网络检测技术
安全漏洞扫描技术
- 安全漏洞扫描技术:静态的网络检测技术。用于对一个网络系统进行安全检查,寻找和发现可能被攻击者利用来攻击网络的安全漏洞。一旦发现安全漏洞,应及时采取措施加以阻塞,如:更新系统版本、安装补丁程序、调整安全配置、增加安全设施等。
- 安全漏洞扫描软件是实现漏洞扫描的主要工具,它采用非破坏性方法来测试一个网络系统是否存在安全漏洞 。安全漏洞扫描软件需要维护一个安全漏洞扫描方法库,该方法库不仅提供各种已知安全漏洞的测试方法,而且能将最新发现的安全漏洞及其测试方法添加进来。
入侵检测技术
- 入侵检测技术:动态的网络检测技术 。用于在网络系统运行过程中,识别和发现入侵者的攻击行为和踪迹。一旦发现攻击现象,应即刻作出适当反应。对于正在进行的网络攻击 ,应立即发出报警 信息或采取措施阻断攻击 ;对于已发生的攻击,则通过分析日志记录找到发生攻击的原因和入侵者的踪迹,作为增强网络系统安全性和追究入侵者法律责任的依据。
- 入侵检测方法可分为两类:异常检测和误用检测。
异常检测
- 首先假设网络攻击行为是区别于所有正常行为的异常行为;
- 为用户和系统的所有正常行为总结活动规律并建立行为模型;
- 每当检测到新的网络活动时,就与行为模型进行对比,若两者之差超过某一阈值,入侵行为就被检测出来。
误用检测
- 首先假设所有的网络攻击行为和方法都具有一定的模式或特征;
- 把以往发现的所有网络攻击的特征总结 出来,并建立入侵信息库;
- 入侵检测系统就可以将当前捕获到的网络行为与入侵信息库中的特征信息相比较,如果匹配,则当前行为就被认定为入侵行为。
安全管理
- 安全管理是确保网络环境安全的关键组成部分,它涉及多个方面,包括安全风险评估、安全需求定义、安全策略制定、安全评估实施以及遵循安全管理标准。
安全风险
- 安全风险:指在网络环境中可能发生的潜在威胁和漏洞 ,这些威胁和漏洞可能导致数据丢失、系统损坏或服务中断。安全风险管理涉及识别、评估和优先处理这些风险,以减少它们对组织的影响。这通常包括定期的风险评估,以确保风险管理策略的有效性。
安全需求
- 安全需求:指为保护网络和信息资产而必须满足的条件和标准。这些需求可能包括物理安全措施、访问控制、数据加密、网络安全协议等。
安全策略
- 安全策略是一系列规则和程序,用于指导如何在组织内部实施和管理安全措施。这些策略应涵盖从员工培训到技术控制的各个方面,确保所有安全措施的一致性和有效性。安全策略的制定应基于组织的风险评估和安全需求分析。
安全评估
- 安全评估是对当前安全措施的有效性进行检查和评价的过程。这包括对安全策略、技术和程序的审查,以及对潜在安全威胁的识别和评估。
- 安全评估的结果可以用来指导安全改进措施的实施,确保组织的安全水平始终保持在最佳状态。
安全管理标准
- 遵循安全管理标准,如BS7799(ISO/IEC 17799),是确保安全管理体系符合国际最佳实践的重要步骤。这些标准提供了一套全面的指导原则和最佳实践,帮助组织建立、实施、监控和改进其信息安全管理体系。通过遵循这些标准,组织可以确保其安全措施不仅符合法律要求,而且能够有效应对不断变化的安全威胁。
系统容灾
-
数据备份:数据备份是保护数据、恢复系统的重要手段。当发生网络攻击、病毒感染、磁盘失效、供电中断及其他系统故障而引起的数据丢失或损坏时,可以利用数据备份来恢复系统,将系统损失减少到最低程度,避免因数据永久性丢失而造成灾难性后果。
-
一般的网络操作系统都会提供数据备份和恢复工具,用户可根据所制定的数据备份策略定期将数据备份到适当存储介质上。
备份效率与备份周期
-
系统容错:指系统在某一设备或某一部分发生故障时仍能不停机地继续工作和运行。
网络攻击
攻击类型 | 描述 | 特点 |
---|---|---|
截获 | 攻击者通过技术手段截取网络通信中的数据,通常是在数据传输过程中进行。 | 通常涉及数据的非法访问,可能导致敏感信息泄露。 |
窃取 | 攻击者非法获取网络中的数据或资源,如窃取用户账户信息、密码等。 | 目的是获取有价值的信息或资源,通常涉及隐蔽性和长期监控。 |
假冒 | 攻击者伪装成合法用户或系统,以获取信任并执行未经授权的操作。 | 涉及身份欺骗,可能导致信任系统被滥用。 |
重放 | 攻击者记录并重复发送有效的数据传输,以欺骗系统或用户。 | 通常用于绕过认证机制,可能导致系统资源被非法使用。 |
否认 | 攻击者否认其进行的网络操作,通常是在操作后否认其责任。 | 涉及信任问题,可能导致法律和责任纠纷。 |
篡改 | 攻击者修改网络传输中的数据,以改变其原始意图或内容。 | 可能导致数据完整性受损,影响系统的正常运行。 |
主动攻击
- 拒绝服务攻击:DOS与DDOS
- 漏洞扫描与渗透:0Day漏洞
- 密码分析:穷举、猜测、差分、线性、统计分析
- 社会工程学
- 病毒:传播-感染性、隐蔽-潜伏性、可激发性、破坏性
- 木马:通过特定程序(木马程序)来控制另一台主机
- 0Day的概念最早源于软件和游戏破解,属于非盈利性和非商业化的组织行为,其基本内涵是"即时性"。
- 信息安全意义上的0Day指在系统商知晓并发布相关补丁之前就被掌握或公开的漏洞。
被动攻击
- 窃听
- 流量分析
- 高级持续性威胁(Advanced Persistent Threat,APT)
- 组织行为
- 分析业务流程,挖掘漏洞、利用信任关系渗透