博客主页:
专栏主页:
大家好,我是christine-rr !目前《软考中级网络工程师》专栏已经更新二十多篇文章了,每篇笔记都包含详细的知识点,希望能帮助到你!
今日,终于迎来了我最为熟悉的第六章——网络安全的学习与剖析。在本篇笔记中,我将融合教材与网课学习到的内容,同时结合自身在网安学习过程中拓展积累的其他相关知识点,力求为读者呈现全面且有帮助的笔记。
目录
10. APT攻击(Advanced Persistent Threat,高级持续性威胁)
安全属性(补充内容,可跳过)
网络安全的属性主要包括机密性、完整性、可用性、可控性和不可否认性、可鉴别性、可靠性等。早期的一种主流观点认为,安全属性主要有机密性(Confidentially或Security)、完整性(Integrity)、可用性(Availability),简称为“CIA”
1)保密性/机密性
定义:确保信息不被未授权的个人、实体或过程访问或披露。
举例:用户的银行账户信息、个人隐私数据、企业的商业机密等都需要通过加密、访问控制等手段来保证其保密性,防止被黑客或其他未经授权的人员获取。
2)完整性
定义:保证信息在传输、存储和处理过程中不被篡改、破坏或丢失,保持信息的原始状态和准确性。
举例:文件在下载过程中,要确保其完整性,防止被恶意软件篡改;数据库中的数据要保证准确无误,不会因为人为或其他因素导致数据错误或丢失。
3)可用性
定义:确保授权用户在需要时能够及时、可靠地访问和使用所需的信息和资源,不受任何干扰或阻碍。
举例:企业的网络服务器要保证正常运行,员工能够随时访问公司的内部系统和文件;在线服务提供商要确保其网站和应用程序能够稳定运行,用户可以随时登录并使用相关服务,避免因拒绝服务攻击等导致服务中断。
一、网络安全威胁的类型
1. 窃听 (被动攻击)
定义: 窃听是指未经授权地获取通信内容的行为。
示例: 搭线窃听语音通信、安装通信监视器读取网上信息等。
2. 假冒(主动攻击)
定义: 假冒是指一个实体假扮成另一个实体进行网络活动。
示例: 电信诈骗中骗子伪装成亲友、领导等进行诈骗活动。
3. 流量分析(被动攻击)
定义: 流量分析是通过对网上信息流进行观察和分析,推断出有用信息的过程。
示例: 通过分析常访问的网站判断用户的性别、爱好等。
4. 重放攻击 (主动攻击,防范:加随机数、时间戳)
定义: 重放攻击指重复发送一份报文或报文的一部分,以产生一个被授权的效果。
示例: 黑客截取银行服务器发给ATM机的取款指令报文,复制多份发给ATM机,导致ATM机多次吐出现金。
防御方法: 加随机数、加时间戳。
5. 主动攻击与被动攻击
按照攻击类型分为:
主动攻击:主动攻击的主要目的是篡改或破坏目标系统的数据,这种攻击通常会引发目标系统出现异常或故障。
- 常见类型:假冒、中断、篡改、重放攻击、拒绝服务攻击(DoS)和分布式拒绝服务攻击(DDoS)等
被动攻击:被动攻击是一种较为隐蔽的攻击方式,其主要目的是悄悄地收集目标系统的信息,而不会对目标系统造成明显的破坏。只是简单分析、截获数据。
- 常见类型:消息内容窃取(窃听)、业务流分析(流量分析)
6. 数据完整性破坏
定义: 数据完整性破坏指有意或无意地修改或破坏信息系统,或在非授权和不能监测的方式下对数据进行修改。
示例: 网站首页被篡改。
7. 分布式拒绝服务
定义: DDoS:当一个授权实体不能获得应有的对网络资源的访问或紧急操作被延迟时,就发生了拒绝服务。简单来说就是目标系统不能正常向普通用户提供服务(可用性)
分布式拒绝服务(DDoS)是对传统DoS攻击的发展,由黑客控制海量终端(僵尸网络)发起攻击,导致授权实体无法获得应有的网络资源访问或紧急操作被延迟。
示例: SYN-Flood、HTTP-Flood/CC攻击、UDP-Flood。
攻击类型: SYN-Flood主要攻击计算资源,HTTP-Flood主要攻击网站并发量
如果想了解更多可以看我之前的文章
8. 恶意软件
类型: 包括木马、流氓软件、间谍软件、勒索软件、僵尸网络软件、病毒等。
防范方法:
- 打补丁:定期打补丁,防止利用系统漏洞。
- 封端口:封闭不常用且易被病毒利用的高危端口,如445端口。
- 定期备份:重要数据定期备份,以便恢复。
