网络安全概论总结‘

m0_52725240

已于 2023-07-20 22:56:51 修改

阅读量143

点赞数

文章标签：安全

于 2023-07-20 22:55:12 首次发布

本文链接：https://blog.csdn.net/m0_52725240/article/details/131841743

版权

1 网络安全的基础知识
如果把一封信锁在保险柜中，把保险柜藏起来，然后告诉你去看这封信，这并不是安全，而是隐藏；相反，如果把一封信锁在保险柜中，然后把保险柜及其设计规范和许多同样的保险柜给你，以便你和世界上最好的开保险柜的专家能够研究锁的装置，而你还是无法打开保险柜去读这封信，这才是安全。——Bruce Schneier
网络安全的一个通用定义是指网络信息系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的破坏、更改、泄露，系统能连续、可靠、正常地运行，服务不中断。网络安全简单的说是在网络环境下能够识别和消除不安全因素的能力。

网络安全在不同的环境和应用中有不同的解释：

运行系统安全。包括计算机系统机房环境的保护，法律政策的保护，计算机结构设计安全性考虑，硬件系统的可靠安全运行，计算机操作系统和应用软件的安全，数据库系统的安全，电磁信息泄露的防护等。本质上是保护系统的合法操作和正常运行。
网络上系统信息的安全。包括用户口令鉴别、用户存取权限控制、数据存取权限、方式控制、安全审计、安全问题跟踪、计算机病毒防治和数据加密等。
网络上信息传播的安全。包括信息过滤等。它侧重于保护信息的保密性、真实性和完整性。避免攻击者进行有损于合法用户的行为。本质上是保护用户的利益和隐私。
网络安全的基本需求：可靠性、可用性、保密性、完整性、不可抵赖性、可控性、可审查性、真实性。

本讲的网络安全只要是指通过各种计算机、网络、密码技术和信息安全技术，保护在公有通信网络中传输、交换和存储信息的机密性、完整性和真实性，并对信息的传播及内容具有控制能力，不涉及网络可靠性、信息可控性、可用性和互操作性等领域。

网络安全的主体是保护网络上的数据和通信的安全。

数据安全性是一组程序和功能，用来阻止对数据进行非授权的泄漏、转移、修改和破坏。
通信安全性是一些保护措施，要求在电信中采用保密安全性、传输安全性、辐射安全性的措施，并依要求对具备通信安全性的信息采取物理安全性措施。
2 网络安全的重要性
随着网络的快速普及，网络以其开放、共享的特性对社会的影响也越来越大。网络上各种新业务的兴起，比如电子商务、电子政务、电子货币、网络银行，以及各种专业用网的建设，使得各种机密信息的安全问题越来越重要。计算机犯罪事件逐年攀升，已成为普遍的国际性问题。随着我国信息化进程脚步的加快，利用计算机及网络发起的信息安全事件频繁出现，我们必须采取有力的措施来保护计算机网络的安全。

近年来，计算机病毒、木马、蠕虫和黑客攻击等日益流行，对国家政治、经济和社会造成危害，并对Internet及国家关键信息系统构成严重威胁。绝大多数的安全威胁是利用系统或软件中存在的安全漏洞来达到破坏系统、窃取机密信息等目的，由此引发的安全事件也层出不穷。如2009年暴风影音漏洞导致了大规模的断网事件，2010年微软极光漏洞导致Google被攻击事件。

0 day漏洞，又称零日漏洞，指在安全补丁发布前被了解和掌握的漏洞信息。利用0 day漏洞的攻击称为0 day攻击。2006年9月27日，微软提前发布MS06-055漏洞补丁，修补了一个严重等级的IE图像处理漏洞。事实上，这个漏洞在当时属于零日漏洞，因为在微软公布补丁之前一个星期就已经出现了利用这个漏洞的木马。

已被厂商知道，厂商已修复一段时间的漏洞称为n day漏洞。以前人们没有打安全补丁的习惯，导致n day漏洞也造成了很大损失，从冲击波开始人们逐步养成了打补丁的习惯，安全厂商也根据公开漏洞信息检测攻击。

