论文部分内容阅读
随着计算机及网络技术的发展,人们越来越依靠网络来办公、学习、生活和娱乐。那么如何保证信息的安全呢?本文从技术角度,分析两个内容。
一、网络主要技术窃密手段
互联网的开放性和计算机系统的脆弱性,导致网络危机四伏,间谍、黑客、好奇者都瞄准了这片阵地,利用各种手段在网上搜集情报信息、操控别人计算机、窃取涉密或隐私信息、盗窃诈骗他人钱财、监视他人行动。
(一)利用计算机漏洞窃密
漏洞是指计算机操作系统、设备产品和应用程序由于自身结构复杂、安全设计不周等原因,在研制过程中产生的先天技术缺陷。存在漏洞的计算机,接入网络后,就可能被窃密者进行远程利用、攻击和控制。
常见的利用计算机漏洞窃密的方法主要是缓冲区溢出攻击。其原理是非法攻击者通过向用户程序的缓冲区写超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,使程序转而执行其他的指令。如果这些指令放在有管理员权限的内存中,那么一旦这些指令得到了运行,黑客就以管理员权限控制了系统,达到入侵的目的。缓冲区攻击的目的就在于干扰某些已特权身份运行的程序的功能,使攻击者获得程序乃至系统的控制权。这就好比有个岔路口,攻击者通过溢出的方法把路标转向了另一条路,当程序执行到岔路口时,就转向了攻击者所设下的陷阱里。
另一个我们常见的漏洞就是RealPlayer播放器的缓冲区溢出漏洞。攻击者利用精心构造的播放器播放脚本SMIL文件,可以使RealPlayer 11以下版本的RealPlayer网页播放器控件产生堆栈溢出,从而执行黑客编写的ShellCode代码,造成自动下载并运行木马程序或者自行开启服务和端口。
类似的漏洞有很多,比如常用的Office Word 2003、Flash网页控件、PDF阅读器等等,都存在缓冲区溢出漏洞。
还有一个常见的远程执行漏洞,出现在我们熟知的迅雷下载、百度搜霸、暴风影音等软件中,他们不会产生溢出错误,但是因为程序自身安全验证的不全面,导致攻击者可以利用精心编写的网页,调用这些程序的某些函数,从而自动下载并运行木马程序,为黑客实现远程控制、窃取秘密提供了方便。
(二)利用“木马”技术窃密
“木马”就是在正常文件的伪装下,对目标计算机实施远程控制的“间谍”软件。对执行缓冲区溢出攻击、远程执行漏洞攻击后,想要提升攻击的效果,实现随心所欲地进行密码窃取、文件窃取、屏幕信息获取、控制远程计算机等操作,就需要向被攻击计算机中植入木马。
“木马”植入的方式多种多样,其中以邮件、网页和诱骗的方式最为常见。当打开有“木马”程序的邮件或邮件附件时,“木马”就会悄悄的植入和控制计算机,窃密者就可实施网络远程窃密。而现在最让人防不胜防的就是网页挂马,可以说,只要浏览网页,就有可能被种木马。
当访问一个站点时,浏览器会自动下载网站中的网页文件、图片文件、层样式文件、脚本文件等等,同时对这些文件加以解析、执行,从而展现出我们看到的页面。而黑客就精心构造这些文件,从而利用IE的漏洞、应用程序的漏洞等等,让页面在展现的时候,从后台自动下载木马程序并执行,使攻击者可以远程控制目标计算机,达到窃密的目的。
再有一种方法就是诱骗被攻击者自己运行木马程序或者自行访问恶意网页下载运行木马。通常称作社会工程学和网络钓鱼。社会工程学的方法通常是搜集被攻击者的信息,向被攻击者提供其感兴趣的图片或者程序,而这些往往都是经过文件合并或者处理过的木马程序,当被攻击者运行这些图片或者程序时自然而然就被黑客控制了计算机。而网络钓鱼则是伪造一个看似正常合法的页面,当被攻击者浏览时,其输入的用户明密码会被黑客获取,同时下载并执行木马,而后转向正常合法的页面。
