目录
信息安全概述
主要威胁
关于防护简介
内容安全威胁
应用层威胁
内容安全技术
WEB安全
应用安全
入侵防御检测
邮件安全
数据安全
网络安全
反病毒
全局环境感知
沙箱检测
信息安全概述
• 信息安全是对信息和信息系统进行保护,防止未授权的访问、使用、泄露、中断、修改、破坏并以此提供保密性、完整性和可用性。
• 为关键资产提供机密性、完整性和可用性(CIA三元组)保护是信息安全的核心目标。
CIA(Confidentiality-Integrity-Availability)三元组是信息安全的三个最基本的目标:
• 机密性(Confidentiality):指信息在存储、传输、使用的过程中,不会被泄漏给非授权用户或实体。
• 完整性(Integrity):指信息在存储、传输、使用的过程中,不会被非授权用户篡改或防止授权用户对信息进行不恰当的篡改。
• 可用性(Availability):指确保授权用户或实体对信息资源的正常使用不会被异常拒绝,允许其可靠而及时地访问信息资源。
主要威胁
• 威胁到信息安全的因素有很多,每种因素对机密性、完整性或可用性所造成的影响是不同的。例如当计算机的硬盘出现故障时,存放在硬盘上的数据丢失了,这就是数据的完整性遭到了破坏;用户现在无法在需要的时候访问到这些数据,就是数据的可用性遭到了破坏;在委托第三方修理硬盘的时候,他人可能会将硬盘上的数据拷贝给竞争对手,这就是数据的机密性遭到了破坏。
• 威胁到信息安全的因素主要有:
• 自然灾害:指地震、火灾、水灾、风暴等这些因素将直接地到危害信息系统实体的安全。
• 硬件故障:指系统硬件的安全可靠性,包括计算机主体、存储系统、辅助设备、数据通讯设施以及信息存储介质的安全性。
• 软件缺陷:即计算机软件或程序中存在的某种破坏正常运行能力的问题、错误,或隐藏的功能缺陷。
• 未授权访问:没有经过预先同意就使用网络或计算机资源的行为被看作是非授权访问。如有意避开系统访问控制机制、对网络设备及资源进行非正常使用、擅自扩大权限、越权访问信息等。它主要有以下几种表现形式:假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。
• 拒绝服务:拒绝服务(DoS,Denial of Service)是指攻击者向服务器发送大量垃圾信息或干扰信息,从而使正常用户无法访问服务器。
• 数据泄露:不加密的数据库是不安全的,容易造成商业泄密。
• 假冒和欺诈:指非法用户通过欺骗通信系统(或用户)冒充合法用户,或者特权小的用户通过冒充成为特权大的用户。黑客大多是采用假冒攻击。
• 线路窃听:用各种可能的合法或非法的手段窃取系统中的信息资源和敏感信息。例如对通信线路中传输的信号搭线监听,或者利用通信设备在工作过程中产生的电磁泄露截取有用信息等。高考就会有量监听车。
• 计算机病毒:一种在计算机系统运行过程中能够实现传染和侵害功能的程序。
• 特洛伊木马:软件中含有的觉察不出的有害的程序段,当它被执行时,会破坏用户的安全。这种应用程序被称为特洛伊木马(Trojan Horse)。
• 后门和陷阱:在某个系统或某个部件中设置的“机关”,使得在特定的数据输入时,允许违反安全策略。
• 电磁辐射:计算机系统及其控制的信息和数据传输通道,在工作过程中都会产生电磁波辐射,在一定地理范围内用无线电接收机很容易检测并接收到,这就有可能造成信息通过电磁辐射而泄漏。另外,空间电磁波也可能对系统产生电磁干扰,影响系统正常运行。
• 盗窃:重要的安全物品,如令牌或身份卡被盗。
关于防护简介
• 在信息安全问题上,要综合考虑人员与管理、技术与产品、流程与体系。信息安全管理体系是人员、管理与技术三者的互动。
• 在现在的安全因素中,安全的管理能力显得特别重要。在安全管理政策及策略下,再通过相关的技术手段来提高安全的能力。
• 安全能力可以分为四种:
• Protection(防护):采用可能采取的手段保障信息的保密性、完整性、可用性、可控性和责任性。
• Detection(检测):检查系统可能存在的脆弱性。
• Response(响应):系统遭到破坏,尽快恢复系统功能,尽早提供正常的服务。
