前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的防暑安全預案主題范文,僅供參考,歡迎閱讀并收藏。
關于防溺水安全倡議書一
每年盛夏,不少人選擇了游泳這個避暑的方法。但每年時有學生溺水事件的發生,蓓蕾初開,前程無限,卻被無情的河水所吞噬,令人痛心。為創設更安全的學習生活環境,努力杜絕此類悲劇的再次發生,我們特向全校學生發出以下倡議:
一、樹立安全意識,加強自我保護,不參與那些危險的活動,不到危險、陌生的河域游泳。
二、在有家人陪伴地前提下,到安全的、正規的游泳池游泳。
并要做好相應的準備活動,防止溺水事件的發生。
三、學會相關的防溺水知識,并能將所學的知識運用于實際。
四、從我做起,嚴守學校紀律。
堅決不參與危險的外出游泳活動。
五、在加強自我安全意識的同時,亦努力做好說服教育工作,對于那些違反學校紀律,私自外出洗冷水澡的行為,要堅決抵制并勸阻。
六、嚴禁私自或結伴到水庫、沙溪河等水域嬉戲或游泳。
七、嚴禁在設有“禁止游泳”或“水深危險”等警示標語的水域處下水戲水。
八、嚴禁在公園尤其是靠河處逗留玩耍。
九、嚴禁私自到河邊看漲大水。
十、嚴禁自行下河救人。
生命是寶貴的,每個人都只有一次,她不象財富能失而復得,也不象離離原上草周而復始。誰失去了生命,不僅僅是自己失去了一切,還要給活著的親人留下心靈的創傷。同學們,我們是國家和民族的未來和希望,我們一定要珍惜青春,努力學習,積極要求進步,不斷提高自身素質,共同擔負起歷史和時代的重任。讓我們行動起來,“以遵紀守法為榮、以違法亂紀為恥”,珍愛生命,預防溺水,杜絕悲劇的發生。
關于防溺水安全倡議書二
親愛的同學們,為積極響應教育部近期在學生中開展防溺水事故教育的號召,努力杜絕游泳溺水悲劇的再次發生,我們要做到以下幾點:
一、樹立安全意識,加強自我保護,正確評估自身的游泳水平,不到那些陌生危險的自然水域,如深潭、野塘和溪邊等處游泳;
二、必須在有家長陪伴的前提下,到安全正規有救生員值崗的游泳場所游泳,下水前要了解自身的身體狀況,并充分做好熱身活動,到安全的水域下水,防止溺水事件的發生;
三、即使在游泳池,也不要依賴充氣浮具,并聽從救生員的管理,嚴禁在游泳池邊追逐打鬧,推搡他人,跳水潛泳等危險動作;
四、學會相關游泳防溺水知識,并掌握一定的自救技能,如遇同伴溺水,請勿下水,降低重心借助棍、繩和衣服等可用于救生的器材,進行施救,同時千萬不要忘記向成人求助;
五、預防溺水的最好方法是到正規的游泳場所參加游泳培訓,盡早學會游泳,掌握自救技能。
六、不要到塘江邊去玩水,不到江堤下行走、玩耍和觀潮,安全觀潮必須在大人的陪同下進行。
同學們,我們是國家、民族和家庭的希望,我們一定要珍惜時光,努力學習,不斷提高自身各方面的素質,讓我們攜起手來,“學習游泳促健康,掌握知識防溺水”,杜絕悲劇的發生。
關于防溺水安全倡議書三
隨著期末考試的臨近,中小學生的暑假生活馬上就要開始了。每年暑假,孩子的安全問題都是家長和社會十分關注的話題。在孩子面臨的諸多危險中,“溺水”是威脅中小學生安全的“頭號殺手”。那么,應該怎樣為孩子構筑防溺水“保護墻”呢?
首先,學校要做好宣傳教育工作。在海口景山學校,“家長進課堂”活動中就有專業游泳教練教授暑期如何防溺水專題,從如何學習游泳,如何判斷水情,如何選擇游泳場地,如何自我保護、自救和他救等方面,進行了詳細講解。同時,開展水中實操課,現場模擬演示自救和他救的要領,讓學生有更直觀和深刻的認識。建議有條件的學校開展相關課程或開展主題班會,從學校宣傳教育的角度,走好暑期防溺水第一步。另外,比如把防溺水常識編成卡片、歌謠,甚至是編成游戲等形式,都是非常可取的。寓教于樂,在潛移默化中增強學生的自我保護意識。
其次,家長要做好監管。發生學生溺水事件,家長疏于監管是重要原因之一。家長在自己納涼解暑的同時,千萬不能忽略孩子在水中的安全。一些家長因為工作忙,無暇顧及孩子的暑期生活,這會讓孩子的安全隱患又增加許多。建議學校在放假前組織教師進行家訪,落實家長預防孩子溺水的監管責任,實現學校教育與家庭監管的無縫對接。
第三,相關職能部門與社會力量需共同搭建安全防線。社區、游泳館、游泳池、有開放水域的公園里的管理者,應全面進行救生員持證上崗的自查工作,規范救生員隊伍,增強救生員技術能力與責任心。建立全面的監控系統,在重點水域增設監控點,并安排專人值守。建議在塘壩、水渠、水庫、海灘等地方增設明顯的警示標牌,由街道干部、民警、志愿者組成巡邏隊,開展隱患排查工作,并以網格化管理為基礎,共同編織學生暑期防溺水安全網。
第四,學生自身游泳技能的提高。過去幾年,曾有人建議學生遠離水域,不要游泳,這無疑是因噎廢食的“自我保護”,我們應該更積極地面對問題,與其“遠離”,不如“學會”—真正掌握自救知識和游泳技能,將終生受用。
關于防溺水安全倡議書四
親愛的同學們:
我們的安全健康,不僅關系到自己未來美好的生活和家庭的幸福,更關系到整個社會的祥和穩定。時近盛夏,天氣炎熱,不少人選擇了游泳這個既能避暑又能鍛煉身體的方法。但一些同學由于安全意識淡薄,忽視學校的安全教育,私自到河里玩水游泳,造成溺水死亡事故不斷發生,每年全國因安全事故死亡的學生中,溺水和交通死亡的占60﹪。蓓蕾初開,前程無限,卻被無情的'河水所吞噬,看到一條條鮮活的生命被葬送,看到一個個美滿的家庭慘遭不幸,令人痛心。珍愛生命,警鐘長鳴,為了創設更安全的學習生活環境,杜絕此類悲劇的再在你我身邊發生,我們特向全校師生發出以下倡議:
一、珍愛生命,接受學校的安全教育,樹立安全意識,加強自我保護,不參與危險的水上活動,不下河中游泳。
二、在有家人陪伴地前提下,到安全的、正規的游泳池游泳,并要做好相應游泳前的準備活動,防止溺水事件的發生。
三、學會相關的防溺水知識,并能將所學的知識運用于實際。
四、從我做起,嚴守學校紀律。
堅決不參與危險的校外游泳活動。發現有同學私自去河中游泳或做危險的事要及時阻止,并及時報告老師。
[關鍵詞]網絡安全 防火墻技術 服務器
古時候,人們常在寓所之間砌起一道磚墻,一旦火災發生,它能夠防止火勢蔓延到別的寓所。自然,這種墻因此而得名“防火墻”。現在,如果一個網絡接到了Internet上面,它的用戶就可以訪問外部世界并與之通信。但同時,外部世界也同樣可以訪問該網絡并與之交互。為安全起見,可以在該網絡和Internet之間插入一個中介系統,豎起一道安全屏障。這道屏障的作用是阻斷來自外部通過網絡對本網絡的威脅和入侵,提供扼守本網絡的安全和審計的唯一關卡。這種中介系統也叫做“防火墻”,或“防火墻系統”。
簡言之,一個防火墻在一個被認為是安全和可信的內部網絡和一個被認為是不那么安全和可信的外部網絡(通常是Internet)之間提供一個封鎖工具。在使用防火墻的決定背后,潛藏著這樣的推理:假如沒有防火墻,一個網絡就暴露在不那么安全的Internet諸協議和設施面前,面臨來自Internet其他主機的探測和攻擊的危險。在一個沒有防火墻的環境里,網絡的安全性只能體現為每一個主機的功能,在某種意義上,所有主機必須通力合作,才能達到較高程度的安全性。防火墻的作用是防止不希望的、未授權的通信進出被保護的網絡,迫使單位強化自己的網絡安全政策。
網絡防火墻技術是一種用來加強網絡之間訪問控制,防止外部網絡用戶以非法手段通過外部網絡進入內部網絡,訪問內部網絡資源,保護內部網絡操作環境的特殊網絡互聯設備。它對兩個或多個網絡之間傳輸的數據包如鏈接方式按照一定的安全策略來實施檢查,以決定網絡之間的通信是否被允許,并監視網絡運行狀態。根據防火墻所采用的技術不同,我們可以將它分為四種基本類型:包過濾型、網絡地址轉換―NAT、型和監測型。
