信息安全技術(shù)（HCIA-Security）（微課版）（第2版） 課件 第3章 信息安全威脅防范與發(fā)展

常見信息安全威脅防范與發(fā)展在信息時代，網(wǎng)絡(luò)安全對國家安全而言是牽一發(fā)而動全身，同許多其他方面的安全都有著密切關(guān)系。文字學(xué)習(xí)《中華人民共和國個人信息保護(hù)法》拓展主題法律意識、愛國主義信息及信息系統(tǒng)由于具備脆弱性、敏感性、機(jī)密性、可傳播等多種特性，其遭受到的威脅也可以來自各種場景和手段。本章節(jié)將從一些攻擊案例出發(fā)，介紹信息系統(tǒng)可能遭受到的威脅以及如何防范。學(xué)完本課程后，您將能夠：描述信息安全威脅分類；描述常見信息安全威脅手段；描述安全威脅防范的基本要素；描述網(wǎng)絡(luò)安全意識在安全防護(hù)中的重要性；描述信息安全未來發(fā)展趨勢。信息安全威脅現(xiàn)狀網(wǎng)絡(luò)安全威脅應(yīng)用安全威脅數(shù)據(jù)傳輸與終端安全威脅安全威脅防范信息安全意識信息安全發(fā)展趨勢安全事件層出不窮2017年5月12日晚8時左右，WannaCry勒索軟件全球爆發(fā)，存在漏洞的電腦開機(jī)上網(wǎng)就可被攻擊。2017年國內(nèi)多款軟件在升級更新時，遭遇網(wǎng)絡(luò)流量劫持攻擊，用戶以為在升級，實(shí)際卻把病毒安裝到電腦上。電信網(wǎng)絡(luò)詐騙案件90％以上是違法分子靠掌握公民詳細(xì)信息進(jìn)行的精準(zhǔn)詐騙。2018年2月，人氣網(wǎng)游《最終幻想XIV》遭遇持續(xù)長達(dá)3小時的DDoS攻擊。2016年11月10日，俄羅斯五家主流大型銀行遭遇長達(dá)兩天的DDoS攻擊。惡意代碼攻擊個人信息泄露通信過程被挾持DDoS攻擊安全事件網(wǎng)絡(luò)戰(zhàn)爭的開端-“震網(wǎng)”病毒2011年2月，伊朗突然宣布暫時卸載首座核電站。此前業(yè)界表示伊朗只需一年就能擁有快速制造核武器的能力。而在遭受“震網(wǎng)”病毒攻擊后，1/5的離心機(jī)報廢。導(dǎo)致此項(xiàng)研究至少延遲兩年。但世界格局已然發(fā)生變化。感染全球超過45000個網(wǎng)絡(luò)蠕蟲病毒第一個定向攻擊真實(shí)世界中基礎(chǔ)（能源）設(shè)施綜合利用多種手段進(jìn)行攻擊有史以來最復(fù)雜的網(wǎng)絡(luò)武器STUXnet震網(wǎng)使用移動介質(zhì)植入病毒信息安全攻擊事件的演變攻擊方式變化小攻擊的方式仍然是我們所能看到的病毒、漏洞、釣魚等，看起來似乎形式并無太大變化。攻擊的手段由單一變得復(fù)雜一次重大攻擊往往需要精密的部署，長期的潛伏，以及多種攻擊手段相結(jié)合以達(dá)到最終目的。攻擊目的多樣化攻擊的目標(biāo)從個人電腦攻擊到經(jīng)濟(jì)、政治、戰(zhàn)爭、能源，甚至影響著世界格局。安全威脅分類數(shù)據(jù)傳輸與終端安全威脅網(wǎng)絡(luò)安全威脅應(yīng)用安全威脅操作系統(tǒng)漏洞；病毒、木馬、蠕蟲；釣魚網(wǎng)站；數(shù)據(jù)泄露等。DDoS攻擊；網(wǎng)絡(luò)入侵等。通信流量挾持；中間人攻擊；未授權(quán)身份人員登錄系統(tǒng)；無線網(wǎng)絡(luò)安全薄弱等。