精华内容
下载资源
问答
  • 网络安全专业名词解释
    千次阅读
    2022-03-04 16:02:18
    1. Burp Suite 是一款信息安全从业人员必备的集成型的渗透测试工具,它采用自动测试和半自动测试的方式,通过拦截HTTP/HTTPS的Web数据包,充当浏览器和相关应用程序的中间人,进行拦截、修改、重放数据包进行测试,是Web安全人员的一把必备的瑞士军刀。
    2. Bypass就是绕过的意思,渗透测试人员通过特殊语句的构建或者做混淆等进行渗透测试,然后达到绕过WAF的手法。
    3. C2全称为Command and Control,命令与控制,常见于APT攻击场景中。作动词解释时理解为恶意软件与攻击者进行交互,作名词解释时理解为攻击者的“基础设施”。
    4. CC攻击的原理是通过代理服务器或者大量肉鸡模拟多个用户访问目标网站的动态页面,制造大量的后台数据库查询动作,消耗目标CPU资源,造成拒绝服务。CC不想DDoS可以用硬件防火墙来过滤攻击,CC攻击本身的请求就是正常的请求。
    5. CDN,全称“Content Delivery Network”内容分发网络,它能提高用户访问网站的速度,从而提高用户的体验度。它还有一定程度上防DDoS攻击,还能隐藏服务器的真实IP。
    6. CISP(Certified Information Security Professional)即注册信息安全专业人员,是经中国信息安全产品测评认证1中心实施的国家认证,对信息安全人员执业资质的认可。该证书是面向信息安全企业、信息安全咨询服务机构、信息安全评测机构等负责信息系统建设、运行维护和管理工作的信息安全专业人员所颁发的专业资质的证书。
    7. CISSP(Certification for Information System Security Professional)即信息系统安全专业认证,CISSP认证项目面向从事商业环境安全体系建设、设计、管理或控制的专业人员的技术及知识积累进行测试。
    8. CMD一般指命令提示符是在操作系统中,提示进行命令输入的一种工作提示1符。在不同的操作系统环境下,命令提示符各不相同。
    9. CMS一般指内容管理系统。CMS是Content Management System的缩写,意为“内容管理系统”,内容管理系统是企业信息化建设和电子政务的新宠,也是一个相对较新的市场。
    10. CMS指纹识别,CMS(Content Management System)网站内容管理系统;CMS 是被原理就是得到一些CMS的一些固有特征,通过得到这个特征来判断CMS的类别。
    11. CNNVD(China National Vulnerability Database of Information Security)即中国国家信息安全漏洞库,是中国信息安全测评中心为切实履行漏洞分析和风险评估的职能,负责建设运维的国家信息安全漏洞库,为我国信息安全保障提供基础服务。
    12. CNVD(China National Vulnerability Database)即国家信息安全漏洞共享平台,是由国家计算机网络应急技术处理1协调中心(中文简称国家互联应急中心,英文简称CNCERT)联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的国家网络安全漏洞库。
    13. Cobalt Strike是用于红队攻击的常见工具,该工具提供了代理服务器、Malleable C2、加密隧道、内置载荷等一系列功能,是红队人员居家必备良品,强大的插件功能使得攻击者可开发自定义功能配合使用。
    14. Commando VM是火眼推出的基于Windows平台的渗透测试平台,推出一系列标准化工具套件,包含超过140个开源Windows渗透工具,红队渗透测试和蓝队防御人员均拥有顶级侦查与漏洞利用程序集。
    15. Firefox插件,除了用来查看、编辑、创建或插入Cookies,还能看到更多关于Cookies的信息,允许同时修改或备份多个Cookies。
    16. CRLF是“回车 + 换行”(\r\n)的简称。在HTTP协议中,HTTP Header与HTTP body是用两个CRLF分隔的,一旦我们能够控制HTTP消息头中的字符,注入一些恶意的换行,这样我们就能注入一些会话Cookies或者HTML代码。
    17. 跨站请求伪造(Cross-site request forgery),通常缩写为CSRF或者XSRF,是一种要挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS利用的是用户对指定网站的信任,CSRF利用的是网站对用户网页浏览器的信任。
    18. CVE的全拼是Common Vulnerabilities and Exposures,意思是通用漏洞披露,用来表示一种漏洞的特定编号。CVE就好像是一个字典表,为广泛认同的信息安全漏洞或者已经暴露出来的弱点给出一个公共的名称。
    19. CVSS全称是(Common Vulnerability Scoring System)即通用漏洞评分系统。CVSS是一个行业公开标准,其被设计用来评测漏洞的严重程度,并帮助确定所需反应的紧急度和重要度。
    20. C段入侵,同网段不同服务器的渗透方案,可能某公司在外网C段中拥有多个IP地址,但是内网却相连着,主目标不存在漏洞通过C段中其他存在漏洞的机器进入内网。
    21. 分布式拒绝服务攻击(DDoS:Distributed denial of service)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。
    22. DEFCON(也写作DEF CON,Defcon,or DC)是全球最大的计算机安全会议之一,DEFCON的与会者主要有计算机安全领域的专家、安全研究员、黑客等对安全领域有兴趣的成员,涉及的领域主要有软件安全、计算机架构、无线电窃听、硬件修改和其他容易受到攻击的信息领域。
    23. DNS Log,DNS在解析的时候会留下日志,这类工具就是读取多级域名的解析日志,来获取信息,简单来说就是把信息放在多级子域名中,传递到我们自己的服务器中,然后读取日志,获取特定信息,最后根据获取的信息来判断我们渗透测试的动作是否成功运行。
    24. DNS域传送漏洞,DNS协议支持使用AXFR类型的记录进行区域传送,用来解决主从同步问题,如果管理员在配置DNS服务器的时候没有限制允许获取记录的来源,将会导致DNS域传送漏洞。
    25. Dom型XSS,客户端的脚本程序可以动态地检查和修改页面内容,而不依赖于服务器的数据。例如客户端如从URL中提取数据并在本地执行,如果用户在客户端输入的数据包含了恶意的JavaScript脚本,而这些脚本没有经过适当的过滤,那么应用程序就可能受到DOM-based XSS攻击。
    26. DOS命令,计算机术语,是指DOS操作系统的命令,是一种面向磁盘的操作命令,主要包括目录操作类命令、磁盘操作类命令、文件操作类命令和其他命令。
    27. 深度包检测技术(即DPI)是一种基于应用层的流量检测和控制技术,当IP数据包、TCP或UDP数据流通过基于DPI技术的带宽管理系统时,通过深入读取IP包载荷的内容来对OSI七层协议中的应用层信息进行重组,得到整个应用程序的内容,按照系统定义的管理策略对流量进行整形操作。
    28. 终端防护响应(EDR)工具,运用大数据,为终端抵御未知和零日攻击,应用机器学习和行为分析进行EDR防护。以大数据分析切入EDR(终端防护与响应),应用机器学习算法与行为分析提供精确、全面、实时的防护与响应,能够有效发现未知威胁并减少误报。
    29. EL表达式注入漏洞和SpEL、OGNL等表达式注入漏洞是一样的漏洞原理的,即表达式外部可控导致攻击者注入恶意表达式实现任意代码执行。一般的,EL表达式注入漏洞的外部可控点入口都是在Java程序代码中,即Java程序中的EL表达式内容全部或部分是从外部获取的。
    30. BetterCap是一个功能强大、模块化、轻便的MiTM框架,可以用来对网络开展各种类型的中间人攻击(Man-In-The-Middle),它也可以帮你实时地操作HTTP和HTTPS流量,BetterCap具有对多主机进行欺骗的能力,包括:ARP欺骗、DNS欺骗以及ICMP双向欺骗。
    31. Ettercap是一个基于ARP地址欺骗方式的网络嗅探工具,主要使用于交换局域网络。借助Ettercap攻击者可以检测网络内铭文数据通讯的安全性,及时采取措施,避免敏感数据以明文形式传输。
    32. Exp,全称“Exploit”,中文译作利用,可以理解为具体的漏洞的利用,通常是一个漏洞利用的代码,EXP是存在风险的,指利用系统漏洞进行攻击的动作。
    33. Exploit-DB是一个面向全世界黑客的漏洞提交平台,该平台会公布最新漏洞的相关情况,这些可以帮助企业改善公司的安全状况,同时也以帮助安全研究员和渗透测试工程师更好的进行安全测试工作。
    34. Firefox插件,Firebug是一个好的插件,它集成了Web开发工具。使用这个工具,你可以编辑和调试页面上的HTML,CSS和JavaScript,然后查看任何的更改所带来的影响。它能够帮助我们分析JS文件来发现XSS缺陷。用来发现基于DOM的XSS缺陷,Firebug是相当有用的。
    35. Frida是一款轻量级HOOK框架,适用于开发人员,逆向工程人员和安全研究人员的动态仪表工具包。可监听加密API或跟踪私有应用程序代码。
    36. FRP是一个高性能的反向代理工具,可以进行内网穿透,对外网提供服务,支持TCP、HTTP、HTTPS等协类型,并且Web服务支持根据域名进行路由转发。
    37. Fuzz Seanner,一个主要用于信息搜集的工具集,主要用于对网站子域名、开放端口、端口指纹、C端地址、敏感目录等信息进行批量搜集。
    38. Ghidra是由美国国家安全局(NSA)研究部门开发的逆向工程(SRE)套件,是一个软件逆向工程(SRE)框架,包括一套功能齐全的高端软件分析工具,使用户能够在各种平台上分析编译后的代码。功能包括反汇编,汇编,反编译,绘图和脚本,以及数百个其他功能。
    39. git信息泄露,当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。
    40. Goby是基于网络空间映射技术的下一代网络安全工具。它通过为目标网络建立全面的资产库来生成对网络安全事件和漏洞的紧急响应。
    41. Google hack 是指使用Google等搜集引擎对某些特定的网络主机漏洞(通常是服务器上的脚本漏洞)进行搜索,已达到快速找到漏洞主机或特定主机的漏洞的目的。
    42. GnuPG(GNU Privacy Guard,GPC)是一种加密软件,它是PGP加密软件的满足GPL协议的替代物。GnuPG是用于加密、数字签章及产生非对称匙对的软件。GPG兼容PGP(Pretty Good Privacy)的功能。
    43. Firefox插件,主要用于安全审计,例如XSS,SQL的编码/解码,MD5,SH1,Base64,Hexing,Splitting等。
    44. 钩子(Hook),是Windows消息处理机制的一个平台,应用程序可以在上面设置程序已监视指定窗口的某种消息,而且所监听的窗口可以是其他进程所创建的。当消息到达后,在目标窗口处理函数之前处理它。钩子机制允许应用程序截获粗粒Windows消息或特定事件。
    45. HSTS,HTTP严格传输安全协议,全称:HTTP Strict Transport Security,是一套由互联网工程任务组发布的互联网安全策略机制。网站可以选择使用HSTS策略,让浏览器强制使用HTTPS与网站进行通信,以减少会话劫持风险。
    46. HTTP Fox,Firefox插件,用来监测和分析浏览器与Web Server之间的所有HTTP流量。
    47. HTTP参数污染,也叫HPP(HTTP Parameter Pollution)。简单地讲就是给一个参数赋上两个或两个以上的值,由于现行的HTTP标准没有提及在遇到多个输入值给相同的参数赋值时应该怎样处理,而且不同的网站后端作出的处理方式是不同的,从而造成解析错误。
    48. HTTP报文即数据包,在OSI模型中,网络层及其以上层级,传输的数据单元均为包,即报文。数据链路层传输单元为帧,物理层为比特流。
    49. HTTP请求走私是一种干扰网站处理HTTP请求序列方式的技术,使攻击者可以绕过安全控制,未经授权访问敏感数据并直接危害其他应用程序用户。
    50. Web程序代码中把用户提交的参数未做过滤就直接输出到HTTP响应头中,攻击者可以利用该漏洞来注入HTTP响应头,可以造成XSS攻击、欺骗用户下载恶意可执行文件等攻击。
    51. Hydra是一款爆破神器,可以对多种服务的账号和密码进行爆破,包括Web登录、数据库、SSH、FTP等服务,支持Linux、Windows、Mac平台安装。
    52. IDA Pro,为Interactive Disassembler公司的反编译与除错工具的产品,常用于逆向工程。
    53. 入侵检测系统(intrusion detection system,简称“IDS”)是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于,IDS是一种积极主动的安全防护技术。
    54. IMAP (Internet Mail Access Protocol)以前称作交互邮件访问协议(Interactive Mail Access Protocol),是一个应用层协议。IMAP是斯坦福大学在1986年开发的一种邮件获取协议。它的主要作用是邮件客户端可以通过这种协议从邮件服务器上获取邮件的信息,下载邮件等。
    55. IPC$是指共享“命名管道”的资源,它是为了让进程间通信而开放的命名管道,可以通过验证用户名和密码获得相应的权限,在远程管理计算机和查看计算机的共享资源时使用。
    56. 入侵防御系统(IPS: Intrusion Prevention System)是电脑网络安全设施,是对防病毒软件和防火墙的补充。入侵预防系统是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备,能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。
    57. IP碎片攻击,IP首部有两个字节表示整个IP数据包的长度,所以IP数据包最长只能为0xFFFF,就是65535字节。如果有意发送总长度超过65535的IP碎片,一些老的系统内核在处理的时候就会出现问题,导致崩溃或者拒绝服务。
    58. Kali Linux是一个基于Debian的Linux发行版,它预装了14大类近300多个安全测试和渗透软件,Kali Linux预装的这些软件基本包括了黑客会使用到的所有工具。
    59. Kill Chain,在网络安全领域,这一概念最早由洛克希德-马丁公司提出,英文名称为Kill Chain,也称作网络攻击生命周期,包括侦查追踪、武器构建、载荷投递、漏洞利用、安装植入、命令控制、目标达成等七个阶段,来识别和防止入侵。
    60. LDAP全称:Lightweight Directory Access Protocol,轻型目录访问协议,是一个开放的、中立的工业标准的应用协议,通过IP协议提供访问控制和维护分布式信息的目录信息,常用用途是单点登录,用户可在多个服务中使用同一个密码。
    61. LDAP注入是指客户端发送查询请求时,输入的字符串中含有些特殊字符,导致修改了LDAP本来的查询结构,从而使得可以访问更多的未授权数据的一种攻击方式。 类似于SQL注入。
    62. MD5一种被广泛使用的密码散列函数,可以产生出一个128位(16字节)的散列值(hash value),用于确保信息传输完整一致。
    63. Metasploit是一款开源的渗透测试框架平台, msf 已经内置了数千个已披露的漏洞相关的模块和渗透测试工具,模块使用ruby语言编写,选定需要使用的攻击模块之后,只需要使用简单的命令配置一些参数就能完成针对一个漏洞的测试和利用,将渗透的过程自动化、简单化。
    64. Mimikatz为法国人Benjamin Delpy编写的款轻量级的调试工具,在内网渗透过程中,它多数时候是作为一款抓取用户口令的工具。 然而Mimikatz其实并不只有抓取口令这个功能,它还能够创建票证、票证传递、hash 传递、甚至伪造域管理凭证令牌。
    65. NCat或者说nc是款功能类似cat的工具,但是用于网络的。它是一款拥有多种功能的 CLI工具,可以用来在网络上读、写以及重定向数据。它被设计成可以被脚本或其他程序调用的可靠的后端工具同时由于它能创建任意所需的连接,因此也是一个很好的网络调试工具。
    66. NDay:指已经发布官方补丁的漏洞。通常情况下,此类漏洞的防护只需更新补丁即可,但由于多种原因,导致往往存在大量设备漏洞补丁更新不及时,且漏洞利用方式已经在互联网公开,往往此类漏洞是黑客最常使用的漏洞。
    67. Nessus是最受欢迎且功能最强大的漏洞扫描程序之一。它是款用于保护电脑安全,扫描系统漏洞,并及时修复的专业工具,旨在为用户提供完整且有用的网络漏洞扫描方案,可快速轻松地进行补丁、配置以及合规性审核。
    68. Netsparker是一款综合型的Web应用安全漏洞扫描工具,它分为专业版和免费版,免费版的功能也比较强大。Netsparker与其他综合性的Web应用安全扫描工具相比的一个特点是它能够更好的检测SQL Injection和Cross site Scripting类型的安全漏洞。
    69. Nmap(全称Network Mapper)是一款功能强大、 界面简洁清晰的连接端口扫描软件。Nmap能够轻松扫描确定哪些服务运行在哪些连接端,并且推断计算机运行哪个操作系统,从而帮助用户管理网络以及评估网络系统安全,堪称系统漏洞扫描之王!
    70. NTLM(NT LAN Manager)是微软公司开发的一种身份验证机制,从NT4开始就一直使用,主要用于本地的账号管理。
    71. Ollydbg通常称作OD,是反汇编工作的常用工具,OD附带了200脱壳脚本和各种插件,功能非常强大,可以过SE, VMP3.0,深受逆向圈内人士的喜爱。
    72. OSCP认证,是一个专门针对Kali Linux渗透测试培训课程的专业认证。该认证机构声称,OSCP认证是一个区别于所有其它认证的考试,考试全程采取手动操作的方式,而不设笔试环节。
    73. Open Web Application Security Project"表示开放式Web应用程序安全项目,它是一个安全组织,发布了有名的《OWASP Top 10》安全项目,展示了OWASP十大应用安全风险。
    74. ZAP则是OWASP里的工具类项目,也是旗舰项目,全称是OWASP Zed attack proxy,是一款web application集成渗透测试和漏洞工具,同样是免费开源跨平台的。
    75. Parrot Security OS是个基于Debian的Linux 发行版,专注于计算机安全。它专为渗透测试,漏洞评估和缓解,计算机取证和匿名Web浏览而设计,由Frozenbox团队开发。
    76. Payload中文译为,‘有效载荷’,指成功漏洞利用之后,真正在目标系统执行的代码或指令。
    77. PoC,全称”Proof of Concept中文译作概念验证。可以理解成为漏洞验证程序。通常是指一段漏洞证明的代码,验证漏洞是否有效,PoC通常是无害的,仅为验证漏洞是否存在。
    78. 死亡之Ping(英文: ping of death, POD) ,是一种向目标电脑发送错误封包的或恶意的ping指令的攻击方式。通常,一次ping大小为32字节。在当时,大部分电脑无法处理大于IPv4最大封包大小的ping封包。因此发送这样大小的ping可以令目标电脑崩溃。
    79. POP3,全名为“Post Office Protocol - Version 3”,即“邮局协议版本3”。是TCP/IP协议族中的一员,由RFC1939定义。本协议主要用于支持使用客户端远程管理在服务器上的电子邮件。
    80. Windows PowerShell是微软公司为Windows环境所开发的壳程式(Shell)及脚本语言技术,采用的是命令行界面。这项全新的技术提供了丰富的控制与自动化的系统管理能力。
    81. PowerSploit是基于Microsoft Powershell的测试工具集合,可在安全评估所有阶段帮助渗透测试人员,PowerSploit由: CodeExecution、ScriptModification、 Persistence、AntivirusBypass、Exfiltration 等等模块组成。
    82. Proxifier软件是一款极其强大的socks5客户端,同时也是款强大的站长工具。Proxifer 支持TCP, UDP 协议,支持Xp, Vista,Win7,支持socks4, socks5, http 代理协议可以让不支持通过代理服务器工作的网络程序能通过HTTPS或SOCKS代理或代理链。
    83. RASP即应用运行时自我保护。它是一种新型应用安 全保护技术,它将保护程序像疫苗一样注入到应用程序中,应用程序融为一体,能实时检测和阻断安全攻击,使应用程序具备自我保护能力,当应用程序遭受到实际攻击伤害,就可以自动对其进行防御,而不需要进行人工干预。
    84. RCE,全程远程命令执行,由于系统设计实现上存在的漏洞,攻击者可能通过发送特定的请求或数据导致在受影响的系统上执行攻击者指定的任意命令。
    85. Rootkit是攻击者用来隐藏自己的行踪和保留root (根权限,可以理解成WINDOWS下的system或者管理员权限)访问权限的工具。
    86. Samba是一个能让Linux系统应用Microsoft网络通讯协议的软件,而SMB是ServerMessageBlock的缩写,即为服务器消息块SMB主要是作为Microsoft的网络通讯协议,后来Samba将SMB通信协议应用到了Linux 系统上,就形成了现在的Samba软件。
    87. SASE的核心是身份,即身份是访问决策的中心,而不再是企业数据中心。这也与零信任架构和CARTA理念相一致,基于身份的访问决策。
    88. SDL的全称为安全开发生命周期,它是由微软最早提出的,在软件工程中实施,是帮助解决软件安全问题的办法,SDL 是一个安全保证的过程,其重点是软件开发,它在开发的所有阶段都引入了安全和隐私的原则。
    89. Session:在计算机中,尤其是在网络应用中,称为“会话控制”Session对象存储特定用户会话所需的属性及配置信息。
    90. Shell是一种命令执行环境, 比如我们按下键盘上的“开始键+R"时出现“运行”对话框,在里面输入“cmd"会出现一个用于执行命令的黑窗口,这个就是WINDOWS的Shell执行环境。通常我们使用远程溢出程序成功溢出远程电脑后得到的那个用于执行系统命令的环境就是对方的Shell
    91. Shellcode是一段用于利用软件漏洞而执行的代码,Shellcode为16进制的机器码,因为经常让攻击者获得shell而得名。Shellcode常常使用机器语言编写。可在暂存器eip溢出后,塞入一段可让CPU执行的Shellcode机器码,让电脑可以执行攻击者的任意指令。
    92. Shitf后们,其实就是使用了windows系统的粘滞键功能,当连按5次Shift键的时候就会启动粘滞键程序。然后有些后[门]程序会替换掉这个程序,然后通过按5次就来启动后门。
    93. Shodan是互联网上最可怕的搜索引擎。Shodan不是在网上搜索网址,而是直接进入互联网的背后通道。Shodan可以说是一款“黑暗”谷歌,一刻不停的在寻找着所有和互联网关联的服务器、摄像头、打印机、路由器等等。每个月Shodan都会在大约5亿个服务器上日夜不停地搜集信息。
    94. SMB (全称: Server Message Block)协议即为服务器消息块,SMB主要是作为Microsoft的网络通讯协议,可应用于Web连接和客户端与服务器之间的信息沟通。后来微软又把SMB改名为CIFS,即公共Internet文件系统,并且加入了许多新的功能。
    95. SMTP是一种提供可靠且有效的电子邮件传输的协议。SMTP是建立在FTP文件传输服务上的一种邮件服务,主要用于 系统之间的邮件信息传递,并提供有关来信的通知。
    96. SPF,即发件人策略框架是一套电子邮件认证机制,可以确认电子邮件确实是由网域授权的邮件服务器寄出,防止有人伪冒身份网络钓鱼或寄出垃圾电邮。SPF 允许管理员设定一个DNS TXT记录或SPF记.录设定发送邮件服务器的IP范围来验证是否为假冒邮件。
    97. SPN扫描通过域控制器的LDAP进行服务查询,由于这是Kerberos票据行为的一部分,所以很难被检测到。
    98. SQLMap是一个开源渗透测试工具,它可以自动检测和利用SQL注入漏洞并接管数据库服务器。它具有强大的检测引擎,同时有众多功能,包括数据库指纹识别、从数据库中获取数据、访问底层文件系统以及在操作系统上带内连接执行命令。
    99. SQL盲注根据注入后页面返回不同情况来得到数据库信息的一-种办法。(例如布尔盲注, 时间盲注等。)
    100. SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在事先定义好的查询语句的结尾上添加额外的SQL语句,以此来实现欺骗数据库服务器执行非授权的任意查询,得到相应的数据信息。
    101. 漏洞响应平台即SRC,一些企业会通过建立自己的应急响应中心,通过互联网白帽子的力量发掘自身产品的安全问题,并给予-些漏洞挖掘报酬。白帽子可以通过SRC提交你的漏洞换取- - 些钱或者奖励。
    102. SSI注入全称Server- Side Includes Injection,即服务端包含注入。SsI是类似于CGI,用于动态页面的指令。SSI 注入允许远程在Web应用中注入脚本来执行代码。
    103. 单点登录(SingleSignOn, SSO) 指一个用户可以通过单一的ID和凭证(密码)访问多个相关但彼此独立的系统。
    104. SSRF (服务端请求伪造很多),Web 应用都提供了从其他的服务器上获取数据的功能。使用用户指定的URL, Web应用可以获取图片,下载文件,读取文件内容等。这个功能如果被恶意使用,可以利用存在缺陷的Web应用作为代理攻击远程和本地的服务器,探测内网信息甚至内网入侵。
    105. SSTI,服务端模板注入是由于服务端接收了用户的输入,将其作为Web应用模板内容的一部分,在进行目标编译渲染的过程中,执行了用户插入的恶意内容,因而导致了敏感信息泄露、代码执行、GetShell等问题。其影响范围主要取决于模版引擎的复杂性。
    106. Apache Struts2是一个基于MVC设计模式的Web应用框架,会对某些标签属性(比如id)的属性值进行二次表达式解析,因此在某些场景下将可能导致远程代码执行。
    107. SVN信息泄漏,在使用SVN管理本地代码过程中,会自动生成一个隐藏文件夹,其中包含重要的源代码信息,在发布代码时由于错误操作,直接复制代码文件夹到WEB服务器上,这就使隐藏文件夹被暴露于外网环境,这使得渗透工程师可以借助其中包含版本信息追踪的网站文件,逐步摸清站点结构。
    108. SYN攻击属于DOS攻击的一种,它利用TCP协议缺陷,通过发送大量的半连接请求,耗费CPU和内存资源。SYN攻击除了能影响主机外,还可以危害路由器、防火墙等网络系统,事实上SYN攻击并不管目标.是什么系统,只要这些系统打开TCP服务就可以实施。
    109. Tamper Data, Firefox 插件,这是渗透测试人员最爱的插件之一,经常用来查看修改HTTP/HTTPS头部文件、HTTP 的响应时间或请求时间、POST 参数。
