信息传输/软件/信息技术服务
互联网安全
服务
互联网安全服务


Stylesheet css/basic.css not found, using css/basic.less instead. Please contact developer of "starter" template.
Stylesheet ../dokuwiki/css/_search.css not found, using ../dokuwiki/css/_search.less instead. Please contact developer of "starter" template.
Stylesheet ../dokuwiki/css/_admin.css not found, using ../dokuwiki/css/_admin.less instead. Please contact developer of "starter" template.
Stylesheet css/structure.css not found, using css/structure.less instead. Please contact developer of "starter" template.
Stylesheet css/design.css not found, using css/design.less instead. Please contact developer of "starter" template.
Stylesheet css/content.css not found, using css/content.less instead. Please contact developer of "starter" template.
Stylesheet css/includes.css not found, using css/includes.less instead. Please contact developer of "starter" template.
Stylesheet css/title.css not found, using css/title.less instead. Please contact developer of "starter" template.
Stylesheet css/list.css not found, using css/list.less instead. Please contact developer of "starter" template.
Stylesheet css/auth.css not found, using css/auth.less instead. Please contact developer of "starter" template.
Stylesheet css/mobile.css not found, using css/mobile.less instead. Please contact developer of "starter" template.
Stylesheet css/print.css not found, using css/print.less instead. Please contact developer of "starter" template.

简介

经过多年的发展,互联网已经在社会的各个层面为全人类提供了便利。电子邮件、即时消息、视频会议,网络日志(blog)、网上购物等已经成为越来越多人的一种生活方式;而基于B2B,B2C等平台的电子商务,跨越洲际的商务会谈以及电子政务等等为商业与政府办公创造了更加安全,更加快捷的环境。但是随之而来的不全是正面的影响,垃圾邮件、网络蠕虫病毒、恶意代码、恶意软件等等也影响着人们的正常生活。

网络安全的定义

  1. 计算机网络安全是指计算机及其网络系统资源和信息资源不受自然和人为有害因素的威胁和危害,即使计算机,网络系统的硬件,软件及其系统中的数据受到保护,不因偶然的或恶意的原因而遭到破坏,更改,泄露,确保系统能连续看可靠的正常地运行,使网络服务不中止;
  2. 计算机网络安全从其本质上来讲就是系统上的信息安全,计算机网络安全是一门涉及计算机科学,网络技术,密码技术,信息安全技术,应用数学,数论,信息论等多种科学的综合学科。
  • 排除歧义1: 现阶段中国大陆普遍对于互联网(internet),因特网(Internet)等术语存在混淆,本词条同样存在此问题,先初略认为本词条中“网络”,“计算机网络”代指英文“computer network”及指代《计算机科学技术名词 》第三版——“计算机网路”一词。
  • 排除歧义2:根据《通信科学技术名词》第一版——“互联网”的定义:“由多个计算机网络相互连接而成,而不论采用何种协议与技术的网络。”本词条初略认为其与本词条中“网络”,“计算机网络”为近义词或同义词。
  • 排除歧义3:由于科技的飞速发展,本次词条先粗略认为“计算机网络安全”,“计算机安全”’,“互联网安全”,“网络安全”,“信息安全”(部分情况)等名词在部分情况下为同义词或近义词。
  • point:由于本词条为开放词条,笔者能力有限,希望有学术大牛或业界翘楚可以根据“《通信科学技术名词》”等规定规范词条内术语来优化那就最好了。

网络防护的理论与模型

PDRR模型

  1. 防护(Protect):
  2. 检测(Detect):
  3. 响应(React):
  4. 恢复(Restore):

安全策略设计原则

  1. 适应性原则:安全策略是一定条件下采取的安全措施,必须结合网络实际应用环境结合,需充分考虑当前环境的实际要求;
  2. 木桶原则:A.对信息进行充分,均衡,全面的保护;B.对安全漏洞和威胁进行充分的全面的完整的分析评估和检测是安全系统的必要前提条件;
  3. 动态性原则:要求安全设施随着网络性能以及安全需求的变化而变化,应容易修改与升级;
  4. 系统性原则:网络安全 是一个系统化的工作,必须考虑全面,需全面考虑网络上各类用户,设备,软件,数据以及各种情况,有计划与有准备的采取策略;
  5. 需求,代价,风险平衡分析原则:绝对的安全是不可能的也是不必要的,从实际出发寻找平衡点,在此基础上制定规范与措施,与系统安全策略;
  6. 一致性原则
  7. 最小授权原则:指“限定网络”中每个主体所必须的最小特权,确保可能的事故,错误,网络部件的篡等原因造成最小的损失;
  8. 整体性原则:在发生攻击破坏事件的情况下,尽可能地快速恢复信息;
  9. 技术与管理相结合原则 :必须各种安全技术与运行管理机制,安全规章制度建设相结合;
  10. 易操作性原则:不能过分复杂,如果过分复杂,对人的要求过高,本身就降低了安全性,其次措施的采用不能用影响系统的正常使用与运行;

