序言：作為思想的載體和知識的探索者，寫作是一種獨特的藝術，我們為您準備了不同風格的5篇網絡安全攻防，期待它們能激發您的靈感。

篇1

關鍵詞：網絡安全；攻防訓練；平臺設計

近年來，隨著計算機網絡和信息系統應用加速，各類信息安全和網絡攻擊事件時有發生，防不勝防，并且逐步滲透到國家安全、經濟發展、人民生活的各個領域，使得當今社會對信息安全人才的需求日益緊迫和突出。目前開展網絡攻防訓練存在以下幾個制約因素：（1）構建真實的物理平臺需要優質的物理設備和復雜的實現環境，費用昂貴、模擬規模有限且設備更新換代較慢，不利于對最新網絡安全技術的學習和掌握。（2）網絡攻防實驗一般對網絡設備具有破壞性，在真實的網絡中開展攻防實驗管理難度大，訓練風險高[1]。（3）采用OPNET和NS2等網絡安全仿真軟件存在仿真對象單一、平臺制約多、缺乏系統性等問題。本文借助虛擬化技術，采用B/S架構設計并實現一種集攻擊、防護訓練及學習功能于一體的網絡安全攻防訓練平臺。該平臺充分利用現有的設備和網絡基礎設施環境，設備資源利用率高、組建靈活，可擴展性強，利于系統地開展網絡攻防訓練。

1平臺架構及功能設計

1.1平臺系統架構

平臺分為物理資源層、虛擬化層和用戶管理層3個層次：（1）物理資源層主要包括物理計算機、服務器、存儲設備及網絡等。（2）虛擬化層是攻防訓練平臺的底層核心，將互聯的物理計算機和存儲設備虛擬化為由內存、顯卡、磁盤和CPU組成的網絡資源池，通過虛擬化可在資源池上運行多個共享資源虛擬機，以實現不同應用。（3）用戶管理層是攻防訓練平臺的應用核心，主要包括靶場中心、工具臺、實訓中心、管理控制中心4個功能模塊，用戶通過瀏覽器訪問Web用戶交互界面來使用攻防訓練平臺進行攻防訓練。

1.2平臺功能設計

（1）實訓中心以課程為向導，分為攻擊和防護兩大方面，區分具體類別提供配套電子實驗指導書、知識庫、漏洞庫等，供參訓人員自主選擇學習。（2）工具臺集合了訓練中所用到的各種攻擊防御工具，按不同的類別進行分類，用戶訓練時可通過Web網頁下載工具臺當中的工具供訓練使用。（3）靶場中心是靶機的集合，為網絡攻防訓練提供目標和環境。靶機（TargetsHosts）上預置了存在安全漏洞的網站、應用程序或是操作系統等，攻擊者可以通過查找漏洞進行相應的攻擊訓練，防護者通過修復漏洞練習網絡防護技巧。（4）管理控制臺主要包括監控管理和系統維護兩個方面的功能。監控管理可根據定義好的規則過濾網卡的流量，從而通過抓取正在訓練的虛擬機的流量包，對整個平臺正在訓練的虛擬機進行監控，并采集大量真實的數據信息用于后續分析。對網絡攻防訓練平臺的系統維護可以分為基本維護管理和高級維護管理兩類。基本維護管理主要是對平臺門戶網站的維護，包括網站內容更新、欄目管理、工具臺列表更新等日常維護。高級維護管理主要是指對攻防訓練平臺基礎結構進行調整，包括添加新服務器對虛擬資源池進行擴展，部署新的工具臺虛擬主機（ToolsHosts），在工具臺中添加新的攻擊工具，根據新發現的漏洞建立相應的靶機環境，以及為現有工具臺、靶機調整虛擬硬件資源等。

2系統實現

2.1虛擬化解決方案

虛擬化是一個簡化管理、優化資源的解決方案，通過虛擬化可以把有限的固定資源根據不同需求重新規劃，以達到最大利用率。綜合考慮適用性及軟件成本，筆者采用VMware公司的基于vSphere的服務器虛擬化解決方案[2]。vSphere可提供包括計算、存儲、網絡的基礎架構服務以及包括可用性、安全性、可擴展性的應用程序服務[3]。在本平臺中使用了vSphere的VMwareESXi，VMwarevSphereClient和VMwarevCenterServer功能組件，如圖1所示。VMwareESXi是VMwarevSphere的核心組件，安裝好ESXi的服務器稱之為ESXi主機。ESXi從內核級支持硬件虛擬化，提供強健的、高性能虛擬化層，允許在ESXi主機上創建的多個虛擬機共享硬件資源。VMwarevCenterServer是VMwarevSphere的ESXi主機和虛擬機集中管理組件[4]，能使用標準化模板在ESXi主機上快速部署虛擬機，并對其提供集中化管理、配置和性能監控。VMwareVSphereClient是VMwarevSphere的管理端，可以用來遠程登錄并管理VMwarevCenterServer服務器。本平臺中可以通過vSphereClient遠程連接控制單臺ESXi主機，也可以通過vSphereClient登錄VMwarevCenterServer，集中管理多臺ESXi主機及其上的虛擬機。為了保證網絡安全攻防訓練平臺的性能，我們使用vSphereHA（高可用）技術，當服務器集群中硬件失效時，實現虛擬服務器自動在集群中另一個主機上重啟。使用VSphereDRS（分布式資源管理）技術，在不同ESXi主機間進行虛擬機的遷移，從而自動平衡ESXi集群的負載，并且可根據資源分配策略，設置虛擬機優先級和限制虛擬機資源使用等，對集群范圍內的資源進行分配，從而提升平臺的整體性能[5]。