包過濾型。包過濾型產品是防火墻的初級產品,其技術依據是網絡中的分包傳輸技術。網絡上的數據都是以“包”為單位進行傳輸的,數據被分割成為一定大小的數據包,每一個數據包中都會包含一些特定信息,如數據的源地址、目標地址、TCP/UDP源端口和目標端口等。防火墻通過讀取數據包中的地址信息來判斷這些“包”是否來自可信任的安全站點,一旦發現來自危險站點的數據包,防火墻便會將這些數據拒之門外。系統管理員也可以根據實際情況靈活制訂判斷規則。包過濾技術的優點是簡單實用,實現成本較低,在應用環境比較簡單的情況下,能夠以較小的代價在一定程度上保證系統的安全。但包過濾技術的缺陷也是明顯的。包過濾技術是一種完全基于網絡層的安全技術,只能根據數據包的來源、目標和端口等網絡信息進行判斷,無法識別基于應用層的惡意侵入,如惡意的Java小程序以及電子郵件中附帶的病毒。有經驗的黑客很容易偽造IP地址,騙過包過濾型防火墻。
網絡地址轉化―NAT。網絡地址轉換是一種用于把IP地址轉換成臨時的、外部的、注冊的IP地址標準。它允許具有私有IP地址的內部網絡訪問因特網。它還意味著用戶不許要為其網絡中每一臺機器取得注冊的IP地址。在內部網絡通過安全網卡訪問外部網絡時,將產生一個映射記錄。系統將外出的源地址和源端口映射為一個偽裝的地址和端口,讓這個偽裝的地址和端口通過非安全網卡與外部網絡連接,這樣對外就隱藏了真實的內部網絡地址。在外部網絡通過非安全網卡訪問內部網絡時,它并不知道內部網絡的連接情況,而只是通過一個開放的IP地址和端口來請求訪問。OLM防火墻根據預先定義好的映射規則來判斷這個訪問是否安全。當符合規則時,防火墻認為訪問是安全的,可以接受訪問請求,也可以將連接請求映射到不同的內部計算機中。當不符合規則時,防火墻認為該訪問是不安全的,不能被接受,防火墻將屏蔽外部的連接請求。網絡地址轉換的過程對于用戶來說是透明的,不需要用戶進行設置,用戶只要進行常規操作即可。
型。型防火墻也可以被稱為服務器,它的安全性要高于包過濾型產品,并已經開始向應用層發展。服務器位于客戶機與服務器之間,完全阻擋了二者間的數據交流。從客戶機來看,服務器相當于一臺真正的服務器;而從服務器來看,服務器又是一臺真正的客戶機。當客戶機需要使用服務器上的數據時,首先將數據請求發給服務器,服務器再根據這一請求向服務器索取數據,然后再由服務器將數據傳輸給客戶機。由于外部系統與內部服務器之間沒有直接的數據通道,外部的惡意侵害也就很難傷害到企業內部網絡系統。型防火墻的優點是安全性較高,可以針對應用層進行偵測和掃描,對付基于應用層的侵入和病毒都十分有效。其缺點是對系統的整體性能有較大的影響,而且服務器必須針對客戶機可能產生的所有應用類型逐一進行設置,大大增加了系統管理的復雜性。
監測型。監測型防火墻是新一代的產品,這一技術實際已經超越了最初的防火墻定義。監測型防火墻能夠對各層的數據進行主動的、實時的監測,在對這些數據加以分析的基礎上,監測型防火墻能夠有效地判斷出各層中的非法侵入。同時,這種檢測型防火墻產品一般還帶有分布式探測器,這些探測器安置在各種應用服務器和其他網絡的節點之中,不僅能夠檢測來自網絡外部的攻擊,同時對來自內部的惡意破壞也有極強的防范作用。據權威機構統計,在針對網絡系統的攻擊中,有相當比例的攻擊來自網絡內部。
防火墻產品不能替代墻內的謹慎的安全措施。防火墻在當今Internet世界中的存在是有生命力的。它是一些對高級別的安全性有迫切要求的機構出于實用的原因建造起來的,因此,它不是解決所有網絡安全問題的萬能藥方,而只是網絡安全政策和策略中的一個組成部分。
參考文獻:
[1]李建軍.淺談企業級防火墻選購[J].信息技術與信息化,2006,(03).
[2]周利江.醫院網絡系統防火墻的選擇[J].醫療裝備, 2005,(08).
[3]肖曉.教育系統網絡安全新貴EDU[J]. 中國教育網絡,2005,(07).
關鍵詞:蜜罐;防火墻;入侵檢測;網絡安全
中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2014)22-5206-03
隨著網絡的普及與發展,已經而且正在改變著人們的工作和生活方式,網絡帶給人們方便的同時,網絡安全問題也越來越引起了人們的關注。傳統的防御技術大多為被動防御,如入侵檢測、防火墻等,這些防御手段只能根據現有的攻擊方式被動進行防御,存在著很大的局限性和脆弱性,往往對新的攻擊方式根本起不到防御的目的。蜜罐(Honeypot)是基于主動防御理論提出的一種網絡誘捕技術,其主要功能是對攻擊活動進行監視、檢測和分析,但其通常只是作為一種檢測方法來檢測攻擊。結合兩種策略的優缺點,將當前最為常用的防火墻、入侵檢測系統與蜜罐技術相結合,設計了一種防火墻、入侵檢測系統和蜜罐系統聯動協作的防御模型。通過聯動控制系統,將防火墻、入侵檢測系統與蜜罐系統的檢測與響應互動,從而最大程度地保護網絡或計算機的安全。
1 蜜罐的定義
蜜網項目組的創始人Lance Spitzner對蜜罐的定義[1]是:“蜜罐是一個資源,它的價值在于它會受到攻擊或威脅。這意味著一個蜜罐希望受到探測、攻擊和潛在地被利用。蜜罐并不修正任何問題,它們僅為我們提供額外的、有價值的信息。”蜜罐是一種計算機和網絡安全資源,可以是真實的網絡系統或是真實網絡環境的模擬,作為蜜網技術的低級形式,物理上通常是一臺運行單個操作系統或者借助于虛擬化軟件運行多個虛擬操作系統的“牢籠”主機。蜜罐系統所收集的信息可以作為跟蹤、研究黑客現有技術的重要資料。
2 蜜罐的分類
隨著多年的研究,蜜罐技術已經越來越成熟,按照部署目的主要分為產品型蜜罐和研究型蜜罐[2],按照交互性等級蜜罐可以分為低交互型蜜罐、中交互型蜜罐和高交互型蜜罐[3]。
1) 產品型蜜罐具有事件檢測和欺騙功能,主要目的是減輕部署組織受到的攻擊威脅,檢測并對付攻擊者,一般用在商業組織中,用來提高商業組織的安全性能,增強受保護組織的安全性。研究型蜜網的主要目的是用于獲取黑客的信息,研究型蜜罐也是觀察、記錄、學習攻擊者及其攻擊行為的最好工具,而且還能學習到攻擊者在攻陷一個系統后如何與其它黑客通信或者上載新的工具包等更高價值的信息。
2) 低交互型蜜罐主要是用于協助保護特定組織的產品型蜜罐。它的主要目的在于檢測,具體說來就是對未授權掃描或者未授權連接嘗試的檢測,沒有提供真實的操作系統和網絡服務,所允許的交互是有限的,通常只對某些網絡服務或操作系統進行簡單的模擬,風險小的同時收集的信息也少,并且存在著易被黑客識別的指紋信息。典型的低交互型蜜罐有BOF、Speeter、Honeyd等。中交互型蜜罐仍然沒有提供真實的操作系統與攻擊者交互,但為攻擊者提供了更多復雜的誘捕進程,模擬了更多更復雜的特定服務。高交互型蜜罐給入侵者提供了一個真實的操作系統和網絡服務,在這種環境下一切都不是模擬的或者受限的,可以收集到更加豐富有用的信息,包括完全不了解的網絡攻擊方式。然而與此同時,操作系統的介入將會大大增加系統的復雜度,相應地系統所面臨的威脅也就更大,部署和維護更加復雜。
3 蜜罐的關鍵技術
1) 網絡欺騙技術。沒有網絡欺騙功能的蜜罐是沒有價值的,因為蜜罐的價值體現是在其被探測、攻擊或者攻陷的時候。網絡欺騙技術因此也認為是蜜罐技術體系中最關鍵和最核心的技術和難題。
2) 數據捕獲技術。蜜罐必須有強大的信息捕獲功能,在不被入侵者發現的情況下,捕獲盡可能多的信息。蜜罐的主要目的之一就是獲取有關攻擊和攻擊者的所有信息,捕捉入侵者從掃描、探測、攻擊、攻陷蜜罐主機到最后離開蜜罐的每一步動作。
3) 數據控制技術。數據控制用于保障蜜罐系統自身的安全。為了使其更像一個真實的網絡或系統,通常數據控制必須在不被入侵者察覺的情形下對流入、流出的通信進行監聽和控制。
4) 數據分析技術。數據分析是包括網絡協議分析、網絡行為分析和攻擊特征分析等。蜜罐系統收集信息格式也不相同,應該有一個統一的數據分析模塊,在同一控制臺對收集的所有信息進行分析、綜合和關聯,這樣有助于更好地分析攻擊者的入侵過程及其在系統中的活動。
4 蜜罐系統與防火墻、入侵檢測系統聯動模型
入侵檢測系統和防火墻采用的是被動的網絡檢測和防御技術,它們一般對網絡入侵行為發生時和發生后入侵檢測才能起到作用。而蜜罐技術是基于主動防御理論提出的,在某些情況下,蜜罐收集用于跟蹤攻擊者的有用信息。由于通向蜜罐的流量都是高度可疑的,同時系統也可以把可疑流量導入蜜罐,把蜜罐作為暫時的訪問替身,但由于其主要是發現攻擊,防御方面有所欠缺。因此,將蜜罐技術與入侵檢測系統、防火墻這三個當前最常用的防御方法相結合,實現聯動防御,可以最大程度實現網絡攻擊的防御目的。其設計思想為在入侵檢測系統和防火墻的功能基礎上增加了蜜罐系統主動防御功能和聯動功能。蜜罐系統與防火墻、入侵檢測系統聯動模型如圖1。
4.1 工作方式
通過開放接口實現互動。即防火墻、入侵檢測系統或者蜜罐系統開放一個接口供彼此調用。按照一定的協議進行通信、傳輸警報。這種方式比較靈活,系統啟動后偽裝成有漏洞的蜜罐系統。防火墻可以行使訪問控制的防御功能,入侵檢測系統可以實現數據采集和檢測入侵的功能,丟棄惡意通信,確保這個通信不能到達目的地,并通知防火墻進行阻斷,將可疑的網絡流引入到蜜罐系統中,蜜罐系統主動誘捕通信信息,對通信信息進行分析,發現攻擊,將攻擊信息存放在日志服務器中。通過開放接口實現互動不影響防火墻、IDS產品和蜜罐系統的性能,但由于是三個系統的配合,所以要重點考慮到三者聯動時的開銷問題。
4.2 模型功能系統劃分
該模型中分為四個部分:防火墻、入侵檢測系統、蜜罐系統、聯動控制系統。其各部分的主要作用為:
1) 防火墻。防火墻作為安全的第一道防線,可以配置在主機外或內部網絡外,根據其機制從各種端口中辨別判斷從外部不安全網絡發送到內部安全網絡中具體的計算機的數據是否有害,盡可能地將有害數據丟棄,達到初步的網絡系統安全保障。同時,根據入侵檢測系統和蜜罐系統所提供的攻擊信息進行相應防御。
2) 入侵檢測系統。該模塊主要實現數據采集、數據分析和響應三個功能。該系統首先要對所有經防火墻過濾后流入內部網絡的數據和事件進行數據采集,對數據和各事件進行分析,根據數據流特征信息從中發現違反安全策略的行為。當確定發生了入侵行為,將確定的入侵行為特征上傳到聯動控制系統并報警,由聯動控制系統來控制防火墻和入侵檢測系統本身的防御響應機制進行防御;當發現網絡出現異常行為,但確定不了是否真的為入侵行為,則上傳到聯動控制系統并報警,由聯動控制系統發出控制指令,采用地址或端口重定向機制將網絡流導入到已設置好的蜜罐作進一步的研究,避免像單一的入侵檢測系統那樣出現誤報或漏報的情況,直接攻擊到了主機。
3) 蜜罐系統。該模塊主要在受保護的主機或系統上配置蜜罐系統,該系統實際上是一個網絡陷阱,網絡中的異常行為經過聯動控制系統重定向到該模塊后,一方面可以通過精心設置蜜罐系統,使其盡可能的像一個真實的系統,從而吸引并迷惑入侵者,掩蓋蜜罐的欺騙性,使入侵者相信其入侵的是一個真實的系統,起到欺騙入侵者的作用;另一方面進行數據捕獲及日志記錄,將捕獲的內容進行分析,如果發現了入侵檢測系統漏報的和新出現的攻擊方式,則上傳至聯動控制系統發出報警,由防火墻和入侵檢測系統的響應機制進行防御,并進行反跟蹤信息采集和分析,在保護主機的同時進行反攻擊。
4) 聯動控制系統。該模塊主要負責協調各部分之間工作,及時上報各種信息,根據入侵檢測系統和蜜罐系統發現的攻擊進行報警響應,而且可以各種情況協同控制,給系統的各個部分下達相應的響應指令。
5 總結
蜜罐技術作為一種主動防御網絡安全的方法,已經成為安全專家所青睞的對付黑客的有效工具之一,它既可作為獨立的安全工具,還可以與其他的安全機制聯合使用。蜜罐技術本身并不能完全解決安全問題,但在與防火墻和入侵檢測系統的配合下,能夠彌補原有網絡安全防御系統的不足,構成更加安全的網絡防御體系。
參考文獻:
[1] (美)Lance Spitzner著. honeypot: 追蹤黑客[M].鄧云佳,譯.北京:清華大學出版社, 2004:9-10.
[2] 熊華, 郭世澤, 慧勤. 網絡安全――取證與蜜罐[M].北京:人民郵電出版社, 2003:97-13.
[3] Baumann, Reto, Plattner, Christian.蜜罐S[C]. March 14 2003. Pages 3-40.
[4] 連紅, 胡谷雨. 網絡防御中的蜜罐技術研究[J]. 軍事通信技術, 2005(2): 57-61.
[5] Lance Spitzner. Honeypots: Definitions and Value of Honeypots[EB/OL]. http://tracking- , 2003,5.29.
[6] 裴建. 防火墻的局限性和脆弱性及蜜罐技術的研究[J]. 科技情報開發與經濟.2005(5):251-252.
關鍵詞:網絡安全;蜜罐技術;蜜網技術;入侵檢測;虛擬機;VMware
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2008)29-0340-02
The Project Design of Honeypot Deployment Based on Network Security
SHI Ze-quan
(Department of Computer Science,Chongqing Vocational Institute Engineering,Chongqing 400037,China)
Abstract: Honey pot technology to detect intrusion, recording the invasion process and preserve the invasion history in network security more and more attention. The honey pots takes “to trick” and “delay the attack” the method is effective. But it has so many questions, just like cost too high, the attack process not to be easy to monitor, and the process diary not to be easy to preserve and so on. The Honeynet technology update the honeypot technology, the deployment of the security system, it is more confusing, more easily record-keeping,monitoring and analysis of the invasion process to the invaders. VMware used to achieve honeynet technology is the most economic and effective way.