网络安全问题

网络安全问题主要包括「计算机病毒」「恶意程序」跟「黑客攻击」三大类。

计算机病毒

计算机病毒,是指威胁网络信息系统安全的软件,主要分为「病毒」「蠕虫」和「木马」三种类型。

病毒

计算机病毒的说法,起源于美国 Frederick B. Cohen 博士于1984年9月在美国计算安全学会上发表的一篇论文,Cohen 首次将“为了把自身的副本传播给其他程序而修改并感染目标程序的程序”定义为 「计算机病毒」。 计算机病毒在《中华人民共和国计算机信息系统安全保护条例》第二十八条被定义为 “指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。” 病毒特征 殖性 计算机病毒可以像生物病毒一样进行繁殖,当正常程序运行时,它也进行运行自身复制,是否具有繁殖、感染的特征是判断某段程序为计算机病毒的首要条件。 破坏性 计算机中毒后,可能会导致正常的程序无法运行,把计算机内的文件删除或受到不同程度的损坏。破坏引导扇区及BIOS,硬件环境破坏。 传染性 计算机病毒传染性是指计算机病毒通过修改别的程序将自身的复制品或其变体传染到其它无毒的对象上,这些对象可以是一个程序也可以是系统中的某一个部件。 潜伏性 计算机病毒潜伏性是指计算机病毒可以依附于其它媒体寄生的能力,侵入后的病毒潜伏到条件成熟才发作, 会使电脑变慢。 隐蔽性 计算机病毒具有很强的隐蔽性,可以通过病毒软件检查出来少数,隐蔽性计算机病毒时隐时现、变化无常,这类病毒处理起来非常困难。 可触发性 编制计算机病毒的人,一般都为病毒程序设定了一些触发条件,例如,系统时钟的某个时间或日期、系统运行了某些程序等。一旦条件满足,计算机病毒就会“发作”,使系统遭到破坏。

蠕虫

与病毒类似,蠕虫也具有自我复制和传播的特性。但与病毒不同的是,蠕虫不需要通过宿主程序或文件,即可进行传播。

特洛伊木马

「特洛伊木马」,简称木马,是指伪装成正常软件的恶意软件。特洛伊木马常常会通过网络,盗窃用户的个人资料,个人信息,以备将来进行兜售。

恶意程序

恶意程序是从恶意代码发展出来的一种基于插件技术的计算机程序,不同的是它们可能根本不需要可执行文件,只需要若干的动态链接库文件(文件后缀是dll)就可以借助Windows系统正常工作。 这类程序可能是用户无意识安装到系统中,也可能是自动被安装的。它被安装到系统中,随操作系统启动,一般这类程序除了工作进程还会有守护进程,如果发现主进程被删除或者重命名,守护进程会自动生成一份新的拷贝,所以很难卸载,即使表面上卸载掉了,下一次系统启动时还会重新出现。 恶意程序从表现上看不算是病毒,因为它并没有破坏性,不会危及系统,只是出于商业目的,属于商业行为。但是它严重影响了计算机用户的使用,而且如果编写不当很容易导致系统运行变慢、性能下降,甚至给黑客留下

病毒排行榜

一、CIH (1998年) 该计算机病毒属于W32家族,感染Windows 95/98中以EXE为后缀的可行性文件。它具有极大的破坏性,可以重写BIOS使之无用(只要计算机的微处理器是Pentium Intel 430TX),其后果是使用户的计算机无法启动,唯一的解决方法是替换系统原有的芯片(chip),该计算机病毒于4月26日发作,它还会破坏计算机硬盘中的所以信息。该计算机病毒不会影响MS/DOS、Windows 3.x和Windows NT操作系统。 CIH可利用所有可能的途径进行传播:软盘、CD-ROM、Internet、FTP下载、电子邮件等。被公认为是有史以来最危险、破坏力最强的计算机病毒之一。1998年6月爆发于中国台湾,在全球范围内造成了2000万-8000万美元的损失。

二、梅利莎(Melissa,1999年) 这个病毒专门针对微软的电子邮件服务器和电子邮件收发软件,它隐藏在一个Word97格式的文件里,以附件的方式通过电子邮件传播,善于侵袭装有Word97或Word2000的计算机。它可以攻击Word97的注册器并修改其预防宏病毒的安全设置,使它感染的文件所具有的宏病毒预警功能丧失作用。 在发现Melissa病毒后短短的数小时内,该病毒即通过因特网在全球传染数百万台计算机和数万台服务器, 因特网在许多地方瘫痪。1999年3月26日爆发,感染了15%-20%的商业PC,给全球带来了3亿-6亿美元的损失。

三、 I love you (2000年) 2000年5月3日爆发于中国香港,是一个用VBScript编写,可通过E-Mail散布的病毒,而受感染的电脑平台以Win95/98/2000为主。给全球带来100亿-150亿美元的损失。

四、红色代码 (Code Red,2001年) 该病毒能够迅速传播,并造成大范围的访问速度下降甚至阻断。这种病毒一般首先攻击计算机网络的服务器,遭到攻击的服务器会按照病毒的指令向政府网站发送大量数据,最终导致网站瘫痪。其造成的破坏主要是涂改网页,有迹象表明,这种蠕虫有修改文件的能力。2001年7月13日爆发,给全球带来26亿美元损失。