信息安全威脅現(xiàn)狀網(wǎng)絡(luò)安全威脅應(yīng)用安全威脅數(shù)據(jù)傳輸與終端安全威脅安全威脅防范信息安全意識信息安全發(fā)展趨勢美國DynDNS服務(wù)遭受DDoS攻擊2016年10月21日11點(diǎn)-17點(diǎn)（UTC時間），美國DynDNS服務(wù)遭受DDoS攻擊事件，近半個美國陷入斷網(wǎng)。此次大規(guī)模DDoS攻擊是由物聯(lián)網(wǎng)設(shè)備所組成的僵尸網(wǎng)絡(luò)所發(fā)動的，這些設(shè)備感染了Mirai惡意軟件。IPCDVRRouter發(fā)起攻擊的物聯(lián)網(wǎng)設(shè)備Mirai病毒發(fā)動攻擊的過程掃描網(wǎng)絡(luò)中存在的telnet服務(wù)(23/2323)端口。暴力破解物聯(lián)網(wǎng)設(shè)備密碼，植入惡意軟件Mirai進(jìn)行遠(yuǎn)程控制。尋找肉雞加載攻擊模塊加載DNSDDoS攻擊模塊。通過僵尸網(wǎng)絡(luò)發(fā)起DDoS攻擊，導(dǎo)致客戶網(wǎng)站無法被訪問。組建僵尸網(wǎng)絡(luò)發(fā)起攻擊本次攻擊用到了哪些方法？掃描掃描是一種潛在的攻擊行為，本身并不具有直接的破壞行為，通常是攻擊者發(fā)動真正攻擊前的網(wǎng)絡(luò)探測行為。地址掃描攻擊者運(yùn)用ICMP報文探測目標(biāo)地址，或者使用TCP/UDP報文對一定地址發(fā)起連接，通過判斷是否有應(yīng)答報文，以確定哪些目標(biāo)系統(tǒng)確實(shí)存活著并且連接在目標(biāo)網(wǎng)絡(luò)上。端口掃描攻擊者通過對端口進(jìn)行掃描探尋被攻擊對象目前開放的端口，以確定攻擊方式。在端口掃描攻擊中，攻擊者通常使用PortScan攻擊軟件，發(fā)起一系列TCP/UDP連接，根據(jù)應(yīng)答報文判斷主機(jī)是否使用這些端口提供服務(wù)。欺騙攻擊-獲取控制權(quán)限攻擊者可以通過密碼暴力破解方式來獲取控制權(quán)限，也可以通過各種欺騙攻擊來獲取訪問和控制權(quán)限，如IP欺騙攻擊。IP欺騙攻擊：攻擊者通過向目標(biāo)主機(jī)發(fā)送源IP地址偽造的報文，欺騙目標(biāo)主機(jī)，從而獲取更高的訪問和控制權(quán)限。信任主機(jī)攻擊機(jī)①攻癱目標(biāo)主機(jī)③請求②抓包⑤接收④發(fā)送⑤無法接收⑥發(fā)送ACK，建立連接DDoS攻擊：耗盡網(wǎng)絡(luò)帶寬耗盡服務(wù)器資源發(fā)起DDoS攻擊網(wǎng)絡(luò)類攻擊的防御手段防火墻：通過在大中型企業(yè)、數(shù)據(jù)中心等網(wǎng)絡(luò)的內(nèi)網(wǎng)出口處部署防火墻，可以防范各種常見的DDoS攻擊，而且還可以對傳統(tǒng)單包攻擊進(jìn)行有效地防范。AntiDDoS設(shè)備：Anti-DDoS解決方案，面向運(yùn)營商、企業(yè)、數(shù)據(jù)中心、門戶網(wǎng)站、在線游戲、在線視頻、DNS域名服務(wù)等提供專業(yè)DDoS攻擊防護(hù)。AntiDDoS設(shè)備專業(yè)設(shè)備防護(hù)防火墻信息安全威脅現(xiàn)狀網(wǎng)絡(luò)安全威脅應(yīng)用安全威脅數(shù)據(jù)傳輸與終端安全威脅安全威脅防范信息安全意識信息安全發(fā)展趨勢蠕蟲病毒攻擊微博網(wǎng)站事件國內(nèi)某微博網(wǎng)站曾遭遇到一次蠕蟲攻擊侵襲，在不到一個小時的時間，超過3萬用戶受到該蠕蟲的攻擊。攻擊過程如下：

