信息安全概述
1. 信息安全现状及挑战
1.1 攻击事件频发
数据泄露:2018 年,万豪酒店发生大规模数据泄露事件,涉及 5 亿客户的姓名、联系方式、信用卡信息等,事件曝光后,万豪酒店股价单日下跌 6.9%,同时面临全球多地监管机构的巨额罚款,品牌形象严重受损。
勒索病毒:2023 年,俄罗斯五十多家企业遭遇新型勒索病毒攻击,攻击者不仅加密了企业核心业务数据,还窃取了大量敏感信息并威胁公开,导致这些企业生产停滞,直接经济损失超过 10 亿美元。
国家安全层面:“棱镜门” 事件曝光后,各国意识到网络安全已不再仅仅是企业层面的问题,而是上升至国家安全高度,多国纷纷出台政策加强网络空间主权保护和关键信息基础设施防护。
APT 攻击:2018 年平昌冬奥会期间,黑客通过钓鱼邮件向组委会工作人员发送带有恶意附件的邮件,成功入侵内部系统,导致比赛期间部分官方网站宕机,赛事信息发布受到严重影响。
个人信息泄露:2022 年,澳大利亚维多利亚州政府因系统漏洞导致 3 万名雇员的个人信息外泄,包括身份证号、薪资信息等,引发民众对政府数据安全管理能力的强烈质疑。
1.2 传统安全防护失效
传统的防火墙、IPS、杀毒软件等安全产品主要基于特征库进行检测,其工作原理是将检测到的文件或行为与已知的恶意特征进行比对。
然而,在面对变种恶意软件时,由于其特征发生变化,传统设备无法识别;APT 攻击具有极强的隐蔽性和持续性,攻击手段不断更新,特征库难以覆盖;零日漏洞是指尚未被发现或未被修复的漏洞,传统基于特征的防护对此完全无能为力;BYOD(自带设备)的普及使得企业网络边界模糊,大量个人设备接入内网,传统边界防护设备无法对这些设备进行有效管控。
1.3 安全风险能见度不足
(1)新型威胁难识别:水坑攻击是黑客通过入侵目标群体经常访问的网站,在网站中植入恶意代码,当目标访问该网站时便会感染恶意程序,这种攻击方式隐蔽性极强;鱼叉邮件攻击则是针对特定目标精心制作钓鱼邮件,邮件内容往往与目标的工作或生活相关,极具迷惑性;零日漏洞攻击由于没有现成的防御手段,一旦发生,往往造成严重后果。
(2)内网风险潜伏:黑客在入侵内网后,常常会预留后门程序,以便后续再次进入系统,这些后门程序通常伪装成正常文件,难以被发现;部分合法用户可能违反企业安全规定,私自拷贝敏感数据或安装未经授权的软件,给内网带来安全隐患;还有一些异常的数据外发行为,如大量数据在非工作时间被发送至外部邮箱,这些行为如果不及时发现,可能导致数据泄露。
(3)资产不清:随着企业业务的快速发展,新增的 IT 资产如 ERP 系统、财务系统、OA 系统等不断增多,部分资产由于管理疏漏未被及时归档,成为安全防护的 “盲区”。这些未被管理的资产往往存在较多漏洞,容易被攻击者利用,成为入侵企业网络的突破口。
1.4 缺乏自动化防御手段
目前多数企业在处理安全事件时仍高度依赖人工操作。当安全事件发生后,需要安全人员手动收集日志、分析事件原因、制定处置方案,整个过程耗时较长。完全修复一个安全事件可能需要数月时间,而其中的一些关键处理阶段,如漏洞验证、恶意文件隔离等,仅因人工操作就可能耗时数周。这种滞后的响应速度使得攻击者有足够的时间扩大攻击范围,造成更大的损失。相比之下,仅有少数技术领先的企业通过部署自动化防御工具,实现了安全事件的接近实时处理,大大降低了安全事件带来的影响。
2. 信息安全的脆弱性及常见安全攻击
2.1 网络环境的开发性
