网络与信息系统安全威胁调查报告
郭祖龙
摘要: 随着互联网逐渐走入人们的生活,网络安全问题日益严峻。本文首先阐述了目前网络与信息系统存在的各种安全威胁,并对其进行了一定程度上的分析,然后说明了针对各类威胁的基本防范方式,最后介绍了网络信息安全威胁的新形势。
关键词:网络安全 安全威胁 木马
随着网络的普及和发展,人们尽管感受到了网络的便利,但是互联网也带来了各式各样的问题。其中网络安全问题是最为重要的问题之一。网络时代的安全问题已经远远超过早期的单机安全问题。网络与信息系统安全威胁是指以计算机为核心的网络系统,所面临的或者来自已经发生的安全事件或潜在安全事件的负面影响。
一、网络与信息系统面临的威胁
网络系统最终为人服务, 人为的威胁行为诸如各种网络人侵行为是网络安全威胁出现的根本原因。人为攻击又可以分为以下两种:一种是主动攻击,其目的在于篡改系统中所含信息,或者改变系统的状态和操作, 它以各种方式有选择地破坏信息的有效性、完整性和真实性;另一类是被动攻击,它通常会进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成极大的危害,并导致机密数据的泄漏。常见的人为因素影响网络安全的情况包括:
1.木马
木马指的是一种后门程序,是黑客用来盗取其他用户的个人信息,甚至是远程控制对方的计算机而加壳制作,然后通过各种手段传播或骗取目标用户执行该程序,以达到盗取密码等各种数据资料的目的。与病毒相似,木马程序有很强的隐秘性,随操作系统启动而启动。但不会自我复制,这一点和病毒程序不一样。 计算机木马一般由两部分组成,服务端和控制端。服务端在远处计算机运行,一旦执行成功就可以被控制或者制造成其他的破坏。而客户端主要是配套服务端程序,通过网络向服务端服务端发布控制指令。
木马的传播途径主要有通过电子邮件的附件传播,通过下载文件传播,通过网页传播,通过聊天工具传播。
木马程序还具有以下特征:
(1).不需要服务端用户的允许就能获得系统的使用权
(2).程序体积十分小, 执行时不会占用太多资源
(3).执行时很难停止它的活动, 执行时不会在系统中显示出来
(4).一次启动后就会自动登录在系统的启动区, 在每次系统
(5).的启动中都能自动运行
(6).一次执行后就会自动更换文件名, 使之难以被发现
(7).一次执行后会自动复制到其他的文件夹中
(8).实现服务端用户无法显示执行的动作。
著名的木马有Back Orifice,NetBUS Pro,SUB7,冰河等等。
通过以下方法可以有效防止木马:
(1).安装系统补丁
(2).安装并更新杀毒软件和防火墙,开启实时监控程序
(3).不要访问不良网站
(4).尽量不要下载安装“破解版”软件
(5).尽量不要随意解压压缩文件
(6).使用U盘,光盘等移动设备前用杀毒软件查杀病毒
2.蠕虫
电脑蠕虫与电脑病毒相似,是一种能够自我复制的电脑程序。与电脑病毒不同的是,电脑蠕虫不需要附在别的程序内,可能不用使用者介入操作也能自我复制或执行。电脑蠕虫未必会直接破坏被感染的系统,对网络有较大的危害。电脑蠕虫可能会执行垃圾代码以发动拒绝服务攻击,令到计算机的执行效率极大程度降低,从而影响计算机的正常使用。
计算机蠕虫的主要危害表现为:信息泄露、占用网络带宽、破坏系统、开启后门和傀儡机器。
如果主机遭受到蠕虫的攻击,可以采取以下方法处理:
(1).下载操作系统补丁
(2).删除蠕虫释放的程序
(3).使用蠕虫专杀工具
著名的计算机蠕虫有冲击波病毒,Sql蠕虫王等等。
3.拒绝服务攻击
利用网络已被攻陷的计算机作为“丧失”,向某一特定的目标计算机发动密集式的“拒绝服务”要求,用以把目标计算机的网络资源及系统资源耗尽,使之无法向真正正常的请求用户提供服务。黑客通过将一个个“丧失”或者称为“肉鸡”组成僵尸网络,就可以发动大规模DDOS网络攻击。
Dos攻击的基本过程:首先攻击者向服务器发送众多的带有虚假地址的请求,服务器发送回复信息后等待回传信息,由于地址是伪造的,所以服务器一直等不到回传的消息,分配给这次请求的资源就始终没有被释放。当服务器等待一定的时间后,连接会因超时而被切断,攻击者会再度传送新的一批请求,在这种反复发送伪地址请求的情况下,服务器资源最终会被耗尽。
