校园网安全威胁

2024-07-17

校园网安全威胁（共10篇）

校园网安全威胁篇1

一、简介

随着网络的普及和发展,越来越多的校园网接入了Internet,校园网正在学校教育中发挥越来越大的作用,搞好校园网建设是教育现代化的重要组成部分。校园网已经成为学校的重要信息基地,担当着学校教学、科研、管理和对外交流等许多重要角色。在校园网上运行的办公自动化、综合教务管理、财务管理、人力资源、科研管理、设备资产管理、网络教学、综合信息服务等系统在为学校提供信息服务的同时,也提高了管理人员的素质。

但是,由于校园网具有访问方式多样、用户成分复杂、网络行为难以控制等在信息安全方面先天不足的特性,校园网也带来了许多不安全的因素,存在着大量的网络安全漏洞。一旦发生网络攻击或病毒侵袭,就会造成整个网络的瘫痪,重要数据的丢失等严重的后果。随着校园网络互联的迅速扩大,网络应用的增加,校园网上各种数据的急剧增加,校园网的安全问题逐渐突出,直接影响着学校的教学、管理、科研活动,校园网络安全应该得到校园网络的规划者、建设者和管理者的高度重视。

二、校园网面临的安全威胁

由于各种条件限制和观念因素,校园网络相对于企业网存在着更多的安全隐患,这些隐患严重威胁着整个校园网络系统的正常运行。威胁校园网的安全的因素有很多,主要包括计算机病毒、黑客攻击、不良信息传播以及应用服务体系的安全隐患等等。

1、黑客攻击

目前,黑客行动几乎覆盖了所有的操作系统,包括UNIX与Windows XP等。黑客在网上的攻击活动正以每年10倍的速度在增长。黑客利用网上的任何漏洞和缺陷修改网页、非法进入主机、进入银行盗取和转移金额、窃取信息、发送假冒的电子邮件等。黑客主要手段有:窃取口令、强行闯入、窃取额外特权、植入“特洛伊木马”、植入非法命令过程或程序“儒虫”、清理磁盘等。随着因特网的发展,现代黑客从系统攻击为主转为网络攻击为主,主要手法有:通过网络监听获么网上用户账号和密码后对其进行攻击;监听密钥分配过程,得到密钥或认证码,盗取合法资格;利用文件传送协议(FTP),采用匿名用户访问进入攻击;利用UNIX操作系统提供的守护过程的缺省帐户进行攻击;突破防火墙等。

从攻击的类型来分,黑客类攻击可以分为主动攻击和被动攻击。主动攻击的目的在于篡改系统中所含信息,或者改变系统的状态和操作,它以各种方式有选择地破坏信息的有效性、完整性和真实性。被动攻击是在不影响网络工作的情况下,进行信息的截获和窃取,信息流量分析,并通过信息的破译以获得重要机密信息。它不会导致系统中信息的任何改动,而且系统的操作和状态也不被改变,因此被动攻击主要威胁信息的保密性。这两种攻击均可对网络安全造成极大的危害,并导致机密数据的泄漏。从攻击人所在的位置来分,黑客攻击可分为外部攻击和内部攻击。外部攻击是指攻击者从校园网外面对校园网进行攻击,这种攻击可以通过校园的防火墙进行有效防范。而内部攻击是指校园网内部成员对校园网进行攻击,这种攻击的目的性强,攻击行为不容易被察觉和控制,是校园网中人为攻击的主要形式。

2、计算机病毒

计算机病毒,简单来讲,其实就是一种可执行的计算机程序。和生物界的病毒类似,会寻找寄主将自身附着到寄主身上。除了自我复制外,某些病毒被设计成为具有毁坏程序、删除文件甚至重新格式化硬盘的能力。在网络中,病毒对计算机的安全构成极大威胁:与网络黑客内外配合,窃取用户口令及帐号等变化多端的方式,使企业网络无时无刻不面对病毒困扰。这也就是必须使计算机具备预防、检查和清除病毒能力的根本所在。

病毒最成功之处在于其传播能力,传播能力越强,生存的机率就越大。当计算机病毒附着或感染某个文件或系统中的某个部分之后,就会传播给临近的项目。如果计算机病毒刚好将自己附着到一般用户经常使用的项目,或所附着的项目处在一个文件共享非常频繁的环境中,将助长病毒以最快的速度向四处蔓延。因此企业的网络环境,Internet环境是病毒传播、生存的最快最好的温床。

在校园网接入Internet后,病毒很容易进入学校网络,如下载了带有病毒的程序和打开带有病毒的电子邮件,病毒就可能会迅速在校园网上传播,危害整个校园网络的安全。

3、不良信息传播

校园网通过接入Internet网,实现教学、管理信息的发布和获取。师生参预教学活动信息大量利用Internet网上来传播,学校的所有计算机都可能通过校园网络进入Internet,在大大方便了教师、学生、管理人员在校内校外的工作、学习和交流的同时,也使Internet上各种不良信息,如色情、暴力、邪教内容进入校园网。这些不良信息,违反人类的道德标准和有关法律法规,对世界观和人生观正在形成的学生来说,危害非常大。

4、应用服务体系的安全隐患

校园网一个显著特点即提供了多种网络服务,多种应用服务的开放造成了不同程度的安全隐患。而且往往出于维护和费用的角度出发,在校园网中常常是一台服务器承担提供几项服务的任务,如同时作为WWW服务器、FTP服务器等。这在很大程度上增加了由应用服务造成的安全隐患。同时协议本身也具有一定安全隐患,如FTP服务通常只采用简单的身份认证和口令检验,信息也以明文方式在网间传送;远程登陆服务同样采用明文传输数据,一旦入侵者从终端登陆并获得一定权限将对整个网络安全造成严重后果等等。

三、校园网安全防范策略

针对校园网存在的各种安全威胁,我们需要采用全方位的安全策略,其中最主要的安全策略有设备安全策略、网络访问控制策略、数据通信保护策略、操作系统安全策略和防病毒策略。

1、设备安全策略

构成校园网络的设备主要有路由器、交换机、集线器、防火墙、服务器等,它们是构成校园网的基本单元,其安全决定了整个校园网络的安全,一个由存在安全漏洞的设备组成校园网不可能是安全的校园网。设备安全策略的基本原则是:

(1)将一些重要的设备,如各种服务器、主干交换机、路由器等实行严格的集中管理。并将终端设备,如工作站、小型交换机、集线器等落实到人、责任到人,进行严格管理。

(2)采用主流开放技术、支持标准协议。采用标准协议可以有效保护网络建设的投资,提高网络设备的互操作性,能够与其它厂家的设备进行无缝的连接和通讯,从而可以增加校园网的兼容性。

(3)尽量采用交换设备。共享网络设备,如集线器,它的所有端口都处在同一个冲突域,任何端口之间的通信都同时复制到其他端口,这样很容易造成网络数据被Sniff工具侦听。交换网络设备,如交换机,它的每个端口构成单独的冲突域,两台机器之间的通信只通过对应的端口进行传输,不回复制到其他端口,从而避免了被其他机器侦听。

2、网络访问的控制策略

网络访问的控制策略主要有VLAN规划和防火墙规划。在校园网络中,一般根据部门或工作留划分不同的访问权限,同一部门或工作组的人员很肯能分布在不同的大楼内,为此我们需要将网络划分位多个逻辑子网。VLAN是划分子网的主要技术,同一个VLAN的计算机可以互相访问,不同VLAN之间的通信必须通过路由器或三层交换设备。在校园网中划分VLAN时应采用通用的VLAN协议,如IEEE802.1Q,并按照部门或者权限来划分。

防火墙是最重要也是使用最多的网络访问控制设备,它一般位于校园网络的边界,通过制定一系列的访问规则来准许或拒绝不同类型的网络通信。防火墙可以分为包过滤型、状态检测型和应用网关型。包过滤型是最简单的防火墙,它只是检测数据包的IP、TCP、UDP、ICMP的包头、根据IP源地址和目的地址、TCP/UDP的源端口和目的端口来决定准许或拒绝数据包的通过。状态检测防火墙在包括过滤防火墙的基础上加入了连接状态的检测,这主要是通过记录和检测TCP包头的Syn、Ack标志和序列号来实现的。应用网关型在包过滤的基础上还增加了应用层协议的检测,这种防火墙以牺牲检测速度来提供系统的安全性。在防火墙规划中,我们需要根据实际情况选择不同类型的防火墙,比如为了在网络边界就拦截不良信息传播,我们就需要采用应用网关型防火墙。另外,我们不仅在整个校园网的边界安装防火墙,在每个重要子网的边界也要安装防火墙。