互联网的 “互联互通” 特性是其最大的优势,它打破了地域限制,实现了信息的快速传播和资源共享。但同时,这种开放性也带来了巨大的安全风险。
开放性使得网络边界变得模糊,外部攻击者可以从多个途径对网络进行攻击,而且攻击来源往往难以追踪。例如,攻击者可以通过匿名代理服务器隐藏自己的真实 IP 地址,发起攻击后很难被溯源,这给网络安全防护带来了极大的挑战。
2.2 协议栈的脆弱性及常见攻击
(1)协议栈自身脆弱性
缺乏数据源验证机制:在网络通信中,很多协议没有对数据的发送者进行严格验证,攻击者可以伪造数据源发送虚假信息,导致接收方做出错误判断。
缺乏机密性保障机制:早期的很多网络协议在设计时没有考虑数据的机密性,数据在传输过程中以明文形式发送,容易被攻击者截获并窃取。
缺乏完整性验证机制:部分协议无法验证数据在传输过程中是否被篡改,攻击者可以修改传输中的数据,破坏数据的完整性。
(2)各层级常见攻击
| 网络层级 | 常见攻击 | 详细说明 |
| 物理层 | 设备破坏、物理窃听、自然灾害 | 设备破坏包括对服务器、路由器、交换机等网络设备的人为损坏;物理窃听如通过光纤监听设备获取光纤中传输的光信号,还原数据内容,或利用红外监听设备接收设备散发的电磁辐射并解析出数据;自然灾害如高温可能导致设备过热宕机,地震、海啸等可能直接摧毁网络基础设施。 |
| 链路层 | MAC 泛洪、ARP 欺骗 | MAC 泛洪是攻击者向交换机发送大量包含不同 MAC 地址和 IP 地址的报文,填满交换机的 MAC 地址表,导致交换机无法正常学习新的 MAC 地址,只能将接收到的报文以广播形式转发,攻击者从而可以窃取到网络中的敏感信息;ARP 欺骗是攻击者冒充目标设备向网络中发送 ARP 应答报文,将目标设备的 IP 地址与攻击者的 MAC 地址进行绑定,使网络中的其他设备将数据发送至攻击者的设备,实现流量劫持。 |
| 网络层 | IP 欺骗、Smurf 攻击、ICMP 攻击 | IP 欺骗是攻击者伪造源 IP 地址发送数据包,使接收方无法正确识别数据包的真实来源,常用于发起 DDoS 攻击或绕过访问控制列表;Smurf 攻击是攻击者向一个网络的广播地址发送带有目标 IP 地址的 ICMP 回声请求报文,该网络中的所有设备都会向目标 IP 地址发送 ICMP 回声应答报文,导致目标设备收到大量应答报文,造成网络拥塞;ICMP 攻击如攻击者向目标网关发送大量的 ICMP 不可达报文,使网关忙于处理这些报文,无法正常转发其他数据。 |
| 传输层 | TCP SYN Flood、UDP 拒绝服务、端口扫描 | TCP SYN Flood 是攻击者向服务器发送大量的 TCP SYN 报文,但不完成三次握手过程,服务器会为这些未完成的连接分配资源,当资源耗尽后,服务器无法再处理正常的连接请求;UDP 拒绝服务是攻击者向目标设备发送大量的 UDP 数据包,占用目标设备的网络带宽和系统资源,使其无法提供正常服务;端口扫描是攻击者通过向目标设备的不同端口发送探测报文,根据返回的报文判断端口是否开放以及对应的服务类型,为后续的攻击做准备。 |