    110. TCP四次挥手,由于TCP连接是全双工的,因此每个方向都必须单独进行关闭。TCP有个半关闭状态,假设A.B要释放连接,那么A发送一个释放连接报文给B,B收到后发送确认这个时候A不发数据,但是B如果发数据A还是要接受,这叫半关闭。然后B还要发给A连接释放报文,然后A发确认,所以是4次。
    111. Telegram (非正式简称TG)是跨平台的即时通信软件,其客户端是自由及开放源代码软件,但服务器端是专有软件。用户可以相互交换加密与自毁消息(类似于“阅后即焚”),发送照片、影片等所有类型文件。
    112. Token,在计算机身份认证中是令牌(临时)的意思,在词法分析中是标记的意思。一般作为邀请、登录系统使用。
    113. 用户账户控制(User Account Control,简写作UAC)是微软公司在其Windows Vista及更高版本操作系统中采用的-种控制机制。其原理是通知用户是否对应用程序使用硬盘驱动器和系统文件授权,以达到帮助阻止恶意程序(有时也称为“恶意软件”)损坏系统的效果。
    114. URL编码是–种浏览器用来打包表单输入的格式。浏览器从表单中获取所有的name和其中的值,将它们以name/value参数编码(移去那些不能传送的字符,将数据排行等等)作为URL的一部分或者分离地发给服务器。
    115. URL定向钓鱼,通过构建URL,攻击者可以使用户重定向到任意URL,利用这个漏洞可以诱使用户访问某个页面,挂马、密码记录、下载任意文件等,常被用来钓鱼。
    116. User Agent Switcher, Firefox 插件,可 以快速添加用户端按钮,可以模拟用户使用不用设备、不同系统的浏览器访问,例如IE,Search Robots,IPhone (IOS)。
    117. UTM安全设备的定义是指一体化安全设备,它具备的基本功能包括网络防火墙、网络入侵检测/防御和网关防病毒功能。
    118. 虚拟专用网络(VPN)的功能是:在公用网络上建立专用网络,进行加密通讯。在企业网络中有广泛应用。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。VPN可通过服务器、硬件、软件等多种方式实现。
    119. VPS (即虚拟专用服务器)技术,将一台服务器分割成多个虚拟专享服务器的优质服务。实现VPS的技术分为容器技术,和虚拟化技术在容器或虚拟机中,每个VPS都可选配独立公网IP地址、独立操作系统、实现不同VPS间磁盘空间、内存、CPU资源、进程和系统配置的隔离。
    120. 被称为Vanderpool的虚拟技术简称VT,是英特尔公司处理器市场策略之中的一部分,英特尔公司的策略是向用户提供的实用功能而不是增长的性能。VT能够使用户在他们的个人电脑.上建立多套虚拟的运行环境以便能够使同一台个人电脑上能够运行不同的操作系统。
    121. WAF即Web Application Firewall, 即Web应用防火墙,是通过执行一系列针对HTTP/HTTPS的安全策略来专门]为Web应用提供保护的一款产品。
    122. Web Developer,Firefox 插件,Web Developer是另外一个好的插件,能为浏览器添加很多web开发工具,当然在渗透渗透测试中也能帮上忙。
    123. WebShell就是以asp. php. jsp 或者cgi等网页文件形式存在的一种命令执行环境,得到一个命令执行环境,以达到控制网站服务器的目的。可以上传下载文件,查看数据库,执行任意程序命令等。也可以将其称作是一种网页后门。
    124. Web容器是一种服务程序,在服务器一个端口就有一个提供相应服务的程序,而这个程序就是处理从客户端发出的请求,如JAVA中的Tomcat容器, ASP的IIS或PWS都是这样的容器。
    125. Web应用防火墙,是一款专门提供网站安全服务的产品,集FW.IPS、WAF、 防篡改等功能为- -体,通过 多维度多模块的防御策略防护网站的系统及业务安全。
    126. Whois (读作“Whois” ,非缩写)是用来查询域名的IP以及所有者等信息的传输协议。简单说,Whois 就是一个用来查询域名是否已经被注册,以及注册域名的详细信息的数据库(如域名所有人、域名注册商)
    127. WinHex (窗口十六进制)是一个德国软件公司X-Ways所开发的十六进制资料编辑处理程序,还可以应用在磁盘资料撤销及资料剖析采证上。WinHex小巧轻快但功能众多,且在此领域已有相当长的历史,第一个公开版本是在1995年。
    128. Wireshark是一个非常棒的开源多平台网络协议分析器。它允许检查来自实时网络或磁盘上的捕获文件的数据。您可以以交互方式浏览捕获数据,深入了解所需的数据包详细信息。
    129. WMI,是Windows 2K/XP管理系统的核心;对于其他的Win32操作系统,WMI 是一个有用的插件。
    130. WriteUp,常指CTF(信息安全夺旗赛)中的解题思路,比赛结束后,通常主办方会要求排名靠前的提交WriteUp,看你是怎么做的。这不仅是为了证明题是你做的,而且由于ctf题目通常一题都是有n种解法的,这样做也可以因此扩展其他选手的知识。
    131. XFF,是X-Forwarded-For的缩写,存在于http请求头中,XFF注入是SQL注入的一种,该注入原理是通过修改X-Forwarded-For头对带入系统的dns进行sql注入,从而得到网站的数据库内容。
    132. XML注入,服务端解析用户提交的XML文件时未对XML文件引用的外部实体做合适的处理,并且实体的URL支持file:// 和php://等协议,攻击者可以在XML文件中声明URI指向服务器本地的实体造成攻击。
    133. Xp_cmd shell,,是SQL Server的一个扩展存储过程,xp_cmd shell扩展存储过程将命令字符串作为操作系统命令shell执行,并以文本行的形式返回所有输出。基于安全考虑,MSSQL2005 及以上版本默认禁用了xp_ cmd shell.
    134. XPath注入攻击是指利用XPath解析器的松散输入和容错特性,能够在URL、表单或其它信息上附带恶意的XPath查询代码,以获得权限信息的访问权并更改这些信息。
    135. Xposed ( 也被称作Xposed框架),是一个运行于Android操作系统的钩子框架。其通过替换Android系统的关键文件,可以拦截几乎所有Java函数的调用,并允许通过Xposed模块中的自定义代码更改调用这些函数时的行为。因此,Xposed 常被用来修改Android系统和应用程序的功能。
    136. 类似于XPath注入,XQuery 注入攻击是指利用XQuery解析器的松散输入和容错特性,能够在URL、表单或其它信息上附带恶意的XQuery查询代码,以获得权限信息的访问权并更改这些信息。
    137. XSS是跨站脚本攻击(Cross Site Scripting), 为不和层叠样式表(Cascading Style Sheets,CSS) 的缩写混淆,故将跨站脚本攻击缩写为XSS。通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序,如劫持用户会话,插入恶意内容、重定向用户等。
    138. XXE就是XML外部实体注入(XML External Entity。当允许引用外部实体时,通过构造恶意内容,就可能导致任意文件读取、系统命令执行、内网端口探测、攻击内网网站等危害。
    139. 暗链也称黑链,是黑帽SEO的作弊手法之一,目的就是利用高权重网站外链来提升自身站点排名。暗链是由攻击者入侵网站后植入的,且在网页上不可见或者极易被忽略,但是搜索引擎仍然可以通过分析刚页的源代码收录这些链接,以此迅速提高自身网站权重,获得高额流量。
    140. 安全加固是指是根据专业安全评估结果,制定相应的系统加固方案,针对不同目标系统,通过打补丁、修改安全配置、增加安全机制等方法,合理进行安全性加强。
    141. 安全模式绕过指通过程序相关解析等问题,绕过程序原有的安全保护措施或者模式的一种漏洞类型。
    142. 安全审计,指由专业审计人员根据有关的法律法规、财产所有者的委托和管理当局的授权,对计算机网络环境下的有关活动或行为进行系统的、独立的检查验证,并作出相应评价。
    143. 安全众测,借助众多白帽子的力量,针对目标系统在规定时间内进行漏洞悬赏测试。在收到有效的漏洞后,按漏洞风险等级给予白帽子一定的奖励。通常情况下是按漏洞付费,性价比较高。
    144. 暗网(英语: Dark web)是存在于黑暗网络、覆盖网络上的万维网内容,只能用特殊软件、特殊授权或对计算机做特殊设置才能访问,一.些灰色的非法网站将他们]的资源联系到一起形成了一个庞大的网络,这就是暗网。
    145. 安卓模拟器是能在个人计算机运行并模拟安卓手机系统的模拟器,并能安装、使用、卸载安卓应用的软件,利用安卓模拟器,用户即使没有手机硬件设备,也能在模拟器中使用移动应用程序。
    146. 白盒测试又称结构测试、透明盒测试逻辑驱动测试或基于代码的测试。白盒测试是一种测试用例设计方法,需要全面了解程序内部逻辑结构、对所有逻辑路径进行测试,穷举路径测试。检查程序的内部结构,从检查程序的逻辑着手,得出测试数据。
    147. 白帽黑客,一群不被利益趋驱使的文艺黑客。White hat (computersecurity)术语"white"在网络语言中指的是–种道德的电脑黑客,或计算机安全专家,专攻渗透测试和其他测试方法,以确保一个组织的信息系统的安全。
    148. 报错注入,顾名思义,报错注入就是通过页面爆出的错误信息,构造合适的语句来获取我们]想要的数据,SQL报错注入就是利用数据库的某些机制,人为地制造错误条件,使得查询结果能够出现在错误信息中。
    149. 堡垒机,即在一个特定的网络环境下,为了保障网络和数据不受来自外部和内部用户的入侵和破坏,而运用各种技术手段实时收集和监控网络环境中每一个组成部分的系统状态、安全事件、网络活动,以便集中报警、及时处理及审计定责。
    150. 暴力破解,通过利用大量猜测和穷举的方式来尝试获取用户口令的攻击方式。就是猜口令。攻击者一直枚举进行请求,通过对比数据包的长度可以很好的判断是否爆破成功,因为爆破成功和失败的长度是不一样的,所以可以很好的判断是否爆破成功。
    151. 靶机,就是指一个存在漏洞的系统,互联网上所有的网站(系统)都可以说是“靶机”,但是由于存在网络安全法,你是不能直接对人家的未授权的网站(系统)进行测试的。但是,你想做为练手、或者说验证某个漏洞怎么办?现在就有了靶机的出现,提供测试,验证,学习。
    152. 本地文件包含漏洞,由于程序员未对用户可控的变量进行输入检查,导致用户可以控制被包含的文件,成功利用时可以使服务器将特定文件当成服务端脚本执行,从而导致攻击者可获取–定的服务器权限,同时可能导致服务器上的敏感配置文件被攻击者读取。
    153. 边界防御,以网络边界为核心的防御模型,以静态规则匹配为基础,强调把所有的安全威胁都挡在外网。
    154. 编辑器漏洞,某一些编辑器如FCKEditor、UEditor 以及EWEBeditor等在特定版本存在漏洞如文件上传,命令执行等漏洞。
    155. 比特币(Bitcoin) 的概念最初由中本聪在2008年11月1日提出,并于2009年1月3日正式诞生。根据中本聪的思路设计发布的开源软件以及建构其上的P2P网络。比特币是一种P2P形式的虚拟的加密数字货币。点对点的传输意味着一个去中心化的支付系统。
    156. 彩虹表(Rainbow Tables)就是一个庞大的、针对各种可能的字母组合预先计算好的哈希值的集合,常用来破解md5。
    157. 持久化,在攻击者利用漏洞获取到某台机器的控制权限之后,会考虑将该机器作为一个持久化的据点,种植一个具备持久化的后门,从而随时可以连接该被控机器进行深入渗透。
    158. 冲击波蠕虫是一种散播于Microsoft操作系统,WindowsXP与Windows 2000的蠕虫病毒,爆发于2003年8月。本蠕虫第一次被注意并如燎原火般散布,是在2003年的8月11日。它不断繁殖并感染,在8月13 日达到高峰,之后借助ISP与网络上散布的治疗 方法阻止了此蠕虫的散布。
    159. 垂直越权是指由于后台应用没有做权限控制,或仅仅在菜单、按钮上做了权限控制,导致恶意用户只要猜测其他管理页面的URL或者敏感的参数信息,就可以访问或控制其他角色拥有的数据或页面,达到权限提升的目的。
    160. 储存型XSs,攻击者事先将恶意代码上传或储存到漏洞服务器中,只要受害者浏览包含此恶意代码的页面就会执行恶意代码。这就意味着只要访问了这个页面的访客,都有可能会执行这段恶意脚本,因此储存型XSS的危害会更大。
    161. 代理: Proxy, 一类程序或系统,接收来自客户计算机的流量,并代表客户与服务器交互。代理能用于过滤应用级别的制定类型的流量或缓存信息以提高性能。许多防火墙依赖代理进行过滤。
    162. 代码混淆(Obfuscation) 是将计算机程序的代码转换成功能上等价,但是难于阅读和理解的形式的行为。
    163. 代码审计,顾名思义就是检查源代码中的安全缺陷,检查程序源代码是否存在安全隐患,或者有编码不规范的地方,通过自动化工具或者人工审查的方式,对程序源代码逐条进行检查和分析,发现这些源代码缺陷引发的安全漏洞,并提供代码修订措施和建议。
    164. 代码泄露指的是服务器等由于配置不当等原因导致程序源代码可以被攻击者直接访问。
    165. 代码执行漏洞是用户通过浏览器提交执行命令,由于服务器端没有针对执行函数做过滤,导致在没有指定绝对路径的情况下就执行命令,可能会允许攻击者通过改变SPATH或程序执行环境的其他方面来执行一个恶意构造的代码。
    166. 安全网关是各种技术有趣的融合,具有重要且独特的保护作用,其范围从协议级过滤到十分复杂的应用级过滤。设置的目的是防止Internet或外网不安全因素蔓延到自己企业或组织的内部网。
    167. 打补丁就好比你的衣服破了个洞需要补漏一样,是对系统的缺陷进行补丁的一种程序包。所谓的补丁就是你安装的这个系统中有些所谓的“漏洞”的修补程序,安装上这些补丁就是把这些“漏洞”补上,以提高安全性或增强性能。
    168. 等级保护般指信息安全等级保护。信息安全等级保护,是对信息和信息载体按照重要性等级分级别进行保护的一种工作,在中国、美国等很多国家都存在的一种信息安全领域的工作。
    169. 点击劫持(ClickJacking)也被称为UI覆盖攻击。它是通过覆盖不可见的框架误导受害者点击。虽然受害者点击的是他所看到的网页,但其实他所点击的是被黑客精心构建的另一个置于原网页上面的透明页面。这种攻击利用了HTML中标签的透明属性。
    170. 电子取证,数字取证是取证科学的一个分支,它包括计算机取证、网络取证和移动设备取证等,它是一个新兴的领域。
    171. 钓鱼网站是指欺骗用户的虚假网站。“钓鱼网站” 的页面与真实网站界面基本致,欺骗消费者或者窃取访问者提交的账号和密码信息。钓鱼网站一般只有一个或几个页面,和真实网站差别细微。
    172. 端口可以认为是设备与外界通讯交流的出口。端口可分为虚拟端口和物理端口,其中虚拟端I指计算机内部或交换机路由器内的端口。例如计算机中的80端口、21 端口、23 端口等。物理端口又称为接口,计算机背板的RJ45网口,交换机路由器集线器等RJ45端口等属于物理接口。
    173. 端口复用是指一个端口上建立多个连接,而不是在一个端口上面开放了多个服务而互不干扰。 在一般情况下,一个端口只能被一个程序所占用,如果通过套接字设置了端口复用选项,则该套接字就可以绑定在已经被占用的端口上,同时并没有权限的区分。
    174. 端口扫描是指发送一组端口扫描消息,以识别目标端口服务信息、版本信息等。通过了解到的信息探寻攻击弱点,试图以此侵入某台计算机。
    175. 端口转发就是将一台主机的网络端口转发到另外一台主机并由另一台主机提供转发的网络服务。
    176. 短信轰炸漏洞在网站的一个发送验证码的接口上, 由于未做短信发送限制,可以无限制的请求发送验证码,造成短信资源池浪费,也对被轰炸人造成了严重的影响。
    177. 短信劫持,就是在GSM网络下(也就是2G),利用GSM劫持+短信嗅探技术可实时获取使用2G信号的用户手机短信内容,这主要是GSM在制式上存在缺陷,进而利用各大银行、网站、移动支付APP存在的技术漏洞和缺陷,实现信息窃取、资金盗刷和网络诈骗等犯罪。
    178. 对称加密采用单钥密码系统的加密方法、同一个密钥可以同时用作信息的加密和解密,这种加密方法称为对称加密,也称为单密钥加密。
    179. 多因子认证,主要区别于单一口令认证的方式,要通过两种以上的认证机制之后,才能得到授权,使用计算机资源:例如,用户要输入PIN码,插入银行卡,最后再经指纹比对,通过这三种认证方式,才能获得授权.这种认证方式可以降低单一口令失窃的风险,提高安全性。
    180. 所谓二阶注入是指已存缩(数期库、文件)的用户输入被读取后再次进入到SOL,查询语句中导致的注入
    181. 恶意代码Unwanted Code是指没有作用却会带来危险的代码,一个最安全的定义是把所有不必要的代码都看作是恶也的、不必要代码比恶意代码具有更宽泛的含义,包括所有可能与某个组织安全策略相冲突的软件
    182. 防爬意为防爬虫,主要是指防止网络爬虫从自身网站中爬取信也网络爬虫是一种按照一定的规则,自动地抓取网络信息的福序或者脚本。
    183. 反射型XSS 把用户输入的数据“反射”给浏览器。攻击者往往需要诱使用户“点击”一个恶意链接,于能攻击成功,反射型XSS 也叫做“非持久型XSS”。
    184. 反向代理服务器位于用户与目标服务器之间,但是对于用户而言,反向代理服务器就相当于目标服务器,即用户直接访向反向代理服务器就可以获得目标服务器的资源。同时,用户不需要知道目标服务器的地址,也无须在用户端作任何设定。
    185. 反序列化漏洞,如果应用对用户输入,即不可信数据做了反序列化处理,那么攻击者可以通过构造恶意输入,让反序列化产生非预期的对象,非预期的对象在产生过程中就有可能带来任意代码执行。
    186. 反制,在已知现有的攻击信息对攻击源头采取相应的措施实施反制措施,反制措施是对敌对人物和势力的行为进行回击,包含以血还血、以牙还牙的意思,也是打击和制伏进攻敌人。
    187. 非对称加密算法是一种密钥的保密方法。非对称加密算法需要两个密钥:公开密钥(publickey:简称公钥)和私有密钥(privatekey:简称私钥)。公钥与私钥是一对,如果用公钥对数据进行加密,只有用对应的私钥才能解密、
    188. 风险端口-1090,是 RMI 服务的默认端门,是远程方法调用。1099端口原本对应的服务为Apache ActiveMQ对JMX的支持,但是由于配置不当,导致攻击者可以通过此端口利用getMBeansFromURL方法来加载一个远端恶意的MBean,即可以远程执行任意代码。
    189. 风险端口-11211,是 Memcache服务的默认端口,由于它本身没有权限控制模块,所以对公网开放的 Memcache服务很容易被攻击者扫描发现,攻击者通过命令交互可直接读取 Memcached中的敏感信息
    190. 风险端口-1433.是SQL Server默认的端口。SQL Server服务使用两个端口:TCP-1433 UDP-1434。其中1433用于供对外提供服务、1434用于向请求者返回SQL cerver使用了哪个TCP/IP端口。该服务可能存在弱口令,暴力破解等风险。
    191. 风险端口-1521, ORACLE数据库系统付用1521端口,ORACLE数据库是美国ORACLE公司(甲骨文)提供的以分布式数据库为核心的一组软件产品,是目前最流行的客户/服务器(CLIENT/SERVER)或B/S体系结构的数据库之一。该数据库可能存在弱口令、暴力破解等风险。
    192. 风险端口-161、简单网络管理协议(SNMP)是专门设计用于在IP网络管理网络节点(服务器、工作站、路由器、交换机及HUBS等)的一种标准协议,它是一种应用协议该服务。可能存在弱口令,信息泄露等风险。
    193. 风险端-21,主要用于FTP (File Transfer Protocol.文件传输协议)服务。FTP服务主要是为了在两台计算机之间实现文件的上传与下载,可以采用匿名(anonvmous)登录和授权用户名与密码登录两种方式登录FTP服务器。该服务存在弱口令,暴力破解等风险。
    194. 风险端口-2181, Zookeeper服务器的默认端口、分布式的,开放源码的分布式应用程序协调服务。Zookeeper安装部署之后默认情况下不需要任何身份验证,造成攻击者可以远程利用Zookeeper,通过服务器收集敏感信息或者在Zookeeper 集群内进行破坏。
    195. 风险端口-22,SSH是传输层和应用层上的安全协议,它只能通过加密连接双方会话的方式来保证连接的安全性。当使用SSH连接成功后,将建立客户端和服务端之间的加密会话。该服务存在弱口令、暴力破解等风险。
    196. 风险端口-23,Telnet协议早 TCP/IP协议族中的一员,是Internet远程登录服务的标准协议和主要方式。该服务存在弱口令、暴力破解等风险。
    197. 2375是Docker默认端口,当 Docker Daemon把服务暴露在TCP的2375端口上,这样就可以在网络上操作Docker了。Docker 本身没有身份认证的功能,只要网络上能访问到服务端口,就可以操作Docker,可能存在未授权访问等风险。
    198. MongoDB是一个基于分布式文件存储的数据库。由CH+语言编写。旨在为WEB应用提供可扩展的高性能数据存储解决方案。该服务可能存在默认口令,弱口令,未授权等风险。
    199. MySQL是一种开放源代码的关系型数据库管理系统(RDBMS),使用最常用的数据库管理语言–结构化查询语言(SQL)进行数据库管理。该服务可能存在弱口令,暴力破解等风险。
    200. 3389端口是 Windows远程桌面的服务端口,可以通过这个端口,用"远程桌面"等连接工具来连接到远程的服务器。该服务可能存在弱口令,暴力破解,远程命令执行等风险。
    201. 风险端口-443,主要是用于 HTTPS服务,是提供加密和通过安全端口传输的另一种HTTP。在一些对安全性要求较高的网站,比如银行、证券等,都采用HTTPS服务,这样在这些网站上的交换信息,其他人抓包获取到的是加密数据,保证了交易的安全性。该服务可能存在SSL心脏滴血等安全风险。
    202. 445端口是一个毁誉参半的端口,有了它我们可以在局域网中轻松访问各种共享文件夹或共享打印机,但也正是因为有了它,黑客们才有了可乘之机,他们能通过该端口偷偷共享你的硬盘,甚至会在悄无声息中将你的硬盘格式化掉,该端口可能存在永恒之蓝等风险。
    203. GlassFish是一款强健的商业兼容应用服务器,达到产品级质量,可免费用于开发、部署和重新分发。该服务部分版本存在弱口令,远程命令执行等风险。
    204. 美国Sybase 公司研制的一种关系型数据库系统,IBM DB2是美国IBM 公司开发的一套关系型数据库管理系统。两款数据库在部分版本存在爆破以及注入等风险。
    205. 风险端口-5432,PostgreSQL是一种特性非常齐全的自由软件的对象-关系型数据库管理系统(ORDBMS),是以加州大学计算机系开发的POSTGRES,4.2版本为基础的对象关系型数据库管理系统。该服务可能存在弱口令,暴力破解等风险。
    206. 风险端口-5900,VNC (Virtual Network Console)是虚拟网络控制台的缩写。它是一款优秀的远程控制工具软件,由著名的AT&T的欧洲研究实验室开发的。该服务可能存在弱口令,暴力破解等风险。
    207. 风险端口-5948, Apache CouchDB是一个面向文档的数据库管理系统。它提供以JSON作为数据格式的 REST接口来对其进行操作,并可以通过视图来操纵文档的组织和呈现。该服务部分版本存在未授权导致的任意命令执行风险。
    208. 风险端口-6379,是 Redis默认端口,Redis因配置不当可以未授权访问。攻击者无需认证访问到内部数据,可导致敏感信息泄露,也可以恶意执行flushall 来清空所有数据。如果 Redis 以 root身份运行,可以给root账户写入SSH公钥文件,直接通过SSH登录受害服务器。
    209. 风险端口-7001,是 Weblogic的默认端口,可能存在java反序列化,Weblogic服务端请求伪造漏洞等。
    210. Zabbix是一个基于WEB 界面的提供分布式系统监视以及网络监视功能的企业级的开源解决方案。zabbix能监视各种网络参数,保证服务器系统的安全运营;并提供灵活的通知机制以让系统管理员快速定位/解决存在的各种问题。在部分版本存在SQL注入、未授权、RCE等风险。
    211. Rsync(remote synchronize)是一个远程数据同步工具,可通过LAN/WAN快速同步多台主机间的文件,也可以使用 Rsync同步本地硬盘中的不同目录。该服务部分版本存在匿名访问以及文件上传等风险。
    212. 风险端口-8888,宝塔面板是一款简单好用的服务器运维面板,简单说来就是一个可视化的面板管理工具,支持一键LAMP/LNMP/集群/监控/网站/FTP/数据库/JAVA等100多项服务器管理功能。部分版本存在信息泄露,数据库未授权等风险。
    213. 风险端口-9090,Websphere,IBM WebSphere Application Server(WAS)是由IBM 遵照开放标准,例如Java EE、XML及 WebServices,开发并发行的一种应用服务器,该服务可能存在Java反序列化以及弱口令等风险。
    214. 风险端口-9200/9300, Elasticsearch 是一个分布式、RESTful 风格的搜索和数据分析引擎,能够解决不断涌现出的各种用例。该服务可能存在远程命令执行、文件包含,越权访问等风险。
    215. 风险控制是指风险管理者采取各种措施和方法,消灭或减少风险事件发生的各种可能性,或风险控制者减少风险事件发生时造成的损失。
    216. 分块传输编码(Chunked transfer encoding)是超文本传输协议(HTTP)中的一种数据传输机制,允许HTTP由网页服务器发送给客户端应用(通常是网页浏览器)的数据可以分成多个部分。分块传输编码只在HTTP协议1.1版本(HTTP/1.1)中提供。
    217. 供应链攻击是一种传播间谍软件的方式,一般通过产品软件官网或软件包存储库进行传播。通常来说,黑客会瞄准部署知名软件官网的服务器,篡改服务器上供普通用户下载的软件源代码,将间谍软件传播给前往官网下载软件的用户。
    218. 所谓的挂马,就是黑客通过各种手段,获得网站管理员账号,然后登录网站后台,通过漏洞获得一个webshell。利用获得的webshell修改网站页面的内容,向页面中加入恶意转向代码。当你访问被加入恶意代码的页面时,你就会自动的访问被转向的地址或者下载木马病毒。
    219. 薅羊毛本是沿袭春晚小品中白云大妈的“游羊毛织毛衣”的做法,被定义为“薅羊毛”。所谓薅羊毛就是指网赚一族利用各种网络金融产品或红包活动推广下线抽成赚钱,又泛指搜集各个银行等金融机构及各类商家的优惠信息,以此实现盈利的目的。这类行为就被称之为薅羊毛。
    220. 黑盒测试,在授权的情况下,模拟黑客的攻击方法和思维方式,来评估计算机网络系统可能存在的安全风险。黑盒测试不同于黑客入侵,并不等于黑站。黑盒测试考验的是综合的能力。思路与经验积累往往决定成败,黑盒测试还是传统的渗透测试。
    221. 黑帽黑客(black hat hacker)就是人们常说的“黑客”或“骇客”了。他们往往利用自身技术,在网络上窃取别人的资源或破解收费的软件,以达到获利的目的。虽然在他们看来这是因为技术而得到的,但是这种行为却往往破坏了整个市场的秩序,或者泄露了别人的隐私。
    222. 黑页,黑客攻击成功后,在网站上留下的黑客入侵成功的页面,用于炫耀攻击成果。
    223. 横向移动,横向渗透攻击技术是复杂网络攻击中广泛使用的一种技术,攻击者可以利用这些技术,以被攻陷的系统为跳板,访问其他主机,获取包括邮箱、共享文件夹或者凭证信息在内的敏感资源。攻击者可以利用这些敏感信息,进一步控制其他系统、提升权限或窃取更多有价值的凭证。
