网络安全的概述

网络空间的概念

2003年美国提出网络空间的概念:一个由信息基础设施组成的互相依赖的网络。

我国官方文件定义:网络空间为继海,陆,空,天以外的第五大人类活动领域

网络安全发展历史

通信保密阶段 --- 计算机安全阶段 --- 信息系统安全 --- 网络空间安全

数字化时代威胁

攻击频发:勒索病毒、个人信息外泄、数据泄露、网络空间安全、APT攻击(高级持续性威胁)

传统防护逐步失效

安全风险能见度不足

  • 水坑攻击:攻击者会通过前期的调查或各种社会工程手段,确定受害者(往往是一个特定群体)经常访问的一些网站,并在网站上部署恶意程序,当受害者访问被部署了恶意程序的网站时即会被感染。通常来说,水坑攻击的目的是通过感染受害者的电脑,以获得对受害者公司网络的访问权。

  • 鱼叉邮件攻击:攻击者伪装成可信任的发件人,向受害者发送具有欺骗性质的消息,设下“诱饵”,诱导受害者点击恶意链接,并在攻击者仿冒的网页上提供敏感数据。利用获取到的信息,攻击者可以直接通过交易受害者的个人数据牟取经济利益,或借此发动下一步网络攻击。

  • 零日漏洞攻击:是指利用零日漏洞(指还没有补丁的安全漏洞)对系统或软件应用发动的网络攻击

缺乏自动化防御手段:企业普遍缺乏自动化防御手段

网络安全监管标准越发严苛

  • 2017年6月,《网络安全法》正式生效。

  • 2019年5月,《信息安全技术网络安全等级保护基本要求》等三大核心标准发布。

  • 计算级安全的五个级别

信息安全概述

  • 信息安全:防止任何对数据进行未授权访问的措施,或者防止造成信息有意无意泄漏、破坏、丢失等问题的发生,让数据处于远离危险、免于威胁的状态或特性。

  • 网络安全:计算机网络环境下的信息安全。

网络安全的常见用语

漏洞可能被一个或多个威胁利用的资产或控制的弱点
攻击企图破坏、泄露、篡改、损伤、窃取、未授权访问或未授权使用资产的行为。
入侵对网络或联网系统的未授权访问,即对信息系统进行有意或无意的未授权访问,包括针对信息系统的恶意活动或对信息系统内资源的未授权使用。
0day漏洞通常是指还没有补丁的漏洞。也就是说官方还没有发现或者是发现了还没有开发出安全补丁的漏洞。
后门绕过安全控制而获取对程序或系统访问权的方法。
WEBSHELL以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境,也可以将其称作为一种网页后门。
社会工程学通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段取得自身利益的手法。
exploit简称exp,漏洞利用
APT攻击高级持续性威胁。 利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。

信息安全的脆弱性及其攻击方式

协议栈的脆弱性其常见攻击
协议栈的脆弱性

随着互联网的不断发展,TCP/IP协议族成为使用最广泛的网络互连协议。但由于协议在设计之初对安全考虑的不够,导致协议存在着一些安全风险问题。Internet首先应用于研究环境,针对少量、可信的的用户群体,网络安全问题不是主要的考虑因素。因此,在TCP/IP协议栈中,绝大多数协议没有提供必要的安全机制。例如:

  • 不提供认证服务

  • 明码传输,不提供保密性服务,不提供数据保密性服务

  • 不提供数据完整性保护

  • 不提供抗抵赖服务

  • 不保证可用性——服务质量(QoS)

常见安全风险

常见攻击方式分类
  • 截获 --- 被动威胁

    • 嗅探 (sniffing)

    • 监听 (eavesdropping)

  • 篡改 --- 主动威胁

    • 数据包篡改 (tampering)

  • 中断 --- 主动威胁

    • 拒绝访问 (dosing)

  • 伪造 --- 主动威胁

    • 欺骗 (spoofing)

常见攻击方式

  • 物理层 --- 物理攻击

    • 物理设备破坏

    • 物理设备窃听

  • 链路层 --- MAC泛洪攻击

    • 填满整个MAC表,此时交换机只能进行数据广播,攻击者凭此获得信息。

    • 交换机一个接口可以对应多个MAC地址。

  • 链路层 --- ARP(地址解析协议)欺骗

    • 正向ARP:通过IP地址获取MAC地址。

    • 当A与B需要通讯时:A发送ARP Request询问B的MAC地址,Hacker冒充B持续发送ARP Reply给A(此时,A会以为接收到的MAC地址是B的,但是实际上是Hacker的),之后A发送给B的正常数据包都会发给Hacker。

