信息安全相关名词解释
信息安全管理
信息安全是一个多层面、多因素、综合的动态过程,是一个需要系统体系来保证的持续发展过程。如果凭一时的需要,对某些方面加强控制,而没有整体全面的考虑,都难免存在顾此失彼的问题,使信息安全链在某个薄弱环节断裂。因此,信息安全管理是指:用于指导、管理和控制信息安全风险的、一系列相互协调的活动,要尽可能做到,应用有限的资源,保证安全“滴水不漏”。
风险评估
风险评估是对信息资产面临的威胁、存在的弱点、造成的影响,以及三者综合作用而带来风险的可能性的评估。作为风险管理的基础,风险评估(Risk Assessment)是组织确定信息安全需求的一个重要途径,属于组织信息安全管理体系策划的过程。
入侵检测系统
入侵检测系统的英文名称为“Intrusion Detection Systems”,简称IDS,是依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能的发现各种攻击企图、攻击行为或攻击结果,以保证网络系统资源的机密性、完整性和可用性。
做一个形象的比喻:假如防火墙是一幢大楼的门锁,那么IDS就是这幢大楼里的监视系统。一旦有小偷爬窗进入大楼,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。
警惕BIOS的安全漏洞
BIOS也称做基本输入输出系统,存放在计算机主板存储芯片上,主要功能是为计算机提供最底层、最直接的硬件设置和控制。由于BIOS芯片所处的位置具有特殊性,一旦被植入恶意代码,任何应用于操作系统层的杀毒软件也无法对其查杀,即使对整个硬盘格式化也无法去除,因此BIOS是整个计算机系统安全链中至关重要的一环。
目前。市场上绝大部分计算机的BIOS来自台湾和美国。但近几年,伴随我国信息安全保障体系的建设,国内BIOS技术研究也得到了一定的发展。2007年,我国成功研发出首个具有自主知识产权的“安全BIOS”,并将其成功应用于长城第二代安全计算机中。近两年,又有更多的研发力量投入到国产BIOS的研发中来。
安全审计
安全审计是一个新概念,它指由专业审计人员根据有关的法律法规、财产所有者的委托和管理当局的授权,对计算机网络环境下的有关活动或行为进行系统的、独立的检查验证,并作出相应评价。
安全审计涉及四个基本要素:控制目标、安全漏洞、控制措施和控制测试。其中,控制目标是指企业根据具体的计算机应用,结合单位实际制定出的安全控制要求。安全漏洞是指系统的安全薄弱环节,容易被干扰或破坏的地方。控制措施是指企业为实现其安全控制目标所制定的安全控制技术、配置方法及各种规范制度。控制测试是将企业的各种安全控制措施与预定的安全标准进行一致性比较,确定各项控制措施是否存在、是否得到执行、对漏洞的防范是否有效,评价企业安全措施的可依赖程度。显然,安全审计作为一个专门的审计项目,要求审计人员必须具有较强的专业技术知识与技能。
网络战的定义
网络战是信息化条下以计算机及其网络为基本工具、以网络攻击与防护为基本手段的一种全新作战样式。网络战正在成为高技术战争的一种日益重要的作战样式,它可以兵不血刃地破坏敌方指挥控制、情报信息和防空的军用网络系统,甚至可以悄无声息地破坏、控制敌方的商务、政治等民用网络系统,不战而屈人之兵。
