网络安全的概述

网络空间的概念

2003年美国提出网络空间的概念:一个由信息基础设施组成的互相依赖的网络。

我国官方文件定义:网络空间为继海,陆,空,天以外的第五大人类活动领域

网络安全发展历史

通信保密阶段 --- 计算机安全阶段 --- 信息系统安全 --- 网络空间安全

数字化时代威胁

攻击频发:勒索病毒、个人信息外泄、数据泄露、网络空间安全、APT攻击(高级持续性威胁)

传统防护逐步失效

安全风险能见度不足

  • 水坑攻击:攻击者会通过前期的调查或各种社会工程手段,确定受害者(往往是一个特定群体)经常访问的一些网站,并在网站上部署恶意程序,当受害者访问被部署了恶意程序的网站时即会被感染。通常来说,水坑攻击的目的是通过感染受害者的电脑,以获得对受害者公司网络的访问权。

  • 鱼叉邮件攻击:攻击者伪装成可信任的发件人,向受害者发送具有欺骗性质的消息,设下“诱饵”,诱导受害者点击恶意链接,并在攻击者仿冒的网页上提供敏感数据。利用获取到的信息,攻击者可以直接通过交易受害者的个人数据牟取经济利益,或借此发动下一步网络攻击。

  • 零日漏洞攻击:是指利用零日漏洞(指还没有补丁的安全漏洞)对系统或软件应用发动的网络攻击

缺乏自动化防御手段:企业普遍缺乏自动化防御手段

网络安全监管标准越发严苛

  • 2017年6月,《网络安全法》正式生效。

  • 2019年5月,《信息安全技术网络安全等级保护基本要求》等三大核心标准发布。

  • 计算级安全的五个级别

信息安全概述

  • 信息安全:防止任何对数据进行未授权访问的措施,或者防止造成信息有意无意泄漏、破坏、丢失等问题的发生,让数据处于远离危险、免于威胁的状态或特性。

  • 网络安全:计算机网络环境下的信息安全。

网络安全的常见用语

漏洞可能被一个或多个威胁利用的资产或控制的弱点
攻击企图破坏、泄露、篡改、损伤、窃取、未授权访问或未授权使用资产的行为。
入侵对网络或联网系统的未授权访问,即对信息系统进行有意或无意的未授权访问,包括针对信息系统的恶意活动或对信息系统内资源的未授权使用。
0day漏洞通常是指还没有补丁的漏洞。也就是说官方还没有发现或者是发现了还没有开发出安全补丁的漏洞。
后门绕过安全控制而获取对程序或系统访问权的方法。
WEBSHELL以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境,也可以将其称作为一种网页后门。
社会工程学通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段取得自身利益的手法。
exploit简称exp,漏洞利用
APT攻击高级持续性威胁。 利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。

信息安全的脆弱性及其攻击方式

协议栈的脆弱性其常见攻击
协议栈的脆弱性

随着互联网的不断发展,TCP/IP协议族成为使用最广泛的网络互连协议。但由于协议在设计之初对安全考虑的不够,导致协议存在着一些安全风险问题。Internet首先应用于研究环境,针对少量、可信的的用户群体,网络安全问题不是主要的考虑因素。因此,在TCP/IP协议栈中,绝大多数协议没有提供必要的安全机制。例如:

  • 不提供认证服务

  • 明码传输,不提供保密性服务,不提供数据保密性服务

  • 不提供数据完整性保护

  • 不提供抗抵赖服务

  • 不保证可用性——服务质量(QoS)

常见安全风险

常见攻击方式分类
  • 截获 --- 被动威胁

    • 嗅探 (sniffing)

    • 监听 (eavesdropping)

  • 篡改 --- 主动威胁

    • 数据包篡改 (tampering)

  • 中断 --- 主动威胁

    • 拒绝访问 (dosing)

  • 伪造 --- 主动威胁

    • 欺骗 (spoofing)

常见攻击方式

  • 物理层 --- 物理攻击

    • 物理设备破坏

    • 物理设备窃听

  • 链路层 --- MAC泛洪攻击

    • 填满整个MAC表,此时交换机只能进行数据广播,攻击者凭此获得信息。

    • 交换机一个接口可以对应多个MAC地址。

  • 链路层 --- ARP(地址解析协议)欺骗

    • 正向ARP:通过IP地址获取MAC地址。

    • 当A与B需要通讯时:A发送ARP Request询问B的MAC地址,Hacker冒充B持续发送ARP Reply给A(此时,A会以为接收到的MAC地址是B的,但是实际上是Hacker的),之后A发送给B的正常数据包都会发给Hacker。

