第三章 网络安全防护与攻击知识
作为单位网络维护人员,核心职责不仅是保障网络正常运行,更要抵御各类网络攻击,守护单位网络安全和数据资产。本章将系统讲解网络安全的核心目标与原则,详细介绍常用网络安全防护技术的实操方法,同时重点拆解各类常见网络攻击的原理、特征及危害,提供针对性的防御和处置方案,帮助维护人员快速识别攻击、精准防护、高效处置,筑牢单位网络安全防线。本章内容紧密结合单位网络实际场景,兼顾理论性和实操性,所有方法均适配单位内部网络、终端及服务器,可直接应用于日常维护工作。
3.1 网络安全核心目标与原则
网络安全的核心是保障网络系统、终端设备及数据资产的安全,其核心目标围绕"保密性、完整性、可用性、可控性、可审查性"五大维度展开,这五大目标相互关联、缺一不可,共同构成单位网络安全的整体防护体系。结合单位网络日常办公、业务开展、数据存储的实际需求,本节将明确各目标的核心内涵及实操落地要求,为后续安全防护工作提供明确指引。
3.1.1 网络安全五大核心目标
网络安全的五大核心目标,是单位网络防护工作的出发点和落脚点,每一个目标都对应着单位网络的关键安全需求,需结合实际场景落地执行,避免流于形式。
3.1.1.1 保密性(Confidentiality)
核心内涵:保密性是指网络中的敏感数据(如人员账号密码、单位公文、业务数据、客户信息、财务数据等)只能被授权用户访问和获取,未授权用户无法知晓数据的内容,防止数据泄露。保密性是单位网络安全的首要目标,直接关系到单位的核心利益和信息安全,一旦敏感数据泄露,可能导致单位声誉受损、经济损失,甚至违反相关法律法规。
实操落地要求(结合单位场景):
1.敏感数据分类管理:对单位内部数据进行分类,明确敏感数据范围(如涉密文件、人员个人信息、业务核心数据),对不同类型的敏感数据采取不同的保密措施,重点管控高敏感数据。
2.访问权限管控:建立严格的权限分级体系,仅为授权人员分配对应的数据访问权限,遵循"最小权限原则",即人员仅能获取完成本职工作所需的最小数据权限,禁止超权限访问。例如,普通人员无法访问单位财务数据、核心业务数据库,仅财务人员、业务管理员可访问对应数据。
3.数据传输加密:敏感数据在网络传输过程中,必须采用加密技术(如HTTPS、SSL/TLS、AES加密),避免明文传输,防止数据被拦截、监听。例如,单位内部OA系统、业务系统必须启用HTTPS协议,人员远程访问内部资源时,通过VPN加密传输。
4.数据存储加密:敏感数据存储在服务器、终端设备或存储设备中时,需进行加密存储(如磁盘加密、文件加密),即使设备被盗或数据被非法获取,未授权用户也无法解析数据内容。例如,核心服务器启用磁盘加密,人员办公电脑中的敏感文件采用加密软件加密。
5.保密意识培训:定期对人员开展保密培训,明确敏感数据的范围和保密要求,禁止人员将敏感数据泄露给外部人员,禁止通过私人邮箱、微信、QQ等非工作渠道传输敏感数据。
3.1.1.2 完整性(Integrity)
核心内涵:完整性是指网络中的数据在传输、存储和使用过程中,不被非法篡改、伪造、破坏或丢失,确保数据的真实性和准确性。数据的完整性一旦被破坏,可能导致业务决策失误、系统运行异常,甚至引发安全事故。例如,单位业务数据被篡改,可能导致业务流程混乱;办公公文被伪造,可能造成单位决策失误。
实操落地要求(结合单位场景):
1.数据校验机制:在数据传输和存储过程中,采用校验技术(如CRC校验、MD5校验、SHA-256校验),对数据进行校验,确保数据未被篡改。例如,文件传输完成后,通过校验码比对,确认文件内容与原始内容一致;服务器定期对存储的数据进行校验,发现篡改立即报警。
2.访问控制与审计:严格控制数据的修改权限,仅授权管理员可修改核心数据,修改操作需留下日志记录,便于后续追溯。例如,单位业务数据库的修改权限仅分配给数据库管理员,每一次修改操作都记录操作人、操作时间、修改内容。
3.系统防护加固:对单位服务器、终端设备、网络设备进行防护加固,及时修复系统漏洞、软件漏洞,防止攻击者通过漏洞篡改数据。例如,定期更新操作系统补丁、应用程序补丁,关闭不必要的服务和端口。
4.恶意代码防护:部署杀毒软件、终端安全管理系统,防止病毒、木马等恶意代码篡改数据。例如,所有终端设备安装正版杀毒软件,定期进行病毒查杀;服务器部署终端安全管理软件,监控数据修改行为。
3.1.1.3 可用性(Availability)
核心内涵:可用性是指网络系统、终端设备、应用程序及数据,在需要时能够正常运行、被正常访问和使用,不出现中断、瘫痪或无法访问的情况,保障单位日常办公和业务正常开展。可用性是单位网络运行的基础,一旦网络或系统不可用,将直接影响单位工作效率,甚至导致业务停滞。
实操落地要求(结合单位场景):
1.设备冗余部署:对核心网络设备、服务器进行冗余部署,避免单点故障导致系统不可用。例如,核心交换机、路由器采用双机热备模式,一旦主设备故障,备用设备立即接管;核心服务器采用集群部署,确保业务系统持续运行。
2.带宽保障:合理分配网络带宽,限制非工作应用(如视频、游戏、下载)的带宽占用,避免带宽拥堵导致网络访问缓慢或中断。例如,通过路由器、防火墙配置带宽控制规则,为办公应用、业务系统分配足够的带宽。
3.故障应急处置:建立网络故障应急处置机制,明确故障排查流程和责任人,确保网络、系统出现故障时,能够快速响应、及时修复。例如,制定网络中断、服务器瘫痪的应急处置预案,定期开展应急演练;网络维护人员24小时待命,及时处理各类故障。
4.恶意攻击防护:部署防火墙、入侵防御系统(IPS)等设备,抵御拒绝服务攻击、洪水攻击等,防止攻击者通过攻击导致网络或系统瘫痪。例如,防火墙开启抗DDoS攻击功能,IPS实时拦截恶意攻击数据包。
5.日常维护巡检:定期对网络设备、服务器、终端设备进行巡检,检查设备运行状态,及时发现并处理潜在故障,避免故障扩大导致系统不可用。例如,每周检查网络设备的运行日志、服务器的CPU、内存占用情况,每月对设备进行重启维护。
3.1.1.4 可控性(Controllability)
核心内涵:可控性是指单位能够对网络系统、终端设备、应用程序、数据传输及用户行为进行有效管控,确保网络运行符合单位的安全策略和管理要求,能够及时发现并制止非法操作和违规行为。可控性是实现网络安全管理的关键,能够帮助维护人员掌握网络运行状态,防范安全风险。
实操落地要求(结合单位场景):
1.网络接入管控:严格控制网络接入权限,禁止未授权终端设备接入单位局域网。例如,通过交换机端口绑定MAC地址、IP地址过滤,仅允许单位授权的终端设备接入;部署无线局域网时,采用WPA2/WPA3加密,设置复杂密码,禁止外部人员接入。
2.用户行为管控:建立用户行为管理规范,管控人员的网络行为,禁止人员进行违规操作(如访问非法网站、下载恶意软件、传播不良信息)。例如,通过终端安全管理软件监控人员的网络行为,对违规行为进行告警和处置;禁止人员在办公终端安装非工作所需的软件。
3.数据传输管控:管控单位内部数据的传输行为,禁止敏感数据通过非工作渠道传输,限制数据的外发范围。例如,通过防火墙配置数据外发规则,禁止人员将敏感数据发送到外部邮箱、微信等渠道;对数据外发进行审计,记录数据外发的时间、内容、接收方。
4.设备管理管控:建立网络设备、终端设备、服务器的管理制度,对设备的配置、使用、维护进行统一管控。例如,所有网络设备的配置需进行备份,修改配置需经过审批;终端设备实行统一管理,定期进行系统更新和安全加固。
3.1.1.5 可审查性(Accountability)
核心内涵:可审查性是指网络中的所有操作(如用户登录、数据访问、数据修改、设备配置变更等)都能够被记录和追溯,一旦发生安全事件(如数据泄露、系统被入侵),能够通过审计日志排查事件原因、定位责任人。可审查性是事后追溯、责任认定的重要依据,能够有效防范恶意操作和违规行为。
实操落地要求(结合单位场景):
1.日志审计系统部署:部署日志审计系统,对网络设备、服务器、终端设备、应用程序的操作日志进行集中收集、存储和分析,确保日志的完整性和不可篡改。例如,收集路由器、交换机的运行日志、防火墙的访问日志、服务器的系统日志、应用程序的操作日志。
2.日志记录要求:明确日志记录的内容和保留时间,日志需包含操作人、操作时间、操作内容、操作IP地址、设备信息等关键信息,日志保留时间不少于6个月(符合相关法律法规要求),便于后续追溯。
3.日志分析与排查:定期对审计日志进行分析,及时发现异常操作和安全隐患;发生安全事件时,通过日志排查事件原因,定位责任人。例如,发现异常登录行为时,通过日志查询登录IP地址、登录时间,确定是否为非法登录;发现数据被篡改时,通过日志查询修改操作的相关信息,追溯责任人。
4.责任认定机制:建立安全事件责任认定机制,根据审计日志和事件调查结果,明确责任人,追究相关责任,形成震慑,防范类似事件再次发生。
3.1.2 网络安全核心原则
结合单位网络安全需求和五大核心目标,在开展网络安全防护工作时,需遵循以下核心原则,确保防护工作科学、有效、可落地,避免盲目防护、过度防护或防护不到位。
1.最小权限原则:所有用户、设备、应用程序仅分配完成本职工作所需的最小权限,禁止超权限访问和操作。例如,普通人员仅能访问自己工作相关的文件和系统,无法访问核心业务数据和服务器配置;网络设备的操作权限仅分配给网络维护人员,禁止其他人员操作。
2.纵深防御原则:构建多层次、全方位的安全防护体系,从物理层、数据链路层、网络层、传输层、应用层等多个层面部署防护措施,避免单一防护点失效导致整体安全防线崩溃。例如,物理层加强设备防护,网络层部署防火墙、IPS,应用层加强Web系统防护,终端层部署杀毒软件和终端安全管理系统。