    224. 宏病毒,宏可能引起宏病毒,它是一种寄存在文档或模板的宏中的计算机病毒。一旦打开这样的文档,其中的宏就会被执行、激活、转移到计算机上,并驻留模板上。所有自动保存的文档都会“感染”上这种宏病毒,而且如果其他用户打开了感染病毒的文档,宏病毒又会转移到他的计算机上。
    225. 红帽黑客,红帽黑客以正义、道德、进步、强大为宗旨,以热爱祖国、坚持正义、开拓进取为精神支柱,红客通常会利用自己掌握的技术去维护国内网络的安全,并对外来的进攻进行还击。
    226. 后门,在信息安全领域,后门是指绕过安全控制而获取对程序或系统访问权的方法。后门的最主要目的就是方便以后再次秘密进入或者控制系统。
    227. 后渗透,在内网中根据目标的业务经营模式、保护资产形式与安全防御计划的不同特点,自主设计出攻击目标,识别关键基础设施,并寻找客户最具价值的尝试安全防护的信息和资产,最终达成能够对客户造成最重要业务影响的攻击途径。
    228. 缓冲区过读是一类程序错误,即程序从缓冲器读出数据时超出了边界,而读取了(或试图读取)相邻的内存。这是有违内存安全的一个例子。
    229. 花指令是对抗反汇编的有效手段之一,正常代码添加了花指令之后,可以破坏静态反汇编的过程,使反汇编的结果出现错误。错误的反汇编结果会造成破解者的分析工作大量增加,进而使之不能理解程序的结构和算法,也就很难破解程序,从而达到病毒或软件保护的目的。
    230. 活动目录(Active Directory)是面向Windows Server的目录服务,活动目录存储了有关网络对象的信息,并且让管理员和用户可以轻松
    231. 查找和使用这些信息。活动目录使用了一种结构化的数据存储方式,并以此作为基础对目录信息进行合乎逻辑的分层组织。
    232. 加壳,是一种通过一系列数学运算,将可执行程序文件成动态链接库文件的编码进行改变(目前还有一些加壳软件可以压缩、加密驱动序),以达到缩小文件体积或加密程序编码的目的。加壳一般是指保护程序资源的方法。
    233. 加密机是通过国家商用密码主管部门整定并批准使用的国内自主开发的主机加密设备,加密机和主机之国使用TCPIP协议通信,所以加密机对主机的类型和主机操作系统无任何特殊的要求。
    234. 文件解析漏洞。是指Web容器(Apache、Nginx、IIS等)在解析文件时出现了漏洞,以其他格式执行出脚本格式的效果。从而,黑客可以利用该漏洞实现非法文件的解析。
    235. 竞争/并发漏洞,常属于逻辑业务中的漏洞类型,例如攻击者通过并发http/tcp请求而达到多次获奖、多次收获、多次获赠等非正常逻辑所能触发的效果。
    236. 进程迁移就是将一个进程从当前位置移动到指定的处理器上。它的基本思想是在进程执行过程中移动它,使得它在另一个计算机上继续存取他的所有资源并继续运行,而且不必知道运行进程或任何与其它相互作用的进程的知识就可以启动进程迁移操作。
    237. 近源渗透测试人员靠近或位于测试目标建筑内部,利用各类无线通讯技术、物理接口和智能设备进行渗透测试的总称。
    238. 基线检查是针对服务器操作系统、数据库、软件和容器的配置进行安全检测,并提供检测结果说明和加固建议。基线检查功能可以帮您进行系统安全加固,降低入侵风险并满足安全合规要求。
    239. 开源,(Open Source)全称为开放酿代码。开源就是要用户利用源代码在其基础上修改和学习的,但开源系统同样也有版权,同样也受到法律保护。
    240. 空字符注入也叫零字节注入,是通过添加URL编码的零字节字符来绕过过滤器的一种攻击方式。
    241. 跨域资源共享(CORS)是一种放宽同源策略的机制,它允许浏览器向跨源服务器,发出XMLHttpRequest 请求,从而克服了AJAX只能同源使用的限制,以使不同的网站可以跨域获取数据。
    242. 垃圾邮件是指未经用户许可(与用户无关)就强行发送到用户邮箱中的电子邮件。
    243. 勒索软件是黑客用来劫持用户资产或资源并以此为条件向用户勒索钱财的一种恶意软件。勒索软件通常会将用户数据或用户设备进行加密操作或更改配置,使之不可用,然后向用户发出勒索通知,要求用户支付费用以获得解密密码或者获得恢复系统正常运行的方法。
    244. 联合查询是可合并多个相似的选择查询的结果集。等同于将一个表追加到另一个表,从而实现将两个表的查询组合到一起,使用谓词为UNION或 UNION ALL。
    245. 零信任并不是不信任,而是作为一种新的身份认证和访问授权理念,不再以网络边界来划定可信或者不可信,而是默认不相信任何人、网络以及设备,采取动态认证和授权的方式,把访问者所带来的网络安全风险降到最低。
    246. 所谓“流量劫持”,是指利用各种恶意软件修改浏览器、锁定主页或不停弹出新窗口,强制网络用户访问某些网站,从而造成用户流最被迫流向特定网页的情形。
    247. 漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。
    248. 漏洞复测一般指在渗透测试中的漏洞修复阶段,在厂家修复已检测出的安全问题后,检测方对已有问题进行二次检测,检测漏洞是否修复。
    249. 漏洞复现是指针对互联网已经暴露出来安全漏洞进行漏洞验证,依据脚本/工具进行漏洞的重现。
    250. 漏洞组合拳,引申意为了达到一定目标,采取一连套的措施或实施一整套的步骤来进行,指通过多个漏洞进行组合搭配从而达到预期效果。
    251. 逻辑漏洞就是指攻击者利用业务的设计缺陷,获取敏感信息或破坏业务的完整性。一般出现在密码修改、越权访问、密码找回、交易支付金额等功能处。
    252. 目录遍历(路径遍历)是由于Web服务器或者Web应用程序对用户输入的文件名称的安全性验证不足而导致的一种安全漏洞,使得攻击者通过利用一些特殊字符就可以绕过服务器的安全限制,访问任意的文件(可以是 Web根目录以外的文件),甚至执行系统命令。
    253. 路由劫持是通过欺骗方式更改路由信息,导致用户无法访问正确的目标,或导致用户的访问流量绕行黑客设定的路径,达到不正当的目的。
    254. 免杀技术全称为反杀毒技术Anti Anti-Virus简称“免杀”,它指的是一种能使病毒木马免于被杀毒软件查杀的技术。由于免杀技术的涉猎面非常广,其中包含反汇编、逆向工程、系统漏洞等黑客技术,其内容基本上都是修改病毒、木马的内容改变特征码,从而躲避了杀毒软件的查杀。
    255. 绵羊墙(The Wall of Sheep)是在西方举行的各种黑客大会或安全大会上经常出现的趣味活动,源自于黑客大会的鼻祖Defcon。将用户设置的不安全的网络用户名与密码公布在上。
    256. Web程序代码中把用户提交的参数未做过滤就直接输出,通过修改参数,攻击者可直接使用Shell,对系统执行命令。
    257. 敏感信息/明文传输,网站未使用SSL 证书加密通讯,恶意攻击者如果对网站所在的网段进行嗅探,则当用户登录的时候该攻击者就可以获取到用户的用户名和密码等信息。
    258. 蜜罐技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机或者网络服务诱使攻击方实施攻击,对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,让防御方清晰地了解他们所面对的安全威胁。
    259. 密码嗅探,通过监视或监听网络流量以检索密码数据来收集密码的技术。如果使用非加密的方式传输,一旦数据被截获,就容易被嗅探到传输数据内部的账户密码信息。
    260. 蜜网(Honeynet)是在蜜罐技术上逐步发展起来的,蜜网技术实质上还是蜜罐技术,其主要目的是收集黑客的攻击信息。但它又不同于传统的蜜罐技术,它不是单一的系统而是一个网络,即构成了一个诱捕黑客行为的网络体系架构,在这个架构中包含了一个或多个蜜罐。
    261. 模糊测试(Fuzzing),是一种通过向目标系统提供非预期的输入并监视异常结果来发现软件漏洞的方法。
    262. 目录穿越的目的旨在访问存在在网站根目录外面的文件或目录。通过浏览应用,攻击者可以寻找存储在Web 服务器上的其他文件的相对路径。
    263. 目录浏览漏洞,Web中间件如果开启了目录浏览功能,当用户访问Web 应用时,Web服务器会将 Web应用的目录结构、文件信息返回给客户端,攻击者可能利用这些敏感信息对Web应用进行攻击,如数据库脚本SQL文件路径泄露、程序备份压缩文件路径泄露等。
    264. 木马病毒是指隐藏在正常程序中的一段具有特殊功能的恶意代码,是具备破坏和删除文件、发送密码、记录键盘等特殊功能的程序。可以对被控计算机实施监控、资料修改等非法操作。木马病毒具有很强的隐蔽性,可以根据黑客意图突然发起攻击。
    265. 内存保护是操作系统对电脑上的内存进行访问权限管理的一个机制。内存保护的主要目的是防止某个进程去访问不是操作系统配置给它的寻址空间。
    266. 内存取证一般指对计算机及相关智能设备运行时的物理内存中存储的临时数据进行获取与分析,提取相关重要信息。
    267. 内网,通俗的讲就是局域网,比如网吧,校园网,公司内部网等都属于此类。查看IP地址如果是在以下三个范围之内的话,就说明我们是处于内网之中的:10.0.0.0—10.255.255.255,172.16.0.0一172.31.255.255,192.168.0.0–192.168.255.255。
    268. 内网穿透,构建内网隐蔽通道,从而突破各种安全策略限制,实现对目标服务器的完美控制。
    269. 匿名者黑客组织是全球最大的黑客组织,也是全球最大的政治性黑客组织。这里聚集喜欢恶作剧的黑客和游戏玩家。他们支持网络透明,但常有人冒充他们的身份来发表一些虚假视频。“匿名者”是一个体系松散但规模庞大的国际黑客组织,黑客们大多出于对计算机的热爱加入其中。
    270. 软件逆向工程又称软件反向工程,是指从可运行的程序系统出发,运用解密、反汇编、系统分析、程序理解等多种计算机技术,对软件的结构、流程、算法、代码等进行逆向拆解和分析,推导出软件产品的源代码、设计原理、结构、算法、处理过程、运行方法及相关文档等。
    271. 旁注是最近网络上比较流行的一种入侵方法,在字面上解释就是一“从旁注入",利用同一主机上面不同网站的漏洞得到webshell,从而利用主机上的程序或者是服务所暴露的用户所在的物理路径进行入侵。
    272. 爬虫(又称为网页蜘蛛,网络机器人,更经常的称为网页追逐者),是一种按照一定的规则,自动地抓取万维网信息的程序或者脚本。
    273. 票证传递攻击(PtT)是一种使用Kerberos票据代替明文密码或NTLM哈希的方法。PtT最常见的用途可能是使用黄金票证和白银票证。
    274. 在访问控制中,票证是对客户端或服务的身份进行身份验证的数据,并与临时加密密钥(会话密钥)一起形成凭据。
    275. 全双工通讯方式又称为双向同时通信,即通信的双方可以同时发送和接收信息的信息交互方式。
    276. 区块链是一个信息技术领域的术语,从本质上讲,它是一个共享数据库,存储于其中的数据或信息,具有“不可伪造”"“全程留痕”“可以追溯”“公开透明”“集体维护”等特征。基于这些特征,区块链技术奠定了坚实的“信任”基础,创造了可靠的“合作”机制,具有广阔的运用前景。
    277. 肉鸡也称傀儡机,是指可以被黑客远程控制的机器。比如用"灰鸽子”等诱导客户点击或者电脑被黑客攻破或用户电脑有漏洞被种植了木马,黑客可以随意操纵它井利用它做任何事情。
    278. 软件脱壳,顾名思义,就是利用相应的工具,把在软件“外面”起保护作用的“壳”程序去除,还原文件本来面目,这样再修改文件内容或进行分析检测就容易多了。
    279. 弱口令,指那些强度不够,容易被猜解的,类似123,abc这样的口令(密码),容易被别人猜测到或被破解工具破解的密码均为弱口令。
    280. 蠕虫病毒,它是一类相对独立的恶意代码,利用了互联网系统的开放性特点。通过可远程利用的漏洞自主地进行穿插,受到控制终醋会变成攻击的发起方,尝试感染更多的系统。蠕虫病毒的主要特性有:自我复制能力、很强的传播性、潜伏性、特定的触发性、很大的破坏性。
    281. 所谓的“三次握手”:为了对每次发送的数据量进行跟踪与协商,确保数据段的发送和接收同步,根据所接收到的数据量而确认数据发送、接收完毕后何时撤销联系,并建立虚连接。
    282. 沙箱是一种用于安全的运行程序的机制。它常常用来执行那些非可信的程序。非可信程序中的恶意代码对系统的影响将会被限制在沙箱内而不会影响到系统的其它部分。
    283. 杀猪盘,网络流行词,电信诈骗的一种,是一种阿络交友诱导股票投资、赌博等类型的诈骗方式,“杀猪盘”则是“从业者们”自己起的名字,是指放长线“养猪”诈骗,养得越久,诈骗得越狠。
    284. 社工库是黑客与大数据方式进行结合的一种产物,黑客们将泄漏的用户数据整合分析,然后集中归档的一个地方。
    285. 社会工程学是黑客米特尼克悔改后在《欺骗的艺术》中所提出的,是一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段。
    286. 实体化编码,以“&”开头和以“;”结尾的字符串。使用实体代替解释为HTML代码的保留字符(&,<,>,”,不可见字符(如不间断空格)和无法从键盘输入的字符(如@)。
    287. 水坑攻击,顾名思义,是在受害者必经之路设置了一个“水坑(陷阱)”。最常见的微法是,黑客分析攻击目标的上网活动规律,寻找攻击目标经常访问的网站的弱点,先将此网站“攻破”并植入攻击代码,一旦攻击目标访问该网站就会“中招”。
    288. 水平越权指攻击者尝试访问与他拥有相同权限的用户资源。例如,用户A和用户B属于同一角色,拥有相同的权限等级,他们能获取自己的私有数据(数据A和数据B),但如果系统只验证了能访问数据的角色,而没有对数据做细分或者校验,导致用户A能访问到用户B的数据(数据B)。
    289. 数字证书是指在互联网通讯中标志通讯各方身份信息的一个数字认证,人们可以在网上用它来识别对方的身份。因此数字证书又称为数字标识。数字证书对网络用户在计算机网络交流中的信息和数据等以加密或解密的形式保证了信息和数据的完整性和安全性。
    290. “撕口子”(又称“打点”):针对某薄弱环节,尝试通过漏洞利用或社工钓鱼等手段去获取外网系统控制权限。
    291. 网络溯源是一种有效的对网络攻击的响应方式。对网络攻击的响应进行网络溯源,找到攻击源进行事故遏制和取证操作,从源头上解决网络攻击。
    292. 态势感知是一种基于环境的、动态、整体地润悉安全风险的能力,是以安全大数据为基础,从全局视角提升对安全威胁的发现识别、理解分析、响应处置能力的一种方式,最终是为了决策与行动,是安全能力的落地。
    293. 探针也叫作网络安全探针或者安全探针,可以简单理解为赛博世界的摄像头,部署在网络拓扑的关键节点上,用于收集和分析流量和日志,发现异常行为,并对可能到来的攻击发出预警。
    294. 简称PAM。特权账户往往拥有很高的权限。一日失窃或被滥用会给机构带来非常大的网络安全风险。特权账户管理往往显得十分重要。其主要原则有:杜绝特权凭证共享、为特权使用赋以个人责任、为日常管理实现最小权限访问模型、对这些凭证执行的活动实现审计功能。
    295. 跳板攻击是目前黑客进行网络攻击的普遍形式。目前的各类攻击,无论其攻击原理如何,采用何种攻击手法,其攻击过程大多要结合跳板技术,进行攻击源的隐藏。
    296. 提权是指提高自己在服务器中的权限,主要针对网站入侵过程中,当入侵某一网站时,通过各种漏洞提升WEBSHELL权限以夺得该服务器权限。
    297. 同源策略是一种约定,它是浏览器最核心也是最基本的安全功能,如果缺少了同源策略,则浏览器的正常访问都会受到影响,可以说 web是构建在同源策略的基础之上的,浏览器只是针对同源策略的一种实现。
    298. 拖库本来是数据库领域的术语,指从数据库中导出数据。在网络攻击领域,它被用来指网站遭到入侵后,黑客窃取其数据库文件。
    299. 外网,直接连入INTERNET(互联网),可以与互联网上的任意一台电脑互相访问,IP地址不是保留IP(内网)地址.。
    300. 《中华人民共和国网络安全法》是为保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展而制定的法律。
    301. 网络靶场,主要是指通过虚拟环境与真实设备相结合,模拟仿真出真实赛博网络空间攻防作战环境,能够支撑攻防演练、安全教育、网络空间作战能力研究和网络武器装备验证试验平台。
    302. 网络钓鱼,攻击者利用欺骗性的电子邮件或伪造的 Web站点等来进行网络诈骗活动。诈骗者通常会将自己伪装成网络银行、在线零售商和信用卡公司等可信的品牌,骗取用户的私人信息或邮件账号口令。
    303. “网络黑产”即网络黑色产业链,是指利用互联网技术实施网络攻击、窃取信息、勒索诈骗、盗窃钱财、推广黄赌毒等网络违法行为,以及为这些行为提供工具、资源、平台等准备和非法获利变现的渠道与环节。
    304. 网络空间测绘,用搜索引擎技术来提供交互,让人们可以方便的搜索到网络空间上的设备。相对于现实中使用的地图,用各种测绘方法描述和标注地理位置,用主动或被动探测的方法,来绘制网络空间上设备的网络节点和网络连接关系图,及各设备的画像。
    305. 远程文件包含,(RFI)是一种黑客攻击,主要发生在网站上。如果管理员或网站建设者没有进行正确的验证,并且任何想要的人都可以将一个文件潜入系统,则会发生这种攻击。通过这种攻击,黑客将远程文件注入服务器,文件的内容会根据黑客的编码在服务器上造成严重破坏。
    306. 网页篡改是恶意破坏或更改网页内容,使网站无法正常工作或出现黑客插入的非正常网页内容。
    307. 网页仿冒是通过构造与某一目标网站高度相似的页面诱骗用户的攻击方式。钓鱼网站是网页仿胃的一种常见形式,常以垃圾邮件、即时聊天、手机短信或网页虚假广告等方式传播,用户访问钓鱼网站后可能泄露账号、密码等个人隐私。
    308. 网页木马就是表面上伪装成普通的网页文件或是将恶意的代码直接插入到正常的网页文件中,当有人访问时,网页木马就会利用对方系统或者浏览器的漏洞自动将配置好的木马的服务端下载到访问者的电脑上来自动执行。
    309. 网闸是使用带有多种控制功能的固态开关读写介质,连接两个独立主机系统的信息安全设备。由于两个独立的主机系统通过网闸进行隔离,使系统间不存在通信的物理连接、逻辑连接及信息传输协议,不存在依据协议进行的信息交换,而只有以数据文件形式进行的无协议摆渡。
    310. 万能密码,通过在用户名或者密码处输入闭合SQL.语句的SQL字符串,拼接成一个结果为True的SQ1语句,从而绕过登陆限制。
    311. 挖矿是对加密货币(比如比特币 Bitcoin)开采的一个俗称。开采比特币就像是求解一道数学题,最先得到答案,就获得相应的奖励。也指非法利用其他的电脑进行构建区块,间接为其生产虚拟货币。
    312. “伪基站”即假基站,设备一般由主机和笔记本电脑或手机组成,通过短信群发器、短信发信机等相关设备能够搜取以其为中心、一定半径范围内的手机卡信息,利用2G移动通信的缺陷,通过伪装成运营商的基站,冒用他人手机号码强行向用户手机发送诈骗、广告推销等短信息。
    313. 未授权访问,顾名思义不进行请求授权的情况下对需要权限的功能进行访问执行。通常是由于认证页面存在缺陷,无认证,安全配置不当导致。常见于服务端口,接口无限制开放,网页功能通过链接无限制用户访问,低权限用户越权访问高权限功能。
    314. 威胁情报是某种基于证据的知识,包括上下文、机制、标示、含义和能够执行的建议,这些知识与资产所面临已有的或酝酿中的威胁或危害相关,可用于资产相关主体对威胁或危害的响应或处理决策提供信息支持。根据使用对象的不同,威胁情报主要分为人读情报和机读情报。
    315. 伪协议是为关联应用程序而使用的在标准协议(http://,https://.,ftp://)之外的一种协议。例如:file:///协议。
    316. 文件上传漏洞是指未对上传文件的格式内容进行校验,恶意攻击者通过上传包含恶意代码的文件,从而攻击利用获得服务器的权限。
    317. 物联网(loT,Internet of things)即“万物相连的互联网”,是互联网基础上的延伸和扩展的网络,将各种信息传感设备与互联网结合起来而形成的一个巨大网络,实现在任何时间、任何地点,人、机、物的互联互通。
    318. “无文件攻击”不代表真的没有文件,只是一种攻击策略,其出发点就是避免将恶意文件放在磁盘上,以逃避安全检测。所说的无文件,也未必是攻击全程无文件,而是其中的一部分采用了无文件攻击。
    319. 信息泄露,泄露的系统信息或者调试信息可以帮助攻击者了解系统和制定攻击计划。信息泄露一般发生在程序使用输出或者日志功能的时候。
    320. 心脏血漏洞是一个出现在加密程序库OpenSSL的安全漏洞,该程序库广泛用于实现互联网的传输层安全(TLS)协议。它于2012年被引入了软件中,2014年4月首次向公众披露。只要使用的是存在缺陷的OpensSSL实例,无论是服务器还是客户端,都可能因此而受到攻击。
    321. 熊猫娆香是一种经过多次变种的计算机蠕虫病毒,2006年10月16日由25岁的中国湖北武汉新洲区人李俊编写,2007年1月初肆虐中国大陆网络,它主要透过网络下载的文件植入计算机系统。
    322. 虚拟化简单讲,就是把一台物理计算机虚拟成多台理辑计算机,每个逻辑计算机里面可以运行不同的操作系统,相互不受影响,这样就可以充分利用硬件资源。
    323. 所谓虚拟机逃递(Escape Exploit),指的是突破虚拟机的限制,实现与宿主机操作系统交互的一个过程,攻击者可以通过虚拟机逃逸感染宿主机或者在宿主机上运行恶意软件。
    324. 羊毛党,网络流行语,源于1999年央视春晚小品《昨天·今天·明天》。薅羊毛,指利用规则漏洞或者通过钻研规则,在规则之内获取一些小利益,俗称占便宜。羊毛党便是对薅羊毛用户的戏称。
    325. 延时注入属于盲注技术的一种,它是一种基于时间差异的注入技术,根据页面返回时同的长短进行判断数据库的信息。
    326. 验证码绕过是指在认证过程中跳过验证码直接访问需要的界面内容,通常有以下几种方式,如响应包含验证码信息导致验证码绕过,验证码前段校验导致验证码绕过等等。
    327. 应急响应是指在发生安全事件时对安全事件紧急排查、修复并对攻击进行溯源分析。
    328. 影子账户是内部账户和外部账户的形式,主要起备查及处理不方便放在外部账户的费用的功能。“影子用户”一种指在网络应用中将网卡的MAC,IP地址修改为与别人的一模一样,然后接在同一个交换机的认证口下的终端用户。另一种指操作系统中影子账户。
    329. 隐蔽通道是一种回避或进攻手段,用隐匿、未授权或非法方式来传输信息。互联网隐敲通道就像是一个带有秘密夹层的数字公文包,间谍会使用它来瞒过保安,将敏感文件放入安全设施,或从安全设施取出敏感文件。
    330. 隐写,将信息地藏在多种载体中,如:视频、硬盘和图像,将需要隐藏的信息通过特殊的方式嵌入到载体中,而又不损害载体原来信息的表达。
    331. 溢出,确切的讲,应该是“缓冲区溢出”。简单的解释就是程序对接受的输入数据没有执行有效的检测而导致错误,后果可能是造成程序崩溃或者是执行攻击者的命令。大致可以分为两类:堆溢出,栈溢出。
    332. 一句话木马是一种基于BS结构的简短脚本,通过这个脚本,执行POST 来的任意参数语句,可以提交任意内容,黑客借此进行SQL注入或拿到SHELL写入大马或截取网站私密信息,达到注入非法信息等的目的。
    333. 永恒之蓝(Eternal Blue)被影子经纪人公布到互联网上,一经发布便被多款恶意软件利用。包括肆虐的WannaCry,SMB虫EternalRocks 等。EternalBlue是在Windows的SMB服务处理SMB v1请求时发生的漏洞、这个漏洞导致攻击者在目标系统上可以执行任意代码。
    334. 邮件网关是专门为邮箱打造的安全产品。邮件网关通过对邮件多维度信息的综合分析,可迅速识别APT 攻击邮件、钓鱼邮件、病毒木马附件、漏洞利用附件等威胁,有效防范邮件安全风险,保护企业免受数据和财产损失。
    335. 远程文件包含,简称RFI,指服务利用程序文件包含函数包含远程文件,过滤不严导致可以包含服务器外的文件而导致问题产生。
    336. 服务器端对用户提出的数据操作请求过分信任,忽略了对该用户操作权限的判定,导致恶意攻击者账号拥有了其他账户的增删改查功能。
    337. 云计算(Cloud Computing)是分布式计算的一种,指的是通过网络“云”将巨大的数据计算处理程序分解成无数个小程序,然后,通过多部服务器组成的系统进行处理和分析这些小程序得到结果并返回给用户。
    338. 预编译是指在创建数据库对象时就将指定的SOL 语句编译完成,这时SQL语句已经被数据库解析、审查,可有效防止SQL注入,因为预编译时预先已经将SOL的结构确定,在执行SQL语句时,结构也不会发生改变。
    339. 鱼叉攻击是将用鱼叉捕鱼形象的引入到了网络攻击中,主要是指可以使欺骗性电子邮件看起来更加可信的网络钓鱼攻击,具有更高的成功可能性。不同于撒网式的网络钓鱼,鱼叉攻击往往更加具备针对性,攻击者往往“见鱼而使叉”。
    340. 域控制器(Domain Controller,简称DC)是指在“域”模式下,至少有一台服务器负责每一台入网的电脑和用户的验证工作,相当于一个单位的门卫一样, DC是活动目录的存储位置,安装了活动目录的计算机称为域控制器。
    341. 网域服务器缓存污染(DNS cache pollution), 又称域名服务器缓存投毒(DNS cache poisoning) DNS 缓存投毒,是指一些刻意制造或无意中制造出来的域名服务器数据包,把域名指往不正确的P地址。
    342. 域名劫持是通过拦截域名解析请求或篡改域名服务器上的数据,使得用户在访问相关域名时返回虚假IP地址或使用户的请求失败。
    343. 正向代理,意思是一个位于客户端和原始耶务器(Origin Server)之间的服务器,为了从原始服务器取得内容客户端向代理发送一个请求并指定目标(原始服务器)然后代理向原始服务器转交请求并将获得的内容返回给客户端。客户端才能使用正向代理。
    344. 震网病毒又名Stuxnet 病毒、是个席卷全球工业界的病毒。作为世界上首个网络“超级破坏性武器”, Stuxnet 的计算机病毒已经感染了全球超过45000个网络,伊朗遭到的攻击最为严重,60%的个人电脑感染了这种病毒。
    345. 中国蚁剑是一款开源的路平台网站管理工具,它主要面向于合法授权的渗透测试安全人品以及进行常规操作的网站管理员。是一款非常优秀的Webshell管理工具。
    346. 中间件是介于应用系统和系统软件之间的一类软件,它使用系统软件所提供的基础服务(功能),衔接网络上应用系统的各个部分或不同的应用,能够达到资源共享、功能共享的目的。
    347. 中间人攻击是一种“间接”的入侵攻击,这种攻击方式是通过各种技术手段将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间,通过拦截正常的网络通信数据,并进行数据篡改和嗅探,而这台计算机就称为“中间人”。
    348. 撞库是黑客通过收集互联网已泄露的用户和密码信息,生成对应的字典表,尝试批量登陆其他网站后,得到一系列可以登录的用户。很多用户在不同网站使用的是相同的账号密码,因此黑客可以通过获取用户在A网站的账户从而尝试登录B网址,这就可以理解为撞库攻击。
    349. 子域名(或子域英语:Subdomain)是在域名系统等级中,属于更高一层域的域。比如mail.example.com和calendar.example.com是example.com的两个子域,而example.com则是顶级域.com的子域。
    更多相关内容
  • 1. 概述 随着云计算逐渐成为主流,云安全也获得了越来越多的关注,传统和新兴的云计算...一类为使用云计算服务提供防护,即使云服务时的安全(security for using the cloud),也称云计算安全(Cloud Computin...

