网络安全是信息安全的重要组成部分,网络安全测评是指采用通用或专用的网络安全评估、测试工具,对信息系统/体系进行安全性检测,测试目标对外来威胁的应对能力,本节主要介绍网络安全事件、网络安全威胁以及网络安全防御等。
1.定义
根据《国家网络安全事件应急预案》,网络安全事件是指由于人为原因、软硬件缺陷或故障、自然灾害等,对网络和信息系统或者其中的数据造成危害,对社会造成负面影响的事件。
2.分类
网络安全事件可分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他事件。
●有害程序事件,分为计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合程序攻击事件、网页内嵌恶意代码事件和其他有害程序事件。
●网络攻击事件,分为拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件。
●信息破坏事件,分为信息篡改事件、信息假冒事件、信息泄露事件、信息窃取事件、信息丢失事件和其他信息破坏事件。
●信息内容安全事件,是指通过网络传播法律法规禁止信息,组织非法串联、煽动集会游行或炒作敏感问题并危害国家安全、社会稳定和公众利益的事件。
●设备设施故障,分为软硬件自身故障、外围保障设施故障、人为破坏事故和其他设备设施故障。
●灾害性事件,是指由自然灾害等其他突发事件导致的网络安全事件。
●其他事件,是指不能归为以上分类的网络安全事件。
1.定义
网络安全威胁是指网络系统所面临的、由已经发生的或潜在的安全事件对某一资源的机密性、完整性、可用性或合法使用所造成的威胁。
2.分类
网络安全威胁主要包括以下几方面。
1)窃听:攻击者通过监视网络数据获得敏感信息,从而导致信息泄露。主要表现为网络上的信息被窃听,这种仅窃听而不破坏网络中传输信息的网络侵犯者被称为消极侵犯者。
2)重传:攻击者事先获得部分或全部信息,以后将此信息发送给接收者。
3)篡改:攻击者对合法用户之间的通信信息进行修改、删除、插入,再将伪造的信息发送给接收者。
4)拒绝服务攻击:攻击者通过某种方法使系统响应减慢甚至瘫痪,阻止合法用户获得服务。
5)行为否认:通信实体否认已经发生的行为。
6)电子欺骗:通过假冒合法用户的身份来进行网络攻击,从而达到掩盖攻击者真实身份、嫁祸他人的目的。
7)非授权访问:没有预先经过同意,就使用网络或计算机资源,被看作非授权访问。
8)传播病毒:通过网络传播计算机病毒,其破坏性非常高,而且用户很难防范。
3.常见威胁
(1)计算机病毒
计算机病毒是一个程序,一段可执行代码,通过复制自身来进行传播,通常依附于软件应用。它可以通过下载文件、交换CD/DVD、USB设备的插拔、从服务器复制文件以及通过打开受感染的电子邮件附件来进行传播。计算机病毒往往会影响受感染计算机的正常运作,或是被控制而不自知,也有计算机正常运作仅盗窃数据等用户非自发启动的行为。预防病毒的方式有修补操作系统以及其捆绑的软件的漏洞、安装并及时更新杀毒软件与防火墙产品、不要打开来路不明的链接以及运行不明程序。
(2)蠕虫
蠕虫可以通过各种手段注入网络,比如通过USB设备和电子邮件附件。电子邮件蠕虫会向其感染的计算机内的所有邮件地址发送邮件,这其中自然也包括了可信任列表内的邮件地址。对付蠕虫病毒要靠杀毒软件的及时查杀。
(3)木马
木马一词起源于荷马史诗中的特洛伊木马,与一般的病毒不同,它不会自我繁殖,也并不“刻意”地去感染其他文件,这一特性使得它看起来并不具有攻击性,甚至会把它当成有用的程序。但是木马会使计算机失去防护,使得黑客可以轻易控制计算机,盗走资料。
(4)间谍软件
当用户下载一个文件或是打开某些网页链接时,间谍软件会未经用户同意而偷偷安装。间谍软件可以设置用户的自动签名,监控用户的按键,扫描、读取和删除用户的文件,访问用户的应用程序甚至格式化用户的硬盘。它会不断将用户的信息反馈给控制该间谍软件的人。这就要求在下载文件时要多加小心,不要打开那些来路不明的链接。