3.预防为主,防治结合原则:优先采取预防措施,提前排查安全隐患、加固系统、部署防护设备,防范安全事件发生;同时建立应急处置机制,一旦发生安全事件,能够快速响应、及时处置,减少事件造成的损失,事后总结经验,完善防护措施。
4.合规性原则:网络安全防护工作需符合国家相关法律法规(如《网络安全法》《数据安全法》《个人信息保护法》)和单位内部管理制度,确保网络运行、数据存储和使用合法合规,避免因违规操作引发法律风险。
5.实用性原则:安全防护措施需贴合单位网络实际,具备可操作性和实用性,避免部署过于复杂、难以维护的防护方案,确保维护人员能够熟练操作,防护措施能够有效落地。例如,选择适合单位规模的防护设备,配置简单易懂的防护规则,便于日常维护和管理。
3.2 常用网络安全防护技术
网络安全防护技术是实现网络安全核心目标的重要手段,结合单位网络实际场景,本节重点讲解访问控制、加密与解密、入侵检测与防御、数据备份与恢复四大常用防护技术,详细说明各技术的核心原理、实操方法,适配单位内部网络、终端及服务器的防护需求,帮助维护人员快速掌握并应用这些技术,提升单位网络安全防护水平。
3.2.1 访问控制技术
访问控制技术是网络安全防护的基础,核心是通过一定的技术手段,限制用户、设备、应用程序对网络资源(如网络设备、服务器、数据、应用系统)的访问权限,防止未授权访问,保障网络资源的安全性和可控性。结合单位网络实际,常用的访问控制技术包括用户权限控制、IP地址过滤、端口限制、MAC地址绑定,本节将详细讲解各技术的原理及实操方法。
3.2.1.1 用户权限控制
核心原理:用户权限控制是指通过建立用户账号体系,对不同用户分配不同的访问权限,明确用户可访问的网络资源和可执行的操作,仅允许授权用户访问对应资源,禁止未授权用户访问。用户权限控制的核心是"身份认证+权限分配",先验证用户身份的合法性,再根据用户身份分配对应的权限。
实操方法(结合单位场景):
1.建立统一用户账号体系:搭建单位统一的用户账号管理系统,所有人员使用统一的账号登录网络、应用系统和服务器,禁止使用匿名账号或共享账号。例如,采用域控制器(DC)搭建域环境,所有人员账号统一管理,登录办公终端和应用系统时,使用域账号认证。
2.用户身份认证:采用"账号+密码"的基础认证方式,同时结合强认证手段(如短信验证、动态口令、USBKey),提升身份认证的安全性,防止账号密码被破解后非法登录。例如,核心应用系统(如业务系统、财务系统)登录时,除输入账号密码外,还需输入动态口令;服务器登录采用USBKey认证。
3.权限分级分配:根据人员的岗位、职责,将用户权限分为不同等级,遵循"最小权限原则",分配对应权限。例如,网络维护人员拥有网络设备、服务器的操作权限;业务管理员拥有业务系统的管理权限和业务数据的修改权限;普通人员仅拥有办公系统的访问权限和个人工作文件的操作权限。
4.权限动态管理:定期对用户账号和权限进行排查,及时删除离职人员的账号、回收调岗人员的多余权限,更新用户权限信息,避免权限冗余导致安全隐患。例如,人员离职后,24小时内删除其域账号、应用系统账号和服务器登录账号;人员调岗后,及时调整其权限,确保权限与新岗位匹配。
5.账号安全管理:制定账号密码管理制度,要求用户设置复杂密码(如长度不少于8位,包含字母、数字、特殊符号),定期更换密码(如每90天更换一次),禁止使用弱密码(如123456、admin)、重复密码;禁止人员将账号密码泄露给他人,禁止共享账号使用。
6.操作审计:记录用户的登录和操作行为,包括登录时间、登录IP地址、操作内容、操作结果等,便于后续追溯和排查异常行为。例如,通过域控制器记录用户的登录日志,通过应用系统记录用户的操作日志,发现异常登录或违规操作时,及时告警并处置。
3.2.1.2 IP地址过滤
核心原理:IP地址过滤是指通过配置网络设备(如路由器、防火墙、交换机)的访问控制规则,允许指定IP地址(段)访问网络资源,禁止未授权IP地址(段)访问,从而限制网络访问范围,防止外部非法IP或内部违规IP访问核心资源。IP地址过滤主要应用于网络层,是一种简单、高效的访问控制手段。
实操方法(结合单位场景):
1.明确IP地址规划:首先对单位局域网的IP地址进行统一规划,划分不同的网段(如办公网段、服务器网段、监控网段),明确每个网段的IP地址范围和用途,便于后续配置IP地址过滤规则。例如,办公网段为192.168.1.0/24,服务器网段为192.168.2.0/24,监控网段为192.168.3.0/24。
2.核心资源IP过滤配置:针对服务器、核心网络设备等关键资源,配置IP地址过滤规则,仅允许授权IP地址(段)访问。例如,核心业务服务器(IP:192.168.2.10)仅允许办公网段(192.168.1.0/24)和网络维护人员的终端IP(如192.168.1.100)访问,禁止其他网段或外部IP访问;路由器、防火墙的管理界面,仅允许网络维护人员的终端IP访问。
3.内外网IP过滤配置:在防火墙、路由器上配置内外网IP过滤规则,禁止外部非法IP访问单位局域网,仅允许外部授权IP(如上级单位、合作单位的IP)访问指定资源。例如,禁止互联网上的所有IP访问单位服务器网段,仅允许上级单位的IP(如203.xxx.xxx.xxx)访问单位OA系统。
4.内部IP过滤配置:针对内部局域网,禁止违规IP访问核心资源,限制不同网段之间的访问。例如,禁止监控网段(192.168.3.0/24)访问服务器网段(192.168.2.0/24),仅允许监控管理终端(192.168.3.10)访问监控服务器;禁止普通办公终端访问路由器、交换机的管理界面。
5.规则维护与更新:定期检查IP地址过滤规则,根据单位网络拓扑变化、人员调整,及时更新过滤规则,删除无效规则,添加新的授权IP地址,确保过滤规则的有效性。例如,新增合作单位时,及时在防火墙中添加合作单位的IP地址,允许其访问指定资源;人员终端IP变更时,更新对应的过滤规则。
注意事项:IP地址过滤存在一定局限性,攻击者可能通过IP地址欺骗伪造授权IP,因此需结合其他防护技术(如MAC地址绑定、身份认证),提升防护效果;同时,配置过滤规则时,需仔细核对IP地址,避免误配置导致合法IP无法访问。
3.2.1.3 端口限制
核心原理:端口是网络设备、服务器与外部通信的"窗口",不同的应用程序和服务对应不同的端口(如HTTP对应80端口、HTTPS对应443端口、SSH对应22端口)。端口限制是指通过配置网络设备(如防火墙、交换机、服务器),关闭不必要的端口,仅开放必要的端口,禁止外部或内部终端通过未开放端口访问资源,从而减少攻击面,防范攻击者通过端口漏洞入侵。
实操方法(结合单位场景):
1.端口梳理:首先梳理单位网络中所有设备(服务器、网络设备、终端)的开放端口,明确每个端口对应的服务和用途,区分必要端口和不必要端口。例如,服务器上的80(HTTP)、443(HTTPS)端口为必要端口,用于Web服务;22(SSH)端口为必要端口,用于远程管理;135、139、445等端口为不必要端口,容易被攻击者利用,需关闭。
2.网络设备端口限制:在路由器、防火墙、交换机上配置端口限制规则,关闭不必要的端口,仅开放必要端口。例如,防火墙仅开放80、443、22、3389(远程桌面)等必要端口,关闭135、139、445、5357等不必要端口;交换机关闭未使用的端口,防止未授权设备通过空闲端口接入网络。
3.服务器端口限制:在服务器上配置端口限制,关闭不必要的端口,仅开放与服务相关的端口。例如,Web服务器仅开放80、443端口,关闭其他所有端口;数据库服务器仅开放数据库服务对应的端口(如MySQL对应3306端口、SQL Server对应1433端口),禁止开放无关端口;服务器关闭远程桌面端口(3389),仅允许通过SSH端口(22)远程管理。
4.终端端口限制:通过终端安全管理软件,限制终端设备的端口使用,禁止终端开放不必要的端口,防止终端被攻击者利用端口漏洞入侵。例如,禁止终端开放135、139、445等端口,禁止终端通过未授权端口对外通信。
5.端口监控与排查:定期监控网络设备、服务器、终端的端口开放情况,发现未授权开放的端口,及时关闭;排查端口漏洞,及时修复端口相关的系统漏洞和软件漏洞,防止攻击者通过端口漏洞入侵。例如,通过端口扫描工具(如Nmap)定期扫描网络设备和服务器的端口,发现异常端口及时处置。
注意事项:配置端口限制时,需确保必要端口正常开放,避免因误关闭端口导致服务中断;例如,关闭80、443端口会导致Web服务无法访问,关闭22端口会导致无法远程管理服务器。同时,需定期更新端口限制规则,根据服务变化调整开放端口。
3.2.1.4 MAC地址绑定
核心原理:MAC地址(物理地址)是网络设备的唯一标识,每个网络设备(如网卡、交换机端口)都有一个唯一的MAC地址,无法随意修改(可通过软件伪造,但难度较大)。MAC地址绑定是指将终端设备的MAC地址与IP地址、交换机端口进行绑定,仅允许绑定的MAC地址(终端设备)接入网络、使用指定IP地址,禁止未绑定的MAC地址接入网络,防止未授权设备(如外部电脑、手机)接入单位局域网,同时防止IP地址冲突。
实操方法(结合单位场景):
1.MAC地址收集:收集单位所有授权终端设备(办公电脑、服务器、打印机、监控设备等)的MAC地址和IP地址,建立MAC地址-IP地址对应表,明确每个设备的MAC地址、IP地址、设备名称、使用人。例如,办公电脑A的MAC地址为00-1A-2B-3C-4D-5E,IP地址为192.168.1.10,使用人为张三。
2.交换机端口MAC绑定:在交换机上配置端口MAC绑定规则,将每个交换机端口与对应的终端设备MAC地址绑定,仅允许绑定的MAC地址通过该端口接入网络,禁止其他MAC地址接入。例如,交换机端口1绑定办公电脑A的MAC地址(00-1A-2B-3C-4D-5E),仅允许办公电脑A通过端口1接入网络,其他设备接入时,交换机将拒绝其连接。
