時間:2022-06-18 21:56:59
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇網絡安全總結,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
根據xx信息化領導小組辦公室下發的相關通知,我院依照通知精神成立了信息安全工作領導小組,制定計劃,明確責任,具體落實,對我院的信息網絡與信息安全進行了一次全面的調查。發現問題,分析問題,解決問題。確保了網絡安全,更好的為檢務工作服務。
一、 加強領導,成立了網絡與信息安全工作領導小組
為進一步加強網絡信息系統安全管理工作,xx成立了網絡信息系統安全工作小組,做到分工明確,責任到人。安全工作領導小組組長為xx,副組長xx,成員xx。分工職責如下:xx為信息安全工作第一負責人,全面負責信息安全管理工作。xx負責信息安全管理工作的日常事務。xx負責計算機網絡與信息安全管理工作的日常協調、網絡維護和技術管理。
二、 信息安全工作主要方面
1、技術方面,網站服務器計算機設置防火墻,拒絕外來惡意攻擊。安裝正版防病毒軟件,對計算機病毒、有害電子郵件有效過濾。
2、設備方面,內網與外網嚴格分開,并按xx高院要求,安裝密碼機,有效維護網絡安全。機房按照“三鐵兩器”要求設置,即鐵窗、鐵門、保險柜、監控器、報警器齊全。
3、應急處理方面,我院具備專業技術人員,一旦發生網絡安全事故可立即報告相關人員,對突發網絡安全事故可快速安全處理。
4、容災備份,對重要信息采取備份,當遇故障時能夠保障重點重要數據的完整。
三、自查中發現的主要問題及整改情況
經過自查,我院信息安全總體狀況良好,未發生信息安全事故。在本次檢查過程中也暴露了一些問題,機房設施投入不足,個別人員計算機安全意識不強等。
關鍵詞:醫院信息系統安全體系網絡安全數據安全
中國醫院信息化建設經過20多年的發展歷程目前已經進入了一個高速發展時期。據2007年衛生部統計信息中心對全國3765所醫院(其中:三級以上663家:三級以下31O2家)進行信息化現狀調查顯示,超過80%的醫院建立了信息系統…。隨著信息網絡規模的不斷擴大,醫療和管理工作對信息系統的依賴性會越來越強。信息系統所承載的信息和服務安全性越發顯得重要。
1、醫院信息安全現狀分析
隨著我們對信息安全的認識不斷深入,目前醫院信息安全建設存在諸多問題。
1.1信息安全策略不明確
醫院信息化工作的特殊性,對醫院信息安全提出了很高的要求。醫院信息安全建設是一個復雜的系統工程。有些醫院只注重各種網絡安全產品的采購沒有制定信息安全的中、長期規劃,沒有根據自己的信息安全目標制定符合醫院實際的安全管理策略,或者沒有根據網絡信息安全出現的一些新問題,及時調整醫院的信息安全策略。這些現象的出現,使醫院信息安全產品不能得到合理的配置和適當的優化,不能起到應有的作用。
1.2以計算機病毒、黑客攻擊等為代表的安全事件頻繁發生,危害日益嚴重
病毒泛濫、系統漏洞、黑客攻擊等諸多問題,已經直接影響到醫院的正常運營。目前,多數網絡安全事件都是由脆弱的用戶終端和“失控”的網絡使用行為引起的。在醫院網中,用戶終端不及時升級系統補丁和病毒庫的現象普遍存在;私設服務器、私自訪問外部網絡、濫用政府禁用軟件等行為也比比皆是。“失控”的用戶終端一旦接入網絡,就等于給潛在的安全威脅敞開了大門,使安全威脅在更大范圍內快速擴散。保證用戶終端的安全、阻止威脅入侵網絡,對用戶的網絡訪問行為進行有效的控制,是保證醫院網絡安全運行的前提,也是目前醫院網絡安全管理急需解決的問題。
1.3安全孤島現象嚴重
目前,在醫院網絡安全建設中網絡、應用系統防護上雖然采取了防火墻等安全產品和硬件冗余等安全措施,但安全產品之間無法實現聯動,安全信息無法挖掘,安全防護效果低,投資重復,存在一定程度的安全孤島現象。另外,安全產品部署不均衡,各個系統部署了多個安全產品,但在系統邊界存在安全空白,沒有形成縱深的安全防護。
1.4信息安全意識不強,安全制度不健全
從許多安全案例來看,很多醫院要么未制定安全管理制度,要么制定后卻得不到實施。醫院內部員工計算機知識特別是信息安全知識和意識的缺乏是醫院信息化的一大隱患。加強對員工安全知識的培訓刻不容緩。
2、醫院信息安全防范措施
醫院信息安全的任務是多方面的,根據當前信息安全的現狀,醫院信息安全應該是安全策略、安全技術和安全管理的完美結合。
2.1安全策略