Key words: network security; honeypot technology; honeynet technology; Intrusion detection; virtual pc;VMware
計算機及其網絡技術的應用已深入各行各業,特別是企事業單位的日常管理工作更是緊密依賴網絡資源。基于此,保證網絡的正常運行就顯得尤為重要。目前,廣泛采用的安全措施是在企業局域網里布設網絡防火墻、病毒防火墻、入侵檢測系統,同時在局域網內設置服務器備份與數據備份系統等方案。而這些安全網絡防火墻、入侵檢測系統真能有效地保證系統的安全嗎?做到了這一切系統管理員就能高枕無憂了嗎?
1 問題的提出
圖1為現實中常用的二層網絡拓撲結構圖。從圖中可以看出,網絡防火墻與入侵檢測系統(IDS)均部署在網絡入口處,即防火墻與入侵檢測系統所阻擋是外網用戶對系統的入侵,但是對于內網用戶來說,內部網絡是公開的,所有的安全依賴于操作系統本身的安全保障措施提供。對一般的用戶來講,內網通常是安全的,即是說這種設計的對于內網的用戶應該是可信賴的。然而對于諸如校園網的網絡系統,由于操作者基本上都是充滿強烈好奇心而又具探索精神的學生,同時還要面對那些極少數有逆反心理、強烈報復心的學生,這種只有操作系統安全性作為唯一一道防線的網絡系統的可信賴程度將大打折扣。
另一方面,有經驗的網絡管理員都知道,網絡中設置了防火墻與入侵檢測系統并不能從根本上解決網絡的安全問題(最安全的方法只能是把網絡的網線撥了),只能對網絡攻擊者形成一定的阻礙并延長其侵入時間。操作者只要有足夠的耐心并掌握一定的攻擊技術,這些安全設施終有倒塌的可能。
所以,如何最大可能地延長入侵者攻擊網絡的時間?如何在入侵雖已發生但尚未造成損失時及時發現入侵?避開現有入侵檢測系統可以偵測的入侵方式而采用新的入侵方式進行入侵時,管理者又如何發現?如何保留入侵者的證據并將其提交有關部門?這些問題都是網絡管理者在安全方面需要經常思考的問題。正是因為上述原因,蜜罐技術應運而生。
2 蜜罐技術簡介
蜜罐技術的研究起源于上世紀九十年代初。蜜罐技術專家L.Spitzner對蜜罐是這樣定義的:蜜罐是一個安全系統,其價值在于被掃描、攻擊或者攻陷。即意味著蜜罐是一個包含漏洞的誘騙系統。它是專門為吸引并“誘騙”那些試圖非法闖入他人計算機系統的人設計的。它通過模擬一個或多個有漏洞的易受攻擊的主機,給攻擊者提供十分容易受攻擊的目標。
如圖2所示,蜜罐與正常的服務器一樣接入核心交換機,并安裝相應的操作系統和數據庫管理系統,配置相應的網絡服務,故意存放“有用的”但已過時的或可以公開的數據。甚至可以將蜜罐服務器配置成接入網絡即組成一臺真正能提供應用的服務器,只是注意將蜜罐操作系統的安全性配置成低于正常的應用服務器的安全性,或者故意留出一個或幾個最新發現的漏洞,以便達到“誘騙”的目的。
正常配置的蜜罐技術一旦使用,便可發揮其特殊功能。
1) 由于蜜罐并沒有向外界提供真正有價值的服務,正常情況下蜜罐系統不被訪問,因此所有對其鏈接的嘗試都將被視為可疑的,這樣蜜罐對網絡常見掃描、入侵的反應靈敏度大大提高,有利于對入侵的檢測。
2) 蜜罐的另一個用途是拖延攻擊者對真正目標的攻擊,讓攻擊者在蜜罐上浪費時間。如圖二, 正常提供服務的服務器有4個,加入4個蜜罐,在攻擊者看來,服務器有8個,其掃描與攻擊的對象也增加為8個,所以大大減少了正常服務器受攻擊的可能性。同時,由于蜜罐的漏洞多于正常服務器,必將更加容易吸引攻擊者注意,讓其首先將時間花在攻擊蜜罐服務器上。蜜罐服務器靈敏的檢測并及時報警,這樣可以使網絡管理員及時發現有攻擊者入侵并及時采取措施,從而使最初可能受攻擊的目標得到了保護,真正有價值的內容沒有受到侵犯。
3) 由于蜜罐服務器上安裝了入侵檢測系統,因此它可以及時記錄攻擊者對服務器的訪問,從而能準確地為追蹤攻擊者提供有用的線索,為攻擊者搜集有效的證據。從這個意義上說,蜜罐就是“誘捕”攻擊者的一個陷阱。
經過多年的發展,蜜罐技術已成為保護網絡安全的切實有效的手段之一。對企事關單位業務數據處理,均可以通過部署蜜罐來達到提高其安全性的目的。
3 蜜罐與蜜網技術
蜜罐最初應用是真正的主機與易受攻擊的系統,以獲取黑客入侵證據、方便管理員提前采取措施與研究黑客入侵手段。1998年開始,蜜罐技術開始吸引了一些安全研究人員的注意,并開發出一些專門用于欺騙黑客的開放性源代碼工具,如Fred Cohen所開發的DTK(欺騙工具包)、Niels Provos開發的Honeyd等,同時也出現了像KFSensor、Specter等一些商業蜜罐產品。
這一階段的蜜罐可以稱為是虛擬蜜罐,即開發的這些蜜罐工具能夠模擬成虛擬的操作系統和網絡服務并對黑客的攻擊行為做出回應,從而欺騙黑客。虛擬蜜罐工具的出現也使得部署蜜罐變得比較方便。但是由于虛擬蜜罐工具存在著交互程度低、較容易被黑客識別等問題。從2000年之后,安全研究人員更傾向于使用真實的主機、操作系統和應用程序搭建蜜罐,與之前不同的是,融入了更強大的數據捕獲、數據分析和數據控制的工具,并且將蜜罐納入到一個完整的蜜網體系中.使得研究人員能夠更方便地追蹤侵入到蜜網中的黑客并對他們的攻擊行為進行分析。
蜜網技術的模型如圖3所示。由圖中可以看出,蜜網與蜜罐最大的差別在于系統中多布置了一個蜜網網關(honeywall)與日志服務器。其中蜜網網關僅僅作為兩個網絡的連接設備,因此沒有MAC地址,也不對任何的數據包進行路由及對TTL計數遞減。蜜網網關的這種行為使得攻擊者幾乎不可能能覺察到它的存在。任何發送到蜜網內的機器的數據包都會經由Honeywall網關,從而確保管理員能捕捉和控制網絡活動。而日志服務器則記錄了攻擊者在蜜罐機上的所有的行為以便于對攻擊者的行為進行分析,并對蜜罐機上的日志進行備份以保留證據。這樣攻擊者并不會意識到網絡管理員正在監視著他,捕獲的行為也使管理員掌握了攻擊者使用的工具、策略和動機。
4 蜜罐部署
由前述內容可以看出,蜜罐服務器布置得越多,應用服務器被掃描與攻擊的風險則越小,但同時系統成本將大幅度提高,管理難度也加大。正因為如此,實際中蜜罐的部署是通過虛擬計算系統來完成的。
當前在Windows平臺上流行的虛擬計算機系統主要有微軟的Virtual Pc與Vmware。以Vmware為例,物理主機配置兩個網卡,采用Windows2000或Windows XP操作系統,并安裝VMwar。建立一臺虛擬機作為蜜網網關,此虛擬機設置三個虛擬網卡(其虛擬網卡類型見圖4),分別連接系統工作網、虛擬服務器網與監控服務器。虛擬服務器網根據物理主機內存及磁盤空間大小可虛擬多個服務器并安裝相應的操作系統及應用軟件,以此誘惑黑客攻擊。蜜網服務器用于收集黑客攻擊信息并保留證據。系統拓撲結構如圖4所示。
系統部署基本過程如下:
4.1 主機硬件需求
CPU:Pentium 4 以上CPU,雙核更佳。
硬盤:80G以上,視虛擬操作系統數量而定。
內存:1G以上,其中蜜網軟件Honeywall至少需要256M以上。其它視虛擬操作系統數量而定。(下轉第346頁)
(上接第341頁)
網卡:兩個,其中一個作為主網絡接入,另一個作為監控使用。
其它設備:視需要而定
4.2 所需軟件
操作系統安裝光盤:Windows 2000或Windows 2003;
虛擬機軟件:VMware Workstation for Win32;
蜜網網關軟件:Roo Honeywall CDROM v1.2,可從蜜網項目組網站(一個非贏利國際組織,研究蜜網技術,網址為)下載安裝光盤。
4.3 安裝過程
1)安裝主機操作系統。
2) 安裝虛擬機軟件。
3) 構建虛擬網絡系統。其中蜜網網關虛擬類型為Linux,內存分配為256M以上,最好為512M,硬盤空間為4G以上,最好為10G。網卡三個,分別設為VMnet0、VMnet1和VMnet2,如圖4所示。
4) 在蜜網網關機上安裝honeywall,配置IP信息、管理信息等。
5) 在蜜網網關機上配置Sebek服務器端,以利用蜜網網關收集信息。
6) 安裝虛擬服務器組,并布設相應的應用系統。注意虛擬服務器組均配置為VMnet1,以使其接入蜜網網關機后。
7) 在虛擬服務器組上安裝并配置sebek客戶端。
8) 通過監控機的瀏覽器測試蜜網網關數據。
總之,虛擬蜜網系統旨在利用蜜網網關的數據控制、數據捕獲和數據分析等功能,通過對蜜網防火墻的日志記錄、eth1上的嗅探器記錄的網絡流和Sebek 捕獲的系統活動,達到分析網絡入侵手段與方法的目的,以利于延緩網絡攻擊、改進網絡安全性的目的。
參考文獻:
[1] 王連忠.蜜罐技術原理探究[J].中國科技信息,2005(5):28.
