网络攻击概述
网络攻击模型:掌握网络攻击模型有助于更好地理解分析网络攻击活动,以便对目标系统的抗攻击能力进行测评。
常见的网络攻击模型如下:
- 攻击树模型:起源于故障树分析方法,经过扩展用AND-0R形式的树结构对目标对象进行网络安全威胁分析。可以被Red Team用来进行渗透测试,同时也可以被Blue Team用来研究防御机制。
优点:能够采取专家头脑风暴法,并且将这些意见融合到攻击树中去;
能够进行费效分析或者概率分析;
能够建模非常复杂的攻击场景。
缺点:由于树结构的内在限制,攻击树不能用来建模多重常识攻击、时间依赖及访问控制等场景不能用来建模循环事件;对于现实中的大规模网络,攻击树方法处理起来将会特别复杂。
- MITRE ATT&CK模型:根据真实观察到的网络攻击数据提炼形成的攻击矩阵模型;该模型把攻击活动抽象为初始访问、执行、持久化、特权提升、躲避防御、凭据访问、发现、横向移动、收集、指挥和控制、外泄、影响,然后给出攻击活动的具体实现方式。主要应用场景有网络红蓝对抗模拟、网络安全渗透测试、网络防御差距评估、网络威胁情报收集等。
- 网络杀伤链(Kill Chain)模型:将网络攻击活动分成目标侦察、武器构造、载荷投送、漏洞利用、安装植入、指挥和控制、目标行动等七个阶段。
网络攻击一般过程
(1)隐藏攻击源:利用被侵入的主机作为跳板; 免费代理网关; 伪造IP地址;假冒用户账号。
(2)收集攻击目标信息:收集目标系统一般信息、配置信息、安全漏洞信息、安全措施信息、用户信息。
(3)挖掘漏洞信息:系统或应用服务软件漏洞; 主机信任关系漏洞; 目标网络的使用者漏洞; 通信协议漏洞; 网络业务系统漏洞。
(4)获取目标访问权限:获得系统管理员的口令; 利用系统管理上的漏洞; 让系统管理员运行一些特洛伊木马; 窃听管理员口令。
(5)隐蔽攻击行为:连接隐藏; 进程隐藏; 文件隐蔽。
(6)实施攻击:攻击其他被信任的主机和网络、修改或删除重要数据、窃听敏感数据、停止网络服务、下载敏感数据、删除数据账号、修改数据记录。
(7)开辟后门:放宽文件许可权; 重新开放不安全的服务; 修改系统的配置;替换系统本身的共享库文件; 修改系统的源代码,安装各种特洛伊木马;安装嗅探器;建立隐蔽信道。
(8)清除攻击痕迹:篡改日志文件中的审计信息; 改变系统时间造成日志文件数据紊乱以迷惑系统管理员; 删除或停止审计服务进程; 干扰入侵检测系统的正常运行; 修改完整性检测标签。
网络攻击常见技术方法
1. 端口扫描:目的是找出目标系统上提供的服务列表。挨个尝试与TCP/UDP端口连接,然后根据端口与服务的对应关系,结合服务器端的反映推断目标系统上是否运行了某项服务,攻击者通过这些服务可能获得关于目标系统的进一步的知识或通往目标系统的途径。
扫描类型包括:
- 完全连接扫描:利用TCP/IP协议的三次握手连接机制,使源主机和目的主机的某个端口建立一次完整的连接。如果建立成功,则表明该端口开放。否则,表明该端口关闭。
- 半连接扫描:是指在源主机和目的主机的三次握手连接过程中,只完成前两次握手,不建建立一次完整的连接。
- SYN扫描:首先向目标主机发送连接请求,当目标主机返回响应后,立即切断连接过程,并查看响应情况。如果目标主机返回ACK信息,表示目标主机的该端口开放。如果目标主机返回RESET信息表示该端口没有开放。
- ID头信息扫描:需要用一台第三方机器配置扫描,并且这台机器的网络通信量要非常少,即dumb主机。首先由源主机A向dumb主机B发出连续的PING数据包,并且查看主机B返回的数据包的ID头信息一般而言,每个顺序数据包的ID头的值会加1.然后由源主机A假冒主机B的地址向目的主机C的任意端口(1-65535)发送SYN数据包。这时,主机C向主机B发送的数据包有两种可能的结果:SYN|ACK:表示该端口处于监听状态。RST|ACK:表示该端口处于非监听状态。那么,由后续PING数据包的响应信息的ID头信息可以看出,如果主机c的某个端口是开放的,则主机B返回A的数据包中,ID头的值不是递增1,而是大于1.如果主机C的某个端口是非开放的,则主机B返回A的数据包中,ID头的值递增1,非常规律。
- 隐蔽扫描:是指能够成功地绕过IDS、防火墙和监视系统等安全机制,取得目标主机端口信息的一种扫描方式。
- SYN|ACK扫描:由源主机向目标主机的某个端口直接发送SYN|ACK数据包,而不是先发送SYN数据包。由于这种方法不发送SYN数据包,目标主机会认为这是一次错误的连接,从而会报错。如果目标主机的该端口没有开放,会返回RST信息;如果该端口开放(LISTENING),则不会返回任何信息,而是直接将这个数据包抛弃掉。
- FIN扫描:源主机A向目标主机B发送FIN数据包,然后查看反馈消息。如果端口返回RESET信息则说明该端口关闭。如果端口没有返回任何消息,则说明端口开放。
- ACK扫描:首先由主机A向目标主机B发送FIN数据包,然后查看反馈数据包的TTL值和WIN值,开放端口所返回的数据包的TTL值一般小于64,而关闭端口的返回值一般大于64.开放端口所返回的WIN值一般大于0,而关闭端口的返回值一般等于0.
