名称 说明 机密性 机密性是指网络信息不泄露给非授权用户、实体或程序,能够防止非授权者获取信息。 完整性 完整性是指网络信息或系统未经授权不能进行更改的特性 可用性 可用性是指合法许可的用户能够及时获取网络信息或服务器的特性 抗抵赖性 抗抵赖性是指防止网络信息系统相关用户否认其活动行为的特性 可控性 可控性是指网络信息系统责任主体对其具有管理、支配能力的属性。 其他 除了常见的网络信息安全系统安全特性,还有真实性、时效性、公平性、可靠性、可生存性、和隐私性等。
网络安全具体目标保障网络信息及相关信息系统免受网络安全威胁,相关保护对象满足网络安全的基本属性要求,用户网络行为符合国家法律法规要求。网络信息系统能够支持业务安全持续运营,数据安全得到有效保护。
名称 | 说明 |
网络信息安全防御 | 网络信息安全防御是采取各种手段和措施,使得网络系统具备阻止、 抵御各种已知网络安全威胁的功能。 |
网络信息安全监测 | 网络信息安全监测是采取各种手段和措施,监测、 发现各种已知或未知的网络安全威胁的功能。 |
网络信息安全应急 | 网络信息安全应急是指采取各种手段和措施,针对网络系统安全中的突发事件, 具备及时响应和处置网络攻击的功能。 |
网络信息安全恢复 | 网络系统安全恢复是指采取各种手段和措施,针对已发生的网络灾害事件, 具备网络系统运行的功能。 |
名称 | 说明 |
物理环境安全 | 包括环境、设备和记录介质在内的所有支持网络系统运行的硬件总体安全,是网络系统安全、可靠、不间断运行的基本保证。 |
网络信息安全认证 | 实现信息安全认证是实现网络资源访问控制的前提和依据是有效保护网络管理对象的重要技术要求。 |
网络信息访问控制 | 保护网络管理对象,使其免受伤害的关键技术, 其主要目的有: 1:限制非法用户获取或使用网络资源。 2:防止合法用户滥用权限,越权访问网络资源。 |
网络信息安全保密 | 目的就是防止非授权用户访问网上信息或网络设备。 |
网络信息安全扫描 | 网络系统中需配备弱点或漏洞扫描系统,用以监测网络中是否存在安全漏洞。 |
恶意代码防护 | 防范恶意代码是网络系统中必不可少的安全需求。 |
网络信息内容安全 | 是指相关网络信息系统承载的信息据符合法律法规要求,防止不良信息以及垃圾信息传播。 |
网络信息安全监测与预警 | 作用与发现综合网系统入侵活动和安全保护措施的有效性。 |
网络信息安全以及响应 | 能够通过采取措施来保障在出现意外的情况下,恢复正常的运作。 |
网络信息安全管理要素由 网络管理对象、网络威胁、网络脆弱性、网络风险、网络保护措施组成。
网络信息管理对象是企业、机构直接赋予了价值而需要被保护的资产。
管理对象又可以进行分类:
对象类型(常见) | 范例 |
---|---|
硬件 | 计算机、网络设备、传输介质及转换器、输入输出设备、监控设备 |
软件 | 网络操作系统、网络通信软件、网络管理软件 |
存储介质 | 光盘、硬盘、软盘、磁带、移动存储器 |
网络信息资产 | 网络IP地址、网络物理地址、网络用户账号/口令、网络拓扑图 |
支持保障系统 | 消防、保安系统、动力、空调、厂商服务系统 |
网络系统包含各类不同资产,由于其所具备的价值,将会受到不同类型的威胁。
威胁主体有:国家、黑客、恐怖份子、网络犯罪、商业竞争对手、新闻机构、不满内部的工作人员、粗心的内部工作人员等。
网络安全管理实际上是对网络系统中网络对象的风险进行控制,方法有:避免风险、转移风险、减少威胁、消除脆弱点、减少威胁的影响、风险检测。
1:确定网络信息安全管理对象;
2:评估网络信息安全对象的价值;
3:识别网络信息安全管理对象的威胁;
4:识别网络信息安全管理对象的脆弱性;
5:确定网络信息安全管理对象的风险等级;
6:制定网络信息安全防范体系及防范措施;
7:运行/维护网络信息安全设备、配置。
网络攻击:是指损害网络系统安全属性的危害行为。危害行为导致网络系统的机密性、完整性、可控性、真实性、抵抗赖性等收到不同程度的破坏。
常见的危害行为有四个基本类型:①信息泄露攻击;②完整性破坏攻击;③拒绝服务攻击;④非法使用攻击。
攻击者:间谍、恐怖主义者、黑客、职业犯罪分子、公司职员和破坏者。
攻击工具:用户命令、脚本或程序、自治主体、电磁泄露。
攻击访问:本地访问、远程访问。
