計算機安全方向精選(九篇)
前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的計算機安全方向主題范文,僅供參考,歡迎閱讀并收藏。
第1篇:計算機安全方向范文
[關鍵詞]網絡安全;安全威脅;安全措施
中圖分類號:TN915.08 文獻標識碼:A 文章編號:1009-914X(2014)40-0112-01
現在的網絡安全技術僅可以對付已知的、被分析過的攻擊,沒有預防攻擊的能力。面對未來越來越多的新病毒,不能在大規模攻擊爆發的初期就有效地阻止攻擊的進行,為網絡安全提供保障。
2 影響計算機網絡安全的因素
2.1 操作系統的漏洞及網絡設計的問題
目前流行的許多操作系統均存在網絡安全漏洞,黑客利用這些操作系統本身所存在的安全漏洞侵入系統。由于設計的網絡系統不規范、不合理以及缺乏安全性考慮,使其受到影響。網絡安全管理缺少認證,容易被其他人員濫用,人為因素造成的網絡安全的隱患。
2.2 缺乏有效的手段評估網絡系統的安全性
缺少使用硬件設備對整個網絡的安全防護性能作出科學、準確的分析評估,并保障實施的安全策略技術上的可實現性、經濟上的可行性和組織上的可執行性。
2.3 黑客的攻擊手段在不斷地更新
目前黑客的攻擊方法已超過了計算機病毒的種類,而且許多攻擊都是致命的。攻擊源相對集中,攻擊手段更加靈活。黑客手段和計算機病毒技術結合日漸緊密,病毒可以進入黑客無法到達的企業私有網絡空間,盜取機密信息或為黑客安裝后門,在攻擊方法上,混合攻擊出現次數越來越多,攻擊效果更為顯著。黑客總是可以使用先進的、安全工具不知道的手段進行攻擊。
2.4 計算機病毒
計算機病毒將導致計算機系統癱瘓,程序和數據嚴重破壞甚至被盜取,使網絡的效率降低,使許多功能無法使用或不敢使用。層出不窮的各種各樣的計算機病毒活躍在計算機網絡的每個角落,給我們的正常工作已經造成過嚴重威脅。
2 網絡安全現狀及面臨的威脅
2.1 網絡安全現狀
網絡安全是一門涉及計算機科學、網絡技術、通信技術、密碼技術、信息安全技術、應用數學等多種學科的綜合性學科。它主要是指網絡系統的硬件、軟件及其系統中的數據受到保護,不受偶然的或者惡意的原因而遭到破壞、更改、泄漏,系統連續可靠正常地運行,網絡服務不中斷。我國網絡安全現狀不容樂觀,主要有:信息和網絡的安全防護能力差;網絡安全人才短缺;全社會的信息安全意識淡薄。
2.2 計算機網絡安全面臨的威脅
網絡安全威脅既有信息威脅又有設備威脅,包括以下:一是人不經意的失誤。二是惡意的人為攻擊。三是網絡軟件的漏洞和“后門”。基本上每款軟件多少都會存在漏洞,大多網絡入侵事件都是由于沒有完善的安全防范措施,系統漏洞修補不及時等給黑客以攻擊目標。
黑客入侵通常扮演者以下角色: 一是政治工具;二是戰爭的應用;三是入侵金融、商業系統,盜取商業信息;四是侵入他人的系統,獲取他人個人隱私,便于進行敲詐、勒索或損害他人的名譽. 通過上述事件可以看出,網絡安全影響著國家的政治、軍事、經濟及文化的發展,同時也影響國際局勢的變化和發展。
3 計算機網絡受攻擊的主要形式
計算機網絡被攻擊,主要有六種形式: 一是企業內部員工有意無意的竊密和網絡系統的破壞; 二是截收重要信息;三是非法訪問; 四是利用TCP/IP協議上的某些不安全因素; 五是病毒破壞; 六是其它類型的網絡攻擊方式。
4 加強計算機網絡安全的防范對策
4.1 加強內部監管力度
