网络安全的概述

网络空间的概念

2003年美国提出网络空间的概念：一个由信息基础设施组成的互相依赖的网络。

我国官方文件定义：网络空间为继海，陆，空，天以外的第五大人类活动领域

网络安全发展历史

通信保密阶段 --- 计算机安全阶段 --- 信息系统安全 --- 网络空间安全

数字化时代威胁

攻击频发：勒索病毒、个人信息外泄、数据泄露、网络空间安全、APT攻击（高级持续性威胁）

传统防护逐步失效

安全风险能见度不足

• 水坑攻击：攻击者会通过前期的调查或各种社会工程手段，确定受害者（往往是一个特定群体）经常访问的一些网站，并在网站上部署恶意程序，当受害者访问被部署了恶意程序的网站时即会被感染。通常来说，水坑攻击的目的是通过感染受害者的电脑，以获得对受害者公司网络的访问权。

• 鱼叉邮件攻击：攻击者伪装成可信任的发件人，向受害者发送具有欺骗性质的消息，设下“诱饵”，诱导受害者点击恶意链接，并在攻击者仿冒的网页上提供敏感数据。利用获取到的信息，攻击者可以直接通过交易受害者的个人数据牟取经济利益，或借此发动下一步网络攻击。

• 零日漏洞攻击：是指利用零日漏洞（指还没有补丁的安全漏洞）对系统或软件应用发动的网络攻击

缺乏自动化防御手段：企业普遍缺乏自动化防御手段

网络安全监管标准越发严苛

• 2017年6月，《网络安全法》正式生效。

• 2019年5月，《信息安全技术网络安全等级保护基本要求》等三大核心标准发布。

• 计算级安全的五个级别

  • 

信息安全概述

• 信息安全：防止任何对数据进行未授权访问的措施，或者防止造成信息有意无意泄漏、破坏、丢失等问题的发生，让数据处于远离危险、免于威胁的状态或特性。

• 网络安全：计算机网络环境下的信息安全。

网络安全的常见用语

漏洞	可能被一个或多个威胁利用的资产或控制的弱点。
攻击	企图破坏、泄露、篡改、损伤、窃取、未授权访问或未授权使用资产的行为。
入侵	对网络或联网系统的未授权访问，即对信息系统进行有意或无意的未授权访问，包括针对信息系统的恶意活动或对信息系统内资源的未授权使用。
0day漏洞	通常是指还没有补丁的漏洞。也就是说官方还没有发现或者是发现了还没有开发出安全补丁的漏洞。
后门	绕过安全控制而获取对程序或系统访问权的方法。
WEBSHELL	以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境，也可以将其称作为一种网页后门。
社会工程学	通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段取得自身利益的手法。
exploit	简称exp，漏洞利用。
APT攻击	高级持续性威胁。 利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。

信息安全的脆弱性及其攻击方式

协议栈的脆弱性其常见攻击

协议栈的脆弱性

随着互联网的不断发展，TCP/IP协议族成为使用最广泛的网络互连协议。但由于协议在设计之初对安全考虑的不够，导致协议存在着一些安全风险问题。Internet首先应用于研究环境，针对少量、可信的的用户群体，网络安全问题不是主要的考虑因素。因此，在TCP/IP协议栈中，绝大多数协议没有提供必要的安全机制。例如：

• 不提供认证服务

• 明码传输，不提供保密性服务，不提供数据保密性服务

• 不提供数据完整性保护

• 不提供抗抵赖服务

• 不保证可用性——服务质量（QoS）

常见安全风险

常见攻击方式分类

• 截获 --- 被动威胁

  • 嗅探 (sniffing)

  • 监听 (eavesdropping)

• 篡改 --- 主动威胁

  • 数据包篡改 (tampering)

• 中断 --- 主动威胁

  • 拒绝访问 (dosing)

• 伪造 --- 主动威胁

  • 欺骗 (spoofing)

常见攻击方式

• 物理层 --- 物理攻击

  • 物理设备破坏

  • 物理设备窃听

• 链路层 --- MAC泛洪攻击

  • 填满整个MAC表，此时交换机只能进行数据广播，攻击者凭此获得信息。

  • 交换机一个接口可以对应多个MAC地址。

• 链路层 --- ARP（地址解析协议）欺骗

  • 正向ARP：通过IP地址获取MAC地址。

  • 当A与B需要通讯时：A发送ARP Request询问B的MAC地址，Hacker冒充B持续发送ARP Reply给A（此时，A会以为接收到的MAC地址是B的，但是实际上是Hacker的），之后A发送给B的正常数据包都会发给Hacker。

• 网络层 --- ICMP

  • 重定向

    • ICMP重定向攻击是攻击机主动向受害人主机发送ICMP重定向数据包，使受害人主机数据包发送到不正确的网关，达到攻击的目的。

    • 

  • 目标主机不可达

    • 不同的系统对ICMP不可达报文（类型为3）的处理不同，有的系统在收到网络（代码为0）或主机（代码为1）不可达的ICMP报文后，对于后续发往此目的地的报文直接认为不可达，好像切断了目的地与主机的连接，造成攻击。

• 传输层 --- TCP SYN Flood攻击

  • TCP 字节流协议。TCP是分段的，传输基于字节流传输数据。

  • SYN FLOODING攻击特点：

    • 攻击者用带有SYN标志位的数据片断启动握手

    • 受害者用SYN-ACK应答；

    • 攻击者保持沉默，不进行回应；

    • 由于主机只能支持数量有限的TCP连接处于half-open的状态，超过该数目后，新的连接就都会被拒绝；

  • 拒绝服务式攻击(Denial of Service)，顾名思义就是让被攻击的系统无法正常进行服务的攻击方式。

    • DoS 攻击通常通过请求压垮或淹没目标计算机，直到其无法处理正常流量，从而对其他用户造成拒绝服务。

  • 分布式拒绝服务攻击（DDoS）

    • 利用大量合法的分布式服务器对目标发送请求，从而导致正常合法用户无法获得服务。

  • 防御办法：

    • 代理防火墙

      • 每目标IP代理阈值：超过阈值之后，数据交给代理防火墙处理。

      • 每目标IP丢包阈值：相同IP数据包超过一定阈值之后，防火墙直接把数据包丢弃。

    • 首包丢包

      • 将接受到的第一个SYN数据包丢弃，第二个数据包正常接收。

    • SYN cookie

      • 服务器将不再收到SYN请求报文后立即给这个TCP连接分配缓存空间了。而是会及将这个SYN报文中的源目IP地址以及端口号和一个随机数一起使用HASH算法生成一个摘要值。我们将这个摘要值称为是SYN Cookie。然后，服务器会使用这个SYN Cookie作为服务器的初始序列号server_isn来发送SYN+ACK报文（这个初始值本身就可以是一个随机值），等待客户端回复ACK。

      • 如果客户端是合法的，则会正常回复ACK报文，并且其中会包含一个确认序列号。这个确认序列号应该是server_isn + 1。服务器将使用这个ACK报文中的源目IP和端口以及之前的随机数运行HASH重新计算一个摘要值。如果这个摘要值+1和客户端返回的确认序列号相同，则认为该连接合法，就会为该连接分配缓存空间。

• 应用层 --- DNS欺骗攻击

  • 没有权限的主机通过这种攻击来指导域名服务器 （DNS） 及其所有请求。这基本上意味着攻击者可以将所有DNS请求以及所有流量重定向到他的机器，以恶意方式操纵它并可能窃取传递的数据。

操作系统的脆弱性及其攻击方式

• 人为原因

  • 在程序编写过程中，为实现不可告人的目的，在程序代码的隐藏处保留后门。

• 客观原因

  • 受编程人员的能力，经验和当时安全技术所限，在程序中难免会有不足之处，轻则影响程序效率，重则导致非授权用户的权限提升。

• 硬件原因

  • 由于硬件原因，使编程人员无法弥补硬件的漏洞，从而使硬件的问题通过软件表现。

攻击方式：缓冲区溢出攻击

终端的脆弱性及其攻击方式

终端的脆弱性在于操作者

恶意程序：一般会具有以下多个或者全部特性。

1. 非法性

2. 隐蔽性

3. 潜伏性

4. 可触发性

5. 表现性

6. 破坏性

7. 传染性 --- 蠕虫病毒的典型特征

8. 针对性

9. 变异性

10. 不可预见性

病毒分类

• 普通病毒：以破坏为目的的病毒

• 木马病毒：以控制为目的的病毒

• 蠕虫病毒：具有传播性的病毒

其他攻击方式

社工攻击

• 原理

  • 社会工程攻击，是一种利用"社会工程学" 来实施的网络攻击行为。

  • 在计算机科学中，社会工程学指的是通过与他人的合法地交流，来使其心理受到影响，做出某些动作或者是透露一些机密信息的方式。这通常被认为是一种欺诈他人以收集信息、行骗和入侵计算机系统的行为。

• 防御手段

  • 定期更换各种系统账号密码，使用高强度密码等。

人为因素

• 原理

  • 无意的行为

    • 工作失误——如按错按钮;

    • 经验问题——不是每个人都能成为系统管理员，因此并不了解贸然运行一个不知作用的程序时会怎么样;

    • 体制不健全——当好心把自己的账号告诉朋友时，你却无法了解他会如何使用这一礼物;

  • 恶意的行为

    • 出于政治的、经济的、商业的、或者个人的目的

    • 病毒及破坏性程序、网络黑客

    • 在Internet上大量公开的攻击手段和攻击程序

• 防范措施

  • 提升安全意识，定期对非IT人员进行安全意识培训和业务培训；

  • 设置足够强的授权和信任方式，完善最低权限访问模式；

  • 组织需要完善和落地管理措施，保障安全管理制度是实际存在的；

  • 善于利用已有的安全手段对核心资产进行安全保护等

拖库、洗库、撞库

• 原理

  • 拖库：是指黑客入侵有价值的网络站点，把注册用户的资料数据库全部盗走的行为。

  • 洗库：在取得大量的用户数据之后，黑客会通过一系列的技术手段和黑色产业链将有价值的用户数据变现，这通常也被称作洗库。

  • 撞库：最后黑客将得到的数据在其它网站上进行尝试登陆，叫做撞库，因为很多用户喜欢使用统一的用户名密码。

• 防御手段

  • 重要网站/APP的密码一定要独立 、电脑勤打补丁，安装一款杀毒软件、尽量不使用IE浏览器、使用正版软件、不要在公共场合使用公共无线做有关私密信息的事、自己的无线AP，用安全的加密方式（如WPA2），密码复杂些、电脑习惯锁屏等。

跳板攻击

• 原理

  • 攻击者通常并不直接从自己的系统向目标发动攻击，而是先攻破若干中间系统,让它们成为“跳板”，再通过这些“跳板”完成攻击行动。

  • 跳板攻击就是通过他人的计算机攻击目标.通过跳板实施攻击。

• 防御手段

  • 安装防火墙，控制流量进出。系统默认不使用超级管理员用户登录，使用普通用户登录，且做好权限控制。

钓鱼式攻击/鱼叉式钓鱼攻击

• 原理

  • 钓鱼式攻击是一种企图从电子通讯中，通过伪装成信誉卓著的法人媒体以获得如用户名、密码和信用卡明细等个人敏感信息的犯罪诈骗过程。

  • 鱼叉式网络钓鱼指针对特定目标进行攻击的网络钓鱼攻击。

• 防御手段

  • 保证网络站点与用户之间的安全传输，加强网络站点的认证过程，即时清除网钓邮件，加强网络站点的监管。

水坑攻击

• 原理

  • 攻击者首先通过猜测（或观察）确定特定目标经常访问的网站，并入侵其中一个或多个网站，植入恶意软件。最后，达到感染目标的目的。

• 防御手段

  • 在浏览器或其他软件上，通常会通过零日漏洞感染网站。

  • 针对已知漏洞的防御措施是应用最新的软件修补程序来消除允许该网站受到感染的漏洞。用户监控可以帮助确保他们的所有软件都运行最新版本。

  • 如果恶意内容被检测到，运维人员可以监控他们的网站和网络，然后阻止流量。

信息安全

信息安全的五要素

• 保密性—confidentiality

  • 确保信息不暴露给未授权的实体或进程。

• 完整性—integrity

  • 只有得到允许的人才能修改实体或进程，并且能够判别出实体或进程是否已被修改。完整性鉴别机制，保证只有得到允许的人才能修改数据 。可以防篡改。

• 可用性—availability

  • 得到授权的实体可获得服务，攻击者不能占用所有的资源而阻碍授权者的工作。用访问控制机制，阻止非授权用户进入网络。使静态信息可见，动态信息可操作，防止业务突然中断。

• 可控性—controllability

  • 可控性主要指对危害国家信息（包括利用加密的非法通信活动）的监视审计。控制授权范围内的信息流向及行为方式。使用授权机制，控制信息传播范围、内容，必要时能恢复密钥，实现对网络资源及信息的可控性。

• 不可否认性—Non-repudiation

  • 不可否认性：对出现的安全问题提供调查的依据和手段。使用审计、监控、防抵赖等安全机制，使得攻击者、破坏者、抵赖者“逃不脱"，并进一步对网络出现的安全问题提供调查依据和手段，实现信息安全的可审查性。

其中保密性、完整性、可用性。这三个重要的基本属性被国外学者称为“信息安全金三角”（CIA，Confidentiality-Integrity-Availability）

华为的安全体系