《企业计算机试用培训优秀课件.ppt》由会员分享,可在线阅读,更多相关《企业计算机试用培训优秀课件.ppt(32页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、企业计算机试用培训第1页,本讲稿共32页影响计算机正常使用有以下几种情况l一、计算机病毒l计算机病毒是指编制的或者在计算机程序中插入的,能够破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。l主要目的是为了使计算机无法正常使用。l二、计算机木马l计算机木马是指隐藏在计算机后台运行的程序,主要目的不是使计算机无法正常运行,而是窃取各种用户信息,发送给木马制作者,比如盗取QQ和各种游戏帐号。l二、恶意软件l恶意软件也就是我们常说的流氓软件,“流氓软件”是介于病毒和正规软件之间的软件。主要特征有自动弹出广告、浏览器劫持、收集用户信息等。第2页,本讲稿共32页保障
2、计算机安全之系统补丁l计算机软件总是存在漏洞,而漏洞往往为病毒木马提供了传播的途径。l实际上漏洞被发现后,软件公司会制作补丁程序把漏洞修补好。l在“我的电脑”图标上点击鼠标右键,“属性”,来看我们系统的当前版本。第3页,本讲稿共32页保障计算机安全之系统补丁l微软的WINDOWS系列操作系统的补丁程序情况:补丁版本是SP4,只提供重大漏洞补丁程序lWINDOWSXP目前的补丁版本是SP3l请立即更新你的系统,点击“开始”,选择l保证安装所有的补丁程序,这是计算机安全的基础。第4页,本讲稿共32页病毒的分类l无害型:除了传染时减少磁盘的可用空间外,对系统没有其它影响。无危险型:这类病毒仅仅是减少
3、内存、显示图像、发出声音及同类音响。危险型:这类病毒会在计算机系统操作中造成严重影响。非常危险型:这类病毒删除程序、破坏数据、清除系统内存区和操作系统中重要的信息,造成灾难性后果。第5页,本讲稿共32页保障计算机安全之防病毒软件l防病毒软件的误区,大部分用户知道安装防病毒软件的重要性,但往往忽略了以下问题:l1、防病毒软件不是正版,安装后没有效果l2、一套正版防病毒软件安装若干台机器,结果因为软件升级次数限制,大部分机器不能更新病毒库l3、安装防病毒软件后,从不升级病毒库l防病毒软件需要最新的病毒库支持,才能有效的保护你的计算机第6页,本讲稿共32页流氓软件l流氓软件是中国大陆对网络上散播的符
4、合如下条件(主要是第一条)的软件的一种称呼:1、采用多种社会和技术手段,强行或者秘密安装,并抵制卸载;2、强行修改用户软件设置,如浏览器主页,软件自动启动选项,安全选项;强行弹出广告,或者其他干扰用户占用系统资源行为;3、有侵害用户信息和财产安全的潜在因素或者隐患;4、未经用户许可,或者利用用户疏忽,或者利用用户缺乏相关知识,秘密收集用户个人信息、秘密和隐私。l这些软件也可能被称为恶意广告软件(adware)、间谍软件(spyware)、恶意共享软件(maliciousshareware)。与病毒或者蠕虫不同,这些软件很多不是小团体或者个人秘密地编写和散播,反而有很多知名企业和团体涉嫌此类软件
5、。l流氓软件具备部分病毒和黑客特征,属于正常软件和病毒之间的灰色地带。杀毒软件一般不作处理。第7页,本讲稿共32页流氓软件的主要特征l流氓软件可能造成电脑运行变慢、浏览器异常等。多数流氓软件具有以下特征:l强迫性安装:不经用户许可自动安装不给出明显提示,欺骗用户安装反复提示用户安装,使用户不胜其烦而不得不安装l无法卸载:正常手段无法卸载无法完全卸载l频繁弹出广告窗口,干扰正常使用第8页,本讲稿共32页常见的流氓软件l3721中文实名lCNNIC中文网址lDuDu加速器l网络猪lSTD广告发布系统l千橡下属网站l淘宝网lebay易趣l青娱乐聊天软件(qyule)l百度超级搜霸l一搜工具条l很棒小
