最近看到很多网络安全方面的宣传信息,针对近期M国安全局(NSA)入侵西北工业大学这个事情,这并不是一个个例。在很多关键性的公司和ZF部门都存在这种情况。只是发现和没发现而已。加强网络安全建设刻不容缓。
首先我不是专业的网络信息安全人员,谈谈个人看法,说得不对的地方,请指正仅供了解参考。
目前的网络安全现状在上学那会有一个事件让我难忘,那就是2010年1月份,中国最大中文搜索引擎"百度"遭到黑客攻击,长时间无法正常访问。一个专门靠技术起家的公司,为什么也会被攻克。那会我就认为国内的网络安全防护意识是有待提高的。
1、很多网站没有自己开发网站的能力,也不想投入太多,直接下载一套源码就使用了,殊不知这种源代码漏洞很多,甚至有人直接植入网页木马。
2、个人信息不会保护,各种陌生的网站就去注册个人资料,甚至填写自己的银行卡信息,给个人信息安全造成隐患。很多安全隐患是自己可以注意的。
3、如果你知道别人发送一张带有捆绑木马的图片给你,就可以开启你的摄像头或者下载你电脑手机的资料。
4、如果你电脑上面有新的研发项目,你经常上网下载软件,不小心中毒了。资料被人窃取了。
如果你知道一个小小的漏洞被黑客找到了,那么他可以通过这个漏洞执行提权的代码,想控制运行网站的服务器权限就非常容易。如果是带有资料共享文件系统的,那么很多保密非公开的资料就会被泄露了。
以上都是因为不注重网络信息安全会发生的。
怎么判断被网络攻击了?一、症状方面
1、一般就是网络异常卡顿,计算机各种软件操作异常、电脑系统异常、文件异常丢失、或者出现很多奇怪关机,黑屏的情况。还有文件会被无辜加密。这种一般是带有勒索性质的。
如果出现以上情况,说明是比较严重,症状比较明显,一般是攻击者水平太菜导致的。没有考虑网络基础设施布线情况,和电脑系统的兼容性,木马或者病毒运行异常导致。还有可能是病毒运行相互不兼容“打架”导致。
2、电脑系统无故不停地弹窗,或者后台静默运行一些不知名的程序进程。这种一般就是广告联盟一类的,需要下载量,流量的类似流氓软件。比较烦人,顶多是占用带宽,内存资源,消耗CPU的功率,但是谈不上实质性的伤害和损失。
3、如果是类似手机移动设备的话,一旦中毒就会出现APP运行卡顿的方式,读取手机的通讯录,短信信息,甚至有些私自发送验证码到指定的服务号上。之前那些靠类似彩铃单次点播服务的,会捆绑类似的病毒。让手机无辜被扣费。
4、电脑或者手机摄像头突然被打开。这种情况发生很多了。就是中毒了,电脑或者手机被控制了。
二、攻击对象
1、一般的黑客:主要是牟利为主,一般也就是民企的商业数据,财务数据,项目方案。一般也就是倒腾数据为买卖主。对被入侵者的电脑文件信息加密,进行勒索钱财,然后再给解钥密码。经常搞破坏,很多也是通过比特币去交易的。因为可以隐藏身份。这类从深层次说,只能叫做骇客。
2、商业黑客“打手”:主要是以受聘为主,类似雇佣军。雇主也是有攻克某一类的数据信息要求为主。这类通常也是一个组织,高智商人群为主。
3、网军:主要以G家意志,或者应对其他G家信息战而训练出来的网络信息安全人员。一般是团队作战,可能某个人或者每个部门负责一个板块的事情,比如针对加密解密的,还有编程特定木马的、脚本木马的、编程工具的、嗅探收集信息的等等。每个环节都可以是一个部门操作。它跟其他的黑客最大的不同就是体现在效率上面。
4、真黑客:这人像幽灵一样的,你无法了解对方。甚至你看到街边的某个大爷,甚至在高端写字楼的地方停车场里面拿个笔记本的人,甚至隐藏在某个破烂不堪的地方某个角落就是顶级黑客。技术最好的黑客是“来无影去无踪”一般人很难识别,身份很难让对方追踪到。这里主要是技术交流为主,很少干坏事。
三、攻击工具概括起来分4大类分别是:
1、漏洞攻击工具