SYN Flood是比较流行的拒绝服务攻击的方式之一,这是一种利用TCP协议缺陷,发送大量伪造的TCP连接请求,使被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式。
4.SQL 注入式攻击
所谓SQL 注入式攻击, 就是攻击者把SQL 命令插入到Web表单的输入域或页面请求的查询字符串中, 欺骗服务器执行恶意的SQL 命令。在某些表单中, 用户输入的内容直接用来构造(或者影响) 动态SQL 命令, 或作为存储过程的输入参数, 这类表单特别容易受到SQL 注入式攻击。不仅如此, 黑客们已经开发出自动化工具, 利用谷歌等搜索引擎来找出可能存在漏洞的网站, 然后将代码植入其服务器中。
SQL注入式攻击的主要形式有两种。一是直接将代码插入到与SQL命令串联在
一起并使得其以执行的用户输入变量。上面笔者举的例子就是采用了这种方法。由于其直接与SQL语句捆绑,故也被称为直接注入式攻击法。二是一种间接的攻击方法,它将恶意代码注入要在表中存储或者作为原书据存储的字符串。在存储的字符串中会连接到一个动态的SQL命令中,以执行一些恶意的SQL代码。
SQL注入式攻击的防治:
(1).普通用户与系统管理员用户的权限要有严格的区分。
(2).强迫使用参数化语句。
(3).加强对用户输入的验证。
(4).必要的情况下使用专业的漏洞扫描工具来寻找可能被攻击的点。
5.IPv6威胁
IPv6尽管相对于IPv4提高了安全性,但是仍然有很多安全威胁。例如:
(1).非法访问
在ipv6依然是使用网络三层和四层信息界定合法和非法。因为有ipv6私密性扩展,禁止非常困难,为了 保证内网的acl有效性,尽量禁止ipv6私密性扩展。
(2).数据包头的篡改和数据包的分片
攻击者可以增加无限的ipv6扩展包头,来探测和攻击分片技术。
(3).第三层和第四层的地址欺骗
6.钓鱼式攻击
钓鱼式攻击是一种企图从电子通讯中,通过伪装成信誉卓著的法人媒体以获得如用户名、密码和信用卡明细等个人敏感信息的犯罪诈骗过程。这些通信都声称(自己)来自于风行的社交网站(YouTube、Facebook、MySpace)、拍卖网站(eBay)、网络银行、电子支付网站(PayPal)、或网络管理者(雅虎、互联网服务供应商、公司机关),以此来诱骗受害人的轻信。网钓通常是通过e-mail或者即时通讯进行。网钓是一种利用社会工程技术来愚弄用户的实例。它凭恃的是现行网络安全技术的低亲和度。种种对抗日渐增多网钓案例的尝试涵盖立法层面、用户培训层面、宣传层面、与技术保全措施层面。
钓鱼式攻击的防治:
(1).识别合法网站
(2).使用垃圾邮件过滤器过滤消除网钓邮件
7.零日漏洞
“零日漏洞”是指被发现后立即被恶意利用的安全漏洞, 这种攻击利用厂商缺少防范意识或缺少补丁, 从而能够造成巨大破坏。虽然还没有出现大量的“零日漏洞” 攻击, 但是其威胁日益增长。人们掌握的安全漏洞知识越来越多, 就有越来越多的漏洞被发现和利用。
防范措施如下:
(1).协议异常检测
(2).模式匹配
(3).命令限制
(4).系统伪装
(5).报头过滤拦截。
8.基于Mac操作系统的病毒
相对于Windows 而言, 针对Mac 的恶意程序要少得多。由于大多数Windows 家庭用户都没有能力对恶意软件和间谍软件进行有效的防御, 因此从Windows平台转向苹果Mac平台看起来是一个明智的做法。但是这只不过是因为针对这一平台编写的恶意软件更少而已, Mac OSX 系统并不比Windows 先进。”此外, 还有其它一些恶意程序也在2008 年对Mac 电脑发起了攻击。 例如: OSX/Hovdy-A Trojan、Troj/RKOSX-A Trojan 和OSX/Jahlav-A Trojan。
9.手机病毒
随着智能手机的不断普及,手机病毒成为了病毒发展的下一个目标。手机病毒是一种破坏性程序,和计算机病毒(程序)一样具有传染性、破坏性。手机病毒可利用发送短信、彩信,电子邮件,浏览网站,下载铃声,蓝牙等方式进行传播。手机病毒可能会导致用户手机死机、关机、资料被删、向外发送垃圾邮件、拨打电话等,甚至还会损毁 SIM卡、芯片等硬件。
手机病毒工作原理:手机中的软件,嵌入式操作系统(固化在芯片中的操作系统,一般由 JAVA、C++等语言编写),相当于一个小型的智能处理器,所以会遭受病毒攻击。而且,短信也不只是简单的文字,其中包括手机铃声、图片等信息,都需要手机中的操作系统进行解释,然后显示给手机用户,手机病毒就是靠软件系统的漏洞来入侵手机的。