- NULL扫描:将源主机发送的数据包中的ACK、FIN、RST、SYN、URG、PSH等标志位全部置空。如果目标主机没有返回任何信息,则表明该端口是开放的。如果返回RST信息,则表明该端口是关闭的。
- XMAS扫描:原理和NULL扫描相同,只是将要发送的数据包中的ACK、FIN、RST、SYN、URG、PSH等标志位全部置1。如果目标主机没有返回任何信息,则表明该端口是开放的。如果返回RS T信息,则表明该端口是关闭的。
2. 口令破解:口令机制是资源访问控制的第一道屏障,网络攻击者常常以破解用户的弱口令作为突破口,获取系统的访问权限。
主要工作流程:
第一步,建立与目标网络服务的网络连接;
第二步,选取一个用户列表文件及字典文件;
第三步,在用户列表文件及字典文件中,选取一组用户和口令,按网络服务协议规定,将用户名及口令发送给目标网络服务端口;
第四步,检测远程服务返回信息,确定口令尝试是否成功;
第五步,再取另一组用户和口令,重复循环试验,直至口令用户列表文件及字典文件选取完毕。
3.缓冲区溢出攻击是一种通过往程序的缓冲区写超出其长度的内容,造成缓冲区溢出,从而破坏程序的堆栈,使程序转而执行其他预设指令,以达到攻击目的的攻击方法。缓冲区溢出攻击的基本原理是向缓冲区中写入超长的、预设的内容,导致缓冲区溢出,覆盖其他正常的程序或数据,然后让计算机转去运行这行预设的程序,达到执行非法操作、实现攻击的目的
4.恶意代码是指为达到恶意目的而专门设计的程序或代码,是指一切旨在破坏计算机或者网络系统可靠性、可用性、安全性和数据完整性或者损耗系统资源的恶意程序。常见的恶意代码类型有计算机病毒、网络蠕虫、特洛伊木马、后门、逻辑炸弹、僵尸网络等。
5. 拒绝服务攻击
6. 网络钓鱼(Phishing,与fishing发音相近得名)是一种通过假冒可信方(知名银行、在线零售商和信用卡公司等可信的品牌)提供网上服务,以欺骗手段获取敏感个人信息(如口令、信用卡详细信息等)的攻击方式。网络钓鱼者利用欺骗性的电子邮件和伪造的网站来进行诈骗活动,诱骗访问者提供一些个人信息,以谋求不正常的利益。
7. 网络窃听:是指利用网络通信技术缺陷,使得攻击者能够获取到其他人的网络通信信息。常见的网络窃听技术手段主要有网络嗅探、中间人攻击。网络攻击者将主机网络接口的方式设成“杂乱”模式,就可以接收整个网络上的信息包,从而可以获取敏感口令,其至将其重组,还原为用户传递的文件。
8. SQL注入攻击:在Web服务中,一般采用三层架构模式,浏览器+Web服务器+数据库。其中,WEB脚本程序负责处理来自浏览器端提交的新东西。但是由于WEB脚本程序的编程漏洞,对来自浏览器端的信息缺少输入安全合法性检查,网络攻击者利用这个漏洞,把SQL命令插入WEB表单的输入域或页面的请求查找字符串,欺骗服务器执行恶意的SQL命令。
9. 社交工程:网络攻击者通过一系列的社交活动,获取需要的信息。例如伪造系统管理员的身份,给特定的用户发电子邮件骗取他的密码口令。有的攻击者会给用户送免费实用程序,不过该程序除了完成用户所需的功能外,还隐藏了一个将用户的计算机信息发送给攻击者的功能。
10. 电子监听:网络攻击者采用电子设备远距离地监视电磁波的传送过程。灵敏的无线电接受装置能够在远处看到计算机操作者输入的字符或屏幕显示的内容。
11. 会话劫持:是指攻击者在初始授权之后建立一个连接,在会话劫持以后,攻击者具有合法用户的特权权限。如“TCP会话劫持”
12. 漏洞扫描:是一种自动检测远程或本地主机安全漏洞的软件,通过漏洞扫描器可以自动发现系统的安全漏洞。常见的漏洞扫描技术有CCI漏洞扫描、弱口令扫描、操作系统漏洞扫描、数据库漏洞扫描等
13. 代理技术:网络攻击者通过免费代理服务器进行攻击,其目的是以代理服务器为“攻击跳板”,即使攻击目标的网络管理员发现了,也难以追踪到网络攻击者的真实身份或IP地址。为了增加追踪的难度,网络攻击者还会用多级代理服务器或者“跳板主机”来攻击目标。在黑客中,代理服务器被叫做“肉鸡”,黑客常利用所控制的机器进行攻击活动,如DD0S攻击:
14. 数据加密:网络攻击者常常采用数据加密技术来逃避网络安全管理人员的追踪。加密使网络攻击者的数据得到有效保护,即使网络安全管理人员得到这些加密的数据,没有密钥也无法读懂,这样就实现了攻击者的自身保护。攻击者的安全原则是,任何与攻击有关的内容都必须加密或者立刻销毁。
拒绝服务攻击
拒绝服务攻击DoS(Denial of Service)的主要企图是借助于网络系统或网络协议的缺陷和配置漏洞进行网络攻击,使网络拥塞、系统资源耗尽或者系统应用死锁,妨碍目标主机和网络系统对正常用户服务请求的及时响应,造成服务的性能受损甚导致服务中断,原理:消耗系统资源、导致目标主机宕机,从而阻止授权用户正常访问服务。
要对服务器实施拒绝服务攻击,实质上的方式就是有两个:
① 服务器的缓冲区满,不接收新的请求
② 使用IP 欺骗,迫使服务器把合法用户的连接复位,影响合法用户的连接。这也是DoS攻击实施的基本思想。
- 拒绝服务攻击类型有许多种,网络的内外部用户都可以发动这种攻击。内部用户可以通过长时间占用系统的内存、CPU 处理时间使其他用户不能及时得到这些资源,而引起拒绝服务攻击;外部黑客也可以通过占用网络连接使其他用户得不到网络服务。
