网络安全防御保护 Day1

网络安全的概念：网络安全是指保护计算机网络系统及其数据不受偶然或恶意攻击的措施和过程，以确保信息的保密性、完整性和可用性。

什么是网络空间？

网络空间为继海，陆，空，天以外的第五大人类活动领域。

网络安全所涉及的主要方面：

1. 网络设备安全：包括硬件设备和连接的安全，例如服务器、路由器、交换机等。
2. 网络软件安全：涉及操作系统、应用程序和数据库等软件层面的保护措施。
3. 网络信息安全：关注信息在存储、处理和传输过程中的保密性、完整性和可用性。

我国通过《准则》将计算机安全保护划分为5个阶段：

• 第一级：用户自主保护级
• 第二级：系统审计保护级
• 第三级：安全标记保护级
• 第四级：结构化保护级
• 第五级：访问验证保护级

计算机病毒大致分为以下三类：

1. 普通病毒 -- 其目的在于破坏计算机
2. 木马病毒 -- 其目的在于控制计算机
3. 蠕虫病毒 -- 其特性在于拥有传播性

恶意程序所包含的特性：

1. 非法性
2. 隐蔽性
3. 潜伏性
4. 可触发性
5. 表现性
6. 破坏性
7. 传染性 -- 蠕虫病毒的典型特征
8. 针对性
9. 变异性
10. 不可预见性

为什么说信息安全具有脆弱性？

• 网络环境是开放的
• 协议栈的脆弱性
• 操作系统的脆弱性
• 终端的脆弱性

协议栈上常见的安全风险：

• 应用层：漏洞、缓冲区溢出攻击、病毒及木马···
• 传输层：TCP欺骗、TCP拒绝服务、UDP拒绝服务···
• 网络层：IP欺骗、ICMP攻击、端口扫描···
• 链路层：MAC欺骗、MAC泛洪、ARP欺骗···
• 物理层：设备破坏、线路侦听···

协议栈上的网络基本攻击模式：

• 被动威胁——截获(嗅探、监听)
• 主动威胁——纂改(数据包纂改)、中断(拒绝服务)、伪造(欺骗)

操作系统自身的漏洞：

• 人为因素：如编写代码时人为留下后门
• 客观因素：因编程人员能力和安全技术限制导致程序中有不足之处
• 硬件原因：编程人员无法弥补的硬件漏洞可能会通过软件表现出来

勒索病毒的定义、特点及危害：

• 定义：一种恶意程序，可以感染设备、网络与数据中心并使其瘫痪，直至用户支付赎金使系统解锁。
• 特点：调用加密算法库、通过脚本文件进行Http请求、通过脚本文件下载文件、读取远程服务器文件、通过wscript执行文件、收集计算机信息、遍历文件。
• 危害：勒索病毒会将电脑中的各类文档进行加密，让用户无法打开，并弹窗限时勒索付款提示信息，如果用户未在指定时间缴纳黑客要求的金额，被锁文件将永远无法恢复。

勒索病毒发展经历的三大阶段：

• 第一阶段(2008年以前)：锁定设备，但不加密数据。
• 第二阶段(2013年前后)：加密数据，交付赎金后解密。
• 第三阶段(2017年前后)：贡献单点后，横向扩散。
• 第四阶段：加密货币的出现改变了勒索格局，相较于过去，加密货币具有去中心化、跨境无国界、匿名性等优势。自此，黑产由个人化演变为产业化，对于企业的攻击更为频繁与持续。
• 第五阶段：RaaS模式初见规模，黑客或团队不再直接进行勒索，而是将勒索病毒打包对外售卖。

其他常见攻击：

• 挖矿病毒：一种恶意程序，可自动传播，在未授权的情况下，占用系统资源，为攻击者谋利，使得受害者机器性能明显下降，影响正常使用。
• 特洛伊木马：安装了木马的服务器程序后，木马将自动在任务管理器中隐藏，并以“系统服务”的方式欺骗操作系统。包含具有未公开并且可能产生危险后果的功能的程序。其具备自动恢复功能且打开特殊端口。
• 蠕虫病毒：蠕虫是一种可以自我复制的代码，并且通过网络传播，通常无需人为干预就能传播。蠕虫病毒入侵并完全控制一台计算机之后，就会把这台机器作为宿主，进而扫描并感染其他计算机。
• 宏病毒：宏病毒是一种寄存在文档或模板的宏中的计算机病毒。该病毒可非法复制文件，封闭有关菜单，使文件无法正常编辑。 同时可以调用系统命令，造成系统破坏。
• 流氓软件/间谍软件：流氓软件是指在未明确提示用户或未经用户许可的情况下，在用户计算机或其他终端上安装运行，侵害用户合法权益的软件，但不包含中国法律法规规定的计算机病毒。  间谍软件是一种能够在用户不知情的情况下，在其电脑上安装后门、收集用户信息的软件。它能够削弱用户对其使用经验、隐私和系统安全的物质控制能力。
• 僵尸网络：采用一种或多种传播手段，将大量主机感染僵尸程序，从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。