文章目录:
如果网络黑客,指定IP地质,攻击,那么是不是很容易被攻击,谢谢了
许多应用程序认为如果数据包能够使其自身沿着路由到达目的地,而且应答包也可以回到源地,那么源IP地址一定是有效的,而这正是使源IP地址欺骗攻击成为可能的前提。
假设同一网段内有两台主机A、B,另一网段内有主机X。B 授予A某些特权。X 为获得与A相同的特权,所做欺骗攻击如下:首先,X冒充A,向主机 B发送一个带有随机序列号的SYN包。主机B响应,回送一个应答包给A,该应答号等于原序 列号加1。然而,此时主机A已被主机X利用拒绝服务攻击 “淹没”了,导致主机A服务失效。结果,主机A将B发来的包丢弃。为了完成三次握手,X还需要向B回送一个应答包,其应答号等于B向A发送数据 包的序列号加1。此时主机X 并不能检测到主机B的数据包(因为不在同一网段),只有利用TCP顺序号估算法来预测应答包的顺序号并将其发送给目标机B。如果猜测正确,B则认为收到的ACK是来自内部主机A。此时,X即获得了主机A在主机B上所享有的特权,并开始对这些服务实施攻击。
要防止源IP地址欺骗行为,可以采取以下措施来尽可能地保护系统免受这类攻击:
·抛弃基于地址的信任策略: 阻止这类攻击的一种非常容易的办法就是放弃以地址为基础的验证。不允许r类远程调用命令的使用;删除.rhosts 文件;清空/etc/hosts.equiv 文件。这将迫使所有用户使用其它远程通信手段,如telnet、ssh、skey等等。
·使用加密方法: 在包发送到 网络上之前,我们可以对它进行加密。虽然加密过程要求适当改变目前的网络环境,但它将保证数据的完整性和真实性。
·进行包过滤:可以配置路由器使其能够拒绝网络外部与本网内具有相同IP地址的连接请求。而且,当包的IP地址不在本网内时,路由器不应该把本网主机的包发送出去。
有一点要注意,路由器虽然可以封锁试图到达内部网络的特定类型的包。但它们也是通过分析测试源地址来实现操作的。因此,它们仅能对声称是来自于内部网络的外来包进行过滤,若你的网络存在外部可信任主机,那么路由器将无法防止别人冒充这些主机进行IP欺骗。
2.2 源路由欺骗攻击
在通常情况下,信息包从起点到终点走过的路径是由位于此两点间的路由器决定的,数据包本身只知道去往何处,但不知道该如何去。源路由可使信息包的发送者将此数据包要经过的路径写在数据包里,使数据包循着一个对方不可预料的路径到达目的主机。下面仍以上述源IP欺骗中的例子给出这种攻击的形式:
主机A享有主机B的某些特权,主机X想冒充主机A从主机B(假设IP为aaa.bbb.ccc.ddd)获得某些服务。首先,攻击者修改距离X最近的路由器,使得到达此路由器且包含目的地址aaa.bbb.ccc.ddd的数据包以主机X所在的网络为目的地;然后,攻击者X利用IP欺骗向主机B发送源路由(指定最近的路由器)数据包。当B回送数据包时,就传送到被更改过的路由器。这就使一个入侵者可以假冒一个主机的名义通过一个特殊的路径来获得某些被保护数据。
为了防范源路由欺骗攻击,一般采用下面两种措施:
·对付这种攻击最好的办法是配置好路由器,使它抛弃那些由外部网进来的却声称是内部主机的报文。
·在路由器上关闭源路由。用命令no ip source-route。
3、拒绝服务攻击及预防措施
在拒绝服务攻击中,攻击者加载过多的服务将对方资源全部使用,使得没有多余资源供其他用户无法使用。SYN Flood攻击是典型的拒绝服务攻击。
SYN Flood常常是源IP地址欺骗攻击的前奏,又称半开式连接攻击,每当我们进行一次标准的TCP连接就会有一个三次握手的过程。
而SYN Flood在它的实现过程中只有前两个步骤,当服务方收到请求方的SYN并回送SYN-ACK确认报文后,请求方由于采用源地址欺骗等手段,致使服务方得不到ACK回应,这样,服务方会在一定时间内处于等待接收请求方ACK报文的状态,一台服务器可用的TCP连接是有限的,如果恶意攻击方快速连续的发送此类连接请求,则服务器的系统可用资源、网络可用带宽急剧下降,将无法向用户提供正常的网络服务。
为了防止拒绝服务攻击,我们可以采取以下预防措施:
·对于信息淹没攻击,我们应关掉可能产生无限序列的服务来防止这种攻击。比如我们可以在服务器端拒绝所有的ICMP包,或者在该网段路由器上对ICMP包进行带宽限制,控制其在一定的范围内。
·要防止SYN数据段攻击,我们应对系统设定相应的内核参数,使得系统强制对超时的Syn请求连接数据包复位,同时通过缩短超时常数和加长等候队列使得系统能迅速处理无效的Syn请求数据包。
·建议在该网段的路由器上做些配置的调整,这些调整包括限制Syn半开数据包的流量和个数。
·建议在路由器的前端做必要的TCP拦截,使得只有完成TCP三次握手过程的数据包才可进入该网段,这样可以有效地保护本网段内的服务器不受此类攻击。
总之,要彻底杜绝拒绝服务攻击,只有追根溯源去找到正在进行攻击的机器和攻击者。要追踪攻击者不是一件容易的事情,一旦其停止了攻击行为,很难将其发现。唯一可行的方法就是在其进行攻击的时候,根据路由器的信息和攻击数据包的特征,采用逐级回溯的方法来查找其攻击源头。这时需要各级部门的协同配合才能很好的完成。
4、针对其他网络攻击行为的防范措施
协议攻击和拒绝服务攻击是黑客惯于使用的攻击方法,但随着计算机网络技术的飞速发展,网络攻击行为千变万化,新的攻击技术层出不穷。下面将阐述网络嗅探及缓冲区溢出的攻击原理及防范措施。
4.1 针对网络嗅探的防范措施
网络嗅探就是使网络接口接收不属于本主机的数据。计算机网络通常建立在共享信道上,以太网就是这样一个共享信道的网络,其数据报头包含目的主机的硬件地址,只有硬件地址匹配的机器才会接收该数据包。一个能接收所有数据包的机器被称为杂错节点。通常账户和口令等信息都以明文的形式在以太网上传输,一旦被黑客在杂错节点上嗅探到,用户就可能会遭到损害。
对于网络嗅探攻击,我们可以采取以下一些措施进行防范:
