常見網絡安全漏洞

前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇常見網絡安全漏洞范文，相信會為您的寫作帶來幫助，發現更多的寫作思路和靈感。

常見網絡安全漏洞范文第1篇

關鍵詞：網絡安全；網絡攻擊；防范策略；入侵檢測

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2011)22-5304-03

Analysis of Common Network Attacks and Defense

HU Yin-ping

(Ningxia Public Security Department, Yinchuan 750021, China)

Abstract: Aiming at more and more Network Attacks, This paper analyzes and studies the common means of network attacks, in order to enhance network security, combining some latest technique, it wholly gives the countermeasures to the common attack methods.

Key words: network security; network attacks; network defense; intrusion detection

隨著網絡技術和Internet的飛速發展，網絡環境變得越來越復雜，網絡安全問題顯得越來越重要，網絡易受如木馬、惡意代碼、蠕蟲、DDOS攻擊等攻擊, 黑客攻擊事件數量的不斷上升，如2011年6月發生的Facebook攻擊，2011年3月發生的RSA Security攻擊，再早些時候發生的網游大盜及熊貓燒香等，給社會造成了嚴重的損失，與此同時，網絡攻擊呈現攻擊手段多樣化、技術平民化、周期縮短化的態勢，為了不被突如其來的網絡攻擊弄得手足無措，必須要化被動為主動，探究可能存在的網絡漏洞、常見的攻擊方法及其防范措施，具有十分重要的意義。

1 網絡攻擊的常見方法

1.1 安全漏洞攻擊

網絡系統受到的威脅主要是由于安全漏洞引起的，安全漏洞主要有3大類，分別是系統漏洞、協議漏洞和使用漏洞，一次成功的網絡攻擊，首先要收集目標系統的網絡漏洞信息，然后方可對目標系統實施有針對性的有效攻擊，某些敏感內容以明文方式保存會給黑客帶來可乘之機，還有一些漏洞是由于系統管理員配置錯誤引起的，黑客對目標系統漏洞信息的獲取，目前主要是通過網絡漏洞掃描工具實現的，利用這些漏洞就能完成密碼探測、系統入侵等攻擊。

1.2 Email 攻擊

攻擊者將包含惡意附件的Email發送到用戶的電子郵箱中，并施加適當的欺騙手段，欺騙用戶打開這些附近，從而完成Email 攻擊，Email 攻擊主要有兩種方式，即Email欺騙及Email炸彈，前者是攻擊者通過在Email附件中加載木馬病毒程序，經過專門特制的的社會工程學郵件更容易使接收者失去警惕而打開瀏覽，從而完成攻擊;后者是通過偽造的 IP和Email 地址向同一郵箱重復發送大量垃圾郵件，從而使用戶系統不能處理正常業務，造成系統崩潰、網絡癱瘓。

1.3 口令攻擊

1）通過利用網絡監聽工具NetRay、sniffit、sniffiter、ethernetfind、snoop、Tcpdump等進行網絡監聽非法得到用戶口令;

2）非法獲得用戶的賬號后，再使用口令破解軟件如：Crack、John the ripper 、BruteForce等去獲取口令。

3）使用非法手段獲得服務器上的管理員口令文件，然后再進行暴力破解，進而用賬號口令完成對服務器上的所有用戶進行攻擊。

1.4 拒絕服務攻擊

1）拒絕服務攻擊(DOS)。

拒絕服務攻擊(DOS)是一種對網絡服務有效性的破壞，它常利用服務器程序中存在的安全漏洞，使服務器無法及時回應外界用戶請求，或不能及時接收并處理外界請求，而被攻擊服務器的資源始終被這些攻擊服務請求占用，且無法得到釋放及再利用，于是，隨著攻擊請求的增多，服務器將陷入癱瘓狀態，不能再為正常用戶提供服務，典型的 DoS 攻擊包括: WinNuke 攻擊，碎片（Teardrop）攻擊，Land 攻擊，Ping of Death，循環攻擊，PING 風暴攻擊等。

2）分布式拒絕服務攻擊。

分布式拒絕服務攻擊 (DDoS)是基于主控/機制的分布式系統，是拒絕服務攻擊的一種延伸，通常由攻擊者，主控端和端三部分組成，通過利用足夠數量的傀儡機產生數目巨大的攻擊數據包對一個或多個目標實施DoS攻擊，從而耗盡受害端的資源，使受害主機喪失提供正常網絡服務的能力，其主要瞄準政府部門，搜索引擎和商業公司的站點等大目標，如Amazon、Yahoo及CNN等都曾因DDOS攻擊導致網站關閉，常見的DDoS攻擊工具有:Trinoo、TFN、TFNZK等。

1.5 網絡欺騙類型的攻擊

網絡欺騙包括很多種類型，比如：WEB欺騙，IP地址欺騙，ICMP欺騙，RIP路由欺騙，ARP欺騙，TCP欺騙，DNS欺騙等。

1）IP欺騙。

IP欺騙是通過偽造的TCPIP數據包中的源IP地址而進行的攻擊方式，攻擊者通常采用IP欺騙技術來隱藏其身份，使得追蹤攻擊者變得更加的困難。

2）DNS欺騙。

DNS協議本身比較脆弱，存在太多的不安全因素，DNS容易被偽裝冒充，如當一臺DNS服務器A向另外一臺DNS服務器B發送一個解析請求時，攻擊發起者就可以冒充被DNS服務器B，向DNS服務器A返回一個己經被篡改了的應答。