网络安全现状：

攻击者需要的技术水平逐渐降低，手段更加灵活，联合攻击急剧增多：网络蠕虫具有隐蔽性、传染性、破坏性、自主攻击能力，新一代网络蠕虫和黑客攻击、计算机病毒之间的界限越来越模糊
网络攻击趋利性增强、顽固性增加：病毒传播的趋利性日益突出、病毒的反杀能力不断增强
3 网络安全的主要威胁因素
信息系统自身安全的脆弱性
信息系统脆弱性，指信息系统的硬件资源、通信资源、软件及信息资源等，因可预见或不可预见甚至恶意的原因而可能导致系统受到破坏、更改、泄露和功能失效，从而使系统处于异常状态，甚至崩溃瘫痪等的根源和起因。

可以从硬件组件、软件组件、网络和通信协议三个层面分别进行分析。

硬件组件层面：硬件组件安全隐患多源于设计，主要表现为物理安全方面的问题。在设计、选购硬件时，应尽可能减少或消除硬件组件的安全隐患。
软件组件层面：软件组件的安全隐患来源于设计和软件工程实施中遗留问题，比如软件设计中的疏忽、软件设计中不必要的功能冗余、软件设计部按信息系统安全等级要求进行模块化设计、软件工程实现中造成的软件系统内部逻辑混乱。
网络和通信协议层面：TCP/IP协议簇是目前使用最广泛的协议，但其已经暴露出许多安全问题。因为其最初设计的应用环境是相互信任的，其设计原则是简单、可扩展、尽力而为，只考虑互联互通和资源共享问题，并未考虑也无法兼顾解决网络中的安全问题。
2. 操作系统和应用程序漏洞

操作系统是用户和硬件设备的中间层，操作系统一般都自带一些应用程序或者安装一些其它厂商的软件工具。应用软件在程序实现时的错误，往往就会给系统带来漏洞。漏洞是指计算机系统在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷和不足。漏洞一旦被发现，就可以被攻击者用来在未授权的情况下访问或破坏系统，从而导致危害计算机系统安全的行为。

信息系统面临的安全威胁

基本威胁：安全的基本目标是实现信息的机密性、完整性、可用性。对信息系统这3个基本目标的威胁即是基本威胁。基本威胁有以下4个方面：信息泄露、完整性破坏、拒绝服务、未授权访问。

信息泄露：信息泄漏指敏感数据在有意或无意中被泄漏、丢失或透露给某个未授权的实体。信息泄漏包括：信息在传输中被丢失或泄漏；通过信息流向、流量、通信频度和长度等参数等分析，推测出有用信息。
完整性破坏：以非法手段取得对信息的管理权，通过未授权的创建、修改、删除和重放等操作而使数据的完整性受到破坏。
拒绝服务：信息或信息系统资源等被利用价值或服务能力下降或丧失。原因有：1 受到攻击所致。攻击者通过对系统进行非法的、根本无法成功的访问尝试而产生过量的系统负载，从而导致系统的资源对合法用户的服务能力下降或丧失。2 信息系统或组件在物理上或逻辑上受到破坏而中断服务。
未授权访问：未授权实体非法访问信息系统资源，或授权实体超越权限访问信息系统资源。非法访问主要有：假冒和盗用合法用户身份攻击、非法进入网络系统进行违法操作，合法用户以未授权的方式进行操作等形式。
4. 威胁信息系统的主要方法

冒充：某个未授权的实体假装成另一个不同的实体，进而非法获取系统的访问权利或得到额外特权。攻击者可以进行下列假冒：假冒管理者发布命令和调阅密件、假冒主机欺骗合法主机及合法用户、假冒网络控制程序套取或修改使用权限、口令、密钥等信息，越权使用网络设备和资源、接管合法用户欺骗系统，占用合法用户资源
旁路控制：攻击者为信息系统等鉴别或者访问控制机制设置旁路。为了获取未授权的权利，攻击者会发掘系统的缺陷或安全上的某些脆弱点，并加以利用，以绕过系统访问控制而渗入到系统内部。
破坏信息完整性：攻击者可从三个方面破坏信息到完整性。1 篡改：改变信息流的次序、时序、流向、内容和形式；2 删除：删除消息全部和一部分；3 插入：在消息中插入一些无意义或有害信息。
破坏系统可用性：攻击者可以从以下三个方面破坏系统可用性。1 使合法用户不能正常访问网络资源；2 使有严格时间要求的服务不能即时得到响应；3 摧毁系统。如物理破坏网络系统和设备组件使网络不可用，或破坏网络结构。
重放：攻击者截收有效信息甚至是密文，在后续攻击时重放所截收的消息。
截收与辐射侦测：攻击者通过搭线窃听和对电磁辐射探测等方法截获机密信息，或者从流量、流向、通信总量和长度等参数分析出有用信息。
陷门：在某个（硬件、软件）系统和某个文件中设计的“机关”，使得当提供特定的输入条件时，允许违反安全策略而产生非授权的影响。
特洛伊木马：指一类恶意的妨害安全的计算机程序或者攻击手段。形象的来说，是指：一个应用程序表面上在执行一个任务，实际上却在执行另一个任务。以达到泄漏机密信息甚至破坏系统的目的。
抵赖：通信的某一方出于某种目的而出现下列抵赖行为：发信者事后否认曾经发送过某些消息、发信者事后否认曾经发送过的某些消息的内容、收信者事后否认曾经接受过某些消息、收信者事后否认曾经接受过某些消息的内容。
5. 威胁和攻击来源

可分为3种来源

内部操作不当：信息系统内部工作人员越权操作、违规操作或其他不当操作，可能造成重大安全事故。
内部管理不严造成信息系统安全管理失控：信息体系内部缺乏健全管理制度或制度执行不力，给内部工作人员违规和犯罪留下缝隙。
来自外部的威胁与犯罪：从外部对信息系统进行威胁和攻击的实体主要有黑客、信息间谍、计算机犯罪人员三种。
4 网络攻击的过程
网络攻击过程一般可以分为本地入侵和远程入侵，在这里主要介绍远程攻击的一般过程：，主要分为3个阶段：准备阶段、实施阶段、善后阶段。

首先来谈准备阶段，准备阶段包括：确定攻击目标、信息收集、服务分析、系统分析、漏洞分析五个部分。

确定攻击目标：攻击者在进行一次完整的攻击之前，首先要确定攻击要达到什么样的目的，即给受侵者造成什么样的后果。常见的攻击目的有破坏型和入侵型两种，破坏型攻击是指只破坏攻击目标，使之不能正常工作，而不能随意控制目标上的系统运行；入侵型攻击是指攻击者一旦掌握了一定的权限、甚至是管理员权限就可以对目标做任何动作，包括破坏性质的攻击。
信息收集：包括目标的操作系统类型及版本、相关软件的类型、版本及相关的社会信息。
服务分析：探测目标主机所提供的服务、相应端口是否开放、各服务所使用的软件版本类型：如利用Telnet等工具，或借助Nmap等工具的端口扫描或服务扫描功能。
系统分析：确定目标主机采用何种操作系统。
漏洞分析：分析确认目标主机中可以被利用的漏洞，可手动分析，也可使用软件分析。
对于实施阶段，作为破坏性攻击，可以利用工具发动攻击即可。作为入侵性攻击，往往需要利用收集到的信息，找到其系统漏洞，然后利用漏洞获取尽可能高的权限。攻击主要阶段包括：

预攻击探测：为进一步入侵提供有用信息
口令破解与攻击提升权限
实施攻击：缓冲区溢出、拒绝服务、后门、木马、病毒
最后对于善后阶段，入侵成功后，攻击者为了能长时间地保留和巩固他对系统的控制权，一般会留下后门。此外，攻击者为了自身的隐蔽性，须进行相应的善后工作——隐藏踪迹。攻击者在获得系统最高管理员权限之后就可以任意修改系统上的文件了，所以一般黑客如果想隐匿自己的踪迹，最简单的方法就是删除日志文件。