加強內部針對計算機網絡的監管力度,主要分為兩個方面: 一是硬件設備監管加強硬件設施的監管力度,做好硬件設備的備案、治理,包括主機、光纜、交換機、路由器,甚至光盤、軟盤等硬件設施,可以有效預防因硬件設施的破壞對計算機和網絡造成的損害; 二是局域網的監控網絡監視的執行者通稱為“網管”,主要是對整個網絡的運行進行動態地監視并及時處理各種事件。通過網絡監視可以簡單明了地找出并解決網絡上的安全題目,如定位網絡故障點,捉住IP盜用者,控制網絡訪問范圍等。
4.2 配置防火墻
網絡防火墻技術的作為內部網絡與外部網絡之間的第一道安全屏障,是最先受人們重視的網絡安全技術。防火墻產品最難評估的是防火墻的安全性能,即防火墻是否能夠有效地阻擋外部進侵。這一點同防火墻自身的安全性一樣,普通用戶通常無法判定,即使安裝好了防火墻,假如沒有實際的外部進侵,也無從得知產品性能的優劣。但在實際應用中檢測安全產品的性能是極為危險的,所以用戶在選擇防火墻產品時,應該盡量選擇占市場份額較大同時又通過了權威認證機構認證測試的產品。
4.3 網絡病毒的防范
在網絡環境下,病毒傳播擴散快,僅用單機防病毒產品已經很難徹底清除網絡病毒,因此,針對網絡中所有可能的病毒攻擊點設置對應的防病毒軟件,通過全方位、多層次的防病毒系統的配置,定期或不定期地自動升級,最大程度上使網絡免受病毒的侵襲。對于已感染病毒的計算機采取更換病毒防護軟件,斷網等技術措施,及時安裝針對性的殺毒軟件清理病毒,以保證系統的正常運行。
4.4 系統漏洞修補
Windows操縱系統自以后,基本每月微軟都會安全更新和重要更新的補丁,已經的補丁修補了很多高風險的漏洞,一臺未及時更新補丁的計算機在一定程度上可以說是基本不設防的,因此建立補丁治理系統并分發補丁是非常重要的安全措施,可以對系統軟件進行修補從而最大限度減少漏洞,降低了病毒利用漏洞的可能,減少安全隱患。
4.5 使用進侵檢測系統
進侵檢測技術是網絡安全研究的一個熱門,是一種積極主動的安全防護技術,提供了對內部進侵、外部進侵和誤操縱的實時保護。進侵檢測系統(Instusion Detection System,簡稱IDS)是進行進侵檢測的軟件與硬件的組合,其主要功能是檢測,除此之外還有檢測部分阻止不了的進侵;檢測進侵的前兆,從而加以處理,如阻止、封閉等;進侵事件的回檔,從而提供法律依據;網絡遭受威脅程度的評估和進侵事件的恢復等功能。采用進侵檢測系統,能夠在網絡系統受到危害之前攔截相應進侵,對主機和網絡進行監測和預警,進一步進步網絡防御外來攻擊的能力。
4.6 加強網絡安全教育和管理
結合機房對員工進行、硬件、軟件和網絡數據等安全問題教育,加強對員工進行業務和技能方面的培訓,提高他的安全意識;避免發生人為事故,傳輸線路的過程中,要保證傳輸線路安全,要設置露天保護措施或埋于地下,和輻射源保持一定的距離,盡量減少各種輻射導致的數據錯誤;應當盡可能使用光纖鋪設線纜,減少輻射引起的干擾,定期檢查連接情況,檢查是否非法外連或破壞行為。 總之,網絡安全是一個系統化的工程,不能單獨的依靠防火墻等單個系統,而需要仔細且全面的考慮系統的安全需求,并將各種安全技術結合在一起,才能天生一個高效、通用、安全的網絡系統。
結語
計算機技術和網絡技術的飛速發展和廣泛應用,開創了計算機應用的新局面,對社會發展起到了重要的作用。與此同時,其互通性和廣泛性的特點也導致了網絡環境下的計算機系統存在諸多安全問題,并且愈演愈烈。為了解決這些安全問題,我們必須加強計算機的安全防護,提高網絡安全,以保障網絡安全有效運行,更好的為社會和人民服務。
參考文獻
[1] 楚狂等.網絡安全與防火墻技術[M].北京:人民郵電出版社,2000.
[2] 張千里,陳光英.網絡安全新技術[M].北京:人民郵電出版社,2003.
[3] 香方桂.軟件加密解密技術及應用[M].長沙:中南工業大學出版社,2004.