6、秘书第9页,本讲稿共32页保障计算机安全之防流氓软件l推荐安装360安全卫士下载l非正版XP用户,可以使用360安全卫士的“修复系统漏洞”功能安装系统补丁程序。l推荐开启360安全卫士的保护功能中前2项保护:“恶意软件入侵拦截”和“恶意网站及钓鱼网站拦截”第10页,本讲稿共32页木马软件l木马(Trojan)这个名字来源于古希腊传说,它是指通过一段特定的程序(木马程序)来控制另一台计算机。木马通常有两个可执行程序:一个是客户端,即控制端,另一个是服务端,即被控制端。木马的设计者为了防止木马被发现,而采用多种手段隐藏木马。木马的服务一旦运行并被控制端连接,其控制端将享有服务端的大部分操作权限,例
7、如给计算机增加口令,浏览、移动、复制、删除文件,修改注册表,更改计算机配置等。l木马软件运行后,会监控你对计算机的操作,比较常见的有记录QQ密码以及各种网游帐号密码等,有针对性的记录下来,然后后台发送给木马使用者。第11页,本讲稿共32页保障计算机安全之防木马软件可以点击360安全卫士的木马防火墙对木马进行防护第12页,本讲稿共32页保障计算机安全之防木马软件第13页,本讲稿共32页保障计算机安全之防木马软件平时用360安全卫士自带的查杀木马定期对电脑木马进行全盘扫描第14页,本讲稿共32页ARP网络攻击l地址转换协议ARP(AddressResolutionProtocol)一种将ip转化成
8、以ip对应的网卡的物理地址的一种协议,或者说ARP协议是一种将ip地址转化成MAC地址的一种协议。它靠维持在内存中保存的一张表来使ip得以在网络上被目标机器应答。l正常的计算机以及网络设备定期发送ARP广播,使网络内计算机的IP/MAC对应表保持最新的状态。lARP协议设计之初没有考虑安全问题,所以任何计算机都可以发送虚假的ARP数据包。l计算机A把自己的MAC和网关IP地址对应的数据包发送出去,其它计算机就会把发送给网关的数据包发送给计算机A。第15页,本讲稿共32页ARP攻击过程l典型的ARP攻击原理为:l中毒的计算机开始在局域网段发送虚假的IP/MAC对应信息,篡改网关MAC地址,使自己
9、成为假网关。l计算机将数据包发送给假网关,假网关再把数据包转发给真正的网关网络通l当抓取的数据包到一定数量的时候,停止转发数据包网络断l假网关分析接受到的数据包,把有价值的数据包记录下来(比如QQ以及网游登陆数据包),发送给病毒制作者。l数据包分析完后(一般要几分钟),又开始抓取和转发数据包网络通lARP攻击有一定的周期,使网络时通时断,造成用户频繁登陆QQ或者网游,从而增加抓取有价值数据包的几率。为了掩盖真网关的正常ARP广播,假网关发送的ARP广播是正常的数倍第16页,本讲稿共32页防范病毒l计算机网络安全在于大家养成良好的使用习惯:l外来光盘、U盘经检测确认无毒后再使用。l准备有最新的病
10、毒检测、清除软件。l补丁一定要打全;及时更新杀毒软件病毒库并开启监控;尽量去一些比较大的站下载东西;不去不健康的的网站;不运行不接受陌生人发送的网络地址、图片和程序;安装软件时看清楚再确定,不必要的插件不要安装。第17页,本讲稿共32页黑客攻击之DDOS攻击lddos,即分布式拒绝服务攻击(distributeddenialofservice).简单的讲,拒绝服务就是用超出被攻击目标处理能力的海量数据包消耗可用系统,带宽源,致使网络服务瘫痪,就相当于必胜客在客满的时候不再让人进去一样,呵呵,你想吃馅饼,就必须在门口等吧。DOS攻击即攻击者想办法让目标机器停止提供服务或资源访问,这些资源包括磁盘
11、空间、内存、进程甚至网络带宽,从而阻止正常用户的访问。第18页,本讲稿共32页几种流行的DDOS攻击l当前主要有三种流行的DDOS攻击:l1、SYN/ACKFlood攻击:这种攻击方法是经典最有效的DDOS方法,可通杀各种系统的网络服务,主要是通过向受害主机发送大量伪造源IP和源端口的SYN或ACK包,导致主机的缓存资源被耗尽或忙于发送回应包而造成拒绝服务,由于源都是伪造的故追踪起来比较困难,缺点是实施起来有一定难度,需要高带宽的僵尸主机支持。少量的这种攻击会导致主机服务器无法访问,但却可以Ping的通,在服务器上用Netstat-na命令会观察到存在大量的SYN_RECEIVED状态,大量的