3.IP-MAC绑定:在路由器、DHCP服务器上配置IP-MAC绑定规则,将终端设备的IP地址与MAC地址绑定,确保终端设备每次获取的IP地址都是固定的,同时禁止其他设备使用该IP地址,防止IP地址冲突和IP地址欺骗。例如,在DHCP服务器上,将192.168.1.10与办公电脑A的MAC地址绑定,办公电脑A每次开机后,都会获取到192.168.1.10这个IP地址,其他设备无法获取该IP地址。
4.无线设备MAC绑定:对于单位无线局域网,在无线AP、无线路由器上配置MAC地址过滤规则,仅允许绑定的MAC地址(授权的手机、笔记本电脑)接入无线网络,禁止外部无线设备接入。例如,将人员的手机MAC地址添加到无线AP的允许列表中,仅允许这些手机接入无线网络。
5.绑定维护与更新:定期检查MAC地址绑定规则,根据终端设备的新增、报废、更换,及时更新绑定规则,删除报废设备的MAC地址,添加新增设备的MAC地址。例如,人员新增办公电脑时,收集其MAC地址,添加到交换机端口绑定和IP-MAC绑定规则中;设备报废时,删除对应的绑定规则。
注意事项:MAC地址可以通过软件伪造,因此MAC地址绑定需结合IP地址过滤、端口限制等技术,提升防护效果;同时,终端设备更换网卡后,MAC地址会发生变化,需及时更新绑定规则,避免设备无法接入网络。
3.2.2 加密与解密技术
加密与解密技术是保障数据保密性和完整性的核心技术,通过对敏感数据进行加密处理,将明文数据转换为密文数据,未授权用户即使获取密文数据,也无法解析其内容;授权用户通过解密技术,将密文数据转换为明文数据,正常使用。结合单位网络实际,常用的加密技术分为对称加密和非对称加密,本节将详细讲解两种加密技术的核心原理、常用算法、应用场景,以及单位敏感数据的加密防护方法。
3.2.2.1 对称加密技术
核心原理:对称加密(Symmetric Encryption)是指加密和解密使用相同的密钥(密钥是一串随机生成的字符串,用于加密和解密数据),加密时,使用密钥将明文数据转换为密文数据;解密时,使用相同的密钥将密文数据转换为明文数据。对称加密的核心特点是加密和解密速度快、效率高,适合对大量数据进行加密,但密钥的安全管理难度较大,一旦密钥泄露,密文数据将被破解。
一、常用对称加密算法(适配单位场景):
1.AES算法(Advanced Encryption Standard,高级加密标准):目前最常用、最安全的对称加密算法,也是单位敏感数据加密的首选算法,支持128位、192位、256位密钥长度,密钥长度越长,加密安全性越高,单位场景中优先使用256位密钥。AES算法加密和解密速度快、效率高,适合对大量敏感数据(如业务数据、人员信息、文件)进行加密,广泛应用于文件加密、数据传输加密、磁盘加密等场景。
2.DES算法(Data Encryption Standard,数据加密标准):早期常用的对称加密算法,支持64位密钥长度(实际有效密钥长度为56位),加密安全性较低,容易被破解,目前单位场景中已基本淘汰,不建议使用。
3.3DES算法(Triple DES):DES算法的改进版,通过对数据进行三次DES加密,提升加密安全性,支持168位密钥长度,但加密和解密速度较慢,效率较低,适合对少量高敏感数据进行加密,单位场景中可作为AES算法的补充。
二、应用场景(单位实际):
1.文件加密:对单位敏感文件(如涉密公文、财务数据、业务报表)进行加密,使用AES算法加密文件,只有掌握密钥的授权用户才能打开和解密文件。例如,使用加密软件(如WinRAR、7-Zip)对敏感文件进行加密,设置复杂密钥;核心业务数据文件存储时,采用AES-256加密。
2.数据传输加密:敏感数据在网络传输过程中,采用AES算法加密,防止数据被拦截、监听。例如,单位内部OA系统、业务系统的数据传输,采用AES加密结合HTTPS协议,确保数据传输安全;人员远程访问内部资源时,通过VPN采用AES加密传输数据。
3.磁盘加密:对服务器、终端设备的磁盘进行加密,使用AES算法加密磁盘分区,防止设备被盗或丢失后,数据被非法获取。例如,核心服务器启用磁盘加密功能,采用AES-256加密;人员办公电脑的系统盘和数据盘,使用系统自带的加密功能(如Windows BitLocker),采用AES算法加密。
4.数据库加密:对单位核心数据库中的敏感数据(如账号密码、客户信息)进行加密存储,使用AES算法加密数据字段,防止数据库被入侵后,敏感数据泄露。例如,业务数据库中的密码字段,采用AES加密存储,不存储明文密码。
3.2.2.2 非对称加密技术
核心原理:非对称加密(Asymmetric Encryption)是指加密和解密使用不同的密钥,分为公钥(Public Key)和私钥(Private Key),公钥可以公开传播,私钥由用户自行保管,不可泄露。加密时,使用公钥将明文数据转换为密文数据;解密时,使用对应的私钥将密文数据转换为明文数据。非对称加密的核心特点是安全性高,密钥管理难度小,但加密和解密速度慢、效率低,适合对少量数据(如密钥、数字签名)进行加密。
一、常用非对称加密算法(适配单位场景):
1.RSA算法:目前最常用的非对称加密算法,支持1024位、2048位、4096位密钥长度,单位场景中优先使用2048位及以上密钥长度,确保加密安全性。RSA算法广泛应用于身份认证、数字签名、密钥交换等场景,适合对少量敏感数据进行加密。
2.ECC算法(Elliptic Curve Cryptography,椭圆曲线加密算法):一种高效的非对称加密算法,在相同密钥长度下,ECC算法的安全性高于RSA算法,且加密和解密速度更快、占用资源更少,适合在终端设备(如手机、笔记本电脑)和资源有限的服务器上使用,单位场景中可用于无线通信、移动办公等场景的加密。
二、应用场景(单位实际):
1.身份认证:通过非对称加密实现用户身份认证,用户使用私钥进行签名,服务器使用对应的公钥验证签名,确认用户身份的合法性。例如,人员远程登录服务器时,使用私钥进行身份认证,服务器通过公钥验证,确保登录用户是授权用户。
2.数字签名:对单位公文、合同、电子文档等进行数字签名,使用私钥对文档进行签名,接收方使用公钥验证签名,确认文档的真实性和完整性,防止文档被篡改、伪造。例如,单位电子公文发布时,使用管理员私钥进行数字签名,人员接收后,通过公钥验证签名,确认公文的合法性。
3.密钥交换:用于对称加密密钥的安全交换,通过非对称加密将对称加密的密钥传输给对方,确保密钥在传输过程中不被泄露。例如,人员与服务器进行加密通信时,首先通过RSA算法交换AES密钥,然后使用AES算法进行数据传输,既保证了密钥的安全,又保证了数据传输的效率。
4.HTTPS协议加密:HTTPS协议结合了非对称加密和对称加密,使用RSA算法交换对称加密密钥,使用AES算法进行数据传输,确保网页访问和数据传输的安全。例如,单位官方网站、内部Web系统启用HTTPS协议,通过RSA算法实现身份认证和密钥交换,通过AES算法实现数据加密。
3.2.2.3 单位敏感数据加密防护方法
结合单位敏感数据的类型(如账号密码、业务数据、公文、人员信息)和存储、传输、使用场景,制定针对性的加密防护方案,综合运用对称加密和非对称加密技术,确保敏感数据的保密性和完整性,具体方法如下:
1. 账号密码加密防护:
(1)服务器存储密码时,采用AES对称加密算法加密密码字段,或采用哈希算法(如SHA-256)对密码进行哈希处理,不存储明文密码;同时,结合RSA非对称加密,对哈希后的密码进行签名,确保密码的完整性。
(2)人员登录应用系统时,密码传输过程中采用HTTPS协议加密,使用RSA算法交换密钥,AES算法加密密码数据,防止密码被拦截、监听。
(3)核心系统(如财务系统、业务系统)的管理员密码,采用"对称加密+非对称加密"双重加密,管理员私钥由专人保管,定期更换密钥。
2. 业务数据加密防护:
(1)核心业务数据(如业务报表、客户信息、财务数据)存储时,采用AES-256对称加密算法加密数据,磁盘启用加密功能,防止数据被非法获取。
(2)业务数据在网络传输过程中,采用HTTPS协议或VPN加密传输,使用AES算法加密数据,RSA算法交换密钥,确保数据传输安全。
(3)数据库中的敏感数据字段(如客户身份证号、手机号、银行卡号),采用AES加密存储,查询和使用时,通过授权解密后再展示,避免敏感数据明文展示。
3. 公文及文件加密防护:
(1)涉密公文、重要文件存储时,采用AES算法加密文件,设置复杂密钥,仅授权人员可打开和解密文件;文件命名采用加密或模糊命名,避免泄露文件内容。
(2)公文及文件传输时,通过单位内部加密传输工具,采用AES加密传输,禁止通过私人邮箱、微信、QQ等非工作渠道传输,防止文件泄露。
(3)重要文件进行数字签名,使用管理员私钥签名,接收方通过公钥验证签名,确认文件的真实性和完整性,防止文件被篡改、伪造。
4. 密钥管理:
(1)建立密钥管理制度,明确密钥的生成、存储、分发、更换、销毁流程,密钥由专人保管,建立密钥管理台账,记录密钥的使用情况。
(2)对称加密密钥(如AES密钥)定期更换(如每6个月更换一次),更换后及时更新所有相关设备和系统的密钥,确保密钥的安全性;非对称加密的私钥(如RSA私钥)存储在安全设备(如USBKey、加密机)中,禁止私自复制、泄露。
(3)密钥丢失或泄露时,立即启动应急处置流程,更换新的密钥,对已加密的数据进行重新加密,排查密钥泄露的原因,追究相关责任。
5. 加密软件部署:
(1)为所有终端设备、服务器部署正版加密软件,用于文件加密、磁盘加密、数据传输加密,确保加密软件的正常运行和及时更新。
