1、系统集成的行业应用,系统集成的行业应用,zhangshaojun,系统集成与安全,1、黑客常用的入侵方式(1)、使用“TCPIP协议顺序号预测”入侵 互联网上的计算机把目标IP地址和一个唯一的顺序号加载到要传输的每一个数据包上。在一次TCP连接中,信宿站点(目的主机)只能接收到具有正确IP地址和顺序号的数据包。 “黑客”常常使用TCPIP顺序号预测攻击方法来侵入用户系统,这种攻击分两步进行。第一步:得到服务器的IP地址。黑客多使用网络报文嗅探顺序测试号码,由web浏览器连接到结点上并在状态栏中寻找结点的IP地址。这里的网络报文指网络数据通信中实用的规范化的数据块单元。黑客使用”嗅探器”技术,截
2、获处理没有加密的网络报文,分析得到用户信息。第二步:黑客在得到一些初步的信息后,然后监视网络传送包的序列号,再推测服务器能产生的下一个序列号。黑客在已知服务器的IP地址后,同时还能产生有正确IP地址和顺序码的数据包,这样就可以截获用户传递的数据包了。当黑客通过顺序号预测取得系统访问权之后,就可以访问用户系统传送给服务器的任何数据信息,包括密钥文件、日志名等。,(2)、TCP协议劫持入侵,TCP劫持入侵(主动嗅探)对于Intemet上服务器的威胁最大。在TCP劫持 入侵中,黑客强制性地要求网络接受其IP地址为一个可信地址来获得对系统的访问权,其基本思想是,黑客控制了一台连接于入侵目标网络的计算机
3、,然后从网上断开以让网络服务器误以为黑客是实际的客户机,黑客通过这种方式侵入用户系统。,(3)、嗅探入侵,要开始一个嗅探入侵,黑客要拥有用户IP地址和合法用户系统的系统进入口令,在此基础之上,黑客嗅探传送的数据包在传送过程中尽可能多地获取网络中用户的资料,最后到到侵入用户系统的目的。,2、黑客常用的攻击手段,黑客常用下面介绍的一些方法来对用户系统进行攻击。,(1)、获取口令,获取口令的方式主要有三种. (1)、使用缺省的登录界面攻击法。在被攻击主机上启动一个可执行程序,该程序显示一个伪造的登录界面。当用户在这个伪装的界面上键入登录信息(用户名、密码等)后,程序将用户输入的信息传送到攻击者主机,
4、然后关闭界面给出提示信息“系统故障”,要求用户重新登录。此后,才会出现真正的登录界面。 (2)、通过网络监听非法得到用户口令,这类方法有一定的局限性,但危害性极大,监听者往往能够获得其所在网段的所有用户账号和口令,对局域网的安全威胁很大。 (3)、已知帐号进一步破解法 在知道用户账号(如电子邮件“”前面的部分)利用一些专门软件强行破解用户口令。对那些口令安全系数很低的用户(如某用户账号为出wangjun,其口令设置为:wangjunl23、junwang,或者123456等),黑客用较简单的联想试探很短时间就能破解系统登录口令。,(2)、电子邮件攻击,电子邮件攻击一般指:采用电子邮件炸弹(Em
5、ail Bomb),用软件批量产生的垃圾邮件来进行攻击的手段。黑客用伪造的IP地址和电子邮件地址向被攻击对象的信箱发送数大量的恶意邮件,瘫痪其邮箱。,(3)、木马攻击,黑客最常用的就是“木马”。它通过在你的电脑系统隐藏一个会在Windows启动时运行的程序,采用服务器、客户机的运行方式,从而达到在上网时控制用户电脑的目的。黑客利用它窃取用户的口令、随心所欲地调用被攻击用户的系统资源、机密文件和仅为用户所有的信息资源。黑客还可以方便地修改用户的文件:登录注册表等等。黑客可以通过多种渠道向用户系统植入木马程序,如采用网页挂马方式等。,(4)、诱入法,黑客编写一些看起来有某种实用性但实际上内藏有木马
