信息安全工程师(第二版)
第一章 网络信息安全概述
网络信息安全基本属性
- 机密性 : 不被泄露
- 完整性 : 不被篡改
- 可用性: 随时可用
- 抗抵赖性
- 可控性
网络信息安全现状与问题
- 网络信息安全状况:环境/攻击类型复杂,APT常态化
- 网络信息安全问题:十二方面
网络信息安全基本功能
- 网络信息安全防御
- 网络信息安全监测
- 网络信息安全应急
- 网络信息安全恢复
网络信息安全基本技术需求
- 物理环境安全:环境、设备、存储介质安全
- 网络信息安全认证:实现网络资源访问控制的前提和依据
- 网络信息访问控制:有效保护网络管理对象
- 网络信息安全保密:目的就是防止非授权用户访问
- 网络信息安全漏洞扫描
- 恶意代码防护:病毒、蠕虫、特洛伊木马
- 网络信息内容安全:数据符合法律法规要求
- 网络信息安全检测与预警
- 网络信息安全应急响应
网络信息安全管理内容与方法
- 网络信息安全管理目标:通过适当的安全防范措施,以保障网络的运行安全和信息安全,满足网上业务开展的安全要求
- 管理对象:主要包括网络设备、网络通信协议、网络操作系统、网络服务、安全网络管理等所有支持网络系统运行的软、硬件总和
- 管理要素:由网络管理对象、网络威胁、网络脆弱性、网络风险、网络保护措施组成
- 管理依据:网络安全法律法律、相关政策文件,国内主要依据《网络安全法》、《密码法》、GB17859、GB/T22080、等保
- 管理方法:风险管理、等级保护、纵深防御、层次化保护、应急响应以及PDCA(Plan-Do-Check-Act)方法
- 管理流程:
- 管理工具:网络安全管理平台(SOC)、IT资产管理系统、网络安全态势感知系统、网络安全漏洞扫描器、网络安全协议分析器、上网行为管理
网络信息安全法律与政策文件
- 国家网络空间安全战略
- 网络信息安全基本法律:《国家安全法》
- 网络安全等级保护:定级、备案、建设整改、等级测评、运营维护
- 国家密码管理制度
- 网络产品和服务审查:机构–中国网络安全审查技术与认证中心(CCRC)
- 互联网域名安全管理:政府网站域名正常访问很重要!
- 工业控制信息安全制度
- 个人信息和重要数据保护制度
- 网络安全标准规范与测评:全国信息安全标准化技术委员会
- 网络安全事件与应急响应制度:国家互联网应急中心(CNCERT)
网络信息安全科技信息获取
- 安全会议:“四大”顶级学术会议
- 安全期刊
- 安全网站
- 安全术语
第二章 网络攻击原理与常用方法
网络攻击概述
网络攻击概念:损害网络系统安全属性的危害行为
- 信息泄露攻击
- 完整性破坏攻击
- 拒绝服务攻击
- 非法使用攻击
模型
- 攻击树模型:起源于故障树分析法
- MITRE ATT&CK模型:根据真实的网络攻击数据提炼形成矩阵攻击模型
- 网络杀伤链(Kill Chain)模型:7个阶段
发展演变
- 网络攻击工具智能化、自动化
- 网络攻击者群体普适化
- 网络攻击目标多样化和隐蔽性
- 网络攻击计算资源获取方便
- 网络攻击活动持续性强化
- 网络攻击速度加快
- 网络攻击影响扩大
- 网络攻击主体组织化
网络攻击的一般过程
- 隐藏攻击源:隐藏黑客主机位置使其无法追踪
- 收集攻击目标信息:收集目标系统资产
- 挖掘漏洞信息:提取可使用的漏洞信息
- 获取目标访问权限:getshell,获取普通或特权账户的权限
- 隐蔽攻击行为:隐蔽在目标系统中的操作
- 实施攻击:进行破坏活动
- 开辟后门:留后门持续控制目标系统
- 清除攻击痕迹:避免安全管理员的发现
网络攻击常见技术方法
端口扫描:基于TCP/UDP协议进行不同类型的扫描
- 完全连接
- 半连接
- SYN扫描
- ID头信息扫描
- SYN|ACK扫描
- 隐蔽扫描
- FIN扫描
- ACK扫描
- NULL扫描
- 口令破解
- 缓冲区溢出
- 恶意代码:计算机病毒、网络蠕虫、特洛伊木马、后门、僵尸网络
- 拒绝服务:SYN Flood、UDP Flood、Smurf攻击、垃圾邮件等
- 网络钓鱼
- 网络窃听
- SQL注入
- 社交工程:社交软件中泄露个人隐私信息
- 电子监听
- 会话劫持:TCP会话劫持
- 漏洞扫描:web漏扫
- 代理技术:使用代理服务器隐藏攻击者
- 数据加密:攻击数据进行加密
黑客常用工具
- 扫描器:nmap、Nessus、AWVS、xray、goby
- 远程监控:冰河、网络精灵、Netcat
- 密码破解:John the Ripper(Linux系统弱口令)、LOphtCrack (Windows)
- 网络嗅探:Wireshark、Tcpdump
- 安全渗透工具箱:Metaspolit、kali
网络攻击案例
- DDos攻击
- W32.Blaster.Worm:DCOM RPC漏洞传播的网络蠕虫
- 乌克兰停电事件
第三章 密码学基本理论
密码学概况
- 密码学发展简况
密码学是研究信息安全保护的科学,以实现信息的保密性、完整性、可用性及抗抵赖性。
密码学主要由密码编码和密码分析两个部分组成。密码编码学研究信息等变换处理以实现信息等安全保护,密码分析学研究通过密文获取对应的明文信息。> 简单来说就是密码编码研究加密技术,密码分析研究如何破解密码。
2005年4月1日 《中华人民共和国电子签名法》
2006公布我国商用密码
2019年 《中华人民共和国密码法》草案发布
- 密码学基本概念
密码系统(Crypto system)由以下五个部分组成
明文空间 M:需要采用密码技术进行保护的消息
密文空间 C:用密码技术处理过的明文的结果
密钥空间 K:K=< > K e K_e > K > e > > , > K d K_d > K > d > > >,每个K由加密密钥 > K e K_e > K > e > > 和解密密钥 > K d K_d > K > d > > 组成
加密算法 E:将明文变换成密文所使用的组操作运算规则
解密算法 D:将密文恢复成明文所使用的组操作运算规则
- 密码安全性分析
唯密文攻击:> 密码分析者只拥有一个或多个用同一个密钥加密的密文
已知明文攻击:> 密码分析者进知道当前密钥下的一些明文及所对应的密文
选择明文攻击:> 密码分析者能够得到当前密钥下自己选定的明文对应的密文
密文验证攻击:> 密码分析者可以判断任何选定的密文的“合法性”
选择密文攻击:> 密码分析者能够得到任何选定的密文所对应的明文
密码体制分类
显然,若 K d = K e K_d=K_e K d = K e ,称为单密钥密码体制或者对称密码体制或者传统密码体制。否则为双密钥体制,进而,若 K d K_d K d 不能由 K e K_e K e 推出,就可将 K e K_e K e 公开且不会损害 K d K_d K d 的安全,这种密码体制称为公开密钥密码体制,简称公钥密码体制
对称密码体制
对称密码体制(私钥密码体制):对信息进行明/密文变换时,加解和解密使用相同密钥的密码体制
安全性依赖于:
1、加密算法的安全性
2、密钥的秘密性
优点:效率高,算法简单,加密速度快,适合大量数量的加密
缺点:
消息的发送者和接收者必须事先通过安全渠道交换密钥
n个使用者,就需要 > n ( n − 1 ) / 2 n(n-1)/2 > n > ( > n > − > 1 > ) > / > 2 > 个密钥,密钥管理困难
无法认证消息源,无法进行数字签名
用途:信息量大的加密需求
典型代表算法:DES算法、IDEA算法、AES算法等
非对称密码体制
非对称密码体制(公钥密码体制):对信息进行明/密文变换时,加密和解密密钥不相同的密码体制。
在非对称密码体制中,每个用户都具有一对密钥,一个用于加密,一个用于解密,其中加密密钥可以公开,称之为公钥,解密密钥属于秘密,称之为私钥,只有用户本人知道。
优点:
密钥分发方便
密钥保管量少
支持数字签名
缺点:实现速度慢,不适合信息量大的加密情况
用途:适用于加密关键性的、核心的机密数据
代表算法:RSA算法、ElGamal算法、椭圆曲线加密算法
混合加密体制
混合加密体制:同时使用对称密码和非对称密码的体制。
对称加密的一个很大问题就是通信双方如何将密钥传输给对方,安全起见一般采取带外传输,也就是说如果加密通信是在网络,那么密钥的传输需要通过其他途径,如短信,即使如此,也很难保证密钥传输的安全性。再就是为了安全密钥也应该定期更换,这更加重了密钥分发和管理的难度。
而非对称加密加解最大的优点是事先不需要传输密钥,但速度慢。
因此实际应用中,经常采取混合密码体制。
假设Harden与James要实现保密通信,工作过程如下:
1、消息发送者Harden用> 对称密钥> 把需要发送的消息加密
2、Harden用> James的公钥> 将> 对称密钥> 加密,形成数字信封
3、Harden将加密消息和数字信封一起传送给James
4、James收到Harden的加密消息和数字信封后,先用> 自己的私钥> 将数字信封解开获取> 对称密钥
5、James使用> 对称密钥> 把加密消息解开
常用密码算法
DES
DES(Data Encryption Standard)是数据加密标准的简称,支持64位的明文加密,密钥长度为56位。随着科技发展,DES被攻破,使用TDEA作为过渡算法,并开始征集AES算法
IDEA
IDEA(International Data Encryption Algorithm)是国际数据加密算法的简记,是一个分组加密处理算法。其明文和密文分组都是64位,密钥长度128位
AES
1997年美国国家标准技术研究所(NIST)发起征集AES(Advanced Encryption Standard)算法的活动,成立AES小组
RSA
相关数学基础
- 欧拉函数:对于一个正整数n,小于n且与n互素的正整数的个数,记为φ(n)。
对于一个素数n,可知φ(n) = n-1
对于两个素数p和q,它们的乘积满足n = p q,则可知φ(n) = (p-1) (q-1)- 欧几里得算法:gcd(a,b)表示a和b的最大公约数
gcd(a,b) = 1,表示a,b最大公约数为1,说明a和b互质
- 同余:
两个整数a,b,若它们除以整数m所得的余数相等,则称a与b对于模m同余,或a同余b模m,记作 a ≡ b ( m o d m ) a \equiv b(mod\;m) a ≡ b ( m o d m )
RSA密码体制参数的定义
- 随机选择两个大素数p和q (保密)
- 计算n = p * q (n公开)
- 计算φ(n) = (p-1) * (q-1) (φ(n)保密)
- 随机选取一个正整数e,且满足1 < e < φ(n),并且gcd(e,φ(n)) = 1 (e公开)
- 根据 e ∗ d = 1 m o d φ ( n ) e*d=1\;mod\;φ(n) e ∗ d = 1 m o d φ ( n ) ,求出d (d保密)
- 加密运算 C = M e m o d n C=M^e\;mod\;n C = M e m o d n 解密运算 M = C d m o d n M=C^d\;mod\;n M = C d m o d n
RSA密码公开的加密钥 K e K_e K e =,保密的解密钥 K d K_d K d =
RSA密码的特点
- RSA算法具有加解密算法的可逆性,加密和解密运算可交换,可同时确保数据的秘密性和数据的真实性
- RSA密码的核心运算是模幂运算,实现效率高
RSA密码的安全性
- 保证选取的素数p和q足够大,使得给定n的情况下分解n在计算上不可行,应采用足够大的整数n,一般n至少取1024位,通常是2048位
国产密码算法
国产密码算法是指由国家密码研究相关机构自主研发,具有相关知识产权的商用密码算法。目前已公布的国产密码算法如下图
Hash函数与数字签名
Hash函数
散列函数也称为Hash函数,它能够对不同长度的输入信息,产生固定长度的输出。
固定长度的输出称为原消息的散列或者消息摘要,消息摘要长度固定且比原始信息小得多,一般情况下,消息摘要是不可逆的,即从消息摘要无法还原原文。
令h表示Hash函数,h满足下列条件:
1、输入长度是任意的,输出是固定的
2、对每一个给定的h和M,计算h(M)是容易的
3、给定h,找到两个不同的M1、M2,使得h(M1)=h(M2)在计算上不可行
常见的散列算法:、MD5、SHA、SM3、SHA-1
Hash算法
| 算法名称 | 算法特征描述 |
|---|---|
| MD5算法 | 输入512位,产生128位消息摘要(哈希值),常用于文件完整性检查 |
| SHA算法 | 输入512位,产生160位消息摘要,比MD5更安全,已有版本SHA-2,SHA-3 |
| SM3国产算法 | 输入512位,产生256位消息摘要 |
数字签名
数字签名是指发送方以电子形式签名一个消息或文件,签名后的消息或文件能在网络中传输,并表示签名人对该消息或文件的内容负有责任。
数字签名综合使用了消息摘要和非对称加密技术。
数字签名满足以下三个条件:
1、不可抵赖。签名者事后不能否认自己的签名
2、真实性。接收者能验证签名,其他任何人都不能伪造签名
3、可鉴别性。当双方关于签名真伪发生争执,第三方能解决双方的争执
假设Harden需要签名发送一份电子合同文件给James。
Harden数字签名的示意图:
1、Harden使用Hash函数将电子合同文件生成一个消息摘要
2、Harden使用自己的私钥,将消息摘要加密形成一个数字签名
3、Harden把电子合同文件和数字签名一同发送给James
James收到Harden发送的电子合同文件及数字签名后,验证数字签名过程如下:
1、James使用与Harden相同的Hash函数,计算收到的电子合同的消息摘要
2、James使用Harden的公钥,解密来自Harden的数字签名,恢复Harden的消息摘要
3、James比较自己计算得到的消息摘要和恢复Harden的消息摘要异同,若摘要相同,则说明电子合同文件来自Harden,否则表明电子合同文件已被篡改
密码管理与数字证书
密码管理
密钥管理:围绕密钥的生命周期进行
- 密钥生成
- 密钥存储
- 密钥分发
- 密钥使用
- 密钥更新
- 密钥撤销
- 密钥备份
- 密钥恢复
- 密钥销毁
- 密钥审计
密码管理政策
- 《商用密码管理条例》
- 《中华人民共和国密码法》
密码测评
- 设立商用密码检测中心对密码产品进行安全评估
- 数字证书
数字证书也称为公钥证书,是一种权威的电子文档,由证书认证机构(CA)签名的包含公开密钥拥有者信息、公开密钥、签发者信息、有效期以及扩展信息的一种数据结构。
数字证书的格式按照《信息安全技术 公钥基础设施 数字证书格式》要求:
CA提供数字证书的申请、审核、签发、查询、发布以及证书吊销等全生命周期的管理服务
数字证书认证系统主要由目录服务器、OCSP服务器、注册服务器、签发服务器组成
数字证书种类:
按类别
个人证书
机构证书
设备证书
按用途
签名证书:用于证明签名公钥的数字证书
加密证书:用于证明加密公钥的数字证书
安全协议
Diffie-Hellman密钥交换协议
一种共享秘密的方案,简称Diffie-Hellman密钥交换协议,基于求解离散对数问题的困难性,对于下述等式 c d = M m o d P c^d=M\;mod\;P c d = M m o d P
操作步骤:
- A与B确定一个素数p和整数a,并使a是p的原根,a,p可公开
- A秘密选取整数 a A a_A a A ,计算 y A = a a A m o d ( p ) y_A=a^{a_A}\;mod\;(p) y A = a a A m o d ( p ) ,并把 y A y_A y A 发送给B
