安全防御------网络安全基础知识点

菜鸟Zyz

已于 2023-07-29 18:04:42 修改

阅读量590

点赞数 1

分类专栏：安全防御文章标签：安全

于 2023-07-23 14:53:52 首次发布

本文链接：https://blog.csdn.net/m0_63292411/article/details/131878653

版权

安全防御专栏收录该内容

9 篇文章 3 订阅

订阅专栏

一、网络安全常识及术语

1.资产 ：任何对组织业务具有价值的信息资产，包括计算机硬件、通信设施、IT 环境、数据库、软件、文档资料、信息服务和人员等。

2.网络安全：是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断的状态。从广义上说，网络安全包括网络硬件资源及信息资源的安全性。从用户角度看，网络安全主要是保障个人数据或企业的信息在网络中的机密性、完整性、可用性，防止信息的泄漏和破坏，防止信息资源的非授权访问。对于网络管理者来说，网络安全的主要任务是保障合法用户正常使用网络资源，避免病毒、拒绝服

务、远程控制、非授权访问等安全威胁，及时发现安全漏洞，制止攻击行为等。从教育和意识形态

方面，网络安全主要是保障信息内容的合法与健康，控制含不良内容的信息在网络中的传播。

3.网络空间（Cyberspace ）：是一种包含互联网、通信网、物联网、工控网等信息基础设施 , 并由人 - 机- 物相互作用而形成的动态虚拟空间。网络空间安全既涵盖包括人、机、物等实体在内的基础设施安全, 也涉及到其中产生、处理、传输、存储的各种信息数据的安全。随着云计算、大数据、物联网、量子计算等新兴技术的迅猛发展,网络空间安全面临着一系列新的威胁和挑战。

4.漏洞 ：上边提到的“ 永恒之蓝 ” 就是 windows 系统的漏洞。漏洞又被称为脆弱性或弱点（Weakness ），是指信息资产及其安全措施在安全方面的不足和弱点。漏洞一旦被利用，即会对资产造成影响。通常一个网络的漏洞/ 弱点可被分为：技术漏洞、配置漏洞和安全策略漏洞。

5.0day ： 是指负责应用程序的程序员或供应商所未知的软件缺陷，尚未公开的漏洞。永恒之蓝在没有被公开

前就是 0day 。

6.1day ： 刚被官方公布的漏洞就是1day ，刚被公布得了漏洞会有一个打补丁的时间差，这个时间差可以被黑

客所利用。

7.后门 : 后门是一种用于获得对程序或在线服务访问权限的秘密方式。一般是绕过安全控制而获取对程序或系统访问权的方法。

8.exploit :exp，指的是漏洞利用程序，我们在上面敲的 exploit 的命令就是执行永恒之蓝的漏洞利用程序来攻击目标win7 。

9.攻击 : 攻击是指由威胁源所实施的、导致安全事件发生的行为，它是 漏洞利用 和 实现威胁 的过程，一旦攻击得手即会造成影响。

10.安全策略 :安全策略是指在某个安全区域内，所有与安全活动相关的一套规则，它声明哪些行为是能做的、被允许的，哪些行为是不能做的、被禁止的。这些规则是由此安全区域中所设立的一个安全权利机构建立的，并由安全控制机构来描述、实施或实现的。社会工程学。

11.安全机制 :安全机制是一种用于解决和处理某种安全问题的方法，通常分为预防、检测和恢复三种类型。网络安全中绝大多数安全服务和安全机制都是建立在密码技术的基础之上的，它们通过密码学方法对数据信息进行加密和解密来实现网络安全的目标要求。

12.社会工程学 : 信息安全可以分为Soft Security 和 Hard Security 两个部分。所谓的 “ 硬安全 ” ，主要就是具体的安全IT 技术（比如：防火墙、入侵检测、漏洞扫描、抗拒绝服务 …… ），这些东西都是专家安全公司在搞，离绝大多数的读者可能比较遥远。而“ 软安全 ” 主要涉及管理、心理学、文化、人际交往等方面，与具体的IT 技术可能没有关系。今天所说的 “ 社会工程学 ” ，实际上就是 “ 软安全 ” ，如果你看过