3）ARP欺騙。

ARP 協議是一種缺乏可靠的、可信賴的認證機制協議，ARP欺騙是局域網中經常出現的一種攻擊方式，ARP 欺騙攻擊主要是通過利用 ARP 協議本身的運行機制，對局域網上的主機實施攻擊，它包括偽造 ARP 請求和 ARP 應答兩種形式，ARP 欺騙實施是通過偽造一個含有惡意信息代碼的 ARP 信息包來攻擊目標主機 ARP 緩存表，從而造成網絡出現拒絕服務攻擊、擁塞等現象，影響網絡通信的正常進行。

1.6 緩沖區溢出攻擊

安全漏洞大多數是由于緩沖區溢出造成的，緩沖區溢出攻擊作為目前一種常見的攻擊手段，其應用也較為廣泛，其通過向程序的緩沖區寫入超出其緩沖長度的內容，從而造成緩沖區的溢出，進而破壞程序的堆棧，使程序轉而執行其它黑客指令，以達到攻擊的目的，緩沖區溢出攻擊有很多種方法，如：堆棧型緩沖區溢出攻擊、格式化串溢出攻擊和BBS與堆溢出攻擊等。

1.7 木馬及病毒

特洛伊木馬是一種潛伏在正常的程序應用中后門程序，一旦安裝成功并取得管理員權限，即可直接遠程控制目標系統，木馬攻擊以其危害大、攻擊范圍廣、隱蔽性強等特點成為常見的網絡攻擊技術之一，常見用于控制系統的惡意程序包括：NetBus、BackOrifice 和 BO2k。

病毒是黑客實施網絡攻擊的有效手段之一，較少的病毒可以盜取用戶口令，風靡一時的沖擊波病毒在全球范圍內造成巨大經濟損失，常見的病毒有: CIH、Win32、網頁病毒、蠕蟲、宏病毒、熊貓燒香、腳本病毒、冰河，歡樂時光、網頁炸彈、情書投遞等。

2 網絡攻擊防范技術

面對網絡攻擊手段的層出不窮，各類網絡安全技術防范技術也應運而生，為了確保網絡安全，下面介紹幾種常見的網絡攻擊防范技術。

2.1 防火墻

防火墻是一種比較成熟、使用最廣泛的安全技術，是網絡安全最基本的安全措施，它是利用硬件和軟件組合而成的在內部網(或局域網)和互聯網之間，其目的是保護網絡不受外來的攻擊，實現防火墻的技術有很多種，如包過濾、雙穴主機、屏蔽子網網關和服務器等，其中，應用防火墻位于內網和外網之間，當外網的用戶請求訪問內網的某個WEB服務器時，該請求先被送到防火墻，防火墻對該請求進行安全檢查，通過后，再轉交給內網中的服務器，從而確保了網絡的安全，包過濾型防火墻是通過檢查它的數據包的路由器，從而限定外部客戶的不符合過濾規則的數據包，常用的防火墻有思科CISCO、東軟Neusoft、Juniper、H3C、華為賽門鐵克、飛塔Fortinet、天網防火墻、傲盾ddos防火墻和冰盾DDOS防火墻等。

2.2 入侵檢測系統

入侵檢測（IDS）是一種用于檢測網絡上不合法、不正常活動的網絡技術，可以在一定程度上防范來自系統內、外部的入侵，其通過收集不同的系統資源信息，并對資源信息進行分析處理，監視、分析用戶及系統行為，識別、反應已知攻擊的行為模式并報警，入侵檢測系統有兩種：基于主機的IDS (HIDS)和基于網絡的IDS(NIDS)，如圖1所示，常用的IDS有思科、啟明星辰天清入侵防、NewdonNSS-200S 、賽門鐵克入侵檢測系統等。

2.3 虛擬專用網絡

VPN（Virtual Private Network，虛擬專用網）是建立在實際物理網絡基礎上的一種功能性網絡，其利用Internet等公共網絡的基礎設施，通過安全隧道、客戶認證和訪問控制等技術，為用戶提供一條與專用網絡具有相同通信功能的安全數據通道，實現不同網絡之間以及用戶與網絡之間的相互連接，其由VPN服務器、傳輸介質和客戶段組成，要實現 VPN連接，企業內部網絡中必須配置有一臺VPN服務器，VPN 服務器一方面連接到 Internet，另一方面要連接企業內部專用網絡，如圖2所示。

2.4 蜜罐技術

蜜罐技術是一種誘騙入侵者攻擊以達到采集黑客攻擊方法和保護真實主機目標的技術，其最終目標是盡可能詳盡地捕捉、收集、監視并控制入侵者的攻擊手段、技巧、戰術、甚至于心理和習慣等，以便防御者更好的、有針對性地改進自己的保護措施，不同于大多數傳統的安全技術，蜜罐系統的核心思想是偽造出虛擬的主機，提供了各種虛擬的網絡服務，避免真實的主機遭到任何破壞，最終實現從攻擊者的行為中學習到更深層次的信息保護的方法。常見的蜜罐有Speeter、Toolkit、Honeyd等。

2.5 加密技術

密碼技術通過信息的變換或編碼，將機密的敏感消息變換成為難以讀懂的亂碼字符，以此防止信息泄漏、篡改和破壞，加密技術常分為對稱加密和非對稱加密技術，常見的對稱加密方式有 DES、3DES、DB64等，非常見的非對稱加密算法有RSA和ECC等。