3、数据通信保护策略

为了保证校园网内部通信数据的不被攻击者侦听、修改、伪造,我们需要采用虚拟专用网络(VPN)技术来保证通信数据的安全性。虚拟专用网技术是利用开放性的网络作为信息传输的媒介,通过加密□认证、封装技术在公众网上开辟一条隧道,使得合法的用户可以安全地访问企业的私有数据。VPN从实现技术来分主要包括二层VPN技术和三层VPN技术,其中二层VPN技术主要包括PPTP、L2F、L2TP等技术,三层VPN技术主要包括GRE、IPSEC等技术。其中基于IPSEC协议的VPN使用最为广泛。

IPSEC提供了一种标准的、健壮的以及包容广泛的机制,可用它为IP及上层协议(如UDP和TCP)提供安全保证。IPSEC为保障IP数据报的安全,定义了一个特殊的方法,它规定了要保护什么通信、如何保护它以及通信数据发给何人。IPSEC可保障主机之间、网络安全网关(如路由器或防火墙)之间或主机与安全网关之间的数据包的安全。

IPSEC主要利用两种IPSEC协议来提供安全服务:验证头AH (Authentication Header)和封装安全负载ESP(Encapsulating Security Payload)。其中,AH可以提供数据源地址验证、面向无连接的数据完整性以及抗重播服务;ESP除了提供上述服务之外,还可以选择提供机密性和有限的流量机密性服务。这两种协议都既可以用来保护一个完整的IP负载,也可以用来保护IP负载中的上层协议,并分别由隧道模式和传输模式提供支持。在传输模式中,一个IPSEC头被插入到IP头和上层协议头之间;在隧道模式中,整个IP包被封装在另一个IP包中,并在两个IP之间插入一个IPSEC头。

4、操作系统的安全策略

操作系统安全评测是衡量操作系统安全的主要手段,国外已经在操作系统安全的检测和评估方面作了大量工作,建立比较完备的标准和评测体系。TCSEC标准是计算系统安全评估的第一个正式标准,TCSEC将计算机系统的安全划分为A、B、C、D四个等级。D类安全等级只包含D1一个等级,它的安全性最低。D1系统只为文件和用户提供安全保护。C类划分为C1和C2两个安全等级,称为自定式保护,它提供审计保护,并为用户的行动和责任提供审计能力。B类划分为B1、B2、B3三个安全等级,称为强制性保护,该等级的安全特点在于由系统强制的安全保护,每个对象(如文件、目录等)及主题(系统管理员、用户、应用程序)都由自己的安全标签,系统根据用户的安全等级赋予他对各个对象的访问权限。A类只保护A1一个安全等级,称为可验证保护,它的安全级别最高,包括一个严格的设计、控制和验证过程。我们常用的Window 98/Me操作系统属于D级操作系统,而Windows 2000和Windows XP以及商用的UNIX系统属于C2级标准,它们基本满足校园网络建设的需要。

5、防病毒策略

在校园网络环境中,计算机病毒的感染具有多途径,受病毒感染的可能性相当大,一旦感染象CIH这样的恶性病毒,系统将面临崩溃的危险。如果选用一些普通的杀毒软件,不能自动预防病毒,只能在感染病毒后去扫描。一方面不能查到全部病毒,另一方面难以忍受的扫描时间和网上众多的计算机也给系统管理员代来繁重的工作,耗费大量人力时间。在这种情况下,我们应该考虑为校园网提供一种全方位的、多层次的网络防病毒策略,为此,我们从以下几个方面考虑:

(1)必须具备24小时自动防护功能,病毒定义码和扫描病毒引擎的更新必须快速方便;

(2)必须能够在各条可能感染病毒的途径上防止病毒。尤其必须能够扫描预防电子邮件附带的病毒和未知宏病毒;

(3)必须具备最先进的检测清除病毒的功能。当感染传播性很强的病毒时,要能够快速从整个网络上把这一病毒清除,不让病毒残留在某台机器上。对已感染的病毒文件,能够通过先进的修复工具保证文件免受损害。对于感染无法处理的未知病毒,必须提供一种方法,不让其在网络上传播,同时,能够快速获得解决方案;

(4)必须能够实现集中管理和自动安装的功能。某些重要功能实行强制性管理。

四、结束语

校园网络相对于企业网存在着更多的安全隐患,这些隐患严重威胁着整个校园网络系统的正常运行。威胁校园网的安全的因素有很多,主要包括计算机病毒、黑客攻击、不良信息传播以及应用服务体系的安全隐患等等。针对校园网存在的各种安全威胁,我们需要采用全方位的安全策略,其中最主要的安全策略有设备安全策略、网络访问控制策略、数据通信保护策略、操作系统安全策略和防病毒策略。

摘要：随着校园网络的快速发展,校园网络的安全问题越来越受到大家的重视。本文分析了校园网络面临的安全威胁,并提出了相关安全防范策略。

关键词：校园网,安全威胁,安全策略

参考文献

[1]王保顺.校园网设计与远程教学系统开发[M].北京:人民邮电出版社,2003.

[2]杨义先.网络信息安全[M].北京:北京邮电大学出版社,2001.

[3]游文南.论网络防火墙技术[N].通信信息报,2002.

[4]谭伟贤.计算机网络安全教程[M].北京:国防工业出版社,2001.

“失意者”威胁公共安全篇2

而头脑上无法解释的东西，一定可以在心理上得到解释。在国家权力强有力地控制社会秩序，使失意者只能“报复社会”的情况下，强者通吃导致的，并不是强者和弱者的不可调和的社会冲突；恰恰相反，是弱者和弱者之间的相互冲突、敌视或“报复”。

强者具有规避风险和伤害的能力。他们可以不坐公交，不坐地铁，不在大街上行走，在高墙大院里住着，可以有保安，可以不吃市场上卖的食物，换言之，他们可以让自己的生活和这个社会隔离开，形成阶层的区隔。在秩序不可能被严重冲击的情况下，弱者的怨恨，还不能伤害到强者。

另外，弱者之间本身就在相互伤害。不仅强者鄙视弱者，弱者自己也按有利于强者的价值观念来思考，来建立和别人的关系。比如，大家都鄙视“失败者”，都看不起穷人和混得惨的人。如果说，弱者在社会利益食物链上被强者吃的话，那么，他们在心理食物链上，同时要被强者和弱者吃。所以弱者对弱者的恨，实际上远大于对强者的恨。因为他们讨厌那个失败、窝囊的自我，而和自己差不多处境的人的出现，让他们认出了最想忘掉的自己。但对于强者，他们的羡慕要远大于恨。这种对比，决定了失意者要掐死弱者的心理动力，远大于要去反抗、伤害強者。还有一个非常重要的原因。失意者的智力模式和心理模式，只会让他们把“报复”的对象，指向和他们的生活有交集的人，即坐公交地铁出行，行走在大街上，出现在工业区里的人。

校园电子商务安全威胁及对策研究篇3

一、面临的威胁

“网络安全威胁”和“交易安全威胁”是校园电子商务安全所面临的主要威胁。它们两个之间并非独立的, 而是相辅相成且密不可分的, 想要安全的进行电子商务, 安全的进行交易, 网络安全是必要的基础, 也是必要的保障。然而校园网络是一个开放性的网络, 因此它所面临的安全威胁也必然增多。

由于校园网络的网络安全存在着漏洞, 所以极易被入侵与攻击。学校的公共机房的计算机普遍都装有还原卡, 因此不能及时安装系统的补丁, 这样更容易被黑客所攻击。由于校园网络是一个开放性的网络, 这也严重的威胁到了校园电子商务交易的安全性。对于校园电子商务系统的攻击主要体现在以下几个方面:

1、对系统可用性的攻击。

一般对系统可用性的攻击通常表现为Dos (拒绝式服务) 攻击。如今计算机病毒猖獗肆意, 互联网络的建立更方便了病毒的传播, 校园网络中普遍存在着的数量众多的公用电脑, 因此更容易被计算机病毒所感染。

2、对信息保密性的攻击。

主要表现为对用户保密信息的窃取, 是通过窃听等方式截获用户与服务器通信的重要信息。

3、对信息完整性的攻击。

指对系统中的数据进行篡改、破坏。在校园网络中通常表现为利用特洛伊木马对浏览器进行攻击, 修改传输中的报文通信量等, 造成用户交易信息的丢失和破坏。

4、对身份认证的攻击。

通过伪造数据假冒合法用户来获得服务权限或欺骗其他用户。

二、发展中存在的问题

1、校园电子商务的理论研究欠缺。

目前, 还没有一套完整的关于校园电子商务的理论研究体系。在尚未充分认识到网络教育的优缺点之前, 一些学校就开始推崇网络教育, 盲目的对网络硬件进行建设, 造成部分教育资金浪费和流失。