2.2工具臺

工具臺用于存放攻防訓練平臺的常用攻防工具，創建工具臺的過程如圖2所示，共分4步。（1）通過VMwarevCenterServer新建虛擬機；（2）在虛擬機中，安裝攻防工具包，并對其可用性、穩定性等基本情況進行測試；（3）在完成攻防工具的安裝部署后，更新平臺網站的攻防工具列表使其可以通過網頁被調用，攻防工具列表以csv格式存儲，使用DMcsvEditor工具進行編輯；（4）在平臺網站中添加新的頁面鏈接，使用戶可以調用攻防工具。

2.3靶場中心

靶場中心為網絡攻防訓練提供目標和環境，首先通過VMwarevCenterServer新建虛擬機作為靶機，然后在靶機中安裝存在漏洞的操作系統、應用程序或是部署存在漏洞的網站等，在部署完成后更新平臺網站的靶機鏈接，使用戶可以通過平臺網站直接獲取靶機的信息進行攻擊和防護，也可以通過平臺提供的工具間接對靶機進行攻擊和防護。

2.4實訓中心

實訓中心以課程為向導，分為攻擊和防護兩大方面。攻擊方面從“按攻擊方法”和“按攻擊對象”兩個維度將全部課程分類，課程按照攻擊方法可分為“信息收集”“木馬病毒”“密碼破解”“網絡欺騙”“溢出攻擊”“DOS攻擊”“逆向工程”等類別；按照攻擊對象可分為“操作系統”“應用平臺”“交換機”“防火墻”“VPN”等類別，并提供配套電子實驗指導書。防護方面包括防火墻、入侵檢測系統、路由器、交換機的配置應用訓練，以及網絡安全知識庫，共享漏洞庫。網絡安全知識庫主要是以文字的形式提供網絡安全防護基本概念和常用的防護手段等。共享漏洞庫主要是用于實時更新、各類已知的共享漏洞，并提供各類漏洞的解決方案，以便用戶了解最新漏洞并盡快對其修補。

2.5部署方式

平臺采用B/S架構，創建平臺門戶網站，用戶不僅可以在局域網內實訓，也可以通過互聯網使用瀏覽器對平臺進行遠端訪問和操作。本平臺打破訓練模式的局限，可實現用戶隨時隨地參與線上訓練。

3結語

網絡安全攻防平臺的實現降低了網絡攻防實驗對物理設備和實際網絡環境的破壞性，減少訓練成本的投入，且能夠通過因特網實現線上訓練，滿足不同層次人員對網絡攻擊、防御過程及細節學習和訓練的需求，具有較大實用價值。

[參考文獻]

[1]張力，周漢清.基于云計算技術的網絡安全攻防實驗平臺設計[J].軟件導刊，2015（9）：188-191.

[2]底曉強，張宇昕，趙建平.基于云計算和虛擬化的計算機網絡攻防實驗教學平臺建設探索[J].2015（4）：147-151.

[3]VMware中國網站.vSphere產品[EB/OL].（2014-09-25）[2017-10-15].http：

[4]黃曉芳.網絡攻防實驗平臺開發與實現[J].實驗技術與管理，2017（5）：73-76.

篇2

科學技術的發展帶動了網絡系統的發展，網絡系統的使用越來越普及，網絡系統已經與人們日常工作、學習和生活產生了緊密的聯系。但是，在計算機網絡普及的同時，網絡系統的安全性問題越來越多的暴露出來，已經成為制約網絡系統發展的重要因素之一。

[關鍵詞]

網絡系統；攻防特點；安全策略

一、引言

伴隨著網絡系統使用的范圍不斷擴大，網絡系統的安全問題也越來越多的暴露出來。網絡系統的安全問題與網絡系統攻防特點有直接的關系。本文介紹了網絡系統攻防的特點，主要包括攻網絡防技術的特點、網絡攻防成本的特點、網絡攻防主體、網絡攻防空間的特點和網絡攻防發展的特點。結合目前網絡系統安全性現狀，做出了維護網絡系統安全性的安全策略。希望通過本文的介紹，能夠為維護網絡系統安全提供理論依據和指導意見。

