多级防范确保健康档案安全(3)
防火墙包括包过滤防火墙、应用级网关、状态监测防火墙三类。状态监测防火墙在网关上执行网络安全策略的软件模块,称之为“监测引擎”,可以对网络通信的各层实施监测,抽取状态信息,并动态地保存起来作为以后执行安全策略的参考。
入侵检测技术:入侵检测系统IDS(Intrusion Detection System)是一种能对潜在的入侵行为作出记录和预测的智能化、自动化的软件或硬件。按照检测的功能不同,入侵检测系统分为:网络入侵检测系统、系统完整性校验系统、日志文件分析系统、欺骗系统。系统的日志系统虽然可以记录一定的系统事件,但它远远不能完成分析、记录入侵行为的工作,因为入侵行为往往按照特定的规律进行,如果没有入侵监测系统的帮助,单靠日志记录将很难分析出哪些是恶意的入侵行为,哪些是正常的服务请求。入侵检测系统能轻松发现恶意攻击企图,提前做出防范措施。
及时发现黑客的入侵
如前所述,利用入侵检测系统IDS能够发现大多数恶意攻击企图或入侵,从而做出针对性必要的有效的防范。我们还可以在系统中发现入侵的蛛丝马迹,特别是在没有入侵检测系统的情况下,这种方法非常重要了。
, http://www.100md.com
黑客入侵大致有两种目的,一种是以窃取资料情报及他人的隐私为目的,这类攻击对于被入侵的计算机系统的影响并没有明显的特征,往往要经过一段时间以后才可能被人发觉。另外一类攻击是以破坏计算机系统的功能为目的,被入侵的计算机系统往往会出现莫名其妙的故障,这类攻击的特征是比较明显的。如果黑客入侵了系统,可以在以下的几个方面找到入侵的踪迹。
1. 系统和网络日志文件
黑客经常在系统日志文件中留下他们的踪迹,因此,充分利用系统和网络日志文件信息是检测入侵的必要条件。日志记录了含发生在系统和网络上的不寻常和不期望活动的证据,这些证据可以指出有人正在入侵或已成功入侵过系统。通过查看日志文件,就能够发现成功的入侵或入侵企图。
日志文件中记录了各种行为类型,每种类型又包含不同的信息,例如记录“用户活动”类型的日志就包含了登录、用户 ID 改变、用户对文件的访问、授权和认证信息等内容。所谓不正常的或不期望的行为就是指重复登录失败、登录到不期望的位置以及非授权的访问企图等等。日志文件也是黑客入侵留下信息最多的地方,因此要经常检查自己的日志文件,及时发现可疑的行为记录。
, 百拇医药
2. 检查计算机用户
在被入侵的计算机中,极有可能添加了新用户或者对用户进行了克隆。可以按以下方式进行检查:
查看目前用户。使用“net localgroup administrators”查看当前的具有管理员权限用户列表,也可以通过执行“lusrmgr.msc”命令来查看本地用户和组。
可以使用“mt –chkuser”查看用户是否被克隆,mt.exe是一款非常强大的网络工具,它主要在命令行执行,可以开启系统服务,检查用户以及直接显示用户登陆密码等。其中一个比较实用的命令就是“mt -chkuser”用来查看系统是否存在被克隆用户。
3. Web服务器的安全检查
数据库安全检查:目前对Web服务器进行SQL注入是一种主流攻击方式,SQL注入攻击最有可能留下痕迹的就是SQL Server 2000等数据库中的临时表,通过HDSI等软件进行SQL注入攻击,在数据库中会留下临时表。因此可以通过数据库的企业管理器或者查询处理器进行表的浏览,直接查看最新创建表的情况。
, 百拇医药
Web日志文件检查:如果Web服务设置日志记录,则系统会在缺省的“%SystemRoot%\system32\Logfiles”目录下对用户访问等信息进行记录。日志文件能够记录入侵者所进行的操作以及入侵者的IP地址等。
4. 目录和文件中的不正常的改变
网络环境中的文件系统包含很多软件和数据文件,包含重要信息的文件和私有数据的文件经常是黑客破坏的目标。如果目录和文件中发生了不期望的改变(包括修改、创建和改或删除),特别是那些正常情况下限制访问的,那么很可能就是一种入侵产生的指示和信号。
黑客经常替换、访问权的系统文件,同时为了隐藏在系统中活动痕迹,都会尽力去替换系统程序或修改系统日志文件。黑客通常也会更改系统中的配置文件来逃避追查,或者加载后门、攻击程序之类的软件以方便下次进入。所以被非法修改的系统文件或莫明其妙地增加了一个用户等一些现象都意味着你的系统很可能被入侵者控制了。这就要求我们要熟悉自己的文件系统,注意检查系统目录文件或者重要数据目录文件的变动情况。最好自己能有相关的记录,这样如果有什么改动发生,就可以据此来推断系统有没有被入侵过。
