供HTTPS、SFTP等安全傳輸通道,保障個人數據傳輸安全。
提供安全的認證機制,如數字證書、預共享密鑰、短信或郵件二次驗證機制,防止仿冒人員或設備接入平臺。
提供基本的Web安全防護機制,可以防XSS攻擊、防SQL注入攻擊、防CSRF攻擊等,從而防止上述攻擊引起的數據泄露或篡改。
提供基本的組網隔離措施,關鍵的數據庫部署在獨立的虛擬機中,不同子網之間通過訪問控制策略進行限制,從組網上提升整個系統的安全性。
確保設備設計安全
在購買物聯網設備或解決方案之前,請確保其設計上的安全性。如果提供商不能提供足夠的詳細信息,則應重新考慮使用特定的設備或解決方案。你還應該確保制造商在設備使用期間提供及時的更新。
重新命名路由器
更改你的路由器的名稱。制造商提供的名稱用于識別路由器的型號。路由器的名稱必須設置成不常見的,并且與你的個人信息(如姓名或地址)沒有關聯。
了解你的網絡和連接的設備
當你的設備連接到互聯網時,它就會變得脆弱。隨著越來越多的設備連接到網絡上,跟蹤它變得非常困難。為了安全起見,您必須了解網絡、連接到它的設備以及設備可以訪問的信息類型。如果設備有以社交共享為特色的應用程序,請仔細選擇權限。
使用強大的加密協議
你的路由器應該有一個強大的加密方法。不要使用公共WiFi網絡或沒有可靠加密協議的網絡。使用最新的加密標準,如WPA2,而不是WEP或WPA。及時安裝更新和補丁有助于將風險降到最低水平。
使用強密碼
首先要做的是更改默認密碼。網絡攻擊者可能已經知道了物聯網設備的默認密碼和用戶名。其次,使用難以識別的強密碼和用戶名。放棄“password”或“123456”之類的密碼。
密碼應該由小寫、大寫、數字和特殊字符組成。另外,請確保您經常更改您的密碼和用戶名。
檢查設備的設置
通常,智能設備的默認設置可能對您的設備不安全。最糟糕的是,有些設備不允許更改這些設置。必須要更改設置的內容有弱憑證、侵入性特性、權限和打開的端口。
安裝防火墻和其他安全解決方案
安全網關位于物聯網設備和網絡之間。它們擁有比物聯網設備更多的處理能力和內存。您可以安裝更強大的功能,如防火墻,以防止黑客訪問您的物聯網設備。防火墻系統通過網絡阻止未經授權的流量,并運行IDS或IPS(入侵檢測或入侵預防系統)來檢查網絡系統。
為了使您的工作更容易,您可以使用漏洞掃描器監測系統內的安全弱點,可以使用端口掃描器來標識打開的端口。
使用單獨的網絡
如果你正在經營一家大企業,那么這條建議就是為你準備的。除了為物聯網設備使用商業網絡外,為智能設備使用單獨的網絡是確保物聯網安全的最具戰略意義的方法之一。即使黑客引誘進入物聯網設備,他們也無法獲得你的業務數據或嗅探銀行轉賬。
確保“通用即插即用”(UPnP)關閉
通用即插即用是一組網絡協議,它允許網絡設備無縫地發現其他設備的存在。但同樣的情況也讓你更容易暴露在黑客面前。通用即插即用現在已經成為許多路由器的默認設置。所以,如果您不想為了方便而犧牲安全性,請檢查設置并禁用此功能。
實現物理安全
如果你有特權用手機控制智能設備,那么要加倍小心,不要丟失你的手機。設備上有Pin、密碼或生物識別等保護。除此之外,請確保您可以遠程刪除信息,并對重要的數據進行自動備份或選擇性備份。
提高消費者的安全意識
許多消費者在購買物聯網設備時忽視了安全性。用戶必須知道最新的安全措施,必須知道如何更新默認憑證和更新應用程序。避免潛在的安全威脅。
移動電子商務的主要安全威脅如下:
密碼設置:在現實生活中,大多數人似乎完全忘記了對密碼的管理,有數據表明近80%以上因黑客攻擊造成的數據泄露都要歸咎于密碼強度脆弱或密碼被盜。在移動電子商務設備上這種情況尤為嚴重。
數據泄露:數據泄露被廣泛的認為是企業最令人擔憂的危險之一,也是最昂貴的威脅之一。比如將公司文件傳輸到共有云存儲服務、將機密信息粘貼到錯誤的位置、或者將郵件轉發給錯誤 的收件人。對于這種類型的泄露,數據丟失防護工具肯是最有效的保護措施。
過時的設備:智能手機、平板電腦和小型互聯網帶來了風險,因為與傳統設備不同,它們通常不能保證及時和持續的軟件更新。
無線網絡自身的安全問題:移動網絡自身存在一定的安全性問題,在移動電子商務給使用者帶來方便的同時也隱藏著諸多安全問題,如通信被竊聽、通信雙方身份欺騙與通信內容被篡改等。由于通信媒介的不同,信息的傳輸與轉換也可能造成不安全的隱患。
通信終端的安全問題:手持移動設備的安全成脅主要有:移動設備的物理安全,用戶身份、賬戶信息和認證密鑰丟失,SIM卡被復制,RFID被解密等方面。
軟件病毒造成的安全威脅:手機軟件病毒呈加速增長的趨勢加重了這種安全威脅,軟件病毒會傳播非法信息,破壞手機軟硬件,導致手機無法正常工作。主要安全問題表現在用戶信息、銀行賬號和密碼等被竊等方面。
運營管理漏洞:有著眾多的移動商務平臺,而其明顯的特點是平臺良莠不齊,用戶很難甄別這些運營平臺的真偽和優劣。在平臺開發過程中一些控制技術缺少論證,在使用過程中往往出現諸多問題,而服務提供者對平臺的運營疏于管理,機制不健全,這些都導致了諸多的安全問題。
工業網絡可以部署以下類型產品來加強安全性:
安全管理產品:通過部署安全管理產品,可以實現對整個系統中安全防護設備進行集中監控與管理,完成設備實時信息收集,實時監測終端設備的通信流量和安全事件。
網絡審計產品:通過在管理網、生產網旁路部署網絡審計產品,通過特定的安全策略,快速識別出煉化企業控制系統中非法操作、異常事件、外部攻擊等,并實時報警。
隔離防護與交換產品:通過在OPC服務器與數據匯聚層之間部署隔離防護與交換產品,對DCS管理的關鍵區域部署安全策略,實現分層級的安全防護,抵御已知威脅。
工控網絡防護系統:通過在控制層的DCS、工程師站前部署工控網絡防護系統,對工控專有協議進行深度分析,確保數據包的合法性,實現工控網絡的深度防護。
工控主機安全防護:通過在管理網、生產網、控制網的工程師站、操作員站、OPC服務器以及其他各類服務器上部署工控主機安全防護,通過應用程序、網絡、USB移動存儲的白名單策略,防止用戶的違規操作和誤操作,阻止不明程序、移動存儲介質和網絡通信的濫用,有效提高工控網絡的綜合“免疫”能力。
呼叫處理程序包括以下幾部分:
用戶掃描:用戶掃描用來檢測用戶環路的狀態變化。用戶摘機(環路接通),用戶掛機(環路斷開),即從用戶環路的當前狀態和用戶原有的呼叫狀態可以判斷用戶是摘機還是掛機。例如,環路接通可能是主叫呼出,也可能是被叫應答。
信令掃描:信令掃描泛指對用戶線進行的收號掃描。
數字分析:數字分析的主要任務是根據所收到的地址信令或其前幾位號碼判定接續的性質,例如判別本局呼叫、出局呼叫、匯接呼叫、長途呼叫、特種業務呼叫等。對于非本局呼叫,通過數字分析和翻譯功能,可以獲得用于路由選擇的有關數據。
路由選擇:路由選擇的任務是根據路由表,確定對應呼叫去向的中繼線群,從中選擇一條空閑的出中繼線。如果線群全忙,還可以依次確定各個迂回路由并選擇空閑中繼線。路由表在交換局開局時由維護人員設置,設置好后一般不再改變,只有在局間中繼線調整時才會發生變化。