新建一個用戶賬號使自己中毒并將鏈接發(fā)到公共板塊。被極具吸引力的標(biāo)題所誘導(dǎo)的用戶點(diǎn)擊了鏈接隨即中毒。利用網(wǎng)頁漏洞傳播病毒中毒的用戶會自動發(fā)微博、私信，被關(guān)注自己的人所看到。中毒消息呈指數(shù)增長，大量用戶中毒。網(wǎng)絡(luò)釣魚網(wǎng)站攻陷漏洞帶來的威脅漏洞是在硬件、軟件、協(xié)議的具體實(shí)現(xiàn)或系統(tǒng)安全策略上存在的缺陷，從而可以使攻擊者能夠在未授權(quán)的情況下訪問或破壞系統(tǒng)。由于不及時對系統(tǒng)漏洞進(jìn)行修復(fù)，將會帶來以下攻擊：惡意代碼傳播跨站腳本攻擊注入攻擊數(shù)據(jù)泄露釣魚攻擊“釣魚”是一種網(wǎng)絡(luò)欺詐行為，指不法分子利用各種手段，仿冒真實(shí)網(wǎng)站的URL地址以及頁面內(nèi)容，或利用真實(shí)網(wǎng)站服務(wù)器程序上的漏洞在站點(diǎn)的某些網(wǎng)頁中插入危險的HTML代碼，以此來騙取用戶銀行或信用卡賬號、密碼等私人資料。訪問前請務(wù)必檢查該網(wǎng)站的地址是否以https開頭的加密鏈接退款？您好！您所購買的商品由于支付系統(tǒng)……請登錄XX網(wǎng)站退款…惡意代碼惡意代碼是指故意編制或設(shè)置的、對網(wǎng)絡(luò)或系統(tǒng)會產(chǎn)生威脅或潛在威脅的計算機(jī)代碼。最常見的惡意代碼有病毒、木馬、蠕蟲、后門等。惡意代碼又稱惡意軟件。這些軟件也可稱為廣告軟件(adware)、間諜軟件(spyware)、惡意共享軟件(maliciousshareware)。是指在未明確提示用戶或未經(jīng)用戶許可的情況下，在用戶計算機(jī)或其他終端上安裝運(yùn)行，侵犯用戶合法權(quán)益的軟件。木馬蠕蟲病毒?后門應(yīng)用類攻擊的防御手段定期修復(fù)漏洞安裝補(bǔ)丁漏洞掃描對可疑網(wǎng)站、鏈接保持警覺提高安全意識殺毒軟件WAF專業(yè)設(shè)備防護(hù)防火墻定期修復(fù)漏洞專業(yè)設(shè)備防護(hù)提高安全意識信息安全威脅現(xiàn)狀網(wǎng)絡(luò)安全威脅應(yīng)用安全威脅數(shù)據(jù)傳輸與終端安全威脅安全威脅防范信息安全意識信息安全發(fā)展趨勢用戶通信遭受監(jiān)聽美國國家安全局（NSA）在云端監(jiān)聽Google（包括Gmail）和Yahoo用戶的加密通信。NSA利用谷歌前端服務(wù)器做加解密的特點(diǎn)，繞過該設(shè)備，直接監(jiān)聽后端明文數(shù)據(jù)。Google前端加解密設(shè)備公共互聯(lián)網(wǎng)谷歌云Tumblr用戶信息慘遭泄露輕博客網(wǎng)站Tumblr上超過半數(shù)的賬號密碼被黑客盜取。黑客首先通過一定的方式侵入了Tumblr的服務(wù)器，獲取了Tumblr用戶信息。Tumblr曾發(fā)聲因數(shù)據(jù)庫信息加密，對用戶不會造成影響。然而事實(shí)證明用戶信息采用了較弱的算法，黑客獲取到該加密的用戶信息后，在較短時間內(nèi)便破解了大量的用戶信息。為什么信息泄露事件頻繁發(fā)生？通信過程中的威脅用戶身份未經(jīng)驗(yàn)證用戶使用弱密碼終端安全隱患傳輸安全隱患中間人攻擊數(shù)據(jù)傳輸未加密或加密程度不夠服務(wù)器存在漏洞通信過程中會有怎樣的安全隱患？