五、SQL Slammer (2003年) 该病毒利用SQL SERVER 2000的解析端口1434的缓冲区溢出漏洞对其服务进行攻击。2003年1月25日爆发,全球共有50万台服务器被攻击,但造成但经济损失较小。 6.冲击波(Blaster,2003年) 该病毒运行时会不停地利用IP扫描技术寻找网络上系统为Win2K或XP的计算机,找到后就利用DCOM RPC缓冲区漏洞攻击该系统,一旦攻击成功,病毒体将会被传送到对方计算机中进行感染,使系统操作异常、不停重启、甚至导致系统崩溃。另外,该病毒还会对微软的一个升级网站进行拒绝服务攻击,导致该网站堵塞,使用户无法通过该网站升级系统。2003年夏爆发,数十万台计算机被感染,给全球造成20亿-100亿美元损失。

六、大无极.F(Sobig.F,2003年) Sobig.f是一个利用互联网进行传播的病毒,当其程序被执行时,它会将自己以电子邮件的形式发给它从被感染电脑中找到的所有邮件地址。在被执行后,Sobig.f病毒将自己以附件的方式通过电子邮件发给它从被感染电脑中找到的所有邮件地址,它使用自身的SMTP引擎来设置所发出的信息。此蠕虫病毒在被感染系统中的目录为C:\WINNT\WINPPR32.EXE。2003年8月19日爆发,为此前Sobig变种,给全球带来50亿-100亿美元损失。

七、贝革热(Bagle,2004年) 该病毒通过电子邮件进行传播,运行后,在系统目录下生成自身的拷贝,修改注册表键值。病毒同时具有后门能力。2004年1月18日爆发,给全球带来数千万美元损失。

八、MyDoom (2004年) MyDoom是一种通过电子邮件附件和P2P网络Kazaa传播的病毒,当用户打开并运行附件内的病毒程序后,病毒就会以用户信箱内的电子邮件地址为目标,伪造邮件的源地址,向外发送大量带有病毒附件的电子邮件,同时在用户主机上留下可以上载并执行任意代码的后门(TCP 3127到3198范围内)。2004年1月26日爆发,在高峰时期,导致网络加载时间慢50%以上。

九、Sasser (2004年) 该病毒是一个利用微软操作系统的Lsass缓冲区溢出漏洞( MS04-011漏洞信息)进行传播的蠕虫。由于该蠕虫在传播过程中会发起大量的扫描,因此对个人用户使用和网络运行都会造成很大的冲击。2004年4月30日爆发,给全球带来数千万美元损失。

十、冲击波(Blaster,2003年) 该病毒运行时会不停地利用IP扫描技术寻找网络上系统为Win2K或XP的计算机,找到后就利用DCOM RPC缓冲区漏洞攻击该系统,一旦攻击成功,病毒体将会被传送到对方计算机中进行感染,使系统操作异常、不停重启、甚至导致系统崩溃。另外,该病毒还会对微软的一个升级网站进行拒绝服务攻击,导致该网站堵塞,使用户无法通过该网站升级系统。2003年夏爆发,数十万台计算机被感染,给全球造成20亿-100亿美元损失。后门。所以大部分杀毒软件把他们当成病毒处理。

十一、熊猫烧香(Worm.WhBoy.cw ,2006年) 熊猫烧香是一款拥有自动传播、自动感染硬盘能力和强大的破坏能力的病毒,它不但能感染系统中exe,com,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件。该文件是一系统备份工具GHOST的备份文件,使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。

十二、永恒之蓝(WannaCry,2017年) 永恒之蓝是一种“蠕虫式”的勒索病毒软件,大小3.3MB,由不法分子利用NSA(National Security Agency,美国国家安全局)泄露的危险漏洞“EternalBlue”(永恒之蓝)进行传播 。最新统计数据显示,100多个国家和地区超过10万台电脑遭到了勒索病毒攻击、感染。勒索病毒是自熊猫烧香以来影响力最大的病毒之一。WannaCry勒索病毒全球大爆发,至少150个国家、30万名用户中招,造成损失达80亿美元,已经影响到金融,能源,医疗等众多行业,造成严重的危机管理问题。中国部分Windows操作系统用户遭受感染,校园网用户首当其冲,受害严重,大量实验室数据和毕业设计被锁定加密。部分大型企业的应用系统和数据库文件被加密后,无法正常工作,影响巨大。

恶意软件的类型:

