网络安全相关知识点总结

网络安全背景

网络空间安全 --- Cyberspace

2003年美国提出网络空间的概念 --- 一个由信息基础设施组成的互相依赖的网络。

我国官方文件定义：网络空间为继海，陆，空，天以外的第五大人类活动领域

阶段的变化：

通信保密阶段 ---> 计算机安全阶段 ---> 信息系统安全 ---> 网络空间安全

2017.06《网络安全法》正式生效

2019.05《信息安全技术网络安全等级保护基本要求》等三大核心标准发布

网络安全相关术语

信息安全：防止任何对数据进行未授权访问的措施，或者防止造成信息有意无意泄漏、破坏、丢失等问题的发生，让数据处于远离危险、免于威胁的状态或特性。

网络安全：网络安全，通常指计算机网络的安全，实际上也可以指计算机通信网络的安全。指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭到破坏、更改、泄露，系统持续可靠的正常地运行，网络服务不中断的状态。

资产： 任何对组织业务具有价值的信息资产，包括计算机硬件、通信设施、IT环境、数据库、软件、文档资料、信息服务和人员等。

漏洞：漏洞又被称为脆弱性和弱点。通常一个网络的漏洞/弱点可被分为：技术漏洞、配置漏洞和安全策略漏洞。

0day漏洞：通常是指还没有补丁的漏洞。也就是说官方还没有发现或者是 发现了还没有开发出安全补丁的漏洞。

1day漏洞：刚被官方公布的漏洞。刚被公布的漏洞会有一个打补丁的时间差，这个时间差可以被黑客利用。

攻击：企图破坏、泄露、篡改、损伤、窃取、未授权访问或未授权使用资产的行为。

入侵：对网络或联网系统的未授权访问，即对信息系统进行有意或无意的未授权访问，包括针对信息系统的恶意活动或对信息系统内资源的未授权使用。

后门：绕过安全控制而获取对程序或系统访问权的方法。

APT攻击：高级持续性威胁。 利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。

社会工程学：通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等 心理陷阱进行诸如欺骗、伤害等危害手段取得自身利益的手法。

exploit：简称exp。指的是漏洞利用程序。

安全机制：安全机制是一种用于解决和处理某种安全问题的方式，通常分为预防、检测和恢复三种类型。

安全策略：安全策略是组织为确保其敏感信息和技术资源的机密性、完整性和可用性而制定的基本准则和规则。 这些策略充当决策框架，定义组织如何进行安全和风险管理。

网络的脆弱性及常见安全攻击

网络环境的开放性

网络的美妙之处在于你和每个人都能互相连接, 网络的可怕之处在于每个人都能和你互相连接。

协议栈（TCP/IP）自身的脆弱性

TCP/IP协议族是使用最广泛的网络互联协议。但设计之初安全考虑不够，导致协议一直存在安全风险问题。Internet首先应用于研究环境，针对少量、可信的用户群体，网络安全问题不是主要的考虑因素。因此，在TCP/IP协议栈中，绝大多数协议没有提供必要的安全机制。

例如：①不提供认证服务 ②明码传输，不提供保密性服务，不提供数据保密性服务 ③不提供数据完整性服务 ④不提供抗依赖服务 ⑤不保证可用性——服务质量（QoS）

网络的基本攻击方式

物理层--物理攻击

①物理设备破坏：设备破坏攻击的目的主要是为了中断网络服务

②物理设备窃听：光纤监听  红外监听

③自然灾害：高温、低温、洪涝、龙卷风、暴雨、地震、海啸、雷电等。

链路层--MAC洪泛攻击

交换机中存在着一张记录着MAC地址的表，为了完成数据的快速转发，该表具有自动学习机制； 泛洪攻击即是攻击者利用这种学习机制不断发送不同的MAC地址给交换机，填满整个MAC表，此时交换机只能进行数据广播，攻击者凭此获得信息。

