開展網絡安全等級保護工作的流程如下:
一是定級
網絡運營者根據《網絡安全等級保護定級指南》初步確定網絡的安全保護等級,組織召開專家評審會,對初步定級結果的合理性進行評審,出具專家評審意見,將初步定級結果上報行業主管部門進行審核。
二是備案
網絡運營者將網絡定級材料向公安機關備案,公安機關對定級準確、符合要求的網絡發放備案證明。
三是等級測評
網絡運營者選擇符合國家規定條件的測評機構,對第三級以上網絡每年開展等級測評,查找發現問題隱患,提出整改意見。
四是安全建設整改
網絡運營者根據網絡的安全保護等級,按照國家標準開展安全建設整改。
五是監督檢查
公安機關每年對網絡運營者開展網絡安全等級保護工作的情況和網絡的安全狀況實施執法檢查。
防范滲透測試的方法如下:
隱藏好IP可以采用cdn加速,不僅可以隱藏了真是ip,還可以讓用戶訪問網站的時候不會延遲(俗稱網站卡)。
網站的賬號密碼口令要設置復雜點,平常注冊的時候提示什么數字字母特殊符號的。
網站后臺的路徑要隱藏好,不采用默認的后臺路徑,很多網站都不注意這一點,很容易被攻擊。
服務器的補丁一定及時打好,定時更新服務器的漏洞。
服務器備份,一定不要吝嗇服務器的預算,要及時做好更新備份。
服務器的防火墻。不要亂傳來路不明以及不好的內容到網站的目錄。
常用的端口都要關閉比如21、22、8080等重要的端口。
開啟防火墻。
最后不要存在弱命令,把密碼復雜化數字字母特殊符號。
一般有以下幾種類型的URL可以利用漏洞:
特別長的URL,比如紅色代碼攻擊網站的URL就是這樣的。
特殊字符或者字符串的URL,比如在URL后面加::$DATA可以看到網頁(ASP)源代碼。
URL中含有可執行文件名,最常見的有cmd.exe。
未過濾非法請求和無法判別哪些請求是合法的URL。
Web應用程序采用以下防御機制:
處理用戶訪問應用程序的數據與功能,防止用戶獲得未授權訪問。
處理用戶對應用程序功能的輸人,防止錯誤輸入造成不良行為。
防范攻擊者,確保應用程序在成為直接攻擊目標時能夠正常運轉,并采取適當的防御與攻擊措施挫敗攻擊者。
管理應用程序本身,幫助管理員監控其行為,配置其功能。
防止sql入侵檢測的防御措施主要由如下幾種:
使用 SQLi 檢測工具。一些網絡安全供應商和開源開發人員提供自動 SQL 注入工具來識別潛在漏洞。對于開源檢測工具,SQLMap和jSQL仍然是最受歡迎的兩個工具。
過濾SQL需要的參數中的敏感字符(注意加入忽略大小寫)。
禁用數據庫服務器的xp_cmdshell存儲過程,刪除相應用到的dll。
屏蔽服務器異常信息。
WEB滲透測試流程如下:
前期的交互階段:該階段通常是用來確定滲透測試的范圍和目標;
信息情報搜集階段:該階段需要采用各種方法來收集目標主機的信息包括使用社交媒體等網絡信息范圍內的已知事物,Google Hacking技術,目標系統踩點等;
威脅的建模階段:該階段主要是使用信息搜集階段所獲得的信息,來標識目標系統有存在可能存在的安全漏洞與弱點的方法之一;
漏洞分析利用階段:該階段將綜合從前面幾個環節中獲取到的信息,從中分析理解那些攻擊和用途徑是可行的,特別是需要重點分析端口和漏掃描結果,截獲到服務的重要信息,以及在信息收集環節中得到其他關鍵性的位置信息;
滲透攻擊實施階段:該階段是利用上述步驟收集的信息進行攻擊,可能是存在滲透測試過程中最吸引人的地方,然后在這種情況下,往往沒有用戶所預想的那么一帆風順,而是曲徑通幽,在攻擊目標系統主機時,一定要清晰的了解在目標系統存在這個漏洞,否則,根本無法啟動攻擊成功的步驟;
后滲透權限維持階段:該階段在任何一次滲透過程中都是一個關鍵環節,該階段將以特定的業務系統作為目標,識別出關鍵的基礎設施,并尋找客戶組織罪具有價值和嘗試進行安全保護的信息和資產;