    1. 概述

            随着云计算逐渐成为主流,云安全也获得了越来越多的关注,传统和新兴的云计算厂商以及安全厂商均推出了大量云安全产品。但是,与有清晰定义的“云计算”(NIST SP 800-145和ISO/IEC 17788)不同,业界对“云安全”从概念、技术到产品都还没有形成明确的共识。

    从发展的脉络分析,“云安全”相关的技术可以分两类:

    • 一类为使用云计算服务提供防护,即使用云服务时的安全(security for using the cloud),也称云计算安全(Cloud Computing Security),一般都是新的产品品类;
    • 一类源于传统的安全托管(hosting)服务,即以云服务方式提供安全(security provided from the cloud),也称安全即服务(Security-as-a-Service, SECaaS),通常都有对应的传统安全软件或设备产品。

    云安全

    “安全即服务”和“云计算安全”这两类“云安全”技术的重合部分,即以云服务方式为使用云计算服务提供防护。

     

    1.1 云计算安全

           基于云计算的服务模式、部署模式和参与角色等三个维度,美国国家标准技术研究院(NIST)云计算安全工作组在2013年5月发布的《云计算安全参考架构(草案)》给出了云计算安全参考架构(NCC-SRA,NIST Cloud Computing Security Reference Architecture)。

    NIST云计算安全参考架构的三个构成维度:

    • 云计算的三种服务模式:IaaS、PaaS、SaaS

    • 云计算的四种部署模式:公有、私有、混合、社区

    • 云计算的五种角色:提供者、消费者、代理者、承运者、审计者
      NIST云计算安全参考架构
      作为云服务的使用者,企业需要关注的以下几个子项的安全:

    • 管理对云的使用
      配置:调配各种云资源,满足业务和合规要求
      可移植性和兼容性:确保企业数据和应用在必要时安全地迁移到其他云系统生态
      商务支持:与云服务提供商的各种商务合作和协调
      组织支持:确保企业内部的策略和流程支持对云资源的管理和使用

    • 云生态系统统筹
      支持云服务提供商对计算资源的调度和管理

    • 功能层
      包括网络、服务器、存储、操作系统、环境设置、应用功能等,不同服务模式下企业能够控制的范围不同

       

             使用不同模式的云服务(IaaS、PaaS或SaaS)时,企业对资源的控制范围不同,有不同的安全责任边界,因此需要明确自己的责任边界,适当部署对应的安全措施。根据国家标准 GB/T 31167-2014《信息安全技术-云计算服务安全指南》规定,企业用户的控制范围主要在于虚拟化计算资源、软件平台和应用软件。

      GB/T 31167-2014服务模式与控制范围的关系
      具体的责任分配可参考微软《云计算中的共担责任》中的说明,如下图。

      不同云服务模式的共担责任

     

    1.2 安全即服务

          传统上,有些企业会选择安全代管服务(Managed Security Service,MSS),将设备管理、配置、响应和维护等安全相关的工作外包给专业服务厂商(Managed Security Service Provider,MSSP),以减轻企业IT和安全部门在信息安全方面的压力。随着技术和网络的发展,部分专业安全厂商开始采取类似的策略,不再向客户出售独立的安全软件和设备,而是直接通过网络为企业提供相应的安全托管服务(hosted security service):企业只需要负责配置和管理自身的安全策略和规则等工作,而不用涉及软硬件的安装和升级维护等。

          在云计算技术逐渐成熟以后,安全托管服务即由厂商通过云服务平台提供;同时,也出现了一些直接通过云服务提供的其他安全技术和产品,统称安全即服务。按照云安全联盟(CSA,Cloud Security Alliance)发布的《云计算关键领域安全指南》(第四版,2017年7月)中介绍,SECaaS共有12类:

    1. 身份,授权和访问管理服务
    2. 云访问安全代理
    3. Web安全
    4. Email安全
    5. 安全评估
    6. Web应用防火墙
    7. 入侵检测/防御
    8. 安全信息和事件管理(SIEM)
    9. 加密和密钥管理
    10. 业务连续性和灾难恢复(BC/DR)
    11. 安全管理
    12. 分布式拒绝服务保护

    与传统安全产品相比,SECaaS产品有诸多优势:

    • 快速部署,即买即用。企业不需要采购软件和硬件,在获得相应安全服务的授权后,经过简单配置即可使用。
    • 自动升级,免于维护。云端服务永远处于最新状态,企业不需要配备人员对安全设备和软件进行版本升级和日常维护。
    • 按需采购,灵活扩张。企业可以按当前的使用人数采购必须的安全功能,并根据需求变动随时增加或减少。
    • 支持移动,访问便捷。以云服务方式提供后,安全功能可以覆盖移动用户,扩大受保护的边界。

     

    2. 云安全相关的主要场景

    根据企业对云计算服务的使用情况,云安全相关的主要场景可分为5大类,这里分别介绍比较有代表性的技术:

    • 云计算安全:
      1.租用虚拟硬件资源(IaaS),提供对外业务或内部应用
      2.使用云服务(PaaS或SaaS)构建内部应用
      3.私有云

    • 安全即服务:
      1.集成云服务解决业务和应用中的安全挑战
      2.使用云服务替代传统安全设备和方案

    2.1 云计算安全

    2.1.1 租用虚拟硬件资源(IaaS)

           租用云服务器等虚拟硬件资源是云计算服务的最基本模式,也是企业需要承担最多安全责任的模式。除了确认云上业务应用本身的安全性,企业在规划租用虚拟硬件资源时,应该从三个方面分别考察相关安全技术和产品:虚拟硬件基础设施、应用底层架构和对外业务保障。这里将分别介绍11种主要技术的相关情况:
    租用虚拟硬件资源(IaaS)

     

    2.1.1.1 虚拟硬件基础设施

           企业选择租用云服务器等虚拟硬件基础设施时,首先需要关注CSP能够提供哪些安全相关功能和如何利用这些安全功能构建可靠的云上硬件环境,为企业的云上业务和数据提供基础性的安全保障。

    安全组(Security Group)
            技术介绍:安全组定义了一组网络访问规则,可视为虚拟防火墙,是实现云服务器间网络隔离的基本手段。云服务器加入一个安全组后,该安全组的所有网络访问规则都将应用于该云服务器;如果一个云服务器加入了多个安全组,应用于该服务器的网络访问规则将是各安全组的合集;同一安全组内的云服务器之间能够互相通信。
           客户收益:在基础网络的设定下,CSP从统一的资源池中为客户提供云服务器,安全组能够帮助客户实现以单个云服务器为基础的网络隔离,并划分安全域。需要特别注意的是,如果使用基础网络设定,不同租户的云安全服务器在默认情况下是网络互通的。
           使用建议:安全组应用于所有云服务器。企业在使用云服务器时应仔细规划安全组的设置和信任关系,以确保在满足业务互通需求的同时实现有效隔离。

    虚拟私有云(Virtual Private Cloud,VPC)
          技术介绍:VPC是指CSP在公有资源池中为客户划分出的私有网络区域。与企业内部的物理网络类似,VPC在提供公网地址(IP)作为访问接口的同时,内部可自定义私有IP地址段,并可继续为VPC内部的云服务器建立安全组。
         客户收益:使用VPC时,企业在云上的网络架构与传统的物理网络基本一致,且同一租户的不同VPC之间也不能直接通信。企业也可以将内部或IDC的物理网络与VPC通过专线、VPN或GRE等直接连接以构建混合云业务。
         使用建议:VPC能为企业的云上资源提供网络隔离,防止其他租户嗅探或攻击;同时,由于设定的固定网段等限制,也将影响网络架构的弹性扩展。企业需要妥善规划和管理网络,设置路由策略和访问控制规则,并根据业务需求及时作出调整。

    微隔离(Microsegmentation)
         技术介绍:微隔离技术将网络划分成多个小的功能分区,对各功能区设置细致的访问控制策略,并可以根据需要通过软件随时进行调整。微隔离的实现主要基于网络(VLAN、VPN、SDN/NFV)或平台(如hypervisor、操作系统、容器等)的固有特性,或者通过防火墙等第三方设备以及主机客户端实现。
         客户收益:微隔离技术在网络分段和隔离的基础上增加虚拟化和自动化,实现了按应用和功能的业务逻辑对网络访问进行控制。由于网络访问规则与业务逻辑一致,攻击者能获得的攻击面较小,也难以利用系统漏洞进行渗透;同时,即使黑客突破防御边界,由于不同应用的业务逻辑不同,对一个区域的成功渗透也很难用作攻击其他区域或应用的跳板,黑客在内网渗透的难度将明显提高。
         使用建议:建议企业了解相关技术和产品的发展,保持关注。如果部署使用,微隔离形成的分区应具有类似的功能,在业务流程上尽可能一致;跨分区的网络通信必须符合策略设置,且被记录;安全事件发生后,可疑分区将被迅速隔离。另外,除了应该仔细规划各分区的组成和跨分区通信规则,还应该注意避免过度分区影响正常业务。

    软件定义边界(Software-Defined Perimeter ,SDP)
           技术介绍:SDP架构也称“黑云”,使企业对外隐藏内部的网络和应用,并使用策略控制对内部网络的接入和内部应用的访问,主要由SDP控制器和SDP主机组成。SDP控制器分析连接请求以及发起方和接收方的各种信息,基于设定的策略判断是否接受或发起连接;SDP主机控制数据通路,收集连接的相关信息,并根据SDP控制器的判断接受或发起连接。
          客户收益:随着各种云服务和移动设备的广泛使用,传统上用于划定安全区的网络边界越来越难以清晰定义;同时,黑客获得传统安全区内设备的控制权也变得容易和常见。通过严格控制对内部网络的接入和应用访问,SDP帮助企业有效隐藏信息并缩小攻击面。
          使用建议:随着用户来源和应用部署方式越来越多样,SDP的作用和好处将更为突出,企业的IT和安全人员应保持关注,并在条件允许的情况下开始试验性部署。

    云资源管理和监控
          技术介绍:云资源监控和管理平台(应用或服务)为企业呈现云服务器的CPU、内存、磁盘和网络等云资源的利用率,以及存储等各项云服务的负载和性能,对异常的消耗和中断等做出告警,并提供相关报表以供进一步分析,有些厂商还能提供优化建议,降低在云资源上的支出。
         客户收益:云资源监控和管理平台能够帮助企业监控云资源的使用情况,保障业务运行,并为企业优化云资源配置提供建议,提高云资源利用率并降低成本。
         使用建议:根据云上业务的重要程度,企业应尽量对云资源的使用进行专门的监控和管理,以保证业务的平稳运行。

     

    2.1.1.2 应用底层架构

           基于安全的云上硬件环境,企业在部署业务应用前,需要设计和搭建应用底层架构。与传统硬件环境相比,在云上搭建应用底层架构更便捷,也更灵活,并能利用新技术进一步提高可靠性和安全性。

    不可变基础设施(immutable infrastructure)
           技术介绍:不可变基础设施是指采用云计算(或虚拟化)构建系统的基础设施时,部件实例如服务器和容器等在正式上线时被设置为“只读”(read-only);如果需要对这些实例作出改动,只能使用新的实例替换旧的示例。由此,不可变基础设施通常与一次性部件(disposable component)同时存在。
          客户收益:不可变基础设施充分利用了云计算的优势,也只能在纯的云计算环境下使用,且要求系统的部署和运行高度自动化。采用不可变基础设施,除了简化系统运营并提高效率,也能显著提高系统的可靠性并在遇到故障时及时回滚;同时,由于不能对线上的系统部件进行任何改动,不可变基础设施也能够更好地抵御黑客的攻击和渗透。
          使用建议:不可变基础设施对运维部门有较高的技术要求,推荐有能力的企业进行试验性部署。

    容器安全
          技术介绍:容器技术能够实现对单个应用的标准封装,从而简化应用的分发和部署。容器安全主要包括两部分:部署系统的安全性包括对镜像文件(image)的扫描及验证和对仓库(repository)的识别和确认等;运行系统的安全性包括应用容器之间的隔离和容器中应用的权限控制。
         客户收益:容器安全技术的使用能够提高容器系统的可靠性,也能够强化应用系统的安全,促进企业基于云计算平台构建完整的基础设施。
         使用建议:企业在使用容器技术时应给予容器安全足够的重视,及时了解相关技术和产品的发展,并在有条件时部署。

     虚拟机备份
           技术介绍:虚拟机备份技术直接利用虚拟化平台提供的API对虚拟机(云服务器)镜像进行备份和恢复,而不依赖于主机上安装客户端软件。与传统的客户端备份软件相比,虚拟机备份技术不占用虚机本身的CPU和内存等资源,对虚拟机上运行的业务影响较小。
          客户收益:虚拟机备份技术用于保护和恢复重要业务的虚拟机及其中存储的企业数据,使业务系统在异常中断后能迅速恢复运行。与传统的应用、磁盘和数据备份技术相比,虚机备份技术更易于操作和管理,恢复业务应用的效率更高。
          使用建议:使用虚拟机备份技术将简化备份和恢复意外中断的业务,推荐企业在有条件时为承担关键业务和数据的虚拟机(云服务器)提供连续备份,制定业务连续性计划,并按要求进行演练。

     

    2.1.1.3 对外服务保障

           企业提供对外业务时,将面临各种网络攻击和黑客入侵。除了在应用的设计、开发和部署时严格执行相关的安全策略、标准和规则,企业还应该考虑采用专门的安全技术,加强对应用的保护。

    主机防护
           技术介绍:主机防护技术用于帮助企业加固云服务器主机系统软件,通常包括漏洞扫描、补丁管理、入侵检测和配置管理等等。通过及时发现并修补系统漏洞、实时检测和阻断可能的入侵、自动检查系统配置、提示存在的问题并给出建议等措施,主机防护技术能显著提高主机的安全性。
          客户收益:业务主机被黑客入侵大多是由于未能及时修补已经公开披露的系统漏洞,或在管理上过于松懈而缺少必要防范。主机防护技术可以有效提高运维效率,建立安全基线,并及时对攻击行为作出反应。
         使用建议:云主机防护能有效提高云服务器抵御黑客入侵的能力,企业提供对外业务的云服务器应注意采用。除了直接采用各CSP提供的主机防护产品,企业还需要谨慎评估可能存在的问题和威胁,在必要时加强相关防护。另一方面,使用主机防护技术和产品的同时,主机管理员仍然需要密切关注系统的状态和可能受到的入侵,以便及时反应,最大限度地降低损失。

