【网络安全 -＞防御与保护】信息安全概述

一、信息安全现状及挑战

二、信息安全脆弱性及常见安全攻击

1、网络环境的开放性

2、协议栈的脆弱性及常见攻击

3、操作系统的脆弱性及常见攻击

4、终端的脆弱性及常见攻击

5、其他常见攻击

三、信息安全要素

四、整体安全解决方案

一、信息安全现状及挑战

（1）网络空间安全市场在中国，潜力无穷

（2）数字化时代威胁升级

（3）传统安全防护逐步失效

（4）安全风险能见度不足

看不清资产

看不见新型威胁

看不见内网潜藏风险

缺乏自动化防御手段

网络安全监管标准愈发严苛

信息安全概述

信息安全：防止任何对数据进行未授权访问的措施，或者防止造成信息有意无意泄漏、破坏、丢失等问题的发生，让数据处于远离危险、免于威胁的状态或特性。

网络安全：计算机网络环境下的信息安全

常见的网络安全术语

名称	解释
漏洞（脆弱性）	可能被一个或多个威胁利用的资产或控制的弱点
攻击	企图破坏、泄露、篡改、损伤、窃取、未授权使用资产的行为
入侵	对网络或联网系统的未授权访问，即对信息系统进行有意或无意的未授权访问，包括针对信息系统的恶意活动或对信息系统内资源的未授权使用
0day漏洞	通常是指还没有补丁的漏洞。也就是说官方还没有发现或者是发现了还没有开发出安全补丁的漏洞
后门	绕过安全控制而获取对程序或系统访问权的方法
WEBSHELL	以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境，也可以将其称作为一种网页后门
社会工程学	通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段取得自身利益的手法
exploit	简称exp，漏洞利用
APT攻击	高级持续性威胁。利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式