12、这种攻击会导致Ping失败、TCP/IP栈失效,并会出现系统凝固现象,即不响应键盘和鼠标。普通防火墙大多无法抵御此种攻击。l2、TCP全连接攻击:这种攻击是为了绕过常规防火墙的检查而设计的,一般情况下,常规防火墙大多具备过滤TearDrop、Land等DOS攻击的能力,但对于正常的TCP连接是放过的,殊不知很多网络服务程序(如:IIS、Apache等Web服务器)能接受的TCP连接数是有限的,一旦有大量的TCP连接,即便是正常的,也会导致网站访问非常缓慢甚至无法访问,TCP全连接攻击就是通过许多僵尸主机不断地与受害服务器建立大量的TCP连接,直到服务器的内存等资源被耗尽而被拖跨,从而造成拒绝服
13、务,这种攻击的特点是可绕过一般防火墙的防护而达到攻击目的,缺点是需要找很多僵尸主机,并且由于僵尸主机的IP是暴露的,因此容易被追踪。l第19页,本讲稿共32页几种流行的DDOS攻击l3、刷Script脚本攻击:这种攻击主要是针对存在ASP、JSP、PHP、CGI等脚本程序,并调用MSSQLServer、MySQLServer、Oracle等数据库的网站系统而设计的,特征是和服务器建立正常的TCP连接,并不断的向脚本程序提交查询、列表等大量耗费数据库资源的调用,典型的以小博大的攻击方法。一般来说,提交一个GET或POST指令对客户端的耗费和带宽的占用是几乎可以忽略的,而服务器为处理此请求却可能要
14、从上万条记录中去查出某个记录,这种处理过程对资源的耗费是很大的,常见的数据库服务器很少能支持数百个查询指令同时执行,而这对于客户端来说却是轻而易举的,因此攻击者只需通过Proxy代理向主机服务器大量递交查询指令,只需数分钟就会把服务器资源消耗掉而导致拒绝服务,常见的现象就是网站慢如蜗牛、ASP程序失效、PHP连接数据库失败、数据库主程序占用CPU偏高。这种攻击的特点是可以完全绕过普通的防火墙防护,轻松找一些Proxy代理就可实施攻击,缺点是对付只有静态页面的网站效果会大打折扣,并且有些Proxy会暴露攻击者的IP地址。第20页,本讲稿共32页怎么抵御DDOS攻击l对付DDOS是一个系统工程,想
15、仅仅依靠某种系统或产品防住DDOS是不现实的,可以肯定的是,完全杜绝DDOS目前是不可能的,但通过适当的措施抵御90%的DDOS攻击是可以做到的,基于攻击和防御都有成本开销的缘故,若通过适当的办法增强了抵御DDOS的能力,也就意味着加大了攻击者的攻击成本,那么绝大多数攻击者将无法继续下去而放弃,也就相当于成功的抵御了DDOS攻击。以下几点是防御DDOS攻击几点:l1、采用高性能的网络设备l首先要保证网络设备不能成为瓶颈,因此选择路由器、交换机、硬件防火墙等设备的时候要尽量选用知名度高、口碑好的产品。再就是假如和网络提供商有特殊关系或协议的话就更好了,当大量攻击发生的时候请他们在网络接点处做一下
16、流量限制来对抗某些种类的DDOS攻击是非常有效的。l2、尽量避免NAT的使用l无论是路由器还是硬件防护墙设备要尽量避免采用网络地址转换NAT的使用,因为采用此技术会较大降低网络通信能力,其实原因很简单,因为NAT需要对地址来回转换,转换过程中需要对网络包的校验和进行计算,因此浪费了很多CPU的时间,但有些时候必须使用NAT,那就没有好办法了。第21页,本讲稿共32页怎么抵御DDOS攻击l3、充足的网络带宽保证l网络带宽直接决定了能抗受攻击的能力,假若仅仅有10M带宽的话,无论采取什么措施都很难对抗现在的SYNFlood攻击,当前至少要选择100M的共享带宽,最好的当然是挂在1000M的主干上了
17、。但需要注意的是,主机上的网卡是1000M的并不意味着它的网络带宽就是千兆的,若把它接在100M的交换机上,它的实际带宽不会超过100M,再就是接在100M的带宽上也不等于就有了百兆的带宽,因为网络服务商很可能会在交换机上限制实际带宽为10M,这点一定要搞清楚。l4、升级主机服务器硬件l在有网络带宽保证的前提下,请尽量提升硬件配置,要有效对抗每秒10万个SYN攻击包,服务器的配置至少应该为:P42.4G/DDR512M/SCSI-HD,起关键作用的主要是CPU和内存,若有志强双CPU的话就用它吧,内存一定要选择DDR的高速内存,硬盘要尽量选择SCSI的,别只贪IDE价格不贵量还足的便宜,否则会