報告階段:報告是滲透測試過程中最重要的因素,使用該報告文檔可以交流滲透測試過程中做了什么,如何做的以及最為重要的安全漏洞和弱點。
如何避免中間人攻擊,啟用虛擬專用網(VPN)是另一種解決方案,在某些情況下也可以起到保護的作用,VPN是架構在公用網絡服務商所提供的網絡平臺之上的邏輯網絡,用戶數據在邏輯鏈路中傳輸可以起到信息安全保護的作用。但是這種方法有一些限制。鑒于VPN是通過建立“安全通道”來實現,這種方法無法保護在公共WiFi下使用網絡的移動設備
為了給一些敏感數據提供最佳保護,個人和組織需要發展一種全面地移動安全解決方案。雖然目前在合法網絡情況下傳統個人電腦的安全已經得到保障,但是這些組織應該在不影響用戶體驗感的基礎上,為移動設備提供終端保護,保護這些設備可能遇到的各種不可控網絡。但是要注意,移動安全空間非常的吵雜。雖然很多公司都聲稱可以保護你的手機,但是很少能夠真正的做到保護你的銀行帳號和個人信息免受網絡的攻擊。當前最流行的殺毒軟件甚至不能保護你免于最業余的攻擊。
域名劫持常見攻擊方法有:
假扮域名注冊人和域名注冊商通信:這類域名盜竊包括使用偽造的傳真,郵件等來修改域名注冊信息,有時候,受害者公司的標識之類的也會用上。增加可信度。
偽造域名注冊人在注冊商處的賬戶信息:攻擊者偽造域名注冊人的郵件和注冊商聯系。然后賣掉域名或者是讓買家相信自己就是域名管理員,然后可以獲利。
偽造域名注冊人的域名轉移請求:這類攻擊通常是攻擊者提交一個偽造的域名轉讓請求,來控制域名信息。
直接進行一次域名轉移請求:這類攻擊有可能改dns,也有可能不改,如果不改的話。是很隱蔽的。但最終盜竊者的目的就是賣掉域名。
修改域名的DNS記錄:未經授權的DNS配置更改導致DNS欺騙攻擊,也稱作DNS緩存投毒攻擊。
減少MITM攻擊造成危害的措施有以下這些:
通過采用動態ARP檢測:DHCP Snooping等控制操作來加強網絡基礎設施
采用傳輸加密:SSL和TLS可以阻止攻擊者使用和分析網絡流量。像Google等公司如今都有高級的網站搜索引擎優化,默認狀態下都提供HTTPS。
使用CASBs云訪問安全代理:CASBs可以提供加密、訪問控制、異常保護以及數據丟失保護等一系列功能。
創建RASP實時應用程序自我保護:這是一個新概念,內置于應用程序中,用來防止實時攻擊。
阻止自簽名證書:自簽名證書很容易偽造。但是目前還沒有撤銷它們的機制。所以,應該使用有效證書頒發機構提供的證書。
強制使用SSLpinning:這是對抗MiTM攻擊的另一種方式。使用有效證書頒發機構提供的證書是第一步,它是通過返回的受信任的根證書以及是否與主機名匹配來驗證該服務器提供的證書的有效性。通過SSL pinning可以驗證客戶端檢查服務器證書的有效性。
安裝DAM數據庫活動監控:DAM可以監控數據庫活動,檢測篡改數據。
加強網絡安全防范法律法規等方面的宣傳和教育,提高安全防范意識。
加固網絡系統,及時下載和安裝系統補丁程序。
盡量避免從互聯網上下載不知名的軟件和游戲程序。
不要隨意打開來歷不明的電子郵件及文件、運行不熟悉的人給予的程序。
基于PKI/WPKI輕量級認證技術內容包括以下四方面:
物聯網安全認證體系:重點研究在物聯網應用系統中,如何基于PKI/WPKI系統實現終端設備和網絡之間的雙向認證,研究保證PKI/WPKI能夠向終端設備安全發放設備證書的方式。
終端身份安全存儲:重點研究終端身份信息在終端設備中的安全存儲方式及終端身份信息的保護。重點關注在終端設備遺失的情況下,終端設備的身份信息、密鑰、安全參數等關鍵信息不能被讀取和破解,從而保證整個網絡系統的安全。