6、程序的应用程序上传到一些FTP服务器或一些网站,诱导用户下载。当用户下载改软件时,黑客的木马程序一起下载到用户的机器上。该木马程序会跟踪用户的电脑操作,记录着用户输入的每个口令,然后把它们发送给黑客指定的信箱。,(5)、寻找系统漏洞,计算机系统和网络系统本身都有这样那样的安全漏洞,其中一部分是操作系统或应用软件本身具有的,这些漏洞在补丁未被开发出来之前一般很难防御黑客的破坏,所以要及时下载新的补丁程序,及时堵塞那些会导致攻击系统的漏洞。系统一般为测试的目的还人为地留有一些“后门”。当测试完毕后,这些后门不一定全部予以关闭,这样也对系统以后的安全带来隐患。一些别有用心的人和黑客会利用专门的扫描工
7、具发现并利用这些后门,进入系统并发动攻击。,3、黑客攻击的步骤,黑客攻击有一定的规律性:步骤1:隐藏攻击者自身的位置攻击者一般会隐藏所使用的电脑主机所具有的真实IP地址。然后再盗用他人的账号上网。步骤2:寻找目标并分析目标主机黑客首先要寻找目标主机并分析目标主机。在互联网上使用IP地址和能够映射IP地址的域名来唯一地标识主机。如果探测出目标主机的域名和IP地址就可以顺利地找到目标主机。在获知目标主机的位置还不够,还要进一步地获得诸如:目标主机的操作系统类型、系统账户、FTP、Telnet、SMTP等服务器程序是何种版本等。其中许多内容是通过一些扫描器工具 获得的。,步骤3、获取账号和密码,登录
8、主机黑客要侵入目标主机,首先要得到该主机的一个账号和密码,否则无法登录目标主机的用户系统。因此黑客会首先盗窃账户文件,进行破解,从中获取目标主机用户的账户和口令,再择机以此身份进入主机。当然,利用某些工具或系统漏洞登录主机也是攻击者常用的一种手段。步骤4、获得对目标主机的控制权黑客用FTP、Telnet等工具利用系统漏洞进入系统目标主机系统获得控制权之后, 必须完成两件事:第一是清除系统的相关记录和留下后门。黑客可以更改某些系统设置、在系统中置入木马或其他一些远程操纵程序,以便以后可以隐身进入目标主机的用户系统。步骤5、窃取目标主机用户的信息资源和操纵权黑客进入目标主机后,可以随心所欲地下载敏
9、感信息;窃得用户的网络账号与密码;进一步地 获得目标主机内的感兴趣的文件、信息资源、其他私密性的信息。,黑客对目标主机用户系统登录口令的破解方法,黑客只有获取目标主机的系统登录口令后,才能肆无忌惮地进入用户系统,窃取信息、进行文件复制和对目标主机进行远程控制并服务于许多具有犯罪性质的活动。一般地讲,黑客多采用以下几种方法窃取用户登录系统口令的。( 1)明文监听许多网络服务协议(Telnet:远程登录协议;FTP:文件传输协议;HTTP:超文本传输协议等)都用明文口令,就是说:客户端和服务器之间进行数据传输时使用着不加密的口令。黑客利用协议分析器能够对网络中通信的信息流进行分析,用不了很大劲就可
10、以获取目标主机的系统登录口令。 进而使用窃取的口令登录进入目标主机。,(2)密文监听有一些网络访问协议,使用一些特定的加密算法对口令进行加密。为了破解这种情况下的用户系统口令,黑客会在口令上实施密码字典破译,来破解口令。(3)直接窃取口令用户系统登录口令一般存储在磁盘中的特定的文件夹和文件中。有经验的黑客会试图得到这个文件,并对文件进行破解,获得口令。( )4观察用户如果使用的口令具有足够的长度,就会使黑客的破解难度变大。但对于过长的口令有难于记忆,因此多采用将口令用文字记录在纸张上。黑客可以通过这些文字记录窃取用户的系统登录口令。当然,黑客还可以利用其他方法来窃取用户的系统登录口令。,4、黑
