目录
-
-
-
-
- [1. 说明](#1. 说明)
- [2. 典型的安全威胁](#2. 典型的安全威胁)
-
- [2.1 授权侵犯](#2.1 授权侵犯)
- [2.2 拒绝服务](#2.2 拒绝服务)
- [2.3 窃听](#2.3 窃听)
- [2.3 信息泄露](#2.3 信息泄露)
- [2.4 截获/修改](#2.4 截获/修改)
- [2.5 假冒](#2.5 假冒)
- [2.6 否认](#2.6 否认)
- [2.7 非法使用](#2.7 非法使用)
- [2.8 人员疏忽](#2.8 人员疏忽)
- [2.9 完整性破坏](#2.9 完整性破坏)
- [2.10 媒体清理](#2.10 媒体清理)
- [2.11 物理入侵](#2.11 物理入侵)
- [2.12 资源耗尽](#2.12 资源耗尽)
- [3. 例题](#3. 例题)
-
- [3.1 例题1](#3.1 例题1)
-
-
-
1. 说明
- 1.随着信息交换的激增,安全威胁所造成的危害越来越被受到重视,因此对信息保密的需求也从军事、政治和外交等领域扩展到民用和商用领域。
- 2.安全威胁是指某个人、物、事件对某一资源的机密性 、完整性 、可用性 或合法性所造成的危害。
- 3.某种攻击就是威胁的具体实现。
- 4.安全威胁分为两类:故意 (如黑客渗透)和偶然(如信息发往错误的地址)。
2. 典型的安全威胁
2.1 授权侵犯
- 1.为某一特权使用一个系统的人却将该系统用作其他未授权的目的。
2.2 拒绝服务
- 1.对信息或其他资源的合法访问被无条件地拒绝,或推迟与时间密切相关的操作。
2.3 窃听
- 1.信息从被监视的通信过程中泄漏出去。
2.3 信息泄露
- 1.信息被泄漏或暴露给某个未授权的实体。
2.4 截获/修改
- 1.某一通信数据项在传输过程中被改变、删除或替代。
2.5 假冒
- 1.一个实体(人或系统)假装成另一个实体。
2.6 否认
- 1.参与某次通信交换的一方否认曾发生过此次交换。
2.7 非法使用
- 1.资源被某个未授权的人或者未授权的方式使用。
2.8 人员疏忽
- 1.个授权的人为了金钱或利益,或由于粗心将信息泄露给未授权的人。
2.9 完整性破坏
- 1.通过对数据进行未授权的创建、修改或破坏,使数据的一致性受到损坏。
2.10 媒体清理
- 1.信息被从废弃的或打印过的媒体中获得。
2.11 物理入侵
- 1.一个入侵者通过绕过物理控制而获得对系统的访问。
2.12 资源耗尽
- 1.某一资源(如访问端口)被故意超负荷地使用,导致其他用户的服务被中断。
3. 例题
3.1 例题1
-
1.题目
1.下列攻击类型中,(B)是以被攻击对象不能继续提供服务为首要目标。
A.跨站脚本
B.拒绝服务
C.信息篡改
D.口令猜测 -
2.解析
1.跨站脚本(cross-site scripting,XSS),一种安全攻击,其中,攻击者在
看上去来源可靠的链接中恶意嵌入译码。它允许恶意用户将代码注入到
网页上,其他用户在观看网页时就会受到影响。不影响服务的提供。
2.拒绝服务,对信息或其它资源的合法访问被无条件地阻止,会让服务
器拒绝提供服务。
3.信息篡改,指主动攻击者将窃听到的信息进行修改(如删除或替代部分
或者全部信息)之后再将信息传送给原本的接受者。与提供服务无关。
4.口令猜测,攻击者攻击目标时常常把破译用户的口令作为攻击的开始。
只要攻击者能猜测或者确定用户的口令,他就能获得机器或者网络的
访问权,并能访问到用户能访问到的任何资源。与提供服务无关。