-
谈到Windows平台下的恶意软件防护,方法听起来总是很简单:在电脑上装一个杀毒软件,然后就丢在一边不管了。每个人都是这么做的,对吗?好吧,事实上,它远不止这么简单,尤其是当涉及到保护运行在Windows服务器上的重要存储时。
研究表明,这些服务器是黑客犯罪的主要目标。根据Verizon发布的2012年数据破坏调查报告,恶意软件被列为影响服务器保密,数据防盗,完整性,真实性,可用性和功能性的最大威胁。Verizon还发现,包括服务器在内,有94%的数据受到了不同程度的威胁,这其中大部分的破坏其实都是可以避免的。
没有惊喜
微软2012年度安全报告也显示,Windows Server 2008 SP1系统的平均感染率和Windows 7 SP1基本相当。为了展示这个问题的严重性,Trustwave在它的2013全球安全报告中记录,对于Windows Server来说,从发现一个恶意软件那天开始,到正式发布补丁,微软平均需要话费375天的时间。你可以忍受让你的服务器如此长时间的暴露在这个风险之下吗?
受到Mandiant APT1报告中类似内容的启发,我在多个项目执行过程中,发现了成百上千的Windows服务器受到了恶意软件的攻击。底线是:Windows服务器被当作目标时,那些传统的防病毒软件根本没有办法帮助系统避开攻击。
当Windows受到恶意软件攻击的时候,服务器面临的问题仍然是尤其严重而特殊的一类:
1. 哪怕是在BYOD(携带个人的设备办公)的世界,服务器仍然存储这最重要的信息。它存储各种非结构化的文件和结构化的数据库,服务器仍然是“埋藏宝藏”的地方,也是罪犯最想入侵的地方。
2. 很多服务器通常是没有防御的。尽管我们为很多服务器安装了一些工具如Microsoft Security Compliance Manger,但是默认的服务器安装根本毫无价值可言。内部IT员工,甚至IT审计者常常忽视安全标准。越来越多的,第三方公司(比如服务器托管商、云服务提供商和独立软件供应商)仅部署那些对攻击毫无防护力的Windows服务器。
3. 没有打补丁的服务器是最容易受感染的,很容易被恶意软件及类似的滥用所影响。脆弱的堡垒总是最容易被攻破。另外,这些服务器还常常安装过时的软件,供应商早就停止了支持,不给他们提供补丁安装。
基于Windows的服务器最好不要装一堆第三方的软件。你不会喜欢在服务器上看到和客户端一样的Adobe Reader、Flash、ITunes这些软件,缺少第三方补丁是攻击问题的一大罪魁祸首。
如果你真想从最新的黑客攻击技术下保护好自己,你就必须更改从前的方法,包括卸载传统的杀毒软件,以下是一些可供参考的选择:
1. 你可以采用诸如Webroot和Panda这些供应商提供的基于云计算的防恶意软件技术。好处是,这类控制方式可以更加及时的对新型威胁进行防御,而只需要维护一个更小的足迹,这对服务器来说至关重要。有些甚至宣称能100%防护第一天产生的新型攻击。这个承诺可能有些夸张,但是比那些传统技术只能防御一小部分或者完全没有首日攻击防御能力的要强的多。
2. 采用诸如Sourcefire和Palo Alto网路公司提供的下一代基于互联网提供商安全标签的高级恶意软件防护技术,然后配合专业的应用程序,例如Damballa和FireEye这些公司提供的解决方案,是非常有益的一种方式。这些方案虽然价格比较高,但绝对物有所值,特别是对那些需要运营大型负责网络的大型集团而言。
3. 还有一种叫做应用白名单的技术,例如Bit9和Lumension安全这些公司就提供了基于这种技术的解决方案;通常它也能很有效的控制服务器端的安全。
我已经看到所有这些技术都在发挥作用,并且效果确实不错。但是每个网络和服务器的情况都不尽相同。我建议具体情况具体分析,还是要评估之后再决定到底那种技术对你的IT环境是最合适的。有厂商已经在围绕基于大数据技术展开的尝试。在许多案例中,当发现问题时,入侵者已经在网络之中了。这个时候作出适当的反应比完全不反应可能更合适一些。
在针对Windows入侵者时,最重要的是要制定一份行动计划。没有任何系统是完全没有漏洞的--事故总会发生。预防总是很理想化的,但是准备好相应的应对措施,总比打没有准备的战要好。
-
网络有害信息的发现和过滤技术手段
互联网的快速发展使得人们可以很方便的获得各种信息,与此同时,抵御互联网E的反动、淫秽或色情等有害信息的思想文化渗透成了一个迫切需要解决的问题。
互联网上主要有两类有害信息:
一类是反动、色情、迷信、谩骂和机密等有碍社会公德和不便公开的信息;
另一类是会影响互联网本身和用户计算机安全的不良代码,如特殊控制、计算机病毒等。
网络有害信息的发现机制主要有主动发现和被动防御两种方式。主动发现的方式主要有基于搜索引擎的有害信息主动监测,被动防御的方式以网络内容过滤为主。
1基于搜索引擎的有害信息主动监测技术
采用主动扫描探测方法进行有害信息监控的系统,首先要设计网络蜘蛛模块,实现对html、asp、php和jsp等网页的自动抓取,采用算法实现中文分词,开发信息索引模块,实现对网页的批量和增量索引,并且包含有害信息检索模块,实现有害信息监控及预警功能。
搜索引擎,概括起来其组成大致分为四个部分:
(1)搜索器。主要完成互联网上获取网页和链接结构信息进行分析处理;
(2)索引器。理解搜索器所搜索的信息,从中抽取出索引项,用于表示文档以及生成文档库的索引表,为用户检索奠定基础。索引器可以使用集中式索引算法或分布式索引算法,
(3)检索器。用户的查询在索引库中快速检出文档,进行文档与查询的相关度评价,对将要输出的结果进行排序,并实现某种用户相关性反馈机制。
(4)用户接口。主要作用是输入用户查询、显示查询结果、提供用户相关性反馈机制。主要目的是方便用户使用搜索引擎,高效率和多方式地从搜索引擎中得到有效并且及时的信息。
2内容过滤技术