- 外部用户针对网络连接发动拒绝服务攻击主要有几种模式:消耗资源、破坏或更改配置信息、物理破坏或改变网络部件、利用服务程序中的处理错误使服务失效。
DoS常见攻击方式:
1.同步包风暴(SYN Flooding):利用TCP协议缺陷发送大量伪造的TCP连接请求,使得被攻击者资源耗尽。三次握手,进行了两次,不进行第三次握手,连接队列处于等待状态,大量这样的等待,会占满全部队列空间,使得系统挂起。
2.Smurf攻击:攻击者伪装目标主机向局域网的广播地址发送大量欺骗性的ICMP请求,这些包被放大,并发送到被欺骗的地址,大量的计算机向一台计算机回应ECHO包,目标系统会崩溃。
3.Ping of Death攻击:攻击者故意发送大于65535字节的IP数据包给对方,导致内存溢出这时主机会出现内存分配错误而导致TCP/IP堆栈崩溃,导致死机。
4.Teardrop攻击: 分段攻击,伪造数据报文向目标主机发送含有重叠偏移的数据分段,通过将各个分段重叠来使目标系统崩溃或挂起
5.Winnuke攻击:针对windows系统开放的139端口,只要向该端口发送1字节的TCPOOB数据(TCP连接的一种特殊数据,设置了URG标志,优先级更高),就可以使windows系统出现蓝屏错误,并且网络功能完全瘫痪。
6.Land攻击:也是利用三次握手的缺陷进行攻击,将SYN数据包的源地址和目的地址都设置为目标主机的地址,目标主机向自己回以SYN+ACK包,导致自己又给自己回一个ACK并建立自己与自己的连接,当这种无效连接达到一定的数量,目标主机将会拒绝新的连接请求。
7.电子邮件轰炸:针对服务端口(SMTP端口,端口号25)的攻击,攻击者通过连接到邮件服务器的25端口,按照SMTP协议发送几行头信息加上一堆文字垃圾,反复发送形成邮件轰炸
8.低速率拒绝服务攻击(Low-rateDoS)LDoS:与传统的洪泛式DoS 攻击截然不同,其最大特点是不需要维持高速率攻击流,耗尽受害者端所有可用资源,而是利用网络协议或应用服务中常见的自适应机制(如TCP 的拥塞控制机制)中所存在的安全漏洞,通过周期性地在一个特定的短暂时间间隔内突发性地发送大量攻击数据包,从而降低被攻击端服务性能。
9.分布式拒绝服务攻击DDoS(DistributedDenialofService):是对传统DoS 攻击的发展攻击者首先侵入并控制一些计算机,然后控制这些计算机同时向一个特定的目标发起拒绝服务攻击。引入了分布式攻击和C/S结构,Client(客户端)运行在攻击者的主机上,用来发起和控制DDoS 攻击;Handler(主控端)运行在已被攻击者侵入并获得控制的主机上,用来控制代理端;Agent(代理端)运行在已被攻击者侵入并获得控制的主机上,从主控端接收命令,负责对目标实施实际的攻击。
密码学概况
- 密码学是一门研究信息安全保护的科学,以实现信息的保密性、完整性、可用性及抗抵赖性。密码学主要由密码编码和密码分析两个部分组成,其中,密码编码学研究信息的变换处理以实现信息的安全保护,而密码分析学则研究通过密文获取对应的明文信息。
- 目前,密码成为网络与信息安全的核心技术和基础支撑。
- 2005年4月1日起国家施行《中华人民共和国电子签名法》
- 2006年我国政府公布了自己的商用密码算法,成为我国密码发展史上的一件大事。
- 2019年《中华人民共和国密码法》草案已经发布。
密码学相关概念
- 明文:需要采用密码技术进行保护的消息。
- 密文:是指用密码技术处理过明文的结果,通常称为加密消息。
- 加密:将明文变换成密文的过程。
- 解密:由密文恢复出原来明文的过程。
- 加密算法:加密过程所使用的一组操作运算规则。
- 解密算法:解密过程所使用的一组操作运算规则。
- 加密和解密算法的操作通常都是在密钥控制下进行的,分别称为加密密钥和解密密钥。
密码攻击类型
- 唯密文攻击。密码分析者只拥有一个或多个用同一个密钥加密的密文,没有其他可利用的信息
- 已知明文攻击。密码分析者根据已经知道的某些明文-密文对来破译密码。一个密码仅当它能经得起已知明文攻击时才是可取的。
- 选择明文攻击。指密码分析者能够选择明文并获得相应的密文。这是对密码分析者十分有利的情况。密文验证攻击。密码分析者对于任何选定的密文,能够得到该密文“是否合法”的判断。选择密文攻击。指密码分析者能够选择密文并获得相应的明文。这也是对密码分析者十分有利的情况。这种攻击主要攻击公开密钥密码体制,特别是攻击其数字签名。
密码体制分类
1.对称密码体制(Symmetric Cryptography)也称为传统密码体制,加密和解密使用相同的密钥。常见的对称密码算法有DES、AES等。对称密码的优点是运算速度快,缺点是密钥管理困难,需要安全地分发和保存密钥。
2.非对称密码体制(Asymmetric Cryptography):也称为公钥密码体制,加密和解密使用不同的密钥。公钥用于加密,私钥用于解密。常见的非对称密码算法有RSA、DSA等。非对称密码的优点是密钥管理方便,缺点是运算速度慢,
3.散列函数(Hash Function):散列函数将输入的任意长度的数据映射为固定长度的输出,常用于数据的完整性验证和密码存储。常见的散列算法有MD5、SHA-1、SHA-256等