链路层--ARP欺骗

网络层--ICMP攻击

        ① ICMP重定向攻击：ICMP重定向报文是ICMP控制报文中的一种，在某些情况下，当路由器检测到一台机器上使用非优化路由的时候，他会向该主机发送一个ICMP重定向报文，请求主机改变路由。ICMP协议虽然不是路由协议，但是他可以指导数据包的流向。攻击者通过向主机发送ICMP重定向数据包，使受害人主机数据包发送不到正确的网关，以达到攻击目的。

        ②  ICMP不可达报文攻击：

在三次握手阶段有两种情况TCP会收到ICMP“目的不可达”报文：
1、client端通过connect系统调用发送SYN请求到server端后，server没有进程在相应的地址或端口处理请求，这时client端会收到ICMP不可达报文。
2、client端通过connect系统调用发送SYN请求后崩溃，server端收到SYN后发送SYN|ACK，client端收到SYN|ACK后会给server发送ICMP不可达报文。
不同的主机对ICMP不可达报文的处理方式不同，有的主机在收到网络或主机不可达的ICMP报文后，对于后续发往此目的地址的报文直接认为不可达，从而切断了目的地与主机的连接。

传输层 --  TCP SYN Flood攻击

SYN报文是TCP连接的第一个报文，攻击者通过大量发送SYN报文，造成大量未完全建立的TCP连接，占用被攻击者的资源。----拒绝服务攻击

应对方法：

1、代理防火墙 --- 每目标IP代理阈值，每目标IP丢包阈值

2、首包丢包

3、SYN cookie

分布式拒绝服务攻击（DDoS）

应用层--DNS欺骗攻击

操作系统的脆弱性及常见攻击

操作系统自身的漏洞

        ① 人为原因        在程序编写过程中，为实现不可告人的目的，在程序代码的隐藏处保留后门。

        ② 客观原因        受编程人员的能力，经验和当时安全技术所限，在程序中难免会有不足之处，轻则影响程序效率，重则导致非授权用户的权限提升。

        ③ 硬件原因        由于硬件原因，使编程人员无法弥补硬件的漏洞，从而使硬件的问题通过软件表现。

缓冲区溢出攻击

        原理：缓冲区溢出攻击利用编写不够严谨的程序，通过向程序的缓冲区写入超过预定长度的数据，造成缓存的溢出，从而破坏程序的堆栈，导致程序执行流程的改变。

        危害：①最大数量的漏洞类型        ②漏洞危害等级高

防范：

终端的脆弱性及常见攻击

终端是占据企业数量最多的计算机系统，容易遭受计算机病毒为代表的恶意代码的攻击。

常见恶意病毒

① 普通病毒 --- 以破坏为目的的病毒

② 木马病毒 --- 以控制为目的的病毒

③ 蠕虫病毒 --- 具有传播性的病毒

 恶意程序 --- 一般会具备一下的多个或全部特性

1、非法性

2、隐蔽性

3、潜伏性

4、可触发性

5、表现性

6、破坏性

7、传染性 --- 蠕虫病毒的典型特点

8、针对性

9、变异性

10、不可预见性

终端安全防范措施 

其他常见攻击

社工攻击

原理：社会工程攻击，是一种利用"社会工程学" 来实施的网络攻击行为。 在计算机科学中，社会工程学指的是通过与他人的合法地交流，来使其心理受到影响，做出某些动作或者是透露一些机密信息的方式。这通常被认为是一种欺诈他人以收集信息、行骗和入侵计算机系统的行为。

 防御手段：定期更换各种系统账号密码，使用高强度密码等。

人为因素

无意的行为：

工作失误——如按错按钮;

经验问题——不是每个人都能成为系统管理员，因此并不了解贸然运行一个不知作用的程序时会怎么样;

体制不健全——当好心把自己的账号告诉朋友时，你却无法了解他会如何使用这一礼物;