内容过滤技术一般包括名单过滤技术、关键词过滤技术、图像过滤技术、模版过滤技术和智能过滤技术等。
现阶段的内容过滤技术主要分为基于网关和基于代理两种,二者都不能解决的问题是对网络速度的负面影响。而且因为是串行处理,如果网关和代理出现故障都会使网络不通。目前过滤技术大多在网络处理的应用层实现,适应性和安全性较差。基于网络层的实现,最大的挑战有两个方面:首先,应用层分析技术必须全面,因为直接对网络包进行应用需要充分了解需要过滤的所有应用在网络层是如何实现的。其次,是实现兼容性,为实现与操作系统网络底层处理融合,需要充分了解操作系统网络实现机制,甚至替代部分功能,如何不影响操作系统的原有功能是相当困难的,
1.3有害信息监测的核心技术
有害信息监铡的核心技术包括分词技术、文本内容分类关键字识别、变形关键字识别、锚文本分析、有害代码特征识别等
1、分词技术
对网页进行监测时需要进行特征项的提取。对于英文文本,一般足进行词汇的提取,由于词汇之间有天然的分隔符(空格),所以特征项的提取比较容易。中文信息没有这个特点,所以必须采用中文分词技术,把没有词汇标示的中文句子,通过某种特殊的技术切分出词汇。现有的分词算法可分为三大类:基于字符串匹配的分词方法(机械分词方法)、基于理解的分词方法和基于统计的分词方法。基于字符串匹配的分词方法也称为基于词典的分词方法是目前二种分词方法中最快的。影响这种方法分词速度的因素主要有两点:词典的结构以及匹配算法。
2、文本内容分类
文本内容分类是一个广泛研究的课题,它的任务足把一文本内容分类是一个广泛研究的课题,它的任务足把一以通过文本分类的方法,把网页分为有害信息网页和普通信息网页。现有的文本分类方法有支持向量机(SVM)、决策树、Nearest neighbor、algorithm等。这些训练过程的基本思路都是从文章中抽取出一些特征关键词,根据这些关键词在文章中的出现次数对文章进行向量化之后进行训练。
3关键字识别
对关键字词进行过滤,最理想的方法就是先对字串的词法、句法和语义信息进行分析,再根据句义进行取舍。但计算机对语法、语义的自动分析目前仍处于研究阶段,还不成熟。通常的做法是先人工做成一个含有需要过滤词汇的词典,再根据该词典对用户所发的信息进行检查,即在信息中逐个查找词典中的每一个词。如果找到,有两种方法处理:一是终止查寻,认为该留言不能发表;二是继续查找,直到找出文本中所有的关键词,然后计算该留言中关键词出现的频度,根据事先制定的规则,决定该信息能否通过发表。
4变形关键字识别
为了逃避过滤,不法分子会故意将留言中的关键字进行适当变形后进行提交。关键字常用的变形方法有同音字法、拼音法、字词颠倒法、字词间加其它字符串、以及多种变形混用法等。
由于关键字特征被完全打乱,基本上找不到可以匹配的关键字。因此首先根据关键词识别的情况,就可以判断出属于此类问题。然后只要采用矩阵的转秩算法就可以将这段文字恢复回正常的顺序,最后再进行过滤。
5锚文本分析
每一个超级链接都有一个描述文本即锚文本,这个文本反映了该网页与该链接所至网页的某种关系,是互联的关键所在。通过分析这个描述文本,就可以得到网页之间重要的关系。导向词是一组关键词,它们会引导搜索器按照一定顺序搜索网络。通过设置导向词以及对应的权值,锚文本中含有导向词的网页会被优先进行信息采集。权值的设定有根据经验手工设定和采用程序进行特征提取两种方法。
6有害代码特征识别
网络上除了有碍社会公德的有害信息外,还存在影响互联网本身和用户计算机安全的不良代码,如特殊控制、计算机病毒等。计算机病毒等可以通过各类防火墙的杀毒模块进机病毒等。计算机病毒等可以通过各类防火墙的杀毒模块进是网络过滤的重点。
(1)
可执行代码的过滤
HTML足一种标记语言,即在普通文本中插人一些标记(Tag)来控制文本的显示属性。
通常HTML本身不具有执行程序的功能,但HTML支持插入功能各异的ActiveX控件,如一般的客户端浏览器就支持非常流行的VbScript脚本语言和Java.Script脚本语言。为使调用Script脚本语言的代码失效,可以用。&1t;”代替“<”。因为。&h;”是“<”的转定义字符,浏览器在解释“&h;”时会把它当作“<”来处理,但它这时不会把“<”作控制符看,而只是把它当作显示字符。为避免大小写混写的“<Script>”查不出来,可使用Lcase0函数先把字符串变成小写再查,这样就限制了“<Script>”后面的脚本程序的执行,同时将代码显示出来。
(2)
贴图代码的过滤
在BBS中,文字可使用过滤的方法进行处理,图像信息和视频信息目前却无好的解决
办法。通常的做法是在BBS中禁用贴图和加视频流的代码。在HTML中,除了正常的贴图指令<IMG SRC=“?”>以外,还有很多可以贴图的非正规指令,也必须一一找出来加以过滤。
(3)
其它代码的过滤
述代码外,还有一些代码如果出现在BBS中,也有可能造成危害,因而需要在过滤程序中将这砦代码过滤掉,如包含页代码<IFRAMEx/IFRAME>,可以在页面中插入任何其它页面I自动跳转页面代码<meta httlYequiv=“refresh” content=-。3 l url=http://??/ncwpage.htm”>可以将页面从当前页跳转到任何页面。如果包含页或跳转贞面含有有害信息,一般来说,在BBS中需要过滤掉的代码有<img,background,<embed,<input,<iframe,<object,<applet,<script,<meta等。
-
不管人们是否喜欢美国前国防部长唐纳德·拉姆斯菲尔德,在听到他那段著名的"未知的未知"发言时还是肯定会忍俊不禁:
有些事情属于已知的已知;这些事情我们知道我们知道了。我们还知道已知的未知是存在的;也就是说,我们知道有些事情我们不知道。但未知的未知也是存在的——那些就属于我们不知道我们不知道的事情。”