4.消息认证码(Message Authentication Code):消息认证码通过对消息进行加密并附加校验值(MAC)来实现消息的完整性和认证。常见的MAC算法有HMAC、CMAC等。
5.数字签名(Digital Signature):数字签名用于确认消息的发送者身份和保证消息的完整性和不可抵赖性。常见的数字签名算法有RSA、DSA等
6.公钥基础设施(Public Key Infastructure,PKI):PKI是一种基于非对称密码体制的密码体系,通过证书颁发机构(CertifcationAuthority,CA)对公钥进行认证和管理,从而实现安全的交流和身份验证。
网络安全体系概述
- 网络安全体系是网络安全保证系统的最高层概念抽象,是由各种网络安全单元按照一定的规则组成的,共同实现网络安全的目标。网络安全体系构建已成为一种解决网络安全问题的有效方法,是提升网络安全整体保障能力的高级解决方案。
- 网络安全体系包括法律法规政策文件、安全策略、组织管理、技术措施、标准规范、安全建设与运营、人员队伍、教育培训、产业生态、安全投入等多种要素。
- 网络安全体系特征:整体性、协同性、过程性、全面性、适应性
- 网络安全体系用途:(1)有利于系统性化解网络安全风险,确保业务持续开展并将损失降到最低限度;(2)有利于强化工作人员的网络安全意识,规范组织、个人的网络安全行为;
- (3)有利于对组织的网络资产进行全面系统的保护,维持竞争优势;(4)有利于组织的商业合作;(5)有利于组织的网络安全管理体系认证,证明组织有能力保障重要信息,能提高组织的知名度与信任度。
网络安全体系相关安全模型
- Bell-LaPadula 模型(BLP机密性模型)提出的符合军事安全策略的计算机安全模型。该模型用于防止非授权信息的扩展,从而保证系统的安全。
- BLP模型的安全特性:1.简单安全性:主体对客体进行读访问的必要条件是主体的安全级别不小于客体的安全级别,主体的范畴集合包含客体的全部范畴,即主体只能向下读,不可向上读。2.特性:一个主体对客体进行写访问的必要条件是客体的安全级支配主体的安全级。即客体的保密级别不小于主体的保密级别,客体的范畴集合包含主体的全部范畴,即主体只能向上写不可向下写。
- BLP机密性模型可用于实现军事安全策略,该策略规定,用户要合法读取某信息,当且仅当用户的安全级大于或等于该信息的安全级,并且用户的访问范畴包含该信息范畴时,为了实现军事安全策略计算机系统中的信息和用户都分配了一个访问类,由两部分组成:安全级:按顺序规定为 公开<密码<机密<绝密。范畴级:指安全级的有效领域或信息所归属的领域,如人事处、财务处等
- 下面是系统访问类例子:文件F访问类:{机密:人事处,财务处;用户A访问类:{绝密:人事处};用户B访问类:{绝密:人事处,财务处,科技处
- 按照军事安全策略规定,用户B可以阅读文件F,但用户A不能读文件F。
- Biba完整性模型,主要用于防止非授权修改系统信息,以保证系统的信息完整性。该模型同BLP模型类似,采用主体、客体、完整性级别描述安全策略要求。
- Biba 具有三个安全特性:(1)简单安全特性。主体对客体进行修改访问的必要条件是主体的完整性级别不小于客体的完整性级别,主体的范畴包含客体的全部范畴,即主体不能向下读。(2)特性。主体的完整性级别小于客体的完整性级别,不能修改客体,即主体不能向上写。(3)调用特性。主体的完整性级别小于另一个主体的完整性级别,不能调用另一个主体。
- 信息流模型:是访问控制模型的一种变形,简称FM。该模型不检查主体对客体的存取,而是根据两个客体的安全属性来控制从一个客体到另一个客体的信息传输。
- 信息流模型可表示为 FM=(N,P,SC,8,→)符号分别代表:客体集;进程集;安全类型集;支持结合、交换的二进制运算符;流关系。一个安全的FM当且仅当执行系列操作后,不会导致流与流关系产生冲突。
- 信息流模型可以用于分析系统的隐蔽通道,防止敏感信息通过隐蔽通道泄露。隐蔽通道通常表现为低安全等级主体对高安全等级主体所产生信息的间接读取。
- 信息保障模型:包括PDRR模型、P2DR模型、WPDRRC模型。
- PDRR模型:Protection、Detection、Recovery、Response。改进了传统的只有保护的单一安全防御思想,强调信息安全保证的四个重要环节。保护的内容有加密、数据签名、访问控制、认证、信息隐藏、防火墙技术等;检测的内容有入侵检测、系统脆弱性、数据完整性、攻击性检测;恢复的内容有数据备份、数据修复、系统恢复等;响应的内容有应急策略、应急机制、应急手段、入群过程分析及安全状态评估等。
- P2DR 模型是在整体的安全策略(Policy)的控制和指导下,在综合运用防护工具(Protection.如防火墙、操作系统身份认证、加密等手段)的同时,利用检测工具(Detection,如洞评估、入侵检测等系统)了解和评估系统的安全状态,通过适当的响应(Response)将系统调整到“最安全”和“风险最低”的状态。
- WPDRRC 模型即预警、保护、检测、反应、恢复、反击。