(三)利用“嗅探”技术窃密
“嗅探”是指黑客利用软件或者硬件获取网络中流经的数据包,从而窃取被攻击者的口令密码、数据内容等重要信息。
虽然现在使用交换机,对嗅探技术有一定影响,但是通过ARP欺骗、上层接入设备拦截等软硬件嗅探手段,同样可以窃取到被攻击者的账号、口令以及相关文件内容信息。比较常见的就是FTP登录口令的窃取,因为FTP的用户登录账号和密码不通过加密而是明文网络传输,所以黑客很容易获取到被攻击者的账号和密码。再一个比较常见的就是网页的嗅探,很多人喜欢在邮箱里保存涉密信息或者个人信息,而现在普遍都是WEB页面形式的邮箱服务,当用户登录邮箱时,网页也是通过明文传输用户名和密码,黑客很容易登录到被攻击者的邮箱获取秘密。
那么除了获取FTP、邮箱口令密码等危险外,更危险的就是直接嗅探到传输文件时的文件內容。比如我们通过飞秋传输文件,黑客可以通过嗅探的方式直接获取文件的内容,而不用煞费苦心的破解被攻击主机的用户名密码、溢出获取权限、种植木马最后窃取文件。
(四)利用“摆渡”技术窃密
“摆渡”就是利用移动存储介质在不同的计算机之间隐蔽传递数据信息的窃密技术。
移动存储介质(如优盘)插入上互联网计算机就会感染“摆渡”程序,再插入涉密计算机时,优盘内的“摆渡”程序能按事先设定好的策略将文件数据从涉密计算机中复制到优盘隐藏目录下,同时将自身的“摆渡”程序复制到涉密计算机中,一旦此优盘又插入上互联网计算机,涉密文件数据就会被“摆渡”程序转移到上网计算机中,此时窃密者即可实现远程窃取。
(五)利用数据恢复技术窃密
数据恢复是指运用软、硬件技术,对删除或因介质损坏等丢失的数据予以还原的过程,黑客可以通过带有数据恢复功能的木马程序,将删除的数据予以还原并打包发送给黑客或者通过上面所讲的摆渡攻击的方法,将恢复的数据隐藏到可移动介质。
(六)利用口令破解窃密
口令是计算机系统的第一道防线。计算机系统经常利用口令来验证用户身份,区分访问权限。口令破解是指以口令为攻击目标,进行猜测破译,或避开口令验证,冒充合法用户潜入目标计算机,取得控制权的过程。 实际应用中,即使计算机打了“补丁”,安装了病毒防护软件,设置了开机口令密码,黑客仍然可以通过口令破解进入该计算机,从而达到破坏或窃密的目的。口令越长,组合越复杂,破译难度越大,所需破译时间越多。
(七)利用预设后门窃密
“后门”是计算机、操作系统、程控交换机等设备在制造过程中,被人为设置的可用于远程维护、信息收集或设备操控的隐蔽功能。该窃密方式主要通过在计算机等产品设备中设置后门装置,通过指令激活操控,窃取涉密信息。
比较显而易见的一个后门就是操作系统和应用程序的错误报告。当然,严格上来将,这些错误报告都有提示功能,要求用户来确认。但是如果设置成为自动发送,就不能不算一个后门了,当系统或者程序发生错误时,会对计算机的内存数据进行转储,而后将其连同错误报告一同发送,此时如果正在编辑一个涉密文件,而错误发生正好导致内存访问越界,就很有可能将内存中的涉密信息一并转储并发送出去。
(八)利用无线上网、计算机无线外围设备窃密
计算机无线外设是指部分或全部采用无线电(光)波这一传输媒质进行连接的装置。无线网卡、无线键盘、无线鼠标和蓝牙、红外接口都属于这类设备。
无线上网以及使用无线键盘、无线鼠标等设备,因信号传输均采用开放的空间传输方式,信号暴露于空中,窃密者即可利用特殊接收设备进行信息拦截,获取信息。即使传输信号采用了加密技术,也可能被破解。
