一.概述
背景及概念
综上所述网络安全(Cyber Security)是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。
发展历程
1.通信保密阶段
20世纪90年代以前,通信技术还不发达,面对电话、电报、传真等信息交换中存在的安全问题,人们强调的是信息的保密性。
◇保密性(Confidentiality)指信息只能为授权者使用而不泄漏给未经授权者的特性。
这一阶段对信息安全理论和技术的研究也只侧重于密码技术,可以简称为通信保密安全,主要目的是保障传递的信息安全,防止信源、信宿以外的对象查看信息。
对于我国而言,只有少数专业单位进行密码技术的研究和开发,而且研究开发工作本身也是秘密进行的。1984年12月在西安电子科技大学,其前身为西军电,即中国人民解放军军事电信工程学院。它召开了“第一届中国密码学术会议”,这些活动开创了我国民间公开研究密码学的先河。
2.计算机安全阶段
20世纪90年代以后,半导体和集成电路技术的飞速发展推动了计算机软便件的发展,计算机和网络技术的应用进入了实用化和规模化阶段。这一阶段计算机病毒出现并广泛传播,非法拷贝软件的现象也相当普遍随着网络技术的发展和应用,计算机病毒、蠕虫和木马等恶意代码通过网络传播,造成了更大范围的危害。于是,防治计算机病毒等恶意代码,阻止非法拷贝软件,保障网络安全成为社会对信息安全的迫切需要。除了通信保密之外,计算机操作系统安全、分布式系统安全和网络系统安全的重要性和紧迫性逐渐突现凸现出来。为了解决这些信息安全问题,出现了计算机安全、软件保护等信息安全新内容和新技术,同时出现了防火墙、人侵检测、漏洞扫描及VPN网络安全技术。
人们对安全的关注已经逐渐扩展为以保密性、完整性和可用性为目标的信息安全(Information Security, 1S)阶段,具有代表性的成果就是美国的TCSEC 和欧洲的ITSEC测评标准。这一阶段的信息安全主要保证信息的保密性,完整性、可用性、可控性和不可否认性。
◇保密性(Confidentiality)指信息只能为授权者使用而不泄漏给未经授权者的特性。
◇完整性(Integrity)指保证信息在存储和传输过程中未经授权不能被改变的特性。
◇可用性(Availability)指保证信息和信息系统随时为授权者提供服务的有效特性。
◇可控性(Controllability)指授权实体可以控制信息系统和信息使用的特性。
◇不可否认性(Non-repudiation)指任何实体均无法否认其实施过的信息行为的特性,也称为抗抵赖性。
3.信息安全阶段
随着互联网、信息高速公路的出现和应用,构成了人类生存的信息环境,即网络空间( Cyberspace)。人类社会进入信息化时代。在信息化时代,信息科学技术和产业空前繁荣,社会的信息化程度大大提高。电子商务、电子政务、云计算、物联网、大数据处理等大型应用信息系统相继出现并广泛应用。这些都对信息安全提出了更新更高的要求。信息安全不再局限于对信息的静态保护而需要对整个信息和信息系统进行保护和防御。
1996年美国国防部提出了信息保障的概念,即信息保障主要包括促护(Protect)、检测(Detect)、反应(React)、恢复(Restore)四个方面,其目的是动态地、全方位地保护信息系统。
PDRR由以下4部分构成:
P:Protection(防护),主要内容有加密机制,数字签名机制,访问控制机制,认证机制,信息隐藏,防火墙技术等,采用可能采取的手段保障信息和信息系统的保密性、完整性、可用性、可控性和不可否认性。
D:Detection(检测),主要内容有入侵检测、系统脆弱性检测、数据完整性检测和攻击性检测等,以检查系统可能存在的黑客攻击、网络犯罪和病毒泛滥等脆弱性。
R:Reaction(响应),主要内容有应急策略、应急机制、应急手段、入侵过程分析和安全状态评估等,对危及安全的时间、行为、过程及时做出响应处理,杜绝危害的进一步蔓延扩大,力求系统尚能提供正常的服务。