[4] 殷偉.計算機安全與病毒防治[M].合肥:安徽科學技術出版社,2004.
第2篇:計算機安全方向范文
【關鍵詞】計算機網絡;信息管理;安全;策略研究
前言
計算機網絡信息管理及其安全需要從信息管理和兩方面進行研究,其中計算機網絡信息管理和傳統意義上所講的網絡管理與信息管理有所不同,網絡信息管理所涉及的主要內容是網絡信息和服務,而這些管理內容的實現在以前常用的OSI管理框架和其他有關的專業管理文檔中并沒有明確的要求。而網絡信息安全也涉及到訪問控制安全、傳輸控制安全、安全監測等許多方面的內容,要想保證整個計算機網絡系統的安全性,必須要有許多的技術的支持才能夠做到。所以計算機網絡信息管理和安全問題對于計算機網絡來說都是比較重要的內容,需要引起人們的高度的重視和注意。
1.網絡信息管理的內容
計算機的網絡信息管理主要可以分為以下四大類:第一類是包括了各種IP地址、域名和自治系統號的基礎運行信息。第二類是是指提供各種各樣的網絡信息服務的服務器相關信息的服務器信息,服務器信息包括了服務器的配置情況、信息服務和訪問情況、負載均衡、信息服務的完整性和可用性等。
第三類則是包括了計算機網絡用戶的姓名、身份標識、部門、職位、職責權限和電子郵件等信息的用戶信息,它在安全訪問控制中起著重要的作用,是不可缺少的一部分。現如今,許多服務器通過引入Push這一技術,采用直接將用戶關心的信息傳達給用戶,使得用戶管理同信息資源管理也有關。
第四類是指為網絡信息服務提供的信息資源的網絡信息資源。信息、信息過濾、索引和導航的形成等都包含在網絡信息資源的管理之中。在實際的運行和操作的環境中,信息在服務器上的分布是非線性和分散的,信息是分布式的和異步進行的,所以當務之急就是有序地進行信息以的安全,防止信息的不合理泄露和不良信息的引入,避免造成各種不良的后果。
2.網絡信息管理的有關安全問題
2.1網絡信息管理中的安全指標
保密性,計算機網絡系統的安全指標首要是體現在保密性上,它能夠允許經過授權的終端操作用戶在加密技術的支持之下篩選掉未經過授權用戶的訪問請求,這是通過終端操作用戶對計算機網絡信息數據進行訪問以及利用做到的。
完整性,各種非法的信息一旦試圖進入計算機的網絡系統,該系統會立即做出反映和保護措施,它能夠有效防治各種各樣的信息的進入,將其阻擋在外,并且還能夠確保計算機網絡系統中所儲存數據的完整無缺。
可用性,計算機網絡信息系統的設計環節是非常關鍵的一個環節,計算機網絡信息安全管理中信息資源的可用性主要就是通過它來具體體現的,通過信息系統的設計環節,能夠確保計算機網絡系統當中的各類信息資源一旦遭受到攻擊,可以在最短的時間內及時恢復正常的運行狀態。
授權性,用戶在計算機網絡系統當中的權限是和網絡信息管理中的授權性有著直接的關系的,判斷用戶是否能夠進入計算機網絡信息系統,并且還能夠有資格對相關的信息進行訪問與操作,這就需要授權性來進行這項活動。一般的情況下,計算機網絡系統授權的合理性與正確性主要就是通過訪問控制列表或是策略標簽的形式來確保和實現的。
認證性,實體性認證與數據源認證這兩種計算機網絡信息的認證方式能夠較好的確保權限提供與權限所有者為同一用戶,而且,在當前技術條件支持下,這兩種方式是現今使用較為普遍的計算機網絡信息系統的認證方式,。
抗抵賴性,通常來說,計算機網絡信息系統中的抗抵賴包括了保護接受方利益,證明發送方身份,發送時間和發送內容的起源抗抵賴以及保護發送方利益,證明接受方身份,接受時間和接受內容的傳遞抗抵賴。指在整個網絡信息通信過程結束之后,任何計算機網絡信息通信方都沒有辦法否認自身參與到該通信過程的這一真實的情況,同時這一真實性還可以很好的通過在通信過程完成后通信者完全不能否認對通信過程的參與得到體現。
2.2網絡信息管理中的兩類安全問題