  • 网络层 --- ICMP

    • 重定向

      • ICMP重定向攻击是攻击机主动向受害人主机发送ICMP重定向数据包,使受害人主机数据包发送到不正确的网关,达到攻击的目的。

    • 目标主机不可达

      • 不同的系统对ICMP不可达报文(类型为3)的处理不同,有的系统在收到网络(代码为0)或主机(代码为1)不可达的ICMP报文后,对于后续发往此目的地的报文直接认为不可达,好像切断了目的地与主机的连接,造成攻击。

  • 传输层 --- TCP SYN Flood攻击

    • TCP 字节流协议。TCP是分段的,传输基于字节流传输数据。

    • SYN FLOODING攻击特点:

      • 攻击者用带有SYN标志位的数据片断启动握手

      • 受害者用SYN-ACK应答;

      • 攻击者保持沉默,不进行回应;

      • 由于主机只能支持数量有限的TCP连接处于half-open的状态,超过该数目后,新的连接就都会被拒绝;

    • 拒绝服务式攻击(Denial of Service),顾名思义就是让被攻击的系统无法正常进行服务的攻击方式。

      • DoS 攻击通常通过请求压垮或淹没目标计算机,直到其无法处理正常流量,从而对其他用户造成拒绝服务。

    • 分布式拒绝服务攻击(DDoS)

      • 利用大量合法的分布式服务器对目标发送请求,从而导致正常合法用户无法获得服务。

    • 防御办法:

      • 代理防火墙

        • 每目标IP代理阈值:超过阈值之后,数据交给代理防火墙处理。

        • 每目标IP丢包阈值:相同IP数据包超过一定阈值之后,防火墙直接把数据包丢弃。

      • 首包丢包

        • 将接受到的第一个SYN数据包丢弃,第二个数据包正常接收。

      • SYN cookie

        • 服务器将不再收到SYN请求报文后立即给这个TCP连接分配缓存空间了。而是会及将这个SYN报文中的源目IP地址以及端口号和一个随机数一起使用HASH算法生成一个摘要值。我们将这个摘要值称为是SYN Cookie。然后,服务器会使用这个SYN Cookie作为服务器的初始序列号server_isn来发送SYN+ACK报文(这个初始值本身就可以是一个随机值),等待客户端回复ACK。

        • 如果客户端是合法的,则会正常回复ACK报文,并且其中会包含一个确认序列号。这个确认序列号应该是server_isn + 1。服务器将使用这个ACK报文中的源目IP和端口以及之前的随机数运行HASH重新计算一个摘要值。如果这个摘要值+1和客户端返回的确认序列号相同,则认为该连接合法,就会为该连接分配缓存空间。

  • 应用层 --- DNS欺骗攻击

    • 没有权限的主机通过这种攻击来指导域名服务器 (DNS) 及其所有请求。这基本上意味着攻击者可以将所有DNS请求以及所有流量重定向到他的机器,以恶意方式操纵它并可能窃取传递的数据。

操作系统的脆弱性及其攻击方式
  • 人为原因

    • 在程序编写过程中,为实现不可告人的目的,在程序代码的隐藏处保留后门。

  • 客观原因

    • 受编程人员的能力,经验和当时安全技术所限,在程序中难免会有不足之处,轻则影响程序效率,重则导致非授权用户的权限提升。

  • 硬件原因

    • 由于硬件原因,使编程人员无法弥补硬件的漏洞,从而使硬件的问题通过软件表现。

攻击方式:缓冲区溢出攻击

终端的脆弱性及其攻击方式

终端的脆弱性在于操作者

恶意程序:一般会具有以下多个或者全部特性。

  1. 非法性

  2. 隐蔽性

  3. 潜伏性

  4. 可触发性

  5. 表现性

  6. 破坏性

  7. 传染性 --- 蠕虫病毒的典型特征

  8. 针对性

  9. 变异性

  10. 不可预见性

病毒分类
  • 普通病毒:以破坏为目的的病毒

  • 木马病毒:以控制为目的的病毒

  • 蠕虫病毒:具有传播性的病毒

其他攻击方式

社工攻击
  • 原理

    • 社会工程攻击,是一种利用"社会工程学" 来实施的网络攻击行为

    • 在计算机科学中,社会工程学指的是通过与他人的合法地交流,来使其心理受到影响,做出某些动作或者是透露一些机密信息的方式。这通常被认为是一种欺诈他人以收集信息、行骗和入侵计算机系统的行为。

