网安学习第一章（安全事件、安全厂商和安全产品）

未来就业岗位

安全专家/研究员 --- 薪资待遇最高

偏底层 --- 算法研究
偏上层应用 --- 白帽子

安全运维/安全工程师 --- 甲方

windows/linux系统加固、脚本编写、渗透测试；
要求：对主流的安全产品有了解。

安全厂商工程师

主要以该厂商的主流产品为主。
售前和售后

系统集成安全工程师

每个方向，每个技术都要懂一点。

著名的网络安全公司

网络兼安全厂商

思科、华为、华三、锐捷、迈普、迪普

传统网络安全厂商

奇安信、深信服、启明星辰、天融信、绿盟

细分领域安全厂商

堡垒机：齐治
终端安全：北信源
云安全：亚信安全
移动安全：梆梆安全

互联网安全厂商

360、腾讯、阿里

详细介绍：见网络安全厂商介绍.pdf

网络安全事件和安全产品

安全防护做了，出了问题是产品防护不到位；但是如果没有做，那么所有的责任都是你的。

网络安全事件

伊朗震网事件与震网病毒

伊朗震网事件

震网（Stuxnet）是2010年曝光的全球首个具备物理破坏能力的国家级网络武器，由美国和以色列联合研发，核心目标是破坏伊朗纳坦兹铀浓缩设施。该病毒利用4个Windows零日漏洞（是软件、硬件或固件中未被厂商知晓、无公开补丁 / 修复方案的安全缺陷，利用它发起的攻击称零日攻击，因无防御基线，隐蔽性与破坏力极强），通过工程师的U盘突破核设施的物理隔离网络，随后在内网横向移动，精准识别西门子SIMATIC S7-300 PLC以及配套的离心机变频器。它会潜伏记录设备正常运行参数，之后篡改离心机转速，使其超速或骤降，同时向控制中心回传虚假正常数据，掩盖攻击行为。此次攻击导致伊朗约1000台离心机报废，核计划延误约2年。病毒因设备交叉使用意外扩散至全球约10万台设备，随后被安全厂商发现并曝光。

震网病毒

震网病毒是一种恶性蠕虫病毒 （2010 年），攻击目标是工业上使用的可编程逻辑控制器（PLC） 。震网病毒感染了全球超过 20 万台电脑，摧毁了伊朗浓缩铀工厂大量离心机。震网病毒感染途径是通过U 盘传播，然后修改 PLC 控制软件代码，使 PLC 向用于分离浓缩铀的离心机发出错误的命令。

蠕虫病毒特点：1.自我繁殖能力强；2.具备破坏性

木马病毒

木马病毒本身不具备破坏性。

木马操作：

植入后门；
控制设备窃取信息

木马不是病毒，木马相当于后门。

后门 -- 是测试人员在目标系统中植入的一种隐蔽的访问途径；可以使其在未经授权的情况下访问系统。

海康弱口令漏洞

海康弱口令漏洞，核心是其监控设备（如DVR/NVR、摄像头、流媒体服务器）出厂默认弱口令（如admin/12345、123456、888888）被大量用户/集成商未修改就接入公网，叠加部分固件认证缺陷（如CVE-2017-7921可绕过认证、静态弱密钥加密配置），导致攻击者通过暴力破解或漏洞利用获取设备控制权，窃取监控画面、篡改配置甚至锁定合法用户。 2015年曾爆发大规模攻击事件，江苏省公安厅发文要求清查；后续虽推出设备激活机制、强制改密与固件补丁，但仍有大量老设备未修复并暴露在公网，持续成为攻击目标。防御要点：启用设备激活改密、设8位以上强密码、禁用不必要公网端口、及时更新固件、接入防火墙/IDS防护。

摄像头自身存在的安全漏洞：

1.摄像头系统的弱口令；

2.替换摄像头为终端设备；

3.存在不必要的远程服务；

4.系统组件和应用程序漏洞。

物联网Mirai病毒

Mirai是2016年出现的物联网（IoT）恶意蠕虫病毒 ，专门针对摄像头、路由器、智能家电等存在弱口令的物联网设备。它的攻击逻辑非常直接：通过扫描公网暴露的IoT设备，利用默认弱口令（如admin/admin）批量暴力破解登录，感染后将设备纳入僵尸网络，主要发起DDoS攻击 。2016年，它曾操控数十万台被感染设备攻击域名服务商Dyn，导致美国东海岸大量网站瘫痪，引发全球关注。 Mirai的特点是传播速度极快，且针对IoT设备普遍缺乏安全防护的痛点，感染后会删除自身样本，难以溯源。其源代码随后被公开，衍生出大量变种（如Satori、Okiru），持续威胁物联网安全。防御核心：修改IoT设备默认密码、关闭不必要的公网端口、及时更新设备固件。

