第一篇：黑客演示網(wǎng)站掛馬攻擊案例

通過本案例可以學(xué)到：(1)了解網(wǎng)站掛馬

(2)在網(wǎng)站首頁利用IE漏洞掛馬

網(wǎng)站掛馬攻擊主要是指入侵者在入侵成功后修改了網(wǎng)站的某一些或者全部的網(wǎng)頁文件，如果網(wǎng)站存在SQL注入漏洞，則比較容易取得一定的權(quán)限。如果在服務(wù)器上對網(wǎng)站目錄等做了較嚴(yán)格的權(quán)限限制，也是比較容易取得Webshell權(quán)限，具有Webshell權(quán)限可以對網(wǎng)頁文件進(jìn)行修改，而掛馬就是在網(wǎng)頁中加入一些代碼。這些代碼往往是利用瀏覽器或者應(yīng)用程序的漏洞，瀏覽者在訪問這些網(wǎng)頁時，往往會在不知不覺中去下載一些木馬程序來執(zhí)行。網(wǎng)站掛馬的原理就是設(shè)置框架網(wǎng)頁的寬度和高度為0，將一些惡意網(wǎng)頁隱藏起來，用戶訪問網(wǎng)站時不容易覺察。目前在網(wǎng)絡(luò)上有很多網(wǎng)頁木馬生成器，簡稱“網(wǎng)馬生成器”，本案例以“Ms-0733網(wǎng)馬生成器”為例，來講解如何進(jìn)行網(wǎng)站掛馬攻擊。

步驟一 配置網(wǎng)頁木馬。在使用“Ms-0733網(wǎng)馬生成器”配置前需要準(zhǔn)備好一款已經(jīng)配置好的木馬服務(wù)端，然后直接運行“Ms-0733網(wǎng)馬生成器”在網(wǎng)馬地址中輸入“http://127.0.0.0/test.exe”，如圖1所示，然后單擊“生成木馬”即可生成一網(wǎng)頁文件HACKLL.HTM。

圖1配置Ms-0733網(wǎng)馬生成器

步驟二 修改網(wǎng)站網(wǎng)頁文件。在網(wǎng)站首頁文件index.asp中加入已經(jīng)配置好的網(wǎng)頁木馬htm文件，一般通過在頁面中加入“ ”來實現(xiàn)，如圖2所示。

圖2加入木馬代碼到正常網(wǎng)頁

網(wǎng)頁木馬利用的是IE瀏覽器存在的漏洞，其網(wǎng)頁木馬最本質(zhì)的東西有兩個一個是腳本，另外一個是真正的木馬服務(wù)端，利用腳本來直接執(zhí)行木馬服務(wù)端或者通過下載者來下載木馬服務(wù)端然后再執(zhí)行。其網(wǎng)頁木馬文件中多是一些JavaScript代碼，如圖3所示。

圖3網(wǎng)頁木馬源代碼

測試網(wǎng)頁木馬是否能夠正常執(zhí)行。在未安裝微軟的MS0733補丁程序的虛擬機中打開瀏覽器，并在其中輸入網(wǎng)頁木馬的地址，一會兒后，在控制端就看見肉雞上線了。大量傳播網(wǎng)頁木馬。網(wǎng)頁木馬測試成功以后，就可以將其配置好的網(wǎng)頁木馬放入一些提供Web服務(wù)的肉雞上，只要訪問者的系統(tǒng)未安裝其網(wǎng)頁木馬利用的漏洞，如果系統(tǒng)未安裝任何對網(wǎng)頁木馬進(jìn)行防御的軟件，則計算機感染網(wǎng)頁木馬的幾率非常大。J技巧

直接在網(wǎng)站進(jìn)行“掛馬”攻擊，被攻擊的對象只能是存在安全漏洞的計算機，且攻擊時間不宜太長，否則極易被殺毒軟件查殺。小結(jié)

本案例講解了如何來進(jìn)行網(wǎng)站掛馬攻擊，網(wǎng)站掛馬攻擊相對簡單，先配置好一個木馬服務(wù)端，然后直接配置網(wǎng)馬生成器，配置完畢后將木馬服務(wù)端和網(wǎng)頁木馬文件一起上傳到服務(wù)器上，通過將網(wǎng)頁木馬文件加入到正常的網(wǎng)頁文件中，當(dāng)用戶訪問這些被修改的網(wǎng)頁時，系統(tǒng)就會自動下載木馬程序并執(zhí)行，從而達(dá)到攻擊的目的。不過目前一些主動防御軟件能夠檢網(wǎng)頁木馬，因此在進(jìn)行網(wǎng)站掛馬攻擊時，需要對網(wǎng)頁木馬進(jìn)行加密以及防查殺處理。

第二篇：淺談現(xiàn)代信息技術(shù)之黑客攻擊論文

淺談現(xiàn)代信息技術(shù)之黑客攻擊

作者：黃嘉翊 參考文獻(xiàn)：百度，《黑客x檔案》《黑客在線》 日期：2011/12/5 關(guān)鍵詞：現(xiàn)代信息技術(shù)，網(wǎng)路，黑客攻擊

信息技術(shù)已成為世界各國實現(xiàn)政治、經(jīng)濟(jì)、文化發(fā)展目標(biāo)最重要的技術(shù)。信息技術(shù)包括感測技術(shù)、通信技術(shù)、計算機技術(shù)、控制技術(shù)等，其中通信技術(shù)、計算機技術(shù)是整個信息技術(shù)的核心部分，而感測技術(shù)與控制技術(shù)（Control）是信息技術(shù)核心部分聯(lián)系外部世界的接口，國外又把信息技術(shù)稱為三“C”技術(shù)。如今，信息技術(shù)已對人類社會生活的各個領(lǐng)域產(chǎn)生了廣泛而深刻的影響。Intelnet也迅速成長為現(xiàn)代信息技術(shù)的主力軍！

Internet的起源

Internet是在美國較早的軍用計算機網(wǎng)ARPAnet的基礎(chǔ)上經(jīng)過不斷發(fā)展變化而形成的。Internet的起源主要可分為以下幾個階段：·Internet的雛形形成階段1969年，美國國防部研究計劃管理局（ARPA--Advanced Resarch Projects Agency）開始建立一個命名為ARPANET的網(wǎng)絡(luò)，當(dāng)時建立這個網(wǎng)絡(luò)的目的只是為了將美國的幾個軍事及研究用電腦主機連接起來，人們普遍認(rèn)為這就是Internet的雛形。·Internet的商業(yè)化階段90年代初，商業(yè)機構(gòu)開始進(jìn)入Internet，使Internet開始了商業(yè)化的新進(jìn)程，也成為Internet大發(fā)展的強大推動力。1995年，NSFNET停止運作，Internet已徹底商業(yè)化了。這種把不同網(wǎng)絡(luò)連接在一起的技術(shù)的出現(xiàn)，使計算機網(wǎng)絡(luò)的發(fā)展進(jìn)入一個新的時期，形成由網(wǎng)絡(luò)實體相互連接而構(gòu)成的超級計算機網(wǎng)絡(luò)，人們把這種網(wǎng)絡(luò)形態(tài)稱Internet（互聯(lián)網(wǎng)絡(luò)）。

