第三,点面结合,消除隐患。对与军网连接的信息系统,要加强技术检测,重点检查网络攻击防范、计算机病毒、信息先审后发、有害信息防治等措施。对内部网络,要重点检查操作权限管理、重要数据冗余备份、计算机病毒防治等措施。小编:第三,点面结合,消除隐患。对与军网连接的信息系统,要加强技术检测,重点检查网络攻击防范、计算机病毒、信息先审后发、有害信息防治等措施。对内部网络,要重点检查操作权
第四,健全机制,保障有力。各单位要建立健全24小时应急联动机制和值班值宿制度,制定安全服务机构的应急服务措施,为及时妥善处置重大突发事件提供有力保障。
各部门的网络与信息安全主管领导、领导小组、责任部门和责任人、管理员如有调整,应及时将调整情况报告上级。发生重大网络与信息安全问题(含泄密事件)要及时向主管领导和上级部门报告,并按照应急预案,采取有效措施,迅速解决问题。隐瞒不报者承担全部责任。
会后,我们将会同相关部门对所有网络与信息安全工作进行不定期抽查,对在检查中发现问题的单位提出限期整改意见。再次检查还不达标的单位或部门,将按照军队相关规定处理。对发生重大网络与信息安全事故的单位,将追究相关单位领导和具体负责人的责任。
国庆将至,希望各位将此次会议的精神向主管领导汇报,贯彻落实好,做好各自的自查整改工作。确保单位网络环境平安、稳定、畅通。
【点评】:这是一份在信息安全工作会议上的讲话材料。材料从本单位的实际情况出发,提出了一些具体可行、便于落实和操作的防范措施和对策办法,对我们做好信息安全工作具有一定的借鉴和指导意义。
【例文32】
网络信息安全与防护
网络技术支持全球信息的资源共享,为我们的工作和生活带来了前所未有的便利,但同时也对信息的安全性提出了挑战,目前网络上流行的常用攻击手段和方法包括使用病毒通过邮件进行传播,造成计算机和局域网的瘫痪;利用被控制的多台机器对某一目标机器进行攻击,使得该机器无法正常地提供服务;通过探测网络上计算机的系统漏洞,植入木马,对其进行远程控制等等。尤其值得注意的是攻击者由最初的对计算机系统的攻击发展为对个人计算机中信息资源的盗取。对于军队来说,机密信息的丢失可能比计算机系统可用性遭到破坏带来的危害性更大。攻击者信息窃取的主要手段是木马攻击,本文通过对木马的分析,提出预防和清除的方法,并未雨绸缪,从信息加密和数据备份与恢复的角度进一步保障信息的安全性。
一、木马伪装揭露
(一)木马
什么是木马?木马又称为特洛伊木马,其名称取自希腊神话的特洛伊木马记。此词语来源于古希腊的神话故事,传说希腊人围攻特洛伊城,久久不能得手。后来想出了一个木马计,让士兵藏匿于巨大的木马中。大部队假装撤退而将木马摈弃于特洛伊城下,让敌人将其作为战利品拖入城内。木马内的士兵则乘夜晚敌人庆祝胜利、放松警惕的时候从木马中爬出来,与城外的部队里应外合攻下特洛伊城。
木马就像一种埋伏在目标系统中的奸细,它可以接受来从远程网络发来的指令,使攻击者不必再进行复杂的侦察和入侵过程,轻而易举地获得目标系统的控制权。在计算机安全学中,木马实质是一种由服务器端和客户端两部分组成的程序,即网络客户/服务程序。网络客户/服务模式的原理是一台主机提供服务(服务器),另一台主机接受服务(客户机)。首先服务器端通过种种欺骗(伪装)的方法或是以被黑客入侵植入的方式进入被侵主机,然后作为服务器的被侵主机一般会悄悄打开系统的一个默认端口并进行监听(Listen),如果有攻击者使用客户端向服务器的这一端口提出连接请求(Connect Request),服务器上的相应程序就会自动运行,来应答客户端的请求,从而使客户端的攻击者得到对方系统的控制权。
(二)常用木马传播方式
1.欺骗接收或下载
通常包括QQ欺骗、邮件冒名、网页木马、危险下载点等。例如:邮件冒名,通过E-MAIL,控制端将木马程序以附件的形式夹在邮件中发送出去,收信人只要打开附件系统就会感染木马;危险下载点,一些非正规的网站以提供软件下载为名义,将木马捆绑在软件安装程序上,下载后,只要一运行这些程序,木马就会自动安装。
例如,(1)攻击者先使用文件压缩软件Winrar将将冰河木马的服务器端G_Server.exe与一张图片文件Welcome.jpg打包成自解压的Welcome.exe文件,并声称这是一个有趣的欢迎文件,以Email的形式或是下载点的方式提供给目标机。(2)如果目标机使用者接收或下载了这个自解压文件并执行,则冰河木马的服务器端G_Server.exe文件就被偷偷放置于可自启动系统目录C:windowssystem32中,并自动执行,打开冰河的木马端口7626端口,并生成伪装进程kernel32.exe。(3)此时攻击机启动冰河木马的客户端g_client.exe,就可以通过打开的7626端口取得目标机的控制权。