- B密码选取整数 a B a_B a B ,计算 y B = a a B m o d ( p ) y_B=a^{a_B}mod(p) y B = a a B m o d ( p ) ,并把 y B y_B y B 发送给A, y A y_A y A 和 y B y_B y B 即公开值
- A和B双方分别计算出共享密钥K,即
A: K = ( y B ) a A m o d p K=(y_B)^{a_A}\;mod\;p K = ( y B ) a A m o d p
B: K = ( y A ) a B m o d p K=(y_A)^{a_B}\;mod\;p K = ( y A ) a B m o d p
即A的K与B的K是相同的,推导如下图,就实现了密钥的交换
SSH
SSH是Secure Shell的缩写,基于公钥的安全应用协议。
组成:SSH传输层协议、SSH用户认证协议和SSH连接协议三个子协议。
- SSH传输层协议:提供算法协商和密钥交换。实现服务器认证,形成加密全连接
- SSH用户认证协议:利用传输层的服务建立连接,使用多种认证机制认证用户
- SSH连接协议:利用已建立的认证连接,将其分解为多种不同的并发逻辑通道,支持注册会话隧道和TCP转发。
SSH工作机制7个步骤:
认证服务器的公钥真实性:
- 随身携带含有服务器公钥的拷贝,进行密钥交换前,读入客户端
- 从公开信道下载公钥和指纹,通过电话验证公钥指纹的真实性,用HASH软件生成公钥指纹,进行比较
通过PKI技术来验证服务器
第四章 网络安全体系与网络安全模型
网络安全体系概述
- 网络安全体系概念
网络安全体系包括法律法规政策文件、安全策略、组织管理、技术措施、标准规范、安全建设与运营、人员队伍、教育培训、产业生态、安全投入等多种要素
网络安全体系特征
- 整体性
- 协同性
- 过程性
- 全面性
- 适应性
网络安全体系用途
- 有利于系统性化解网路安全风险,确保业务持续开展并将损失降到最低限度
- 有利于强化工作人员的网络安全意识,规范组织、个人的网络安全行为
- 有利于组织的商业合作
- 有利于组织的网络安全管理体系认证,证明组织有能力保障重要信息,能提高组织的知名度与信任度
网络安全体系相关安全模型
BLP机密性模型:简称BLP模型,用于防止非授权信息的扩散,保证系统的安全
- 简单安全特性:主体只能向下读,不能向上读
- *特性:主体只能向上写,不能向下写
即信息流只向高级别的客体方向流动,而高级别的主体可以读取低级别的主体信息,示意图
- 可用于军事安全策略,其策略规定,用户要合法读取某信息,当且仅当用户的安全级大于或等于该信息的安全及,并且用户的访问范畴包含该信息范畴
示例:
BiBa完整性模型:用于防止非授权修改系统信息,保护系统的信息完整性
- 简单安全特性:主体不能向下读
- *特性:主体不能向下写
- 调用特性:主体完整性级别小于另一个主体的完整性级别,不能调用另一个主体
信息流模型
- 描述:访问控制模型的一种变形,简称FM
- 作用:用于分析系统的隐蔽通道,防止敏感信息通过隐蔽通道泄露
信息保障模型
PDRR模型
- 美国国防部提出,Protection、Detection、Recovery、Response
P2DR模型
- 要素由策略(Policy)、防护(Protection)、检测(Detection)、响应(Response)构成
WPDRRC模型
- 要素由预警、保护、检测、响应、恢复和反击构成
能力成熟度模型
- 简称CMM,是对一个组织机构的能力进行成熟度评估的模型。成熟度分5级,级别越大,表示能力成熟度越高。
网络安全方面的成熟度模型:
SSE-CMM:系统安全工程能力成熟度模型
- 包括工程过程类、组织过程类、项目过程类
- 数据安全能力成熟度模型
* 软件安全能力成熟度模型
纵深防御模型
- 基本思路:将信息网络安全防护措施有机组合起来,针对保护对象,部署合适的安全措施,形成多道保护线
分层防护模型
- 以OSI7层模型为参考,进行层次化保护:物理层、网络层、系统层、应用层、用户层、管理层
等级保护模型
- 具体过程:确定系统安全等级、确定与系统安全等级相对应的基本安全要求、进行安全保护措施的定制、按照指南相关要求完成规划、设计、实施和验收
网络生存模型
“3R”建立方法:
- 将系统划分成不可攻破的安全核和可恢复部分,给出3R策略(抵抗Resistance、识别Recognition和恢复Recovery)
- 定义应具备的正常服务模式和可能被利用的入侵模式,给出需重点保护的基本功能服务和关键信息等
网络安全体系建设原则与安全策略
网络安全原则
- 系统性和动态性原则
- 纵深防护与协作性原则
- 网络安全风险和分级保护原则
- 标准化与一致性原则
- 技术与管理相结合原则
- 安全第一,预防为主原则
- 安全与发展同步,业务与安全等同
- 人机物融合和产业发展原则
网络安全策略,应具备以下内容
- 涉及范围:主题、组织区域、技术系统
- 有效期:策略文件适用期限
- 所有者:负责维护策略文件,保证文件完整性
- 责任:确定每个安全单元的责任人
- 参考文件:引用的参考文件,比如安全计划
- 策略主体内容
- 复查:是否进行复查、具体复查时间、复查方式等
- 违规处理:对不遵守本策略文件条款内容对处理办法
网络安全体系框架组成和建设内容
- 网络安全体系组成框架
网络安全策略建设内容,相关工作如下
- 调查网络安全策略需求,明确其作用范围
- 网络安全策略实施影响分析
- 获准上级领导支持网络安全策略工作
- 制订网络安全策略有关意见
- 网络安全策略风险承担者评估
- 上级领导审批网络安全策略
- 网络安全策略发布
- 网络安全策略效果评估和修订
网络安全策略:
* 网络资产分级策略、密码管理策略、互联网使用安全策略、网络通信安全策略、远程访问策略、桌面安全策略、服务器安全策略、应用程序安全策略。网络安全组织体系构建内容
- 主要包括:网络安全机构设置、网络安全岗位编制、网络安全人才队伍建设、网络安全岗位培训、网络安全资源协同
- 组织结构主要包括领导层、管理层、执行层以及外部协作层
网络安全管理体系构建内容
- 涉及五方面的内容:管理目标、管理手段、管理主体、管理依据、管理资源
管理体系包括以下十个方面:
- 网络安全管理策略
- 第三方安全策略
- 网络系统资产分类与控制
* 人员安全
* 网络物理与环境安全
* 网络通信与运行
* 网络访问控制
* 网络应用系统开发与维护
* 网络系统可持续运营
* 网络安全合规性管理网络安全技术体系构建内容
- 可分为保护类技术、检测类技术、恢复类技术、响应类技术
网络安全基础设施及网络安全服务构建内容
- 基础设施包括:网络安全数字认证服务中心、网络安全运营中心、网络安全测评认证中心
- 网络安全服务的目标:通过网络安全服务保障业务运营和数据安全
网络信息科技与产业生态构建内容
- 目标:确保网络安全体系能够做到安全可控,相关的技术和产品安全可信
网络安全教育与培训构建内容
- 工作内容:师资力量建设、教材开发/选购、环境建立、意识培训、技能培训
- 网络安全标准与规范构建内容
网络安全运营与应急响应构建内容
工作内容:
- 网络信息安全策略修订和执行
- 网络信息安全态势监测和预警
- 网络信息系统配置检查和维护
- 网络信息安全设备部署和维护
- 网络信息安全服务设立和实施
- 网络信息安全应急预案制定和演练
- 网络信息安全事件响应和处置
- 网络信安全运营与应急响应支撑平台维护和使用
网络安全投入与建设构建内容
- 网络安全策略及标准规范制定和实施
- 网络安全组织管理机构的设置和岗位人员配备
- 网络安全项目规划、设计、实施
- 网络安全方案设计和部署
- 网络安全工程项目验收测评和交付使用
网络安全体系建设参考案例
网络安全等级保护体系应用、智慧城市安全体系应用、智能交通网络安全体系应用、ISO 27000信息安全管理体系应用、NIST网络安全框架体系应用等,详细看书P85-P94
第五章 物理与环境安全技术
物理安全概念与要求
物理安全概念
- 传统物理安全也称为实体安全,指包括环境、设备和记录介质在内的所有支持网络信息系统运行的硬件的总体安全
- 广义的物理安全指由硬件、软件、操作人员、环境组成的人、机、物融合的网路信息物理系统的安全
物理安全要求
《信息系统物理安全技术要求(GB/T 21052-2007)》分4级保护:
- 第一级用户自主保护级提供基本的物理安全保护
- 第二级系统审计保护级提供适当的物理安全保护
- 第三级安全标记保护级提供较高程度的物理安全保护
- 第四级结构化保护级提供更高程度的物理安全保护
物理环境安全分析与防护
自然灾害防护
- 防水、防火、防震、防雷
人为破坏及鼠虫害安全防护
- 防盗、防鼠虫害
电磁及供电安全防护
- 防电磁、防静电、安全供电
机房安全分析与防护
机房组成内容
《计算机场地通用规范(GB/T 2887-2011)》(允许一室多用或酌情增减):
- 主要工作房间:主机房、终端室等;
- 第一类辅助房间:低压配电间、不间断电源室、空调机室、发电机室、气体钢瓶室、监控室等
- 第二类辅助房间:资料室、维修室、技术人员办公室
- 第三类辅助房间:储藏室、缓冲间、技术人员休息室、盥洗室
机房安全等级
《计算机场地通用规范(GB/T 2887-2011)》分为A、B、C三级:
- A级:计算机系统运行中断后,会对国家安全、社会秩序、公共利益造成严重损害
- B级:计算机系统运行中断后,会对国家安全、社会秩序、公共利益造成较大损害的
- C级:不属于A、B级的情况
机房场地选择
- 环境安全性
- 地址可靠性
- 场地抗电磁干扰性
- 应避开强震动源和强噪声源
- 应避免设在建筑物的高层以及用水设备的下层或隔壁
网络通信线路安全分析与防护
网络通信线路安全分析(威胁)
- 网络通信线路被切断
- 网络通信线路被电磁干扰
- 网络通信线路泄漏信息
网络通信线路安全防护
- 网络通信设备:采取设备冗余
- 网络通信线路:采取多路通信
设备实体安全分析与防护
设备实体安全分析(威胁)
- 设备实体环境关联安全威胁
- 设备实体被盗取或损害
- 设备实体受到电磁干扰
- 设备供应链条中断或延缓
- 设备实体的固件部分遭受攻击
- 设备遭受硬件攻击
- 设备实体的控制组件安全威胁
- 设备非法外联
设备实体安全防护
GB/T 21052-2007,主要技术措施:
- 设备的标志和标记
- 设备电磁辐射防护
- 设备静电及用电安全防护
- 设备磁场抗扰
- 设备环境安全保护
- 设备适应性与可靠性保护(包括:温度、湿度、冲击和碰撞适应性、可靠性、供应链弹性、安全质量保障、安全合规、安全审查)
存储介质安全分析与防护
存储介质安全分析(威胁)
- 存储管理失效
- 存储数据泄密
- 存储介质及存储设备故障
- 存储介质数据非安全删除
- 恶意代码攻击
存储介质安全防护
- 强化存储安全管理(专人负责,审批登记、备份、密封、消除数据)
- 数据存储加密保存
- 容错容灾存储技术(磁盘阵列、双机在线备份、离线备份)
第六章 认证技术原理与应用
认证概述
认证概念
- 认证是一个实体向另一个实体证明其所声称的身份的过程。
- 认证一般由标识(Identification)和鉴别(Authentication)两部分组成
认证依据:也称为鉴别信息,指用于确认实体身份的真实性或者其拥有的属性的凭证
所知道的秘密信息
- 声称者掌握的秘密信息,如口令、验证码
所拥有的实物凭证
- 声称者持有的不可伪造的物理设备,如智能卡、U盾
所具有的生物特征
- 声称者具有的生物特征,如指纹、声音、人脸
所表现的行为特征
- 声称者表现的行为特征,如键盘敲击力度,鼠标使用习惯
认证原理
- 认证机制由验证对象、认证协议、鉴别实体构成
按照对验证对象要求提供的认证凭据的类型数量分类
- 单因素认证
- 双因素认证
- 多因素认证
根据认证依据利用的时间长度
- 一次性口令(One Time Password)OTP:短信验证码
- 持续性认证:对用户整个会话过程中的特征行为进行连续地检测、验证用户身份
认证类型与认证过程
单向认证
- 认证过程中,验证者对声称者进行单方面的鉴别,声称者不需要识别验证者的身份
两种实现单向认证的技术方法
- 基于共享秘密
* 基于挑战响应
双向认证
- 认证过程中,验证者对声称者进行单方面的鉴别,同时,声称者也对验证者的身份进行确认
- 第三方认证:指两个实体在鉴别过程中通过可信的第三方来实现。可信的第三方简称TTP(Trusted Third Party)
- 实体A和实体B基于第三方的认证方案有多种形式,选取一种基于第三方挑战响应的技术方案
认证技术方法
口令认证技术
- 基于用户所知道的秘密而进行的认证技术,是网络常见的身份认证方法。网络设备、操作系统和网络应用服务等都采用了口令认证技术
口令认证易受到窃听、重放、中间人攻击、口令猜测等,需满足以下条件:
- 口令信息要安全加密存储
- 口令信息要安全传输
- 口令认证协议要抵抗攻击,符合安全协议设计要求
- 口令选择要求做到避免弱口令
智能卡技术
- 一种带有存储器和微处理器的集成电路卡,能够安全存储认证信息,并具有一定的计算能力
基于生物特征认证技术:利用人类生物特征来进行验证
- 目前,使用指纹、人脸、视网膜、语音等生物特征信息用来进行身份认证
Kerberos认证技术
- 一个网络认证协议,目标是使用密钥加密为客户端/服务器应用程序提供强身份认证
- 技术原理:利用对称密码技术,使用可信的第三方来为应用服务器提供认证服务,并在用户和服务器之间建立安全通道
一个Kerberos系统涉及四个基本实体:
- Kerberos客户机,用户用来访问服务器的设备
- AS(Authentication Server,认证服务器),识别用户身份并提供TGS会话密钥
- TGS(Ticket Granting Server,票据发放服务器),为申请服务的用户授予票据(Ticket)
- 应用服务器(Application Server),为用户提供服务的设备或系统
- 其中,AS和TGS统称为KDC(Key Distribution Center)
- Kerberos V5认证协议主要由六步构成
1. **Kerberos客户**(已知自己用户名密码)向**AS**(已知所有用户和服务名所有密码)申请票据**TGT**
1. 当**AS**收到**Kerberos客户**消息后,在认证数据库检查确认后产生一个会话密钥,同时使用客户秘密密钥对会话密钥加密,生成**票据TGT**(实体名、地址、时间戳、限制时间、会话密钥组成)。然后发送给**Kerberos客户**。
1. **Kerberos客户**收到**TGT**后,使用自己的秘密密钥解密得到会话密钥,利用解密的信息重新构造认证请求单,向**TGS**发送请求,申请访问**应用服务器AP**所需的票据。
1. **TGS**使用其秘密密钥对**TGT**进行解密,同时使用**TGT**中的会话密钥对**Kerberos客户**的请求认证单信息进行解密,并将解密后的信息与**TGT**中信息进行比较。然后**TGS**生成新的会话密钥以供**Kerberos客户**和**应用服务器**使用,并利用各自的秘密密钥加密会话密钥。最后,生成一个**票据TGT**(由客户的实体名、地址、时间戳、限制时间、会话密钥组成),将TGT发送给**Kerberos客户**。
1. **Kerberos客户**收到**TGS响应**后,获得与应用服务器共享的会话密钥。此时,Kerberos客户生成一个新的用于访问应用服务器的认证单,并用与应用服务器共享的会话密钥加密,然后与TGS发送来的票据一并传送到应用服务器。
1. **应用服务器**确认请求
优点:
* **显著减少用户密钥的密文暴露次数**,减少攻击者对有关用户密钥对密文积累
* **具有单点登录的优点**,只要TGT未过期,认证过程就不必重新输入密码
缺点:
