 上传我的文档
 下载
 收藏
该文档贡献者很忙，什么也没留下。
 下载此文档
正在努力加载中...
sheet1_119166
下载积分：1000
内容提示：sheet1_119166
文档格式：XLS|
浏览次数：4|
上传日期： 09:42:57|
文档星级：
该用户还上传了这些文档
sheet1_119166
官方公共微信福建凯特信息安全技术有限公司
所属行业：
所在城市：
公司规模：500人以上
公司性质：民营/私营企业/非上市公司
　　福建凯特信息安全技术有限公司（简称凯特信安）是专注于信息安全研发、生产、销售、服务、咨询的专业厂商，成立于1997年12月，是福建CA中心授权的首家RA系统承建商与证书应用开发商；并获得国家密码管理委员会颁发的商用密码产品生产许可证以及公安部网络安全监察局发的计算机信息系统安全专用产品销售许可证。
公司以PKI技术为核心，以数字证书推广为己任，依照我国国情和密码管理政策，致力于向政府、企业和大众客户提供全面的数字信任服务，矢志成为国内提供数字信任服务的领先者。公司研制了PKI应用服务器、SecAgent安全代理服务系统、安全电子印章系统、SecMail安全电子邮件系统等一系列具有自主知识产机的PKI应用产品为用户提供更全面、优质的信息安全整体解决方案。
公司坚持以市场推动研发，以创新拓展应用的理念，秉承开拓精神，强化科学管理，积极促进电子政务，电子商务和企业信息化建设的安全发展。
联系电话：
联 系 人：郑先生
传真电话：1
公司地址：福州市鼓楼区保福路67号
邮 编：350003
公司网址：
福建凯特信息安全技术有限公司 招聘职位
目前该公司暂时没有需要的招聘职位！
在本站招聘结束，职位均关闭。
相关地区招聘网
最新职位招聘：
最新行业招聘：
根据城市搜索招聘信息：
根据产品搜索招聘信息：
根据职位搜索人才简历：
根据城市搜索人才简历：
版权所有：
子站分类：& & &
Copyright &
&&人才中介服务许证RC0712292
京公网安备21精华区文章阅读
Security 版 (精华区)
发信人:&wwwRainbow&(毛毛牛),&信区:&Security&&&&&&&
标&&题:&实现网络远程攻击主动防御的一种构想；漏洞陷阱
发信站:&BBS&水木清华站&(Mon&Jan&10&17:38:08&2000)
实现网络远程攻击主动防御的一种构想；漏洞陷阱
网络远程攻击是威胁当今互联网上站点安全的一种最主要的方式。为实现对网络远程攻
击的有效防御，本文提出了一种基于“漏洞陷阱”的主动防御策略，并对这种策略的思
想基础、实践基础及实现上的技术路径等做了初步的探讨。
网络远程攻击&&&&&主动防御&漏洞陷阱
Internet可以说是人类在二十世纪最伟大的成就之一，它在迅速发展的同时也在越来越
深刻地影响着人们的生活。然而与其飞速发展相伴的是日益增长的对网上站点的安全威
胁。许多统计数据都可以表明，当今网上“黑客”数与与安全相关的事件数的增长是相
当惊人的。对网上众多的站点而言，在面临的诸多安全威胁中，网络远程攻击是最主要
的方式。尤其是对于政府、商业、大学的重要站点，防范网络远程攻击更是一项经常性
严峻的形势促使我们深刻地反思当前网络站点的安全保护模式。传统的网络站点的安全
保护模式从本质上讲是一种被动防御模式。攻击者可以以很低的成本（包括物质成本和
风险成本）实施远程攻击，每次登录都可以无后效性地退出。这种状况如不改变，将难
以实现对网络远程攻击的有效遏制。
本文提出的一种实现网络站点主动防御的策略可称之为“设置漏洞陷阱”。其核心思想
是防御方主动设计一些“安全漏洞”（当然是伪造的）暴露给攻击者，诱使攻击者进入
“漏洞陷阱”。落入陷阱的攻击者将会遭受大量的资源消耗，甚至可能会暴露身份，攻