·网络分段:一个网络段包括一组共享低层设备和线路的机器,如交换机,动态集线器和网桥等设备,可以对数据流进行限制,从而达到防止嗅探的目的。
·加密:一方面可以对数据流中的部分重要信息进行加密,另一方面也可只对应用层加密,然而后者将使大部分与网络和操作系统有关的敏感信息失去保护。选择何种加密方式这就取决于信息的安全级别及网络的安全程度。
·一次性口令技术:口令并不在网络上传输而是在两端进行字符串匹配,客户端利用从服务器上得到的Challenge和自身的口令计算出一个新字符串并将之返回给服务器。在服务器上利用比较算法进行匹配,如果匹配,连接就允许建立,所有的Challenge和字符串都只使用一次。
·禁用杂错节点:安装不支持杂错的网卡,通常可以防止IBM兼容机进行嗅探。
4.2 缓冲区溢出攻击及其防范措施
缓冲区溢出攻击是一种系统攻击手段,通过往程序的缓冲区写超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,使程序转而执行其它指令,以达到攻击的目的。当然,随便往缓冲区中填东西并不能达到攻击的目的。最常见的手段是通过制造缓冲区溢出使程序运行一个用户shell,再通过shell执行其它命令。如果该程序具有root权限的话,攻击者就可以对系统进行任意操作了。
缓冲区溢出对系统带来了巨大的危害,要有效地防止这种攻击,应该做到以下几点:
·程序指针完整性检查:在程序指针被引用之前检测它是否改变。即便一个攻击者成功地改变了程序的指针,由于系统事先检测到了指针的改变,因此这个指针将不会被使用。
·堆栈保护:这是一种提供程序指针完整性检查的编译器技术,通过检查函数活动纪录中的返回地址来实现。在堆栈中函数返回地址后面加了一些附加的字节,而在函数返回时,首先检查这个附加的字节是否被改动过。如果发生过缓冲区溢出的攻击,那么这种攻击很容易在函数返回前被检测到。但是,如果攻击者预见到这些附加字节的存在,并且能在溢出过程中同样地制造他们,那么他就能成功地跳过堆栈保护的检测。
·数组边界检查:所有的对数组的读写操作都应当被检查以确保对数组的操作在正确的范围内。最直接的方法是检查所有的数组操作,通常可以采用一些优化的技术来减少检查的次数。目前主要有以下的几种检查方法:Compaq C编译器、Jones Kelly C数组边界检查、Purify存储器存取检查等。
饲养追溯
一 背景
可追溯系统的产生起因于1996年英国疯牛病引发的恐慌,另两起食品安全事件——丹麦的猪肉沙门氏菌污染事件和苏格兰大肠杆菌事件(导致21人死亡)也使得欧盟消费者对政府食品安全监管缺乏信心,但这些食品安全危机同时也促进了可追溯系统的建立。为此,畜产品可追溯系统首先在欧盟范围内产生建立。通过食品的可追溯管理为消费者提供所消费食品更加详尽的信息。专家预言在与动物产品相关的产业链中,实行强制性的动物产品“可追溯”化管理是未来发展的必然,它将成为推动农业贸易发展的潜在动力。
二 概念
国际食品法典委员会(CAC)与国际标准化组织ISO(8042:1994)把可追溯性的概念定义为“通过登记的识别码,对商品或行为的历史和使用或位置予以追踪的能力”。可追溯性是利用已记录的标记(这种标识对每一批产品都是唯一的,即标记和被追溯对象有一一对应关系,同时,这类标识已作为记录保存)追溯产品的历史(包括用于该产品的原材料、零部件的来历)、应用情况、所处场所或类似产品或活动的能力。据此概念,畜产品可追溯管理或其系统的建立、数据收集应包涵整个食物生产链的全过程,从原材料的产地信息、到产品的加工过程、直到终端用户的各个环节。畜产品实施可追溯管理,能够为消费者提供准确而详细的有关产品的信息,在实践中,“可追溯性”指的是对食品供应体系中食品构成与流向的信息与文件记录系统。
可追溯是确保食品安全的有效工具。目前,许多国家的政府机构和消费者都要求建立食品供应链的可追溯机制,并且许多国家已开始制定相关的法律,以法规的形式将可追溯纳入食品物流体系中。在欧美的许多国家,不具有可追溯功能的食品已被禁止进入市场。
实施可追溯性管理的一个重要方法就是在产品上粘贴可追溯性标签。可追溯性标签记载了食品的可读性标识,通过标签中的编码可方便地到食品数据库中查找有关食品的详细信息。通过可追溯性标签也可帮助企业确定产品的流向,便于对产品进行追踪和管理。
三 国外畜禽产品可追溯体系
为了提高消费者的安全信心以及畜产品的地区和品牌优势,世界各国争相发展和实施家畜标识制度和畜产品追溯体系,有的已立法强制执行。
四 我过目前畜产品管理现状
目前,我国的畜产品质量监控能力低下,难以适应社会发展的要求,更难以适应加入世贸组织后对动物及其产品的卫生质量要求。包括三方面的问题:一是疫病问题;二是饲养、运输、贮藏、屠宰加工环节中的动物卫生条件;三是畜产品质量问题,包括兽药和有害物质残留。美国、欧盟、日本、韩国等国家和地区也以疫病和残留超标为由,拒绝我国畜禽产品进口。多年来,我国每年畜禽产品出口量基本维持在不到总产量的1%,近期很难有大的增加。
我国的农户小规模饲养在畜牧业中仍占主导地位。农户散养比重大,畜禽流通量大,疫情复杂。千家万户式的散养,农牧民防疫意识差,给标准化管理,特别是兽医防检工作带来了巨大压力。饲养水平低,消费方式不合理,防疫工作难度大,是造成目前我国畜牧业现状的主要原因。
此外,商品活畜禽大规模长途运输、消费活畜禽,给动物防疫工作也造成了巨大困难。要从根本上控制和消灭动物疫病,提高我国畜产品质量,增强国际竞争力,必需建立一套科学有效的防疫及管理制度。
五 使用标识的方法解决牲畜管理
目前各繁育基地、养殖场因选种和选配需要,均需要记载牲畜个体的生产性能和血缘关系。对不同种群及其后代要进行个体编号标识。标识的方法大致分为:耳标法、刺墨法、烙角法和卡耳法等。但这些动物识别方法,都存有一定缺陷,比如耳朵上的标签、刺青以及印记其中包括标签丢失、破损或者变更。数据记录速度缓慢,再加之人为的录入错误,问题就更多了。