二、網絡系統攻防特點

網絡系統包括網絡攻擊系統和網絡防御系統，網絡攻擊系統和網絡防御系統的聯系是非常密切的。所謂網絡攻擊系統是指攻擊者利用網絡系統搜集被攻擊網絡的信息，搜集之后進行對比、研究，發現被攻擊網絡的漏洞，針對漏洞進行攻擊，進而達到監視或者控制被攻擊網絡的目的，甚至造成被攻擊網絡癱瘓。網絡攻擊可以是大范圍的攻擊，采用的方式有很多種，并且攻擊的隱蔽性好。網絡防御系統是與網絡攻擊系統對立的，網絡防御系統通過加密技術和身份認證等技術，保護網絡能夠抵御外界攻擊并且保證傳輸的數據信息等不被監視。網絡防御的范圍相對比較小，只能對特定范圍的計算機網絡進行保護。網絡系統攻防特點主要包括攻網絡防技術的特點、網絡攻防成本的特點、網絡攻防主體、網絡攻防空間的特點和網絡攻防發展的特點。下面對網絡系統攻防的特點逐條進行介紹。

1、網絡攻防技術的特點網絡系統本身是屬于技術含量非常高的，但是，正是由于科學技術的不斷發展，產生了一系列雖然本身技術含量高，可是操作卻相對比較容易的網絡攻擊系統。攻擊的操作者不需要對網絡有太高深的理解，只要按照相關提示進行操作便可實現網絡攻擊。針對網絡應用軟件、網站等等存在漏洞和缺陷是可以理解的，正是由于存在漏洞的缺陷在能促進其不斷完善。正常情況下有關應用軟件、網站的漏洞和缺陷應該屬于機密，外界人員是不能知道的，但是，目前這些本應屬于機密的文件在網絡上可以很輕易地獲知，這就對應用軟件和網站構成了潛在的威脅，導致網絡的安全性和穩定性處在隨時可能被破壞的陰影之下。一些網絡攻擊者本身對網絡系統和網絡攻防系統非常了解，進而開發了網絡攻擊工具或者網絡攻擊軟件，配備詳細的使用說明進行銷售，從而使得很多人都能夠應用這些攻擊工具或者網絡攻擊軟件進行網絡攻擊，破壞性和不良影響非常巨大。與網絡攻擊系統向對立的網絡防御系統，對防御技術的要求就要高很多。目前，很多人都只具備簡單的網絡常識，例如安裝防護軟件，網絡查殺病毒等等。當遇到有針對性的攻擊時，往往素手無策，需要專業的人員才能解決問題。

2、網絡攻防成本的特點通常網絡系統的攻擊成本是非常廉價的，只要一臺能夠上網的計算機就能實現，并且很有可能只是通過這樣廉價的設施在短時間內就能破壞很大的網絡系統，造成網絡系統數據損失或者整個網絡系統運行癱瘓，損失的人力和金錢是相當巨大的。網絡攻擊甚至能夠針對衛星進行攻擊，特別是發射時間比較靠前的衛星，因為缺乏必要的安全防護措施，在受到攻擊之后不具備防御能力，非常容易遭到干擾。就算是針對近年來發射的本身自帶防御措施的衛星，網絡攻擊者仍然能夠有漏洞可以鉆，潛在的危害非常大。

3、網絡攻防主體的特點傳統的實體較量中，攻防較量的雙方通常應該是整體實力相差不多。在實體較量中，實力非常弱的一方去挑戰實力非常強的一方現象是很少出現的。在網絡系統中，這種定律被打破了。不同實力的雙方進行較量時，較量的結果是不確定的，不再一定是實力強一方獲勝了?；诰W絡攻防主體的特點，促進了不同等級的網絡主體進行較量，任何一方都可以主動發起挑戰。弱國不再一直處于防守狀態，強國也不再一直處在攻擊狀態。

4、網絡攻防空間的特點傳統的實體進行較量，對空間有要求，需要空間位置上的接近。網絡攻防打破了對空間上的約束。攻擊者可以位于世界上的任何一個有網的地方，對世界上任何地方的網絡進行攻擊。網絡攻擊的隱蔽性好，可以通過多個網絡平臺之后再進行攻擊，能夠有效的將自己隱藏起來，防御方想要確定攻擊位置和攻擊方都存在很大的困難。

5、網絡攻防發展的特點網絡攻防系統是相互對立，并且相互制約的，但是網絡攻防的發展是不同步的。網絡防御技術的發展要落后于網絡攻擊技術的發展，往往是攻擊者根據掌握了網絡知識和攻擊技巧后，通過網絡攻擊系統向網絡防御系統發出攻擊，網絡防御系統為了保證自身的安全性和穩定性作出防御反應。通常正是由于攻擊系統的不斷攻擊，才促進了防御系統的發展與進步。正是這種攻擊與被攻擊、進步與被進步的緊密聯系促進了網絡系統的發展，同時也證明了，一個網絡系統要想長期安全、穩定的發展下去，需要始終保持發展的眼光。

三、網絡系統安全策慮

網絡系統給人們的工作、生活和學習帶來了相當大的便利，人們的工作、生活和學習已經離不開網絡系統。網絡系統存在的網絡安全是一種潛在的威脅，一旦出現網絡安全問題有可能造成很大的損失，因此需要加強對網絡系統安全問題的重視。網絡系統安全問題與網絡系統攻防有著必然的聯系，網絡系統的攻防較量決定了網絡系統的安全性。上一章已經對網絡系統攻防特點進行了介紹，本章將對網絡系統安全策略進行介紹。

