网络与信息安全威胁调查报告

网络与信息系统安全威胁调查报告

郭祖龙

摘要：随着互联网逐渐走入人们的生活，网络安全问题日益严峻。本文首先阐述了目前网络与信息系统存在的各种安全威胁，并对其进行了一定程度上的分析，然后说明了针对各类威胁的基本防范方式，最后介绍了网络信息安全威胁的新形势。

关键词：网络安全安全威胁木马

随着网络的普及和发展，人们尽管感受到了网络的便利，但是互联网也带来了各式各样的问题。其中网络安全问题是最为重要的问题之一。网络时代的安全问题已经远远超过早期的单机安全问题。网络与信息系统安全威胁是指以计算机为核心的网络系统，所面临的或者来自已经发生的安全事件或潜在安全事件的负面影响。

一、网络与信息系统面临的威胁

网络系统最终为人服务, 人为的威胁行为诸如各种网络人侵行为是网络安全威胁出现的根本原因。人为攻击又可以分为以下两种：一种是主动攻击，其目的在于篡改系统中所含信息,或者改变系统的状态和操作, 它以各种方式有选择地破坏信息的有效性、完整性和真实性；另一类是被动攻击，它通常会进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成极大的危害，并导致机密数据的泄漏。常见的人为因素影响网络安全的情况包括：

1.木马

木马指的是一种后门程序，是黑客用来盗取其他用户的个人信息，甚至是远程控制对方的计算机而加壳制作，然后通过各种手段传播或骗取目标用户执行该程序，以达到盗取密码等各种数据资料的目的。与病毒相似，木马程序有很强的隐秘性，随操作系统启动而启动。但不会自我复制，这一点和病毒程序不一样。

计算机木马一般由两部分组成，服务端和控制端。服务端在远处计算机运行，一旦执行成功就可以被控制或者制造成其他的破坏。而客户端主要是配套服务端程序，通过网络向服务端服务端发布控制指令。

木马的传播途径主要有通过电子邮件的附件传播，通过下载文件传播，通过网页传播，通过聊天工具传播。

木马程序还具有以下特征：

(1).不需要服务端用户的允许就能获得系统的使用权

(2).程序体积十分小, 执行时不会占用太多资源

(3).执行时很难停止它的活动, 执行时不会在系统中显示出来

(4).一次启动后就会自动登录在系统的启动区, 在每次系统

(5).的启动中都能自动运行

(6).一次执行后就会自动更换文件名, 使之难以被发现

(7).一次执行后会自动复制到其他的文件夹中

(8).实现服务端用户无法显示执行的动作。

著名的木马有Back Orifice，NetBUS Pro，SUB7，冰河等等。

通过以下方法可以有效防止木马：

(1). 安装系统补丁

(2). 安装并更新杀毒软件和防火墙，开启实时监控程序

(3). 不要访问不良网站

(4). 尽量不要下载安装“破解版”软件

(5). 尽量不要随意解压压缩文件

(6). 使用U盘，光盘等移动设备前用杀毒软件查杀病毒

2. 蠕虫

电脑蠕虫与电脑病毒相似，是一种能够自我复制的电脑程序。与电脑病毒不同的是，电脑蠕虫不需要附在别的程序内，可能不用使用者介入操作也能自我复制或执行。电脑蠕虫未必会直接破坏被感染的系统，对网络有较大的危害。电脑蠕虫可能会执行垃圾代码以发动拒绝服务攻击，令到计算机的执行效率极大程度降低，从而影响计算机的正常使用。

计算机蠕虫的主要危害表现为：信息泄露、占用网络带宽、破坏系统、开启后门和傀儡机器。

如果主机遭受到蠕虫的攻击，可以采取以下方法处理：

(1). 下载操作系统补丁

(2). 删除蠕虫释放的程序

(3). 使用蠕虫专杀工具

著名的计算机蠕虫有冲击波病毒，Sql蠕虫王等等。

3. 拒绝服务攻击

利用网络已被攻陷的计算机作为“丧失”，向某一特定的目标计算机发动密集式的“拒绝服务”要求，用以把目标计算机的网络资源及系统资源耗尽，使之无法向真正正常的请求用户提供服务。黑客通过将一个个“丧失”或者称为“肉鸡”组成僵尸网络，就可以发动大规模DDOS网络攻击。