也就是通过服务器上没有修补的漏洞来执行特定的权限提升代码,从而控制目标电脑,前期需要对各种漏洞进行扫描。在本次针对西工大的攻击中,就利用了这种武器控制了日本、韩国的电信服务器,作为跳板机也用了他突破了西工大的网关和边界路由器。
2、持久化控制工具
如果以做手术来形容的话呢,第一种武器是在身体上划一个刀口。在身体里面植入窃听器,甚至控制器。那美国开发的这种工具还具有自毁功能,是非常难以被发现的。
3、嗅探工具
它主要是用来对付网管工作人员,通过隐蔽的记录管理人员的键盘输入,从而得到网络的管理权限密码。
4、隐蔽工具
这是美国能够长期作案不被发现的重要手段。这种工具一旦运行起来,就能够隐蔽特定的文件和进程。不论是任务管理器还是其他高级工具,都无法发现安装的木马程序。那这种工具呢?还可以删除特定的网络操作日志,让网管难以抓住黑客的蛛丝马迹。
重点说一下隐藏工具,这类主要是木马后门为主。有些核心设备,它靠嵌入式程序驱动的。如果在嵌入式程序植入到硬件里面。这种隐藏度就很好了,几乎很难被发现的。
一般常规的木马病毒,只要不在网络上泛滥传播有伤害和破坏力的。一般杀毒软件是很难发现的。因为得不到重视所以有些技术手段高级的黑客做的木马,电脑中毒后可能几年甚至十几年都发现不了的。控制类的木马病毒分很多种,但是绝大多带控制权限的木马病毒,都有服务端和客户端。
五、网络入侵防御
总的原则是:理论上,所有的计算机网络和移动设备,都有被入侵和攻克的可能,只是取决于攻防中间的操作技术水平。所以计算机网络技术是要不停地学习和更新知识数据库的。
1、设定严格系统权限等级制度
在单位里面,根据部门和人员职位等级,设定不同的系统访问权限等级。即使黑客拿到部分权限,也不至于快速拿到更大的权限,有效控制入侵的时间周期。
包括外网因特网,以及内网的局域网做分离。中间的分离需要做安全机制。
2、设置多层蜜罐和沙盒系统
蜜罐是一种思想
类似的事情也发生在互联网安全领域。
一个接入互联网的网站,只要能和外部产生通信,就有被黑客攻击的可能——就像飞机在控制无法关停发动机一样。但是网站能像飞机发射红外诱饵一样,用某种陷阱来引诱攻击者,就可以达到自身不被攻击的目的。
这种引诱黑客攻击的“陷阱”就是“蜜罐”。从广义上看,“蜜罐”并不具体指某种技术,而是一种思想。
举个例子,在电影《无间道》中,警方发现自己这边有内鬼但是并不知道是谁,于是假装传递含有内鬼信息的信封,刘德华饰演的内鬼摸不清底细,冒险去拿了这个信封。
在这个情节里,这个伪装成情报的信封就相当于“蜜罐”。
比如在接入工作互联网的外网和内网,建立多个蜜罐系统。入侵者比如一把刀,给设置几个虚拟系统,让他砍西瓜一样过一把瘾。起到的作用就是消耗攻击者的时间,以备让对方留下更多的蛛丝马迹。为后面的系统维护和追踪有参考意义。
3、建立文件系统使用登记记录
每次使用核心文件,访问核心文件都要做好数据记录,使用时间,使用人数,都要有明确的标准。对于越级访问系统文件的使用者,如果不是正常授权,一般都能发现入侵者的。
4、设置密码使用周期,病毒查杀周期
对各种计算机的密码设置不同的使用周期,到了使用时间直接自动更新密码。对计算机进行常规的病毒查杀,目的是防止一般性的病毒。
对各种核心的资料文件进行加密,统一配制解密密钥。对密钥给予不同的操作人员。
5、正确合理使用端口,关闭不必要的端口
针对不同的部门和工作岗位,计算机使用的权限不一样,使用的端口全部关闭。针对需要使用的端口才打开。最好是专机专用,这样有利于设置服务端口开放情况。
6、服务权限设置
针对不同部门和岗位的计算机进行不同的权限设置。不管是端口和服务,都要针对每台权限共性的计算机进行分别做好权限记录。并且做成文件目录的形式。这样有利于网络安全管理人员定期对系统进行维护。每次都检查该开的服务是否运行正常,不该开启的服务是否悄然开启,是否又陌生的服务进程。