像网络嗅探一样,无线网络的嗅探更是方便,只要存在无线信号的地方,其数据就能被嗅探,虽然说无线网络中的数据已经过加密,但对于黑客来说,破解只是时间问题。以Wi-Fi无线局域网为例,普通的无线AP使用的WEP加密方式已遭黑客破解,通过使用无线捕获并对捕获的数据进行分析,可以得出无线网络接入的共享密钥,从而以合法身份进入局域网内,再进行溢出、种马等攻击。
(九)利用手机窃密
手机通信传输系统是一个开放的地面或卫星无线通信系统。只要有相应的设备,即可截听通话内容。
手机在制造时若被装入了特殊程序,或是经过软、硬件改造,即可具备隐蔽通话功能。窃密者通过遥控操作,可使关机或待机的手机直接转为通话状态,在无振铃,无屏幕显示的状态下,将周围的声音发射出去,可直接被遥控窃听。现在的3G手机大部分是智能手机,其安全性更不可靠,因为不能确定其自身的摄像头、GPS、话筒等部件何时会因为手机程序的执行而自动开启,从而造成泄密。
(十)利用办公设备窃密
在碎纸机、传真机、复印机等办公设备内加装窃密装置,或利用其存储功能窃取数据信息。
(十一)服务器存储泄密
存储在服务器上的私人文件、涉密文件等,在黑客看来就是秘密大本营。
许多网站提供电子邮件、网络U盘、网络存储等服务,更有甚者提供在线WORD、EXCEL编辑等服务,使用户无论身在何处,只要能上网,就能随时获取个人文件进行网上办公。而这就存在一个最大的安全问题,这些存储在服务器上的文件是不加密的或者只是经过很简单的变形加密,黑客们不用费心的广撒网、多捕鱼,针对每个用户分别进行攻击,他们只要针对提供服务的网站进行攻击,就能获取许多的文件和资料。
二、应采取的防范策略
要确保信息安全,从管理和技术角度讲,七分靠管理,三分靠技术;从意识和技术角度讲,七分靠意识,三分靠技术。因此,在采取必要技术措施进行安全防范的基础上,要强化对网络、计算机的管理。
(一)设置足够复杂的三个密码
计算机系统的许多认证均通过密码实现,通过设置密码,可以有效防止防止非法用户操作计算机、更改设置或拷备文件等。口令密码设置应当采用多种字符和数字混合编制,要有足够的长度(至少8位以上),并定期更换。至少设置三个密码:开机密码、系统密码、屏保密码。
(二)安装杀毒软件,并设置自动更新病毒库
安装杀毒软件并及时更新病毒库,可防止计算机遭受绝大部分病毒的侵害。
(三)安装个人防火墙,并正确设置防护选项
安装防火墙并正确设置防护选项可防止计算机遭受外部攻击和木马入侵,保证计算机内部信息安全。
(四)打齐操作系统补丁,并设置自动更新
微软每一个Windows操作系统版本发布后,总要针对不断被发现的系统漏洞,不停地发布各种补丁、系統更新或补丁包,用户安装后才能有效防止黑客攻击或病毒入侵。
微软为使用户自动、及时和简单地安装各种补丁,依托互联网构建了操作系统自动更新系统,操作系统中也增加了自动更新功能。
安装正版操作系统的计算机接入互联网后,会自动访问该网站,并安装更新或补丁程序。
(五)禁用无关联网设备
计算机除网卡外,还可能有Modem、无线网卡、蓝牙、红外线等联网设备,有的计算机还可能有多块网卡。利用这些设备,借助应用程序或连接外部设备,能够使计算机连接到互联网。
(六)专机专用,严禁混用
严禁涉密计算机联接互联网,严禁在联接互联网的计算机(或个人计算机等非涉密计算机)上存储、处理或传递涉密信息。
(七)存储介质不得混用
严禁涉密移动载体(笔记本电脑、移动硬盘、U盘、光盘、软盘、存储芯片、各种存储卡等)存储私人信息。严禁私人移动载体存储涉密信息。严禁存储或曾经存储过涉密信息的移动载体(包括存储介质)联接互联网。
(八)严禁“一机双网”、“一盘双网”