Internet的發(fā)展

隨著商業(yè)網(wǎng)絡(luò)和大量商業(yè)公司進(jìn)入Internet，網(wǎng)上商業(yè)應(yīng)用取得高速的發(fā)展，同時也使Internet能為用戶提供更多的服務(wù)，使Internet迅速普及和發(fā)展起來。

現(xiàn)在Internet已發(fā)展為多元化，不僅僅單純?yōu)榭蒲蟹?wù)，正逐步進(jìn)入到日常生活的各個領(lǐng)域。近幾年來，Internet在規(guī)模和結(jié)構(gòu)上都有了很大的發(fā)展，已經(jīng)發(fā)展成為一個名副其實的“全球網(wǎng)”。

網(wǎng)絡(luò)的出現(xiàn)，改變了人們使用計算機的方式；而Internet的出現(xiàn)，又改變了人們使用網(wǎng)絡(luò)的方式。Internet使計算機用戶不再被局限于分散的計算機上，同時，也使他們脫離了特定網(wǎng)絡(luò)的約束。任何人只要進(jìn)入了Internet，就可以利用網(wǎng)絡(luò)中和各種計算機上的豐富資源。

黑客攻擊手段

有網(wǎng)路就有黑客，隨著網(wǎng)絡(luò)的發(fā)展黑客技術(shù)也似雨后春筍蓬勃發(fā)展！我們的信息安全和信息傳輸保障受到了嚴(yán)重的威脅與考驗！黑客攻擊手段可分為非破壞性攻擊和破壞性攻擊兩類。非破壞性攻擊一般是為了擾亂系統(tǒng)的運行，并不盜竊系統(tǒng)資料，通常采用拒絕服務(wù)攻擊或信息炸彈；破壞性攻擊是以侵入他人電腦系統(tǒng)、盜竊系統(tǒng)保密信息、破壞目標(biāo)系統(tǒng)的數(shù)據(jù)為目的。下面為大家介紹4種黑客常用的攻擊手段。

1、后門程序

由于程序員設(shè)計一些功能復(fù)雜的程序時，一般采用模塊化的程序設(shè)計思想，將整個項目分割為多個功能模塊，分別進(jìn)行設(shè)計、調(diào)試，這時的后門就是一個模塊的秘密入口。在程序開發(fā)階段，后門便于測試、更改和增強模塊功能。正常情況下，完成設(shè)計之后需要去掉各個模塊的后門，不過有時由于疏忽或者其他原因（如將其留在程序中，便于日后訪問、測試或維護(hù)）后門沒有去掉，一些別有用心的人會利用窮舉搜索法發(fā)現(xiàn)并利用這些后門，然后進(jìn)入系統(tǒng)并發(fā)動攻擊。

2、信息炸彈

信息炸彈是指使用一些特殊工具軟件，短時間內(nèi)向目標(biāo)服務(wù)器發(fā)送大量超出系統(tǒng)負(fù)荷的信息，造成目標(biāo)服務(wù)器超負(fù)荷、網(wǎng)絡(luò)堵塞、系統(tǒng)崩潰的攻擊手段。比如向未打補丁的 Windows 95系統(tǒng)發(fā)送特定組合的 UDP 數(shù)據(jù)包，會導(dǎo)致目標(biāo)系統(tǒng)死機或重啟；向某型號的路由器發(fā)送特定數(shù)據(jù)包致使路由器死機；向某人的電子郵件發(fā)送大量的垃圾郵件將此郵箱“撐爆”等。目前常見的信息炸彈有郵件炸彈、邏輯炸彈等。

3、拒絕服務(wù)

拒絕服務(wù)又叫分布式D.O.S攻擊，它是使用超出被攻擊目標(biāo)處理能力的大量數(shù)據(jù)包消耗系統(tǒng)可用系統(tǒng)、帶寬資源，最后致使網(wǎng)絡(luò)服務(wù)癱瘓的一種攻擊手段。作為攻擊者，首先需要通過常規(guī)的黑客手段侵入并控制某個網(wǎng)站，然后在服務(wù)器上安裝并啟動一個可由攻擊者發(fā)出的特殊指令來控制進(jìn)程，攻擊者把攻擊對象的IP地址作為指令下達(dá)給進(jìn)程的時候，這些進(jìn)程就開始對目標(biāo)主機發(fā)起攻擊。這種方式可以集中大量的網(wǎng)絡(luò)服務(wù)器帶寬，對某個特定目標(biāo)實施攻擊，因而威力巨大，頃刻之間就可以使被攻擊目標(biāo)帶寬資源耗盡，導(dǎo)致服務(wù)器癱瘓。比如1999年美國明尼蘇達(dá)大學(xué)遭到的黑客攻擊就屬于這種方式。

4、網(wǎng)絡(luò)監(jiān)聽

網(wǎng)絡(luò)監(jiān)聽是一種監(jiān)視網(wǎng)絡(luò)狀態(tài)、數(shù)據(jù)流以及網(wǎng)絡(luò)上傳輸信息的管理工具，它可以將網(wǎng)絡(luò)接口設(shè)置在監(jiān)聽模式，并且可以截獲網(wǎng)上傳輸?shù)男畔?，也就是說，當(dāng)黑客登錄網(wǎng)絡(luò)主機并取得超級用戶權(quán)限后，若要登錄其他主機，使用網(wǎng)絡(luò)監(jiān)聽可以有效地截獲網(wǎng)上的數(shù)據(jù)，這是黑客使用最多的方法，但是，網(wǎng)絡(luò)監(jiān)聽只能應(yīng)用于物理上連接于同一網(wǎng)段的主機，通常被用做獲取用戶口令。

5、密碼破解當(dāng)然也是黑客常用的攻擊手段之一。

歷史上著名的黑客事件 1、1988年11月：羅伯特·塔潘·莫里斯 對陣 全球

羅 伯特·塔潘·莫里斯(Robert Tappan Morris)1988年成為康奈爾大學(xué)(Cornell University)的研究生，他研制出一種自我復(fù)制的蠕蟲，并賦予它使命：確定互聯(lián)網(wǎng)的規(guī)模(go out to determine the size of the internet)。事與愿違，蠕蟲的復(fù)制無法控制，它感染了數(shù)千臺電腦，造成了數(shù)百萬美元的損失，并促使美國政府針對電腦創(chuàng)建了應(yīng)急響應(yīng)(create a emergency response for computers)。