  • 网络层 --- ICMP

    • 重定向

      • ICMP重定向攻击是攻击机主动向受害人主机发送ICMP重定向数据包,使受害人主机数据包发送到不正确的网关,达到攻击的目的。

    • 目标主机不可达

      • 不同的系统对ICMP不可达报文(类型为3)的处理不同,有的系统在收到网络(代码为0)或主机(代码为1)不可达的ICMP报文后,对于后续发往此目的地的报文直接认为不可达,好像切断了目的地与主机的连接,造成攻击。

  • 传输层 --- TCP SYN Flood攻击

    • TCP 字节流协议。TCP是分段的,传输基于字节流传输数据。

    • SYN FLOODING攻击特点:

      • 攻击者用带有SYN标志位的数据片断启动握手

      • 受害者用SYN-ACK应答;

      • 攻击者保持沉默,不进行回应;

      • 由于主机只能支持数量有限的TCP连接处于half-open的状态,超过该数目后,新的连接就都会被拒绝;

    • 拒绝服务式攻击(Denial of Service),顾名思义就是让被攻击的系统无法正常进行服务的攻击方式。

      • DoS 攻击通常通过请求压垮或淹没目标计算机,直到其无法处理正常流量,从而对其他用户造成拒绝服务。

    • 分布式拒绝服务攻击(DDoS)

      • 利用大量合法的分布式服务器对目标发送请求,从而导致正常合法用户无法获得服务。

    • 防御办法:

      • 代理防火墙

        • 每目标IP代理阈值:超过阈值之后,数据交给代理防火墙处理。

        • 每目标IP丢包阈值:相同IP数据包超过一定阈值之后,防火墙直接把数据包丢弃。

      • 首包丢包

        • 将接受到的第一个SYN数据包丢弃,第二个数据包正常接收。

      • SYN cookie

        • 服务器将不再收到SYN请求报文后立即给这个TCP连接分配缓存空间了。而是会及将这个SYN报文中的源目IP地址以及端口号和一个随机数一起使用HASH算法生成一个摘要值。我们将这个摘要值称为是SYN Cookie。然后,服务器会使用这个SYN Cookie作为服务器的初始序列号server_isn来发送SYN+ACK报文(这个初始值本身就可以是一个随机值),等待客户端回复ACK。

        • 如果客户端是合法的,则会正常回复ACK报文,并且其中会包含一个确认序列号。这个确认序列号应该是server_isn + 1。服务器将使用这个ACK报文中的源目IP和端口以及之前的随机数运行HASH重新计算一个摘要值。如果这个摘要值+1和客户端返回的确认序列号相同,则认为该连接合法,就会为该连接分配缓存空间。

  • 应用层 --- DNS欺骗攻击

    • 没有权限的主机通过这种攻击来指导域名服务器 (DNS) 及其所有请求。这基本上意味着攻击者可以将所有DNS请求以及所有流量重定向到他的机器,以恶意方式操纵它并可能窃取传递的数据。

操作系统的脆弱性及其攻击方式
  • 人为原因

    • 在程序编写过程中,为实现不可告人的目的,在程序代码的隐藏处保留后门。

  • 客观原因

    • 受编程人员的能力,经验和当时安全技术所限,在程序中难免会有不足之处,轻则影响程序效率,重则导致非授权用户的权限提升。

  • 硬件原因

    • 由于硬件原因,使编程人员无法弥补硬件的漏洞,从而使硬件的问题通过软件表现。

攻击方式:缓冲区溢出攻击

终端的脆弱性及其攻击方式

终端的脆弱性在于操作者

恶意程序:一般会具有以下多个或者全部特性。

  1. 非法性

  2. 隐蔽性

  3. 潜伏性

  4. 可触发性

  5. 表现性

  6. 破坏性

  7. 传染性 --- 蠕虫病毒的典型特征

  8. 针对性

  9. 变异性

  10. 不可预见性

病毒分类
  • 普通病毒:以破坏为目的的病毒

  • 木马病毒:以控制为目的的病毒

  • 蠕虫病毒:具有传播性的病毒

其他攻击方式

社工攻击
  • 原理

    • 社会工程攻击,是一种利用"社会工程学" 来实施的网络攻击行为

    • 在计算机科学中,社会工程学指的是通过与他人的合法地交流,来使其心理受到影响,做出某些动作或者是透露一些机密信息的方式。这通常被认为是一种欺诈他人以收集信息、行骗和入侵计算机系统的行为。