醫院信息系統~旦投入運行,其數據安全問題就成為系統能否持續正常運行的關鍵。作為一個聯機事務系統,一些大中型醫院要求每天二十四小時不問斷運行,如門診掛號、收費、檢驗等系統,不能有太長時間的中斷,也絕對不允許數據丟失,稍有不慎就會造成災難性后果和巨大損失醫院信息系統在醫院各部門的應用,使得各類信息越來越集中,構成醫院的數據、信息中心,如何合理分配訪問權限,控制信息泄露以及惡意的破壞等信息的訪問控制尤其重要:PACS系統的應用以及電子病歷的應用,使得醫學數據量急劇膨脹,數據多樣化,以及數據安全性、實時性的要求越來越高,要求醫院信息系統(HIS)必須具有高可用性,完備可靠的數據存儲、備份。醫院要根據自身網絡的實際情況確定安全管理等級和安全管理范圍,制訂有關網絡操作使用規程和人員出入機房管理制度,制定網絡系統的維護制度和應急措施等,建立適合自身的網絡安全管理策略。網絡信息安全是一個整體的問題,需要從管理與技術相結合的高度,制定與時俱進的整體管理策略,并切實認真地實施這些策略,才能達到提高網絡信息系統安全性的目的。
在網絡安全實施的策略及步驟上應遵循輪回機制考慮以下五個方面的內容:制定統一的安全策略、購買相應的安全產品實施安全保護、監控網絡安全狀況(遇攻擊時可采取安全措施)、主動測試網絡安全隱患、生成網絡安全總體報告并改善安全策略。
2.2安全管理
從安全管理上,建立和完善安全管理規范和機制,切實加強和落實安全管理制度,加強安全培訓,增強醫務人員的安全防范意識以及制定網絡安全應急方案等。
2.2.1安全機構建設。設立專門的信息安全領導小組,明確主要領導、分管領導和信息科的相應責任職責,嚴格落實信息管理責任l。領導小組應不定期的組織信息安全檢查和應急安全演練。
2.2.2安全隊伍建設。通過引進、培訓等渠道,建設一支高水平、穩定的安全管理隊伍,是醫院信息系統能夠正常運行的保證。
2.2.3安全制度建設。建立一整套切實可行的安全制度,包括:物理安全、系統與數據安全、網絡安全、應用安全、運行安全和信息安全等各方面的規章制度,確保醫療工作有序進行。
2.2.4應急預案的制定與應急演練
依據醫院業務特點,以病人的容忍時間為衡量指標,建立不同層面、不同深度的應急演練。定期人為制造“故障點”,進行在線的技術性的分段應急演練和集中應急演練。同時信息科定期召開“系統安全分析會”。從技術層面上通過數據挖掘等手段,分析信息系統的歷史性能數據,預測信息系統的運轉趨勢,提前優化系統結構,從而降低信息系統出現故障的概率;另一方面,不斷總結信息系統既往故障和處理經驗,不斷調整技術安全策略和團隊應急處理能力,確保應急流程的時效性和可用性。不斷人為制造“故障點”不僅是對技術架構成熟度的考驗,而且還促進全員熟悉應急流程,提高應急處理能力,實現了技術和非技術的完美結合。
2.3安全技術
從安全技術實施上,要進行全面的安全漏洞檢測和分析,針對檢測和分析的結果制定防范措施和完整的解決方案。
2.3.1冗余技術
醫院信息網絡由于運行整個醫院的業務系統,需要保證網絡的正常運行,不因網絡的故障或變化引起醫院業務的瞬間質量惡化甚至內部業務系統的中斷。網絡作為數據處理及轉發中心,應充分考慮可靠性。網絡的可靠性通過冗余技術實現,包括電源冗余、處理器冗余、模塊冗余、設備冗余、鏈路冗余等技術。
2.3.2建立安全的數據中心
醫療系統的數據類型豐富,在不斷的對數據進行讀取和存儲的同時,也帶來了數據丟失,數據被非法調用,數據遭惡意破壞等安全隱患。為了保證系統數據的安全,建立安全可靠的數據中心,能夠很有效的杜絕安全隱患,加強醫療系統的數據安全等級,保證各個醫療系統的健康運轉,確保病患的及時信息交互。融合的醫療系統數據中心包括了數據交換、安全防護、數據庫、存儲、服務器集群、災難備份/恢復,遠程優化等各個組件。
2.3.3加強客戶機管理
醫院信息的特點是分散處理、高度共享,用戶涉及醫生、護士、醫技人員和行政管理人員,因此需要制定一套統一且便于管理的客戶機管理方案。通過設定不同的訪問權限,加強網絡訪問控制的安全措施,控制用戶對特定數據的訪問,使每個用戶在整個系統中具有唯一的帳號,限定各用戶一定級別的訪問權限,如對系統盤符讀寫、光驅訪問、usb口的訪問、更改注冊表和控制面板的限制等。同時捆綁客戶機的IP與MAC地址以防用戶隨意更改IP地址和隨意更換網絡插口等惡意行為,檢查用戶終端是否安裝了信息安全部門規定的安全軟件、防病毒軟件以及漏洞補丁等,從而阻止非法用戶和非法軟件入網以確保只有符合安全策略規定的終端才能連入醫療網絡。
2.3.4安裝安全監控系統
安全監控系統可充分利用醫院現有的網絡和安全投資,隨時監控和記錄各個終端以及網絡設備的運行情況,識別、隔離被攻擊的組件。與此同時,它可以強化行為管理,對各種網絡行為和操作進行實施監控,保持醫院內部安全策略的符合性。