• Recovery(恢复):对危及安全的事件、行为、过程及时作出响应处理,杜绝危害的进一步蔓延扩大,力求系统尚能提供正常服务。
内容安全威胁
• TCP/IP协议栈设计缺陷包括无数据源验证、无机密性保障以及无完整性校验。导致现今网络存在各种各样的安全威胁。其中,针对TCP/IP下四层的安全风险,一般借助简单的协议和机制便可进行防范。但是应用层的网络威胁本身的技术含量就比较高(比如说病毒、木马、系统漏洞攻击等),因而其防范难度也相对较大。特别是内容安全方面的威胁,会直接影响企业用户的工作效率并会涉及到企业用户的一些机密信息的泄露。因而内容安全防范就变得尤为重要和必要。
• 在目前出现的各种安全威胁当中,恶意程序(病毒与蠕虫、Bot、Rootkit、特洛依木马与后门程序、弱点攻击程序以及行动装置恶意程序)类别占有很高的比例,灰色软件(间谍/广告软件)的影响也逐渐扩大,而与犯罪程序有关的安全威胁已经成为威胁网络安全的重要因素。传统的电脑病毒等网络威胁,正在向由利益驱动的、全面的网络威胁发展变化。而面对当前现状,攻击和防范的技术手段又往往存在一定差异
• 目前用户面临的不再是传统的病毒攻击,“网络威胁”经常是融合了病毒、黑客攻击、木马、僵尸、间谍等危害等于一身的混合体,因此单靠以往的防毒或者防黑技术往往难以抵御。
攻击者 管理者
充分了解被攻击者 不了解攻击者
一个点 360°全方位
无底线 法律法规
应用层威胁
随着企业业务拓展,更多业务应用依赖于IT信息系统来完成。浏览网页、邮件传输是病毒、木马、间谍软件进入内网的主要途径。
• 病毒能够破坏计算机系统,纂改、损坏业务数据。
• 木马使黑客不仅可以窃取计算机上的重要信息,还可以对内网计算机破坏;间谍软件搜集、使用、并散播企业员工的敏感信息,严重干扰企业的正常业务。
• 桌面型反病毒软件难于从全局上防止病毒泛滥。
服务器漏洞给企业造成严重的安全威胁:
• 企业内网中许多应用软件可能存在漏洞。互联网使应用软件的漏洞迅速传播。
• 蠕虫利用应用软件漏洞大肆传播,消耗网络带宽,破坏重要数据。
• 黑客、恶意员工利用漏洞攻击或入侵企业服务器,业务机密被纂改、破坏和偷窃。
DDOS攻击威胁:
• 以经济利益为目标的全球黑色产业链的形成,网络上存在大量僵尸网络。不法分子的敲诈勒索,同行的恶意竞争等都有可能导致企业遭受DDoS攻击。
• 遭受DDoS攻击时,网络带宽被大量占用,网络陷于瘫痪;受攻击服务器资源被耗尽无法响应正常用户请求,严重时会造成系统死机,企业业务无法正常运行。
补丁、病毒库未及时更新(一般杀毒软件会自动更新);P2P、IM滥用给企业带宽、运营效率带来严重影响。员工不受控Web访问可能会:
• 被不安全的链接或者恶意下载植入代码,使机构成为僵尸网络或者感染病毒。
• 容易被含有欺骗信息的钓鱼网站所欺骗,泄露个人银行帐号、密码等机密信息。
• 被娱乐性内容所吸引。
• 网页中可能带有与法律相抵触的内容(如色情、暴力),给企业带来一系列法律风险。
攻击趋势
• 当今的网络时代,网络攻击呈现出以下趋势:
• 病毒与黑客程序相结合。随着网络业务的普及和互动的增多,病毒与黑客程序(木马病毒)结合以后的危害更为严重。
• 蠕虫病毒更加泛滥,木马、僵尸已成为主流。计算机病毒不再仅仅以侵占和破坏单机的资料为目的。木马病毒的传播使得病毒在发作的时候有可能自动联络病毒的创造者(如爱虫病毒),或者采取DoS(拒绝服务)的攻击(如红色代码病毒)。一方面可能会导致本机机密资料的泄漏,另一方面会导致一些网络服务的中止。而蠕虫病毒则会抢占有限的网络资源,造成网络堵塞(如Nimda病毒)。如有可能,还会破坏本地的资料(如针对911恐怖事件的Vote病毒)。
• 攻击工具更新迅速、复杂性加大,攻击过程自动化。
o 攻击工具的编写者采用了比以前更加先进的技术。攻击工具的特征码越来越难以通过分析来发现,并且越来越难以通过基于特征码的检测系统发现。
