信息安全概述

信息安全：防止任何对数据进行未授权访问的措施，或者防止造成信息有意无意泄漏、破坏、丢失等问题的发生，让数据处于远离危险、免于威胁的状态或特性。

网络安全：计算机网络环境下的信息安全。

信息安全现状及挑战

数字化时代威胁

勒索病毒，个人信息外泄，数据泄露，网络空间安全，APT攻击

传统安全防护逐步失效

传统防火墙、IPS、杀毒软件等基于特征库的安全检测，无法过滤：变种僵/木/蠕，恶意的内部用户，U盘带入，BYOD带入，零日漏洞，APT攻击

安全风险能见度不足

看不清的新增资产产生安全洼地

缺乏有效手段主动识别新增业务

攻击者对内网未被归档和防护的新增资产进行攻击，顺利渗透如内网

信息安全的脆弱性及常见安全攻击

协议栈的脆弱性及常见攻击

协议栈自身的脆弱性：缺乏数据源验证机制，缺乏机密性保障机制，缺乏完整性验证机制

常见安全风险

物理层--物理攻击

物理设备破坏： 指攻击者直接破坏网络的各种物理设施，比如服务器设施，或者网络的传输通信设施等，设备破坏攻击的目的主要是为了中断网络服务。

物理设备窃听：光纤监听，红外监听。

链路层-- MAC洪泛攻击

泛洪攻击即是攻击者利用这种学习机制不断发送不同的MAC地址给交换机，填满整个MAC表，此时交换机只能进行数据广播，攻击者凭此获得信息

传输层--TCP SYN Flood攻击

SYN报文是TCP连接的第一个报文，攻击者通过大量发送SYN报文，造成大量未完全建立的TCP连接，占用被攻击者的资源。----拒绝服务攻击

分布式拒绝服务攻击（DDoS）

DDoS攻击风险防护方案：网络设备性能充裕，异常流量清洗，分布式集群，网络带宽资源充裕，通过CDN分流。

恶意程序 --- 一般会具备一下的多个或全部特性

1. 非法性
2. 隐蔽性
3. 潜伏性
4. 可触发性
5. 表现性
6. 破坏性
7. 传染性 --- 蠕虫病毒的典型特点
8. 针对性
9. 变异性
10. 不可预见性

?

?病毒?

勒索病毒?

定义： 一种恶意程序，可以感染设备、网络与数据中心并使其瘫痪，直至用户支付赎金使系统解锁。

特点： 调用加密算法库、通过脚本文件进行Http请求、通过脚本文件下载文件、读取远程服务器文件、通过wscript执行文件、收集计算机信息、遍历文件。

危害： 勒索病毒会将电脑中的各类文档进行加密，让用户无法打开，并弹窗限时勒索付款提示信息，如果用户未在指定时间缴纳黑客要求的金额，被锁文件将永远无法恢复。

挖矿病毒

定义： 一种恶意程序，可自动传播，在未授权的情况下，占用系统资源，为攻击者谋利，使得受害者机器性能明显下降，影响正常使用。

特点： 占用CPU或GPU等计算资源、自动建立后门、创建混淆进程、定期改变进程名与PID、扫描ssh文件感染其他机器。

危害：占用系统资源、影响系统正常使用。

蠕虫病毒

定义： 蠕虫是一种可以自我复制的代码，并且通过网络传播，通常无需人为干预就能传播。蠕虫病毒入侵并完全控制一台计算机之后，就会把这台机器作为宿主，进而扫描并感染其他计算机。

特点： 不依赖宿主程序、利用漏洞主动攻击、通过蠕虫网络隐藏攻击者的位置。

危害：拒绝服务、隐私信息丢失

宏病毒

定义： 宏病毒是一种寄存在文档或模板的宏中的计算机病毒。

特点： 感染文档、传播速度极快、病毒制作周期短、多平台交叉感染

危害: 感染了宏病毒的文档不能正常打印。 封闭或改变文件存储路径，将文件改名。 非法复制文件，封闭有关菜单，文件无法正常编辑。 调用系统命令，造成系统破坏。

信息安全的五要素

• ?保密性—confidentiality
• ?完整性—integrity ?
• 可用性—availability
• ?可控性—controllability ?
• 不可否认性—Non-repudiation