身份認證協議:研究并設計終端設備與物聯網承載網絡之間的雙向認證協議。終端設備與互聯網和移動通信網絡核心網之間的認證分別采用PKI或WPKI頒發的證書進行認證,對于異構網絡之間在進行通信之前也需要進行雙向認證。從而保證只有持有信任的CA機構頒發的合法證書的終端設備才能接入持有合法證書的物聯網系統。
分布式身份認證技術:物聯網應用業務的特點是接入設備多,分布地域廣,在網絡系統上建立身份認證時,如果采用集中式的方式在響應速度方面不能達到要求,就會給網絡的建設帶來一定的影響,因此需要建立分布式的輕量級鑒別認證系統。將對分布式終端身份認證技術、系統部署方式、身份信息在分布式輕量級鑒別認證系統中的安全、可靠傳輸進行研究。
安全審計是基于日志進行的活動,信息安全審計主要是指對系統中與安全有關的活動的相關信息,相關信息一般指的是各種日志信息,進行識別、記錄、存儲和分析。信息安全審計的記錄用于檢查網絡上發送了哪些與安全有關的活動,對計算機網絡環境下的有關活動或行為進行系統的獨立的檢查驗證并作出相應的評價。
安全審計方法有以下這些:
基于規則庫的安全審計方法
基于規則庫的安全審計方法就是將已知的攻擊行為進行特征提取,把這些特征用腳本語言等方法進行描述后放入規則庫中,當進行安全審計時,將收集到的審核數據與這些規則進行某種比較和匹配操作(關鍵字、正則表達式、模糊近似度等),從而發現可能的網絡攻擊行為。基于規則庫的安全審計方法有其自身的局限性。對于某些特征十分明顯的網絡攻擊行為,該技術的效果非常之好;但是對于其他一-些非常容易產生變種的網絡攻擊行為,規則庫就很難用完全滿足要求了。
基于數理統計的安全審計方法
數理統計方法就是首先給對象創建一個統計量的描述,比如一個網絡流量的平均值、方差等等,統計出正常情況下這些特征量的數值,然后用來對實際網絡數據包的情況進行比較,當發現實際值遠離正常數值時,就可以認為是潛在的攻擊發生。但是,數理統計的最大問題在于如何設定統計量的“閥值”也就是正常數值和非正常數值的分界點,這往往取決于管理員的經驗,不可避免產生誤報和漏報。
基于日志數據挖掘的安全審計方法
與傳統的網絡安全審計系統相比,基于數據挖掘的網絡安全審計系統有檢測準確率高、速度快、自適應能力強等優點。帶有學習能力的數據挖掘方法已經在一一些安全審計系統中得到了應用,它的主要思想是從系統使用或網絡通信的“正常”數據中發現系統的“正常”運行模式,并和常規的一些攻擊規則庫進行關聯分析,并用以檢測系統攻擊行為。
其它安全審計方法
安全審計是根據收集到的關于已發生事件的各種數據來發現系統漏洞和入侵行為,能為追究造成系統危害的人員責任提供證據,是一種事后監督行為。入侵檢測是在事件發生前或攻擊事件正在發生過程中,利用觀測到的數據,發現攻擊行為。兩者的目的都是發現系統入侵行為,只是入侵檢測要求有更高的實時性,因而安全審計與入侵檢測兩者在分析方法上有很大的相似之處,入侵檢測分析方法多能應用與安全審計。
跨站點腳本漏洞
跨站腳本攻擊是指惡意攻擊者往Web頁面里插入惡意Script代碼,當用戶瀏覽該頁之時,嵌入其中Web里面的Script代碼會被執行,從而達到惡意攻擊用戶的目的。
xss漏洞通常是通過php的輸出函數將javascript代碼輸出到html頁面中,通過用戶本地瀏覽器執行的,所以xss漏洞關鍵就是尋找參數未過濾的輸出函數。
sql注入漏洞
所謂SQL注入,就是通過把SQL命令插入到Web表單提交或輸入域名或頁面請求的查詢字符串,最終達到欺騙服務器執行指定的SQL語句。具體來說,它是利用現有應用程序,將SQL語句注入到后臺數據庫引擎執行的能力,它可以通過在Web表單中輸入SQL語句得到一個存在安全漏洞的網站上的數據,而不是按照設計者意圖去執行SQL語句。