針對保密性、授權、認證和不可否認的信息訪問控制以及針對網絡信息系統管理的完整性和可用性的信息安全監測,它們是網絡信息管理中的兩大類安全問題。必須明確地認識到,進行網絡信息的訪問控制是網絡信息安全管理的必不可少的內容之一,使用者和資源擁有者這兩個方面對與訪問控制都有著很大的需求。對于安全控制而言,它主要涉及到了計算機網絡信息系統的用戶的個人信息以及相關的信息。網絡的易攻擊性和脆弱性使得我們有必要對信息安全進行監測,如若一旦發現被攻擊的現象,要及時的報警,同時對于一些被破壞的關鍵數據要及時進行修復,保證數據的安全可靠性。
3.針對安全問題的策略研究
3.1基于角色的訪問控制安全防護策略分析
計算機網絡信息安全管理工作在當前技術條件支持之下,可以分為基于規則與基于角色這兩種,這兩大類型主要是針對訪問控制進行的安全防護策略來進行分類的。 根據不同的電腦數據接口以及光驅的接口,這兩種類型各有所取之處,基于角色的訪問控制對于封閉式的電腦USB及光驅接口來說,顯得更為實用可取。終端操作用戶在這一防護策略支持之下,在接受角色的同時也有了對相應的權限的控制和操作的權利。將權限與角色兩者很好的結合起來,使其能夠共同發揮作用是基于角色的訪問控制的一個核心思想,簡化安全管理的復雜度可以通過被賦予某種角色的計算機網絡信息系統的用戶擁有了相應的權限,可以進行一些相應的權限操作和使用。在基于角色這一安全防護策略中,用戶是因為他們所承擔的責任以及具備的能力的不同從而會被賦予相應的不同角色,用戶角色的權限并不是一成不變的,它會隨著職責改變而變化,甚至如果用戶的并沒有盡到應盡的責任,他們的權限也可以被取消或者是替代。
3.2基于證書的訪問控制安全防護策略
就A部門現有的計算機網絡系統結構來說,各個樓層如果想要獲得獨立的應用的交換機會,主線在其中起到了關鍵的作用,因為它必須通過計算機的主線連接到核心的交換機當中,而這一核心交換機是在計算機信息中心機房當中的。選用合格可靠地證書來更好的保證整個計算機網絡信息管理的訪問控制安全防護是非常之必要的,而現今的環境下,PKI機制環境下所頒布的X.509證書是當前的較佳的一個選擇。一旦用戶提交了證書,計算機網絡系統當中的訪問控制系統會對相關信息進行讀取、提交和查詢,從而定義訪問權限。也就是說,訪問控制系統在這一訪問的過程當中,能夠基于用戶所提交的證書判定具備訪問該資源的權限的條件,那么訪問控制系統資源的權限定義范圍之內能夠及時下達指令,允許那些合格的證書提供用戶對該資源進行相關的訪問。
4.結語
現代科學技術在蓬勃的發展,日新月異的變化讓我們不得不感嘆世界的前進步伐之快,隨著現代經濟社會建設日益加快的發展腳步,人們對新時代的計算機網絡及其系統技術的應用提出了更為全面與系統的發展要求,這是社會群眾持續增長的物質文化與精神文化需求的必然發展結果。當今的計算機技術在不斷的創新不斷地突破,正在朝著多元化以及系統化方向不斷發展的計算機網絡信息管理工作已經取得了很大的成績,網絡對經濟的發展的推動和促進作用是大家有目共睹的。但是與此同時,這其中需要引起大家的廣泛關注的是在這一發展的過程中所產生的較為突出的信息管理的安全問題,總是有一些不安全的因素存在網絡系統之中。正常的網絡運行和信息服務對于已經網絡化的社會和企業是極為重要的,因為其失效將會帶來沉重的后果,因此解決好網絡信息管理的安全性、易操作性、易管理性等一系列問題,必將深入地推動網絡應用的發展。
參考文獻
[1]杜君.網絡信息管理及其安全[J].太原科技.2009(10)
第3篇:計算機安全方向范文
關鍵詞:科技革命;電子商務;安全管理方式
1 相關概念的簡述
1.1 計算機信息安全設計方面
