第一節網絡安全概述

一.網絡空間安全

網絡空間：一個由信息基礎設施組成相互依賴的網絡。 ---- 海陸空天（大海、陸

地、天空、航天）

通信保密階段 ---- 計算機安全 ----- 信息系統安全 ----- 網絡空間安全

計算機安全：開始秉持著“嚴于律己，寬以待人”信條，基于TCP/IP協議傳送信息

當從蠕蟲病毒出現，具有傳染性的病毒，出現要保證安全的意識

二、信息安全概述

Ⅰ.信息安全現狀及挑戰

????????A.網絡空間安全市場在中國潛力無窮

????????B.數字化時代威脅升級

比如：

1. 勒索病毒 ---- 具有蠕蟲特性（ 傳染性 ）

五個階段：

鎖定設備、不加密數據 --- 2008年以前

加密數據、交付贖金后解密 --- 2013年前后

攻陷單點后，橫向擴散 --- 2017年前后

加密貨幣的出現改版勒索格局

RaaS模式初見規模

????????圖標記憶

傳播方式：

釣魚軟件、蠕蟲式傳播、惡意軟件捆綁、暴力破解、Exploit Kit分發

勒索病毒攻擊鏈分析

特點：

針對攻擊者：傳播入口多、傳播技術隱藏、勒索產業化發展

針對受害者：安全狀況看不清、安全設備防不住、問題處置不及時

2.APT 攻擊 --- 平昌冬奧會遭受釣魚郵件攻擊

APT 攻擊 --- 高級持續性威脅

????????例子：zheng'wang'shi'jian

????????木馬病毒 --- 以控制為目的

????????蠕蟲病毒 --- 以破壞為目的

3. 網絡空間安全 --- 棱鏡門事件爆發

4. 數據泄露

5. 個人信息泄露

C.傳統安全防護逐步失效

變種僵尸網絡病毒/木馬/蠕蟲病毒，這些病毒是傳統的防火墻、IPS、殺毒軟

件等級與特征庫的安全檢測無法過濾的。 --- 可通過U盤帶入、BYOD帶入、

惡意的內部用戶、零日漏洞、APT攻擊

D.安全風險能見度不足

1.看不清資產 ---- 比如公司給員工配置電腦，可以連接公司網絡，但是如果員

工手機知道WiFi密碼后，將手機連入，就帶入了新的業務，這是不能完全知

道的

2.看不見新型威脅：水坑攻擊、魚叉郵件攻擊、零日漏洞攻擊、其他攻擊水坑攻擊：是一種網絡攻擊方法，攻擊者通過分析受害者的上網活動規 律，尋找受害者經常訪問的網站的弱點，并在這些網站上部署惡意程 序。當受害者訪問這些被部署了惡意程序的網站時，就會被感染。這種 攻擊利用的是受害者對網站的信任，因此更難被發現。

惡意程序：一般胡具備以下多個或全部特點

特點：

????????非法性 ---- 軟件自動啟用

????????隱蔽性

????????潛伏性

????????可觸發性

????????表現性

????????破壞性

????????傳染性

????????針對性 ---- 針對的對象會不一樣；例如：震網病毒針對的是操

????????作系統

????????變異性

????????不可預見性 --- 對其病毒造成的破壞不確定， 看不見內網潛藏風險：黑客內部潛伏后預留的后門、偽裝合法用戶的違規操 作行為、封裝在正常協議中的異常數據外發、看不見的內部人員違規操作