  • 防御手段

    • 定期更换各种系统账号密码,使用高强度密码等。

人为因素
  • 原理

    • 无意的行为

      • 工作失误——如按错按钮;

      • 经验问题——不是每个人都能成为系统管理员,因此并不了解贸然运行一个不知作用的程序时会怎么样;

      • 体制不健全——当好心把自己的账号告诉朋友时,你却无法了解他会如何使用这一礼物;

    • 恶意的行为

      • 出于政治的、经济的、商业的、或者个人的目的

      • 病毒及破坏性程序、网络黑客

      • 在Internet上大量公开的攻击手段和攻击程序

  • 防范措施

    • 提升安全意识,定期对非IT人员进行安全意识培训和业务培训;

    • 设置足够强的授权和信任方式,完善最低权限访问模式;

    • 组织需要完善和落地管理措施,保障安全管理制度是实际存在的;

    • 善于利用已有的安全手段对核心资产进行安全保护等

拖库、洗库、撞库
  • 原理

    • 拖库:是指黑客入侵有价值的网络站点,把注册用户的资料数据库全部盗走的行为。

    • 洗库:在取得大量的用户数据之后,黑客会通过一系列的技术手段和黑色产业链将有价值的用户数据变现,这通常也被称作洗库。

    • 撞库:最后黑客将得到的数据在其它网站上进行尝试登陆,叫做撞库,因为很多用户喜欢使用统一的用户名密码。

  • 防御手段

    • 重要网站/APP的密码一定要独立 、电脑勤打补丁,安装一款杀毒软件、尽量不使用IE浏览器、使用正版软件、不要在公共场合使用公共无线做有关私密信息的事、自己的无线AP,用安全的加密方式(如WPA2),密码复杂些、电脑习惯锁屏等。

跳板攻击
  • 原理

    • 攻击者通常并不直接从自己的系统向目标发动攻击,而是先攻破若干中间系统,让它们成为“跳板”,再通过这些“跳板”完成攻击行动。

    • 跳板攻击就是通过他人的计算机攻击目标.通过跳板实施攻击。

  • 防御手段

    • 安装防火墙,控制流量进出。系统默认不使用超级管理员用户登录,使用普通用户登录,且做好权限控制。

钓鱼式攻击/鱼叉式钓鱼攻击
  • 原理

    • 钓鱼式攻击是一种企图从电子通讯中,通过伪装成信誉卓著的法人媒体以获得如用户名、密码和信用卡明细等个人敏感信息的犯罪诈骗过程。

    • 鱼叉式网络钓鱼指针对特定目标进行攻击的网络钓鱼攻击。

  • 防御手段

    • 保证网络站点与用户之间的安全传输,加强网络站点的认证过程,即时清除网钓邮件,加强网络站点的监管。

水坑攻击
  • 原理

    • 攻击者首先通过猜测(或观察)确定特定目标经常访问的网站,并入侵其中一个或多个网站,植入恶意软件。最后,达到感染目标的目的。

  • 防御手段

    • 在浏览器或其他软件上,通常会通过零日漏洞感染网站。

    • 针对已知漏洞的防御措施是应用最新的软件修补程序来消除允许该网站受到感染的漏洞。用户监控可以帮助确保他们的所有软件都运行最新版本。

    • 如果恶意内容被检测到,运维人员可以监控他们的网站和网络,然后阻止流量。

信息安全

信息安全的五要素

  • 保密性—confidentiality

    • 确保信息不暴露给未授权的实体或进程。

  • 完整性—integrity

    • 只有得到允许的人才能修改实体或进程,并且能够判别出实体或进程是否已被修改。完整性鉴别机制,保证只有得到允许的人才能修改数据 。可以防篡改。

  • 可用性—availability

    • 得到授权的实体可获得服务,攻击者不能占用所有的资源而阻碍授权者的工作。用访问控制机制,阻止非授权用户进入网络。使静态信息可见,动态信息可操作,防止业务突然中断。

