信息安全的攻与防
信息安全的攻与防
安全攻击
威胁信息资产安全的行为
攻击者角度的攻击
攻击者角度的攻击 | |
---|---|
主动型攻击 | 网络监听和黑客攻击等,这些威胁都是对方人为通过网络通信连接进行的。 |
被动型攻击 | 一般是用户通过某种途径访问了不当的信息而受到的攻击。 |
攻击手段及破坏方式
攻击手段及破坏方式分类 | 类型 | 典型代表 |
---|---|---|
第一类 | 计算机病毒 | |
第二类 | 网络入侵 | 黑客攻击 |
第三类 | 欺骗类威胁 | 间谍软件、广告软件、网络钓鱼软件 |
计算机病毒的定义
狭义:指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据且能自我复制的一组计算机指令或者程序代码。
广义:任何能够引起计算机故障,破坏计算机数据,影响计算机系统的正常使用的程序代码。
计算机病毒特点
分类
恶意代码类型 | 主要特征 | 破坏行为 | |
---|---|---|---|
传统病毒(CIH) | 有一个宿主程序 | 具有寄生性、传染性、潜伏性、触发性和破坏性 | 良性(干扰计算机执行) 恶性(破坏文件,删除数据) |
蠕虫病毒(WannaCry) | 不需要宿主文件、无需人为干预 | 具有自传播性、隐蔽性和破坏性等特性 | 拥塞网络、破坏系统 |
木马【特洛伊】(灰鸽子) | 远程控制 | 具有隐蔽性和非授权性/远程控制 | 信息窃取、远程控制 |
防范计算机病毒
提高安全意识、加强安全防御、备份重要数据。
例:
假设你在网站上观看视频时,你看到一个弹出窗口要求你安装定制的解码器,才能正常观看视频。如果同意安装,你的计算机有可能会面临什么威胁?
答:有可能被植入恶意代码,对计算机系统的保密性、完整性和可用性【CIA】 都可能造成破坏,威胁:信息泄露、信息伪造等都会出现。
攻击分类
分类 | |
---|---|
拒绝服务攻击(DOS) | 攻击者利用网络通信协议的缺陷或产生大量的网络流量,导致服务器网络阻塞、停止提供服务、崩溃 |
分布式DDoS | 两种。1、不同位置的多个攻击者同时向目标发动DoS攻击 2、一个攻击者控制了位于不同位置的多台机器并利用这些机器向目标同时发动DoS攻击 |
口令攻击(Password) | 通过获取口令,获得访问系统的权限。 |
嗅探攻击(Sniffer) | 利用嗅探器获取网络传输中的重要数据。又称为网络窃听。 |
欺骗类攻击 | 构造虚假的网络消息,发送给网络主机或网络设备,企图用假消息替代真实信息,实现对网络及主机正常工作的干扰破坏。 |
诈骗类攻击(社工) | 利用社会工程学的思想,利用人的弱点通过网络散布虚假信息,诱使受害者上当受骗。 |
APT攻击 | 通过非法技术手段,获得某网络计算机的控制权或使用权,达到利用该机从事非法行为 |
ping有危害性?
总所周知,Ping 是用于检测网络连通性的程序,有人认为这样的程序不会对计算机系统的安全造成损害,因此没有危害性
答:观点错误,Ping 可以用于网络探测,因此也存在使用上的风险。
APT攻击举例
其中一种:
韩国平昌冬奥会 APT 攻击:一开始就发送地诈骗信息给相关工作人员,骗取工作人员误操作后,成功在对方机器上执行脚本,实现攻击。
特点:隐蔽且持续攻击、攻击渠道多样、攻击手段多多样、
防
工作过程
信息收集 —— 信息分析 —— 结果处理
防御分类
作用 | 下设功能 | |
---|---|---|
防火墙(静态防范) | 一个安全保护屏障。由软件和硬件设备组合而成、在内部网络和外部网络之间构造的——保护内部网络免受外部非法用户的侵入。 | 网络流量过滤:通过在防火墙上进行安全规则配置,可以对流经防火墙的网络流量进行过滤。 网络监控审计:防火墙记录访问并生成网络访问日志,提供网络使用情况的统计数据。 |
入侵检测 系统(动态防范) | 对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动措施的系统。 | 误用检测技术:主要基于规则进行检测。 异常检测技术:通用性强,异常检测主要针对用户行为数据、系统资源使用情况进行分析判断。 |
入侵诱骗系统 | 指用通过伪装成具有吸引力的网络主机来吸引攻击者,同时对攻击者的各种攻击行为进行分析,进而找到有效的应对方法。旨在大规模网络环境中对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及最近发展趋势的顺延性预测,进而进行决策与行动。 | 指发现或检测到入侵后,为确保被保护目标的机密性、完整性、可用性等安全目标,针对入侵所采取的措施和行动。 |
云安全 | 把病毒和木马的解决方案分发到每一个客户端。 | 通过对大量客户端对网络中软件行为的异常监测。获取互联网中木马、恶意程序的最新信息传送到Server端进行自动分析和处理 |
基本概念
事件:当网络或主机遭到入侵或出现较重大变化时,称为发生安全事件,简称事件。
报警:当发生事件时,IDS通过某种方式及时通知管理员事件情况称为报警。
响应:当IDS报警后,网络管理员对事件及时作出处理称为响应。
误用:误用是指不正当使用计算机或网络,并构成对计算机安全或网络安全的造成威胁的一类行为。
异常:网络或主机的正常行为进行采样、分析,描述出正常的行为轮廓,建立行为模型,当网络或主机上出现偏离行为模型的事件时,称为异常。
入侵特征:也称为攻击签名(Attack Signature)或攻击模式(Attack Patterns),一般指对网络或主机的某种入侵攻击行为(误用行为)的事件过程进行分析提炼,形成可以分辨出该入侵攻击事件的特征关键字,这些特征关键字被称为入侵特征。
感应器:布置在网络或主机中用于收集网络信息或用户行为信息的软硬件,称为感应器。感应器应该布置在可以及时取得全面数据的关键点上,其性能直接决定IDS检测的准确率。
防火墙和网闸都能提供在网络边界上的安全防护作用,请分析两者在功能上的相同与不同之处。
答:都是隔离技术,网闸属于物理隔离,防火墙属于逻辑隔离,实现原理和功能都要显著区别。
对比项目 | 传统防火墙 | 隔离网闸(SGAP) |
---|---|---|
安全机制 | 采用包过滤、代理服务等安全机制,安全功能相对单一 | 在GAP技术的基础上,综合了访问控制、内容过滤、病毒查杀等技术,具有全面的安全防护功能 |
操作系统设计 | 防火墙操作系统可能存在安全漏洞 | 采用专用安全的操作系统作为软件支撑系统,实行强制访问控制,从根本上杜绝可被黑客利用的安全漏洞 |
网络协议处理 | 缺乏对未知网络协议漏洞造成的安全问题的有效解决办法 | 采用专用映射协议代替源网络协议,实现SGAP系统内部的纯数据传输,消除了一般网络协议可被利用的安全漏洞 |
遭攻击后果 | 被攻破的防火墙只是个简单的路由器,将危机内网安全 | 即使系统的外网处理单元瘫痪,网络攻击也无法触及内网处理单元 |
可管理性 | 管理配置有一定复杂性 | 管理配置简易 |
与其他安全设备联动性 | 缺乏 | 可结合防火墙,IDS等形成综合网络安全防护平台 |