  • 防御手段

    • 定期更换各种系统账号密码,使用高强度密码等。

人为因素
  • 原理

    • 无意的行为

      • 工作失误——如按错按钮;

      • 经验问题——不是每个人都能成为系统管理员,因此并不了解贸然运行一个不知作用的程序时会怎么样;

      • 体制不健全——当好心把自己的账号告诉朋友时,你却无法了解他会如何使用这一礼物;

    • 恶意的行为

      • 出于政治的、经济的、商业的、或者个人的目的

      • 病毒及破坏性程序、网络黑客

      • 在Internet上大量公开的攻击手段和攻击程序

  • 防范措施

    • 提升安全意识,定期对非IT人员进行安全意识培训和业务培训;

    • 设置足够强的授权和信任方式,完善最低权限访问模式;

    • 组织需要完善和落地管理措施,保障安全管理制度是实际存在的;

    • 善于利用已有的安全手段对核心资产进行安全保护等

拖库、洗库、撞库
  • 原理

    • 拖库:是指黑客入侵有价值的网络站点,把注册用户的资料数据库全部盗走的行为。

    • 洗库:在取得大量的用户数据之后,黑客会通过一系列的技术手段和黑色产业链将有价值的用户数据变现,这通常也被称作洗库。

    • 撞库:最后黑客将得到的数据在其它网站上进行尝试登陆,叫做撞库,因为很多用户喜欢使用统一的用户名密码。

  • 防御手段

    • 重要网站/APP的密码一定要独立 、电脑勤打补丁,安装一款杀毒软件、尽量不使用IE浏览器、使用正版软件、不要在公共场合使用公共无线做有关私密信息的事、自己的无线AP,用安全的加密方式(如WPA2),密码复杂些、电脑习惯锁屏等。

跳板攻击
  • 原理

    • 攻击者通常并不直接从自己的系统向目标发动攻击,而是先攻破若干中间系统,让它们成为“跳板”,再通过这些“跳板”完成攻击行动。

    • 跳板攻击就是通过他人的计算机攻击目标.通过跳板实施攻击。

  • 防御手段

    • 安装防火墙,控制流量进出。系统默认不使用超级管理员用户登录,使用普通用户登录,且做好权限控制。

钓鱼式攻击/鱼叉式钓鱼攻击
  • 原理

    • 钓鱼式攻击是一种企图从电子通讯中,通过伪装成信誉卓著的法人媒体以获得如用户名、密码和信用卡明细等个人敏感信息的犯罪诈骗过程。

    • 鱼叉式网络钓鱼指针对特定目标进行攻击的网络钓鱼攻击。

  • 防御手段

    • 保证网络站点与用户之间的安全传输,加强网络站点的认证过程,即时清除网钓邮件,加强网络站点的监管。

水坑攻击
  • 原理

    • 攻击者首先通过猜测(或观察)确定特定目标经常访问的网站,并入侵其中一个或多个网站,植入恶意软件。最后,达到感染目标的目的。

  • 防御手段

    • 在浏览器或其他软件上,通常会通过零日漏洞感染网站。

    • 针对已知漏洞的防御措施是应用最新的软件修补程序来消除允许该网站受到感染的漏洞。用户监控可以帮助确保他们的所有软件都运行最新版本。

    • 如果恶意内容被检测到,运维人员可以监控他们的网站和网络,然后阻止流量。

信息安全

信息安全的五要素

  • 保密性—confidentiality

    • 确保信息不暴露给未授权的实体或进程。

  • 完整性—integrity

    • 只有得到允许的人才能修改实体或进程,并且能够判别出实体或进程是否已被修改。完整性鉴别机制,保证只有得到允许的人才能修改数据 。可以防篡改。

  • 可用性—availability

    • 得到授权的实体可获得服务,攻击者不能占用所有的资源而阻碍授权者的工作。用访问控制机制,阻止非授权用户进入网络。使静态信息可见,动态信息可操作,防止业务突然中断。