[2] 牛少彰,張 瑋. 蜜罐與蜜網技術[J].通信市場,2006(12):64-65.
[3] 殷聯甫.主動防護網絡入侵的蜜罐(Honeypot)技術[J].計算機應用,2004(7):29-31.
[4] 葉飛.蜜罐技術淺析[J].網絡安全技術與應用.2007(5):36-37.
關鍵詞:企業;安全;信息;技術;防御
中圖分類號:TP393.08 文獻標識碼:A文章編號:1007-9599 (2010) 09-0000-01
Information Security Technology Design in Enterprise Security Defense System
Yang Dapeng
(Rural Credit Cooperative of Shandong,Huangdao Technology Center,Qingdao250001.China)
Abstract:The Internet has brought convenience and benefits to the enterprise,while Brought risk and security risk for enterprise.By analyzing the existing enterprise network security issues,security defense system for enterprise information security technology in the design of reference.
Keywords:Enterprise;Safety;Information;Technology;Defense
一、前言
在當今的電子商務活動中,互聯網已經漸漸成為了獲取信息的一條主要途徑。國內外各大企業用內部網絡技術手段有機地共享企業內部不同部門、不同區域的信息和資源,以實現內部資源的最大利用,以提高工作效率和管理水平。但是,共享資源很有可能通過互聯網進入其他的局域網,這樣就很容易遭到黑客入侵,導致企業系統癱瘓,重要信息外泄及丟失。互聯網在提供方便的同時還帶來了一定的危險,因此,企業萬萬不可忽視網絡的安全問題。
二、企業網絡中存在的安全問題
企業的內網一旦過渡到電子商務階段,就會接入互聯網,這樣可以實時掌握企業的信息,帶來一定程度的商業利益,但是也會帶來一定的風險。
(一)來自企業外部的風險
互聯網的共享性與開放性導致企業在接入互聯網時會暴露許多企業內部的資源和信息,帶來各種威脅。
1.計算機病毒
計算機病毒是網絡上最常見的威脅,它是一種特殊編制的程序,能侵入計算機并摧毀內部存貯的各種信息。
2.黑客
在接入網絡時,一些人可以有目的地避開或摧毀企業網絡防火墻,侵入企業網絡,冒充合法用戶登錄企業網絡,非法使用企業內部資源,私自刪改企業內部信息,竊取商業秘密,實施破壞。
3.網絡設備癱瘓
網絡癱瘓是計算機軟件或硬件故障造成的,比如說防火墻出現故障導致安全系統癱瘓,或者服務器負載過大導致數據丟失。
4.使用的軟件配置不當或者有錯誤
這樣會影響其他合法使用資源的用戶,帶來嚴重后果。
(二)來自企業內部的風險
內部工作人員很有可能操作失誤而給企業帶來一定的安全隱患,甚至造成損失。員工有時會偷偷利用企業網絡處理私事,進入與工作不相干的網站,或者接收私人電子郵件,下載私人文件。這些做法會大大降低企業網絡的安全性,招來病毒或黑客。倘若企業內部人員蓄意攻擊企業網絡,會更加難以防范,也會帶來更大的危害。為了牟取暴力,有的公司員工會與企業的競爭對手私通,出賣商業秘密,甚至攻擊企業網路系統。
三、企業安全訪問體系的設計
企業網絡需要全方位的防御,及時發現計算機設備和網絡服務器的新漏洞,僅有靜態防御是遠遠不夠的,企業網絡還要有一定的動態防御能力。建立具有不同功能的防御層,使各個防御層相互支持,可以提高企業網絡的動態防御能力。
(一)基于網絡防護技術的安全層
防火墻技術、漏洞掃描技術、薄弱環節檢測技術、病毒防治技術等都屬于安全防護技術,這一層以防護為目的,控制用戶訪問。
1.在被保護網絡和公共網絡之間設置網絡防火墻,限制、監測、更改數據流,以保護企業網絡信息資源不擾和破壞。
2.漏洞掃描技術和防泄露技術可以檢驗系統漏洞,防止信息在傳播過程中泄露,將有用的信息限制在安全區內。
3.薄弱環節檢測技術可以及時準確地檢測出系統異常,防止黑客及病毒入侵。
4.病毒防護技術通過完善軟硬件設備、修補缺陷來防止網絡薄弱環節被攻擊。
基于網絡防護技術的這一層可以強制檢驗所有經過此層的連接,阻止非法訪問。但是這一層只能抵御外部入侵,不能抵御內部攻擊,這一點猶需謹慎。因此可以考慮使用企業虛擬專用網技術控制重要數據的傳輸。VPN(企業虛擬專用網)主要公共通信網絡為通信數據保密,采用隧技術、加解密技術、密鑰管理技術、身份認證技術,保證機密數據的安全傳輸。
(二)基于入侵檢測的安全層
入侵檢測技術通過檢測計算機網絡中違反安全策略行為,可以及時發現并報告系統中的異常現象,保證計算機的安全,它是網絡安全防護的重要組成部分。違反安全策略的行為有入侵和濫用兩種,入侵是非法用戶的違規行為,濫用是合法用戶的違規行為。入侵檢測系統的應用,能提前檢測出入侵攻擊嫌疑,利用報警與防護系統進行驅逐,減少損失。即使預警失敗,該技術也能在被攻擊后收集入侵攻擊的有關信息,引以為戒。我們還應該在該層防御中加入內容檢查工具,即過濾內容又防護病毒,以防止病毒感染及惡意攻擊。
(三)基于控制技術的安全層
控制技術即口令控制和訪問控制。口令控制技術可以設置口令技術來判斷用戶的身份和用戶享有的使用資源的權限,防止黑客入侵。訪問控制可以確定特定用戶的合法性和訪問權限,并通過特定的訪問路徑,保護信息資源的合法利用。判斷訪問權限的方法有三種:強制法、隨意法和基于角色的判斷法,最后一種方法比較安全,值得提倡。
四、結論
在知識經濟化和信息化程度日益加深的今天,網絡已經滲透到了人們的生活中,企業網絡應用也越來越普及。在企業與企業的競爭中,網絡能給企業帶來一定的商業利益,因此企業網絡比家庭網絡更容易受到侵入和損害。設計出更安全的網路防御體系,對于企業的安全規劃具有重要的現實意義。與此同時,還要注重培養內部員工的安全意識,組建一支分析企業信息風險的專業隊伍,加大信息安全防范和管理的力度,增強企業網絡的應急能力。