2.黑客主动攻击
以黑客攻击的方式植入木马的过程通常包括:(1)侦察、(2)入侵、(3)植入木马、(4)隐藏踪迹。
首先,黑客对目标系统进行预攻击探测即侦察。侦察手段主要是利用网络扫描程序对目标系统进行网络扫描,以获取目标系统的基本信息和系统漏洞情况,如目标系统的操作系统类型、安装的应用系统、提供的服务、开放的协议和端口和用户账号等。
掌握了目标系统的情况后,黑客就可以利用相应的攻击代码尝试入侵系统,根据目标系统的不同和安全防护水平的差异,入侵形式通常包括如盗用或破译密码、利用系统存在的漏洞和病毒传染等。例如:
(1)侦察,黑客事先通过扫描工具获得目标机器相关信息,假设已知目标机器安装了Windows2000系统且IP地址为26.28.210.45,使用了默认的管理员用户名administrator。
(2)入侵,黑客可以利用侦察获得的目标机的基本信息和系统漏洞,执行如下攻击代码,入侵对方主机。
①查看目标机器是否开机了,已知目标机IP为26.28.210.45
ping26.28.210.45
②建立与目标机器的连接
netuse\26.28.210.45\IPC$“”/user:administrator
(3)植入木马。黑客一旦入侵成功,可以通过以下代码将冰河木马的服务器端程序G_server.exe复制到被侵主机。
①把冰河木马的服务器端程序拷贝到目标机器上
copye:G_server\26.28.210.45administrator
②查看目标机器的系统时间,以便设定木马程序的运行时间
nettime\26.28.210.45
③设定木马程序运行的时间
at\26.28.210.45时间G_server.exe
at\26.28.210.45时间kernel32.exe
④使用客户端程序G_Client.exe对目标机器进行控制
至此黑客已将冰河木马的服务器端程序G_server.exe复制到了目标机器,使之运行,并通过冰河木马客户端程序G_Client.exe获取了目标机器控制权,可以像使用自己的机器一样,使用目标机器的软硬件资源。如下载目标机器的文件,执行修改注册表等操作。
隐藏踪迹,攻击完成后,黑客通常会删除或修改系统日志,消除入侵后留下的痕迹、销毁罪证以逃避追查。
(三)木马连接建立
那么,木马的服务器端和客户端(控制端)是如何建立连接的呢?在介绍木马连接建立之前,首先介绍一下什么是端口。端口是计算机提供服务的窗口,每种服务对应一个端口。端口是一个软件结构,被客户程序或服务进程用来发送和接收信息。一个端口对应一个16比特的数。服务进程通常使用一个固定的端口,例如,SMTP使用25、Xwindows使用6000。
木马连接的建立必须满足两个条件:一是服务器端已安装了木马程序;二是控制端(又称客户端,是入侵主机),服务器端(被侵主机)都要在线。在此基础上控制端可以通过与服务器端的木马端口与其建立连接。
以冰河木马为例,其服务器端的木马端口为7626。如下图所示A机为控制端,B机为服务器端,对于A机来说要与B机建立连接必须知道B机的木马端口和IP地址,由于木马端口是A机事先设定的,为已知项,所以最重要的是如何获得B机的IP地址。获得B机的IP地址的方法主要有两种:信息反馈和IP扫描。因为B机装有木马程序,所以它的木马端口7626是处于开放状态的,所以现在A机只要扫描IP地址段中7626端口开放的主机就行了,例如图中B机的IP地址是202.102.47.56,当A机扫描到这个IP时发现它的7626端口是开放的,那么这个IP就会被添加到列表中,这时A机就可以通过木马的控制端程序向B机发出连接信号,B机中的木马程序收到信号后立即做出响应,当A机收到响应的信号后,开启一个随机端口1031与B机的木马端口7626建立连接,到这时一个木马连接才算真正建立。值得一提的是,要扫描整个IP地址段显然费时费力,一般来说控制端都是先通过信息反馈获得服务器端的IP地址,由于拨号上网的IP是动态的,即用户每次上网的IP都是不同的,但是这个IP是在一定范围内变动的,如图中B机的IP是202.102.47.56,那么B机上网IP的变动范围是在202.102.000.000——202.102.255.255,所以每次控制端只要搜索这个IP地址段就可以找到B机了。
木马连接建立后,控制端端口和木马端口之间将会出现一条通道,如图所示。控制端上的控制端程序可借这条通道与服务器端上的木马程序取得联系,并通过木马程序对服务器端进行远程控制。
当前网址:http://www.paperaa.com/news/436.html
