防御保护--信息安全概述
防御保护--信息安全概述
一、网络安全的背景
1.1 网络安全的定义
网络安全又叫网络空间安全(Cyberspace),2003年美国提出网络空间的概念,即一个由信息基础设施(包括计算机、交换机、服务器等物质实体)组成的互相依赖的网络。我国官方文件的定义,即网络空间为继海(海洋)、陆(陆地)、空(天空)、天(太空)以外的第五大人类活动领域。
1.2 信息安全和网络安全
(1)信息安全就是数据安全,即防止任何对数据进行未授权访问的措施,或者防止造成信息有意无意泄漏、破坏、丢失等问题的发生,让数据处于远离危险、免于威胁的状态或特性。
(2)网络安全是计算机网络环境下的信息安全,即对数据的保护。
1.3 网络安全的演变发展史
通信保密阶段 --- 计算机安全阶段 --- 信息系统安全阶段 --- 网络空间安全阶段
补充:
(1)交换机与路由存在的意义:主要是为了实现网络互联,包括转发数据等。
(2)网络的终极目标:万物互联。
(3)云计算定义:云计算(Cloud Computing)是一种基于互联网的计算模式,它允许用户通过网络访问和使用共享的计算资源和服务。(云计算是从分布式计算演化过来的,云就是网络的意思,通过网络将大规模数据处理任务分解成多个子任务,并由多台服务器协同工作以完成这些任务)。
二、网络空间安全的现状与挑战
2.1 网络空间安全的现状
网络空间安全市场在中国潜力无穷。
2.2 网络空间安全的挑战:
(1)数字化时代威胁升级。如勒索病毒、个人信息外泄、APT攻击(又叫高级持续性威胁)、数据泄漏等。
(2)传统安全防护逐步失效。如传统防火墙、IPS、 杀毒软件等基于特征库的安全检测,无法过滤APT攻击、零日漏洞、变种恶意软件等。
(3)安全风险能见度不足。如看不清资产(如看不清新增资产产生安全洼地等)、看不见新型威胁(如水坑、鱼叉邮件、零日漏洞攻击等)、看不见内网潜藏风险(如内部人员违规操作等)。
(4)缺乏自动化防御手段。使用手段过于传统。
(5)网络安全监管标准愈发严苛。要将安全法律法规放到第一位,特别注意2017年6月颁布的《网络安全法》和2019年5月颁布的《信息安全技术网络安全等级保护基本要求》。
《准则》将计算机安全保护划分为以下五个级别(根据企业数据出现问题对于社会造成的影响):
1)第一级:用户自主保护级。它的安全保护机制使用户具备自主安全保护的能力,保护用户的信息免受非法的读写破坏。
2)第二级:系统审计保护级。除具备第一级所有的安全保护功能外,要求创建和维护访问的审计跟踪记录,是所有的用户对自己行为的合法性负责。
3)第三级:安全标记保护级。除继承前一个级别的安全功能外,还要求以访问对象标记的安全级别限制访问者的访问权限,实现对访问对象的强制访问。
4)第四级:结构化保护级。在继承前面安全级别安全功能的基础上,将安全保护机制划分为关键部分和非关键部分,对关键部分直接控制访问者对访问对象的存取,从而加强系统的抗渗透能力。
5)第五级:访问验证保护级。这一 个级别特别增设了访问验证功能,负责仲裁访问者对访问对象的所有访问活动。
2.3 常见的网络安全术语
(1)漏洞(脆弱性):可能被一个或多个威胁利用的资产或控制的弱点,客观存在,不可避免,但不一定被利用,漏洞被利用后才会产生危害。
(2)exploit(漏洞利用):简称exp,漏洞利用。
(3)社会工程学:通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段取得自身利益的手法。
(4)攻击(手段):企图破坏、泄露、算改、损伤、窃取、未授权访问或未授权使用资产的行为。
(5)入侵(目的):对网络或联网系统的未授权访问,即对信息系统进行有意或无意的未授权访问,包括针对信息系统的恶意活动或对信息系统内资源的未授权使用(通过攻击手段实现入侵的目的,本质上一样,只是表现形式不同)。
(6)0day漏洞:通常是指还没有补丁的漏洞,也就是说官方还没有发现或者是发现了还没有开发出安全补丁的漏洞、(1day:从0day漏洞被曝光后,到完成打补丁前,0day漏洞一直被利用的这段时间。nday:有补丁后,未完成完全防御,依旧被利用的时间)。
(7)后门:绕过安全控制而获取对程序或系统访问权的方法,也就是一条备份的路径。
(8)WEBSHELL:以asp、php、sp或cgi等网页文件形式存在的一种命令执行环境,也可以将其称为一种网页后门,用于获取web服务器的权限,作为入侵的行为。
(9)APT攻击:高级持续性威胁,利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。重点在高级和持续性,有针对性和计划性,它是一种综合手段,只要能实现目标。
三、信息安全的脆弱性及常见安全攻击
3.1 网络环境的开放性
互联网能让每个人都能相互连接,这是网络脆弱性(网络不安全)的根本原因,但是网络开放也是必然的,无法避免。
3.2 协议栈(指的是TCP/IP)的脆弱性及常见攻击
(1)协议栈自身的脆弱性
1)缺乏数据源验证机制(没有验证,谁来都接收,就很危险)
2)缺乏机密性保障机制(不加密,发明文谁都能看见)
3)缺乏完整性验证机制(很容易被篡改)
补充:
FCS:帧校验序列,校验完整性。
(2)常见安全风险
面对最多的威胁是来自应用层。
(3)网络的基本攻击模式
网络的基本攻击模式大体可以分为两大类,一类是被动威胁,最大的特点是不会对原来的网络环境进行破坏。另一类是主动威胁,最大的特点是会对原来的网络环境进行破坏。
(4)物理层--自然灾害
自然灾害会造成物理层面的危害,常见的解决方法是建设异地灾备数据中心。
(5)链路层--MAC洪泛攻击
交换机中存在着一张记录着MAC地址的表, 为了完成数据的快速转发,该表具有自动学习机制。泛洪攻击就是攻击者利用这种学习机制不断发送不同的MAC地址给交换机,填满整个MAC表,此时交换机只能进行数据广播,攻击者凭此获得信息,但是也会获得特别多的垃圾信息,一般很少使用。
防御方法:
1)限制一个端口绑定一定数量的MAC地址。
2)在MAC地址表里将MAC地址和端口的静态关系绑定好。
(6)链路层--ARP欺骗
ARP就是地址解析协议,通过一种地址获取另外一个地址。正向ARP一般是通过IP地址获取MAC地址。
ARP欺骗的过程:当A与B需要通讯却不知道B的MAC地址时,A广播发送ARP Request询问B的MAC地址,黑客(Hacker)冒充B持续发送ARP Reply给A (此时,A会以为接收到的MAC地址是B的,但是实际上是Hacker的),之后A发送给B的正常数据包都会发Hacker。
防御方法:进行静态绑定,尤其是网关,在ARP缓存表里写清楚网关和MAC地址。
(7)网络层--ICMP攻击
(8)传输层--TCP SYN Flood攻击
SYN报文是TCP连接的第一个报文,攻击者通过大量发送SYN报文,造成大量未完全建立的TCP连接,占用被攻击者的资源。---拒绝服务攻击
四、其它
4.1 代理防火墙
4.2 恶意程序