不同的国家和地区,在军事领域推行网络战的空间各有不同:一些国家和地区的作战系统部分运行于互联网络,部分通过专用网络,还用一部分为战场空间即时组网;另一些国家和地区的军事领域则完全不接入互联网络,只通过专有网络和战场空间即时组网实现基于网络的作战。各国家和地区在政治、经济、文化等领域的应用系统基本上连接在互联网络上,少数运行在专用网络中。网络世界的战争即针对互联网络,也针对各种专用网络和战场空间及时组建的作战网络。就是说通过现代高科技的手段在网络战场这样一个虚拟空间进行的一些作战行动,这个基本上都叫网络战,主要在以下四个层面展开:一是信息基础设施,也就是计算机和通信设施的联网包括有线、无线通信设施、通信卫星、计算机等硬件设备;二是基础软件系统,包括操作系统、网络协议、域名解析等;三是应用软件系统,包括金融、电力、交通、行政、军事等方面的软件系统;四是信息本身,针对在网络中流动的所有信息。
今天网络战最常见的是围绕秘密资料的窃与防。虽然主要国家和军队都会把机密信息储存在与互联网络断开的电脑系统里,但庞大的系统难免有疏忽的人或者硬件通过复杂的间接渠道错误接入民用网络。攻击者就是要找到这些漏洞,破解密码,把机密信息偷出来。
数据加密
数据加密又称密码学,它是一门历史悠久的技术,指通过加密算法和加密密钥将明文转变为密文,而解密则是通过解密算法和解密密钥将密文恢复为明文。数据加密目前仍是计算机系统对信息进行保护的一种最可靠的办法。它利用密码技术对信息进行加密,实现信息隐蔽,从而起到保护信息安全的作用。当今运用得比较广泛的有对称密钥算法、公共密钥算法以及报文摘要算法。
对称密钥算法:这类算法使用相同的密钥进行加密和解密,比较于公共密钥算法更为高效且易于实现。但也受到一些限制:一是使用对称密钥算法想要交换信息的双方需要交换加密密钥,但是使用一种秘密的方式来交换加密密钥是非常困难的;二是想要发送或者接受消息的双方都需要保持密钥的副本。存在较大的隐患:如果一方的副本被泄露出去,而另一方并不知情,仍发送消息给对方从而造成泄密;三是如果双方都希望秘密的交换信息,他们就需要使用一套独一无二的密钥,那么N个不同的用户就需要N(N-1)/2个密钥。
公共密钥算法:这类算法中,一个密钥用于加密,另一个密钥用于解密。加密的算法通常被称为通常被称为公共密钥,因为这个密钥是公共的,供所有人使用,并且并不危及消息或者解密密钥的安全。公共密钥算法解决了对称密钥算法存在的问题,但也带来了一个新的严重问题:计算代价昂贵。所以在实际开发使用中,数据加密往往结合对称算法和公共密钥算法使用。
报文摘要算法:对给定的输入生成一段看上去随机的比特流。对于任何一个不同的输入会产生不同的摘要。报文摘要经常作为文件的“指纹”使用。
ARP欺骗阻断
企事业单位涉密网是一个完全独立于Internet的网络。对于这样的网络,来自Internet直接攻击的危害较小,其安全威胁主要来自于网络内部。其中最主要的是不明身份人员的设备,擅自连接到涉密网内窃取单位涉密信息,造成信息泄密事件。对于管理者来说,如果涉密网的非授权接入管理问题不能有效解决,涉密网就几乎处于一个不可控状态下,任何人都可以从网络的接口接入,通过盗用合法身份,进行非法活动,而网管人员却难以及时发现并进行有效的阻断。防止非授权接入如同给大门安装门禁,只有具有合法身份的人才能进入。ARP欺骗阻断是一种有效防止非授权接入涉密网的方法。
ARP协议是一种将IP地址转化成物理地址、用来确定IP地址与MAC地址之间存在一种对应关系的协议。ARP欺骗阻断的原理是在同一个网络中,计算机通过ARP协议由目标计算机的IP地址获得的目标计算机的MAC地址。每台计算机(包括网关)都有一个ARP缓存表,在正常的情况下这个缓存表能够有效维护IP地址对MAC地址的一对一对应关系。若出现在ARP缓存表中所没有的IP地址或MAC地址,那么ARP缓存表的实现机制和ARP请求应答的机制就无法找到对应的IP地址或MAC地址,使其无法正常通信,从而达到阻断的目的。
