信息安全:防止任何对数据进行未授权访问的措施,或者防止造成信息有意无意泄漏、破坏、丢失等问题的发生,让数据处于远离危险、免于威胁的状态或特性。
网络安全:计算机网络环境下的信息安全。
信息安全现状及挑战
数字化时代威胁
勒索病毒,个人信息外泄,数据泄露,网络空间安全,APT攻击
传统安全防护逐步失效
传统防火墙、IPS、杀毒软件等基于特征库的安全检测,无法过滤:变种僵/木/蠕,恶意的内部用户,U盘带入,BYOD带入,零日漏洞,APT攻击
安全风险能见度不足
看不清的新增资产产生安全洼地
缺乏有效手段主动识别新增业务
攻击者对内网未被归档和防护的新增资产进行攻击,顺利渗透如内网
信息安全的脆弱性及常见安全攻击
协议栈的脆弱性及常见攻击
协议栈自身的脆弱性:缺乏数据源验证机制,缺乏机密性保障机制,缺乏完整性验证机制
常见安全风险
物理层--物理攻击
物理设备破坏: 指攻击者直接破坏网络的各种物理设施,比如服务器设施,或者网络的传输通信设施等,设备破坏攻击的目的主要是为了中断网络服务。
物理设备窃听:光纤监听,红外监听。
链路层-- MAC洪泛攻击
泛洪攻击即是攻击者利用这种学习机制不断发送不同的MAC地址给交换机,填满整个MAC表,此时交换机只能进行数据广播,攻击者凭此获得信息
传输层--TCP SYN Flood攻击
SYN报文是TCP连接的第一个报文,攻击者通过大量发送SYN报文,造成大量未完全建立的TCP连接,占用被攻击者的资源。----拒绝服务攻击
分布式拒绝服务攻击(DDoS)
DDoS攻击风险防护方案:网络设备性能充裕,异常流量清洗,分布式集群,网络带宽资源充裕,通过CDN分流。
恶意程序 --- 一般会具备一下的多个或全部特性
- 非法性
- 隐蔽性
- 潜伏性
- 可触发性
- 表现性
- 破坏性
- 传染性 --- 蠕虫病毒的典型特点
- 针对性
- 变异性
- 不可预见性
病毒
勒索病毒
定义: 一种恶意程序,可以感染设备、网络与数据中心并使其瘫痪,直至用户支付赎金使系统解锁。
特点: 调用加密算法库、通过脚本文件进行Http请求、通过脚本文件下载文件、读取远程服务器文件、通过wscript执行文件、收集计算机信息、遍历文件。
危害: 勒索病毒会将电脑中的各类文档进行加密,让用户无法打开,并弹窗限时勒索付款提示信息,如果用户未在指定时间缴纳黑客要求的金额,被锁文件将永远无法恢复。
挖矿病毒
定义: 一种恶意程序,可自动传播,在未授权的情况下,占用系统资源,为攻击者谋利,使得受害者机器性能明显下降,影响正常使用。
特点: 占用CPU或GPU等计算资源、自动建立后门、创建混淆进程、定期改变进程名与PID、扫描ssh文件感染其他机器。
危害:占用系统资源、影响系统正常使用。
蠕虫病毒
定义: 蠕虫是一种可以自我复制的代码,并且通过网络传播,通常无需人为干预就能传播。蠕虫病毒入侵并完全控制一台计算机之后,就会把这台机器作为宿主,进而扫描并感染其他计算机。
特点: 不依赖宿主程序、利用漏洞主动攻击、通过蠕虫网络隐藏攻击者的位置。
危害:拒绝服务、隐私信息丢失
宏病毒
定义: 宏病毒是一种寄存在文档或模板的宏中的计算机病毒。
特点: 感染文档、传播速度极快、病毒制作周期短、多平台交叉感染
危害: 感染了宏病毒的文档不能正常打印。 封闭或改变文件存储路径,将文件改名。 非法复制文件,封闭有关菜单,文件无法正常编辑。 调用系统命令,造成系统破坏。
信息安全的五要素
- 保密性---confidentiality
- 完整性---integrity
- 可用性---availability
- 可控性---controllability
- 不可否认性---Non-repudiation