为什么经常被网络入侵?探究原因
协议设计
安全问题常被忽视
一般设计人员制定协议之时,通常首先强调功能性,而安全性问题则是到最后一刻、甚或不列入考虑范围。在网络应用环境下,安全问题尤须更加注意。
架构在其它问题之上
选用其它基础协议时,必须要注意该协议是否易于了解、易于实作。就算费尽心思制定完善的协议,若架构在不穏固的基础之上,其结果可想而知。 以CERT®/CC (computer emergencyresponse team, http://www.cert.org/ ) CA-2001-18 [LDAP] (http://www.cert.org/advisories/CA-2001-18.html) 及CA-2002-03 [SNMP] (http://www.cert.org/advisories/CA-2002-03.html) 两起安全事件为例,两者发生问题的原因类似 (皆起因于BER编码处理问题),但前后事件相隔近七个月,却不见厂商重视。
流程问题
设计协议时,可能考虑不够周全,导致发生状况时,系统处理方式不当。如CERT CA-1996-21 TCP SYN Flooding (http://www.cert.org/advisories/CA-1996-21.html) 问题。
设计错误
协议设计错误,导致系统服务容易失效或容易招受到攻击。
■软件实作
实作错误
就算协议订定正确,实作协议时若发生错误,或实作人员对协议的认知错误,同样会导致安全漏洞。
程序错误
安全漏洞也常因程序撰写习惯不良引起,其中包含常见的未检查资料长度内容、输入资料容错能力不足、未检测可能发生的错误、应用环境的假设错误、引用不当模块、未检测资源不足等。
■人员操作
作业疏失
最严格规定,若操作人员未受过良好训练、或未按手册操作,同样会导致安全的漏洞。把守网络安全最重要公司之一的VeriSign,仍曾经因为操作人员的疏忽,导致发生重大的安全损失,就是一例 (CERT CA-2001-04)。
■系统维护
默认值不安全
许多软件或操作系统在安装完成后,是处于极度不安全的状况下。而这些预设环境背后的理由竟是为了方便用户,诚然,用户是方便了,不过此处所指的用户,范围也同时包含了病毒、蠕虫、特洛依木马等等不速之客。也难怪「Code Red」、「SirCam」、「Nimda」等等,能够大肆侵扰网络用户。
未修补系统
一般软件多多少少都会有些错误,勤于修补才能让系统免遭破坏。
萧墙祸起
或许你不愿相信,但对系统发起攻击的,通常是你信任的系统。在你信任的领域里 (通常这信任关系太过薄弱) 若存在不够安全的系统,这不够安全的系统很快就会成为下次攻击的跳板。一个领域的安全强度,等同这领域中最不安全系统的安全强度。
相关推荐
-
为什么经常被网络入侵?探究原因
协议设计 安全问题常被忽视 一般设计人员制定协议之时,通常首先强调功能性,而安全性问题则是到最后一刻.甚或不列入考虑范围.在网络应用环境下,安全问题尤须更加注意. 架构在其它问题之上 选用其它基础协议时,必须要注意该协议是否易于了解.易于实作.就算费尽心思制定完善的协议,若架构在不穏固的基础之上,其结果可想而知. 以CERT®/CC (computer emergencyresponse team, http://www.cert.org/ ) CA-2001-18 [LDAP] (http:/
-
堵住黑客非法入侵的11点原则
目前,市场上的入侵检测产品大大小小有上百家,如何选择适合自己的产品,是一件摆在广大安全管理员和企业技术决策者面前很头痛的事.下面我们就根据产品的综合性能,谈谈采购过程中的基本原则. 1.产品的攻击检测数量为多少?是否支持升级? IDS的主要指标是它能发现的入侵方式的数量,几乎每个星期都有新的漏洞和攻击方法出现,产品的升级方式是否灵活直接影响到它功能的发挥.一个好的实时检测产品应该能经常性升级,并可通过互联网或下载升级包在本地升级. 2.对于网络入侵检测系统,最大可处理流量(PPS)是多少? 首先
-
入侵检测及网络安全发展技术探讨
随着网络安全风险系数不断提高,曾经作为最主要的安全防范手段的防火墙,已经不能满足人们对网络安全的需求.作为对防火墙及其有益的补充,IDS(入侵检测系统)能够帮助网络系统快速发现攻击的发生,它扩展了系统管理员的安全管理能力(包括安全审计.监视.进攻识别和响应),提高了信息安全基础结构的完整性. 一.入侵检测系统(IDS)诠释 IDS是一种网络安全系统,当有敌人或者恶意用户试图通过Internet进入网络甚至计算机系统时,IDS能够检测出来,并进行报警,通知网络该采取措施进行响应. 在本质上,入侵检