- 安装EDR类软件:如三六零的天晴等终端响应检测软件。
- 数据恢复:使用安全工具尝试恢复被勒索的数据。
- 及时断网:发现中招的终端及时断网,防止病毒传播。
9. Web攻击
类型: 包括跨站脚本(XSS)攻击、SQL注入攻击、跨站域请求伪造(CSRF)攻击、WebShell攻击及利用软件漏洞进行的攻击。
防范方法: 使用WAF等安全设备,对用户输入进行相应检测。
10. APT攻击(Advanced Persistent Threat,高级持续性威胁)
特点:
- 多种攻击手段和技术的组合。
- 通过间接迂回方式渗透并潜伏。
- 持续收集攻击目标信息,潜伏时间长。
- 一般有组织有预谋,攻击目标为核心系统。
- 造成的影响非常大。
防范方法:
- 管理层面:定期做漏洞扫描和安全检查。
- 技术层面:多设备联动,如态势感知、沙箱防火墙、入侵检测等设备综合检测安全风险。
二、网络安全防范技术
1. 数据加密
作用: 主要针对窃听,通过加密使窃听者无法理解信息内容。
2. 数字签名
作用: 用来验证数据或程序的完整性,防止否认。
3. 身份认证
方法: 包括密码技术、生物特征识别(如指纹、人脸识别)、智能IC卡、数字证书等。
4. 防火墙
作用: 位于两个网络之间的屏障,进行访问控制。
5. 入侵检测和阻断
作用: 对网络流量或应用访问进行攻击特征匹配和过滤,阻断非法攻击。
常见设备: 入侵防护系统(IPS)、Web应用防火墙(WAF)等。
6. 访问控制
实施位置: 在骨干网络设备或服务器上配置访问控制策略。
作用: 允许或拒绝某些源对目标的访问,实现网络安全防护。
7. 行为审计
作用: 对网络行为或用户操作进行审计,阻断非法或高危操作行为。
常见设备: 数据库审计系统、堡垒机、上网行为管理系统等。
三、计算机信息系统等级保护和安全相关法律法规
1. 等级保护
1)系统定级根据
法律依据: 2017年6月1日正式实施的《中华人民共和国网络安全法》第二十一条规定,国家实行网络安全等级保护制度。
标准实施: 《信息安全技术网络安全等级保护测评要求》《信息安全技术网络安全等级保护基本要求》等标准于2019年12月1日正式实施。
等级划分: 根据系统的重要程度和遭到破坏后,对国家安全、社会秩序、公共利益,以及公民、法人和其他组织的合法权益的侵害程度等因素,等级分为五级。
等保版本: 目前使用的是等保2.0,没有等保3.0。等保1.0大约于2007年颁布,等保2.0于2019年12月1日正式实施。
定级因素:
- 系统的重要程度
- 被破坏后对国家安全、社会秩序、公共利益及公民、法人和其他组织合法权益的侵害程度
具体级别对应:
- 五级: 对国家安全造成特别严重损害
- 四级: 对社会秩序、公共利益造成严重损害
- 三级: 对社会秩序、公共利益造成严重损害(常见级别)
- 二级: 对公民、法人和其他组织的合法权益造成严重损害
- 一级: 一般损害(通常不做要求)
2)不同级别的等级保护对象应具备的基本安全保护能力
第一级: 应能够防护免受来自个人的、拥有很少资源的威胁源发起的恶意攻击等,在自身遭到损害后,能够恢复部分功能。
第二级: 应能够防护免受来自外部小型组织的威胁,在自身遭到损害后,能够在一段时间内恢复部分功能。
第三级: 应能够在统一安全策略下防护免受来自外部有组织的团体的威胁,能够较快恢复绝大部分功能。
第四级: 应能够在统一安全策略下防护免受来自国家级别的、敌对组织的威胁,能够迅速恢复所有功能。
第五级: 标准中未定义具体保护要求,一般涉及涉密系统,采用分级保护。
3)等保2.0建设要求
技术要求
- 安全物理环境: 机房选址、门禁等物理层安全。
- 安全通信网络: 加密、双核心等通信网络安全。
- 安全区域边界: 网络出口、防火墙等边界防护。
- 安全计算环境: 终端节点(如APC、服务器)的安全,使用杀毒软件、认证系统等。
- 安全管理中心: 日志审计、行为管理、数据备份等系统的集中管理。
管理要求
- 安全管理制度: 建立和落实安全管理制度、操作流程。
- 安全管理机构: 设立安全管理机构,明确安全管理职责。
- 人员安全管理: 对人员进行背景调查、安全培训等。
- 系统建设管理: 安全建设过程的管理。
- 系统运维管理: 定期巡检、灾备测试等运维管理。
4)等级保护的五个规定动作