* 若**服务器时间发送错误**,则整个Kerberos认证系统将会瘫痪公钥基础设施(PKI)技术
- PKI就是有关创建、管理、存储、分发和撤销公钥证书所需要的硬件、软件、人员、策略
和过程的安全服务设施。
- 其主要安全服务有身份认证、完整性保护、数字签名、会话加密管理、密钥恢复
PKI各实体的功能分别叙述如下:
- CA:证书授权机构,主要进行证书的颁发、废止和更新;认证机构负责签发、管理和撤销一组终端用户的证书
- RA:证书登记权威机构,将公钥和对应的证书持有者的身份及其他属性联系起来,进行注册和担保;RA可以充当CA和他的终端用户之间的中间实体,辅助CA完成其他绝大部分的证书处理功能
- 目录服务器:CA通常使用一个目录服务器,提供证书管理和分发的服务
- 终端实体:指需要认证的对象,如服务器、E-mail地址
- 客户端:指需要基于PKI安全服务的使用者,包括用户、服务进程等
单点登录
- 指用户访问使用不同的系统时,只需要进行一次身份认证。简化了认证管理工作
认证主要技术指标与产品
认证评价指标
- 安全功能要求
- 性能要求
- 安全保障要求
认证技术产品主要技术指标:
- 密码算法支持
- 认证准确性
- 用户支持数量
- 安全保障级别
认证产品
- 系统安全增强:多因素认证
- 生物认证
- 电子认证服务:数字证书
- 网络准入控制
- 身份认证网关
认证技术应用
- 用户身份验证:验证网络资源的访问者的身份,给网络系统访问授权提供支持服务
- 信息来源证实:验证网络信息的发送者和接收者的真实性,防止假冒
- 信息安全保护:通过认证技术保护网络信息的机密性、完整性、防止泄密、篡改、重放或延迟
相关案例P150-155
第七章 访问控制技术原理与应用
访问控制概述
访问控制概念
访问控制是指对资源对象的访问者授权、控制的方法及运行机制。
- 访问者又称为主体,可以是用户、进程、应用程序等
- 资源对象又称为客体,即被访问的对象
- 授权是访问者可以对资源对象进行访问的方式,如文件的读写、删除等
- 控制:如拒绝访问、授权许可、禁止操作
访问控制目标
- 防止非法用户进入系统
- 阻止合法用户对系统资源的非法使用
访问控制模型
访问控制参考模型
- 组成要素:主体、参考监视器、客体、访问控制数据库、审计库
访问控制类型
自主访问控制(Discretionary Access Control,DAC):指客体的所有者按照自己的安全策略授予系统中的其他用户对其的访问控制
- 基于行的自主访问控制
在每个主体上附加一个该主体可访问的客体的明细表,分成三种形式:
* 能力表:访问客体的钥匙,决定用户访问模式(r、w、x)
* 前缀表:包括保护客体名和主体对它的访问权限。检查前缀表判定访问权
* 口令:每个客体都有一个口令,访问前,必须向系统提供该客体的口令- 基于列的自主访问控制
在每个客体上都附加一个可访问它的主体的明细表
* 保护位:对所有主体、主体组及客体拥有者指明一个访问模式集合,以比特位来表示访问权限
* **访问控制表(ACL)**:在每个客体附加一个主体明细表,表示访问控制矩阵。每一项包括主体的身份和主体对该客体的访问权限
好处:用户根据其安全需求,自行设置访问控制权限,访问机制简单、灵活
缺点:依赖于用户的安全意识和技能,不能满足高安全等级的安全要求
强制访问控制(Mandatory Access Control,MAC)
- 指系统根据主体和客体的安全属性,以强制方式控制主体对客体的访问
优点:防止其他用户非法入侵自己的网络资源
缺点:对于用户的意外事件或误操作无效
基于角色的访问控制(PBAC)
- 指根据完成某些职责任务所需要的访问权限来进行授权和管理
- 组成要素:用户、角色、会话、权限
访问控制策略设计与实现
访问控制策略
- 用于规定用户访问资源的权限,防止资源损失、泄密或非法利用
- 必须明确禁止什么和允许什么
- 由所要控制的对象、访问控制规则、用户权限或其他访问安全要求组成
访问控制规则类型及实施方法
- 基于用户身份的访问控制规则
- 基于角色的访问控制规则
- 基于地址的访问控制规则
- 基于时间的访问控制规则
- 基于异常事件的访问控制规则
- 基于服务数量的访问控制规则
访问控制过程与安全管理
访问控制管理过程
- 明确访问控制管理的资产
- 分析管理资产的安全需求
- 制定访问控制策略,确定访问控制规则以及用户权限分配
- 实现访问控制策略,建立用户访问身份认证系统,根据用户类型授权访问资产
- 运行和维护访问控制系统,及时调整访问策略
最小特权管理
- 最小特权原则指系统中每一个主体只能拥有完成任务所必要的权限集
- 用户访问管理
- 口令管理
访问控制主要技术指标与产品
访问控制主要产品
- 4A系统:认证(Authentication)、授权(Authorization)、账号(Account)、审计(Audit)
- 安全网关:防火墙、统一威胁管理(UTM)
- 系统安全增强
访问控制主要技术指标
- 产品支持访问控制策略规则类型
- 产品支持访问控制规则最大数量
- 产品访问控制规则检查速度
- 产品滋生安全和质量保障级别
访问控制技术应用
UNIX/Linux操作系统访问控制应用
- 在每个文件上使用“9比特位模式”来标识访问控制权限信息
- Windows操作系统访问控制应用
- Web服务器访问控制应用
网络通信访问控制应用
网络通信连接控制
- 只有当通信流符合访问控制规则时,才允许通信正常进行
- 基于VLAN的网络隔离
第八章 防火墙技术原理与应用
防火墙概述
防火墙概念
根据网络的安全信任程度和需要保护的对象,人为的划分若干安全区域
- 公共外部网络,互联网
- 内联网,某个公司的专用网络,网络访问限制在组织内部
- 外联网,用作组织与合作伙伴之间进行通信
- 军事缓冲区域,DMZ,介于内部网络和外部网络之间,放置公共服务设备,向外提供服务
防火墙工作原理
- 根据一定的安全规则来控制流过防火墙的网络包,(禁止或转发),起到网络安全屏障的作用
两种安全策略:
- 白名单策略:只允许符合安全规则的包通过,其他通信包禁止
- 黑名单策略:禁止与安全规则冲突的包通过,其他包都允许
功能:
- 过滤非安全网络访问
- 限制网络访问:只允许访问指定主机或网络服务
- 网络访问审计
- 网络带宽控制
- 协同防御
防火墙安全风险
- 网络安全旁路。只能对通过它对网络通信包进行访问控制
防火墙功能缺陷,导致一些网络威胁无法阻断
- 不能完全防止感染病毒的软件或文件传输
- 不能防止基于数据驱动式的攻击
- 不能完全防止后门攻击,如隐蔽通道
- 防火墙安全机制形成单点故障和特权威胁,自身失陷危害极大
- 防火墙无法有效防范内部威胁,内网渗透
- 防火墙效用受限于安全规则
防火墙发展
- 防火墙控制粒度不断细化
- 检查安全功能持续增强
- 产品分类更细化
- 智能化增强
防火墙类型与实现技术
基于防火墙产品形态分类
- 软件防火墙
- 硬件防火墙
基于防火墙应用领域分类
- 网络防火墙
- Web防火墙
- 工控防火墙
防火墙实现技术
包过滤
- IP层(网络层)实现的防火墙技术,根据包的源IP地址、目的IP地址、源端口、目的端口及包传递方向等包头信息判断是否允许包通过。
- 控制依据:规则集。过滤规则表示格式由“规则号、匹配条件、匹配操作”三部分组成。
- 优点:低负载、高通过率、对用户透明
- 弱点:不能在用户级别进行过滤,IP伪装绕过
状态检查技术
- 通过利用TCP会话和UDP"伪"会话的状态信息进行网络访问的机制
应用服务代理
- 代替受保护网络的主机向外部网发送服务请求,并将响应结果返回。提供在应用级的网络安全访问控制
* 优点:
* 不允许外部主机直接访问内部主机
* 支持多种用户认证方案
* 可以分析数据包内部的应用命令
* 可以提供详细的审计记录
缺点:
* 速度比包过滤慢
* 对用户不透明
* 与特定应用协议相关联,代理服务器并不能支持所有的网络协议网络地址转换技术
实现网络地址转换的方式主要有三种:
- 静态NAT:内部每个主机被永久映射成外部网络某个合法地址
- NAT池:采用动态分配的方法映射内部网络
- 端口NAT(PAT):把内部地址映射到外部网络一个IP地址的不同端口上
Web防火墙技术
- 一种用于保护Web服务器和Web应用的网络安全机制。
- 原理:根据预先定义规则,对所有访问Web服务器和服务器想用,进行HTTP协议和内容的过滤。
数据库防火墙技术
- 一种用户保护数据库服务器的网络安全机制
- 原理:基于数据通信协议深度分析和虚拟补丁技术,对数据库访问操作及通信进行安全访问控制
工控防火墙技术
- 一种用于保护工业设备及系统的网络安全机制
- 原理:通过工控协议深度分析,对访问工控设备的请求和响应进行监控,实现工控网络的安全隔离和现场操作的安全保护
- 工控协议:Modbus TCP、IEC61850、OPC、Ethernet/IP和DNP3协议
下一代防火墙技术
除传统防火墙功能外,还具有:
- 应用识别和管控
- 入侵防护(IPS)
- 数据防泄漏
- 恶意代码防护
- URL分类与过滤
- 带宽管理与Qos优化
- 加密通信分析
防火墙共性关键技术
- 深度包检测(DPI):对包的数据内容及包头信息进行检查分析,运用模式(特征)匹配、协议异常检测等方法
- 操作系统
- 网络协议分析
防火墙主要技术指标与产品
防火墙主要产品
- 网络防火墙、Web应用防火墙、数据库防火墙、主机防火墙、工控防火墙、下一代防火墙、家庭防火墙
防火墙主要技术指标
- 安全功能要求
- 性能要求:最大吞吐量、最大连接速率、最大规则数、并发连接数
- 安全保障要求:主要包括开发、指导性文档、生命周期支持、测试、脆弱性评定
- 环境适应性要求
- 防火墙自身安全要求
防火墙技术应用
防火墙应用场景类型
- 上网保护、网站保护、数据保护、网络边界保护、终端保护、网络安全应急响应
防火墙部署基本方法
- 根据安全策略要求,将网络划分成若干安全区域
- 在安全区域之间设置针对网络通行的访问控制点
- 针对不同访问控制点的通信业务需求,制定相应的边界安全策略
- 依据控制点的边界安全策略,采用合适的防火墙技术和防范结构
- 在防火墙上,配置实现对应的网络安全策略
- 测试验证边界安全策略是否正常执行
- 运行和维护防火墙
案例
IPtables防火墙应用参考、Web应用防火墙应用参考、包过滤防火墙应用参考、工控防火墙应用参考见P176-P82
第十章 入侵检测技术原理与应用
入侵检测概述
入侵检测概念
- 入侵是指违背访问目标的安全策略的行为
- 具有入侵检测功能的系统称为入侵检测系统,简称为IDS
入侵检测模型
- 早期入侵检测模型:根据主机系统的审计记录数据,生成有关系统的若干轮廓,并检测变化差异,发现入侵行为
- CIDF
* **入侵系统需要分析的数据**统称为事件入侵检测作用
- 发现受保护系统中的入侵或异常行为
- 校验安全保护措施的有效性
- 分析受保护系统所面临的威胁
- 利于阻止安全事件扩大,及时报警触发应急响应机制
- 为网络安全策略的制定提供重要指导
- 报警信息可用作网络犯罪取证
- 还常用于网络安全态势感知
入侵检测技术
基于误用的入侵检测技术
- 又称为基于特征的入侵检测方法,指根据已知的入侵模式检测入侵行为。
- 显然,误用入侵检测依赖于攻击模式库。攻击模式库决定了IDS的性能
常见几种误用检测方法,检测的过程实际上就是模式匹配的过程
基于条件概率的误用检测方法
- 将入侵方式对应一个事件序列,然后观测事件发生序列,应用贝叶斯定理推理,推测入侵行为
- 缺点:先验概率难以给出,事件的独立性难以满足
基于状态迁移的误用检测方法
- 利用状态图表示攻击特征,通过检查系统状态变化发现入侵行为
- 例如STAT、USTAT
基于键盘监控的误用检测方法
- 缺点:没有系统支持下,缺少捕获用户击键的可靠方法;多种击键方式表示同一种攻击;没有击键语义分析;不能检测恶意程序自动攻击
基于规则的误用检测方法
- 优点:检测起来比较简单;缺点:受规则库限制,无法发现新攻击,容易受干扰
- 目前大部分IDS采用此方法
基于异常的入侵检测技术
- 是指通过计算机或网络资源统计分析,建立系统正常行为的“轨迹”,定义一组系统正常情况的数值,然后将系统运行时的数值与所定义的“正常”情况相比较,得出是否有被攻击的迹象
- 异常检测的前提是异常行为包括入侵行为,但是现实中二者并不等同。
- 异常检测方法的基本思路就是构造异常行为合集,从中发现入侵行为
几种常见的异常检测方法
- 基于统计的异常检测方法
- 基于模式预测的异常检测方法
- 基于文本分类的异常检测方法
- 基于贝叶斯推理的异常检测方法
基于规范的检测方法
- 优点:不仅能够发现已知攻击,而且也能发现未知攻击
基于生物免疫的检测方法
- 关键技术:构造系统“自我”标志以及标志演变方法
基于攻击诱骗的检测方法
- 蜜罐技术
基于入侵警报的关联检测方法
- 基于报警数据的相似性进行报警关联分析
- 通过人为设置参数或机器学习进行报警关联分析
- 根据某种攻击的前提条件与结果进行报警关联分析
入侵检测系统组成与分类
- 入侵检测系统组成
基于主机的入侵检测系统(HIDS)
HIDS一般适合检测以下入侵行为:
- 针对主机的端口或漏洞扫描
- 重复失败的登入尝试
- 远程口令破解
- 主机系统的用户账号添加
- 服务启动或停止
- 系统重启动
- 文件的完整性或许可权变化
- 注册表修改
- 重要系统启动文件变更
- 程序的异常调用
- 拒绝服务攻击
HIDS中的软件
- SWATCH、Tripwire、网页防篡改系统
优点:
- 可以检测基于网络入侵检测系统不能检测的攻击
- 可以运行在应用加密系统的网络上,只要加密信息在到达被监控的主机时或到达前解密
- 可以运行在交换网络中
缺点:
- 必须在每个监控的主机上都安装和维护信息收集模块
- HIDS可能受到攻击并被破坏者破坏
- 占用主机系统资源,降低系统性能
- 不能有效地检测针对网络中所有主机的网络扫描
- 不能有效地检测和处理拒绝服务攻击
- 只能使用它所监控的主机的计算资源
基于网络的入侵检测系统(NIDS)
NIDS一般构成:探测器和管理控制器。能检测以下入侵行为:
- 同步风暴(SYN Flood)
- 分布式拒绝服务攻击(DDoS)
- 网络扫描
- 缓冲区溢出
- 协议攻击
- 流量异常
- 非法网络访问
优点:
- 适当的配置可以监控一个大型网络的安全状况
- 安装对网络影响很小
- 可以很好地避免攻击
缺点:
- 在高速网络中很难处理所有网络包
- 交换机不提供统一监测端口,减少监测范围
- 网络流量被加密,探测器无法对数据包中的协议进行有效分析
- 仅依靠网络流量无法推知命令的执行结果,无法判断攻击是否成功
分布式入侵检测系统(DIDS)
基于主机检测的分布式入侵检测系统
- HDIDS结构分为两部分:主机探测器和入侵管理控制器。
基于网络的分布式入侵检测系统
- NDIDS结构分为两部分:网络探测器和管理控制器
入侵检测系统主要技术指标与产品
入侵检测相关产品
主机入侵检测系统
- 360安全卫士、北信源主机监控审计系统
网络入侵检测系统
- 绿盟
image-
- 统一威胁管理(UTM)
高级持续威胁检测(APT)
- 安天追影威胁分析系统、360天眼、华为FireHunter6000系列沙箱
入侵检测相关指标
- 可靠性、可用性、可扩展性、时效性、准确性和安全性
入侵检测应用场景
- 上网保护、网络入侵检测与保护、网络攻击阻断、主机/终端恶意代码检测、网络安全监测预警与应急处置、网络安全等级保护
入侵检测系统应用
入侵检测系统部署方法
- 根据组织或公司等安全策略要求,确定IDS要监测等对象或保护网断
- 在监测对象或保护网段,安装IDS检测器,采集网络入侵检测所需要的信息
- 针对监测对象或保护网段的安全需求,制定相应的检测策略
- 依据检测策略,选用合适的IDS结构类型