尽管拉姆斯菲尔德因为这段发言而受到公众的嘲笑,但它确实属于一个政治家在不小心下说出实话的典例;实际上,我觉得任何了解计算机安全的人都会很快就明白他到底是在说什么。毕竟,我们就经常面临着三种类型的风险:已知的已知、已知的未知、未知的未知。
对于公共云计算应用部署工作来说,最大的障碍之一就是所有未知、已知等方面额外风险的计算。在过去几年的时间里,作为一名公共云供应商以及客户,我己经对这些问题进行过大量深入思考。文章下面所列出的五项风险,就是所有企业客户在选择采用公共云服务时都会面临到的问题。
头号云风险:共享访问模式
在公共云计算中,重要原则之一就是多重租赁。这就意味着,尽管不同客户之间通常都属于毫无关联的情况,但依然会共享相同的计算资源:CPU、存储、内存、命名空间以及物理建筑。
对于我们中的绝大多数人来说,多重租赁就属于一种巨大的已知的未知。它并不仅仅意味着我们的机密数据面临着意外泄露给其它租户的威胁,而且还造成了资源共享方面的额外风险。由于只要一处漏洞出现就能够导致其它租客或者攻击者看到所有其它数据或者掌握其它客户的真实身份,因而多重租赁所面临的严峻风险确实会令人非常不安。
实际上,安全漏洞方面新出现的几种类别就源自于云的共享性质。现在,已经有研究人员可以做到从本来应该是新存储空间的地方恢复出其它租户的数据来。其它研究人员则实现了查看其它租户的内存与IP地址空间。还有几位甚至能够通过对IP或者MAC地址的分配情况进行简单预测来达到控制其它租户整体计算资源的目标。
对于我们中的绝大多数人来说,多重租赁所带来的安全问题正变得越来越严峻,其中存在的薄弱环节需要立即加以探讨。从实际上,如果从历史上的情况来看,最好的例子就是一个与其它数百甚至几千个毫无关联的网站放在相同网络服务器上的站点。如果历史能够作为指导经验的话——通常情况下,确实是这样——从长远来看,多重租赁将会变成为一个很大的问题。
二号云风险:虚拟技术导致的漏洞
如果从虚拟化技术角度来看的话,所有大型云供应商本身就属于一名超级用户。当然,这就意味着除了物理设备上已经存在的所有风险外,它还有自身面临的独有威胁需要加上。这其中就包括了针对虚拟服务器主机以及客户的攻击。换句话说,我们经常面对的风险中,有四种主要是虚拟漏洞带来的:这就是,仅仅针对服务器主机、客户对客户、主机对客户以及客户对主机等情况。在绝大多数人的风险模型中,这些风险在很大程度上都属于未知类型,因而也没有进行过精确计算。
当我向公司相关高层提及虚拟技术导致的风险问题时,他们总是会显得毫无兴趣。很多人都对我说,所谓的风险是被夸大了,甚或认为这样的攻击属于闻所未闻的情况。而我通常就会告诉他们去看一下自己虚拟化软件供应商的修补程序列表。那里的实际情况可是一点也不轻松。
为了营造出足够的气氛来,我再透露一点严峻的现实:通常情况下,云客户对于所选虚拟化产品的实际型号或供应商正在运行的管理工具是什么一无所知。大家如果不相信其中的风险会这么大,也可以选择向自己的供应商提出下面的几个问题:公司目前使用的虚拟化软件是什么类型?当前的版本是什么?何人负责虚拟主机的补丁安装工作,更新频率如何?哪些人可以拥有登录进每台虚拟主机或者以用户身份进行浏览的权限?
三号云风险:身份认证、授权以及访问控制
显而易见,云供应商对于使用的身份认证、授权以及访问控制机制的选择是非常重要的,但它的实际效果在很大程度上往往要依赖于具体实施过程。他们搜索并删除过时账户的具体间隔是多长时间?有多少特权账户可以访问他们的系统——以及用户的数据?特权账户采用了什么类型的身份验证措施?我们是否与供应商或者间接地与其它租户共享了一个公共命名空间?毕竟,如果单从生产力的角度来看,共享命名空间以及身份验证措施的单一登录(SSO)模式效率会非常高;但与此同时,这也会导致数据面临的风险程度大幅上升。
数据保护则是另一项非常受关注的功能。如果供应商部署并使用了数据加密措施的话,租户之间是否需要共享私人密钥?在云供应商的团队中,有多少人能够看到我们的数据,他们都是谁?我们的数据存储在哪里的物理设备之上?一旦实际需求消失,它们会被如何处理?当然,我并不知道有多少云供应商愿意给出这些问题的详细答案;但是,如果我们希望找出已知与未知的情况都有哪些的话,就必须向他们提出问题。
四号云风险:可用性
如果我们选择成为云供应商的客户,冗余以及容错方面的问题就再也不受到自己控制了。糟糕的是,通常情况下,这些要求具体如何实现以及达到多高等级等情况都属于语焉不明的问题。实际上,这就属于完全不透明的项目。尽管所有云供应商都声称自己拥有梦幻般的容错性以及可用性,但经年累月之后,我们会发现即便是最大最好的服务也出现过中断数小时甚至数天的故障。
此外,我们需要更加关注的问题就是:极少数情况下或许会出现的客户数据丢失。实际上,导致如此后果出现的原因可能属于云供应商自身出现错误,也许是恶意攻击者造成破坏。通常情况下,云供应商采取的数据备份方式是极为出色的三重保护模式。但即便在供应商声称备份数据安全坚如磐石的情况,依然会出现数据丢失的现象——而且是完全彻底无法找回的情况。因此,如果有可能的话,公司应该坚持对通过云共享的数据进行备份,或者至少坚持保留在数据出现彻底丢失事故时提出起诉以获得必要赔偿的权利。
五号云风险:所有权
对于很多云客户来说,这条风险可能有些出乎意料;但是,现实中确实经常会出现客户往往不是数据唯一拥有者的情况。包括最大最有名在内的很多公共云服务供应商都会在合同中用专门条款明确指出,存储的数据属于供应商——而不是客户的。
云供应商之所以喜欢拥有这些数据,是因为这样在出现问题的时候就能够获得法律的更多保护。此外,他们还可以对客户数据进行搜索与挖掘等处理,为自身创造出带来额外收入的机会。我甚至还看到过这样的情况,一家云供应商倒闭了,客户的机密数据被作为其资产的一部分卖给了接手的买家。这样的现实情况的确令人非常震惊。因此,我们在作出选择之前,就应该确保明确了已知的未知问题:谁拥有我们的数据,以及云服务供应商到底都可以用它来做些什么?