为了实现畜牧行业的现代化管理,保证畜产品的质量北京精诚智博科技公司特推荐智能化电子耳标管理系统,从而实现畜牧业的科学化、制度化、提高畜牧管理水平。将每个动物的耳号与其品种、来源、生产性能、免疫状况、健康状况、畜主等信息一并管理起来,一旦发生疫情和畜产品质量等问题,即可追踪(追溯)其来源,分清责任,堵塞漏洞。
电子耳标管理系统对数量众多的牲畜做到面面俱到明确的识别和详细管理的绝佳工具。通过该系统的使用,可使各级行政主管部门、各级政府、农业部和国务院及时掌握疫情、畜产品动态,及时发现隐患,迅速采取相应控制措施,保证安全生产。
二.方案概述
鉴于无抗生猪生产质量安全追溯链的复杂性,北京精诚智博根据大量的市场接触及前期调研,提出了针对生猪生产质量安全追溯与跟踪监管的解决方案。该方案应用RFID技术贯穿于肉类食品安全始终,建立了一个养殖-加工-流通-消费-监测全程自动追溯体系。这是一个具备完整的产业链食品追溯各环节的安全控制体系。同时,系统利用数据库技术、网络技术、分布式计算等技术,建立生猪生产质量安全与追溯中心数据库,实现信息的融合、查询、监控,为每一环节提供针对生猪质量安全性、肉类成分来源的数据,实现质量安全预警机制。由此形成肉类企业生产销售的闭环生产,以保证向社会提供优质的放心肉类食品,确保供应链的高质量数据交流,让肉类食品行业彻底实施食品源头追踪以及在食品供应链中实现完全透明。
精诚生猪质量安全追溯与跟踪监管系统是针对猪肉的全过程追溯系统。系统在设计及实施过程中充分考虑到了当前国内的生猪养殖、屠宰、运输、销售等各个环节涉及到的企业的实际生产、运营状况。对于企业技术水平、生产流程、生产规范程度等差异的影响,该系统做了相当的准备工作。在保证追溯能够正常进行的情况下,该系统对于不同客观条件的适应性已经达到了一个较高的水平。
同时,系统还具备一整套科学的关键数据编码规则,在常规硬件设备的使用方面进行了突破和创新,解决了很多实际的问题。这些因素在追溯链的维护过程中将起到极为重要的作用。
三.软件系统架构
第1章.
整体系统主要分为五个部分—生猪生产质量安全追溯综合信息系统、养殖场信息管理系统、运输屠宰信息记录系统、分割加工及消费信息管理系统、质量安全查询追溯系统。简图如下:
1.1生猪生产质量安全追溯综合信息系统平台
此系统为以下四个环节系统的基础 平台,通过此部分系统可将以下的养殖场、运输屠宰监控、分割加工及消费、质量安全查询系统中产生的各种数据进行统一分析处理,相当于整套系统的中央处理器。
本系统担负着整套系统的静态基础数据、动态记录的存储与处理,统计报表、实时数据调整与查校等功能。中心的建立依赖于养殖场信息采集管理系统、屠宰厂信息追踪管理系统、超市及消费信息管理系统的成功建设,平台的工作要在一个相对较长的时间内进行逐步架构和完善。
1.2养殖场信息管理系统
养殖场子系统指的是整个追溯过程中在养殖场环节使用的信息管理系统。其主要功能是记录无抗生猪在养殖场中生长发育的过程信息,并将该信息提供给追溯系统的下一个环节。生猪生长批次信息、生猪个体信息、生猪防疫信息和生猪销售信息将成为养殖场子系统关注的重点。生猪个体将通过RFID电子耳标进行标识。而生猪个体信息的采集、更新等功能的实现将通过固定或移动式的读写机对电子耳标的识读来完成。每个电子耳标将唯一标识一头生猪,从而给生猪的个体追溯带来可能。
在养殖环节,系统通过RFID耳标记录生猪的个体信息(父母系、品种品系、出生日期、出栏日期)、用药记录、检疫信息、销售信息等,并将信息提供给追溯与安全监管平台,以供追溯、查验及监管。养殖信息的实时提交完成了养殖阶段的数据采集与信息跟踪、追溯,同时提供了饲养监管、用药监管所必需的数据信息。
1.3运输屠宰信息监控系统
无抗生猪出栏后,通过第三方承运公司将生猪运往协议屠宰厂进行屠宰,生猪屠宰是猪肉生产的第二个环节,该子系统的重要功能是维护整个追溯系统信息链的完整,使屠宰厂生产出库的白条肉信息能够与养殖场生猪个体信息保持正确的关联。保证个体生猪信息与其白条肉信息的正确对应是本系统成功的关键。
生猪被运达屠宰厂后,系统将通过识读每个生猪个体的电子耳标来确认生猪个体,并记录追溯相关的信息。系统还会监控整个生产过程中猪肉品质的安全性,对于检验检疫不合格的猪肉,系统会主动识别其对应的RFID电子标签,并发出警告信息,使有问题的猪肉在进入流通环节之前就被及时发现,避免出现亡羊补牢的情况。屠宰完毕后,对于每个白条肉,系统会利用电子标签来对其进行唯一的标识,并且这一标识与生猪屠宰前的个体标识—RFID电子耳标严格对应。
1.4分割加工及消费信息管理系统
协议销售方购入白条肉,并对其进行分割、包装、出售。对于每一份分割品,销售人员都要将电子耳环上的相应防伪码及条码赋予其包装上标识作用的的追溯码。此追溯码会同分割包装一起交到消费者手上。
1.5质量安全查询追溯系统
通过网上直接的查询功能,消费者可以根据自己购得的生鲜肉的追溯码进行查询,并能够直观地看到分割品的全部追溯信息,一旦发现问题,就可以进行问题根源追溯。同时,成熟的RFID技术,也可以进行分割品的标识。另外,质量安全追溯系统也可将相关企业介绍、无抗生猪肉科普知识等相关信息,为企业提供展示自己的平台,为消费者和企业建立起一个可以有效沟通的渠道。
第2章.系统网络拓扑
通过建立监管管理系统,实现生产、流通及消费等环节全过程检验检疫、抽检、信用准入等实时信息监管,为肉类安全监管提供有效的管理手段。
四.系统优势所在
第1章.系统特点
1)感应式数据采集,操作更简单,更便捷。管理各生猪信息时,只需将数据采集器在射频电子标签附近轻轻一晃,即可识读且调出个体的基础资料及特征资料; 获得的数据和信息不能破坏或修改;
2)系统使用由无源存储器的射频芯片组成的全封闭感应射频电子标签,具有全球唯一的ID码,经久耐用,不可篡改或复制;
3)射频电子标签耐热、抗冻、防水、防震、抗电磁波、防油烟,能在恶劣环境下正常工作;
4)无需布线,安装简易;
5)无接触式数据传输,从而无磨损;
