目录
第一章
一、信息安全与网络空间安全
信息安全:为数据处理系统建立和采取技术管理的安全保护,保护计算机硬件、软件、数据不因偶然或者恶意的原因而受到破坏、更改、泄露
信息安全问题的根源:
内因:信息系统复杂性导致漏洞的存在不可避免(过程、结构、应用复杂性)
外因:威胁与破坏,员工误操作、外部攻击、自然环境破坏
信息的基本属性(CIA)
-
机密性 防止信息有意无意的非授权泄露
-
使用权是否可控
-
数据是否有标识
-
访问是否有控制
-
访问是否有记录
-
-
完整性 数据处于完整状态、没有遭篡改和破坏
-
什么样的数据可能被篡改
-
篡改后有什么影响
-
是否划分不同权限
-
操作是否有记录
-
-
可用性 数据和系统在需要时可用
-
如何保证随时可用
-
如果无法使用如何应对(备份/修复/手工接替)
-
其他属性:真实性、可问责性、不可否认性、可靠性
通信安全发展过程
-
二十世纪 四十到七十年代 主要注重传输过程中的数据保护
-
安全威胁:搭线窃听、密码学分析
-
核心思想:密码技术进行通信保密
-
安全措施:加密
-
-
二十世纪 七十到九十年代 主要注重数据处理和储存时的数据保护
-
安全威胁:非法访问、恶意代码、弱口令
-
核心思想:预防、检测和减少计算机系统、用户执行时授权造成的影响
-
安全措施:通过操作系统的访问控制技术
-
-
二十世纪 九十年代后 主要注重整体安全
-
安全威胁:网络入侵、病毒破坏、信息对抗
-
核心思想:重点保护比数据更精炼的信息
-
安全措施:防火墙、病毒扫描、漏洞扫描、入侵检测、PKI、VPN
-
二、网络安全法律法规
三次审议,两次公开征求意见和修改《网络安全法》
实行等级保护制度,对关键信息基础设施建设要求:同步规划、同步建设、同步使用
组织和企业的义务:一年一次风险评估机制,国家审查安全采购,应急预案机制,数据境内留存,人员安全管理。
三、网络空间安全政策与标准
信息安全等级保护标准体系工作流程:定级、备案、差距分析、建议整改、验收测评、定期复查
等保核心思想:对保护对象按等级划分,按标准进行建设、管理、监督
划分等级:
-
用户自主保护级
-
系统审计保护级
-
安全标记保护级
-
结构化保护级
-
访问验证保护级
一般损害 | 严重损害 | 特别严重损害 | |
---|---|---|---|
公民法人和其他组织的合法权益 | 一 | 二 | 二 |
社会秩序、公共利益 | 二 | 三 | 四 |
国家安全 | 三 | 四 | 五 |
四、信息安全管理
信息安全管理体系(ISMS)
-
ISO/IEC 27001 标准族
-
GB/T 22080 标准族
使用PDCA过程:
-
P(plan) 计划
-
D(do) 实施
-
C(check) 检查
-
A(act) 行动
文档化与文件控制:
-
一级文件:由高级管理层发布的方针、政策
-
二级文件:由组织管理者代表发布的制度、流程、规范
-
三级文件:使用手册、操作指南、作业指导书
-
四级文件:日志、记录、检查表、模板、表单
第二章
一、密码学基础
信息安全要素 | 典型威胁 | 可用密码技术 |
---|---|---|
机密性 | 窃听、非法盗取资料、泄露数据 | 对称加密和非对称加密,数字信封 |
完整性 | 纂改、重放、破坏 | 哈希函数和消息认证码数据,加密数字签名 |
可鉴别性 | 冒名 | 口令和数字密码,数字证书和签名 |
不可否认性 | 否认已收已发送的信息 | 数字签名,数据储存 |
授权与访问控制 | 非法存储资料,越权访问 | 属性证书,访问控制 |
密码系统安全性
-
影响安全性的基本因素(密码算法的复杂度,密钥机密性,密钥长度)
-
遵循柯克霍夫原则:密码体制可以对外公开,对密钥必须保密,一个密码系统需要保密的越多,可能的弱点就越多
-
需要达到以下准则
-
实际计算量无法实现
-
所需计算时间超过信息的生命周期
-
费用超过信息本身价值
-
对称密码算法
-
也称传统密码算法、秘密密钥算法、单密钥算法
-
加密密钥和解密密钥相同或实质等同
-
优点:算法简单、计算量小、加密速度快、加密效率高
-
缺点:安全信道难以实现、安全交换密钥问题和密钥管理复杂、无法解决对消息的纂改和否认
DES,3DES,IDEA,AES,RC4,RC5,Twofish,CAST-256,MARS等算法
非对称密码算法
-
也称双钥或公钥密码算法
-
其加密密钥和解密密钥不同
-
特点:成对出现 公钥加密私钥解密(机密性),私钥加密公钥解密(数字签名)
Merkle-Hellman,RSA,Rabin,EIGamal,ECC算法
哈希函数和数字签名
-
哈希函数:也称单向散列函数,可以将任意的有限长度信息映射为同等长度的值,主要用来检测消息的完整性和数字签名
-
单向性:无法还原
-
弱抗碰撞性:不会生成相同的哈希值
-
强抗碰撞性:无法通过计算得到相同的哈希值
-
应用:
-
MD5算法:输入任意长的消息,输出128bit的摘要
-
SHA-1算法:输入小于2的64次方长度的消息,输出160位散列值
-
-
-
数字签名
-
公钥基础设施(PKI架构)
-
终端实体——RA——CA——证书
-
二、身份鉴别与访问控制
身份鉴别
-
实体所知:如PIN码、口令
-
信息泄露:登入密码猜测,线路窃听
-
信息伪造:重放攻击
-
窃听攻击——加密——彩虹表攻击——口令使用随机数
-
重放攻击——引入时间戳、使用一次性口令、引入随机数
-
-
实体所有:如钥匙、磁卡、智能IC卡
-
实体特征:验证实体不可改变的特性,如生物特征
-
鉴别系统的有效性判断:错误拒绝率(FRR)、错误接受率(FAR)、交叉错误率(CER)
-
访问控制
-
保证用户在系统安全策略下正常工作
-
拒绝非法用户的非授权访问请求
-
拒绝合法用户的越权服务请求
自主访问控制(DAC):
安全性较低,主体权限易被改变,不能抵御特洛伊木马
一般使用访问控制列表,其他有访问控制矩阵、访问能力表等方式
强制访问控制(MAC):
安全性强,主体权限不会被改变
基本模型:
BLP模型,Biba模型,Clark-Wilson模型,Chinese Wall模型(也称长城模型)
三、网络安全协议
OSI七层模型
-
底层协议:下四层,处理实际的信息传输
-
高层协议:上三层,处理用户服务和各种应用请求
TCP/IP体系结构
应用层 | 用户协议 | 用户协议 | 用户协议 |
---|---|---|---|
传输层 | TCP协议 | UDP协议 | |
互联网络层 | ICMP协议 | IP协议 | IGMP协议 |
网络接口层 | ARP协议 | 硬件接口 | RARP协议 |
链路层安全风险:
-
损坏
-
干扰:大功率电器,电源线路,电磁辐射
-
电磁泄漏:传输线路电磁泄漏
-
欺骗:ARP欺骗
-
嗅探:常见二层协议是明文通信
-
拒绝服务:mac flood ,arp flood等
网络层安全风险:
-
电子欺骗
-
IP地址欺骗攻击
-
源路由欺骗
-
-
拒绝服务
-
碎片攻击:通过无法重组包导致系统无法访问
-
死亡之ping:使用工具合成信息超过65535的ping导致系统无法解释
-
传输层安全风险:
-
TCP:SYN flood攻击 第三次握手无法实现导致漏洞发生
-
UDP:UDP flood攻击
TCP/IP安全架构
应用层 | SNMP | PGP S/MIME PEM(E-Email) |
---|---|---|
SET IKE SSH S-HTTP SFTP X.509 | DNS安全扩展 | |
传输层 | SSL TLS | |
TCP | UDP | |
网络层 | IPSEC(AH) | IPSEC(ESP) |
IP | IP | |
链路层 | PPTP L2TP | PPP L2F |
服务驱动与接入协议 |
四、网络安全新技术(云大物移工)
云计算
-
SaaS 软件级服务
-
PaaS 平台级服务
-
IaaS 基础设施服务
安全威胁:
-
安全认证
-
中间人攻击
-
重放攻击
-
僵尸攻击
-
拒绝服务攻击
-
身份伪造
-
-
虚拟化安全
-
漏洞攻击
-
VMware漏洞
-
HyperVM 0day漏洞
-
-
-
DOS&DDOS攻击
-
land,teardrop,SYN flood,UDP flood,ICMP flood,Smurf
大数据安全威胁:
-
破坏数据完整性
-
网络传播病毒
-
拒绝服务攻击
-
非授权访问
-
信息泄露或丢失
-
大数据成为攻击目标,大数据滥用风险,大数据误用风险
移动互联网安全威胁:
-
业务层面:非法访问用户,非法访问数据
-
网络层面:非法窃听,用户身份仿冒
-
终端层面:漏洞木马蠕虫,网络钓鱼,DDOS
物联网安全威胁:
-
感知层:网关节点/普通节点被控制,DDOS
-
传输层:信息的机密性方面,AKA机制防御
-
处理层:入侵检测
-
应用层:访问控制
工业互联网安全:
“震网”事件:利用MS10-046,西门子SIMATIC WinCC 的0day漏洞通过U盘实施
-
高级持续性威胁
-
工业网络病毒
-
国外设备预留后门
-
工控转移高危漏洞
-
无线技术应用风险
第三章
一、计算机网络和网络设备
计算机网络基础
-
阿帕网(ARPAnet)
-
TCP/IP模型
-
开放互动连接模型(OSI七层模型)
分类:覆盖范围:广域网、城域网、局域网
用户类型:公众网、专用网
计算机网络结构
-
网络单元:用以连接计算机网络的节点
-
链路:物理连接网络单元的介质
拓扑结构:总线型拓扑、星型拓扑(最常用的多节点转中央节点)、环形拓扑、树形拓扑、网状拓扑、混合型拓扑
无线局域网安全防护
-
安全管理
-
结合机构业务需求对万县局域网的应用进行评估,指定使用的管理策略
-
限制无线局域网的使用规范,例如仅用于互联网资料的查询和日常办公使用
-
明确定义并限制无线局域网的使用范围,尽量不在无线网络中汆熟褐处理机密文件
-
-
安全技术
-
位访客设立独立的接入网段,并在无线局域网于业务网之间部署隔离设备
-
对无线局域网接入使用安全可靠的认证和加密技术,增强认证技术
-
部署乳清检测系统以发现可能的攻击并定期执行安全审查
-
常见的网络设备
-
网卡(NIC):有一个独一无二的48位串行号,被写在网卡上的一块ROM中,称为物理地址MAC地址,工作在第二层,MAC地址全球唯一
-
中继器:调整复制放大信号,物理层
-
集线器:HUB,与中继器原理相同
-
网桥:桥接器,大网段分割成小网段或者使小网段连接
-
交换机:接入层汇聚层核心层
-
冲突域:数据必然发送到的区域,交换机隔离
-
广播域:广播数据时可以发送到的区域,路由器隔离
二、防火墙
基础概念
通过数据包的刷选和屏蔽,可以防止非法的访问进入内部或是外部计算机网络
防火墙的部署位置
-
可信网络与不可信网络之间
-
不同安全级别网络之间
-
两个需要隔离的区域之间
技术原理
-
定义一个必经之点
-
挡住未经授权的访问流量
-
禁止具有脆弱性的服务带来危害
-
实施保护,以避免各种IP欺骗和路由攻击
策略:
-
接受:允许通过
-
拒绝:拒绝信息通过,通知发送信息的信息源
-
丢弃:直接丢弃信息,不通知发送信息的信息源
典型技术:
-
静态包过滤防火墙
-
依据数据包的基本标记来控制数据包
-
优点:技术逻辑简单,易于实现,处理速度快,过滤规则与应用层无关
-
不足:无法实现对应用层的过滤,不能防止地址欺骗,不能防止外部客户与内部主机直接连接,安全性差
-
-
应用代理防火墙
-
网络之间的连接都要通过防火墙进行转发,不允许绘画双方直接通过,需用防火墙作为代理,将外网数据转发给内网主机设备
-
优点:提供NAT,避免内外网直连,可以隐藏内部网络结构
-
不足:系统性能消耗极大,效率略低,需要为每个服务写代理程序
-
-
状态检测防火墙
-
动态包过滤防火墙,创建状态表用于维护连接
-
优点:安全性高,能记录每个包的信息
-
不足:检测内柔的包过滤多,对性能要求高
-
企业部署
单防火墙(无DMZ) 单防火墙(DMZ) 双防火墙
局限性
-
难于管理和配置,易造成安全漏洞
-
防外不防内
-
只实现粗粒度的访问控制
-
不能防范病毒和某些网络攻击
三、边界安全防护设备
IPS(入侵防御系统)
结合入侵检测、防火墙等基础机制的安全产品,通过对网络设置进行分析入侵检测并产生响应中断入侵,但会产生误判拦截用户的正常操作行为
网闸(物理隔离系统)
组成:外部处理单元、内部处理单元、仲裁处理单元
上网行为管理
对内部网络用户的互联网行为进行控制和管理的边界网络安全产品,记录个人的上网数据
防病毒网关
终端上部署的,对进入终端的恶意代码进行检测和查杀
UTM(统一威胁管理系统)
集成各种边界安全防护设备
四、网络安全管理设备
IDS(入侵检测系统)
对入侵行为进行检测并进行响应的网络安全设备(监听包进行检测),是一种主动防御设备
类型有网络入侵检测(NIDS)和主机入侵检测(HIDS)
网络安全审计
漏洞扫描系统
VPN(虚拟专网)
在网络中建立一个虚拟的临时的专用的安全网络通道
VPN技术:
-
隧道技术
-
PPTP、L2TP
-
IPSEC、GRE
-
SSL、TLS
-
-
密码技术
-
对称密码技术
-
非对称密码技术
-
堡垒主机
安全管理平台 SOC
为组织机构提供集中、统一、可视化的安全信息部署
常见功能:
-
统一日志管理(集中监控)
-
统一配置管理(集中管理)
-
各安全产品和系统的统一协调和处理(协同处理)
-
安全状态的统一管理(统一安全保护)
第四章
一、windows终端安全
账户安全
-
系统内置用户
-
Administrator
-
Guest
-
-
用户账号
-
安装时创建的
-
-
关闭内置账户
-
Net user administrator /active:no
-
Net user guest /active:no
-
-
更改默认账户用户名
-
账户策略——密码策略设置
-
账户策略——账户锁定策略
-
本地安全策略——审核策略
安全中心
-
病毒和威胁防护
-
确保启用
-
更新到最新 特征库
-
勒索软件防护
-
-
防火墙和网络保护
-
确保其用
-
域网网络、专用网络、公共网络
-
出站规则、入站规则
-
-
应用和浏览器控制
-
检查应用和文件告警
-
适用于Microsoft Edge的smart screen开启
-
浏览隔离
-
Exploit protection
-
系统服务安全
-
关闭不必要的服务
-
关闭管理共享
-
默认情况下,系统分区windows安装目录全部被共享
-
修改注册表关闭管理共享
-
-
关闭自动播放
二、windows终端数据安全
windows备份与还原
-
重新部署
-
配置丢失、数据丢失
-
-
系统还原点
-
速度快、个人配置不丢失
-
-
创建系统还原点
-
启用系统保护
-
对分区建立还原点
-
数据备份
系统备份还原无法保护用户数据
-
个人备份——移动硬盘
-
备份时间长,可以用专用备份软件备份变动差异部分
-
-
个人备份——网上云盘
-
带宽、流量、成本、数据泄露
-
数据粉碎
-
避免数据非法还原(正常删除文件、格式化硬盘的数据可被还原)
-
更彻底:物理破坏、电子消磁
-
专用文件粉碎软件(PGP、shedder、eraser)
-
反复覆盖:Gutmann算法35次覆盖,理论上无法恢复
数据加密
-
保护数据安全的主要措施
-
数据加密实现——EFS
-
