论文网络渗透技术在安全防护中的应用,本文是安全防护专科开题报告范文与安全防护和网络渗透技术和应用方面硕士学位论文范文.
刘忠华
摘 要:应用系统如果在安全防护方面做不到有效控制,进行系统性的检测、验证,极可能发生信息安全事件.论文阐述了安全威胁产生的根源,并针对企业网内部的信息安全技术防护现状及安全威胁形势的发展进行了分析,通过渗透测试内部网络上的应用,提供发现问题、解决问题的可靠依据,论述攻击型的安全思想,以攻击者的思维、手段测试网络的安全威胁,实行有针对性的措施,提高企业网的整体安全性.
关键词:代码安全;漏洞扫描;数据包捕获;渗透测试
一、网络信息安全的现状
(一)信息安全的形势与安全弊端分析
代码安全是信息系统安全的基础,但多数应用程序,特别是企业内部建立的各种应用系统,在论证、编程及上线使用之前,并没有对程序的安全性进行分析、测试.受现代分层思想的影响,每个分层工作的人看待整个系统都是片面的,从功能实现的角度来看,并不是严重的问题.但从安全的角度上来讲,这是非常致命的.安全从来没有片面、单一的安全,任何一点的漏洞都可以造成整个系统的崩溃,安全问题必须有能力从全面、整体上去看待问题.
(二)信息安全管理的防护措施与技术现状
目前一般是采用防火墙防范出口安全,服务器与单机采用防毒软件、安全策略以及给系统打补丁的方式进行防护.而实际上,停止服务、关闭端口,降低攻击面,限制访问IP等方法,只是规避、隐藏安全风险,并没有从根本上解决问题.系统能否被攻击者侵入,有什么漏洞,是否存在可被利用的隐患,没有可靠的依据.
因此,需要进行攻击型的安全测试,使用攻击的手段,发现系统内的漏洞和隐患,试验安全措施是否安全有效,找到系统的安全弱点,从安全漏洞发现者,攻击者的角度去测试系统,尝试挫败安全防御机制,证明安全问题的存在及危害性,而非破坏.
二、运用渗透测试技术提高企业网信息安全
(一)渗透测试的意义及实施的必要性
渗透测试是指从一个攻击者的角度来检查和审核一个网络系统的安全性的过程.对目标网络、系统、主机、应用的安全性作深入的探测,发现系统最脆弱的环节,以便采取必要的防范措施.
(二)渗透测试的工作流程与技术实现
1.?信息收集.信息的收集可以采用主动扫描、网络搜索、网络封包分析及社会工程学等方式进行,网络的基础信息例如IP、网段、域名、端口等都非常容易获得.
一些网络服务的使用,如 Telnet、web 网站登录口令等,在使用明文传输的过程中,可以通过 ARP 欺骗等方式截获重要信息,还有自建的 Ftp,上面通常会存贮很多内部文件,对网络攻击会提供很多便利,甚至是决定性的作用.
2.?漏洞的扫描与发现
(1)通用漏洞检测.目前我单位使用 B/S 架构的 Nessus,用于发现通用漏洞,如微软 MS- 系列漏洞、oracle 漏洞.可以通过发送恶意的请求从而获取系统权限.国产的 X-Scan 进行弱口令的检测, 使用开源的Metasploit提供的通用漏洞攻击框架,可以进行实际的入侵工作.在实际的应用中,如果没有在边界上进行良好的访问控制,则缓冲区溢出漏洞有着极其严重的威胁,会轻易被恶意用户利用获得服务器的最高权限.
(2)?Web 应用漏洞检测.对于这种类型的漏洞可以使用 Web 应用安全测试工具进行检测.我们采用 N_stalker 与IBMsecurity?AppScan 两种工具进行黑盒测试.根据起始页爬取可见页面,测试管理后台;获得页面之后利用 SQL 进行站点注入及跨站脚本攻击测试;还要对 cookie 管理、会话周期等常见的web 安全漏洞进行检测.溯雪等基于表单的暴力可以很好的进行弱口令扫描.另外 SQL 注入测试工具 Pangolin,能够自动化的进行注入漏洞的检测,是目前国内使用率最高的 SQL 注入测试软件.
(3)软件与代码安全.应用软件的自身的安全问题是我们以往忽视的领域,据统计 75% 的攻击发生在应用层,92% 的漏洞属于应用层而非网络层.因此,需要我们关注软件开发的整个流程,将安全检测与监测融入需求分析、设计、编码、测试等各个阶段.
三、 结语
信息安全的管理与保障,渗透测试只是起点而不是终点,是发现安全问题、解决安全问题的过程,需要打破片面的只追求功能实现的思维方式,从全局的角度,重新审视自己完成的工作,是否能够达到安全上的要求.
渗透测试仅仅进行预攻击阶段的工作,并不对系统本身造成危害,但在实际的扫描过程中,还是有部分系统因为漏洞探测而导致了服务停止或系统当机,可见这些系统有多脆弱.扫描工具只是一种提高发现漏洞效率的手段,并不能解决一切,如果忽视业务逻辑层面的漏洞,如权限设置问题,是扫描器发现不了的.因此需要在前期做好详尽的安全防护规划,实施过程中根据不断出现的情况及时调整安全策略和访问控制手段.否则会因设备或业务的不当应用,引发出新的安全漏洞.
(作者单位:大庆油田有限责任公司第五采油厂)
上文总结,该文是一篇适合不知如何写安全防护和网络渗透技术和应用方面的安全防护专业大学硕士和本科毕业论文以及关于安全防护论文开题报告范文和相关职称论文写作参考文献资料.
参考文献:
1、 芯片安全防护技术助力指纹识别系统安全 目前指纹识别技术已经逐步成为手机的标配功能,通过指纹可以完成身份认证和支付类功能,为人们提供了极大的生活便利 但是考虑到目前指纹算法处理能力和安全保护措施还存在不少技术问题和安全隐患,因此大唐微电子结.
2、 大数据时代下网络信息安全防护策略分析 【摘要】 随着社会进步与科学技术的发展,网络技术与计算机技术已经广泛运用于政治经济军事与文化……各个领域,给人们的生产生活学习带来许多的便利,然而,近些年信息化犯罪频频发生,对于信息安全有着越来越高的.
3、 计算机网络信息管理与其安全防护举措 摘要进入新世纪以来,互联网得到了飞速发展,并且逐渐普及至寻常百姓家,将人们的生活变得越来越快捷,但作为一把“双刃剑”,也给我们带来了许多信息隐患,同时影响到互联网信息的安全问题.
4、 医院病案档案信息安全防护策略分析 【摘要】近年来,随着我国医疗卫生事业的不断发展,医院也迎来了发展的机遇,而病案档案作为医院开展各项工作不可或缺的重要材料,保证病案档案中信息的安全至关重要 本文就医院病案档案的信息安全防护策略进行简单.
5、 云计算中虚拟化技术的安全 随着计算机技术和计算机硬件的快速发展,政府、企业、机关单位对计算机技术的依赖越来越大,产生了大量的应用和数据 伴随着大数据时代的到来,云计算、虚拟化技术普及和发展起来 云计算和虚拟化技术作为新兴的技术.
6、 数字档案信息安全防护 【摘要】伴随着社会的发展,现代科技信息技术也逐渐进步,数字档案信息的形态以及管理方式发生了翻天覆地的转变,从最原始的纸质记录方式转换为数字档案,从手工记录转换为电子技术记录,从仅仅限制在馆内使用到远程.