參考文獻:
[1]孟杰,李颯.艾克斯特:打造企業的“安全通道”――訪艾克斯特網絡安全事業部總經理秦仕存[J].《中國制造業信息化:學術版》,2005年第5期
一、20**年7月29日召開學校行政會,研究組織開展暑假防溺水的安全教育工作。
二、多渠道開展防溺水的安全教育:
1、通過學校門口的電子屏幕滾動播出防溺水的安全警示及創建文明城市的宣傳口號。
2、通過學校網站進行防溺水的警示教育。
3、考慮到我校在暑期進行修繕(課室貼瓷片)及很多學生的老家在外地,7月30日~7月31日不召集學生返校,但要求班主任在7月30日~7月31日按原班級逐一打電話給學生及發短信給學生家長,重申“五不”規定,(不準私自下水游泳;不擅自與同學結伴游泳;不在無監護人和教師看護的情況下游泳;不到無安全設施、無救護人員的水域游泳;不到不熟悉的水域游泳。)叮囑家長做好子女的安全監護。7月31日下午4:00前班主任將通過電話接受了安全教育的學生人數報級長,下學期初給每位班主任補貼50元的電話費。學校行政也將電話抽查班主任落實情況。
【關鍵詞】手術室;安全隱患;防范措施
doi:10.3969/j.issn.1004-7484(s).2014.01.337文章編號:1004-7484(2014)-01-0288-01
1手術室手術安全概念
手術室是為病人提供手術及搶救的場所,是醫院的重要技術部門。手術室要有一套嚴格合理的規章制度和無菌操作規范。手術室的空氣、手術所需的物品、醫生護士的手指及病人的皮膚,防止感染,確保手術成功率。手術室要求設計合理,設備齊全,護士工作反應靈敏、快捷,有高效的工作效率。
2手術中常見的不安全因素
常見的不安全因素,在手術室很多因素造成了手術風險,比如:手術物品清點錯誤、手術病人、手術部位錯誤、手術標本錯誤、手術不當發生壓瘡、手術病人墜床和跌倒、感染管理不善引起手術部位感染等眾多因素。
2.1手術病人、部位錯誤相關因素如醫生開錯通知單,把左右部位寫錯,病人轉床未通知手術室,手術團隊缺乏有效溝通,病人未參與手術部位標識,接患者人員責任心不強,未認真查對或查對方法不當,未認真落實安全核查制度等,均是造成手術安全問題的因素。
2.2手術物品清點錯誤相關因素未嚴格執行清點制度及清點流程、清點錯誤,清點后未記錄或記錄錯誤,手術中增加用物,未認真清點和記錄,術中更換人員,交接不清楚,有疑問時,未認真排查(或無法排查)就結束手術等,這些都是手術物品清點錯誤的相關因素。
2.3手術病人接送發生墜床和跌倒相關因素此類相關因素有手術患者或麻醉未醒患者未上護欄和安全帶,搬運或運送病人時,安全措施不到位,運送工具(平車、輪椅)安全性能差,局麻患者特別是老年患者無專人護送等。
2.4發生壓瘡相關因素手術安全中的壓瘡相關因素有手術擺放不當,墊、床單不平整或有硬物,受力點不均衡,手術時間過長,骨突出部位長期受壓,移動病人時有拖、拉動作,或者是老年、消瘦病人皮膚情況差,缺乏彈性,外周血液循環不足等。
2.5手術標本錯誤相關因素未建立標本管理制度,標本保存、登記、送檢流程不規范,造成標本遺失,還有醫生和手術室護士責任心不強,送錯標本。標本名稱和病檢單名稱不符。
2.6手術部位感染相關因素醫護人員責任心不強,未嚴格執行消毒隔離制度和無菌操作規程,手術人員手衛生規范執行不力,洗衣手方法錯誤或洗手時間不足,手術時間長,醫生操作不規范,無菌物品、清潔物品與污染物品未嚴格區分,手術室清潔衛生不徹底。
3手術室常見的非醫療安全因素
防火、防盜、防滑,安全用電、汽、水,危重病人加強巡視,陪護,防止墜床等非醫療安全因素,手術室要做好安全用電教育,做好火災應急預案、培訓火災處理流程,組織醫護人員進行火災應急演練。
險防范措施
4.1嚴格查對,防止病人錯誤嚴格執行查對制度:病房查對,去接手術病人時在病房與病房護士交接;在手術室等候區,要與夜班護士交接;在手術間里,要與手術間護士核對;在麻醉前、手術前再次核對。五次查對病人確保病人的安全。
4.2建立并落實安全核查制度,確保正確的病人、部位、方式。手術室要建立三方核查制度,建立實施手術前確認制度,落實責任人,病人標志確認,部位標識確認,平車標記確認,采用主動查對,術前暫停再次確認的方式。麻醉開始前,三方共同核查患者身份、手術方式、知情同意情況、手術部位與標識、麻醉安全檢查、皮膚是否完整、備皮情況、靜脈通道建立、過敏史、皮試結果、備血情況、體內植入物、影像學資料等。
4.3強化手術物品清點制度五次清點、四次查對并作好記錄,清點時共同唱點確認信息并達成共識,清點時物品必須讓巡回護士看清楚,術中使用的紗布均采用帶鋇線的,便于查找:術中增減必須由洗手和巡回護士共同清點確認并立即記錄,清點時檢查器械完整性,特別是帶螺釘的關節是否完好。術中清點的物品,不得隨意拿進或拿出手術間,手術結束必須清場,更換垃圾袋。
4.4防止病人墜床要做好平車、保護具的日常護理,平車要每日檢查、維反義詞,清理車輪絞線、上油,檢查螺釘,保持其性能完好。小兒、老人、躁動和蘇醒期的患者,應使用約束帶。在接送病人時,應固定好平車防移動、協調用力、采用二人、三人或四人的搬動法,做到防止病人墜床。
4.5職業暴露風險防范加強醫護人員業務學習,培訓如何做好標預防,護理人員預防銳器傷,定期組織科內業務學習、外出進修和學術交流,提高業務水平和技術質量。
手術室是病人實施手術的場所,并且擔負著危、急、重病人的搶救工作,患者在手術室停留的時間雖短,但卻是整個治療過程中的一個重要環節,也是患者身心最脆弱的時候。因此,我們應該加強責任心,嚴格執行規章制度,做好自我防護,始終把病人安全放在首位,就能提高工作質量,消滅事故,減少差錯事故的發生。
參考文獻
關鍵詞:病毒;主動防御
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2008)24-1176-02
1 引言
2007年惡意病毒的破壞性時史無前例的,從“熊貓燒香”、“AV終結者”到年末的“酷獅子”、“機器狗”等,國內外眾多知名殺毒軟件瞬間被它解除武裝。為了解決日益嚴重的安全威脅問題,從去年末到今年初,各安全廠商均打出“主動防御”的旗號強勢推出了各自的新產品。
那么,各個安全廠商所推崇的“主動防御”到底是一種什么樣的技術呢,它又是如何實現的呢?