- 能力成熟度模型CMM:是对一个组织机构的能力进行成熟度评估的模型,一般分为五级:1级-非正式执行:具备随机、无序、被动的过程;2级-计划跟踪:具备主动、非体系化的过程;3级-充分定义:具备正式的、规范的过程;4级-量化控制:具备可量化的过程;5级-持续优化:具备可持续优化的过程。
- 目前,网络安全方面的成熟度模型主要有SSE-CMM、数据安全能力成熟度模型、软件安全能力成熟度模型等。
- SSE-CMM是系统安全工程能力成熟度模型,包括工程过程类、组织过程类、项目过程类。
- 数据安全能力从组织建设、制度流程、技术工具及人员能力四个维度评估。
- 软件安全能力成熟度模型分为五级:CMM1级-补丁修补;CMM2级-渗透测试、安全代码评审;CMM3级-漏洞评估、代码分析、安全编码标准;CMM4级-软件安全风险识别、SDLC实施不同安全检查点;CMM5级-改进软件安全风险覆盖率、评估安全差距。
- 纵深防御模型:基本思路是将信息网络安全防护措施有机组合起来,针对保护对象,部署合适的安全措施,形成多道保护线,各安全防护措施能够互相支持和补救,尽可能地阻断攻击者的威胁。四道防线:安全保护是第一道,能够阻止对网络的入侵和危害;安全监测是第二道,可以及时发现入侵和破坏;实时响应是第三道,当攻击发生时维持网络“打不垮”;恢复是第四道,使网络在遭受攻击后能以最快的速度“起死回生”,最大限度地降低安全事件带来的损失。
- 分层防护模型:针对单独保护节点,以0SI7层模型为参考,对保护对象进行层次化保护,典型保护层次分为物理层、网络层、系统层、应用层、用户层、管理层,然后针对每层的安全威胁,部署合适的安全措施,进行分层防护。
- 等级保护模型:是根据网络信息系统在国家安全、经济安全、社会稳定和保护公共利益等方面的重要程度,结合系统面临的风险、系统特定的安全保护要求和成本开销等因素,将其划分成不同的安全保护等级,采取相应的安全保护措施,以保障信息和信息系统的安全。
- 网络生存模型:网络生存性是指网络信息系统遭受入侵的情形下,网络信息系统仍然能够持续提供必要服务的能力。目前,国家上的网络信息生存模型遵循“3R”的建立方法。首先将系统划分成不可攻破的安全核和可恢复部分。然后对一定的攻击模式,给出相应的3R策略,即抵抗、识别和恢复。最后,定义网络信息系统应具备的正常服务模式和可能被黑客利用的入侵模式,给出系统需要重点保护的基本功能服务和关键信息等。
网络安全体系建设原则和安全策略
- 网络安全原则(1)系统性和动态性原则。强调系统的整体安全性,即“木桶原则”。网络安全策略根据网络系统的安全环境和攻击适时而变。(2)纵深防护与协作性原则。各种网络安全技术之间应该互相补充,互相配合。网络安全体系应该包括安全评估、安全防护、安全监测、安全应急响应体制。(3)网络安全风险和分级保护原则。网络安全体系要正确处理需求、风险与代价的关系,做到安全性与可用性相容,做到组织上可执行。分级保护是指根据网络资产的安全级别,采用合适的网络防范措施来保护网络资产,做到适度防护。(4)标准化与一致性原则。(5)技术与管理相结合原则。(6)安全第一,预防为主原则。(7)安全与发展同步,业务与安全等同。(8)人机物融合和产业发展原则。
- 网络安全策略:是有关保护对象的网络安全规则及要求,其主要依据网络安全法律法规和网络安全风险。通常,一个网络安全策略文件应具备以下内容:涉及范围、有效期、所有者、责任、参考文件、策略主体内容、复查、违规处理。
网络安全体系框架主组成和建设内容
网络安全体系组成框架:
(1)网络安全法律法规
(2)网络安全策略。
(3)网络安全组织。
(4)网络安全管理。
(5)网络安全基础设施及网络安全服务。
(6)网络安全技术。
(7)网络信息科技与产业生态。
(8)网络安全教育与培训。
(9)网络安全标准与规范。
(10)网络安全运营与应急响应。
(11)网络安全投入与建设。
网络安全策略建设内容:一般来说,网络安全策略的相关工作如下:
- 调查网络安全策略需求,明确其作用范围;
- 网络安全策略实施影响分析;
- 获准上级领导支持网络安全策略工作;
- 制订网络安全策略草案;
- 征求网络安全策略有关意见;
- 网络安全策略风险承担者评估;
- 上级领导审批网络安全策略;
- 网络安全策略发布;
- 网络安全策略效果评估和修订。
网络安全策略建设内容:一般来说,网络安全策略的相关工作如下:
- 调查网络安全策略需求,明确其作用范围;
- 网络安全策略实施影响分析;
- 获准上级领导支持网络安全策略工作;
- 制订网络安全策略草案;
- 征求网络安全策略有关意见:
- 网络安全策略风险承担者评估;
- 上级领导审批网络安全策略;
- 网络安全策略发布;
- 网络安全策略效果评估和修订。
物理安全概念
- 传统物理安全包括环境、设备和记录介质在内的所有支持网络信息系统运行硬件的总体安全,广义物理安全则指由硬件,软件,操作人员,环境组成的人、机、物融合的网络信息物理系统的安全。
- 物理安全威胁包括自然安全威胁(地震、洪灾、雷电等)和人为安全威胁(盗窃、毁坏等)。
- 与传统的物理安全威胁比较,新的硬件威胁具有隐蔽性、危害性,攻击具有主动性和非临近性。
- 常见的硬件攻击如:
①硬件木马:通常是指在集成电路芯片(IC)中被植入的恶意电路,当其被某种方式激活后,会改变IC的原有功能和规格,导致信息泄露或失去控制,造成重大危害。IC整个生命周期研发设计、生产制造、封装测试以及应用都有可能被植入恶意硬件逻辑,形成硬件木马。