通俗地讲，社会工程学就是：利用人性之中的弱点（贪婪、恐惧、性欲 …… ）等心理学上的弱点来

影响别人，最终达到自己不可告人的目的。

13.APT :APT是黑客以窃取核心资料为目的，针对客户所发动的网络攻击和侵袭行为，是一种蓄谋已久的 “ 恶意商业间谍威胁” 。这种行为往往经过长期的经营与策划，并具备高度的隐蔽性。 APT 的攻击手法，在于隐匿自己，针对特定对象，长期、有计划性和组织性地窃取数据，这种发生在数字空间的偷窃资料、搜集情报的行为，就是一种“ 网络间谍 ” 的行为。

APT 攻击是一个集合了多种常见攻击方式的综合攻击。综合多种攻击途径来尝试突破网络防御，通

常是通过 Web 或电子邮件传递，利用应用程序或操作系统的漏洞，利用传统的网络保护机制无法提

供统一的防御。除了使用多种途径，高级定向攻击还采用多个阶段穿透一个网络，然后提取有价值

的信息，这使得它的攻击更不容易被发现。

二、为什么出现网络安全问题？

1.网络的脆弱性

2.网络环境的开放性

“ INTERNET 的美妙之处在于你和每个人都能互相连接 , INTERNET 的可怕之处在于每个人都能和你互相连接 ”

3.协议栈自身的脆弱性

TCP/IP 协议族是使用最广泛的网络互连协议。但由于协议在设计之初对安全考虑的不够，导致协议存在着一些安全风险问题。Internet 首先应用于研究环境，针对少量、可信的的用户群体，网络安全问题不是主要的考虑因素。因此，在TCP/IP 协议栈中，绝大多数协议没有提供必要的安全机制，例如：

不提供认证服务。

明码传输，不提供保密性服务，不提供数据保密性服务。

不提供数据完整性保护不提供抗抵赖服务。

不保证可用性 —— 服务质量（QoS）。

4.操作系统自身的漏洞

人为原因：在程序编写过程中，为实现不可告人的目的，在程序代码的隐藏处保留后门。

客观原因：受编程人员的能力，经验和当时安全技术所限，在程序中难免会有不足之处，轻则影响程序效率，重则导致非授权用户的权限提升。

硬件原因：由于硬件原因，使编程人员无法弥补硬件的漏洞，从而使硬件的问题通过软件表现。

5.缓冲区溢出攻击

缓冲区溢出攻击原理：缓冲区溢出攻击利用编写不够严谨的程序，通过向程序的缓冲区写入超过预定长度的数据，造成缓存的溢出，从而破坏程序的堆栈，导致程序执行流程的改变。

缓冲区溢出的危害：最大数量的漏洞类型；漏洞危害等级高。

6.终端的脆弱性及常见攻击

终端是占据企业数量最多的计算机系统，容易遭受计算机病毒为代表的恶意代码的攻击。

常见的恶意代码包括：病毒，蠕虫，木马。

其他攻击

1.社工攻击

原理：社会工程攻击，是一种利用" 社会工程学 " 来实施的网络攻击行为。

在计算机科学中，社会工程学指的是通过与他人的合法地交流，来使其心理受到影响，

做出某些动作或者是透露一些机密信息的方式。这通常被认为是一种欺诈他人以收集信

息、行骗和入侵计算机系统的行为。

防御手段：定期更换各种系统账号密码，使用高强度密码等

2.人为因素

无意的行为

工作失误 —— 如按错按钮 ;

经验问题 —— 不是每个人都能成为系统管理员，因此并不了解贸然运行一个不知作用的程序时会怎么样;