- 在IDS上,配置入侵检测规则
- 测试验证IDS的安全策略是否正常执行
- 运行和维护IDS
基于HIDS的主机威胁检测
- 单机应用:直接安全到受检测主机
- 分布式应用:
- 基于NIDS的内网威胁检测
- 基于NIDS的网络边界威胁检测
第11章 网络物理隔离技术原理与应用
网络物理隔离概述
网络物理隔离概念
- 既能满足内外网信息及数据交换需求,又能防止网络安全事件出现
网络物理隔离工作原理
- 避免两台计算机之间直接的信息交换以及物理上的连通,以阻断两台计算机之间的直接在线网络攻击
网络物理隔离系统与类型
网络物理隔离系统概念
- 指通过物理隔离技术,在不同的网络安全区域之间建立一个能够实现物理隔离、信息交换和可信控制的系统,以满足不同安全域的信息或数据交换
分类:
按照隔离的对象
- 单点隔离系统(对象:单独的计算机系统)
- 区域隔离系统(对象:网络环境)
按照网络物理隔离的信息传递方向
- 双向网络物理隔离系统
- 单向网络物理隔离系统
网络物理隔离机制与实现技术
- 专用计算机:用户必须到指定计算机才能上外网
- 多PC:用户放两台PC
- 外网代理服务
- 内外网线路切换器
单硬盘内外分区
- 单台计算机在某一时刻只能链接到内部网或外部网
优点:
- 提供数据分类存放和加工处理
- 有效防止外部窃走内部网数据
- 实现一台PC功能多用
缺点:
- 操作失误
- 驱动程序bug
- 计算机病毒潜入
- 内部人员故意泄露数据
- 特洛伊木马
双硬盘
- 通过硬盘控制卡对硬盘进行切换控制,连接外网挂接外网硬盘,使用内网办公时重启系统挂接内部网办公硬盘
- 缺点:用户使用不方便,频繁重启切换硬盘
网闸
- 概念:一种GAP技术,使两个或者两个以上的网络在不连通的情况下,实现它们之间的安全数据交换和共享。
- 技术原理:使用一个具有控制功能的开关读写存储安全设备,通过开关的设置来连接或切断两个独立主机系统的数据交换
- 两个独立主机系统与网闸的连接是互斥的
- 优点:从物理上隔离、阻断了主机之间的直接攻击,极大降低在线攻击可能性
- 缺点:入侵者可以利用恶意数据驱动攻击
协议隔离技术
- 处于不同安全域的网络在物理上是有线连接的,通过协议转换的手段保证受保护信息在逻辑上是隔离的,只有被系统要求传输的、内容受限的信息可以通过
单向传输部件
- 一对具有物理上单向传输特性的传输部件,发送部件只能发送,接收部件只能接收
信息摆渡技术
- 物理传输信道只在传输进行时存在
物理断开技术
- 处于不同安全域的网络之间不能以直接或间接的方式相连接
网络物理隔离主要指标与产品
网络物理隔离主要产品
终端隔离产品
适用场景
- 用于同时连接两个不同的安全域,采用物理断开技术在终端上实现安全域物理隔离的安全隔离卡或安全隔离计算机
工作机制
- 隔离卡通过电子开关以互斥形式连接安全域A或B
网络隔离产品
适用场景
- 实现两个安全域之间的应用代理服务、协议转换、信息流访问控制、内容过滤和信息摆渡功能
工作机制
- 采用“2+1”架构,即两台主机+专用隔离部件组成
- 采用协议隔离技术和信息摆渡技术
网络单向导入产品
适用场景
- 通过物理方式构造信息单向传输的唯一通道,实现信息单向导入,同时反方向无任何信息传输或反馈
工作机制
- 采用单向传输部件相连
网络物理隔离主要技术指标
- 安全功能指标
安全保障指标
产品质量和服务保障要求
- 配置管理、交付和运行、开发和指导性文档、测试、脆弱性评定
性能指标
- 交换速率和硬件切换时间
网络物理隔离应用
工作机安全上网实例
- 内网用户安全访问互联网
电子政务中网闸应用实例
- 业务生产网与互联网隔离
- 不同安全区域信息交换
- 内外网安全物理隔离
第十二章 网络安全审计技术原理与应用
网络安全审计概述
网络安全审计概念
- 对网络信息系统的安全相关活动信息进行获取、记录、存储、分析和利用的工作
网络安全审计用途
- 建立“事后”安全保障措施,保存网络安全事件及行为信息,为网络安全事件分析提供线索及证据,以便于发现潜在的网络安全威胁行为,开展网络安全风险分析及管理
网络安全升级相关法规政策
- 《中华人民共和国网络安全法》:采取监测、记录网络运行状态、网络安全事件技术措施,并按照规定留存相关的网络日志不少于六个月
网络安全审计系统组成与类型
- 网络安全审计系统组成
网络安全审计系统类型
操作系统安全审计
- 对操作系统用户和系统服务进行记录,包括用户登录和注销、系统服务启动和关闭、安全事件
- Windows、Linux操作系统都自带审计功能
数据库安全审计
- 监控并记录用户对数据库服务器的读、写、查询、添加、修改以及删除等操作,并且可以对数据库操作命令进行回放
- 大部分数据库也都自带审计功能
网络通信安全审计
- 采用专用的审计系统,通过专用设备获取网络流量,进行存储和分析
- 应用系统安全审计、网络安全设备审计、工控安全审计、移动安全审计、互联网安全审计、代码安全审计
按照审计范围,安全审计可分为综合审计系统和单个审计系统
- 综合审计系统架构
网络安全审计机制与实现技术
网络安全审计数据采集
系统日志数据采集技术
- 把操作系统、数据库、网络设备等系统中产生的事件信息汇聚到统一的服务器存储,便于查询分析与管理
- 常见的采集方式:SysLog、SNMP Trap
网络流量数据采集技术
- 常见的技术方法:共享网络监听、交换机端口镜像、网络分流器
- 共享网络监听原理:网络流量采集设备接入到Hub集线器来获取与集线器相连接设备的网络流量数据
* 基于端口镜像的网络流量采集示意图
* 对于不支持端口镜像功能的交换机,采用网络分流器(TAP)方式,示意图
网络流量数据采集开源工具
Libpcap:常见的开源数据采集软件包
- Tcpdump:基于Libpcap的网络流量数据采集工具
Winpcap:支持在Windows平台捕获网络数据包
- Windump:基于Winpcap的网络协议分析工具
- Wireshark:图形化网络流量数据采集工具
网络审计数据分析技术
- 字符串匹配:正则匹配
- 全文搜索:开源搜索引擎Elasticsearch
- 数据关联
- 统计报表
- 可视化分析:图表成饼图、柱状图等
网络审计数据保护技术
- 系统用户分权管理:设置操作员、安全员、审计员三种类型用户
- 审计数据强制访问:采取强制访问控制措施
- 审计数据加密
- 审计数据隐私保护
- 审计数据完整性保护:对审计数据进行数字签名和来源认证
网络安全审计主要技术指标与产品
日志安全审计产品
- 主要功能:日志采集、存储、分析、查询,事件告警,统计报表,系统管理等
主机监控与审计产品
- 通过代理程序
- 主要功能:系统用户监控、系统配置管理、补丁管理、准人控制、存储介质(U盘)管理、非法外联管理等
数据库审计产品
实现数据库审计三种方式:
网络监听审计
- 优点:不影响数据库服务器
- 不足:加密数据库网络流量难以审计、无法对本地数据库服务器审计
自带审计
- 优点:实现数据库网络操作和本地操作审计
- 缺点:对性能有影响,审计策略配置、记录粒度、日志统一分析不够完善,日志本地存储容易被删除
数据库Agent
- 优点:实现数据库网络操作和本地操作审计
- 缺点,需要安装Agent,影响性能、稳定性、可靠性
网络安全审计产品
常见功能:
- 网络流量采集
- 网络流量数据挖掘分析:对不同协议流量进行分析,得出信息记录
- 性能指标主要有:支持网络带宽大小、协议识别种类、原始数据包查询响应时间等
工业控制系统网络审计产品
- 原理:利用网络流量采集和协议识别技术,对工控协议还原,形成操作信息记录,进行保存分析
两种实现方式:
- 一体化集中产品
- 由采集端和分析端两部分组成
运维安全审计产品
主要功能:
- 字符会话审计:审计SSH、Telnet协议的操作行为
- 图形操作审计:审计RDP、VNC以及HTTP/HTTPS协议的图形操作行为
- 数据库运维审计:审计Oracle、MS SQL Server、IBM DB2、PostgreSQL数据库操作行为
- 文件传输审计:审计FTP、SFTP等协议
- 合规审计:参照相关安全管理制度
网络安全审计应用
- 网络合规使用
- 网络电子取证
- 网络安全运维保障
第十三章 网络安全漏洞防护技术原理与应用
网络安全漏洞概述
网络安全漏洞概念
- 又称为脆弱性,简称漏洞,致使网络信息系统安全策略相冲突的缺陷
- 根据漏洞补丁情况:分为普通漏洞和0day漏洞
网络安全漏洞危害
- 敏感信息泄露、权限提升、非授权访问、身份假冒、拒绝服务等
- 国家信息安全漏洞库(CNNVD)、国家信息安全漏洞共享平台(CNVD)
网络安全漏洞分类与管理
网络安全漏洞来源
非技术性安全漏洞:主要涉及管理组织结构、管理制度、管理流程、人员管理
- 网络安全责任主体不明确
- 网络安全策略不完备
- 网络安全操作技能不足
- 网络安全监督缺失
- 网络安全特权控制不完备
技术性安全漏洞:主要涉及网络结构、通信协议、设备、软件产品、系统配置、应用系统
- 设计错误
- 输入验证错误
- 缓冲区溢出
- 意外情况处置错误
- 访问验证错误
- 配置错误
- 竞争条件
- 环境错误
网络安全漏洞分类分级
国际上认可CVE漏洞分类和CVSS漏洞分级标准
- CVE ID其格式由年份数字和其他数字组成
- CVSS是一个通用漏洞计分系统
国内有CNNVD、CNVD
- CNNVD漏洞分类框架
* CNVD漏洞分类
* 11种漏洞类型:输入验证错误、访问验证错误、意外情况处理错误数目、边界条件错误数目、配置错误、竞争条件、环境错误、设计错误、缓冲区错误、其他错误、未知错误
* **漏洞分级:高、种、低**OWASP TOP10漏洞分类
- OWASP组织发布了有关Web应用程序的前十种安全漏洞
网络安全漏洞发布
- 发布形式:网站、电子邮件以及安全论坛
- 发布内容:漏洞编号、发布日期、安全危害级别、漏洞名称、漏洞影响平台、漏洞解决建议等
- 示例:
网络安全漏洞获取
- CERT:世界上第一个计算机安全应急响应组织
- Security Focus Vulnerability Database:漏洞信息库
- CNNVD:国家信息安全漏洞库
- CNVD:国家信息安全漏洞共享平台
- 厂商漏洞信息
网络安全漏洞管理过程
- 网络信息系统资产确认:资产确认
- 网络安全漏洞信息采集:资产收集
- 网络安全漏洞评估:安全评估
- 网络安全漏洞消除和控制:漏洞修复
- 网络安全漏洞变化跟踪:持续更新资产并监控已修复漏洞
网络安全漏洞扫描技术与应用
主机漏洞扫描技术
- 不需要建立网络连接就可进行扫描
- 原理:通过检查本地系统中关键性文件的内容及安全属性,来发现漏洞
- 常见扫描器:COPS,Tiger(UNIX),MBSA(Windows)
网络漏洞扫描技术
- 原理:与待扫描的目标机建立网络连接后,发送特定网络请求进行漏洞检查
- 常见扫描器:Nmap,Nessus,X-scan
专用漏洞扫描器
- Web漏洞扫描技术
- 数据库漏洞扫描技术
网络安全漏洞扫描应用
- 常用于网络信息系统安全检查和风险评估
网络安全漏洞处置技术与应用
网络安全漏洞发现技术
- 文本搜索、词法分析、范围检查、状态机检查、错误注入、模糊测试、动态污点分析、形式化验证等
网络安全漏洞修补技术
- 系统的、周而复始的工作
网络安全漏洞利用防范技术
- 地址空间随机化技术(ASLR)
- 数据执行阻止
- SEHOP
- 堆栈保护
- 虚拟补丁
网络安全漏洞防护主要技术指标与产品
网络安全漏洞扫描器
产品技术原理:
- 利用已公开的漏洞信息及特征,通过程序对目标系统进行自动化分析,确认目标系统是否存在相应的安全漏洞。
技术指标:
- 漏洞扫描主机数量:有无IP或域名限制
- 漏洞扫描并发数
- 漏洞扫描速度
- 漏洞检测能力:误报率
- 数据库漏洞检查功能:对不同数据库的支持程度
- Web应用漏洞检查功能
- 口令检查功能
- 标准兼容性
- 部署环境难易程度
网络安全漏洞服务平台
- 产品: 漏洞盒子,补天
网络安全漏洞防护网关
- 产品原理:通过从网络流量中提取和识别漏洞利用特征模式
技术指标:
- 阻断安全漏洞攻击的种类与数量
- 阻断安全漏洞攻击的准确率
- 阻断安全漏洞攻击的性能
支持网络带宽的能力
第十四章 恶意代码防范技术原理
恶意代码概述
恶意代码概念与分类
定义:
- Malicious Code,一种违背目标系统安全策略的程序代码,会造成目标系统信息泄露、资源滥用,破环系统的完整性及可用性
- 它能够经过存储介质或网络进行传播,从一台计算机传到另外一台计算机系统,未经授权认证访问或破坏计算机系统
- 分类:
恶意代码攻击模型
- 六个步骤:侵入系统、维持或提升已有的权限、隐蔽、潜伏、破坏、重复前五步骤
恶意代码生存技术
反跟踪技术:提高自身伪装能力和防破译能力
反动态跟踪技术
- 禁止跟踪中断
- 检测跟踪法
- 其他反跟踪技术
反静态分析技术
- 对程序代码分块加密执行:力求分析者在任何时候都无法从内存中拿到完整代码
伪指令法:类似于代码混淆
- 例子–Apparition
加密技术
- 信息加密、数据加密、程序代码加密
- 例子—“中国炸弹”,“幽灵病毒”,“Cascade”
模糊变换技术
- 指令替换技术
- 指令压缩技术:对可压缩的指令同义压缩
- 指令扩展技术
- 伪指令技术
- 重编译技术:例子—宏病毒和脚本恶意代码
自动生产技术
- 利用“多态性发生器”编译成具有多态性的病毒
- 例子----保加利亚的“Dark Avenger”
变形技术:变换恶意代码特征码的技术
- 重汇编技术:例子—Regswap
- 压缩技术
- 膨胀技术:压缩的逆变换
- 伪指令技术
- 重编译技术
三线程技术
- 原理:一个恶意代码进程同事开启三个线程,一个负责远程控制工作主线程,其他两个检查恶意代码是否正常运行
- 例子—“中国黑客”
进程注入技术
- 恶意代码将自身嵌入到操作系统开机启动服务相关进程中
- 例子—windows下的大部分关键服务程序能被“WinEggDropShell”注入
通信隐蔽技术
- 端口定制
- 端口复用技术:复用系统打开的端口,如25,139
- 通信加密技术
- 隐蔽通道技术
内核级隐藏技术
- LKM隐藏
- 内存映射隐藏
恶意代码攻击技术
- 进程注入技术
超级管理技术
- 恶意代码对反恶意软件系统进行拒绝服务攻击
- 例子—“广外女生”,对“金山毒霸”进行拒绝服务攻击
端口反向连接技术:反弹shell
- 反弹shell原理
- 例子—“网络神偷”,“灰鸽子”
缓冲区溢出攻击技术
- 例子—“红色代码”
- 恶意代码分析技术
- 恶意代码防范策略
计算机病毒分析与防护
计算机病毒概念与特性
- 一组具有自我复制、传播能力的程序代码
特性:
- 隐蔽性
- 传染性
- 潜伏性
- 破坏性
计算机病毒组成与运行机制
- 复制传染部件:控制病毒向其他文件的传染
- 隐藏部件:防止病毒被检测到
- 破坏部件:当病毒符合激活条件后,执行破坏操作
运行机制
- 第一阶段,计算机病毒的复制传播
- 第二阶段,计算机病毒的激活
计算机病毒常见类型与技术
- 引导型病毒:感染计算机系统的引导区
宏病毒:利用宏语言来实现计算机病毒
image-
- 多态病毒:感染新对象后通过更换加密算法改变其存在形式
隐蔽病毒
- 隐藏文件日期,时间的变化
- 隐藏文件大小变化
- 病毒加密
计算机病毒防范策略与技术
查找计算机病毒源
- 比较法:原始备份与被检测的文件比较
- 搜索法:特定字节串
- 特征字识别法
- 分析法:反病毒技术人员专用
阻断计算机病毒传播途径
- 用户具有计算机病毒防范安全意识和安全操作习惯
- 消除计算机病毒载体
- 安全区域隔离
主动查杀计算机病毒
- 定期对计算机系统进行病毒检测
- 安装放计算机病毒软件
计算机病毒应急响应和灾备
- 备份
- 数据修复技术
- 网络过滤技术