  • 可控性—controllability

    • 可控性主要指对危害国家信息(包括利用加密的非法通信活动)的监视审计。控制授权范围内的信息流向及行为方式。使用授权机制,控制信息传播范围、内容,必要时能恢复密钥,实现对网络资源及信息的可控性。

  • 不可否认性—Non-repudiation

    • 不可否认性:对出现的安全问题提供调查的依据和手段。使用审计、监控、防抵赖等安全机制,使得攻击者、破坏者、抵赖者“逃不脱",并进一步对网络出现的安全问题提供调查依据和手段,实现信息安全的可审查性。

其中保密性、完整性、可用性。这三个重要的基本属性被国外学者称为“信息安全金三角”(CIA,Confidentiality-Integrity-Availability)

华为的安全体系

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/341896.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

基于 Spring Boot+MySQL实现的在线考试系统源码+数据库,基于不同类型的客观题,进行自动组卷、批卷等功能的考试系统

1. 部署相关 1.1. 介绍 一个 JAVA 实现的在线考试系统,主要实现一套基于不同类型的客观题,进行自动组卷、批卷等功能的考试系统(没有主观题) 1.2. 系统架构 后端技术栈基于 Spring Boot数据库MySQLORMMyBatis & MyBatis-plus缓存Redis、guava的L…

漏洞复现--Confluence远程代码执行漏洞(CVE-2023-22527)

免责声明: 文章中涉及的漏洞均已修复,敏感信息均已做打码处理,文章仅做经验分享用途,切勿当真,未授权的攻击属于非法行为!文章中敏感信息均已做多层打马处理。传播、利用本文章所提供的信息而造成的任何直…

深兰科技陈海波出席“2023浙商年度主题大会”并与知名主持人白岩松对话

1月17日,“2023浙商年度主题大会”在浙江杭州举行。本次大会由浙商总会主办,来自全球的600余名浙商代表汇聚一堂,共叙乡情、共享机遇、共谋发展。在“浙商年度创新样本”发布环节中,深兰科技创始人、董事长陈海波作为人工智能领域…

windows用mingw(g++)编译opencv,opencv_contrib,并install安装

windows下用mingw编译opencv貌似不支持cuda,选cuda会报错,我无法解决,所以没选cuda,下面两种编译方式支持。 如要用msvc编译opencv,参考我另外一篇文章 https://blog.csdn.net/weixin_44733606/article/details/1357…

autosar学习笔记 之SecOC

SecOC 接下来SecOC标准就更复杂一点,它不单单是做了通讯校验。 SecOC是基于对称密钥加密的一套机制,需要对ECU间的通讯作身份认证处理,来更好的防止伪装攻击,谈起对称或非对称加密,就会涉及到密钥的存储和Mac值的计算。 因此SECOC机制对于密钥的硬件存储,也有一定的要求…

[C++] external “C“的作用和使用场景(案例)

C中extern "C"的作用是什么? 在 C 中,extern "C" 的作用是告诉编译器按照 C 语言的规范来处理函数名和变量名。这是因为 C 编译器会对函数名和变量名进行名称修饰(name mangling),以区分不同的函数和变量。而在 C 语言中…

2024年天津市公务员考试报名开始啦

2024年天津市公务员考试报名开始,详细流程如下: ⭐报名入口:天津市公开招考公务员网上报名信息系统网站 ✅报名时间:2024年1月23日8:30-1月29日18:00 ✅资格审查时间:2024年1月23日8:30-1月30日18:00 ✅打印准考证…

element-ui 打包流程源码解析(下)

目录 目录结构和使用1,npm 安装1.1,完整引入1.2,按需引入 2,CDN3,国际化 接上文:element-ui 打包流程源码解析(上) 文章中提到的【上文】都指它 ↑ 目录结构和使用 我们从使用方式来…

Raspbian安装云台

Raspbian安装云台 1. 源由2. 选型3. 组装4. 调试4.1 python3-print问题4.2 python函数入参类型错误4.3 缺少mjpg-streamer可执行文件4.4 缺失编译头文件和库4.5 python库缺失4.6 图像无法显示,但libcamera-jpeg测试正常4.7 异常IOCTL报错4.8 Git问题 5. 效果5.1 WEB…

ftp连接报错:227 entering passive mode

用阿里的云服务器,宝塔安装的linux环境,ftp连接总包这个错误:227 entering passive mode 原因是云服务器没有放开39000/40000的端口 如果使用的是阿里云服务器,需要在安全组设置中,对22、21端口放行,并且…

layui 自定义日期选择器今日、昨日 、本周、本月、上个月等

1、layui 日期选择器 laydate日期选择器 <div class"layui-input-inline"><input class"layui-input" id"dateTime" placeholder"日期范围"> </div><script> layui.use([laydate], function () {laydate.ren…