云可见性
即便云计算中所面临的风险都属于众所周知的类型,它们依然非常难于进行真正的精确计算。目前,我们根本无法提供足够的历史经验与现实根据来确定出安全性或可用性故障的概率;尤其是在面对一家具体供应商的时间,以及这样的风险是否会导致客户出现大量流失的结果。实际上,我们目前能做到的最好程度就是学习拉姆斯菲尔德,至少做到对已知的未知部分进行亲自管理。
当然,这里的第一步工作就是努力减少未知的未知的数量。我们必须确保供应商的透明度能够变得尽可能高;如果没有什么意外的话,就应该获得至少一次相关成功审计报告的副本。在供应商介绍相关策略的时间,我们就应当询问上一位数据出现问题的租户都遭遇了哪些损失,以及最终是如何获得解决的。尽一切可能将云供应商需要承担的具体责任控制下来。毕竟,只通过询问难以回答的问题,我们才能开始认识到公共云计算会面临到的总体风险情况。
尽管从表面上来看,我好象是在对公共云计算进行极力贬低;但实际上,我就属于这项服务的一名铁杆支持者。我相信,相比起自己的客户,绝大部分公共云供应商在数据安全方面的工作都更为出色。但是,相比自身可以独立实现的效果,我们依然需要掌握云供应商的具体标准以及为降低风险而采取的实际措施。
-
对于商务笔记本而言,他或许并不需要太华丽的外观与高端的配置,但是它一定要品质坚固、性能稳定、易用安全,这些特质对于商务人士来说才是最为重要的。今天,笔者就为大家精选了一款时下商务市场受热捧的华硕PU500商务笔记本电脑,喜欢的朋友可以了解一下,作为参考。
华硕PU500商务笔记本电脑
HDD Protection 硬盘安全防护
华硕PU500比一般消费类笔记本电脑的坠落高度测试标准提高了两倍;接受了额外的20,000次铰链开启、闭合循环测试;面板承受的压力测试标准比普通消费类笔记本电脑高了20%;防泼洒键盘的应用也让用户再不用担心笔记本发生意外跌落。
同时华硕PU500设置了专属ASUS HDD Protection,可利用内建的重力传感器(G-sensor),侦测出加速度的变化,当加速度达到一定程度时,触发硬盘保护机制将硬盘读写磁头与硬盘盘片分离,从而保护硬盘。ASUS HDD Protection允许用户自定义硬盘保护敏感级别,更加方便外出携带随时调整机器安全防护等级,极具人性化。
性能强劲 全能易用
硬件方面,华硕PU500采用i5-3317U处理器,配备4GB DDR3 1600MHz内存,显卡方面配备了Intel® HD Graphics 4000显示核心,采用SSD+HDD的混合硬盘模式(选配),既保持了SSD快速读取(包括开机,读取应用程序,拷贝文件等)的优势,又具有传统机械硬盘的超高性价比。
Intel® 小型企业优势技术(Intel® SBA)应用于华硕PU500,它是一个包括硬件、软件的综合平台,提供独特的安全性和工作效率。它是专为小型企业管理网络的需求而设计,Intel® SBA包括6个应用程序,协助组织的安全性和工作效率:软件监控、数据备份和复原、USB 禁用程序、PC健康中心、节能工具和无线显示技术(选购)。
“非常3+1”上门新服务
华硕PU500商务笔记本电脑采用“非常3+1”的服务方式,为用户做出了承诺。提供3年全球联保加第一年上门增值服务详细参见链接http://www.asus.com.cn,服务中心遍布全国各地,提供3年免费的整机硬件保修服务(电池一年);还有3项贴心服务,3年国际联保服务。
只要用户在购买华硕笔记本电脑时配套购买笔记本上门服务,华硕就可以为用户提供针对华硕笔记本电脑的支持与帮助。当用户电脑出现故障时,只需拨打华硕大客户技术服务专线(1010-2222,华硕大客户服务专线提供周一至周五 9:00-18:00 5×9小时服务,法定节假日除外),为用户解决技术难题。
-
当你问到企业安全主管最近的主要工作,你会惊喜地发现他们最关心企业“安全文化”。的确,企业安全文化的缺失不容乐观:从很多安全评估资料和渗透测试的结果来看,即使企业在安全技术上做足了功课,一个很弱的安全文化也会让企业在这方面的努力付之东流。令人欣慰的是,安全主管们已经开始直面问题,并将注意力从寻找技术解决方案转向了安全文化的建立、宣传和员工的安全意识培养上。
安全文化如何建立?安全意识如何培养?为了进一步了解企业的员工安全意识培养计划,我们进行了详细的调查研究,以确定成功的关键因素。我们采访了财富500强
公司的安全意识培管理训者,并调查了公司的安全工作人员和普通员工。另外,我们还在英国的一个超过150名安全管理人员参加的安全管理项目中验证了结果,并收集到不少额外信息。
我们总结了7个重要的建议,尽管仍有很多地方待进一步优化,但这些建议还是能够引导我们实施一个成功的安全意识培养计划。
1. 争取获得C级支持
任何一个计划的实施,在获得C级支持后会更容易成功。这样的支持毫无疑问能获得更大的空间,更多的预算和更多来自其他部门的支持。安全意识培养计划负责人应当首先去争取有力的支持,而不是把精力放在其他事务上。
我们承认获得这一级别的支持有一定的困难,但我们的研究也找到了获得这种支持的最佳实践。成功的努力方向是经常强调安全意识属于合规性要求,强调服从安全意识带来的投资回报可以明确地为公司节约支出。另外针对高管还要准备特别的材料,比如给总经理准备通讯和短文,提供相关新闻和忠告等。
2. 与关键部门的合作