2 淺析“主動防御”
眾所周知,以往主流的殺毒軟件,均采用“被動防御”式殺毒思路,即在新型病毒出現或大規模爆發以后,安全廠商才采取對策,把提取的病毒特征碼加入到病毒庫中,由此殺毒軟件才具備查殺病毒的能力。因此,一些新病毒泛濫初期,殺毒軟件并不具備查殺能力的,這個殺毒過程無疑是被動的。
主動防御則需要解決這個問題,為了改變被動挨打的局面,主動防御拋棄了殺毒軟件陳舊的查殺病毒模式,轉變成為以下方式:通過對系統行為的監控,分析并掃描目標程序或線程的行為,并根據預先設定的規則,判斷是否有病毒入侵并決定是否應該進行清除操作。任何一款病毒,只要進入用戶的操作系統,都會向注冊表和硬盤寫入文件,而這些寫入與非病毒的寫入是不同的,通過對比,主動防御可以判斷出哪些是病毒入侵,哪些是正常文件的寫入。通俗地說,使用了主動防御技術的殺毒軟件,無需更新病毒庫也可以查殺新的病毒,這是殺毒軟件的一個歷史性革新。
3 “主動防御”工作原理
主動防御技術首先會構造一個框架,并在其內填入一組預先定義好的規則,這些規則是根據反病毒工程師在分析了超過幾十萬的大量病毒(或者說惡意程序)的代碼特征和行為特征后提煉總結出來的,因此具有很大的代表性和前瞻性。主動防御會使用這組規則對被掃描對象內的代碼和運行的行為進行分析,以確定其是否含有惡意代碼和具有惡意行為。
當今的反病毒軟件,主要使用兩種方法來檢測惡意代碼(安全威脅):基于特征碼的精確檢測和主動防御。
要判斷一個主動防御技術的有效性以及它能否脫離基于特征碼的掃描技術而獨立承擔反病毒任務,就需要理解主動防御技術所基于的理論。
目前來看,各反病毒廠商采用的主動防御技術主要有:啟發式分析技術、入侵防御系統技術、緩沖區溢出檢測技術、基于策略的檢測技術、警告系統和行為阻止技術。而總的來說,反病毒廠商使用最多的是啟發式分析和行為阻止這兩項技術。
3.1 啟發式分析技術
啟發式分析技術又分為靜態分析和動態分析兩種。
“靜態分析”就是指使用啟發式分析器分析被掃描對象中的代碼(指令),判斷其中是否包含某些惡意的指令(反病毒程序中會定義一組預先收集到的惡意指令特征)。比如說,很多病毒會搜索可執行文件,創建注冊表鍵值等行為。“靜態”啟發式分析器就會對被掃描對象中的代碼進行解釋,檢查是否包含執行這些行為的指令,一旦找到這樣的指令,就調高“可疑分數”。當可疑分數高達一定值,就會將被掃描對象判斷為可疑的惡意程序。這種分析技術的優點在于,對系統資源使用較少,但是壞處就在于誤報率太高。
而“動態分析”是指由反病毒程序在計算機內存中專門開辟一個受嚴格保護的空間(由“虛擬機”技術來實現),并將被檢測對象的部分代碼拷貝進這個空間,使用一定的技術手段來誘使這段代碼執行,同時判斷其是否執行了某些惡意行為(反病毒程序中會定義一組預先收集的惡意行為特征)。一旦發現有匹配的惡意行為,就會報告其為對應的惡意程序。這種技術的優點在于準確度很高。
3.2 行為阻止技術
行為阻止技術是對程序的運行行為進行監控,并對任何的危險行為進行阻止的技術。它會檢查包括修改(添加/刪除/編輯)系統注冊表、注入系統進程、記錄鍵盤輸入、試圖隱藏程序等在內的大量潛在惡意行為。新一代的行為阻止技術在第一代技術的基礎上,做了很大的改進。它不會僅僅根據某個獨立的潛在惡意行為就提示風險,而是對程序行為執行的先后順序進行分析,從而以更加智能和成熟的方式來判斷程序的行為是否有惡意。該技術大大提高了對惡意行為判斷的準確率。
從以上介紹的主動防御技術來看,主動防御技術也需要基于一個“知識庫”進行工作。這個“知識庫”中包含了大量惡意程序的潛在惡意行為/指令特征。主動防御技術分析、監控系統內進程或程序的行為和指令,并將它們與“知識庫”中的特征進行比對,判斷是否符合。而這個“知識庫”需要反病毒專家對大量已知病毒進行分析,并且對它們的常見行為和指令進行歸納總結,并將提煉出來的特征值添加入“知識庫”。由此,我們可以得出結論,主動防御技術雖然能夠防御大量使用已有惡意行為的新惡意程序,但是,如果某些新的惡意程序采用了全新的方法(不在“知識庫”中的方法)來入侵、感染計算機,并盜取私密數據的話,主動防御技術仍然是無法對其進行有效防御的。因此,主動防御技術也需要不斷地更新其“知識庫”和其采用的判斷邏輯,否則可能還是會被新的威脅鉆了空子。
4 “主動防御現狀”
近兩年來,針對殺毒軟件的病毒庫更新永遠滯后于病毒出現的缺陷,國內幾大知名計算機反病毒軟件公司相繼推出“病毒主動防御”系統:
瑞星2008版宣稱其“智能主動防御”技術能阻止惡意程序執行,可以在病毒發作時進行主動而有效的全面防范,從技術層面上有效應對未知病毒的肆虐。
江民殺毒軟件KV2008是全新研發推出的計算機反病毒與網絡安全防護軟件,號稱是全球首家具有災難恢復功能的智能主動防御殺毒軟件。
賽門鐵克于其安全軟件中加入其首個主動式防御技術,強調其新的主動式防御技術將減少使用者判斷機會,并可更精細、僅局部封鎖威脅等功能。
此外,啟明星辰、綠萌、金山毒霸等國內知名軟件公司也紛紛使出看家本領,不斷推出帶有“主動防御”功能的系統及升級庫,而國外的諾頓、Kaspersky、macafee、Websense等殺毒巨頭亦已經開始向“主動防御”+“特征碼技術”過渡了。
目前涉足主動防御領域的各家廠商對“主動防御”產品都有自己不同的見解,表1為部分安全廠商對于“主動防御”的解釋。
綜合分析,雖然各大安全廠商對于“主動防御”的解釋各有差異,但大都基本能實現大致三方面的功能:
1) 應用程序層的防護,根據一定的規則,執行相應的應用程序。比如,某個應用程序執行時,可能會啟動其它程序,或插入其它程序中運行,就會觸發應用程序保護的規則。
2) 注冊表的防護,根據規則,響應對注冊表的讀寫操作。
3) 文件防護,對應用程序創建或訪問磁盤文件的防護,就是某程序運行后,會創建新的磁盤文件,或者需要訪問硬盤上某程序文件,從而觸發軟件的監視或保護功能
從某種程度上說,以上的各安全廠商所宣傳的功能基本符合主動防御的部分特征。
5 主動防御的未來發展
早在2006年3月,《PC World》雜志的測試就表明了主動防御技術的有效性不超過60%,必須通過結合傳統特征碼技術來最大限度保障計算機的安全。而隨著主動防御技術的發展,現在的成功率大概在60%~80%之間。很顯然主動防御還遠沒有達到可以完全信任的程度。
【關鍵詞】計算機網絡技術 安全防御
隨著科學的發展和社會的不斷進步,計算機網絡技術成為了二十一世紀的具有時代信息的標志,它成功地開啟了現代化社會,逐漸與人們的生活建立了越來越緊密的聯系,因此,計算機網絡技術的應用安全性就變得越發重要。在實際的生活中,我們不難發現,確實存在一些不法分子專門利用計算機網絡技術來進行詐騙來謀取私利,這嚴重地影響了人們生活的質量和人身安全。相關人員有必要在此方面進行研究,從而提出更好的網絡防御策略。
1 什么是計算機網絡技術安全
計算機網絡技術的技術安全的概念不是一成不變的,其在社會的發展進程中會不斷地隨著計算機用戶的變化而逐漸發生改變,而人們對計算機網絡技術安全的理解和認知也就存在著很大的差距。不過總體來說,計算機網絡技術不僅包括技術問題,也包含管理問題,二者之間存在著緊密的聯系,相輔相成,缺一不可。
計算機網絡的技術安全主要指的就是網絡信息的安全,計算機的軟件和硬件以及網絡信息都應該受到嚴格的保護,保證用戶的隱私和信息不被泄漏、不被破壞,同時也不被修改,并且其在應用的過程中還要保證通信能力達到非常連續和良好的狀態。這樣才能夠有效地避免電腦黑客的竊聽和篡改以及冒充或者抵賴,對于每個個體而言,信息和隱私得到了保證,對于企業而言,商業秘密不被侵犯或泄露,維護經濟利益和社會效益。
