校園網數據中心內部信息安全隱患及技術防御淺析

陳彥英

（漯河醫學高等專科學校，河南 漯河 462002）

隨著信息技術飛速發展，計算機網絡技術不斷進步，校園網已經成為高校信息化建設的基礎平臺。新形勢下，網絡竊取信息手段不斷更新，攻擊手法更加多樣，竊取信息的方式更加隱蔽。這對高校數據中心內部信息安全構成了巨大的威脅。

1 可見光輻射攻擊及防御

1.1 可見光輻射攻擊原理

最近出現的利用可見光范圍內的輻射進行竊聽，需要使用光傳感器，與射頻竊聽所使用的昂貴設備相比，光輻射攻擊相對低廉，由于CRT顯示器工作時需要使用電子束掃描屏幕表面，同時以難以置信的速度分別刷新每個像素。當電子束擊中一個像素時會產生短暫的亮度，從而使得這種可見光攻擊成為可能。光傳感器可對著房間的墻壁，通過分析房間內光線的變化，同時應用成像技術來減少“噪聲”，就有可能重建屏幕內容的圖像。實驗證明，只要房間內墻壁上有光傳感器，在50米范圍之內，攻擊者就能實施這種攻擊。

1.2 防范可見光攻擊的措施

由于攻擊者依賴的是可見光，只要房間不在攻擊者的視線之內就能免受這種攻擊。對液晶顯示器不能實施這種攻擊。因為液晶顯示器刷新屏幕的方式與CRT顯示器不同。在液晶顯示器大量使用的今天，這種攻擊方式沒有也不會受到高度關注。

2 硬件鍵盤記錄器攻擊及防御

2.1 硬件鍵盤記錄器攻擊原理

鍵盤記錄器通常被用于竊取計算機使用者輸入的密碼或者其他敏感信息及隱私。硬件鍵盤記錄器是一種小型的連接器，通常安裝在計算機和鍵盤之間，以目前通用的USB鍵盤為例，它是一種包含公母USB連接器的設備，放置在計算機USB接口和鍵盤USB電纜之間，可以收集并存儲很長一段時間內的所有按鍵信息。除了以上所講的通用硬件鍵盤記錄器外，目前還有一些高級的硬件鍵盤記錄器能夠通過無線技術傳輸與截獲敏感信息。

2.2 防范硬件鍵盤記錄器攻擊的措施

由于安裝上述設備后，通用的檢測軟件檢查不出此類設備。因此，最好的檢測方法是物理檢查，最有效的預防措施是采用嚴格的訪問控制，防止對敏感計算機系統的物理訪問。

3 自生系統攻擊及防御

3.1 自生系統攻擊原理

自生系統是一種操作系統，可以從外部介質引導并駐留內存，且無需安裝（常用的WindowsPE系統就屬于此類）。它可以存儲在CD、DVD、USB驅動器或其他移動存儲介質中，并通過這些介質啟動計算機。自生系統本來就是用于系統診斷和軟件修復的。攻擊者可利用自生系統能夠繞過操作系統的身份驗證機制這一功能，從自生系統啟動、掛載硬盤，然后直接讀取和寫入數據。因為沒有加載本地操作系統，所以本地操作系統對自生系統下的數據操作無能為力。

3.2 防范自生系統攻擊的措施

防范自生系統攻擊的一種有效手段是安裝BIOS密碼，通過保護BIOS，進而防止攻擊者啟動計算機。但這種方法不能阻止攻擊者從計算機中取走硬盤，然后將其安裝在另外一臺計算機上進行訪問。因此，更好的預防措施是使用內置硬盤驅動器密碼或使用硬盤加密技術。

4 DNS攻擊及防御

4.1 DNS攻擊技術原理

國家互聯網應急中心發布的《2013年互聯網網絡安全態勢綜述》中提到，域名系統依然是影響安全的薄弱環節，2013年8月25日我國國家.CN頂級域名遭攻擊癱瘓。DNS本來的功能是將域名解析為IP地址，如果攻擊者控制了DNS解析請求，這種破壞性是非常大的。通過DNS緩存中毒技術，可以發起一些DNS攻擊，在這種攻擊下，攻擊者欺騙DNS服務器緩存虛假的DNS記錄，然后將發送給該服務器的所有客戶端DNS請求的下行流解析為攻擊者所提供的IP地址，從而使用戶訪問攻擊者提供的惡意網站，下載不需要的內容。2008年，出現了新的子域DNS緩存中毒攻擊方式，攻擊者使用兩種新技術成功進行了DNS緩存中毒攻擊。這種攻擊方式的成功率更高，它已經成功攻破了許多流行的DNS軟件包，包括BIND這種最常用的系統。

4.2 防范DNS攻擊的措施

針對子域的DNS緩存中毒，采取新版的DNS是有效的解決方案，但在設計出更好的解決方案之前，一些治標的措施能夠減小這種攻擊的風險。從2008年起，大多數LDNS服務器進行了重新配置，只接受內部網的請求，同時為進一步降低攻擊的成功率，許多DNS實現了源端口隨機化。此外，還有一種DNSSEC方案，即通過對所有的DNS應答進行數字簽名，以防范DNS攻擊。

5 APT攻擊及防御

5.1 APT攻擊技術原理

APT攻擊利用了多種攻擊手段，包括一些先進的手段和社會工程學方法，一步步獲取進入組織內部的權限。一般認為，APT攻擊就是一類特定的攻擊，為了獲取某組織甚至是國家的重要信息，有針對性地進行的一系列攻擊行為的整個過程。APT往往利用組織內部人員作為攻擊跳板。有時候，攻擊者會針對被攻擊對象編寫專門的攻擊程序，而非使用一些通用的攻擊代碼。此外，APT攻擊具有持續性，甚至長達數年。這種持續性體現在攻擊者不斷嘗試各種攻擊手段，以及在滲透到網絡內部后長期蟄伏，不斷收集各種信息，直到收集到重要情報。更加危險的是，這些新型的攻擊和威脅主要針對國家重要的基礎設施和單位進行，包括能源、電力、金融、國防等關系到國計民生或國家核心利益的網絡基礎設施。

對于這些單位而言，盡管已經構建了相對完備的縱深安全防御體系，可能既包括針對某個安全威脅的安全設備，也包括將各種單一安全設備串聯起來的管理平臺，還涵蓋事前、事中和事后等各階段。但這樣的防御體系仍然難以有效防止來自互聯網的入侵和攻擊以及信息竊取，尤其是新型攻擊（如APT攻擊及各類利用0day漏洞的攻擊）。

5.2 防范APT攻擊的措施

首先是減少應用的自身漏洞，其次是發展基于漏洞（包括0day）攻擊檢測技術和0day病毒木馬檢測技術，再次是對加密數據的可信性識別，最后是配合其他兩個檢測點，形成完整的縱深防御鏈條。與此同時，加強國外不可信軟件與設備的安全檢測，建立健全準入制度。

6 結語

做好數據中心的信息安全防護工作，技術是保障，管理是關鍵。作為數據中心，必須制定一套嚴謹有效的工作制度，有效規范網絡信息的存儲與安全防護工作。同時還要結合本單位實際情況，制定完善的計算機網絡安全防護策略和應急響應預案。這樣才能確保校園網數據中心正常、穩定、不間斷地提供網絡服務。■