体制不健全 —— 当好心把自己的账号告诉朋友时，你却无法了解他会如何使用这一礼物。

恶意的行为

出于政治的、经济的、商业的、或者个人的目的；

病毒及破坏性程序、网络黑客；

在 Internet 上大量公开的攻击手段和攻击程序。

防范措施

提升安全意识，定期对非 IT 人员进行安全意识培训和业务培训；

设置足够强的授权和信任方式，完善最低权限访问模式；

组织需要完善和落地管理措施，保障安全管理制度是实际存在的；

善于利用已有的安全手段对核心资产进行安全保护等

3.拖库、洗库、撞库

原理：

拖库：是指黑客入侵有价值的网络站点，把注册用户的资料数据库全部盗走的行为。

洗库：在取得大量的用户数据之后，黑客会通过一系列的技术手段和黑色产业链将有价值的用户数据变现，这通常也被称作洗库。

最后黑客将得到的数据在其它网站上进行尝试登陆，叫做撞库，因为很多用户喜欢使用统一的用户名密码。

防御手段：

重要网站 /APP 的密码一定要独立、电脑勤打补丁，安装一款杀毒软件、尽量不使用 IE 浏

览器、使用正版软件、不要在公共场合使用公共无线做有关私密信息的事、自己的无线

AP ，用安全的加密方式（如 WPA2 ），密码复杂些、电脑习惯锁屏等。

4.跳板攻击

原理：

攻击者通常并不直接从自己的系统向目标发动攻击，而是先攻破若干中间系统 , 让它们成

为 “ 跳板 ” ，再通过这些 “ 跳板 ” 完成攻击行动。

防御手段：

安装防火墙，控制流量进出。系统默认不使用超级管理员用户登录，使用普通用户登录，且做好权限控制。

5.钓鱼攻击 / 鱼叉式钓鱼攻击

原理：

钓鱼式攻击是一种企图从电子通讯中，通过伪装成信誉卓著的法人媒体以获得如用户名、密码和信用卡明细等个人敏感信息的犯罪诈骗过程。

鱼叉式网络钓鱼指针对特定目标进行攻击的网络钓鱼攻击。

防御手段：

保证网络站点与用户之间的安全传输，加强网络站点的认证过程，即时清除网钓邮件，加强网络站点的监管。

6.水坑攻击

原理：

攻击者首先通过猜测（或观察）确定特定目标经常访问的网站，并入侵其中一个或多个网站，植入恶意软件。最后，达到感染目标的目的。

防御手段：

在浏览器或其他软件上，通常会通过零日漏洞感染网站。

针对已知漏洞的防御措施是应用最新的软件修补程序来消除允许该网站受到感染的漏洞。用户监控可以帮助确保他们的所有软件都运行最新版本。

如果恶意内容被检测到，运维人员可以监控他们的网站和网络，然后阻止流量。

三、什么样的网络是安全的？

网络安全要素：

保密性 —confidentiality

完整性 —integrity

可用性 —availability

可控性 —controllability

不可否认性 —Non-repudiation

保密性（ confidentiality ）与 Integrity （完整性）和 Availability （可用性）并称为信息安全的 CIA 要素

1.保密性

保密性：确保信息不暴露给未授权的实体或进程。

目的：即使信息被窃听或者截取，攻击者也无法知晓信息的真实内容。可以对抗网络攻击中的被动

攻击。

2.完整性

只有得到允许的人才能修改实体或进程，并且能够判别出实体或进程是否已被修改。完整性鉴别机

制，保证只有得到允许的人才能修改数据。可以防篡改。

3.可用性

得到授权的实体可获得服务，攻击者不能占用所有的资源而阻碍授权者的工作。用访问控制机制，

阻止非授权用户进入网络。使静态信息可见，动态信息可操作，防止业务突然中断。

doss攻击：拒绝式服务攻击，就是破坏可用性。

4.可控性

可控性主要指对危害国家信息（包括利用加密的非法通信活动）的监视审计。控制授权范围内的信息流向及行为方式。使用授权机制，控制信息传播范围、内容，必要时能恢复密钥，实现对网络资

源及信息的可控性。

5.不可否认性

不可否认性：对出现的安全问题提供调查的依据和手段。使用审计、监控、防抵赖等安全机制，使

得攻击者、破坏者、抵赖者 “ 逃不脱 " ，并进一步对网络出现的安全问题提供调查依据和手段，实现

信息安全的可审查性。

信息安全的五要素案例

四、威胁模型

所谓的网络安全威胁是指可能破坏某一网络资源的机密性、完整性以及可用性等安全基本要素的来源或原因。例如对于数据库中的数据来说， SQL 注入攻击就是一种网络威胁。一旦攻击得手，被攻击者就可能会被窃取机密数据从而导致数据的机密性被破坏。

使用 威胁模型分析 (Threat Model Analysis, TMA) 可以帮助确定产品、应用程序、网络或环境中存在的风险和可能的攻击路径。TMA 的目标是确定哪些威胁需要缓解以及如何缓解。