信道選擇:信道選擇在數字分析和路由選擇后執行,在交換網絡指定的入端與出端之間選擇一條空閑的通路。軟件進行信道選擇的依據是存儲器中鏈路忙閑狀態的轉換表。
輸出驅動:輸出驅動程序是軟件與話路子系統中各種硬件的接口,用來驅動硬件電路的動作。例如驅動數字交換網絡的通路連接或釋放,驅動用戶電路中振鈴電路的動作等。
遠程文件包含(RFI)是一種黑客攻擊,主要發生在網站上。如果管理員或網站建設者沒有進行正確的驗證,并且任何想要的人都可以將一個文件潛入系統,則會發生這種攻擊。通過這種攻擊,黑客將遠程文件注入服務器,文件的內容會根據黑客的編碼在服務器上造成嚴重破壞。一些遠程文件包含攻擊只是向網站添加一個隨機的文本字符串,而其他一些攻擊則會導致更為惡意的攻擊,如拒絕服務(DoS)、數據竊取,或網站上的其他漏洞。遠程文件包含是一種主要發生在網站上的黑客攻擊。所有網站都由許多文件組成-用于圖像、編碼和其他功能。如果管理員不包括檢查傳入文件的驗證規則,遠程文件包含是黑客最容易執行的攻擊之一。黑客只需操縱網站地址,誘使其包含新文件,遠程文件就會上載到服務器。遠程文件本身通常是包含某種惡意代碼的文本文件黑客只是使用遠程文件包含來向網站添加隨機文本來破壞網站。這很煩人,但并不一定危險。管理員會發現他們的系統存在漏洞,這樣黑客就可能通過向管理員發出安全漏洞的警報來執行服務。然而,更常見的情況是,遠程文件包含對于網站所有者來說,攻擊要嚴重得多。在文本文件中的腳本在服務器內部執行后,它會不斷地ping服務器,直到網站不再運行,從而引發DoS攻擊。存儲在數據庫中的任何數據也可能從網站中竊取。使用遠程文件包含的另一個原因是使網站弱于其他攻擊當代碼執行時,它很容易在其他安全的網站上創建大漏洞,這是黑客可能需要深入網站、服務器或數據庫的原因。管理員可能很難解決這一問題,因為一旦代碼執行,它就可以更改或操作與網站相關的所有其他文件為了防止被黑客攻擊,管理員通常會對外部文件設置驗證規則。更好的是,外部文件不允許通過這些漏洞進入系統。RFI對于新黑客和高級黑客來說都是一種簡單的黑客攻擊,但是,如果管理員確保所有文件的有效性,遠程文件就不能潛入系統
現代信息安全的基本要求如下:
保密性:在加密技術的應用下,網絡信息系統能夠對申請訪問的用戶展開刪選,允許有權限的用戶訪問網絡信息,而拒絕無權限用戶的訪問申請。
完整性:在加密、散列函數等多種信息技術的作用下,網絡信息系統能夠有效阻擋非法與垃圾信息,提升整個系統的安全性。
可用性:網絡信息資源的可用性不僅僅是向終端用戶提供有價值的信息資源,還能夠在系統遭受破壞時快速恢復信息資源,滿足用戶的使用需求。
授權性:在對網絡信息資源進行訪問之前,終端用戶需要先獲取系統的授權。授權能夠明確用戶的權限,這決定了用戶能否對網絡信息系統進行訪問,是用戶進一步操作各項信息數據的前提。
認證性:在當前技術條件下,人們能夠接受的認證方式主要有兩種,一種是實體性的認證,一種是數據源認證。之所以要在用戶訪問網絡信息系統前展開認證,是為了令提供權限用戶和擁有權限的用戶為同一對象。
抗抵賴性:網絡信息系統領域的抗抵賴性,簡單來說,任何用戶在使用網絡信息資源的時候都會在系統中留下一定痕跡,操作用戶無法否認自身在網絡上的各項操作,整個操作過程均能夠被有效記錄。這樣做能夠應對不法分子否認自身違法行為的情況,提升整個網絡信息系統的安全性,創造更好的網絡環境。