2.3.5物理隔離
根據物理位置、功能區域、業務應用或者管理策略等劃分安全區域,不同的區域之間進行物理隔離。封閉醫療網絡中所有對外的接口,防止黑客、外部攻擊、避免病毒的侵入。
關鍵詞:醫院信息管理系統;病毒
1、醫院信息系統的病毒及其危害
1.1 概述我院信息管理系統及病毒給醫院帶來的危害
隨著信息技術的高速發展,醫院信息系統發展速度也極為迅速。國外發達國家已在80年代建立了大型醫院信息管理系統(HIS),目前已實施或正在實施醫學影像存檔與通信系統(PACS)。自20世紀90年代初,我國的各級醫療機構逐步將計算機作為基本工具,引入到醫院的信息管理中。從單機管理到網絡化管理,從自行開發軟件到各類軟件的商品化,使醫院計算機信息管理日趨科學和完善。計算機網絡化的醫院信息系統(HIS)也將成為現代化醫院運營必不可少的基礎設施,是實現醫院基本現代化的必備條件之一。
我院醫院信息管理系統是由掛號系統、醫生工作站、護士工作站、收費管理系統、藥房管理系統、結構化電子病歷、自動檢驗科系統、檢查登記報告系統、影像系統、病案系統、辦公自動化系統等組成。投入運行后幾大系統縱橫交錯,構成了龐大的計算機網絡系統。我院網絡系統覆蓋全院的各個部門,涵蓋病人來院就診的各個環節及信息,將近1000臺計算機同時運行,支持各方面的管理,成為醫院開展醫療服務的業務平臺。
醫院信息系統不僅直接與病人的診療過程息息相關,而且直接關系到醫院財務收支及成本核算,如為病人進行治療的電腦壞掉會耽誤病人的治療,門急診系統中斷會導致醫院停業,而護士及醫生工作站的終端會影響到對病人的正常診療。醫院業務的正常運行越來越依賴于計算機系統[4]。醫院信息系統的安全性直接關系到醫院醫療工作的正常運行,一旦網絡癱瘓或數據丟失,將會給醫院和病人帶來巨大的災難和難以彌補的損失[1],因此保證醫院信息系統的安全將是很重要的工作,防治病毒入侵乃是重中之重。
1.2 什么是計算機病毒
計算機病毒在《中華人民共和國計算機信息系統安全保護條例》中被明確定義,病毒指“編制者在計算機程序中插入的破壞計算機功能或者破壞數據,影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼”。
1.3 計算機病毒的主要危害
不同的計算機病毒有不同的破壞行為,其中有代表性的行為如下:
1.3.1 破壞主板BIOS內容,使計算機無法正常啟動。
1.3.2 攻擊硬盤的主引導扇區、BOOT扇區、FAT表、文件目錄。影響系統的正常引導。一般來說,攻擊系統數據區的病毒是惡性病毒,受損的數據不易恢復。
1.3.3 攻擊文件,包括刪除、修改軟盤、硬盤及網絡上可執行文件或數據文件的內容,在系統中產生無用的新文件等等。
1.3.4 搶占系統資源,內存是計算機的重要資源,大多數病毒在動態下都是常駐內存的,其攻擊方式主要有占用大量內存、改變內存總量、禁止分配內存等,這就必然搶占一部分系統資源,導致一些較大的程序難以運行。
1.3.5干擾系統運行,除占用內存外,病毒還搶占中斷,干擾系統運行。計算機操作系統的很多功能是通過中斷調用技術來實現的。病毒為了傳染激發,總是修改一些有關的中斷地址,在正常中斷過程中加入病毒的“私貨”,從而干擾了系統的正常運行。
1.3.6影響計算機運行速度,病毒激活時,其內部的時間延遲程序啟動,在時鐘中納入了時間的循環計數,迫使計算機空轉,計算機速度明顯下降。
1.3.7竊取用戶隱私、機密文件、賬號信息等。如今已是木馬大行其道的時代,據統計如今木馬在病毒中已占七成左右。而其中大部分都是以竊取用戶信息,以獲取經濟利益為目的,如竊取用戶資料,網銀賬號密碼等。一旦這些信息失竊,將給用戶帶來巨大經濟損失。
2、醫院信息管理系統病毒的防治措施
在計算機病毒出現的初期,說到計算機病毒的危害,往往注重于病毒對信息系統的直)接破壞作用,比如格式化 硬盤、刪除文件數據等,并以此來區分惡性病毒和良性病毒。其實這些只是病毒劣跡的一部分,隨著計算機應用的發 展,人們深刻地認識到凡是病毒都可能對計算機信息系統造成嚴重的破壞。
2.1 計算機中毒的表征
2.1.1 電腦可以開機,但啟動到某一步的時候自動重啟。可能是病毒破壞了系統文件;也可能是系統文件被病毒感染后,被殺毒軟件刪除了。
2.1.2 電腦運行速度明顯降低以及內存占有量減少,虛擬內存不足或者內存不足。如果虛擬內存不足可能是病毒占用,也可能是設置不當。若非內存太小,則電腦中毒的可能性很大。