由于意外的失誤，莫里斯最終被指控違反計算機欺詐與濫用法案(Computer Fraud & Abuse Act)，被判處1萬美元罰金，及400小時社區(qū)服務(wù)。莫里斯的源代碼存放于一個黑色3.5英寸軟盤中，在波士頓科學(xué)博物館(Boston Museum of Science)中進(jìn)行展示。2、2009年7月：不知名 對陣 美國和韓國

在2009年7月的3天中，韓國大量日報、大型在線拍賣廠商、銀行和韓國總統(tǒng)的網(wǎng)站，以及白宮和五角大樓的網(wǎng)站受到分布式拒絕服務(wù)的多輪攻擊，逾16.6萬臺電腦受到影響。部分人士認(rèn)為，朝鮮無線通訊部門利用Mydoom蠕蟲病毒的后門，進(jìn)行了這次攻擊。但這一消息并未得到證實。3、1999年3月：大衛(wèi)·史密斯 對陣 微軟Word & Excel

大 衛(wèi)·史密斯(David L.Smith)在1999年發(fā)布了一個計算機病毒。史密斯使用被盜的美國在線賬號，向美國在線討論組Alt.Sex發(fā)布了一個感染Melissa病毒的 Word文檔。史密斯的病毒通過電子郵件傳播，使得被感染電腦的郵件過載，導(dǎo)致像微軟、英特爾、Lockheed Martin和Lucent Technologies等公司關(guān)閉了電郵網(wǎng)絡(luò)。

這一事件造成8000萬美元損失。由于釋放病毒，史密斯面臨10年監(jiān)禁和5000美元罰金，史密斯最終僅服刑20個月。4、2009年8月 俄羅斯 對陣 博客主Cyxymu

由 于俄羅斯黑客進(jìn)行的分布式拒絕服務(wù)攻擊，擁有數(shù)億用戶的社交網(wǎng)站在2009年夏天經(jīng)歷了數(shù)小時的擁堵和中斷服務(wù)，黑客聲稱其目的是為了讓博客主 Cyxymu禁聲。Facebook安全主管馬克斯.凱利(Max Kelly)表示，這是針對Cyxymu通過多種方式同時進(jìn)行攻擊，以使別人不能跟他聯(lián)系。5、1999年8月：喬納森·詹姆斯 對陣 美國國防部

喬 納森·詹姆斯(Jonathan James)是歷史上最著名的電腦黑客，他在1999年入侵美國國防威脅降低局(Defense Threat Reduction Agency)的軍用電腦，并獲取了數(shù)千份機密信息、注冊信息，以及控制國際空間站上生活環(huán)境的價值170萬美元軟件。

入侵被發(fā)現(xiàn)后，美國國家航空與宇宙航行局關(guān)閉了網(wǎng)絡(luò)，并花費數(shù)千美元進(jìn)行安全升級。詹姆斯在2007年自殺。6、2008年11月 無名人士 對陣 微軟Windows

自2008年末，Conficker蠕蟲病毒利用了微軟操作系統(tǒng)中的大量漏洞。Conficker蠕蟲病毒一旦控制被感染機器，它將大量電腦連接成可由病毒創(chuàng)造者控制的一個大型僵尸網(wǎng)絡(luò)。自從首次被發(fā)現(xiàn)，Conficker蠕蟲病毒已經(jīng)感染了全球數(shù)百萬電腦和商業(yè)網(wǎng)絡(luò)。7、2000年2月 黑手黨男孩 對陣 雅虎、CNN、eBay、戴爾和亞馬遜 15 歲的邁克爾·凱爾(Michael Calce)－黑手黨男孩(Mafiaboy)在2000年2月利用分布式拒絕服務(wù)攻擊了雅虎，并隨后攻擊了CNN、eBay、戴爾和亞馬遜等公司的服務(wù) 器。凱爾被加拿大警方逮捕，面臨3年監(jiān)禁，凱爾最終被判處在青少年拘留中心(juvenile detention center)8個月的監(jiān)禁，并交納250美元捐款。8、2008年1月：匿名 對陣 山達(dá)基教

黑 客利用分布式拒絕服務(wù)針對山達(dá)基教(Church of Scientology)的Scientology.org站點進(jìn)行了攻擊。黑客攻擊的目的是：通過反向洗腦，來將民眾從山達(dá)基教中解救出來。安全專家根 據(jù)對分布式攻擊所派生的流量監(jiān)測認(rèn)為，攻擊為中等規(guī)模攻擊。安全專家指出，攻擊并非是一或者二個人所為。9、2002年2月：艾德里安．拉莫 對陣《紐約時報》

在 此之前，無家可歸的黑客－艾德里安．拉莫(Adrian Lamo)因從Kinko連鎖店和星巴克咖啡館攻擊《紐約時報》等公司的服務(wù)器而名聲大振。2002年2月拉莫入侵Grey Lady數(shù)據(jù)庫，在一列Op-Ed投稿人中添加了自己的名字，并在Lexis-Nexis中搜索自己。

聯(lián)邦調(diào)查局表示，Lexis-Nexis搜索共造成《紐約時報》30萬美元損失，拉莫也面臨15年監(jiān)禁。拉莫最終被判緩刑2年，以家拘禁6個月，并處以6.5萬美元罰金。10、1990年6月：凱文·鮑爾森 對陣 洛杉磯KIIS FM電臺

凱 文·鮑爾森(Kevin Poulsen)是一位青年電話黑客。為了成為洛杉磯KIIS FM電臺“周五贏輛保時捷”(Win a Porsche By Friday)節(jié)目的第102位獲勝呼入者，鮑爾森攻擊了電話線路。在隨后幾個月中，鮑爾森還對一位好萊塢女明星的電話進(jìn)行竊聽，并攻擊了軍隊及美國聯(lián)邦 調(diào)查局的電話。

聯(lián)邦調(diào)查局指控鮑爾森犯有系列詐騙及洗錢罪。鮑爾森被判入獄51個 月，并被判為損壞的廣播站支付5.6萬美元罰金。鮑爾森同時被判三年禁止接觸電腦。鮑爾森現(xiàn)在是連線雜志的記者，他還運營著博客Threat Level blog。Threat Level blog在今年6月6日首先報道了美國陸軍情報分析員布拉德利·曼寧(Bradley Manning)是維基解密消息源的消息。

我心中的黑客

我個人也是一名黑客的fans，我也搭建過自己的服務(wù)器和個人網(wǎng)站，我研究過黑客的一些基礎(chǔ)技術(shù)，比如說:DOS命令攻擊，木馬技術(shù)，網(wǎng)站注入攻擊，暴力破解等。我個人對黑客的理解是“黑客就像一個喜歡足球的孩子！因為對其愛得深而為之瘋狂！然而一名真的黑客不是搞破壞，而是和電腦談戀愛，發(fā)現(xiàn)電腦的漏洞并試圖修復(fù)它！”