2.6 漏洞掃描技術

漏洞掃描是通過掃描等手段，對遠端或本地主機安全漏洞進行檢測的技術，它從而發現網絡的安全脆弱點，針對特定漏洞，給予漏洞描述、嚴重程度描述，并給出相應的修補的措施，使網絡管理者可以預先了解網絡的脆弱性所在，從而確保網絡系統的安全，常用的工具包括億思網站安全檢測平臺、瑞星漏洞掃描、思科漏洞掃描、冠群金辰、啟明星辰等。

3 結束語

隨著計算機系統的廣泛應用和黑客技術的不斷發展，網絡攻擊的手段多樣化，令人防不勝防，形形的網絡罪犯充斥在Internet的各個角落，各類網絡安全事件頻頻見諸報端，針對網絡的各種攻擊，如木馬病毒，郵件炸彈，網絡蠕蟲，黑客攻擊等等，已經泛濫開來，分析和研究常見的網絡攻擊方法與其防范技術具有重要的意義。

參考文獻：

[1] 周斌.網絡攻擊的防范與檢測技術研究[J].電腦知識與技術,2010(13).

[2] 閆志剛.剖析網絡攻擊的方式與對策[J].電腦編程技巧與維護,2010(20).

[3] 王子慶.網絡攻擊常見方式及其防范策略探析[J].信息與電腦:理論版,2011(4).

常見網絡安全漏洞范文第2篇

關鍵詞：網絡信息安全；網絡攻擊；網絡安全技術

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1007-9599 (2011) 18-0000-01

Computer Network Information Security Issues and Solutions

Liu Yubing

(Jiangsu Province Dongtai People's Hospital,Dongtai 224200,China)

Abstract:In this paper,the vulnerability of network information security,network security,the main technical,common network attack methods and countermeasures,network security,construction,analysis of the current network information security of the main problems,and common network attacks from the technical aspects of proposed solution that would gradually eliminate the construction of the network security network information security risks.

Keywords:Network information security;Network attacks;Network security technology

一、引言

計算機技術發展迅速，使得當今社會的發展己經離不開信息網絡。由于計算機網絡傳遞的信息中涉及到金融、科學教育、軍事等各個領域[1]，其中包含巨大的經濟或國家利益，所以少不了來自各方各面的網絡攻擊，網絡攻擊的表現形式也是多種多樣，譬如病毒感染、竊取數據、信息的篡改刪添等等。計算機犯罪的頻發，也與其犯罪的便利性，不必犯罪者親臨現場以及犯罪證據難以留下有大大相關。當今各國對于計算機網絡安全的防護己成為遏制計算機犯罪的嚴重社會問題[2]。網絡信息安全關系著國家的安全，民族的發展，隨著全球信息化越來越廣，它扮演的角色越來越重要。我們提倡網絡安全建設，大力保障網絡信息安全就是要保護網絡系統的硬件、軟件，主要是保護系統中的數據，使之不被破壞、更改、泄露，最終使得整個網絡系統能夠正常的運行并提供服務[3]。

二、常見網絡攻擊方法

由于系統開發者的疏忽或自留后門導致漏洞無處不在。補丁的速度遠遠跟不上漏洞的出現速度，黑客們正是攻擊安全漏洞和系統缺陷來達到目的。

（一）拒絕服務攻擊。DoS是Denial of Service的簡稱，即拒絕服務[4]，造成Dos的攻擊行為被稱為DoS攻擊，其目的是使計算機或網絡無法提供正常的服務。最常見的DoS攻擊有計算機網絡帶寬攻擊和連通性攻擊。帶寬攻擊指以極大的通信量沖擊網絡，使得所有可用網絡資源都被消耗殆盡，最后導致合法的用戶請求就無法通過。連通性攻擊指用大量的連接請求沖擊計算機，使得所有可用的操作系統資源都被消耗殆盡，最終計算機無法再處理合法用戶的請求。

（二）利用型攻擊。利用型攻擊是一類試圖直接對你的機器進行控制的攻擊，下面介紹常見的三種攻擊的防御手段：（l）口令猜測：設置難以猜測的口令，比如多種符號組合。確保像NFS、NetBIOS和Telnet這樣可利用的服務不暴露在公共范圍。如果該服務支持鎖定策略，就進行鎖定。（2）特洛伊木馬：不下載、不執行可疑程序，安裝木馬防火墻。（3）緩沖區溢出：利用SafeLib、tripwire這樣的程序保護系統，或者瀏覽最新的安全公告不斷更新操作系統[5]。

（三）信息收集型攻擊。盡管分類討論問題的解法無定規可循，但就中學數學而言，從基本概念的內涵、定理、公式和法則的限制條件出發，分析常見的誘因，就能獲得解決這類問題的基本策略和思維的基本模式。信息收集型攻擊是一個為進一步入侵收集信息的攻擊。主要包括：掃描技術、體系結構刺探、利用信息服務。使用具有己知響應類型的數據庫的自動工具，對來自目標主機的、對壞數據包傳送所做出的響應進行檢查。通過將不同系統回應的響應與數據庫中的已知響應進行對比，就可以確定出目標主機所運行的操作系統。防御方法是去掉或修改各種Banner，包括操作系統和各種應用服務的，阻斷用于識別的端口擾亂對方的攻擊計劃。

