互聯(lián)網(wǎng)架構(gòu)體系與信息安全
摘? 要: 現(xiàn)代社會計算機(jī)網(wǎng)絡(luò)有了很大的發(fā)展����,同時也加快了社會化和現(xiàn)代化的進(jìn)程,但在發(fā)展的同時�����,許多安全問題也隨之出現(xiàn)。因此�����,我們在使用網(wǎng)絡(luò)的過程中�����,安全保密工作的落實是十分關(guān)鍵的���。文章主要從互聯(lián)網(wǎng)架構(gòu)體系中的安全問題了分析���,并研究網(wǎng)絡(luò)安全及其技術(shù)。淺析windows漏洞
關(guān)健詞�;互聯(lián)網(wǎng)? Windows漏洞? 漏洞等級? 信息安全
?????????????????? 前言
在25年前�,當(dāng)世界上第一個病毒誕生時,也許人們不會想到若干年后����,它竟然是給IT技術(shù)帶來最深遠(yuǎn)影響的計算機(jī)程序。
10年前�,隨著因特網(wǎng)的迅速發(fā)展,通過網(wǎng)絡(luò)傳播的蠕蟲�����,使人們發(fā)現(xiàn),原來網(wǎng)絡(luò)也存在巨大安全問題����,在當(dāng)時所謂的黑客們眼里,制作病毒代碼僅僅只是為了炫耀并證明自己的技術(shù)�����。
5年前�,互聯(lián)網(wǎng)技術(shù)飛速發(fā)展,網(wǎng)絡(luò)攻擊手段及技術(shù)也突飛猛進(jìn)�,越來越多的網(wǎng)絡(luò)變成了僵尸網(wǎng)絡(luò),黑客也學(xué)會了經(jīng)商��,買賣技術(shù)變得順理成章���。
在互聯(lián)網(wǎng)應(yīng)用非常普及的今天����,病毒���、木馬��、間諜軟件�、僵尸網(wǎng)絡(luò)、網(wǎng)絡(luò)釣魚���、ARP攻擊��、DDoS攻擊等詞語儼然成為安全領(lǐng)域最熱門的關(guān)鍵詞�����,同時���,隨著攻擊技術(shù)的隱蔽性逐漸增強(qiáng),給計算機(jī)系統(tǒng)和網(wǎng)絡(luò)帶來的威脅也隨之變得無法衡量����。
微軟面臨的尷尬:使用Windows平臺的人最多,如我國當(dāng)今最具頂峰的電信行業(yè)���,國家電網(wǎng),乃至公安部門��。這句話沒人會反對���,但正因為如此����,也使Windows平 臺 從誕生到現(xiàn)在飽受了各種安全威脅。針對Windows平臺的病毒感染����、網(wǎng)絡(luò)攻擊屢見不鮮。如今�,頻繁的網(wǎng)絡(luò)攻擊、病毒入侵���、惡意木馬程序等威脅���,都可以導(dǎo)致企業(yè)網(wǎng)絡(luò)不能正常運(yùn)行,嚴(yán)重的甚至?xí)咕W(wǎng)絡(luò)癱瘓�����。人們也意識到安全防護(hù)的重要性����,越來越多的企業(yè)和個人開始尋求解決之道。很多個人選擇了殺毒軟件作為他們的安全盾牌,而企業(yè)則會選擇基于Windows平臺的安全解決方案��。不只是Windows平臺會遭遇這么多安全威脅���,其他系統(tǒng)平臺同樣也遭受著安全威脅�。但為什么往往應(yīng)用Windows平臺的企業(yè)更受關(guān)注呢���?其實道理很簡單�����,就是因為使用Windows平臺的用戶多�,所以受威脅“照顧”的也多����。這種局面也使微軟這樣的軟件帝國面臨一絲尷尬:Windows平臺的安全問題,要別人幫忙解決����。之所以這樣說,是因為現(xiàn)在多數(shù)企業(yè)應(yīng)用的安全解決方案和防護(hù)產(chǎn)品��,大多都來自其他安全廠商�,如賽門鐵克、MacAfee等����。從實際的效果來看,有些還解決的不錯�。