只有建立原版系统目录,系统维护的时候正确校对即可。正常服务运行是否正常是判断系统服务是否被改名替换成病毒的伪装文件。
7、纸质文件管理机制
针对这类文件建立有科学的管控机制,哪怕是废纸都不能乱扔,要建立统一的纸质文档销毁机制,因为网络攻击者可以通过碎片化的信息推理出完整的信息链路。
8、电话通讯设备管控
有些是带有欺骗式攻击的,在计算机网络攻入不了的时候,通过电话通讯设备工作拨号方式可以达到获取对方信息,达到攻击的目的。
9、对移动存储设备进行管控
对于移动硬盘,U盘等存储设备,有必要进行杀毒后再转到安全计算机使用。对于外带的存储设备,需要严格设置安全使用方法。因为你外观系统有多牢固,只要内网的储存设备带了病毒木马,也会中毒。计算机收到控制。
9、经常地进行相关安全人员进行培训学习
对相关的负责人进行计算机网络安全培训,了解计算机底层架构,系统服务功能,进程,端口服务权限,各类编程学习,脚本编程学习。真正的技术大牛至少要5-10年的学习周期。甚至更长的时间。
10、一定要打造属于自家的系统
虽然做自家的系统很难,但是这个路一定要走。刚刚说了,系统在创建的时候是可以开“后门”如果你对系统不了解。那么你就不了解对方的“后门”比如对方要查看权限的时候,只要通过“后门”进入自己家里一样的。后期可以通过系统更新,重新安置“后门”。
计算机和通讯设备从安全的角度来说,一定要用自家的,除非对安全不够重视。愿意让人插管子抽胆汁,甚至抽血。
11、打造计算机具有免疫系统的环境
攻击和防御永远是对立的,就像病毒和疫苗一样。如果没有相关的病症,也不会出对应的疫苗。攻防之间的关系永远存在。如果这种关系不存在了,那么识别会对整个网络存在隐患。
比如杀毒软件没用了,那么病毒就猖獗了,那么一个低级的病毒都能在网络上横行。就比如一个小小的破伤风,可能也会要人的命。
病毒越加高级,编写人员技术越高,对应的杀毒技术也会逐步提高。整体就提高了人员的素质。杀毒软件免费不一定是好事,从商业的角度说,一个重要服务免费,意味着该方面的各项投入会减少,因为他产生的价值有限。
如果杀毒软件的更新慢,包括病毒库更新频率,病毒运行行为,病毒特征码。一个高级的木马病毒,通过刻意伪装运行行为,杀毒软件没有该类病毒的特征码,几乎是发现不了的。有人做过测试,用以前很老的病毒进行反汇编,做免杀,十几年杀毒软件都发现不了。
在网络入侵里面又一个名词叫做注入攻击,一个叫做“旁注”的,也就是说你的计算机服务器在怎么安全,但是你处于的服务器,计算机组领域是不安全的。那么攻击者可以通过你的不安全的“邻居”来开启你家的计算机控制权限。你能确保自己是安全的,但是你无法确保你身边的人是否安全。所以整体的网络安全意识要逐步提高。
比如网络的外围设备制造商,路由器的,交换器的,摄像头监控的,各种应有软件管理系统的。任何的软件都会有漏洞,只是看你能不能发现,站在不同的角度去发现。有些设备确实功能是很多的,在采购的时候要根据实际的功能需求做选择。有些功能多了反而存在安全威胁。
有些计算机的安全系数高,但是因为周边的外围设备有漏洞,从而给入侵者开了一个口子。直接就被对方拿到高级权限了。及时更新补丁很重要,包括各种设备。
11、防止操作间谍
以上是至于物理机器设备层面,最快的入侵方式就是,内部人员。除了对内部人员做安全培训,还需要做安全规则培训,选人录用人的规则。防止间谍人员,轻易拿到权限。这块是最难发现,也是比较难杜绝的。考验的是管理人员的智慧。
从计算机网络出现开始,网络安全就一直存在,了解网络安全,才能真正做到攻防自如,才能防止数据不丢失,不损坏,不产生不必要的损失。作为安全人员,你只有学会“入侵”才会知道怎么做防御。
,