例如:通过合法计算机B,伪造网关(192。168.1.1)的MAC地址,并将伪造的网关MAC地址向非授权接入计算机A发送,直接欺骗非授权接入机,达到阻断其接入网络的目的。
ARP欺骗的阻断方式技术实现较简单,被目前国内大部分主机监控与审计产品提供商所采用,对局域网内未安装主机监控与审计客户端软件的计算机进行阻断。ARP欺骗的阻断范式跟网络设备的关联性比较小,对网络的适应性比较强,且均具有日志审计记录。
系统漏洞
系统漏洞是指应用软件或操作系统软件在逻辑设计上的缺陷或在编写时产生的错误,这个缺陷或错误可以被不法者或者电脑黑客利用,通过植入木马、病毒等方式来攻击或控制计算机,从而窃取计算机中的重要资料信息,甚至破坏整个计算机系统。
漏洞会影响到的范围很大,包括系统本身及其支撑软件、网络客户和服务器软件、网络路由器和安全防火墙等。换而言之,在这些不同的软硬件设备中都可能存在不同的安全漏洞问题。以下是一些常见的系统漏洞:
1.UPNP服务漏洞
Windows XP默认启动的UPNP服务存在严重安全漏洞,可使攻击者非法获取任何Windows XP系统访问等级权限进行攻击,还可通过控制多台安装Windows XP系统的计算机发起分布式攻击。
2.升级程序漏洞
Windows XP的升级程序漏洞不仅会删除IE的补丁文件,还会导致微软的升级服务器无法正确识别IE是否存在缺陷。通过升级程序漏洞,某些网页或HTML邮件的脚本可自动调用Windows的程序,还可通过IE漏洞窥视用户计算机内的文件。
3.帮助和支持中心漏洞
帮助和支持中心提供集成工具,用户通过该工具获取针对各种主题的帮助和支持。帮助和支持中心漏洞可令攻击者跳过特殊的网页,使上传文件或文件夹的操作失败,随后该网页在网站上公布,攻击访问该网站的用户或通过邮件传播来攻击。该漏洞除使攻击者可删除文件外,不会赋予其他权利,攻击者既无法获取系统管理员的权限,也无法读取或修改文件。
4.压缩文件夹漏洞
压缩文件夹漏洞可使Windows XP系统的压缩文件夹按照攻击者的选择运行代码程序。通过该漏洞,解压缩Zip文件时会在非用户指定目录中放置文件,或者有未经检查的缓冲存在于程序中以存放被解压文件,可使攻击者在用户系统的已知位置中放置文件,甚至很可能导致浏览器崩溃。
Windows系统漏洞问题是与时间紧密相关的。一个Windows系统从发布的那一天起,随着用户的深入使用,系统中存在的漏洞会被不断暴露出来,这些早先被发现的漏洞也会不断被系统供应商微软公司发布的补丁软件修补,或在以后发布的新版系统中得以纠正。而在新版系统纠正了旧版本中具有漏洞的同时,也会引入一些新的漏洞和错误。随着时间的推移,旧的系统漏洞会不断消失,新的系统漏洞会不断出现。系统漏洞问题也会长期存在。
作为计算机用户,应养成定期升级系统补丁程序的良好习惯,及时更新系统漏洞,保证计算机安全。
“鬼影”病毒
“鬼影”病毒是近年来极为罕见的技术型引导区病毒。它可以绕过Winxp的安全限制,直接改写BMR(主引导区记录)。
该病毒的特征是:运行后会自动释放两个驱动(A、B)到用户电脑中并加载,和母体病毒捆绑在一起修改桌面快捷方式,并尝试修改IE属性。A驱动会修改系统的主引导记录,并将B驱动写入磁盘,同时保证病毒优先于系统启动,且病毒文件保存在操作系统之外。这样进入系统后,病毒加载入内存,但找不到任何启动项和病毒文件,在进程中也找不到任何进程模块。