2.1.3 Windows出現異常的錯誤提示信息,操作系統本身,除了用戶關閉或者程序錯誤以外,是不會出現錯誤匯報的,因此,如果出現這種情況,很可能是中了病毒。
2.1.4 殺毒軟件的實時監控程序無法自動運行了,手動啟動也不行。
2.1.5 系統時間被更改,且無法改正過來(改了回頭再看的時候,又變回去了)。
2.1.6 經常自動彈出網頁,計算機屏幕上出現異常顯示。
2.1.7 經常出現非法操作,特別是運行IE瀏覽器的時候。
2.1.8 主頁被篡改了,而且改不回來(無法更改或改了又變回去)。
2.1.9 注冊表無法使用,某些鍵被屏蔽、目錄被自動共享等。
2.1.10 無法安裝殺毒軟件或安裝后無法運行。
2.1.11 文件大小發生改變,丟失文件或文件損壞。
2.1.12 硬盤指示燈狂閃,此時就要檢查所運行的程序是否占用系統資源太多或者是否感染了病毒。
2.2 如何診斷中毒
2.2.1 如發現電腦運行速度過慢,則先調出windows任務管理器查看系統運行的進程,找出系統資源占用較大并且名字不熟悉的進程并記下其名稱(這需要經驗),暫時不要結束這些進程,因為有的病毒或非法的進程可能在此沒法結束。點擊性能查看CPU和內存的當前狀態,如果CP U的利用率接近100%或內存的占用值居高不下,此時電腦中毒的可能性是95%。
2.2.2 查看windows當前啟動的服務項, 由“控制面板”的“管理工具”里打開“服務”。看右欄狀態為“啟動”,啟動類別為“自動”項的行;一般而言,正常的windows服務,基本上是有描述內容的(少數被駭客或蠕蟲病毒偽造的除外),此時雙擊打開認為有問題的服務項查看其屬性里的可執行文件的路徑和名稱。
2.2.3 Windows XP中運行msconfig查看是否有非法的啟動項,或運行注冊表編輯器,查看都有那些程序與windows一起啟動。主要看
Hkey_Local_MachineSoftware MicroSoftWindowsCurrentVersionRun和后面幾個RunOnce等,查看窗體右側的項值,隨著經驗的積累,可以輕易的判斷病毒的啟動項。
2.2.4 取消隱藏屬性,查看系統文件夾windowssystem32,如果打開后文件夾為空,表明電腦已經中毒;打開system32 后,可以對圖標按類型排序,看有沒有流行病毒的執行文件存在。順便查一下文件夾Tasks,wins,drivers.目前有的病毒執行文件就藏身于此。
2.2.5 使用殺毒軟件判斷是否中毒,如果中毒,殺毒軟件的實時監控程序會被病毒程序自動終止,并且手動升級失敗。
2.3 如何查殺病毒
2.3.1 在注冊表里刪除隨系統啟動的非法程序,然后在注冊表中搜索所有該鍵值并刪除。當成系統服務啟動的病毒程序,會在
Hkey_Local_MachineSystemControlSet001services
和controlset002services里藏身,找到之后一并刪除。
2.3.2 停止有問題的服務,改自動為禁止。
2.3.3 重新啟動電腦,點F8進入“帶網絡的安全模式”。目的是不讓病毒程序啟動,又可以對Windows升級打補丁和對殺毒軟件升級。
2.3.4 搜索病毒的執行文件,手動刪除,也可以下載該病毒的專殺工具進行殺毒。
2.3.5 對Windows升級打補丁和對殺毒軟件升級。
2.3.6 關閉不必要的系統服務。
2. 3.7 對Windows升級打補丁和對殺毒軟件升級完成后用殺毒軟件對系統進行全面的掃描,把病毒一網打盡。
2.3.8 所有工作完成后,重新啟動計算機,完成所有操作。
2.4 我院對計算機病毒的防范措施
我院根據自身網絡的實際情況確定安全管理范圍,制訂有關網絡操作使用規程和人員出入機房管理制度,制定網絡系統的維護制度和應急措施等,建立適合自身的網絡安全管理策略。網絡信息安全是一個整體的問題,需要從管理與技術相結合的高度,制定與時俱進的整體管理策略,并切實認真地實施這些策略,才能達到提高網絡信息系統安全性的目的。在網絡安全實施的策略及步驟上考慮以下五個方面的內容:制定統一的安全策略、購買相應的安全產品實施安全保護、監控網絡安全狀況(遇攻擊時可采取安全措施)、主動測試網絡安全隱患、生成網絡安全總體報告并改善安全策略。從安全管理上,建立和完善安全管理規范和機制,切實加強和落實安全管理制度,加強安全培訓,增強醫務人員的安全防范意識以及制定網絡安全應急方案等。具體措施如下:
2.4.1 樹立病毒防范意識,從思想上重視計算機病毒。
2.4.2 內外網隔離。內網就是承載醫院信息管理系統業務的網絡,絕對不可以與公共網絡連接。