1、網絡病毒防范網絡系統中的安裝軟件和程序往往是存在漏洞和缺陷的，計算機病毒正是利用了相關的漏洞和缺陷產生的。網絡系統的發展一方面方便了用戶，另一方面也導致網絡病毒的種類越來越多，傳播速度越來越快，造成的破壞力也越來越大。對網絡病毒進行防范是比較直接的降低網絡安全問題的一個策略。可以再計算機中安裝正規的殺毒軟件，殺毒軟件通常可操作性強，對于網絡知識比較薄弱的人來說也比較容易使用。對于安全性未知的網站不要輕易登錄，不下載和使用來歷不明的軟件和程序，對于下載的軟件和程序首先要進行殺毒，確保沒有病毒之后才能進行后續的安裝。對系統隨時進行更新，減少漏洞和缺陷，避免因為存在明顯的漏洞而被網絡攻擊者有機可乘。

2、安裝防護墻防火墻位于網絡系統內部和網絡系統外部之間，用于保證網絡系統內部的安全，可以說是保證網絡系統內部安全性的一道關卡。防火墻能夠對網絡系統外部的數據和程序進行甄別，確定是否為惡意攻擊數據和程序，如果確定為攻擊數據和程序，將把其攔截在網絡系統之外，不允許其進入到網絡系統內部，防止對網絡系統內部造成破壞。防火墻起到監控網絡系統傳輸數據的功能，對于存在隱患的數據限制傳輸。從網絡系統攻防角度來講，防火墻主要是針對網絡系統進攻方，防止網絡系統進攻方針對網絡系統的安全攻擊。

3、加密數據網絡系統的攻擊者一旦穿過了防火墻進入網絡系統內部，如果采用普通數據，系統攻擊者將會比較輕松的獲得網絡系統中的數據，損失慘重。如果將數據進行加密，則為網絡系統攻擊者增加了障礙，有利于降低對網絡系統的損失。加密技術的發展比較早，目前網絡加密數據技術已經發展的相對比較成熟。網絡加密的手段比較多，目前比較常用的是對稱密鑰和非對稱密鑰，網絡安全維護者可以根據實際的網絡環境合理的選擇使用對稱密鑰或者非對稱密鑰，必要時，可以同時使用。

4、數字簽名數據在網絡系統雙方之間進行傳輸時，發送數據方可以在數據上進行數字簽名，數字簽名起到鑒別發送者的作用，避免接收者對數據誤解而錯接了含有病毒的數據，造成意外損失。數字簽名還有另外一個作用，加入數字簽名之后，接收者可以明確看出數據或者程序是否有缺失。

5、數字證書網絡系統中使用的數字證書與人們在實際生活中使用的身份證作用相同，是一個用戶身份的證明。身份證需要到民政部門辦理，網絡數字證書同樣需要經過合法的第三方進行認證，只有經過認證之后，才能起到作用。在網絡系統進行傳輸數據時，加入數字證書認證，能夠有效的進行保密，防止惡意攻擊。

四、總結

科學技術的發展加快了網絡系統的發展，網絡系統已經與人們的生活和工作產生了密切的聯系。由于網絡系統自身的技術特點，造成網絡系統存在被攻擊和破壞的可能性。人們在使用網絡系統的時候，不可避免的會遇到網絡的安全問題，并且目前網絡安全問題有日益突出的趨勢。網絡系統的安全問題與網絡系統的開放性質有關，與網絡系統的攻防特點也密切相關。本文首先簡單介紹了網絡攻擊系統和網絡防御系統概念，然后介紹了網絡系統攻防特點，網絡系統攻防特點主要包括攻網絡防技術的特點、網絡攻防成本的特點、網絡攻防主體、網絡攻防空間的特點和網絡攻防發展的特點。最后結合網絡系統自身的特點、網絡攻擊系統、網絡防御系統特點以及目前的網絡系統安全問題，闡述了網絡系統安全策略。網絡系統安全策略包括網絡病毒防范、安裝防火墻、加密數據、數字簽名和數字證書。只有做好了各個環節的安全策略，才可能保證網絡系統整體的安全性。

參考文獻

[1]向陽霞.基于虛擬靶機的方法在網絡攻防實驗教學中的應用[J].網絡與通信技術,2010(5)

[2]鄧曉勇.淺談計算機網絡攻擊特點及對策[J].內蒙古科技與經濟,2008(11)

篇3

信息技術的飛速發展，帶動了互聯網的普及，而伴隨著互聯網開發性和便捷性的日漸凸顯，網絡安全問題也隨之產生，并且迅速成為社會發展中一個熱門話題，受到了越來越多的重視。自2010年Google公司受到黑客攻擊后，APT攻擊成為網絡安全防御的主要對象之一。文章對APT攻擊的概念和特點進行了討論，結合其攻擊原理研究了對于網絡安全防御的沖擊，并提出了切實可行的應對措施。

