目录
一、安全攻防简介
1.1安全攻防介绍
1.2网络安全概述
1.3网络攻击:
1.4安全防御
二、信息安全发展历程
2.1信息安全发展简介
2.2信息安全发展历程
三、信息安全职业发展方向
3.1信息安全职业前景
3.2信息安全职业发展方向
课程目标:这节课我们来介绍安全攻防以及信息安全的职业发展历程,去了解什么是安全攻防以及安全攻防的基本概念,攻击和防御的由来。
任务目标:通过对这节课的学习,能够对安全攻防有进一步的了解和认识,掌握安全攻防基本概念,了解信息安全的发展历程和职业发展方向。
攻防即攻击基本原理与防范技术。攻击是指利用网络存在的漏洞和安全缺陷对网络系统的硬件、软件及其系统中的数据进行的攻击。安全攻防是网络中攻击和防御的总称。
针对每一种威胁或存在的漏洞做出相应的攻击与防御,如扫描与防御技术、网络嗅探及防御技术、口令破解与防御、Web攻击与防御、缓冲区溢出攻击与防御等。
网络攻击防御体系
从系统安全的角度可以把网络安全的研究内容分为两大体系网络攻击和网络防御。
网络安全概念:
网络的安全是指通过采用各种技术和管理措施,使网络系统正常运行,从而确保网络数据的可用性、完整性和保密性。网络安全的具体含义会随着“角度”的变化而变化。比如:从用户(个人、企业等)的角度来说,他们希望设计个人隐私或商业利益的信息在网络上传输时受到机密性、完整性和真实性的保护。
网络安全目标:
网络安全的最终目标是通过各种技术与管理手段实现网络信息系统的机密性、完整性、可用性、可靠性、可控性和拒绝否认性,其中前三项时网络安全的基本属性。
网络安全特性:
网络攻击是利用网络存在的漏洞和安全缺陷对网络系统的硬件、软件及其系统中的数据进行的攻击。主要分为主动攻击和被动攻击。如:
主动攻击:
主动攻击会导致某些数据流的篡改和虚假数据流的产生。
这类攻击进一步可分为篡改、伪造信息数据和终端(拒绝服务)
篡改:更改报文流包括对通过连接的PDU的真实性、完整性和有序性的攻击
拒绝服务:拒绝服务指攻击者向因特网上的服务器不停地发送大量分组,使因特网或服务器无法正常提供正常服务。
伪造:伪造连接初始化,攻击者重放以前已被记录的合法连接初始化序列,或者伪造身份而企图建立连接
被动攻击:
被动攻击中攻击者不对数据信息做任何修改,攻击者只是观察和分析某一个协议数据单元PDU而不干扰信息流。
截取/窃听是指在未经用户同意和认可的情况下攻击者获得了信息或相关数据。通常包括窃听、流量分析、破解弱加密的数据流等攻击方式。攻击方法有口令入侵、特洛伊木马、电子邮件、节点攻击、网络监听、黑客软件、安全漏洞、端口扫描等攻击方法。
为了抵御网络威胁,并能及时发现网络攻击线索,修补有关漏洞,记录、审计网络访问日志,以尽可能地保护网络环境安全,可采用以下安全防御技术。
防火墙
防火墙由服务访问规则、验证工具、包过滤和应用网关这四个部分组成,是一种较早使用、实用性很强的网络安全防御技术,它阻挡对网络的非法访问和不安全数据的传递,使得本地系统和网路免于受到许多网络安全威胁。在网络安全中,防火墙主要用于逻辑隔离外部网络与受保护的内部网络。
防火墙主要是实现网络安全的安全策略,而这种策略是预先定义好的,所以是一种静态安全技术。在策略中涉及的网络访问行为可以实施有效管理,而策略之外的网络访问行为则无法控制。防火墙的安全策略由安全规则表示。
入侵检测防护
入侵防护系统(IPS)则倾向于提供主动防护,注重对入侵行为的控制。其设计宗旨是预先对入侵活动和攻击性网络流量进行拦截,避免其造成损失。IPS是通过直接嵌入到网络流量中实现这一功能的,即通过多个网络端口接收来自外部系统的流量,经过检查确认其中不包含异常活动或可疑内容后,通过另外一个端口把它传送到内部系统中。这样一来,有问题的数据包,以及所有来自同一数据流的后续数据包,都能在IPS设备中被清除掉。
VPN
