第一节网络安全概述

一.网络空间安全

网络空间：一个由信息基础设施组成相互依赖的网络。 ---- 海陆空天（大海、陆

地、天空、航天）

通信保密阶段 ---- 计算机安全 ----- 信息系统安全 ----- 网络空间安全

计算机安全：开始秉持着“严于律己，宽以待人”信条，基于TCP/IP协议传送信息

当从蠕虫病毒出现，具有传染性的病毒，出现要保证安全的意识

二、信息安全概述

Ⅰ.信息安全现状及挑战

A.网络空间安全市场在中国潜力无穷

B.数字化时代威胁升级

比如：

1. 勒索病毒 ---- 具有蠕虫特性（ 传染性 ）

五个阶段：

锁定设备、不加密数据 --- 2008年以前

加密数据、交付赎金后解密 --- 2013年前后

攻陷单点后，横向扩散 --- 2017年前后

加密货币的出现改版勒索格局

RaaS模式初见规模

图标记忆

传播方式：

钓鱼软件、蠕虫式传播、恶意软件捆绑、暴力破解、Exploit Kit分发

勒索病毒攻击链分析

特点：

针对攻击者：传播入口多、传播技术隐藏、勒索产业化发展

针对受害者：安全状况看不清、安全设备防不住、问题处置不及时

2.APT 攻击 --- 平昌冬奥会遭受钓鱼邮件攻击

APT 攻击 --- 高级持续性威胁

        例子：zheng'wang'shi'jian

        木马病毒 --- 以控制为目的

        蠕虫病毒 --- 以破坏为目的

3. 网络空间安全 --- 棱镜门事件爆发

4. 数据泄露

5. 个人信息泄露

C.传统安全防护逐步失效

变种僵尸网络病毒/木马/蠕虫病毒，这些病毒是传统的防火墙、IPS、杀毒软

件等级与特征库的安全检测无法过滤的。 --- 可通过U盘带入、BYOD带入、

恶意的内部用户、零日漏洞、APT攻击

D.安全风险能见度不足

1.看不清资产 ---- 比如公司给员工配置电脑，可以连接公司网络，但是如果员

工手机知道WiFi密码后，将手机连入，就带入了新的业务，这是不能完全知

道的

2.看不见新型威胁：水坑攻击、鱼叉邮件攻击、零日漏洞攻击、其他攻击水坑攻击：是一种网络攻击方法，攻击者通过分析受害者的上网活动规 律，寻找受害者经常访问的网站的弱点，并在这些网站上部署恶意程 序。当受害者访问这些被部署了恶意程序的网站时，就会被感染。这种 攻击利用的是受害者对网站的信任，因此更难被发现。

恶意程序：一般胡具备以下多个或全部特点

特点：

        非法性 ---- 软件自动启用

        隐蔽性

        潜伏性

        可触发性

        表现性

        破坏性

        传染性

        针对性 ---- 针对的对象会不一样；例如：震网病毒针对的是操

        作系统

        变异性

        不可预见性 --- 对其病毒造成的破坏不确定， 看不见内网潜藏风险：黑客内部潜伏后预留的后门、伪装合法用户的违规操 作行为、封装在正常协议中的异常数据外发、看不见的内部人员违规操作