關鍵詞：

APT攻擊；網絡安全防御；沖擊；應對

前言

在科學技術迅猛發展的帶動下，網絡信息技術在人們的日常生活中得到了越發廣泛的應用，如網絡銀行、網上購物等，在潛移默化中改變著人們的生活方式。但是，網絡本身的開放性為一些不法分子提供的便利，一些比較敏感的數據信息可能會被其竊取和利用，給人們帶來損失。在這種情況下，網絡安全問題受到了人們的廣泛關注。

1APT攻擊的概念和特點

APT，全稱AdvancedPersistentThreat，高級持續性威脅，這是信息網絡背景下的一種新的攻擊方式，屬于特定類型攻擊，具有組織性、針對性、長期性的特性，其攻擊持續的時間甚至可以長達數年。之所以會持續如此之久，主要是由于其前兩個特性決定的，攻擊者有組織的對某個特定目標進行攻擊，不斷嘗試各種攻擊手段，在滲透到目標內部網絡后，會長期蟄伏，進行信息的收集。APT攻擊與常規的攻擊方式相比，在原理上更加高級，技術水平更高，在發動攻擊前，會針對被攻擊對象的目標系統和業務流程進行收集，對其信息系統和應用程序中存在的漏洞進行主動挖掘，然后利用漏洞組件攻擊網絡，開展攻擊行為[1]。APT攻擊具有幾個非常顯著的特點，一是潛伏性，在攻破網絡安全防御后，可能會在用戶環境中潛伏較長的時間，對信息進行持續收集，直到找出重要的數據?；旧螦PT攻擊的目標并非短期內獲利，而是希望將被控主機作為跳板，進行持續搜索，其實際應該算是一種“惡意商業間諜威脅”；二是持續性，APT攻擊的潛伏時間可以長達數年之久，在攻擊爆發前，管理人員很難察覺；三是指向性，即對于特定攻擊目標的鎖定，開展有計劃、組織的情報竊取行為。

2APT攻擊對于網絡安全防御的沖擊

相比較其他攻擊方式，APT攻擊對于網絡安全防御系統的沖擊是非常巨大的，一般的攻擊都可以被安全防御系統攔截，但是就目前統計分析結果，在許多單位，即使已經部署了完善的縱深安全防御體系，設置了針對單個安全威脅的安全設備，并且通過管理平臺，實現了對于各種安全設備的整合，安全防御體系覆蓋了事前、事中和事后的各個階段，想要完全抵御APT攻擊卻仍然是力有不逮。由此可見，APT攻擊對于網絡安全防御的影響和威脅不容忽視[2]。就APT攻擊的特點和原理進行分析，其攻擊方式一般包括幾種：一是社交欺騙，通過收集目標成員的興趣愛好、社會關系等，設下圈套，發送幾可亂真的社交信函等，誘騙目標人員訪問惡意網站或者下載病毒文件，實現攻擊代碼的有效滲透；二是漏洞供給，在各類軟禁系統和信息系統中，都必然會存在漏洞，APT攻擊為了能夠實現在目標網絡中的潛伏和隱蔽傳播，通常都是借助漏洞，提升供給代碼的權限，比較常見的包括火焰病毒、震網病毒、ZeroAccess等；三是情報分析，為了能夠更加準確的獲取目標對象的信息，保證攻擊效果，APT攻擊人員往往會利用社交網站、論壇、聊天室等，對目標對象的相關信息進行收集，設置針對性的攻擊計劃。APT攻擊對于信息安全的威脅是顯而易見的，需要相關部門高度重視，做出積極應對，強化APT攻擊防范，保護重要數據的安全。

3APT攻擊的有效應對

3.1強化安全意識

在防范APT攻擊的過程中，人員是核心也是關鍵，因此，在構建網絡安全防護體系的過程中，應該考慮人員因素，強化人員的安全防范意識。從APT攻擊的具體方式可知，在很多時候都是利用人的心理弱點，通過欺騙的方式進行攻擊滲透。對此，應該針對人員本身的缺陷進行彌補，通過相應的安全培訓，提升其安全保密意識和警惕性，確保人員能夠針對APT攻擊進行準確鑒別，加強對于自身的安全防護。對于信息系統運維管理人員而言，還應該強化對于安全保密制度及規范的執行力，杜絕違規行為。另外，應該提升安全管理工作的效率，盡可能減低安全管理給正常業務帶來的負面影響，引入先進的信息化技術，對管理模式進行改進和創新，提升安全管理工作的針對性和有效性。

3.2填補系統漏洞

在軟件系統的設計中，缺陷的存在難以避免，而不同的系統在實現互連互操作時，由于管理策略、配置等的不一致，同樣會產生關聯漏洞，影響系統的安全性。因此，從防范APT攻擊的角度分析，應該盡量對系統中存在的漏洞進行填補。一是應該強化對于項目的測試以及源代碼的分析，構建完善的源代碼測試分析機制，開發出相應的漏洞測試工具；二是應該盡量選擇具備自主知識產權的設備和系統，盡量避免漏洞和預置后門；三是對于一些通用的商業軟件，必須強化對惡意代碼和漏洞的動態監測，確保基礎設施以及關鍵性的應用服務系統自主開發[3]。