2、欠缺总体性规划。

一些学校在建立校园网络的初期, 并没有进行总体性的规划, 只是单方面的重视网络硬件设备的建设, 对应用系统建设并没有做到相应的要求。落后的观念和应用软件, 以及不合理的管理制度, 造成了即使建成了校园网络, 也只能是校园网络作为使用网络的普通工具, 并没有为科研、教学和学校管理提供任何帮助。

3、缺乏复合型人才。

这里的“复合型人才”指的是对校园电子商务有一定的研究并有一定的研究成果的人才。为了发展校园电子商务, 使校园电子商务的优势能够得到充分的发挥, 学校应该引进掌握现代教育技术理论及方法和IT技术的复合型应用人才。

4、缺乏监督管理力度。

目前部分学校对校园网络的管理十分的混乱, 对校园电子商务也缺乏有力的监督管理, 尤其是对校园网络的内容控制不够, 如何加强网络管理是发展校园电子商务所必须解决的重要问题。

5、校园电子商务缺乏安全保障。

校园网络安全性能差, 电子商务交易的安全性得不到保障。对于校园电子商务, 建立可靠的安全系统是非常必要的。

三、校园电子商务安全对策

保障校园电子商务安全的主要措施有技术措施和管理措施两个方面:

1、技术措施主要包括:

(1) 防火墙技术。利用防火墙技术来阻挡外部不安全因素影响, 防止外部网络用户未经授权的访问, 提高校园局域网的安全性。

(2) 病毒防治技术。计算机病毒的威胁性和破坏力极高, 校园网络中普遍存在着的数量众多的公用电脑, 虽然是局域网, 但由于是公用电脑, 则更容易被计算机病毒所感染。因此, 加强计算机病毒防治是保障校园网络安全的重要环节。

(3) VPN技术。我国各大高校大都已经建立了校园一卡通工程, 如果能利用VPN技术建立校园一卡通专网, 这样就能大大的提高校园信息安全性, 从而保证数据的安全传输。有效保证了网络的安全性和稳定性且易于维护和改进。

2、管理措施主要包括:

(1) 完善基于一卡通的校园电子商务交易安全。由于电子支付系统的安全问题是电子商务本身在交易过程产生的问题, 校园内在开展电子商务时也不可避免地会受到这种威胁。目前, 电子商务发展比较成熟实用的安全协议是SET协议, 可开发基于SET安全电子交易模式的校园一卡通系统, 利用校园一卡通进行电子支付, 将是一种安全可靠的电子支付方式。

(2) 强化校园网络安全管理中人的行为。校园网络安全管理中核心点不是设备、不是技术、而是人, 因此强化管理人员的安全意识在校园网络安全管理中尤为重要。要加强网络安全教育, 增强安全保密意识。

(3) 加强对复合型人才的培养。通过各种方式和途径来培养掌握IT技术和现代教育技术理论及实践经验经验的复合型人才, 建立完整的关于校园电子商务的理论研究体系, 从而促进校园电子商务安全水平提高和发展。

四、总结

总之随着互联网的普及和电子商务的发展, 校园电子商务安全问题已经越来越制约着校园信息化发展的步伐。在提高技术手段的同时加强校园网络的管理, 同时加强电子商务安全知识的宣传和普及, 使校园网络使用者具备一定的安全知识和意识, 是解决校园电子商务安全威胁的最佳途径。

摘要：网络安全是电子商务发展的瓶颈, 校园电子商务的发展也面临同样的问题。本文通过对校园电子商务安全所面临的威胁进行分析, 探讨了校园电子商务在发展过程中所存在的问题, 并针对这些问题提出了解决校园电子商务安全问题的对策, 总结出校园电子商务安全系统构建的最佳途径。

“结核牛”威胁牛奶安全篇4

近日，记者在对有关专家进行了一系列采访后发现，“结核牛”不仅仅出在广东。近年来，随着我国奶牛饲养业的大发展，各地均出现了奶牛结核病疫情反弹现象。

据介绍，1999年后，北京市奶牛的拥有量从6万头猛增至近16万头。牛奶场的经营方式也从过去清一色的国有企业转变为民营与国有并存，且以私有制为基础的奶牛养殖区、奶牛合作社和养牛散户饲养的奶牛高达11万多头。那些从各地买来的奶牛，如果检疫不到位，就很容易将疫病带入，继而在养殖区蔓延。

按照有关规定，一旦发现奶牛感染结核病，应立即捕杀销毁。但是买一头奶牛要花一两万元，养殖户怎么肯眼看着高额投资打了“水漂儿”？因此，明知牛患了病，也会隐瞒不报，并千方百计地延长其产奶期，以最大限度地挽回经济损失。

每年春秋两季，所有的奶牛都要进行两次例行检疫。检疫合格证既是奶牛获准继续饲养的身份证，也是确保其所产牛奶顺利出售的通行证。专业人士说，由于近几年没有作过普查，所以现在北京奶牛结核病的发病情况并不掌握。目前北京市牛奶协会已打报告向市政府建议，用3年时间对全市已注册的养牛企业进行一次包括饲养管理、卫生检疫、奶牛品质等多项内容的普查，摸清牛群的染疫现状。报告提出，目前的当务之急是加强兽医防疫机构建设，尽快建立起全市奶牛疫病防控体系，有效遏制畜禽疫病流行。

“结核牛”产的奶是否携带结核菌？人喝了带菌奶会不会感染结核病？吉林农业大学动物科技学院副院长钱爱东教授的回答是肯定的。他说，结核病是由结核分支杆菌引起的一种人畜禽共患的传染病，结核菌分为人型、牛型和禽型。三种分型的结核杆菌可相互感染，无论是经呼吸道、消化道，还是损伤的皮肤及黏膜，都可能使人及畜禽受到感染，其发病症状也基本相同。集中饲养的畜禽，如有个别发病没及时隔离，便会很快蔓延，最近圈养奶牛感染率就有高发趋势。禽结核一般不被人重视，其实鸡结核病并不鲜见，带菌的鸡会成为终身传染源。

尽管原料奶在收购时有检验环节，也难以发现牛奶中的结核杆菌，因为除了检验理化指标、体细胞、抗生素等项目外，只查细菌总数，而不问细菌的种类，所以“结核奶”很容易蒙混过关。

按中国传统的饮食习惯，牛奶一般都加热烧开后饮用，加工后的鲜奶也经过了灭菌处理。牛奶中携带的结核杆菌会不会在处理过程中被杀灭呢？中国疾病预防控制中心传染病预防控制所结核病室主任万康林研究员回答说，结核菌有很强的生命力，不会轻易被杀灭。

有实验证明，结核杆菌在3℃条件下可存活6～12个月，即使是盛夏，它在粪便中也能存活2～3天。彻底杀灭结核菌的方法是：太阳下暴晒2～7个小时，高温煮沸10分钟以上，75%乙醇浸泡5分钟以上。如果结核菌裹在蛋白质中，要杀灭它就更加困难，而牛奶中恰恰含有丰富的蛋白质，如果灭菌方法不当，很容易留下隐患。目前，鲜牛奶通常采用的巴氏消毒法(80℃持续7～15分钟)和高温瞬间消毒方法，对杀灭结核菌的效果都不十分理想。

万康林说，近几年我国人群结核病呈高发态势，每年新发病人高达40万至50万，并有15万至20万人死于结核病，目前累计尚有活动性肺结核(具有传染性)病人450多万。然而，由于我国对结核病的病原学研究滞后，现患或新发结核病人中究竟有多少人是被畜禽感染的尚不得而知。现在，随着人们生活水平的不断提高，动物性食品摄取量增加，如果不能及时有效地开展畜禽检疫工作，切断人畜共患病的传播途径，带菌的畜禽产品很可能成为人类结核病高发的新危机。

2011年九大安全威胁篇5

2 010年已经过去，信息安全媒体集团组织了少数领先的行业专家，让他们将注意力放在2011年的安全威胁上面。专家名单如下：Gartner公司的艾维·利坦(Avivah Litan)，艾特集团的朱莉·马可内利(Julie McNelley)，美国网络安全公司的乌里·瑞文(Uri Rivner)，互联网认证公司的若徳·拉斯穆森(Rod Rasmussen)，美国认证协会全球公司的贾斯伯·阿南德(Jasbir Anand)和41参数公司(41st Parameter)的欧瑞·艾森(Ori Eisen)。

以下是2011年的九大安全威胁因素：

移动银行风险

手机在银行业务方面的使用正在增长, 但是事实证明, 对银行和信用社来说, 手机安全面临着挑战性越来越大的挑战，而保护传统网上银行的控件在手机上得到应用时，并没有得到很好的转化。