(2)部署密钥管理系统,对所有加密密钥进行集中管理,实现密钥的生成、分发、更换、销毁的自动化管理,提升密钥管理效率和安全性。
3.2.3 入侵检测与防御
入侵检测与防御技术是抵御网络攻击的重要手段,通过部署入侵检测系统(IDS)和入侵防御系统(IPS),实时监测网络流量、终端行为和系统操作,识别恶意入侵行为(如攻击、非法访问、恶意代码),并采取告警、阻断等措施,防止攻击扩散,保护网络和系统安全。结合单位网络实际,本节将详细讲解IDS和IPS的功能、部署方式,以及如何通过该技术识别、阻断恶意入侵行为。
3.2.3.1 入侵检测系统(IDS)
一、核心定义:入侵检测系统(Intrusion Detection System,简称IDS)是一种被动式的安全防护设备,主要功能是实时监测网络流量、终端行为和系统操作,识别恶意入侵行为和异常活动,生成告警信息,通知网络维护人员进行处置,但不主动阻断攻击行为。IDS的核心作用是"发现攻击",为维护人员提供攻击预警和事件追溯依据。
二、核心功能:
1.异常检测:通过分析网络流量、终端行为和系统操作的正常模式,识别偏离正常模式的异常活动,例如,异常的登录行为(如多次登录失败、异地登录)、异常的网络流量(如大量数据包发送、异常端口访问)、异常的系统操作(如未授权的文件修改、注册表修改)。
2.攻击检测:通过内置的攻击特征库,识别各类已知的网络攻击行为,例如,拒绝服务攻击、端口扫描、SQL注入、XSS跨站脚本、ARP欺骗、DNS劫持等,能够精准识别攻击类型、攻击源IP、攻击目标和攻击时间。
3.日志收集与分析:收集网络设备、服务器、终端设备的运行日志、访问日志、操作日志,结合检测结果,进行日志分析,生成详细的告警报告和审计报告,便于维护人员排查攻击原因、追溯攻击行为。
4.告警通知:当检测到恶意入侵行为或异常活动时,通过多种方式(如短信、邮件、系统弹窗)向网络维护人员发送告警信息,明确告警级别(如紧急、高危、中危、低危)、攻击类型、攻击源和攻击目标,便于维护人员及时响应。
5.事件追溯:存储检测到的所有入侵事件和异常活动,保留事件相关的日志和数据,便于后续追溯事件原因、定位责任人,同时为完善防护措施提供依据。
三、部署方式:
IDS的部署方式主要有三种,结合单位网络拓扑结构,选择合适的部署方式,确保监测范围覆盖整个单位网络。
1.网络型IDS(NIDS):部署在单位网络的核心节点(如核心交换机、防火墙出口),通过镜像端口采集网络流量,实时监测整个局域网的网络流量,识别网络层面的攻击行为(如拒绝服务攻击、端口扫描、ARP欺骗)。网络型IDS的优势是监测范围广,能够覆盖整个网络;劣势是无法监测终端内部的攻击行为(如终端恶意代码)。
单位部署建议:在核心交换机上配置镜像端口,将所有网络流量镜像到IDS设备,实现对整个局域网网络流量的实时监测;同时,在防火墙出口部署IDS,监测内外网之间的攻击行为,重点防范外部攻击。
2.主机型IDS(HIDS):部署在单位核心服务器、重要终端设备上,实时监测主机的系统操作、文件修改、进程运行、端口使用等行为,识别主机层面的攻击行为(如恶意代码、未授权访问、文件篡改)。主机型IDS的优势是能够精准监测终端内部的攻击行为,检测精度高;劣势是监测范围有限,需要在每台核心设备上部署。
单位部署建议:在核心业务服务器、数据库服务器、财务服务器等关键设备上部署主机型IDS,实时监测主机的运行状态,重点防范针对服务器的恶意攻击;普通办公终端可根据需求,选择性部署。
3.混合型IDS:结合网络型IDS和主机型IDS的优势,同时部署网络型IDS和主机型IDS,实现对网络层面和主机层面的全面监测,既能监测网络流量中的攻击行为,又能监测终端内部的攻击行为,提升检测的全面性和准确性。
单位部署建议:大型单位或对网络安全要求较高的单位,采用混合型IDS部署方式,核心节点部署网络型IDS,关键服务器部署主机型IDS,实现全面监测;中小型单位可优先部署网络型IDS,重点监测网络层面的攻击行为。
四、实操应用:
1.IDS配置:根据单位网络实际,配置IDS的检测规则,更新攻击特征库(定期更新,确保能够识别最新的攻击行为),设置告警级别和告警方式,确保告警信息能够及时送达维护人员。例如,将拒绝服务攻击、SQL注入、病毒攻击设置为紧急告警,通过短信和邮件双重通知;将端口扫描、异常登录设置为中危告警,通过系统弹窗通知。
2.实时监测与告警处置:网络维护人员定期查看IDS的监测界面,实时关注告警信息,收到告警后,及时分析告警内容,判断攻击的严重性和影响范围,采取针对性的处置措施。例如,检测到ARP欺骗攻击时,立即排查攻击源IP和MAC地址,断开攻击终端的网络连接,修改网关配置,防止攻击扩散;检测到端口扫描时,查看扫描源IP,判断是否为非法扫描,若为外部IP,通过防火墙阻断该IP的访问。
3.日志分析与复盘:定期对IDS的日志和告警报告进行分析,总结攻击类型和攻击规律,排查网络防护的薄弱点,完善防护措施。例如,发现多次出现SQL注入攻击,说明单位Web系统存在漏洞,及时修复Web系统漏洞,加强Web应用防护;发现内部终端存在异常登录行为,排查是否为人员账号被盗,及时修改账号密码,加强身份认证。
3.2.3.2 入侵防御系统(IPS)
一、核心定义:入侵防御系统(Intrusion Prevention System,简称IPS)是一种主动式的安全防护设备,在IDS的基础上,增加了攻击阻断功能,能够实时监测网络流量、终端行为和系统操作,识别恶意入侵行为后,主动采取阻断措施(如丢弃攻击数据包、断开攻击连接、禁止攻击源访问),防止攻击行为对网络和系统造成危害。IPS的核心作用是"发现攻击+阻断攻击",是单位网络安全防护的重要屏障。
二、核心功能:
1.攻击检测:与IDS的攻击检测功能一致,通过内置的攻击特征库和异常检测算法,识别各类已知和未知的攻击行为,包括拒绝服务攻击、端口扫描、SQL注入、XSS跨站脚本、ARP欺骗、恶意代码等,检测精度高、响应速度快。
2.主动阻断:这是IPS与IDS的核心区别,当检测到恶意入侵行为时,无需人工干预,主动采取阻断措施,阻止攻击行为继续进行。例如,检测到拒绝服务攻击数据包时,立即丢弃该数据包,禁止攻击源向目标设备发送数据包;检测到SQL注入攻击时,阻断攻击请求,禁止攻击源访问Web系统;检测到恶意代码时,阻断恶意代码的传输和执行。
3.流量控制:能够对网络流量进行控制,限制异常流量(如大量攻击数据包、垃圾流量)的传输,避免流量拥堵导致网络瘫痪;同时,能够限制特定IP、端口的流量占用,保障正常办公和业务流量的传输。
4.漏洞防护:内置漏洞特征库,能够识别网络设备、服务器、应用程序的漏洞,当检测到攻击者利用漏洞进行攻击时,主动阻断攻击行为,同时提醒维护人员修复漏洞,从源头防范攻击。
5.日志与报告:收集检测和阻断的攻击事件,生成详细的日志和报告,包括攻击类型、攻击源、攻击目标、阻断措施、攻击时间等信息,便于维护人员复盘和追溯,同时为完善防护措施提供依据。
三、部署方式:
IPS的部署方式与IDS类似,但由于IPS需要主动阻断攻击,因此部署位置需确保能够拦截所有网络流量,常用的部署方式有以下三种:
1.串联部署(首选):将IPS串联在单位网络的核心链路中(如防火墙与核心交换机之间、核心交换机与汇聚交换机之间),所有网络流量都必须经过IPS,IPS实时监测并阻断攻击数据包,确保攻击行为在进入核心网络前被拦截。串联部署的优势是能够全面拦截攻击,防护效果好;劣势是如果IPS设备故障,可能导致网络中断,因此需配置冗余设备。
单位部署建议:中小型单位,将IPS串联在防火墙出口与核心交换机之间,拦截外部攻击和内外网之间的攻击;大型单位,在核心交换机与汇聚交换机之间、防火墙出口分别部署IPS,实现多层防护,全面阻断攻击。
2.旁路部署:将IPS部署在网络旁路,通过镜像端口采集网络流量,监测攻击行为,当检测到攻击时,通过联动防火墙、交换机等设备,采取阻断措施(如通知防火墙阻断攻击源IP)。旁路部署的优势是不会影响网络正常运行,即使IPS故障,也不会导致网络中断;劣势是阻断响应速度较慢,可能无法及时拦截攻击。
单位部署建议:作为串联部署的补充,在重要网段(如服务器网段)的旁路部署IPS,重点监测该网段的攻击行为,实现精准防护。
3.主机型IPS(HIPS):部署在核心服务器、重要终端设备上,实时监测主机的系统操作、进程运行、文件修改等行为,识别主机层面的攻击行为(如恶意代码、未授权访问),并主动阻断攻击(如终止恶意进程、删除恶意文件、禁止未授权访问)。
单位部署建议:在核心业务服务器、数据库服务器等关键设备上部署主机型IPS,与网络型IPS配合,实现网络层面和主机层面的双重防护,提升防护效果。
四、实操应用:
1.IPS配置:根据单位网络实际,配置IPS的检测规则和阻断规则,更新攻击特征库和漏洞特征库(定期更新,确保能够识别最新的攻击和漏洞),设置阻断级别和阻断方式,避免误阻断正常流量。例如,对于明确的恶意攻击(如拒绝服务攻击、病毒攻击),设置为"立即阻断";对于不确定的异常行为,设置为"告警+手动阻断",避免误阻断正常办公流量。
2.联动配置:将IPS与防火墙、交换机、终端安全管理系统等设备进行联动,实现协同防护。例如,IPS检测到攻击源IP后,联动防火墙阻断该IP的访问;IPS检测到终端存在恶意代码后,联动终端安全管理系统删除恶意文件、终止恶意进程;IPS检测到漏洞后,联动漏洞扫描工具,提醒维护人员修复漏洞。
3.实时监测与维护:网络维护人员定期查看IPS的监测界面和阻断日志,关注攻击事件的数量、类型和趋势,分析攻击源的分布情况,排查网络防护的薄弱点。例如,发现某一外部IP频繁发起攻击,及时将该IP加入防火墙黑名单,长期阻断其访问;发现内部终端频繁触发IPS告警,排查该终端是否感染恶意代码,及时进行病毒查杀和系统加固。同时,定期对IPS设备进行维护,检查设备运行状态,更新设备固件,确保IPS设备正常运行。