我有一個夢想“有一天黑客也能被人接受，并發(fā)展成一種時尚的游戲，就像足球一樣，讓那些熱愛它的人們可以在一起沒有阻力的學(xué)習(xí)它和交流切磋技術(shù)！”

第三篇：攻擊網(wǎng)站

如何攻擊網(wǎng)站（圖文）

說起流光、溯雪、亂刀，可以說是大名鼎鼎無人不知無人不曉，這些都是小榕哥的作品。每次一提起小榕哥來，我的崇拜景仰就如滔滔江水，連綿不絕~~~~（又來了?。┳屛覀兂绨莸男￠鸥缱钚掠职l(fā)布了SQL注入工具，這回喜歡利用SQL注入入侵網(wǎng)站的黑友們有福了。小榕哥的工具就是強！偶用它來搞定我們本地的信息港，從尋找注入漏洞到注入攻擊成功，通過準(zhǔn)確計時，總共只用了3分還差40秒，呵呵，王者風(fēng)范，就是強啊！不信嗎？看看我的入侵過程吧。

一、下載榕哥的工具包是用來掃描某個站點中是否存在SQL注入漏洞的；“wed.exe”則是用來破解SQL注入用戶名密碼的。兩個工具的使用都非常簡單，結(jié)合起來，就可以完成從尋找注入點到注入攻擊完成的整個過程。

二、尋找SQL注入點

小提示：在輸入網(wǎng)址時，前面的“http://”;和最后面的“/”是必不可少的，否則將會提示無法進(jìn)行掃描。

輸入完畢后回車，即可開始進(jìn)行掃描了。很快得到了掃描結(jié)果，可以看到這個網(wǎng)站中存在著很多SQL注入漏洞（如圖2），我們隨便挑其中一個來做試驗，就挑“/rjz/sort.asp?classid=1”吧。

打開瀏覽器，在地

正想著手工注入會有多困難時，“wed.exe”程序已經(jīng)開始了用戶名和密碼的破解。很快的，就得到了用戶名和密碼了——“admina”、“pbk&7*8r”（如圖6）！天啦，這也太容易了吧！還不到一分鐘呢

四、搜索隱藏的管理登錄頁面

重新回到剛才的軟件下載頁面中，任意點擊了一個軟件下載鏈接，哎呀？怎么可以隨便下載的呢！不像以前碰到的收費網(wǎng)站，要輸入用戶名和密碼才可以下載。看來這是免費下載的網(wǎng)站，我猜錯了攻擊對象，不過既然都來了，就看看有沒有什么可利用的吧？

拿到了管理員的帳號，現(xiàn)在看來我們只有找到管理員登錄管理的入口才行了。在網(wǎng)頁上找遍了也沒有看到什么管理員的入口鏈接，看來還是得讓榕哥出手啦！

再次拿出“wis.exe”程序，這個程序除了可以掃描出網(wǎng)站中存在的所有SQL注入點外，還可以找到隱藏的管理員登錄頁面。在命令窗口中輸入“wis.exe http://004km.cn/rjz/sort.asp?classid=1/ /a”（如圖7）。注意這里輸入了一個隱藏的參數(shù)“/a”。

怎么會掃描不成功呢？呵呵，原來這是掃描注入點，當(dāng)然不能成功了，管理員登錄頁面只可能隱藏在整個網(wǎng)站的某個路徑下。于是輸入“wis.exe http://004km.cn/ /a”，對整個網(wǎng)站進(jìn)行掃描。注意掃描語句中網(wǎng)址的格式。程序開始對網(wǎng)站中的登錄頁面進(jìn)行掃描，在掃描過程中，找到的隱藏登錄頁面會在屏幕上以紅色進(jìn)行顯示。很快就查找完了，在最后以列表顯示在命令窗口中。可以看到列表中有多個以“/rjz/”開頭的登錄頁面網(wǎng)址，包括“/rjz/gl/manage.asp”、“/rjz/gl/login.asp”、“/rjz/gl/admin1.asp”等。就挑“/rjz/gl/admin1.asp”吧，反正這些都是管理員登錄的頁面想用哪個都可以。

在瀏覽器中輸入網(wǎng)址“ http://004km.cn/rjz/gl/admin1.asp”，呵呵，出現(xiàn)了本來隱藏著的管理員登錄頁面（如圖8）。輸入用戶名和密碼，就進(jìn)入到后臺管理系統(tǒng)，進(jìn)來了做些什么呢？當(dāng)然不能搞破壞啦，看到有一個添加公告的地方，好啊，就在這兒給管理員留下一點小小的通知吧！

看看最后我更改過的主頁，冰河洗劍的大名留在了信息港上（如圖9），不過可沒有破壞什么東西?。∥液途W(wǎng)頁管理員也是朋友，他會原諒我這個小小的玩笑吧！

第四篇：2010年上半年教育網(wǎng)網(wǎng)站掛馬監(jiān)測報告

2010年上半年教育網(wǎng)網(wǎng)站掛馬監(jiān)測分析報告

北京大學(xué)網(wǎng)絡(luò)與信息安全實驗室，中國教育和科研網(wǎng)緊急響應(yīng)組，中國教育網(wǎng)體檢中心

2010年7月

網(wǎng)站掛馬近年來一直是國內(nèi)互聯(lián)網(wǎng)安全最嚴(yán)重的安全威脅之一，也對教育網(wǎng)網(wǎng)站構(gòu)成了 現(xiàn)實普遍的危害。隨著高考招生拉開帷幕，教育網(wǎng)網(wǎng)站，特別是高招網(wǎng)站，將成為廣大考生 和家長頻繁瀏覽的熱門站點，也不可避免地成為惡意攻擊者的關(guān)注目標(biāo)。

北京大學(xué)網(wǎng)絡(luò)與信息安全實驗室(ercis.icst.pku.edu.cn)于去年完成了網(wǎng)站掛馬監(jiān)測平臺 系統(tǒng)的研發(fā)，通過與中國教育網(wǎng)體檢中心(頁面。

圖 14 224ay.htm網(wǎng)頁木馬攻擊分發(fā)頁面，包含反病毒軟件識別機制

通過對iie.swf和fff.swf Flash文件的手工分析，我們發(fā)現(xiàn)該Flash文件是通過ActionScript 中判斷Flash Player版本，并利用LoadMovie()函數(shù)進(jìn)一步裝載滲透攻擊頁面，但在我們固化

保全過程中，該頁面已失效。av.htm頁面內(nèi)容如圖 15，首先根據(jù)是否IE7，分別裝載6.htm 和7.htm，并進(jìn)一步輸出nod.htm、real.htm和rising.htm。