    Web应用防火墙(Web Application Firewall,WAF)
            技术介绍:云WAF是指以云计算服务方式提供的WAF功能。WAF通常采用反向代理技术,通过检查和过滤HTTP/S流量的内容,保护指定Web应用,帮助网站抵御各种攻击,保证企业的业务和数据安全。除了防御SQL注入和XSS(cross-site scripting,跨站脚本)等常见的Web攻击(OWASP Top 10),有些云WAF还提供网页防篡改等功能。
           客户收益:为了入侵企业网站,黑客会不断寻找并利用Web应用中的实现漏洞和设计缺陷。WAF为企业网站提供一道外围防护,可以有效阻止黑客进行信息收集、攻击渗透、破坏业务和偷取数据,并能在事故发生后迅速恢复。与传统的WAF设备(包括虚拟设备)或软件相比,云WAF的部署更简单:企业管理员只需要在线填写网站域名等基本配置,而不用关注网络结构和部署位置等信息,即可迅速为网站提供保护。随着越来越多的企业网站部署到云服务器上,云WAF也获得了广泛的应用。
           使用建议:云WAF可以为企业网站提供基本的安全保障,特别是当网站部署在云服务器上时,应该尽量同时购买云WAF服务。另一方面,虽然在厂商提供的默认配置下云WAF能够帮助企业网站抵御常见的网络攻击,企业管理员还是应该根据网站的Web应用和系统业务等情况,认真优化云WAF的相关安全配置。

    云抗DDoS(Distributed Denial-of-Service)
            技术介绍:云抗DDoS是指以云服务方式提供对DDoS攻击的防护。除了基于特征识别算法拦阻攻击流量,云抗DDoS还普遍采用代换接入IP的方案:所有公网流量先接入厂商的资源池入口IP,经过清洗后再转发至企业网站服务器的真实IP。根据厂商资源池的配置,代换接入IP方案目前已能够抵御Tb/s级的DDoS攻击。
           客户收益:DDoS攻击是商业网站面临的一个主要威胁,云抗DDoS服务帮助企业有效地抵御攻击,保持站点稳定和业务正常运行。与传统抗DDoS设备相比,云抗DDoS部署更简单快捷,且可以按需采用,使用成本大大降低;同时,云抗DDoS能够处理的攻击流量也远大于传统抗DDoS设备。
          使用建议:如果用户对企业网站提供的业务有较高的可用性要求,或者企业面临较强的竞争,应考虑使用云抗DDoS服务。除了IaaS厂商提供的免费服务,企业购买云抗DDoS服务时需要平衡DDoS攻击可能造成的损失和云抗DDoS的成本。

     

    2.1.2 使用云服务(PaaS或SaaS)构建内部应用

            除了使用云上的虚拟硬件资源,越来越多的企业选择直接使用云应用替代本地应用软件或基于PaaS搭建内部应用。PaaS或SaaS服务模式下企业的安全责任范围较小,但由于是直接通过公共网络访问,且对应用软件、业务系统和基础设施都没有控制,企业需要利用新技术才能对用户和数据进行妥善保护和管理。

    云应用识别
            技术介绍:通过分析网络流量或防火墙和网络代理等的日志,能够识别用户所使用的各种云应用以及各应用可能存在的风险,帮助企业管理员充分认识存在的风险。云应用识别技术一般根据应用服务器地址、URL、HTTP请求参数和页面内容等特征判断所使用的云应用,同时根据应用是否接受信息提交、是否支持文件上传、提供商是否通过安全认证等等多种因素判定云应用的风险等级。
            客户收益:云应用大都是Web应用,而传统防火墙或Web安全网关(上网行为管理)等安全设备通常都只关注网络和连接,不能对应用层进行深入分析和控制。同时,云应用已经在企业中广泛使用,但企业管理员还无法知道具体的使用情况和存在的风险,也无法进行充分的控制,即存在“影子IT”(Shadow IT)。云应用识别和管理技术主要作为Web访问安全代理(Cloud Access Security Broker,CASB)的重要功能,或作为附加模块集成到防火墙或Web安全网关,能够帮助企业管理员获知云应用的使用情况,以加强对用户使用云应用的管理。
           使用建议:推荐企业关注具有云应用识别功能的产品。国内各个行业各种规模的企业中云应用的使用都已经非常普遍,但相关的安全问题还没有引起重视;尽管国内企业一般还没有使用云应用承载关键业务或用于处理核心数据,但由于员工已经在广泛使用各种云应用作为工具,很可能已经有不少企业遭受了损失但还未发觉。

    云应用管理
            技术介绍:对云应用的管理主要有两种实现方式:以代理方式充当用户与云应用通信的中间人或使用云应用提供的API。另外,除了简单的允许和阻止,对云应用的管理还包括对用户使用云应用时的环境、动作和对应用数据的操作等进行精确识别和管理。
           客户收益:在识别云应用的基础上,根据业务需求和使用云应用所存在的风险,企业所使用的云应用可分为四类而分别进行管理:a)允许使用业务必需且风险较小的云应用,进行一般管理;b) 允许业务必需但风险较大的应用,对用户行为和数据处理进行严格管控;c)允许非业务必需且风险 较小的应用,禁止有风险的操作;d)禁止非业务必需但风险较大的应用。
          使用建议:企业在逐渐使用云应用承载核心业务和数据时,应该密切关注云应用管理技术和产品的进展,及时部署。同时,在选择云应用管理产品时,应该仔细了解产品对企业所使用和关注的核心应用的支持情况。

     

    云防数据泄漏(DLP)
           技术介绍:通过查找和匹配数据特征和文件指纹,云DLP帮助企业查找云应用中的违规数据,防止用户将敏感的企业数据上传到不安全的云应用或使用不安全的终端访问云应用中的企业数据。根据不同粒度的策略配置,云DLP可以拦阻用户动作、及时告警,或者在必要时对数据进行加密等等处理。
          客户收益:云DLP在业务应用的执行逻辑之外从相对独立的数据维度加强了企业对数据的保护,帮助企业满足各种合规需求,防止企业的重要数据被泄漏或滥用。随着云应用在企业核心业务中的使用,云DLP的重要性在不断增强;同时,云DLP与企业本地部署的DLP集成能够显著提高数据识别和保护的效率,也有助于企业建立统一的数据保护机制。
          使用建议:如果员工已经在使用云应用,可能导致数据泄漏或滥用,企业在加强对云应用的管理的同时,应该考虑使用云DLP;如果企业已经使用云应用处理关键业务并承载重要数据,应尽早部署云DLP。

    云端数据加密
           技术介绍:云端数据加密技术是指数据在提交到云应用提供商之前进行加密处理,确保云应用提供商或其他第三方在直接获得企业的云端数据时无法识别和解读。除了使用标准算法(通常以AES为主)对文件(非结构化数据)进行加密,云端数据加密还会使用如令牌化(Tokenization)等多种其他算法对结构化数据进行处理以满足不同场景需求,如保留数据格式、搜索、索引等等。
          客户收益:云端数据加密主要用于帮助企业在不充分信任云应用提供商时使用其提供的云应用,打消企业在使用云应用时对数据安全的顾虑。同时,由于各种法律法规要求,特定数据被限定在企业内部使用和存储,如果企业对云应用的使用涉及这类数据,则必须对数据加密才能满足合规需求。
          使用建议:如果对云应用提供商保护企业数据的能力或意愿有怀疑,企业应该购买云端数据加密产品或服务,同时注意明确提供云应用提供商和云数据加密提供商对保护企业数据的义务和责任。另一方面,如果企业在使用云应用时有相关合规需求,则需要在确认云端数据加密方案满足要求后才能使用云应用。

     

    2.1.3 私有云

           在私有云环境下,企业内部的网络结构和应用在逻辑上并没有实质性的变动,但虚拟化的引入使底层硬件设备与软件应用分离。同时,SDN(Software Defined Network,软件定义网络)以及进一步的HCI(hyper-converged infrastructure,超融合基础设施)使私有云的底层硬件(基础设施)具有更大的灵活性。企业对私有云能够实现从物理硬件到业务数据的全部控制,因此也需要对各方面的安全负责。

           私有云的安全体系结构与传统IT类似,具体方案和措施可以参考微软发布的《A Solution for Private Cloud Security》系列文档。特别的,尽管安全应该与业务环境和流程紧密结合,但在传统IT架构下,由于历史原因安全常常被简化为各种由独立的设备提供特定的功能,而企业在迁移到私有云的过程中将有机会重新设计和构建整个安全体系。从私有云方案的初始设计阶段就考虑相关安全功能及实现,提高企业整体的安全能力和效率。

    私有云安全模型,微软《A Solution for Private Cloud Security》
              除了本章前述IaaS相关的安全技术可应用于私有云外,传统的网络安全相关的技术如防火墙和IPS等对于私有云的安全也非常必要。需要注意的是,私有云内部的流量发生在虚拟机之间,网络流量可能只限于在同一台物理服务器内部,跨物理服务器的网络流量也都使用相关隧道技术而与第三方隔离,独立的传统安全设备很难适应需求。另一方面,私有云内部的资源分配和网络构成经常发生变化,也要求安全功能相应快速变化:调整配置、改变功能、甚至重新部署。

    因此,与传统IT环境相比,私有云安全也相应“云化”:

    • 虚拟化:防火墙、IPS、各种安全网关等安全功能都以虚拟机方式提供。
    • 服务化:各种安全功能都作为服务提供,可以根据需要快速部署和回收。
    • 资源池:对各种安全功能和资源进行统一管理,可灵活分配,支持弹性扩充。

     

    2.2 安全即服务

    2.2.1 集成云服务解决业务中的安全挑战

             在软件开发中,通过调用各种库函数,工程师能够专注于实现核心业务,而不用去重复开发已经非常成熟的功能模块,更重要的是,不需要深入了解被调用函数的具体实现方式和相关专业知识。类似的,企业可以选择集成以云服务方式提供的安全功能和产品,解决业务中的各种安全挑战。

    内容过滤
           技术介绍:CSP将内容过滤功能通过网络提供给企业用户;企业用户使用指定网络接口地址提交可疑的文字、图片和视频等内容,并及时获得扫描结果,以识别可疑内容是否涉及暴恐、色情、政治或广告等,从而及时过滤、清理有害内容。
          客户收益:作为云服务的内容过滤一般由大型网站基于自身业务的需求和积累提供,在内容识别的性能和准确性上都高于企业自行搭建的检测系统。同时,通过网络接口调用具有很强的通用性,易于集成。
          使用建议:如果企业有面向公众的网站等平台,特别是如果允许自由提交文字、图片或视频等内容,应及时采用云内容过滤方案,既能提高过滤效率,也能有效降低对人工审核的需求,从而降低企业的运营风险。

    用户验证
           技术介绍:CSP 对企业开放API,基于网络提供用户验证服务;企业使用CSP提供的API将验证服务集成到业务流程中。在用户访问时,企业通过API提交用户的相关信息,CSP实时给出反馈,帮助企业确认用户的真实性和可信度。常见的用户验证服务包括验证码和登陆保护等。
           客户收益:随着网络环境的复杂化,简单的用户名和密码验证已经难以应对网络黑产对用户的威胁,而一般企业缺乏足够的技术积累和经验,必须借助专业厂商才能提供较好的保护。使用API通过网络调用的方式在操作上难度较小,易于集成和应用。
           使用建议:如果企业开发或提供的业务带有相应的用户模块,且提供公开访问入口,应当考虑集成第三方提供的用户保护服务,降低用户风险。

    反行为欺诈
          技术介绍:CSP基于网络提供用户行为审核服务,并对企业开放API;企业使用CSP提供的API将用户行为审核集成到业务流程中。在用户提交业务请求时,企业根据审核结果对用户的当前请求作出回应,并可以根据审核提供的信息和用户的历史行为决定是否进行封禁用户账号等操作。
          客户收益:基于互联网开展的业务难以实现传统的审核和风险控制,基于行为欺诈的各种黑色和灰色产业已经形成了很大规模,一般企业很难凭借自身能力应对。以云服务方式提供的反行为欺诈服务能够帮助企业有效减少损失,提高运营效率。常见的反行为欺诈应用包括反刷单、防范羊毛党、骗贷等。
           使用建议:企业基于网络提供业务时应该密切注意对欺诈行为的防范。如果有电商相关业务,应考虑使用市场上已有的反行为欺诈产品;同时,保持对其他反行为欺诈技术和市场的关注,及时跟进。

    用户身份识别和管理(Identity-as-a-Service,IDaaS)
           技术介绍:IDaaS也即IAM(Identity and Access Management,身份和访问管理)-as-a-Service,是指以云服务的方式提供对用户身份的管理,并与不同应用集成以管理用户的登录和访问,通常也支持单点登录(Single Sign-on,SSO)。在技术实现上,OAuth 2.0和OIDC(OpenID Connect)逐渐成为主流标准,部分应用还支持SAML(Security Assertion Markup Language,安全声明标记语言)2.0或MS-Federation。
           客户收益:随着企业内部应用越来越多,对用户身份的管理和登录控制成为迫切的需求;同时,传统IAM方案往往局限于特定的企业内网环境,难以同时支持传统内网应用和新兴的SaaS应用,也不能适应用户使用多种终端特别是移动客户端的场景。IDaaS能够提供一个开放的应用框架,帮助企业管理各种不同应用,并支持移动终端。
           使用建议:企业选用SaaS应用时应注意了解对OIDC或SAML集成的支持情况和计划,并在有SSO需求时考虑采用IDaaS产品,并注意IDaaS产品对企业内其他应用的支持情况。

    密钥管理(KMaaS,Key Management-as-a-Service)
           技术介绍:CSP为企业生成主密钥并代为存储和保存,企业在任何情况下都不能直接获得主密钥,而只能通过CSP提供的API使用密钥ID进行加解密处理:加密时,企业调用CSP提供的API并提供主密钥ID和数据明文,CSP返回密文;解密时,企业提供主密钥ID和数据密文,CSP返回明文。
           客户收益: 密钥管理是加解密机制的核心,以云服务方式提供的密钥管理可以帮助企业避免复杂的密钥管理流程和高昂的使用及维护成本,并能够提供详细的密钥使用记录以便于审计。通常CSP只支持对少量数据(<4KB)进行加解密,如果企业需要对大量数据进行加密,需要先在本地对数据加密或解密,然后用主密钥对用于本地数据加密的密钥进行保护。
           使用建议:随着企业对数据安全性的要求提高,特别是HTTPS的推广,需要对数据进行加解密的场景越来越多。企业应该考虑采用密钥管理服务,以便简化管理机制并加强对密钥的保护。

    内容威胁扫描
           技术介绍:本地设备将可疑内容(IP、域名、URL、字段、文件等)上传到云端进行实时检测,如果云端的返回结果确认内容有害,本地设备将进行阻断、隔离或发出告警。云端的内容分析引擎支持海量的样本库,通常还部署有覆盖多种运行环境的沙箱系统,能够识别未知威胁,并在发现有害内容后将相关情报进行网络共享。
           客户收益:基于云的内容威胁扫描服务可集成于防火墙、IPS和网关等各种传统安全设备,用于URL过滤、防病毒、反恶意软件等。也有部分厂商提供独立的Web站点供用户提交可疑内容,并提供分析报告,以便用户了解可能存在的各种威胁。
           使用建议:云内容检测能够有效抵御未知威胁,企业应该考虑购买和部署。需要注意的是,用户数据或文件可能被作为可疑内容发送给CSP而引起违规。另外,不同产品的内容检测能力和效率会有不同,特别是云沙箱能模拟的运行环境和支持的文件类型可能会有较大差别,应注意实际测试和评估。

     

    2.2.2 使用云服务替代传统安全设备和方案

             由于缺乏足够的资源且专业技能不足,安全设备的部署、管理和维护一直是企业IT工作中的难点。在设备管理和服务外包的基础上,代替传统安全设备和方案的云服务技术和产品(“云化”)真正将企业管理员从繁琐的日常维护中解放了出来,从而能够真正专注于核心的安全管理。

    Web安全网关
            技术介绍:云Web安全网关不使用本地设备,而是通过用户端的代理设置或在企业网络出口建立IPsec VPN或GRE隧道,将用户的Web流量导引到云端服务器进行策略控制和安全过滤,提供URL过滤、内容过滤、Web应用管理、反恶意代码等功能。
           客户收益:云Web应用网关可用于管理用户的上网行为、提供内容安全和阻止黑客攻击等。除了与传统Web安全网关的功能一致,云Web应用网关的部署和使用更简单,并能够在用户未接入企业内网或使用移动设备时提供一致的保护。
           使用建议:与Web安全网关设备相比,云Web安全网关在概念上有明显的优势,但不同企业的产品通常有较大的差别,企业在选用时应该谨慎评估,确认能够满足需求再进行购买和部署。

    安全信息和事件管理(Security Information and Event Management,SIEM)
            技术介绍:通过客户端收集企业本地设备的日志等数据,云SIEM在云端对日志进行汇总和分析。除了保存日志以满足合规等需求,云SIEM通常还能够实时侦测恶意攻击和数据泄漏,及时发出预警。
           客户收益:与传统SIEM产品相比,云SIEM部署简单,对管理和维护的要求较低。随着各种云服务特别是云服务器和网络等基础设施的广泛应用,云SIEM能够帮助企业有效简化日志汇总和分析。
           使用建议:如果企业准备采购和部署SIEM产品,特别是各个日志源比较分散时,可以考虑云SIEM产品。另外,云SIEM的部署和使用比较简单,但功能可能不如本地部署的SIEM产品丰富,且可能占用较大网络带宽。

    灾备(DRaaS,Disaster Recovery-as-a-Service)
            技术介绍:企业将业务系统的应用和数据在云中建立备份,当遭遇人为事故或自然灾害而中断服务时,业务将切换到云中的备份系统继续运行。企业的业务系统可以基于物理硬件或虚拟化平台搭建,也可以位于公有云环境;备份系统由云灾备厂商负责管理和维护,按使用收费。
            客户收益:云灾备使企业能够快速部署业务连续性计划,免于构建和维护灾备设施,也可以相应减少对人员的管理和培训。除了显著的成本优势,云灾备能够根据企业需要随时调整甚至迁移。
           使用建议:企业选择云灾备方案时需要仔细审核,确认供应商相关资质和能力、能够保证业务稳定,并仔细了解和确认服务等级协议(SLA)中的各项指标,并按严格按照灾备计划进行演练。

     

    2.3 国内外云安全技术和市场对比

    按个人的经验和认识,目前国内云安全技术和市场有一些特点:

    • IaaS应用相关的基础安全技术和产品已经逐渐成熟和稳定
    • 安全相关的云服务已经被广泛集成,用于解决具体的业务问题
    • 关于企业基础应用相关的安全,市场成熟度落后于技术
    • 虽然国外SaaS应用相关的安全技术已经比较成熟,目前国内则还基本空白
    • “云化”传统安全设备在国外已经逐渐进入主流市场,技术成熟,国内市场目前还刚刚起步,究其原因,除了国内技术和市场相对于欧美总体较为落后之外,还应该注意到国内外企业在IT架构上的不同所产生的影响:
    • 以美国为代表的国外市场中,企业的传统IT架构比较成熟,有比较完整的安全防护体系;发展的时间久,云相关的概念、技术和产品比较成熟——条理清楚,接受度很高。
    • 国内企业的IT和安全架构往往都不成体系,观念和意识目前还比较旧,但也没有传统IT和安全体系作为包袱。在IaaS厂商的倡导和政府的推动下,上云相对激进。
    • 另外,值得注意的是,国外的安全相关技术和产品以专业安全厂商为主导,国内以云服务商特别是主要IaaS厂商为主导;进一步的,除了华为,国内的主要云服务商大都来自互联网相关行业。这也从侧面反映出国内不同行业与国外的差距,以及随着云计算技术和应用的进一步发展和渗透,互联网相关企业未来可能对安全等其他行业产生的冲击。

    2.4 云计算有哪些特点、云安全技术有哪些特点、云安全包含哪些问题?

    2.4.1、云计算有哪些特点?

    云计算具有以下特点:

    (1)虚拟化。云计算支持用户在任意位置、使用各种终端获取应用服务。

    (2)规模化整合。云里的资源非常庞大,在一个企业云可以有几十万甚至上百万台服务器,在一个小型的私有云中也可拥有几百台甚至上千台服务器。

    (3)高可靠性。云计算使用了多副本容错技术、计算节点同构可互换等措施来保障服务的高可靠性,使用云计算比使用本地计算机可靠。

     

     

    2.4.2、云安全技术有哪些特点?

          云安全技术关键在于首先理解客户及其需求,并设计针对这些需求的解决方案,例如全磁盘或基于文件的加密、客户密钥管理、入侵检测/防御、安全信息和事件管理(SIEM)、日志分析、双重模式身份验证、物理隔离等等。

         云安全从性质上可以分为两大类,一类是用户的数据隐私保护,另一类是针对传统互联网和硬件设备的安全。

         在云安全技术方面,首先是多租户带来的安全问题。不同用户之间相互隔离,避免相互影响。云时代,需要通过一些技术防治用户有意或无意识地"串门"。

         其次,采用第三方平台带来的安全风险问题。提供云服务的厂商不是全部拥有自己的数据中心,一旦租用第三方的云平台,那么这里面就存在服务提供商管理人员权限的问题。

    2.4.3、云安全包含哪些方面?