1.定级: 确定系统的安全保护等级。
2. 备案: 向县级以上公安机关备案。
3.安全建设整改: 按照等保标准进行安全建设和整改。
4. 等级测评: 第二级以上网络应进行等级测评,第三级以上网络每年至少测评一次。
5.监督检查: 公安机关会同行业主管部门对第三级以上网络每年至少开展一次安全检查。
注意:
- 二级以上网络需组织专家评审,有行业主管部门的需报主管部门核准。
- 等级测评需由有资质的第三方公司进行。
- 第三级以上网络每年至少开展一次自查。
- 监督检查可委托社会力量提供技术支持。
2. 网络信息安全法律与政策
1)《网络安全法》核心要求
《中华人民共和国网络安全法》
颁布时间:2016年11月7日
实施时间:2017年6月1日
制定管理制度: 制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任。
防范技术措施: 采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施。
监测记录: 采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月。
数据保护: 采取数据分类、重要数据备份和加密等措施。
等级保护测评: 等保三级每年进行测评,等保四级每半年进行测评。
统筹部门: 网信办统筹网络安全工作。
2)《中华人民共和国数据安全法》
实施时间: 《中华人民共和国数据安全法》于2021年9月1日正式施行。
立法目的:规范数据处理活动,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益。
核心内容:
- 建立数据分类分级保护制度,根据数据的重要程度和潜在危害程度实施差异化保护。
- 确立数据安全审查制度,对影响或可能影响国家安全的数据处理活动进行审查。
- 明确数据处理者的安全保护义务,包括建立健全全流程数据安全管理制度、加强风险监测、定期开展风险评估等。
- 强调政务数据安全与开放,要求政务数据开放遵循合法、正当、必要原则,保障数据安全。
适用范围:适用于中华人民共和国境内数据处理活动及其安全监管,境外活动损害中国国家安全、公共利益或公民、组织合法权益的,依法追究责任。
3)《中华人民共和国密码法》
实施时间:2020年1月1日
立法目的:规范密码应用和管理,促进密码事业发展,保障网络与信息安全,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益。
核心内容:
- 对密码实行分类管理,明确核心密码、普通密码用于保护国家秘密信息,商用密码用于保护不属于国家秘密的信息。
- 鼓励商用密码技术的研究开发和应用,健全商用密码市场体系,推动商用密码产业发展。
- 规定密码管理部门和密码工作机构的职责,要求建立健全安全管理制度,确保密码安全。
- 强化密码安全教育,将密码安全教育纳入国民教育体系和公务员教育培训体系。
适用范围:适用于密码的科研、生产、销售、服务、进出口、使用、管理等活动。
3.应用例题
1)例题1
- 题目: 下列网络攻击行为中,属于DoS攻击的是哪一个?
- 答案: B. SYN Flooding攻击
- 解析: DoS(拒绝服务)攻击通过发送大量请求使目标系统资源耗尽,无法响应正常请求。SYN Flooding是常见的DoS攻击方式之一。
2)例题2
- 题目: 下列攻击行为中属于典型被动攻击的是哪一个?
- 答案: B. 会话拦截
- 解析: 被动攻击不改变传输内容,只是窃听和分析。会话拦截符合被动攻击的特点,不注入流量。
3)例题3
- 题目: 攻击者通过发送一个目的主机已经接收过的报文来达到攻击目的,这种攻击方式属于哪种攻击?
- 答案: A. 重放
- 解析: 重放攻击通过重复发送已接收的报文来达到攻击目的,属于典型的重放攻击。
4)例题 4
- 题目: Kerberos系统中可通过在报文中加入什么来防止重放攻击?
- 答案: B. 时间戳
- 解析: 时间戳是防止重放攻击的有效手段之一,通过在报文中加入时间戳,可以确保报文的时效性,防止重复利用。
5)例题 5
- 题目: 网管员发现某台主机感染了病毒,文件后缀变为.LOCK,应采取哪些措施?