4.误阻断处置:当IPS发生误阻断(如阻断正常办公流量、合法访问请求)时,维护人员需及时排查误阻断原因,调整IPS的检测规则和阻断规则,解除对合法流量的阻断,避免影响单位正常办公和业务开展。例如,IPS误阻断了人员访问单位内部OA系统的请求,需查看告警日志,确认该访问请求为合法请求后,调整IPS的检测规则,将OA系统的访问请求加入白名单,避免再次误阻断。
3.2.3.3 IDS与IPS的协同使用
IDS和IPS并非独立使用,而是需要协同配合,形成"检测-告警-阻断-复盘"的闭环防护体系,提升单位网络的整体防护能力。结合单位实际场景,两者的协同使用方法如下:
1. **部署协同:**在单位网络核心节点串联部署IPS,实现攻击的主动阻断;在核心交换机旁路、关键服务器上部署IDS,实现对网络层面和主机层面的全面监测,弥补IPS在终端内部攻击检测上的不足。例如,IPS拦截外部攻击数据包,IDS监测内部终端的异常行为和服务器的恶意操作,两者形成多层防护。
2. **日志协同:**将IDS和IPS的日志统一收集到日志审计系统,进行集中分析,通过对比两者的日志数据,精准定位攻击行为的完整流程(如攻击源、攻击路径、攻击目标、攻击结果),便于维护人员排查攻击原因、追溯攻击行为,同时为完善防护措施提供依据。例如,IPS阻断了某一SQL注入攻击,IDS同时监测到该攻击的前期端口扫描行为,通过结合两者日志,能够完整还原攻击过程,找到攻击源头。
3. **规则协同:**根据IDS的监测结果,优化IPS的检测规则和阻断规则。例如,IDS监测到一种新型攻击行为(未被IPS识别),维护人员及时分析该攻击的特征,将其添加到IPS的攻击特征库中,使IPS能够识别并阻断该新型攻击;同时,根据IPS的阻断日志,调整IDS的检测规则,提升IDS对同类攻击的检测精度。
4. **应急协同:**发生安全事件时,IDS负责全面监测攻击行为,收集攻击相关日志和数据;IPS负责主动阻断攻击,防止攻击扩散;维护人员结合两者的信息,快速处置安全事件,事后通过日志复盘,完善防护规则,防范类似事件再次发生。
3.2.4 数据备份与恢复
数据是单位的核心资产,一旦数据丢失或损坏(如恶意攻击、设备故障、自然灾害、人为误操作等),将对单位造成严重的经济损失和声誉影响。数据备份与恢复技术是保障数据可用性和完整性的最后一道防线,核心是通过定期备份数据,建立完善的备份体系,确保数据丢失后能够快速、完整地恢复,最大限度减少损失。结合单位实际场景,本节将详细讲解数据备份的原则、类型、工具使用方法,以及数据恢复的流程和应急处置技巧。
3.2.4.1 数据备份的核心原则(单位必遵循)
数据备份并非简单的复制数据,需遵循以下核心原则,确保备份数据的可用性、完整性和安全性,避免备份数据失效或无法使用。
1. **完整性原则:**备份数据必须完整,涵盖单位所有核心数据(如业务数据、公文、人员信息、财务数据、数据库数据等),确保备份数据能够完整还原原始数据,避免因备份不完整导致数据无法恢复。例如,备份业务系统时,需同时备份数据库数据、配置文件、日志文件,确保系统恢复后能够正常运行。
2. **可用性原则:**备份数据必须可使用,备份完成后,需定期进行恢复测试,验证备份数据的完整性和可用性,确保数据丢失后能够快速恢复。例如,每月进行一次小规模恢复测试,每季度进行一次全面恢复测试,排查备份数据的问题,及时修复。
3. **安全性原则:**备份数据需进行安全防护,防止备份数据被泄露、篡改或损坏。例如,备份数据采用AES加密存储,备份设备部署在安全环境中,禁止未授权人员访问备份数据;定期对备份设备进行防护加固,防止设备被入侵。
4. **定期性原则:**根据数据的重要程度和更新频率,制定定期备份计划,定期执行备份操作,确保备份数据与原始数据保持一致,避免因备份不及时导致数据丢失。例如,核心业务数据每天备份,普通办公数据每周备份,重要公文每月备份。
5. 多副本原则:对核心数据建立多份备份副本,存储在不同的设备、不同的地点,避免因单一备份设备故障、自然灾害(如火灾、洪水)导致所有备份数据丢失。例如,一份备份存储在本地服务器,一份备份存储在异地备份设备,一份备份存储在云备份平台。
3.2.4.2 数据备份的类型(适配单位场景)
结合单位数据的更新频率、重要程度和备份效率,常用的数据备份类型分为全量备份、增量备份、差异备份三种,三种类型可单独使用,也可组合使用,单位需根据实际需求选择合适的备份方式。
1. 全量备份( Full Backup )
核心定义:全量备份是指对单位所有核心数据(如整个数据库、所有文件、系统配置)进行完整的备份,备份所有数据的当前状态,生成一份完整的备份副本。全量备份的优势是备份数据完整,恢复时无需依赖其他备份,恢复速度快;劣势是备份时间长、占用存储空间大,适合数据量较小或重要程度极高的数据。
单位实操应用:每月对单位所有核心数据进行一次全量备份,存储在本地备份服务器和异地备份设备中,作为基础备份副本;新系统上线、重大数据更新后,立即进行一次全量备份,确保数据安全。例如,每月月底对业务数据库、财务数据、重要公文进行全量备份,备份完成后进行加密存储,标注备份时间和备份内容。
2. 增量备份( Incremental Backup )
核心定义:增量备份是指以上一次备份(可以是全量备份或增量备份)为基准,仅备份自上一次备份以来新增、修改的数据,不备份未发生变化的数据。增量备份的优势是备份时间短、占用存储空间小,备份效率高;劣势是恢复时需要依赖上一次备份(全量备份+所有增量备份),恢复流程复杂,恢复速度慢,一旦某一次增量备份丢失,后续增量备份将无法正常使用。
单位实操应用:适合数据更新频率高、数据量大的场景,例如,核心业务数据每天进行一次增量备份,以上一次全量备份或增量备份为基准,仅备份当天新增、修改的数据。例如,业务数据库每天凌晨进行增量备份,备份当天新增的业务数据和修改的内容,备份文件标注备份日期,与全量备份文件关联存储。
3. 差异备份( Differential Backup )
核心定义:差异备份是指以上一次全量备份为基准,仅备份自上一次全量备份以来新增、修改的数据,不备份未发生变化的数据。差异备份的优势是备份时间较短、占用存储空间适中,恢复时仅需要依赖上一次全量备份和最新一次差异备份,恢复流程比增量备份简单,恢复速度比增量备份快;劣势是备份效率比增量备份低,占用存储空间比增量备份大。
单位实操应用:适合数据更新频率中等、对恢复速度有一定要求的场景,例如,普通办公数据每周进行一次差异备份,以上一次全量备份为基准,备份本周新增、修改的办公文件;核心业务数据每3天进行一次差异备份,兼顾备份效率和恢复速度。
单位备份组合建议:采用"全量备份+增量备份"或"全量备份+差异备份"的组合方式,兼顾备份效率、存储空间和恢复速度。例如,核心业务数据:每月1日进行全量备份,每日进行增量备份;普通办公数据:每月1日进行全量备份,每周日进行差异备份。
3.2.4.3 数据备份工具的使用方法
结合单位不同的数据类型(文件、数据库、系统),选择合适的备份工具,确保备份操作简单、高效,备份数据安全、可用。常用的备份工具分为本地备份工具和第三方备份软件,以下结合单位实际场景,讲解常用工具的使用方法。
1. 本地备份工具(免费、简易,适合中小型单位)
(1)Windows系统自带备份工具(Backup and Restore):适合终端设备、小型服务器的文件备份和系统备份,操作简单,无需额外安装软件。
实操步骤:① 打开Windows系统"控制面板",找到"备份和还原"选项,点击"设置备份";② 选择备份目标位置(如外接硬盘、本地磁盘分区),建议选择非系统盘或外接存储设备,避免与原始数据存储在同一设备;③ 选择需要备份的文件和文件夹(如办公文件、敏感数据),或选择"备份整个系统";④ 设置备份计划(如每日、每周),点击"保存设置并运行备份",系统将按照计划自动执行备份操作;⑤ 备份完成后,可在"备份和还原"界面查看备份历史,进行恢复测试。
(2)数据库自带备份工具(如MySQL、SQL Server):适合数据库数据备份,能够精准备份数据库内容,支持全量备份、增量备份、差异备份。
以MySQL数据库为例,实操步骤:① 登录MySQL数据库管理工具(如Navicat),连接需要备份的数据库;② 右键点击数据库,选择"备份",选择备份类型(全量备份、增量备份);③ 设置备份文件名、备份路径(建议存储在备份服务器或外接存储设备),勾选"加密备份",设置备份密码;④ 点击"开始备份",备份完成后,生成备份文件(.sql格式);⑤ 定期执行备份操作,可设置自动备份计划(如通过Windows任务计划、Linux定时任务),确保备份及时。
2. 第三方备份软件(专业、高效,适合中大型单位)
常用第三方备份软件:Symantec Backup Exec、Veritas NetBackup、Acronis True Image等,支持文件、数据库、系统、虚拟机等多种数据类型的备份,具备加密、压缩、自动备份、异地备份等功能,适合单位核心数据的备份。
以Acronis True Image为例,实操步骤:① 安装Acronis True Image软件,注册并激活,登录软件界面;② 选择"备份"选项,点击"创建备份",选择备份类型(文件备份、磁盘备份、系统备份、数据库备份);③ 选择需要备份的数据源(如核心服务器磁盘、业务数据库、重要文件),设置备份目标位置(本地备份、异地备份、云备份);④ 配置备份参数,勾选"加密备份"(采用AES-256加密)、"压缩备份"(减少存储空间占用),设置备份计划(如每日凌晨备份、每周全量备份);⑤ 点击"开始备份",软件自动执行备份操作,备份完成后,生成备份报告,可查看备份状态;⑥ 定期进行恢复测试,点击"恢复"选项,选择备份文件,按照提示完成恢复操作,验证备份数据的可用性。