- 计算机病毒应急响应预案
计算机病毒防护模式
- 基于单机计算机病毒防护
- 基于网络计算机病毒防护
基于网络分级病毒防护
- 三级管理模式:单机终端杀毒-局域网集中监控-广域网总部管理
- 基于邮件网关病毒防护
- 基于网关防护
特洛伊木马分析与防护
特洛伊木马概念与特性
概念:
- Trojan Horse,具有伪装能力、隐蔽执行非法功能的恶意程序,而受害用户表面上看到的是合法功能的执行
- 不具有自我传播能力,通过其他传播机制实现
- 分类:本地特洛伊木马、网络特洛伊木马(主要类型)
特洛伊木马运行机制
image-
特洛伊木马技术
特洛伊木马植入技术
被动植入:依赖受害者的手工操作,主要通过社会工程学方法植入
- 文件捆绑法
- 邮件附件
- Web网页
- 主动植入:将木马程序通过程序自动安装到目标系统中,无需受害者操作
特洛伊木马隐藏技术
本地活动行为隐藏技术
- 文件隐藏
- 进程隐藏
- 通信连接隐藏
远程通信过程隐藏技术
- 通信内容加密技术
- 通信端口复用技术
- 网络隐蔽通道
特洛伊木马存活技术
- 侵入目标系统时采用反检测技术,中断反网络木马程序运行
特洛伊木马防范技术
- 基于查看开放端口检测特洛伊木马技术
- 基于重要系统文件检测特洛伊木马技术
- 基于系统注册表检测特洛伊木马技术
检测具有隐藏能力的特洛伊木马技术
Rootkit检测:
- 针对已知的Rootkit进行检测
- 基于执行路径的分析检测方法
- 直接读取内核数据的分析检测方法
- 基于网络检测特洛伊木马技术:入侵检测系统
- 基于网络阻断特洛伊木马技术:利用防火墙、路由器、安全网关设备阻断通信
- 清除特洛伊木马技术:手工清除和软件清除两种方法
网络蠕虫分析与防护
网络蠕虫概念与特性
概念:
- 一种具有自我复制和传播能力、可独立自动运行的恶意程序
特性:
- 通过利用系统中存在漏洞的节点主机,将蠕虫自身从一个节点传播到另一个节点
网络蠕虫组成部件与运行机制
- 组成模块
- 运行机制
网络蠕虫技术
网络蠕虫扫描技术
- 随机扫描
- 顺序扫描
- 选择性扫描
网络蠕虫漏洞利用技术
- 主机之间的信任关系漏洞
- 目标主机的程序漏洞
- 目标主机的默认用户和口令漏洞
- 目标主机的用户安全意识薄弱漏洞
- 目标主机的客户端程序配置漏洞
网络蠕虫防范技术
- 网络蠕虫检测与预警技术:使用探测器收集蠕虫相关的信息
- 网络蠕虫传播抑制技术:构造抑制蠕虫传播的环境
- 网络系统漏洞检测与系统加固技术:提高系统安全性
- 网络蠕虫免疫技术:欺骗蠕虫
- 网络蠕虫阻断与隔离技术:安全设备阻断
- 网络蠕虫清除技术:手工清除和专用工具清除两种方法
僵尸网络分析与防护
僵尸网络概念与特性
概念:
- 攻击者利用入侵手段将僵尸程序(bot or zombie)植入目标计算机上,进而操纵受害机执行恶意活动的网络
- 特性:
僵尸网络运行机制与常用技术
运行机制
- 僵尸程序的传播
- 对僵尸程序进行远程命令操作和控制,将受害者目标机组成一个网络
- 攻击者通过僵尸网络的控制服务器,给僵尸程序发送攻击指令,执行攻击活动
网络蠕虫防范技术
- 僵尸网络威胁监测:利用蜜罐技术
- 僵尸网络检测:检测网络中异常网络流量
- 僵尸网络主动遏制:路由及DNS黑名单屏蔽
- 僵尸程序查杀:专用工具
其他恶意代码分析与防护
逻辑炸弹
- 一段依附在其他软件中,并具有触发执行破坏能力的程序代码
陷门
- 软件系统里的一段代码,允许用户避开系统安全机制访问系统
- 不具有自动传播和自我复制功能
细菌
- 具有自我复制功能的独立程序
- 间谍软件
恶意代码防护主要技术指标与产品
恶意代码防护主要技术指标
- 恶意代码检测能力
- 恶意代码检测准确性
- 恶意代码阻断能力
恶意代码防护主要产品
- 终端防护产品:部署在受保护的终端上
- 安全网关产品:拦截恶意代码的传播,防止破坏扩大化
- 恶意代码检测产品:IDS
- 恶意代码防护产品:补丁管理系统
- 恶意代码应急响应:金山木马专杀、木马克星、木马清除大师等工具
恶意代码防护技术应用
- 终端恶意代码防护
- 电子文档及电子邮件恶意代码防护
第十五章 网络安全主动防御技术原理与应用
入侵阻断技术与应用
入侵阻断技术原理
实现具有防火墙、入侵检测、攻击迁移的多功能安全系统,即入侵防御系统(IPS)
- 根据网络包的特性及上下文进行攻击行为判断来控制包转发
入侵阻断技术应用
- 为避免网络通信瓶颈,基于旁路阻断(SPS)实现IPS
IPS/SPS主要作用是过滤有害网络信息流
- 屏蔽指定IP地址
- 屏蔽指定网络端口
- 屏蔽指定域名
- 封锁指定URL、阻断特定攻击类型
- 为零日漏洞提供热补丁
软件白名单技术与应用
软件白名单技术原理
- 设置可信任的软件名单列表,以阻止恶意的软件在相关的网络信息系统运行
软件白名单技术应用
- 构建安全、可信的移动互联网安全生态环境
- 恶意代码防护
- “白环境”保护
网络流量清洗技术与应用
网络流量清洗技术原理
- 通过异常网络流量检测,将原本发送给目标设备系统的流量牵引到流量清洗中心,清洗完毕后,把留存的正常流量转送到目标设备系统
主要技术方法
- 流量监测:DPI
- 流量牵引与清洗:BGP,DNS
- 流量回注
网络流量清洗技术应用
- 畸形数据报文过滤
- 抗拒绝服务攻击
- Web应用保护
- DDos高防IP服务:通过代理转发模式防护源站服务器
可信计算技术与应用
可信计算技术原理
- 目前,可信验证成为等保2.0的新要求
原理:
- 可信根-> 可信硬件平台 -> 可信操作系统 -> 可信应用系统,一级认证一级,一级信任一级
- 可行平台信任根:TPM
- TCG定义可信计算平台信任根包括三个:可信度量根RTM、可信存储根RTS和可信报告根RTR
- 可信密码平台组成:可信密码模块(TCM)和TCM服务模块(TSM)
TCM组成:
- I/O
- SMS4引擎
- SM2引擎
- SM3引擎
- 随机数产生器
- HMAC引擎:基于SM3引擎来计算消息认证码
- 执行引擎:TCM的运算执行单元
- 非易失性存储器:存储永久数据
- 易失性存储器:存储TCM运行时的临时数据
可信计算技术应用
- 计算平台安全保护
- 可信网络连接
- 可信验证
- P305-P308
数字水印技术与应用
数字水印技术原理
- 原理:通过数字信号处理方法,在数字化的媒体文件中嵌入特定标记
- 组成:水印的嵌入和水印的提取
嵌入方法分为:
空间域方法:直接叠加到数字载体空间域上
- 典型算法有Schyndel算法和Patchwork算法
变换域方法:利用扩展频谱通信技术,先计算图像的离散余弦变换(DCT),再叠加到DCT域中幅值最大的L个系数上(不包括直流分量),通常为图像的低频分量。
- 算法为NEC算法
数字水印技术应用
- 版权保护
- 信息隐藏
- 信息溯源
- 访问控制
网络攻击陷阱技术与应用
网络攻击陷阱技术原理
网络攻击诱骗技术有:
- 蜜罐主机技术
包括:空系统、镜像系统、虚拟系统
1. 陷阱网络技术
* 由多个蜜罐主机、路由器、防火墙、IDS、审计系统共同组成。
* 功能实现:蜜罐系统、数据控制系统、数据捕获系统、数据记录、数据分析、数据管理等功能
* 开源网络攻击陷阱系统有Honeyd、工业控制系统蜜罐Conpot、口令蜜罐Honeywords等网络攻击陷阱技术应用
- 恶意代码监测
- 增强抗攻击能力
- 网络态势感知
入侵容忍及系统生存技术与应用
入侵容忍及系统生存技术原理
- 原理:假定在遭受入侵的情况下,保障网络信息系统仍能按用户要求完成任务
主要技术:
- 分布式共识:避免单一缺陷
- 主动恢复:通过自我清除技术,周期性让系统迁移转变到可信状态,破坏攻击链条
- 门限密码:用于保护秘密
- 多样性设计:避免通用模式到失效
入侵容忍及系统生存技术应用
- 弹性CA系统、区块链
隐私保护技术与应用
隐私保护技术原理
- 身份隐私、属性隐私、社交关系隐私、位置轨迹
保护隐私的技术:
- k-匿名方法:对数据中的所有元组进行泛化处理,使得其不再与任何人一一对应
- 差分隐私方法:对保护数据集添加随机噪声而构成新数据集
- 隐私保护常见技术措施:抑制、泛化、置换、扰动、裁剪等
隐私保护技术应用
- 匿名化处理个人信息
- 对个人信息去标识化处理
网络安全前沿技术发展动向
网络威胁情报服务
- 主要包括:安全漏洞、攻击来源IP地址、恶意邮箱、恶意域名、攻击工具
- 中国反网络病毒联盟(ANVA)主持建设了网络安全威胁信息共享平台
域名服务安全保障
域名服务常见安全风险:
- 域名信息篡改
- 域名解析配置错误
- 域名劫持
- 域名软件安全漏洞
同态加密技术
- 一种加密函数,对明文的加法和乘法运算再加密,与加密后对密文进行相应的运算,结果是等价的
第十六章 网络安全风险评估技术原理与应用
网络安全风险评估概述
网络安全风险评估概念
- 评估威胁者利用网络资产的脆弱性,造成网络资产损失的严重程度
- 网络安全风险值等价为安全事件发生的概率(可能性)与安全事件的损失的乘积
网络安全风险评估要素
- 涉及资产、威胁、脆弱性、安全措施、风险等各个要素
网络安全风险评估模式
- 自评估
- 检查评估
- 委托评估
网络安全风险评估过程
网络安全风险评估准备
首要工作是确定评估对象和范围。一般包括:
- 网络系统拓扑结构
- 网络通信协议
- 网络地址分配
- 网络设备
- 网络服务
- 网上业务类型与业务信息流程
- 网络安全防范措施(防火墙、IDS、保安系统等)
- 网络操作系统
- 网络相关人员
- 网络物理环境(如建筑、设备位置)
网络资产识别
包含:
- “网络资产鉴定”:确认网络资产种类和清单
“网络资产价值估算”:某一具体资产在网络系统中的重要程度确认,
- 三个安全属性:保密性、完整性和可用性
- 网络安全威胁识别
威胁来源
- 按照性质分为自然威胁和人为威胁,也可按照表现形式分类
威胁途径
- 威胁资产的方法和过程步骤。使用各种攻击手段,完成威胁实施
威胁效果
- 威胁成功后,对网络系统造成的影响
- 抽象为“非法访问”,“欺骗”,“拒绝服务”三种
- 威胁意图
- 威胁频率
网络安全脆弱性识别
- 通过各种测试方法,获得网络资产中所存在的缺陷清单
脆弱性识别采用的方法:
- 漏洞扫描
- 人工检查
- 问卷调查
- 安全访谈
- 渗透测试
- 又可分为技术脆弱性评估和管理脆弱性评估
已有安全措施确认
- 评估安全措施能否防止脆弱性被利用,能否抵御已确认的安全威胁
- 网络安全风险计算与分析(风险值计算)
网络安全风险分析步骤
- 对资产进行识别,对资产价值进行赋值
- 对威胁进行识别,描述威胁的属性,对其出现的频率赋值
- 对脆弱性进行识别,对具体资产的脆弱性严重程度赋值
- 判断安全事件发生的可能性
根据安全事件的损失,即网络安全风险值
主要影响方面:
- 违反来有关法律或规章制度
- 对法律实施造成来负面影响
- 违反社会公共准则,影响公共秩序
- 危害公共安全
- 侵犯商业机密
- 影响业务运行
- 信誉、声誉损失
- 侵犯个人隐私
- 个人伤害
- 经济损失
网络安全风险分析方法
- 定性计算方法:进行主观评估,风险分析结果是:无关紧要、可接受、待观察、不可接受
- 定量计算方法:量化为数据,输出一个风险数值
- 综合计算方法:结合定性和定量方法,输出一个风险数值,并给出相应的定性结论
网络安全风险计算方法
- 相乘法
* 矩阵法
网络安全风险应对措施
安全措施的选择从管理与技术两个方面考虑,主要有以下十大类:
- 制订明确安全策略
- 建立安全组织
- 实施网络资产分类控制
- 加强人员安全管理
- 保证物理实体和环境安全
- 加强安全通信运行
- 采取访问控制机制
- 进行安全系统开发与维护
- 保证业务持续运行
- 遵循法律法规、安全目标一致性检查
网络安全风险评估技术方法与工具
资产信息收集
- 工具:goby,子域名爆破
网络拓扑发现
- 工具:ping,traceroute
网络安全漏洞扫描
- 端口扫描工具:Nmap
- 通用漏洞扫描工具:X-Scan、Nessus,绿盟极光
- 数据库扫描:SQLMap、Pangolin
- Web漏洞扫描:AppScan、AWVS
- 人工检查:对照检查表
网络安全渗透测试
- kali2,Cobalt Strike等
- 问卷调查
- 网络安全访谈
审计数据分析
- 日志审计:grep,Log Parser
入侵检测
- 网络协议分析器:Tcpdump、Wireshark
- 入侵检测系统:Snort、Suricata、Bro
- Windows系统注册表监测:regedit
- Windows系统安全状态分析:Process Explorer、Autoruns、Process Monitor
- 恶意代码检测:RootkitRsvealer、ClamAV
- 文件完整性检查:Tripwire、MD5sum
网络安全风险评估流程和工作内容
评估工程前期准备
- 确定风险评估的需求目标,包括:评估对象确定、评估范围界定、评估的粒度和评估的时间等
- 签订合同和保密协议
- 成立评估工作组
- 选择评估模式
评估方案设计与论证
- 确认评估方法、评估人员组织、评估工具选择、预期风险分析、评估实施计划等内容
评估方案实施
- 实施内容:评估对象的基本情况调查、安全需求挖掘以及确定操作步骤
- 工作备忘录内容包括:评估环境描述、操作的详细过程记录、问题简要分析、相关测试数据保存
风险评估报告撰写
报告组成:(风险评估报告)
- 绪论:术语和定义、评估内容、评估流程、评估数据来源和评估参考依据
- 安全现状描述:网络组成说明、网络拓扑结构、关键设备和网络服务、当前网络安全防范措施
- 资产评估:网络系统中的软硬件清单,对资产给出重要性评价
- 脆弱性评估:网络系统所面临对威胁,包括威胁来源、威胁途径、威胁方式和威胁后果等
- 安全管理评估:安全操作流程、设备管理、人员管理、安全制度、应急响应能力、行政控制手段
- 评估总结和建议
评估结果评审与认可
- 最高管理层或其委托的机构应组织召开评估工作结束会议,总结评估工作,对风险评估活动进行评审
网络安全风险评估技术应用
网络安全风险评估场景
- 网络安全规划和设计
- 网络安全等级保护
- 网络安全运维语应急响应
- 数据安全管理与运营
OWASP风险评估方法参考
- 确定风险类别
- 评估可能性的因素
- 评估影响的因素
- 确定风险的严重程度
- 决定修复内容
- 定制合适的风险评级模型
- ICT供应链安全威胁识别参考
- 工业控制系统平台脆弱性识别参考
- 网络安全风险处理措施参考
人工智能安全风险分析参考
- 人工智能训练数据安全风险
- 人工智能算法安全风险
- 人工智能系统代码实现安全风险
- 人工智能技术滥用风险
高度自治智能系统导致社会安全风险
第十七章 网络安全应急响应技术原理与应用
网络安全应急响应概述
网络安全应急响应概念
- 为应对网络安全事件,相关人员或组织机构对网络安全事件进行监测、预警、分析、响应和恢复等工作
网络安全应急响应作用
- 及时响应和处理网络中随时可能出现的安全事件
- 网络安全应急响应相关规范
网络安全应急响应组织建立与工作机制
网络安全应急响应组织建立
- 由应急领导组和应急技术支撑组构成
- 组织成员:管理、业务、技术、行政后勤等人员
工作内容:
- 网络安全威胁情报分析研究
- 网络安全事件监测与分析
- 网络安全预警信息发布
- 网络安全应急响应预案编写与修订
- 网络安全应急响应知识库开发与管理
- 网络安全应急响应演练
- 网络安全事件响应和处置
- 网络安全事件分析和总结
- 网络安全教育与培训
网络安全应急响应组织工作机制
- 对组织机构对网络安全事件进行处理、协调或提供支持的团队
网络安全应急响应组织类型
image-- 公益性应急响应组
- 内部应急响应组
- 商业性应急响应组
- 厂商应急响应组