重启系统后,主引导记录(MBR)中的恶意代码会对windows系统的整个启动过程进行监控,发现系统加载ntldr文件时,插入恶意代码,使其加载B驱动。B驱动加载后,会监视系统中的所有进程模块,并下载大量的盗号木马,进一步盗取用户的信息。
目前升级为最新版本的金山毒霸杀毒软件已可对感染 “鬼影”病毒的母体文件进行查杀。
计算机木马的类型
常见的计算机木马的类型有以下9种:
1.破坏型 :该类木马唯一的功能就是破坏并且删除文件,它们非常简单、容易使用,能自动删除目标机上的DLL、INI、EXE文件。因此一旦被感染就会严重威胁到电脑的正常使用。
2.密码发送型 :该类木马可以找到目标机的隐藏密码,并且在受害者不知道的情况下,把它们发送到指定的信箱。有人喜欢把自己的各种密码以文件的形式存放在计算机中,认为这样方便;还有人喜欢用Windows提供的密码记忆功能,这样就可以不必每次都输入密码了。这类木马恰恰是利用这一点获取目标机的密码,它们大多数会在每次启动Windows时重新运行,而且多使用25号端口上送E-mail。如果目标机有隐藏密码,这些木马是非常危险的。
3.远程访问型:该类木马是现在使用最广泛的木马,它可以远程访问被攻击者的硬盘。只要有人运行了服务端程序,客户端通过扫描等手段知道了服务端的IP地址,就可以实现远程控制。
4.键盘记录木马 :该类木马非常简单,它们只做一件事情,就是记录受害者的键盘敲击并且在LOG文件里查找密码,并且随着Windows的启动而启动。它们有在线和离线记录这样的选项,可以分别记录你在线和离线状态下敲击键盘时的按键情况,也就是说你按过什么按键,黑客从记录中都可以知道,并且很容易从中得到你的密码等有用信息,甚至是用户的信用卡账号。
5.DDoS攻击木马:随着DDoS攻击越来越广泛的应用,被用作DDoS攻击的木马也越来越流行。当黑客入侵计算机并给其安装上DDoS攻击木马后,这台主机便可以被黑客实现远程操控——即俗称的“肉鸡”,黑客通过“肉鸡”向更多的计算机发动DDoS攻击,继而实现更多的控制,同时该控制很难被追溯。这种木马的危害不仅体现在被感染计算机上,更多的体现在黑客利用受控制主机攻击其他计算机或网络,造成极大危害和损失。
6.FTP木马:该类木马可能是最简单和古老的木马了,它的惟一功能就是打开计算机的21端口,即FTP端口,等待用户连接的时候进行传播。现在新型的FTP木马还加上了密码功能,这样,只有攻击者本人才知道正确的密码,从而进入对方计算机。
7.反弹端口型木马:有一部分木马开发者在分析了防火墙的特性后发现:防火墙对于连入的链接往往会进行非常严格的过滤,但是对于连出的链接却疏于防范。根据防火墙的这个特点,黑客通过反弹端口型木马,使受感染计算机通过最常见的80端口与外界进行连接并实行其他操作。这样,该木马行为即使被发现,用户也很有可能是认为自己在浏览网页,从而逃过反木马软件的检测。
8.代理木马:黑客在入侵用户主机的同时掩盖自己的足迹,谨防别人发现自己的身份是非常重要的,因此,给被控制的肉鸡种上代理木马,让其变成攻击者发动攻击的跳板就是代理木马最重要的任务。通过代理木马,攻击者可以在匿名的情况下使用Telnet、ICQ、IRC等程序,从而隐蔽自己的踪迹。
9.程序杀手木马:上面介绍的木马功能虽然形形色色,不过到了对方计算机上要发挥其作用,还要过防木马软件(譬如:瑞星、金山、Norton Anti-Virus等)这一关才行。程序杀手木马的功能就是关闭对方机器上运行的防木马软件程序,让其他木马更好地发挥作用。
绑架型木马的概念及特点
绑架型木马是一种新型的破坏性非常强的木马种类。与感染型木马不同,绑架型木马通过“绑架”正常的系统文件或某个正常的应用软件实现自启动。