計算機是第三次科技革命中最偉大的產物,可為企業發展提供了無線的可能,促使了許多新興行業的出現和發展,直到今天,人們可以利用銀行卡進行消費,減少現金帶來的麻煩,可以方便人們的交流,開闊人們的視野,更為迅速的傳遞信息,促進政府工作的透明度。但是計算機的出現和任何一個新產物一樣,是一把雙刃劍,為人們帶來上述便利的同時,也帶來了人們無法預見的難題。個人隱私泄漏,垃圾短信騷擾以及各種人肉搜索,因此計算機信息安全成為近年來人們普遍關注的話題。計算機信息安全策略是指這樣一種模式,它把人們輸入的信息按照人們要求的不同進行不同程度的分解,利用一些編程對其進行加密處理,當這樣處理過后,輸入的信息就穿上了一層保護衣,當他輸送到制定的另一端后,接收人員利用讀他的密鑰對其進行解密,一旦中途遇到攔截也很少會發生信息泄露,保證了信息的安全性。
1.2 計算機安全策略的關聯體
為了保證計算機輸入和輸出信息的安全性,我們通常會采用很多保密措施,例如,信息加密、身份安全認證、訪問控制、安全通道等一系列方式。但是任何一種保密措施都不可能成為萬無一失的措施,其原因在于,計算機安全信息的管聯體也起到了不可忽視的作用。計算機硬件本身的脆弱性和軟件在加密過程中出現的問題都是信息安全受到挑戰的原因。因此,為了信息的安全性,硬件的品質也很重要。因為一旦有人在當事人完全不知道的情況下,通過木馬或其他手段操控了windows操作系統,那么無論是加密還是安全通道都變得毫無意義。因為這時入侵者已經被認為是一個合法的操作者,他可以以原主人的身分自行完成諸如加密、安全通道通信的操作,從而進行破壞。究其原因是加密、安全通道技術都分別與操作系統發生了強關聯,而加密與安全通道技術通過操作系統,它們倆之問也發生了強關聯,這就使安全強度大打折扣。為了減少各維度間的關聯盡量實現各維度的正交,我們必須盡量做到各維度之間相互隔離減少軟、硬件的復用、共用。共用硬件往往隨之而來的就是軟件的共用(通用),因此實現硬件的獨立使用是關鍵。舉例來說,要是我們能把操作系統與加密、安全通道實現隔離,則我們就可以得到真正的二維安全策略。為了實現這種隔離,我們可以作這樣的設計:我們設計出用各自分離的加密、通訊硬件設備及軟件操作系統這些設施能獨立的(且功能單一的)完成加密、通訊任務,這樣操作系統、加密、安全通道三者互不依賴,它們之間只通過一個預先設計好的接口傳輸數據(如:rs232接口和pkcs#11加密設備接口標準)。這樣一來,對于我們所需要保護的信息就有了一個完全意義上的二維安全策略。在電子交易的過程中,即便在操作系統被人完全操控的情況下,攻擊者也只能得到一個經過加密的文件無法將其打開。即便攻擊者用巨型計算機破解了加密文件,但由于安全通道的獨立存在,它仍能發揮其安全保障作用,使攻擊者無法與管理電子交易的服務器正常進行網絡聯接,不能完成不法交易。綜上所述,我們在制定安全策略時,要盡量實現各個維度安全技術的正交,從硬件、軟件的使用上盡量使各個安全技術不復用操作系統不復用硬件設施,從而減少不同維度安全技術的關聯程度。
2 相關的安全措施
2.1 安全策略維度的節點安全問題
系統自身的保護構造依靠的是節點后移,它講的是系統自身如何通過沒汁的合理來保證系統內操作的安全性。但是如果僅靠系統自身的構造是不足以保證系統安全的,因為如果系統的源代碼被攻擊者購得,又或者高級節點的維護人員惡意修改系統內容等等安全系統外情況的出現,再完
的系統也會無效。這就如同金庫的門再厚,管鑰匙的人出了問題金庫自身是無能為力的。計算機安全能做的事就如同建一個結實的金庫,而如何加強對金庫的管理、維護(或者說保護)則是另外一件事。事實上金庫本身也需要維護與保護,所以我們按照維度思維構建了計算機信息安全體系本身的同時也需要按維度思維對安全體系自身進行保護。具體來講比如,越是重要的數據服務器越要加強管理,對重要數據服務器的管理人員審查越要嚴格,工資待遇相對要高,越重要的工作場所越要加強值班、監控等等。
2.2 相關的安全技術措施