二、信息安全脆弱性及常见安全攻击

1、网络环境的开放性

网络环境的开放性

“ INTERNET的美妙之处在于你和每个人都能互相连接, INTERNET的可怕之处在于每个人都能和你互相连接

2、协议栈的脆弱性及常见攻击

协议栈自身的脆弱性

常见安全风险

网络的基本攻击模式

物理层--物理攻击

物理设备破坏

指攻击者直接破坏网络的各种物理设施，比如服务器设施，或者网络的传输通信设施等

设备破坏攻击的目的主要是为了中断网络服务

物理设备窃听

光纤监听

红外监听

自然灾害

常见场景：高温、低温、洪涝、龙卷风、暴雨、地震、海啸、雷电等。

典型案例：

2010年澳大利亚的Datacom网络中心，当时的大暴雨将Datacom主机代管中心的天花板冲毁，使得服务器、存储和网络设备都遭损坏。

2008年3月19日，美国威斯康辛数据中心被火烧得一塌糊涂，该数据中心耗时十天才得以完全恢复过来，足以说明该数据中心在当时并没有完备的备份计划。

2011年3月11日，日本遭受了9级大地震，在此次地震中，日本东京的IBM数据中心受损严重。

2016年，受台湾地区附近海域地震影响，中国电信使用的FNAL海底光缆阻断。

常见处理办法：

建设异地灾备数据中心。

链路层-- MAC洪泛攻击

交换机中存在着一张记录着MAC地址的表，为了完成数据的快速转发，该表具有自动学习机制；

泛洪攻击即是攻击者利用这种学习机制不断发送不同的MAC地址给交换机，填满整个MAC表，此时交换机只能进行数据广播，攻击者凭此获得信息。

链路层--ARP欺骗

当A与B需要通讯时：

A发送ARP Request询问B的MAC地址

Hacker冒充B持续发送ARP Reply给A（此时，A会以为接收到的MAC地址是B的，但是实际上是Hacker的）

之后A发送给B的正常数据包都会发给Hacker

网络层--ICMP攻击

传输层--TCP SYN Flood攻击

SYN报文是TCP连接的第一个报文，攻击者通过大量发送SYN报文，造成大量未完全建立的TCP连接，占用被攻击者的资源。----拒绝服务攻击

分布式拒绝服务攻击（DDoS）

DDoS攻击风险防护方案

应用层--DNS欺骗攻击

DNS数据被篡改，“深信服“变“三信服“

3、操作系统的脆弱性及常见攻击

操作系统自身的漏洞

人为原因

在程序编写过程中，为实现不可告人的目的，在程序代码的隐藏处保留后门。

客观原因

受编程人员的能力，经验和当时安全技术所限，在程序中难免会有不足之处，轻则影响程序效率，重则导致非授权用户的权限提升。

硬件原因

由于硬件原因，使编程人员无法弥补硬件的漏洞，从而使硬件的问题通过软件表现。

缓冲区溢出攻击

缓冲区溢出攻击原理

缓冲区溢出攻击利用编写不够严谨的程序，通过向程序的缓冲区写入超过预定长度的数据，造成缓存的溢出，从而破坏程序的堆栈，导致程序执行流程的改变

缓冲区溢出的危害

最大数量的漏洞类型漏洞危害等级高

缓冲区溢出攻击过程及防御

如果可精确控制内存跳转地址，就可以执行指定代码，获得权限或破坏系统

缓冲区溢出的防范可以从以下三个方面考虑：

4、终端的脆弱性及常见攻击

勒索病毒

定义：一种恶意程序，可以感染设备、网络与数据中心并使其瘫痪，直至用户支付赎金使系统解锁。

特点：调用加密算法库、通过脚本文件进行Http请求、通过脚本文件下载文件、读取远程服务器文件、通过wscript执行文件、收集计算机信息、遍历文件。

危害：勒索病毒会将电脑中的各类文档进行加密，让用户无法打开，并弹窗限时勒索付款提示信息，如果用户未在指定时间缴纳黑客要求的金额，被锁文件将永远无法恢复

勒索病毒第一阶段：锁定设备，不加密数据

时间：2008年以前

勒索方式：主要是锁定设备

主要家族：LockScreen

简介：

2008年以前，勒索病毒一般不加密用户数据，只锁住用户设备，需提供赎金才能解锁。

期间以LockScreen 家族为主。

由于它不加密用户数据，所以只要清除病毒就不会给用户造成除勒索资金外的其他损失。

该类勒索病毒带来的危害较小，所以该类型的勒索软件只是昙花一现，很快便消失了。

勒索病毒第二阶段：加密数据，交付赎金后解密

时间：2013年前后

勒索方式：加密用户数据

主要家族：CTB-Locker、TeslaCrypt、Cerber

简介：

2013年，以加密用户数据勒索赎金的勒索软件出现在公众视野；

勒索软件采用高强度对称和非对称的加密算法；

因当时的算力不足无法解密，受害用户只能支付赎金

勒索病毒第三阶段：攻陷单点后，横向扩散

时间：2017年前后

勒索方式：加密用户数据

主要家族：WannaCry、Satan等

简介：

此阶段，勒索病毒开始通过漏洞或弱口令等方式发起蠕虫式攻击，典型的如 WannaCry；

另外，如 Satan 病毒，除使用永恒之蓝漏洞传播外，还内置多种web漏洞攻击功能，相比传统的勒索病毒传播能力更强、速度更快。此类病毒利用的传播手法非常危险。

勒索病毒第四阶段：加密货币的出现改变勒索格局

勒索病毒第五阶段：RaaS模式初见规模

勒索病毒感染与传播方式

勒索病毒攻击链分析

复盘一次勒索病毒事件

2019年08月19日接到企业A反馈，企业A的服务器中了勒索病毒。

分析过程

①检查客户防火墙安全策略，发现存在一条放通设备A 3389 端口到公网IP的策略。（运维主机暴露）

②设备A 从五月开始一直存在远程桌面服务登入失败的记录。（慢速爆破攻击）

③攻击者通过设备A 作为跳板，利用漏洞攻击取得服务器A 用户权限并投递勒索病毒。（继续攻击）

④ 服务器A 横向爆破扩散几台服务器后，攻击者才打开加密开关，期间一直通过远控服务器遥控攻击行为（远控横向扩散）

复盘一次勒索病毒事件

2019年08月19日接到企业A反馈，企业A的服务器中了勒索病毒。

勒索病毒的特点

针对攻击者

传播入口多

传播技术隐蔽

勒索产业化发展

针对受害者

安全状况看不清

安全设备防不住

问题处置不及时

构建高效的勒索病毒协同防护体系

挖矿病毒

定义：一种恶意程序，可自动传播，在未授权的情况下，占用系统资源，为攻击者谋利，使得受害者机器性能明显下降，影响正常使用。

特点：占用CPU或GPU等计算资源、自动建立后门、创建混淆进程、定期改变进程名与PID、扫描ssh文件感染其他机器。

危害：占用系统资源、影响系统正常使用。

特洛伊木马

定义：完整的木马程序一般由两个部份组成：服务器程序与控制器程序。 “中了木马”就是指安装了木马的服务器程序，若你的电脑被安装了服务器程序，则拥有控制器程序的人就可以通过网络控制装有服务器程序的电脑。

特点：注入正常程序中，当用户执行正常程序时，启动自身。自动在任务管理器中隐藏，并以“系统服务”的方式欺骗操作系统。包含具有未公开并且可能产生危险后果的功能的程序。具备自动恢复功能且打开特殊端口。

危害：个人隐私数据泄露，占用系统资源

蠕虫病毒

定义：蠕虫是一种可以自我复制的代码，并且通过网络传播，通常无需人为干预就能传播。蠕虫病毒入侵并完全控制一台计算机之后，就会把这台机器作为宿主，进而扫描并感染其他计算机。

特点：不依赖宿主程序、利用漏洞主动攻击、通过蠕虫网络隐藏攻击者的位置。

危害：拒绝服务、隐私信息丢失

宏病毒

定义：宏病毒是一种寄存在文档或模板的宏中的计算机病毒。

特点：感染文档、传播速度极快、病毒制作周期短、多平台交叉感染

危害:

        感染了宏病毒的文档不能正常打印。
        封闭或改变文件存储路径，将文件改名。
        非法复制文件，封闭有关菜单，文件无法正常编辑。
        调用系统命令，造成系统破坏。

流氓软件/间谍软件

定义：

流氓软件是指在未明确提示用户或未经用户许可的情况下，在用户计算机或其他终端上安装运行，侵害用户合法权益的软件，但不包含中国法律法规规定的计算机病毒。
间谍软件是一种能够在用户不知情的情况下，在其电脑上安装后门、收集用户信息的软件。它能够削弱用户对其使用经验、隐私和系统安全的物质控制能力。

特点：强制安装、难以卸载、浏览器劫持、广告弹出、恶意收集用户信息、恶意卸载、恶意捆绑、恶意安装等。

危害：窃取隐私，影响用户使用体验。

僵尸网络

定义：

        采用一种或多种传播手段，将大量主机感染僵尸程序，从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。
        僵尸程序：指实现恶意控制功能的程序代码；
        控制服务器：指控制和通信(C&C)的中心服务器

特点：

可控制的网络，这个网络并不是指物理意义上具有拓扑结构的网络，它具
有一定的分布性，随着bot程序的不断传播而不断有新位置的僵尸计算机添加到这个网络中来，可以一对多地执行相同的恶意行为。

危害：拒绝服务攻击；发送垃圾邮件；窃取秘密；滥用资源；僵尸网络挖矿

终端安全防范措施

5、其他常见攻击

社工攻击

原理：

社会工程攻击，是一种利用"社会工程学" 来实施的网络攻击行为。
在计算机科学中，社会工程学指的是通过与他人的合法地交流，来使其心理受到影响，做出某些动作或者是透露一些机密信息的方式。这通常被认为是一种欺诈他人以收集信息、行骗和入侵计算机系统的行为。

防御手段：定期更换各种系统账号密码，使用高强度密码等。

人为因素

无意的行为

        工作失误——如按错按钮;
        经验问题——不是每个人都能成为系统管理员，因此并不了解贸然运行一个不知作用的程序时会怎么样;
        体制不健全——当好心把自己的账号告诉朋友时，你却无法了解他会如何使用这一礼物;

恶意的行为

        出于政治的、经济的、商业的、或者个人的目的
        病毒及破坏性程序、网络黑客
        在Internet上大量公开的攻击手段和攻击程序

防范措施
        1.提升安全意识，定期对非IT人员进行安全意识培训和业务培训；
        2.设置足够强的授权和信任方式，完善最低权限访问模式；
        3.组织需要完善和落地管理措施，保障安全管理制度是实际存在的；
        4.善于利用已有的安全手段对核心资产进行安全保护等

拖库、洗库、撞库

原理：

        拖库：是指黑客入侵有价值的网络站点，把注册用户的资料数据库全部盗走的行为。
        洗库：在取得大量的用户数据之后，黑客会通过一系列的技术手段和黑色产业链将有价值的用户数据变现，这通常也被称作洗库。
        最后黑客将得到的数据在其它网站上进行尝试登陆，叫做撞库，因为很多用户喜欢使用统一的用户名密码。

防御手段：重要网站/APP的密码一定要独立、电脑勤打补丁，安装一款杀毒软件、尽量不使用IE浏览器、使用正版软件、不要在公共场合使用公共无线做有关私密信息的事、自己的无线AP，用安全的加密方式（如WPA2），密码复杂些、电脑习惯锁屏等。

跳板攻击

原理：

1. 攻击者通常并不直接从自己的系统向目标发动攻击，而是先攻破若干中间系统,让它们成为“跳板”，再通过这些“跳板”完成攻击行动。
2. 跳板攻击就是通过他人的计算机攻击目标.通过跳板实施攻击。

防御手段： 安装防火墙，控制流量进出。系统默认不使用超级管理员用户登录，使用普通用户登录，且做好权限控制。

钓鱼式攻击/鱼叉式钓鱼攻击

原理：

1. 钓鱼式攻击是一种企图从电子通讯中，通过伪装成信誉卓著的法人媒体以获得如用户名、密码和信用卡明细等个人敏感信息的犯罪诈骗过程。
2. 鱼叉式网络钓鱼指针对特定目标进行攻击的网络钓鱼攻击。

防御手段： 保证网络站点与用户之间的安全传输，加强网络站点的认证过程，即时清除网钓邮件，加强网络站点的监管。

水坑攻击

原理： 攻击者首先通过猜测（或观察）确定特定目标经常访问的网站，并入侵其中一个或多个网站，植入恶意软件。最后，达到感染目标的目的。

防御手段：

        1. 在浏览器或其他软件上，通常会通过零日漏洞感染网站。
        2. 针对已知漏洞的防御措施是应用最新的软件修补程序来消除允许该网站受到感染的漏洞。用户监控可以帮助确保他们的所有软件都运行最新版本。
        3. 如果恶意内容被检测到，运维人员可以监控他们的网站和网络，然后阻止流量。