VPN网络连接由客户机、传输介质和服务器三部分组成,VPN的连接不是采用物理的传输介质,而是使用称之为“隧道”的技术作为传输介质,这个隧道是建立在公共网络或专用网络基础之上的。常见的隧道技术包括:点对点隧道协议(Point-to PointTunneling Protocol,PPTP)、第2层隧道协议(Layer 2 Tunneling Protocol.L2TP)和IP安全协议(IPSec)。
安全扫描
安全扫描包括漏洞扫描、端口扫描、密码类扫描(发现弱口令密码)等。安全扫描可以应用被称为扫描器的软件来完成,扫描器最有效的网络安全检测工具之一,它可以自动检测远程或本地主机、网络系统的安全弱点以及所存在可能被利用的系统漏洞。
网络蜜罐技术
蜜罐(Honeypot)技术是一种主动防御技术,是入侵检测技术的一个重要发展方向,也是一个“诱捕”攻击者的陷阱。蜜罐系统是一个包含漏洞的诱骗系统,它通过模拟一个或多个易受攻击的主机和服务,给攻击者提供一个容易攻击的目标。攻击者往往在蜜罐上浪费时间,延缓对真正目标的攻击。由于蜜罐技术的特性和原理,使得它可以对入侵的取证提供重要的信息和有用的线索,便于研究入侵者的攻击行为。
企业信息系统的安全防御体系可以分为三个层次:安全评估,安全加固,网络安全部署。
国际标准化组织(ISO)将信息安全定义为:为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和泄漏,使系统能够连续、正常运行。但随着信息安全行业的发展,信息安全的内涵不断延伸,从最初的信息保密性发展到信息的完整性、可用性、可控性和不可否认性,进而又发展为“攻(攻击)、防(防范)、测(检测)、控(控制)、管(管理)、评(评估)”等多方面的基础理论和实施技术。
信息安全的历史其实是黑帽子和白帽子的对抗史,黑帽子通常指身怀绝技能随意出入计算机网络和系统的高手,白帽子是指维护网络与系统的安全管理人员。他们对抗的过程中也就是不断发现漏洞和填补漏洞的过程,从而促进了信息安全技术的不断进步。
随着IT技术的发展,各种信息电子化,更加方便地获取、携带与传输,相对于传统的信息安全保障,需要更加有力的技术保障,而不单单是对接触信息的人和信息本身进行管理,介质本身的形态已经从“有形”到“无形”。在计算机支撑的业务系统中,正常业务处理的人员都有可能接触,截取这些信息,信息的流动是隐性的,对业务流程的控制就成了保障涉密信息的重要环节。
从信息安全的发展历程来看,信息安全经历了通信保密阶段、信息安全阶段、信息保障阶段这三个阶段
第一阶段:通信保密阶段
1995年以前,以通信保密和依照TCSEC的计算机安全标准开展计算机的安全工作,其主要的服务对象是政府保密机构和军事机构
第二阶段:信息安全阶段
在原有基础上,1995年开始以北京天融信网络安全技术有限公司、北京启明星辰信息技术有限公司,北京江南科友科技有限公司、北京中科网威信息技术有限公司、北京清华德实科技股份有限公司、上海复旦光华信息科技股份有限公司等一批从事信息化安全企业的诞生为标志的创业发展阶段,主要从事计算机与互联网安全。
从1999年起,将信息安全的工作重点逐步转移到银行与电信信息化安全建设上。
2000年我国第一个行业性质的《银行计算机系统安全技术规范》出台,为我国信息化安全建设奠定了基础和树立了示范。
这个时期主要提供的是隔离、防护、检测、监控、过滤等中心的局域网安全服务技术与产品,其主要面对病毒、黑客和非法入侵等威胁。到2001年,一时间全国成立1300多家从事信息化安全的企业。
第三阶段:信息保障
以2002年成立中国信息产业商会信息安全产业分会为标志的有序发展阶段。这个阶段不仅从事互联网的信息与网络安全,而且开始对国家基础设施信息化安全开展工作,产生了许多自有知识产权的信息与网络安全产品。
政策推进,行业成长再上新台阶
信息安全涉及到软件安全、网络安全、web安全、系统安全、密码学等等领域。
信息安全发展方向