成功的安全意识培养计划能够找到一种方法让其他部门参与进来,比如法律、合规、人力资源、市场、隐私和人身安全等部门。如果获得了C级支持,那么搞定这些部门轻而易举。这些部门往往有共同利益可能服从甚至提供额外的资源,比如资金或分担宣传。通常情况下,这些部门能够强制进行安全意识的灌输。例如,法律和合规部门能够通过组织施加很大的影响,能够让安全意识成为其他流程所需的“组件”,例如拟定一个新的职责介绍。
为了获得这些支持,你可能已经发现,你必须在平常的安全意识培养工作中纳入合作部门的需求。例如,你可能会被建议在安全意识培养内容中包含合规内容。但如果这样做你能获得所需要的支持,这样的努力绝对是值得付出的。
3. 创意让工作更顺利
创意是必须的。虽然充足的预算将提供很大的帮助,但只有很少经费的公司依然能够实施成功的计划。创意和热情能够弥补经费的不足。举个关于创意的例子:某公司在一次安全活动中使用一个“安全立方体”。安全意识培训部门在主走廊设置了一个模拟柜,装有10个常见的安全违规项。员工如果能够分辨所有10个违规项则可以参加抽奖。另一个公司的活动则是在情人节当天分发巧克力,在巧克力包装中夹带安全策略文档。员工报告称他们感觉被强迫阅读文档,因为他们只喜欢巧克力。--这只是举例,但显然有不计其数的可能。
4. 让工作得以量化
工作是否成功,仍需要你自己去证明。做到这一点唯一的方法是意识培养工作启动之前明确工作成功的度量标准。没有标准,很难证实你的努力超过假设的成功。
度量标准包括态度的调查,可能还包括网络钓鱼的仿真工具的使用,预先以及后续的意识培训。你也能检查一系列与安全相关世间来客观评判,比如是否有人尝试访问被禁止的网站。如果你能够展示任何与安全相关的可度量的改进,你可以证明你的计划有效,可以获得额外的资金和支持。这是普遍现象,公司每个部门都需要证明自己的价值,安全也不例外。
5. 选择有效的措施
意识培养应关注于怎么去做而不是告诉人们什么不能做。显然很多行为不被允许,但是这些应该成为例外而不是规则。比如,你告诉员工不能使用社交网站是不现实的,有效的做法是你告诉他们该如何安全地使用社交网络。
6. 制定“90天计划”
大多数安全意识培养计划直接采用一个一年的计划,同时还企图占用一个主题月。这些都是无效的,因为它既不传授知识,也不回馈或者记录正在发生的事。相反,制定一个90天计划,每隔90天评估预先规划的目标,这才是最有效的。最成功的案例显示可以同时关注3个主题并且规律地充实整个90天。每个90天计划被单独评估以决定哪些议题需要解决和向前发展。
7. 多种形式的宣传材料
最成功的计划不仅有创意,他们还依靠多种形式的宣传材料。学习管理系统训练模块是一个有效方案,很多计划完全依赖它们进行宣传工作。但成功的方案却是采用了很多宣传工具,包括通讯,海报,游戏,新闻推送,博客,网络钓鱼仿真,等等。
另一个需要考虑的问题是所准备的材料应该符合不同阶层的喜好。比如,一些视频看起来适合年轻男性的口味,这时候你需要使用其他的视频或者材料去满足老年员工和女性员工。肯定没有所谓“一劳永逸”的方法。
结论
很多措施可以让安全意识培养计划成功,但也有些会导致其失败。不管如何,这些都应该是你的起点。没有技术能够永远弥补安全文化的不足,安全意识培养计划的实施可以补充、完善企业安全体系,安全显然应该成为常识。
-
网站情况分析
伴随着众多业务和应用的增加,网站变得越来越“有用”。但是,俗话说,方便与安全是一对天生的矛盾体:人们在享受着便捷互联网服务的同时,也在面临着复杂的信息系统所带来的更多安全风险和隐患。我们不难发现,在Web 1.0年代,所谓的“网站被黑”,大多是其页面被修改,如首页被篡改、页面被增加等;而到了Web 2.0年代,诸如网站页面被挂马、跨站脚本植入、注入式攻击等各式各样的攻击行为更是层出不穷。
那么,如何在保证业务和应用纷繁复杂的同时,还能继续保持信息系统的安全性,也就是达到效率和安全之间的平衡?这恐怕是所有网站都必须要关注的问题。
网站安全“三防”
大部分的网站在设计之初,更多考虑的是如何满足用户的应用,如何实现业务,很少甚至没有考虑网站的安全性。而与之相对应的是,网上的黑客工具、黑客教程多如牛毛。这使得那些脚本小子们攻击网站并不会比考驾照更困难。更加不幸的是,网站的管理者们往往并没有采用什么有效的手段来对付这些“自学成才”的“安全爱好者”,用来保护网站的仅仅是最普通不过的防火墙,或者更彻底:什么都没有。此外,和现实社会中不同的是,网络中的盗窃和抢劫,受害者往往并不知情:页面上被挂上木马长达数月而不自知的大有人在。
下面,我们不妨用著名的CIA三要素:Confidentiality(保密性),Integrity(完整性),和 Availability(可用性),来阐述一下作为互联网经典应用载体的网站,需要从哪些方面着手安全防护的建设工作。
CIA是信息安全的建设目标,相应的,网站安全防护也可以从这3个维度进行考虑。
1.保密性:防止黑客随意获取内部的私密信息。相对应的网站安全防护措施,即防攻击;
2.完整性:防止黑客在未授权情况下修改信息。相对应的网站安全防护措施,即防篡改;
3.可用性:确保有权限者可随时正常获取信息。相对应的网站安全防护措施,即防病毒(木马)。
这便是网站安全“三防”的概念。
为网站全面防御支招
那么,该如何实践网站安全“三防”呢?
