跳转至

16 网络安全基础知识

说明

本文档仅涉及部分内容,仅可用于复习重点知识

16.1 安全威胁和漏洞

16.1.1 威胁类型

  1. 信息盗窃
  2. 数据丢失和操纵
  3. 身份盗窃
  4. 服务中断

16.1.2 漏洞分类

漏洞是指网络或设备的薄弱程度。路由器、交换机、桌面、服务器、甚至安全设备都存在一定程度的漏洞。一般而言,受到攻击的网络设备都是端点设备,例如服务器和台式计算机

  1. 技术漏洞
  2. 配置漏洞
  3. 策略漏洞

16.1.3 物理安全

  1. 硬件威胁
  2. 环境威胁
  3. 电气威胁
  4. 维护威胁

16.2 网络攻击

16.2.1 恶意软件的类型

  1. 病毒:计算机病毒是一种通过将自身副本插入另一个程序并成为其一部分来传播的恶意软件类型。它在计算机之间传播,感染所到之处。病毒从严重程度上来讲包括从导致轻度恼人影响到损坏数据或软件和导致拒绝服务 (DoS) 条件。几乎所有的病毒都是附加到一个可执行文件中,这意味着病毒可能在系统上存在,但在用户运行或打开恶意主机文件或程序前不会处于活跃状态也不会传播。执行主机代码后,也就执行了病毒代码。通常情况下,主机程序在感染了病毒后仍继续运行。但是,一些病毒用其自身副本覆盖其他程序,这就完全破坏了主机程序。当病毒附加的软件或文档通过网络、磁盘、文件共享或被感染的电子邮件附件从一台计算机传输到另一台计算机时,也传播了病毒
  2. 蠕虫:计算机蠕虫与病毒相似,它们均可复制自身的功能副本,并造成相同类型的损坏。与病毒相比,病毒需要通过感染的主机文件来传播,而蠕虫属于独立软件,无需借助主机程序或人工帮助即可传播。蠕虫不需要附加在程序中来感染主机并通过系统漏洞进入计算机。蠕虫无需帮助便可利用系统功能在网络中传输
  3. 特洛伊木马:特洛伊木马是另一种类型的恶意软件,以希腊人用来潜入特洛伊的木马来命名。它是看起来合法的有害软件。用户通常是被骗加载特洛伊木马并在他们的系统上执行。特洛伊木马激活后,可以在主机上进行任意数量的攻击,从激怒用户(过多的弹窗或改变桌面)到破坏主机(删除文件、窃取数据或激活和传播病毒等其他恶意软件)。众所周知,特洛伊木马为恶意用户访问系统创建后门

16.2.2 侦察攻击

除了恶意代码攻击外,网络还可能遭受各种网络攻击。网络攻击可分为三大类别:

  1. 侦察攻击
  2. 访问攻击
  3. 拒绝服务

16.2.3 访问攻击

访问攻击利用身份验证服务、FTP 服务和 Web 服务的已知漏洞,获取对 Web 帐户、机密数据库和其他敏感信息的访问。访问攻击使个人能够对他们无权查阅的信息进行未经授权访问

  1. 密码攻击
  2. 信任利用
  3. 端口重定向
  4. 中间人

16.2.4 拒绝服务攻击

拒绝服务 (DoS) 攻击是知名度最高的攻击,并且是最难防范的攻击。然而,由于其实施简单、破坏力强大,安全管理员需要特别关注 DoS 攻击

  1. DoS 攻击:DoS 攻击属于重大风险,因为它们可以中断通信,并在时间和财务上造成大量损失。这些攻击执行起来相对简单,即使是缺乏技能的威胁发起者也可以执行
  2. DDoS 攻击:分布式 DoS 攻击 (DDoS) 与 DoS 攻击类似,但是它从多个协同攻击源发起攻击。举例来说,威胁发起者建立了一个受感染主机的网络,受感染的主机称为僵尸主机。受感染主机(僵尸)的网络称为僵尸网络。威胁发起者使用命令和控制 (CnC) 程序来指示僵尸网络进行 DDoS 攻击

16.3 网络攻击缓解

16.3.1 纵深防御方法

要缓解网络攻击,必须首先保护设备,包括路由器、交换机、服务器和主机。大多数组织机构使用纵深防御法(也称为分层方法)来确保安全性。这需要网络设备和服务相互配套以协同工作

16.3.2 保留备份

备份设备配置和数据是防止数据丢失的最有效方式之一。数据备份可将计算机上的信息副本存储到可放在安全地方的可移动备份介质中。基础设施设备应该在 FTP 或类似的文件服务器上备份配置文件和 IOS 映像。如果计算机或路由器硬件发生故障,可以使用备份副本恢复数据或配置

应根据安全策略中的规定定期执行备份。数据备份通常存储在非现场位置,在主要设施发生任何问题时能保护备份介质。Windows 主机提供了备份和还原实用程序。对用户来说,将数据备份到其他驱动器或基于云的存储提供商非常重要

16.3.3 升级、更新和补丁

缓解蠕虫攻击的最有效方法是从操作系统厂商处下载安全更新,并为所有存在漏洞的系统应用补丁。管理大量系统时,会牵涉到创建用于部署在新系统或升级系统上的标准软件映像(经授权可在客户端系统中使用的操作系统和可信任的应用程序)。但是,安全要求不断变化,而且已部署系统也可能需要安装安全更新补丁

16.3.4 认证、授权和记账

所有网络设备都应该进行安全配置,只允许经过授权的个人访问。认证、授权和记账(AAA 或“三 A”)网络安全服务提供了设置网络设备访问控制的主要框架

AAA 方法用于控制可以访问网络的用户(认证)、用户访问网络时可以执行的操作(授权),以及把他们在那里时所做的事记录下来(记账)

16.3.5 防火墙

防火墙是保护用户远离外部威胁的最为有效的安全工具之一。防火墙可通过防止不必要的流量进入内部网络来保护计算机和网络

防火墙驻留在两个或多个网络之间,控制其间的流量并帮助阻止未授权的访问

16.3.6 防火墙的类型

防火墙产品可以打包成各种形式。这些产品使用不同技术来区分应禁止和应允许的网络访问。其包括以下内容:

  1. 数据包过滤:根据 IP 或 MAC 地址阻止或允许访问
  2. 应用程序过滤:根据端口号阻止或允许访问特定类型的应用程序
  3. URL 过滤:根据特定的 URL 或关键字阻止或允许访问网站
  4. 状态包侦测(SPI)

16.3.7 终端安全

端点,或主机,是充当网络客户端的单个计算机系统或设备。常见终端包括笔记本电脑、台式机、服务器、智能手机和平板电脑。保护端点设备是网络管理员最具挑战性的工作之一,因为它牵涉到人类本性。公司必须制定适当的有明确记录的策略,并且员工必须了解这些规则。需要培训员工正确使用网络。策略通常包括使用防病毒软件和主机入侵防御。更全面的终端安全解决方案依赖网络访问控制

评论区

欢迎在评论区指出文档错误,为文档提供宝贵意见,或写下你的疑问