信息安全主要有三个就业方向,渗透测试相关(脚本、网络)、协议分析相关(逆向、网络)、底层安全相关(内核、驱动)。
国家路线:政府机关、保密局、军事部国防部、国家相关安全部门、银行、金融证券、通讯电信业,主要从事各类信息安全系统、计算机安全系统的方面的安全防护工作。
信息安全十大安全岗位
1.首席信息安全官(CISO)
首席信息安全官是C级高管,其主要任务是监督企业的IT安全部门和其它相关人员的日常工作。首席安全官最关注企业的整体安全情况,因此,必须在IT战略和安全体系方面展示出过硬的背景和与他人沟通的技巧。
2.安全架构师
安全架构师的职责是建立和维护计算机网络安全基础设施,能针对企业的技术和信息需求制定一份全面的规划,并在此基础上开发和测试安全基础设施,保护企业的系统。安全架构师应当掌握一系列技术概念:ISO 27001/27002(信息安全管理实施规则与规范体系)、ITIL(IT基础架构库)和COBIT(信息及相关技术控制目标)、风险评估流程、操作系统、边界安全控制等。
3.安全主管
安全主管的职责是监督企业中所有安全措施的实行情况,主要职责是针对公司中的各种安全项目进行设计、管理、分配资源;在公司中组织培训,培养用户意识,进行安全教育;与非管理层员工进行互动;在安全事件发生过程中、事后执法调查时提供关键援助。在一些较小的企业中,其功能相当于首席信息安全官
4.安全经理
安全经理的职责是管理企业的IT安全政策,主要是根据安全主管和首席信息安全官的指令创建和执行安全策略。他们还必须测试和使用新的安全工具,引导安全意识教育,同时管理部门预算和人员安排。安全经理应当同时具有程序设计、公司架构、IT策略背景。
5.安全工程师
安全工程师的职责是建立和维护公司的IT安全解决方案,需要配置防火墙、测试新的安全解决方案、调查入侵事件并完成其他任务,同时向安全经理汇报。渴望成为安全工程师的人们必须具备在漏洞、渗透测试、虚拟化安全、应用和加密、网络和相关协议方面很深的技术背景。一位安全工程师越熟悉更多的工具和概念,就越能帮助解决公司安全系统出现的种种问题。
6.应急响应人员
主要工作是对公司内的安全漏洞、安全事件、威胁进行响应,并为之负责。因此,那些有志于这一职位的人必须能够实时监控公司的网络,发现其中的入侵迹象,进行安全审查、渗透测试、恶意软件分析、逆向工程,并设计不仅能够减少特定安全事件的影响,还能防止类似的进一步入侵发生的策略。需要熟悉大量的技术,包括基于网页的应用安全、数据处理及电子鉴定软件和工具。
7.安全顾问
安全顾问是帮助公司根据安全需求实现最佳解决方案的外聘专家。希望成为安全顾问的人必须了解一系列安全标准、安全系统和验证协议。如果想要做的优秀,还需要乐意建立所属公司的深度模型,这包括和管理人员以及其他高管进行商谈,并熟悉公司的安全策略。
8.计算机鉴定专家
分析从计算机吗,网络和其他数据存储设备上抓取的证据,以调查计算机犯罪事件。鉴定专家通常与执法部门关系密切,收集可以作为法律证据的信息。执法机构、法律公司以及各级政府都经常雇佣计算机鉴定专家。希望从事此项职业的人们必须熟悉多种编程语言、操作系统、密码学原理、数据处理及电子鉴定工具。
9.恶意软件分析师
恶意软件分析师的职责是帮助公司理解病毒、蠕虫、自运行木马、传统木马,以及其他日常可能危害公司网络的恶意软件。在一次入侵或其他可疑计算机行为中发现那些可能渗透进公司计算机系统的恶意软件。担任这项职务需要具有对恶意代码进行静态或动态分析的能力,以找出恶意软件的指纹,并开发能够防止未来可能入侵的工具。
10.安全专家
需要执行一系列旨在加强公司安全情况的职责。通常情况下,安全专家需要分析一家公司的安全需求、在企业网络上安装和配置安全解决方案、进行漏洞测试、帮助培训其他员工的安全意识。想要成为安全专家的人们应当对黑客、计算机网络、编程、安全信息和事件管理(SIEM)系统感兴趣。
参考:安全攻防概述及入侵阶段类型介绍_哔哩哔哩_bilibili