信息安全的五要素
1.保密性—confidentiality
保密性:确保信息不暴露给未授权的实体或进程。目的:即使信息被窃听或者截取,攻击者也无法知晓信息的真实内容。可以对抗网络攻击中的被动攻击。
2.完整性—integrity
只有得到允许的人才能修改实体或进程,并且能够判别出实体或进程是否已被修改。完整性鉴别机制,保证只有得到允许的人才能修改数据 。可以防篡改。
3.可用性—availability
得到授权的实体可获得服务,攻击者不能占用所有的资源而阻碍授权者的工作。用访问控制机制,阻止非授权用户进入网络。使静态信息可见,动态信息可操作,防止业务突然中断。
4.可控性—controllability
可控性主要指对危害国家信息(包括利用加密的非法通信活动)的监视审计。控制授权范围内的信息流向及行为方式。使用授权机制,控制信息传播范围、内容,必要时能恢复密钥,实现对网络资源及信息的可控性。
5.不可否认性—Non-repudiation
不可否认性:对出现的安全问题提供调查的依据和手段。使用审计、监控、防抵赖等安全机制,使得攻击者、破坏者、抵赖者“逃不脱",并进一步对网络出现的安全问题提供调查依据和手段,实现信息安全的可审查性。
网络的基本攻击模式
1.截获 嗅探(sniffing) 监听(eavesdropping)
2.篡改 数据包篡改(tampering)
3.中断 拒绝服务(dosing)
4.伪造 欺骗(spoofing)
传统安全方案痛点与改进
| 传统 | 产品堆叠 | 边界防护 | 被动防守 |
| 现在(改进) | 风险驱动 | 立体保护 | 主动防御 |
攻击类型
1. 社会工程攻击
解释:利用人性的弱点,如好奇心、信任等,通过欺骗手段获取敏感信息或执行恶意操作。例如,钓鱼邮件伪装成银行或知名平台的官方通知,诱导用户点击链接输入账号密码,从而窃取用户信息;或者攻击者假扮成IT人员,骗取员工信任后获取系统登录凭证。
常见手段:钓鱼邮件、短信钓鱼、电话钓鱼、预置陷阱等。
2. 网络与协议攻击
中间人攻击:攻击者 “潜伏” 在通信链路中,窃听或篡改双方通信内容。例如,在公共Wi-Fi环境下,攻击者可截获用户与网站服务器之间的数据,获取明文传输的密码、信用卡号等信息。
DNS劫持/投毒:篡改域名解析结果,将正常域名解析到恶意IP地址,使用户访问的网站被替换为钓鱼或恶意网站;或者污染DNS缓存,让用户的DNS查询得到错误的IP地址,实现流量劫持。
DDoS攻击:通过控制大量僵尸主机向目标发送海量请求,使目标服务器瘫痪,无法正常提供服务。例如,攻击者利用肉鸡向电商网站发送大量访问请求,导致网站无法正常加载,影响正常用户的购物体验。
SYN Flood攻击:利用TCP三次握手流程,发送大量SYN报文,不进行ACK应答,使目标服务器的连接队列占满,无法接收新的连接请求,进而导致服务中断。
3. Web与应用层攻击
SQL注入:攻击者在网站的输入框或查询参数中插入恶意SQL语句,使后端数据库执行非授权操作。例如,在登录页面的用户名或密码输入框中输入带有SQL查询或修改语句的内容,可能会获取数据库中的敏感数据或篡改用户权限。
跨站脚本攻击(XSS):攻击者在网页中插入恶意脚本,当用户浏览该网页时,脚本被自动执行。例如,在论坛或留言板中插入一段恶意JavaScript代码,其他用户查看该内容时,代码会自动运行,窃取用户的Cookie信息或在用户浏览器中弹出欺诈窗口。
跨站请求伪造(CSRF):攻击者诱导用户在不知情的情况下向目标网站发送请求,从而执行非授权操作。例如,当用户登录了银行网站后,又访问了含有恶意CSRF代码的其他页面,可能会导致用户在银行网站上的账户被非授权转账。
反序列化漏洞攻击:攻击者将恶意构造的序列化对象作为输入提供给应用程序,当应用程序进行反序列化时,触发恶意代码执行。这可能导致服务器被入侵、数据泄露等严重后果。
4. 权限与身份攻击