（四）假消息攻擊。用于攻擊目標配置不正確的消息，有以下兩種手段：（1）DNS高速緩存污染：DNS服務器與其他名稱服務器交換信息的時候并不進行身份驗證，這就使得攻擊者可以將不正確的信息摻進來并把用戶引向他自己的主機。防御方法是在防火墻上過濾入站的DNS更新，外部DNS服務器不應能更改你的內部服務器對內部機器的認識。（2）偽造電子郵件：由于SMTP并不對郵件的發送者的身份進行鑒定，因此攻擊者可以對你的內部客戶偽造電子郵件，聲稱是某個客戶認識并相信的人，當然附帶上可安裝的特洛伊木馬程序，或者是一個引向惡意網站的連接。我們可以使用PGP等安全工具并安裝電子郵件證書進行防御。

三、網絡攻擊應對策略

（一）防范網絡病毒。加強工作站的管理。工作站是網絡的入口，在工作站上安裝固化了殺毒軟件的硬件或芯片，這樣就可以對必經路徑加強檢查和過濾，達到提前攔截病毒的效果。服務器是整個網絡的核心，一旦服務器被感染而崩潰，整個網絡會立即癱瘓，那么所謂的網絡服務也不將存在。我們應該以服務器的防毒為重心，為它提供實時掃描病毒的軟件，并加大服務器權限的管理力度，杜絕病毒在網絡上的蔓延[6]。

（二）備份與恢復。組合使用正常備份和增量備份來備份數據，需要最少的存儲空間，并且是最快的備份方法。與備份完全相逆的就是恢復了，在文件缺失或是系統遭受攻擊而癱瘓的情況下，我們就可以利用前面的備份數據進行數據恢復，來達到保持信息安全的目的。

（三）提高個人信息安全意識。系統是以用戶為中心的，合法用戶可以在系統上進行一系列合法的操作圈。如何限制用戶的不合法操作，這就需要系統管理員對用戶權限加以控制，以避免故意或無意的破壞。但是更多的安全措施必須由用戶自己來完成，譬如：（1）密碼控制（2）文件管理（3）運行安全的程序。（4）安裝殺毒軟件和防火墻并隨時更新病毒庫。

參考文獻：

[1]李海強.網絡安全及網絡安全評估的脆弱性分析[J].硅谷

[2]王宇,盧星.信息網絡安全脆弱性分析[J].計算機研究與發展,2006,2

[3]網絡安全-業務保障[J].中國計算機用戶,2001,7

[4]許寶如.對計算機網絡安全問題的思考[J].江西科技師范學院學報,2004,2

常見網絡安全漏洞范文第3篇

1.1氣象部門網絡安全的主要防御結構

一般情況下，在氣象網絡中，防火墻是最重要的硬件防御系統之一，根據臺站區域網絡的組成部件設置防火墻，并根據氣象部門業務安全需求采取相應的防控措施。在氣象信息中心，多個硬件防火墻被部署在區域網絡內重要的業務需求范圍內，確保該區域內的氣象觀測業務可順利、安全運行。對于突發網絡故障，可通過查詢網絡日志、查看網絡歷史詢問記錄等處理，從而使網絡恢復正常。同時，網絡入侵檢測系統也是網絡防護的重要手段，可定時對網絡中可能存在的入侵或攻擊進行檢測，查出存在的漏洞、攻擊模式和用戶行為模式的差別等，并對網絡及系統中出現的異常行為作出響應。此外，軟件防護系統也是不容忽視的重要環節，通過防病毒軟件對計算機網絡進行查殺，消除網絡中存在的威脅因素；網絡管理軟件可對連接的網絡設備進行監管，檢測網絡中存在的異常行為，有效防御病毒，從而切實做好氣象網絡安全防御工作。

1.2網絡安全現狀

隨著現代化氣象觀測信息的不斷增多，自動站長期不間斷運行，容易導致網絡負載量大，進而增加了局部網絡病毒木馬入侵的概率，且其對外開放的資源共享端口也容易出現網絡堵塞。此外，內部計算機人員的操作不當、對計算機終端安全意識較差的現象普遍存在，這都對氣象網絡安全造成了嚴重的威脅。

2氣象部門網絡安全中存在的威脅

2.1網絡安全漏洞

漏洞是氣象部門計算機網絡安全的重大隱患之一，主要包括操作系統漏洞和硬件產品漏。大多數的木馬病毒、非法入侵等都是基于計算機網絡中存在的漏洞而對其攻擊的，它是網絡安全的一大威脅。

2.2內部網絡防護措施不完善

氣象計算機網絡屬于獨立局域網，根據其具有的工作特性，需要實時對數據進行快速、便捷的傳遞，但這樣容易引起病毒的直接感染。由于防護措施不完善，如果操作某一個被病毒感染的移動硬盤時，會連帶服務器及其他電腦同時被感染。此時，即便設有防火墻裝置，也阻擋不了網絡內部遭受攻擊。

2.3惡意代碼威脅

需要及時對計算機中安裝的軟件防護殺毒系統升級和補丁修復。隨著網絡技術的發展，病毒的破壞力越來越強。如果沒有及時制止病毒的入侵，則可能會造成計算機徹底被控制或癱瘓。

2.4網絡黑客攻擊

網絡黑客一般為對計算機網絡較為精通的不法分子，他們通過網絡操作系統的漏洞對系統進行攻擊，可導致系統癱瘓或異常。網絡操作系統有多種，常用的為WindowsNT操作系統。因此，該系統已成為網絡黑客的重點攻擊對象。