圖 15 av.htm網(wǎng)頁木馬攻擊二級分發(fā)頁面

6.htm頁面內(nèi)容如圖 16，在頁面中還通過SCRIPT外鏈引入了mp.js(頁面內(nèi)容如圖 17)，經(jīng)過分析可知6.htm是未經(jīng)混淆的“極風(fēng)”漏洞滲透攻擊代碼，而所引入mp.js中的內(nèi)容則 包含了一個用于對抗目前一些模擬分析環(huán)境（如開源的PHoneyC等）中應(yīng)用的ActiceX控件 模擬機制的小伎倆，試圖創(chuàng)建一個在系統(tǒng)中肯定不存在的“be”控件，而如果客戶端環(huán)境告 知能夠創(chuàng)建成功，則必然客戶端環(huán)境中采用了ActiveX控件模擬機制（目前實現(xiàn)一般是對所 有環(huán)境中不存在ActiveX控件都返回創(chuàng)建成功的模擬對象，然后試圖劫持獲取進(jìn)一步的方法 調(diào)用和/或動態(tài)輸出頁面鏈接），而該段代碼在創(chuàng)建不成功時才輸出后面代碼所依賴的一些變 量定義，如此，實現(xiàn)了ActiveX控件模擬機制的環(huán)境則無法正確地動態(tài)執(zhí)行代碼，從而對該 網(wǎng)馬實施有效檢測。

圖 16 6.htm頁面內(nèi)容，分析可知是未進(jìn)行混淆的“極風(fēng)”漏洞滲透攻擊代碼

圖 17 6.htm頁面中包含mp.js內(nèi)容，包含了對抗模擬插件機制

rising.htm頁面及之后裝載的ofnt.htm，以及ofnt.htm頁面中包含的SCRIPT外鏈oopk.jpg 及uug.jpg的頁面內(nèi)容構(gòu)成了對Office Web組件OWC10.SpreadSheet中內(nèi)存破壞安全漏洞(MS09-043)的滲透攻擊代碼，代碼采用了SetTimeout()函數(shù)延遲輸出鏈接、將Script文件偽

裝JPEG圖片文件、通過復(fù)雜字符串計算組裝Shellcode和ActiveX控件名稱等技術(shù)手段，以 提升分析的難度。

圖 18 rising.htm頁面內(nèi)容，嘗試創(chuàng)建OWC10.Spreadsheet控件，并裝載ofnt.htm頁面

圖 19 ofnt.htm頁面內(nèi)容，包含oopk.jpg和uug.jpg兩段外鏈腳本

圖 20 oopk.jpg頁面中的Script代碼，定義Shellcode等變量

圖 21 uug.jpg頁面中的Script代碼，定義一些關(guān)鍵變量，并進(jìn)行了混淆處理

該場景中還包括了針對聯(lián)眾GLIEDown.IEDown.1控件緩沖區(qū)溢出漏洞（BID: 29118,29446）的滲透攻擊頁面(nod.htm及l(fā)z.htm)，以及針對Real Player軟件IERPCtl.IERPCtl.1控件中緩沖

區(qū)溢出漏洞(CVE-2007-5601)的滲透攻擊頁面(real.htm及myra.htm)。

通過上述兩個今年上半年在教育網(wǎng)網(wǎng)站上流行的網(wǎng)頁木馬攻擊場景案例分析，我們可以 總結(jié)出目前網(wǎng)頁木馬攻擊者已引入大量的技術(shù)手段和伎倆在和研究團(tuán)隊、產(chǎn)業(yè)界及政府相關(guān) 監(jiān)管部門進(jìn)行對抗，以躲避檢測，并提升分析追蹤的難度。對網(wǎng)頁木馬的監(jiān)測與分析技術(shù)發(fā) 展、平臺建設(shè)和相應(yīng)的應(yīng)急響應(yīng)處置流程還需要持續(xù)地改進(jìn)和完善，才能夠有效地應(yīng)對和處 置網(wǎng)頁木馬這種流行的安全威脅形態(tài)。

5.總結(jié)

北京大學(xué)網(wǎng)絡(luò)與信息安全實驗室、中國教育和科研網(wǎng)緊急響應(yīng)組(CCERT)、中國教育網(wǎng) 體檢中心合作開展對教育網(wǎng)中的網(wǎng)站掛馬情況進(jìn)行全網(wǎng)檢測和態(tài)勢分析，并為中國教育網(wǎng)體 檢中心(004km.cn)。通過2010年上半年教育網(wǎng)掛馬監(jiān)測數(shù)據(jù)結(jié)果分析，共檢出來自425 個頂級域名的1,347個網(wǎng)站被掛馬，上半年網(wǎng)站掛馬率達(dá)到3.88%，這說明教育網(wǎng)網(wǎng)站的安 全狀況仍不容樂觀。希望高校網(wǎng)絡(luò)安全管理部門和人員能夠充分重視，對相關(guān)網(wǎng)站進(jìn)行全面 檢測和安全加固，積極預(yù)防，盡量避免網(wǎng)站掛馬等安全事件的發(fā)生。

第五篇：防范黑客入侵攻擊的主要方法分析小結(jié)

防范黑客入侵攻擊的主要方法分析小結(jié)

網(wǎng)絡(luò)管理人員應(yīng)認(rèn)真分析各種可能的入侵和攻擊形式，制定符合實際需要的網(wǎng)絡(luò)安全策略，防止可能從網(wǎng)絡(luò)和系統(tǒng)內(nèi)部或外部發(fā)起的攻擊行為，重點防止那些來自具有敵意的國家、企事業(yè)單位、個人和內(nèi)部惡意人員的攻擊。防止入侵和攻擊的主要技術(shù)措施包括訪問控制技術(shù)、防火墻技術(shù)、入侵檢測技術(shù)、安全掃描、安全審計和安全管理。

一、訪問控制技術(shù)

訪問控制是網(wǎng)絡(luò)安全保護(hù)和防范的核心策略之一。訪問控制的主要目的是確保網(wǎng)絡(luò)資源不被非法訪問和非法利用。訪問控制技術(shù)所涉及內(nèi)容較為廣泛，包括網(wǎng)絡(luò)登錄控制、網(wǎng)絡(luò)使用權(quán)限控制、目錄級安全控制，以及屬性安全控制等多種手段。

1.網(wǎng)絡(luò)登錄控制

網(wǎng)絡(luò)登錄控制是網(wǎng)絡(luò)訪問控制的第一道防線。通過網(wǎng)絡(luò)登錄控制可以限制用戶對網(wǎng)絡(luò)服務(wù)器的訪問，或禁止用戶登錄，或限制用戶只能在指定的工作站上進(jìn)行登錄，或限制用戶登錄到指定的服務(wù)器上，或限制用戶只能在指定的時間登錄網(wǎng)絡(luò)等。