, 百拇医药
如果及时发现入侵,则可以通过以下一些方法来查看入侵者所上传或安装的木马程序文件。
查看系统目录文件,可以使用DOS命令“dir/od/a”或者资源管理器查看最新文件。DOS命令“dir/od/a”查看系统最新文件(包含隐藏文件)以日期进行排序。
查看系统盘下用户所在文件的临时目录temp,如“D:\Documents and Settings\simeon\Local Settings\Temp”,该目录下会保留操作的一些临时文件。
查看历史文件夹,历史文件夹中会保留一些入侵者访问网络的一些信息,可以通过访问用户所在的目录如“D:\Documents and Settings\simeon\Local Settings\History”进行查看。
查看回收站,回收站可能会存在入侵者删除的一些文件记录。通过查看文件创建日期和跟踪文件所在位置来进行入侵时间等判断。
, 百拇医药
查看recent文件夹,recent文件夹中会保留一些最近操作时的一些快捷方式。通过这些快捷方式可以了解入侵者进行的一些操作。
5. 程序执行中的不期望行为
网络系统上运行的程序一般包括操作系统、网络服务、用户起动的程序和特定目的的应用,例如数据库服务器等。每个在系统上执行的程序一般由一到多个进程来实现,每个进程运行在具有不同权限的环境中,这种一个进程的执行行为由它运行时执行的操作来表现,操作的方式不同,所利用的系统资源也就不同。操作包括数据计算、文件传输及网络间的通讯等等。
当一个进程出现了不期望的行为或正常服务被终止、出现了可疑的进程或非法服务、发现了可疑的数据,就可能表明黑客正在入侵你的系统。黑客可能会将程序或服务的运行分解从而导致它失败,或者是使之违背用户或管理员意图运行。有时候系统变得不稳定或莫名其妙地死机,或者处理速度降低等等。只要我们能够留心是很容易发现这类疑点的。当然了,有很多其他因素会导致这种现象,所以具体问题要具体分析。
, 百拇医药
6. 网络流量增大
如果发现服务器的访问流量突然间增大了许多,这就预示着你的系统有可能已经被入侵者控制,并被入侵者用来扫描和攻击其他的服务器。事实证明,许多入侵者都是利用中介主机对远程主机进行扫描并找出安全漏洞,然后再进行攻击的。而这些行为都会造成网络流量突然增大。
黑客入侵后如何处理
发现黑客入侵后,需要收集黑客入侵的证据,分析出侵入的方法,保护好入侵现场是十分必要的,同时迅速评估系统遭受的损失,按照应急方案或者措施执行,终止黑客的入侵和挽回损失、恢复系统。
1. 报告上司、网警、公安部门
在计算机被入侵后,一般采用三种方式:一种就是彻底格式化硬盘,重新安装操作系统和软件;另外一种方法是安装一些木马查找软件,查杀木马和病毒后继续使用,最后一种就是利用原来系统中的Ghost备份进行恢复。正确的方法应该是评估计算机中资料的价值,根据其计算机的重要情况,一旦发现计算机被入侵后,应立刻将网络断开,并报告公司安全部门或网警或国家安全局等处理网络安全事件的部门,然后再做相应的处理。
, http://www.100md.com
清理遭受损害的计算机。清理受感染的机器是一个巨大的挑战。这种机器已经成为僵尸网络的一部分,或者正在将数据发送到企业外部。最彻底的方法是重新安装所有的软件,或是系统地清除将机器变成僵尸的所有恶意软件。
2. 保留证据
在发生网络入侵后,一个很重要的步骤就是保留证据,面对入侵,最可能留下证据的就是硬盘。可供参考的保留证据步骤是:使用软驱启动并克隆整个硬盘;将被入侵硬盘存封,保留最直接证据。
3. 恢复使用
利用服务器的备份体系产生的系统备份,恢复系统生产场面,恢复正常服务。
(1)还原操作系统使被攻击服务器恢复正常。
(2)修改在本机上使用的相关软件以及操作系统所有账号的登录密码。如果别的服务器使用者来索要新密码,告诉他发生了安全事故,应检查其工作环境的文件和目录是否潜伏着危害。
(3)设法查明安全事故是如何发生的。如知道入侵方法,则设法堵住这个安全漏洞。
黑客(hacker)定义
利用系统安全漏洞对网络进行攻击破坏或窃取资料的人。