2.5操作人員的安全意識較差

部分氣象計算機操作人員不具備專業的網絡知識，對于計算機網絡安全了解不足，存在在計算機上下載其他與氣象無關的資源的情況，或通過移動硬盤在局域網內進行各種數據資料的傳輸，這增加了病毒入侵的概率，容易造成數據丟失或泄露。如果將在Internet上使用過的筆記本電腦連接到氣象內部網絡中，也可能會增加氣象網絡病毒入侵的概率。

2.6IP地址沖突

氣象部門內部的計算機經常出現IP地址沖突的現象。1臺或多臺電腦常因測試或其他原因需要臨時修改IP地址，但修改后往往沒有及時改回，進而造成IP沖突無法聯網，這會對氣象觀測數據的傳輸等環節造成影響。

2.7缺乏內部網絡安全技術人員

目前，由于氣象臺站受到資金或其他因素的制約，導致氣象臺站缺乏相關的網絡安全專業技術人員。當出現網絡故障時，基本是由在職的其他工作人員進行維護的，但網絡管理員自身的水平較低，僅可以應付簡單的常見網絡安全故障，對于專業病毒防御、網絡區域設置等關鍵技術的掌握甚少，出現復雜的網絡安全故障無法及時解決，進而影響了臺站的正常、穩定運行。

3改善氣象部門網絡運行環境的措施

3.1加強網絡安全管理

應加強氣象部門全體人員的計算機網絡安全意識，針對重點網絡威脅進行分析，并對其可能造成的影響進行估算，從而使更多的職工關注網絡安全問題；制訂相關的計算機操作和日常網絡應用安全規范準則，使全體職工養成良好的上網和工作習慣；對在職的網絡管理人員進行技能培訓，提高其技能水平，以確保氣象業務在良好的環境中進行；引進復合型人才，加強技術人才隊伍的培養。網絡安全涉及的范圍廣、信息量大，對人才的需求也較大。因此，可通過參加高新技術學習、開展重點問題交流等途徑提高管理人員的業務水平，使他們能擔當起氣象網絡信息安全建設的重任。

3.2科學、合理配置網絡安全系統

常見網絡安全漏洞范文第4篇

關鍵詞：網絡安全；網絡攻擊；安全策略

1 引言

隨著Internet的發展，高信息技術像一把雙刃劍，帶給我們無限益處的同時也帶給網絡更大的風險。網絡安全已成為重中之重，攻擊者無處不在。因此網絡管理人員應該對攻擊手段有一個全面深刻的認識，制訂完善安全防護策略。

2 常見網絡攻擊的原理和手段

2.1 口令入侵

所謂口令入侵是指使用某些合法用戶的賬號和口令登錄到目的主機，然后再實施攻擊活動。獲得用戶賬號的方法很多，如利用目標主機的Finger功能、X.500服務、從電子郵件地址中收集、查看習慣性賬號。獲取用戶的賬號后，利用一些專門軟件強行破解用戶口令。

2.2 放置特洛伊木馬程序 [1]

特洛伊木馬程序可以直接侵入用戶的電腦并進行破壞，它常被偽裝成工具程序或者游戲等誘使用戶打開或下載，一旦用戶打開或者執行了這些程序，它們就會像古特洛伊人在敵人城外留下的藏滿士兵的木馬一樣留在自己的電腦中，并在計算機系統中隱藏一個可以在windows啟動時悄悄執行的程序。當你連接到因特網上時，這個程序就會通知攻擊者，來報告你的IP地址以及預先設定的端口。攻擊者在收到這些信息后，再利用預先潛伏的程序，就可以任意地修改你的計算機的參數設定、復制文件、窺視你整個硬盤中的內容等，從而達到控制你的計算機的目的。

2.4 電子郵件攻擊

電子郵件是互聯網上運用得十分廣泛的一種通訊方式。攻擊者使用一些郵件炸彈軟件或CGI程序向目的郵箱發送大量內容重復、無用的垃圾郵件，從而使目的郵箱被撐爆而無法使用。攻擊者還可以佯裝系統管理員，給用戶發送郵件要求用戶修改口令或在貌似正常的附件中加載病毒或其他木馬程序。

2.5 網絡監聽 [2]

網絡監聽是主機的一種工作模式，在這種模式下，主機可以接收到本網段在同一條物理通道上傳輸的所有信息，而不管這些信息的發送方和接收方是誰。因為系統在進行密碼校驗時，用戶輸入的密碼需要從用戶端傳送到服務器端，而攻擊者就能在兩端之間進行數據監聽。此時若兩臺主機進行通信的信息沒有加密，只要使用某些網絡監聽工具(如NetXRay for Windows95／98／NT、Sniffit for Linux、Solaries等)就可輕而易舉地截取包括口令和賬號在內的信息資料。

2.6 安全漏洞攻擊[2]

許多系統都有這樣那樣的安全漏洞（Bugs）。如緩沖區溢出攻擊。由于很多系統在不檢查程序與緩沖之間變化的情況，就任意接受任意長度的數據輸入，把溢出的數據放在堆棧里，系統還照常執行命令。這樣攻擊者只要發送超出緩沖區所能處理的長度的指令，系統便進入不穩定狀態。若攻擊者特別配置一串準備用作攻擊的字符，他甚至可以訪問根目錄，從而擁有對整個網絡的絕對控制權。

3 網絡攻擊應對策略

在對網絡攻擊進行上述分析與識別的基礎上，認真制定有針對性的策略。明確安全對象，設置強有力的安全保障體系。同時還必須做到未雨綢繆，預防為主，將重要的數據備份并時刻注意系統運行狀況。