案例:
北京晨報訊 (記者 孫雨) “火焰”病毒尚未熄滅,“暴雷”漏洞又轟然而至���。北京時間6月13日凌晨�,微軟發(fā)布緊急安全公告稱��,Windows基礎(chǔ)組件出現(xiàn)高危漏洞��,影響全版本IE瀏覽器和多版本Office�,幾乎全體Windows用戶均受該漏洞威脅。日前�,微軟已經(jīng)發(fā)布了相關(guān)補(bǔ)丁對該漏洞進(jìn)行修復(fù)。
據(jù)悉����,“暴雷”是基于Windows XML基礎(chǔ)組件的遠(yuǎn)程攻擊漏洞。在近年來曝光的黑客威脅中�,它是影響用戶數(shù)量最多的安全漏洞之一。利用該漏洞����,黑客可以通過惡意網(wǎng)頁���、文檔等形式將任意木馬植入用戶電腦,竊取重要資料和賬號信息���。
360安全中心評估認(rèn)為���,“暴雷”漏洞與“火焰”病毒存在相似之處,都是針對特殊目標(biāo)的網(wǎng)絡(luò)核武器���,只是其攻擊對象更側(cè)重于高科技企業(yè)���。同時,該漏洞行蹤格外隱蔽���,在國內(nèi)每天約50萬個掛馬網(wǎng)頁中���,僅有2個網(wǎng)頁暗藏“暴雷”特征,漏洞發(fā)現(xiàn)概率達(dá)到驚人的25萬分之一����。
“針對企業(yè)和基礎(chǔ)工業(yè)設(shè)施的網(wǎng)絡(luò)間諜戰(zhàn)日益活躍���,越來越多高危漏洞將隨著黑客攻擊行為逐漸浮出水面?!?60安全專家石曉虹博士介紹說�����,5月下旬�����,360安全衛(wèi)士檢測到“暴雷”攻擊頁面現(xiàn)身互聯(lián)網(wǎng)��,并將漏洞細(xì)節(jié)通報給微軟安全應(yīng)急響應(yīng)中心�����。
在推出“暴雷”漏洞臨時解決方案的同時����,微軟還發(fā)布7款正式補(bǔ)丁,用于修復(fù)Windows系統(tǒng)及軟件漏洞���,其中包括另一個由360獨立發(fā)現(xiàn)��、主要影響IE8內(nèi)核瀏覽器的“黑八”漏洞�。截至發(fā)稿前,360安全衛(wèi)士已向用戶推送補(bǔ)丁�����。
一����、Windows系統(tǒng)漏洞與漏洞的等級
(一)、Windows系統(tǒng)漏洞是指Windows操作系統(tǒng)本身所存在的技術(shù)缺陷���。每一個漏洞都是不盡相同的�����,但根據(jù)其入侵方式的不同���,可以將它們分為本地漏洞和遠(yuǎn)程漏洞。
1�、本地漏洞:本地漏洞需要入侵者利用自己已有的或竊取來的身份,以物理方式訪問機(jī)器和硬件�����。在我們的類比中,入侵者要么必須是建筑物中的住戶���,要么必須假冒成建筑物中的住戶�。
2���、遠(yuǎn)程漏洞:相比本地漏洞�����,遠(yuǎn)程漏洞則不需要入侵者出現(xiàn)。攻擊者只需要向系統(tǒng)發(fā)送惡意文件或者惡意數(shù)據(jù)包就能實現(xiàn)入侵�。這就是遠(yuǎn)程漏洞比本地漏洞更危險的原因。
???? (二)�����、將漏洞按照風(fēng)險級別對其分類�,又可分為高風(fēng)險漏洞、中等風(fēng)險漏洞或低風(fēng)險漏洞�����。風(fēng)險級別在很大程度上取決于每個人所采用的標(biāo)準(zhǔn)��,邁克菲定義風(fēng)險是為了讓客戶清楚地預(yù)知未來將會發(fā)生什么,能提高警惕�����。
1����、高風(fēng)險漏洞:
??? 遠(yuǎn)程代碼執(zhí)行(RCE):攻擊者能夠充分利用這一風(fēng)險最高的漏洞來完全控制易受攻擊的系統(tǒng)。由于這種漏洞使惡意軟件能夠在用戶尚未得到警告的情況下運(yùn)行����,一些最危險的惡意軟件便常常需要利用這種漏洞來發(fā)起攻擊。若出現(xiàn)針對某一漏洞���,系統(tǒng)商提供了安全補(bǔ)丁����,這通常意味著這個漏洞就屬于高風(fēng)險漏洞�,用戶最好不要忽視任何相關(guān)警告。
拒絕服務(wù)(DoS):作為另一種高風(fēng)險漏洞�����,DoS會導(dǎo)致易受攻擊的程序(甚至硬件)凍結(jié)或崩潰�����。Anonymous Group 就是利用DoS漏洞發(fā)起攻擊的。如果遭到攻擊的結(jié)構(gòu)是路由器�、服務(wù)器或任何其他網(wǎng)絡(luò)基礎(chǔ)設(shè)施,不難想象局面的混亂程度���。DoS漏洞的嚴(yán)重性視被隔離的房間而定�。比如和儲藏室比起來, 浴室或者客廳要重要得多���。
2��、中等風(fēng)險漏洞:
??? 這些漏洞就像“兄弟姐妹”,雖然非常相似��,但在具體情況上存在細(xì)微差別����。中等風(fēng)險包括權(quán)限提升(Privilege Escalation) 這對“雙胞胎”和它們被稱為安全旁路(Security Bypass) 的“兄弟”。
???? 權(quán)限提升(PE):該漏洞使攻擊者通常能夠在未獲得合法用戶權(quán)限的情況下執(zhí)行操作����。它們之所以被稱為“雙胞胎”,是因為可以分為兩類:水平 PE 和垂直 PE��。水平 PE 使攻擊者能夠獲得其他同級別用戶所擁有的權(quán)限,這類漏洞最常見的攻擊出現(xiàn)在論壇�。攻擊者可以從一個用戶賬戶“跳到”另一個,瀏覽和修改信息或帖子�,但通常只擁有同級別權(quán)限。而垂直 PE 則為攻擊者提供了更多實際用戶希望享有的權(quán)限����。例如,攻擊者從本地用戶“跳升”至管理員����。從而使攻擊者能夠部分或完全進(jìn)入系統(tǒng)中某些受限制區(qū)域,進(jìn)而實施破壞�。
???? 安全旁路(SB):廣義而言,安全旁路與PE 一樣���,是指攻擊者未經(jīng)許可就可以執(zhí)行操作�。區(qū)別在于��,旁路之在連入互聯(lián)網(wǎng)的系統(tǒng)環(huán)境中生效����。如果程序有安全旁路漏洞,會使不安全的流量能夠逃過檢測。
???? 中等風(fēng)險漏洞本身并不太危險�����,如果系統(tǒng)得到妥善保護(hù)��,不會造成災(zāi)難性的后果�����。真正的危險在于權(quán)限提升和安全旁路產(chǎn)生的連鎖反應(yīng)�。如攻擊者以普通用戶或來賓身份進(jìn)入,躲過安全措施����,然后安裝或更改程序,從而會造成大量破壞���。相比遠(yuǎn)程代碼執(zhí)行,雖然攻擊者很難利用權(quán)限提升和安全旁路的方法進(jìn)入我們的“建筑物”(指系統(tǒng))�����,但并不是不可能�。
3、低風(fēng)險漏洞:
???? 信息泄露(ID):該漏洞使攻擊者能夠瀏覽正常情況下無法訪問的信息。信息泄露是一種低風(fēng)險漏洞����,攻擊者只能瀏覽信息,無法執(zhí)行其他實質(zhì)性操作�����。如果想使用這里的信息����,攻擊者必須利用其他漏洞或找到關(guān)鍵信息,如密碼文件等�。不過,我們必須視具體情況對信息泄露進(jìn)行分析�,因為它的風(fēng)險級別非常容易發(fā)生變化,受攻擊的程序���、泄露的信息和網(wǎng)絡(luò)環(huán)境的變化都會導(dǎo)致風(fēng)險等級的變化����。比如�,如果類似Comodo或DigiNotar的證書頒發(fā)機(jī)構(gòu)存在信息泄露顯然會導(dǎo)致災(zāi)難性后果。信息泄露對存儲著非常重要信息的關(guān)鍵網(wǎng)絡(luò)或機(jī)器同樣非常危險�,即使信息泄露看起來沒有那么危險�����,也不要被表象所迷惑��。