E.缺乏自動化防御手段

F.網絡安全監管標準愈發嚴苛

1.《網絡安全法》：2017年正式生效

《信息安全技術網絡安全等級保護基本要求》：2019年05月

2.信息安全：防止對任何數據進行未授權訪問的措施，或者防止造成信息有意無

意泄露、破壞、丟失等問題的發生，讓數據處于遠離危險、免于威脅的狀態或特

性

3.網絡安全：計算機網絡環境下的信息安全。

4.常見的網絡安全術語

注意：

a.漏洞是客觀存在的，要與漏洞利用exploit區分

b.0day、1day（當0day漏洞被公開后——補丁修復之間的時間）、

nday（廠商已經發布了針對該漏洞的補丁，并且該補丁已經存在一段時

間）

c.后門有好壞之分

d.攻擊與入侵：一個是手段，一個是目的

Ⅱ.信息安全的脆弱性及常見安全攻擊

A.網絡環境的開放性

B.協議棧的脆弱性及常見攻擊

C.協議棧自身的脆弱性

D.常見的安全風險

E.網絡的基本攻擊模式 --- 主動威脅【篡改（完整性）+中斷（可用性）+偽造

（真實性）】和被動威脅（機密性）

1.物理層 --- 物理攻擊

????????指攻擊者直接破壞網絡的各種物理設備，比如服務器設施、或者網絡的傳輸

通信設施等

????????設備破壞攻擊的目的主要是為了中斷網絡服務

????????物理設備竊聽 ：光纖竊聽、紅外監聽

????????自然災害 ：高溫、低溫、洪澇、龍卷風、暴雨、地震、海嘯、雷電等。

????????處理辦法 ：建設異地災備數據中心。

2.鏈路層

????????a.交換機泛紅攻擊 --- 先記后發 --- 防御方法：將 IP 地址和 MAC 地址寫固定

????????交換機中存在著一張記錄著MAC 地址的表 ，為了完成數據的快速轉發，該表具有自動學習機制；泛洪攻擊 即是攻擊者利用這種學習機制不斷發送不同的 MAC 地址給交換

機，填滿整個 MAC 表，此時交換機只能進行數據廣播，攻擊者憑此獲得信息。

????????b.ARP欺騙 ---- 防御方法：將 IP 地址和 MAC 地址寫固定

3.網絡層 --- ICMP攻擊

4.傳輸層 --- TCP SYN Flood攻擊

???????? 面向連接 --- 要求通信雙方在進行數據傳輸前先建立一個連接 ---- 用的是四端

口（ ssrcip 、 dip 、 srcport 、 dport ）五端口多了一個協議

????????SYN報文是 TCP 連接的第一個報文，攻擊者通過大量發送 SYN 報文，造成大量

未完全建立的 TCP 連接，占用被攻擊者的資源。 ---- ? 拒絕服務攻擊

解決方法：

1.使用代理防火墻 --- 每目標IP代理閾值，每目標IP丟包閾值

2.首包丟包 --- 為了確保所有的數據包都能到達服務器，設計了一個重傳 機制。真實的客戶端訪問，在一定的時間內如果沒有收到服務器的回 復，將會再次發送SYN報文，但攻擊機制通常不會再重發。所以丟棄首 次SYN報文后，就相當于過濾掉了虛假的客戶端訪問，進而防御了偽造 源IP進行的SYN Flood攻擊，保障了服務器的正常運行。

3.SYN cookie --- 用于抵御SYN Flood攻擊，TCP連接的建立過程。它通過 將一些關鍵信息編碼到SYN-ACK包的初始化序列號中，從而在不消耗系 統資源的情況下處理大量的半開接。

5.應用層 ---- DNS欺騙攻擊

????????DNS數據被篡改，“深信服“變"三信服"

Ⅲ操作系統的脆弱性及常見攻擊

A.操作系統自身的漏洞

????????人為原因：在編寫程序過程中，為直線不可告人的目的，在程序代碼的隱藏 處保留后門

????????客觀原因：受編程人員的能力，經驗和單身狗hi安全技術所限，在程序中難 免會有不足之處，輕則影響程序效率，重則導致非授權的用戶的權限提升

????????硬件原因：由于硬件原因，是編程人員無法彌補硬件的漏洞，從而使硬件的 問題通過軟件表現緩存區域溢出攻擊，利用編寫不夠嚴謹的程序，通過向程序的緩沖區寫入超 過預定長度的數據，造成緩存的溢出，從而破壞程序的堆棧，導致程序執行 流程的改變

????????危害：最大數量的漏洞類型、漏洞危害等級高

????????防御手段：

????????????????用戶：補丁、防火墻

????????????????開發人員：編寫二安全代碼、對輸入數據進行驗證、使用相對安全的函 數

????????????????系統：緩沖區不可執行技術、虛擬化技術

B.中斷的脆弱性及常見攻擊

????????常見攻擊

????????????????勒索病毒（同上）

????????????????挖礦病毒：

????????????????????????定義 ：一種惡意程序，可自動傳播，在未授權的情況下，占用系統資源，為攻擊者謀利，使得受害者機器性能明顯下降

????????????????????????特點 ：占用 CPU 或 GPU 等計算資源、自動建立后門、創建混淆進程、定期改變進程名與PID 、掃描 ssh 文件感染其他機器。