| 应用层 | 漏洞攻击、缓冲区溢出、Web 应用攻击、病毒及木马 | 漏洞攻击是攻击者利用应用程序中存在的漏洞,如远程代码执行漏洞、权限提升漏洞等,获取系统权限或破坏系统;缓冲区溢出是向应用程序的缓冲区写入超过其容量的数据,覆盖相邻的内存空间,可能导致程序崩溃或执行攻击者植入的恶意代码;Web 应用攻击如 SQL 注入是攻击者通过在 Web 表单中输入特殊的 SQL 语句,非法访问或修改数据库中的数据,XSS 攻击是攻击者向 Web 页面中注入恶意脚本,当用户访问该页面时,脚本会在用户的浏览器中执行,窃取用户的 Cookie 等敏感信息;病毒及木马则是通过各种途径侵入应用系统,破坏数据或窃取信息。 |
(3)基本攻击模式
被动威胁:主要表现为截获,包括嗅探和监听等方式。攻击者通过在网络中部署嗅探工具,捕获传输中的数据包并进行分析,从而获取敏感信息,这种攻击方式不会对数据的传输和存储造成直接破坏,但会严重破坏信息的机密性。
主动威胁:包括篡改、中断和伪造。篡改是攻击者非法修改传输或存储中的数据,改变数据的内容,破坏信息的完整性;中断是攻击者通过各种手段使网络服务或系统无法正常运行,如发起 DDoS 攻击导致服务器宕机,破坏信息的可用性;伪造是攻击者伪造虚假的信息或身份,欺骗接收方,如伪造银行网站骗取用户的账号和密码,破坏信息的真实性。
2.3 操作系统的脆弱性及常见攻击
2.3.1 操作系统自身的漏洞
(1)人为原因:在程序编写过程中,为实现不可告人的目的,在程序代码的隐藏处保留后门。
(2)客观原因:受编程人员的能力,经验和当时安全技术所限,在程序中难免会有不足之处,轻则影响程序效率,重则导致非授权用户的权限提升。
(3)硬件原因:由于硬件原因,使编程人员无法弥补硬件的漏洞,从而使硬件的问题通过软件表现。(软件无法解决就大批召回)
2.3.2 缓冲区溢出攻击
原理:缓冲区溢出攻击利用编写不够严谨的程序,通过向程序的缓冲区写入超过预定长度的数据,造成缓存的溢出,从而破坏程序的堆栈,导致程序执行流程的改变
危害:①最大数量的漏洞类型;②漏洞危害等级高。
过程:
防范:
2.4 终端的脆弱性及常见攻击
2.4.1 勒索病毒
定义:勒索病毒是一种特殊的恶意软件,它会感染用户的计算机、手机等终端设备,对设备中的文档、图片、视频等重要数据进行加密,使用户无法正常访问。随后,攻击者会向用户索要赎金,声称只有支付赎金后才会提供解密密钥,让用户恢复数据。
特点:调用加密算法库、通过脚本文件进行Http请求、通过脚本文件下载文件、读取远程服务器文件、通过wscript执行文件、收集计算机信息、遍历文件。
感染与传播方式:
| 传播方式 | 具体说明 | 典型案例 | 主要对象 | 传播方向 |
| 钓鱼软件 | 恶意代码伪装在邮件附件中,诱使用户打开附件 | Hermes、Petya | 个人PC | 外到内 |
| 蠕虫式传播 | 通过漏洞进行网络空间中的蠕虫式传播 | WannaCry、Petya变种 | 无定向,自动传播到有漏洞的设备 | 横向 |
| 恶意软件捆绑 | 通过捆绑正常软件或恶意软件来分发勒索软件 | Globelmposter | 个人PC | 外到内 |
| 暴力破解 | 通过暴力破解RDP端口、SSH端口、数据库端口 | Matrix、Planetary、Crysis | 开放远程管理的Server | 横向、外到内 |
| Exploit Kit分发 | 通过黑色产业链中的Exploit Kit来分发勒索软件 | Cerber | 有漏洞的业务Server | 外到内 |
勒索病毒攻击链分析:
复盘一次勒索病毒事件:
发展阶段:
第一阶段(2008 年前)锁定设备,不加密数据:这一时期的勒索病毒功能相对简单,主要通过锁定用户的操作系统界面,阻止用户访问设备,但不会对数据进行加密,如 LockScreen 家族勒索病毒。用户只需重启设备或进行简单的系统修复即可解除锁定,威胁性相对较小。
第二阶段(2013 年前后)加密数据,交付赎金后解密:随着加密技术的发展,勒索病毒开始具备数据加密功能。它们会对用户的数据进行高强度加密,用户必须支付赎金才能获得解密工具,如 CTB-Locker、TeslaCrypt、Cerber 等。这一阶段的勒索病毒给用户造成了较大的经济损失。
第三阶段(2017 年前后)攻陷单点后,横向扩散:以 WannaCry 为代表的勒索病毒出现,它们利用永恒之蓝等漏洞进行蠕虫式横向扩散,能够在短时间内感染大量终端设备,造成大规模的影响。(通过漏洞或弱命令等方式发起蠕虫式攻击)WannaCry 事件导致全球多个国家的医疗机构、企业等遭受重创,引起了社会对勒索病毒的广泛关注。(Satan等)
第四阶段,加密货币的出现改变勒索格局:勒索病毒开始依托比特币等加密货币实现匿名赎金交易,形成了完整的黑色产业链闭环。攻击者通过加密货币收取赎金,难以被追踪,进一步助长了勒索病毒的嚣张气焰。
第五阶段,RaaS模式初见规模:RaaS(勒索即服务)模式兴起,攻击者将勒索病毒的开发、传播、支付等环节进行模块化封装,以服务的形式提供给其他攻击者使用。其他攻击者只需支付一定的费用,就可以获得勒索病毒工具包和定制化服务,大大降低了攻击门槛,如 GandCrab 勒索病毒就采用了这种模式。
2.4.2 其他终端恶意程序
| 类型 | 定义 | 特点 | 危害 |
| 挖矿病毒 | 一种恶意程序,可自动传播,在未授权情况下占用系统资源,为攻击者谋利,使受害者机器性能明显下降,影响正常使用 | 占用 CPU 或 GPU 等计算资源、自动建立后门、创建混淆进程、定期改变进程名与 PID、扫描 ssh 文件感染其他机器 | 占用系统资源、影响系统正常使用 |
| 特洛伊木马 | 完整木马程序由服务器程序与控制器程序组成;“中木马” 指安装了服务器程序,控制器程序拥有者可借此控制安装服务器程序的电脑 | 注入正常程序,用户执行正常程序时启动自身;自动在任务管理器隐藏,以 “系统服务” 欺骗系统;含危险功能,具备自动恢复功能且开特殊端口 | 个人隐私数据泄露,占用系统资源 |
| 蠕虫病毒 | 可自我复制的代码,通过网络传播,无需人为干预;入侵并控制一台计算机后,以其为宿主扫描感染其他计算机 | 不依赖宿主程序、利用漏洞主动攻击、通过蠕虫网络隐藏攻击者位置 | 拒绝服务、隐私信息丢失 |
| 宏病毒 | 寄存在文档或模板宏中的计算机病毒 | 感染文档、传播速度极快、病毒制作周期短、多平台交叉感染 | 感染的文档无法正常打印;封闭或改变文件存储路径、改名;非法复制文件,封闭菜单,无法正常编辑;调用系统命令,破坏系统 |
| 流氓软件/间谍软件 | 流氓软件:未明确提示或未经许可,在用户终端安装运行,侵害合法权益(不含法定计算机病毒) 间谍软件:用户不知情时安装后门、收集信息,削弱用户对自身使用体验、隐私和系统安全的控制能力 | 强制安装、难以卸载、浏览器劫持、广告弹出、恶意收集信息、恶意卸载、恶意捆绑等 | 窃取隐私,影响用户使用体验 |