  • 高级持续性威胁(Advanced Persistent Threat):指向商业性和政治性的目标、使用多种入侵技术和恶意软件并在很长一段时间内发起持续有效的攻击的网络犯罪,背后往往有相关政治性支持的组织。
  • 广告软件( Adware ):集成在软件中的广告程序。它能够产生弹出式广告或将浏览器重新定向到某一个商业性质的网站。
  • 攻击工具包( Attack Kit ):一套通过使用各种传播和载荷机制自动生成新恶意软件的工具。
  • 后门( Backdoor ):能够绕过正常安全检查的任何机制;它可以允许未经授权访问某些功能。
  • 下载器( Downloader ): 在被攻击的机器上安全其他内容的程序。
  • 漏洞攻击( Exploit ):针对某个或多个漏洞进行攻击的代码。( 详见 CVE—Common Vulnerabilities and Exposures )
  • 泛洪攻击( Flooder ):通过向联网的计算机系统发送大量数据包而实现拒绝服务攻击的程序。
  • 键盘记录器( Keylogger ):捕获受控系统中键盘输入的程序。(Symantec将其定义为间谍软件“Spyware”)
  • 宏病毒( Macro Virus ):一种使用宏或脚本语言编写的病毒,通常被植入到Microsoft Office的文档中,当该文件被浏览或编辑时被触发和运行(通常APT组织使用该方式进行钓鱼攻击或者叫鱼叉攻击)
  • Rookit:攻击者成功入侵计算机系统并获得root权限之后使用的一套攻击工具(通常情况下为驱动文件具有难以发现和难以清除的特点)
  • 特洛伊木马( Trojan ):一种计算机程序,看上去具有有用的功能,但具有隐藏的或者潜在的恶意功能,通常用来避开安全机制的检查(例如调用被感染系统的合法权限)
  • 病毒( Virus ):当其被运行时,将自身复制或者感染其他可执行文件的恶意软件
  • 蠕虫( Worm ):能够独立运行并且可以将自己完整的可执行文件传播到网络上其他主机(通常使用攻击目标的软件漏洞)
  • 僵尸计算机( Zombie、Bot ):在被感染的计算机中运行,激活后向其他计算机发动攻击的程序(当达到一定规模时称为僵尸网络“Botnet”)

黑客攻击

黑客攻击手段可分为非破坏性攻击和破坏性攻击两类。非破坏性攻击一般是为了扰乱系统的运行,并不盗窃系统资料,通常采用拒绝服务攻击或信息炸弹;破坏性攻击是以侵入他人电脑系统、盗窃系统保密信息、破坏目标系统的数据为目的。 攻击手段 Ping of Death:

 在因特网上,死亡之Ping一种的英文拒绝服务攻击,方法是由攻击者故意发送大于65535字节的IP 数据包给对方TCP / IP的特征之一是分片;它允许单一IP包被分为几个更小的数据包。系统在接收到全部分段并重组时总的长度超过了65535字节,导致内存溢出,主机这时就会出现内存分配错误而导致TCP / IP 堆栈崩溃,导致死机。
 还有一种攻击手段,是故意修改并发送每一个分段的位移量,让主机接受包后尾部不能连接到头部导致死机。
 这些攻击在早期互联网的时候非常猖獗,但是随着协议的完善以及防火墙的设置,受到这些包时主机会自动识别并且放弃这些包,就完成了对这种攻击的防御。

Dos攻击:

就是Denial of Service,拒绝服务。这种攻击从理论上是无解的。DoS攻击是指故意的攻击网络协议实现的缺陷或直接通过野蛮手段残忍地耗尽被攻击对象的资源,目的是让目标计算机或网络无法提供正常的服务或资源访问,使目标系统服务系统停止响应甚至崩溃。
普通的Dos攻击,例如SynFlooding(同步泛滥)这种仅使用一个或极少个主机对服务器进行持续的流量攻击很容易被防护程序或网站管理员注意到并及时采取措施,这种攻击在现在几乎不会出现,而且由于主机数量的关系,流量不会太大,防护高的话甚至不会有什么影响,所以这种攻击对于具有上述条件的服务器来说并没有较大的威胁
最臭名昭著的就是DDOS攻击,黑客发现DOS攻击需要大量的带宽,但是大部分黑客并没有大量的带宽,所以黑客通过集合大量的肉鸡来对一个服务器发动大量的攻击请求,被冲击的服务器由于每一个请求都会消耗资源,由于处理不过来陷入恶性循环最终导致死机。或者制造大流量无用数据,造成通往被攻击主机的网络拥塞,使被攻击主机无法正常和外界通信。

一般攻击方式

根据RFC 4949文件进行划分

通常攻击分类

  • 主动攻击( Active Attack ):试图改变系统资源或影响其运行。
  • 被动攻击( Passive Attack):试图从系统中学习或利用信息,但不影响系统资源。

以攻击位置分类

  • 内部攻击( Inside Attack ):由安全边界内部的实体(“内部人员”)发起的攻击。

注:内部人员是指已被授权访问系统资源,但以未经授权方许可的方式使用资源的内部实体。

  • 外部攻击( Outside Attack ):由系统安全边界外部的非授权用户或者非法使用者发起的攻击。

主动攻击

主动攻击会导致某些数据流的篡改和虚假数据流的产生。这类攻击可分为篡改、伪造消息数据和终端(拒绝服务)。

① 病毒:通过某种形式的受感染文件传播的自我复制程序。

② 蠕虫:在不使用受感染文件的情况下传播的自我复制程序;通常蠕虫通过计算机上的网络服务或电子邮件传播。

③ 特洛伊木马程序:一种看似正常的程序,具有某种恶意目的。

④ 缓冲区溢出:通过溢出另一个进程的缓冲区获得控制或使另一个进程崩溃的进程

⑤ 拒绝服务攻击:阻止合法用户访问或使用主机或网络的攻击。

⑥ 网络攻击:通过操纵网络协议(从数据链路层到应用层)攻击网络或网络上的用户的攻击。

⑦ 物理攻击:基于破坏网络或计算机物理部件的攻击

⑧ 密码攻击:旨在获取密码的攻击

⑨ 信息收集攻击:在攻击中不进行物理或数字伤害,也不发生颠覆,但攻击者获取重要信息的攻击,可能用于进一步的攻击。

篡改消息

篡改消息是指一个合法消息的某些部分被改变、删除,消息被延迟或改变顺序,通常用以产生一个未授权的效果。如修改传输消息中的数据,将“允许甲执行操作”改为“允许乙执行操作”。