击成本增大。从而可以有效地阻止入侵者下一次攻击的实施。
本文以下部分将对“漏洞陷阱”安全策略做以详细的介绍。各节安排如下：
第二节，介绍这种安全策略的思想基础。
第三节，讨论这种安全策略的可行性和实现路径。
第四节，探讨这种安全策略实现上的有待解决的一些关键问题。
最后一节是小结。
二、“漏洞陷阱”的思想基础
&&&&&&&&网络远程攻击是实现网络安全所关注的焦点，因此我们有必要对其基本特性做
以讨论。首先，网络远程攻击涉及两方：攻击方和防御方（当然一些攻击者可以假借第
三方进行身份伪装，但本质上仍是攻、守两方）。做为一个网络站点的系统管理员，有
一点应该是很清醒的：即对于网络远程攻击来说，他永远处于防御的一方。这是很自然
的事情。我们不可能在攻击者入侵我们的主机的同时去攻击对方的主机。但是不是只能
被动防御呢？那却未必。
明确了网络远程攻击的参与主体之后，我们再对双方的基本特性做以考察和分析。
&&对于攻击方来说，具有以下特点：
1．&主动性
&&何时发起攻击，以何种方式发起攻击完全掌握在入侵者手中。防御方无法干涉。
2．&隐蔽性
攻击者的攻击过程往往是通过合法的端口和服务来进行的，不容易被察觉。
3．&低成本
这是攻击方一个很主要的特征，也是当今网络上黑客层出不穷、安全事件频发的一个重
攻击一方的成本包括两部分：
1）&物理成本
网络远程攻击不需要很高的机器条件，一般情况下只需一台PC机、一套Linux和一根网线
（电话线）即可；网络上如今到处都有黑客站点，专门介绍各种攻击方法和步骤，因此
学习成本也是很低的；在时间上，实施一次攻击实验从几分钟到几天不等。对于面对着
高诱惑的攻击者来说也是完全可以承受的。
2）&风险成本
入侵者进行一次远程攻击的风险成本也是很低的。他可以执行未被明令禁止的各种操作
。即使一次攻击实验受阻，也可以随时安全地从登录状态退出。
4．&执行敏感操作
绝大多数的入侵者并非天才，他们经常利用一些前人用过的在安全领域广为人知的技术
。这就使入侵者（尤其是初级入侵者）的攻击方式常有一定的套路，如先设法获得pass
wd文件再进行密码破译等。
对于防御一方来说，也有以下两个明显的特点：
1）&被动性
防御方无法预测攻击的发生时间、方式、发起者等情况，也无法对攻击者施加影响。
2）&漏洞公开
防御方所有的安全漏洞都处于攻击方可探察的范围之内，攻击方只要有足够的工具、经
验捕捉到一个哪怕是最微小的漏洞，就可以打开进入的渠道。
明确了当前网络远程攻击双方的特点之后，我们就可以在此基础上构造安全策略。可以
看到，新的安全策略的核心目标应在增加攻击方的攻击成本上，包括物理成本和风险成
本。在实现上应重点弥补现有防御方式的不足，增加防御的主动性。至于系统的安全漏
洞，完全消除是不可能的，但却可以伪造一些安全漏洞，使攻击者难辩真假。从这种思
想出发，“漏洞陷阱”这类安全策略可以说是一个很好的选择。
我国自古以来就有“诱敌深入”、“空城计”等主动防御的战略战术，其核心思想都在
于使攻击方不知我方虚实，从而做出错误判断。构造“漏洞陷阱”的方法从本质上讲也
属于这类思想。
三、可行性与实现路径
在讨论可行性和实现路径之前，先来介绍一个实例：
日，一个入侵者试图攻击AT&T贝尔实验室Bill&Cheswwick教授的一台网关机
。入侵者自以为发现了一个Sendmail&DEBUG漏洞并想藉此获得passwd文件。于是Bill&C
heswwick就发了一个口令文件给他并故意让他进入了一个“诱饵”机中，Bill&Cheswwi
ck和他的同事们在这台“诱饵”机构造了一个虚拟的文件系统。当入侵者采取各种方法
用以获得最高访问权限和删除所有文件时，他们对他的行为进行了仔细的观察和分析。
此次攻击的发起点在Stanford大学，但后来才发现这个攻击者实际上身处Netherlands。