②硬件协同的恶意代码:可以使得非授权的软件访问特权的内存区域;
③基于软件漏洞攻击硬件实体:利用控制系统的软件漏洞,修改物理实体的配置参数,使得物理实体处于非正常运行状态,从而导致物理实体受到破坏。如“震网“病毒;
④基于环境攻击计算机实体:利用计算机系统所依赖的外部环境缺陷,恶意破坏或改变计算机系统的外部环境,如电磁波、磁场、温度、空气湿度等,导致计算机系统运行出现问题;
⑤硬件安全漏洞利用:硬件安全漏洞对网络信息系统安全的影响更具有持久性和破坏性;如”(熔断(Meltdown)”和“”幽灵(Spectre)”CPU漏洞);
物理安全防护
- 设备物理安全:设备的标志和标记、防止电磁信息泄露、抗电磁干扰、电源保护以及设备振动、碰撞、冲击适应性等方面。确保设备供应链的安全及产品的安全质量,防止设备其他相关方面存在硬件木马和硬件安全洞。智能设备还要确保嵌入的软件是安全可信的。
- 环境物理安全:机房场地选择、机房屏蔽、防火、防水、防雷、防鼠、防盗、防毁、供配电系统、空调系统、综合布线和区域防护等方面。
- 系统物理安全:存储介质安全、灾难备份与恢复、物理设备访问、设备管理和保护、资源利用等。
- 物理安全保护的方法:安全合规、访问控制、安全屏蔽、故障容错、安全监测与预警、供应链安全管理和容灾备份等。
物理安全
- 防水
机房内不得铺设水管和蒸汽管道。若非铺不可,则必须采取防渗漏措施。
机房墙壁、天花板、地面应有防水、防潮性能;
通有水管的地方应设置止水阀和排水沟;
不要把机房设置在楼房底层或地下室,以防水侵蚀或受潮;
如有通往机房的电缆沟,要防止下雨时电缆沟进水漫进机房。通往机房地沟的墙壁和地面应能防水渗透;
- 防火
消除火灾隐患;
安装设备火灾报警系统;
配置灭火设备;
加强防火管理和操作规范;
- 防震
网络机房所在的建筑物应具有抗地震能力;
网络机柜和设备要固定牢靠,并安装防震装置;
加强安全操作管理,例如禁止搬动在线运行的网络设备;
- 防雷在网络设备所处的环境中安装道雷针;网络设备安全接地,并将该“地线”连通机房的地线网,以确保其安全保护作用;对重要网络设备安装专用防雷设施;
- 防鼠虫害尽量减少不必要的洞口或用后予以堵塞,封堵鼠虫出口洞口;投放杀鼠药物,或在电缆上涂上环已基类防鼠剂;在机房中可利用超声波驱鼠,或设置一些捕鼠器械;在电绕外施加毒饵,以消灭配虫;
- 防静电人员服装采用不易产生静电的衣料,工作鞋选用地阻值材料制作;控制机房温湿度,使其保持在不易产生静电的范围内;机房地板从地板表面到接地系统的阻值,应能保证防止人身触电和产生静电;机房各种使用的各种工作台、柜等,应选择产生静电小的材料;在进行网络设备操作时,应戴静电手套;
- 防电磁采用接地的方法;用屏蔽方法;选择合适的场地。
- 防盗设置报警器;锁定装置;摄像监控;严格物理访问控制;安全监控;
- 安全供电专用供电线路;不间新电源(UPS);备用发电机;
机房安全和防护
计算机机房组成:
根据计算机系统的性质、任务、业务量大小、所选用计算机设备的类型以及计算机对供电、空调、空间等方面的要求和管理体制来确定。机房可选用下列房间(允许一室多用或酌情增减)(1)主要工作房间:主机房、终端室等;(2)第一类辅助房间:低压配电间、不间断电源室、蓄电池室、空调机室、发电机室、气体钢瓶室、监控室等;(3)第二类辅助房间:资料室、维修室、技术人员办公室;(4)第三类辅助空间:储藏室、缓冲间、技术人员休息室、盟洗室;
计算机机房等级划分:
计算机机房的安全等级分为A级、B级、C级三个基本级别:
A级:计算机系统运行中断后,会对国家安全、社会秩序、公共利益造成严重损害的;对计算机机房的安全有严格的要求,有完善的计算机机房安全措施。
B级:计算机系统运行中断后,会对国家安全、社会秩序、公共利益造成较大损害的;对计算机机房的安全有较严格的要求,有较完善的计算机机房安全措施;
C级:不属于A、B级的情况。对机房的安全有基本要求,有基本安全措施。根据计算机系统的规模、用途,计算机机房安全可按某一级执行,也可按某些级综合执行。如电磁干扰A级,火灾报警及灭火C级;
机房场地选择要求:
环境安全性:
应避开危险来源区,为了防止计算机机房遭到周围不利环境的意外侵害,应尽量避免将机房建在易燃易爆的场所,如化工库、注料库、液化气站或煤气站等火源附近;
应避开环境污染区,如化工污染区和有毒气体、腐蚀性气体污染区及尘埃较多的区域,如石灰厂、水泥厂和矿山等附近;
应避开盐雾区,如靠近海的区域或产盐区;
应避开落雷区域;
地质可靠性:
不要建在杂填士、淤泥、流砂层以及地层断裂的地质区域上。
建在山区的计算机房,应避开滑坡、泥石流、雪崩和溶洞等地质不牢靠的区域;
建在矿区的计算机房,应避开采矿崩落区地段,也应避开有开采价值的矿区;
应避开低洼、湖湿区域;
场地抗电磁干扰性:
应避开成远商无线电干扰源和微波线路的强电磁场干扰场所;
应避开强电流冲击和强电磁干扰的场所,如距离电气化铁路、高压传输线、高频炉、大电机、大功率开关等设备200m以上;
避开强振动源和强嗓声源:
应避开振动源,如冲床、锻床、爆炸成形的场所。
