- 快捷搜索
- 全站搜索
1.拒绝服务攻击
拒绝服务攻击指攻击者想办法让目标服务器停止提供服务甚至主机死机。如攻击者频繁地向服务器发起访问请求,造成网络带宽的消耗或者应用服务器的缓冲区满溢:该攻击使得服务器无法接收新的服务请求,其中包括了合法客户端的访问请求。例如。一个黑客劫持了Web服务器,使其应用服务停止运行,导致服务器不能提供Web服务。在云计算中,黑客对服务器开展拒绝服务攻击时,会发起成千上万次的访问请求到服务器,导致服务器无法正常工作。无法响应客户端的合法访问请求。针对这种攻击,可以采用的应对策略是减少连接到服务器的用户的权限,这将有助于降低拒绝服务攻击的影响。
2.中间人攻击
中间人攻击是另一种网络攻击手段。攻击者通过拦截正常的网络通信数据。并进行数据篡改和嗅探,而通信的双方却毫不知情。在网络通信中,如果安全套接字层(SSL)没有正确配置,那么这个风险问题就有可能发生。例如,如果通信双方正在进行信息交互,而SSL没有正确地安装,那么所有双方之间的数据通信,都有可能被黑客侵入获取。针对这种攻击手段,可以采用的应对措施是正确地安装配置SSL。而且使用通信前应由第三方权威机构对SSL的安装配置进行检查确认。
3.网络嗅探
网络嗅探原先是网络管理员用来查找网络漏洞和检测网络性能的一种工具,但是到了黑客手中,它变成了一种网络攻击手段,造成了一个更为严峻的网络安全问题。例如,在通信过程中,由于数据密码设置过于简单或未设置,导致被黑客破解,那么未加密的数据便被黑客通过网络攻击获取。如果通信双方没有使用加密技术来保护数据安全性。那么攻击者作为第三方便可以在通信双方的数据传输过程中窃取到数据信息。针对这种攻击手段,可以采用的应对策略是通信各方使用加密技术及方法,确保数据在传输过程中安全。
4.端口扫描
端口扫描也是一种常见的网络攻击方法,攻击者通过向目标服务器发送一组端口扫描消息。并从返回的消息结果中探寻攻击的弱点。应用服务器总是开放着各类端口应
用,例如80端口(HTTP)是为了给用户提供Web应用服务,再如21端口(FTP)是为了给用户提供n甲应用服务的。这些端口总是一直处于打开状态,应该在需要的时候打开。并且应该对端口进行加密。针对此类攻击,可以启用防火墙来保护数据信息免遭端口攻击。
5.SQL注入攻击
SQL注入是一种安全漏洞,利用这个安全漏洞,攻击者可以向网络表格输入框中添加SQL代码以获得访问权。在这种攻击中。攻击者可以操纵基于Web界面的网站,迫使数据库执行不良SQL代码,获取用户数据信息。针对这种攻击。应定期使用安全扫描工具对服务器的Web应用进行渗透扫描,这样可以提前发现服务器上的SQL注入漏洞,并进行加固处理;另外,针对数据库SQL注入攻击,应尽量避免使用单引号标识,同时限制那些执行Web应用程序代码的账户权限,减少或消除调试信息。
6.跨站脚本攻击
跨站脚本攻击指攻击者利用网站漏洞恶意盗取用户信息。用户在浏览网站内容时,一般会点击网站中的链接,攻击者在链接中植入恶意代码,用户点击该链接就会执行
该恶意代码,将用户重定向到一个攻击者定制好的页面中,并盗取用户cookie等敏感数据。跨站点脚本攻击可以提供缓冲溢出、DoS攻击和恶意软件植入Web浏览器等方式来盗取用户信息。对付此类攻击,最主要的应对策略是编写安全的代码,避免恶意数据被浏览器解析;另外,可以在客户端进行防御,如把安全级别设高,只允许信任的站点运行脚本、Java、flash等小程序。
跨站脚本攻击示意如图2所示。
图2 跨站脚本攻击示意
在银行业信息化新阶段,信息技术风险也自然成为金融机构操作风险的重要方面
华融湘江银行致力于服务地方经济、中小企业、广大客户,全力打造成为客户信