6)系统能够提供与手持终端的数据通讯功能;
7)完整的软件配套,制定及修改复杂的多级管理系统变得非常简单、方便;
8)智能化的数据备份功能,保证数据的稳定不丢失,保持长久。
9)可与其他管理系统紧密衔接,构成业务系统的有机组成部分;
10)为网络版管理系统,可应用在局域网上。各种信息透明化、即时化,各层管理者可通过网络简单快捷查询到各种饲养信息。
11)对畜体进行智能跟踪管理,在发生疫情的第一时间可追踪到病源畜做到急时防控,追根溯源。把畜主的损失降低到最低点。
第2章.系统效益
该系统的应用使质量管理者对无抗生猪信息时时监测、清晰的管理,同时可对出现问题的生猪将按标识号码索查免疫档案,加强畜产品质量安全管理,不断提高无抗生猪产品质量。我国部分地区已经开始应用电子耳标追踪体系,作为加强畜产品质量安全管理的有效手段和国际通行的做法,在我国畜牧业中广泛推广信息可追踪体系对于提高我国畜产品的质量和国际竞争力将会起到重要作用。
一方面是产品质量的提高直接带来的经济效益。无抗生猪产品生产的全程跟踪和追溯可提高产品的附加值,“放心产品”每千克价格一般比普通产品高几元甚至一倍以上,基于畜体个体体况的精细化养殖提高了畜体本身的品质,尤其在出口方面,高品质的畜产品同普通产品相比,售价要高几十元。
另一方面是节省生产成本间接带来的经济效益。基于RFID的无抗生猪信息平台应用可以减少人手,节省人工工资;通过对畜体个体的监测和精细饲养可以节省饲料,降低生产成本;打破部门条块分割,实现信息共享,完善监控手段,减少隐性成本。
提高整个企业的信息化管理水平及素质。提高员工积极性,提高员工工作效率,强低不必要重复工作强度。
无抗生猪生产质量安全追溯系统的成功应用不仅可解决当前企业面临的实际问题,同时还可树立良好的社会效益,成为畜牧行业信息化的领头羊,从而提高企业影响力,提高客户认知度。
第3章.系统安全
3.1物理安全
内外网物理分离:网络接入建议采用内外网物理隔离方式,使内部局域网和外部互联网完全隔离,单独运行,部分上网用户可在固定机器上完成。
双机热备份:为使整个系统能够安全可靠的使用系统中的数据,对数据进行备份极其重要。数据备份系统应能保证在灾难发生时能快速可靠的进行数据恢复,减少管理和人员成本、提高效率,具有很好的伸缩性,能够在系统数据不断的更新中进行方便、高效、可靠的扩展。
数字加密锁:通过硬件加密锁和用户名密码双重认证,有效保障登录用户的合法认证。
系统间隔离:采用财务系统与应用系统充分隔离方式,数据交换通过接口方式实现,完全保证了财务关键数据和关键业务环节的数据安全;
3.2网络安全
网络防火墙:在数据库服务器和应用服务器上加装硬件防火设备,屏蔽各类入侵端口,有效预防网络病毒和黑客入侵等。在各不同安全域的出入口处安装防火墙,以控制各个网络用户之间的相互访问,规划网络的信息流向,并起到一定的用户隔离作用,一旦某一子网发生安全事故,避免波及其他子网。
防病毒系统:主要是防止病毒进出内部网络,在出现异常情况时能够报警,防止病毒对内部的重要信息和网络造成破坏,并定位感染的来源与类型。
3.3系统安全
操作系统安全设置、域安全策略:
信息安全级别设置、角色定义: 对系统中的各类信息进行分角色和级别的权限设定;
防止信息被未授权的人篡改,保证真实的信息从真实的信源无失真的到达真实的信宿,对信息及信息系统实施安全的监控管理
3.4应用安全
统一用户管理系统将针对组织部门内部所有工作人员,实现各个应用系统统一的授权管理和在线验权,确保适当的人员享受相应的权限,杜绝越权操作。
人员安全级别设置,权限定义:对操作用户进行不同角色的定义和权限设置;
操作监控及安全日志:系统自动记录登录服务器的用户名、IP地址、时间和所作修改等详细记录;
3.5管理安全
配合一定的管理制度和监督机制,对数据库、机房及服务器进行制度化、规范化管理,提高对系统维护和机房管理的安全性。
安全管理制度包括: 机房管理制度、人员管理制度、技术管理制度、安全评估制度、安全服务管理制度、信息发布与交换管理制度等。
配备专门安全管理人员、操作人员,做到分工明确,责任到人,加强人员教育和培训,形成一支高度自觉、遵纪守法的安全技术人员队伍。
建立应急响应服务技术队伍,对应急情况进行支援,包括病毒防护、网络防护、重大任务、突发情况下的支援等。
五.系统功能设计
精诚软件公司通过与农科院相关人员细致的调研,凭借卓越的技术能力以及有说服力的成功案例,提出了RFID肉类食品安全业务管理系统整体解决方案,可有效解决肉类食品当前面临的问题,加强质量管控现状,整体系统分为十大模块,即:系统管理、基础信息、养殖管理、运输管理、屠宰管理、分割加工管理、销售管理、预警管理、网上查询管理。统计分析与决策支持。
第1章.系统管理
1.1期初数据导入
在系统初始化时可将原有业务系统或者电子报表的相关数据直接导入到本系统;
①可导入各种数据库的数据。
②可导入各种TXT、XLS等文本数据
1.2数据备份恢复
对系统数据库的定期备份和存储;
①可备份整个数据库到不同的储存媒体。
②可定时执行数据库的备份工作。
③可仅针对某一时段变动的数据作备份。
1.3公告管理
将企业实时发生的各种数据及报表在公告牌上发布,可让不同岗位的人员及时了解到经营信息
通过企业公告板和通知,及时公布企业最新动态,对新的经营任务或执行情况都可在第一时间公布;
1.4人事及用户管理
根据企业实际结构建立企业营销组织机构,各个职能部门和分公司相关人员信息档案,实现穿透的组织管理;
①支持树状结构的无限级别分支,互相嵌套;
②通过人员编号、姓名等属性可自动生成工艺条码;
③支持人员工资级别和工资项目定义等,可根据一定的工资算法、工资 级别和工资表格式,从数据库中查找销售业绩和记件数量,通过算法中的提成比例核算公司员工工资。;
对使用本系统的所有人员进行用户定义,可将集团公司操作人员和相关管理人员在系统中建立相应的用名名,以便日后分配不同的操作权限
1.5部门、用户权限设定