伪造

伪造指的是某个实体(人或系统)发出含有其他实体身份信息的数据信息,假扮成其他实体,从而以欺骗方式获取一些合法用户的权利和特权。

拒绝服务

拒绝服务即常说的DoS(Deny of Service),会导致对通讯设备正常使用或管理被无条件地终端。通常是对整个网络实施破坏,以达到降低性能、终端服务的目的。这种攻击也可能有一个特定的目标,如到某一特定目的地(如安全审计服务)的所有数据包都被组织。

被动攻击

被动攻击中攻击者不对数据信息做任何修改,截取/窃听是指在未经用户同意和认可的情况下攻击者获得了信息或相关数据。通常包括窃听、欺骗、流量分析、破解弱加密的数据流等攻击方式。

流量分析

流量分析攻击方式适用于一些特殊场合,例如敏感信息都是保密的,攻击者虽然从截获的消息中无法的到消息的真实内容,但攻击者还能通过观察这些数据报的模式,分析确定出通信双方的位置、通信的次数及消息的长度,获知相关的敏感信息,这种攻击方式称为流量分析。

窃听( Man-in-the-MiddleAttack )

窃听是最常用的手段。目前应用最广泛的局域网上的数据传送是基于广播方式进行的,这就使一台主机有可能受到本子网上传送的所有信息。而计算机的网卡工作在杂收模式时,它就可以将网络上传送的所有信息传送到上层,以供进一步分析。如果没有采取加密措施,通过协议分析,可以完全掌握通信的全部内容,窃听还可以用无限截获方式得到信息,通过高灵敏接受装置接收网络站点辐射的电磁波或网络连接设备辐射的电磁波,通过对电磁信号的分析恢复原数据信号从而获得网络信息。尽管有时数据信息不能通过电磁信号全部恢复,但可能得到极有价值的情报。 由于被动攻击不会对被攻击的信息做任何修改,留下痕迹很好,或者根本不留下痕迹,因而非常难以检测,所以抗击这类攻击的重点在于预防,具体措施包括虚拟专用网VPN,采用加密技术保护信息以及使用交换式网络设备等。被动攻击不易被发现,因而常常是主动攻击的前奏。 被动攻击虽然难以检测,但可采取措施有效地预防,而要有效地防止攻击是十分困难的,开销太大,抗击主动攻击的主要技术手段是检测,以及从攻击造成的破坏中及时地恢复。检测同时还具有某种威慑效应,在一定程度上也能起到防止攻击的作用。具体措施包括自动审计、入侵检测和完整性恢复等。

特殊攻击方式

概念:异于一般的攻击方式,该攻击方式往往更加隐蔽且危害性大

社会工程(Social Engineering)

定义:

该方式具有多种定义,但大都是针对“人”

社交工程是一种非技术手段,攻击者试图让人们泄露敏感信息或在他们的电脑上安装恶意软件。显然,这些类型的攻击使用的工具是技术性的,然而,这些攻击的成功执行在很大程度上依赖于人与人之间的交互,并将人的情感作为可利用的弱点。(Symantec)

常见方式:

  • 诱惑(Baiting):这种攻击主要利用了人们的好奇心。
  • 钓鱼(Phishing):这种攻击方式最老而且最成功,最常见的为上级与下级的关系(比如老板与该公司的员工),通常使用电子邮件或者其他电信方式
  • 冒名顶替(Pretexting):在这种策略中,一个虚构的角色被用来欺骗目标,使其泄露相关信息。(研究一个目标,利用所发现的信息,然后根据这些信息进行攻击)比如伪装成快递员,然后以快递地址被涂抹无法看清向目标人物询问其住宅地址以及手机号码(本人对快递行业没有恶意,只是突发奇想)
  • 交换(Quid Pro Quo):用一些东西来换取一些东西,比如说你给我核弹设计图我给你1毛钱之类的(这个例子并不是很合理)
  • 翻垃圾(Hunting):“翻垃圾”的目的是在与目标接触最少的情况下提取尽可能多的数据。(往往需要一些前提条件,例如目标的住址等)

社会工程人员的类型

实例:人员威胁

人员威胁为社会工程学的一种,它比环境和技术威胁更加难以处理。人员威胁比其他种类的威胁更加难以预知。更糟糕的是,人员威胁被特别设计用来攻破预防措施,并且是寻找系统中最脆弱的部分进行攻击,那就是“人”

以下为可能遇到的威胁:

  • 非授权的物理访问:比如说,那些不应该是雇员的人出现在这个需要授权才能进去的限制区域,往往是在有授权的人陪同进入或者被授权的人员的相关证明被窃取,通常会有盗窃,故意破坏或者误用的情况出现。(熊孩子入侵等)
  • 盗窃:这种威胁主要是对设备的偷窃和对数据通过拷贝进行的,偷听和搭线窃听也是这种行为,可以发生在内部或外部人员身上。
  • 故意破坏:对相关设备和数据的蓄意破坏。
  • 误用:这种威胁包括授权用户对资源的不当使用。(将机密文件放在大厅里供取阅)