Dos攻击的基本过程：首先攻击者向服务器发送众多的带有虚假地址的请求，服务器发送回复信息后等待回传信息，由于地址是伪造的，所以服务器一直等不到回传的消息，分配给这次请求的资源就始终没有被释放。当服务器等待一定的时间后，连接会因超时而被切断，攻击者会再度传送新的一批请求，在这种反复发送伪地址请求的情况下，服务器资源最终会被耗尽。

SYN Flood是比较流行的拒绝服务攻击的方式之一，这是一种利用TCP协议缺陷，发送大量伪造的TCP连接请求，使被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式。

4.SQL 注入式攻击

所谓SQL 注入式攻击，就是攻击者把SQL 命令插入到Web表单的输入域或页面请求的查询字符串中，欺骗服务器执行恶意的SQL 命令。在某些表单中，用户输入的内容直接用来构造（或者影响）动态SQL 命令，或作为存储过程的输入参数，这类表单特别容易受到SQL 注入式攻击。不仅如此，黑客们已经开发出自动化工具，利用谷歌等搜索引擎来找出可能存在漏洞的网站，然后将代码植入其服务器中。

SQL注入式攻击的主要形式有两种。一是直接将代码插入到与SQL命令串联在

一起并使得其以执行的用户输入变量。上面笔者举的例子就是采用了这种方法。由于其直接与SQL语句捆绑，故也被称为直接注入式攻击法。二是一种间接的攻击方法，它将恶意代码注入要在表中存储或者作为原书据存储的字符串。在存储的字符串中会连接到一个动态的SQL命令中，以执行一些恶意的SQL代码。

SQL注入式攻击的防治：

(1). 普通用户与系统管理员用户的权限要有严格的区分。

(2). 强迫使用参数化语句。

(3). 加强对用户输入的验证。

(4). 必要的情况下使用专业的漏洞扫描工具来寻找可能被攻击的点。

5. IPv6威胁

IPv6尽管相对于IPv4提高了安全性，但是仍然有很多安全威胁。例如：

(1). 非法访问

在ipv6依然是使用网络三层和四层信息界定合法和非法。因为有ipv6私密性扩展，禁止非常困难，为了保证内网的acl有效性，尽量禁止ipv6私密性扩展。

(2). 数据包头的篡改和数据包的分片

攻击者可以增加无限的ipv6扩展包头，来探测和攻击分片技术。

(3). 第三层和第四层的地址欺骗

6. 钓鱼式攻击

钓鱼式攻击是一种企图从电子通讯中，通过伪装成信誉卓著的法人媒体以获得如用户名、密码和信用卡明细等个人敏感信息的犯罪诈骗过程。这些通信都声称（自己）来自于风行的社交网站（YouTube、Facebook、MySpace）、拍卖网站（eBay）、网络银行、电子支付网站（PayPal）、或网络管理者（雅虎、互联网服务供应商、公司机关），以此来诱骗受害人的轻信。网钓通常是通过e-mail或者即时通讯进行。网钓是一种利用社会工程技术来愚弄用户的实例。它凭恃的是现行网络安全技术的低亲和度。种种对抗日渐增多网钓案例的尝试涵盖立法层面、用户培训层面、宣传层面、与技术保全措施层面。

钓鱼式攻击的防治：

(1). 识别合法网站

(2). 使用垃圾邮件过滤器过滤消除网钓邮件

7. 零日漏洞

“零日漏洞”是指被发现后立即被恶意利用的安全漏洞, 这种攻击利用厂商缺少防范意识或缺少补丁, 从而能够造成巨大破坏。虽然还没有出现大量的“零日漏洞”攻击, 但是其威胁日益增长。人们掌握的安全漏洞知识越来越多, 就有越来越多的漏洞被发现和利用。

防范措施如下：

(1). 协议异常检测

(2).模式匹配

(3).命令限制

(4).系统伪装