網(wǎng)絡(luò)登錄控制一般需要經(jīng)過三個環(huán)節(jié)，一是驗證用戶身份，識別用戶名；二是驗證用戶口令，確認(rèn)用戶身份；三是核查該用戶賬號的默認(rèn)權(quán)限。在這三個環(huán)節(jié)中，只要其中一個環(huán)節(jié)出現(xiàn)異常，該用戶就不能登錄網(wǎng)絡(luò)。其中，前兩個環(huán)節(jié)是用戶的身份認(rèn)證過程，是較為重要的環(huán)節(jié)，用戶應(yīng)加強這個過程的安全保密性，特別是增強用戶口令的保密性。用戶可以使用一次性口令，或使用IC卡等安全方式來證明自己的身份。

網(wǎng)絡(luò)登錄控制是由網(wǎng)絡(luò)管理員依據(jù)網(wǎng)絡(luò)安全策略實施的。網(wǎng)絡(luò)管理員可以隨時建立或刪除普通用戶賬號，可以控制和限制普通用戶賬號的活動范圍、訪問網(wǎng)絡(luò)的時間和訪問方式，并對登錄過程進(jìn)行必要的審計。對于試圖非法登錄網(wǎng)絡(luò)的用戶，一經(jīng)發(fā)現(xiàn)立即報警。

2.網(wǎng)絡(luò)使用權(quán)限控制

當(dāng)用戶成功登錄網(wǎng)絡(luò)后，就可以使用其所擁有的權(quán)限對網(wǎng)絡(luò)資源(如目錄、文件和相應(yīng)設(shè)備等)進(jìn)行訪問。如果網(wǎng)絡(luò)對用戶的使用權(quán)限不能進(jìn)行有效的控制，則可能導(dǎo)致用戶的非法操作或誤操作。網(wǎng)絡(luò)使用權(quán)限控制就是針對可能出現(xiàn)的非法操作或誤操作提出來的一種安全保護(hù)措施。通過網(wǎng)絡(luò)使用權(quán)限控制可以規(guī)范和限制用戶對網(wǎng)絡(luò)資源的訪問，允許用戶訪問的資源就開放給用戶，不允許用戶訪問的資源一律加以控制和保護(hù)。

網(wǎng)絡(luò)使用權(quán)限控制是通過訪問控制表來實現(xiàn)的。在這個訪問控制表中，規(guī)定了用戶可以訪問的網(wǎng)絡(luò)資源，以及能夠?qū)@些資源進(jìn)行的操作。根據(jù)網(wǎng)絡(luò)使用權(quán)限，可以將網(wǎng)絡(luò)用戶分為三大類：一是系統(tǒng)管理員用戶，負(fù)責(zé)網(wǎng)絡(luò)系統(tǒng)的配置和管理；二是審計用戶，負(fù)責(zé)網(wǎng)絡(luò)系統(tǒng)的安全控制和資源使用情況的審計；三是普通用戶，這是由系統(tǒng)管理員創(chuàng)建的用戶，其網(wǎng)絡(luò)使用權(quán)限是由系統(tǒng)管理員根據(jù)他們的實際需要授予的。系統(tǒng)管理員可隨時更改普通用戶的權(quán)限，或?qū)⑵鋭h除。

3.目錄級安全控制

用戶獲得網(wǎng)絡(luò)使用權(quán)限后，即可對相應(yīng)的目錄、文件或設(shè)備進(jìn)行規(guī)定的訪問。系統(tǒng)管理員為用戶在目錄級指定的權(quán)限對該目錄下的所有文件、所有子目錄及其子目錄下的所有文件均有效。如果用戶濫用權(quán)限，則會對這些目錄、文件或設(shè)備等網(wǎng)絡(luò)資源構(gòu)成嚴(yán)重威脅。這時目錄級安全控制和屬性安全控制就可以防止用戶濫用權(quán)限。

一般情況下，對目錄和文件的訪問權(quán)限包括系統(tǒng)管理員權(quán)限、讀權(quán)限、寫權(quán)限、創(chuàng)建權(quán)限、刪除權(quán)限、修改權(quán)限、文件查找權(quán)限和訪問控制權(quán)限。目錄級安全控制可以限制用戶對目錄和文件的訪問權(quán)限，進(jìn)而保護(hù)目錄和文件的安全，防止權(quán)限濫用。

4.屬性安全控制

屬性安全控制是通過給網(wǎng)絡(luò)資源設(shè)置安全屬性標(biāo)記來實現(xiàn)的。當(dāng)系統(tǒng)管理員給文件、目錄和網(wǎng)絡(luò)設(shè)備等資源設(shè)置訪問屬性后，用戶對這些資源的訪問將會受到一定的限制。

通常，屬性安全控制可以限制用戶對指定文件進(jìn)行讀、寫、刪除和執(zhí)行等操作，可以限制用戶查看目錄或文件，可以將目錄或文件隱藏、共享和設(shè)置成系統(tǒng)特性等。

5.服務(wù)器安全控制

網(wǎng)絡(luò)允許在服務(wù)器控制臺上執(zhí)行一系列操作。用戶使用控制臺可以裝載和卸載模塊，可以安裝和刪除軟件等。網(wǎng)絡(luò)服務(wù)器的安全控制包括設(shè)置口令鎖定服務(wù)器控制臺，以防止非法用戶修改、刪除重要信息或破壞數(shù)據(jù)；設(shè)定服務(wù)器登錄時間限制、非法訪問者檢測和關(guān)閉的時間間隔。

二、防火墻技術(shù)

防火墻是用來保護(hù)內(nèi)部網(wǎng)絡(luò)免受外部網(wǎng)絡(luò)的惡意攻擊和入侵，為防止計算機犯罪，將入侵者拒之門外的網(wǎng)絡(luò)安全技術(shù)。防火墻是內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的邊界，它能夠嚴(yán)密監(jiān)視進(jìn)出邊界的數(shù)據(jù)包信息，能夠阻擋入侵者，嚴(yán)格限制外部網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)的訪問，也可有效地監(jiān)視內(nèi)部網(wǎng)絡(luò)對外部網(wǎng)絡(luò)的訪問。

三、入侵檢測技術(shù)

入侵檢測技術(shù)是網(wǎng)絡(luò)安全技術(shù)和信息技術(shù)結(jié)合的產(chǎn)物。使用入侵檢測技術(shù)可以實時監(jiān)視網(wǎng)絡(luò)系統(tǒng)的某些區(qū)域，當(dāng)這些區(qū)域受到攻擊時，能夠及時檢測和立即響應(yīng)。