攻击效果:破坏信息;信息泄密;窃取服务;拒绝服务。
攻击意图:获取情报信息;获取恐怖主义集团的利益;表现自己或技术挑战;获取经济利益;好奇;报复或者发泄不满情绪。
:掌握网络攻击模型有助于更好地理解分析网络攻击活动,以便对目标系统的抗攻击能力进行评测。常见的攻击模型如下:
1.攻击树模型:起源于故障树分析方法,经过扩展用AND-OR形式的树结构对目标对象进行网络安全威胁分析。可以被Red Team用来进行渗透测试,同时可以被Blue Team用来研究防御机制。
优点:能够采用专家头脑风暴法,并且将这些意见融合到攻击树中去;能够进行费效分析或者概率分析;能够建模非常复杂的场景
缺点:由于树的内在结构限制,攻击树不能用来建模多重常识攻击、时间依赖以及访问控制等场景;不能用来建模循环事件;对于现实中的大规模网络、攻击树方法处理起来会特别复杂。
2.MITRE ATT&CK模型:根据真实观察到的网络攻击数据提炼形成的攻击矩阵模型;该模型把攻击活动抽象为初始方向、执行、持久化、特权提升、规避防御、任凭访问、发现、横向移动、收集、指挥和控制、外泄、影响。然后给出攻击活动的具体实现方法。主要应用场景有 网络红蓝对抗模拟,网络安全渗透测试、网络防御差距评估、网络威胁情报收集等。
3.网络杀伤链(Kill Chain)模型:将网络攻击分成目标侦查,武器构造、载荷投送、漏洞利用。安装植入、指挥和控制、目标行为等7个阶段。
(1)隐藏攻击源。利用被侵入的主机作为跳板;免费代理网关;伪造IP地址;假冒用户账号。
(2)收集攻击目标信息。收集目标系统的一般信息、配置信息、安全漏洞信息、安全措施信息、用户信息。
(3)挖掘漏洞信息。系统或应用服务软件漏洞;主机信任关系漏洞;目标网络使用者漏洞;通信协议漏洞;网络业务漏洞;
(4)获取目标访问权限。获取系统管理员口令,利用系统管理上的漏洞
(5)隐蔽攻击行为。连接隐藏;进程隐藏 ;文件隐藏。
(6)实施攻击。
(7)开辟后门。(放宽文件许可证;重新开发不安全的服务;修改系统的配置;替换系统本身的共享库文件)
(8)清理攻击痕迹。篡改日志文件中的审计信息;改变系统时间造成日志文件数据紊乱;删除或者停止审计服务进程。干扰入侵检测系统的正常运行;修改完整性监测标签。
(1)端口扫描:目的是找出目标系统上提供的服务列表。挨个尝试与TCP/UDP端口链接,然后根据端口与服务的对应关系,结合服务器端的反映推断目标系统上是否运行某项服务,攻击者通过这些服务可能获得关于目标系统的进一步的知识或通向目标系统的途径。扫描类型包括:
-完全连接扫描:利用TCP/IP协议的三次握手连接机制,使源主机的某个端口建立一次完整的连接。如果建立成功,则表明端口开放,否则,表明该端口关闭。
-半连接扫描:是指在源主机和目的主机的三次握手连接过程中,只完成前2次握手,不建立一次完整的连接。
-SYN扫描:首先向目标主机发送连接请求,当目标主机返回响应后,立刻切断连接过程,并查看响应情况。如果目标主机返回ACK信息,表示目标主机的该端口开放。如果目标主机返回RESET信息,表示该端口没有开放。
-ID头信息扫描:需要用一台第三方机器配置扫描,并且这台机器的网络通信量非常少。即dumb主机。首先由源主机A向dumb主机B发出连续的IP ING数据包,并且查看主机B返回的数据包的ID头信息。一般而言,每个顺序数据包的ID头值会增加1,然后由源主机A假冒主机B的地址向目的主机C的任意端口(1-65535)发送SYN数据包。这时,主机C向主机B发送的数据包有两种结果:
SYN| ACK 表示端口处于监听状态。
RST|ACK 表示该端口处于非监听状态。
那么后续的 PING数据包的响应信息的ID头信息可以看出,如果主机C的某个端口是开放的,则主机B返回到A的数据包中,ID的值不是递增1,而是大于1。如果主机C的某个端口是非开放的,则主机B返回A的数据包中,ID头的值递增1,非常规律。
-隐蔽扫描 :是指能够成功的绕过IDS,防火墙和监视系统等安全机制。取得目标主机信息的一种扫描
-SYN|ACK扫描:由源主机向目标主机的某个端口直接发送SYN|ACK数据包,而不是先发送SYN数据包。这种方法不发送SYN数据包,目标主机会认为这是一次错误的连接,从而报错。如果目标主机端口没有开放,回返回RST信息;如果该端口开放,则不会返回任何信息,而是将数据包丢掉。