o 攻击工具已经将对漏洞的入侵设计成为扫描活动的一部分,这样大大加快了入侵的速度。2000年之前,攻击工具需要一个人来发起其余的攻击过程。现在,攻击工具能够自动发起新的攻击过程。例如红色代码和Nimda病毒这些工具就在18个小时之内传遍了全球。随着分布式攻击工具的产生,攻击者能够对大量分布在Internet之上的攻击工具发起攻击。现在,攻击者能够更加有效地发起一个分布式拒绝服务攻击。
• 漏洞发现得更快。随着发现漏洞的工具的自动化趋势(一旦扫描到漏洞,可以马上进行攻击),留给用户打补丁的时间越来越短。尤其是缓冲区溢出类型的漏洞,其危害性非常大而又无处不在,是计算机安全的最大的威胁。在CERT和其它国际性网络安全机构的调查中,这种类型的漏洞是对服务器造成后果最严重的。
• 渗透防火墙。我们常常依赖防火墙提供一个安全的主要边界保护,但目前已经存在一些绕过典型防火墙配置的技术,如IPP(the Internet Printing Protocol)和Web DAV(Web-based Distributed Authoring and Versioning);一些标榜是“防火墙适用”的协议实际上设计为能够绕过典型防火墙的配置;特定特征的"移动代码"(如ActiveX控件,Java和Java Script)使得保护存在漏洞的系统以及发现恶意的软件更加困难。
内容安全技术
WEB安全
• URL过滤技术可以根据不同的用户/组、时间段和安全区域等信息,对用户/组进行URL访问控制,达到精确管理用户上网行为的目的。同时,URL过滤技术还可以对不同URL分类的HTTP报文修改其DSCP优先级,以便于其他网络设备对不同分类的URL流量采取差异化处理。
应用安全
• 传统防火墙通过协议和端口号来识别应用程序。对使用相同协议和端口号的不同应用程序,传统防火墙无法对它们进行有效的区分。
• NGFW通过利用应用程序的特征,能够精确地识别各种常见的应用程序。例如,网页游戏和网页视频都是使用HTTP协议8080端口进行数据传输,NGFW能通过每种应用程序的特征有效区分这两种应用程序。
入侵防御检测
• 入侵防御是种既能发现又能阻止入侵行为的新安全防御技术。通过检测发现网络入侵后,能自动丢弃入侵报文或者阻断攻击源,从而从根本上避免攻击行为。入侵防御的主要优势有如下几点:
• 实时阻断攻击:设备采用直路方式部署在网络中,能够在检测到入侵时,实时对入侵活动和攻击性网络流量进行拦截,把其对网络的入侵降到最低。
• 深层防护:由于新型的攻击都隐藏在TCP/IP协议的应用层里,入侵防御能检测报文应用层的内容,还可以对网络数据流重组进行协议分析和检测,并根据攻击类型、策略等来确定哪些流量应该被拦截。
• 全方位防护:入侵防御可以提供针对蠕虫、病毒、木马、僵尸网络、间谍软件、广告软件、CGI(Common Gateway Interface)攻击、跨站脚本攻击、注入攻击、目录遍历、信息泄露、远程文件包含攻击、溢出攻击、代码执行、拒绝服务、扫描工具、后门等攻击的防护措施,全方位防御各种攻击,保护网络安全。
• 内外兼防:入侵防御不但可以防止来自于企业外部的攻击,还可以防止发自于企业内部的攻击。系统对经过的流量都可以进行检测,既可以对服务器进行防护,也可以对客户端进行防护。
• 不断升级,精准防护:入侵防御特征库会根据持续更新特征库,以保持最高水平的安全性。您可以从升级中心定期升级设备的特征库,以保持入侵防御的持续有效性。
邮件安全
• 随着互联网的发展,电子邮件已经成为人们沟通交流的主要途径,其安全问题也日益突出:
• 垃圾邮件泛滥:垃圾邮件是指未经用户许可强行发送的电子邮件,邮件包含广告、宣传资料、病毒等内容。对于用户来说,垃圾邮件除了会影响正常的邮件阅读,还可能包含病毒等有害信息;对服务提供商来说,垃圾邮件会造成邮件服务器拥塞,降低网络运行效率,甚至成为黑客攻击邮件服务器的工具。
• 匿名邮件非法传播:匿名邮件指发件人地址为空的电子邮件。从安全的角度考虑,匿名发送的邮件可能包含暴力、色情等对他人有危害的信息。
• 信息泄密:在一些企业,例如知识密集型高科技企业、金融公司、上市公司等,部分违法分子可能会通过邮件将机密信息非法传递到外部。
• NGFW可以帮助用户解决上述问题:
• 配置邮件地址组:可以减少垃圾邮件造成的带宽浪费,并防止邮件服务器因频繁转发垃圾邮件被上一级因特网服务提供商加入黑名单。