18、付出高昂的性能代价,再就是网卡一定要选用3COM或Intel等名牌的,若是Realtek的还是用在自己的PC上吧。第22页,本讲稿共32页怎么抵御DDOS攻击l5、把网站做成静态页面l大量事实证明,把网站尽可能做成静态页面,不仅能大大提高抗攻击能力,而且还给黑客入侵带来不少麻烦,至少到现在为止关于HTML的溢出还没出现,看看吧!新浪、搜狐、网易等门户网站主要都是静态页面,若你非需要动态脚本调用,那就把它弄到另外一台单独主机去,免的遭受攻击时连累主服务器,当然,适当放一些不做数据库调用脚本还是可以的,此外,最好在需要调用数据库的脚本中拒绝使用代理的访问,因为经验表明使用代理访问你网站的80%属于
19、恶意行为。l6、增强操作系统的TCP/IP栈lWin2000和Win2003作为服务器操作系统,本身就具备一定的抵抗DDOS攻击的能力,只是默认状态下没有开启而已,若开启的话可抵挡约10000个SYN攻击包,若没有开启则仅能抵御数百个,具体怎么开启,自己去看微软的文章吧!强化TCP/IP堆栈安全。l也许有的人会问,那我用的是Linux和FreeBSD怎么办?很简单,按照这篇文章去做吧!SYNCookies。l7、安装专业抗DDOS防火墙第23页,本讲稿共32页黑客攻击之XSS 跨站脚本攻击(也称为XSS)指利用网站漏洞从用户那里恶意盗取信息。用户在浏览网站、使用即时通讯软件、甚至在阅读电子邮件
20、时,通常会点击其中的链接。攻击者通过在链接中插入恶意代码,就能够盗取用户信息。攻击者通常会用十六进制(或其他编码方式)将链接编码,以免用户怀疑它的合法性。网站在接收到包含恶意代码的请求之后会产成一个包含恶意代码的页面,而这个页面看起来就像是那个网站应当生成的合法页面一样。许多流行的留言本和论坛程序允许用户发表包含HTML和javascript的帖子。假设用户甲发表了一篇包含恶意脚本的帖子,那么用户乙在浏览这篇帖子时,恶意脚本就会执行,盗取用户乙的session信息。第24页,本讲稿共32页用户应当如何防范XSS保护自己的最好方法就是仅点击你想访问的那个网站上的链接。例如,如果你访问了一个网站,
21、该网站有一个链接指向了CNN,那么不要单击该链接,而是访问CNN的主站点并使用搜索引擎查找相关内容。这样可以杜绝90%以上的XSS攻击。有时候XSS会在你打开电子邮件、打开附件、阅读留言板、阅读论坛时自动进行。当你打开电子邮件或是在公共论坛上阅读你不认识的人的帖子时一定要注意注意。最好的解决办法就是关闭浏览器的Javascript功能。在IE中可以将安全级别设置为最高,可以防止cookie被盗。第25页,本讲稿共32页黑客攻击之SQL注入l随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用
22、户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根l据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQLInjection,即SQL注入。lSQL注入是从正常的WWW端口访问,而且表面看起来跟一般的Web页面访问没什么区别,所以目前市面的防火墙都不会对SQL注入发出警报,如果管理员没查看IIS日志的习惯,可能被入侵很长时间都不会发觉。但是,SQL注入的手法相当灵活,在注入的时候会碰到很多意外的情况。能不能根据具体情况进行分析,构造巧妙的SQL语句,从而成功获取想要的数据lSQL注入攻击的总体思路是:ll发现SQL注入位置;ll判断后台数据库类型;ll