3.3落實身份認證

在網絡環境下，用戶之間的信息交互一般都需要進行身份認證，這個工作通常由本地計算環境中的相關程序完成，換言之，用戶身份的認證實際上是程序之間的相互認證，如果程序本身的真實性和完整性沒有得到驗證，則無法對作為程序運行載體的硬件設備進行驗證，從而導致漏洞的存在，攻擊者可能冒充用戶身份進行攻擊。針對這個問題，應該對現有的身份認證體系進行完善，構建以硬件可信根為基礎的軟硬件系統認證體系，保證用戶的真實可信，然后才能進行用戶之間的身份認證。

3.4構建防御機制

應該針對APT攻擊的特點，構建預應力安全防御機制，以安全策略為核心，結合可信計算技術以及高可信軟硬件技術，提升網絡系統對于攻擊的抵御能力，然后通過風險評估，分析系統中存在的不足，采取針對性的應對措施，提升安全風險管理能力。具體來講，一是應該將數據安全分析、漏洞分析、惡意代碼分析等進行整合，統一管理；二是應該構建生態環境庫，對各種信息進行記錄，為安全分析提供數據支撐；三是應該完善取證系統，為違規事件的分析和追查奠定良好的基礎[4]。

4結束語

總而言之，作為一種新的攻擊方式，APT攻擊對于網絡安全的威脅巨大，而且其本身的特性使得管理人員難以及時發現，一旦爆發，可能給被攻擊目標造成難以估量的損失。因此，應該加強對于APT攻擊的分析，采取切實有效的措施進行應對，盡可能保障網絡系統運行的穩定性和安全性。

作者：李杰 單位：九江職業大學

參考文獻

[1]陳偉，趙韶華.APT攻擊威脅網絡安全的全面解析與防御探討[J].信息化建設，2015（11）：101.

[2]王宇，韓偉杰.APT攻擊特征分析與對策研究[J].保密科學技術，2013（12）：32-43.

篇4

[關鍵詞]氣象網絡；安全防范

[中圖分類號]TP309

[文獻標識碼]A

[文章編號]1672—5158（2013）05—0379—01

隨著經濟社會的不斷發展，計算機網絡在各行各業都得到普遍的運用，在氣象網絡方面也得到了普及，現在的氣象信息通過專門的氣象網絡來進行傳輸，計算機網絡在氣象業務的作用也越來越明顯，在辦公的自動化、氣象數據的傳輸、實景的監控等主要業務發揮著巨大的作用，也為氣象預報的準確性提供有利的參考。氣象的工作人員對計算機網絡產生了依賴，很多事情都不用親力親為，只需要動動手指即可，這就造成了病毒的出現，網絡故障經常發生，影響氣象內部業務網絡的正常運行，這就需要在日常工作中解決氣象網絡中的安全問題。氣象網絡接人因特網以后，氣象網絡也成為了一個開放性的網絡，網絡中為黑客的攻擊行為造成了極大的便利，新型的病毒和木馬程度越來越多樣化，影響氣象網絡的安全。目前，對氣象網絡的關注也越來越多。

一、網絡安全的分析及安全現狀

1、網絡的安全隱患。網絡系統安全的原因主要有四種：非授權訪問、拒絕服務、信息泄露和病毒危害。現在的氣象網絡規模比較大，有大量的網絡設備，比如交換機、路由器等都分布在不同的地方，對于這些設備的安全管理較為困難。周口市氣象網絡雷達系統馬上就會交付使用，各個網絡設備和軟硬件都要進行更換，會安裝FTP、衛星資料接收、MICAPS、NOTESD等服務器的使用，各類氣象數據要進行及時的更新，在這些工作中不可能都做到面面俱到，對于一些常識性的問題在日常工作中要保持警惕，以免出現過失性的錯誤，要經常性的對設備設施進行排查，提高設備的工作效率，保證其使用的正常壽命。