我们为大家推荐:360度视角的全方位网站安全解决方案。该方案结合了标准的PDR模型,从检测、防护和响应三个层面全方位的进行网站安全防护。
1.360度安全防御之检测
和直观的页面被篡改不同的是,网页挂马由于其隐蔽性,甚至在攻击发生数月之后还能继续为害。这就需要有一套相应的检测机制,来定期对网站进行挂马检查以便及时发现。启明星辰公司推出的安星远程网站挂马检查服务,利用“沙箱”技术,模拟执行网页访问,而非单纯的模式匹配方式,对网页木马有很高的准确发现率。同时,还提供了安星远程网站漏洞检查服务,结合后台安全专家的人工分析,可以准确发现网站是否存在可利用的漏洞,并给出修补建议。
有些网站管理人员平时对网站安全关注不够,往往是发生攻击后,损失已经产生了,才临时抱佛脚进行响应,甚至很多情况下的解决措施也仅仅是恢复原有页面,而没有解决导致攻击的安全问题。利用安星的漏洞检查服务,可以从根源上发现已经存在的漏洞,从源头杜绝攻击的发生。
2.360度安全防御之防护
对于那些由于设计上的原因导致的安全漏洞,可能会由于需要使用某些应用,而无法进行修补或更新。针对这类漏洞的攻击行为大多基于应用,夹杂在正常的访问行为当中,防火墙类安全产品,由于无法准确识别应用层攻击行为,对这类攻击往往束手无策。如果需要防范此类攻击,必须选择可以对应用层威胁进行准确发现和防御的安全产品,特别是,针对这类攻击(以SQL注入,XSS攻击为代表),由于变种极多,传统的应用层威胁防御产品采用的特征匹配技术无法全面覆盖,有较高的漏报和误报率。
3.360度安全防御之响应
针对有些网站用户的技术力量相对单薄,无法自行修补和进行监控的状况。启明星辰还推出了网页安全修复服务,对网站中的应用程序存在的漏洞、页面中存在的恶意代码进行彻底清除,同时用户还可以选择白盒测试、黑盒测试对网站相关的安全源代码进行检查,找出源代码方面所问题,通过服务用户能够获得源代码问题所在以及安全修复建议或修改服务。一些缺乏专业外援团队的重要网站,能够通过这个专业团队的服务来强化网站系统的安全源代码设计,加强系统自身的安全性。
-
近日,瑞星公司正式推出了全新的永久免费个人安全产品——“瑞星个人防火墙V16”,用户可以通过瑞星官网下载安装并使用。瑞星此次推出的个人防火墙产品不仅在软件架构上进行了重新调整,并且更加智能,并可与市面所有杀毒软件全面兼容,用户几乎不需要进行设置就可以最大限度地保护电脑信息安全,免受各类网络攻击。
随着近年来网络存储、数据传输及信息处理等互联网技术的快速广泛应用,个人电脑随时处于黑客攻击、病毒入侵及恶意程序等网络安全威胁当中。据中国国家互联网应急中心报告显示,2012年有1400余万台主机遭受不同程度的境外网络攻击,比2011年增长了58%,而来自国内的攻击更是数不胜数。因此,解决网络攻击问题已刻不容缓。
据瑞星安全专家介绍,传统的杀毒软件是基于文件层面的防护,只能抵御病毒、木马等恶意程序对电脑的侵扰,无法防范来自互联网的黑客攻击。瑞星个人防火墙不仅可以在网络边界处对网络数据进行过滤,最大限度地抵御黑客的网络攻击威胁,还能有效拦截钓鱼网站,保护个人隐私信息。
目前,瑞星个人防火墙V16是目前国内唯一永久免费的个人防火墙,其具有的全新“智能拦截”功能可以让用户无需任何设置操作,就可远离黑客入侵及病毒攻击等威胁。此外,用户还可以自己编写防火墙规则,进一步提升防护能力。不仅如此,新版个人防火墙V16中还优化了“智能反钓鱼”、“广告过滤”、“家长保护”等功能,增加了更多实用价值,提升了用户体验。
瑞星表示,此次推出的瑞星个人防火墙V16不仅能帮助用户免受网络攻击,还为用户营造了更加智能、安全、绿色的上网环境。未来,瑞星将继续加大个人产品研发力度,为用户提供更全面更有效的网络信息安全产品。
-
从2012年4月份登陆创业板至今刚满一年的任子行作为A股新力军,主营业务为网络内容与行为审计和监管产品的研发、生产和销售,并提供安全集成、安全审计相关服务,也有望在移动互联网创新浪潮中抢得一席之地。
资料显示,任子行主营业务为计算机软硬件技术开发、销售及相关技术服务、计算机信息系统集成、电子商务、经营进出口业务等,是国内领先的网络内容与行为审计和监管整体解决方案提供商。
长期耕耘互联网安全领域
自2000年成立以来,公司已形成从计算机终端到网络在线分析等全面的网络内容与行为审计产品线,同时依靠已形成的核心技术优势和长期积累的互联网审计经验,为政府部门和行使监管职能的企事业单位提供多种互联网监管产品。
2010年末专用安全审计产品覆盖全国32.23%的网吧,网吧专用安全审计市场占有率全国排名第一;截至2011年12月31日已为近20家省级和地市级广电部门提供网络视音频节目监管产品,除此之外,公司其他产品线的销售也处于国内同业前列。
十余年来,公司始终坚持技术创新,凭借雄厚的技术实力,成为多个网络内容与行为审计和监管领域国家级重点科研项目的主要承担者之一。同时,公司参与了1项国家标准、4项行业标准的研究和制定工作。
公司将秉承“诚信、敬业、协同、创新”的企业精神,不断扩展核心技术和强化产品的服务内容,为用户提供从个人终端到互联网的网络内容与行为审计和监管整体解决方案,为用户创造一个高效、安全、绿色的互联网环境,使公司逐步发展成为中国最卓越的信息安全专家型IT企业之一。
行业化产品多线铺开
据悉,目前互联网内容监管的趋势,逐渐由国家层面向省市级层面细化,随之而来的是监管产品需求的增加,除了传统的公安系统之外,任子行在广电、通信、军队等行业也在较大规模的拓展监管产品;广电系统需要将互联网音视频纳入监管,而UGC、P2P 等各种形式的音视频增加了监管的难度,通信行业从ICP 服务商备案、IP 资源管理、运营商IDC 内容监管等各方面有持续的监管需求,而互联网进军队的趋势以及军队的高级别监管需求将诞生较大的监管市场。
公司的舆情业务同样走行业化道路,公司最早从广电的音视频舆情内容起步, 在技术方面有较多积累,未来将提供全面的产品和应用,公司最新推出SaaS 在线舆情服务以及面向微博的舆情管理系统,在舆情管理这个巨大的市场中保持较强竞争力。