23、确定XP_CMDSHELL可执行情况ll发现WEB虚拟目录ll上传ASP木马;ll得到管理员权限;第26页,本讲稿共32页如何防御SQL注入l既然SQL注入式攻击的危害这么大,那么该如何来防治呢?下面这些建议或许对数据库管理员防治SQL注入式攻击有一定的帮助。l1、普通用户与系统管理员用户的权限要有严格的区分。普通用户与系统管理员用户的权限要有严格的区分。l如果一个普通用户在使用查询语句中嵌入另一个DropTable语句,那么是否允许执行呢?由于Drop语句关系到数据库的基本对象,故要操作这个语句用户必须有相关的权限。在权限设计中,对于终端用户,即应用软件的使用者,没有必要给他们数据库对象的建
24、立、删除等权限。那么即使在他们使用SQL语句中带有嵌入式的恶意代码,由于其用户权限的限制,这些代码也将无法被执行。故应用程序在设计的时候,最好把系统管理员的用户与普通用户区分开来。如此可以最大限度的减少注入式攻击对数据库带来的危害。l2、强迫使用参数化语句。强迫使用参数化语句。l如果在编写SQL语句的时候,用户输入的变量不是直接嵌入到SQL语句。而是通过参数来传递这个变量的话,那么就可以有效的防治SQL注入式攻击。也就是说,用户的输入绝对不能够直接被嵌入到SQL语句中。与此相反,用户的输入的内容必须进行过滤,或者使用参数化的语句来传递用户输入的变量。参数化的语句使用参数而不是将用户输入变量嵌入
25、到SQL语句中。采用这种措施,可以杜绝大部分的SQL注入式攻击。不过可惜的是,现在支持参数化语句的数据库引擎并不多。不过数据库工程师在开发产品的时候要尽量采用参数化语句。第27页,本讲稿共32页如何防御SQL注入l3、加强对用户输入的验证。加强对用户输入的验证。l总体来说,防治SQL注入式攻击可以采用两种方法,一是加强对用户输入内容的检查与验证;二是强迫使用参数化语句来传递用户输入的内容。在SQLServer数据库中,有比较多的用户输入内容验证工具,可以帮助管理员来对付SQL注入式攻击。测试字符串变量的内容,只接受所需的值。拒绝包含二进制数据、转义序列和注释字符的输入内容。这有助于防止脚本注入
26、,防止某些缓冲区溢出攻击。测试用户输入内容的大小和数据类型,强制执行适当的限制与转换。这即有助于防止有意造成的缓冲区溢出,对于防治注入式攻击有比较明显的效果。l如可以使用存储过程来验证用户的输入。利用存储过程可以实现对用户输入变量的过滤,如拒绝一些特殊的符号。如以上那个恶意代码中,只要存储过程把那个分号过滤掉,那么这个恶意代码也就没有用武之地了。在执行SQL语句之前,可以通过数据库的存储过程,来拒绝接纳一些特殊的符号。在不影响数据库应用的前提下,应该让数据库拒绝包含以下字符的输入。如分号分隔符,它是SQL注入式攻击的主要帮凶。如注释分隔符。注释只有在数据设计的时候用的到。一般用户的查询语句中没
27、有必要注释的内容,故可以直接把他拒绝掉,通常情况下这么做不会发生意外损失。把以上这些特殊符号拒绝掉,那么即使在SQL语句中嵌入了恶意代码,他们也将毫无作为。l故始终通过测试类型、长度、格式和范围来验证用户输入,过滤用户输入的内容。这是防止SQL注入式攻击的常见并且行之有效的措施。第28页,本讲稿共32页如何防御SQL注入l4、多多使用多多使用SQL Server数据库自带的安全参数。数据库自带的安全参数。l为了减少注入式攻击对于SQLServer数据库的不良影响,在SQLServer数据库专门设计了相对安全的SQL参数。在数据库设计过程中,工程师要尽量采用这些参数来杜绝恶意的SQL注入式攻击。
28、l如在SQLServer数据库中提供了Parameters集合。这个集合提供了类型检查和长度验证的功能。如果管理员采用了Parameters这个集合的话,则用户输入的内容将被视为字符值而不是可执行代码。即使用户输入的内容中含有可执行代码,则数据库也会过滤掉。因为此时数据库只把它当作普通的字符来处理。使用Parameters集合的另外一个优点是可以强制执行类型和长度检查,范围以外的值将触发异常。如果用户输入的值不符合指定的类型与长度约束,就会发生异常,并报告给管理员。如上面这个案例中,如果员工编号定义的数据类型为字符串型,长度为10个字符。而用户输入的内容虽然也是字符类型的数据,但是其长度达到了