来自美国银行、大通银行、富国银行和美国TD公司的移动银行应用都受到安全漏洞的威胁，并且花旗集团在2009年了解到，一些银行的应用程序在智能手机的隐藏文件中存储用户的敏感信息资料，逐指出此漏洞。

直到不久前，手机银行的功能仍是相当有限的。但随着移动实际应用的增长，因此，也存在着一定的安全风险。艾特集团的分析师马可内利说：“很多银行看起来在重温所有网上银行初期所经历的沉痛教训。”移动恶意软件和宙斯僵尸网络的攻击都是新兴的威胁，如以移动手机为攻击目标的米兔(Mitmo)病毒已经得到确认。

但是RSA的安全研究员瑞文的看法稍微不同，他说：“移动银行应用服务将不会成为造假者的主要目标。”相反，他相信手机浏览程序在未来一年内将更有针对性，因为大多数手机用户会继续使用他们的网上银行功能。”

社交网络和Web 2.0

随着Twitter和Facebook等对移动用户的开放，移动电话和社交媒体之间的联系日益增长。互联网身份认证首席技术官拉斯穆森说，围绕着移动手机为话题的研究机构也正迎来社交网络。他说道：“随着越来越多的银行在社交网络上出现，有可能在社交网络比如Twitter和Facebook上看到更多的虚假网站，其目的是诱使用户交出包括银行登录密码和社会安全号码等重要的个人信息。”

但是外来威胁并非唯一的风险。社交网站也是机构员工自己的空间，在这里他们会有意无意地暴露一些敏感的个人信息。为了减小内部资料外泄的风险，对员工进行详细说明社交网络策略对组织来说很重要。员工必须明白在其工作过程中什么时候可以使用以及怎样使用社交网络，以及哪些信息是适合分享的。

恶意软件、僵尸网络和DDoS攻击

就像在最近的维基解密事件中所警示的，分布式拒绝服务或者DDoS攻击可能会增加。RSA的安全研究员瑞弗那认为，实际上，受维基解密所启发，对领先的电子商务网站的攻击已经激发了诈骗者的兴趣。僵尸网络运营商目前已经看到了获得额外收入的机会。

即使今年早些时候“马里波萨”僵尸网络可以撤除，银行机构在抗击DDoS攻击时也将面临日益加剧的挑战。

病毒攻击也变得越来越复杂。排名第一的银行密码盗窃木马宙斯，正被数以百计的犯罪组织在全世界范围内使用，所以“附加项”非常盛行。根据联邦调查局统计，仅今年一年，在全球范围内宙斯已经导致了1亿美元的经济损失。拉斯穆森说，发明宙斯的匿名程序员，这个在2007年推出了木马的人，很有可能在今年推出一款新改良的宙斯品种，“如果面前有一个很好的机会，他很快就会以更强有力的方式来窃取银行密码。”

41参数公司的创始人艾森认为，对网上银行网站发起的协调一致的攻击将很可能催生更强大的身份认证的必需性。艾森说：“诈骗的数量之多和速度之快可能迫使新的、更强大的认证方式和更加严格的程序出现，比如双签名和双认证等。”

钓鱼软件

马可内利认为，复杂的网络钓鱼和语音类攻击也一直在增加。她表示：“现在造假者创建了几可乱真的发送消息，目标指向所有从银行账户到亚马逊账户的资料。”

事实上，从最近被诈骗的受访者数目得知，钓鱼/语音类攻击在所有的诈骗威胁中跻身第三名。

为了打击此类事件，相关机构已经开展了消费者教育，但是使钓鱼技术得以成功的社会工程技术目前正在慢慢移动到陆上通讯线和移动电话上。瑞文说：“钓鱼网站的原理是利用一个知名品牌的通用工具，但并不试图攻击它们。”尽管如此，对该品牌声誉(在受害者眼中)的破坏是不可估量的。

ACH欺诈：企业账户接管

2010年，导致企业账户接管的ACH欺诈大幅增加，并且带来了一些年度最引人注目的新闻话题。我们目睹了很多在诈骗事件的责任和损失方面，银行和客户之间互相控告的事件。

专家认为，2011年，预计对商业银行的攻击会继续增加，特别是针对中间人或浏览器(因MitB而闻名)的计划增加。

目标为双因素认证的MitB攻击在2010年加剧，这要求商业银行部署额外的防御线，如带外的认证、桌面硬化和防木马服务。拉斯穆森说：“随着一些团伙从受害者手中偷窃了几百万的财产，预计更多的犯罪会搭上这条不义之财的快车。”由于MitB攻击变得更容易，尽管投资回报不高，不太复杂的犯罪也可能会针对消费者账户进行。

云计算

云计算因为它有能力制止诈骗而受到欢迎，但是造假者一直在瑞文所说的“乌云”中加班加点制造新的威胁。据他预测，造假者将会锻炼自己的能力以掌握新的和未知的云漏洞。瑞文说，在2011年银行机构将可以看到针对云的木马，如Qakbot，这类木马专注于一个地理区域或具体的银行部门。

但是云的活动肯定是在地平线上，因为越来越多的金融机构逐渐开始对非本地化的内容管理上心。位于圣安东尼奥的得克萨斯大学的网络安全研究所主任杰夫·瑞银(Jeff Reich)说，云计算最大的障碍是对数据安全的恐惧。现在恐惧正在消失，银行和信用社有望开始对云计算的使用。但是，瑞银认为，就像任何新出现的或新兴的技术一样，云将会面临挑战。

瑞银说：“云计算，很多时候被认为是万无一失的。人们有时候会误认为由于没有硬件的参与，因此，它将永远不会失败。所以有一点要牢记：云计算并非万能的。任何云都有它自己的局限性。”

内部攻击

恶意攻击或黑客通常由一些组织内部心怀不满的雇员发起。但是内部威胁也可能是由外部人士构成，那些人使用虚假凭证非法冒充内部人员获取访问内部服务器或系统的资格。

隐私专家和律师柯克·那赫然(Kirk Nahra)说，对内部数据的危害大部分可以追溯到员工那里。当这被破坏的信息涉及身份盗窃时尤其如此。但是那赫然很快就指出，不是所有的危害都是故意和恶意的。问题在于：企业和金融机构没有正确限制对数据库和包含敏感信息的文件的访问。

那赫然说：“进入你的公司，做一个真正的彻底的审计或审查。我认为，做这样一种调查或审计，即使不会消除，却真的可以做到减少这些问题，因为它减少了这么多根本不需要信息存在的地方。”

维基解密是一个典型的内部威胁可以构成重大的安全隐患的例子。这场争议酝酿的是，当据称是军队士兵的人访问和下载后将其送往维基解密处的机密资料。尽管私人要经过一些安全检查，他并不一定有权限访问并下载他泄露的机密档案。

艾特集团的马可内利认为，对员工来说非法获取敏感信息很容易。她说：“往往小事情会给内部造成重大危害，就像离开办公桌时忘记锁屏幕。发生过很多类似这样在不知不觉中泄露信息的事情。”马可内利说，内部欺诈在金融服务业中仍然是最大的问题之一，尤其是资金挪用和窃取消费者财务信息所攫取的利益是如此诱人。

就像瑞文所指出，外部人士所带来的挑战只是令人担忧，因为很多是以政府和银行员工为目标。瑞文以操作Aurora为例，说明内部人士会在不知不觉中构成威胁，特别是当他们被老练的黑客攻击时。他说：“一些那样的影响来自金融部门，这表明银行职员是网络犯罪的有效攻击目标。有时候，在企业的防火墙内，我看到这些被劫持的资源与木马母体捆绑在一起。”

第一方诈骗

第一方诈骗，继续构成安全挑战，它同时又被称为“贷款诈骗”、“出局诈骗”、“申请诈骗”、“友好诈骗”和“梦中诈骗”。第一方犯罪通常涉及无还款意愿的客户信用卡申请或受理。第一方诈骗申请可以通过使用综合鉴定或隐瞒他们真实身份的方式进行。

ACI的高级解决方案顾问和全球安全专家贾斯伯·阿南德说，英国银行家协会估计，可能有10%到15%的坏账损失来自第一方诈骗。他说：“专业犯罪团伙现在使用伪造的证件和借贷行为的先进知识对金融机构发起攻击。”一旦身份得到确定，诈骗人将建立信贷关系并适用于多种金融产品。

略读

在2010年，所有种类的卡略读都已取消，包括传统的ATM略读以及在商业点销售系统的新事件和自助式加油机。尽管略读事件已经被本土化，他们却代表了一个日益严重的问题。ATM“突击”或“闪光”攻击的出现表明仿伪卡服务的日趋复杂和协调一致。突击或闪电攻击涉及到从不同地点的ATM机中同时撤出的资金，有时候可以是遍布世界各地的ATM机。

