8.6笔记

其他常见攻击

信息安全课后复习笔记

一、其他常见攻击

1. 社工攻击

• 原理：利用社会工程学，通过与他人合法交流，影响其心理，使其透露机密信息或做出特定动作，以达到入侵计算机系统等目的。
• 防御手段：定期更换系统账号密码，使用高强度密码。

1. 人为因素

• 无意行为：工作失误（如按错按钮）、经验不足（贸然运行未知程序）、体制不健全（随意分享账号）。
• 恶意行为：出于政治、经济等目的，使用病毒、破坏性程序进行网络攻击等。
• 防范措施：提升安全意识，定期培训；设置强授权和信任方式，完善最低权限访问；完善管理措施；利用安全手段保护核心资产。

1. 拖库、洗库、撞库

• 原理
• 拖库：黑客入侵网络站点，盗走注册用户资料数据库。
• 洗库：将盗取的用户数据通过技术手段和黑色产业链变现。
• 撞库：用得到的数据在其他网站尝试登录（因用户习惯使用统一账号密码）。
• 防御手段：重要网站 / APP 使用独立密码；电脑勤打补丁，安装杀毒软件；不使用 IE 浏览器；使用正版软件；不在公共场合用公共无线处理私密信息；无线 AP 用安全加密方式且密码复杂；电脑习惯锁屏。

1. 跳板攻击

• 原理：攻击者不直接攻击目标，先攻破中间系统作为 "跳板"，再通过跳板完成攻击。
• 防御手段：安装防火墙控制流量；系统默认用普通用户登录，做好权限控制。

1. 钓鱼式攻击 / 鱼叉式钓鱼攻击

• 原理
• 钓鱼式攻击：伪装成信誉卓著的法人媒体，从电子通讯中获取用户敏感信息（如用户名、密码等）。
• 鱼叉式钓鱼攻击：针对特定目标进行的网络钓鱼攻击。
• 防御手段：保证网络站点与用户间安全传输；加强站点认证；即时清除网钓邮件；加强站点监管。

1. 水坑攻击

• 原理：攻击者确定特定目标常访问的网站，入侵并植入恶意软件，以感染目标。
• 防御手段：应用最新软件修补程序消除已知漏洞；用户监控确保软件为最新版本；运维员监控网站和网络，检测到恶意内容时阻止流量。

二、信息安全要素（五要素）

|-------|-----------------------------------|-------------------------------------------|
| 要素 | 定义 | 说明 |
| 保密性 | 确保信息不暴露给未授权的实体或进程 | 即使信息被窃听或截取，攻击者也无法知晓真实内容，可对抗被动攻击，如通过加密技术保障 |
| 完整性 | 只有得到允许的人才能修改实体或进程，且能判别是否被修改 | 通过完整性鉴别机制防篡改，如原文被篡改后信息不完整 |
| 可用性 | 得到授权的实体可获得服务，攻击者不能占用所有资源阻碍授权者工作 | 用访问控制机制阻止非授权用户进入网络，使静态信息可见、动态信息可操作，防止业务中断 |
| 可控性 | 对危害国家信息的活动进行监视审计，控制授权范围内信息流向及行为方式 | 使用授权机制控制信息传播范围和内容，必要时恢复密钥，实现对网络资源及信息的可控 |
| 不可否认性 | 为安全问题提供调查依据和手段 | 使用审计、监控、防抵赖等机制，让攻击者等 "逃不脱"，为安全问题调查提供依据 |

三、整体安全解决方案

1. 企业信息安全建设规划目标

• 风险可视化：看见风险才能防范风险。
• 防御主动化：主动防御、纵深防御。
• 运行自动化：全天候自动化安全运营保障体系落实。
• 安全智能化：转向智能驱动，抵御未知高级威胁。

1. 传统安全方案痛点

• 产品堆叠为主：基于产品堆叠构建防御，存在局限性。
• 边界防护为主：边界被突破后内网无防护。
• 被动防守为主：依靠挖掘漏洞、匹配特征等，缺乏威胁情报，难以防护新型威胁。

1. 深信服安全建设思路：从过去的产品堆叠、边界防护、被动防守，转变为风险驱动、立体保护、主动防御。
2. 深信服 APDRO 智安全架构：智能（Artificial Intelligence）、检测（detect）、防御（protect）、响应（respond）、运营（operate）。PDR 从防御能力向检测和响应能力增强，智能提升自动化能力应对未知威胁，运营让安全产品用起来、管理制度落地。

1. 企业级安全体系整体框架：网端云协同新一代安全架构，以风险驱动、立体保护、主动防御为核心，涵盖技术（资产管理、威胁检测预警等）和管理（管理制度、管理机构等）方面。

1. 具体安全措施

• 网络安全：划分安全域缩小攻击面；加强上网行为管控减少内部风险；进行纵深边界安全防护（精细化资产攻击面管理、场景化安全防护等）；构建统一安全接入平台；重构端到端边界安全；构建 "自动响应、快速闭环" 安全大脑。
• 端点安全：支持多操作系统，实现跨平台部署；具备加固、防御、检测、响应等功能；可集中管控，Agent 轻量。

1. 安全产品矩阵：包括云（安全资源池、云眼 & 云盾等）、网（下一代防火墙、上网行为管理等）、端（企业移动管理、终端安全检测与响应等）及相关服务（漏洞管理服务、应急响应服务等）。
2. 网络安全拓扑：涵盖云端安全、安全接入区、互联网出口区、DMZ 区等多个区域，各区域配备相应安全设备和服务。