29、20个字符。则此时就会引发异常,因为用户输入的内容长度超过了数据库字段长度的限制。第29页,本讲稿共32页如何防御SQL注入l5、多层环境如何防治多层环境如何防治SQL注入式攻击注入式攻击?l在多层应用环境中,用户输入的所有数据都应该在验证之后才能被允许进入到可信区域。未通过验证过程的数据应被数据库拒绝,并向上一层返回一个错误信息。实现多层验证。对无目的的恶意用户采取的预防措施,对坚定的攻击者可能无效。更好的做法是在用户界面和所有跨信任边界的后续点上验证输入。如在客户端应用程序中验证数据可以防止简单的脚本注入。但是,如果下一层认为其输入已通过验证,则任何可以绕过客户端的恶意用户就可以不受限制地
30、访问系统。故对于多层应用环境,在防止注入式攻击的时候,需要各层一起努力,在客户端与数据库端都要采用相应的措施来防治SQL语句的注入式攻击。l6、必要的情况下使用专业的漏洞扫描工具来寻找可能被攻击的点。必要的情况下使用专业的漏洞扫描工具来寻找可能被攻击的点。l使用专业的漏洞扫描工具,可以帮助管理员来寻找可能被SQL注入式攻击的点。不过漏洞扫描工具只能发现攻击点,而不能够主动起到防御SQL注入攻击的作用。当然这个工具也经常被攻击者拿来使用。如攻击者可以利用这个工具自动搜索攻击目标并实施攻击。为此在必要的情况下,企业应当投资于一些专业的漏洞扫描工具。一个完善的漏洞扫描程序不同于网络扫描程序,它专门查
31、找数据库中的SQL注入式漏洞。最新的漏洞扫描程序可以查找最新发现的漏洞。所以凭借专业的工具,可以帮助管理员发现SQL注入式漏洞,并提醒管理员采取积极的措施来预防SQL注入式攻击。如果攻击者能够发现的SQL注入式漏洞数据库管理员都发现了并采取了积极的措施堵住漏洞,那么攻击者也就无从下手了。第30页,本讲稿共32页黑客攻击之内部防护现在,许多企业仍然将所有的安全防范重点放到了如何防止外部黑客的攻击之上,但实际证明,真正最严重的黑客攻击事件都是来自企业内部。这是由于外部黑客一般没有任何访问企业内部网络的权限,也不可能轻易就能接触到企业网络中的各类设备,而且企业通常都使用了相应的安全防范措施来防止这种
32、方式的黑客攻击。但是,一个企业内部员工要想实施某种黑客攻击行为就要比外部黑客攻击来得轻松得多。这是由于企业内部员工都有某种使用企业网络资源的权限,他可以直接利用这种权限做他任何想做的事情。对于企业内部黑客攻击来说,也存在两种不同的方式:一种方式就是企业内部员工在利益的驱使之下,或者为了报复自己在企业中的不公平待遇(通常是员工与某个部门或企业领导意见不和,或都认为自己的薪资待遇不公平等原因所致)而发起的黑客攻击行为。也有可能是与外部黑客共同合作,来个里应外合的攻击;另一种方式就是黑客为了能得到某个企业中的重要信息,在由外向内攻击的方式不成功的前提下,他也可能利用此企业招工的机会成为该企业的员工,
33、然后再利用获得的企业内部员工权限来实施下一步的攻击活动。这一幕与电影无间道中的安插在警察队伍中的黑社会卧底一样,只有要机会就会发动攻击。第31页,本讲稿共32页黑客攻击之内部防护l当企业内部员工想从企业网络内部发动攻击行为时,一些传统的安全防范措施,例如防火墙是不可能阻止这些来自企业内部的网络攻击行为的。因此,要想防范这种黑客攻击行为,就必需在企业内部部署内网安全防御措施,这些内部安全防御措施包括在企业网关处安装网络行为监控设备,实施企业权限管理,严格控制企业内部每个员工的操作和访问权限,严格限制企业内部员在使用的计算机中安装软件,发送私人电子邮件,将与企业相关的信息发布到互联网上的论坛、个人博客当中。严格控制可移动存取设备的使用,以及无线访问终端的接入权限,对这些设备进行严格的审计和日志记录,了解每个设备的使用情况和数据的流向。在网关及内部重要位置安装基于主机和网络的混合型入侵检测防御系统,以及安装其它网络监控软件和内容过程装置来防范来自内部的非法操作,并且要加强员工的招聘和离职管理,在企业的主要出入口及重要设备位置安装物理防范设备,例如指纹锁和摄像头,防止内部员工通过物理方式接触无授权使用的设备等等。第32页,本讲稿共32页