网络安全概述
信息安全:防止任何对数据进行未授权访问的措施,或者防止造成信息有意无意泄露、破坏、丢失等问题的发生,让数据处于远离危险、免于威胁的状态和特性。
网络安全:计算机网络环境下的信息安全。
网络安全背景
网络空间安全-----Cyberspace
2003年美国提出网络空间的概念 --- 一个由信息基础设施组成的互相依赖的网络。
我国官方文件定义:网络空间为继海,陆,空,天以外的第五大人类活动领域
信息安全发展史
通信保密阶段 --- 计算机安全阶段 --- 信息系统安全 --- 网络空间安全
恶意程序 --- 一般会具备一下的多个或全部特性
1,非法性
2,隐蔽性
3,潜伏性
4,可触发性
5,表现性
6,破坏性
7,传染性 --- 蠕虫病毒的典型特点
8,针对性
9,变异性
10,不可预见性
●按照病毒攻击的系统分类:攻击DOS系统的病毒;攻击Windows系统的病毒;攻击UNIX系统的病毒;攻击OS/2系统的病毒。
●按照病毒的攻击机型分类:攻击微型计算机的病毒;攻击小型机的计算机病毒;攻击工作站的计算机病毒。
●按照病毒的链接方式分类:源码型病毒;嵌入型病毒;外壳型病毒;操作系统型病毒。
●按照病毒的破坏情况分类:良性计算机病毒;恶性计算机病毒。
●按照病毒的寄生方式分类:引导型病毒;文件型病毒;复合型病毒。
●按照病毒的传播媒介分类:单机病毒;网络病毒。
普通病毒 --- 以破坏为目的的病毒
木马病毒 --- 以控制为目的的病毒
蠕虫病毒 --- 具有传播性的病毒
1.网络安全面对的挑战:
数字化时代威胁升级:攻击频发,勒索病毒、数据泄露、黑客入侵等网络安全事件呈现上升趋势
传统的安全防护逐步失效:传统防火墙、IPS、杀毒软件等基于特征库的安全检测,无法过滤:变种僵、木、蠕,恶意的内部用户,U盘带入,BYOD带入,零日漏洞,APT攻击。
APT攻击 --- 高级持续性威胁,是一种综合的攻击手段,影响严重,持续时间长
安全风险能见度不足:
看不清资产(看不清的新增资产产生安全洼地,缺乏有效手段主动识别新增业务,攻击者对内网未被归档和防护的新增资产进行攻击,顺利渗透如内网)
看不见新威胁(水坑攻击,鱼叉邮件攻击,零日漏洞攻击,其他攻击)
看不见内网潜藏风险(黑客内部潜伏后预留的后门,伪装合法用户的违规操作行为,封装在正常协议中的异常数据外发,看不见的内部人员违规操作)
缺乏自动化防御手段
《准则》将计算机安全保护划分为以下五个级别:
第一级:用户自主保护级。它的安全保护机制使用户具备自主安全保护的能力,保护用户的信息免受非法的读写破坏。
第二级:系统审计保护级。除具备第一级所有的安全保护功能外,要求创建和维护访问的审计跟踪记录,是所有的用户对自己行为的合法性负责。
第三级:安全标记保护级。除继承前一 个级别的安全功能外,还要求以访问对象标记的安全级别限制访问者的访问权限,实现对访问对象的强制访问。
第四级:结构化保护级。在继承前面安全级别安全功能的基础上,将安全保护机制划分为关键部分和非关键部分,对关键部分直接控制访问者对访问对象的存取,从而加强系统的抗渗透能力。
第五级:访问验证保护级。这一个级别特别增设了访问验证功能,负责仲裁访问者对访问对象的所有访问活动。
1.1常见的网络安全术语:
漏洞(脆弱性),攻击(手段),入侵(目的),0day漏洞,后门,WEBSHELL,社会工程学,exploit,APT攻击。
2.信息安全的脆弱性及常见安全攻击
网络环境的开放性
网络安全的根本原因:INTERNET的美妙之处在于你和每个人都能互相连接, INTERNET的可怕之处在于每个人都能和你互相连接 。
2.1协议栈的脆弱性及常见的攻击
协议栈脆弱性:
常见安全风险:
网络的基本攻击模式:截获,篡改,终端,伪造
常见的攻击:
物理层----物理攻击:物理设备破坏,物理设备窃听。
自然灾害:对应办法,建立异地灾备数据中心。
链路层----MAC泛洪攻击/ARP欺骗。
网络层----ICMP攻击,有利用ICMP的重定向机制攻击法等
传输层----TCP SYN Flood攻击(DOS,泛洪攻击;分布式拒绝服务攻击(DDOS)
应用层----DNS欺骗攻击
怎么防御SYN攻击:
1.代理防火墙
每目标IP代理阈值:当外界用户访问内网的服务器的IP数比较少时,不需要经过防火墙的三次握手。
每目标IP丢包阈值:如果访问量超过每目标IP代理阈值,代理防火墙工作,当这时有大量的用户访问时,达到每目标IP丢包阈值,代理防火墙会以为是恶意攻击,不建立握手,直接丢弃数据包。
2.首包丢包:正常的用户当访问服务器时,如果服务器不响应,会进行第二次TCP握手,这时防火墙就会接受,对于攻击者来说,他发了一个SYN请求报文,他第二次又会换一个IP地址,继续给防火墙发,这时相当于攻击者发的每个包都被防火墙丢弃了,防火墙这时首包丢包就避免了自己资源的占用
3.SYN cookie
2.2操作系统自身的漏洞:
人为原因:在程序编写过程中,为实现不可告人的目的,在程序代码的隐藏处保留后门
客观原因:受编程人员的能力,经验和当时安全技术所限,在程序中难免会有不足之处,轻则影响程序效率,重则导致非授权用户的权限提升。
硬件原因:由于硬件原因,使编程人员无法弥补硬件的漏洞,从而使硬件的问题通过软件表现。
2.3终端的脆弱性及常见攻击
例子勒索病毒,挖矿病毒,特洛伊木马,蠕虫病毒,宏病毒,流氓软件/间谍软件,僵尸网络
终端安全防范措施:
1.不要点击来源不明的邮件附件,不从不明网站下载软件
2.及时给主机打补丁,修复相应的高危漏洞
3.对重要的数据文件定期进行非本地备份
4.尽量关闭不必要的文件共享权限以及关闭不必要的端口
5.RDP远程服务器等连接尽量使用强密码,不要使用弱密码
6.安装专业的终端安全防护软件,为主机提供端点防护和病毒检测清理功能
2.4其他常见的攻击:
社工攻击,人为因素,拖库、洗裤、撞裤,跳板攻击,钓鱼式攻击/鱼叉式钓鱼攻击,水坑攻击
3.信息安全
信息安全的五要素:
不看不清资产kanbujainzhichan看不清资产清资产