2.4.3 安裝網絡版殺毒軟件,定時升級?,保證內網客戶端所有電腦的病毒庫都及時更新到最新版本[1]。對網絡進行實時監控。由于我院與北京市醫保中心要進行網上實時結算,為了防止外來病毒的入侵,醫院又購置了防火墻對所有進出數據進行過濾。
2.4.4 我院內網電腦統一安裝安全管理軟件,內網電腦一律不安裝光驅、軟驅,USB接口禁止連接存儲器,更不準擅自安裝光驅、軟驅及更改硬件設施。
2.4.5 經常更新操作系統漏洞補丁,對操作系統和數據庫系統進行合理的安全策略配置。
2.4.6 經常備份重要數據,要定期與不定期地對磁盤文件進行備份,特別是
一些比較重要的數據資料,以便在感染病毒導致系統崩潰時可以最大限度地恢復數據,盡量減少可能造成的損失。
2.4.7 安裝應急服務器,實時備份數據服務器內容,一旦系統遭受病毒破壞
啟動不了時,馬上更換到應急服務器上,讓醫院信息系統能正常運行。
2.4.8 每臺內網電腦都安裝一鍵還原軟件,備份新安裝好的干凈系統,并要求系統盤下不能保存文件。如電腦不幸感染病毒不能進入系統,則直接使用一鍵還原軟件還原到干凈系統后查殺病毒。
2.4.9 定期巡檢所有內網電腦,查殺病毒,磁盤清理,讓電腦處于最佳狀態,更好的為臨床服務。
2.4.10 建立規章制度, 制定工作站管理制度,落實責任,如導致網絡感染病毒或損壞,根據績效考核按情節輕重進行處理,并且對客戶端用戶的密碼強調專人專用。預防內部犯罪[1]。
3、醫院信息管理系統病毒防治中需要重點解決的問題
3.1 以計算機病毒、黑客攻擊等為代表的安全事件頻繁發生,危害日益嚴重病毒泛濫、系統漏洞、黑客攻擊等諸多問題,已經直接影響到醫院的正常運營。目前,多數網絡安全事件都是由脆弱的用戶終端和“失控”的網絡使用行為引起的。在醫院網中,用戶終端不及時升級系統補丁和病毒庫的現象普遍存在;私設服務器、私自訪問外部網絡、濫用政府禁用軟件等行為也比比皆是。“失控”的用戶終端一旦接入網絡,就等于給潛在的安全威脅敞開了大門,使安全威脅在更大范圍內快速擴散。保證用戶終端的安全、阻止威脅入侵網絡,對用戶的網絡訪問行為進行有效的控制,是保證醫院網絡安全運行的前提,也是目前醫院網絡安全管理急需解決的問題。
3.2 信息安全意識不強,安全制度不健全
從許多安全案例來看,很多醫院要么未制定安全管理制度,要么制定后卻得不到實施。醫院內部員工計算機知識特別是信息安全知識和意識的缺乏是醫院信息化的一大隱患。加強對員工安全知識的培訓刻不容緩。
4、總結:
醫院信息管理系統現在已經成為醫院開展業務的主要平臺,保證醫院信息系統的正常運行是我們信息中心的職責所在。對于醫院信息管理系統來講對計算機病毒的防范遠甚于查殺病毒,因此建立一套嚴密而系統的管理和防范體系是十分必要的,我們信息中心也是在工作中不斷摸索、積累經驗,通過技術防治和管理防范相結合,建立有效、健全的安全防御體系,以及積極主動的防御理念和中央控管的管理機制保證醫院的信息系統安全,推進信息化建設,以提高醫院的服務水平和核心競爭力。
參考文獻:
[1]曹宏偉,彭東亮,邱 景,楊 揚? 醫院信息系統安全管理與防范 影像學與特種醫學 200081
[2]韓莜卿.計算機病毒分析與防范大全[M].北京:電子工業出版社.2006
實習對于我們來說是非常必要的,不僅使我們在課堂上學到的東西得到在現實工作中運用,更重要的是能夠體驗豐富自己的社會實踐閱歷,盡快適應社會,而且還可以在社會中學到一些在課本上學不到的東西,鍛煉自己的社會本能,這樣在以后畢業后出到社會就可以以最快,最好的態勢來適應社會環境,投身到自己的工作崗位。于是,在大一大二暑假我都提前踏上社會實習,體驗社會工作的壓力,下面我就大二到網絡科技有限公司做電話營銷的實習做一下回顧。
二、實踐目的
通過到網絡科技有限公司實習,首先,可以對互聯網行業做進一步的了解;其次,可以更深一步了解電子商務網絡安全的防護措施;再次,可以將本專業所學的知識應用到實踐中,不僅可以鞏固專業知識,還能進一步提升完善知識框架;最后,感受公司的企業文化,了解公司的管理體制和經營之道,學會如何在企業做事,做人。
三、實踐內容
針對央行文件,擁有支付清算系統公司要做安全評估,訪問相關客戶。
每天下班前對當天電話訪問的情況做詳細記錄,并總結。
針對電子商務網站安全,做產品信息網頁防篡改,防病毒等宣傳,挖掘潛在客戶。
兩三天開一次遠程會議,做工作匯報總結,發現其中問題,及時做修改及經驗交流。
針對高校招生時期,對高校教育網做招生信息,學校信息網頁防篡改,防病毒等宣傳,挖掘潛在客戶。
對已遭受黑客攻擊的網站,進行安全漏洞修補宣傳,以及防止被黑的措施宣傳,挖掘潛在客戶。