严禁计算机在涉密网和互联网之间交叉联接。严禁移动载体在涉密计算机和联接互联网计算机之间交叉使用。
一、网络主要技术窃密手段
互联网的开放性和计算机系统的脆弱性,导致网络危机四伏,间谍、黑客、好奇者都瞄准了这片阵地,利用各种手段在网上搜集情报信息、操控别人计算机、窃取涉密或隐私信息、盗窃诈骗他人钱财、监视他人行动。
(一)利用计算机漏洞窃密
漏洞是指计算机操作系统、设备产品和应用程序由于自身结构复杂、安全设计不周等原因,在研制过程中产生的先天技术缺陷。存在漏洞的计算机,接入网络后,就可能被窃密者进行远程利用、攻击和控制。
常见的利用计算机漏洞窃密的方法主要是缓冲区溢出攻击。其原理是非法攻击者通过向用户程序的缓冲区写超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,使程序转而执行其他的指令。如果这些指令放在有管理员权限的内存中,那么一旦这些指令得到了运行,黑客就以管理员权限控制了系统,达到入侵的目的。缓冲区攻击的目的就在于干扰某些已特权身份运行的程序的功能,使攻击者获得程序乃至系统的控制权。这就好比有个岔路口,攻击者通过溢出的方法把路标转向了另一条路,当程序执行到岔路口时,就转向了攻击者所设下的陷阱里。
另一个我们常见的漏洞就是RealPlayer播放器的缓冲区溢出漏洞。攻击者利用精心构造的播放器播放脚本SMIL文件,可以使RealPlayer 11以下版本的RealPlayer网页播放器控件产生堆栈溢出,从而执行黑客编写的ShellCode代码,造成自动下载并运行木马程序或者自行开启服务和端口。
类似的漏洞有很多,比如常用的Office Word 2003、Flash网页控件、PDF阅读器等等,都存在缓冲区溢出漏洞。
还有一个常见的远程执行漏洞,出现在我们熟知的迅雷下载、百度搜霸、暴风影音等软件中,他们不会产生溢出错误,但是因为程序自身安全验证的不全面,导致攻击者可以利用精心编写的网页,调用这些程序的某些函数,从而自动下载并运行木马程序,为黑客实现远程控制、窃取秘密提供了方便。
(二)利用“木马”技术窃密
“木马”就是在正常文件的伪装下,对目标计算机实施远程控制的“间谍”软件。对执行缓冲区溢出攻击、远程执行漏洞攻击后,想要提升攻击的效果,实现随心所欲地进行密码窃取、文件窃取、屏幕信息获取、控制远程计算机等操作,就需要向被攻击计算机中植入木马。
“木马”植入的方式多种多样,其中以邮件、网页和诱骗的方式最为常见。当打开有“木马”程序的邮件或邮件附件时,“木马”就会悄悄的植入和控制计算机,窃密者就可实施网络远程窃密。而现在最让人防不胜防的就是网页挂马,可以说,只要浏览网页,就有可能被种木马。
当访问一个站点时,浏览器会自动下载网站中的网页文件、图片文件、层样式文件、脚本文件等等,同时对这些文件加以解析、执行,从而展现出我们看到的页面。而黑客就精心构造这些文件,从而利用IE的漏洞、应用程序的漏洞等等,让页面在展现的时候,从后台自动下载木马程序并执行,使攻击者可以远程控制目标计算机,达到窃密的目的。
再有一种方法就是诱骗被攻击者自己运行木马程序或者自行访问恶意网页下载运行木马。通常称作社会工程学和网络钓鱼。社会工程学的方法通常是搜集被攻击者的信息,向被攻击者提供其感兴趣的图片或者程序,而这些往往都是经过文件合并或者处理过的木马程序,当被攻击者运行这些图片或者程序时自然而然就被黑客控制了计算机。而网络钓鱼则是伪造一个看似正常合法的页面,当被攻击者浏览时,其输入的用户明密码会被黑客获取,同时下载并执行木马,而后转向正常合法的页面。
(三)利用“嗅探”技术窃密