    1、用户身份安全问题

    云计算通过网络提供弹性可变的IT服务,用户需要登录到云端来使用应用与服务,系统需要确保使用者身份的合法性,才能为其提供服务。如果非法用户取得了用户身份,则会危及合法用户的数据和业务。

     

    2、共享业务安全问题

    云计算的底层架构(IaaS和PaaS层)是通过虚拟化技术实现资源共享调用,优点是资源利用率高的优点,但是共享会引入新的安全问题,一方面需要保证用户资源间的隔离,另一方面需要面向虚拟机、虚拟交换机、虚拟存储等虚拟对象的安全保护策略,这与传统的硬件上的安全策略完全不同。

    3、用户数据安全问题

    数据的安全性是用户最为关注的问题,广义的数据不仅包括客户的业务数据,还包括用户的应用程序和用户的整个业务系统。数据安全问题包括数据丢失、泄漏、篡改等。传统的IT架构中,数据是离用户很“近”的,数据离用户越“近”则越安全。而云计算架构下数据常常存储在离用户很“远”的数据中心中,需要对数据采用有效的保护措施,如多份拷贝,数据存储加密,以确保数据的安全。

     

    3. 相关法规、标准和认证

           目前已经有若干法规对云服务的提供商和使用者提出了安全要求,相关政府机构、标准组织和业界团体也制定了多项云安全技术标准,并有多项针对云服务产品和解决方案提供商的认证。

    3.1 云等保,GA/T 1390.2-2017

    《网络安全法》规定,“国家实行网络安全等级保护制度”。
    为了适应和规范云计算相关技术和应用的发展,公安部在2017年5月8日正式发布GA/T 1390.2-2017《信息安全技术网络安全等级保护基本要求第2 部分:云计算安全扩展要求》,规定了不同等级云计算系统的安全要求,适用于指导分等级的非涉密云计算系统的安全建设和监督管理,并在附录C中明确了不同服务模式下云服务方和云租户的安全管理责任主体。

    云等保

    3.2 GB/T 31167-2014《信息安全技术云计算服务安全指南》

           本标准面向政府部门,提出了使用云计算服务时的信息安全管理和技术要求,适用于政府部门采购和使用云计算服务,也可供重点行业和其他企事业单位参考。本标准描述了云计算服务可能面临的主要安全风险,提出了政府部门采用云计算服务的安全管理基本要求,及云计算服务的生命周期各阶段的安全管理和技术要求,为政府部门采用云计算服务,特别是采用社会化的云计算服务提供全生命周期的安全指导。

    3.3 GB/T 31168-2014《信息安全技术云计算服务安全能力要求》

           本标准面向云服务商,提出了为政府部门提供服务时应该具备的信息安全能力要求。标准描述了以社会化方式为特定客户提供云计算服务时云服务商应具备的安全技术能力,适用于对政府部门使用的云计算服务进行安全管理,也可供重点行业和其他企事业单位使用云计算服务时参考,还适用于指导云服务商建设安全的云计算平台和提供安全的云计算服务。

    本标准分一般要求和增强要求。根据云计算平台上的信息敏感度和业务重要性的不同,云服务商应具备的安全能力也各不相同。

    3.4 国家标准《信息安全技术 云计算安全参考架构》(征求意见稿)

         与NIST《云计算安全参考架构(草案)》类似,本标准将规范云计算安全参考架构,包括云计算角色、安全职责、安全功能组件以及它们之间的关系。

    云计算安全参考架构

    3.5 国家标准《信息安全技术 云计算服务安全能力评估方法》(征求意见稿)

          本标准将给出依据GB/T 31168-2014《信息安全技术云计算服务安全能力要求》,开展评估的原则、实施过程以及针对各项具体安全要求进行评估的方法。标准适用于第三方评估机构对云服务商提供云计算服务时具备的安全能力进行评估,和对政府部门使用的云计算服务进行安全管理,并可供云服务商在对自身云计算服务安全能力进行自评估、重点行业和其他企事业单位使用云计算服务等参考。

    3.6 ISO/IEC 27001信息安全管理体系和认证

          ISO/IEC 27001是全球最受认可的信息安全管理系统(Information Security Management System,ISMS)规范,详述了建立、实施、维护和持续改进信息安全管理系统的各种需求。通过经过整体规划的系统化信息安全管理体系,ISO/IEC 27001从预防控制的角度出发,保障信息系统与业务的安全和正常运作,并规定了为适应不同组织或其部门需要所制定的安全控制措施的实施要求。

          通过ISO/IEC 27001认证,表明企业(或其他各种类型和规模的组织)遵守了各种信息安全最佳实践,对数据的保护通过了独立的专家评审。

    3.7 ISO/IEC 27000 系列标准

          ISO/IEC 27000系列标准包含了ISO(International Organization for Standardization,国际标准组织)和IEC(International Electrotechnical Commission,国际电工委员会)联合制定的系列信息安全标准。这些标准提供了在信息安全管理系统(ISMS)体系下通过各种控制措施对信息风险进行管理的最佳实践,其具体范围不局限于隐私、保密性和IT/技术/网络安全问题等。目前,其中有三个标准专门针对云服务:

           ISO/IEC 27017《基于ISO/IEC 27002的云服务信息安全控制的实施规程》
    在ISO/IEC 27002的基础上,本标准为云服务提供商和使用者提供各种信息安全相关控制的实施指南,具体包括ISO/IEC27002中列出的相关控制和与云服务相关的其他控制

           ISO/IEC 27018《公有云作为个人可识别信息(PII)处理器时个人身份信息保护的实施规程》
    为了与ISO/IEC 29100中的隐私原则一致,本标准基于ISO/IEC 27002,为公有云计算环境建立了通用的控制目标、控制和保护PII的实施指南,并涵盖为保护PII而可能对公有云服务提供商的监管需求。

           ISO/IEC 27036-4《供应商关系的信息安全-第4部分:云服务的安全指南》
    本标准定义了在使用云服务时实施信息安全管理的指南,具体而言,为云服务使用者和云服务提供商提供以下方面的指导:

         获知与使用云服务相关的信息安全风险并有效管理那些风险
         对获得和提供云服务的风险做出反应
    注意:ISO/IEC 27036-4不包括与云服务相关的业务连续性管理/复原问题,也不对云服务提供商应该如何实施、管理和运营信息安全提供指导。

    3.8 CSA-STAR

          CSA STAR认证是在ISO/IEC 27001的基础上针对云服务特有问题的加强认证,用以表明CSP能够很好地处理安全相关问题。CSA STAR认证由CSA和BSI联合开发,以CSA提出的云控制矩阵(Cloud Control Matrix,CCM)为审核的准则,涵盖法令法规、风险管理、设施齐全、人力资源、信息安全、营运管理、发布管理、安全架构等16个控制区域。CSA认证官为CSP在每个控制区域的能力成熟度分别打分,然后根据最终的平均分决定CSP的等级为金、银或铜。

    3.9 C-STAR云安全评估

          C-STAR是在CSA开放认证框架(Open Certification Framework,OCF)下,由第三方机构确认云服务提供商满足CSA CCM要求的一种认证,主要用于大中华地区,由赛宝认证中心与CSA大中华区(CSA-GCR)合作开展。C-STAR 云安全评估主要参考GB/T 22080-2008管理体系标准及CSA CCM要求,以及选自中国国家标准GB/T 22239-2008《信息安全技术—信息系统安全等级保护基本要求》和GB/Z 28828-2012《信息安全技术—公共及商用服务信息系统个人信息保护指南》的29个相关控制措施,进行评价。

    3.10 CS-CMMI云安全能力成熟度模型集成

           根据官方说明,CS-CMMI“由CSA大中华区、亚太区与全球共同开发和研制的,在ISO / IEC21827 : 2002 《信息技术系统安全工程能力成熟度模型》的基础上,把《CSA CSTR云计算安全技术标准要求》(草案)和《CSA CCM 云安全控制矩阵》的技术能力成熟度模型,集成到治理一个框架中去,形成云安全能力成熟度评估模型。作为云安全能力成熟度评估的依据,为客户选择云安全服务组织提供参考,也可供云安全服务组织改善和提高云安全服务能力提供指引。指南考虑了云计算系统安全威胁与脆弱性分析能力、云安全解决方案设计能力、云计算系统测试和验证能力、云计算系统运维和应急响应能力、云计算系统安全工程过程能力等云安全技术服务能力要求,并根据不同的能力要求,由低到高分为1到5级。”

     

    3.11 可信云服务

          可信云服务(TRUCS)认证由数据中心联盟和云计算发展与政策论坛联合组织、面向云服务提供商提供的自愿认证。可信云服务认证从数据安全、服务质量、服务性能、运维管理和权益保障等多维度评估云服务商的技术指标和水平,涵盖云服务商需要向用户承诺或告知的绝大多数问题,为用户选择安全、可信的云服务商提供参考。

    3.12 其他资料

         除了前面提到的相关法规和标准文档,推荐读者进一步阅读以下资料:

         NIST,NIST Cloud Computing Security Reference Architecture-Draft
         https://csrc.nist.gov/publications/detail/sp/500-299/draft
          NCC-SRA(NIST Cloud Computing Security Reference Architecture,NIST云计算安全参考架构)为NIST SP 500-292 《NIST 云计算参考模型》增加一个安全层,定义了一个以安全为中心的架构模型,指出保护云计算环境、运行和数据的核心安全组件,说明在不同部署和服务模式下各方职责范围内的核心安全组件,并为分析所收集和汇聚的数据提供了一些方法。

          CSA,Cloud Control Matrix
          https://cloudsecurityalliance.org/download/cloud-controls-matrix-v3-0-1/
          CSA CCM(Cloud Control Matrix,云控制矩阵)提供了评估云提供商整体安全风险的基本安全准则。通过对其他行业标准和监管要求的定制,CSA CCM 在16个安全域内构建了统一的控制框架,通过减少云中的安全威胁和弱点加强现有的信息安全控制环境,提供标准化的安全和运营风险管理,并寻求将安全期望、云分类和术语体系,以及云中实施的安全措施等标准化。

           CSA,Security Guidance for Critical Areas of Focus in Cloud Computing
           https://cloudsecurityalliance.org/download/security-guidance-v4/
           CSA发布的《云计算关键区域安全指南》为管理和应对云计算技术相关的风险提供指导和启发,自2009年以来一直被广泛视作云安全的权威指南。2017年7月发布的最新版在介绍了云计算相关的主要概念和架构后,强调了治理和运营中共13个领域的重点区域,以解决云环境中策略和实施两方面的安全“痛点”。

           Microsoft,Shared Responsibilities for Cloud Computing
          https://gallery.technet.microsoft.com/Shared-Responsibilities-81d0ff91
          https://www.trustcenter.cn/file/云计算中的共担责任.pdf
          微软的这份白皮书解释了CSP和客户在合作中各自的角色和责任,以及在选择不同云服务模式(IaaS、PaaS或SaaS)时需要关注的责任分配和合规需求。

           Microsoft,A Solution for Private Cloud Security
    https://social.technet.microsoft.com/wiki/contents/articles/6642.a-solution-for-private-cloud-security.aspx

           CSA大中华区,《云计算安全技术要求》
           http://www.c-csa.org/forum.php?mod=viewthread&tid=15
          本系列标准由CSA大中华区组织国内相关单位编写,由《总则》、《IaaS安全技术要求》、《PaaS安全技术要求》和《SaaS安全技术要求》四部分组成,“适用于云服务开发者在设计开发云计算产品和解决方案时使用,也可供云服务商选择云计算产品和解决方案时参考,还可为云服务客户选择云服务时判断云服务提供商提供的安全能力是否满足自身业务安全需求提供参考”。

          相关链接:云安全相关技术介绍(六)

    展开全文
  • 车联网网络安全技术研究

    千次阅读 2022-01-20 20:50:29
    文章从车端安全、通信安全、平台安全以及移动应用安全等角度,梳理了车联网安全的技术要求,并总结了当前汽车网络安全领域的最新研究成果,为今后的车联网安全研究提供基础。 前言 作为智能交通系统快速发展...

    本文由宁玉桥,赵浩,霍全瑞,于明明联合创作

    摘要

    车联网近几年的迅速发展,在推进汽车向网联化、智能化发展的同时,也带来了一定的网络安全风险。为了提高汽车的网络安全防护水平,针对汽车联网部件、云平台等的防护技术成为汽车领域的研究热点。文章从车端安全、通信安全、平台安全以及移动应用安全等角度,梳理了车联网安全的技术要求,并总结了当前汽车网络安全领域的最新研究成果,为今后的车联网安全研究提供基础。

    前言

    作为智能交通系统快速发展阶段必要的智能管理技术和应用,车联网融合了新一代信息通信技术,以行驶中的车辆为信息感知对象,综合应用了智能传感器、无线通信、分布式数据库、信息处理与互联网等技术,实现了车内、车与人、车与车、车与路、车与服务平台的全方位网络连接。车联网的信息传输网络结构主要可划分三层,由低到高分别为感知层、传输层和应用层。

    车联网感知层是车联网的神经末梢。车辆通过智能传感器、定位技术等对车辆周围环境和自身在交通环境中的状况进行感知,并实时采集车辆驾驶环境信息、位置信息、车内控制系统信息、车辆外部周边道路环境信息与其他车辆、行人等信息,为车联网提供全面的实时终端信息。

    车联网传输层是感知层和应用层的桥梁。传输层通过整合感知层的各类异构数据,并建立可靠的信息传送通道,为应用层提供信息传输服务,实现网络各元素间的信息交互。与物联网不同的是,车联网的感知实体具有高速移动的特征,并且往往涉及到与用户实体相关的信息服务,使其面临的网络结构和共享环境更加复杂。因此,车联网传输层需要提供可靠安全的信息传输机制以及扩展性强的异构互通的基础设施和应用,从而实现车联网信息安全高效的传输。

    车联网应用层是促进车联网技术不断发展和创新的动力。应用层主要为智能交通系统以及用户提供各种不同的应用来满足现代交通的需求,包括智能交通规划与管理、车辆安全监控、交通事故预警、协同防驾驶碰撞等。随着用户需求的提高与车辆内部装置和技术的升级,应用层还可为车联网提供更多个性化的服务实现。

    以上述车联网网络层次划分为基础,可根据防护对象将车联网网络安全分为智能汽车车端安全、通信安全、车联网服务平台安全、移动应用安全等几个部分。

    图 1 车联网网络结构层次划分

    1 智能汽车车端安全

    图 2 智能汽车车端安全

    智能汽车车端安全是车联网安全的核心内容,针对车端网络安全防护,可采用关键组件系统加固技术、传感器安全防护技术、CAN 总线加密认证技术、车载入侵检测技术、OTA 安全升级技术、IVI 漏洞分析技术等,以实现全面的车端安全防护。

    1.1 关键组件系统加固

    智能汽车车端的关键部件,通常既可以与车内的网络进行通信,获取车内网络数据,同时也可以与外界进行通信,将这些信息传输出来。如果这些关键部件的系统被攻击,数据信息被窃取的风险会显著提高,因此需要对关键部件的系统进行加固。

    针对智能汽车车端关键部件所面临的安全风险, 通常采取安全启动技术,在设备启动的各个阶段对启动过程进行安全校验。如采取进程白名单技术,对系统中运行的程序进行检测。J. Wang 等人提出了一种动态可扩展的椭圆曲线密码系统,适合车载嵌入式设备中的应用。

    1.2 传感器安全防护

    针对感知层的防护可从两个角度出发。一是从代码层的角度,通过优化传感器数据处理方法,借助一致性判断、异常数据识别、数据融合等技术不断提高自动驾驶系统感知层的鲁棒性。另一方面是从传感器本体入手,通过布置冗余的传感器提高感知系统的稳定性,并针对不同的传感器进行专门的安全防护,如针对摄像头的强光攻击,可通过优化镜头材料等方式进行防护;针对无线电中继攻击,可采取信号实时性验证,通信设备认证等方式实现中继设备的识别;针对信号干扰攻击,可采用匹配滤波器进行高斯噪声信号的过滤等方式进行安全防护。

    针对具有多个传感器测量同一物理变量的车辆系统,其部分传感器可能遭受恶意攻击导致系统无法正常工作的攻击场景,R. Wang 等人设计了一种弹性传感器攻击检测算法。该算法在系统中增加了一个虚拟传感器,并为每个传感器建立故障模型,利用传感器之间的对偶不一致来检测攻击;同时为了提高瞬时故障存在时的检测率,还考虑了系统动态模型,并将历史测量数据纳入检测算法中。针对基于卫星导航系统(Global Navigation Satellite System, GNSS)的位置感知易遭受欺骗攻击的特性,N. Souli 等人提出了一种位置验证解决方案,使用车载传感器读数(如加速度计等)和机会信号作为位置信息的替代来源以防止被欺骗。针对自动驾驶和智能交通系统中的协同移动性跟踪问题,W. Pi 等人提出了一种恶意用户检测框架,该框架包括两种顺序检测算法和一种安全的移动数据交换融合模型,用于检测虚假移动性信息,并将提出的检测算法与以往的数据融合算法进行了整合。

    1.3 CAN 总线加密认证

    随着智能网联汽车的迅速发展,车内总线网络逐渐接入互联网,车内网络开始通过各种各样的通信方式与外界进行信息交互。CAN 总线设计之初并没有加入安全机制,这导致现阶段车内总线网络安全容易暴露在互联网环境下,黑客可以轻松监听总线报文信息,从而逆向破解总线协议,实施恶意攻击。

    针对 CAN 总线的安全风险,Lenard 等人提出了一种混合不同消息签名的方法 MixCAN,同时可以减少 CAN 通信的开销。H.J.Jo 等人提出了一种新的身份验证协议 MAuth-CAN,该协议可防止伪装攻击,且可兼容现有 CAN 控制器。L.Xiao 等人提出了一种 CAN 总线认证框架,利用报文的物理层特征, 基于报文到达时间间隔和信号电压等,利用强化学习来选择认证模式和参数,并提出了利用深度学习进一步提高 CAN 总线认证效率的方法。

    1.4 车载入侵检测

    车载入侵检测(Intrusion Detection and Preven- tion System, IDPS)技术主要通过对车端的通信数据包进行识别与过滤进行防护,一般支持通过在线升级或离线升级方式,实现对特征库、规则文件和状态机模型的升级,增强引擎的防护能力。通过使用车载IDPS 技术,并采用多重检测技术和多种防御手段,可实现对车内网络流量的实时深度检测。

    车载IDPS 技术的核心在于如何准确识别异常通信数据包。M. Sami 等人提出了一种基于监督学习深度神经网络架构的异常检测算法,可对抗三种关键攻击类别:拒绝服务,模糊攻击和假冒攻击。T. Yu 等人提出了基于网络拓扑结构验证的入侵检测方法以提高 CAN-FD 网络的安全性,其通过构建基于随机游走的网络拓扑结构和后续验证,可以识别出接入车内 CAN 网络的外部入侵设备。Z. Khan 等人提出了一种基于长短期记忆神经网络模型的重放攻击和幅移攻击检测模型。S. C. Kalkan 等人提出了一种基于机器学习的入侵检测系统来保证 CAN 总线安全,并表明基于决策树的集成学习模型在测试中表现出最佳性能。J. Sunny 等人提出了一种基于重复报文和报文间隔时间的 CAN 总线混合异常检测系统。

    1.5 OTA 安全升级技术

    为保障 OTA 系统的安全性,做到端到端的安全可信,在 OTA 升级的过程中应采用安全的升级机制, 可通过数字签名和认证机制确保升级包的完整性和合法性,或通过通信加密保证整个通信包的传输安全。通过在固件提供方平台、T-Box、ECU 上集成安全组件和安全服务系统,使 OTA 升级过程中的每个参与方都具备安全通信的能力,可确保 OTA 升级的安全性。同时车端应具备固件回滚机制,以保证升级失败时设备也可恢复到升级前状态。

    H Kexun 等人提出了智能网联汽车 OTA 升级安全的全方位防护策略,并提出了基于专业暗室的综合测试评估方法。N. S. Mtetwa 等人提出了一种基于区块链的固件更新机制,以增强 LoRaWAN 中的固件更新以及管理更新过程,该机制旨在确保固件的真实性、完整性。S. Mahmood 等人提出了一种基于模型的安全测试方法来评估汽车 OTA 更新系统的安全性,包含了集成测试平台和以攻击树作为输入来自动生成执行测试用例的软件工具。

    1.6 IVI 漏洞分析技术

    车载信息娱乐系统(In Vehicle Infotainment system, IVI system)采用车载专用中央处理器,基于车身总线系统和互联网服务形成。IVI 系统基于嵌入式操作系统或移动操作系统架构,暴露的攻击面比其他车载部件更广。IVI 系统的攻击风险可分为以下三种:一是系统本身存在的内核漏洞,例如 WinCE、Linux、Android 等均出现过内核漏洞;二是被攻击者安装恶意应用的风险;三是第三方应用可能存在安全漏洞。此外,IVI 系统的底层可信引导程序、系统层证书签名、PKI 证书框架等也可能存在攻击风险。针对 IVI 系统可能存在的安全风险,A. Moiz  等人研究了车载应用程序的攻击面,并提供了一种静态分析方法和检测数据泄漏漏洞的工具,该方法还可以给出降低 IVI 系统安全风险的建议。

    2 通信安全防护

    智能汽车内部以及和外界的数据通信构成了车联网的基础,包含了车内通信、车云通信以及车与车、人、路的通信等,各场景下的通信安全防护共同构成了车联网安全的重要保障。

    图 3 通信安全防护

    2.1 车内通信安全防护

    车内通信主要通过 CAN 总线方式传输信息。CAN 总线传输协议由于设计问题存在一定安全隐患,如无校验的点到线传播方式,未做加密的通讯报文明文传输,无合法性校验报文来源等。针对车内通讯存在的安全问题,可以采取的防护措施具体包括:一是通过软、硬件集成方式将 ECU 的 CAN 收发器进行加密传输,可有效保障通讯数据的机密性;二是通过采用ECU 物理隔离的方式将重要域与信息娱乐域做物理隔离,保障重要信息的真实性;三是在 OBD 或网关处加装防火墙,设置黑白名单机制,防止泛洪攻击, 保障数据的有效性。

    G.Xie 等人针对非独立的车载 CAN-FD 报文提出了一种名为前向-后向探索的安全增强技术,同时保证每个报文的实时性,实验结果表明了该方法的有效性。G. Costantino 等人提出了一种新的入侵防御系统(EARNEST),旨在防止攻击者在车内网络的不同分区间发送恶意 CAN 帧,该算法能够防止重放攻击和模糊攻击。G.D’Angelo 等人提供了两种算法来实现数据驱动的异常检测系统,其中第一种算法(聚类学习算法)用于学习在 CAN 总线上传递的消息的行为,以达到基线化的目的,而第二种算法(数据驱动的异常检测算法)用于对此类消息合法或非法执行实时分类,以便在存在恶意使用时提前发出警报。

    2.2 车云通信安全防护

    智能汽车和企业的云服务平台通信是所有信息服务的基础。保障车辆云端身份正确识别,鉴别每条控制指令的合法性、保障网络中传输数据指令的隐私性等安全问题都是保障车辆联网功能安全和可靠部署的必要前提条件。面对车云通信所需的安全防护需求,目前主要通过使用 PKI 体系进行安全防护。具体措施包括在服务器端部署 SSL 证书来实现传输通道加密,确保机密数据传输安全,同时在服务器上用证书加密存储机密数据;代码(包括 PC 代码和移动APP 代码)使用数字签名来保证真实性,防止代码被恶意篡改;各联网设备安装可信计算证书,用于证明可信身份和加密通信数据。

    Song 等人提出了一种基于安全椭圆曲线的车辆身份安全认证方案,将该方案与相关方法进行比较和分析,结果表明该方案具有较高的认证准确率,对车联网环境下的高速移动网络环境具有较好的适应性。H. Vasudev 等人设计了一种在车联网场景中使用密码操作的轻量级互认证协议,使得设备和服务器能够建立可用于安全通信的密钥,同时最小化与该过程相关联的计算开销,结果表明该协议的性能优于现有系统。J. Zhang 等人提出了一种多对多身份验证和密钥协商方案,可用于车辆和云服务提供商之间的安全认证,与其他相关方案相比,该方案具有更好的安全性,而且大大减少了计算和通信开销。

    2.3 车-车、车-路、车-人通信安全防护

    智能汽车通过 LTE-V2X 等技术与临近车辆和路基设施进行数据交换,通过 WiFi、蓝牙等无线技术与用户的移动智能终端进行通信。C.Wang 等人提出了一种基于随机几何的蜂窝-V2V 异构物理层安全系统模型,结果表明,该系统模型可以显著提高车辆网络通信的安全性。A. K. Sutrala 等人利用椭圆曲线密码技术设计了一种应用于车联网环境的基于条件隐私保护的批量验证认证机制,在此机制下车辆可以对其附近车辆进行认证,同时路侧单元也可以对其附近车辆进行批量认证,与相关方案相比,该方案具有更好的安全性和功能性。Z. Tian 等人假设部署的路边单元可以与任何车辆之间提供有效的通信,提出了一种用于识别拒绝服务的信誉框架。实验结果表明,该方案可以避免虚假事件的传播,并且由于框架中的车辆必须为交通事件检测作出贡献才能正常使用交通服务,这鼓励了车辆参与交通事件的监测和验证。

    3 车联网服务平台安全防护

    车联网服务平台作为智能汽车数据存储、智能计算及应用服务的平台,是车联网安全体系中的重要节点。依据防护对象不同,车联网服务平台安全防护可分为站点安全、主机安全、数据安全、业务安全等内容。

    Q. Huang 等人提出了一种应用于车联网的警告信息分发方法,该方法采用基于属性的加密技术对传播的预警信息进行保护,并提出了一种有条件的隐私保护机制,利用基于匿名身份的签名技术来保证匿名车辆认证和消息完整性检查,同时也允许可信机构追踪恶意车辆的真实身份。分析表明,该方案具有更高的安全性,并减少了车辆的计算开销。I. García Magariño 等人提出了一种增强联网车辆安全的技术,该方法基于直接观测信息和从其他车辆接收到的信息进行信任和声誉管理,可以正确地区分被劫持车辆与其他车辆。A. Rech 等人提出了一种新型的联合服务管理概念,以提高智能交通和智能城市领域不同服务的互操作性,该方法在汽车、驾驶员和其他信息系统之间提供安全的认证和授权。M. Gupta 等人提出了一个基于属性的访问控制系统,根据不同的属性将智能设备分配至不同的组内,并提供了细粒度的安全策略的实现,并考虑了个性化的隐私偏好以及系统范围内的策略,以接受或拒绝来自不同智能设备的通知、警报和广告等信息。Y.Lu 等人提出了一种基于联合学习的新架构,以减轻数据传输负担并解决隐私安全问题,保证了共享数据的可靠性,且具有较高的学习精度和较快的收敛速度。

    图 4 车联网服务平台安全防护

    3.1 站点安全

    站点安全直接关系到车联网服务平台的可靠性, 其防护措施主要有:

    (1)利用防火墙技术实现 WEB 应用攻击防护、DDOS 攻击防护;

    (2)利用病毒过滤网关过滤拦截病毒、木马、间谍软件等恶意软件;

    (3) 通过上网行为管理系统进行实时监控,防止非法信息传播、敏感信息泄漏;

    (4)通过文件底层驱动技术对 Web 站点目录提供全方位的保护,防止任何类型的文件被非法篡改和破坏。

    3.2 主机安全

    主机是车联网服务平台的物理基础,其安全防护措施主要有:

    (1) 利用入侵检测技术实时检测和阻断包括溢出攻击、拒绝服务攻击、木马、蠕虫、系统漏洞等网络攻击;

    (2) 针对对木马、僵尸网络等异常行为进行高精度监测及旁路阻断;

    (3) 利用异常流量管理识别出已知或未知的拒绝服务攻击流量,并进行实时过滤和清洗,确保网络服务的可用性。

    3.3 数据安全

    针对数据安全的防护可从两方面展开:

    (1)基于统一管理框架,以数据防泄漏为基础,通过深度内容分析和事务安全关联分析等技术, 监视、识别和保护各类数据,确保敏感数据的合规使用;

    (2)利用数据安全网关实现黑白名单、高危操作风险识别、用户访问权限控制、数据库攻击检测、数据库状态监控、操作行为审计、综合报表等功能,帮助用户实时阻断高风险行为,提高对数据库访问的可控度。

    3.4 OTA 安全

    OTA(Over the Air,在线升级)是联网车辆的重要基础功能,其防护可主要从以下三个方面展开:

    (1) 在升级固件包流转的每个网络通信过程中进行必要的安全防护;

    (2) 在 T-Box、ECU 等部件上集成安全组件,提供签名计算、证书解析、加解密等安全能力;

    (3) 在 OTA 平台继承安全服务系统,加入安全组件与安全服务系统,确保 OTA 系统中的每个参与方都具备安全通信的能力。

    4 移动应用安全防护

    为了提供车况确认、远程控制等功能,许多联网汽车提供了手机 APP 等移动应用供车主使用。然而由于缺少规范的安全监管标准和流程,许多厂商未对应用软件执行必要的安全性测试,导致智能汽车 APP 存在可被利用漏洞的可能性极高,对车主的财产安全乃至人身安全产生威胁。

    针对移动应用的安全风险,通过使用移动应用加固技术、密钥白盒技术、敏感数据防泄漏系统,移动应用安全检测等技术确保移动应用的安全。

    图 5 移动应用安全防护

    J. Cui  等人提出了一种可隐藏程序基本数学运算的代码混淆方法,其将基本运算分割成一组子运算,并用受保护的查找表中检索到的结果进行替换。且为了增加攻击分析的难度,设计了随机双射法和结构相似法,使不同混淆操作的控制流程相互之间无法区分。S. Homayoun 等人提出了一种基于区块链的恶意软件检测框架,用于检测移动应用商店中的恶意移动应用。L. Chen 等人提出了一种基于规则匹配的本地拒绝服务漏洞检测方法,能够在大量的移动应用中准确地定位具有此漏洞的样本。

    4.1 移动应用加固

    在不改变应用源代码的情况下,将针对应用各种安全缺陷的加固保护技术集成到应用的安装文件,如:

    (1)通过文件加壳混淆等技术的防止逆向破解;

    (2)通过分级文件校验等技术保护应用数据;

    (3)通过调试注入防护等技术提升应用的整体安全水平。

    4.2 密钥白盒

    密钥白盒是将密码算法白盒化的过程,可分为静态密钥白盒和动态密钥白盒。其核心思想是混淆,通过在白盒环境下安全进行加解密操作,保护智能汽车移动应用的密钥,防止通过逆向分析还原出密钥,从而保障移动应用的安全。

    4.3 敏感数据泄露防护

    为防止敏感数据泄露,应对移动应用进行全方位检测、监控与保护,如:

    (1)建立数据安全管理中心,进行统一的策略管理、事件分析、可视化风险展现等;

    (2)监视和保护移动应用上静止的、移动的以及使用中的数据,确保敏感数据的合规使用,防止主动或无意识的数据泄漏事件发生。

    4.4 移动应用安全检测

    通过对移动应用进行安全检测,可及时发现存在的漏洞或安全风险。

    (1)通过使用静态检测、动态检测、内容检测等技术检测移动应用内部存在的安全风险,并对发现的安全问题给出解决建议。

    (2)生成准确、完整的移动应用安全分析报告,协助开发或监管人员掌控移动应用中存在的风险, 有效提高移动应用开发的安全性。

    5 总结

    本文首先分析了车联网网络结构层次的划分,然后从车端防护、通信防护、服务平台防护和移动应用防护四个方面阐述了车联网安全体系的组成,并对各类防护技术及其当前研究成果进行了总结。

    随着自动驾驶、车路协同等新技术的发展与应用,未来车联网将会变得更加智能与便捷,这需要更加庞大的数据通信网络、更加丰富的信息交互手段作为支撑,同时也意味着攻击面的增加和安全风险的提高。相比传统的物联网技术,车联网安全不仅影响信息安全,也关乎生命财产安全、社会安全乃至国家安全。只有构建起高水平的车联网安全体系,智能网联汽车才能对多种多样的网络攻击进行防护,从而实现产业的安全快速发展。

    展开全文
  • 网络安全教程(一)

    千次阅读 多人点赞 2022-03-12 12:54:42
    1-网络安全概述 1-1基础概念 1-1-1计算机网络安全的定义 国际标准化组织ISO将计算机网络安全定义为:“为数据处理系统建立和采取的技术与管理的安全保护,保护网络系统的硬件,软件及其系统中的数据不因偶然的...

    1-网络安全概述

    1-1基础概念

    1-1-1计算机网络安全的定义

    国际标准化组织ISO将计算机网络安全定义为:“为数据处理系统建立和采取的技术与管理的安全保护,保护网络系统的硬件,软件及其系统中的数据不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连接可靠、正常的运行,网络服务不中断。”

    1-1-2网络安全的5项特征

    网络安全的5项特征

    1. 保密性:信息不泄露给非授权用户、实体或过程,或供其利用的特性。
    2. 完整性:数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。
    3. 可用性:可被授权实体访问并按需求使用的特性,即当需要时能否存取所需的信息。例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击。
    4. 可控性:对信息的传播及内容具有控制能力。
    5. 可审查性:出现安全问题时能够提供依据与手段。

    1-1-3网络安全威胁

             所谓网络安全威胁,是指对网络和信息的机密性,完整性、可用性在合法使用时可能造成的危害。

            人为角度

                    信息泄露、完整性破坏、拒绝服务攻击、滥用网络。       

              表现形式

                    窃听、重传、篡改、拒绝服务攻击、行为否认、电子欺骗、非授权访问、传播病毒。

    1-2网络攻击 

     1-2-1潜在的网络攻击者

    • 国家
    • 黑客
    • 计算机恐怖分子
    • 有组织犯罪
    • 其他犯罪成员
    • 国际新闻机构
    • 商业竞争
    • 不满的雇员(实施内部威胁)
    • 不小心或未受到良好训练的雇员

    1-2-2网络攻击分类

    1.  被动攻击:监视网络上的信息传输,包括监视明文,解密加密不善的通信数据,口令嗅探等。
    2. 主动攻击:企图避开或打破安全防护,引入恶意代码以及转化数据或破坏系统的完整性。
    • (1)修改数据
    • (2)替换
    • (3)会话劫持
    • (4)伪装成授权用户或服务器
    • (5)获取系统应用和操作系统的缺陷
    • (6)攫取主机或网络的信任
    • (7)获得数据执行
    • (8)恶意代码插入并刺探
    • (9)拒绝服务:网络中散布垃圾包,垃圾邮件等

        3.邻近攻击:未授权者在物理上接近网络系统或设备,目的是修改、收集和拒绝访问信息。

    • (1)修改数据或收集信息
    • (2)物理破坏

        4.内部人员攻击

            (1)修改数据或安全机制

            (2)建立未授权网络连接

            (3)秘密通道

              (4)物理损坏或破坏

        5.分发攻击:软件和硬件开发后和安装前这段时间,当它从一个地方转移到另个一地方时,攻击者恶意修改软硬件。

    1-3网络安全的特点

    1-3-1网络安全的特点

    1. 攻击与防守不对称性:攻击可以攻其一点,防守必须全面防御。
    2. 网络安全动态性:新的漏洞会不断出现。旧的漏洞会被消灭。
    3. 攻击与防御的经济性问题:安全投入大于保护价值会得不偿失,攻击投入大于目标价值也会得不偿失。
    4. 人是网络安全问题的核心:安全问题的根源在于人性的弱点。

    1-3-2如何实现网络安全

    安全政策

    • 安全政策是一个组织为了实现其业务目标而制定的一组规定,用来规范用户的行为,知道信息资源的保护和管理。
    • 安全政策应表现为一份或一系列正式的文档。
    • 安全政策规定了用户什么是该做的、什么是不该做的。

    1-4网络安全技术

    1-4-1网络安全基本要素

    1. 双向身份认证
    2. 访问控制授权
    3. 加密算法
    4. 完整性检测
    5. 不可否认性:双方都能证明信息已被发送和接收了,并且能确认身份,数字签名的特性,可以提供不可否认性
    6. 可靠性保护:防止数据遭到捕获。
    7. 数据隔离:防止数据泄露,不允许机密数据流入非机密网络。

    2-数据加密与认证

    2-1密码学基础

    2-1-1加密的起源

    1. 4000年以前,古埃及的尼罗河畔,一位擅长书写者在贵族的墓碑上书写铭文时有意用变形的象形文字而不是普通的象形文字来撰写铭文,这是史上记载最早的密码形式。
    2. 公元前5世纪,隐写术
    3. 最早将现代密码概念运用于实际的人是凯撒大帝,后被称为凯撒密码,凯撒密码是将字母按字母表的顺序排列,并且最后一个字母与首字母相连。加密方法是将明文中的每个字母用其后的第三个字母代替,就成了密文。一般明文用小写,密文用大写。

    例:

    明文m e e t a t t o n i g h t

    凯撒密码 P H  H  W D W W R Q L J K W 

           4.几种简单密码方案

    • 倒置

    密文 KCATTA WON

    单词倒读 

    明文 attack now

    • 双轨

    加密时先将明文写成双轨形式

    如将attcak now写成

            a      t      c      n       w

                t      a       k       o

    按行输出密文

    ATCNWTAKO

    • 字典密码

    第一次世界大战期间,德国间谍曾经依靠字典编写密码,例如100-3-16表示某本字典的第100页第3段的第16个单词。但加密并不可靠。

    2-1-2密码学的发展阶段

    第一阶段:

            古代到1949年,这一时期,密码学家往往凭借直觉设计密码,缺少严格的推理证明,这一阶段的密码背称为古典密码

    第二阶段:

            1949-1975年,两大重大事件

            1949年信息论大师香农发表了《保密系统的信息理论》,为密码学奠定了理论基础,使密码学正式成为一门学科;

            1970年IBM研发的DES被美国国家标准局宣布为数据加密标准,打破了对密码学研究和应用的限制,极大的推动了现代密码学的发展。

    第三阶段:

            1976年至今,1976年Diffie和Hellman发表的《密码学的新方向》开创了公钥密码学的新纪元。

    2-1-3密码学基本概念

    密码学的基本目的是使两个在不安全信道上通信的人A和B,以一种他们的敌人C不能明白和理解通信内容的方式进行通信。

    1. A发送给B的信息,通常称为明文,即未被加密的信息。
    2. A使用预先商量好的密钥对明文进行加密,加密后的明文称为密文
    3. A将密文发送给B,虽然敌人C可以窃听到信道中的密文,却无法知道对应的明文。对于B而言,他可以用密钥进行解密,从而获得明文。

     密码算法是指用于加密和解密的一对数学函数E(x)和D(x)。

    为了密码系统的安全,我们需要经常变更密钥,由于种种原因,密码算法往往是不能保密的,所以我们常常假定算法是公开的,真正需要保密的是密钥。像凯撒密码,我可以移动5位字母而不是3位。这个移动的位数就算是密钥。

    2-1-4对称密钥算法

    对称密钥算法又称为传统密码算法,加密密钥是能够从解密密钥中推算出来的,反过来也成立。

    典型的对称加密算法是DES、AES和RC5算法。

     对称密码算法的特点是计算量小、加密速度快。

    对称密码可以按照对明文的加解密方式,分为序列密码(流密码)和分组密码。

    序列密码是将明文划分成字符(如单个字母),或其编码的基本单元,逐字符进行加解密。

    分组密码是将明文编码表示后的数字序列划分成长度为m的组,各组分别在密码的控制下加密成密文。

    密码体制移位密码

    密码体制希尔密码

    2-1-5公开密钥算法

    对称密码的缺点

    •         需要在A和B的传输密文之前使用一个安全的通道交换密钥。
    •         分发和管理的密钥会非常多。

    公开密钥算法于1976年由Diffie和Hellman提出。这一体制最大的特点是采用两个密钥将加密和解密能力分开:一个公开用于加密;另一个为用户专用,作为解密密钥,通信双方无须先交换密钥就可以进行通信。

    密码体制-RSA密码体制

    2-1-6密码分析

    密码学包含两个分支-----密码编码学和密码分析学。

    密码编码学是对信息进行进行编码实现隐蔽信息的一门学问。

    密码分析学是研究分析破译密码的学问。

    攻击类型

    攻击类型攻击者拥有的资源
    唯密文攻击

    加密算法

    截获的部分密文

    已知明文攻击

    加密算法

    截获的部分密文和其对应的明文

    选择明文攻击

    加密算法

    加密黑盒子,可加密任意明文得到相应的密文

    选择密文攻击

    加密算法

    解密黑盒子,可解密任意密文得到相应的明文

    密码分析的方法

    (1)穷举破译法

            对截获的密报依次进行各种可解的密钥试译,直到得到有意义的明文;或在不变密钥下,对所有可能的明文加密,直到得到与截获密报一致为止。,此法又被称为完全试凑法。

    (2)分析法

    包括确定性分析法统计分析法

    确定性分析法是用一个或几个已知量用数学关系是表示出所求未知量。

    统计分析法是利用明文的已知统计规律进行破译的方法。

    密码体制仿射密码体制

    2-2数字签名与数字证书

    2-2-1电子签名

    联合国发布的《电子签名示范法》中对电子签名的定义如下:“指在数据电文中以电子形式所含的、所附或在逻辑上与数据电文联系的数据,它可用于鉴别与数据电文相关的签名人和表明签名人认可数据电文所包含的信息。”

    电子签名立法

            2000年6月30日美国总统克林顿签署《电子签名法案》,被看做是美国迈向电子商务时代的一个重要的标志。

            2005年4月1日,我国《电子签名法》正式实行。标志着中国首部“真正意义上的信息化的法律”正式诞生。

    电子签名模式

    目前电子签名主要有三种模式:

    1.         智慧卡式:使用者拥有一个像性用卡一样的磁卡,内存储有关自己的数字信息。使用时只需在电脑扫描器上一扫,加入自己设定的密码即可。
    2.         密码式:使用者设定一个密码,有数字和字符组合而成。
    3.         生物测定式:以使用者的身体特征为基础。如指纹,眼球。

    电子签名使用的技术

            公开密钥算法(RSA算法)和报文摘要(HASH算法)

    2-2-2CA数字证书

            数字证书是一种权威性的电子文档,由权威公正的第三方机构,即CA 中心签发的证书。

     因特网的电子商务系统必须保证具有十分可靠的安全保密技术,也就是说,必须保证网络安全的4大要素,即信息传输的保密性交易者身份的确定性发送信息的不可否任性数据交换的不可修改性

    1. 信息传输的保密性:交易中的商务信息均有保密的要求,如信用卡的账号和用户名被人知悉,就可能被盗用;订货和付款的信息被竞争对手获悉,就可能丧失商机。因此在电子商务的信息传播中,一般均有加密的要求。
    2. 交易者身份的确定性:网上交易的双方很可能素味平生,相隔千里。要使交易成功,首先要能确认对方的身份,商家要考虑客户端是不是骗子,而客户也会担心网上的商店不是一个玩弄欺诈的黑店。因此能方便而可靠地确认对方身份是交易的前提。对于为顾客或用户开展服务的银行、信用卡公司和销售商店,为了做到安全、保密、可靠地开展服务活动,都要进行身份认证的工作。对有关的销售商店来说,他们对顾客所用的信用卡的号码是不知道的,商店只能把信用卡的确认工作完全交给银行来完成。银行和信用卡公司可以采用各种保密与识别方法,确认顾客的身份是否合法,同时还要防止发生拒付款问题以及确认订货和订货收据信息等。
    3. 发送信息的不可否认性:由于商情的千变万化,交易一旦达成是不能被否认的,则必然会损害一方的利益。例如订购黄金,订货时金价较低,但收到订单后,金价上涨,如收单方能否认收到订单的实际时间,甚至否认收到订单的事实,则订货方就会蒙受失。因此电子交易通信过程的各个环节都必须是不可否认的。
    4. 数据交换的不可修改性:交易的文件是不可被修改的,如上例所举的订购黄金。货单位在收到订单后,发现金价大幅上涨了,如其能改动文件内容,将订购数1吨改为克,则可大幅受益,那么订货单位可能就会因此而蒙受一定损失。

    2-3认证技术

    网络系统安全主要考虑两个方面:一方面,用密码保护传输的信息使其不被破译;另一方面,防止对手对系统进行主动攻击,如伪造,篡改等。认证则是防止主动攻击的重要技术。

    认证的目的有两个方面:

    •         验证消息的发送者是合法的,而不是冒充的;
    •         验证消息的完整性以及数据在传输和存储过程中没有被修改。

    2-3-1身份认证的重要性

            身份认证是指计算机及网络系统中确认操作者身份的过程。

            身份认证技术的诞生就是为了解决如何保证从操作者的物理身份与数字身份相对应的问题。

            加果没有有效的身份认证手段,访间者的身份就很容易被伤造,使得未经授权的人仿冒有权限人的身份,这样,任何安全防范体系就都形同虚设,所有安全投入就被无情的浪费了。

    2-3-2身份认证的方式

    1. 用户名/密码方式
    2. IC卡认证:内置了集成电路的卡片,卡片中存有与用户身份相关的数据,可以认为是不可复制的硬件。
    3. 动态口令:是一种让用户的密码按照时间或使用次数不断变化,每个密码只使用一次对的技术。
    4. 智能卡技术:本身可以算是一个功能齐全的计算机,它们有自己的的内容、微型处理器。智能卡是比PC本身更加安全的存储密钥的地方。
    5. 生物特征认证
    6. USB key认证:采用软硬件相结合、一次一密的双因子认证模式,很好的解决了安全性与易用性之间的矛盾。

    2-3-3消息认证---Hash算法

    Hash,一般翻译做“散列”,也有的直接音译为“哈希”,就是把任意长度的输入(又叫作预映射)通过散列算法变换成固定长度的输出,该输出就是散列值。这种转换是一种压缩映射,也就是说,散列值的空间通常远小于输入的空间,不同的输入可能会散列成相同的输出,而不可能从散列值来唯一地确认输入值。简单的说,就是一种将任意长度的消息压缩到某一固定长度的消息摘要的函数。

    Hash算法
    了解了Hash的基本定义,就不能不提到一些著名的Hash 算法、其中MD5和SHAI可以说是目前应用最广泛的Hash算法,而它们都是以MD4为基础设计的,那么它们都是什么样的算法呢?
    1)MD2
    Rivest在1989年开发出MD2算法。在这个算法中,首先对信息进行数据补位,使信息的字节长度是16的倍数。然后,以一个16位的校验和追加到信息末尾,并且根据这个新产生的信息计算出散列值。

    2)MD4
    为了加强算法的安全性,Rivest在1990年又开发出MD4算法。MD4算法同样需要填补信息以确保信息的比特位长度减去448后能被512整除(信息比特位长度mod512=448).然后,一个以64位二进制表示的信息的最初长度被添加进来。信息被处理成512位选代结构的区块,而且每个区块要通过3个不同步骤的处理。Den Boer和Bosselaers以及其他人很快发现了攻击MD4版本中第1步和第3步的漏洞。Dobbertin向大家演示了如何到用一部普通的个人计算机在几分钟内找到MD4完整版本中的冲突(这个冲突实际上是一中漏洞,它将导致对不同的内容进行加密却可能得到相同的加密后结果).毫无疑问,MD4就此被淘汰掉了。尽管MD4第法在安全上有个这么大的漏洞,但它对在其后才被开发出来的几种信息安全加密算法的出现却有着不可忽视的引导作用。


    3)MD5

    1991年,Rivest开发出技术上更为趋近成熟的MD5解法。它在MD4的基础上增加了“安全一带子”(safety-bels)的概念、虽然MD5比MD4复杂度大一些,但却更为安全,这算法很明显的由4个和MD4设计有少许不同的步骤组成。在MD5算法中,信息摘要的大小和填充的必要条件与MD4完全相同。Den Boer和Bosselacrs曾发现MD5算法中的灵冲突(pscudo-colisions).但除此之外就没有其他被发现的加密后结果了。
    对MD5算法简要的叙述可以为:MD5以512位分组来处理输入的信息,且每一分组又被划分为16个32位子分组,经过了一系列的处理后,算法的输出由4个32位分组将这4个32位分组级联后将生成一个128位散列值。
    利用MD5的算法原理,可以使用各种计算机语言进行实现,形成各种各样的MD5校验工具,有很多的在线工具可以实现这一点,这些在线工具一般是采用JavaScript i实现,使用非常方便快捷。

    4)SHA-1

    SHA-1是由NIST NSA设计为同DSA一起使用的,它对长度小于264的输入,产生长度为160位的散列值,因此抗穷举(brute-force)性更好。SHA1设计时基于和MD4相同的原理,并且模仿了该算法。

    Hash算法在信息安全方面的应用体现

    1. 文件校验
    2. 数字签名
    3. 鉴权协议

    3-常见网络攻击的方法与防护

    3-1网络攻击概述

    3-1-1网络攻击的分类

    常见的攻击方式有4类

    1. 拒绝服务攻击,企图通过使服务器崩溃或把它压垮来阻止其提供服务。拒绝服务攻击是最容易实施的攻击行为,主要包括死亡之ping、泪滴、UDP洪水、SYN洪水、Land攻击、Smurf攻击、Fraggle攻击、电子邮件炸弹、畸形消息攻击等。
    2. 利用型攻击,这是一类试图直接对机器进行控制的攻击,最常见的有口令猜测、特洛伊木马、缓冲区溢出。
    3. 信息收集型攻击,它并不对目标本身造成危害,而是被用来为进一步入侵提供有用的信息,主要包括扫描技术、体系结构刺探、利用信息服务。
    4. 假消息攻击,用于攻击目标配置不正确的消息,主要包括DNS高速缓存污染、伪造电子邮件。

    3-1-2网络攻击的步骤

    1.攻击准备

            进行网络攻击是一件系统性很强的工作,其主要流程是:收集情报、远程攻击、远程登录、确定普通用户的权限、取得超级用户的权限,留下后门、清除日志。主要内容包括目标分析、文档获取、破解密码、日志清除等技术。 

    (1)确定攻击目标:破坏或者控制

    (2)信息收集:收集尽量多的关于目标的信息,这些信息包括目标的操作系统类型及其版本,目标提供哪些服务,各服务器程序的类型与版本,以及相关的社会信息。

    获取目标系统版本的方法

    •         talent协议连接显示信息 (网管会迷惑攻击者,更改显示信息)
    •         查询DNS的主机信息
    •         利用网络操作系统里的TCP/IP堆栈作为特殊的“指纹”来确定系统的真正身份。
    •         向目标远程发送特殊的包,通过返回的包确定操作系统类型。  

             获知目标提供哪些服务和各服务守护程序的类型、版本同样重要,因为已知的漏洞都是针对某一服务的。这里的提供服务就是指通常我们提到的端口。在不同服务器上提供同一种服务的软件也可以不同,这类软件叫做守护程序

    2.攻击的实施阶段

    (1)获得权限

    当收集到足够的信息之后,攻击者就要开始实施攻击行动了。作为破坏型攻击,只需利用工具发动攻击即可。而作为入侵型攻击,往往要利用收集到的信息,找到其系统漏洞,然后利用该漏洞获取一定的权限。有时获得了一般用户的权限就足以达到修改主页等目的了。但作为一次完整的攻击是要获得系统最高权限的,这不仅是为了达到一定的目的,更重要的是证明攻击者的能力。