3. 备份存储管理
(1)备份存储设备选择:选择可靠性高、容量足够的存储设备,如磁盘阵列、外接硬盘、异地备份服务器、云备份平台等,避免使用不可靠的存储设备(如U盘、普通硬盘),防止备份数据丢失。
(2)备份文件管理:对备份文件进行分类管理,标注备份时间、备份类型、备份内容(如"2026-03-01 全量备份-业务数据库"),便于后续查找和恢复;定期清理过期备份文件(如保留最近6个月的备份文件),释放存储空间,避免存储空间不足。
(3)备份设备防护:对备份服务器、存储设备进行防护加固,部署杀毒软件、防火墙,禁止未授权访问;定期检查备份设备的运行状态,及时处理设备故障,确保备份设备正常运行。
3.2.4.4 数据恢复的流程及应急处置技巧
数据恢复是指当数据丢失、损坏或被篡改时,通过备份数据还原原始数据的过程,核心是快速、完整地恢复数据,最大限度减少损失。结合单位实际场景,数据恢复的流程分为常规恢复流程和应急恢复流程,同时提供针对性的应急处置技巧。
1. 常规数据恢复流程(适用于非紧急场景,如人为误删除、少量数据损坏)
(1)故障排查:确认数据丢失或损坏的原因(如误删除、文件损坏、数据库异常),明确丢失的数据范围和类型,判断是否需要进行数据恢复。
(2)备份查找:根据数据丢失的范围和类型,查找对应的备份文件(如误删除办公文件,查找最近的文件备份;数据库损坏,查找最近的数据库备份),确认备份文件的完整性和可用性。
(3)恢复操作:使用对应的备份工具,执行恢复操作。例如,误删除文件:通过Windows备份工具,找到对应的备份文件,选择"恢复",指定恢复路径,完成文件恢复;数据库损坏:通过MySQL备份工具,导入对应的备份文件(.sql格式),完成数据库恢复。
(4)恢复验证:恢复完成后,检查恢复的数据是否完整、是否与原始数据一致,测试数据的可用性(如打开文件、访问数据库、运行应用系统),确保恢复成功。
(5)日志记录:记录数据恢复的过程,包括故障原因、备份文件信息、恢复操作步骤、恢复结果等,便于后续复盘和追溯。
2. 应急数据恢复流程(适用于紧急场景,如服务器瘫痪、大规模数据丢失、恶意攻击导致数据损坏)
(1)应急响应:发现大规模数据丢失或服务器瘫痪后,立即启动应急处置预案,通知网络维护人员、相关业务部门,明确责任人,停止相关业务操作,防止数据进一步损坏。
(2)故障定位:快速排查故障原因(如服务器硬件故障、恶意攻击、自然灾害),判断数据丢失的范围和严重程度,确定恢复方案(如恢复到最近的全量备份、全量备份+增量备份)。
(3)紧急恢复:优先恢复核心业务数据和关键系统,使用备份工具快速执行恢复操作,缩短恢复时间,减少业务停滞损失。例如,服务器瘫痪后,先恢复核心业务数据库和应用系统,再恢复普通办公数据。
(4)恢复验证:恢复完成后,组织相关业务部门人员,全面检查恢复的数据和系统,确保数据完整、系统正常运行,能够正常开展业务。
(5)故障处置:排查故障根源,采取针对性的处置措施(如修复服务器硬件、加固系统防护、阻断攻击源),防止类似故障再次发生。
(6)复盘总结:应急恢复完成后,总结恢复过程中的问题和经验,完善应急处置预案和备份体系,提升数据恢复能力。
3. 应急处置技巧(单位实操重点)
(1)数据丢失后,立即停止对存储设备的写入操作(如禁止在丢失数据的磁盘上创建、修改文件),避免覆盖原始数据,提高数据恢复成功率。例如,误删除文件后,不要在该磁盘上保存新文件,立即执行恢复操作。
(2)如果备份数据存储在异地或云平台,确保备份数据能够正常访问,在本地设备故障时,可通过异地备份快速恢复数据。例如,本地服务器瘫痪后,通过异地备份服务器的备份文件,在备用服务器上恢复数据和系统。
(3)遇到复杂的数据恢复问题(如磁盘损坏、加密备份文件丢失密码),及时联系专业的数据恢复机构,避免自行操作导致数据无法恢复。
(4)定期开展数据恢复演练,模拟数据丢失场景(如误删除、服务器故障),测试恢复流程和备份数据的可用性,提升维护人员的应急处置能力,确保紧急情况下能够快速恢复数据。
(5)建立数据恢复责任制度,明确数据恢复的责任人、操作流程和时间要求,确保数据丢失后能够快速响应、及时恢复。
3.3 常见网络攻击技术与原理
网络攻击是指攻击者利用网络系统、终端设备、应用程序的漏洞,通过各种技术手段,非法访问、篡改、破坏网络资源和数据,影响网络和系统的正常运行,造成单位经济损失和信息泄露。作为网络维护人员,核心是能够快速识别各类常见网络攻击的原理、攻击特征和危害,掌握针对性的防御方法,及时发现并处置攻击行为。本节将重点讲解基础网络攻击、恶意代码攻击、Web攻击、内网渗透攻击四大类常见攻击,结合单位网络实际场景,拆解攻击原理和防御技巧,帮助维护人员精准识别、有效防御。
3.3.1 基础网络攻击
基础网络攻击是最常见、最基础的网络攻击类型,主要针对网络层、数据链路层,攻击手段简单、易实施,对单位网络的正常运行影响较大。常见的基础网络攻击包括Ping洪水、SYN Flood(拒绝服务攻击)、ARP欺骗、DNS劫持、端口扫描等,本节将详细讲解各攻击的原理、攻击特征、危害及单位防御方法。
3.3.1.1 Ping洪水(Ping Flood)攻击
1. 攻击原理:Ping洪水攻击属于拒绝服务攻击(DoS)的一种,攻击者通过向目标设备(如服务器、路由器、终端)发送大量的Ping请求(ICMP Echo Request)数据包,占用目标设备的CPU、内存和网络带宽,导致目标设备无法正常处理合法的网络请求,最终出现网络卡顿、系统瘫痪或无法访问的情况。Ping洪水攻击的核心是利用ICMP协议的漏洞,通过大量数据包耗尽目标设备的资源。
2. 攻击特征:
(1)目标设备的网络带宽被大量占用,正常网络访问速度急剧下降,甚至无法访问;
(2)目标设备的CPU、内存占用率急剧升高(如CPU占用率达到90%以上),系统运行缓慢;
(3)网络设备(如防火墙、路由器)的日志中,出现大量来自同一IP或多个IP的ICMP Echo Request数据包;
(4)使用Ping命令测试目标设备时,出现严重丢包或超时现象。
3. 攻击危害:导致单位核心服务器、网络设备无法正常运行,影响日常办公和业务开展;大量占用网络带宽,导致整个局域网网络卡顿,影响所有人员的网络使用;严重时,可能导致服务器瘫痪,数据丢失。
4. 单位防御方法:
(1)限制ICMP数据包:在防火墙、路由器上配置规则,限制ICMP Echo Request数据包的数量和频率,禁止外部IP向单位核心设备发送大量Ping请求;例如,设置每秒钟仅允许接收10个ICMP数据包,超过限制则丢弃。
(2)关闭不必要的ICMP响应:在核心服务器、网络设备上关闭ICMP Echo响应功能,使目标设备不响应外部的Ping请求,让攻击者无法通过Ping测试目标设备的存活状态,也无法发起Ping洪水攻击。例如,Windows服务器通过修改注册表,关闭ICMP Echo响应;路由器、防火墙禁用ICMP Echo功能。
(3)带宽限制:通过防火墙、路由器配置带宽控制规则,限制单一IP的带宽占用,防止攻击者通过大量Ping数据包占用全部带宽。
(4)实时监测:通过IDS、IPS实时监测网络流量,发现大量ICMP数据包时,及时告警并阻断攻击源IP;定期查看网络设备日志,排查异常ICMP请求。
3.3.1.2 SYN Flood(拒绝服务攻击)
1. 攻击原理:SYN Flood攻击是最常见的拒绝服务攻击(DoS)之一,利用TCP协议的三次握手漏洞发起攻击。正常的TCP三次握手流程为:客户端发送SYN请求(建立连接请求)→ 服务器发送SYN+ACK响应(确认连接请求)→ 客户端发送ACK响应(确认建立连接),完成连接建立。攻击者伪造大量的客户端IP地址,向目标服务器发送大量的SYN请求,服务器收到请求后,会发送SYN+ACK响应,但由于攻击者伪造的IP地址无法发送ACK响应,服务器会一直等待客户端的ACK响应,占用服务器的连接资源(如端口、内存),当连接资源被耗尽时,服务器无法处理合法的连接请求,最终出现系统瘫痪或无法访问的情况。
2. 攻击特征:
(1)目标服务器的TCP连接队列被占满,大量处于SYN_RECV状态的连接(未完成三次握手的连接);
(2)服务器的CPU、内存占用率急剧升高,系统运行缓慢,甚至出现卡顿、死机;
(3)合法用户无法访问服务器提供的服务(如Web服务、业务系统),出现连接超时或无法连接的情况;
(4)网络设备日志中,出现大量来自不同IP地址的SYN请求数据包,且这些IP地址无法正常响应ACK。
3. 攻击危害:比Ping洪水攻击的危害更大,能够直接导致单位核心服务器瘫痪,业务系统无法正常运行,造成严重的经济损失;大量占用服务器资源,导致服务器无法处理合法请求,影响单位日常办公和业务开展。
4. 单位防御方法:
(1)启用SYN Cookie:在服务器、防火墙中启用SYN Cookie功能,当服务器收到SYN请求时,不立即分配连接资源,而是生成一个SYN Cookie(随机字符串),发送给客户端;客户端发送ACK响应时,需携带该SYN Cookie,服务器验证通过后,才分配连接资源,从而避免被大量伪造的SYN请求耗尽资源。
(2)限制TCP连接数:在服务器、防火墙中配置规则,限制单一IP的TCP连接数和SYN请求频率,禁止单一IP发送大量SYN请求;例如,设置单一IP每秒钟最多发送5个SYN请求,超过限制则阻断该IP。
(3)缩短SYN超时时间:修改服务器的TCP连接超时时间(如将SYN_RECV状态的超时时间从默认的60秒缩短至10秒),减少服务器等待ACK响应的时间,释放连接资源,避免资源被耗尽。