“嗅探”是指黑客利用软件或者硬件获取网络中流经的数据包,从而窃取被攻击者的口令密码、数据内容等重要信息。
虽然现在使用交换机,对嗅探技术有一定影响,但是通过ARP欺骗、上层接入设备拦截等软硬件嗅探手段,同样可以窃取到被攻击者的账号、口令以及相关文件内容信息。比较常见的就是FTP登录口令的窃取,因为FTP的用户登录账号和密码不通过加密而是明文网络传输,所以黑客很容易获取到被攻击者的账号和密码。再一个比较常见的就是网页的嗅探,很多人喜欢在邮箱里保存涉密信息或者个人信息,而现在普遍都是WEB页面形式的邮箱服务,当用户登录邮箱时,网页也是通过明文传输用户名和密码,黑客很容易登录到被攻击者的邮箱获取秘密。
那么除了获取FTP、邮箱口令密码等危险外,更危险的就是直接嗅探到传输文件时的文件內容。比如我们通过飞秋传输文件,黑客可以通过嗅探的方式直接获取文件的内容,而不用煞费苦心的破解被攻击主机的用户名密码、溢出获取权限、种植木马最后窃取文件。
(四)利用“摆渡”技术窃密
“摆渡”就是利用移动存储介质在不同的计算机之间隐蔽传递数据信息的窃密技术。
移动存储介质(如优盘)插入上互联网计算机就会感染“摆渡”程序,再插入涉密计算机时,优盘内的“摆渡”程序能按事先设定好的策略将文件数据从涉密计算机中复制到优盘隐藏目录下,同时将自身的“摆渡”程序复制到涉密计算机中,一旦此优盘又插入上互联网计算机,涉密文件数据就会被“摆渡”程序转移到上网计算机中,此时窃密者即可实现远程窃取。
(五)利用数据恢复技术窃密
数据恢复是指运用软、硬件技术,对删除或因介质损坏等丢失的数据予以还原的过程,黑客可以通过带有数据恢复功能的木马程序,将删除的数据予以还原并打包发送给黑客或者通过上面所讲的摆渡攻击的方法,将恢复的数据隐藏到可移动介质。
(六)利用口令破解窃密
口令是计算机系统的第一道防线。计算机系统经常利用口令来验证用户身份,区分访问权限。口令破解是指以口令为攻击目标,进行猜测破译,或避开口令验证,冒充合法用户潜入目标计算机,取得控制权的过程。 实际应用中,即使计算机打了“补丁”,安装了病毒防护软件,设置了开机口令密码,黑客仍然可以通过口令破解进入该计算机,从而达到破坏或窃密的目的。口令越长,组合越复杂,破译难度越大,所需破译时间越多。
(七)利用预设后门窃密
“后门”是计算机、操作系统、程控交换机等设备在制造过程中,被人为设置的可用于远程维护、信息收集或设备操控的隐蔽功能。该窃密方式主要通过在计算机等产品设备中设置后门装置,通过指令激活操控,窃取涉密信息。
比较显而易见的一个后门就是操作系统和应用程序的错误报告。当然,严格上来将,这些错误报告都有提示功能,要求用户来确认。但是如果设置成为自动发送,就不能不算一个后门了,当系统或者程序发生错误时,会对计算机的内存数据进行转储,而后将其连同错误报告一同发送,此时如果正在编辑一个涉密文件,而错误发生正好导致内存访问越界,就很有可能将内存中的涉密信息一并转储并发送出去。
(八)利用无线上网、计算机无线外围设备窃密
计算机无线外设是指部分或全部采用无线电(光)波这一传输媒质进行连接的装置。无线网卡、无线键盘、无线鼠标和蓝牙、红外接口都属于这类设备。
无线上网以及使用无线键盘、无线鼠标等设备,因信号传输均采用开放的空间传输方式,信号暴露于空中,窃密者即可利用特殊接收设备进行信息拦截,获取信息。即使传输信号采用了加密技术,也可能被破解。