网络安全应急响应预案内容与类型
网络安全事件类型与分级
2017年中央网信办发布《国家网络安全事件应急预案》,将网络信息安全事件分类如下
- 恶意程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件
- 根据网络安全事件的影响程度,将网络安全事件分为四级
网络安全应急响应预案基本内容
- 详细列出系统紧急情况的类型及处理措施
- 事件处理基本工作流程
- 应急处理所要采取的具体步骤及操作顺序
- 执行应急预案有关人员的姓名、住址、电话号码以及有关职能部门的联系方法
网络安全应急响应预案类型与参考模板
- 按照覆盖的管理区域分为:国家级、区域级、行业级、部门级
参考模板
- 核心业务系统中断或硬件设备故障时的应急处置程序(I级)
- 门户网站及托管系统遭到完整性破坏时的应急处置程序(I级)
- 外网系统遭遇黑客入侵攻击时的应急处置程序(II级)
- 外网系统遭遇拒绝服务攻击时的应急处置程序(II级)
- 外部电源中断后的应急处置程序(II级)
常见网络安全应急事件场景与处理流程
常见网络安全应急处理场景
- 恶意程序事件:恶意代码攻击
网络攻击事件
- 安全扫描器攻击
- 暴力破解
- 系统漏洞
- 网站及Web应用安全事件
- 拒绝服务事件:DDoS,DoS
网络安全应急处理流程
- 安全事件报警
- 安全事件确认:应急工作组长和应急领导小组确定
- 启动应急预案
- 安全事件处理:至少两人参加
主要工作:
* 准备工作:通知相关人员,交换必要信息
* 检测工作:对现场做快照,保护一切可能作为证据的记录
* 抑制工作:采取围堵措施,尽量限制攻击涉及的范围
* 根除工作:解决问题,根除隐患,采取补救措施。对事故进行存档
* 恢复工作:恢复系统,使系统正常运行
* 总结工作:提交事故处理报告- 撰写安全事件报告
报告内容:
* 安全事件发生对日期
* 参加人员
* 事件发现的途径
* 事件类型
* 事件涉及的范围
* 现场记录
* 事件导致的损失和影响
* 事件处理的过程
* 从本次事故中应该吸取的经验与教训- 应急工作总结
网络安全事件应急演练
- 类型划分
演练方法
- CTF/红蓝对抗
网络安全应急响应技术与常见工具
访问控制
- 网络访问控制
- 主机访问控制
- 数据库访问控制
- 应用服务器访问控制
网络安全评估
- 恶意代码检测:360杀毒
- 漏洞扫描:Nessus
- 文件完整性检查:监测二进制文件是否被替换
- 系统配置文件检查:基线扫描
- 网卡混杂模式检查:是否安装网络嗅探器
- 文件系统检查
- 日志文件审查
网络安全检测
- 网络流量监测:Wireshark
系统自身监测
- 受害系统等网络通信状态监测(netstat)
- 受害系统等操作系统进程活动状态监测(ps)
- 受害系统等用户活动状况监测(who)
- 受害系统的地址解析状况监测(arp)
- 受害系统的进程资源使用状况监测(lsof、fport)
系统恢复
- 系统紧急启动
- 恶意代码清除
- 系统漏洞修补
- 文件删除恢复
系统备份容灾
- 技术:磁盘阵列、双机热备系统、容灾中心等
- 《信息安全技术 信息系统灾难恢复规范(GB/T 20988-2007)》规范定义了六个灾难恢复等级和技术要求,:
- 第1级-基本支持
- 第2级-备用场地支持
- 第3级-电子传输和部分设备支持
- 第4级-电子传输及完整设备支持
- 第5级-实时数据传输及完整设备支持
- 第6级-数据零丢失和远程集群支持
入侵取证
证据信息分为两大类:
- 实时信息或易失信息
- 非易失信息
通常,可作为证据或证据关联的信息有:
- 日志
- 文件,如文件大小、内容、创建日期、交换文件等
- 系统进程
- 用户,如在线用户的服务时间、使用方式
- 系统状态
- 网络通信连接记录
- 磁盘介质
网络安全取证的六个步骤:
- 取证现场保护
- 识别证据
- 传输证据
- 保存证据
- 分析证据
- 提交证据
网络安全应急响应参考案例
- 公共互联网网络安全突发事件应急预案
- 阿里云安全应急响应服务
- IBM产品安全漏洞应急响应
- “永恒之蓝”攻击的紧急处置
- 页面篡改事件处置规程
详见P370-P377
第十八章 网络安全测评技术与标准
网络安全测评概况
网络安全测评概念
- 参照一定的标准规范要求,通过一系列的技术和管理方法,获取评估对象的网络安全状况信息,对其给出相应的网络安全情况综合判定
- 网络安全测评发展
网络安全测评作用
- 信息技术产品安全质量、信息系统安全运行的重要保障措施
网络安全测评类型
基于测评目标分类
- 网络信息系统安全等级测评:测评机构,采用等保2.0标准
- 网络信息系统安全验收测评:用户申请
- 网络信息系统安全风险测评:风险管理角度
基于测评内容分类
- 技术安全测评:物理环境、网络通信、操作系统、数据库系统、应用系统、数据及存储系统等
- 管理安全测评:管理机构、管理制度、管理流程、人员管理、系统建设、系统运维等
基于实施方式分类
- 安全功能检测:访谈调研、现场查看、文档审查、社会工程、漏洞扫描、渗透测试等
- 安全管理检测:访谈调研、现场查看、文档审查、安全基线对比、社会工程
- 代码安全审查:静态安全扫描
- 安全渗透测试
- 信息系统攻击测试
基于测评对象保密性分类
- 涉密信息系统测评
- 非涉密信息系统测评
网络安全测评流程与内容
网络安全等级保护测评流程与内容
- 技术安全测评和管理安全测评两部分
- 网络安全渗透测试流程与内容
网络安全测评技术与工具
漏洞扫描
- 网络安全漏洞扫描器:Nmap,Nessus
- 主机安全漏洞扫描器:微软安全基线分析器,COPS
- 数据库安全漏洞扫描器:安华金
- Web应用漏洞扫描器:w3af、Nikto、AppScan
安全渗透
- 黑盒模型
- 白盒模型
- 灰盒模型
- 代码安全审查
协议分析
- TCPDump、Wireshark
性能测试
- 性能监测工具(系统自带)、Apache JMeter(开源)、LoadRunner、SmartBits
网络安全测评质量管理与标准
网络安全测评质量管理
网络安全测评质量管理内容
- 测评机构建立质量管理体系、测评实施人员管理、测评实施设备管理、测评实施方法管理、测评实施文件控制、测评非符合性工作控制、体系运行监督、持续改进
网络安全测评质量管理参考标准
- ISO9000
网络安全测评相关机构认可管理
- 中国合格评定国家认可委员会(CNAS)
网络安全测评标准
信息系统安全等级保护测评标准
- 计算机信息系统 安全保护等级划分准则(GB 17859-1999)
- 信息安全技术 网络安全等级保护基本要求(GB/T 22239-2019)
- 信息安全技术 网络安全等级保护定级指南(GB/T 22240-2020)
- 信息安全技术 网络安全等级保护安全设计技术要求(GB/T25070-2019)
- 信息安全技术 网络安全等级保护实施指南(GB/T 25058-2019)
- 信息安全技术 信息系统安全工程管理要求(GB/T 20282-2006)
- 信息安全技术 应用软件系统安全等级保护通用技术指南(GA/T 711-2007)
- 信息安全技术 网络安全等级保护级别要求 第2部分:云计算安全扩展要求(GA/T 1390.2-2017)
- 信息安全技术 网络安全等级保护级别要求 第3部分:移动互联安全扩展要求(GA/T 1390.3-2017)
- 信息安全技术 网络安全等级保护级别要求 第5部分:工业控制系统安全扩展要求(GA/T 1390.5-2017)
产品测评标准
- 信息技术 安全技术 信息技术安全评估准则(GB/T 18336-2015)
- 信息安全技术 路由器安全技术要求(GB/T 18018-2019)
- 信息安全技术 路由器安全评估准则(GB/T 20011-2005)
- 信息安全技术 服务器安全技术要求(GB/T 21028-2007)
- 信息安全技术 服务器安全测评要求(GB/T 25063-2010)
- 信息安全技术 网络交换机安全技术要求(GB/T 21050-2019)
- 信息安全技术 数据库管理系统安全评估准则(GB/T 20009-2019)
- 信息安全技术 数据库管理系统安全技术要求(GB/T 20273-2019)
- 信息安全技术 操作系统安全评估准则(GB/T 20008-2005)
- 信息安全技术 操作系统安全技术要求(GB/T 20272-2019)
- 信息安全技术 网络入侵监测系统技术要求和测评评价方法(GB/T20275-2013)
- 信息安全技术 网络和终端隔离产品测试评价方法(GB/T 20277-2015)
- 信息安全技术 网络脆弱性扫描产品测试评价方法(GB/T 20280-2006)
- 信息安全技术 防火墙安全技术要求和测试评价方法(GB/T 20281-2020)
- 信息安全技术 Web应用防火墙安全技术要求与测试评价方法(GB/T 32917-2016)
- 信息安全技术 信息系统安全审计产品技术要求和测试评价方法(GB/T 20945-2013)
- 信息安全技术 网络型入侵防御产品技术要求和测试评价方法(GB/T 28451-2012)
- 信息安全技术 数据备份与恢复产品技术要求与测试评价方法(GB/T 29765-2013)
- 信息安全技术 信息系统安全管理平台技术要求和测试评价方法(GB/T 34990-2017)
- 信息安全技术 移动终端安全保护技术要求(GB/T 35278-2017)
信息安全风险评估标准
- 信息安全技术 信息安全风险评估规范(GB/T 20984-2007)
- 信息安全技术 信息安全风险评估实施指南(GB/T 31509-2015)
- 信息安全技术 信息安全风险处理实施指南(GB/T 33132-2016)
密码应用安全
- 安全芯片密码检测准则(GM/T 0008-2012)
- 可信计算 可信密码模块符合性检测规范(GM/T 0013-2012)
- 密码模块安全技术要求(GM/T 0028-2014)
- 服务器密码机技术规范(GM/T 0030-2014)
- 基于角色的授权管理与访问控制技术规范(GM/T 0032-2014)
- 证书认证系统检测规范(GM/T 0037-2014)
- 密码模块安全检测要求(GM/T 0039-2015)
- 数字证书互操作检测规范(GM/T 0043-2015)
- 金融数据密码机检测规范(GM/T 0046-2016)
工业控制系统信息安全防护能力评估
- 工业控制系统信息安全防护指南(工信部信软(2016)338号)
- 工业控制系统信息安全防护能力评估工作管理办法(工信部信软(2017)188号)
第十九章 操作系统安全保护
操作系统安全概述
操作系统安全概念
- 满足安全策略要求,具有相应的安全机制及安全功能,符合特定的安全标准,在一定约束条件下,能够抵御常见的网络安全威胁,保障自身的安全运行及资源安全
五个安全等级
- 用户自主保护级
- 系统审计保护级
- 安全标记保护级
- 结构化保护级
- 访问验证保护级
操作系统安全需求
主要包括:
- 标识和鉴别
- 访问控制
- 系统资源安全
- 网络安全
- 抗攻击
- 自身安全
操作系统安全机制
- 主要包括:硬件安全、标识与鉴别、访问控制、最小特权管理、可信路径、安全审计、系统安全增强
操作系统安全技术
- 包括:硬件容灾备份技术、可信计算技术、身份认证技术、访问控制技术、加密技术、安全审计和监测技术、系统安全增强技术、特权管理技术、形式化分析技术、安全渗透技术、隐蔽信道分析、安全补丁、防火墙、入侵检测、安全沙箱、攻击欺骗、地址空间随机化和系统恢复等技术
Windows操作系统安全分析与防护
Windows操作系统安全分析
Windows系统架构
Windows XP架构
- 最底层是硬件抽象层,为上层提供硬件结构的接口,方便移植
- 第二层是内核层,为底层提供执行、中断、异常处理和同步的支持
- 第三层由一系列实现基本系统服务的模块组成,如虚拟内存管理、I/O管理
Windows 2000架构:有专门的安全子系统
- 本地安全授权(LSA):提供了许多服务程序;产生令牌、执行本地安全管理、提供交互式登录认证服务、控制安全审查策略和由SRM产生的审查记录信息
- 安全账户管理(SAM):对SAM数据库进行维护,该数据库包含所有组和用户信息
- 安全参考监视器(SRM):负责访问控制和审查策略,由LSA支持
Windows安全机制
Windows认证机制
- Windows2000提供两种基本认证类型:本地认证和网络认证
- Windows2000安全系统集成三种身份验证技术:Kerberos V5、公钥证书和NTLM
- Windows访问控制机制
Windows审计/日志机制
- 日志有三种类型:系统日志、应用程序日志和安全日志,目录为“system32\config”
- Windows协议过滤和防火墙
- Windows文件加密系统
- 抗攻击机制
Windows系统安全分析
- Windows口令
- Windows恶意代码
- Windows应用软件漏洞
- Windows系统出现的漏洞
- Windows注册表安全
- Windows文件共享安全
- Windows物理临近攻击:使用启动盘引导系统,进而访问NTFS文件系统
Windows操作系统安全防护
Windows系统安全增强技术方法与流程
系统安全增强技术:
- 安全漏洞打补丁(Patch)
- 停止服务和卸载软件
- 升级或更换程序
- 修改配置或权限
- 去除特洛伊等恶意程序
- 安装专用的安全工具软件
Windows系统安全增强的步骤:
- 确认系统安全增强的安全目标和系统的业务用途
安装最小化的操作系统
- 要求如下:
- 尽量使用英文版Windows操作系统
- 不要安装不需要的网络协议
- 使用NTFS分区
- 删除不必要的服务和组件
- 安装最新系统补丁
- 配置安装的系统服务
配置安全策略
- 主要有:账户策略、审计策略、远程访问、文件共享等
- 禁用NetBIOS
账户安全配置
- 禁用默认账号
- 定期检查账户,尽早发现可疑账户
- 锁定Guest账户
- 文件系统安全配置
- 配置TCP/IP筛选和ICF
- 禁用光盘或软盘启动
- 使用屏幕保护口令
- 设置应用软件安全
- 安装第三方防护软件
Windows系统典型安全工具
- 远程安全登录管理工具OpenSSH(开源)
- 系统身份认证增强工具Kerberos(开源)
- 恶意代码查杀工具ClamAV(开源)、360杀毒、火绒剑
- 系统安全检查工具Nmap(开源)、Fport、Sysinternals(工具集成)
- 系统安全监测工具Netstat(系统自带)、WinDump(开源)
UNIX/Linux操作系统安全分析与防护
UNIX/Linux操作系统安全分析
系统安全架构
- 一般的UNIX/Linux操作系统分为硬件层、系统内核和应用层
系统安全机制
UNIX/Linux认证
- 基于口令的认证方式
- 终端认证
- 主机信任机制:不同主机之间的相互信任机制
- 第三方认证:如一次一密口令认证S/key,Kerberos认证系统
UNIX/Linux访问控制
- 通过文件访问控制列表ACL实现
UNIX/Linux审计机制
- 记录在日志文件中
系统安全威胁分析
- UNIX/Linux口令/账号安全
- UNIX/Linux可信主机文件安全
- UNIX/Linux应用软件漏洞
UNIX/Linux的SUID文件安全
- SUID文件是指被设置成可以带有文件拥有者的身份和权限被执行的可执行文件,可以使普通用户以root权限执行某个程序
- UNIX/Linux的恶意代码
- UNIX/Linux文件系统安全
- UNIX/Linux网络服务安全
- UNIX/Linux系统程序漏洞