???? 盡管中等風(fēng)險漏洞和低風(fēng)險漏洞的危險程度不及遠(yuǎn)程代碼執(zhí)行或拒絕服務(wù)風(fēng)險那么高����,但我們同樣不可掉以輕心�。經(jīng)驗老道的攻擊者有時不需要利用這些漏洞就可以造成破壞,如:竊取知識產(chǎn)權(quán)�。雖然這些攻擊都留下了明顯的蹤跡,但由于存儲在活動日志中的信息量過大�����,用戶只能通過緩慢且細(xì)致的搜索才能發(fā)現(xiàn)可疑行跡��,同時����,我們的用戶通常也不會將其作為一項預(yù)防性措施。往往只會在攻擊者已造成破壞后才仔細(xì)查看�����。
二��、認(rèn)識Windows漏洞后對信息安全的保護(hù)建議:
(1)建立良好的監(jiān)督機(jī)制和自我選擇
?? 1��、政府應(yīng)該出臺相關(guān)法律����,向歐美國家學(xué)習(xí)從根本遏制不使用或者督促運(yùn)營商及時發(fā)補(bǔ)丁,增加發(fā)布頻率�����,加大關(guān)注力度���。
?? 2���、對于運(yùn)營商應(yīng)該在產(chǎn)品上市之前做好更多的應(yīng)對方式,做好市場監(jiān)督機(jī)制����,監(jiān)控好市場的新形勢,及時做出反應(yīng)����。對內(nèi)應(yīng)及時發(fā)布補(bǔ)丁�,做好預(yù)警��。
? 3���、對于各個客戶端應(yīng)及時關(guān)注補(bǔ)丁的發(fā)布����,做到及時更新����。或者在開始選擇就要選擇更為安全的操作系統(tǒng)�,我們有相對開放的選擇環(huán)境。
?
? (2)運(yùn)用信息安全行業(yè)中的主流技術(shù)
??? 1���、安全防護(hù)技術(shù) :包含網(wǎng)絡(luò)防護(hù)技術(shù)(防火墻��、UTM���、入侵檢測防御等);應(yīng)用防護(hù)技術(shù)(如應(yīng)用程序接口安全技術(shù)等)���;系統(tǒng)防護(hù)技術(shù)(如防篡改����、系統(tǒng)備份與恢復(fù)技術(shù)等)��,防止外部網(wǎng)絡(luò)用戶以非法手段進(jìn)入內(nèi)部網(wǎng)絡(luò)�����,訪問內(nèi)部資源�����,保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的相關(guān)技術(shù)����。
2、安全審計技術(shù) :包含日志審計和行為審計����,通過日志審計協(xié)助管理員在受到攻擊后察看網(wǎng)絡(luò)日志,從而評估網(wǎng)絡(luò)配置的合理性�、安全策略的有效性,追溯分析安全攻擊軌跡�����,并能為實時防御提供手段。通過對員工或用戶的網(wǎng)絡(luò)行為審計����,確認(rèn)行為的合規(guī)性,確保信息及網(wǎng)絡(luò)使用的合規(guī)性�。
3、安全檢測與監(jiān)控技術(shù) :對信息系統(tǒng)中的流量以及應(yīng)用內(nèi)容進(jìn)行二至七層的檢測并適度監(jiān)管和控制���,避免網(wǎng)絡(luò)流量的濫用�����、垃圾信息和有害信息的傳播�����。