虽然Bill&Cheswwick他们最终追踪到了这个入侵者的身份，但并未将其绳之以法。
这个故事是很有趣的，也很具有启发性。它向我们揭示了这种“漏洞陷阱”的可行性，
也启发我们将这种思想上升为一种系统行为和安全策略。同时，它提示给我们实现这种
安全策略所必需的三项工作：
1．&设计伪装漏洞，构造安全陷阱
我们需要对常见的网络安全漏洞进行整理，选择适当的漏洞形式进行伪造（如将一个伪
造的passwd文件放在ftp目录下等等）。漏洞的设计需要精心，应能确实起到迷惑入侵者
物理实现上，需要一台专门用来做“陷阱”的机器。这台机器的位置应精心规划，在其
所在的网段上应安装一个Sniffer，以使我们能够随时从日志中得到入侵者的信息。
2．&识别可疑请求
这是此套安全策略发挥作用的前提。系统应能实时地提醒管理员注意某些远程请求。这
个任务可以考虑用人工智能中的Agent&技术来完成。可以为系统引入一个SecAgent，这
个Agent&的任务主要是监视并分析日志文件的变化，并将分析的结果及时发给管理员。
在上面提到的例子中，Bill&Cheswwick是用如下代码实现的这项任务：
exec&2&/dev/null&&#ensure&that&stderr&doesn’t&appear
trap&“”&1
(&/bin/echo&&&“Attempt&to&login&to&inet&with&$LOGNAME&from&$CALLER”&|
&&upasname&=&adm&&&&/bin/mail&&&ches&&dangelo&&&
&#&&(notify&calling&machine’s&administrator&for&some&machines……)
&#&&(finger&the&calling&machine……)
)&2&&1&|&mail&ches&dangelo
/bin/echo&&“/tmp&full”
/bin/echo&&“/tmp&full”
/bin/echo&&“/tmp&full”
sleep&50&&&&#simulating&a&busy&machine&is&useful
作为一种安全策略的实现，这样的代码显然有些单薄，还需要一些统计、学习的功能来
3．&实时追踪技术
这项工作目前似乎还难以完全由机器来完成，它需要管理员的经验和智慧。但可考虑开
发一些能做日志分析的网上爬虫之类的小程序，在入侵者路经的站点上做联合监控。
四、实现上的一些关键问题
这套安全策略的实现主要有以下一些难点：
1．“陷阱”上系统的设计和实现
如何确保“陷阱”上的系统正确、有效，能真正起到“陷阱”的作用是一个很困难的问
题。监听机如何配置也需重点考虑。
2．SecAgent的设计
SecAgent的设计的主要难点一是在于算法设计，能否高效地识别出可疑请求和操作关键
在于此。另一难点在于它涉及操作系统，最好能嵌入到OS&中不为人所察觉。
3．&上层协议的构造
既然是作为一种系统行为和安全策略，它的实现就包含一个上层协议设计的问题。如何
与其它现有的安全认证机制（如Kerberos）集成是个不易解决的问题。
&&&&&&&&总体上看，“漏洞陷阱”可以做为一种系统安全策略来实现。其特点在于可以
实现网络站点的主动防御。设计上的难点主要集中在Agent技术、与OS集成和协议构造上
，有一定的难度。不过，我们应该看到，网络攻击的防御方式存在着由被动向主动转变
的趋势，这是机遇也是挑战。
1．《网络最高安全技术指南》,机械工业出版社,1998&5月版。
2．An&Evening&with&Berferd&In&Which&a&Cracker&is&Lured,Endured,and&Studied,B
ill&Cheswick&,AT&T&Bell&Laboratories.