(5)广告程序
广告程序主要是利用发布的广告,通常以弹窗的形式出现。它不会对用户的计算机造成直接的伤害,但是会潜在链接一些间谍软件。
(6)垃圾邮件
垃圾邮件可以简单理解为不受欢迎的电子邮件。大部分用户都收到过,垃圾邮件占据了互联网邮件总数的50%以上。尽管垃圾邮件不是一个直接的威胁,但它可以被用来发送不同类型的恶意软件。此外有些垃圾邮件发送组织或是非法信息传播者,为了大面积散布信息,常采用多台机器同时巨量发送的方式攻击邮件服务器,造成邮件服务器大量带宽损失,并严重干扰邮件服务器进行正常的邮件递送工作。
(7)网络钓鱼
攻击者通过假冒的电子邮件和伪造的Web站点来进行网络诈骗活动,受骗者往往会泄露自己的私人资料,如信用卡号、银行卡账户、身份证号等内容。诈骗者通常会将自己伪装成网络银行、在线零售商和信用卡公司等可信的机构,骗取用户的私人信息。
(8)网址嫁接
网址嫁接是一个形式更复杂的钓鱼。利用DNS系统,普通人就可以建立一个看起来和真的网上银行一模一样的假网站,然后便可以套取那些信以为真的受骗者的信息。
(9)键盘记录器
键盘记录器可以记录用户在键盘上的操作,这样就使得黑客可以搜寻他们想要的特定信息,通过键盘记录器,就可以获取用户的密码以及身份信息。
(10)假的安全软件
这种软件通常会伪装成安全软件。这些软件会提出虚假报警来让用户卸载那些有用的安全软件。当用户进行网络支付等操作时,这些软件就会借机盗取用户信息。
1.定义
网络安全防御是一种网络安全技术,指致力于解决诸如如何有效进行介入控制以及如何保证数据传输的安全性的技术手段,主要包括物理安全分析技术、网络结构安全分析技术、系统安全分析技术、管理安全分析技术及其他的安全服务和安全机制策略。
2.分类
网络安全防御可分为被动安全防御和主动安全防御。被动安全防御也称为传统的安全防御,主要是指以抵御网络攻击为目的的安全防御方法。典型的被动安全防御技术有防火墙技术、加密技术、虚拟专用网络(Virtual Private Network,VPN)技术等。主动安全防御则是及时发现正在遭受攻击,并及时采用各种措施阻止攻击者达到攻击目的,尽可能减少自身损失的网络安全防御方法。典型的主动安全防御技术有网络安全态势预警、入侵检测、网络引诱、安全反击等。
3.主要防御技术
(1)防火墙技术
防火墙是一种较早使用、实用性很强的网络安全防御技术,是最主要的被动安全防御技术之一。防火墙主要用于逻辑隔离不可信的外部网络与受保护的内部网络,或者说是用于对不同安全域的隔离。
(2)虚拟专用网络技术
虚拟专用网络(VPN)技术是一种较早使用、实用性很强的网络安全被动防御技术,其主要的作用是通过加密技术,在不安全的网络中构建一个安全的传输通道,是加密和认证技术在网络传输中的应用。
(3)入侵检测与防护技术
入侵检测与防护技术属于主动防御技术,主要有两种:入侵检测系统(Intrusion Detection System,IDS)和入侵防护系统(Intrusion Prevention System,IPS)。
1)入侵检测系统(IDS)注重的是网络安全状况的监管,通过监视网络或系统资源,寻找违反安全策略的行为或攻击迹象,并发出报警。
2)入侵防护系统(IPS)则倾向于提供主动防护,注重对入侵行为的控制。其设计宗旨是预先对入侵活动和攻击性网络流量进行拦截,避免其造成损失。
(4)网络蜜罐技术
蜜罐(Honeypot)技术是一种主动防御技术,是一个“诱捕”攻击者的陷阱技术。蜜罐系统是一个包含漏洞的诱骗系统,通过模拟一个或多个易受攻击的主机和服务,给攻击者提供一个容易攻击的目标。攻击者往往在蜜罐上浪费时间,延缓对真正目标的攻击,而且可以为安全人员获得入侵取证提供重要的信息和有用的线索,便于研究入侵者的攻击行为。