2、氣象網絡安全現狀的分析：（1）安全意識不夠強。計算機在我們的生活中已越來越重要，很多用戶都是一般使用移動的存儲設備來進行數據傳輸，如果外部數據不經過殺毒軟件的掃描，將移動存儲設備帶入局域網中，就給病毒的傳播創造了機會，內部的數據從內部局域網來帶出，也增加了數據泄密的可能性，很多用戶把專用計算機用于其它方面，造成一臺計算機多種用途或是沒有經過許可在內外網之間切換使用，造成了信息的泄露和病毒的傳播。（2）防火墻的使用。防火墻是由軟硬件兩部分組成的，用于內外網之間的切換，專用和公用網絡之間，保護內部網絡不受非法用戶的侵犯。但是防火墻也有自身的局限性，也不是萬能的，不是一切病毒及不可靠來源都能阻隔的，它有如下幾個缺點：①不能防范由于錯誤配置引起的安全問題；②其自身沒有殺毒的功能，不能防范感染病毒的傳輸；③不能防止內部網絡的攻擊，雖說防火墻的設計可以是內外皆可放的，但是大多數的用戶都覺得不方便，都是選擇防外的；④它僅僅是一種安全設備，不能防止自然和認為的破壞；⑤防火墻也有一定的漏洞，使用的周期也有限制，也會有老化和失去作用的時候；⑥不能阻止合法用戶主動泄密的情況。（3）黑客的攻擊和病毒的入侵。計算機的病毒也分為很多種類，來源的途徑主要是在因特網、非法下載、光盤、移動的存儲介質和系統自身漏洞。黑客常用的攻擊手段有信息炸彈、后門程序、密碼破解、網絡監聽等。（4）應用軟件或系統軟件沒有及時的進行升級。殺毒軟件本身也會存在一些漏洞，病毒庫也會存在過期的問題。

二、氣象網絡安全的防范

氣象網絡的管理總的來說分為兩個部分：管理和技術方面，在管理方面分為機房管理和用戶管理；技術方面看分為訪問網絡的控制、VPN、采用Linmx系統提高服務器的穩定、病毒入侵和黑客攻擊的防范。

1、機房的管理，機房要做到安全，才可以保證通信的順暢，機房設備良好的運轉和工作環境能夠使計算機網絡安全、高效的運行；

2、用戶的管理，重視氣象網絡的安全，氣象部門的工作人員應該注意的是，不要在電腦上隨意安裝或下載網站的軟件，要及時更新和查殺病毒庫、防火墻和系統漏洞，密碼要定期修改和重置，在計算機上盡量不要設置共享，要注意操作系統的權限設置。

3、網絡訪問的控制是要在身份認證的基礎上，只有被授權的用戶才能對網絡定的一些資源進行訪問，它是網絡安全和防范的主要策略。它能夠對不同來源和角色所提出的訪問進行控制，確保網絡網絡資源不被非法訪問和使用。

4、VPN是一種虛擬的公用網絡。VPN可以建立一條位于不同地方的兩個或是兩個以上內部網之間的專用通信路線，這種專用路線保證了數據通信的安全傳輸。VAP的運用保證了信息的安全，具有多種功能，防止了信息被復制、泄露和篡改。氣象網絡利用VAP用以保證氣象數據的傳說安全，提高數據的傳輸性和可靠性。

5、系統漏洞是網絡安全中最大的問題，可以采用Linux來提高網絡的安全性，傳統的windows操作系統存在許多的漏洞，而Linux系統剛好彌補了windows系統的不足。

6、對于病毒的入侵和黑客攻擊可以采取3個基本的防范措施：（1）大家比較熟悉就是安裝殺毒軟件，可以推薦安裝SYMANTEC的殺毒軟件，它能夠提供超強的防病毒功能，對管理方案的解決也較為容易；（2）對黑客的攻擊一般采用的方式是利用防火墻訪問來進行控制，阻止沒有經過授權的訪問；稍微高級點的攻擊手段就要采取其它辦法。（3）在使用移動的存儲設備之前要進行殺毒更新，關閉驅動器的自動播放功能，防止病毒的侵入。

三、應該注意的問題

1、當自動站使用機子和備份機都出現故障時，為了不影響發報，應急情況下應該及時啟動Milos軟件采集發報，臺站定期檢查軟件的運行時候正常，確保軟件在應急情況下能夠正常使用。

2、對采集器進行復位或斷電時，采集器中的數據都會丟失，在復位或斷電時要確保數據都已傳輸或是備份。

結論

氣象網絡功能的規模在不斷擴展，安全問題也受到了更多關注，網絡環境存在復雜性和多變性，計算機系統也有自身的脆弱性，決定了氣象網絡不能只是依靠防火墻，要加強入侵的監測，還要設計到管理和技術的配合。信息建設是一項系統化、體系化的工作，只進行最基本的安全基礎設施部署是遠遠不夠的。還需要仔細的分析安全需求，建立起完善的制度，將各種技術和安全手段結合起來，才能建立高效、安全、通用的氣象網絡環境。

參考文獻

篇5

【關鍵詞】網絡安全；黑客；入侵與攻擊；木馬

隨著計算機和Internet技術的迅速普及和發展，計算機網絡早已成了一個國家的經濟脈搏。計算機網絡在社會活動的各個方面中都起到了不可或缺的作用。大部分的企業、政府部門和其他組織機構均建立了適合各自使用的基于互聯網的相關系統，達到充分配置各種資源和信息共享等功效?；ヂ摼W為社會和經濟的快速進步提供了技術基礎，作用也愈發突出。然而，網絡技術的快速發展也出現了多種多樣的問題，安全狀況尤其明顯。因為它又為很多的計算機病毒和黑客創造了機會和可能，不管是由于它們在設計上有不足，還是因為人為的原因造成的種種漏洞和缺陷，均會被某些意圖不軌的黑客利用，進而發起對系統等進行攻擊。只有做到了解才能在黒客進行網絡攻擊前做到充分的防范，從而保證網絡運行過程中的安全性。熟知Internet會發生的各種狀況威脅，做到及時的預防和準備，實現網絡安全早已成為互聯網實施中最為主要的方面。網絡安全是在互聯網經濟時代中人們所面臨的共同威脅，而我國的網絡安全問題也越來越明顯。