    (2)权限扩大

    系统漏润分为远程漏洞和本地漏洞两种。远程漏洞是指黑客可以在别的机器上直接利用该漏洞进行攻击并获取一定的权限。这种漏洞的威胁性相当大,黑客的攻击一般都是从远程漏洞开始的。但是利用远程漏洞获取的不一定是最高权限,而往往只是一个普通用户的权限,这样常常没有办法做黑客们想要做的事。这时就需要配合本地漏洞来把获得的权限进行扩大,常常是扩大至系统的管理员权限。
    只有获得了最高的管理员权限,才可以做网络监听、打扫痕迹之类的事情。完成权限的扩大,不但可以利用已获得的权限在系统上执行利用本地漏洞的程序,还可以放置一些木马之类的欺骗程序来套取管理员密码(这种木马是放在本地套取最高权限用的,而不能进行远程控制)。例如一个黑客已经在一台机器上获得了一个普通用户的账号和登录权限,那么他就可以在这台机器上放置一个假的su程序。当真正的合法用户登录时,运行了该su程序并输入了密码,这时root密码就会被记录下来,下次黑客再登录时就可以使用su程序而拥有root权限了。

    3.攻击的善后工作

    (1)隐藏踪迹

    攻击者在获得系统最高管理员权限之后,就可以随意修改系统上的文件了,包括日志文件,所以黑客想要隐藏自己的踪迹的话,就会对日志进行修改。最简单的方法当然就是删除日志文件了,但这样做虽然避免了系统管理员根据IP追踪到自己,但也明确无误地告诉了管理员,系统已经被入侵了。所以最常用的办法是只对日志文件中有关自己的那一部分做修改。

    (2)后门

    黑客在攻入系统后,一般要不止一次地进入该系统。为了下次再进入系统时方便一些,黑客会留下一个后门,特洛伊木马就是后门的最好范例。

    3-1-3社会工程学攻击(3.26添加)

            社会工程学攻击主要是利用“社会工程学”来实施的网络攻击行为,主要通过利用人的弱点进行咋骗、威胁等违法行为,获取非法利益。

            社会工程学攻击的基本目标与其他网络攻击手段基本相同,都是为了获得目标系统的未授权访问路径,对重要信息进行盗取,或仅仅是扰乱系统和网络的安全与稳定等。
    在信息安全技术不断发展的今天,各种安全防护设备与措施使得网络和系统本身的漏润大幅减少。更多的攻击者转向利用人的弱点(即使用社会工程学方法)来实施网络攻击,黑客入侵事件不断上演。在这些事件中,被攻击者的安全防护意识是一个突出的问题。随意设置简单、易破解的口令、随处留下自己的邮箱地址的行为比比皆是,这些都使得善于利用社会工程学的攻击者能够很轻易地完成对某些目标的入侵。
            年少成名的美国超级黑客凯文·米特尼克(Kevin Mitnick)撰写的《反欺骗的艺术》堪称社会工程学的经典。书中详细地描述了许多运用社会工程学入侵网络的方法,这些方法并不需要太多的技术基础,但可怕的是,一旦懂得如何利用人的弱点,如轻信、健忘、胆小、贪便宜等,就可以轻易地潜入防护最严密的网络系统。凯文·米特尼克曾经在很小的时候就能够把这一天赋发挥到极致,他就像变魔术一样,在他人不知不觉时进入了包括美国国防部、IBM公司等几乎不可能被潜入的网络系统,并获取了管理员权限。目前常见的网络钓鱼(Phishing)攻击就是属于社会工程学攻击的一种。攻击者利用性的电子邮件和伪造的Web站点来进行诈骗活动,诱骗受攻击者提供一些个人信息,如卡号、账户名和口令等内容,被攻击者往往会在不经意间泄露自己的敏感数据。

    社会工程学常见形式

            (1)伪装。从早期的求职信病毒、爱虫病毒、圣诞节贺卡病毒到目前流行的网络的鱼攻击,都是利用电子邮件和伪造的Wb站点来进行诈骗活动的。有调查显示,在所有接触准射信息的用户中,有高达5%的人都会对这些骗局做出响应。攻击者越来越喜欢使用社会工程学的手段,把木马病毒、间课软件、勒索软件、流课软件等网络陷阱伪装起来欺骗被攻击者。
            (2)引诱。社会工程学是现在攻击者传播多数端虫病毒时所使用的技术,这些端虫病毒会诱使计算机用户本能地去打开邮件,执行具有诱惑性同时又有危害的附件。例如,用能引起一些人兴趣的“幸运中奖”“最新反病毒软件”等说辞,并给出一个页面链接,诱使进入该页面运行下载病毒程序或在线注册套取个人相关信息,利用人们疏于防范的心理获取非法利益。
            (3)恐吓。利用人们对安全、漏洞、病毒、木马、黑客等内容的敏感性,以权威机构的面目出现,散布诸如安全警告、系统风险之类的信息,使用危言耸听的伎俩恐吓、欺骗计算机用户,声称如果不及时按照他们的要求去做就会造成致命的危害或遭受严重的损失。

            (4)说服。社会工程学攻击的实施者说服的目的是增强说服对象主动完成所指派的任务,的顺从意识,从而令其变为一个可以被信任并可由此非得敏感信息的人。大多数企业的前台人员一般接受的训练都是要求他们尽可能地热情告人并为来电用户提供帮助,所以他们就成为社会工程学攻击的实施者获取有价值信息的“金矿”。
            (5)恭维。社会工程学攻击的实施者通常十分“友善”,很懂得说话的艺术,知道如何去迎合他人,投其所好,使多数人友善地做出回应,恭维和虚荣心的对接往往会让目标乐意继续合作。
            (6)渗透。通常社会工程学攻击的实施者都擅长刺探信息,很多表面上看起来毫无用处的信息都会被他们用来进行系统渗透。通过观察目标对电子邮件的响应速度、重视程度以及可能提供的相关资料,如一个人的姓名、生日、ID、电话号码、管理员的IP地址、邮箱等。通过这些收集信息来判断目标的网络架构或系统密码的大致内容,从而用口令心理学来分析口令,而不仅仅是使用暴力破解。

    如何防范社会工程学

            面对社会工程学政击带来的安全挑战,机构和个人都必须学会使用新的防御方法。从机构的角度来说,防御措施主要包括以下几种。
            (1)增加网站被假冒的难度。为预防不法分子使用假域名进行网络钓鱼,企业需要定期对DNS进行扫描,以检查是否存在与公司已注册的相似的域名。此外,在网页设计技术上不使用弹出式广告、不隐藏地址栏及框架的企业网站被假冒的可能性较小。
            (2)加强内部安全管理。尽可能地把系统管理工作职责进行分离,合理分配每个系统管理员所拥有的权力,避免权限过分集中。为防止外部人员混入内部,员工应佩戴胸卡标识,设置门禁和视频监控系统:严格办公垃圾和设备维修报废处理程序:杜绝为贪图方便,将密码写在纸上。
            (3)开展安全防询训练。安全意识比安全措施重要得多。防范社会工程学政击,指导和教育是关键。直接明确地给子容易爱到政的员工一些案例教育和警示,让他们知道这些方法是如何运用和得逞的,并让他们学会辨认社会工程学攻击。

            对于个人来说,主要需要注重个人隐私保护,社会工程学攻击的核心就是信息,尤其是个人信息。在网络普及的今天,很多论坛、博答、电子邮箱等都包含了个人大量的私人信息。如生日、年龄,E-mal地址、家庭电话号码等,入侵者根据这些信息再次进行信息挖掘,将提高成功入侵的极率。因此在各个网站注册时,一定要查看这些网站是否提供了对个人隐私信息的保护,是否采用了适当的安全措施,谨慎提供个人的真实信息。

    3-2端口扫描

    3-2-1原理

    端口扫描的原理

            尝试与目标主机的某些端口建立连接,如果目标主机的该端口有回复,则说明该端口开放,即为“活动端口”。

    3-2-2扫描分类

    • 全TCP连接:使用三次握手,与目标计界机建立标准的TCP连接,而种古老的扫描方法根容易被目标主机记录。
    • 半打开式扫描:在这种扫描技术中,扫描主机自动向目标计算机的指定端口发送SYN数据段,表示发送建立连接请求。
    • FIN扫描:在TCP报文中,有一个字段为FIN。FIN扫描则依靠发送FIN来判断目标计算机的指定端口是否活动。发送一个FIN=1的TCP报文到一个关闭的端口时,该报文会被丢掉,并返回一个RST报文。但是,如果当FIN报文被发送到一个活动的端口时,该报文只是简单的丢掉,不会返回任何回应。从FIN扫描可以看出,它没有涉及任何TCP连接部分,因此这种扫描比前两种都安全,可以称之为秘密扫描。
    • 第三方扫描,又称“代理扫描”,这种扫描是利用第三方主机来代替入侵者进行扫描。

    3-2-3扫描工具

    X-Port

    PortScanner

    SuperScan

    流光

    X-Scan

    3-2-4 防护

    1. 关闭闲置和有潜在危险的端口
    2. 检查各种端口,有端口扫描的症状时,立即屏蔽该端口。通常借助防火墙完成

    防火墙工作原理:

    首先检查每个到达电脑的数据包,在这个包被机器上运行的任何软件看到之前,防火墙有完全的否决权,可以禁止电脑接收Intenet 上的任何东西。当第一个请求建立连接的包被电脑回应后,一个TCP/IP端日被打开;端口扫描时,对方计算机不断地和本地计算机建立连接,并逐渐打开各个服务所对应的TCP/IP端口及闲置端口。防火墙利用自带的拦截规则判断,就能够知道对方是否正进行端口扫描,并拦截掉对方发送过来的所有扫描需要的数据包。

    3-3ARP欺骗

    3-3-1原理

    互联网的发展很大程度上归功于TCP/IP协议运行的高效性和开放性,然而TCPIP协议在实现过程中忽略了对网络安全方面的考虑,致使其存在着较多安全隐患。ARP协议是TCPIP协议中重要的一员,其功能主要是为局域网内网络设备提供IP地址向硬件地址的转化,其设计建立在局域网内网络设备之间相互信任的基础上,由此产生了许多ARP欺骗攻击方法。许多木马和病毒利用ARP协议这一设计上的漏洞在局域网内进行ARP欺骗攻击,给局域网的安全造成了严重威胁。

    ARP意为地址解析协议,是根据IP地址获取物理地址的一个TCP/IP协议中重要的一员。主机发送信息时,将包含目标IP地址的ARP请求广播到网络上的所有主机,并接收返回消息,以此确定目标的物理地址;收到返回消息后,将该IP地址和物理地址存入本机ARP缓存中并保留一定时间,下次请求时直接查询ARP缓存以节约资源。地址解析协议是建立在网络中各个主机互相信任的基础上,网络上的主机可以自主发送ARP应答消息,其他主机收到应答报文时不会检测该报文的真实性就会将其记入本机ARP缓存;由此攻击者就可以向某一主机发送伪ARP应答报文,使其发送的信息无法到达预期的主机或到达错误的主机,这就构成了一个ARP欺骗

    ARP欺骗的危害如下

    (1)攻击点范围广:不需要攻占具体服务器,在不获得目标主机的权限的条件下,只要在网络环境的任何一个点上安放一台“肉机”便可以感染整个网段。
    (2)攻击非常隐蔽:不需要改动任何目标主机的页面或者是配置,在网络传输的过程中直接插入病毒的代码。
    (3)发现困难:如没有机房网络管理人员协助协查,服务器系统管理员光靠系统日志无法在短时间内找到攻击源。
    (4)恢复复杂:网站管理员即使发现被攻击,但是从系统层面上无法自己清除。
    (5)攻击手段变化多样:黑客可以最大化地利用ARP欺骗,将其与其他攻击方法组合后运用于多种攻击,如侦听、拒绝服务、挂载病毒,从而实现多种攻击目的。

    防护

    (1)设置静态的MAC TO IP对应表,并防止黑客刷新静态转换表。不要把网络安全信任关系建立在IP基础上或MAC基础上,尽量将信任关系建立在IP+MAC上。
    (2)使用MAC地址管理服务器。通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。
    (3)使用代理IP的传输。
    (4)使用防火墙隔离非信任域对内网机器的ARP包传输。
    (5)定期使用RARP请求来检查ARP响应的真实性。
    (6)定期轮询检查主机上的ARP缓存。
    (7)使用防火墙连续监控网络。
    (8)使用ARP探测工具,在网络上探测非法ARP广播数据帧。

    3-4拒绝服务攻击

    3-4-1原理

    拒绝服务攻击,又称为DoS(Denial of Service的缩写)攻击。DoS的攻击方式有很多种,最基本的就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务的响应。简单的DoS攻击一般是采用一对一方式,当攻击目标CPU速度低、内存小或者网络带宽小,它的效果是明显的。随着计算机与网络技术的发展,计算机的处理能力迅速增长,内存大大增加,同时也出现了千兆级别的网络,这使得Dos攻击的困难程度加大了。这时就出现了分布式拒绝服务攻击,又称为DDos(Distributed Denial of Service)攻击。DDoS攻击采取增加攻击的计算机,多台计算机同时攻击一台目标计算机,从而达到攻击的目的。
    DDoS攻击是基于DoS攻击的一种特殊形式。攻击者将多台受控制的计算机联合起来向目标计算机发起DoS攻击,它是一种大规模协作的攻击方式,主要瞄准比较大的商业站点,具有较大的破坏性。

    DDoS攻击由攻击者主控端代理端组成。攻击者是整个DDos攻击发起的源头,它事先已经取得了多台主控端计算机的控制权,主控端计算机分别控制着多台代理端计机。在主控端计算机上运行着特殊的控制进程,可以接收攻击者发来的控制指令,操作理端计算机对目标计算机发起DDos攻击。DDoS攻击之前,首先扫描并入侵有安全漏洞的计算机并取得控制权,然后在每台被入侵的计算机中安装具有攻击功能的远程遥控程序,用于等待攻击者发出入侵命令。这工作是自动、高速完成的,完成后攻击者会消除它的入侵痕迹,系统的正常用户一般不会察觉。之后攻击者会继续利用已控制的计算机扫描和入侵更多的计算机。重复执行以上步骤,将会控制越来越多的计算机。这些被控制的计算机就叫做“肉鸡”。

    3-4-2手段

    死亡之ping

            ICMP(Intermet Control Message Protocol,Internet控制信息协议)在Intemet上用于错误处理和传递控制信息。最普通的ping程序就是这个功能。在TCPIP的RFC文档中,对包的最大尺寸都有严格限制规定,许多操作系统的TCPIP协议栈都规定ICMP包大小为64KB,且在对包的标题头进行读取之后,要根据该标题头里包含的信息来为有效载荷生成缓冲区。死亡之ping就是故意产生畸形的测试ping包,声称自己的尺寸超过ICMP限,也就是加载的尺寸超过64KB上限,使未采取保护措施的网络系统出现内存分配误,导致TCP/IP协议栈崩溃,最终接收方宕机。

            

    泪滴

            泪滴攻击利用TCP/IP协议栈信任IP碎片中的包的标题头所包含的信息来实现自己的攻击。IP分段含有指示该分段所包含的是原包的哪一段的信息,某些TCP/IP协议栈在收到含有重叠偏移的伪造分段时将崩溃。

    UDP泛洪

    如今,Imtemet上UDP(用户数据报协议)的应用比较广泛,很多提供WWw和M们服务的设备通常是使用UNIX的服务器,它们默认打开一些被黑客恶意利用的UDP服务。
    如Echo服务会显示接收到的每一个数据包,而原本作为测试功能的Chargen服务会在收到每一个数据包时随机反馈一些字符。UDPFlood攻击就是利用这两个简单的TCPIP服务的漏洞进行恶意攻击,通过伪造与某一主机的Chargen服务之间的一次UDP连接,回复地址指向开着Echo服务的一台主机,通过将Chargen和Echo服务互指,来回传送毫无用处且占满带宽的垃圾数据,在两台主机之间生成足够多的无用数据流。这一拒绝服务攻击可飞快地导致网络可用带宽耗尽。

    SYN泛洪

            当用户进行一次标准的TCP(Transmission Control Protocol,传输控制协议)连接时,会有一个3次握手过程。首先是请求服务方发送一个SYN(Synchronize Sequence Number,同步序列号)消息,服务方收到SYN后,会向请求方回送一个SYN-ACK表示确认,当请求方收到SYN-ACK后,再次向服务方发送一个ACK消息,这样一次TCP连接建立成功。SYNFlood则专门针对TCP协议栈在两台主机间初始化连接握手的过程进行DoS攻击,其在实现过程中只进行前2个步骤:当服务方收到请求方的SYN-ACK确认消息后,请求方由于采用源地址欺骗等手段使得服务方收不到ACK回应,于是服务方会在一定时间处于等待接收请求方ACK消息的状态。而对于某台服务器来说,可用的TCP连接是有限的,即只有有限的内存缓冲区用于创建连接,如果这一缓冲区充满了虚假连接的初始信息,该服务器就会对接下来的连接停止响应,直至缓冲区里的连接企图超时。如果恶意攻击方快速连续地发送此类连接请求,该服务器可用的TCP连接队列将很快被阻塞,系统可用资源急剧减少,网络可用带宽迅速缩小。长此下去,除了少数幸运用户的请求可以插在大量虚假请求间得到应答外,服务器将无法向用户提供正常的合法服务。

    不能让准备考试的兄弟们等急了,先发出来前三章内容。

    展开全文
  • 计算机网络安全(一)

    千次阅读 多人点赞 2021-09-25 23:07:52
    随着计算机技术和信息技术的不断发展,互联网、通信网、计算机...在计算机网络发展面临重大机遇的同时,网络安全形式也日益严峻,国家政治、经济、文化、社会、国防安全及公民在网络空间的合法权益面临着风险和挑战。
  • 本文对《大型互联网企业安全架构》里的核心内容做了梳理,并加入了深层解释。很适合安全小白入门企业安全
  • 文章目录一)信息安全概述(了解即可,考察较少)1.1 信息与信息安全1.1.1信息1.1.2 信息技术1.1.3 信息安全1.1.4 信息系统安全1.2 信息安全威胁1.3 信息安全发展阶段与形式1.4 信息安全保障1.4.1 信息安全保障含义...
  • 网络空间安全——总结

    千次阅读 2020-03-12 17:41:36
    系统而全面的了解网络空间安全方面的基础知识、认识安全隐患、掌握相应的防范方法、提高大家的安全意识。 课程重点: 勾勒网络空间安全的框架。 课程内容安排: 安全法律法规 物理设备安全 网络攻防技术 恶意...
  • 网络安全大论文

    千次阅读 2020-11-07 14:39:00
    《网络安全》课程论文 作者: 摘 要:随着计算机技术和网络技术的发展, 网络安全问题, 在今天已经成为网络世界里最为人关注的问题之一 危害网络安全的因素很多, 它们主要依附于各种恶意软件,其中病毒和木马最为...
  • 1.《中华人民共和国网络安全法》第五十八条明确规定,因维护国家安全和社会公共秩序,处置重大突发社会安全事件的需要,经( )决定或者批准,可以在特定区域对网络通信采取限制等临时措施。 A.国务院 B.国家网信部门...
  • Android操作系统具有许多内置的安全功能,例如应用程序沙箱,针对缓冲区和整数溢出攻击的保护以及用于程序指令和数据的独立存储区。 因此,默认情况下,通常不将不执行任何文件系统或网络操作的简单Android应用程序...
  • 大家是不是看到很多网站广告横幅图片右下角都有“广告”两个字可能有人以为是制作图片的时候就加了水印标识广告二字其实这并不是制作的时候加上的,当你复制保存或新网页单独打开图片会发现右下角却没有广告两个字,...
  • 答案查看答案解析:【解析题】发动机的反推力装置【解析题...【解析题】( )要服从广告整体策划,接受广告策划的指导,必须有可靠的、科学的依据【解析题】线性链表不具有的特点( )【解析题】发现就是将音乐课堂完全交...
  • 网络安全期末大论文

    万次阅读 多人点赞 2019-01-30 11:46:26
    桂林理工大学 《网络安全》 学生姓名 张识虔 学 号 3162052051116 所属学院 信息科学与工程学院 专 业 软件工程 班 级 16-1班 教 师 张攀峰 桂林理工大学教...
  • 安全生产模拟考试一点通:2022年安全员-B证考试题为正在备考安全员-B证操作证的学员准备的理论考试专题,每个月更新的安全员-B证证考试祝您顺利通过安全员-B证考试。 1、【多选题】采取综合的措施,切实预防中暑...
  • 前言《网络安全法》作为中国第一部全面规范网络空间安全管理方面问题的基础性法律,自2017年6月1号起实施,至今已有4年时间。此后几年,《国家网络空间安全战略》《通信网络安全防护管理办法》《...
  • 比较全面的安全测试用例设计思路

    千次阅读 2019-08-15 19:11:39
    如果字符是中文的,比如where name=’用户’,可以where name=nchar(29992)+nchar(25143)代替。   4.  跨站脚本攻击( XSS ) 对于 XSS,只需检查 HTML 输出并看看您输入的内容在什么地方。它在一个 ...
  • 总第491篇2022年 第008篇随着美团外卖业务不断发展,外卖广告引擎团队在多个领域进行了工程上的探索和实践,目前已经取得了一些成果。我们计划通过连载的形式分享给大家,本文是《美团外卖广...
  • 在了解了密码学基本的结构后,我们可以发现,单纯的加密与解密并不能保证安全,因为所有的信息可以伪造,且在通信方不值得信赖时,可以抵赖等。下面将逐步随着风险的变化,安全系统的升级过程。
  • 一刷的综合正确率:%65 ,我发现很多知识点,我记忆不牢靠,还有很多英文缩写,我不知道是什么意思。准备二刷的时候,记录下所有的英文缩写。晚上搜了一下考试的流程,需要身份证+信用卡,另外报名费是699美元,一...
  • “随着天网工程的建设,中国已经建成世界上规模最大的视频监控网,摄像头总 数超过2000万个,成为世界上最安全的国家。 视频图像及配套数据已经应用在反恐维稳、治安防控、侦查破案、交通行政管理、服务民生等各...
  • 注册表五大键及安全

    千次阅读 2020-06-16 20:31:52
    在同理打开USERA的F键值,并把ADMINISTRATOR的F键值的内容替换掉zhangsan$的F键值 8.分别把zhangsan 和zhangsan和zhangsan和zhangsan在USERS所对应的键值000003EC"导出注册表 9.把zhangsan$帐号删除 10.在把事前导出...
  • 2012年10月12日,方舟子转发了新浪微博网友 @Royflying 的爆料帖《一把菜刀:360搜集隐私程序员级分析》质疑360安全卫士搜集用户隐私。此帖指出“360安全卫士频繁上传大量的信息到服务器,会将大量用户使用其他软件...
  • 安全多方计算之隐私保护集合交集

    千次阅读 2020-02-28 22:58:11
    作为安全多方计算领域具有广泛的应用场景的一类协议,隐私保护集合交集技术在近年来得到了极大的优化,达到了在某些场景下与目前正在使用的非安全交集技术同一量级的运行复杂度。 摘要:隐私保护集合交集...
  • 安全相关技术介绍

    千次阅读 多人点赞 2020-05-21 18:17:54
    1. 概述 随着云计算逐渐成为主流,云安全也获得了越来越多的关注,传统和新兴的...一类为使用云计算服务提供防护,即使云服务时的安全(security for using the cloud),也称云计算安全(Cloud Computing Security
  • 信息安全工程师参考试题

    千次阅读 2019-07-22 16:49:36
    1、《中华人民共和国网络安全法》第五十八条明确规定,因维护国家安全和社会公共秩序,处置重大突发社会安全事件的需要,经( )决定或者批准,可以在特定区域对网络通信采取限制等临时措施。 A、国务院 B、国家...
  • 安全员-A证考试技巧根据新安全员-A证考试大纲要求,安全生产模拟考试一点通将安全员-A证模拟考试试题进行汇编,组成一套安全员-A证全真模拟考试试题,学员可通过安全员-A证作业考试题库全真模拟,进行安全员-A证自测...
  • 网络安全期末复习 - 20190625

    千次阅读 2019-06-25 19:39:57
    not-a-virus 标明不是恶意程序,Adware标明是广告 注:主要有两种,一种是恶意程序,一种不是恶意程序,骚扰程序 注:两种情况 2.c语言转换成汇编怎么写: c: func(a,b,c); 汇编: push c push b push a ...
  • 外挂作者通过将游戏文件被静态修改并被重新打包和签名,就可以不需要购买游戏就能体验游戏的所有玩,或者在游戏中打广告、散播色情、恶意言论 1)修改游戏资源 概念 一般而言,可以尝试在游戏的资源目录中替换...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 7,193
精华内容 2,877
关键字:

广告法安全用什么替换