绑架型木马的特征特点是防不胜防、破坏性强、难以彻底删除。 首先,绑架型木马可以通过“绑架”正常的系统文件或某个正常的应用软件的方启动,在这个过程中,该类木马会通过“绑架”用户的方式,强行修改用户浏览器主页、强迫用户浏览恶意网站等。可以被绑架型木马利用的正常的系统文件或软件不计其数、防不胜防。
其次,绑架型木马还可以破坏系统组件。杀毒软件在简单删除该木马程序之后,会出现各种各样的系统异常,与之相关的应用程序无法正常运行,甚至出现系统崩溃,危害极大。
我国互联网上传播木马的主要类型
国家互联网应急中心发布的2009年互联网恶意代码监测分析情况显示:我国互联网的信息安全形势令人堪忧,特别是木马活动猖獗,在恶意代码传播中占据主要比例,已成为互联网中最大的危害者。在已公布的木马种类中,还包括被境外情报机构用以窃取信息的特种木马。据分析,目前互联网上的木马大致可以分为4种类型:
1.远程控制型木马
远程控制型木马运行后会主动回联其控制端。控制端可以完全控制被感染的主机,并对其进行文件窃取、屏幕监控、键盘记录、音视频控制等。一旦感染远程控制型木马,用户电脑中的所有信息都将给控制者掌控,没有任何秘密可言。
2.木马下载器
木马下载器运行后会继续下载其他功能模块或其他木马。由于其具有体积小、易于变形、隐蔽性好、植入方便等特点,目前已成为黑客惯用的入侵手段。黑客一般先向目标主机植入下载器,下载器成功运行后会自动下载其他功能的代码或木马文件至内存或本地运行。此种木马具有后续的恶意代码下载能力,已成为木马的重要发展方向之一,危害不可小视。
3.盗号木马
盗号木马主要以盗取用户的各种账号、口令和敏感信息为目的,给用户带来直接的经济损失。
4.其他木马
除以上3种功能明确的木马外,还出现了一些其他形式的木马,以多态性木马较为多见,其功能复合,既具有木马的特征,也兼具蠕虫和病毒的特性。还有一种Kido木马,是一种具有木马功能的蠕虫,其具有极强的破坏能力,不仅能够创建十分庞大的僵尸网络,还伴有下载其他病毒文件的能力。此蠕虫曾导致英、法、德军方网络系统瘫痪,在我国互联网上传播也甚为广泛。
恶意软件的分类
恶意软件是指专门开发的危害他人计算机系统的软件。经过30年的发展,恶意软件至今数量已经超过几百万种,包括广告软件、僵尸网络、计算机病毒、计算机蠕虫、间谍软件、rootkits、特洛伊木马等13大类。随着计算机犯罪盈利组织的出现,恶意软件功能日趋复杂化,其质量也愈来愈高。大多数恶意软件目的是借助窃取信息、破坏数据、危害系统以达到更高目标。恶意软件危害的根源在于用户在执行他们并不了解的程序。多数用户不知道程序会做什么,也没有可靠的方法去发现程序的行为。有安全概念的用户在执行未知程序前会使用病毒扫描工具。尽管现代病毒扫描器具有扩展经验数据的能力,但是恶意软件检测的主要方法仍然是简单的模式匹配机制,即把未知文件与已有的恶意软件特征码数据库进行比较。对于针对某个组织专门定制的恶意软件,既不会广泛传播,也不会送到反病毒厂家,这种方法显然无能为力。
恶意软件有多种分类,典型方法是通过其意图和危害程度加以分类,用于生成整体的风险评价。对最终用户而言,恶意软件通常是指那些他们为请求或不需要的、危害他们计算机系统的软件。