E.缺乏自动化防御手段

F.网络安全监管标准愈发严苛

1.《网络安全法》：2017年正式生效

《信息安全技术网络安全等级保护基本要求》：2019年05月

2.信息安全：防止对任何数据进行未授权访问的措施，或者防止造成信息有意无

意泄露、破坏、丢失等问题的发生，让数据处于远离危险、免于威胁的状态或特

性

3.网络安全：计算机网络环境下的信息安全。

4.常见的网络安全术语

注意：

a.漏洞是客观存在的，要与漏洞利用exploit区分

b.0day、1day（当0day漏洞被公开后——补丁修复之间的时间）、

nday（厂商已经发布了针对该漏洞的补丁，并且该补丁已经存在一段时

间）

c.后门有好坏之分

d.攻击与入侵：一个是手段，一个是目的

Ⅱ.信息安全的脆弱性及常见安全攻击

A.网络环境的开放性

B.协议栈的脆弱性及常见攻击

C.协议栈自身的脆弱性

D.常见的安全风险

E.网络的基本攻击模式 --- 主动威胁【篡改（完整性）+中断（可用性）+伪造

（真实性）】和被动威胁（机密性）

1.物理层 --- 物理攻击

        指攻击者直接破坏网络的各种物理设备，比如服务器设施、或者网络的传输

通信设施等

        设备破坏攻击的目的主要是为了中断网络服务

        物理设备窃听 ：光纤窃听、红外监听

        自然灾害 ：高温、低温、洪涝、龙卷风、暴雨、地震、海啸、雷电等。

        处理办法 ：建设异地灾备数据中心。

2.链路层

        a.交换机泛红攻击 --- 先记后发 --- 防御方法：将 IP 地址和 MAC 地址写固定

        交换机中存在着一张记录着MAC 地址的表 ，为了完成数据的快速转发，该表具有自动学习机制；泛洪攻击 即是攻击者利用这种学习机制不断发送不同的 MAC 地址给交换

机，填满整个 MAC 表，此时交换机只能进行数据广播，攻击者凭此获得信息。

        b.ARP欺骗 ---- 防御方法：将 IP 地址和 MAC 地址写固定

3.网络层 --- ICMP攻击

4.传输层 --- TCP SYN Flood攻击

         面向连接 --- 要求通信双方在进行数据传输前先建立一个连接 ---- 用的是四端

口（ ssrcip 、 dip 、 srcport 、 dport ）五端口多了一个协议

        SYN报文是 TCP 连接的第一个报文，攻击者通过大量发送 SYN 报文，造成大量

未完全建立的 TCP 连接，占用被攻击者的资源。 ---- 拒绝服务攻击

解决方法：

1.使用代理防火墙 --- 每目标IP代理阈值，每目标IP丢包阈值

2.首包丢包 --- 为了确保所有的数据包都能到达服务器，设计了一个重传 机制。真实的客户端访问，在一定的时间内如果没有收到服务器的回 复，将会再次发送SYN报文，但攻击机制通常不会再重发。所以丢弃首 次SYN报文后，就相当于过滤掉了虚假的客户端访问，进而防御了伪造 源IP进行的SYN Flood攻击，保障了服务器的正常运行。

3.SYN cookie --- 用于抵御SYN Flood攻击，TCP连接的建立过程。它通过 将一些关键信息编码到SYN-ACK包的初始化序列号中，从而在不消耗系 统资源的情况下处理大量的半开接。

5.应用层 ---- DNS欺骗攻击

DNS数据被篡改，“深信服“变"三信服"

Ⅲ操作系统的脆弱性及常见攻击

A.操作系统自身的漏洞

        人为原因：在编写程序过程中，为直线不可告人的目的，在程序代码的隐藏 处保留后门

        客观原因：受编程人员的能力，经验和单身狗hi安全技术所限，在程序中难 免会有不足之处，轻则影响程序效率，重则导致非授权的用户的权限提升

        硬件原因：由于硬件原因，是编程人员无法弥补硬件的漏洞，从而使硬件的 问题通过软件表现缓存区域溢出攻击，利用编写不够严谨的程序，通过向程序的缓冲区写入超 过预定长度的数据，造成缓存的溢出，从而破坏程序的堆栈，导致程序执行 流程的改变

