陳彥英

（漯河醫(yī)學高等?？茖W校，河南 漯河 462002）

隨著信息技術(shù)飛速發(fā)展，計算機網(wǎng)絡(luò)技術(shù)不斷進步，校園網(wǎng)已經(jīng)成為高校信息化建設(shè)的基礎(chǔ)平臺。新形勢下，網(wǎng)絡(luò)竊取信息手段不斷更新，攻擊手法更加多樣，竊取信息的方式更加隱蔽。這對高校數(shù)據(jù)中心內(nèi)部信息安全構(gòu)成了巨大的威脅。

1 可見光輻射攻擊及防御

1.1 可見光輻射攻擊原理

最近出現(xiàn)的利用可見光范圍內(nèi)的輻射進行竊聽，需要使用光傳感器，與射頻竊聽所使用的昂貴設(shè)備相比，光輻射攻擊相對低廉，由于CRT顯示器工作時需要使用電子束掃描屏幕表面，同時以難以置信的速度分別刷新每個像素。當電子束擊中一個像素時會產(chǎn)生短暫的亮度，從而使得這種可見光攻擊成為可能。光傳感器可對著房間的墻壁，通過分析房間內(nèi)光線的變化，同時應(yīng)用成像技術(shù)來減少“噪聲”，就有可能重建屏幕內(nèi)容的圖像。實驗證明，只要房間內(nèi)墻壁上有光傳感器，在50米范圍之內(nèi)，攻擊者就能實施這種攻擊。

1.2 防范可見光攻擊的措施

由于攻擊者依賴的是可見光，只要房間不在攻擊者的視線之內(nèi)就能免受這種攻擊。對液晶顯示器不能實施這種攻擊。因為液晶顯示器刷新屏幕的方式與CRT顯示器不同。在液晶顯示器大量使用的今天，這種攻擊方式?jīng)]有也不會受到高度關(guān)注。

2 硬件鍵盤記錄器攻擊及防御

2.1 硬件鍵盤記錄器攻擊原理

鍵盤記錄器通常被用于竊取計算機使用者輸入的密碼或者其他敏感信息及隱私。硬件鍵盤記錄器是一種小型的連接器，通常安裝在計算機和鍵盤之間，以目前通用的USB鍵盤為例，它是一種包含公母USB連接器的設(shè)備，放置在計算機USB接口和鍵盤USB電纜之間，可以收集并存儲很長一段時間內(nèi)的所有按鍵信息。除了以上所講的通用硬件鍵盤記錄器外，目前還有一些高級的硬件鍵盤記錄器能夠通過無線技術(shù)傳輸與截獲敏感信息。

2.2 防范硬件鍵盤記錄器攻擊的措施

由于安裝上述設(shè)備后，通用的檢測軟件檢查不出此類設(shè)備。因此，最好的檢測方法是物理檢查，最有效的預(yù)防措施是采用嚴格的訪問控制，防止對敏感計算機系統(tǒng)的物理訪問。

3 自生系統(tǒng)攻擊及防御

3.1 自生系統(tǒng)攻擊原理

自生系統(tǒng)是一種操作系統(tǒng)，可以從外部介質(zhì)引導并駐留內(nèi)存，且無需安裝（常用的WindowsPE系統(tǒng)就屬于此類）。它可以存儲在CD、DVD、USB驅(qū)動器或其他移動存儲介質(zhì)中，并通過這些介質(zhì)啟動計算機。自生系統(tǒng)本來就是用于系統(tǒng)診斷和軟件修復(fù)的。攻擊者可利用自生系統(tǒng)能夠繞過操作系統(tǒng)的身份驗證機制這一功能，從自生系統(tǒng)啟動、掛載硬盤，然后直接讀取和寫入數(shù)據(jù)。因為沒有加載本地操作系統(tǒng)，所以本地操作系統(tǒng)對自生系統(tǒng)下的數(shù)據(jù)操作無能為力。

3.2 防范自生系統(tǒng)攻擊的措施

防范自生系統(tǒng)攻擊的一種有效手段是安裝BIOS密碼，通過保護BIOS，進而防止攻擊者啟動計算機。但這種方法不能阻止攻擊者從計算機中取走硬盤，然后將其安裝在另外一臺計算機上進行訪問。因此，更好的預(yù)防措施是使用內(nèi)置硬盤驅(qū)動器密碼或使用硬盤加密技術(shù)。