R:Recovery(恢复),主要内容有数据备份、数据恢复、系统恢复等。一旦系统遭到破坏,尽快恢复系统功能,尽早提供正常的服务。
信息保障是对信息和信息系统的安全属性及功能、效率进行保障的动态行为过程。它运用源于人、管理、技术等因素所形成的保护能力、检测能力、反应能力、恢复能力,在信息和系统生命周期全过程的各个状态下,保证信息内容、计算环境、边界与连接、网络基础设施的真实性、可用性、完整性、保密性、可控性、不可否认性等安全属性,从而保障应用服务的效率和效益,促进信息化的可持续健康发展。
在信息保障的概念中,人、技术和管理被称为信息保障三大要素。其中,人是信息保障的基础,信息系统是人建立的,同时也是为人服务的,受人的行为影响。因此,信息保障依靠专业知识强、安全意识高的专业人员。技术是信息保障的核心,任何信息系统都势必存在一些安全隐患。因此,必须正视威胁和攻击,依靠先进的信息安全技术,综合分析安全风险,实施适当的安全防护措施,达到保护信息系统的目的。管理是信息保障的关键,没有完善的信息安全管理规章制度及法律法规,就无法保障信息安全。每个信息安全专业人员都应该遵守相关制度及法律法规,在许可的范围内合理地使用信息系统,这样才能保证信息系统的安全。
相关术语
常见安全攻击
1.物理层
针对物理层的攻击方法就是比较暴力直接的攻击方式,一般是针对其网络硬件和基础设施来进行物理破坏或者是强行改变路由器,比如说要去攻击一个公司,就把他们公司的网线剪掉,让他们无法访问外网。
防范手段:保护物理线路的可靠性,对于物理设备的接入采用双线、双设备接入,保证物理线路和物理设备的可靠性,并处于监管的状态。
2.数据链路层
针对数据链路层的攻击常见的是对基于mac地址的伪装欺骗,在数据链路层有两个重要的协议ARP(地址解析协议)和RARP协议(反向地址解析协议),常见的攻击方式就是ARP欺骗(ARP伪装),其攻击原理为攻击者利用自己伪造的mac地址来告诉被攻击者自己是对方想要访问的身份,显而易见这个身份是攻击者自己伪造的,从而欺骗被攻击者将数据流量转发到自己伪造的身份地址上,进而获取数据,达到欺骗的目的。
防范手段:对于系统和通信网络中关键的设备进行ARP地址绑定,可以在Windows中输入arp-s gate-way-ip gate-way-mac固化ARP表,也可以通过安装ARP防护软件-ARPGuard,对ARP信息进行防护。
3.网络层
针对网络层的攻击也是目前互联网上常见的几种主要的攻击方式,如Smurf攻击(通过将回复地址设置为受害网络的广播地址,使用数据包淹没目标主机)、ICMP路由欺骗攻击、IP分片攻击、ping of death(死亡之ping)、IP欺骗伪造攻击,其通性都是通过制造大量的无用数据包,对目标服务器或者主机发动攻击,使得目标对外拒绝服务,可以理解为DDOS或者是类DDOS攻击。
防范手段:可以通过扩大带宽并部署DDOS防御系统来防御拒绝攻击,对于攻击发生过的IP和确认安全的IP,可以通过设置防火墙上IP白名单和黑名单对通信主机的地址进行限制、绑定,防止欺骗行为的发生。
4.传输层
针对传输层的攻击主要是利用TCP/UDP协议进行攻击,而利用TCP协议攻击主要是利用TCP协议的三次握手机制,向目标主机或者服务器发送大量连接请求但是不对其进行响应,使得占用大量目标服务器主机资源,造成瘫痪的攻击方式,常见的攻击方式由Flooding洪泛攻击、ACK flooding洪范攻击等,而利用UDP的攻击主要是利用流量攻击,使用UDP的不可靠性,大量发送数据包,造成目标拒绝服务的目的,常见的攻击方式有UDP flooding洪泛攻击。
防范手段:在这里也可以通过部署抗DDOS防御系统进行防护,并扩大带宽,对数据包进行筛选、、
5.应用层
针对应用层的攻击主要是针对应用程序的设计漏洞进行的对应用协议漏洞的攻击、对应用数据的攻击、对应用操作系统平台的攻击等。其方法包括未经审查的WEB方式的信息录入、应用权限的访问控制被攻破、身份认证和会话管理被攻破、跨站点的执行代码漏洞、缓存溢出漏洞、弹出漏洞、错误处理不当、不安全存储、拒绝服务、不安全配置管理等。