作为互联网安全审计和监管领域的领先厂商,任子行最强的技术优势体现在对互联网协议分析的深度和广度,支持1000 多种网络协议的分析和还原;而在处理全省的上网日志、省内的音视频节目分析以及全国范围内的IP 追溯方面, 体现了公司较强的海量非结构化数据处理能力;在有线、Wifi、3G 等各种网络的位臵追溯,公司都可以保持速度和精准性的领先。
移动互联增长潜力巨大
2012年年报中,任子行表示,IT环境日趋复杂和新技术的不断涌现对信息安全提出了更高的要求。移动互联网、云计算、物联网等的不断涌现,使得信息的获取方式、存储形态、传输渠道和处理方式都发生了变化。用户的爆炸性增长、数据的快速膨胀不断增加了信息安全保护的难度,也要求信息安全产品具备更高的性能、更丰富的功能和更高的智能化。信息安全产品的形态不断发生变化,信息安全产品和设备之间加快融合,都带来了信息安全产业的重大变革。
任子行表示,公司将努力准确把握技术、产品及市场的发展趋势,及时调整新技术和新产品的开发方向,并研发出符合市场需求的新产品;以进一步稳固公司技术和市场优势。
数据显示,截至2012年12月底,我国手机网民规模为4.2亿,网民中使用手机上网的人群占比由上年底的69.3%提升至74.5%,智能手机等移动智能终端的普及,将为网民通过WiFi上网提供了极大的便利。截至2012年底,中国移动的WiFi热点总量达378万个,而根据中国电信和中国联通的既定计划,其2012年底的WiFi热点总量将分别达到120万个和90万个,随着WiFi的规模化建设的加速,用户将可以在家庭、单位、公共场所享受至无缝式的网络服务。
公司于2012年推出了附带审计功能的WLan产品,并在宾馆、餐饮等领域获得了推广应用。任子行表示,尽管由于技术原因,各厂家难以提供稳定性和性价比俱佳的WLan审计产品,短期内的市场推广会受到一定局限,相信随着WiFi审计产品技术的不断成熟,移动互联网审计产品将迎来快速发展阶段,公司的无线审计产品具备较强的收入增长潜力。
-
“互联网上的安全威胁与时俱进,每天都有新的危险产生。在面对威胁的时候,无论国内外的安全厂商都是处于防守一侧,都在帮助企业、个人用户提升安全防范水平。因此,在这个前提之下,安全厂商之间需要通过合作来提升整体安全防御水平。”赛门铁克公司中国区安全产品总监卜宪录在接受ChinaByte比特网记者采访时表示,“而在具体实践到项目时,从客户的角度而言,会认为厂商之间会存在竞争。但实际上,不同厂商之间的产品都各有特点,很多客户都会按照自己的规划和思路、想法构建一个综合的安全防御体系。”
赛门铁克公司中国区安全产品总监 卜宪录
从分立走向整合
不过,由于互联网的新威胁层出不穷,卜宪录认为,不同的安全产品之间还需要进行进一步整合,才能形成一个可靠的安全解决方案。“在现实中,很多企业都购买了不同功能的安全产品集成在一起打造其安全防御体系。”卜宪录说,“这就有点像木桶匠在箍木桶,来自不同厂商的不同功能的安全产品就是一块块的高低不同、形状各异的木板,尽管最终也能造出一个木桶,但木板与木板之间很可能存在缝隙,这就是潜在的安全隐患。同时,最短的那块木板,也决定了整个安全方案的安全水平。显然,预先整合好的安全方案会更有效。”
也正是意识到了这个问题,国外的很多用户都在重新考虑安全策略。“很多国外的大客户每年有非常高的IT预算,其购买的产品非常多。这些客户现在正在把种类繁杂的(安全)产品逐步转换为预先整合好的解决方案。”卜宪录说,“但这个过程不是一蹴而就的,这会是一个逐步的演进过程。在演进的过程中,每个厂商都能发挥自己的优势,赢得客户的更多信任,这同样是一个竞争的过程,也是一个需要时间的过程。”
安全解决方案也需开放
显然,在安全解决方案走向整合的演进过程中,单独凭借一家安全厂商的力量,很难在安全的每一个功能模块上都做到最佳,这就又回到了安全厂商之间如何合作这一老话题上。“互联网是开放的,攻击和威胁也是开放的。”卜宪录说,“因此,安全的解决方案本身也应该开放。赛门铁客的很多产品和解决方案都支持第三方的产品和技术。”
目前,赛门铁克提供了大情报网络,其中不仅有赛门铁克的知识和来源,也跟很多网络厂商、操作系统厂商、主机厂商有合作。“这就是我们的大情报系统。”卜宪录说,“赛门铁克不可能一家就做完把所有的事情。因此,在后台,我们做了很多整合的工作。”而在产品层面,赛门铁克有一类产品叫安全关联分析,它一定要支持不同的安全厂商、不同基础架构厂商的产品,才可以把这些信息都搜集上来做标准化,然后做关联分析,得到有价值的信息给客户。
小结
卜宪录表示,在这个演进的过程中,赛门铁克有三方面的优势:第一,赛门铁克有一个专家团队,能为客户提供咨询和服务,帮助客户规划一个安全体系;第二,赛门铁克有一个大情报的网络和系统,而不是单纯提供工具,能够帮助客户知道其企业所面临的安全态势,帮助客户了解他的敏感信息、核心知识产权都存放在哪里;第三,赛门铁克能够帮助企业制定出可操作的后续安全手段。其中,第三点才会涉及到产品跟解决方案。“原来,赛门铁克有很多单点产品。”卜宪录说,“现在,赛门铁克也在进行整合,把它们做成数量更少的、预先做好集成化的解决方案,帮助客户去解决更大的安全问题。”
-
木马程序被使用的时候,请先关闭系统中的病毒防火墙,因为杀毒软件会把木马作为病毒的一种进行查杀。
一、种植木马
现在网络上流行的木马基本上都采用的是C/S 结构(客户端/服务端)。你要使用木马控制对方的电脑,首先需要在对方的的电脑中种植并运行服务端程序,然后运行本地电脑中的客户端程序对对方电脑进行连接进而控制对方电脑。