Gartner公司副总裁和著名分析师艾维·利坦认为，闪光攻击将会造成越来越大的挑战，因为他们在大部分诈骗侦测系统的“雷达下飞行”。利坦说：“如果银行能够找出危害点那么他们可以阻止它，但是很多人难以处理的是当前的诈骗检测解决方案。”

支付卡行业安全标准委员会欧洲地区主管杰里米·金(Jeremy King)说，略读背后的技术正在达到一个新的复杂水平。世界各地的诈骗人更多地依赖无线通讯来传输略读卡数据。他说道：“提高认识很重要，而且PCI PED认证标准正在解决一些我们看到的全球卡略读趋势。”

网络安全威胁与安全技术探析篇6

伴随互联网络的飞速发展, 人们借助网络方式进行信息的存储、获取与交流活动越来越广泛, 网络系统正在逐步改变着当前社会人们的生活工作方式。另一层面来讲人们在广泛享受网络计算机技术带来的共享性、开放性与便捷性的基础上, 其各类网络安全威胁活动也层出不穷, 例如网络犯罪、黑客攻击以及基于各类目标的系统入侵等。其潜在的网络安全问题已较为显著, 并逐步发展成为涉及面较为广泛、无从避免的社会现实问题, 普遍的安全威胁行为主要包括对各类重要机密信息的恶意篡改与泄露, 进而威胁到企业、个人与国家的综合信息安全, 因此我们应给予充分的重视。

2 计算机网络安全内涵及影响安全主体因素

2.1 计算机网络安全内涵

计算机网络系统安全主要指为确保网络体系免于受到不良危害影响侵袭而采取的各类行之有效的措施, 在此基础上可确保网络系统得到安全保护并促进其正常运行。具体的计算机网络系统安全内容包含保密性、完整性、可控性及可用性。保密性主要指网络可有效预防非授权访问及信息泄露现象, 完整性主要涵盖数据与系统的综合完整性, 可控性主要指对信息内容与传播发挥的控制作用, 而可用性则主要指在受到网络攻击后, 可确保各类合法用户进行网络系统的授权访问。另外计算机网络安全还具备不可抵赖性、可审查性与可靠性等特征, 在规定时间与条件内完成的功能规定概率可称为可靠性, 涵盖软件、硬件及人员的可靠性, 可审查性则为产生网络安全实际问题后提供的调查手段与依据, 不可依赖性则代表网络通信中的双方均对已完成的各类网络行为无从抵赖。

2.2 影响计算机网络安全的主体因素

影响计算机网络安全的主体因素首先在于网络系统的可扩充性与稳定性层面存在问题, 基于系统设计不合理、不规范与欠缺对安全性的综合考量因而令整体网络系统安全性受到了不良影响。同时在配置网络硬件层面存在不协调现象, 其中文件服务器是网络系统的中枢, 其功能完善性与运行稳定性直接会对网络系统整体质量产生影响。加之社会网络应用的广泛需求无法引起充分重视, 选型、设计欠缺周密考量, 进而令网络功能的良好发挥受到不良影响并波及到网络系统的扩充性、可靠性及升级换代。网络系统实践运营中还欠缺有效安全的运营策略, 较多站点在配置防火墙层面无意识、盲目的扩充访问权限, 却忽略了该权限有可能被他类不法人员滥用, 而配置访问控制的复杂性则较易引发错误现象的发生, 进而给入侵分子造成可乘之机, 再加上网络安全管理制度的有失健全性令维护与管理秩序相对混乱, 无法发挥真正管控作用。

3 计算机网络安全威胁攻击途径及特征

计算机网络系统受到威胁攻击将会产生巨大的损失, 这是由于入侵与攻击的主要对象为网络计算机, 一旦攻击成功便会令网络中众多数量的计算机处在瘫痪状态, 进而造成计算机用户巨大的经济损失。同时针对计算机网络安全的威胁攻击会危及到国家、社会的综合安全, 各类攻击者经常将军事部门、国家政府重要部门计算机视为攻击威胁目标, 进而令各方蒙受严重的安全威胁。从攻击手段来讲其具有一定的隐蔽性, 且种类五花八门, 攻击人员可借助网络数据监视获取他人机密信息, 也可通过截取个人口令账号堂而皇之的登录至他人计算机系统, 并借助该类特殊方式躲避或绕过良好精心设计的各类防火墙实施攻击行为。一般来讲各类网络入侵通常借助截取软件与攻击行为对整体计算机系统造成破坏, 其与人们日常生活中所见的对计算机仪器设备受物理摧毁有所不同, 呈现出计算机网络犯罪的一定隐蔽性。网络威胁与入侵攻击的主体途经包含借助各类非法手段, 例如电子欺骗、破译口令、DNS欺骗与IP欺骗等进行非法权限的获取, 借助该类权限网络攻击者可非法授权被攻击主机对象进行操作。计算机系统可借助口令抵御入侵人员威胁手段, 而针对口令的入侵则主要指采用某类合法用户口令与账号登录至目标主机, 而后实施有目标的攻击威胁。该类方式实施的前提必须首先令攻击者获取该主机对象中的某类合法用户信息账号, 而后才可实施对合法用户口令的攻击威胁破译。IP欺骗主要指攻击人员通过对他人IP地址进行伪造令其中一台计算机伪装假冒为另一台计算机进而蒙混过关的。其仅能对某类运行的特定计算机展开入侵, 主要利用网络协议漏洞与脆弱性完成威胁。计算机TCP协议的三次握手进程中, 倘若入侵者冒充被入侵对象主机所信任的主机同被入侵对象主机进行连接, 并对其发起淹没性质攻击, 则会令被信任主机陷入瘫痪状态, 而当主机实施远程服务阶段中, 网络入侵人员则较易获取目标网络的各类信任关系进而实现欺骗目标, 由此可见该类欺骗行为主要建立于对目标网络形成的信任关系之上。DNS域名系统是用于计算机TCP/IP各类应用程序的数据库, 其具有分布式特征, 提供IP地址与主机名字间的各类转换信息, 一般来讲网络用户给予DNS服务器与UDP协议实现通信, 服务器则位于特定端口实施监听, 并将相关用户所需信息返回。DNS协议并不对信息性或转换更新展开身份认证, 这样便令该协议通过不同方式被利用。一旦攻击者对DNS服务器产生危害并将主机名、映射IP地址表进行明确更改, 便会产生DNS欺骗, 该类改变将被写至DNS服务器中的转换表内。

4 计算机网络安全技术策略

4.1 强化管理, 应用网络分段技术消除隐患

应用网络分段技术可由源头层面合理杜绝网络不良安全隐患问题, 因此我们可采用逻辑分段与物理分段方式对局域网实施安全控制。同时可用交换式集线器取代共享式集线器, 进而有效解除隐患问题。实践控制中还应科学强化安全管理, 完善设施建设, 采用有效的访问控制手段确保计算机网络系统的安全、持续与正常运行。

4.2 科学应用防火墙技术, 实施威胁防御

由理论层面来讲, 网络安全防火墙技术作用是一类将内部网络与公众访问网络合理分开的隔离技术方式, 同时也是访问控制的一种尺度, 在网络执行通讯时, 可将不允许的各类数据或人的访问拒之门外, 同时也可批准合法的数据、行为访问进入网络, 进而最大化阻断黑客威胁、预防不法分子对各类重要信息的拷贝、损坏与更改。因此在网络安全控制管理中应强化网络间访问控制的技术装置配备, 在外网与内网连接点中装设安全防范防火墙系统, 及时对各类威胁进行相应防御, 并将不良威胁攻击与链接有效隔绝在网络之外, 进而有效降低整体网络风险。同时还可利用防火墙技术实施网络访问控制, 对网络通信展开屏蔽筛选, 预防没经过任何授权的非法访问进入计算机网络系统中。

4.3 构建安全服务设置、权限控制、访问功能模块, 提升网络系统安全性能

入网访问控制是网络安全首层访问控制, 可分为三类过程, 即对用户名的验证识别、用户口令的验证与账号的检查, 如果验证访问中上述过程中有某一过程不成立便应将其视为非法访问用户并应杜绝其对网络的访问。同时应科学建立属性安全控制服务模块, 将给定属性连接于网络服务器目录、文件及相关设备中, 控制拷贝文件、写数据、删除目录、查看执行文件, 并对重要文件目录进行保护, 杜绝用户误删除、显示、执行修改等相关操作。网络服务器安全管理控制涵盖口令设置、服务器控制台锁定、登录服务器时间限制、检测非法访问者、安装访问设备等内容, 可科学利用安装智能卡技术、数字签名技术等实施安全模块设置管理, 进而提升网络系统综合安全性能。另外我们还可建立加密信息档案制度、配备智能性网络日志系统, 健全恢复备份完善机制、组建安全管理机构为网络安全管理创设有力保障, 营造和谐、安全管理氛围, 进而提升网络系统预防安全威胁的综合抵御防范能力, 令其创设显著应用服务能效。

5 结语

总之, 为有效杜绝网络安全威胁, 净化网络应用环境, 相关技术人员只有全面了解网络信息安全知识, 对各类显著网络安全问题实施相适应的应对保护策略, 才能确保网络系统的持续正常运行, 提升安全技术应用水平, 并促进网络系统的健康、规范与科学发展。

参考文献

[1]范宗成.防火墙技术与网络安全[J].中国科技博览, 2010 (31) .