2 危害計算機網絡信息安全的風險因素
計算機的網絡在運行和使用的過程中,一定會存在著一定程度的風險,這主要是由于網絡信息的開放性和共享性等特點體現的。而在一般的情況下,我們通常將計算機網絡信息的風險因素歸為兩類,一個是內部因素,一個是外部因素。從外部因素來看,主要是一些人為的惡意性攻擊,例如黑客的侵入等等,而內部的因素主要就是指計算機網絡信息系統的內部不夠完善,存在著一些漏洞。其主要表現表現在以下兩個方面:一方面是實體風險,實體風險就是指信息在傳遞的過程中,經常會發生網絡終端問題,或者說相關的設備出現故障。計算機系統在實際的運行過程中,需要選一些固定的設備去對信息和網絡進行支持,正常的情況下,這些設備基本上都處于正常良好的工作狀態。但是,這些設備往往會受到天氣和氣候條件的影響,最后導致信息在傳遞的過程中出現漏洞,大量丟失。而另一方面,主要就是指網絡信息在加工和處理以及傳遞和儲存的過程中,由于一些不安全的因素的威脅,導致信息不能夠進行有效的傳遞,造成重大的安全隱患。在實際的工作過程中,相關的信息在傳遞的過程中即便被一些攻擊者進行攻擊,其傳遞的質量也不會受到明顯的影響,這就導致相關的人員很難在第一時間就發現信息被攻擊的情況。因此更多的時候都盡量靠防范的方式來進行網絡保護。還有一種攻擊就是主動性攻擊。這種攻擊會直接對傳遞的信息和內容進行偽造和冒充處理,對信息進行大量的篡改,甚至對某些合法的通信實體加以冒充,這種主動性的攻擊相比較被動性的攻擊而言,具有更大的干擾性和破壞性,因此,相關工作人員應該采取更為主動的監測和修復手段對其進行保護和預防。
3 計算機網絡技術的安全防護措施
3.1 針對于實體因素的安全防護措施
首先針對于一些實體的因素來說,要想將提高計算機網絡技術的安全性,主要應該從提高計算機工作環境的安全性來入手,例如:在計算機進行工作的過程中,相關的工作人員應該盡量減少一些電磁波的干擾,在天氣不是很好的條件下,在保證工作的正常進度的條件下,合理的對計算機的工作時間進行有效的合理的調節,這樣才能夠避免由于天氣原因造成了突然停電的現象,進而對計算機產生了嚴重的影響,最后導致文件大量丟失的危險情況發生。整個計算機實體的因素比較復雜,因此有些因素是無法抗拒的,相關人員只能針對于這些不可抗力因素的實際發生情況進行有效的分析和合理的調節,才能夠最大限度地對信息的安全實現有效的保障。
3.2 針對于信息風險的安全防護措施
首先,我們在對計算機系統進行安全防御的過程中,經常會采用防火墻技術。它不僅能夠保證內部網絡的安全有效,還能夠對外部的供給進行有效的攔截,從而保證計算機在一個比較安全的環境下進行工作和預防保護。防火墻系統通過一些有效的原則設計能夠對相關的信息進行篩選,從而攔截破壞,維護正常。
其次,相關的人員在應用計算機網絡時候,要經常使用加密的技術,計算機的網絡加密技術,為整個電子商務信息系統提供了強大的保障。由于人們生活水平提高,很多人對于網絡和電視購物都不再陌生。通過這種加密技術,可以使信息的對稱性得到完善,提高整個科技的進步水平。
最后,我們應該從眾多的系統和資源中對信息進行大量收集,這種入侵檢測系統不僅能夠滿足我們對于信息收集的要求,還能夠對信息進行合理的篩選和分類,大大提高了系統發現攻擊行為的幾率,而且當系統遇見問題時還會發出警報聲,便于用戶識別異常行為。
3.3 加強計算機用戶自身的網絡安全意識
相關的人員要對計算機用戶自身的網絡安全意識進行強化,要建立一些計算機網絡的安全管理制度,對網絡訪問實行合理的控制措施,這樣能夠對網絡的安全起到一定程度的防范和保護作用。訪問控制就是要保護網絡資源和維護系統的安全,這樣可以有效的使網絡資源在安全的范圍內被合理使用。與此同時,我們不難發現,很多計算機管理員對于安全管理機構在不斷的完善當中,但是這還不能夠滿足需求,我們要想實現對網絡安全實行有效的保護,那么就應該提高計算機的用戶對與整個計算機系統的管理能力。首先,應該注意加強對計算機用戶的網絡安全方面的法律法進行普及,用一些數據保護法來使其在法律的層面上對于計算機網絡安全的重要性給予夠的重視,能夠在使用的過程中,明確自身的義務和責任,使其能夠自覺地遵守法律,將任何有侵害計算機網絡安全的行為都扼殺在搖籃里,而且相關的計算機專業人員應該對計算機的安全使用和對于病毒感染以及黑客攻擊的常見網絡安全被破壞的情況能夠有一定的有效對策和處理辦法,從而保證計算機中的資源能夠安全有效,不被侵犯。
3.4 要經常對計算機進行查毒和殺毒管理
在實際的對計算機使用的過程中,很多用戶缺乏對計算機網絡的保護意識,對病毒給予的重視程度不夠,不注意計算機的網絡安全的維護,這就使得一些小病毒逐漸擴大,最后造成網絡安全的威脅,嚴重影響了整個網絡的安全。為了有效的避免這種情況發生,相關的計算機研究和工作人員應該經常對計算機進行徹底的殺毒和查毒的日常工作,在日常的使用過程中,不要輕易下載那些來源比較比較可疑的危險性文件,減少對一些U盤和移動硬盤的使用,來有效地減少病毒對計算機網絡的侵害,與此同時,用戶在使用計算機網絡的過程中,應該對整個數據庫的維護和備份工作做好,當有突況發生時,一旦造成了數據的丟失和損害,相關的計算機使用人員還可以選擇通過備份的方式來對原來的數據進行有效的回復,從而減少數據背后的損失。
3.5 制定完善的計算機網絡安全的相關法律文件
“無規矩不成方圓”,在科技和濟都在不斷發展和進步的過程中,必然會遇到很多復雜和危險的情況發生,我們不難發現,很多不法分子正是在鉆法律的空子,去采取不合理的手段和方式去為自己謀求利益,并傷害到了他人。而計算機網路的安全受到了極大的威脅也和這樣的作案動機存在著很大的聯系,為此,國家應該制定一些合理的計算機網絡安全法律文件,對信息安全的發展戰略進行深入地研究,完善對相關機構的建立和優化,制定一些可以具體而又全面的法律文件。這樣就能夠對整個網絡進行統一的規范和管理,不僅能夠對計算機網絡安全的保護加大了法律力度和執行力度,還能在一定程度上提高人們對于計算機網絡安全的重視度,共同對相關的網絡犯罪分子進行的打擊,使我國的計算機網絡安全得到不斷的完善和優化,從而也會在一定程度上,對和諧社會的構建起到一定促進的作用。相關的人員應該對此給予重視。
4 結語
綜上所述,隨著科技的進步和社會的不斷發展,計算機網絡技術已經與人們之間建立了密切的關系,為了使其更好為人們的生活帶來便利,同時提高其安全性,相關的研究人員應該在其發展的過程中,從內外因兩個方面進行雙向的安全防護,不斷的在研究中發現問題,提出問題,并且有效的解決問題,進而對整個計算機網絡運行程序進行優化和完善,使之實現價值最大化。
參考文獻
[1]吳振強.信息時代下網絡技術安全與網絡防御探究[J].網絡安全技術與應用,2014(08):140-141.
[2]符績彰.關于計算機網絡技術安全與網絡防御的研究[J].數碼世界,2016(06):5.
[3]章蕾.關于計算機網絡技術安全與網絡防御的研究[J].計算機光盤軟件與應用,2013(16):154+298.
[4]蘇斌.智能電網時代電力信息通信技術的應用和研究[D].華北電力大學,2015.
[5]李超.淺析計算機網絡技術的應用及其發展在電力信息通信中的作用[J].中國科技投資,2012(33):21.
[6]梁天樂.現代形勢下網絡技術在電力信息通信系統中的應用[J].中國新通信,2014(23):79.
作者簡介
葛立欣(1970-),男,北京理工大學,碩士學位。副教授。研究方向為計算機網絡技術。