黑客一词,原指热心于计算机技术,水平高超的电脑专家,尤其是程序设计人员。但到了今天,黑客一词已被用于泛指那些专门利用电脑网络搞破坏或恶作剧的家伙。, http://www.100md.com(董有方 孙焱)
入侵检测技术:入侵检测系统IDS(Intrusion Detection System)是一种能对潜在的入侵行为作出记录和预测的智能化、自动化的软件或硬件。按照检测的功能不同,入侵检测系统分为:网络入侵检测系统、系统完整性校验系统、日志文件分析系统、欺骗系统。系统的日志系统虽然可以记录一定的系统事件,但它远远不能完成分析、记录入侵行为的工作,因为入侵行为往往按照特定的规律进行,如果没有入侵监测系统的帮助,单靠日志记录将很难分析出哪些是恶意的入侵行为,哪些是正常的服务请求。入侵检测系统能轻松发现恶意攻击企图,提前做出防范措施。
及时发现黑客的入侵
如前所述,利用入侵检测系统IDS能够发现大多数恶意攻击企图或入侵,从而做出针对性必要的有效的防范。我们还可以在系统中发现入侵的蛛丝马迹,特别是在没有入侵检测系统的情况下,这种方法非常重要了。
, http://www.100md.com
黑客入侵大致有两种目的,一种是以窃取资料情报及他人的隐私为目的,这类攻击对于被入侵的计算机系统的影响并没有明显的特征,往往要经过一段时间以后才可能被人发觉。另外一类攻击是以破坏计算机系统的功能为目的,被入侵的计算机系统往往会出现莫名其妙的故障,这类攻击的特征是比较明显的。如果黑客入侵了系统,可以在以下的几个方面找到入侵的踪迹。
1. 系统和网络日志文件
黑客经常在系统日志文件中留下他们的踪迹,因此,充分利用系统和网络日志文件信息是检测入侵的必要条件。日志记录了含发生在系统和网络上的不寻常和不期望活动的证据,这些证据可以指出有人正在入侵或已成功入侵过系统。通过查看日志文件,就能够发现成功的入侵或入侵企图。
日志文件中记录了各种行为类型,每种类型又包含不同的信息,例如记录“用户活动”类型的日志就包含了登录、用户 ID 改变、用户对文件的访问、授权和认证信息等内容。所谓不正常的或不期望的行为就是指重复登录失败、登录到不期望的位置以及非授权的访问企图等等。日志文件也是黑客入侵留下信息最多的地方,因此要经常检查自己的日志文件,及时发现可疑的行为记录。
, 百拇医药
2. 检查计算机用户
在被入侵的计算机中,极有可能添加了新用户或者对用户进行了克隆。可以按以下方式进行检查:
查看目前用户。使用“net localgroup administrators”查看当前的具有管理员权限用户列表,也可以通过执行“lusrmgr.msc”命令来查看本地用户和组。
可以使用“mt –chkuser”查看用户是否被克隆,mt.exe是一款非常强大的网络工具,它主要在命令行执行,可以开启系统服务,检查用户以及直接显示用户登陆密码等。其中一个比较实用的命令就是“mt -chkuser”用来查看系统是否存在被克隆用户。
3. Web服务器的安全检查
数据库安全检查:目前对Web服务器进行SQL注入是一种主流攻击方式,SQL注入攻击最有可能留下痕迹的就是SQL Server 2000等数据库中的临时表,通过HDSI等软件进行SQL注入攻击,在数据库中会留下临时表。因此可以通过数据库的企业管理器或者查询处理器进行表的浏览,直接查看最新创建表的情况。
, 百拇医药
Web日志文件检查:如果Web服务设置日志记录,则系统会在缺省的“%SystemRoot%\system32\Logfiles”目录下对用户访问等信息进行记录。日志文件能够记录入侵者所进行的操作以及入侵者的IP地址等。
4. 目录和文件中的不正常的改变
网络环境中的文件系统包含很多软件和数据文件,包含重要信息的文件和私有数据的文件经常是黑客破坏的目标。如果目录和文件中发生了不期望的改变(包括修改、创建和改或删除),特别是那些正常情况下限制访问的,那么很可能就是一种入侵产生的指示和信号。
黑客经常替换、访问权的系统文件,同时为了隐藏在系统中活动痕迹,都会尽力去替换系统程序或修改系统日志文件。黑客通常也会更改系统中的配置文件来逃避追查,或者加载后门、攻击程序之类的软件以方便下次进入。所以被非法修改的系统文件或莫明其妙地增加了一个用户等一些现象都意味着你的系统很可能被入侵者控制了。这就要求我们要熟悉自己的文件系统,注意检查系统目录文件或者重要数据目录文件的变动情况。最好自己能有相关的记录,这样如果有什么改动发生,就可以据此来推断系统有没有被入侵过。