DDoS --> 分布式拒绝服务攻击：通过数千台被入侵后的主机，同时发起一种集团性的攻击行为。一般都是大量的服务请求报文。大量的去消耗的服务器资源。最终导致服务器无法给正常的用户提供服务。

江苏省公安视频专网"黑天鹅"事件

乌克兰变电站攻击事件

委内瑞拉电网攻击事件

物理电力攻击方式

直接攻击和间接断电

某图纸泄密事件

斯诺登与棱镜门事件

详情：见网络安全大事件.pdf

安全产品

网络不是法外之地。

网络安全行业 -- 全周期的安全防护手段

事前 -- 梳理资产
事中 -- 需要通过网络层和应用层防护。
事后 -- 实时检测内部的异常点；快速定位和隔离。

防火墙产品

防火墙：在保证数据通讯的基础上，在去尽可能的考虑安全性。

基本功能：网络隔离和访问控制

VPN：IPSEC VPN和SSL VPN

分类：经典防火墙、NGFW下一代防火墙、M9000高端安全旗舰

IPS 产品

IPS 和防火墙区别：

防火墙 --- 更偏向于边界的安全管理
IPS --- 对内网的流量进行分析，一般部署在核心交换机上旁挂

负载均衡产品

LB-- 负载均衡设备；

优势：1. 扩展网络设备和服务器的带宽；2. 增加吞吐量，加强网络数据的处理能力；3. 提高网络可用性
分类：服务器、链路、全局

流控产品 ACG

流控产品 ---ACG --- 应用控制网关 -- 在华三中实际上就是上网行为管理设备；

流控 --- 专业的流量控制设备。用于实现的是应用层流量控制。网络优化设备

上网行为管理 -- 帮助互联网用户控制和管理对互联网的使用；对网页访问的过滤、限制、隐私保护行为；用户行为分析。安全设备

总结：广义上说，行为管理设备也算是流控，但其主要的用途是记录和控制网络中的用户行为，限制用户使用某个应用，但他流控行为较弱，一般适用于上网人数较少的场景；狭义上，即专用的流控设备主要目的是优化带宽，通过限制带宽占用较强的应用来保护关键应用数据。

DPI -- 深度报文检测

深入读取 IP 报文的载荷内容，对 OSI 七层协议中的应用层信息进行重组，得到应用层完整信息。

DFI -- 深度流检测

是 DPI 的衍生技术。通过分析网络流的行为特性来识别应用类型。关注的是数据包的顺序、大小、频率。

WAF 产品

WAF -- Web 应用防护墙

主要是部署在网站集群服务器的前端，专门保护网站。

数据库审计产品

数据库审计：一种记录数据库操作行为的系统

审计产品：

内容审计----上网行为管理
数据库审计----访问数据库的操作的审计
运维审计----堡垒机/主机加固系统

单点登录；

运维审计----将管理员的所有操作全部记录下来。

异常流量清洗产品

堡垒机产品

基本是运维人员使用

漏扫产品

X-Scan系列漏洞扫描系统：

Web漏洞扫描

系统漏洞扫描

数据库漏洞扫描

安全隔离与信息交换产品

网闸（GAP）

内部网络中需要被访问的服务器，可以被外部访问到；
内部网络中其他服务器与外部隔离；
两个网络在安全隔离的前提下进行信息交换共享。

防火墙和网闸的区别：

防火墙一般用于逻辑隔离，网闸用于物理隔离。

防火墙：在保证数据通讯的基础上，去尽可能地考虑安全性。

网闸：如果不能保证安全的情况下，则断开连接。

逻辑隔离----区域之间的通讯是依靠防火墙的安全策略来判断的。

物理隔离----多个网络之间不存在导线连接。本质上是实现了物理层和数据链路层的分割、

++GAP的特点：没有通信连接、没有命令、没有协议、没有TCP/IP、没有应用连接、没有包交换；只有文件摆渡；对固态介质只有读写两个操作。++

前置机：作用是连接用户与后端服务器，起到桥梁的作用。负责接受服务器的用户请求，并将这些请求转发给后端服务器处理。