陳彥英

（漯河醫(yī)學(xué)高等?？茖W(xué)校，河南 漯河 462002）

隨著信息技術(shù)飛速發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)不斷進(jìn)步，校園網(wǎng)已經(jīng)成為高校信息化建設(shè)的基礎(chǔ)平臺。新形勢下，網(wǎng)絡(luò)竊取信息手段不斷更新，攻擊手法更加多樣，竊取信息的方式更加隱蔽。這對高校數(shù)據(jù)中心內(nèi)部信息安全構(gòu)成了巨大的威脅。

1 可見光輻射攻擊及防御

1.1 可見光輻射攻擊原理

最近出現(xiàn)的利用可見光范圍內(nèi)的輻射進(jìn)行竊聽，需要使用光傳感器，與射頻竊聽所使用的昂貴設(shè)備相比，光輻射攻擊相對低廉，由于CRT顯示器工作時需要使用電子束掃描屏幕表面，同時以難以置信的速度分別刷新每個像素。當(dāng)電子束擊中一個像素時會產(chǎn)生短暫的亮度，從而使得這種可見光攻擊成為可能。光傳感器可對著房間的墻壁，通過分析房間內(nèi)光線的變化，同時應(yīng)用成像技術(shù)來減少“噪聲”，就有可能重建屏幕內(nèi)容的圖像。實(shí)驗(yàn)證明，只要房間內(nèi)墻壁上有光傳感器，在50米范圍之內(nèi)，攻擊者就能實(shí)施這種攻擊。

1.2 防范可見光攻擊的措施

由于攻擊者依賴的是可見光，只要房間不在攻擊者的視線之內(nèi)就能免受這種攻擊。對液晶顯示器不能實(shí)施這種攻擊。因?yàn)橐壕э@示器刷新屏幕的方式與CRT顯示器不同。在液晶顯示器大量使用的今天，這種攻擊方式?jīng)]有也不會受到高度關(guān)注。

2 硬件鍵盤記錄器攻擊及防御

2.1 硬件鍵盤記錄器攻擊原理

鍵盤記錄器通常被用于竊取計(jì)算機(jī)使用者輸入的密碼或者其他敏感信息及隱私。硬件鍵盤記錄器是一種小型的連接器，通常安裝在計(jì)算機(jī)和鍵盤之間，以目前通用的USB鍵盤為例，它是一種包含公母USB連接器的設(shè)備，放置在計(jì)算機(jī)USB接口和鍵盤USB電纜之間，可以收集并存儲很長一段時間內(nèi)的所有按鍵信息。除了以上所講的通用硬件鍵盤記錄器外，目前還有一些高級的硬件鍵盤記錄器能夠通過無線技術(shù)傳輸與截獲敏感信息。

2.2 防范硬件鍵盤記錄器攻擊的措施

由于安裝上述設(shè)備后，通用的檢測軟件檢查不出此類設(shè)備。因此，最好的檢測方法是物理檢查，最有效的預(yù)防措施是采用嚴(yán)格的訪問控制，防止對敏感計(jì)算機(jī)系統(tǒng)的物理訪問。

3 自生系統(tǒng)攻擊及防御

3.1 自生系統(tǒng)攻擊原理

自生系統(tǒng)是一種操作系統(tǒng)，可以從外部介質(zhì)引導(dǎo)并駐留內(nèi)存，且無需安裝（常用的WindowsPE系統(tǒng)就屬于此類）。它可以存儲在CD、DVD、USB驅(qū)動器或其他移動存儲介質(zhì)中，并通過這些介質(zhì)啟動計(jì)算機(jī)。自生系統(tǒng)本來就是用于系統(tǒng)診斷和軟件修復(fù)的。攻擊者可利用自生系統(tǒng)能夠繞過操作系統(tǒng)的身份驗(yàn)證機(jī)制這一功能，從自生系統(tǒng)啟動、掛載硬盤，然后直接讀取和寫入數(shù)據(jù)。因?yàn)闆]有加載本地操作系統(tǒng)，所以本地操作系統(tǒng)對自生系統(tǒng)下的數(shù)據(jù)操作無能為力。

3.2 防范自生系統(tǒng)攻擊的措施

防范自生系統(tǒng)攻擊的一種有效手段是安裝BIOS密碼，通過保護(hù)BIOS，進(jìn)而防止攻擊者啟動計(jì)算機(jī)。但這種方法不能阻止攻擊者從計(jì)算機(jī)中取走硬盤，然后將其安裝在另外一臺計(jì)算機(jī)上進(jìn)行訪問。因此，更好的預(yù)防措施是使用內(nèi)置硬盤驅(qū)動器密碼或使用硬盤加密技術(shù)。