4 DNS攻擊及防御

4.1 DNS攻擊技術(shù)原理

國家互聯(lián)網(wǎng)應(yīng)急中心發(fā)布的《2013年互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢綜述》中提到，域名系統(tǒng)依然是影響安全的薄弱環(huán)節(jié)，2013年8月25日我國國家.CN頂級域名遭攻擊癱瘓。DNS本來的功能是將域名解析為IP地址，如果攻擊者控制了DNS解析請求，這種破壞性是非常大的。通過DNS緩存中毒技術(shù)，可以發(fā)起一些DNS攻擊，在這種攻擊下，攻擊者欺騙DNS服務(wù)器緩存虛假的DNS記錄，然后將發(fā)送給該服務(wù)器的所有客戶端DNS請求的下行流解析為攻擊者所提供的IP地址，從而使用戶訪問攻擊者提供的惡意網(wǎng)站，下載不需要的內(nèi)容。2008年，出現(xiàn)了新的子域DNS緩存中毒攻擊方式，攻擊者使用兩種新技術(shù)成功進行了DNS緩存中毒攻擊。這種攻擊方式的成功率更高，它已經(jīng)成功攻破了許多流行的DNS軟件包，包括BIND這種最常用的系統(tǒng)。

4.2 防范DNS攻擊的措施

針對子域的DNS緩存中毒，采取新版的DNS是有效的解決方案，但在設(shè)計出更好的解決方案之前，一些治標的措施能夠減小這種攻擊的風險。從2008年起，大多數(shù)LDNS服務(wù)器進行了重新配置，只接受內(nèi)部網(wǎng)的請求，同時為進一步降低攻擊的成功率，許多DNS實現(xiàn)了源端口隨機化。此外，還有一種DNSSEC方案，即通過對所有的DNS應(yīng)答進行數(shù)字簽名，以防范DNS攻擊。

5 APT攻擊及防御

5.1 APT攻擊技術(shù)原理

APT攻擊利用了多種攻擊手段，包括一些先進的手段和社會工程學方法，一步步獲取進入組織內(nèi)部的權(quán)限。一般認為，APT攻擊就是一類特定的攻擊，為了獲取某組織甚至是國家的重要信息，有針對性地進行的一系列攻擊行為的整個過程。APT往往利用組織內(nèi)部人員作為攻擊跳板。有時候，攻擊者會針對被攻擊對象編寫專門的攻擊程序，而非使用一些通用的攻擊代碼。此外，APT攻擊具有持續(xù)性，甚至長達數(shù)年。這種持續(xù)性體現(xiàn)在攻擊者不斷嘗試各種攻擊手段，以及在滲透到網(wǎng)絡(luò)內(nèi)部后長期蟄伏，不斷收集各種信息，直到收集到重要情報。更加危險的是，這些新型的攻擊和威脅主要針對國家重要的基礎(chǔ)設(shè)施和單位進行，包括能源、電力、金融、國防等關(guān)系到國計民生或國家核心利益的網(wǎng)絡(luò)基礎(chǔ)設(shè)施。

對于這些單位而言，盡管已經(jīng)構(gòu)建了相對完備的縱深安全防御體系，可能既包括針對某個安全威脅的安全設(shè)備，也包括將各種單一安全設(shè)備串聯(lián)起來的管理平臺，還涵蓋事前、事中和事后等各階段。但這樣的防御體系仍然難以有效防止來自互聯(lián)網(wǎng)的入侵和攻擊以及信息竊取，尤其是新型攻擊（如APT攻擊及各類利用0day漏洞的攻擊）。

5.2 防范APT攻擊的措施

首先是減少應(yīng)用的自身漏洞，其次是發(fā)展基于漏洞（包括0day）攻擊檢測技術(shù)和0day病毒木馬檢測技術(shù)，再次是對加密數(shù)據(jù)的可信性識別，最后是配合其他兩個檢測點，形成完整的縱深防御鏈條。與此同時，加強國外不可信軟件與設(shè)備的安全檢測，建立健全準入制度。

6 結(jié)語

做好數(shù)據(jù)中心的信息安全防護工作，技術(shù)是保障，管理是關(guān)鍵。作為數(shù)據(jù)中心，必須制定一套嚴謹有效的工作制度，有效規(guī)范網(wǎng)絡(luò)信息的存儲與安全防護工作。同時還要結(jié)合本單位實際情況，制定完善的計算機網(wǎng)絡(luò)安全防護策略和應(yīng)急響應(yīng)預(yù)案。這樣才能確保校園網(wǎng)數(shù)據(jù)中心正常、穩(wěn)定、不間斷地提供網(wǎng)絡(luò)服務(wù)?！?/p>