(4)部署抗DDoS设备:对于中大型单位或核心服务器,部署专业的抗DDoS设备,实时监测并拦截SYN Flood攻击,过滤伪造的SYN请求数据包,保护服务器安全。
(5)实时监测与阻断:通过IPS、IDS实时监测网络流量,发现大量异常SYN请求时,及时告警并阻断攻击源IP;定期查看服务器的TCP连接状态,发现大量SYN_RECV连接时,及时处置。
3.3.1.3 ARP欺骗(ARP Spoofing)
1. 攻击原理:ARP(地址解析协议)的作用是将IP地址转换为MAC地址,实现设备之间的通信。ARP欺骗攻击是攻击者伪造ARP响应数据包,向目标设备(如终端、路由器)发送虚假的IP-MAC对应关系,篡改目标设备的ARP缓存表,使目标设备将正常的网关IP或其他设备IP对应的MAC地址,替换为攻击者的MAC地址,从而拦截目标设备的网络流量,窃取敏感数据,或导致目标设备无法正常访问网络。ARP欺骗攻击主要发生在单位局域网内部,攻击手段隐蔽,易实施。
2. 攻击特征:
(1)局域网内部分终端出现网络卡顿、无法访问互联网或内部服务器的情况,重启终端后暂时恢复,不久后再次出现问题;
(2)终端的ARP缓存表中,网关IP对应的MAC地址不是路由器的真实MAC地址,而是攻击者的MAC地址;
(3)网络设备(如交换机)的日志中,出现大量异常的ARP响应数据包,同一IP地址对应多个MAC地址;
(4)部分终端出现敏感数据泄露的情况(如账号密码被窃取),但无法找到明确的攻击源。
3. **攻击危害:**拦截单位内部终端的网络流量,窃取敏感数据(如人员账号密码、业务数据、办公公文);导致局域网内部分终端无法正常访问网络,影响日常办公;攻击者可通过ARP欺骗,进一步发起其他攻击(如DNS劫持、恶意代码传播)。
4. 单位防御方法:
(1)静态ARP绑定:在路由器、交换机、终端设备上配置静态ARP绑定,将网关IP、核心服务器IP与对应的MAC地址进行绑定,禁止ARP缓存表被篡改。例如,在终端设备上,通过命令行执行"arp -s 网关IP 网关MAC",绑定网关IP和MAC地址;在交换机上,配置IP-MAC绑定规则,固定IP与MAC的对应关系。
(2)启用ARP防护功能:在核心交换机、路由器上启用ARP防护功能(如ARP欺骗检测、ARP报文过滤),实时监测异常的ARP响应数据包,发现ARP欺骗行为时,及时告警并阻断攻击者的MAC地址。
(3)定期检查ARP缓存表:网络维护人员定期检查终端设备、网络设备的ARP缓存表,查看IP-MAC对应关系是否正常,发现异常MAC地址时,及时排查攻击源,断开攻击者的网络连接。
(4)终端防护:在终端设备上部署终端安全管理软件,监测ARP缓存表的变化,发现ARP欺骗行为时,及时提醒用户并修复ARP缓存表;禁止人员在办公终端上安装ARP欺骗工具,防止内部人员发起攻击。
3.3.1.4 DNS劫持(DNS Hijacking)
1. **攻击原理:**DNS(域名系统)的作用是将域名(如www.xxx.com)转换为IP地址,实现用户对网站的访问。DNS劫持攻击是攻击者通过篡改DNS服务器的解析记录,或伪造DNS响应数据包,将用户请求的域名解析到错误的IP地址(如攻击者控制的服务器、恶意网站),从而拦截用户的访问请求,窃取敏感数据,或强制用户访问恶意网站。DNS劫持攻击可分为内网DNS劫持和外网DNS劫持,单位内部主要面临内网DNS劫持的威胁。
2. 攻击特征:
(1)用户访问单位内部系统或外部合法网站时,被跳转到陌生的恶意网站,或出现"无法访问""页面不存在"的提示;
(2)通过命令行执行"nslookup 域名",查询到的IP地址与域名的正常IP地址不一致;
(3)单位内部DNS服务器的解析日志中,出现异常的解析记录,域名被解析到错误的IP地址;
(4)部分用户反映,访问某些网站时,出现账号密码被盗、设备被植入恶意代码的情况。
3. **攻击危害:**强制用户访问恶意网站,导致终端设备被植入恶意代码(如病毒、木马);窃取用户的账号密码、敏感数据(如业务数据、财务数据);篡改单位内部系统的解析记录,导致人员无法访问内部系统,影响业务开展;损害单位声誉,导致用户对单位的信任度下降。
4. 单位防御方法:
(1)配置可靠的DNS服务器:单位内部DNS服务器优先使用官方DNS服务器(如阿里云DNS、百度DNS),或搭建自己的内部DNS服务器,禁止使用不可靠的外部DNS服务器;定期检查DNS服务器的解析记录,及时删除异常解析记录。
(2)启用DNSSEC(DNS安全扩展):在DNS服务器上启用DNSSEC功能,对DNS解析记录进行数字签名,确保解析记录的真实性和完整性,防止解析记录被篡改。
(3)静态DNS解析:在核心服务器、终端设备上配置静态DNS解析,将单位内部系统的域名与对应的IP地址进行绑定,避免被DNS劫持篡改解析记录。例如,在终端设备的hosts文件中,添加"IP地址 域名"的对应关系,强制域名解析到正确的IP地址。
(4)监测DNS解析:通过IDS、IPS实时监测DNS解析流量,发现异常的DNS响应数据包(如解析到错误IP地址)时,及时告警并阻断攻击源;定期检查用户的DNS解析情况,发现异常解析时,及时排查原因。
(5)终端防护:在终端设备上部署杀毒软件、终端安全管理系统,拦截恶意网站的访问,检测并清除因DNS劫持植入的恶意代码;提醒人员,遇到陌生的跳转页面时,不要输入账号密码,及时反馈给网络维护人员。
3.3.1.5 端口扫描(Port Scanning)
1. **攻击原理:**端口扫描是攻击者通过向目标设备(如服务器、终端、网络设备)发送端口探测数据包,检测目标设备的开放端口和服务,获取目标设备的系统信息、应用程序版本等,为后续的攻击(如漏洞利用、非法访问)做准备。端口扫描本身不直接造成危害,但它是攻击者发起后续攻击的前提,属于攻击的"侦察阶段",危害不可忽视。
2. 攻击特征:
(1)目标设备的日志中,出现大量来自同一IP或多个IP的端口探测数据包,涉及多个端口(如135、139、445、80、443等);
(2)目标设备的网络流量出现异常,有大量来自外部或内部的陌生IP的连接请求;
(3)IDS、IPS监测到大量端口扫描行为,生成相关告警信息(如"端口扫描攻击""异常端口访问");
(4)部分端口出现异常的访问请求,如未开放的端口被频繁探测。
3. **攻击危害:**攻击者通过端口扫描,获取目标设备的开放端口和服务信息,找到设备的漏洞(如端口对应的服务存在漏洞),进而发起后续攻击(如SQL注入、恶意代码植入、非法访问);泄露目标设备的系统信息、应用程序版本,增加设备被攻击的风险;大量的端口扫描数据包,会占用目标设备的网络资源,导致网络卡顿。
4. 单位防御方法:
(1)端口限制:关闭目标设备上不必要的端口,仅开放必要的端口(如前文3.2.1.3所述),减少攻击面,使攻击者无法通过端口扫描找到可利用的端口。
(2)IP地址过滤:在防火墙、路由器上配置IP地址过滤规则,禁止外部陌生IP向单位核心设备发送端口探测数据包;仅允许授权IP(如网络维护人员的IP)进行端口扫描(用于日常巡检)。
(3)启用端口扫描防护:在IDS、IPS上启用端口扫描防护功能,设置端口扫描检测规则,发现端口扫描行为时,及时告警并阻断攻击源IP;例如,检测到某一IP在短时间内探测多个端口,立即阻断该IP的访问。
(4)定期端口扫描巡检:网络维护人员定期使用端口扫描工具(如Nmap)对单位内部设备进行端口扫描,排查开放的不必要端口和端口漏洞,及时关闭端口、修复漏洞,提前防范攻击者的端口扫描和后续攻击。
(5)隐藏设备信息:修改目标设备的服务banner信息,隐藏系统版本、应用程序版本等信息,使攻击者无法通过端口扫描获取设备的详细信息,增加攻击难度。例如,修改Web服务器的banner信息,隐藏Apache、Nginx的版本号。
3.3.2 恶意代码攻击
恶意代码是指攻击者编写的、具有恶意意图的程序(如病毒、木马、蠕虫、勒索病毒等),通过各种途径(如邮件附件、恶意链接、U盘、软件下载)进入单位终端设备和服务器,窃取敏感数据、破坏系统、控制设备,对单位网络安全造成严重威胁。恶意代码攻击具有传播速度快、隐蔽性强、危害大的特点,是单位网络安全防护的重点。本节将详细讲解各类恶意代码的攻击流程、隐藏方式,以及针对单位终端、服务器的攻击场景和初步处置方法。
3.3.2.1 病毒(Virus)
1. **攻击流程:**病毒是一种能够自我复制、传播的恶意代码,攻击流程主要分为四个阶段:① 感染阶段:病毒通过邮件附件、U盘、恶意链接、软件漏洞等途径,进入目标设备(终端、服务器);② 潜伏阶段:病毒进入设备后,不立即发作,隐藏在设备的系统文件、应用程序中,躲避杀毒软件的检测;③ 发作阶段:当满足触发条件(如特定时间、特定操作、特定文件被打开)时,病毒开始发作,执行恶意操作(如破坏文件、窃取数据、占用系统资源);④ 传播阶段:病毒通过设备的文件、网络、U盘等途径,自我复制并传播到其他设备,扩大攻击范围。
2. 隐藏方式:
(1)隐藏在系统文件中:将病毒代码嵌入到系统核心文件(如.exe、.dll文件)中,伪装成正常系统文件,躲避杀毒软件检测;
(2)伪装成正常软件:将病毒打包成正常软件(如办公软件、娱乐软件),用户下载安装后,病毒自动运行;
(3)加密自身代码:对病毒代码进行加密处理,使杀毒软件无法识别病毒特征,避免被检测和清除;
(4)修改注册表:修改设备的注册表,设置病毒开机自启,确保病毒能够持续在设备中运行,不易被用户发现。
3. 针对单位的攻击场景:
(1)终端攻击:人员通过邮件附件、恶意链接、U盘等途径,感染病毒,导致终端设备运行缓慢、文件被破坏、敏感数据(如办公文件、账号密码)被窃取;病毒通过终端设备,传播到局域网内其他终端,导致大规模感染。
