信息安全的攻與防
安全攻擊
威脅信息資產安全的行為
攻擊者角度的攻擊
| 攻擊者角度的攻擊 | |
|---|---|
| 主動型攻擊 | 網絡監聽和黑客攻擊等,這些威脅都是對方人為通過網絡通信連接進行的。 |
| 被動型攻擊 | 一般是用戶通過某種途徑訪問了不當的信息而受到的攻擊。 |
攻擊手段及破壞方式
| 攻擊手段及破壞方式分類 | 類型 | 典型代表 |
|---|---|---|
| 第一類 | 計算機病毒 | |
| 第二類 | 網絡入侵 | 黑客攻擊 |
| 第三類 | 欺騙類威脅 | 間諜軟件、廣告軟件、網絡釣魚軟件 |
計算機病毒的定義
狹義:指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數據且能自我復制的一組計算機指令或者程序代碼。
廣義:任何能夠引起計算機故障,破壞計算機數據,影響計算機系統的正常使用的程序代碼。
計算機病毒特點
分類
| 惡意代碼類型 | 主要特征 | 破壞行為 | |
|---|---|---|---|
| 傳統病毒(CIH) | 有一個宿主程序 | 具有寄生性、傳染性、潛伏性、觸發性和破壞性 | 良性(干擾計算機執行) 惡性(破壞文件,刪除數據) |
| 蠕蟲病毒(WannaCry) | 不需要宿主文件、無需人為干預 | 具有自傳播性、隱蔽性和破壞性等特性 | 擁塞網絡、破壞系統 |
| 木馬【特洛伊】(灰鴿子) | 遠程控制 | 具有隱蔽性和非授權性/遠程控制 | 信息竊取、遠程控制 |
防范計算機病毒
提高安全意識、加強安全防御、備份重要數據。
例:
假設你在網站上觀看視頻時,你看到一個彈出窗口要求你安裝定制的解碼器,才能正常觀看視頻。如果同意安裝,你的計算機有可能會面臨什么威脅?
答:有可能被植入惡意代碼,對計算機系統的保密性、完整性和可用性【CIA】 都可能造成破壞,威脅:信息泄露、信息偽造等都會出現。
攻擊分類
| 分類 | |
|---|---|
| 拒絕服務攻擊(DOS) | 攻擊者利用網絡通信協議的缺陷或產生大量的網絡流量,導致服務器網絡阻塞、停止提供服務、崩潰 |
| 分布式DDoS | 兩種。1、不同位置的多個攻擊者同時向目標發動DoS攻擊 2、一個攻擊者控制了位於不同位置的多台機器並利用這些機器向目標同時發動DoS攻擊 |
| 口令攻擊(Password) | 通過獲取口令,獲得訪問系統的權限。 |
| 嗅探攻擊(Sniffer) | 利用嗅探器獲取網絡傳輸中的重要數據。又稱為網絡竊聽。 |
| 欺騙類攻擊 | 構造虛假的網絡消息,發送給網絡主機或網絡設備,企圖用假消息替代真實信息,實現對網絡及主機正常工作的干擾破壞。 |
| 詐騙類攻擊(社工) | 利用社會工程學的思想,利用人的弱點通過網絡散布虛假信息,誘使受害者上當受騙。 |
| APT攻擊 | 通過非法技術手段,獲得某網絡計算機的控制權或使用權,達到利用該機從事非法行為 |
ping有危害性?