从零学习开发一个RISC-V操作系统(四)丨RISC-V汇编语言编程

本篇文章的内容 一、RISC-V汇编语言简介1.1 RISC-V 汇编语言的基本格式1.2 RISC-V 汇编指令操作对象1.3 RISC-V 汇编指令编码格式1.4 RISC-V 汇编指令分类 二、RISC-V汇编语言详解2.1 add 加法指令2.2 sub 减法指令 本系列是博主参考B站课程学习开发一个RISC-V的操作系统的学习…

瑞_力扣LeetCode_104. 二叉树的最大深度

文章目录 题目 104. 二叉树的最大深度题解后序遍历 递归实现后序遍历 迭代实现层序遍历 &#x1f64a; 前言&#xff1a;本文章为瑞_系列专栏之《刷题》的力扣LeetCode系列&#xff0c;主要以力扣LeetCode网的题进行解析与分享。本文仅供大家交流、学习及研究使用&#xff0c;禁…

关于图像分割项目的可视化脚本

1. 前言 之前实现了目标检测和图像分类任务的可视化脚本&#xff0c;本章将最后一个分割任务的可视化脚本实现 效果展示如下&#xff1a; 代码会在当前目录保存展示好的图片&#xff0c;从左到右依次为&#xff0c;原图、mask图、mask覆盖在原图的掩膜图 关于目标检测的可视化…

最长子字符串的长度(二) - 华为OD统一考试

OD统一考试&#xff08;C卷&#xff09; 分值&#xff1a; 200分 题解&#xff1a; Java / Python / C 题目描述 给你一个字符串 s&#xff0c;字符串s首尾相连成一个环形 &#xff0c;请你在环中找出’l’、‘o’、‘x’ 字符都恰好出现了偶数次最长子字符串的长度。 输入描…

保护隐私数据:使用Java `transient`关键字

欢迎来到我的博客&#xff0c;代码的世界里&#xff0c;每一行都是一个故事 保护隐私数据&#xff1a;使用Java transient关键字 前言什么是java对象序列化transient关键字的基础知识序列化与反序列化过程避免transient的陷阱 前言 在数字时代&#xff0c;数据安全至关重要。无…

单片机中MCU跑RTOS相比裸机的优势

经常有读者问关于RTOS的问题&#xff0c;比如&#xff1a;我现在要不要学习RTOS&#xff1f; 学习RTOS有什么好处&#xff1f; 我的项目要不要跑RTOS&#xff1f; 问这些问题&#xff0c;其实归根结底还是对RTOS理解的不够&#xff0c;项目开发的经验还不足等。针对这部分朋友…

JVM系列-4.类加载器

&#x1f44f;作者简介&#xff1a;大家好&#xff0c;我是爱吃芝士的土豆倪&#xff0c;24届校招生Java选手&#xff0c;很高兴认识大家&#x1f4d5;系列专栏&#xff1a;Spring原理、JUC原理、Kafka原理、分布式技术原理、数据库技术、JVM原理&#x1f525;如果感觉博主的文…

RK3568平台 TinyAlsa集成第三方音频算法

一.tinyalsa介绍 ALSA&#xff08;Advanced Linux Sound Architecture&#xff09;是一个开源项目&#xff0c;涵盖了用户空间和内核空间对音频设备的操作接口&#xff0c;通过应用层使用alsalib可以实现对音频设备的控制 TinyAlsa是android推出的一个精简的ALSA库&#xff0c…

美易官方《惊爆财务丑闻,有空头已经赚了十倍》

惊爆财务丑闻&#xff0c;“四大粮商”之首ADM股价暴跌&#xff0c;有空头已经赚了十倍 近日&#xff0c;一起惊爆市场的财务丑闻让全球投资者为之震惊。作为全球最大的农业综合企业之一&#xff0c;“四大粮商”之首的ADM&#xff08;Archer Daniels Midland&#xff09;被曝涉…