对网络操作用户操作权限的设定:
①分类多重、矩阵式三维权限管理方式,多级权限控制,操作权限设置。
②功能级、业务级、范围级的权限控制,提供敏感保护。
③权限复制及互换, 将新程序的权限批次创建到多用户或用户组。
④独有的用户组及功能交互式权限设定方式;
1.6期初数据
在使用系统前进行期初数据录入,包括库存期初、银行期初、应收期初、应付期初、借欠款期初等等,部分数据可通过数据接口从K/3中导入
期初数据的正确建立可避免用户切换系统后不必要的数据或费用管理混乱现象,增强了新系统数据的准确性
1.7公司、部门数据
公司总部可对各分部、分公司及各个部门数据进行定义,并对分支进行业务规范,便于日后实现公司的集团化管理
1.8开账、重建
各类基础数据正确建立后,则需进行系统开账,开账后系统才可发生账务关系;
系统数据需更新或重新建立时可以使用系统重建功能,此功能是将各类账务信息清零,也可选择清除部分基础数据,系统重建后数据不可恢复,请慎用或做好数据备份。
1.9系统操作日志
对系统登录用户和所作操作的日志记录;
①针对当前作业数据库的各表格统计笔数。
②提供历史数据库,与当前作业的数据库共用一套程序。
③可控制所有操作员以其它程序或工具读取数据库的内容。
第2章.基础信息
2.1养殖场、猪舍信息
将公司下设或者相关合作单位的养殖场及猪舍信息进行详细登记,信息中可记录其具体信息,如:养殖场规模、位置、所属单、年限、负责人、出栏量、环境等参数。
2.2畜体、品种信息
将公司所有养殖场的所有生猪或者其它畜体信息进行登记,主要包括畜体品种、代码、生长情况、发病记录、免疫记录、预计出栏时间等。
2.3饲料信息
将饲料信息进行登记,包括饲料生产厂家、经销商、保质期、成份等信息。
2.4防疫、免疫信息
将不同品种或者类别的生猪的防疫和免疫标准进行登记,便于日后系统自动提出预警,如A43号猪本周需进行常规防疫,这样以来可为养殖场工作人员大大降低工作强调,提高工作效率。
2.5疾病、反常症状信息
将经常发生的疾病及反常症状进行登记,可具体包括病症类型、、危害程、应对办法等。
2.6兽药信息
将所用到的所有兽药进行登记,具体包括生产厂商、经销商、兽药类别、应对症状、有效期等等。
2.7运输信息
将运输方式、承运单位等进行记录,如日后运输过程中出现问题可方便追溯明确责任。为企业降低不必要损失。
2.8供应商、客户信息
供应商主要指种猪、饲料、兽药等的提供商;这里客户信息主要指从我公司采购的各超市及肉类加工企业。
2.9RFID条码信息
RFID条码信息是将以上所有基础信息及发生的所有业务信息进行记录,通过此模块将实现系统与RFID硬件的联动工作。
第3章.养殖管理监控
3.1饲养管理
对生猪的日常饲养、喂食及喂食量、饮水量进行合理规划,实现科学化饲养。养殖场人员需将实际饲养情况定期上传至养殖管理系统上,以便达到实时监控、及时管理的高水平管理。
3.2消毒管理
对养殖场和猪舍进行按规定消毒作业,将将消费结果登记于系统中。
3.3防疫管理
根据基础信息中所定义的规定,按时对每头猪进行防疫,避免人为遗忘造成的不必要安全问题。
3.4疾病监控
如生猪出现发病情况时要及时进行治疗,治疗后如恢复不到正常质量标准时则需另行处理,如无质量问题则需对此次发病进行记录,方便日后企业总结并查找发病原因,提高生猪质量。降低由此产生的经济及信誉损失。
3.5出栏管理
系统根据前期饲养及其它数据可自动提示相关人员近期需出栏猪的代号及日期。出栏前为保证质量质检人员需进行出栏前质量检测,确认无质量问题时方可进行了栏处理。
3.6生长监控管理
通过以上各个环节的数据采集及分析,系统可自动实现每头生猪的生长监控,在出现异常时系统将通过预警模块进行相应提示。便于
3.7档案管理
根据以上数据的录入、上传,系统自动一一对应形成畜体档案,便于管理人员即用即调。方便日后档案整理及统计工作。
第4章.屠宰管理
4.1生猪运输
出栏后的生猪通过承运单位运往屠宰加工厂。如运输时间较长则需进行喂食
4.2宰前初检
生猪运往屠宰厂后,厂方首先对生猪质量进行初检,如有问题则直接退回至养殖场,如无问题则安排宰杀加工。
4.3生猪屠宰
检疫完毕后进行屠宰,形成白条肉后,屠宰厂通过专业设备将白条肉分为不同的等级,一般为A,B,C,D四个级别。
第5章.分割包装管理
5.1复检管理
从屠宰厂运回的白条肉,销售商首先对其进行肉质检疫,检疫通过后则进行白条肉的分割和加工。
5.2分割管理
将白条肉按照部位或者形状,或根据客户定单要求进行分割。分割时相关人员需将电子耳标的条码信息记录并标记于分割开的所有分割块上。
5.3加工管理
基本同分割管理。
5.4包装
分割加工后相关人员进行包装,如可以条码也可在此环节进行粘贴。一切工作完成后进入待销售区。
第6章.销售管理
6.1出售管理
对分割加工好的肉块及肉制品进行销售。销售人员需检查包装上的条码信息是否完好,如有损坏则需重新粘贴规制标签。
6.2保质管理
相关人员可根据实际保质情况设置系统保质期预警,预警最好设置为提前一天或者两天,这样便于销售人员应急处理,防止过质带来不必要经济损失。具体预警提示可酌情进行设置。
6.3销售退货
如出现质量或者由于其它原因需退货时使用此模块,退货时必须标注退货原因,如是质量问题则需进一步确认,确认质量问题后则进行质量追溯,落实责任承担者。
6.4出售追溯
对于大型集团客房,系统也可将客户信息进行关联,便于日后的贡献力统计及销售追溯。
第7章.预警管理
7.1安全预警
对于各种违规现象进行预警,如广告环境安全预警、饲料添加剂安全预警、违禁药品预警等等。
7.2保质预警
根据无抗猪肉制品的实际保质期设置系统预警期,一般建议提前三天左右,这样便于相应部门及人员做应急销售。
7.3出栏反常预警
如某个养殖场一段时间内出栏率过低或者过高,系统则根据预警设置参数进行提示,相应人员得到提示后即可了解情况查明原因。
7.4销售反常预警