????????????????????????危害 ：占用系統資源、影響系統正常使用。

????????????????特洛伊木馬：

????????????????????????定義 ：完整的木馬程序一般由兩個部份組成：服務器程序與控制器程序。

????????????????????????特點 ：注入正常程序中，當用戶執行正常程序時，啟動自身。自動在任務管理器中隱藏，并以“ 系統服務 ” 的方式欺騙操作系統。包含具有未公開并且可能產生危險后的功能的程序。具備自動恢復功能且打開特殊端口。

????????????????????????危害 ：竊取隱私，影響用戶使用體驗。

????????????????僵尸網絡：

????????????????????????定義 ：采用一種或多種傳播手段，將大量主機感染僵尸病毒程序，從而在控制者和被感染主機之間所形成的一個可一對多控制的網絡；

???????????????????????? 特點：可控的網絡，有一定的分布性，隨著 bot 程序的不斷傳播而不斷有新位置的僵尸計算機系統添加到這個網中，可以一對多地執行相同地惡意行為

????????????????????????危害 ：拒絕服務攻擊；發送垃圾郵件；竊取秘密；濫用資源；僵尸

網絡挖礦

圖表記憶：

其他攻擊

? ? ? 1.?社工攻擊

????????????????原理：社會工程攻擊，是一種利用“社會工程學 ” 來實行地網絡攻擊行為；

????????????????防御手段：定期更換各種系統賬號密碼，使用高強度密碼等；

? ? ? ? 2.跳板攻擊

????????????????原理：攻擊者通常并不直接從自己的系統向目標發動攻擊，而是先攻破若干中間系統, 讓它們成為 “ 跳板 ” ，再通過這些 “ 跳板 ” 完成攻擊行動。

????????????????防御手段：安裝防火墻，控制流量進出。系統默認不使用超級管理員用戶登錄，使用普通用戶登錄，且做好權限控制。

? ? ? ? 3.釣魚式攻擊/魚叉式釣魚攻擊

????????????????原理：通過偽裝成信譽卓著的法人媒體以獲得如用戶名、密碼和信用卡明細等個人敏感信息的犯罪詐騙過程。

?????????? 魚叉式網絡釣魚指針對特定目標進行攻擊的網絡釣魚攻擊。

????????????????防御手段：保證網絡站點與用戶之間的安全傳輸，加強網絡站點的

認證過程，即時清除網釣郵件，加強網絡站點的監管。

? ? ? ? 4.水坑攻擊：

????????????????原理：攻擊者通過猜測確定特定目標經常訪問地網站，并入侵其中一個或多個網站，植入惡意軟件；

????????????????防御手段：通常通過零日漏洞感染網站；針對已知漏洞 --- 應用最新的軟件修補程序；如果而已內容被檢測到，運維人員可以監控他們的網站和網絡，然后阻止流量；

終端安全防范措施

1.不要點擊來源不明的郵件附件，不從不明網站下載軟件

2.及時給主機打補丁，修復相應的高危漏洞

3.對重要的數據文件定期進行非本地備份

4.盡量關閉不必要的文件共享權限以及關閉不必要的端口

5.RDP遠程服務器等連接盡量使用強密碼，不要使用弱密碼

6.安裝專業的終端安全防護軟件，為主機提供端點防護和病毒

圖標記憶：

Ⅳ信息安全概述

信息安全要素保證網絡站點與用戶之間的安全傳輸，加強網絡站點的認證過程，

即時清除網釣郵件，加強網絡站點的監管。

五要素：

????????保密性 ---- 確保信息不暴露給未授權的尸體或進程 ---- 例子： QQ 被盜

????????完整性 ---- 只有得到允許的人才能修改實體或進程，并且能夠判別出實體或進程是否已被修改。---- 例子：數據被黑

????????可用性（CIA 的黃金三角） ---- 用戶、行為、流量 ---- 數據被加密

????????可控性 ----- 指對危害國家信息（包括利用加密的非法通信活動）的監視審計 ----- 人肉個人信息

????????不可否認性 ---- 對出現的安全問題提供調查的依據和手段 ----- 黑掉公司

服務器