应避开机场、火车站和车辆往来比较频繁的区域以及建筑工地、影剧院及其他噪声;
应远离主要通道,并避免机房窗户直接临街
避免设在建筑物的高层以及用水设备的下层或者隔壁:
计算机机房应选用专用的建筑物。如果机房是大楼的一部分,应选用二层为宜,一层作为动力、配电、空调间等。同时,应尽量选择电力、水源充足,环境清洁,交通和通信方便的地方。此外,在进行机房场地的选择时,还要同时考虑计算机的功能与要求,对于机要部门信息系统的机房,还应考虑机房中的信息射频不易泄漏和被窃取;
数据中心建设要与设计要求
数据中心概念:
实现对数据信息的集中处理、存储、传输、交换、管理以及为相关的电子信息设备运行提供运行环境的建筑场所。
按照规模大小可将数据中心分为三类:
超大型数掘中心:标准机柜>10000个,重点考虑气候环境、能源供给等要素,特别是以灾备等实时性要求不高的应用为主,优先在气候寒冷、能源充足的一类地区建设,也可在气候适宜,能源充足的二类地区建设。
大型数据中心: 3000个<标准机柜<10000个,重点考虑气候环境、能源供给等要素,鼓励优先在一类和二类地区建设,也可在气候适宜、靠近能源富集地区的三类地区建设。
中小型数据中心:标准机架<3000个,重点考虑市场需求、能源供给等要素,鼓励面向当地、以实时应用为主的中小型数据中心,在靠近用户所在地、能源获取便利的地区建设,依市场需求灵活部署。
可划分为三类:
A级(符合下列情况之一):
电子信息系统运行中断将造成重大的经济损失;
电子信息系统运行中断将造成公共场所秩序严重混乱。
B级(符合下列情况之一):
电子信息系统运行中断将造成较大的经济损失;
电子信息系统运行中断将造成公共场所秩序混乱,
C级:不属于A级或B级的数据中心。
数据中心强制规范:
数据中心内所有设备的金属外壳、各类金属管道、金属线槽、建筑物金属结构必须进行等电位联结井接地;
数据中心的耐火等级不应低于二级;
当数据中心与其他功能用房在同一个建筑内时,数据中心与建筑内其他功能用房之间应采用耐火极限不低于2.0h的防火隔墙和1.5b的楼板隔开,隔墙上开门应采用甲级防火门;
采用管网式气体灭火系统或细水雾灭火系统的主机房,应同时设置两组独立的火灾探测器,火灾报警系统应与灭火系统和视频监控系统联动;
设置气体灭火系统的主机房,应配置专用空气呼吸器或氧气呼吸器;
互联网数据中心:
简称IDC,是向用户提供资源出租基本业务和有关附加业务、在线提供I应用平台能力租用服务和应用软件租用服务的数据中心。
可分为三个级别:
R1级:IDC机房的基础设施和网络系统的主要部分应具备一定的冗余能力,机房基础设施和网络系统可支撑的IDC业务的可用性不应小于99.5%;
R2级:IDC机房的机房基础设施和网络系统应具备冗余能力,机房基础设施和网络系统可支撑的IDC业务的可用性不应小于99.9%;
R3级:IDC机房的机,房基础设施和网络系统应具备容错能力,机房基础设施和网络系统可支撑的IDC业务的可用性不应小于99.99%;
其他安全分析与防护
网络通信线路安全分析与防护:
物理威胁:线路被切断、电磁干扰、线路泄露信息;
线路安全防护:设备冗余+线路冗余;
设备硬件安全分析与防护:
硬件木马检测:反向分析法、功耗分析法、侧信道分析法
①反向分析法:通过逆向工程方法将封装的芯片电路打开,逐层扫描拍照电路,然后使用图形分析软件和电路提取软件重建电路结构图,将恢复出的设计与原始设计进行对比分析,以检测硬件木马;
②功耗分析法:获取芯片的功耗特征与“纯净芯片”功耗特征比对,以判断芯片是否被篡改;
③侧信道分析法:通过比对电路中的物理特性和旁路信息的不同,发现电路的变化,原理是任何硬件电路的改变都会反映在一些电路参数上,如功率、时序、电磁、热等;
硬件漏洞处理:
不同于软件漏洞,硬件漏洞的修补具有不可逆性。通常方法是破坏漏洞利用条件,防止漏洞被攻击者利用;
容错容灾存储:
采用磁盘阵列、双机在线备份、离线备份等安全措施;
认证技术与原理
- 认证一般由标识(ldentification)和鉴别(Authentication)两部分组成。 标识:代表实体对象的身份标志,确保实体的唯一性和可辨识性,同时与实体存在强关联。标识一般用名称和标识符(ID)来表示。可以通过唯一标识符代表实体; 鉴别:利用口令、电子签名、数字证书、令牌、生物特征、行为表现等相关数字化凭证对实体所声称的属性进行识别验证的过程; 鉴别的凭据/认证依据:所知道的秘密信息、所拥有的的实物凭证、所具有的生物特征、所表现的行为特征;
验证对象:是需要鉴别的实体(声称者); 认证协议:是验证对象和鉴别实体(验证者)之间进行认证信息交换所遵从的规则; 监别实体:根据验证对象所提供的认证依据,给出身份的真实性或属性判断;