, 百拇医药
如果及时发现入侵,则可以通过以下一些方法来查看入侵者所上传或安装的木马程序文件。
查看系统目录文件,可以使用DOS命令“dir/od/a”或者资源管理器查看最新文件。DOS命令“dir/od/a”查看系统最新文件(包含隐藏文件)以日期进行排序。
查看系统盘下用户所在文件的临时目录temp,如“D:\Documents and Settings\simeon\Local Settings\Temp”,该目录下会保留操作的一些临时文件。
查看历史文件夹,历史文件夹中会保留一些入侵者访问网络的一些信息,可以通过访问用户所在的目录如“D:\Documents and Settings\simeon\Local Settings\History”进行查看。
查看回收站,回收站可能会存在入侵者删除的一些文件记录。通过查看文件创建日期和跟踪文件所在位置来进行入侵时间等判断。
, 百拇医药
查看recent文件夹,recent文件夹中会保留一些最近操作时的一些快捷方式。通过这些快捷方式可以了解入侵者进行的一些操作。
5. 程序执行中的不期望行为
网络系统上运行的程序一般包括操作系统、网络服务、用户起动的程序和特定目的的应用,例如数据库服务器等。每个在系统上执行的程序一般由一到多个进程来实现,每个进程运行在具有不同权限的环境中,这种一个进程的执行行为由它运行时执行的操作来表现,操作的方式不同,所利用的系统资源也就不同。操作包括数据计算、文件传输及网络间的通讯等等。
当一个进程出现了不期望的行为或正常服务被终止、出现了可疑的进程或非法服务、发现了可疑的数据,就可能表明黑客正在入侵你的系统。黑客可能会将程序或服务的运行分解从而导致它失败,或者是使之违背用户或管理员意图运行。有时候系统变得不稳定或莫名其妙地死机,或者处理速度降低等等。只要我们能够留心是很容易发现这类疑点的。当然了,有很多其他因素会导致这种现象,所以具体问题要具体分析。
, 百拇医药
6. 网络流量增大
如果发现服务器的访问流量突然间增大了许多,这就预示着你的系统有可能已经被入侵者控制,并被入侵者用来扫描和攻击其他的服务器。事实证明,许多入侵者都是利用中介主机对远程主机进行扫描并找出安全漏洞,然后再进行攻击的。而这些行为都会造成网络流量突然增大。
黑客入侵后如何处理
发现黑客入侵后,需要收集黑客入侵的证据,分析出侵入的方法,保护好入侵现场是十分必要的,同时迅速评估系统遭受的损失,按照应急方案或者措施执行,终止黑客的入侵和挽回损失、恢复系统。
1. 报告上司、网警、公安部门
在计算机被入侵后,一般采用三种方式:一种就是彻底格式化硬盘,重新安装操作系统和软件;另外一种方法是安装一些木马查找软件,查杀木马和病毒后继续使用,最后一种就是利用原来系统中的Ghost备份进行恢复。正确的方法应该是评估计算机中资料的价值,根据其计算机的重要情况,一旦发现计算机被入侵后,应立刻将网络断开,并报告公司安全部门或网警或国家安全局等处理网络安全事件的部门,然后再做相应的处理。
, http://www.100md.com
清理遭受损害的计算机。清理受感染的机器是一个巨大的挑战。这种机器已经成为僵尸网络的一部分,或者正在将数据发送到企业外部。最彻底的方法是重新安装所有的软件,或是系统地清除将机器变成僵尸的所有恶意软件。
2. 保留证据
在发生网络入侵后,一个很重要的步骤就是保留证据,面对入侵,最可能留下证据的就是硬盘。可供参考的保留证据步骤是:使用软驱启动并克隆整个硬盘;将被入侵硬盘存封,保留最直接证据。
3. 恢复使用
利用服务器的备份体系产生的系统备份,恢复系统生产场面,恢复正常服务。
(1)还原操作系统使被攻击服务器恢复正常。
(2)修改在本机上使用的相关软件以及操作系统所有账号的登录密码。如果别的服务器使用者来索要新密码,告诉他发生了安全事故,应检查其工作环境的文件和目录是否潜伏着危害。
(3)设法查明安全事故是如何发生的。如知道入侵方法,则设法堵住这个安全漏洞。
黑客(hacker)定义
利用系统安全漏洞对网络进行攻击破坏或窃取资料的人。
黑客一词,原指热心于计算机技术,水平高超的电脑专家,尤其是程序设计人员。但到了今天,黑客一词已被用于泛指那些专门利用电脑网络搞破坏或恶作剧的家伙。, http://www.100md.com(董有方 孙焱)