UNIX/Linux操作系统安全防护
UNIX/Linux系统安全增强方法和流程
UNIX/Linux系统安全增强方法
- 给安全漏洞打补丁
- 停止不必要的服务
- 升级或更换软件包
- 修改系统配置
- 安装专用的安全工具软件
- UNIX/Linux系统安全增强基本流程
UNIX/Linux系统安全增强技术
- 安装系统补丁软件包
- 最小化系统网络服务
- 设置系统开机保护口令
- 弱口令检查
- 禁用默认账号
- 用SSH增强网络服务安全
- 利用tcp_wrapper增强访问控制
- 构筑UNIX/Linux主机防火墙
- 使用Tripwire或MD5Sum完整性检测工具
- 检测LKM后门
- 系统安全监测
Linux安全增强配置参考
- 禁止访问重要文件
- 禁止不必要的SUID程序
- 为LILO增加开机口令
- 设置口令最小长度和最短使用时间
- 限制远程访问
- 用户超时注销
- 注销时删除命令记录
UNIX/Linux系统典型安全工具与参考规范
典型工具
- 远程安全登录管理开源工具OpenSSH
- 系统身份认证增强开源工具Kerberos
- 系统访问控制增强开源工具SELinux、iptables、TCP Wrappers等
- 恶意代码查杀工具ClamAV(开源)、Chkrootkit、Rootkit Hunter
- 系统安全检查工具Nmap(开源)、John the Ripper、OpenVAS
- 系统安全监测工具Netstat、lsof、Snort
- 参考规范:CIS,SANS
国产操作系统安全分析与防护
国产操作系统概况
- 在开源操作系统Linux的基础上研发
- 早期:安胜操作系统
- 新型:华为鸿蒙操作系统、阿里飞天云操作系统
国产操作系统安全分析
- Linux内核的安全风险
- 自主研发系统组件的安全
- 依赖第三方系统组件的安全
- 系统安全配置的安全
- 硬件的安全
国产操作系统安全增强措施
中科方德方舟安全操作系统
安全特点:
- 基于三权分立的管理机制
- 强化的身份标识与认证机制
- 综合应用多种安全策略,提高系统的安全性
- 基于内核层的安全审计
- 支持各类通用软件、具有良好的软硬件兼容性
- 中标麒麟安全操作系统
中标麒麟可信操作系统
主要功能:
- 提供基于三权分立机制的多项安全功能(身份鉴别、访问控制、数据保护、安全标记、可信路径、安全审计等)和统一的安全控制中心
- 支持国内外可信计算规范(TCM/TPCM、TPM2.0)
- 支持国家密码管理部门发布的SM2、SM3、SM4等国密算法;兼容主流等软硬件和自主CPU平台
- 提供可持续性的安全保障,防止软硬件被篡改和信息被窃取,系统免受攻击
第20章 数据库系统安全
数据库安全概况
数据库安全概念
- 数据库的机密性、完整性、可用性能够得到保障
- 主要涉及数据库管理安全、数据安全、数据库应用安全以及数据库运行安全
数据库安全威胁
- 授权的误用:越权/提权
- 逻辑推断和汇聚:足够多个别信息汇聚成敏感信息
- 伪装:假冒用户身份
- 旁路控制:在数据库设置后门
- 隐蔽信道:利用非正常的通信途径传输数据躲避数据库安全机制的控制
- SQL注入攻击:导致数据库信息泄露,被提权
- 数据库口令密码破解:利用口令字典爆破
- 硬件及介质攻击:物理攻击
数据库安全隐患
- 数据库用户账号和密码隐患
- 数据库系统扩展存储过程隐患
- 数据库系统软件和应用程序漏洞
- 数据库系统权限分配隐患
- 数据库系统用户安全意识薄弱
- 网络通信内容是明文传递
- 数据库系统安全机制不健全
数据库安全需求
- 数据库标识与鉴别
- 数据库访问控制
- 数据库安全审计
- 数据库备份与恢复
- 数据库加密
- 资源限制
- 数据库安全加固
- 数据库安全管理
数据库安全机制与实现技术
- 数据库安全机制
数据库加密
加密方式:
- 数据库网上传输的数据,通常利用SSL协议来实现
- 数据库存储的数据,通过数据库存储加密来实现
- 数据库存储加密方式:库内加密和库外加密
常用技术:
- 基于文件的数据库加密技术
- 基于记录的数据库加密技术
- 基于字段的数据库加密技术
数据库脱敏
- 常见技术方法:屏蔽、变形、替换、随机、加密
数据库漏洞扫描
- 商业产品:NGSSQuirrel for Oracle
数据库防火墙
- 通过SQL协议分析,阻断非法违规操作,提供SQL注入禁止和数据库虚拟补丁包功能
安全作用
- 屏蔽直接访问数据库的通道
- 增强认证
- 攻击检测
- 防止漏洞利用
- 防止内部高危操作
- 防止敏感数据泄露
- 数据库安全审计
Oracle数据库安全分析与防护
Oracle安全概况
- 1979年首先推出SQL标准的关系型数据库chanpin
Oracle安全分析
安全机制和技术:
- 用户认证:认证机制多样
- 访问控制:内部集成网络和数据对象授权控制
- 特权管理
- 安全审计和数据库防火墙
- 透明加密与数据屏蔽
Oracle安全最佳实践
- 增强Oracle数据库服务器的操作系统安全
- 最小化安装Oracle,删除不必要组件
- 安装最新的安全补丁
- 删除或修改默认的用户名和密码
- 启用认证机制
- 设置好的口令密码策略
设置最小化权限,严格限制以下程序包的权限:
- UTL_FILE:读取服务器上文件
- UTL_HTTP:通过HTTP访问外部资源
- UTL_TCP:通过TCP建立连接,从网络得到可执行文件
- UTL_SMTP:通过SMTP方式进行通信,转发关键文件
- 限制连接Oracle的IP地址
- 传输加密
- 启用Oracle审计
- 定期查看Oracle漏洞发布信息
- 实施Oracle灾备计划
Oracle漏洞修补
- Oracle公司建立关键补丁更新包(Critical Patch Updates),简称CPU
MS SQL数据库安全分析与防护
MS SQL安全概况
- MS SQL Server 起源于 Sybase,是基于Windows NT 结构的大型关系型数据库管理系统
MS SQL安全分析
安全机制:
- 用户身份认证
- 访问控制
- 数据库加密
* 备份、恢复机制
* 安全审计MS SQL安全最佳实践
- 设置好的数据库密码安全策略
- 加强扩展存储过程管理,删除不必要存储过程
- 网上数据加密传输
- 修改数据库默认的TCP/IP端口号:1433
- 对SQL数据库访问的网络连接进行IP限制
- 启用SQL Server日志审计,记录所有的用户访问和分析安全事件日志
- 定期查看MS SQL Server漏洞发布信息,及时修补漏洞
- 保证MS SQL Server的操作系统安全
- MS SQL Server安全检测,制定安全容灾备份计划
MS SQL漏洞修补
- 微软安全响应中心(MSRC)每月发布安全公告
MySQL数据库安全分析与防护
MySQL安全概况
- 网络化的关系型数据库,与PHP、Apache组合广泛应用
MySQL安全分析
安全机制
- 用户身份认证
- 访问授权:user、db、host、tables_priv和columns_priv 5个授权表
- 安全审计
MySQL安全最佳实践
- MySQL安装
- 建立MySQL Chrooting运行环境
- 关闭MySQL的远程连接
- 禁止MySQL导入本地文件
- 修改MySQL的root用户ID和密码
- 删除MySQL的默认用户和db
- 更改MySQL的root用户名,防止口令暴力破解
- 建立应用程序独立使用的数据库和用户账号
- 安全检测
- 安全备份
- MySQL漏洞修补
国产数据库安全分析与防护
国产数据库概况
- 神舟数据、人大金仓、达梦及安捷实时数据库
国产数据库安全分析
- 国产数据库安全漏洞
- 国产数据库依赖第三方系统组件的安全
- 国产数据库系统安全配置的安全
- 国产数据库支持平台的安全
国产数据库安全增强措施
- 国产数据库安全漏洞挖掘及扫描
- 国产数据库加密
国产安全数据库
第21章 网络设备安全
本章相关命令配置详情请看书
网络设备安全概况
交换机安全威胁
- MAC地址泛洪
- ARP欺骗
- 口令威胁
- 漏洞利用
路由器安全威胁
- 漏洞利用
- 口令安全威胁
- 路由协议安全威胁
- DoS/DDoS威胁
- 依赖性威胁
网络设备安全机制与实现技术
认证机制
交换机、路由器等设置支持认证方式
- TACACS+(Terminal Access Controller Access Control System)认证
* RADIUS(Remote Authentication Dial In User Service)认证
访问控制
网络设备的访问分为带外(Out-of-band)访问和带内(in-band)访问
- 带外访问不依赖其他网络
- 带内访问要求提供网络支持
访问方法主要有控制端口(Console Port)、辅助端口(AUX port)、VTY、HTTP、TFTP、SNMP
- Con端口访问:限制特定主机访问路由器
- VTY访问控制:指定固定IP地址访问,并增加时间约束
- HTTP访问控制:限制指定IP地址
SNMP(简单网络管理协议)访问控制
- SNMP访问控制
- 限制SNMP访问的IP地址
- 关闭SNMP访问
设置管理专网
具体方法:
- 将管理主机和路由器之间的全部通信进行加密,使用SSH替换Telnet
- 在路由器设置包过滤规则,只允许管理主机远程访问路由器
特权分级
- 每种权限级别对应不同的操作能力
信息加密
- 启用service password-encryption配置
安全通信
- 使用SSH配置步骤
(1)使用hostname指定设备名称
(2)使用ip domain-name配置设备域
(3)使用crypto key generate rsa生成 RSA 加密密钥。建议最小密钥大小1024位
(4)使用ip ssh设置SSH访问
(5)使用transport input命令配置使用SSH
- 使用VPN配置步骤
日志审计
- 网络设备提供控制台日志审计、缓冲区日志审计、终端审计、SNMP traps、AAA审计、Syslog审计
- 因网络设备存储有限,开启Syslog服务配置专用日志服务器
安全增强
- 关闭非安全的网络服务及功能
- 信息过滤
协议认证
安全措施:
- 启用OSPF路由协议的认证
- RIP协议的认证
- 启用IP Unicast Reverse-Path Verification
物理安全,策略如下:
- 指定授权人安装、卸载和移动网络设备
- 指定授权人进行维护以及改变网络设备的物理设备
- 指定授权人进行网络设备的物理连接
- 指定授权人进行网络设备的控制台使用以及其他的直接访问端口连接
- 明确网络设备受到物理顺坏时的恢复过程或者出现网络设备被篡改配置后的恢复过程
网络设备安全增强技术方法
交换机安全增强技术方法
配置交换机访问口令和ACL,限制安全登录
交换机的安全访问控制分为两级:
- 通过控制用户的连接实现
- 通过用户口令认证实现
- 利用镜像技术检测网络流量
MAC地址控制技术
- 设置最多可学习到的MAC地址数
- 设置系统MAC地址老化时间
安全增强
主要方法:
- 关闭交换机不必要的网络服务
- 限制安全远程访问
- 限制控制台的访问
- 启动登录安全检查
- 安全审计
以思科交换机安全增强为例,命令见P463-P465
路由器安全增强技术方法
- 及时升级操作系统和打补丁
关闭不需要的网络服务
关闭危险的网络服务
- 禁止CDP(Cisco Discovery Protocol)
- 禁止其他的TCP、UDP Small服务
- 禁止Finger服务
- 禁止HTTP服务
- 禁止BOOTP服务
- 禁止从网络启动和自动从网络下载初始配置文件
- 禁止IP Source Routing
- 禁止ARP-Proxy服务
- 明确地禁止IP Directed Broadcast
- 禁止IP Classless
- 禁止ICMP协议的IP Unreachables、Redirects、Mask Replies
- 禁止SNMP协议服务
- 禁止WINS和DNS服务
- 明确禁止不使用的端口
- 禁止IP直接广播和源路由
- 增强路由器VTY安全
阻断恶意数据包
常见恶意数据包类型:
- 源地址声称来自内部网
- loopback数据包
- ICMP重定向
- 广播包
- 源地址和目标地址相同
- 路由器口令安全
- 传输加密
- 增强路由器SNMP的安全
网络设备常见漏洞与解决方法
网络设备常见漏洞
- 拒绝服务漏洞
- 跨站伪造请求CSRF
- 格式化字符串漏洞
- XSS
- 旁路
- 代码执行
- 溢出
- 内存破坏
网络设备漏洞解决方法
- 及时获取网络设备漏洞信息
网络设备漏洞扫描:
- 端口扫描工具
- 通用漏洞扫描器
- 专用漏洞扫描器
网络设备漏洞修补
- 修改配置文件
- 安全漏洞利用限制
- 服务替换
- 软件包升级
第22章 网站安全需求分析与安全保护工程
网站安全威胁与需求分析
网站安全概念
- 网站是一个基于B/S技术架构的综合信息服务平台,主要提供网页信息及业务后台对外接口服务
- 网站安全主要是有关网站的机密性、完整性、可用性及可控性
网站安全分析
- 非授权访问
- 网页篡改
- 数据泄露:用户敏感信息
- 恶意代码:网页木马
- 网站假冒
- 拒绝服务
- 网站后台管理安全威胁
网站安全需求
- 包括:网络环境、网络通信、操作系统、数据库、应用服务器、Web服务软件、Web应用程序、数据等安全威胁防护
Apache安全分析与增强
Apache Httpd是常用的构建网站服务器的软件,简称Apache Web
Apache安装和配置
httpd.conf:
- Apache主配置文件,httpd启动时会先读取httpd.conf。
- 该文件设定Apache服务器一般的属性、端口、执行者身份
- conf/srm.conf:数据配置文件
- conf/access.conf:负责基本的读取文件控制
- conf/mime.conf:设定Apache所能辨别的MIME格式
Apache安全分析
面临的威胁:
- Apache Web软件程序威胁
- Apache Web软件配置威胁:资源位置预测
- Apache Web安全机制威胁:口令爆破
- Apache Web应用程序威胁:SQL注入
- Apache Web服务通信威胁
- Apache Web服务内容威胁:钓鱼
- Apache Web服务器拒绝服务威胁
Apache安全机制理解及配置
- Apache Web 本地文件安全
- Apache Web 模块管理机制:模块化管理,不需要某一项配置即可禁止
Apache Web认证机制
- 如:对/user/local/apache/htdocs/secret目录进行访问控制
连接耗尽应对机制
解决办法:
- 减少Apache超时(Timeout)设置、增大MaxClients设置
- 限制同一IP的最大连接数
- 多线程下载保护机制
- Apache Web自带的访问机制
- Apache Web审计和日志:access.log和error.log
- Apache Web服务器防范DoS
Apache安全漏洞处理方法
- 及时安装Apache Web补丁
- 启用.htaccess文件保护网页
- 为Apache Web服务软件设置专门的用户和组
- 隐藏Apache Web软件的版本号
Apache Web目录访问安全增强
- 设定禁止使用目录索引文件
- 禁止默认访问
- 禁止用户重载
Apache Web文件目录保护
最佳安全实践:
- ServerRoot保存配置文件(conf子目录)、二进制文件和其他服务器配置文件
- DocumentRoot保存Web站点的内容,包括HTML文件和图片等