中間人攻擊中間人攻擊（Man-in-the-MiddleAttack，簡稱“MITM攻擊”）是一種“間接”的入侵攻擊，這種攻擊模式是通過各種技術(shù)手段將受入侵者控制的一臺計算機(jī)虛擬放置在網(wǎng)絡(luò)連接中的兩臺通信計算機(jī)之間，這臺計算機(jī)就稱為“中間人”。中間人攻擊后果信息篡改信息竊取中間人用戶A用戶B信息未加密或加密強(qiáng)度不夠信息未加密固然安全性會有問題，但即便數(shù)據(jù)已加密，信息也有可能會被盜取和破解。威脅防范建議信息存儲必須加密信息傳輸必須加密采用強(qiáng)加密算法身份認(rèn)證攻擊攻擊者通過一定手段獲知身份認(rèn)證信息，進(jìn)而通過該身份信息盜取敏感信息或者達(dá)到某些非法目的的過程。是整個攻擊事件中常見的攻擊環(huán)節(jié)。防范建議安裝正版殺毒軟件采用高強(qiáng)度密碼降低多密碼間關(guān)聯(lián)性Target公司遭黑客入侵攻擊Target公司是一家位于美國的折扣零售店，是美國第四大零售商，本次入侵事件黑客盜走公司1.1億的客戶數(shù)據(jù)。通過公共信息找到第三方公司Fazio的員工信息。向Fazio公司發(fā)送木馬郵件，獲取公對公支付系統(tǒng)賬戶信息。偵查盜取賬號在支付系統(tǒng)服務(wù)器上獲取Target公司的域賬號。登錄Target服務(wù)器，盜走大量數(shù)據(jù)。攻擊準(zhǔn)備發(fā)起攻擊卡巴斯基產(chǎn)品現(xiàn)漏洞卡巴斯基反病毒產(chǎn)品在驗(yàn)證目的端身份真實(shí)性時會針對目的端重新生成一份身份信息存儲下來，且后期不會修改?？ò退够蛻舳撕诳蛡卧旆?wù)器域名:B.com①②③⑤真實(shí)服務(wù)器域名:A.com④信息安全威脅現(xiàn)狀網(wǎng)絡(luò)安全威脅應(yīng)用安全威脅數(shù)據(jù)傳輸與終端安全威脅安全威脅防范信息安全意識信息安全發(fā)展趨勢信息安全防范關(guān)鍵要素確保企業(yè)各項(xiàng)流程運(yùn)作過程中的安全合規(guī)性，并且在威脅事故發(fā)生時及時做好響應(yīng)、防范和改進(jìn)。安全防范技術(shù)確保防范行為的具有可操作性。安全防范技術(shù)通過在不同技術(shù)層次和領(lǐng)域有著不同的方法?！霸谛畔踩?，人是最薄弱的環(huán)節(jié)?！贝_保企業(yè)員工擁有良好的安全防范意識是極為重要的一環(huán)。安全運(yùn)維與管理人員安全產(chǎn)品與技術(shù)三者環(huán)環(huán)相扣，缺一不可！信息安全防范方法安全產(chǎn)品與技術(shù)網(wǎng)絡(luò)安全：防火墻、IPS/IDS、Anti-DDoS等系統(tǒng)安全：服務(wù)器安全、主機(jī)安全等終端安全：安全接入、身份認(rèn)證等應(yīng)用安全：病毒防御、漏洞掃描、滲透測試等運(yùn)維管理安全運(yùn)營應(yīng)急響應(yīng)災(zāi)難恢復(fù)安全意識企業(yè)員工安全意識培養(yǎng)社會工程學(xué)信息安全威脅現(xiàn)狀網(wǎng)絡(luò)安全威脅應(yīng)用安全威脅數(shù)據(jù)傳輸與終端安全威脅安全威脅防范信息安全意識信息安全發(fā)展趨勢培養(yǎng)安全意識在培養(yǎng)和建立安全意識過程中，養(yǎng)成敏銳的思考模式和習(xí)慣，也是防范網(wǎng)絡(luò)安全欺騙的有效途徑。