[2]王德勇.城市应急系统网络安全设计与探讨[J].中国公共安全, 2010 (3) .

Web的安全威胁与安全防护篇7

近年来,随着移动互联网的快速发展,使得企业的业务需求越来越多。基于Web的应用程序大量开发,如网上购物平台、互联网购票系统,网上银行,网络邮箱,网络游戏等等。

当前互联网中最重要的资源程序和数据几乎都与Web服务有关,伴随Web广泛应用,Web应用程序和数据已经成为黑客攻击的头号目标[1]。针对Web的攻击与破坏事件层出不穷,给人们的生活和经济造成严重威胁,Web安全问题已引起人们的极大重视。

Web是互联网的核心,是云计算和移动互联网的最佳载体,所以确保Web安全尤为重要。本文对Web相关应用的安全威胁进行了分析,并以相关漏洞为例,提出了相应的防护措施。

1 Web的安全威胁

Web安全威胁种类繁多,主要有针对操作系统的安全威胁,针对数据库的安全威胁,还有针对Web应用程序的安全威胁。常见的几种Web安全威胁有基于操作系统本身的计算机病毒、后门程序等,还有以Web应用程序进行攻击的SQL注入攻击、XSS攻击、文件上传漏洞、网页木马等安全威胁。

1.1 操作系统漏洞威胁

后门程序、计算机病毒是对操作系统安全威胁最为常见的威胁。

(1)后门程序

后门程序一般是指那些绕过安全性控制而获取对程序或系统访问权的程序方法。在软件的开发阶段,程序员常常会在软件内创建后门程序以便可以修改程序设计中的缺陷。攻击者往往就是利用程序员在编写软件留有后门的习惯,运用特殊手段找到后门程序的接口,从而使系统面临安全威胁。

后门能够相互关联,黑客经常会对系统的配置文件进行修改提高权限或安装木马程序,使系统打开一个安全漏洞,便于黑客完全掌握系统。

后门有很多不同的分类方式,从技术角度可以将后门程序分为网页后门、扩展后门、C/S后门、账号后门等。

(2)计算机病毒

根据《中华人民共和国计算机信息系统安全保护条例》,病毒的明确定义是指“编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。

计算机病毒具有隐蔽性,破坏性,潜伏性,传染性等特征。计算机病毒其实就是一段程序或代码。大多数计算机病毒能够进行自我复制,通过自我的不断复制来影响计算机系统的稳定性并可以通过病毒感染计算机窃取用户大量隐私信息。

常见的计算机病毒有:CIH病毒、蠕虫病毒、QQ传送者、特洛伊木马、脚本病毒等。脚本病毒是一种常见的攻击Web的一种病毒,主要采用脚本语言编写,它可以对系统进行操作,包括创建、修改、删除甚至格式化硬盘。脚本病毒编写形式灵活,容易产生变种,使得传统的特征提取方式对其进行检测率较低,对未知的脚本病毒无法识别[2]。

1.2 应用软件的漏洞

Web应用程序一般都会采用B/S(Browser浏览器端/Server服务器端)模式,其由多个Servlet、JSP页面、HTML文件以及图像文件等组成。浏览器是客户端用户用来与服务器交互的重要应用程序,主要实现向Web服务器发送请求,并对Web服务器发送来的超文本信息和数据进行解析和显示。浏览器初期只提供HTML静态页面的解析显示,随着脚本和插件技术的发展,为提高用户体验,网站中包含大量的动态内容。这些功能丰富了Web页面的显示,但也带来了新的安全问题。

(1)XSS攻击

XSS英文全称是Cross Site Script,也称跨站脚本攻击,为了和层叠样式表区别开来,在安全领域称其为XSS。XSS攻击通常指攻击者是用HTML注入技术向网页插入恶意脚本,篡改网页,当用户浏览已经插入恶意脚本的网页时,恶意脚本就会被执行,从而攻击者可以利用网站漏洞盗取用户信息。

XSS攻击的主要目的之一是获取授权用户的Cookie信息,由于XSS攻击破坏力强,产生的场景也比较复杂,XSS攻击长期以来一直被列为客户端Web安全的头号威胁。XSS攻击通常有两种方式[3,4]:

持久性攻击:攻击者将恶意代码存储在与Web应用程序交互的数据库中,当用户访问请求动态页面时,Web应用程序从数据库中返回恶意的Javascript代码给用户。用户浏览器执行该脚本后,将用户的Cookie发送给攻击者控制的服务器。

反射攻击:这种方式下,攻击的脚本没有存储在服务器端,而是在攻击过程中反射给用户。它通过给别人发送带有恶意脚本代码参数的统一资源定位符(URL,Uniform Resource Locator),当URL地址被打开时,特有的恶意代码参数被HTML解析执行。其攻击特点是非持久化,必须用户点击带有特定参数的链接才能引起。

(2)SQL注入攻击

SQL注入攻击利用服务器端代码自身存在的漏洞进行攻击,攻击的目标通过Web客户端代码对Web服务器连接的数据库后端进行攻击。通过这种方式攻击者往往可以逃避现存的大部分安全防护机制,而直接通过窃取的权限达到对非授权数据非法访问的目的[1]。

SQL注入攻击是黑客对数据库进行攻击的常用手段之一。SQL攻击方法有很多,攻击者可以根据数据库的类型和漏洞来针对性地选择攻击方法。SQL注入攻击一般步骤:①发现SQL注入点;②构造注入语句判断后台数据库类型;③猜解数据库,获得管理员权限;④确定Web虚拟目录,上传木马控制整个网站。

2 Web的安全防护策略

用户在了解Web安全威胁方面的知识后,采取必要的防御措施,在很大程度上可以杜绝Web安全事件的发生。以下介绍几种防御措施。

(1)做好操作系统安全防护,使用正版的操作系统,并及时更新系统补丁;最小化原则,用户根据需要,设置合理的权限,尽量开放最少的服务;安装应用软件时,注意辨别软件需要调用的权限,不要轻易提升权限。

(2)数据库安全防护,使用密文存储数据库中的数据,定期检查数据库是否存在漏洞,设置安全管理账户,定期对重要的数据进行备份。

(3)跨站脚本防范,将要置于HTML上下文的所有的不可信数据进行相应的转义;验证所有输入数据,有效检测攻击;对所有输出数据进行适当的编码,以防止任何已成功注入的脚本在浏览器端运行;在浏览器设置中关闭Java Script,并将安全级别设置到“高”。

(4)SQL注入防护,使用参数化的过滤性语句,用户的输入不能直接被嵌入到SQL语句中;检查数据类型,对数据库表中数据进行数据类型限制,这样会在很大程度上减少攻击。

(5)加强Web服务器的安全设置。正确使用Web服务器的安全设置策略,能够有效减少服务器的安全隐患,确保Web服务器安全。一般可以从用户名和密码的安全设置、BIOS的安全设置、使用SSL通信协议、隐藏系统信息、启用日志记录功能以及设置Web服务器有关目录的权限等。

(6)安装知名度高的安全产品,并及时更新。选择一款专业的安全软件,可检测出系统存在的安全隐患,有效抵御Web安全威胁。如天融信安全管理平台Top Analyzer远程监测服务,可以实现网站安全挂马监控、网站安全漏洞监控、网站安全内容监、网站安全状态监控等功能。

3 结束语

当前,随着网络技术的不断发展,人们生活越来越离不开网络,在享受互联网带来便捷的同时也面临着许多Web安全威胁。本文从后门程序、计算机病毒、XSS攻击、SQL注入攻击等方面对Web安全进行了简要分析,并给出了应对的防护措施,希望能对不同的用户提供参考。

摘要：随着互联网技术的发展,Web应用渗入到每个人的日常生活中,Web的安全形势也日益严峻。本文阐述了当前Web所面临的安全威胁,从操作系统漏洞威胁、应用软件漏洞威胁两个方面进行了分析,并对常见Web安全威胁提出了相应的安全防护建议。

关键词：Web安全,安全威胁,安全防护

参考文献

[1]龙兴刚.Web应用的安全现状与防护技术研究[J].通信技术,2013.