- Apache服务CGI目录的属主和权限设置555
- Apache服务器执行目录的属主和权限设置550
- Apache服务器日志目录的属主和权限设置664
删除Apache Web默认目录或不必要的文件
- Apache源代码文件
- 默认HTML文件
- CGI程序样例
- 默认用户文件
使用第三方软件安全增强Apache Web服务
- 构建Apache Web服务器“安全沙箱”
- 使用OpenSSL增强Apache Web安全通信
- 增强Apache Web服务器访问控制
IIS安全分析与增强
IIS安装和配置
- IIS由若干个组件构成,每个组件负责相应的功能,协同处理HTTP请求过程
IIS处理HTTP请求步骤
- HTTP.sys接收到客户的HTTP请求
- HTTP.sys联系WAS(Windows Process Activation Service),从配置库中获取信息
- WAS从配置库applicationHost.config中请求配置信息
- WWW Service接收配置信息,例如应用池和站点配置
- WWW Service使用这些配置信息设置HTTP.sys
- WAS针对请求,为应用池启动工作进程
- 工作进程处理请求和返回HTTP.sys的响应
- 客户接收到响应
IIS安全分析
- 非授权访问
- 网络蠕虫
- 网页篡改
- 拒绝服务
- IIS软件漏洞
IIS安全机制类型及配置
- 类型:包括IIS认证机制、IIS访问控制、IIS日志审计
IIS认证机制
- 匿名认证
- 基本验证
- 证书认证
- 数字签名认证
- IIS证书认证
- Windows认证
IIS访问控制
- 访问控制措施:请求过滤、URL授权控制、IP地址限制、文件授权
- 访问控制流程:
- IIS日志审计
IIS安全漏洞处理方法
- 及时安装IIS补丁
- 启用动态IP限制
- 启用URLScan
- 启用IIS Web应用防火墙
- 启用SSL服务
Web应用漏洞分析与防护
OWASP Top 10
- A1-注入漏洞
- A2-遭受破坏的认证
- A3-敏感数据暴露漏洞
- A4-XML外部实体引用漏洞
- A5-受损害的访问控制漏洞
- A6-安全配置错误
- A7-跨站脚本漏洞
- A8-非安全反序列化漏洞
- A9-使用含有已知漏洞的组件
- A10-非充分的日志记录和监控
SQL注入漏洞分析与防护
- 对应用程序输入进行安全过滤:特殊字符过滤
- 设置应用程序最小化权限
- 屏蔽应用程序错误提示信息:隐藏报错信息,防止报错注入
- 对开源Web应用程序做安全适应性改造
XSS漏洞分析与防护
典型的攻击方式:
- HTML内容替换
- 嵌入脚本内容
- 强制网页加载外部脚本
文件上传漏洞分析与防护
防护措施:
- 将上传目录设置为不可执行,避免上传文件远程触发执行
- 检查上传文件的安全性,阻断恶意文件上传
网站安全保护机制与技术方案
网站构成组件安全加固
- 操作系统安全加固
- 数据库系统安全加固
- Web服务器软件安全加固
- Web应用程序安全加固
- Web通信安全加固
- 网站域名服务安全加固
- 网站后台管理安全加固
网站攻击防护及安全监测
- 防火墙
- 漏洞扫描
网站防篡改
实现技术:
- 利用操作系统的文件调用事件来检测网页文件的完整性变化
- 利用密码学的单向函数检测
- 网络流量清洗
网站安全监测
- 网站安全漏洞监测
- 网站挂马监测
- 网站ICP备案监测
- 网站合规性监测
- 网站性能监测
- 网站DNS监测
网站入侵检测
第23章 云计算安全需求分析与安全保护工程
云计算四种部署模式:私有云、社区云、公有云和混合云
云计算安全威胁与需求分析
云计算安全威胁
云计算用户安全威胁
- 用户弱口令
- 用户隐私信息
云计算平台安全威胁
- 云计算平台物理安全威胁
- 云计算平台服务安全威胁
云平台资源滥用安全威胁
- 虚拟机安全威胁
- 云平台运维安全威胁
- 数据残留
- 过度依赖
- 利用共享技术漏洞进行的攻击
- 滥用云服务
- 云服务中断
- 利用不安全的接口的攻击
- 数据丢失、篡改或泄露
云计算安全需求
云操作系统安全
云端安全需求分析
- 涉及云用户的身份标识和鉴别、资源访问控制、数据安全存储、云端设备及服务软件安全
网络安全通信安全需求分析
- 技术包括身份认证、密钥分配、数据加密、信道加密、防火墙、VPN、抗拒绝服务
云计算平台安全需求分析
- 安全需求有物理环境安全、主机服务器安全、操作系统、数据库安全、应用及数据安全、云操作系统安全、虚拟机安全和多租户安全隔离
云服务安全合规
- 云计算安全国际管理标准规范
云计算安全国内管理标准规范
- 《关于加强党政部门云计算服务网络安全管理的意见》
- 《云计算服务安全评估方法》
- 《信息安全技术 云计算服务安全指南》(GB/T 31167-2014)
- 《信息安全技术 云计算服务安全能力要求》(GB/T 31168-2014)
- 《信息安全技术 网络安全等级保护基本要求 第2部分:云计算安全扩展要求》(GA/T 1390.2-2017)
- 其他
隐私保护
- 数据采集:明确信息采集范围和用途,告知用户相关风险
- 数据传输:敏感个人信息加密传输
- 数据存储:加密、认证、访问控制、备份
- 数据使用:安全控制策略规则
- 数据维护:数据安全生命周期管理流程
- 数据安全事件处置
云计算安全保护机制与技术方案
云计算安全等级保护框架
云计算保护对象安全等级划分
- 根据网络安全等级保护2.0的要求,分成五个级别
- 云计算安全等级保护设计框架
云计算安全防护
常见安全机制:
- 身份鉴别认证机制:解决云计算中各种身份标识及鉴别问题
- 数据完整性机制
- 访问控制机制
- 入侵防范机制
- 安全审计机制
- 云操作系统安全增强机制
云计算安全管理
云计算安全运维
安全措施:
- 云计算安全风险评估机制:持续分析云计算平台的资产清单、安全脆弱性
- 云计算内部安全防护机制:身份认证、安全操作审计、远程安全登录
- 云计算网络安全监测机制:网络流量、系统日志、安全漏洞
- 云计算应急响应机制
- 云计算容灾备份机制
云计算安全保护案例分析
云计算安全应用参考案例分析
- 阿里云、腾讯云、华为云、微软云案例分析
- P514-P524
云计算隐私保护
- 云计算服务提供方的个人隐私保护措施
- 用户个人隐私保护措施
个人信息安全事件应急响应措施
第24章 工控安全需求分析与安全保护工程
工控系统安全威胁与需求分析
工业控制系统概念及组成
- 组成:各种控制组件、监测组件、数据处理与展示组件
- 工控系统分为:离散制造类和过程控制类
控制系统包括:
SCADA系统(数据采集与监视控制系统)
- 功能:数据采集、参数测量和调节
- 组成:设在控制中心的主终端控制单元(MTU)、通信线路和设备、远程终端单位(RTU)
- 分布式控制系统(DCS)
- 过程控制系统(PCS):实时采集状态参数进行调节
- 可编程逻辑控制器(PLC)
- 主终端设备(MTU)
- 远程终端设备(RTU)
- 人机界面(HMI)
工控通信网络
- 常见工控专用协议:OPC、Modbus、DNP3
- 网络类型:DCS主控网络、SCADA远程网络、现场控制级通信网络
工业控制系统安全威胁分析
- 自然灾害及环境
- 内部安全威胁
- 设备功能安全故障
- 恶意代码
- 网络攻击
工业控制系统安全隐患类型
- 工控协议安全:缺乏安全设计,无安全认证、加密、审计
- 工控系统技术产品安全漏洞
- 工控系统基础软件安全漏洞
- 工控系统算法安全漏洞
- 工控系统设备固件漏洞
- 工控系统设备硬件漏洞
- 工控系统开放接入漏洞
- 工控系统供应链安全
工业控制系统安全需求分析
工控系统网络信息安全两个方面:
- 技术安全要求:安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心
- 管理要求:安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理
- 知名工控安全国际标准:IEC62443系列,共12个文档
工控系统安全保护机制与技术
物理及环境安全防护
- 视频监控
- 工业主机加固
安全分区与边界防护
- 安全分区
- 工控防火墙
- 工业控制安全隔离与信息交换系统
身份认证与访问控制
- 多因素认证
- 最小特权
- 避免使用默认口令或弱口令
远程访问安全
- 禁用高风险服务
- 安全加固
- VPN
- 安全审计
工控系统安全加固
- 安全配置策略
- 身份认证增强
- 强制访问控制
- 程序白名单控制
工控安全审计
- 安全审计部署设备
- 审计数据备份
- 审计数据分析利用
恶意代码防范
- 防病毒软件测试及部署运行
- 防病毒和恶意软件入侵管理机制
- 重大工控安全漏洞信息获取及补丁升级
工控数据安全
- 工业数据管理方法
工业数据安全保护措施
- 安全隔离
- 访问控制
- 加密传输与存储
- 定期备份关键业务
测试数据保护措施
- 测试数据保护类型
- 签订保密协议
- 回收测试数据
工控安全检测与响应机制
- 工控网络安全监测设备安装和使用
- 工控安全事件应急响应预案制定、演练
工控安全管理
- 资产管理
- 冗余配置
- 安全软件选择与管理
- 配置和补丁管理
- 供应链管理
- 落实责任
工控安全典型产品技术
工控系统防护类型产品技术原理和部署使用
工控防火墙
- 对网络数据包进行深度分析,解读工控协议实现访问控制
工控加密
- VPN、加密机、数据加密工具
工控用户身份认证
- 口令认证、双因素认证、生物认证
工控可信计算
- 采取密码、硬件安全技术
- 系统安全加固
工控系统物理隔离类型产品技术原理和部署使用
- 网闸
- 正反向隔离装置
工控安全审计与监测类型产品技术原理和部署使用
工控安全审计
- 采集工控设备日志信息,分析系统异常事件并告警
工控入侵检测系统
- 数据包及系统日志的深度关联分析,基于特征或异常检测发现攻击系统行为
工控安全检查类型产品技术原理和部署使用
- 工控漏洞扫描
- 工控漏洞挖掘
- 工控安全基线检查
工控运维和风险管控类型产品技术原理和部署使用
工控堡垒机
- 集中管理工控设备的运行维护和审计
工控风险管理系统
管理工控系统的资产、安全威胁、安全漏洞及潜在安全影响
第25章 移动应用安全需求分析与安全保护工程
移动应用安全威胁与需求分析
- 移动应用系统组成
- 移动应用:APP
- 通信网络:无线网络、移动通信网络及互联网
- 应用服务端:相关服务器构成,负责处理app数据
移动应用安全分析
- 移动操作系统平台安全威胁:移动应用的安全性依赖于移动操作系统
- 无线网络攻击:通信内容监听、假冒基站、网络域名欺诈、网络钓鱼等攻击
- 恶意代码
- 移动应用代码逆向工程
- 移动应用程序非法篡改
Android系统安全与保护机制
Android系统安全体系
- 开源的移动终端操作系统,分成Linux内核层、系统运行层、应用程序框架层、应用程序层
- 常见威胁形式:APK重打包、更新攻击、诱惑下载、提权攻击、远程控制、恶意付费、敏感信息搜集
- Android系统安全机制
- 权限声明机制
- 应用程序签名机制
- 沙箱机制:实现不同应用程序和进程之间的隔离
- 网络通信加密
- 内核安全机制
iOS系统安全与保护机制
iOS系统安全体系
分为:
- 核心操作系统层:提供本地认证、安全、外部访问、系统等服务
- 核心服务层:提供给应用所需要的基础系统服务
- 媒体层:提供应用中视听技术
- 可触摸层:触摸交互操作
- iOS系统安全机制
- 安全启动链:iOS平台的安全依赖于启动链的安全
- 数据保护
- 数据的加密于保护机制:强制加密
- 地址空间布局随机化
- 代码签名
- 沙箱机制
移动应用安全保护机制与技术方案
移动应用App安全风险
- 逆向工程风险
- 篡改风险
- 数据窃取风险
移动应用App安全加固
- 防逆向、防调试、防篡改
- 数据防泄漏、传输数据防护
移动应用App安全监测
- 身份认证机制监测
- 通信会话安全机制检测
- 敏感信息保护机制检测
- 日志安全策略检测
- 交易流程安全机制检测
- 服务端鉴权机制检测
- 访问控制机制检测
- 数据防篡改能力检测
- 防SQL注入能力检测
- 防钓鱼能力检测
- App安全漏洞检测
移动应用安全综合应用案例分析
金融移动安全
- 实施移动App安全开发管理
- 移动App网络通信内容安全加密保护
- 移动App安全加固
- 移动App安全测评
- 移动App安全监测
运营商移动安全
风险:
- 账号、密码窃取
- 漏洞利用
- 恶意代码
- 数据窃取
- 恶意刷量、刷单
- 拒绝服务攻击
- 计费SDK破解
- 社工库诈骗
- 移动办公安全
第26章 大数据安全需求分析与安全保护工程
大数据安全威胁与需求分析
大数据安全威胁分析
大数据概念与特点
- 大数据是指非传统的数据处理工具的数据集
特点:
- 海量数据规模
- 快速的数据流转
- 多样的数据类型
- 价值密度低
大数据安全问题
- “数据集”安全边界日渐模糊,安全保护难度提升
- 敏感数据泄露安全风险增大
- 数据失真与大数据污染安全风险
- 大数据处理平台业务连续性与拒绝服务
- 个人数据广泛分布于多个数据平台,隐私保护难度加大
- 数据交易安全风险
- 大数据滥用
大数据安全需求分析
- 数据安全基本要求:数据的真实性、实时性、机密性、完整性、可用性、可追溯性
- 大数据自身安全:大数据应用依赖于可信的数据
- 大数据安全合规:
- 大数据跨境安全:
- 大数据隐私保护
- 大数据处理平台安全
- 大数据业务安全
- 大数据安全运营
大数据安全保护机制与技术方案
大数据安全保护机制
基本安全机制:
- 数据分类分级
- 数据源认证
- 数据溯源
- 数据用户标识和鉴别
- 数据资源访问控制
- 数据隐私保护
- 数据备份与恢复
- 数据安全审计与监测
- 数据安全管理
大数据平台安全保护技术
安全技术:
- 安全分区
- 防火墙
- 系统安全加固
- 数据防泄漏
大数据业务安全保护技术
安全内容:
- 业务授权:基于角色的访问控制技术
- 业务逻辑安全:针对业务流程进行安全控制
- 业务合规性:业务满足政策法规及安全标准规范要求,技术有名贵数据安全检查、系统安全配置基准数据监控
大数据隐私安全保护技术
主要技术:
- 数据身份匿名
- 数据差分隐私
- 数据脱敏
- 数据加密
- 数据访问控制
大数据运营安全保护技术
- 大数据处理系统的安全维护
- 大数据处理系统安全策略更新
- 大数据处理系统安全设备配置
- 大数据处理系统安全事件监测与应急响应
- 大数据处理系统入侵检测与网络安全态势感知
- 大数据处理系统网络攻击取证
- 大数据处理系统安全审计、安全堡垒机
- 大数据处理系统容灾备份
常用技术:网络入侵监测、网络安全态势感知、网络攻击取证、网络威胁情报分析、安全堡垒机
大数据安全标准规范
- 《信息安全技术 个人信息安全规范》
- 《信息安全技术 的数据服务安全能力要求》
- 《信息安全技术 大数据安全管理指南》
- 《信息安全技术 数据交易服务安全要求》
- 《信息安全技术 个人信息去标识化指南》
大数据综合应用案例分析
大数据安全平台及解决方案分析
- 阿里、京东、华为大数据体系
数据安全管理方法理解
- 《科学数据管理办法》第25-29条规定
- 支付卡行业数据安全规范
PCI-DSS(支付卡行业数据安全标准)
- 构建和维护安全的网络
- 保护持卡人数据
- 维护漏洞管理程序
- 实施严格的存储控制措施
- 定期监控和测试网络
- 维护信息安全策略
如果觉得我的文章对您有用,请点赞。您的支持将鼓励我继续创作!
赞2作者其他文章
评论 5 · 赞 13
评论 0 · 赞 1
评论 0 · 赞 1
评论 0 · 赞 0
评论 0 · 赞 1
添加新评论0 条评论