3.1 利用安全防范技術

正因為網絡安全問題，復雜多樣，所以出現了一些技術來幫助管理員來加強網絡安全。其中主要分為，加密技術，身份認證技術，防火墻技術等等。管理員可以利用這些技術組合使用來保證網絡主機的安全。

3.1.1 加密技術

加密技術主要分為公開算法和私有算法兩種，私有算法是運用起來是比較簡單和運算速度比較快的，但缺點是一旦被解密者追蹤到算法，那么算法就徹底廢了。公開算法的算法是公開的，有的是不可逆，有用公鑰，私鑰的。優點是非常難破解，可廣泛用于各種應用。缺點是運算速度較慢。使用時很不方便。

3.1.2 身份認證技術

身份認證技術在電子商務應用中是極為重要的核心安全技術之一，主要在數字簽名是用公鑰私鑰的方式保證文件是由使用者發出的和保證數據的安全。在網絡應用中有第三方認證技術Kerberos，它可以使用戶使用的密碼在網絡傳送中，每次均不一樣，可以有效的保證數據安全和方便用戶在網絡登入其它機器的過程中不需要重復輸入密碼。

3.1.3 防火墻 [3]

防火墻技術是比較重要的一個橋梁，以用來過濾內部網絡和外部網絡環境，在網絡安全方面，它的核心技術就是包過濾，高級防火墻還具有地址轉換，虛擬私網等功能。

3.2 制訂安全策略

系統管理員應提高認識，并分析做出解決辦法和提出具體防范方法。更應該在保證好機器設備正常運轉的同時，積極研究各種安全問題，制訂安全策略。雖然沒有絕對的把握阻止任何侵入，但是一個好的安全策略可以最少的機會發生入侵情況，即使發生了也可以最快的做出正確反應，最大程度減少經濟損失。

3.2.1 提高安全意識

(1)不隨意打開來歷不明的電子郵件及文件，不隨意運行不明程序。

(2)盡量避免從Internet下載不明軟件。一旦下載軟件及時用最新的病毒和木馬查殺軟件進行掃描。

(3)密碼設置盡可能使用字母數字混排，不容易窮舉。重要密碼最好經常更換。

(4)及時下載安裝系統補丁程序。

3.2.2 使用防毒、防黑等防火墻

防火墻是用以阻止網絡中的黑客訪問某個機構網絡的屏障，也可稱之為控制進/出兩個方向通信的門檻。在網絡邊界上通過建立起來的相應網絡通信監控系統來隔離內部和外部網絡，以阻檔外部網絡的侵入。

3.2.3 設置服務器，隱藏自己的IP地址。

事實上，即便你的機器上被安裝了木馬程序，若沒有你的IP地址，攻擊者也是沒有辦法的，而保護IP地址的最好方法就是設置服務器。服務器能起到外部網絡申請訪問內部網絡的中間轉接作用。當外部網絡向內部網絡申請某種網絡服務時，服務器接受申請，然后它根據其服務類型、服務內容、被服務的對象、服務者申請的時間、申請者的域名范圍等來決定是否接受此項服務。

3.2.4 將防毒、防黑當成日常例性工作，定時更新防毒組件，將防毒軟件保持在常駐狀態，以徹底防毒。

3.2.5 對于重要的資料做好嚴密的保護，并養成資料備份的習慣。

4 結束語

沒有絕對安全的網絡系統，安全問題是多種多樣，且隨著時間技術的變化而變化，所以安全防護也是非常重要的，保持清醒正確的認識，同時掌握最新的安全問題情況，再加上完善有效的安全策略，是可以阻止大部分安全事件的發生，保持最小程度的損失。

參考文獻：

[1]耿杰,方風波.計算機網絡安全與實訓[M].北京:科學出版社出版,2006,155-158.

[2]劉遠生,等.計算機網絡安全[M].北京:清華大學出版社出版,2006.229-244.

[3]姜文紅.網絡安全與管理[M].北京:清華大學出版社出版,2007.100-113.

常見網絡安全漏洞范文第5篇

 

1美國電力行業信息安全的戰略框架

 

為響應奧巴馬政府關于加強丨Kj家能源坫礎設施安全(13636行政令，即ExecutiveOrder13636-ImprovingCriticalInfrastructureCybersecurity)的要求，美國能源部出資，能源行業控制系統工作組(EnergySec*torControlSystemsWorkingGroup,ESCSWG)在《保護能源行業控制系統路線圖》(RoadmaptoSecureControlSystemsintheEnergySector)的基礎上，于2011年了《實現能源傳輸系統信息安全路線閣》。2011路線圖為電力行業未來丨0年的信息安全制定了戰略框架和行動計劃，體現了美國加強國家電網持續安全和可靠性的承諾和努力%

 