以上为粗略的介绍常见行为,以下为更加具体的行为

  • 获得非授权的访问或帮助他人获得非授权的访问。
  • 修改数据(通常对其有直接利益关系)
  • 删除备份
  • 使系统崩溃或者破坏系统
  • 为了个人利益或者为了破坏特定目标而滥用系统
  • 持有作为要挟条件的数据(我有你ghs的证据)
  • 为商业间谍活动或欺诈计划盗取特定的数据或者相关用户的数据

无文件攻击(Fileless Attack)

预防措施

前言

ISO 74982文献对安全的定义是:“安全就是最大程度地减少数据和资源被攻击的可能性。

防火墙

防火墙是一种逻辑装置,用来保护内部网络不受外部网络的非法入侵,是近年来保护计算机网络安全的重要措施;同时是一种隔离控制技术,在内部网络与外部网络的接口处设置防火墙,阻止对信息资源的非法访问。

安装防火墙的基本原则

只要有恶意入侵的可能,无论是内部网络还是外部网络的接口处,都应该设置防火墙。

蜜罐

定义

蜜罐是掩人耳目的系统,是为引诱潜在的攻击者远离关键系统而设计的。

相关功能

  • 转移攻击者对重要系统的访问。
  • 收集有关攻击者活动的信息。
  • 引诱攻击者在系统中逗留足够的时间,以便于管理员对此攻击做出响应。

要求

  • 蜜罐内应存放一些让攻击者感觉有价值的文件,例如xx机密资料,xx员工档案等(文件内容应是假的而不是真实的,但至少要看起来是真实的)。
  • 合法的用户不会访问此蜜罐。
  • 蜜罐应使用虚拟环境将物理环境和蜜罐隔绝开,防止敏感操作在真实的环境中进行造成破坏。
  • 蜜罐被入侵后相关信息应立刻告知管理员。
  • 蜜罐应尽可能拖延攻击者的时间以便管理员采取措施。
  • 蜜罐不应该主动对外发送数据,如果发送数据即代表已被攻陷。

部署

  • 防火墙之外:

优势:减少对内部网络的风险,避免在防火墙后的系统遭到威胁。 局限性:难以捕获内部网络的攻击,特别是当防火墙在两个方向上过滤通信流量时。

  • 防火墙之内:

优势:可以检测来自内部网络的攻击,同时可以检测防火墙配置是否正确。 局限性:如果蜜罐被完全攻陷则会被攻击者用来攻击内部其他系统。如果仅仅配置内部蜜罐,则可能还需要修改防火墙配置从而导致潜在的安全风险。

概念

根据NIST计算机安全手册[NIST95]对计算机安全( Computer Security )的定义如下:

计算机安全: 为自动化信息系统提供的保护,目标是保持信息系统资源(包括硬件、软件、固件、信息/数据和电信)的完整性、可用性和机密性
  • 机密性( Confidentiality ) : 这个术语包含两个相关概念:
    1. 数据机密性:确保隐私或机密信息不被非授权的个人利用,或被泄露给非授权的个人。
    2. 隐私性:确保个人能够控制或影响与自身相关的信息的收集和存储,也能够控制这些信息可以由谁披露或向谁披露。
  • 完整性( Integrity ) : 这个术语包含两个相关概念:
    1. 数据完整性:确保信息和程序只能在指定的和被授权的情况下才能够被改变。
    2. 系统完整性:确保系统在未受损的方式下执行预期的功能,避免对系统进行有意或无意的非授权操作。
  • 可用性( Availability ) : 确保系统能够及时响应,并且不能拒绝授权用户的服务请求。

这三个概念形成了经常提到的CIA三元组(CIA Triad)。这三个概念具体体现了对数据和信息的基本安全目标和计算服务。例如,NIST标准FIPS 199(联邦信息和信息系统安全分类标准)将机密性、完整性和可用性列为信息和信息系统的三个安全目标。FIPS 199从需求的角度对这三个目标给出了具体的描述,并且提出了安全缺失的定义。

  • 机密性:保持对信息访问和披露的限制,包括对个人隐私和专有信息保护的措施。机密性缺失是指非授权的信息披露。
  • 完整性:防范不正当的信息修改和破坏,包括保证信息的抗依赖性和真实性。完整性缺失是指非授权的信息修改或破坏。
  • 可用性:确保及时可靠地访问和使用信息。可用性缺失是指对信息或信息系统的访问和使用的破坏。

尽管早已使用上述内容来定义安全目标,但以下两个概念经常在安全领域中被提到:

  • 真实性( Authenticity ):真实性是一种能够被验证和信任的表示真实情况或正确程度的属性,它使得传输、消息和消息源的有效性能够被充分信任。这意味着要验证用户的身份是否与其声称的一致,并需要保证到达系统的每一个输入都是来源于可信的信息源。
  • 可说明性( Accountability ):安全目标要求实体的动作能够被唯一地追踪。这需要支持抗抵赖( Non-repudiation )、堡垒( Deterrence)、故障隔离、入侵检测和防护,以及事后恢复和诉讼( Legal Action )。