??? 4�、解密����、加密技術(shù) :在信息系統(tǒng)的傳輸過程或存儲過程中進(jìn)行信息數(shù)據(jù)的加密和解密。
??? 5�、身份認(rèn)證技術(shù) :用來確定訪問或介入信息系統(tǒng)用戶或者設(shè)備身份的合法性的技術(shù),典型的手段有用戶名口令、身份識別�����、PKI 證書和生物認(rèn)證等�����。
(3)�����、提高安全意識采用安全對策
1����、保護(hù)網(wǎng)絡(luò)安全
網(wǎng)絡(luò)安全是為保護(hù)商務(wù)各方網(wǎng)絡(luò)端系統(tǒng)之間通信過程的安全性����。保證機(jī)密性、完整性����、認(rèn)證性和訪問控制性是網(wǎng)絡(luò)安全的重要因素。保護(hù)網(wǎng)絡(luò)安全的主要措施:
(1)全面規(guī)劃網(wǎng)絡(luò)平臺的安全策略�����。
(2)制定網(wǎng)絡(luò)安全的管理措施。
(3)使用防火墻��。
(4)盡可能記錄網(wǎng)絡(luò)上的一切活動�。
(5)注意對網(wǎng)絡(luò)設(shè)備的物理保護(hù)。
(6)檢驗網(wǎng)絡(luò)平臺系統(tǒng)的脆弱性���。
(7)建立可靠的識別和鑒別機(jī)制�。
2���、保護(hù)應(yīng)用安全��。
保護(hù)應(yīng)用安全�,主要是針對特定應(yīng)用(如Web服務(wù)器����、網(wǎng)絡(luò)支付專用軟件系統(tǒng))所建立的安全防護(hù)措施,它獨立于網(wǎng)絡(luò)的任何其他安全防護(hù)措施�。雖然有些防護(hù)措施可能是網(wǎng)絡(luò)安全業(yè)務(wù)的一種替代或重疊,如Web瀏覽器和Web服務(wù)器在應(yīng)用層上對網(wǎng)絡(luò)支付結(jié)算信息包的加密���,都通過IP層加密��,但是許多應(yīng)用還有自己的特定安全要求����。
由于電子商務(wù)中的應(yīng)用層對安全的要求最嚴(yán)格、最復(fù)雜�,因此更傾向于在應(yīng)用層而不是在網(wǎng)絡(luò)層采取各種安全措施。
雖然網(wǎng)絡(luò)層上的安全仍有其特定地位����,但是人們不能完全依靠它來解決電子商務(wù)應(yīng)用的安全性。應(yīng)用層上的安全業(yè)務(wù)可以涉及認(rèn)證����、訪問控制���、機(jī)密性��、數(shù)據(jù)完整性���、不可否認(rèn)性、Web安全性�、EDI和網(wǎng)絡(luò)支付等應(yīng)用的安全性。
3��、保護(hù)系統(tǒng)安全。
保護(hù)系統(tǒng)安全���,是指從整體電子商務(wù)系統(tǒng)或網(wǎng)絡(luò)支付系統(tǒng)的角度進(jìn)行安全防護(hù)��,它與網(wǎng)絡(luò)系統(tǒng)硬件平臺�����、操作系統(tǒng)��、各種應(yīng)用軟件等互相關(guān)聯(lián)���。涉及網(wǎng)絡(luò)支付結(jié)算的系統(tǒng)安全包含下述一些措施:
(1)在安裝的軟件中,如瀏覽器軟件����、電子錢包軟件、支付網(wǎng)關(guān)軟件等���,檢查和確認(rèn)未知的安全漏洞�。
(2)技術(shù)與管理相結(jié)合����,使系統(tǒng)具有最小穿透風(fēng)險性���。如通過諸多認(rèn)證才允許連通,對所有接入數(shù)據(jù)必須進(jìn)行審計���,對系統(tǒng)用戶進(jìn)行嚴(yán)格安全管理����。