如出现某一段时间销售量过低时系统则自动进行警示,销售人员或者相应部门得到提示后,即可调查分析销售反常原因,从而出台新政策应对此种现象,如是大环境原因,则可酌情合理安排出栏、屠宰及加工,避免出现大量积压现象。
7.5预警参数设置
对各类需预警项目进行参数设置,设置完毕后,系统则依此为依据进行相应预警提示。此功能可自定义设置并修改,为部门主管或者相关领导的权限范围。
第8章.信息查询管理
8.1基础信息查询
对各类基础信息进行自定义、按条件、分类查询,为操作人员提高数据查找效率,并避免手工重复性查询作业,降低工作人员劳动强度。
8.2养殖查询
对养殖场及养殖环节发生的各种项目及数据进行查询,主要包括:
标准及法规查询
档案查询
出栏查询
饲料查询
免疫查询
疾病查询
曾药查询 。。。。。。
8.3运输屠宰查询
对运输环节、屠宰环节发生的项目及数据进行查询。主要包括:
承运查询
初检数据查询
屠宰查询
肉类级别查询 。。。。。。
8.4分割加工查询
对分割加工环节发生的项目及数据进行查询,主要包括:
复检查询
分割信息查询
加工信息查询
RFID电子耳环数据查询
包装及条码信息查询 。。。。。。
8.5销售查询
在肉品出售环节产生的各类数据的查询。包括:
出售量查询
出售记录查询
销售档案查询
成品库存查询 。。。。。。
8.6消费者综合信息查询平台
消费者在购买无抗肉或相关制品后可通过登陆无抗系统门户网站,将包装上粘贴标签上的条形码及防伪码输入指定查询框内即可查验是否为仿冒产品,并有同时可详细看到所购肉制品的一系列相应信息,从养殖到屠宰加工及包装等环节一目了解,包括所属生猪在养殖时使用的饲料、药品及防疫免疫等等信息。同时可看到生猪的具体养殖场信息、屠宰厂信息、运输商信息、经销商信息,使消费者真正了解无抗肉的整体来源,真正实现“放心无抗肉”的食用。
此平台的成功建立同时可为企业与消费者之间搭建一个实时交流与监督的效果,从而体现企业信誉及服务,使企业与消费者真正达成一种合作伙伴的关系,实现无抗肉产品的口碑化品牌效应。
求答案!!急急急!什么是黑客?黑客攻击一般采用的过程是什么?试论述如何预防和保护免受黑客的攻击与破坏
黑客一词,源于英文Hacker,原指热心于计算机技术,水平高超的电脑专家,尤其是程序设计人员。美国大片《黑(骇)客帝国》的热映,使得黑客文化得到了广泛的传播,也许很多人会觉得黑客一词是用来形容那些专门利用电脑搞破坏或恶作剧的家伙,而对这些人的正确英文叫法是Cracker,有人翻译成“骇客”。不管是叫黑客还是骇客,他们根本的区别是:黑客们建设、维护,而骇客们入侵、破坏。
目前造成网络不安全的主要因素是系统、协议及数据库等的设计上存在缺陷。由于当今的计算机网络操作系统在本身结构设计和代码设计时偏重考虑系统使用时的方便性,导致了系统在远程访问、权限控制和口令管理等许多方面存在安全漏洞。
网络互连一般采用TCP/IP协议,它是一个工业标准的协议簇,但该协议簇在制订之初,对安全问题考虑不多,协议中有很多的安全漏洞。同样,数据库管理系统(DBMS)也存在数据的安全性、权限管理及远程访问等方面问题,在DBMS或应用程序中可以预先安置从事情报收集、受控激发、定时发作等破坏程序。
由此可见,针对系统、网络协议及数据库等,无论是其自身的设计缺陷,还是由于人为的因素产生的各种安全漏洞,都可能被一些另有图谋的黑客所利用并发起攻击。因此若要保证网络安全、可靠,则必须熟知黑客网络攻击的一般过程。只有这样方可在黒客攻击前做好必要的防备,从而确保网络运行的安全和可靠。
一、黑客攻击网络的一般过程
1、信息的收集
信息的收集并不对目标产生危害,只是为进一步的入侵提供有用信息。黑客可能会利用下列的公开协议或工具,收集驻留在网络系统中的各个主机系统的相关信息:
(1)TraceRoute程序 能够用该程序获得到达目标主机所要经过的网络数和路由器数。
(2)SNMP协议 用来查阅网络系统路由器的路由表,从而了解目标主机所在网络的拓扑结构及其内部细节。
(3)DNS服务器 该服务器提供了系统中可以访问的主机IP地址表和它们所对应的主机名。
(4)Whois协议 该协议的服务信息能提供所有有关的DNS域和相关的管理参数。
(5)Ping实用程序 可以用来确定一个指定的主机的位置或网线是否连通。
2、系统安全弱点的探测
在收集到一些准备要攻击目标的信息后,黑客们会探测目标网络上的每台主机,来寻求系统内部的安全漏洞,主要探测的方式如下:
(1)自编程序 对某些系统,互联网上已发布了其安全漏洞所在,但用户由于不懂或一时疏忽未打上网上发布的该系统的“补丁”程序,那么黒客就可以自己编写一段程序进入到该系统进行破坏。
(2)慢速扫描 由于一般扫描侦测器的实现是通过监视某个时间段里一台特定主机发起的连接的数目来决定是否在被扫描,这样黑客可以通过使用扫描速度慢一些的扫描软件进行扫描。
(3)体系结构探测 黑客利用一些特殊的数据包传送给目标主机,使其作出相对应的响应。由于每种操作系统的响应时间和方式都是不一样的,黒客利用这种特征把得到的结果与准备好的数据库中的资料相对照,从中便可轻而易举地判断出目标主机操作系统所用的版本及其他相关信息。
二、协议欺骗攻击及其防范措施
1、源IP地址欺骗攻击
许多应用程序认为若数据包可以使其自身沿着路由到达目的地,并且应答包也可回到源地,那么源IP地址一定是有效的,而这正是使源IP地址欺骗攻击成为可能的一个重要前提。
假设同一网段内有两台主机A和B,另一网段内有主机X。B 授予A某些特权。X 为获得与A相同的特权,所做欺骗攻击如下:首先,X冒充A,向主机 B发送一个带有随机序列号的SYN包。主机B响应,回送一个应答包给A,该应答号等于原序列号加1。
然而,此时主机A已被主机X利用拒绝服务攻击 “淹没”了,导致主机A服务失效。结果,主机A将B发来的包丢弃。为了完成三次握手,X还需要向B回送一个应答包,其应答号等于B向A发送数据包的序列号加1。此时主机X 并不能检测到主机B的数据包(因为不在同一网段),只有利用TCP顺序号估算法来预测应答包的顺序号并将其发送给目标机B。如果猜测正确,B则认为收到的ACK是来自内部主机A。此时,X即获得了主机A在主机B上所享有的特权,并开始对这些服务实施攻击。