• 配置垃圾邮件防范:基于SMTP Server的IP地址,可以减少匿名邮件带来的信息干扰。
• 配置匿名邮件检测和配置邮箱地址检查:可以从邮件的发送权限、发送规模进行控制,防止信息泄密。
数据安全
• 随着社会和网络技术的不断发展,公司机密信息和用户个人信息的泄露已经成为信息安全的核心问题之一。另外病毒常感染或附着在文件中,且病毒的反检测和渗透防火墙的能力越来越强。因此文件安全已经是人们越来越关注的问题。但传统的防火墙和UTM设备已经不能满足这些需求。
• 在此背景下,文件过滤技术应运而生。文件过滤能根据文件的类型对文件进行过滤。
• 机密信息和病毒往往存在于特定的文件类型中,例如机密信息一般保存在文档文件中,病毒信息一般附着在可执行文件中。因此文件过滤通过阻断特定类型文件的传输,可以降低机密信息泄露和内网感染病毒的风险。
• 如果管理员想进一步降低机密信息泄露的风险,可以将文件过滤与内容过滤功能结合使用。如果管理员想进一步降低内网感染病毒的风险,可以将文件过滤与反病毒功能结合使用。
网络安全
• 企业业务系统频遭DDoS攻击会将企业推向两难境地。一方面,企业业务中断造成企业的形象受损、客户流失、收益降低等,尤其是针对电商、网游、门户类小型互联网企业的攻击;另一方面,企业若自己建设DDoS防护系统,会给这些“小本经营”企业带来巨大投资和维护压力,严重的影响企业业务的正常运营。
• 华为Anti-DDoS解决方案
• 基于业务的防护策略:能够针对防护对象的业务流量进行持续周期性的学习和分析,呈现出业务流量正常曲线;并针对不同的业务流量类型、同一业务不同时段,采取不同的防护策略,实现精细化防护。
• 精准的异常流量清洗:采用逐包深度分析技术,一旦攻击发生立即启动防护。防护采用过滤器、行为分析、会话监控等多种技术手段,精确防护各种Flood类攻击流量、Web应用类攻击流量、DNS攻击流量、SSL DoS/DDoS类攻击流量和协议栈漏洞类攻击,保护应用服务器的安全。
• 僵木蠕防护:黑客通过木马、蠕虫感染网络中的大量主机,分层控制僵尸网络,以便发动各种攻击行为。华为Anti-DDoS解决方案支持全球最流行200+种僵尸工具、木马、蠕虫流量的识别与阻断,从而达到遏制僵尸网络的目的。
• 完善的IPv4-IPv6双栈防护:可同时防御IPv6、IPv4网内的DDoS攻击,满足双栈DDoS防御需求,帮助用户安全过渡到下一代网络。
• 云清洗:在云端针对攻击源头进行清洗,从而避免超大流量攻击拥塞入口带宽。
反病毒
• 随着网络的不断发展和应用程序的日新月异,企业用户越来越频繁地开始在网络上传输和共享文件,随之而来的病毒威胁也越来越大。企业只有拒病毒于网络之外,才能保证数据的安全,系统的稳定。因此,保证计算机和网络系统免受病毒的侵害,让系统正常运行便成为企业所面临的一个重要问题。
• 反病毒功能可以凭借庞大且不断更新的病毒特征库有效地保护网络安全,防止病毒文件侵害系统数据。将病毒检测设备部署在企业网的入口,为企业网络提供了一个坚固的保护层。
全局环境感知
• 应用感知:
• 基于应用的统计分析和访问控制。
• 基于应用的带宽管理,保障关键业务服务质量。
• 上网行为管理,提升员工效率。
• 时间感知:
• 基于时间的应用统计分析。
• 发现异常行为,为安全防护提供依据。例如下班时间频繁问核心区数据。
• 用户感知:
• 基于用户的应用统计分析。
• 基于用户的威胁统计分析。
• 基于用户的访问控制、上网行为管理、流量控制。
• 攻击感知:
• 威胁统计分析,为安全防护提供依据。
• 位置感知:
• 流量地图:基于位置的应用统计分析。
• 攻击地图:基于位置的威胁统计分析。
• 基于位置的访问控制。
沙箱检测
在计算机安全领域,沙盒(英语:sandbox,又译为沙箱)是一种安全机制,为运行中的程序提供的隔离环境。沙盒通常严格控制其中的程序所能访问的资源,沙盒中的所有改动对操作系统不会造成任何损失。通常是作为一些来源不可信、具破坏力或无法判定程序意图的程序提供实验之用。
————————————————
想了解更多网络安全信息,推荐您访问腾科教育。