(3)建立詳細(xì)的安全審計日志���,以便檢測并跟蹤入侵攻擊等���。
商務(wù)交易安全則緊緊圍繞傳統(tǒng)商務(wù)在互聯(lián)網(wǎng)絡(luò)上應(yīng)用時產(chǎn)生的各種安全問題,在計算機(jī)網(wǎng)絡(luò)安全的基礎(chǔ)上�,如何保障電子商務(wù)過程的順利進(jìn)行����。
各種商務(wù)交易安全服務(wù)都是通過安全技術(shù)來實現(xiàn)的,主要包括加密技術(shù)�、認(rèn)證技術(shù)和電子商務(wù)安全協(xié)議等。
4��、專家微軟大中華區(qū)信息安全總監(jiān)何迪生對企業(yè)信息安全的建議
(1)利用防火墻��、VPN隔離等手段保護(hù)企業(yè)網(wǎng)絡(luò)的邊界安全。
(2)合理的對企業(yè)網(wǎng)絡(luò)分段管理����、利用IPsec等加密技術(shù)以及部署網(wǎng)絡(luò)入侵檢測和防御系統(tǒng)可以有效的解決企業(yè)內(nèi)部網(wǎng)絡(luò)安全問題。
(3)通過加強(qiáng)操作系統(tǒng)自身的安全性和補(bǔ)丁管理系統(tǒng)�,以及完整的認(rèn)證體系達(dá)到防范主機(jī)安全的目的。
(4)基于諸如郵件應(yīng)用���、Web訪問����、文件共享����、即時通訊等應(yīng)用的安全防護(hù)手段,從技術(shù)上降低了應(yīng)用帶給企業(yè)的安全風(fēng)險��。
(5)對于數(shù)據(jù)的保護(hù)���,可以利用訪問控制�����、數(shù)據(jù)加密等手段進(jìn)行�。
何迪生認(rèn)為還有兩個不能忽視的因素:一是必須要通過法規(guī)政策、合理的規(guī)章制度����、完整的審計、應(yīng)急處理機(jī)制等手段對企業(yè)整體實施安全管理和指導(dǎo)�,這樣才能使上述六個層面的技術(shù)防護(hù)措施有效融合,實現(xiàn)統(tǒng)一完整的安全防護(hù)體系����。除此之外,人的要素也不能忽略����,要通過加強(qiáng)員工的安全意識和安全技能的培訓(xùn),使企業(yè)的安全管理行之有效���。
結(jié)論�����;信息安全是我們不容忽視的,在當(dāng)今這個高速發(fā)展的信息時代�����,信息的運(yùn)用發(fā)展對我們來說已是當(dāng)今社會的主流。一個國家不僅要在經(jīng)濟(jì)文化�����,生活水平上不斷發(fā)展���。對于信息的和網(wǎng)絡(luò)的先進(jìn)性也要不斷發(fā)展����,從現(xiàn)在世界的發(fā)展趨勢看來����,以后的社會將成為信息網(wǎng)絡(luò)主導(dǎo)發(fā)展的社會;我們一定要加緊對信息網(wǎng)絡(luò)的發(fā)展�,通過對微軟的windows系統(tǒng)的分析,其中的問題都是不容無視的��,如果沒有好的應(yīng)對措施我們將無法正常和安心的應(yīng)用網(wǎng)絡(luò)來達(dá)到我們的需求���,所以對信息網(wǎng)絡(luò)中存在的一些問題要認(rèn)真分析�����,明確問題�����,做好信息安全.才能是我們在安全的信息中發(fā)展信息���。
參考文獻(xiàn)
[1]《未來互聯(lián)網(wǎng)體系結(jié)構(gòu)與協(xié)議》
[2]《網(wǎng)絡(luò)信息安全》
[3]《信息安全漏洞分析基礎(chǔ)》
?