1 網絡安全面對的威脅主要表現為:

1.1 黑客攻擊

黑客最開始是指那些研究計算機技術的專業計算機人士，特別是那些編程技術人員。但現在，黑客一詞則是泛指那些專門通過互聯網對計算機系統進行破壞或非法入侵的人。全球現在已有20多萬個黑客網站，網站上講解了對網站和系統的一些攻擊軟件的使用和攻擊的方式，以及系統的某些缺陷和漏洞，所以黑客技術也被人們普遍的了解，因此系統和網站受到攻擊的幾率就大大提高。目前對于網絡犯罪進行快速反應、跟蹤和追捕等技術不健全，使得黑客攻擊系統和網站越來越猖狂，這也是影響網絡安全的重要因素。

1.2 木馬

木馬程序是當前在互聯網上盛行的病毒感染文件，和普通的病毒不一樣，它不能進行自我繁殖，也并不“自主”地去破壞用戶文件，通過將文件偽裝吸引用戶下載運行被感染的文件，向施種木馬者提供打開被感染用戶計算機的門戶，使施種者可以對被感染的用戶的文件進行盜竊、破壞，還可以控制被感染用戶的計算機。一般情況下的木馬文件包括客戶端和服務器端兩個部分，客戶端是施種木馬者進行遠程控制被感染的用戶的服務器終端，而服務器端則是植入木馬文件的遠程計算機。當木馬程序或包含木馬病毒的其他程序運行時，木馬會先在系統中潛伏下來，并篡改系統中的數據和程序，每次使用系統時都會使潛伏的木馬程序自動運行。執行木馬的客戶端和服務器端在運行模式上屬于客戶機/服務器方式Client/Server，C/S 客戶端在當地計算機上運行，用來控制服務器端。而服務器端則是在遠程計算機上運行，只要運行成功該計算機就中了木馬，那么就變成了一臺服務器，可以控者進行遠程控制。

2 對防范網絡攻擊的建議:

在對網絡攻有一定的了解的同時，我們應該對網絡攻擊采取有效的措施。確定網絡攻擊的漏洞所在，建立真正有效的的安全防范系統。在網絡環境下設立多種多層的防范措施，真正達到防范的效果，讓每種措施都像關卡一樣，使得攻擊者無計可使。同時，我們還要做到防范于未然，對重要的數據資料及時備份并實時了解系統的運作情況，做到有備無患。

對于網絡安全的問題，提出的以下幾點建議：

2.1 加強對安全防范的重視度

(1) 對于來路不明的郵件和文件不要隨意的下載和打開，謹慎運行不熟悉的人提供的程序和軟件，像“特洛伊”類木馬文件就需要誘使你執行。

(2)最好不要從互聯網上下載不正規的文件、游戲和程序等。就算是從大家都熟悉的網站下載程序等，也要在第一時間用最新的查殺病毒和木馬的軟件對其進行安全掃描。

(3)在進行密碼設置是，盡量不適用單一的英文或數字的密碼種類，因為它們很容易被破解，最好是字母、數字和符號的混合使用。同時對于經常使用的各個密碼要進行不同的設定，防止一個密碼被盜導致其他的重要數據丟失。

(4)對于系統提示的系統漏洞和補丁要及時的修補和安裝。

(5)在支持HTML的論壇上，如出現提交發出警告，那么先查看BBS源代碼，這極可能是誘騙密碼的陷阱。

2.2 及時的使用防毒、防黑等防火墻保護軟件，防火墻是一個用來防止互聯網上的黑客入侵某個機構網絡的保障，也把它稱做控制進與出兩個方面通信的大門。在互聯網邊界上通過建立各種網絡通信流量監控體系來隔離內部和外部的網絡，來防止外面互聯網的入侵。

網絡攻擊的現象越來越多，攻擊者也是越來越猖狂，這極大的威脅了網絡的安全性。黑客們的瘋狂入侵是都可以采取措施來防范的，只要我們知道他們的攻擊方式及擁有大量的安全防御知識，就能消除黑客們的惡意進攻。不論什么時候我們都要把重視網絡安全教育，提高網絡用戶的安全防范意識和培養一定的防御能力，這對確保整個網絡的安全性有著不可或缺的作用。如今，市面上也出現了很多的提高網絡安全的方法和各種防火墻，筆者認為網絡成為安全的信息傳輸媒介即將成為現實。

參考文獻：

[1]周學廣等.信息安全學. 北京：機械工業出版社，2003.3

[2] (美)Mandy Andress著.楊濤等譯.計算機安全原理. 北京：機械工業出版社，2002.1

[3]曹天杰等編著.計算機系統安全.北京:高等教育出版社，2003.9