恶意的行为：

出于政治的、经济的、商业的、或者个人的目的 病毒及破坏性程序、网络黑客 在Internet上大量公开的攻击手段和攻击程序。

防范措施

1.提升安全意识，定期对非IT人员进行安全意识培训和业务培训；

2.设置足够强的授权和信任方式，完善最低权限访问模式；

3.组织需要完善和落地管理措施，保障安全管理制度是实际存在的；

4.善于利用已有的安全手段对核心资产进行安全保护等。

拖库、洗库、撞库

原理：

拖库：是指黑客入侵有价值的网络站点，把注册用户的资料数据库全部盗走的行为。

洗库：在取得大量的用户数据之后，黑客会通过一系列的技术手段和黑色产业链将有价值的用户数据变现，这通常也被称作洗库。

撞库：最后黑客将得到的数据在其它网站上进行尝试登陆，叫做撞库，因为很多用户喜欢使用统一的用户名密码。

防御手段：

重要网站/APP的密码一定要独立 、电脑勤打补丁，安装一款杀毒软件、尽量不使用IE浏览器、使用正版软件、不要在公共场合使用公共无线做有关私密信息的事、自己的无线AP，用安全的加密方式（如WPA2），密码复杂些、电脑习惯锁屏等。

跳板攻击

原理：攻击者通常并不直接从自己的系统向目标发动攻击，而是先攻破若干中间系统,让它们成为“跳板”，再通过这些“跳板”完成攻击行动。 跳板攻击就是通过他人的计算机攻击目标，通过跳板实施攻击。

防御手段：安装防火墙，控制流量进出。系统默认不使用超级管理员用户登录，使用普通用户登录，且做好权限控制。

钓鱼式攻击/鱼叉式钓鱼攻击

原理：

钓鱼式攻击是一种企图从电子通讯中，通过伪装成信誉卓著的法人媒体以获得如用户名、密码和信用卡明细等个人敏感信息的犯罪诈骗过程。

鱼叉式网络钓鱼指针对特定目标进行攻击的网络钓鱼攻击。

防御手段：保证网络站点与用户之间的安全传输，加强网络站点的认证过程，即时清除网钓邮件，加强网络站点的监管。

水坑攻击

原理：攻击者首先通过猜测（或观察）确定特定目标经常访问的网站，并入侵其中一个或多个网站，植入恶意软件。最后，达到感染目标的目的。

防御手段：在浏览器或其他软件上，通常会通过零日漏洞感染网站。 针对已知漏洞的防御措施是应用最新的软件修补程序来消除允许该网站受到感染的漏洞。用户监控可以帮助确保他们的所有软件都运行最新版本。 如果恶意内容被检测到，运维人员可以监控他们的网站和网络，然后阻止流量。

信息安全要素

信息安全的五要素

① 保密性—confidentiality          确保信息不暴露给未授权的实体或进程。即使信息被窃听或者截取，攻击者也无法知晓信息的真实内容。可以对抗网络攻击中的被动攻击。

② 完整性—integrity                  只有得到允许的人才能修改实体或进程，并且能够判别出实体或进程是否已被修改。完整性鉴别机制，保证只有得到允许的人才能修改数据 。可以防篡改。

③ 可用性—availability              得到授权的实体可获得服务，攻击者不能占用所有的资源而阻碍授权者的工作。用访问控制机制，阻止非授权用户进入网络。使静态信息可见，动态信息可操作，防止业务突然中断。

④ 可控性—controllability          可控性主要指对危害国家信息（包括利用加密的非法通信活动）的监视审计。控制授权范围内的信息流向及行为方式。使用授权机制，控制信息传播范围、内容，必要时能恢复密钥，实现对网络资源及信息的可控性。

⑤ 不可否认性—Non-repudiation        对出现的安全问题提供调查的依据和手段。使用审计、监控、防抵赖等安全机制，使得攻击者、破坏者、抵赖者“逃不脱"，并进一步对网络出现的安全问题提供调查依据和手段，实现信息安全的可审查性。

信息安全建设规划目标