4 DNS攻擊及防御

4.1 DNS攻擊技術(shù)原理

國家互聯(lián)網(wǎng)應(yīng)急中心發(fā)布的《2013年互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢綜述》中提到，域名系統(tǒng)依然是影響安全的薄弱環(huán)節(jié)，2013年8月25日我國國家.CN頂級域名遭攻擊癱瘓。DNS本來的功能是將域名解析為IP地址，如果攻擊者控制了DNS解析請求，這種破壞性是非常大的。通過DNS緩存中毒技術(shù)，可以發(fā)起一些DNS攻擊，在這種攻擊下，攻擊者欺騙DNS服務(wù)器緩存虛假的DNS記錄，然后將發(fā)送給該服務(wù)器的所有客戶端DNS請求的下行流解析為攻擊者所提供的IP地址，從而使用戶訪問攻擊者提供的惡意網(wǎng)站，下載不需要的內(nèi)容。2008年，出現(xiàn)了新的子域DNS緩存中毒攻擊方式，攻擊者使用兩種新技術(shù)成功進(jìn)行了DNS緩存中毒攻擊。這種攻擊方式的成功率更高，它已經(jīng)成功攻破了許多流行的DNS軟件包，包括BIND這種最常用的系統(tǒng)。

4.2 防范DNS攻擊的措施

針對子域的DNS緩存中毒，采取新版的DNS是有效的解決方案，但在設(shè)計(jì)出更好的解決方案之前，一些治標(biāo)的措施能夠減小這種攻擊的風(fēng)險。從2008年起，大多數(shù)LDNS服務(wù)器進(jìn)行了重新配置，只接受內(nèi)部網(wǎng)的請求，同時為進(jìn)一步降低攻擊的成功率，許多DNS實(shí)現(xiàn)了源端口隨機(jī)化。此外，還有一種DNSSEC方案，即通過對所有的DNS應(yīng)答進(jìn)行數(shù)字簽名，以防范DNS攻擊。

5 APT攻擊及防御

5.1 APT攻擊技術(shù)原理

APT攻擊利用了多種攻擊手段，包括一些先進(jìn)的手段和社會工程學(xué)方法，一步步獲取進(jìn)入組織內(nèi)部的權(quán)限。一般認(rèn)為，APT攻擊就是一類特定的攻擊，為了獲取某組織甚至是國家的重要信息，有針對性地進(jìn)行的一系列攻擊行為的整個過程。APT往往利用組織內(nèi)部人員作為攻擊跳板。有時候，攻擊者會針對被攻擊對象編寫專門的攻擊程序，而非使用一些通用的攻擊代碼。此外，APT攻擊具有持續(xù)性，甚至長達(dá)數(shù)年。這種持續(xù)性體現(xiàn)在攻擊者不斷嘗試各種攻擊手段，以及在滲透到網(wǎng)絡(luò)內(nèi)部后長期蟄伏，不斷收集各種信息，直到收集到重要情報(bào)。更加危險的是，這些新型的攻擊和威脅主要針對國家重要的基礎(chǔ)設(shè)施和單位進(jìn)行，包括能源、電力、金融、國防等關(guān)系到國計(jì)民生或國家核心利益的網(wǎng)絡(luò)基礎(chǔ)設(shè)施。

對于這些單位而言，盡管已經(jīng)構(gòu)建了相對完備的縱深安全防御體系，可能既包括針對某個安全威脅的安全設(shè)備，也包括將各種單一安全設(shè)備串聯(lián)起來的管理平臺，還涵蓋事前、事中和事后等各階段。但這樣的防御體系仍然難以有效防止來自互聯(lián)網(wǎng)的入侵和攻擊以及信息竊取，尤其是新型攻擊（如APT攻擊及各類利用0day漏洞的攻擊）。

5.2 防范APT攻擊的措施

首先是減少應(yīng)用的自身漏洞，其次是發(fā)展基于漏洞（包括0day）攻擊檢測技術(shù)和0day病毒木馬檢測技術(shù)，再次是對加密數(shù)據(jù)的可信性識別，最后是配合其他兩個檢測點(diǎn)，形成完整的縱深防御鏈條。與此同時，加強(qiáng)國外不可信軟件與設(shè)備的安全檢測，建立健全準(zhǔn)入制度。

6 結(jié)語

做好數(shù)據(jù)中心的信息安全防護(hù)工作，技術(shù)是保障，管理是關(guān)鍵。作為數(shù)據(jù)中心，必須制定一套嚴(yán)謹(jǐn)有效的工作制度，有效規(guī)范網(wǎng)絡(luò)信息的存儲與安全防護(hù)工作。同時還要結(jié)合本單位實(shí)際情況，制定完善的計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)策略和應(yīng)急響應(yīng)預(yù)案。這樣才能確保校園網(wǎng)數(shù)據(jù)中心正常、穩(wěn)定、不間斷地提供網(wǎng)絡(luò)服務(wù)?！?/p>