防范手段:针对服务器的访问控制权限进行严格划分分配,防止管理员权限过大,可以采用基于角色的访问控制策略,保证用户的最小特权化。对服务器系统及时修补补丁,保证信息系统的一个安全状态,并对系统内用户行为和安全事件进行审计记录。
以上是针对OSI网络七层的攻击方式和防范方法的总结,如果我们的安全能够按照网络分层做好防护工作,那么对于网络整体的安全是十分具有必要性的。
基本要素
1.保密性
确保信息只能由那些被授权使用的人获取
2.完整性
保护信息及其处理方法的准确性和完整性
3.可用性
确保被授权使用人在需要时可以获取信息和使用相关的资产
4.可控性
信息和信息系统实施安全监控管理,防止非法利用信息和信息系统
5.不可否认性
防止信息源用户对他发送的信息事后不承认,或者用户接收到信息之后不认帐
病毒的分类
按特性又可以归为三类:
普通病毒 --- 以破坏为目的的病毒
木马病毒 --- 以控制为目的的病毒
蠕虫病毒 --- 具有传播性的病毒
二.防火墙
作用
发展史
![](https://img-blog.csdnimg.cn/direct/1f2d0886447a4f84be276bcd73d7e7c1.png)
分类
![](https://img-blog.csdnimg.cn/direct/dacfb98f4a1444bb8f8801faf60189e8.png)
1.包过滤防火墙
![](https://img-blog.csdnimg.cn/direct/e5a555a8612f4b0c8524fc244dec4ff5.png)
2.应用代理防火墙
3.状态检测防火墙
![](https://img-blog.csdnimg.cn/direct/86184795cf6e4e8380eb50a5f2a2b996.png)
4.入侵检测系统
![](https://img-blog.csdnimg.cn/direct/6425d550276548e28f4fc7aa1fc9145f.png)
![](https://img-blog.csdnimg.cn/direct/a0649d8aa32b482d8696c6d32406b53b.png)
5.入侵防御系统
![](https://img-blog.csdnimg.cn/direct/ef4150749ad4456797fbc15262bff79e.png)
7.防病毒网关
![](https://img-blog.csdnimg.cn/direct/11325da027874eb5841ba780c14e2d7e.png)
8.Web应用防火墙
![](https://img-blog.csdnimg.cn/direct/a3d4d232ff964600b293cfec59037661.png)
9.统一威胁管理
![](https://img-blog.csdnimg.cn/direct/4c10c1c45a81454fb5f0eeb77070ea60.png)
10.下一代防火墙
![](https://img-blog.csdnimg.cn/direct/5b1192f799694e389076d99b030f0e2d.png)
![](https://img-blog.csdnimg.cn/direct/1020b0dc95934738bbb65eac92e3d0c6.png)
防火墙的其他功能
![](https://img-blog.csdnimg.cn/direct/69bc71e0a65a4ae39adf2d18fe6779c6.png)
防火墙的控制
防火墙的管理员
![](https://img-blog.csdnimg.cn/direct/d02a3f807805414cb735d18dd3238bf6.png)
安全区域
路由模式