当前普遍采用的威胁模型包括：微软 STRIDE 模型、微软 DREAD 模型、卡耐基梅隆大学的 OCTAVE 模型等。威胁模型是多种多样的，但是建立过程却大致相同，基本上可以分为四个步骤，分别是：明确目标、分解系统、识别威胁、评估威胁。

微软 STRIDE 模型：

ATT&CK模型

ATT&CK 模型是在洛克希德 - 马丁公司提出的网络杀伤链（ Cyber Kill Chain ）模型的基础上，构建了一套更细粒度、更易共享的知识模型和框架。目前（2021 年 5 月） ATT&CK 模型分为三部分，分别是 ATT&CK for Enterprise ， ATT&CK for Mobile 和 ATT&CK for ICS 。 ATT&CK for Enterprise 描述了攻击者为破坏在企业网络和云中采取的战术和技术， ATT&CK for Enterprise 由适用于 Windows 、 Linux 和 macOS 系统的技术和战术部分共同组成。 ATT&CK for Mobile 包含适用于移动设备的战术和技术。 ATT&CK for ICS 适用于工业控制系统网络中的战术和技术。

ATT&CK 在网络空间安全的多种应用场景中都很有价值。开展任何防御活动时，可以应用 ATT&CK 分类法，描述攻击者及其行为。 ATT&CK 不仅为网络防御者提供通用技术库，还为渗透测试和红队提供了技战术基础。提到对抗行为时，这为防御者和红队成员提供了通用描述语言。企业组织可以使用多种方式来使用 ATT&CK 。以下列举一些常见的应用场景：

（1）对抗模拟和攻防演练

ATT&CK 可用于创建对抗性模拟场景，测试和验证针对常见对抗技术的防御方案。在攻防演练中可以基于 ATT&CK 的知识库设计具体的演练方案，定义攻防双方的「得分点」和演练路径。

（2）渗透测试活动

渗透测试活动的规划、执行和报告可以使用 ATT&CK ，以便防御者和报告接收者以及其内部之间有一个通用语言。

（3）制定行为分析方案

ATT&CK 可用于构建和测试行为分析方案，以检测环境中的对抗行为。

（4）防御差距评估

ATT&CK 可以用作以行为为核心的常见对抗模型，以评估组织企业内现有防御方案中的工具、监视和缓解措施。在研究 ATT&CK 时，大多数安全团队都倾向于为 Enterprise 矩阵中的每种技术尝试开发某种检测或预防控制措施，但是由于 ATT&CK 矩阵中的技术通常可以通过多种方式执行。因此，阻止或检测执行这些技术的一种方法并不一定意味着涵盖了执行该技术的所有其他可能方法或变种手段。如果采用这种针对具体测评手段和技术的「针对性」防御方案，虽然能通过测评甚至在测评中获得很高评价，但这可能导致产生一种虚假的安全感：即攻击者仍然可以成功地采用测评技术以外的其他 等效但形式不 同方法来绕过「针对性」防御方案，使得防御者由于没有检测到攻击行为而误认为自身处于安全状态。

（5） SOC 成熟度评估 CIA

ATT&CK 可用作一种度量、确定安全响应中心（ SOC, Security Operations Center ）在检测、分析和响应入侵方面的有效性的参考知识库。 SOC 团队可以参考 ATT&CK 已检测到或未涵盖的技术和战术。这有助于了解防御优势和劣势在哪里，并验证缓解和检测控制措施，并可以发现配置错误和其他操作问题。

（6）网络威胁情报收集

ATT&CK 对于网络威胁情报很有用，因为 ATT&CK 是在用一种标准方式描述对抗行为。防御者可以根据ATT&CK 中有记录的已知攻击技战术来跟踪攻击主体。这为防御者提供了一个路线图，让他们可以对照他们的操作控制措施，查看对某些攻击主体而言，他们在哪些方面有弱点，在哪些方面有优势。针对特定的攻击主体，创建 ATT&CK 导航工具内容，是一种观察环境中对这些攻击主体或团体的优势和劣势的好方法。 ATT&CK 还可以为 STIX 和 TAXII 2.0 提供内容，从而可以很容易地将支持这些技术的现有工具集成起来。