SANGFOR SCSA——信息安全概述

信息安全简介
信息安全的脆弱性及常见安全攻击
信息安全的要素
网络安全法解读
信息安全的整体解决方案

一、信息安全简介
近几年的“勒索病毒”：
2013年9月CryptoLocker：“永恒之蓝"勒索家族。
永恒之蓝：主要是利用Windows系统的共享漏洞：445端口等，“永恒之蓝”传播的勒索病毒以ONION和WNCRY两个家族为主，受害机器的磁盘文件会被篡改为相应的后缀，图片，文档，视屏等各类资料都无法打开，只有支付赎金才能解密恢复。
2017年“勒索病毒”：2017年5月WannaCry勒索袭击全球。
2018年“挖矿”：2018年WannerMine挖矿，导致很多主机存在蓝屏和卡顿现象 。
信息安全是指防止任何对数 据进行未授权访问的措施 ，或者防止造成信息有意 无意泄漏、破坏、丢失等问题的发生，让数据处于远离危险、免于威胁的状态或特性。网络安全指计算机网络环境下的信息安全。
信息安全分为基础架构安全，应用安全，业务安全，安全管理，安全运营。
网络安全，物理安全，终端安全，系统安全都属于基础架构安全。
二、信息安全的脆弱性及常见安全攻击
①网络环境的开放性
INTERNET的美妙之处在于你和每个人都能互相连接, INTERNET的可怕之处在于每个人都能和你互相连接。
②协议自身的脆弱性
比如我们的TCP/IP协议，缺乏数据源验证机制，缺乏机密性保障机制，缺乏完整性验证机制（即便是有校验和，那也只是对数据本身的完整性校验，如果在传输过程中数据被劫持，修改校验和，接收端收到一样无法检测）
常见的安全风险：
物理层：设备破坏，线路侦听；
数据链路层：MAC地址欺骗，Mac泛洪，ARP欺骗等；
网络层：IP欺骗，Smurf攻击，ICMP攻击，地址扫描等；
传输层：TCP欺骗，TCP拒绝服务，UDP拒绝服务，端口扫描等；
应用层：漏洞，缓冲区溢出，web应用的攻击、病毒以及木马等。
网络的基本攻击模式：
截获（嗅探sniffing，监听eavesdropping），篡改（数据包篡改tampering），中断（拒绝服务dosing），伪造（欺骗spoofing）
主动威胁包括篡改完整性，中断可用性，伪造真实性，被动威胁是截获机密性。
了解物理层设备破坏，ARP欺骗，ICMP攻击，TCP SYN flood攻击，缓冲区溢出，web攻击的基本原理。比如网络层的ICMP攻击可以伪造目的主机发送ICMP不可达信息给源端，这样导致不能通信或者发送ICMP重定向信息，这样原本的网关就收不到信息；应用层的缓冲区溢出利用软件系统（操作系统，网络服务，应用程序）实现中对内存操作的缺陷，以高操作权限运行攻击代码，只是这样攻击需要掌握漏洞与操作系统结构和体系以及数据结构等知识；WEB攻击分为客户端，服务器都能造成危害或通过web服务器入侵数据库，进行渗透。
③操作系统的自身漏洞
人为原因：编写过程中保留后门；客观原因：编写过程中难免会有缺陷。
④人为因素
操作失误或者恶意行为，比如出于政治的、经济的、商业的、或者个人的目的，在Internet上大量公开的攻击手段和攻击程序。
三、信息安全的要素
信息安全的五要素： 保密性—confidentiality 完整性—integrity 可用性—availability 可控性—controllability 不可否认性—Non-repudiatio。
CIA代表机密性，完整性，可用性。
保密性：确保信息不暴露给未授权的实体或进程，即使获取也无法知晓内容，比如通过加密技术保障信息的保密性。
完整性：只有得到允许的人才能修改实体或进程，并且能够判别出实体或进程是否已被修改。完整性鉴别机制，保证只有得到允许的人才能修改数据 。可以防篡改。比如哈希算法可判断数据有没有被修改。
可用性：得到授权的实体可获得服务，没有得到授权的用户是不能获得服务。
可控性： 可控性主要指对危害国家信息（包括利用加密的非法通信活动 ）的监视审计。控制授权范围内的信息流向及行为方式。使用授权机制，控制信息传播范围、内容，必要时能恢复密钥，实现对网络资源及信息的可控性。比如有的应用不被允许自然拒绝访问了。
不可否认性：使用审计、监控、防抵赖等安全机制，使得攻击者、破坏者、抵赖者“逃不脱”，并进一步对网络出现的安全问题提供调查依据和手段，实现信息安全的可审查性。
四、网络安全法解读
网络运营者的要求：
保障网络安全、稳定运行、维护网络数据的完整性、保密性、 可用性，及时处置系统漏洞、计算机病毒 、网络攻击、网络侵入等安全风险；
遵守法律、行政法规，履行网络安全保护义务，不得泄露、篡改、毁损其收集的个人信息，并确保安全；履行等保制度；
接受政府和社会的监督，承担社会责任，应急预案、主动向主管部门报告 。
网络安全等级保护制度：
明确责任人，A制定内部安全管理制度和操作规程，落实安全保护责任；
监测、记录并保留日志，采取监测、记录网络运行状态 、网络安全事件的技术措施， 并按照规定留存相关网络日志不少于六个月；
采取防范保护措施，防范计算机病毒和网络攻击 、网络侵入等；
数据分类、备份和加密 。
五、信息安全的整体解决方案
传统的安全解决方案弊端：应对新型威胁，防不住；响应不及时，难以及时发现威胁；信息不共享，安全孤岛现象严重；大量铺设设备，投资大。
深信服安全解决方案：大数据分析平台，每层都有自己的安全保障机制。
常见的解决方案有：
数据传输安全方面的广域网优化WOC，IPSEC ；
上网行为安全方面的上网行为管理系统AC，行为感知系统BA；
边界安全方面的下一代防火墙AF，云安全资源池，终端检测与相应EDR，数据库审计DAS等；
移动接入安全方面的SSL，企业移动化管理平台EMM等。