第一周:開始進入公司實習,第一周主要是培訓。
首先是公司的人力資源主管,給我們介紹了一些關于公司的規章制度,和工作期間的一些相關事項。接著就是華南地區總經理和網絡安全總監,給我們介紹了這次實習項目的主要內容,讓我們有個大概的了解。了解完公司的大概情況后,就開始培訓跟項目有關的技術知識了。給我們介紹技術知識的是技術部的主管,為我們講解了關于網絡安全的相關技術,如SOC,DDoS,流量控制,防火墻等。雖然學過電子商務安全與支付,了解過相關網頁安全及支付系統安全的控制技術,但還有很多相關安全技術還是不懂的。經過了技術主管的培訓,雖然只是簡單的講解,也擴展了我對電子商務安全方面的技術知識。
第二天,就開始進入電話營銷的知識培訓了。給我們培訓的是客戶服務總監,是臺灣人。由于做這個項目的還有湖南長沙分公司的幾個人,所以就湖南和廣州的一起開培訓會議,通過遠程視頻三地連接,雖然是通過互聯網的開會,但是跟實際坐在一個會議室開會是一樣的,你的任何聲音,任何動作,其他人都可以聽到看到的。客服總監給我們講解了一些電話營銷的技巧以及常用術語,然后發了些資料讓我們背熟。
了解了技巧,熟悉了術語,該是考驗我們掌握的程度的時候了。客服總監讓廣州與湖南的的實習生相互訓練,即一個扮演客戶,一個扮演電話營銷員,讓我們在完全不知道對方會作何反應的情況下隨機應變,大大提升了我們的實踐經驗。
第二周:第一個任務——針對央行的最新文件,要求擁有支付清算系統的公司要做安全檢測。
接受了系統的培訓后,就開始正式對外撥號了。所以我們就搜集了擁有支付清算業務的公司的資料,包括公司名稱、網站、地址、電話、聯系人、郵箱等,然后輸入事先已經制作好的表格里。資料搜集后,就一個一個打電話,通過各種方法找到相關負責人,然后詢問他們關于支付清算系統的安全檢測問題是否已經做了,根據他們的知情程度、是否完成、以及是否有意愿完成、是否繼續跟進等將訪問的結果記錄到表格里。
很多時候我們打電話過去,才剛剛報了公司名字后,以為我們是推銷東西的,就立刻遭到拒絕。有時候有些公司根本不清楚支付系統安全方面是誰負責的,電話接來接去都找不到負責人。有時候接線員就騙我們說負責人不在,故意推脫。剛開始的時候,屢次的失敗讓我們自信心很受打擊。
每天下班前都要把今天所撥打的電話的訪問情況記錄整理好,然后發給客服總監,同時下班前客服總監會召我們開會,匯報今天的電訪情況,以及遇到的無法解決的問題,與大家進行交流,并想出應付辦法。
第三周:開始第二個任務——針對電子商務網站做網頁安全宣傳。
電子商務網站涉及交易信息、商品信息以及支付信息等一系列安全問題。一些黑客可能會把網站上的商品信息(如價格)進行篡改,從而導致電子商務企業和客戶陷入誤解糾紛等。因此電子商務網站要時刻進行漏洞掃描,及時修補,以防黑客進行攻擊。我們針對這些要點對電子商務網站公司進行電話訪問,了解他們的需求,同時宣傳我們公司在這方面的業務成就。
同樣的,我們事先就制作表格,搜集客戶資料進行輸入,同時對每個客戶訪問后的反應做整理,然后輸入表格里面。在本周開展新任務的同時,我們也對上周需要進一步跟進的客戶進行了再一次電訪,以盡可能促成交易。
第四周:開始第三個任務——針對高校招生時期,對高校網頁防篡改做業務宣傳。
恰逢暑假時期,各地高校正在忙著招生,各高校網都會更新關于招生的信息,各個學生家長也都會登錄高校網站查看自己的錄取情況。因此,很多黑客騙子會利用篡改高校網站招生信息,或是制作類似已有高校的網站的假高校網站騙取學生以牟取暴利,像北大清華等名牌高校都有被篡改過的前例。所以有安全意識的高校就會重視,也會有這方面的需求。我們便針對此要點撥通廣東所有高校的電話,試圖找到網絡中心的負責人進行交流。
學生與老師的交流自然比之前的與商業企業要容易多,不會很快就被人拒絕了。不過電訪過程我們還是會遇到很多問題,例如放假了學校網絡中心是實行值班制,很多時候打電話過去都沒人接聽。另外就是網絡中心老師有這方面意識,但學校項目需要向學校領導申請審批等一系列問題都難以促成交易。
第五周:開始第四個任務——根據國家信息中心提供的被黑網站統計系統,針對已經被黑的網站,勸其及時修補漏洞,刪除被黑網頁。
公司與國家信息中心有合作,根據國家信息中心提供的一個被黑網站統計系統,系統里每天都會更新搜集被黑網頁的鏈接,根據這個鏈接我們可以找到他的原始網站,再從網站上搜集公司的電話,進行撥打,告知對方網站已存在安全漏洞,已遭黑客攻擊,需要及時修補,從而希望對方可以讓我司為其提供這方面的服務。
2007年1月至6月期間,半年時間內,CNCERT/CC接收的網絡仿冒事件和網頁惡意代碼事件,已分別超出去年全年總數的14.6%和12.5%。