- 答案: 隔离感染设备;通过ACL在交换机/防火墙封闭445端口;给Windows系统打补丁;用杀毒软件进行查杀;使用勒索病毒工具箱进行数据恢复;部署EDR等终端防护系统;定期备份重要数据。
- 解析: 针对勒索病毒感染,需采取隔离、封端口、打补丁、杀毒、数据恢复、部署防护系统和定期备份等多重措施,以最大程度减少损失。
DDoS和CC攻击
DDoS攻击(分布式拒绝服务)
- 攻击原理:攻击者利用大量被控制的“僵尸网络”设备(如计算机、物联网设备等),向目标服务器发送海量无用的网络请求,如TCP/UDP连接请求、HTTP GET请求等,使服务器资源(如CPU、内存、带宽等)被迅速耗尽,导致合法用户无法正常访问服务。
- 攻击对象:广泛针对各类网络服务,包括网站、在线游戏、电商平台、金融机构等,旨在使目标服务瘫痪,造成业务中断和损失。
- 攻击特点:
- 分布式源IP:攻击流量来自全球不同IP地址,难以追踪和防御。
- 高流量冲击:攻击流量巨大,可达数百Gbps甚至Tbps级别,对网络带宽造成严重冲击。
- 资源耗竭:通过大量请求耗尽服务器资源,导致服务不可用。
- 防御方式:
- 流量清洗:通过流量清洗设备或云服务,过滤掉恶意流量,只允许合法流量访问目标服务器。
- CDN分发:利用内容分发网络(CDN)将网站内容缓存到全球多个节点,分散流量,减轻源站压力。
- 负载均衡:将流量分散到多个服务器上,避免单点过载,提高系统的可用性。
- 云防护服务:接入云服务商的DDoS防护体系,利用其强大的计算能力和清洗能力,抵御大规模DDoS攻击。
CC攻击(Challenge Collapsar)
- 攻击原理:属于应用层DDoS攻击,攻击者通过模拟大量合法用户,向目标服务器发送高频的HTTP请求,如频繁刷新网页、提交表单等,耗尽服务器的CPU、内存、数据库连接等资源,导致服务不可用。
- 攻击对象:主要针对动态网页服务,如电商支付、游戏登录、论坛、博客等,这些服务通常需要与数据库进行交互,处理复杂请求,容易成为CC攻击的目标。
- 攻击特点:
- 伪装性强:请求伪装成正常流量,传统防火墙难以识别。
- 攻击成本低:攻击者只需控制少量傀儡机或使用代理服务器,即可发起大规模攻击。
- 针对性强:通常针对特定业务接口或页面进行攻击,影响范围相对集中。
- 防御方式:
- IP限频:限制单个IP的请求频率,如每秒最多10次请求,防止短时间内大量请求对服务器造成压力。
- 验证码:在关键操作(如登录、支付)中增加验证码,阻止自动化工具攻击。
- Web应用防火墙(WAF):识别并拦截恶意请求,如SQL注入、高频访问等,保护应用层安全。
- 会话管理:设置会话超时时间,及时释放无效连接,防止资源被长期占用。
- 高防IP:将攻击流量引流至云端清洗中心,隐藏源站真实IP,降低被攻击风险。
四、知识小结
知识点 |
核心内容 |
考试重点/易混淆点 |
难度系数 |
窃听 |
搭线窃听语音通信、安装监视器读取网络通信 |
常见窃听手段 |
🌟 |
假冒 |
实体假扮成另一实体进行网络活动,如电信诈骗 |
电信诈骗中的假冒手段 |
🌟🌟 |
流量分析 |
观察和分析网络上的信息流,推断有用信息 |
通过流量分析判断用户性别、爱好 |
🌟🌟 |
重放攻击 |
重复发送报文或报文的一部分,产生被授权效果 |
ATM机取钱案例、防御手段(加随机数、加时间戳) |
🌟🌟🌟 |
主动攻击与被动攻击 |
主动攻击注入流量,被动攻击仅分析截获数据 |
窃听与假冒的区分 |
🌟🌟 |
数据完整性破坏 |
有意或无意修改或破坏信息系统数据 |
网站首页篡改 |
🌟🌟 |
DOS与DDOS攻击 |
拒绝服务攻击与分布式拒绝服务攻击 |
SYN Flood、HTTP Flood、CC攻击 |
🌟🌟🌟 |
勒索软件防范 |
打补丁、封端口、定期备份数据、安装EDR软件 |
常见防范措施 |
🌟🌟🌟 |
APT攻击 |
多种网络攻击手段组合,渗透组织内部 |
特点(组合攻击、间接迂回、潜伏时间长等) |
🌟🌟🌟🌟 |
等级保护 |
信息系统等保级别划分(五级) |
等保二点零要求、定级依据 |
🌟🌟🌟 |
网络安全法 |
内部安全管理制度、操作规则、网络安全负责人 |
日志留存六个月 |
🌟🌟 |