路徑遍歷漏洞
目錄遍歷(路徑遍歷)是由于Web服務器或者Web應用程序對用戶輸入的文件名稱的安全性驗證不足而導致的一種安全漏洞,使得攻擊者通過利用一些特殊字符就可以繞過服務器的安全限制,訪問任意的文件(可以是Web根目錄以外的文件),甚至執行系統命令。該漏洞常常出現在文件讀取或者展示圖片等對文件讀取交互的功能塊。
任意重定向漏洞
是指當使用者瀏覽某個網址時,將他導向到另一個網址的技術。
操作系統命令注入漏洞
操作系統命令注入(也稱為shell注入)是一個Web安全漏洞,它使攻擊者可以在運行應用程序的服務器上執行任意操作系統(OS)命令,并且通常會完全破壞該應用程序及其所有數據。攻擊者通常可以利用OS命令注入漏洞來破壞托管基礎結構的其他部分,利用信任關系將攻擊轉移到組織內的其他系統。
還存在后門密碼漏洞、某些本地代碼漏洞等。
滲透測試中發現漏洞的方法如下:
信息收集:通過對公開信息的收集,即是指那些暴露在公網上已經存在的漏洞進行收集,在目標站上測試在信息收集過程中這些公開的漏洞;
人工檢測:利用人自身的邏輯識別能力挖掘某些邏輯錯誤而導致的漏洞,或者利用測試人員的經驗深度挖掘漏洞;
漏洞掃描:是指基于漏洞數據庫,通過掃描等手段對指定的遠程或者本地計算機系統的安全脆弱性進行檢測,來發現服務器或者網站已經存在的漏洞。
當前網絡空間內生安全技術主要包括以下這些:
擬態防御:擬態防御是基于動態、異構、冗余信息基礎設施,以“架構決定安全”為主要思想的內生安全技術。擬態防御是中國工程院院士鄔江興首創的技術體系,主張通過非侵入式擬態防御支撐工具、平臺、產品構建視在結構可變的信息系統運行環境,可將隨機發生的網絡威脅事件量化為廣義不確定擾動從多級差模基礎設施環境逃逸的概率問題。擬態防御是一種不依賴網絡威脅行為、特征碼、知識庫的新型內生安全架構,具備主動防御、威脅感知、柔性重構等特點,可大幅度提高信息系統針對已知和未知網絡威脅的防御能力,有效支撐高可用、高可靠信息系統建設。擬態防御技術未來發展將體現分布式、微服務、動態防護、軟件定義等特點,研究分布式內生安全通用運行支撐、基于上下文語義的應用指令動態檢測引擎、基于分布式部署架構的動態防護、內生安全運營等關鍵技術,構建覆蓋威脅感知、響應、分析、管控的自主可控內生安全框架,實現內生安全系列產品和解決方案的開發、度量、測試和標準規范建設。
移動目標防御:移動目標防御是美國國家科學技術委員會提出的基于動態化、隨機化、多樣化思想改造現有信息系統缺陷的理論和方法。其核心思想是構建動態、不確定的網絡空間目標環境,增加攻擊難度,以系統的隨機性和不可預測性來對抗網絡攻擊。移動目標防御常用的技術手段包括:無線通信跳頻抗干擾技術,即通過動態IP,動態網絡混淆進行通信跳頻;指令集隨機化技術,即系統在代碼加載時生成隨機關鍵指令序列;動態內存技術,即系統運行時分配的內存、堆棧地址空間的隨機化。移動目標防御可在網絡、平臺、運行環境、軟件、數據等多個層面實施,不斷變化的目標系統環境和資源配置關系極大地增加了信息系統嗅探難度與系統缺陷的可利用性,是一種主要聚焦于系統運行時的內生安全技術。移動目標防御技術未來發展在于動態變化的可管理性。攻擊面的變化性必須以一種內部可管理的方式來實施,才能在進行主動防御的同時保證任務的連續性及系統的功能與性能。另一方面,要研究系統動態跳變時機和配置的最優方案,這需要統籌系統的資源和狀態表達,平衡系統多樣化、變換速率、可用資源等變量,并在激烈的系統攻防對抗中保持優勢。