入侵檢測有動態(tài)和靜態(tài)之分，動態(tài)檢測用于預(yù)防和審計，靜態(tài)檢測用于恢復(fù)和評估。

四、安全掃描

安全掃描是對計算機系統(tǒng)或其他網(wǎng)絡(luò)設(shè)備進(jìn)行相關(guān)安全檢測，以查找安全隱患和可能被攻擊者利用的漏洞。從安全掃描的作用來看，它既是保證計算機系統(tǒng)和網(wǎng)絡(luò)安全必不可少的技術(shù)方法，也是攻擊者攻擊系統(tǒng)的技術(shù)手段之一，系統(tǒng)管理員運用安全掃描技術(shù)可以排除隱患，防止攻擊者入侵，而攻擊者則利用安全掃描來尋找入侵系統(tǒng)和網(wǎng)絡(luò)的機會。

安全掃描分主動式和被動式兩種。主動式安全掃描是基于網(wǎng)絡(luò)的，主要通過模擬攻擊行為記錄系統(tǒng)反應(yīng)來發(fā)現(xiàn)網(wǎng)絡(luò)中存在的漏洞，這種掃描稱為網(wǎng)絡(luò)安全掃描；而被動式安全掃描是基于主機的，主要通過檢查系統(tǒng)中不合適的設(shè)置、脆弱性口令，以及其他同安全規(guī)則相抵觸的對象來發(fā)現(xiàn)系統(tǒng)中存在的安全隱患，這種掃描稱為系統(tǒng)安全掃描。

安全掃描所涉及的檢測技術(shù)主要有以下四種：

(1)基于應(yīng)用的檢測技術(shù)。它采用被動的、非破壞性的辦法檢查應(yīng)用軟件包的設(shè)置，發(fā)現(xiàn)安全漏洞。

(2)基于主機的檢測技術(shù)。它采用被動的、非破壞性的辦法對系統(tǒng)進(jìn)行檢測。通常，它涉及系統(tǒng)的內(nèi)核，文件的屬性，操作系統(tǒng)的補丁等問題。

這種技術(shù)還包括口令解密，把一些簡單的口令剔除。因此，這種技術(shù)可以非常準(zhǔn)確地定位系統(tǒng)的問題，發(fā)現(xiàn)系統(tǒng)的漏洞。它的缺點是與平臺相關(guān)，升級復(fù)雜。

(3)基于目標(biāo)的漏洞檢測技術(shù)。它采用被動的、非破壞性的辦法檢查系統(tǒng)屬性和文件屬性，如數(shù)據(jù)庫、注冊號等。通過消息摘要算法，對文件的加密數(shù)進(jìn)行檢驗。這種技術(shù)的實現(xiàn)是運行在一個閉環(huán)上，不斷地處理文件、系統(tǒng)目標(biāo)、系統(tǒng)目標(biāo)屬性，然后產(chǎn)生檢驗數(shù)，把這些檢驗數(shù)同原來的檢驗數(shù)相比較。一旦發(fā)現(xiàn)改變就通知管理員。

(4)基于網(wǎng)絡(luò)的檢測技術(shù)，它采用積極的、非破壞性的辦法來檢驗系統(tǒng)是否有可能被攻擊而崩潰。它利用了一系列的腳本模擬對系統(tǒng)進(jìn)行攻擊的行為，然后對結(jié)果進(jìn)行分析。它還針對已知的網(wǎng)絡(luò)漏洞進(jìn)行檢驗。網(wǎng)絡(luò)檢測技術(shù)常被用來進(jìn)行穿透實驗和安全審計。這種技術(shù)可以發(fā)現(xiàn)一系列平臺的漏洞，也容易安裝。但是，它可能會影響網(wǎng)絡(luò)的性能。

安全掃描技術(shù)正逐漸向模塊化和專家系統(tǒng)兩個方向發(fā)展。

在模塊化方面，整個安全掃描系統(tǒng)由若干個插件組成，每個插件封裝一個或多個漏洞掃描方法，主掃描過程通過調(diào)用插件的方法來執(zhí)行掃描任務(wù)。系統(tǒng)更新時，只需添加新的插件就可增加新的掃描功能。另外，由于插件的規(guī)范化和標(biāo)準(zhǔn)化，使得安全掃描系統(tǒng)具有較強的靈活性、擴(kuò)展性和可維護(hù)性。

在專家系統(tǒng)方面，安全掃描能夠?qū)呙杞Y(jié)果進(jìn)行整理，形成報表，同時可針對具體漏洞提出相應(yīng)的解決辦法。隨著安全掃描技術(shù)的發(fā)展，希望安全掃描系統(tǒng)能夠?qū)W(wǎng)絡(luò)狀況進(jìn)行整體評估，并提出針對整個網(wǎng)絡(luò)的安全解決方案。未來的系統(tǒng)，不僅僅是一個漏洞掃描工具，還應(yīng)該是一個安全評估專家。

五、安全審計

安全審計是在網(wǎng)絡(luò)中模擬社會活動的監(jiān)察機構(gòu)，對網(wǎng)絡(luò)系統(tǒng)的活動進(jìn)行監(jiān)視、記錄并提出安全意見和建議的一種機制。利用安全審計可以有針對性地對網(wǎng)絡(luò)運行狀態(tài)和過程進(jìn)行記錄、跟蹤和審查。通過安全審計不僅可以對網(wǎng)絡(luò)風(fēng)險進(jìn)行有效評估，還可以為制定合理的安全策略和加強安全管理提供決策依據(jù)，使網(wǎng)絡(luò)系統(tǒng)能夠及時調(diào)整對策。

在網(wǎng)絡(luò)安全整體解決方案日益流行的今天，安全審計是網(wǎng)絡(luò)安全體系中的一個重要環(huán)節(jié)。網(wǎng)絡(luò)用戶對網(wǎng)絡(luò)系統(tǒng)中的安全設(shè)備、網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)及系統(tǒng)運行狀況進(jìn)行全面的監(jiān)測、分析、評估，是保障網(wǎng)絡(luò)安全的重要手段。

計算機網(wǎng)絡(luò)安全審計主要包括對操作系統(tǒng)、數(shù)據(jù)庫、Web、郵件系統(tǒng)、網(wǎng)絡(luò)設(shè)備和防火墻等項目的安全審計，以及加強安全教育，增強安全責(zé)任意識。

網(wǎng)絡(luò)安全是動態(tài)的，對已經(jīng)建立的系統(tǒng)，如果沒有實時的、集中的可視化審計，就不能及時評估系統(tǒng)的安全性和發(fā)現(xiàn)系統(tǒng)中存在的安全隱患。

目前，網(wǎng)絡(luò)安全審計系統(tǒng)包含的主要功能和所涉及的共性問題如下：

1.網(wǎng)絡(luò)安全審計系統(tǒng)的主要功能

(1)采集多種類型的日志數(shù)據(jù)。能夠采集各種操作系統(tǒng)、防火墻系統(tǒng)、入侵檢測系統(tǒng)、網(wǎng)絡(luò)交換機、路由設(shè)備、各種服務(wù)及應(yīng)用系統(tǒng)的日志信息。