像网络嗅探一样,无线网络的嗅探更是方便,只要存在无线信号的地方,其数据就能被嗅探,虽然说无线网络中的数据已经过加密,但对于黑客来说,破解只是时间问题。以Wi-Fi无线局域网为例,普通的无线AP使用的WEP加密方式已遭黑客破解,通过使用无线捕获并对捕获的数据进行分析,可以得出无线网络接入的共享密钥,从而以合法身份进入局域网内,再进行溢出、种马等攻击。
(九)利用手机窃密
手机通信传输系统是一个开放的地面或卫星无线通信系统。只要有相应的设备,即可截听通话内容。
手机在制造时若被装入了特殊程序,或是经过软、硬件改造,即可具备隐蔽通话功能。窃密者通过遥控操作,可使关机或待机的手机直接转为通话状态,在无振铃,无屏幕显示的状态下,将周围的声音发射出去,可直接被遥控窃听。现在的3G手机大部分是智能手机,其安全性更不可靠,因为不能确定其自身的摄像头、GPS、话筒等部件何时会因为手机程序的执行而自动开启,从而造成泄密。
(十)利用办公设备窃密
在碎纸机、传真机、复印机等办公设备内加装窃密装置,或利用其存储功能窃取数据信息。
(十一)服务器存储泄密
存储在服务器上的私人文件、涉密文件等,在黑客看来就是秘密大本营。
许多网站提供电子邮件、网络U盘、网络存储等服务,更有甚者提供在线WORD、EXCEL编辑等服务,使用户无论身在何处,只要能上网,就能随时获取个人文件进行网上办公。而这就存在一个最大的安全问题,这些存储在服务器上的文件是不加密的或者只是经过很简单的变形加密,黑客们不用费心的广撒网、多捕鱼,针对每个用户分别进行攻击,他们只要针对提供服务的网站进行攻击,就能获取许多的文件和资料。
二、应采取的防范策略
要确保信息安全,从管理和技术角度讲,七分靠管理,三分靠技术;从意识和技术角度讲,七分靠意识,三分靠技术。因此,在采取必要技术措施进行安全防范的基础上,要强化对网络、计算机的管理。
(一)设置足够复杂的三个密码
计算机系统的许多认证均通过密码实现,通过设置密码,可以有效防止防止非法用户操作计算机、更改设置或拷备文件等。口令密码设置应当采用多种字符和数字混合编制,要有足够的长度(至少8位以上),并定期更换。至少设置三个密码:开机密码、系统密码、屏保密码。
(二)安装杀毒软件,并设置自动更新病毒库
安装杀毒软件并及时更新病毒库,可防止计算机遭受绝大部分病毒的侵害。
(三)安装个人防火墙,并正确设置防护选项
安装防火墙并正确设置防护选项可防止计算机遭受外部攻击和木马入侵,保证计算机内部信息安全。
(四)打齐操作系统补丁,并设置自动更新
微软每一个Windows操作系统版本发布后,总要针对不断被发现的系统漏洞,不停地发布各种补丁、系統更新或补丁包,用户安装后才能有效防止黑客攻击或病毒入侵。
微软为使用户自动、及时和简单地安装各种补丁,依托互联网构建了操作系统自动更新系统,操作系统中也增加了自动更新功能。
安装正版操作系统的计算机接入互联网后,会自动访问该网站,并安装更新或补丁程序。
(五)禁用无关联网设备
计算机除网卡外,还可能有Modem、无线网卡、蓝牙、红外线等联网设备,有的计算机还可能有多块网卡。利用这些设备,借助应用程序或连接外部设备,能够使计算机连接到互联网。
(六)专机专用,严禁混用
严禁涉密计算机联接互联网,严禁在联接互联网的计算机(或个人计算机等非涉密计算机)上存储、处理或传递涉密信息。
(七)存储介质不得混用
严禁涉密移动载体(笔记本电脑、移动硬盘、U盘、光盘、软盘、存储芯片、各种存储卡等)存储私人信息。严禁私人移动载体存储涉密信息。严禁存储或曾经存储过涉密信息的移动载体(包括存储介质)联接互联网。
(八)严禁“一机双网”、“一盘双网”
严禁计算机在涉密网和互联网之间交叉联接。严禁移动载体在涉密计算机和联接互联网计算机之间交叉使用。