注意,FIPS 199将真实性包含在完整性之中。

安全厂商

1.Norton

Norton BloodHound启发式引擎

BloodHound是赛门铁克独家的启发式侦测技术。和众多启发式引擎无异,它会借由可疑的行为来侦测病毒。BloodHound会制造一个虚拟的安全环境,使病毒展现出他的不良企图,而不会影响到本身计算机运作的稳定性。

综合性SONAR行为侦测/防御技术

启发只运行于虚拟主机当中,倘若病毒木马不幸进入实体主机,就得利用“行为防御技术”了;行为防御会分析可疑程序的行为,并事先阻拦,诺顿著名的SONAR无疑是当中最成熟的。直观来说,SONAR是一种行为侦测/防御的技术,其可以在建立病毒定义档及间谍软件侦测定义档前,阻止恶意程序码侵入。这些新兴且 未知的恶意程序码会透过木马程序、蠕虫、大众邮件病毒、间谍软件或者下载软件病毒的形式进行攻击与破坏。当许多产品仅使用一组有限的启发式法则时,SONAR可以透过广泛且异质的应用行为数据,大幅提升其防护能力,且明显地将误判率降至最低。
具体来说,SONAR技术与卡巴单纯的主动防御技术不同,它更注重途径防御(诺顿注重的“途径防御”,主要通过过各种不依赖病毒库的防御技术,封锁各种病毒感染途径,如漏洞防御,浏览器防御)。SONAR更多的是根据产品中一系列的引擎例如防火墙,防毒引擎,入侵防护引擎(IPS)、浏览器防护引擎(Browser Defender)等等来收集和整合信息的。然后所有这些信息会被分类器所使用来提高效能。这和其他厂商的技术有很大的区别。很多其他安全厂商没有如此庞大的信息来制作好的分类器。

全球智能云防护技术

和众多主流杀软一样,诺顿也拥有自己的全球智能云防护技术。除已知威胁病毒定义以外,“诺顿全球智能云防护”还可以通过“诺顿社区防卫”的安全和数据来确定新威胁及其来源,从而为用户提供额外的安全防护。另,SONAR技术拦截到的未知可疑文件,也会自动上传至“诺顿社区防卫”来进行分析。

Norton Insight

诺顿2009年增加的新技术Norton Insight,简单来说是一种白名单(但名单规则并不内存于软件当中,而是通过赛门铁克另有的平台随时更新),其原理为只扫描不被信任的文件或网站扫描,并略过知名又或者安全的文件及网站,该项技术可让扫描速度大幅提快,并降低误判率。   经由这些前摄性革新技术的加入,诺顿似乎更符合防毒软件而不是杀毒软件的定义。即使诺顿本身的手动扫描侦测率并不高,但有了这些技术,一样可以将病毒拒之门外,而不是中毒后的消极杀毒。

2.卡巴斯基

安全支付

当您进行网上银行业务或网上购物时,可保护您资金的安全
借助卡巴斯基安全软件 2014,无论何时尝试登录网上银行、网上支付系统网站或网上购物网站,卡巴斯基独有的安全支付技术可通过下列方式保护您的资金和个人信息的安全:
将该网站的 URL 与安全网站数据库进行比较
检查用来建立安全连接的证书,以防止您被定向到假冒网站
检查计算机上可影响您进行网银业务的任何操作系统的漏洞
自动以卡巴斯基特殊的安全支付模式打开网站,获得可防止窃取个人及财务信息的额外安全层

安全键盘和虚拟键盘

可防止您的数据被键盘记录器记录
网络罪犯会使用键盘记录程序和截屏恶意软件记录用户通过键盘输入的银行账户信息、信用卡号或其他重要信息,卡 安全键盘——无论何时访问网上银行或支付网站,或在任何网页输入密码,卡巴斯基的安全键盘功能就会自动激活。 安全键盘能让您通过计算机物理键盘输入数据,这时您的信息就不会被键盘记录器获取。
虚拟键盘——取代了通过键盘输入敏感信息(如密码和帐户详细资料),可使您通过多次鼠标点击来输入数据,以便您的重要信息不会被键盘记录器、黑客和身份窃贼跟踪或窃取。

自动漏洞入侵防护

即使您的计算机以及您在其上运行的应用程序尚未安装最新补丁和修补程序,卡巴斯基安全软件也可通过以下方法防止漏洞被利用:
控制包含漏洞的应用程序中的可执行文件的启动
分析可执行文件的行为,以识别与恶意程序的相似之处
限制含漏洞应用程序的允许运行方式

受信任应用程序模式

这一全新卡巴斯基安全技术使用卡巴斯基的白名单服务信息来限制在您的计算机上允许运行的那些应用程序。 卡巴斯基是唯一一家有自己的白名单实验室的网络安全软件供应商。\\该实验室可评估应用程序,以确定客户在他们的计算机上运行的应用程序是否安全。
当启用“受信任应用程序模式”时,您的计算机上仅可运行卡巴斯基指定为“受信任”的应用程序。 所有其他应用程序将受限制。