像偵探一樣思考善于觀察擁有求知欲保持懷疑三思而后行注重細(xì)節(jié)渴求真相練習(xí)網(wǎng)絡(luò)安全意識小調(diào)查您會詳細(xì)閱讀注冊賬戶時的《用戶協(xié)議》嗎？您所有的賬戶都使用同一個密碼嗎？您認(rèn)為當(dāng)前的網(wǎng)絡(luò)環(huán)境是安全的嗎？這樣的安全意識是否過于樂觀？公共Wi-Fi的安全意識在公共場所，您會連接免費(fèi)WiFi嗎？您會在連接公共WiFi時進(jìn)行購物、付款、轉(zhuǎn)賬等操作嗎？公共場所的Wi-Fi安全隱患80%Wi-Fi能被輕易破解。每年因蹭網(wǎng)給人們帶來網(wǎng)銀被盜、賬號被盜等經(jīng)濟(jì)損失多達(dá)50億元。家中蹭網(wǎng)被騙3.4萬麥當(dāng)勞連WiFi被騙2000元釣魚WiFi攻進(jìn)公交車。三年積累游戲裝備全部消失。本想省錢卻被詐騙。瞎猜密碼連接成功最離奇最轟動最與時俱進(jìn)最坑爹最憋屈最得不償失社會工程學(xué)社會工程學(xué)（SocialEngineering，又被翻譯為：社交工程學(xué)）在上世紀(jì)60年代左右作為正式的學(xué)科出現(xiàn)。社會工程學(xué)是黑客米特尼克悔改后在《欺騙的藝術(shù)》中所提出的，是一種通過對受害者心理弱點(diǎn)、本能反應(yīng)、好奇心、信任、貪婪等心理陷阱進(jìn)行諸如欺騙、傷害等危害手段。這是否屬于社會工程學(xué)？人是最薄弱的環(huán)節(jié)。----世界頭號黑客KevinMitnick社會工程學(xué)案例討論：如果您撿到一張SIM卡（電話卡），您能從中獲得什么信息？將SIM卡插入手機(jī)，手機(jī)可顯示出該卡卡號信息。獲得電話號碼獲得卡主名字信息。登錄支付寶通過QQ、微博獲取卡主的生日、所在地、年齡等信息。獲取卡主身份信息獲取卡主身份證號碼前四位和后四位。中間部分可根據(jù)生日和地區(qū)猜測。登錄SIM卡的網(wǎng)上營業(yè)廳根據(jù)營業(yè)廳提供的上網(wǎng)記錄，查詢到用戶最常訪問的網(wǎng)站、QQ、微博。查找上網(wǎng)記錄從卡主的微博等社交平臺獲取卡主的朋友、親人資料或照片信息。獲得卡主社交關(guān)系信息安全威脅現(xiàn)狀網(wǎng)絡(luò)安全威脅應(yīng)用安全威脅數(shù)據(jù)傳輸與終端安全威脅安全威脅防范信息安全意識信息安全發(fā)展趨勢安全防御未來發(fā)展趨勢安全服務(wù)化終端檢測重要性日益凸顯流量管控由IP向應(yīng)用演進(jìn)軟件定義安全防御方案趨勢一：安全服務(wù)化反向代理客戶端行為文件流量應(yīng)用異?；ヂ?lián)網(wǎng)安全檢查服務(wù)趨勢二：終端檢測重要性日益凸顯文件掃描惡意行為監(jiān)控1.歷史信息溯源2.異常行為檢測3.網(wǎng)絡(luò)設(shè)備對接聯(lián)動檢測未知惡意文件、C&C通訊定位惡意文件內(nèi)部感染范圍123123惡意文件MD5執(zhí)行文件MD5惡意文件關(guān)聯(lián)C&C地址關(guān)聯(lián)C&C控制IP外聯(lián)IP未知惡意文件C&C異常EEEEEEEEEE感染終端首個感染終端根據(jù)MD5定位清除被感染的終端威脅。根據(jù)C&C定位外聯(lián)主機(jī)，定位清除首個感染終端威脅。沙箱檢測日志流量元數(shù)據(jù)終端日志信息分析趨勢三：流量管控由IP向應(yīng)用演進(jìn)內(nèi)容用戶威脅應(yīng)用位置IPPo