總所周知,Ping 是用於檢測網絡連通性的程序,有人認為這樣的程序不會對計算機系統的安全造成損害,因此沒有危害性
答:觀點錯誤,Ping 可以用於網絡探測,因此也存在使用上的風險。
APT攻擊舉例
其中一種:
韓國平昌冬奧會 APT 攻擊:一開始就發送地詐騙信息給相關工作人員,騙取工作人員誤操作后,成功在對方機器上執行腳本,實現攻擊。
特點:隱蔽且持續攻擊、攻擊渠道多樣、攻擊手段多多樣、
防
工作過程
信息收集 —— 信息分析 —— 結果處理
防御分類
| 作用 | 下設功能 | |
|---|---|---|
| 防火牆(靜態防范) | 一個安全保護屏障。由軟件和硬件設備組合而成、在內部網絡和外部網絡之間構造的——保護內部網絡免受外部非法用戶的侵入。 | 網絡流量過濾:通過在防火牆上進行安全規則配置,可以對流經防火牆的網絡流量進行過濾。 網絡監控審計:防火牆記錄訪問並生成網絡訪問日志,提供網絡使用情況的統計數據。 |
| 入侵檢測 系統(動態防范) | 對網絡傳輸進行即時監視,在發現可疑傳輸時發出警報或者采取主動措施的系統。 | 誤用檢測技術:主要基於規則進行檢測。 異常檢測技術:通用性強,異常檢測主要針對用戶行為數據、系統資源使用情況進行分析判斷。 |
| 入侵誘騙系統 | 指用通過偽裝成具有吸引力的網絡主機來吸引攻擊者,同時對攻擊者的各種攻擊行為進行分析,進而找到有效的應對方法。旨在大規模網絡環境中對能夠引起網絡態勢發生變化的安全要素進行獲取、理解、顯示以及最近發展趨勢的順延性預測,進而進行決策與行動。 | 指發現或檢測到入侵后,為確保被保護目標的機密性、完整性、可用性等安全目標,針對入侵所采取的措施和行動。 |
| 雲安全 | 把病毒和木馬的解決方案分發到每一個客戶端。 | 通過對大量客戶端對網絡中軟件行為的異常監測。獲取互聯網中木馬、惡意程序的最新信息傳送到Server端進行自動分析和處理 |
基本概念
事件:當網絡或主機遭到入侵或出現較重大變化時,稱為發生安全事件,簡稱事件。
報警:當發生事件時,IDS通過某種方式及時通知管理員事件情況稱為報警。
響應:當IDS報警后,網絡管理員對事件及時作出處理稱為響應。
誤用:誤用是指不正當使用計算機或網絡,並構成對計算機安全或網絡安全的造成威脅的一類行為。
異常:網絡或主機的正常行為進行采樣、分析,描述出正常的行為輪廓,建立行為模型,當網絡或主機上出現偏離行為模型的事件時,稱為異常。
入侵特征:也稱為攻擊簽名(Attack Signature)或攻擊模式(Attack Patterns),一般指對網絡或主機的某種入侵攻擊行為(誤用行為)的事件過程進行分析提煉,形成可以分辨出該入侵攻擊事件的特征關鍵字,這些特征關鍵字被稱為入侵特征。
感應器:布置在網絡或主機中用於收集網絡信息或用戶行為信息的軟硬件,稱為感應器。感應器應該布置在可以及時取得全面數據的關鍵點上,其性能直接決定IDS檢測的准確率。
防火牆和網閘都能提供在網絡邊界上的安全防護作用,請分析兩者在功能上的相同與不同之處。
答:都是隔離技術,網閘屬於物理隔離,防火牆屬於邏輯隔離,實現原理和功能都要顯著區別。
| 對比項目 | 傳統防火牆 | 隔離網閘(SGAP) |
|---|---|---|
| 安全機制 | 采用包過濾、代理服務等安全機制,安全功能相對單一 | 在GAP技術的基礎上,綜合了訪問控制、內容過濾、病毒查殺等技術,具有全面的安全防護功能 |
| 操作系統設計 | 防火牆操作系統可能存在安全漏洞 | 采用專用安全的操作系統作為軟件支撐系統,實行強制訪問控制,從根本上杜絕可被黑客利用的安全漏洞 |
| 網絡協議處理 | 缺乏對未知網絡協議漏洞造成的安全問題的有效解決辦法 | 采用專用映射協議代替源網絡協議,實現SGAP系統內部的純數據傳輸,消除了一般網絡協議可被利用的安全漏洞 |
| 遭攻擊后果 | 被攻破的防火牆只是個簡單的路由器,將危機內網安全 | 即使系統的外網處理單元癱瘓,網絡攻擊也無法觸及內網處理單元 |
| 可管理性 | 管理配置有一定復雜性 | 管理配置簡易 |
| 與其他安全設備聯動性 | 缺乏 | 可結合防火牆,IDS等形成綜合網絡安全防護平台 |