我得到了一个彩色钱夹
也不喜欢那些乏味的分币
我跑到那个古怪的大土堆后
去看那些爱美的小花
※&来源:?BBS&水木清华站&smth.org?[FROM:&162.105.39.150]
Security版社区广播台
查看: 7087|回复: 39
强大的第三方Windows系统权限管理工具Security Administrator
TA的每日心情开心3&天前签到天数: 21 天[LV.4]偶尔看看III
在终端环境下的安全控制因终端模式的特殊性显得格外重要，作为终端服务器的管理员你一定会面临如控制用户显示服务器驱动器、防止用户使用命令行、防止用户使用注册表、防止用户窥探用户信息等问题。在这些问题面前你可以选择使用组策略来实现，但它需要你对组策略有相当程度的了解。而且它也不能完全满足你的需要。在这种情况下第三方工具Security Administrator（我们有时简称其为SA）可以满足你的需要，而且它提供了简单的图形界面来帮助你快速的实现安全配置。
16:48 上传
点击文件名下载附件
1.08 MB, 下载次数: 161
帖子永久地址：&<button type="submit" class="pn" onclick="setCopy('强大的第三方Windows系统权限管理工具Security Administrator\nhttp://bbs.sunwy.org/thread-.html', '帖子地址已经复制到剪贴板您可以用快捷键 Ctrl + V 粘贴到 QQ、MSN 里。')">推荐给好友阳光网驿 - 论坛版权1、本主题所有言论和图片纯属会员个人意见，与本论坛立场无关
2、本站所有主题由该帖子作者发表，该帖子作者与享有帖子相关版权
3、其他单位或个人使用、转载或引用本站原创内容时必须同时征得该帖子作者和的同意
4、帖子作者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任
5、本帖部分内容转载自其它媒体，但并不代表本站赞同其观点和对其真实性负责
6、如本帖侵犯到任何版权问题，请立即告知本站，本站将及时予与删除并致以最深的歉意
7、管理员和版主有权不事先通知发贴者而删除本文
该用户从未签到
原帖由 sunwy 于
16:48 发表
在终端环境下的安全控制因终端模式的特殊性显得格外重要，作为终端服务器的管理员你一定会面临如控制用户显示服务器驱动器、防止用户使用命令行、防止用户使用注册表、防止用户窥探用户信息等问题。在这些问题面前你 ...
3 a# O2 p& D6 O& m# h* S( g
&&?% \) h! ^&&i$ f9 P( C$ f
发现没有截图,不知道是否有灌水嫌疑??
& ]6 R# T8 t2 f
实际上话又说回来，你既然给他终端权限就应该对他信任。否则就不要给他权限就OK了.本帖子由阳光论坛贵宾组成员答复[增加管理津贴8个]: `! _+ N: d. ?1 F6 h4 |" F( L
打造出国内一流的行业软件应用交流论坛－－阳光网驿助力企业信息化
TA的每日心情开心12&小时前签到天数: 1131 天[LV.10]以坛为家III
[温馨提示]:新注册的朋友，建议通过、、转发技术帖子 赚得论坛第一桶金。
同时推荐学习熟悉论坛规则!
楼主推荐的工具不错，下载一个试用一下，多谢
该用户从未签到
它提供了简单的图形界面来帮助你快速的实现安全配置--------没看到他
该用户从未签到
到哪里去下载阿。
2 \&&~4 W' E3 k( J) l! Y3 t. @/ l
TA的每日心情开心 11:40签到天数: 6 天[LV.2]偶尔看看I
很不错的说&&谢谢楼主 收藏了
TA的每日心情开心 07:28签到天数: 350 天[LV.8]以坛为家I
这个应该是版本11.5 好像只有这个版本有zcj，再高的版本就没zcj了。
TA的每日心情慵懒 16:17签到天数: 41 天[LV.5]常住居民I
按介绍看是一个好东西啊。。。
TA的每日心情开心 01:33签到天数: 5 天[LV.2]偶尔看看I
看说明应该是非常不错的产品，配合远程终端软件使用效果更好
TA的每日心情开心 09:52签到天数: 502 天[LV.9]以坛为家II
用过,软件不错.比如可以隐藏盘符
阳光推荐 /1
阳光网驿服务器维护完成，但论坛银行还有bug，目前正在紧张修复中，请稍安勿燥！]