11、客对局域网内主机的攻击,多数小型企业宽带接入申请一条连接到Intemet的线路,如DDN、ADSL、宽带ISDN等,然后用一台服务器做网关,服务器装两块网卡,一块是连接到Intemet,另一块是连接到内网的交换机,于是内网的其他主机就可以通过网关接入Internet。在线对局域网内的主机进行攻击的前提条件是已经取得网关服务器的某些权限。由于Intemet上很多做网关的服务器没有进行严格的安全配置,黑客就可以通过一些技术手段不太困难地获取网关服务器的一些重要权限了。在局域网没有安装防火墙或在网关服务器上做TCPIP限制的情况下,黑客首先连接局域网内的网关服务器,运行黑客的程序,进而对局域网内的用
12、户进行攻击。,5、利用浏览器的漏洞网页挂马进行攻击,所谓“网页挂马”,指的是黑客自己建立带毒网站,或者攻击流量大的现有网站,在网页文件中植入木马、病毒,用户浏览后就会中毒。由于通过“网页挂马”可以快速的批量入侵大量计算机,非常快捷的组建僵尸网络、窃取用户资料。黑客们为了迅速的传播网页木马、感染更多的计算机,使用了各种手段:从最原始的手工配置,到大量制造脚本木马,这些木马原本只用来开启服务器后门,现在则加入了“批量挂马”的功能。当脚本木马侵入网站服务器之后,就会自动搜索硬盘上的所有网页文件,在其中批量插入网页木马,这样,当用户访问带毒网站时,就会被病毒感染。同时,这些被植入网站的木马病毒还特别智
13、能化,它能够智能判断访问者使用的操作系统、浏览器等信息,找出其中可能存在的漏洞,然后执行针对每种漏洞的攻击程序。网站服务器一旦被侵入,则“批量挂马”的恶意木马会密密麻麻遍布所有的网页文件。用户应该谨慎第登录和打开一些比较生疏的网站,否则容易被那些病毒肆虐的网页感染以及打开已经植入木马的网页时将木马程序下载到用户的系统中来。,6、病毒产生从最初的恶作剧到构成黑色产业链,最初的病毒制造者通常以炫耀、恶作剧为目的;近年来,病毒制造者越来越多地以获取经济利益为目的;同时,病毒制造者越来越狡猾,病毒程序编写技巧越来越高,甚至对杀毒软件进行瘫痪使之崩溃;更加注重攻击“策略”和传播、入侵流程,通过各种手段躲
14、避杀毒软件的追杀和安全防护措施,通过病毒生产获取经济利益。据瑞星公司的统计分析指出:2007年上半年瑞星公司共截获新病毒133717个,其中木马病毒83119个,后门病毒31204个,两者之和超过11万,相当于去年同期截获的新病毒总和。这两类病毒都以侵入用户电脑,窃取个人资料、银行账号等信息为目的,带有直接为获取经济利益的特征。病毒生产和交易形成一个黑色市场互联网上的病毒产生和交易形成一个以盈利为目的黑色市场。病毒模块、僵尸网络、被攻陷的服务器管理权等等都被用来出售,很多国内黑客开始利用拍卖网站、聊天室、地下社区等渠道,寻找买主和合作伙伴,取得现金收入。,7、直接攻击杀毒软件的病毒,目前阶段,
15、电脑病毒针对杀毒软件做攻击对象,已经是较为常见的情况。以新毒王“帕虫”、老毒王“熊猫烧香”为代表的大量病毒都加载了攻击杀毒软件的模块。它们通过修改杀毒软件设置、损伤杀毒软件的配置文件甚至直接关闭杀毒软件,造成电脑的防御系统崩溃。,8 、以光盘、软件和可移动介质为载体的病毒,光盘数据一般具有只读特性,如果不是在刻录光盘时将病毒虽有用文件写入光盘,那就不会被病毒感染。 可移动介质如:U盘、MP3和移动硬盘等是目前携带和传播病毒的主要媒介之一。根据统计数据,大约三分之一的病毒可以通过U盘传播。2007年6月初,“帕虫”病毒开始在网上肆虐,它主要通过MP3(或者U盘)进行传播,感染后破坏几十种常用杀毒
16、软件,还会使QQ等常用程序无法运行。 使用可移动存储介质时,要做到先杀毒后使用。,9、综合治理与防护,注意以下问题:安全维护软件没有及时升级,这就为那些计算机黑客的入侵大开方便之门;有些人因为不愿意花费精力记忆密码,总是随手将它们写得到处都是,比如将它贴在显示屏的前面等,口令设计的过于简单和固定,如用6666或生日这种现象非常普遍;对防毒软件总是嫌麻烦或认为它使计算机的速度变慢而不愿使用;有些用户总是让计算机在毫无保护措施的情况下处于开启状态,即使在他们离开时也不设置密码,丝毫没有安全意识;一些用户总是不经思索就随意打开电子邮件附件,不管它是来自朋友还是陌生人;随意放置便携式计算机导致其中存放