從CNCERT/CC掌握的半年情況來看,攻擊者的攻擊目標明確,針對不同網站和用戶采用不同的攻擊手段,且攻擊行為趨利化特點表現明顯。對政府類和安全管理相關類網站主要采用篡改網頁的攻擊形式,也不排除放置惡意代碼的可能。對中小企業,尤其是以網絡為核心業務的企業,采用有組織的分布式拒絕服務攻擊(DDoS)等手段進行勒索,影響企業正常業務的開展。對于個人用戶,攻擊者更多的是通過用戶身份竊取等手段,偷取該用戶游戲賬號、銀行賬號、密碼等,竊取用戶的私有財產。
2用IIS+ASP建網站的安全性分析
微軟推出的IIS+ASP的解決方案作為一種典型的服務器端網頁設計技術,被廣泛應用在網上銀行、電子商務、網上調查、網上查詢、BBS、搜索引擎等各種互聯網應用中。但是,該解決方案在為我們帶來便捷的同時,也帶來了嚴峻的安全問題。本文從ASP程序設計角度對WEB信息安全及防范進行分析討論。
3SP安全漏洞和防范
3.1程序設計與腳本信息泄漏隱患
bak文件。攻擊原理:在有些編輯ASP程序的工具中,當創建或者修改一個ASP文件時,編輯器自動創建一個備份文件,如果你沒有刪除這個bak文件,攻擊者可以直接下載,這樣源程序就會被下載。
防范技巧:上傳程序之前要仔細檢查,刪除不必要的文檔。對以BAK為后綴的文件要特別小心。
inc文件泄露問題。攻擊原理:當存在ASP的主頁正在制作且沒有進行最后調試完成以前,可以被某些搜索引擎機動追加為搜索對象。如果這時候有人利用搜索引擎對這些網頁進行查找,會得到有關文件的定位,并能在瀏覽器中查看到數據庫地點和結構的細節,并以此揭示完整的源代碼。
防范技巧:程序員應該在網頁前對它進行徹底的調試。首先對.inc文件內容進行加密,其次也可以使用.asp文件代替.inc文件,使用戶無法從瀏覽器直接觀看文件的源代碼。
3.2對ASP頁面進行加密。為有效地防止ASP源代碼泄露,可以對ASP頁面進行加密。我們曾采用兩種方法對ASP頁面進行加密。一是使用組件技術將編程邏輯封裝入DLL之中;二是使用微軟的ScriptEncoder對ASP頁面進行加密。3.3程序設計與驗證不全漏洞
驗證碼。普遍的客戶端交互如留言本、會員注冊等僅是按照要求輸入內容,但網上有很多攻擊軟件,如注冊機,可以通過瀏覽WEB,掃描表單,然后在系統上頻繁注冊,頻繁發送不良信息,造成不良的影響,或者通過軟件不斷的嘗試,盜取你的密碼。而我們使用通過使用驗證碼技術,使客戶端輸入的信息都必須經過驗證,從而可以解決這個問題。
登陸驗證。對于很多網頁,特別是網站后臺管理部分,是要求有相應權限的用戶才能進入操作的。但是,如果這些頁面沒有對用戶身份進行驗證,黑客就可以直接在地址欄輸入收集到的相應的URL路徑,避開用戶登錄驗證頁面,從而獲得合法用戶的權限。所以,登陸驗證是非常必要的。
SQL注入。SQL注入是從正常的WWW端口訪問,而且表面看起來跟一般的Web頁面訪問沒什么區別,所以目前市面的防火墻都不會對SQL注入發出警報,如果管理員沒查看IIS日志的習慣,可能被入侵很長時間都不會發覺。
SQL注入攻擊是最為常見的程序漏洞攻擊方式,引起攻擊的根本原因就是盲目信任用戶,將用戶輸入用來直接構造SQL語句或存儲過程的參數。以下列出三種攻擊的形式:
A.用戶登錄:假設登錄頁面有兩個文本框,分別用來供用戶輸入帳號和密碼,利用執行SQL語句來判斷用戶是否為合法用戶。試想,如果黑客在密碼文本框中輸入''''OR0=0,即不管前面輸入的用戶帳號和密碼是什么,OR后面的0=0總是成立的,最后結果就是該黑客成為了合法的用戶。
B.用戶輸入:假設網頁中有個搜索功能,只要用戶輸入搜索關鍵字,系統就列出符合條件的所有記錄,可是,如果黑客在關鍵字文本框中輸入''''GODROPbr用戶表,后果是用戶表被徹底刪除。
C.參數傳遞:假設我們有個網頁鏈接地址是HTTP://……asp?id=22,然后ASP在頁面中利用Request.QueryString[''''id'''']取得該id值,構成某SQL語句,這種情況很常見。可是,如果黑客將地址變為HTTP://……asp?id=22anduser=0,結果會怎樣?如果程序員有沒有對系統的出錯提示進行屏蔽處理的話,黑客就獲得了數據庫的用戶名,這為他們的進一步攻擊提供了很好的條件。
解決方法:以上幾個例子只是為了起到拋磚引玉的作用,其實,黑客利用“猜測+精通的sql語言+反復嘗試”的方式,可以構造出各種各樣的sql入侵。作為程序員,如何來防御或者降低受攻擊的幾率呢?作者在實際中是按以下方法做的:
第一:在用戶輸入頁面加以友好備注,告知用戶只能輸入哪些字符;
第二:在客戶端利用ASP自帶的校驗控件和正則表達式對用戶輸入進行校驗,發現非法字符,提示用戶且終止程序進行;
第三:為了防止黑客避開客戶端校驗直接進入后臺,在后臺程序中利用一個公用函數再次對用戶輸入進行檢查,一旦發現可疑輸入,立即終止程序,但不進行提示,同時,將黑客IP、動作、日期等信息保存到日志數據表中以備核查。
第四:對于參數的情況,頁面利用QueryString或者Quest取得參數后,要對每個參數進行判斷處理,發現異常字符,要利用replace函數將異常字符過濾掉,然后再做下一步操作。
第五:只給出一種錯誤提示信息,服務器都只提示HTTP500錯誤。
第六:在IIS中為每個網站設置好執行權限。千萬別給靜態網站以“腳本和可執行”權限。一般情況下給個“純腳本”權限就夠了,對于那些通過網站后臺管理中心上傳的文件存放的目錄,就更吝嗇一點吧,執行權限設為“無”好了。
第七:數據庫用戶的權限配置。對于MS_SQL,如果PUBLIC權限足夠使用的絕不給再高的權限,千萬不要SA級別的權限隨隨便便地給。
3.4傳漏洞
諸如論壇,同學錄等網站系統都提供了文件上傳功能,但在網頁設計時如果缺少對用戶提交參數的過濾,將使得攻擊者可以上傳網頁木馬等惡意文件,導致攻擊事件的發生。
防文件上傳漏洞
在文件上傳之前,加入文件類型判斷模塊,進行過濾,防止ASP、ASA、CER等類型的文件上傳。
暴庫。暴庫,就是通過一些技術手段或者程序漏洞得到數據庫的地址,并將數據非法下載到本地。
數據庫可能被下載。在IIS+ASP網站中,如果有人通過各種方法獲得或者猜到數據庫的存儲路徑和文件名,則該數據庫就可以被下載到本地。
數據庫可能被解密
由于Access數據庫的加密機制比較簡單,即使設置了密碼,解密也很容易。因此,只要數據庫被下載,其信息就沒有任何安全性可言了。
防止數據庫被下載。由于Access數據庫加密機制過于簡單,有效地防止數據庫被下載,就成了提高ASP+Access解決方案安全性的重中之重。以下兩種方法簡單、有效。
非常規命名法。為Access數據庫文件起一個復雜的非常規名字,并把它放在幾個目錄下。
使用ODBC數據源。在ASP程序設計中,如果有條件,應盡量使用ODBC數據源,不要把數據庫名寫在程序中,否則,數據庫名將隨ASP源代碼的失密而一同失密。
使用密碼加密。經過MD5加密,再結合生成圖片驗證碼技術,暴力破解的難度會大大增強。
使用數據備份。當網站被黑客攻擊或者其它原因丟失了數據,可以將備份的數據恢復到原始的數據,保證了網站在一些人為的、自然的不可避免的條件下的相對安全性。
3.5SP木馬
由于ASP它本身是服務器提供的一項服務功能,所以這種ASP腳本的木馬后門,不會被殺毒軟件查殺。被黑客們稱為“永遠不會被查殺的后門”。我在這里講講如何有效的發現web空間中的asp木馬并清除。
技巧1:殺毒軟件查殺
一些非常有名的asp木馬已經被殺毒軟件列入了黑名單,所以利用殺毒軟件對web空間中的文件進行掃描,可以有效的發現并清除這些有名的asp木馬。
技巧2:FTP客戶端對比
asp木馬若進行偽裝,加密,躲藏殺毒軟件,怎么辦?
我們可以利用一些FTP客戶端軟件(例如cuteftp,FlashFXP)提供的文件對比功能,通過對比FTP的中的web文件和本地的備份文件,發現是否多出可疑文件。
技巧3:用BeyondCompare2進行對比
滲透性asp木馬,可以將代碼插入到指定web文件中,平常情況下不會顯示,只有使用觸發語句才能打開asp木馬,其隱蔽性非常高。BeyondCompare2這時候就會作用比較明顯了。
技巧4:利用組件性能找asp木馬
如:思易asp木馬追捕。
大家在查找web空間的asp木馬時,最好幾種方法結合起來,這樣就能有效的查殺被隱藏起來的asp木馬。
結束語
總結了ASP木馬防范的十大原則供大家參考:
建議用戶通過FTP來上傳、維護網頁,盡量不安裝asp的上傳程序。
對asp上傳程序的調用一定要進行身份認證,并只允許信任的人使用上傳程序。
asp程序管理員的用戶名和密碼要有一定復雜性,不能過于簡單,還要注意定期更換。
到正規網站下載asp程序,下載后要對其數據庫名稱和存放路徑進行修改,數據庫文件名稱也要有一定復雜性。
要盡量保持程序是最新版本。
不要在網頁上加注后臺管理程序登陸頁面的鏈接。
為防止程序有未知漏洞,可以在維護后刪除后臺管理程序的登陸頁面,下次維護時再通過上傳即可。
要時常備份數據庫等重要文件。
日常要多維護,并注意空間中是否有來歷不明的asp文件。