  • 可控性—controllability

    • 可控性主要指对危害国家信息(包括利用加密的非法通信活动)的监视审计。控制授权范围内的信息流向及行为方式。使用授权机制,控制信息传播范围、内容,必要时能恢复密钥,实现对网络资源及信息的可控性。

  • 不可否认性—Non-repudiation

    • 不可否认性:对出现的安全问题提供调查的依据和手段。使用审计、监控、防抵赖等安全机制,使得攻击者、破坏者、抵赖者“逃不脱",并进一步对网络出现的安全问题提供调查依据和手段,实现信息安全的可审查性。

其中保密性、完整性、可用性。这三个重要的基本属性被国外学者称为“信息安全金三角”(CIA,Confidentiality-Integrity-Availability)

华为的安全体系

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/642746.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

API接口安全总结

接口分类 HTTP接口 RPC接口(客户端和服务器端的连接 例如游戏登陆)非web协议,PRC 远程过程调用 Remote Procedure Call,其就是一个节点请求另外一个节点提供的服务。当两个物理分离的子系统需要建立逻辑上的关联时,R…

1 认识微服务

1.认识微服务 随着互联网行业的发展,对服务的要求也越来越高,服务架构也从单体架构逐渐演变为现在流行的微服务架构。这些架构之间有怎样的差别呢? 1.0.学习目标 了解微服务架构的优缺点 1.1.单体架构 单体架构:将业务的所有…

k8s集群异常恢复

前提、我自己的k8s采用的是单master节点两个从节点部署,我针对单master情况进行恢复说明 场景一:正常开关虚拟机,可直接重启kubelet进行恢复 1、1、一般重启后三个节点都需要检查,输入命令检查kubelet: systemctl s…

时限挑战——深度解析Pytest插件 pytest-timeout

在软件开发中,测试用例的执行时间通常是一个关键考虑因素。Pytest插件 pytest-timeout 提供了一个强大的插件,允许你设置测试用例的超时时间。本文将深入介绍 pytest-timeout 插件的基本用法和实际案例,助你精确掌控测试用例的执行时限。 什么是pytest-timeout? pytest-tim…

python环境安装sklearn及报错解决

安装 如刚开始安装&#xff0c;还未遇到问题请直接从重新安装库开始看&#xff0c;如果遇到报错&#xff0c;从问题开始看 问题 python安装sklearn报错 &#xff0c;报错信息如下 File "<stdin>", line 1pip install scikit-learn^ SyntaxError: invalid s…

第7章 7.6.5 常量指针 Page406~407

const可以限制指针指向的数据&#xff0c;也可以限制指针的指向 const限制指针指向的数据&#xff0c;不可以修改指向的数据&#xff0c;可以改变指向 推荐写法 常见写法&#xff1a;

用Excel辅助做数独

做数独游戏的时候&#xff0c;画在纸上很容易弄花眼&#xff0c;所以我考虑用Excel辅助做一个。 界面如下&#xff1a; 按下初始化表格区域按钮&#xff0c;会在所有单元格中填充“123456789”。如下图&#xff1a; 当某个单元格删除得只剩一个数字时&#xff0c;会将同一行、…

《大型语言模型自然语言生成评估》综述

在快速发展的自然语言生成&#xff08;NLG&#xff09;评估领域中&#xff0c;引入大型语言模型&#xff08;LLMs&#xff09;为评估生成内容质量开辟了新途径&#xff0c;例如&#xff0c;连贯性、创造力和上下文相关性。本综述旨在提供一个关于利用LLMs进行NLG评估的全面概览…

一篇就学会接口,全网最详细的接口测试

大多数人对于接口测试都觉得是一种高大上的测试&#xff0c;觉得学会接口测试就可以从小白测试员&#xff0c;变成了高级测试员&#xff0c;但其实接口测试只是测试的基础内容 什么是接口 接口泛指实体把自己提供给外界的一种抽象化物&#xff08;可以为另一实体&#xff09;&…

开始学习Vue2(脚手架,组件化开发)