路線圖基于風險管理原則，明確了至2020年美國能源傳輸系統網絡安全目標、實施策略及里程碑計劃，指導行業、政府、學術界為共丨司愿景投入并協同合作。2011路線圖指出：至2020年，要設計、安裝、運行、維護堅韌的能源傳輸系統(resilientenergydeliverysystems)。美國能源彳了業的網絡安全目標已從安全防護轉向系統堅韌。路線圖提出了實現目標的5個策略，為行業、政府、學術界指明了發展方向和工作思路。(1)建立安全文化。定期回顧和完善風險管理實踐，確保建立的安全控制有效。網絡安全實踐成為能源行業所有相關者的習慣,，(2)評估和監測風險。實現對能源輸送系統的所有架構層次、信息物理融合領域的連續安全狀態監測，持續評估新的網絡威脅、漏洞、風險及其應對措施。(3)制定和實施新的保施。新一代能源傳輸系統結構實現“深度防御”，在網絡安全事件中能連續運行。(4)開展事件管理。開展網絡事件的監測、補救、恢復，減少對能源傳輸系統的影響。開展事件后續的分析、取證以及總結，促進能源輸送系統環境的改進。(5)持續安全改進。保持強大的資源保障、明確的激勵機制及利益相關者密切合作，確保持續積極主動的能源傳輸系統安全提升。為及時跟蹤2011路線圖實施情況，能源行業控制系統工作組(ESCSWG)提供了ieRoadmap交互式平臺。通過該平臺共享各方的努力成果，掌握里程碑進展情況，使能源利益相關者為路線圖的實現作一致努力。

 

2美國電力行業信息安全的管理結構

 

承擔美國電力行業信息安全相關職責的主要政府機構和組織包括：國土安全部(DHS)、能源部(1)0￡)、聯邦能源管理委員會(FEUC)、北美電力可靠性公司(NERC)以及各州公共事業委員會(PUC)。2.1國土安全部美國國土安全部是美國聯邦政府指定的基礎設施信息安全領導部I'j'負責監督保護政府網絡安全，為私營企業提供專業援助。2009年DHS建立了國家信息安全和通信集成中心(NationalCyhersecurityandCommunicationsIntegrationCenter,NCCIC),負責與聯邦相關部門、各州、各行業以及國際社會共享網絡威脅發展趨勢，組織協調事件響應。

 

2.2能源部

 

美國能源部不直接承擔電網信息安全的管理職責，而是通過指導技術研發和協助項目開發促進私營企業發展和技術進步能源部的電力傳輸和能源可靠性辦公室(Office(>fElectricityDelivery<&EnergyReliability)承擔加強國家能源基礎設施的可靠性和堅韌性的職責，提供技術研究和發展的資金，推進風險管理策略和信息安全標準研發，促進威脅信息的及時共享，為電網信息安全戰略性綜合方案提供支撐。

 

能源部2012年與美國國家標準技術研究院、北美電力可靠性公司合作編制了《電力安全風險管理過程指南》(ElectricitySubsectorCybersecurityRiskManagementProcess)151;2014年與國土安全部等共同協作編制完成了《電力行業信息安全能力成熟度模型》(ElectricitySubsectorcybersecurityCapabilityMaturityModel(ES-C2M2)丨6丨，以支撐電力行業的信息安全能力評估和提升;2014年資助能源行業控制系統工作組(ESCSWG)形成了《能源傳輸系統網絡安全采購用語指南》(CybersecurityProcurementlanguageforEnergyDeliverySystems)171,以加強供應鏈的信息安全風險管理。

 

在201丨路線圖的指導下，能源部啟動了能源傳輸系統的信息安全項目，資助愛達荷國家實驗室建立SCADA安全測試平臺，發現并解決行業面臨的關鍵安全漏洞和威脅;資助伊利諾伊大學等開展值得信賴的電網網絡基礎結構研究。

 

2.3聯邦能源管理委員會

 

聯邦能源管理委員會負責依法制定聯邦政府職責范圍內的能源監管政策并實施監管，是獨立監管機構。2005年能源政策法案(EnergyPolicyActof2005)授權FERC監督包括信息安全標準在內的主干電網強制可靠性標準的實施。2007年能源獨立與安全法案(EnergyIndependenceandSecurityActof2007(EISA))賦予FERC和國家標準與技術研究所(National丨nstituteofStandardsan<丨Technology，NIST)相關責任以協調智能電網指導方針和標準的編制和落實。2011年的電網網絡安全法案(GridCyberSecurityAct)要求FKRC建立關鍵電力基礎設施的信息安全標準。

 

2007年FERC批準由北美電力可靠性公司制定的《關鍵基礎設施保護》(criticalinfrastructprotection，CIPW標準為北美電力可靠性標準之中的強制標準，要求各相關企業執行，旨在保護電網，預防信息系統攻擊事件的發生。

 

2.4北美電力可靠性公司

 

北美電力可靠性公司是非盈利的國際電力可靠性組織。NERC在FERC的監管下，制定并強制執行包括信息安全標準在內的大電力系統可靠性標準，開展可靠性監測、分析、評估、信息共享，確保大電力系統的可靠性。

 

NERC了一系列的關鍵基礎設施保護(CIP)標準181作為北美電力系統的強制性標準;與美國能源部和NIST編制了《電力行業信息安全風險管理過程指南》，提供了網絡安全風險管理的指導方針。

 

歸屬NERC的電力行業協凋委員會(ESCC)是聯邦政府與電力行業的主要聯絡者，其主要使命是促進和支持行業政策和戰略的協調，以提高電力行業的可靠性和堅韌性'NERC通過其電力行業信息共享和分析中心(ES-ISAC)的態勢感知、事件管理以及協調和溝通的能力，與電力企業進行及時、可靠和安全的信息共享和溝通。通過電網安全年會(GridSecCon)、簡報，提供威脅應對策略、最佳實踐的討論共享和培訓機會;組織電網安全演練(GridEx)檢查整個行業應對物理和網絡事件的響應能力，促進協調解決行業面臨的突出的網絡安全問題。

 

2.5州公共事業委員會

 