可信計算:可信計算保障信息行為的機密性、完整性和真實性,其核心為具備簽注密鑰的安全硬件芯片,簽注密鑰是一個2048位的RSA公共和私有密鑰對,在芯片出廠時隨機生成并且不能改變,私鑰存儲于芯片中,公鑰用來認證及加密發送到該芯片的敏感數據。圍繞可信根,可信計算構建從平臺加電,到BIOS執行、操作系統加載程序,再到操作系統啟動、應用程序執行等層層傳遞的可信鏈,可信計算可保障預設的安全策略的執行落實,有效屏蔽非注冊用戶、設備、系統、程序對信息系統的指令操作,如病毒、木馬、攻擊驅動注入等。我國沈昌祥院士提出的可信計算3.0主動免疫防御體系,基于三層三元對等的可信連接框架,以自主密碼為基礎,以可控芯片為支柱,以雙融主板為平臺,以可信軟件為核心,以對等網絡為紐帶,形成可信生態應用體系,確保系統全程可測可控、防干擾,構建防御與計算并行的免疫計算模式。
零信任架構:零信任架構基于身份而非網絡位置來構建訪問控制體系,為網絡中的人和設備賦予數字身份,將身份化的人和設備進行運行時組合,并為訪問主體設定其所需的最小權限。零信任架構關注業務暴露面的收縮,應用、服務、接口、數據都可以視作業務資源,使用業務資源默認隱藏,所有業務訪問請求進行流量加密和強制授權。通過信任評估模型和算法對訪問的上下文環境進行風險判定,實時地調整對訪問主體的信任評級。通過RBAC和ABAC的組合授權靈活的訪問控制基線,基于信任等級動態地對主體資源訪問進行授權。零信任架構未來的發展方向是訪問控制的動態化和身份分析的智能化,訪問控制的動態化是指通過對業務訪問主體的信任度、環境的風險進行持續度量并動態判定授權,其考量維度可擴大至人、物、環境相關的時間、地址、訪問頻度等信息。智能身份分析能夠通過人工智能、大數據等技術實施自適應訪問控制,對當前系統的權限、策略、角色進行分析,發現潛在的策略違規并觸發工作流引擎進行自動或人工干預的策略調整,構建治理閉環。
以下常見的軟件問題可能導致網絡缺陷:
軟件開發安全意識淡薄:傳統軟件開發更多的重視軟件功能,而不注重對安全風險的管理。軟件開發公司工期緊、任務重,為爭奪客戶資源、搶奪市場份額而倉促發布軟件。軟件開發人員將軟件功能視為頭等大事,對軟件安全架構、安全防護措施認識不夠,只關注是否實現需要的功能,不從“壞人”的角度來思考軟件安全問題。
軟件開發缺乏安全知識:傳統軟件公司中,公司管理層和軟件開發人員都缺乏軟件安全開發知識,不知道如何才能更好地實現安全的軟件。公司管理層缺乏軟件安全開發的管理流程、方法和技巧,缺少正確的安全經驗積累和培訓教材。軟件開發人員大多數僅僅從學校學會編程技巧,不了解如何將軟件安全需求、安全特性和編程方法進行結合。
軟件趨向大型化和復雜化:現代軟件功能越來越強,功能組件越來越多,軟件也變得越來越復雜。可以看出,操作系統的代碼量是相當驚人的,而且隨著版本的更新,代碼量迅速增加。現在基于網絡的應用系統更多地采用了分布式、集群和可擴展架構,使得軟件的內部結構錯綜復雜。研究顯示,軟件漏洞的增長同軟件復雜性、代碼行數的增長呈現正相關的關系,即“代碼行越多,缺陷也就越多”。
軟件第三方擴展增多:目前軟件應用向可擴展化方向發展,成熟的軟件也可以接受開發者或第三方的擴展,系統功能得到擴充,以滿足用戶不同的需求。如Firefox和chrome瀏覽器支持第三方插件、Windows操作系統支持動態加載第三方驅動程序、Word和Excel等軟件支持第三方腳本和組件運行等,這些可擴展性在增加軟件功能的同時,也加重了軟件的安全問題。
軟件使用場景更具威脅:計算機網絡技術拓展了軟件的功能范圍和使用的方便程度,軟件應用獲得了極大的發展。與此同時,網絡環境也給攻擊者帶來了更多的機會,給軟件帶來了更大風險。由于軟件被應用于各種環境,會面對不同層次的使用者,這使得軟件開發需要考慮更多的安全問題。同時,黑客和惡意攻擊者可以比以往獲得更多的時間和機會來訪問軟件系統,并嘗試發現軟件中存在的安全漏洞。