| 僵尸网络 | 采用一种或多种传播手段,将大量主机感染僵尸程序,形成控制者与被感染主机间一对多控制的网络 僵尸程序:实现恶意控制功能的代码 控制服务器:控制和通信(C&C)中心服务器 | 可控制的网络(非物理拓扑结构网络);有分布性,随 bot 程序传播不断添加新僵尸计算机,能一对多执行恶意行为 | 拒绝服务攻击;发送垃圾邮件;窃取秘密;滥用资源;僵尸网络挖矿 |
2.4.3 终端安全防范
2.5 其他常见攻击
| 攻击类型 | 原理 | 防御手段 |
| 社工攻击 | 利用 “社会工程学” 实施网络攻击,通过与他人合法交流,影响其心理,使其透露机密信息或做出特定动作 | 定期更换系统账号密码,使用高强度密码 |
| 人为因素--无意行为 | 工作失误(如按错按钮 )、经验问题(对程序作用了解不足 )、体制不健全(随意告知账号 ) | 1. 提升安全意识,定期对非 IT 人员培训;2. 设置强授权和信任方式,完善最低权限访问;3. 完善管理措施,保障安全制度落地;4. 利用安全手段保护核心资产 |
| 人为因素--恶意行为 | 出于政治、经济等目的,借助病毒、破坏性程序、网络黑客,利用公开攻击手段和程序 | |
| 拖库、洗库、撞库 | 拖库:入侵站点盗走用户资料数据库;洗库:对盗取数据变现;撞库:用盗取数据在其他网站尝试登录 | 重要网站 / APP 密码独立;电脑勤打补丁、装杀毒软件;不用 IE 浏览器;用正版软件;公共场合不借公共无线处理私密;无线 AP 用安全加密;密码复杂、电脑锁屏 |
| 跳板攻击 | 不直接攻击目标,先攻破中间系统作为 “跳板”,通过跳板实施攻击 | 安装防火墙控制流量;系统默认不用超级管理员登录,用普通用户并做好权限控制 |
| 钓鱼式攻击/鱼叉式钓鱼攻击 | 钓鱼式:伪装成可信法人媒体,骗取用户名、密码等;鱼叉式:针对特定目标攻击 | 保证网络站点与用户安全传输;加强站点认证;即时清除网钓邮件;加强站点监管 |
| 水坑攻击 | 确定目标常访问网站并入侵,植入恶意软件感染目标 | 浏览器或软件用最新版本,打补丁消除漏洞;用户监控确保软件为最新;检测到恶意内容,运维监控网站和网络、阻止流量 |
3. 信息安全要素
| 五要素 | 定义与原理 | 典型保障/实现方式 | 案例说明 |
| 保密性 | 确保信息不暴露给未授权实体或进程,即便被截获,攻击者也无法知晓真实内容,对抗被动攻击 | 加密技术(明文→密文,经加密、解密过程保障 ) | QQ 被盗,因信息未保密,出现被举报、亲人被骗等情况 |
| 完整性 | 只有授权者能修改实体 / 进程,且可判别是否被修改,防篡改 | 完整性鉴别机制(验证数据是否被非法改动 ) | 数据被黑,个人权限遭入侵破解,重要数据被盗取删除,破坏完整性 |
| 可用性 | 授权实体可获服务,攻击者无法占用资源阻碍授权者工作,通过访问控制机制保障 | 访问控制(区分授权与未授权用户,为授权用户提供资源服务 ) | 数据被加密(如勒索病毒加密 ),致业务无法正常开展,破坏可用性 |
| 可控性 | 对危害国家信息等情况监视审计,控制授权范围内信息流向与行为,借授权机制实现 | 监视审计机制、授权机制(控制信息传播范围、内容,必要时恢复密钥 ) | 人肉个人信息,个人信息被外泄扩散,说明信息流向失控,破坏可控性 |
| 不可否认性 | 为安全问题调查提供依据手段,借审计、监控等机制,让攻击者等 “逃不脱”,实现可审查性 | 审计日志、监控、防抵赖机制(记录操作行为,用于追溯 ) | 黑掉公司服务器,因缺乏审计追溯,不清楚被黑过程和人员,体现需不可否认性保障 |