美國聯邦政府對地方電力公司供電系統的可靠性沒有直接的監管職責。各州公共事業委員會負責監管地方電力公司的信息安全，大多數州的PUC沒有網絡安全標準的制定職責。PUC通過監管權力，成為地方電力系統和配電系統網絡安全措施的重要決策者。全國公用事業監管委員協會(NationalAssociationofRegulatoryUtilitycommissioners,NARUC)作為PUC的一■個聯盟協會，也采取措施促進PUC的電力網絡安全工作，呼吁PUC密切監控網絡安全威脅，定期審查各自的政策和程序，以確保與適用標準、最佳實踐的一致性

 

3美國電力行業信息安全的硏究資源

 

參與美國電力行業信息安全研究的機構和組織主要有商務部所屬的國家標準技術研究院及其領導下的智能電網網絡安全委員會、國土安全部所屬的能源行業控制系統工作組，重點幵展電力行業信息安全發展路線圖、框架以及標準、指南的研究。同時，能源部所屬的多個國家實驗室提供網絡安全測試、網絡威脅分析、具體防御措施指導以及新技術研究等。

 

3.1國家標準技術研究院(NIST)

 

根據2007能源獨立與安全法令，美_國家標準技術研究院負責包括信息安全協議在內的智能電網協議和標準的自愿框架的研發能電網互操作標準的框架和路線圖》(NISTFrameworkaridRoadmapforSmartGridInteroperabilityStandard)1.0、2.0和3.0版本，明確了智能電網的網絡安全原則以及標準等。2011年3月，NIST了信息安全標準和指導方針系列中的旗艦文檔《NISTSP800-39，信息安全風險管理》丨叫(NISTSpedalPublication800—39,ManagingInformationSecurityRisk)，提供了一系列有意義的信息安全改進建議。2014年2月，根據13636行政令，了《提高關鍵基礎設施網絡安全框架》第一版，以幫助組織識別、評估和管理關鍵基礎設施信息安全風險。

 

NIST正在開發工業控制系統(ICS)網絡安全實驗平臺用于檢測符合網絡安全保護指導方針和標準的_「.業控制系統的性能，以指導工業控制系統安全策略最佳實踐的實施。

 

3.2智能電網網絡安全委員會

 

智能電網網絡安全委員會其前身是智能電網互操作組網絡安全工作組(SGIP-CSWG)ra。SGCC一直專注于智能電網安全架構、風險管理流程、安全測試和認證等研究，致力于推進智能電網網絡安全的發展和標準化。

 

在NIST的領導下，SGCC編制并進一步修訂了《智能電網信息安全指南》(NISTIR7628,GuidelinesforSmartGridCybersecurity),提出了智能電網信息安全分析框架，為組織級研究、設計、研發和實施智能電網技術提供了指導性T.具。

 

3.3國家電力行業信息安全組織(NESC0)

 

能源部組建的國家電力行業信息安全組織(NationalElectricSectorCybersecurityOrganization,NESCO)，集結了美國國內外致力于電力行業網絡安全的專家、開發商以及用戶，致力于網絡威脅的數據分析和取證工作⑴。美國電力科學研究院(EPRI)作為NESC0成員之一提供研究和分析資源，開展信息安全要求、標準和結果的評估和分析。NESCO與能源部、聯邦政府其他機構等共同合作補充和完善了2011路線圖的關鍵里程碑和目標。

 

3.4能源行業控制系統工作組(ESCSWG)

 

隸屬國土安全部的能源行業控制系統工作組由能源領域安全專家組成，在關鍵基礎設施合作咨詢委員會框架下運作。在能源部的資助下，ESCSWG編制了《實現能源傳輸系統信息安全路線圖》、《能源傳輸系統網絡安全釆購用語指南》。3.5能源部所屬的國家實驗室

 

3.5.1愛達荷國家實驗室(INL)

 

愛達荷W家實驗室成立于1949年，是為美國能源部在能源研究、國家防御等方面提供支撐的應用工程實驗室。近十年來，INL與電力行業合作，加強了電網可靠性、控制系統安全研究。

 

在美國能源部的資助下，INL建立了包含美國國內和國際上多種控制系統的SCADA安全測試平臺以及無線測試平臺等資源，目的對SCADA進行全面、徹底的評估，識別控制系統脆弱點，并提供脆弱點的消減方法113】。通過能源部的能源傳輸系統信息安全項目，INL提出了采用數據壓縮技術檢測惡意流量對SCADA實時網絡保護的方法hi。為支持美國國土安全部控制系統安全項目，INL開發并實施了培訓課程以增強控制系統專家的安全意識和防御能力。1NL的相關研究報告有《SCADA網絡安全評估方法》、《控制系統十大漏洞及其補救措施》、《控制系統網絡安全：深度防御戰略》、《控制系統評估中常見網絡安全漏洞》%、《能源傳輸控制系統漏洞分析>嚴|等。

 

3.5.2太平洋西北國家實驗室(PNNL)

 

太平洋西北國家實驗室是美國能源部所屬的闊家綜合性實驗室，研究解決美國在能源、環境和國家安全等方面最緊迫的問題。

 

PNNL提出的安全SCADA通信協議(secureserialcommunicationsprotocol,SSCP)的概念，有助于實現遠程訪問設備與控制中心之間的安全通信。的相關研究報告有《工業控制和SCADA的安全數據傳輸指南》等。PNNL目前正在開展仿生技術提高能源領域網絡安全的研究項。

 

3.5.3桑迪亞國家實驗室(SNL)