[2]王继林,苏万力.信息安全导论(第二版).西安电子科技大学出版社,2015.

[3]吴翰清.白帽子讲Web安全[M].北京:电子工业出版社,2012.

网站安全的威胁与防护篇8

关键词：网站,安全,防护

1 网站技术简介安全威胁的来源

1.1 WWW技术简介

World Wide Web称为万维网, 简称Web。分成服务器端、客户接收机及通讯协议三个部分。

1.1.1 服务器 (Web服务器)

服务器结构中规定了服务器的传输设定、信息传输格式及服务器本身的基本开放结构。Web服务器的作用就是管理这些文档, 按用户的要求返回信息。

1.1.2 客户接收机 (Web浏览器)

客户机系统称为Web浏览器, 用于向服务器发送资源索取请求, 并将接收到的信息进行解码和显示。Web浏览器是客户端软件, 它从Web服务器上下载和获取文件, 翻译下载文件中的HTML代码, 进行格式化, 根据HTML中的内容在屏幕上显示信息。

1.1.3 通讯协议 (HTTP协议)

Web浏览器与服务器之间遵循HTTP协议进行通讯传输。HTTP (HyperText Transfer Protocol, 超文本传输协议) 是分布式的Web应用的核心技术协议, 在TCP/IP协议栈中属于应用层。它定义了Web浏览器向Web服务器发送索取Web页面请求的格式, 以及Web页面在Internet上的传输方式。

1.2 服务器安全威胁

对于Web服务器、服务器的操作系统、数据库服务器都有可能存在漏洞, 恶意用户都有可能利用这些漏洞去获得重要信息。Web服务器上的漏洞可以从以下几方面考虑:

Web服务器操作系统本身存在一些漏洞, 能被黑客利用侵入到系统, 破坏一些重要文件, 甚至造成系统瘫痪。

Web数据库中安全配置不完整, 存在弱口令或被数据库注入等安全漏洞, 导致数据丢失或服务中断。

Web服务器上的数据存储结构不合理, 没有划分安全区域或重要数据没有存放在安全区域, 导致被侵入。

Web服务器上运行的程序存在安全漏洞, 或应用程序所需要的权限过高没有优化, 容易被黑客侵入。

1.3 客户端安全威胁

现在网页中的活动内容已被广泛应用, 活动内容的不安全性是造成客户端的主要威胁。主要用到Java Applet、ActiveX、Cookie等技术都存在不同的安全隐患。

1.4 数据传输中的安全威胁

Internet是连接Web客户机和服务器通信的信道, 是不安全的。未经授权的用户可以改变信道中的信息流传输内容, 造成对信息完整性的安全威胁。此外, 还有像利用拒绝服务攻击, 向网站服务器发送大量请求造成主机无法及时响应而瘫痪, 或者发送大量的IP数据包来阻塞通信信道, 使网络的速度便缓慢。

2 WEB安全保护的原则

2.1 实用的原则

针对网站架构, 网站安全问题主要分为以下四个方面:服务器安全、边界安全、Internet和Extranet上的安全, 在攻击行为发生前, 做到防患于未然是预防措施的关键。

2.2 积极预防的原则

对WEB系统进行安全评估, 权衡考虑各类安全资源的价值和对它们实施保护所需要的费用, 通过评估, 确定不安全情况发生的几率, 采用必要的软硬件产品, 加强网站日常安全监控。

2.3 及时补救的原则

在攻击事件发生后尽快恢复系统的正常运行, 并找出发生攻击事件问题的原因, 将损失降至最低, 并研究攻击发生后应对措施。

3 建立安全的Web网站

3.1 合理配置主机系统

3.1.1 仅提供必要的服务

默认安装的操作系统都有一系列常用的服务。例如UNIX系统将提供Finger、Sendmail、FTP、NFS、IP转发等, Windows NT系统将提供RPC、IP) 转发、FTP、SMTP等。而且, 系统在缺省的情况下自动启用这些服务, 或提供简单易用的配置向导。为此, 在安装操作系统时, 应该只选择安装必要的协议和服务;对于UNIX系统, 应检查/etc/rc.d/目录下的各个目录中的文件, 删除不必要的文件;对于Windows系统, 应删除没有用到的网络协议, 不要安装不必要的应用软件。一般情况下, 应关闭Web服务器的IP转发功能。

对于专门提供Web信息服务 (含提供虚拟服务器) 的网站, 最好由专门的主机 (或主机群) 作Web服务器系统, 对外只提供Web服务, 没有其他任务。这样, 可以保证 (1) 使系统最好地为Web服务提供支持; (2) 管理人员单一, 避免发生管理员之间的合作不调而出现安全漏洞的现象; (3) 用户访问单一, 便于控制; (4) 日志文件较少, 减轻系统负担。

对于必须提供其他服务, 则必须仔细设置目录、文件的访问权限, 确保远程用户无法通过Web服务获得操作权限。

3.1.2 使用必要的辅助工具, 简化安全管理

启用系统的日志 (系统帐户日志和Web服务器日志) 记录功能。监视并记录访问企图是主机安全的一个重要机制, 以利于提高主机的一致性以及其数据保密性。

3.2 合理配置Web服务器

在Unix OS中, 以非特权用户而不是Root身份运行Web服务器。

(1) 设置Web服务器访问控制。

通过IP地址控制、子网域名来控制, 未被允许的IP地址、IP子网域发来的请求将被拒绝;

(2) 通过用户名和口令限制。

只有当远程用户输入正确的用户名和口令的时候, 访问才能被正确响应。

(3) 用公用密钥加密方法。

对文件的访问请求和文件本身都将加密, 以便只有预计的用户才能读取文件内容。

3.3 设置Web服务器有关目录的权限

为了安全起见, 管理员应对”文档根目录“和“服务器根目录”做严格的访问权限控制。

服务器根目录下存放日志文件、配置文件等敏感信息, 它们对系统的安全至关重要, 不能让用户随意读取或删改。

服务器根目录下存放CGI脚本程序, 用户对这些程序有执行权限, 恶意用户有可能利用其中的漏洞进行越权操作。

服务器根目录下的某些文件需要由Root来写或者执行, 如Web服务器需要Root来启动, 如果其他用户对Web服务器的执行程序有写权限, 则该用户可以用其他代码替换掉Web服务器的执行程序, 当Root 再次执行这个程序时, 用户设定的代码将以Root身份运行。

3.4 安全管理Web服务器

Web服务器的日常管理、维护工作包括Web服务器的内容更新, 日志文件的审计, 安装一些新的工具、软件, 更改服务器配置, 对Web进行安全检查等。

参考文献

哪些行为在威胁手机安全？篇9

随意“蹭网”

“有WiFi吗？”“WiFi密码是多少？”现在大家出门在外都会习惯性向一些商家提出这样的问题。据WiFi联盟的数据显示，我国已经成为WiFi需求量最大的市场。WiFi在我国的渗透率达到21.8%。

目前，常见免费WiFi分为运营商所建WiFi和商家自建WiFi。运营商所建WiFi采用了多种安全措施，并且有24小时监控，安全级别较高。自建WiFi又可以分为大型单位建设的大规模WiFi和一些商业场所利用有线网络搭建的小型WiFi。其中很多小型WiFi没有专门进行安全设置，安全级别较低，容易受到攻击。甚至还有一些黑客用自己的电脑或手机搭建一个“热点”，仿冒免费WiFi的名称，用户一旦连接上，就可能被引向一些恶意非法网址或者钓鱼网站，或者直接被窃取各种信息。

因此，在外面上网时，我们切勿贪图免费和便捷，选择来路不明，尤其是不需要密码的WiFi，而是要尽量使用有验证机制的WiFi服务。最好找工作人员确认后连接使用。特别是要用到在线支付时，最好切换至3G、4G网络比较安全。

此外，尽量不要将WiFi设置成自动连接，对于使用过的WiFi信号也要及时删除，以避免不知不觉中手机或电脑自动连上黑客伪造的“同名同姓”的WiFi热点。

随意浏览陌生站点或下载App应用

使用手机上网时，除了浏览网页，我们更多的是使用各种App应用软件。智能手机应用App最大的特点，就是相对开放的应用环境。应用软件由不同的开发者自行开发，没有统一的标准和政策来约束，因此会产生诸多安全问题。比如后台运行、自动联网、资费消耗、恶意传播、远程控制、隐私窃取、恶意扣费等恶意行为。

因此，下载App一定要通过正规的软件商店，不要随意下载网页或论坛中的软件。在安装和打开应用程序时也要注意设置好相关的权限，以保护手机的安全。

“见码就扫”