为了避免不熟悉木马的用户误运行服务端,现在流行的木马都没有提供单独的服务端程序,而是通过用户自己设置来生成服务端,黑洞2004也是这样。首先运行黑洞2004,点击“功能/生成服务端”命令,弹出“服务端配置”界面。由于黑洞2004采用了反弹技术(请参加小知识),首先单击旁边的“查看”按钮,在弹出的窗口中设置新的域名,输入你事先申请空间的域名和密码,单击“域名注册”,在下面的窗口中会反映出注册的情况。域名注册成功以后,返回“服务端配置”界面,填入刚刚申请的域名,以及“上线显示名称”、“注册表启动名称”等项目。为了迷惑他人,可以点“更改服务端图标”按钮为服务端选择一个图标。所有的设置都完成后,点击“生成EXE型服务端”就生成了一个服务端。在生成服务端的同时,软件会自动使用UPX为服务端进行压缩,对服务端起到隐藏保护的作用。
服务端生成以后,下一步要做的是将服务端植入别人的电脑?常见的方法有,通过系统或者软件的漏洞入侵别人的电脑把木马的服务端植入其的电脑;或者通过Email夹带,把服务端作为附件寄给对方;以及把服务端进行伪装后放到自己的共享文件夹,通过P2P软件(比如PP点点通、百宝等),让网友在毫无防范中下载并运行服务端程序。
由于本文主要面对普通的网络爱好者,所以就使用较为简单的Email夹带,为大家进行讲解。我们使用大家经常会看到的Flash动画为例,建立一个文件夹命名为“好看的动画”,在该文件夹里边再建立文件夹“动画.files”,将木马服务端软件放到该文件夹中假设名称为“abc.exe”,再在该文件夹内建立flash文件,在flash文件的第1帧输入文字“您的播放插件不全,单击下边的按钮,再单击打开按钮安装插件”,新建一个按钮组件,将其拖到舞台中,打开动作面板,在里边输入“on (press) {getURL("动画.files/abc.exe");}”,表示当单击该按钮时执行abc这个文件。在文件夹“好看的动画”中新建一个网页文件命名为“动画.htm”,将刚才制作的动画放到该网页中。看出门道了吗?平常你下载的网站通常就是一个.html文件和一个结尾为.files的文件夹,我们这么构造的原因也是用来迷惑打开者,毕竟没有几个人会去翻.files文件夹。现在我们就可以撰写一封新邮件了,将文件夹“好看的动画”压缩成一个文件,放到邮件的附件中,再编写一个诱人的主题。只要对方深信不疑的运行它,并重新启动系统,服务端就种植成功了。
二、使用木马
成功的给别人植入木马服务端后,就需要耐心等待服务端上线。由于黑洞2004采用了反连接技术,所以服务端上线后会自动和客户端进行连接,这时,我们就可以操控客户端对服务端进行远程控制。在黑洞2004下面的列表中,随便选择一台已经上线的电脑,然后通过上面的命令按钮就可以对这台电脑进行控制。下面就简单的介绍一下这些命令的意义。
文件管理:服务端上线以后,你可以通过“文件管理”命令对服务端电脑中的文件进行下载、新建、重命名、删除等操作。可以通过鼠标直接把文件或文件夹拖放到目标文件夹,并且支持断点传输。简单吧?
进程管理:查看、刷新、关闭对方的进程,如果发现有杀毒软件或者防火墙,就可以关闭相应的进程,达到保护服务器端程序的目的。
窗口管理:管理服务端电脑的程序窗口,你可以使对方窗口中的程序最大化、最小化、正常关闭等操作,这样就比进程管理更灵活。你可以搞很多恶作剧,比如让对方的某个窗口不停的最大化和最小化。
视频监控和语音监听:如果远程服务端电脑安装有USB摄像头,那么可以通过它来获取图像,并可直接保存为Media Play可以直接播放的Mpeg文件;需要对方有麦克风的话,还可以听到他们的谈话,恐怖吧?
除了上面介绍的这些功能以外,还包括键盘记录、重启关机、远程卸载、抓屏查看密码等功能,操作都非常简单,明白了吧?做骇客其实很容易。
三、隐藏
随着杀毒软件病毒库的升级,木马会很快被杀毒软件查杀,所以为了使木马服务端辟开杀毒软件的查杀,长时间的隐藏在别人的电脑中,在木马为黑客提供几种可行的办法。
1.木马的自身保护
就像前面提到的,黑洞2004在生成服务端的时候,用户可以更换图标,并使用软件UPX对服务端自动进行压缩隐藏。
2.捆绑服务端
用户通过使用文件捆绑器把木马服务端和正常的文件捆绑在一起,达到欺骗对方的目的。文件捆绑器有广外文件捆绑2002、万能文件捆绑器、exeBinder、Exe Bundle等。
3.制做自己的服务端
上面提到的这些方法虽然能一时瞒过杀毒软件,但最终还是不能逃脱杀毒软件的查杀,所以若能对现有的木马进行伪装,让杀毒软件无法辨别,则是个治本的方法。可以通过使用压缩EXE和DLL文件的压缩软件对服务端进行加壳保护。例如Step1中的UPX就是这样一款压缩软件,但默认该软件是按照自身的设置对服务端压缩的,因此得出的结果都相同,很难长时间躲过杀毒软件;而自己对服务端进行压缩,就可以选择不同的选项,压缩出与众不同的服务端来,使杀毒软件很难判断。下面我就以冰河为例,为大家简单的讲解一下脱壳(解压)、加壳(压缩)的过程。
如果我们用杀毒软件对冰河进行查杀,一定会发现2个病毒,一个是冰河的客户端,另一个是服务端。使用软件“PEiD”查看软件的服务端是否已经被作者加壳。
现在,我们就需要对软件进行脱壳,也就是一种解压的过程。这里我使用了“UPXUnpack”,选择需要的文件后,点击“解压缩”就开始执行脱壳。
脱壳完成后,我们需要为服务端加一个新壳,加壳的软件很多,比如:ASPack、ASProtect、UPXShell、Petite等。这里以“ASPack”为例,点击“打开”按钮,选择刚刚脱壳的服务端程序,选择完成后ASPack会自动为服务端进行加壳。再次用杀毒软件对这个服务端进行查杀,发现其已经不能识别判断了。如果你的杀毒软件依旧可以查杀,你还可以使用多个软件对服务端进行多次加壳。笔者在使用Petite和ASPack对服务端进行2次加壳后,试用了多种杀毒软件都没有扫描出来。现在网络中流行的很多XX版冰河,就是网友通过对服务端进行修改并重新加壳后制做出来的。
四、防范
防范重于治疗,在我们的电脑还没有中木马前,我们需要做很多必要的工作,比如:安装杀毒软件和网络防火墙;及时更新病毒库以及系统的安全补丁;定时备份硬盘上的文件;不要运行来路不明的软件和打开来路不明的邮件。