-
安全防护-入侵检测实战之全面问答
在网络安全领域,随着黑客应用技术的不断"傻瓜化",入侵检测系统IDS的地位正在逐渐增加.一个网络中,只有有效实施了IDS,才能敏锐地察觉攻击者的侵犯行为,才能防患于未然!本文对IDS的概念.行为及策略等方面内容以问答形式进行全面介绍,期望帮助管理者更快和更好地使用IDS. 问:都有哪些重要的IDS系统? 根据监测对象不同,IDS系统分为很多种,以下是几种很重要的IDS系统: 1.NIDS NIDS是network intrusion detection system的缩写,即网络入
-
感受狂飙:网络加速的好帮手
网络在某种程度上改变了我们的生活方式,足不出户也能了解到世界的瞬息万变.虽然目前ADSL的网速比"56K小猫"时代快了许多,但网速能不能在现有的基础上再提高一些,以满足网民有限的投入获取无限网速的梦想呢?回答是肯定的,今天就给大家介绍两款用于网络加速的软件. 一.网络狂飙(Netspeeder) 网络狂飙是大家非常熟悉的一款网络加速软件,从1.x版本,到现在的3K版本,软件是做得越来越好了.最新版3.2不仅软件的界面漂亮,它还能对各种类型的网络连接从根本上提高下载速度,而且也新增了其他
-
Android 关于“NetworkOnMainThreadException”问题的原因分析及解决办法
网络收集的原因如下,以及解决办法: 我补充总结一下: 解决办法一: 在操作网络类(socket连接)的activity的protected void onCreate(Bundle savedInstanceState)函数后面加上下面的代码.在super.onCreate(savedInstanceState);前面加. StrictMode.setThreadPolicy(new StrictMode.ThreadPolicy.Builder() .detectDiskReads().det
-
C++ 网络编程 总结
第一次用C++写程序,对C++ 只是菜鸟级别的,倒是对C#很熟悉.两者有很大的相似性.但也有不同. 首先写了一个网络通讯用的小的MFC程序.发现 (1)MFC写界面真的好麻烦呀.用C#写的tab 分分钟搞定的事,用C++害得我写了两天.关键是不熟练. 还有list control 控件的图标显示. 真是很麻烦 不过,由于最后的 detch() 函数执行后,就真正显示出来了.这些具体的小细节,一般在 书上都没有写. (2)用C++ 写类的特征,基本上与C#是相似的. 说一下网络编程的问题吧 1\
-
js中parseInt()诡异行为的探究与改正
探讨背景: 不知道小伙伴们有没有发现,如果是parseInt(0.006)或者parseInt(0.0006)等返回的值都应该 0,但是parseInt(0.0000006)返回的值却诡异的 6,这到底为什么呢? parseInt函数的作用 首先先说一下,parseInt()的作用是什么?他是js原生的方法,是用来把数字字符串转化为Number类型的数字的,还有他只是转化整数部分. parse 是转化,Int 是整型,整数,目的是把里面转换成整数 var num = parseInt(demo
-
比较精辟的精通防火墙问与答
凡是网络存在之处,都不可避免地会受到诸多不安全因素的威胁,在系统中安装防火墙无疑是最明智.有效的选择.我们既然寄希望于防火墙成为个人计算机与网络之间的一道安全屏障,就一定要对防火墙的方方面面有通透的了解,才能事半功倍,达到预期效果. 问:Windows 2003 自带的防火墙应该如何打开和关闭? 答:可以直接在网卡属性里面设置,也可以在服务里面自己开启服务. ******************************************************* 问:除了Norton 8
-
如何保护MySQL中重要数据的方法
企业最有价值的资产通常是其数据库中的客户或产品信息.因此,在这些企业中,数据库管理的一个重要部分就是保护这些数据免受外部攻击,及修复软/硬件故障. 在大多数情况下,软硬件故障通过数据备份机制来处理.多数数据库都自带有内置的工具自动完成整个过程,所以这方面的工作相对轻松,也不会出错.但麻烦却来自另一面:阻止外来黑客入侵窃取或破坏数据库中的信息.不幸的是,一般没有自动工具解决这一问题;而且,这需要管理员手工设置障碍来阻止黑客,确保公司数据的安全. 不对数据库进行保护的常见原因是由于这一工作"麻烦&q