(2)日志管理。能夠自動收集多種格式的日志信息并將其轉(zhuǎn)換為統(tǒng)一的日志格式，便于對各種復(fù)雜日志信息的統(tǒng)一管理與處理。

(3)日志查詢。能以多種方式查詢網(wǎng)絡(luò)中的日志信息，并以報表形式顯示。

(4)入侵檢測。使用多種內(nèi)置的相關(guān)性規(guī)則，對分布在網(wǎng)絡(luò)中的設(shè)備產(chǎn)生的日志及報警信息進(jìn)行相關(guān)性分析，從而檢測出單個系統(tǒng)難以發(fā)現(xiàn)的安全事件。

(5)自動生成安全分析報告。根據(jù)日志數(shù)據(jù)庫記錄的日志信息，分析網(wǎng)絡(luò)或系統(tǒng)的安全性，并向管理員提交安全性分析報告。

(6)網(wǎng)絡(luò)狀態(tài)實時監(jiān)視?？梢员O(jiān)視運行有代理的特定設(shè)備的狀態(tài)、網(wǎng)絡(luò)設(shè)備、日志內(nèi)容、網(wǎng)絡(luò)行為等情況。

(7)事件響應(yīng)機制。當(dāng)安全審計系統(tǒng)檢測到安全事件時，能夠及時響應(yīng)和自動報警。

(8)集中管理。安全審計系統(tǒng)可利用統(tǒng)一的管理平臺，實現(xiàn)對日志代理、安全審計中心和日志數(shù)據(jù)庫的集中管理。

2.網(wǎng)絡(luò)安全審計系統(tǒng)所涉及的共性問題

(1)日志格式兼容問題。通常情況下，不同類型的設(shè)備或系統(tǒng)所產(chǎn)生的日志格式互不兼容，這為網(wǎng)絡(luò)安全事件的集中分析帶來了巨大難度。

(2)日志數(shù)據(jù)的管理問題。日志數(shù)據(jù)量非常大，不斷地增長，當(dāng)超出限制后，不能簡單地丟棄。需要一套完整的備份、恢復(fù)、處理機制。

(3)日志數(shù)據(jù)的集中分析問題。一個攻擊者可能同時對多個網(wǎng)絡(luò)目標(biāo)進(jìn)行攻擊，如果單個分析每個目標(biāo)主機上的日志信息，不僅工作量大，而且很難發(fā)現(xiàn)攻擊。如何將多個目標(biāo)主機上的日志信息關(guān)聯(lián)起來，從中發(fā)現(xiàn)攻擊行為是安全審計系統(tǒng)所面臨的重要問題。

(4)分析報告及統(tǒng)計報表的自動生成問題。網(wǎng)絡(luò)中每天會產(chǎn)生大量的日志信息，巨大的工作量使得管理員手工查看并分析各種日志信息是不現(xiàn)實的。因此，提供一種直觀的分析報告及統(tǒng)計報表的自動生成機制是十分必要的，它可以保證管理員能夠及時和有效地發(fā)現(xiàn)網(wǎng)絡(luò)中出現(xiàn)的各種異常狀態(tài)。

六、安全管理

1.信息安全管理的內(nèi)涵

根據(jù)我國計算機信息系統(tǒng)安全等級保護(hù)管理要求(GA/T 391—2002)中的描述，信息安全管理的內(nèi)涵是對一個組織或機構(gòu)中信息系統(tǒng)的生命周期全過程實施符合安全等級責(zé)任要求的科學(xué)管理，它包括：

(1)落實安全組織及安全管理人員，明確角色與職責(zé)，制定安全規(guī)劃；

(2)開發(fā)安全策略；

(3)實施風(fēng)險管理；

(4)制定業(yè)務(wù)持續(xù)性計劃和災(zāi)難恢復(fù)計劃；

(5)選擇與實施安全措施；

(6)保證配置、變更的正確與安全；

(7)進(jìn)行安全審計；

(8)保證維護(hù)支持；

(9)進(jìn)行監(jiān)控、檢查，處理安全事件；

(10)安全意識與安全教育；

(11)人員安全管理。

一般意義上講，安全管理就是指為實現(xiàn)信息安全的目標(biāo)而采取的一系列管理制度和技術(shù)手段，包括安全檢測、監(jiān)控、響應(yīng)和調(diào)整的全部控制過程。而對整個系統(tǒng)進(jìn)行風(fēng)險分析和評估是明確信息安全目標(biāo)要求的重要手段。

2.信息安全管理的基本原則

需要明確指出的一點是：不論多么先進(jìn)的安全技術(shù)，都只是實現(xiàn)信息安全管理的手段而已。信息安全源于有效的管理，要使先進(jìn)的安全技術(shù)發(fā)揮較好的效果，就必須建立良好的信息安全管理體系，這是一個根本問題。一直以來人們(特別是高層領(lǐng)導(dǎo)者)總是認(rèn)為信息安全是一個技術(shù)上的問題，并將信息安全管理的責(zé)任限制在技術(shù)人員身上，事實上這種觀點和做法是十分錯誤的。

現(xiàn)在，信息已成為企業(yè)發(fā)展的重要資產(chǎn)，企業(yè)高層領(lǐng)導(dǎo)必須重視信息安全管理，必須參與信息安全管理工作，將信息安全管理視為現(xiàn)有管理措施的一個重要組成部分。

在我國，加強對信息安全工作的領(lǐng)導(dǎo)，建立、健全信息安全管理責(zé)任制，通常以誰主管誰負(fù)責(zé)、誰運營誰負(fù)責(zé)和誰使用誰負(fù)責(zé)為基本要求，堅持的總原則是：主要領(lǐng)導(dǎo)人負(fù)責(zé)原則；規(guī)范定級原則；依法行政原則；以人為本原則；適度安全原則；全面防范、突出重點原則；系統(tǒng)、動態(tài)原則；以及控制社會影響原則。而信息安全管理的主要策略是：分權(quán)制衡、最小特權(quán)、選用成熟技術(shù)和普遍參與。

3.信息安全管理的基本過程

安全管理是一個不斷發(fā)展、不斷修正的動態(tài)過程，貫穿于信息系統(tǒng)生命周期，涉及信息系統(tǒng)管理層面、物理層面、網(wǎng)絡(luò)層面、操作系統(tǒng)層面、應(yīng)用系統(tǒng)層面和運行層面的安全風(fēng)險管理。在這些層面上的安全管理是保證信息系統(tǒng)安全技術(shù)、安全工程運行正確、安全、有效的基礎(chǔ)。總的安全目標(biāo)是防止國家秘密和單位敏感信息的失密、泄密和竊密，防止數(shù)據(jù)的非授權(quán)修改、丟失和破壞，防止系統(tǒng)能力的喪失、降低，防止欺騙，保證信息及系統(tǒng)的可信度和資產(chǎn)的安全。