校园网数据中心内部信息安全隐患分析

校园网数据中心内部信息安全隐患分析

摘要:针对新形势下校园网数据中心内部信息安全面临的新问题,列出5种不同于常见网络攻击的方法,简要分析这些攻击方法的原理,并提出相应的解决办法。

关键词:校园网数据中心;信息安全;信息化建设

随着信息技术飞速发展,计算机网络技术不断进步,校园网已经成为高校信息化建设的基础平台。新形势下,网络窃取信息手段不断更新,攻击手法更加多样,窃取信息的方式更加隐蔽。这对高校数据中心内部信息安全构成了巨大的威胁。

1可见光辐射攻击及防御

1.1可见光辐射攻击原理

最近出现的利用可见光范围内的辐射进行窃听,需要使用光传感器,与射频窃听所使用的昂贵设备相比,光辐射攻击相对低廉,由于CRT显示器工作时需要使用电子束扫描屏幕表面,同时以难以置信的速度分别刷新每个像素。当电子束击中一个像素时会产生短暂的亮度,从而使得这种可见光攻击成为可能。光传感器可对着房间的墙壁,通过分析房间内光线的变化,同时应用成像技术来减少“噪声”,就有可能重建屏幕内容的图像。实验证明,只要房间内墙壁上有光传感器,在50米范围之内,攻击者就能实施这种攻击。

1.2防范可见光攻击的措施

由于攻击者依赖的是可见光,只要房间不在攻击者的视线之内就能免受这种攻击。对液晶显示器不能实施这种攻击。因为液晶显示器刷新屏幕的方式与CRT显示器不同。在液晶显示器大量使用的今天,这种攻击方式没有也不会受到高度关注。

2硬件键盘记录器攻击及防御

2.1硬件键盘记录器攻击原理

键盘记录器通常被用于窃取计算机使用者输入的密码或者其他敏感信息及隐私。硬件键盘记录器是一种小型的连接器,通常安装在计算机和键盘之间,以目前通用的USB键盘为例,它是一种包含公母USB连接器的设备,放置在计算机USB接口和键盘USB电缆之间,可以收集并存储很长一段时间内的所有按键信息。除了以上所讲的通用硬件键盘记录器外,目前还有一些高级的硬件键盘记录器能够通过无线技术传输与截获敏感信息。

2.2防范硬件键盘记录器攻击的措施

由于安装上述设备后,通用的检测软件检查不出此类设备。因此,最好的检测方法是物理检查,最有效的预防措施是采用严格的访问控制,防止对敏感计算机系统的物理访问。

3自生系统攻击及防御

3.1自生系统攻击原理

自生系统是一种操作系统,可以从外部介质引导并驻留内存,且无需安装(常用的WindowsPE系统就属于此类)。它可以存储在CD、DVD、USB驱动器或其他移动存储介质中,并通过这些介质启动计算机。自生系统本来就是用于系统诊断和软件修复的。攻击者可利用自生系统能够绕过操作系统的身份验证机制这一功能,从自生系统启动、挂载硬盘,然后直接读取和写入数据。因为没有加载本地操作系统,所以本地操作系统对自生系统下的数据操作无能为力。

3.2防范自生系统攻击的措施

防范自生系统攻击的一种有效手段是安装BIOS密码,通过保护BIOS,进而防止攻击者启动计算机。但这种方法不能阻止攻击者从计算机中取走硬盘,然后将其安装在另外一台计算机上进行访问。因此,更好的预防措施是使用内置硬盘驱动器密码或使用硬盘加密技术。

4DNS攻击及防御

4.1DNS攻击技术原理

国家互联网应急中心的《2013年互联网网络安全态势综述》中提到,域名系统依然是影响安全的薄弱环节,2013年8月25日我国国家.CN顶级域名遭攻击瘫痪。DNS本来的功能是将域名解析为IP地址,如果攻击者控制了DNS解析请求,这种破坏性是非常大的。通过DNS缓存中毒技术,可以发起一些DNS攻击,在这种攻击下,攻击者欺骗DNS服务器缓存虚假的DNS记录,然后将发送给该服务器的所有客户端DNS请求的下行流解析为攻击者所提供的IP地址,从而使用户访问攻击者提供的恶意网站,下载不需要的内容。2008年,出现了新的子域DNS缓存中毒攻击方式,攻击者使用两种新技术成功进行了DNS缓存中毒攻击。这种攻击方式的成功率更高,它已经成功攻破了许多流行的DNS软件包,包括BIND这种最常用的系统。

4.2防范DNS攻击的措施

针对子域的DNS缓存中毒,采取新版的DNS是有效的解决方案,但在设计出更好的解决方案之前,一些治标的措施能够减小这种攻击的风险。从2008年起,大多数LDNS服务器进行了重新配置,只接受内部网的请求,同时为进一步降低攻击的成功率,许多DNS实现了源端口随机化。此外,还有一种DNSSEC方案,即通过对所有的DNS应答进行数字签名,以防范DNS攻击。

5APT攻击及防御

5.1APT攻击技术原理

APT攻击利用了多种攻击手段,包括一些先进的手段和社会工程学方法,一步步获取进入组织内部的权限。一般认为,APT攻击就是一类特定的攻击,为了获取某组织甚至是国家的重要信息,有针对性地进行的一系列攻击行为的整个过程。APT往往利用组织内部人员作为攻击跳板。有时候,攻击者会针对被攻击对象编写专门的攻击程序,而非使用一些通用的攻击代码。此外,APT攻击具有持续性,甚至长达数年。这种持续性体现在攻击者不断尝试各种攻击手段,以及在渗透到网络内部后长期蛰伏,不断收集各种信息,直到收集到重要情报。更加危险的是,这些新型的攻击和威胁主要针对国家重要的基础设施和单位进行,包括能源、电力、金融、国防等关系到国计民生或国家核心利益的网络基础设施。对于这些单位而言,尽管已经构建了相对完备的纵深安全防御体系,可能既包括针对某个安全威胁的安全设备,也包括将各种单一安全设备串联起来的管理平台,还涵盖事前、事中和事后等各阶段。但这样的防御体系仍然难以有效防止来自互联网的入侵和攻击以及信息窃取,尤其是新型攻击(如APT攻击及各类利用0day漏洞的攻击)。

5.2防范APT攻击的措施

首先是减少应用的自身漏洞,其次是发展基于漏洞(包括0day)攻击检测技术和0day病毒木马检测技术,再次是对加密数据的可信性识别,最后是配合其他两个检测点,形成完整的纵深防御链条。与此同时,加强国外不可信软件与设备的安全检测,建立健全准入制度。

6结语

做好数据中心的信息安全防护工作,技术是保障,管理是关键。作为数据中心,必须制定一套严谨有效的工作制度,有效规范网络信息的存储与安全防护工作。同时还要结合本单位实际情况,制定完善的计算机网络安全防护策略和应急响应预案。这样才能确保校园网数据中心正常、稳定、不间断地提供网络服务。

作者:陈彦英 单位:漯河医学高等专科学校