在上文介紹的三種安全加密方式中,都有采用了三維的方法措施。三位方式的優點有:第一,加密步驟直接與計算機各個端點相連接,輸出人員和接受人員必須經過三層檢驗,如果只是驗證了兩層沒有使得全部端點準確連接,便會造成接受的信息失效,造成信息安全性降低。第二,上述的安全措施風味不同的等級,計算機會按照信息的重要性進行不同的加密等級和不同的加工程序,使得盜竊者的工作難度增加,但是,它們也不是完全脫離計算機端點,兩者的連接并沒有完全隔離。一旦計算機硬件受損,在計算機維修過程中,極易發生信息泄露。第三,密碼成為保證信息安全的一種主要方式。密碼必須成為一種保證,銀行、政府和個人都需要努力,為自己的利益來加固。一般來說,密碼包括:明文、密文、加解密算法、加解密密鑰。在普通的計算機使用中,一般會使用明鑰,輸出方使用正常渠道傳送加密的信息,接收方在接受之后,會使用固定的密鑰來解壓信息,進一步整理后得到自己需要的信息。為了減少計算機編制程序的復雜性,提高計算機的處理能力,增加計算機使用壽命,專業人員研制和制定了二進制方法,相比較十進制或者八進制等其它進制方法,二進制只有0和1兩個數字,計算機編制簡單,程序使用方便,人們在使用和學習時簡單易學,這給計算機技術的普及提供了條件。
3 結束語
計算機信息安全并不是一個企業或者部門單獨的工作和任務,這個問題的解決需要全民參與。計算機網絡安全是一項復雜的系統工程,涉及技術、設備、管理和制度等多方面的因素,安全解決方案的制定需要從整體上進行把握。網絡安全解決方案是綜合各種計算機網絡信息系統安全技術,將安全操作系統技術、防火墻技術、病毒防護技術、入侵檢測技術、安全掃描技術等綜合起來,形成一套完整的、協調一致的網絡安全防護體系。我們必須做到管理和技術并重,安全技術必須結合安全措施,并加強算計機立法和執法的力度,建立備份和恢復機制,制定相應的安全標準。此外,由于計算機病毒、計算機犯罪等技術是不分國界的,因此必須進行充分的國際合作,來共同對付日益猖獗的計算機犯罪和計算機病毒等問題。
參考文獻
第4篇:計算機安全方向范文
關鍵詞:云計算;多方位;防御系統
中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2015)28-0059-02
在《教育信息化十年發展規劃 ( 2011- 2020)》第九章對要“建立國家教育云服務模式”:“充分整合現有資源,采用云計算技術,形成資源配置與服務的集約化發展途徑,構建穩定可靠、低成本的國家教育云服務模式。”,本文章主要研究基于云計算模式下高校教學資源共享平臺建設過程中需要注意哪些安全。
1 常見的WEB網站攻擊及原理
1.1 WEB網站攻擊現狀
2013年OWASP[1]前十大攻擊,依次為注入、時效的省份認證和會話管理、跨站腳本、不安全的直接對象應用、安全配置錯誤、敏感信息泄漏、功能級訪問控制缺失、跨站請求偽造、使用還有已知漏洞的組件和未驗證的重定向和轉發,其中網站注入居高位。
2014年發生全球十一大攻擊事件,如Regin惡意軟件、索尼攻擊事件、iCloud攻擊事件、摩根大通(JPMorgan)信用卡入侵、家得寶(Home Depot)、韓國信用卡黑客事件、易趣網(eBay)泄密事件、尼曼(Neiman Marcus)攻擊事件、破殼漏洞(Shellshock)、心臟滴血漏洞和12306用戶數據泄露含身份證及密碼信息,其中12306用戶數據泄露含身份證及密碼信息為撞庫攻擊,這種攻擊方式將成為未來趨勢。
1.2 WEB網站常見攻擊――SQL注入攻擊
SQL注入一直是WEB中最廣泛最危險的攻擊,它的攻擊原理是黑客借助用戶交互時,故意插入一些特殊的SQL語句,該語句一旦插人到實際SQL語句中并執行它,就可以竊取系統機密信息,甚至控制主機或其權限 [2]。下面是php程序的一個簡單SQL注入實例:
假設的登錄查詢SELECT * FROM users WHERE username =’admin’ and password=’password‘