要防止源IP地址欺骗行为,可以采取以下措施来尽可能地保护系统免受这类攻击:
(1)抛弃基于地址的信任策略 阻止这类攻击的一种十分容易的办法就是放弃以地址为基础的验证。不允许r类远程调用命令的使用;删除.rhosts 文件;清空/etc/hosts.equiv 文件。这将迫使所有用户使用其它远程通信手段,如telnet、ssh、skey等等。
(2)使用加密方法 在包发送到 网络上之前,我们可以对它进行加密。虽然加密过程要求适当改变目前的网络环境,但它将保证数据的完整性、真实性和保密性。
(3)进行包过滤 可以配置路由器使其能够拒绝网络外部与本网内具有相同IP地址的连接请求。而且,当包的IP地址不在本网内时,路由器不应该把本网主机的包发送出去。有一点要注意,路由器虽然可以封锁试图到达内部网络的特定类型的包。但它们也是通过分析测试源地址来实现操作的。因此,它们仅能对声称是来自于内部网络的外来包进行过滤,若你的网络存在外部可信任主机,那么路由器将无法防止别人冒充这些主机进行IP欺骗。
2、源路由欺骗攻击
在通常情况下,信息包从起点到终点所走的路是由位于此两点间的路由器决定的,数据包本身只知道去往何处,而不知道该如何去。源路由可使信息包的发送者将此数据包要经过的路径写在数据包里,使数据包循着一个对方不可预料的路径到达目的主机。下面仍以上述源IP欺骗中的例子给出这种攻击的形式:
主机A享有主机B的某些特权,主机X想冒充主机A从主机B(假设IP为aaa.bbb.ccc.ddd)获得某些服务。首先,攻击者修改距离X最近的路由器,使得到达此路由器且包含目的地址aaa.bbb.ccc.ddd的数据包以主机X所在的网络为目的地;然后,攻击者X利用IP欺骗向主机B发送源路由(指定最近的路由器)数据包。当B回送数据包时,就传送到被更改过的路由器。这就使一个入侵者可以假冒一个主机的名义通过一个特殊的路径来获得某些被保护数据。
为了防范源路由欺骗攻击,一般采用下面两种措施:
· 对付这种攻击最好的办法是配置好路由器,使它抛弃那些由外部网进来的却声称是内部主机的报文。
· 在路由器上关闭源路由。用命令no ip source-route。
三、拒绝服务攻击及预防措施
在拒绝服务攻击中,攻击者加载过多的服务将对方资源全部使用,使得没有多余资源供其他用户无法使用。SYN Flood攻击是典型的拒绝服务攻击。
SYN Flood常常是源IP地址欺骗攻击的前奏,又称半开式连接攻击,每当我们进行一次标准的TCP连接就会有一个三次握手的过程,而SYN Flood在它的实现过程中只有三次握手的前两个步骤,当服务方收到请求方的SYN并回送SYN-ACK确认报文后,请求方由于采用源地址欺骗等手段,致使服务方得不到ACK回应,这样,服务方会在一定时间内处于等待接收请求方ACK报文的状态,一台服务器可用的TCP连接是有限的,如果恶意攻击方快速连续的发送此类连接请求,则服务器的系统可用资源、网络可用带宽急剧下降,将无法向其它用户提供正常的网络服务。
为了防止拒绝服务攻击,我们可以采取以下的预防措施:
(1) 建议在该网段的路由器上做些配置的调整,这些调整包括限制Syn半开数据包的流量和个数。
(2)要防止SYN数据段攻击,我们应对系统设定相应的内核参数,使得系统强制对超时的Syn请求连接数据包复位,同时通过缩短超时常数和加长等候队列使得系统能迅速处理无效的Syn请求数据包。
(3)建议在路由器的前端做必要的TCP拦截,使得只有完成TCP三次握手过程的数据包才可进入该网段,这样可以有效地保护本网段内的服务器不受此类攻击。
(4)对于信息淹没攻击,我们应关掉可能产生无限序列的服务来防止这种攻击。比如我们可以在服务器端拒绝所有的ICMP包,或者在该网段路由器上对ICMP包进行带宽方面的限制,控制其在一定的范围内。
总之,要彻底杜绝拒绝服务攻击,最好的办法是惟有追根溯源去找到正在进行攻击的机器和攻击者。 要追踪攻击者可不是一件容易的事情,一旦其停止了攻击行为,很难将其发现。惟一可行的方法是在其进行攻击的时候,根据路由器的信息和攻击数据包的特征,采用逐级回溯的方法来查找其攻击源头。这时需要各级部门的协同配合方可有效果。
四、其他网络攻击行为的防范措施
协议攻击和拒绝服务攻击是黑客惯于使用的攻击方法,但随着网络技术的飞速发展,攻击行为千变万化,新技术层出不穷。下面将阐述一下网络嗅探及缓冲区溢出的攻击原理及防范措施。
1、针对网络嗅探的防范措施
网络嗅探就是使网络接口接收不属于本主机的数据。计算机网络通常建立在共享信道上,以太网就是这样一个共享信道的网络,其数据报头包含目的主机的硬件地址,只有硬件地址匹配的机器才会接收该数据包。一个能接收所有数据包的机器被称为杂错节点。通常账户和口令等信息都以明文的形式在以太网上传输,一旦被黑客在杂错节点上嗅探到,用户就可能会遭到损害。
对于网络嗅探攻击,我们可以采取以下措施进行防范:
(1)网络分段 一个网络段包括一组共享低层设备和线路的机器,如交换机,动态集线器和网桥等设备,可以对数据流进行限制,从而达到防止嗅探的目的。
(2)加密 一方面可以对数据流中的部分重要信息进行加密,另一方面也可只对应用层加密,然而后者将使大部分与网络和操作系统有关的敏感信息失去保护。选择何种加密方式这就取决于信息的安全级别及网络的安全程度。
(3)一次性口令技术 口令并不在网络上传输而是在两端进行字符串匹配,客户端利用从服务器上得到的Challenge和自身的口令计算出一个新字符串并将之返回给服务器。在服务器上利用比较算法进行匹配,如果匹配,连接就允许建立,所有的Challenge和字符串都只使用一次。
(4)禁用杂错节点 安装不支持杂错的网卡,通常可以防止IBM兼容机进行嗅探。