17、的大量重要信息的损失。 对于个人用户来讲,重视防火墙软件的使用,现在很多防火墙软件都可以有效地检查出黑客的木马攻击工具,因此为了自身的安全,一定要安装防火墙软件。有很多用户装入个人防火墙后,由于在装一些新的软件过程中遇到障碍,而将个人防火墙卸载是不对的。,10、清除“Cookie”,Cookie这个英文单词,英语是“甜面包”(苏格兰)、“小甜饼”(美国)。在计算机网络技术中,Cookie指一个特殊的文本文件,该文件数据信息量很小。当我们浏览某些网站时,计算机会自动记录下访问行踪,然后由Web服务器以文本形式保存在用户的硬盘上。对于每一个Cookie,就是一小段信息,包含了用户上网时的一些浏览记
18、录,如用户访问了什么站点、在站点中浏览什么内容、在填写表单时输入了哪些信息等等。网络应用的模式是客户机和服务器模式,当用户向服务器提出服务请求时,Web 服务器向客户浏览器传递用网页组织起来的信息。用户访问网络站点时,Web 应用程序都可以读取 Cookie 包含的信息。 举例说明如下。某用户请求访问一个网站的某个页面,该网站在向您的应用该用户发送一个页面的同时,还有一个包含日期和时间的Cookie。用户浏览器在获得页面的同时还得到了这个 Cookie,并且将它保存在用户硬盘上的某个文件夹中。以后,如果该用户再次访问这个站点上的页面,当该用户输入其网址(URL)时,浏览器就会在本地硬盘上查找与
19、该URL 相关联的Cookie文件。如果该Cookie 文件存在,浏览器就将它与页面浏览请求一起发送到这个站点。,Cookie文件是与Web站点而不是与具体页面关联的,所以无论用户请求浏览站点中的哪个页面,浏览器和服务器都将交换关于该站点的Cookie信息。对任何站点、任何网页文件的访问都是这样.被访问的站点都会在用户的本地系统(硬盘)中留有相应的Cookie信息。 简言之,Cookie的基本用途有以下几点:Cookie 能够帮助 Web 站点保存有关访问者的信息;Web服务器在对客户提出的浏览某个页面的请求时,能够对进行识别。 在用户浏览器和客户服务器之间的交互中,Cookie文件提供了相关
20、的标识信息,可以帮助应用程序确定如何继续执行。在进行网站登录时,用户会很好地感受到Cookie文件的存在:当登录一个需要填写“用户名”和“密码“的网站时,我们仅需要第一次进行注册登录时填写“用户名”和“密码“的信息。再往后登录该网站,就不需要反复地填写“用户名”和“密码“了。 小小的Cookie文件保存了用户和被访问过的站点的信息。浏览器还限制了用户站点可以在用户计算机上保存的 Cookie文件数量。大多数浏览器只允许每个站点保存20个 Cookie。如果试图保存更多的 Cookie,则最先保存的 Cookie 就会被删除。还有些浏览器会对来自所有站点的Cookie文件总数作出限制。,Cook
21、ie的使用时,给用户带来来了便利,同时也带来了巨大的信息安全隐患。用户非常关注Cookie中的信息是如何被使用的。Cookie中的信息很容易被他人非法获取和利用。对于用户来讲,如果在Cookie信息中保存:用户名、密码、信用卡号等是非常不安全的。Cookie 是以纯文本的形式在浏览器和服务器之间传送的,任何可以截取 Web 通信的人都可以读取Cookie信息。 Cookie信息是保存在用户系统中的关于自身的“隐私”,尽管以后用户再次访问相同站点信息时,浏览器就会从用户本地系统中直接把需要的信息调出来,从而节省了操作的时间。但这些在浏览中暴露的隐私信息,一旦被某些不法分子利用,会带给用户带来巨大