按需要认证凭据的类型数量,可分成:单因素认证、双因素认证和多因素认证; 按认证双方角色和所依赖外部条件,分为:单向认证、双向认证和第三方认证; 根据认证依据所利用的时间长度,认证可分为一次性口令、持续认证; 持续认证是指连续提供身份确认,对用户整个会话过程中的特征行为进行连续检测,不间断的验证用户所具有的特性,标志是将对事件的身份验证转变为对过程的身份验证。持续验证所使用的鉴定因素主要是认知因素、物理因素、上下文因素。认知因素主要有眼手协调、应用行为模式、使用偏好、设备交互模式等。物理因素主要有左/右手、按压大小、手震、手臂大小和肌肉使用; 一次性口令简称OTP(One TimePassword)用于保护口令安全,防止口令重用攻击,例如短消息验证码、S/Key 口令; 单向认证是指验证者对声称者进行单方面的鉴别,而声称者不需要识别验证者的身份;单向认证技术有两种:基于共享秘密认证和基于挑战响应认证; 双向认证是指在认证过程中,验证者对声称者进行单方面的鉴别,同时,声称者也对验证者的身份进行确认;参与认证的实体双方互为验证者。在网络服务认证过程中,双向认证要求服务方和客户方互相认证客户方也认证服务方,这样就可以解决服务器的真假识别安全问题; 第三方认证是指两个实体在鉴别过程中通过可信的第三方(TTP)来实现;
①口令认证技术:是基于用户所知道的秘密而进行的认证技术,是网络常见的身份认证方法; 优点:简单、易于实现。缺点:容易受到攻击,主要攻击方式有窃听、重放、中间人攻击、口令猜测等; 安全措施:口令信息要安全加密存储; 口令信息要安全传输; 口令认证协议要抵抗攻击,符合安全协议涉及要求; 口令选择要求做到避免弱口令。遵循口令生成安全策略,同时对生成的口令进行安全强度评测;②智能卡技术:一种带有智能存储器和微处理器的集成电路卡,能够安全存储认证信息,并具有一定的计算能力。(身份证/银行卡/校园卡等);③生物特征认证技术:利用人类生物特征来进行验证。例如指纹、人脸、视网膜、语音等生物特征信息可用来进行身份认证;
Kerberos包含四个基本实体: ①Kerberos客户机,用户用来访问服务器设备 ②AS(Authentication Server,认证服务器),识别用户身份并提供TGS会话密钥; ③TGS(Ticket Granting Server,票据发放服务器),为申请服务的用户授予票据(Ticket); ④应用服务器(Application Server),为用户提供服务的设备或系统; AS和TGS统称为KDC(Key Distribution Center) 票据(Ticket)是用于安全的传递用户身份所需要的信息的集合,主要包括客户方实体名称、地址、时间戳、票据生存期和会话密钥等内容; 优点: ①可以显著减少用户密钥的密文的暴露次数,这样就可以减少攻击者对有关用户密钥的密文的积累;
②Kerberos认证过程具有单点登录(SSO)的优点,只要用户拿到了TGT并且该TGT没有过期,那么用户就可以使用该TGT通过TGS完成到任一服务器的认证过程而不必重新输入密码; 缺点: ①要求解决主机节点时间同步问题和抵御拒绝服务攻击。如果某台主机时间被更改,那么这台主机就无法使用Kerberos认证协议; ②如果服务器的时间发生了错误,那么整个Kerberos认证系统将会瘫痪;
其他认证技术 ①SSO(Single Sign On,单点登录)指用户访问使用不同的系统时,只需要进行一次身份认证,就可以根据这次登录的认证身份访问授权资源。解决了用户访问使用不同系统时,需要输入不同系统的口令以及保管口令问题,简化了认证管理工作; ②基于人机识别认证技术:利用计算机求解问题的困难性以区分计算机和人的操作,防止计算机程序恶意操作,例如12306图片登录验证码; ③多因素认证技术:使用多种鉴别信息进行组合,以提升认证的安全强度; ④基于行为的身份鉴别技术:根据用户行为和风险大小而进行的身份鉴别技术,比如异地登录告警; ⑤快速在线认证(FIDO):使用标准公钥加密技术来提供强身份认证。私钥保留在用户端设备中,只将公钥注册到在线服务。公钥将发送到在线服务并与用户账户关联。私钥和有关本地身份验证方法的任何信息(如生物识别测量或模板)永远不会离开本地设备;
认证技术应用 认证技术是网络安全保障的基础性技术,普遍应用于网络信息系统保护,常见应用场景: ①用户身份验证:验证网络资源的访问者的身份,给网络系统访问授权提供支持服务; ②信息来源证实:验证网络信息的发送者和接收者的真实性,防止假冒; ③信息安全保护:通过认证技术保护网络信息的机密性、完整性,防止泄密、篡改、重放或延迟;- Kerberos认证协议
- 认证技术方法
- 认证分类
- 认证机制由验证对象、认证协议、鉴别实体构成;
认证产品
认证产品形态有硬件实体模式、软件模式或软硬结合模式。例如
- 系统安全增强:U盘+口令、智能卡+口令、生物信息+口令等。产品应用场景有U盘登录计算机、网银U盾认证、指纹登录计算机/网站/邮箱等;
- 生物认证:人证核验智能终端、指纹U盘、人脸识别门禁、指纹采集仪、指纹比对引擎、人脸自动识别平台;
- 电子认证服务:数字证书认证系统、证书管理服务器、可信网络身份认证、SSL证书、数字证书服务、时间戳公共服务平台个人多源可信身份统一认证服务平台等;
- 网络准入控制:网络准入控制产品的技术特点是采用基于802.1X协议、Radius协议、VPN等的身份验证相关技术,与网络交换机、路由器、安全网关等设备联动,对入网设备(如主机、移动PC智能手机等)进行身份认证和安全合规性验证,防范非安全设备接入内部网络;
- 身份认证网关:身份认证网关产品的技术特点是利用数字证书、数据同步、网络服务重定向等技术,提供集中、统一的认证服务,形成身份认证中心,具有单点登录、安全审计等安全服务功能;