1.信息安全简介
勒索病毒----2013年9月CryptoLocker
“永恒之蓝”:主要是利用Windows系统的共享漏洞:445端口等。
“永恒之蓝”传播的勒索病毒以ONION和WNCRY两个家族为主,受 害机器的磁盘文件会被篡改为相应的后缀,图片、文档、视频、压缩 包等各类资料都无法正常打开,只有支付赎金才能解密恢复。
挖矿
2018年WannerMine挖矿,导致很多主机存在蓝屏和卡顿现象
信息安全:防止任何对数 据进行未授权访问的措施 ,或者防止造成信息有意 无意泄漏、破坏、丢失等 问题的发生,让数据处于 远离危险、免于威胁的状 态或特性。
网络安全:计算机网络环 境下的信息安全。
2.信息安全的脆弱性及常见的安全攻击
2.1 网络环境的开放性
网络环境的一大特点 开放性 对于每个人之间互相连接
2.2 协议栈本身的脆弱性
1.缺乏数据源验证机制
2.缺乏完整性验证
3.缺乏机密性保障机制
常见的安全风险
2.2.1 网络的基本攻击模式
被动威胁:
截获
1.嗅探(sniffing)
2.监听(eavesdropping) •
主动威胁:
篡改
数据包篡改(tampering)
中断
拒绝服务(dosing)
伪造
欺骗(spoofing)
(1)物理层
物理设备破坏
指攻击者直接破坏网络的各种物理设施,比如服务器设施,或者 网络的传输通信设施等
设备破坏攻击的目的主要是为了中断网络服务
物理设备窃听
光纤监听
红外监听
(2)链路层—ARP欺骗
当A与B需要通讯时:
➢ A发送ARP Request询问B的MAC地址
➢ Hacker冒充B持续发送ARP Reply给A(此时,A会以为接收到的 MAC地址是B的,但是实际上是Hacker的)
➢ 之后A发送给B的正常数据包都会发给Hacker
(3)网络层—ICMP攻击
(4)传输层—TCP SYN Flood攻击
SYN报文是TCP连接的第一个报文,攻击者通过大量发送SYN 报文,造成大量未完全建立的TCP连接,占用被攻击者的资源
(5)应用层
—缓冲区溢出攻击
攻击软件系统的行为中,最常见的 一种方法
可以从本地实施,也可以从远端实 施
利用软件系统(操作系统,网络服 务,应用程序)实现中对内存操作 的缺陷,以高操作权限运行攻击代 码
漏洞与操作系统和体系结构相关, 需要攻击者有较高的知识/技巧
—web攻击
常见的WEB攻击
- 对客户端
含有恶意代码的网页,利用浏览器的漏洞,威胁本地系统- 对Web服务器
利用Apache/IIS…的漏洞 利用CGI实现语言(PHP/ASP/Perl…)和实现流程的漏洞 XSS/SQL/CSRF/上传漏洞/解析漏洞…- 通过Web服务器,入侵数据库,进行横向渗透
2.3 操作系统的自身漏洞
人为原因
在程序编写过程中,为实现不可告人的目的,在程序代码的隐藏 处保留后门。
** 客观原因**
受编程人员的能力,经验和当时安全技术所限,在程序中难免会 有不足之处,轻则影响程序效率,重则导致非授权用户的权限提 升。
硬件原因
由于硬件原因,使编程人员无法弥补硬件的漏洞,从而使硬件的 问题通过软件表现。
2.4 人为因素
操作失误
• 恶意的行为
➢ 出于政治的、经济的、商业的、或者个人的目的
➢ 病毒及破坏性程序、网络黑客
➢ 在Internet上大量公开的攻击手段和攻击程序
3.信息安全的要素
信息安全的五要素
• 保密性—confidentiality
• 完整性—integrity
• 可用性—availability
• 可控性—controllability
• 不可否认性—Non-repudiation
3.1保密性
保密性:确保信息不暴露给未授权的实体或进程。 • 目的:即使信息被窃听或者截取,攻击者也无法知晓信息的真 实内容。可以对抗网络攻击中的被动攻击。
举例说明:通过加密技术保障信息的保密性
3.2完整性
只有得到允许的人才能修改实体或进程,并且能够判别出实体 或进程是否已被修改。完整性鉴别机制,保证只有得到允许的 人才能修改数据 。可以防篡改。
3.3可用性
得到授权的实体可获得服务,攻击者不能占用所有的资源而阻 碍授权者的工作。用访问控制机制,阻止非授权用户进入网络 。使静态信息可见,动态信息可操作,防止业务突然中断。
3.4可控性
可控性主要指对危害国家信息(包括利用加密的非法通信活动 )的监视审计。控制授权范围内的信息流向及行为方式。使用 授权机制,控制信息传播范围、内容,必要时能恢复密钥,实 现对网络资源及信息的可控性
3.5不可否认性
不可否认性:对出现的安全问题提供调查的依据和手段。使用 审计、监控、防抵赖等安全机制,使得攻击者、破坏者、抵赖 者“逃不脱",并进一步对网络出现的安全问题提供调查依据和 手段,实现信息安全的可审查性
4.网络安全法解读
网络安全法的六大亮点
4.1要求
(1)网络运营者
遵守法律、行政法 规,履行网络安全 保护义务
接受政府和社会的监 督,承担社会责任
保障网络安全、稳定 运行、维护网络数据 的完整性、保密性、 可用性
及时处置系统漏洞、计算机病毒 、网络攻击、网络侵入等安全风 险
不得泄露、篡改、毁损其收集的 个人信息,并确保安全;履行等 保制度
应急预案、主动向主管部门报告
(2)关键基础信息设施保护
安全建设要求
业务运行稳定可靠,安全技术措施同步规划、 同步建设、同步使用
安全保护
明确责任人;安全教育、培训、考核;容 灾备份;应急预案、定期演练
安全审查
采购网络产品和服务,应当通过国家安全审查
保密要求
签订安全保密协议
境内存储
个人信息和重要数据应当在境内存储
检测评估
每年至少进行一次检测评估,报送检测评估情况和改进措施
(3)检测、预警、处置
(4)个人信息保护
(5)面向网络产品和服务提供者
网络产品和服务提供者即网络产品厂商比如思科、华为、深信服等。
◼ 可要求网络产品和服务
• 符合相关国家标准的强制性要求
• 不得设置恶性程序,及时告知安全缺陷、漏洞等风险
• 持续提供安全维护服务,不得自行终止
◼ 要求网络关键设备和网络安全专用设备
• 应当按照相关国家标准的强制性要求,由具备资格的机构安 全认证合规或者安全检测符合要求后,方可销售或者提供
5.信息安全的整体解决方案
深信服安全解决方案: