走进安全：网络世界的攻与防读书笔记

走进安全：网络世界的攻与防读书笔记

本书详细列举了企业安全的威胁和案列，安全设计安全防护的一些规范值得一看。

第一章：安全简历

一、诞生，从计算机到互联网

（一）计算机的发展历史：
1946年2月14日，世界上第一台电子管计算机在美国宾夕法尼亚大学诞生。在第一代电子管计算机之后，计算机技术又经历了三个重要的发展阶段：第二代晶体管计算机阶段，第三代中小规模集成电路计算机阶段和第四代超大规模集成电路计算机阶段。

（二）互联网发展历史：
1983年，美国ARPA（高级研究计划署）和美国国防部通信局才联合研发出著名的TCP/IP协议，这标志着真正意义上的互联网诞生。

中国是全球互联网发展速度最快的国家之一。1994年，中国正式接入国际互联网。经过20余年的发展，截至2016年12月，中国网民数量已达到7.31亿，

二、感染，从病毒到木马

（一）磁芯大战与病毒起源计算机病毒（Computer Virus
一般是指能够对计算机软、硬件功能或数据代码进行破坏具有自我复制能力的计算机程序。(这里可以类比生物病毒)

（二）历史上的知名病毒
1．大脑病毒（1986年）——公认的第一个流行计算机病毒
2．莫里斯蠕虫（1988年）——第一个通过互联网传播的病毒
3．冲击波病毒（2003年）——历史上影响力最大的病毒
4．熊猫烧香（2007年）——国内知名度最高的病毒
5．震网病毒（2010年）——第一个针对工业系统的病毒
6．永恒之蓝勒索蠕虫（2017年）——全球影响最大的勒索病毒

（三）互联网时代木马的兴起
木马与病毒的区别是什么？
病毒是为了破坏计算机中某些资料数据，或致使网络瘫痪。而木马程序则是秘密潜伏在被控设备中，主要目的是盗窃被控用户的数据或个人隐私信息，从而获取一定的经济利益。(如QQ盗号木马等)

三、扩散，威胁无处不在

纵观互联网的发展历程：从web1.0,web2.0,移动互联网。
病毒、木马、挂马、钓鱼等传统威胁也普遍存在。
而对于IOT时代:物联网设备的安全风险主要集中在三个方面：一是个人隐私安全，二是生命财产安全，三是生产安全。

四、重生，安全技术革命

（一）三次革命：杀毒技术的飞跃
1．第一代：特征码引擎
2．第二代：云查杀与白名单+主动防御
3．第三代：大数据与人工智能

（二）环境的净化：第三方打补丁技术
国内安全厂商创新性地将“修复漏洞”集成到安全软件中，修复难的问题。当前安卓手机也具有此类问题。

（三）防线的前推：安全浏览器的诞生
2008年前后，网站挂马现象泛滥，日常生活中越来越多的常用网站被黑客恶意挂马。（sq网站）

解决方案是：浏览器安全特性
体现在以下三个方面：第一，基于海量云端恶意样本库，可以实时检测网址安全性；第二，安全浏览器具备系统级的安全机制，通过数据执行保护（DEP）、地址空间随机化（ASL）等技术手段，使漏洞被利用的难度越来越高；第三，引入沙箱技术，创建隔离模式，即使网民浏览了挂马网页，也不会对系统安全造成任何影响。

（四）颠覆式创新：免费安全的新时代
免费杀毒的产品运营模式。

五、进化，安全理论探索

（一）信息安全的理论基础：

首先，信息安全至少要确保信息的“七性”，即可靠性、可用性、完整性、不可抵赖性、保密性、可控性、真实性。

“六事件”包括：有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件。

（二）重要的网络信息安全理论探索

新形势下，为应对各种网络空间威胁，实现信息安全建设的“进不来”,“拿不走”, “看不懂”, “改不了”, “逃不掉”和“打不垮”的六个目标。

第二章 威胁无处不在——个人篇

一、根本的缺陷：安全漏洞

（一）漏洞产生的原因

安全漏洞是信息系统在生命周期的各个阶段（设计、实现、运维等过程）中产生的某类问题，这些问题会对系统的安全（机密性、完整性、可用性等）产生影响。

（二）常见的漏洞类型
漏洞的分类方法有很多，从漏洞使用的技术手法上来看：常见的有SQL注入漏洞、XSS漏洞（跨站脚本攻击漏洞）、命令执行漏洞、信息泄露漏洞等十余种；
从漏洞作用方式来看：可以分为本地提权漏洞、远程代码执行漏洞、拒绝服务漏洞等；
从漏洞的普遍性来看：可以分为通用型漏洞和事件型漏洞。

（三）计算机安全漏洞
（四）手机安全漏洞
（五）物联网安全漏洞

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ZTMPA8Nm-1587227834853)(media/15871962114775/15872000524763.jpg)]

病毒木马，恶意网页，网络诈骗已经很熟悉了。目前先关注IoT，IoT安全隐患主要集中在以下几个方面：数据存储不安全、服务端控制措施部署不当、传输过程中没有加密、手机客户端的注入、身份认证措施不当、密钥保护措施不当、会话处理不当、敏感数据泄露等。

第三章 威胁无处不在——政企篇

相比于个人网络用户，机构所面临的安全威胁更加复杂，更加多样化。本章将主要从木马病毒、网站漏洞、信息泄露、DDoS攻击、网络扫描、邮件攻击、工业互联网、APT（高级持续性威胁）等几个方面展开介绍。

一、暗处的攻击：木马病毒

木马病毒同样威胁政府、企业等机构的网络安全。针对企业的木马病毒攻击，恶意行为主要以勒索和后门为主。

二、天上的乌云：网站漏洞

（一）国内网站安全漏洞现状
网站安全漏洞有两种主要的检测方式：一种是漏洞扫描，另一种是人工挖掘。前者主要用于对代码层面已知的通用型网站安全漏洞进行自动监测，后者则更多地用于对事件型漏洞的检测和发现。

（二）网站安全漏洞的危害
网站安全漏洞容易造成网站信息泄露、网页篡改、挂马植入、后门植入、拒绝服务等一系列安全问题。以下主要介绍信息泄露和网页篡改。

三、无尽的烦恼：信息泄露

造成机构信息泄露的主要原因有两类：一是黑客入侵、二是内鬼出卖。而从机构泄露的信息类型来看，主要也分为两类：个人信息和机密信息，后者是指政企机构内部除个人信息之外的商业机密、技术机密及其他机密信息。

按照数据的敏感度，个人信息数据可以划分为如下4个基本类型。
① 实名信息：如姓名、电话、身份证、银行卡、家庭住址等信息。② 保单信息：保单号、保险信息、车险信息等。
③ 账号和密码：如各类网站登录账号和密码、游戏账号和密码、电子邮箱账号和密码等。
④ 行为记录：如聊天记录、购物记录、差旅信息等。

相关漏洞可能泄露的机构机密信息中，根据潜在风险程度由高到低主要包括以下几类。
① 财务信息。
② 合同信息。
③ 企业资产。
④ 公司注册信息。

信息泄露的危害：
一．垃圾短信源源不断：
二．骚扰电话接二连三：
三．垃圾邮件铺天盖地：
四．冒名办卡透支欠款：
五．案件事故从天而降：
六．冒充他人要求转帐：
七．帐户钱款不翼而飞：
八．个人名誉无端受损：

四、网上的群殴：DDoS产业

五、黑客的踩点：网络扫描

扫描器向目标计算机发送数据包，然后根据对方反馈的信息来判断对方的操作系统类型、开发端口、提供的服务等敏感信息。

（二）网络扫描的类型
常规恶意扫描、针对性突发扫描和安全监控扫描。

六、精准的炸弹：邮件攻击

企业用户的电子邮箱往往承担着以下重要的办公功能：
① 企业内网权限管理中的身份标识；
② 企业内部重要办公信息的沟通渠道，并且具有一定的保密性质；③ 企业与外部沟通的正式平台，交互信息具有一定的法律效力。

威胁：
1.垃圾邮件
2.钓鱼邮件
3.邮件盗号
4.带毒邮件

七、危险的目标：工业互联网

八、暗夜的狙击：APT

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-AmmEidTj-1587227834855)(media/15871962114775/15872053007389.jpg)]

一般常见的有：鱼叉邮件与水坑攻击

九、其他典型政企网络安全事件实例

（一）ERP系统被黑，致企业数百万元被盗
（二）后门程序给网站动态加载黑词暗链
（三）废弃网址无人管，致员工账号被盗
（四）员工误用网络工具，泄露企业高级机密
（五）私自复制数据泛滥，致地质情报泄露
（六）某企业境外投标屡次泄密，被迫使用密码本
（七）某建设企业境外投标三次泄密，改用纸质文件

第六章 现代网络安全技术——政企篇

网络安全技术和网络安全产品，最需要解决的问题为：
隔离、认证、管控、监控、审计和容灾。

第一道防线：边界防御与控制的安全产品

防火墙：
可以提供访问控制，对常见的网络攻击进行有效防护，并提供地址转换、流量管理、用户认证等增强措施。

网关：
安全网关具备一些安全认证功能。最常见的安全网关设备是应用网关。(类似于机场中的安检机器)

网闸：
网闸是中国特有的一类网络设备，被认为是实现物理隔离的网络边界设备。

IPS与IDS：
IPS，即入侵防预系统，Intrusion Prevention System的缩写，是能够监视网络或网络设备的网络传输行为的安全设备，能够即时地中断、调整或隔离一些不正常或有伤害性的网络传输行为。
IDS，即入侵检测系统，Intrusion Detection Systems的缩写，是依照一定的安全策略，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，并发出警告的网络安全设备。

假如防火墙是一个小区的大门，那么IPS就是这个小区的保安，IDS就是小区大楼里的监视系统，网闸就像小区里的摆渡车。没有门禁卡的可疑人员无法正常通过小区大门，而一旦小偷进入小区，保安可以及时发现和阻止，实时监视系统也能发现情况并警告，摆渡车则可物理控制小区内不同区域的访问。

二、防御的基础：终端安全与管控 DLP

（1）强制部署与禁止卸载
（2）安全补丁的统一发放
（3）设备接口的强行管控
（4）软件运行的实时监控
（5）失陷主机的临时隔离

三、移动互联的应对：BYOD问题的解决

Bring Your Own Device带来的安全挑战
1．集成一套办公软件
2．集成一套虚拟化办公环境(多开VA环境，支持擦除)

四、云上的防护：虚拟化安全

（一）云技术的兴起与安全隐患
（二）云服务平台的安全防护
（三）如何防范“上帝之手”

五、数据的安全：认证与加密

七、邮件的安全：三重防盗

做好邮件的安全防护工作，就必须做到三重防盗，即防盗号、防窃密和防恶意。

八、网站的安全：漏洞扫描与防护

漏洞扫描技术也分为主动扫描和被动扫描两种。

在WEB安全测试中，针对乙方而言，被动扫描其实并不常见，因为数据源单一原因，导致以爬虫为主的安全测试大行其道，但在甲方的视角下，要考虑覆盖率的问题，故被动扫描也在考虑范围内。

被动扫描
被动扫描通俗来讲，就是通过流量、代理、日志等的方式去采集测试数据源，然后进行安全验证的过程。

与主动扫描相比，被动扫描并不会进行大规模的爬虫行为，其优势也比较明显：

1）覆盖率：主动扫描的测试数据源全部来自爬虫，如独立页面、API接口等获取较为困难，而被动扫描可通过流量镜像的方式近似获取全接口请求；

2）速度：被动扫描省去了爬虫的阶段，可以大大减少测试时间

3）精准测试：被动扫描多数为自研扫描，由于充分了解自身业务流程，故可定制更加适用的paylod进行安全测试，如越权测试、信息泄露等。
https://www.freebuf.com/column/157635.html

九、人民的战争：漏洞的人工挖掘

（一）借“人”的力量发现漏洞
（二）“白帽子”的现状与实践
（三）人工挖掘漏洞的实施特点目前业内比较常见的人工漏洞挖掘实施模式有三种：公益SRC、私有SRC、专项众测。

十、DDoS攻击监测与防御

从具体实现来看，目前防御DDoS攻击有两种主流的方法：一种是使用流量清洗设备，另一种是使用云端防护。

十一、人工智能在安全领域的应用

（一）海量数据的分析工具
（二）CGC与自动化攻防
（三）人工智能本身的安全性

十二、防患于未然：威胁态势感知

威胁情报与态势感知的区别

十三、实战与演练：网络安全靶场

网络靶场在试验规模、对象、环境、安全与复杂度等方面都有别于传统的网络虚拟仿真技术。建设网络靶场时需要解决的关键技术难点主要有：大规模网络仿真环境构建技术、靶场试验时钟同步技术、靶场试验运行控制技术等。现阶段美国在以上技术积累方面处于全球领先的水平。

十四、工业互联网：IT/OT一体化

工业互联网安全防护的先决条件是：尽可能不影响工业系统的生产

（一）导致的安全问题：
超期服役、带洞工作、带毒运行。

（二）工业互联网的三层架构
1．内网办公IT系统层
2．监控管理层
3．控制操作OT层

（三）工业互联网安全防护的技术趋势
1．白名单技术是工业互联网的安全基础
2．从一定会被攻破的角度出发制定防御策略
3．引入数据驱动安全的技术理念
4．建立企业安全运维中心
5．应用工业大数据进行异常发现和UEBA
安全大数据还可以用于工业互联网中的用户和实体行为分析（UEBA）
6．构建产业协同的联合防御体系

基于安全态势感知的特定需求，使用的大数据平台应具有海量数据存储、索引、查询、统计的特点，可保障千亿级日志量的存储，实现数据的快速查询和统计。态势数据的收集与存储具备开放性，以便为后续更多的应用留下接口。

很多企业的网络运营与管理者常有错误的、过时的网络安全观，主要表现在以下几个方面。（1）安全管理以免责为目标