如今，扫二维码已经成为很多手机用户的“好习惯”。的确，“扫一扫”就可以直接访问想要去的网站，比起打开浏览器再输入复杂的网址要方便快捷得多，但是不要忘记二维码也存在信息安全方面的漏洞。一些不法分子利用二维码传播手机病毒和不良信息，甚至是进行诈骗等犯罪活动，严重威胁用户的财产安全。

浅谈Web的安全威胁与安全防护篇10

关键词：Web,网络安全,安全威胁,安全防护

一、引言

随着Internet的普及, 人们对其依赖也越来越强, 但是由于Internet的开放性, 即在设计时对于信息的保密和系统的安全考虑不完备, 造成现在网络的攻击与破坏事件层出不穷, 给人们的日常生活和经济活动造成了很大麻烦。WWW服务作为当今Internet上使用最广泛的服务, Web站点被黑客入侵的事件屡有发生, Web安全问题已引起人们的极大重视。

二、Web的安全威胁

来自网络上的安全威胁与攻击多种多样, 依照Web访问结构, 可将其分类为:对Web服务器的安全威胁、对Web客户机的安全威胁和对通信信道的安全威胁三类。

(一) 对Web服务器的安全威胁。

1、在Web服务器上的机密文件或重要数据 (如存放用户名、口令的文件) 放置在不安全区域, 被入侵后很容易获取。

2、在Web数据库中, 保存的有价值信息 (如商业机密数据、用户信息等) , 如果数据库安全配置不当, 很容易泄密。

3、Web服务器本身存在一些漏洞, 能被黑客利用侵入到系统, 破坏一些重要的数据, 甚至造成系统瘫痪。

4、程序员的有意或无意在系统中遗漏Bugs给非法黑客创造条件。用CGI脚本编写的程序中的自身漏洞。

(二) 对Web客户机的安全威胁。

现在网页中的活动内容已被广泛应用, 活动内容的不安全性是造成客户端的主要威胁。网页的活动内容是指在静态网页中嵌入的对用户透明的程序, 它可以完成一些动作, 显示动态图像、下载和播放音乐、视频等。当用户使用浏览器查看带有活动内容的网页时, 这些应用程序会自动下载并在客户机上运行, 如果这些程序被恶意使用, 可以窃取、改变或删除客户机上的信息。主要用到Java Applet和ActiveX技术。

Java Applet使用Java语言开发, 随页面下载, Java使用沙盒 (Sandbox) 根据安全模式所定义的规则来限制Java Applet的活动, 它不会访问系统中规定安全范围之外的程序代码。但事实上Java Applet存在安全漏洞, 可能被利用进行破坏。

ActiveX是微软的一个控件技术, 它封装由网页设计者放在网页中来执行特定任务的程序, 可以由微软支持的多种语言开发但只能运行在Windows平台。ActiveX在安全性上不如Java Applet, 一旦下载, 能像其他程序一样执行, 访问包括操作系统代码在内的所有系统资源, 这是非常危险的。

Cookie是Netscape公司开发的, 用来改善HTTP的无状态性。无状态的表现使得制造像购物车这样要在一定时间内记住用户动作的东西很难。Cookie实际上是一段小消息, 在浏览器第一次连接时由HTTP服务器送到浏览器端, 以后浏览器每次连接都把这个Cookie的一个拷贝返回给Web服务器, 服务器用这个Cookie来记忆用户和维护一个跨多个页面的过程影像。Cookie不能用来窃取关于用户或用户计算机系统的信息, 它们只能在某种程度上存储用户的信息, 如计算机名字、IP地址、浏览器名称和访问的网页的URL等。所以, Cookie是相对安全的。

(三) 对通信信道的安全威胁。

Internet是连接Web客户机和服务器通信的信道, 是不安全的。像Sniffer这样的嗅探程序, 可对信道进行侦听, 窃取机密信息, 存在着对保密性的安全威胁。未经授权的用户可以改变信道中的信息流传输内容, 造成对信息完整性的安全威胁。此外, 还有像利用拒绝服务攻击, 向网站服务器发送大量请求造成主机无法及时响应而瘫痪, 或者发送大量的IP数据包来阻塞通信信道, 使网络的速度变缓慢。

三、Web的安全防护技术

(一) Web客户端的安全防护。

Web客户端的防护措施, 重点对Web程序组件的安全进行防护, 严格限制从网络上任意下载程序并在本地执行。可以在浏览器进行设置, 如M i c r o s o f t Internet Explorer的Internet选项的高级窗口中将Java相关选项关闭。在安全窗口中选择自定义级别, 将ActiveX组件的相关选项选为禁用。在隐私窗口中根据需要选择Cookie的级别, 也可以根据需要将c:windowscookie下的所有Cookie相关文件删除。

(二) 通信信道的安全防护。

通信信道的防护措施, 可在安全性要求较高的环境中, 利用HTTPS协议替代HTTP协议。利用安全套接层协议SSL保证安全传输文件, SSL通过在客户端浏览器软件和W e b服务器之间建立一条安全通信信道, 实现信息在Internet中传送的保密性和完整性。但SSL会造成Web服务器性能上的一些下降。

(三) Web服务器端的安全防护。

限制在Web服务器中账户数量, 对在Web服务器上建立的账户, 在口令长度及定期更改方面作出要求, 防止被盗用。

Web服务器本身会存在一些安全上的漏洞, 需要及时进行版本升级更新。尽量使EMAIL、数据库等服务器与Web服务器分开, 去掉无关的网络服务。在Web服务器上去掉一些不用的如SHELL之类的解释器。定期查看服务器中的日志文件, 分析一切可疑事件。设置好Web服务器上系统文件的权限和属性。通过限制许可访问用户IP或DNS。

从CGI编程角度考虑安全。采用编译语言比解释语言会更安全些, 并且CGI程序应放在独立于HTML存放目录之外的CGI-BIN下等措施。转

四、Web服务器安全防护策略的应用

这里以目前应用较多的Windows 2000平台和IIS的Web服务器为例, 简述Web服务器端安全防护的策略应用。

(一) 系统安装的安全策略。

安装Windows 2000系统时不要安装多余的服务和多余的协议, 因为有的服务存在有漏洞, 多余的协议会占用资源。安装Windows 2000后一定要及时安装补丁4程序 (W2KSP4_CN.exe) , 立刻安装防病毒软件。

(二) 系统安全策略的配置。

通过“本地安全策略”限制匿名访问本机用户、限制远程用户对光驱或软驱的访问等。通过“组策略”限制远程用户对Netmeeting的桌面共享、限制用户执行Windows安装任务等安全策略配置。

(三) IIS安全策略的应用。

在配置Internet信息服务 (IIS) 时, 不要使用默认的Web站点, 删除默认的虚拟目录映射;建立新站点, 并对主目录权限进行设置。一般情况下设置成站点管理员和Administrator两个用户可完全控制, 其他用户可以读取文件。

(四) 审核日志策略的配置。

当Windows 2000出现问题的时候, 通过对系统日志的分析, 可以了解故障发生前系统的运行情况, 作为判断故障原因的根据。一般情况下需要对常用的用户登录日志, HTTP和FTP日志进行配置。

1、设置登录审核日志。

审核事件分为成功事件和失败事件。成功事件表示一个用户成功地获得了访问某种资源的权限, 而失败事件则表明用户的尝试失败。

2、设置HTTP审核日志。

通过“Internet服务管理器”选择Web站点的属性, 进行设置日志的属性, 可根据需要修改日志的存放位置。

3、设置FTP审核日志。

设置方法同HTTP的设置基本一样。选择FTP站点, 对其日志属性进行设置, 然后修改日志的存放位置。

(五) 网页发布和下载的安全策略。

因为Web服务器上的网页, 需要频繁修改。因此, 要制定完善的维护策略, 才能保证Web服务器的安全。有些管理员为方便起见, 采用共享目录的方法进行网页的下载和发布, 但共享目录方法很不安全。因此, 在Web服务器上要取消所有的共享目录。网页的更新采用FTP方法进行, 选择对该FTP站点的访问权限有“读取、写入”权限。对FTP站点属性的“目录安全性”在“拒绝访问”对话框中输入管理维护工作站的IP地址, 限定只有指定的计算机可以访问该FTP站点, 并只能对站点目录进行读写操作。

五、结束语

通过对Web安全威胁的讨论及具体Web安全的防护, 本文希望为用户在安全上网或配置Web服务器安全过程中起到借鉴作用。

参考文献

[1]张国祥.基于Apache的Web安全技术的应用研究[J].武汉理工大学学报, 2004.

【校园网安全威胁】推荐阅读：

构建校园安全文化建设安全和谐校园07-27