22、的安全威胁。为了防止危害的发生,用户可以将这些“小甜饼”清除。一般情况下,这些“小甜饼”藏在“C:Documents and SettingsAdministrator”目录下面,如图所示。,Cookies窗口如图所示。 文件夹路径为:C:Documents and SettingsAdministratorCookies。,Cookies文件夹中文件,具体打开一个Cookie文件如图所示。,二、 工业网络系统集成,1、 系统集成结构,工业集成集成控制系统一般来说是一个多层次递阶的集成系统,通常分为ERP/MES/PCS/三层模型结构,即划分为 考虑生产过程问题的生产过程控制系统PCS(Pro
23、cess Control System); 考虑企业层面经营管理问题的企业资源计划ERP(Enterprise Resource Planning)系统 考虑生产与管理结合问题的中间层生产执行系统MES(Manufacturing Execution System,又称制造执行系统)三个层次。,系统集成结构,系统集成结构,2 系统集成要点分析,(1) 满足工业应用 (2) 可扩充性 (3) 可靠性 (4) 安全性 (5) 系统性能参数 (6) 互联性,3 网络互联设备,(1) 网络接口卡 (2) 中继器 (3) 集线器 (4) 网桥 (5) 交换机 (6) 路由器 (7) 网关,4 OPC技术
24、,OPC(OLE for Process Control)是专为过程控制而设计的对象链接嵌入技术,目的是为现场设备、自动化控制应用和企业管理应用软件提供统一数据交换接口。 OPC提供了一种方便、高效的通信机制,它所关心的是现场数据的访问而不是实际的数据类型,它给工控软件提供了一种统一的访问现场设备数据的方法。 OPC为软件之间建立单一的数据访问规范, OPC的基础是微软OLE/COM及DCOM技术,该技术完全支持上述分布式应用和异构环境下应用程序之间软件的无缝集成和互操作性。,OPC技术,基于OPC的现场设备互联系统结构,OPC技术,OPC的基本内容,仍在发展和完善之中,其中一个显著特点是增加
25、了XML内容,OPC技术,(1) COM,COM是OPC编程的基础,它为组件和应用程序之间进行访问提供了统一的标准,通过组件和客户之间的接口来实现数据通信。遵循COM规范编写的组件具有以下特点: COM组件可以以二进制的形式发布,所以COM组件是完全与语言无关的。任何过程性语言,从C+到Java等均可用来开发组件。 COM提供了一种实现同一组件不同版本的标准方法。升级时只需在现有的组件上增加新的接口就可以了。 COM组件可以透明地在网络上被重新分配位置。对远程机器上的组件同本地机器上的组件的处理方式没有什么差别。COM组件按照一种标准的方式来宣布它们的存在。使用COM的发布方案,客户可以动态地
26、找到它所需的组件。,(2) OPC对象,OPC数据服务器定义了三类的COM对象,即OPC 服务器(OPC Server)对象、OPC 组(OPC Group)对象和OPC项(OPC Item)对象。 OPC Server对象是客户端软件与服务器交互的首要对象。客户端访问OPC Server对象的接口函数组织管理OPC Group对象。 OPC Group对象用于组织管理服务器内部的实时数据信息。在OPC标准中Items对象描述实时数据,包括数据的数值、质量以及数据的采集的时间戳。,OPC对象,基于OPC服务器对象模型,(3) OPC接口,标准OPC服务器对象及其定制接口,OPC接口,标准OPC组对象及其定制接口,