手机病毒的预防:
(1).不要接受陌生请求
(2).保证下载的安全性
(3).不要浏览不良网站
(4).使用不带操作系统的非智能手机
二、信息网络安全威胁的新形势
伴随着信息化的快速发展, 信息网络安全形势愈加严峻。信息安全攻击手段向简单化、综合化演变,攻击形式却向多样化、复杂化发展,病毒、蠕虫、垃圾邮件、僵尸网络等攻击持续增长,各种软硬件安全漏洞被利用进行攻击的综合成本越来越低,内部人员的蓄意攻击也防不胜防,以经济利益为目标的黑色产业链已向全球一体化演进。
在新的信息网络应用环境下,针对新的安全风险必须要有创新的信息安全技术, 需要认真对待这些新的安全威胁。
1.恶意软件的演变
随着黑色地下产业链的诞生,木马、蠕虫、僵尸网络等恶意软件对用户的影响早已超过传统病毒的影响,针对Web的攻击成为这些恶意软件新的热点,新时期下这些恶意软件攻击方式也有了很多的演进:
(1).木马攻击技术的演进
网页挂马成为攻击者快速植入木马到用户机器中的最常用手段,也成为目前对网络安全影响最大的攻击方式。同时,木马制造者也在不断发展新的技术,例如增加多线程保护功能,并通过木马分片及多级切换摆脱杀毒工具的查杀。
(2).蠕虫攻击技术的演进
除了传统的网络蠕虫,针对Mail、IM、SNS等应用性业务的蠕虫越来越多,技术上有了很多新演进,例如通过采用多层加壳模式提升了其隐蔽性,此外采用类似P2P传染模式的蠕虫技术使得其传播破坏范围快速扩大。
(3).僵尸网络技术的演进
在命令与控制机制上由IRC协议向HTTP协议和各种P2P协议转移,不断增强僵尸网络的隐蔽性和鲁棒性,并通过采取低频和共享发作模式,使得僵尸传播更加隐蔽;通过增强认证和信道加密机制,对僵尸程序进行多态化和变形混淆,使得对僵尸网络的检测、跟踪和分析更加困难。
2.P2P应用引发新的安全问题
P2P技术的发展给互联网带来了极大的促进,BT、电驴等P2P软件获得了广泛的应用,但这种技术在给用户带来便利的同时也给网络应用带来了一些隐患。版权合法问题已成为众多P2P提供商和用户面临的首要问题,而P2P技术对带宽的最大限度占用使得网络带宽将面临严峻挑战。目前在正常时段,在整个互联网的骨干网中,P2P流量占整个网络流量高达40%以上,这不仅造成了带宽的紧张,也影响了其他互联网业务应用的正常使用,业务的安全可靠使用受到影响。对于基于时间或流量提供带宽服务的运营商而言,如何正确的优化带宽并合理使用P2P技术将成为其面临的主要挑战。
除此之外,P2P软件本身现在也成为众多安全攻击者的目标,主流P2P软件的去中心化和开放性使得P2P节点自身很容易成为脆弱点,利用P2P传播蠕虫或者隐藏木马成为一种新的攻击趋势。
3.新兴无线终端攻击
无线终端用户数目已超过固网用户数目达到了几十亿,随着3G、Wimax、LTE等多种无线宽带技术的快速发展并推广应用,PDA、无线数据卡、智能手机等各种形式的移动终端成为黑客攻击的主要目标。针对无线终端的攻击除了传统针对PC机和互联网的攻击手段外,也有其自身的特殊性,包括:针对手机操作系统的病毒攻击,针对无线业务的木马攻击、恶意广播的垃圾电话、基于彩信应用的蠕虫、垃圾短信彩信、手机信息被窃取、SIM卡复制以及针对无线传输协议的黑客攻击等。这些新兴的无线终端攻击方式也给今后无线终端的广泛应用带来严峻挑战。
4.数据泄露的新形势
数据泄漏已逐步成为企业最为关注的安全问题,随着新介质、电子邮件、社区等各种新型信息传播工具的应用,数据泄露攻击也显现了很多新的形势:通过U盘、USB口、移动硬盘、红外、蓝牙等传输模式携带或外传重要敏感信息,导致重要数据泄露;通过针对电子设备(例如PC)重构电磁波信息,实时获取重要信息;通过植入木马盗取主机介质或者外设上的重要信息数据;通过截获在公网传播的EMAIL信息或无线传播的数据信息,获取敏感信息。针对信息获取的数据泄漏攻击方式已成为攻击者的重点。
参考文献:
[1] 郑志彬.信息网络安全威胁及技术发展趋势[J].电信科学 2009(2):28-32
[2] 陈琳羽.浅析信息网络安全威胁[J].网络安全, 2009(1):30-32.
[3] 宋德君.信息系统安全的威胁与脆弱性浅谈[J].黑龙江电子技术 1998年
(4): 21-22
[4] 徐桂庆.计算机网络安全的威胁及维护[J].信息技术, 2009(3):13-15.