从恶意软件采取的隐藏方法角度,可以把恶意软件分为四类,对他们需采取不同的分析方法。第一类恶意软件不适用未公开的方法隐藏,大多数标准恶意软件属于此类,可使用传统工具进行分析。第二类恶意软件修改静态资源隐藏自己,对应的分析方法包括对运行时内存和硬盘值比较、数字签名代码等。第三类恶意软件修改动态资源隐藏自身,由于应用数据总在变化,无法比较其哈希值,目前对此类恶意软件没有合适的分析方法。第四类恶意软件将自身隐藏在操作系统也无法看到的地方。因为在操作系统内部几乎无法检测到,因此对他们的检测、组织和分析必须在操作系统外进行。可以通过比较此类恶意软件引入前后的指令事件加以分析。
身份认证的分类
随着信息技术的广泛运用,数据越来越成为机关、企事业单位日常运作不可缺少的一部分,对单位的生存和发展起着至关重要的作用。身份认证是数据保护方面的一种常用方法,它的作用是为验证用户是否具有合法身份去访问系统,主要可分为静态口令、动态口令、数字证书、生物认证四种主要方式:
静态口令:静态口令是由用户自行设定的口令,一般情况下,用户不会在一个相对短的时间间隔内频繁的更换自己的口令,因此这种口令基本上是静态的方式。
动态口令:动态口令是由特定的手持终端设备生成的,根据某种加密算法,产生的某一个不断变换的参数(例如时间、事件等)不停地、没有重复变化的一种口令。动态口令卡每次使用时变换一次口令,攻击者没有办法推测出用户下一次登录口令。
数字证书:数字证书是基于国际PKI标准的网上身份认证系统,它以数字签名的方式通过第三方权威认证有效地进行网上身份认证,帮助各实体识别对方身份和表明自身身份,具有真实性和防抵赖功能。
生物认证:生物认证是通过人体的生物学特征进行个人身份认证的方法,如指纹认证、掌纹认证、面容认证、声音认证、虹膜认证、视网膜认证等等。目前指纹认证运用最为广泛。
静态口令、动态口令、数字证书、生物认证四种认证方式的安全程度是有差异的,通常情况下,生物认证安全性最高,数字证书、动态口令次之,静态口令安全性最差。实际使用中往往采用多重认证方式,以达到更高的安全性。
SCIF———美国总统的保密会议室
英国广播总站3月22日刊登了一张美国白宫发布的照片。照片显示了美国总统奥巴马和他的顾问们围坐在视频电话前,四周看起来犹如蓝色的帐篷,脚下是花纹地毯。其实,这顶帐篷是一个移动的安全区域,名为“敏感信息隔离设施”,简称SCIF,可以防止人员窃听、电话搭线窃听、计算机非法入侵,是一种有效保证会议安全保密的设施。这种设置可以是建筑物的固定房间,也可以是移动的装置。移动式SCIF便于携带和部署,当领导人在外访问时,他们可以在这里阅读敏感文档或者展开涉密谈话,外人听不到也看不到。几年前,美国总统布什也曾在缅因州肯纳邦克波特用移动式SCIF与位于唐宁街的英国首相布莱尔讨论阿富汗和伊拉克的问题。与移动SCIF一样,固定式SCIF被用来保护办公室和大使馆中的涉密会议。
据为美国政府部门提供SCIF的主要供应商介绍,移动式SCIF内部是一个自给自足的舱,有独立的空气供给,并且保证SCIF内部笔记本电脑、收音机和电话等电子设备的辐射不能泄露出SCIF,SCIF没有窗户,由一种特殊材料制成。这种材料可以防止帐篷内的辐射被帐篷外的窃听装备接收到。与其说SCIF外面围绕着铜墙铁壁,不如说SCIF周围由“电磁波环”环绕,防止信号进出。唯一能够离开帐篷的信号是安全加密电话发往通信卫星的加密通信信号。SCIF内部没有遥控设备,内部大部分信号都是通过光纤传输的,不像电缆可以被窃听。
不论是移动的还是固定的SCIF都不仅仅具备隔声性能,而且还具有“入侵检测系统”来防范各种形式的闯入。只有那些经过授权的人才能够进去SCIF,门禁是一套由PIN码、证件和生物特征组合起来的认证体系。经过多年改进,移动式SCIF已经紧凑到能够将大部分部件放进一个长2英尺的箱子里,非常便于携带。这种设备是每届美国总统出访行程中行李的重要组成部分。
提示信息