加密文件系统,windows对NTFS卷上的文件、文件夹进行加密
-
不足:无法解决设备物理丢失情况下的数据保护
-
-
数据加密实现——Bitlocker
-
解决物理方式导致的数据失窃或恶意泄露的威胁
-
优点:对整个卷加密,支持可信平台协作,可存储在USB key中
-
三、移动终端安全
安全威胁与应对
-
业务承载平台
-
大量存储个人信息数据,攻击者的重点目标
-
操作系统和大量第三方软件存在安全漏洞,成为病毒、蠕虫和特洛伊木马等的攻击
-
-
典型安全威胁
-
伪基站
-
移动信号机制工作机制
-
蜂窝式组网
-
GSM单项认证
-
终端自动寻找信号最强基站
-
-
安全应对
-
关注手机信号回落2G情况,伪基站只能伪装2G信号
-
短信不是无风险信息,谨慎访问短信中的连接,哪怕是运营商发送的
-
-
垃圾信息应对
-
手机垃圾信息过滤
-
Imessage关闭或设置过滤未知发送人
-
第三方过滤软件
-
-
-
设备丢失和损坏
-
安全风险
-
访问控制不足,非法操作
-
数据丢失风险
-
SIM卡被非法利用风险
-
-
安全措施
-
手机访问控制机制
-
开启定位以及“查找设备”功能,实现数据清除
-
设置SIM卡锁
-
-
-
系统漏洞
-
恶意app
-
第五章
一、web浏览安全
web应用体系架构
浏览器/服务器架构(B/S架构)
浏览器的安全问题
-
XSS跨站脚本攻击
-
由于网站允许脚本运行,使用户可以提交脚本到网页上,在其他用户访问的时候加载执行
-
反射型 直接反射
-
存储型 存储在数据库
-
DOM型
-
危害:执行命令,劫持用户会话,插入恶意内容,重定向访问,蠕虫木马
-
-
跨站请求伪造(CSRF)
-
以用户身份在当前已经登入的web应用程序执行非用户本意的做错
-
网站存在漏洞、账号登入、用户点击伪造请求
-
-
网页挂马
-
利用漏洞
-
伪装下载
-
自动下载
-
-
网络钓鱼
安全使用浏览器
-
清除浏览数据
-
防止跟踪
-
cookie欺骗或篡改
-
-
避免自动口令填充
-
慎用代理服务器
二、互联网通信安全
网络安全问题
-
网络通信技术故障
-
网络通信安全
电子邮件安全威胁
-
邮件地址欺骗
-
垃圾邮件
-
邮件病毒
-
邮件炸弹
电子邮件防护
-
垃圾邮件过滤技术
-
邮件加密与签名
即时通信
-
应用系统自身安全风险
-
基础设施:服务商的服务器
-
客户端:基础薄弱的个人电脑
-
数据传输:明文传送
-
-
传播恶意代码
-
MSN烤鸡病毒
-
QQ盗号木马
-
QQ尾巴
-
-
利用及时通信破坏防御系统
-
网络欺骗与非法信息
第六章
一、安全漏洞与网络攻击
攻击过程:踩点、入侵、后门、痕迹
信息收集
-
IT相关信息
-
域名信息
-
网络拓扑结构、安全设备型号、配置
-
系统版本数量
-
应用软件版本、型号、开发语言开发商
-
web网页内容
-
-
相关公开信息
-
组织机构、地理位置、电话号码、邮件
-
近期重大事件
-
信息收集与分析工具
-
系统命令
-
Nslookup、Whois、tracert、ping
-
-
专用软件
-
kali linux
-
-
搜索引擎
-
google、fafo
-
-
扫描器
-
端口扫描:nmap
-
漏扫:nessus、appscan
-
搜索引擎
某开源软件脚本存在漏洞,扫搜可用找到相关脚本
信息挖掘 “.doc+website” .mdb .ini .txt .old .bak .001 后台入口
防范:
-
公开信息收集防御。最小化原则
-
网络信息收集防御。IDS防火墙,阻止ICMP
-
系统及应用信息收集防御。修改默认配置,减少攻击面
网络攻击方式
-
配置缺陷
-
默认账户、口令
-
不合理配置(如启用匿名)
-
-
口令破解
-
社会工程学
-
电子欺骗
-
ARP欺骗
-
DNS欺骗
-
IP欺骗
-