        危害：最大数量的漏洞类型、漏洞危害等级高

        防御手段：

                用户：补丁、防火墙

                开发人员：编写二安全代码、对输入数据进行验证、使用相对安全的函 数

                系统：缓冲区不可执行技术、虚拟化技术

B.中断的脆弱性及常见攻击

        常见攻击

                勒索病毒（同上）

                挖矿病毒：

                        定义：一种恶意程序，可自动传播，在未授权的情况下，占用系统资源，为攻击者谋利，使得受害者机器性能明显下降

                        特点：占用 CPU 或 GPU 等计算资源、自动建立后门、创建混淆进程、定期改变进程名与PID 、扫描 ssh 文件感染其他机器。

                        危害：占用系统资源、影响系统正常使用。

                特洛伊木马：

                        定义：完整的木马程序一般由两个部份组成：服务器程序与控制器程序。

                        特点：注入正常程序中，当用户执行正常程序时，启动自身。自动在任务管理器中隐藏，并以“ 系统服务 ” 的方式欺骗操作系统。包含具有未公开并且可能产生危险后的功能的程序。具备自动恢复功能且打开特殊端口。

                        危害：窃取隐私，影响用户使用体验。

                僵尸网络：

                        定义：采用一种或多种传播手段，将大量主机感染僵尸病毒程序，从而在控制者和被感染主机之间所形成的一个可一对多控制的网络；

                         特点：可控的网络，有一定的分布性，随着 bot 程序的不断传播而不断有新位置的僵尸计算机系统添加到这个网中，可以一对多地执行相同地恶意行为

                        危害：拒绝服务攻击；发送垃圾邮件；窃取秘密；滥用资源；僵尸

网络挖矿

图表记忆：

其他攻击

1. 社工攻击

                原理：社会工程攻击，是一种利用“社会工程学 ” 来实行地网络攻击行为；

                防御手段：定期更换各种系统账号密码，使用高强度密码等；

2.跳板攻击

                原理：攻击者通常并不直接从自己的系统向目标发动攻击，而是先攻破若干中间系统, 让它们成为 “ 跳板 ” ，再通过这些 “ 跳板 ” 完成攻击行动。

                防御手段：安装防火墙，控制流量进出。系统默认不使用超级管理员用户登录，使用普通用户登录，且做好权限控制。

3.钓鱼式攻击/鱼叉式钓鱼攻击

                原理：通过伪装成信誉卓著的法人媒体以获得如用户名、密码和信用卡明细等个人敏感信息的犯罪诈骗过程。

           鱼叉式网络钓鱼指针对特定目标进行攻击的网络钓鱼攻击。

                防御手段：保证网络站点与用户之间的安全传输，加强网络站点的

认证过程，即时清除网钓邮件，加强网络站点的监管。

4.水坑攻击：

                原理：攻击者通过猜测确定特定目标经常访问地网站，并入侵其中一个或多个网站，植入恶意软件；

                防御手段：通常通过零日漏洞感染网站；针对已知漏洞 --- 应用最新的软件修补程序；如果而已内容被检测到，运维人员可以监控他们的网站和网络，然后阻止流量；

终端安全防范措施

1.不要点击来源不明的邮件附件，不从不明网站下载软件

2.及时给主机打补丁，修复相应的高危漏洞

3.对重要的数据文件定期进行非本地备份

4.尽量关闭不必要的文件共享权限以及关闭不必要的端口

5.RDP远程服务器等连接尽量使用强密码，不要使用弱密码

6.安装专业的终端安全防护软件，为主机提供端点防护和病毒

图标记忆：

Ⅳ信息安全概述

信息安全要素保证网络站点与用户之间的安全传输，加强网络站点的认证过程，

即时清除网钓邮件，加强网络站点的监管。

五要素：

        保密性 ---- 确保信息不暴露给未授权的尸体或进程 ---- 例子： QQ 被盗

        完整性 ---- 只有得到允许的人才能修改实体或进程，并且能够判别出实体或进程是否已被修改。---- 例子：数据被黑

        可用性（CIA 的黄金三角） ---- 用户、行为、流量 ---- 数据被加密

        可控性 ----- 指对危害国家信息（包括利用加密的非法通信活动）的监视审计 ----- 人肉个人信息

        不可否认性 ---- 对出现的安全问题提供调查的依据和手段 ----- 黑掉公司

服务器