抵御锁屏恶意软件

锁屏木马能够阻止用户使用计算机,除非用户支付”赎金”,消除锁屏限制。 如果网络罪犯试图使用锁屏木马控制您的计算机,只需激活卡巴斯基针对锁屏木马的保护,卡巴斯基安全软件将:
终止所有危险进程
启动相关的病毒处理措施

3.小红伞

Avira AntiVir是一套由德国的Avira公司所开发的杀毒软件。Avira 除了商业版本外,还有免费的个人版本。它的接口没有如此的华丽,也没有耍噱头而无用的多余项目。是一款知名的免费杀毒软件,用户超过七千万,它改写许多人“免费杀毒软件就一定比较差”的观念,在系统扫描、即时防护、自动更新等方面,表现都不输给知名的付费杀毒软件,甚至比部分商业杀毒软件还要高,因此成为许多用户挑选杀毒软件的首选。采用高效的启发式扫描,可以检测70%的未知病毒。在专业测试中是所有免费且是自主杀毒引擎的防病毒软件中,侦测率最高的。一些知名的杀毒软件像360安全卫士,腾讯电脑管家等也采用小红伞的引擎!
2008年10月台湾吉瑞科技获得德国Avira许可,开始代理销售中文版杀毒软件。2010年1月4日,推出繁体中文体验版。次日繁体中文个人免费体验版开放下载。同年3月30日,简体中文版也开始提供下载。
软件之所以名为“小红伞”是因为它独特的红色病毒防护伞形图标,软件的活动区通知图标设计独具特色,当软件处于非活动状态时是收拢的三角形伞,软件开始实时监控防护时,图标为撑开的半圆形伞。软件虽然只有几十兆的较小身形,运行监控和清理时对内存占用也不大,但是防护功能和查杀水平在杀毒软件中却位列前茅,与其“AVIRA”(Anti-Virus I Rank A“我是排名第一的杀毒软件”)旨意十分相称。

行业

网络安全行业是指信息网络的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断。信息安全主要包括以下五方面的内容,即需保证信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性。

网络安全工程师

随着互联网发展和IT技术的普及,网络和IT已经日渐深入到日常生活和工作当中,社会信息化和信息网络化,突破了应用信息在时间和空间上的障碍,使信息的价值不断提高。但是与此同时,网页篡改、计算机病毒、系统非法入侵、数据泄密、网站欺骗、服务瘫痪、漏洞非法利用等信息安全事件时有发生。

就业职位

现在,网络安全工程师的就业职位很广泛,总结下来主要有网络安全工程师、网络安全分析师、数据恢复工程师、网络构架工程师、网络集成工程师、网络安全编程工程师。

工作内容

1、分析网络现状。对网络系统进行安全评估和安全加固,设计安全的网络解决方案; 2、在出现网络攻击或安全事件时提供服务,帮助用户恢复系统及调查取证; 3、针对客户网络架构,建议合理 的网络安全解决方案; 4、负责协调解决方案的客户化实施、部署与开发,推定解决方案上线; 5、负责协调公司网络安全项目的售前和售后支持。

标准

文档

编辑成员
14 人

兔子大了留不住, 轻光233, heisse, sunsetglow, luobo, 邵波, limonene, lasdty, MattGideon, 游日山霸霸, 方桌工作台, Px, 黑煤球, MozChan

评论(5)

你需要登录发表评论。
heisse 2019-07-27 12:08:32
添加了一些黑客攻击的手段,但是并没有涵盖全部,希望有人继续添加。(这个排版怎们搞啊)
luobo 2019-07-07 15:28:17
我发现现在这个词条的术语有点混乱,如果有学术大牛或业界翘楚可以根据“《通信科学技术名词》”等规定规范词条内术语的来优化那就最吼了。
MattGideon 2019-05-11 19:24:59
现在学安全前途光明惹(政策支持),根据《第十一届网络空间安全学科专业建设与人才培养研讨会》,“我国网络空间安全人才年培养规模在3万人左右,已培养的信息安全专业人才总量不足10万,离目前需要的70万差距巨大。”
黑煤球 2019-05-10 08:38:31
学安全还是不错的,现在越来越多的职业院校注重网络安全和云相关的专业,这方面的人会越来越多。我是因为爱好选择的这个方向,大家一起努力。
黑煤球 2019-05-10 08:38:31
学安全还是不错的,现在越来越多的职业院校注重网络安全和云相关的专业,这方面的人会越来越多。我是因为爱好选择的这个方向,大家一起努力。
oLubo1TOlFKaXnphrlQZ6ksPiAPg 2019-05-06 16:01:27
本人就是这个方向。学艺不精,所以只能贡献一个评论了。貌似这个领域好多前辈啊,一上来就有5个前辈在编辑,其他的都是三个或者没有。感谢吴松磊,让我们用上中国版“维基百科”,努力提升自己,让自己死而无憾。
oLubo1TOlFKaXnphrlQZ6ksPiAPg 2019-05-06 16:01:27
本人就是这个方向。学艺不精,所以只能贡献一个评论了。貌似这个领域好多前辈啊,一上来就有5个前辈在编辑,其他的都是三个或者没有。感谢吴松磊,让我们用上中国版“维基百科”,努力提升自己,让自己死而无憾。
1
回形针手册-icons