一、单页面应用程序 单页面应用程序&#xff08;英文名&#xff1a;Single Page Application&#xff09;简 称 SPA&#xff0c;顾名思义&#xff0c;指的是一个 Web 网站中只有唯一的 一个 HTML 页面&#xff0c;所有的功能与交互都在这唯一的一个页面内完成。 二、vue-cli …

java web mvc-02-struts2

拓展阅读 Spring Web MVC-00-重学 mvc mvc-01-Model-View-Controller 概览 web mvc-03-JFinal web mvc-04-Apache Wicket web mvc-05-JSF JavaServer Faces web mvc-06-play framework intro web mvc-07-Vaadin web mvc-08-Grails Struts2 Apache Struts是一个用于创…

Redis 笔记二

概览 1.高并发秒杀问题及可能出现的bug 2.秒杀场景JVM级别锁和分布式锁 3.大厂分布式锁Redisson框架 4.从Redisson源码剖析lua解决锁原子性问题 5.从Redisson源码剖析经典锁续命问题 6.Redis主从架构锁失效如何解决 7.Redlock分布式锁高并发下可能存在的问题 8.双十一大促如何将…

alfred自定义谷歌翻译workflow

如果要实现自定义workflow&#xff0c;则必须安装付费版的alfred&#xff0c;囊中羞涩的话可以自行淘宝。自定义步骤如下&#xff1a; 1. 新建空的workflow&#xff0c;填写基本信息 2. 开发python脚本 打开该workflow所在目录&#xff0c;进行下面步骤&#xff1a; 首先安装…

OpenCV第 1 课 计算机视觉和 OpenCV 介绍

文章目录 第 1 课 计算机视觉和 OpenCV 介绍1.机器是如何“看”的2.机器视觉技术的常见应用3.图像识别介绍4. 图像识别技术的常见应用5.OpenCV 介绍6.图像在计算机中的存储形式 第 1 课 计算机视觉和 OpenCV 介绍 1.机器是如何“看”的 我们人类可以通过眼睛看到五颜六色的世界…

一文(10图)了解Cornerstone3D核心概念(万字总结附导图)

Cornerstone3D介绍 Cornerstone3D是一个专门为处理三维医学影像而设计的JavaScript库。 它是Cornerstone项目的一部分&#xff0c;旨在为医学影像社区提供高性能、可扩展且易于使用的开源Web工具&#xff0c;专注于提供交互式的3D医学图像浏览体验&#xff0c;适用于多种医学…

9款最新文生图模型汇总!含华为、谷歌、Stability AI等大厂创新模型(附论文和代码)

2023年真是文生图大放异彩的一年&#xff0c;给数字艺术界和创意圈注入了新鲜血液。从起初的基础图像创作跃进到现在的超逼真效果&#xff0c;这些先进的模型彻底变革了我们制作和享受数字作品的途径。 最近&#xff0c;一些大公司比如华为、谷歌、还有Stability AI等人工智能巨…

【Linux】Linux进程信号(上)

​ ​&#x1f4dd;个人主页&#xff1a;Sherry的成长之路 &#x1f3e0;学习社区&#xff1a;Sherry的成长之路&#xff08;个人社区&#xff09; &#x1f4d6;专栏链接&#xff1a;Linux &#x1f3af;长路漫漫浩浩&#xff0c;万事皆有期待 上一篇博客&#xff1a;【Linux】…

【新加坡机器人学会支持】第三届工程管理与信息科学国际学术会议 (EMIS 2024)

第三届工程管理与信息科学国际学术会议 (EMIS 2024) 2024 3rd International Conference on Engineering Management and Information Science 【国际高级别专家出席/新加坡机器人学会支持】 第三届工程管理与信息科学国际学术会议 (EMIS 2024)将于2024年4月12-14日在中国洛…

算法(4)——前缀和

目录 一、前缀和的定义 二、一维前缀和 三、一维前缀和OJ题 3.1、前缀和 3.2、寻找数组中心下标 3.3、除自身以外数组的乘积 3.4、和为K的数组 3.5、和可被K整除的子数组 3.6、连续数组 四、二位前缀和 4.1、二维前缀和 4.2、矩阵区域和 一、前缀和的定义 对于一个…

40. 组合总和 II - 力扣(LeetCode)

题目描述 给定一个候选人编号的集合 candidates 和一个目标数 target &#xff0c;找出 candidates 中所有可以使数字和为 target 的组合。 candidates 中的每个数字在每个组合中只能使用 一次 。 注意&#xff1a;解集不能包含重复的组合。 输入示例 candidates [10,1,2,7,…