暴力破解:通过自动化的工具和字典,不断尝试不同的用户名和密码组合,以获取系统的登录凭证。例如,攻击者使用密码字典对网站的后台管理系统进行暴力破解,一旦成功,即可获取网站的控制权。
撞库/凭证填充攻击:利用已泄露的用户名和密码,在其他网站进行批量登录尝试。因为用户往往在多个网站使用相同的账号密码,所以一旦撞库成功,攻击者就能获取用户在其他网站的账户权限。
权限提升攻击:攻击者先以普通用户身份登录系统,然后利用系统漏洞或配置缺陷,获取更高权限,如管理员权限。这使得攻击者能够访问更敏感的数据或控制系统的关键功能。
票据传递攻击(Pass-the-Hash):在Windows域环境中,攻击者获取用户或服务账户的NTLM哈希值后,直接利用该哈希值进行身份认证,无需知道用户的明文密码,从而在域内进行横向移动,访问其他资源。
5. 供应链与零日攻击
供应链攻击:攻击者伪装成供应商或合作伙伴,将恶意代码或组件植入到软件、硬件供应链中。当用户下载或安装这些带有恶意内容的软件或硬件时,攻击者即可实现入侵。例如,攻击者篡改软件的更新包,在用户更新软件时,恶意代码被植入用户系统。
零日漏洞攻击:利用尚未被软件厂商知晓或尚未发布补丁的漏洞进行攻击。由于没有可用的补丁进行防御,零日漏洞攻击的防御难度较大,一旦成功,可能会造成严重的后果,如数据泄露、系统瘫痪等。
6. 水坑攻击
解释:攻击者先侦察目标人群经常访问的网站(如行业论坛、招聘网站等),然后在这些网站中植入恶意软件或恶意代码。当目标用户访问这些被污染的网站时,就会自动下载并运行恶意软件,导致系统被入侵。例如,攻击者入侵了一个金融科技行业的论坛网站,上传了一个带有恶意脚本的广告,当该行业的企业员工访问论坛时,恶意脚本就会在员工的浏览器中执行,进而窃取企业敏感数据或在企业内网中传播恶意软件。
病毒类型
1. 计算机病毒(Virus)
解释:寄生在正常的文件或程序中,当宿主程序被运行或文件被访问时,病毒被激活并自我复制。它会感染其他文件或程序,导致系统性能下降、文件损坏或数据丢失。例如,CIH病毒会破坏计算机的BIOS,使计算机无法正常启动。
2. 蠕虫(Worm)
解释:可以独立运行,不需要宿主程序。它通过网络、电子邮件、即时通讯工具等途径进行自我传播,占用大量网络带宽,导致网络拥塞甚至瘫痪。例如,震荡波蠕虫会利用Windows操作系统的漏洞进行快速传播,使被感染的计算机出现蓝屏、重启等问题。
3. 木马(Trojan)
解释:伪装成正常的软件或文件,诱骗用户安装运行。一旦运行,它会在用户不知情的情况下在系统中打开后门,使攻击者能够远程控制受感染的计算机,窃取用户信息、执行恶意操作等。例如,灰鸽子木马可以让攻击者远程查看用户的文件、屏幕内容,甚至控制用户的鼠标和键盘操作。
4. 勒索软件(Ransomware)
解释:对用户的数据进行加密,然后要求用户支付赎金以获取解密钥匙。它通常通过网络钓鱼、恶意附件等方式传播,一旦感染,会给用户带来巨大的经济损失和数据丢失风险。例如,WannaCry勒索软件在全球范围内爆发,它利用Windows操作系统的SMB漏洞进行传播,加密了大量企业的数据,造成了严重的后果。
5. 无文件型恶意代码(Fileless Malware)
解释:不以传统的文件形式存在于硬盘上,而是驻留在内存中或利用系统自带的脚本工具(如PowerShell、WMI等)进行攻击。它难以被传统的杀毒软件检测到,具有较高的隐蔽性和持久性。例如,一些无文件型恶意代码会利用PowerShell脚本在系统内存中执行恶意操作,如窃取用户密码、下载其他恶意软件等。
6. 逻辑炸弹(Logic Bomb)
解释:隐藏在程序或脚本中,设置特定的触发条件,当条件满足时,会执行恶意操作,如删除文件、格式化硬盘等。例如,攻击者在公司的财务软件中植入逻辑炸弹,设置在特定的日期(如公司财务报表截止日期)触发,导致财务数据丢失,给公司带来严重的损失。
7. 特洛伊木马(Trojan Horse)
解释:与木马类似,它会伪装成有用的软件或文件,引诱用户下载和安装。一旦安装,它会在用户设备上执行恶意活动,如窃取敏感数据、创建后门等。