(2)服务器攻击:攻击者通过服务器的软件漏洞、弱密码等途径,将病毒植入服务器,导致服务器系统瘫痪、业务数据被破坏、数据库被篡改;病毒通过服务器,传播到整个局域网,影响所有终端和设备。
4. 初步处置方法:
(1)隔离感染设备:立即断开感染病毒的终端、服务器的网络连接,防止病毒传播到其他设备;禁止使用感染病毒的U盘、移动硬盘等存储设备,避免病毒扩散。
(2)病毒查杀:启动终端、服务器上的正版杀毒软件,进行全盘病毒查杀,清除已感染的病毒;如果杀毒软件无法清除病毒,可使用专业的病毒清除工具,或联系杀毒软件厂商寻求技术支持。
(3)修复系统和文件:病毒查杀完成后,检查系统文件、应用程序是否被破坏,使用系统自带的修复工具(如Windows系统的sfc命令)修复受损的系统文件;恢复被病毒破坏的文件(通过备份数据恢复)。
(4)漏洞修复:排查设备感染病毒的原因(如软件漏洞、弱密码),及时修复系统漏洞、软件漏洞,修改弱密码,防止病毒再次感染。
(5)排查其他设备:对与感染设备有过连接的终端、服务器、存储设备进行全面病毒查杀,排查是否被病毒感染,确保整个局域网的安全。
3.3.2.2 木马(Trojan)
1. **攻击流程:**木马是一种伪装成正常程序、具有隐蔽性的恶意代码,核心目的是窃取敏感数据、控制目标设备,攻击流程主要分为四个阶段:① 伪装阶段:将木马伪装成正常软件(如办公软件、游戏、插件),或隐藏在邮件附件、恶意链接中,诱导用户下载安装;② 植入阶段:用户下载安装伪装后的程序后,木马自动植入目标设备,隐藏运行,不被用户发现;③ 控制阶段:攻击者通过木马的控制端,远程控制目标设备,获取设备的操作权限,查看设备中的文件、监控用户操作;④ 窃取阶段:攻击者通过木马,窃取目标设备中的敏感数据(如账号密码、业务数据、财务数据),或上传恶意代码,进一步扩大攻击范围。
2. 隐藏方式:
(1)伪装成正常进程:木马运行时,伪装成系统正常进程(如explorer.exe、svchost.exe),用户通过任务管理器难以区分;
(2)隐藏文件:将木马文件设置为隐藏属性,修改文件名称,伪装成系统文件或正常软件文件,躲避用户和杀毒软件的检测;
(3)注册表隐藏:修改设备注册表,设置木马开机自启,同时隐藏木马的注册信息,避免被用户发现和删除;
(4)进程注入:将木马代码注入到正常的系统进程或应用程序进程中,依托正常进程运行,不易被杀毒软件检测和清除。
3. 针对单位的攻击场景:
(1)终端攻击:人员下载安装伪装成办公软件、插件的木马,导致终端设备被攻击者远程控制,办公文件、账号密码(如办公系统、业务系统账号)被窃取;攻击者通过终端设备,进一步访问单位内部服务器,窃取核心业务数据。
(2)服务器攻击:攻击者通过服务器的弱密码、软件漏洞,将木马植入服务器,远程控制服务器,获取服务器的操作权限,篡改业务数据、数据库,或利用服务器发起其他攻击(如攻击其他单位设备)。
4. 初步处置方法:
(1)断开网络连接:立即断开被木马感染的终端、服务器的网络连接,防止攻击者继续控制设备、窃取数据,避免木马传播到其他设备。
(2)结束木马进程:打开任务管理器,排查异常进程(如占用CPU、内存过高的进程、陌生进程),确认是木马进程后,结束该进程;同时,检查注册表,删除木马的开机自启项,防止木马重启后继续运行。
(3)清除木马文件:使用正版杀毒软件进行全盘扫描,清除木马文件;如果杀毒软件无法清除,可手动查找木马文件(根据进程路径、文件名称),删除木马文件,同时删除相关的注册表项。
(4)修改账号密码:被木马感染的设备,其账号密码(如系统账号、办公系统账号、业务系统账号)可能已被窃取,需立即修改所有相关账号的密码,设置复杂密码,避免攻击者再次登录。
(5)系统加固:修复设备的系统漏洞、软件漏洞,关闭不必要的服务和端口,部署终端安全管理系统,防止木马再次植入。
3.3.2.3 蠕虫(Worm)
1. **攻击流程:**蠕虫是一种能够自我复制、自动传播的恶意代码,不需要依赖用户操作(如下载、安装),即可通过网络自动传播,攻击流程主要分为三个阶段:① 感染阶段:蠕虫通过网络漏洞(如系统漏洞、软件漏洞),自动进入目标设备(终端、服务器);② 复制阶段:蠕虫进入设备后,自我复制,生成大量的蠕虫副本;③ 传播阶段:蠕虫通过网络(如局域网、互联网),自动传播到其他存在相同漏洞的设备,扩大攻击范围,同时执行恶意操作(如占用系统资源、破坏文件、窃取数据)。
2. 隐藏方式:
(1)隐藏在系统目录中:将蠕虫副本隐藏在系统的系统目录、临时目录中,伪装成系统文件,躲避用户和杀毒软件的检测;
(2)利用漏洞隐藏:通过系统漏洞、软件漏洞,将蠕虫代码注入到系统内核中,隐藏运行,不易被检测和清除;
(3)加密传播:对蠕虫副本进行加密处理,避免在传播过程中被杀毒软件识别和拦截。
3. 针对单位的攻击场景:
(1)局域网大规模感染:蠕虫通过单位局域网的系统漏洞、软件漏洞,自动传播到所有存在漏洞的终端和服务器,导致大量设备被感染,占用网络带宽和系统资源,使整个局域网网络卡顿、设备瘫痪。
(2)服务器瘫痪:蠕虫感染核心服务器后,大量复制自身,占用服务器的CPU、内存和存储空间,导致服务器系统瘫痪,业务数据被破坏,业务系统无法正常运行。
4. 初步处置方法:
(1)切断传播路径:立即断开被蠕虫感染的设备的网络连接,同时关闭局域网内的核心网络设备(如交换机、路由器),切断蠕虫的传播路径,防止蠕虫进一步扩散。
(2)漏洞修复:排查蠕虫感染的漏洞(如系统漏洞、软件漏洞),立即为所有终端、服务器安装对应的补丁,修复漏洞,从源头阻止蠕虫感染。
(3)蠕虫清除:使用正版杀毒软件、专业的蠕虫清除工具,对所有被感染的设备进行全盘扫描,清除蠕虫副本;对于无法清除的设备,可重装系统(重装前备份重要数据),彻底清除蠕虫。
(4)恢复系统和数据:蠕虫清除完成后,修复被破坏的系统文件和应用程序,通过备份数据恢复被破坏的业务数据、办公文件。
(5)网络监测:恢复网络连接后,通过IDS、IPS实时监测网络流量,排查是否有残留的蠕虫传播行为,确保蠕虫彻底被清除。
3.3.2.4 勒索病毒(Ransomware)
1. **攻击流程:**勒索病毒是一种危害性极大的恶意代码,核心目的是通过加密用户的文件,向用户索要赎金,攻击流程主要分为四个阶段:① 植入阶段:通过邮件附件、恶意链接、U盘、软件漏洞等途径,将勒索病毒植入目标设备(终端、服务器);② 加密阶段:病毒植入后,自动扫描设备中的文件(如办公文件、业务数据、数据库文件),使用加密算法(如AES、RSA)对文件进行加密,使文件无法打开;③ 勒索阶段:加密完成后,向用户弹出勒索提示(如弹窗、文本文件),要求用户支付赎金(通常为比特币等虚拟货币),承诺支付赎金后提供解密密钥;④ 持续威胁:如果用户不支付赎金,病毒可能会删除加密文件,或进一步加密更多文件,扩大危害。
2. 隐藏方式:
(1)伪装成正常文件:将勒索病毒伪装成邮件附件、办公文件、软件安装包,诱导用户打开或安装;
(2)加密自身代码:对勒索病毒代码进行加密处理,躲避杀毒软件的检测,确保病毒能够成功植入设备并执行加密操作;
(3)禁用安全软件:病毒运行后,自动禁用设备上的杀毒软件、防火墙等安全工具,防止被检测和清除;
(4)修改系统设置:修改设备的系统设置,禁止用户恢复文件、修改注册表,确保加密文件无法被轻易解密。
3. 针对单位的攻击场景:
(1)终端文件加密:人员感染勒索病毒后,终端设备中的办公文件、敏感数据(如人员信息、业务报表)被加密,无法打开,影响人员正常办公;如果人员支付赎金,可能导致单位资金损失,同时无法保证能够成功解密文件。
(2)服务器文件加密:勒索病毒感染核心服务器后,业务数据库、核心业务数据、公文等被加密,导致业务系统无法正常运行,单位业务停滞,造成严重的经济损失;例如,财务服务器被感染,财务数据被加密,无法进行财务核算、付款等操作。
4. 初步处置方法(核心:不支付赎金):
(1)隔离感染设备:立即断开被勒索病毒感染的终端、服务器的网络连接,禁止使用感染病毒的U盘、移动硬盘等存储设备,防止病毒传播到其他设备,加密更多文件。
(2)禁用病毒进程:打开任务管理器,排查勒索病毒相关的进程(如陌生进程、占用CPU过高的进程),结束该进程;同时,禁用病毒的开机自启项,防止病毒重启后继续加密文件。
(3)备份加密文件:对被加密的文件进行备份(存储在未感染病毒的设备中),避免病毒删除加密文件,为后续解密提供条件。
(4)尝试解密:联系专业的网络安全机构、杀毒软件厂商,寻求解密帮助,使用专业的解密工具尝试解密文件;同时,查看是否有公开的解密密钥(部分勒索病毒的解密密钥会被安全机构公开)。
(5)恢复数据:如果无法解密文件,通过备份数据恢复被加密的文件(这也是为什么定期备份数据至关重要);重装被感染的设备系统,修复漏洞,防止病毒再次感染。
(6)排查攻击源头:排查勒索病毒的植入途径(如邮件附件、软件漏洞),及时关闭攻击源头,修复漏洞,加强人员的安全意识培训,防止再次感染。
3.3.2.5 单位恶意代码防护核心要点
1.部署安全软件:为所有终端、服务器部署正版杀毒软件、终端安全管理系统,定期更新病毒库,开启实时防护功能,及时检测和清除恶意代码。
2.定期更新补丁:及时为终端、服务器安装系统补丁、软件补丁,修复系统漏洞和软件漏洞,从源头防止恶意代码植入。
3.加强人员培训:定期开展人员安全意识培训,提醒人员不要打开陌生邮件附件、不要点击恶意链接、不要插入不明来源的U盘、不要下载非官方软件,避免感染恶意代码。
4.严格控制设备接入:禁止未授权的终端、U盘、移动硬盘接入单位局域网,防止恶意代码通过外部设备传播。
5.定期数据备份:定期对单位核心数据进行备份,建立多副本备份体系,确保恶意代码攻击导致文件加密或损坏时,能够通过备份数据快速恢复,减少损失。