2、缓冲区溢出攻击及其防范措施
缓冲区溢出攻击是属于系统攻击的手段,通过往程序的缓冲区写超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,使程序转而执行其它指令,以达到攻击的目的。当然,随便往缓冲区中填东西并不能达到攻击的目的。最常见的手段是通过制造缓冲区溢出使程序运行一个用户shell,再通过shell执行其它命令。如果该程序具有root权限的话,攻击者就可以对系统进行任意操作了。
缓冲区溢出对网络系统带来了巨大的危害,要有效地防止这种攻击,应该做到以下几点:
(1)程序指针完整性检查 在程序指针被引用之前检测它是否改变。即便一个攻击者成功地改变了程序的指针,由于系统事先检测到了指针的改变,因此这个指针将不会被使用。
(2)堆栈的保护 这是一种提供程序指针完整性检查的编译器技术,通过检查函数活动记录中的返回地址来实现。在堆栈中函数返回地址后面加了一些附加的字节,而在函数返回时,首先检查这个附加的字节是否被改动过。如果发生过缓冲区溢出的攻击,那么这种攻击很容易在函数返回前被检测到。但是,如果攻击者预见到这些附加字节的存在,并且能在溢出过程中同样地制造他们,那么他就能成功地跳过堆栈保护的检测。
(3)数组边界检查 所有的对数组的读写操作都应当被检查以确保对数组的操作在正确的范围内进行。最直接的方法是检查所有的数组操作,通常可以采用一些优化技术来减少检查次数。目前主要有这几种检查方法:Compaq C编译器、Jones Kelly C数组边界检查、Purify存储器存取检查等。
未来的竞争是信息竞争,而网络信息是竞争的重要组成部分。其实质是人与人的对抗,它具体体现在安全策略与攻击策略的交锋上。为了不断增强信息系统的安全防御能力,必须充分理解系统内核及网络协议的实现,真正做到洞察对方网络系统的“细枝末节”,同时应该熟知针对各种攻击手段的预防措施,只有这样才能尽最大可能保证网络的安全。
(4)利用公开的工具软件 像审计网络用的安全分析工具SATAN、Internet的电子安全扫描程序IIS等一些工具对整个网络或子网进行扫描,寻找安全方面的漏洞。
3、建立模拟环境,进行模拟攻击
根据前面两小点所得的信息,建立一个类似攻击对象的模拟环境,然后对此模拟目标进行一系列的攻击。在此期间,通过检查被攻击方的日志,观察检测工具对攻击的反应,可以进一步了解在攻击过程中留下的“痕迹”及被攻击方的状态,以此来制定一个较为周密的攻击策略。
4、具体实施网络攻击
入侵者根据前几步所获得的信息,同时结合自身的水平及经验总结出相应的攻击方法,在进行模拟攻击的实践后,将等待时机,以备实施真正的网络攻击。
·关于黑客
黑客(hacker),源于英语动词hack,意为“劈,砍”,引申为“干了一件非常漂亮的工作”。在早期麻省理工学院的校园俚语中,“黑客”则有“恶作剧”之意,尤指手法巧妙、技术高明的恶作剧。在日本《新黑客词典》中,对黑客的定义是“喜欢探索软件程序奥秘,并从中增长了其个瞬鸥傻娜恕?/P
他们不象绝大多数电脑使用者那样,只规规矩矩地了解别人指定了解的狭小部分知识。”由这些定义中,我们还看不出太贬义的意味。他们通常具有硬件和软件的高级知识,并有能力通过创新的方法剖析系统。“黑客”能使更多的网络趋于完善和安全,他们以保护网络为目的,而以不正当侵入为手段找出网络漏洞。
另一种入侵者是那些利用网络漏洞破坏网络的人。他们往往做一些重复的工作(如用暴力法破解口令),他们也具备广泛的电脑知识,但与黑客不同的是他们以破坏为目的。这些群体成为“骇客”。当然还有一种人兼于黑客与入侵者之间。
一般认为,黑客起源于50年代麻省理工学院的实验室中,他们精力充沛,热衷于解决难题。60、70年代,“黑客”一词极富褒义,用于指代那些独立思考、奉公守法的计算机迷,他们智力超群,对电脑全身心投入,从事黑客活动意味着对计算机的最大潜力进行智力上的自由探索,为电脑技术的发展做出了巨大贡献。正是这些黑客,倡导了一场个人计算机革命,倡导了现行的计算机开放式体系结构,打破了以往计算机技术只掌握在少数人手里的局面,开了个人计算机的先河,提出了“计算机为人民所用”的观点,他们是电脑发展史上的英雄。现在黑客使用的侵入计算机系统的基本技巧,例如破解口令(password cracking),开天窗(trapdoor),走后门(backdoor),安放特洛伊木马(Trojan horse)等,都是在这一时期发明的。从事黑客活动的经历,成为后来许多计算机业巨子简历上不可或缺的一部分。例如,苹果公司创始人之一乔布斯就是一个典型的例子。
在60年代,计算机的使用还远未普及,还没有多少存储重要信息的数据库,也谈不上黑客对数据的非法拷贝等问题。到了80、90年代,计算机越来越重要,大型数据库也越来越多,同时,信息越来越集中在少数人的手里。这样一场新时期的“圈地运动”引起了黑客们的极大反感。黑客认为,信息应共享而不应被少数人所垄断,于是将注意力转移到涉及各种机密的信息数据库上。而这时,电脑化空间已私有化,成为个人拥有的财产,社会不能再对黑客行为放任不管,而必须采取行动,利用法律等手段来进行控制。黑客活动受到了空前的打击。
但是,政府和公司的管理者现在越来越多地要求黑客传授给他们有关电脑安全的知识。许多公司和政府机构已经邀请黑客为他们检验系统的安全性,甚至还请他们设计新的保安规程。在两名黑客连续发现网景公司设计的信用卡购物程序的缺陷并向商界发出公告之后,网景修正了缺陷并宣布举办名为“网景缺陷大奖赛”的竞赛,那些发现和找到该公司产品中安全漏洞的黑客可获1000美元奖金。无疑黑客正在对电脑防护技术的发展作出贡献。
缓冲区溢出使程序运行一个用户shell,再通过shell执行其它命令。如果该程序具有root权限的话,攻击者就可以对系统进行任意操作了。缓冲区溢出对系统带来了巨大的危害,要有效地防止这种攻击,应该做到以下几点:·程序指针完整性检查:在程序指针被引用之前检测它是否改变。即便一个