TCP欺骗
-
路由欺骗
-
-
拒绝服务攻击
-
利用系统、协议或服务的漏洞
-
消耗目标系统服务资源能力
-
-
溢出攻击
-
缓冲区溢出(心脏滴血、想哭勒索软件)
-
格式化字符串溢出
-
-
代码注入
-
SQL注入
-
命令注入
-
Xpath注入
-
-
跨站脚本
-
跨站请求
-
会话管理漏洞利用
-
文件上传漏洞
后门设置和痕迹清理
-
操作系统级后门
-
特洛伊木马
-
Rootkit
-
设备驱动
-
-
脚本后门
-
隐蔽性强
-
难以查找
-
-
账号后门
-
隐藏账号
-
已知密码的正常账号
-
超权限账号
-
-
清除痕迹
-
清除\改写日志
-
日志的清除方法
-
日志的改写工具
-
-
删除中间文件
-
删除临时用户
-
-
日志分析重点
-
时间日期
-
源ip
-
超长的记录
-
非正常编码
-
请求连接中的关键字
-
二、口令破解攻击
远程暴力破解
-
针对登入口令的攻击
-
反复多次模拟身份验证
-
-
防御措施
-
设置安全的口令
-
限制登入输入错误口令次数
-
口令字典
-
根据用户口令设置规则构建
-
收集常用密码
-
有效提高密码破解效率
-
-
口令字典内容
-
弱口令
-
社工口令
-
泄露口令数据库
-
木马窃取
-
木马窃取口令
-
从输入框中获取口令
-
通过获取击键记录获得口令
-
-
防御措施
-
使用安全输入控件
-
软键盘
-
随机排列字符
-
网络钓鱼
-
伪造受信任网站
网络嗅探
-
网络传输过程中发生
彩虹表
-
消耗存储空间】
口令破解防护
-
账户锁定策略
-
验证码
-
短信验证码(实体所有+口令实体所知)
三、社会工程学攻击
-
永远有效的攻击方法
-
人是最不可控的因素
信任权威
请求或命令来自一个”权威“人士时,这个请求就可能被通过
公共爱好
存在共同点时,相互之间的好感、信任度就会提升,请求容易被执行
报答
被赠与获得一些有价值的东西
守信
对自身信用的保护等原因,人们对自己公开承诺或者认可的事情,会倾向坚持或维护
社会认可
人有趋众的特性,当绝大部分人都是按某种方式来做的
短缺资源
获取稀缺物品的渴望
社会工程学攻击
-
间接用于攻击
-
口令破解中的社会工程学利用
-
信息收集与口令破解
-
-
网络攻击中的社会工程学利用
-
社工库:泄露的用户数据整合分析形成的数据库
-
黑产中可买卖的数据
-
爬虫抓取数据
-
-
-
社会工程学攻击防护
-
安全意识培训
-
注意保护个人隐私
-
四、恶意代码
类型:二进制代码、脚本语言、宏语言
表现形式:病毒、蠕虫、后门程序、木马、流氓软件、逻辑炸弹
传播方式
-
利用文件进行传播
-
感染文件
-
可执行程序:.exe .com .pif
-
动态链接库文件、系统文件
-
支持宏的文档:word、excel、ppt
-
-
软件捆包
-
将自身与正常软件合并
-
软件安装时默认、强制安装上
-
-
移动存储
-
自动播放功能,自动执行autorun,inf执行指定文件
-
应对:组策略编辑器
-
-
攻击者上传
-
利用上传渠道
-
-
-
利用网络进行传播
-
网页
-
将木马伪装为页面元素
-
利用脚本运行的漏洞
-
伪装为缺失的组件
-
通过脚本运行调用某些组件
-
利用软件漏洞
-
-
电子邮件
-
社会工程学(欺骗性标题,吸引人的标题)
-
利用系统及邮件客户端漏洞(尼姆达)
-
-
即时通讯
-
伪装即使通讯中的用户向其联系人发送消息,使用欺骗性或迷惑性的字眼
-
P2P下载、FTP下载
-
-
-
利用漏洞进行传播
-
软件漏洞
-
配置漏洞
-
弱口令、默认账户口令
-
权限控制不足
-
-
恶意代码的预防技术
-
安全管理
-
制定管理制度
-
实施培训增强安全意识
-
-
加强防护
-
系统补丁、安全配置及加固
-
防护软件:防病毒、防火墙
-
-
减少损失
-
数据备份
-