假設的php 代碼$myquery="Select * from users where username='". $username ."' and password='".$pwd."'";
輸人字符username =’or 1=1
實際的查詢代碼SELECT * FROM users WHERE username=’’or 1=1 and password='anything‘。在條件語句中,無論用戶名稱是否正確,由于1=1永遠是為真,導致users表中的所有數據都被竊取。
2 研究平臺的特點
基于云計算模式下高校教學資源共享平臺服務器由第三方云服務器商提供,網站系統是WAMP(Windows+Apache+MySQL+PHP)框架式。平臺分為四個部分:用戶層、網絡層、云層和網站系統層。如下圖1平臺安全層次圖。
用戶層:即應用層,用戶與服務器交互,該層主要被黑客惡意攻擊的地方。網絡層:信息篡改常常來自網絡層,常用預防措施有:SSL協議和S-HTTP。云層:該層是核心層,一旦被控制后果非常嚴重。網站系統層:網站系統的安全系數與網站被攻擊成正比。
3 平臺多方位防御系統設計
一個好的防御系統需要有自我防御、檢測、監督、修復等性能,同時配對一套合理的安全管理,且能嚴格定期執行,具體設計如下。
3.1 平臺設計
一個擁有自我防御、檢測、監督、修復等性能平臺,可網站編碼、功能和借助外部軟件等方法實現。
1) 編碼規范。編碼不規范容易給黑客留下后門,如明確指定輸出的編碼方式:不要允許攻擊者為你的用戶選擇編碼方式(如ISO 8859-1或 UTF 8)。網站開發規范可以參照《OWASP安全編碼規范快速參考指南》。
2) 全面防御功能設計。用戶層常用預防措施有:①對用戶身份進行驗證,對用戶訪問權限控制,分級管理用戶;②對用戶的輸入特殊字符屏蔽和過濾;③對重要和敏感的數據進行加密。云端常用措施是建立監督機制,預防被利用的可能。網絡層采用防護措施有:①用 SSL 實現安全通信,防止攻擊,②過濾所有外部數據、使用現有函數、自己定義函數進行校驗、使用白名單。網站系統層常用預防措施提①編寫通用的安全模塊。如判斷是否驗證、授權等安全模塊代碼。②對重要的數據加密,以確保信息的安全性,如用戶登錄密碼,銀行帳號。③提供安全存儲,對HTML 或 PHP 文件、與腳本相關的數據和 MySQL數據采取不同存儲方式,如腳本只能讀但不能寫。④增強Web服務器安全,利用WebShell檢測技術。
3) 借助外部軟件。①應用網站安全評估產品。目前防御系統有:360、騰訊和SCANV等,其中SCANV(http:///)是一家專注網站安全監測。②Web應用防火墻。
3.2 安全管理設計
定期對網站應用狀況的安全檢測,并給出Web應用安全性評估等。常用方法是定期對WEB日志判斷來檢測Web網站是否受到攻擊[3]:
1)檢查web日志:查看是否有特殊記錄,如SQL語句select,drop,insert等關鍵字參數;或則如“‘;--”等特殊的表達式的請求記錄;2)檢查web防御系統日志:查看被攻擊的IP或源頁面等;3)查看防火墻等網絡設備日志:如Web端口連接IP分布、服務器對外發起的連接狀況;4)查看數據庫日志:檢查數據庫建立新表的記錄、新庫、存儲過程執行記錄或者數據導入導出記錄等;5)檢查Web目錄:如上傳文件或文件夾及他們修改與最后訪問時間等。
4 結束語
綜上所述,本文主要介紹WEB常見的網站攻擊類型及基原理,另外根據云平臺網站的安全特點提出防御系統的設計建議,望能給平臺開發者提供參考。
參考文獻:
[1] OWASP.Top10-2013.The Ten Most Critical Web Application Security Risks.[EB/OL ].http://.
