包過濾規則檢查經過防火墻的數據包,將數據包中的源地址、目的地址、目的端口(協議+端口)、和所定義的規則進行匹配,如果匹配,則執行該規則的動作。
NAT規則檢查經過防火墻的數據包,將數據包中的源地址、目的端口、和所定義的規則進行匹配,如果匹配,則執行該規則的動作做NAT轉換。
IP規則只進行目的地址的轉換,通過訪問一個公開IP地址,經過防火墻可以將公開的IP地址映射成所保護的真正的IP地址,從而能夠訪問到真正的主機的所有服務。
通過訪問一個公開的IP地址和一個公開的端口,經過防火墻可以將公開的IP地址和端口映射成所保護主機的真正的IP地址和端口。
根據《網絡關鍵設備和網絡安全專用產品目錄(第一批)》有以下這些設備產品:
網絡關鍵設備:一般包括路由器、交換機、服務器、可編程邏輯控制器(PLC設備);
網絡安全專用產品:一般包括數據備份一體機、防火墻、web應用防火墻、入侵檢測系統、入侵防御系統、安全隔離與信息交換產品、反垃圾郵件產品、網絡綜合審計系統、網絡脆弱性掃描產品、安全數據庫系統、網站恢復產品。
詳細見下圖:
信息安全審計實現流程如下:
策略定義
安全審計應在一定的審計策略下進行,審計策略規定哪些信息需要采集、哪些事件是危險事件、以及對這些事件應如何處理等。因而審計前應制定一定的審計策略,并下發到各審計單元。在事件處理結束后,應根據對事件的分析處理結果來檢查策略的合理性,必要時應調整審計策略。
事件采集
包含以下行為:
按照預定的審計策略對客體進行相關審計事件采集。形成的結果交由事件后續的各階段來處理;
將事件其他各階段提交的審計策略分發至各審計代理,審計代理依據策略進行客體事件采集。
事件分析
包含以下行為:
按照預定策略,對采集到事件進行事件辨析,決定1)忽略該事件; 2)產生 審計信息; 3)產生審計信息并報警; 4)產生審計信息且進行響應聯動。
按照用戶定義與預定策略,將事件分析結果生成審計記錄,并形成審計報告;
事件響應
包含以下行為:
對事件分析階段產生的報警信息、響應請求進行報警與響應;
按照預定策略,生成審計記錄,寫入審計數據庫,并將各類審計分析報告發送到指定的對象;
照預定策略對審計記錄進行備份;
結果匯總
主要包含以下行為:
將各類審計報告進行分類匯總;
對審計結果進行適當的統計分析,形成分析報告;
根據用戶需求和事件分析處理結果形成審計策略修改意見。
本機信息收集命令主要有:
用戶列表:分析Windows用戶列表,一定不要忽略administrator;分析郵件用戶,內網/域郵件用戶通常就是內網/域用戶,例如owa。
進程列表:分析殺毒軟件/安全監控工具、郵件客戶端、VPN等。
服務列表:與安全防范工具有關的服務(判斷是否可以手動開關等),存在問題的服務(權限/漏洞)。
端口列表:開放端口對應的常見服務/應用程序(匿名/權限/漏洞等),利用端口進行信息收集,建議深入挖掘(NETBIOS、SMB等)。
補丁列表:分析Windows補丁、第三方軟件(Java/Oracle/Flash等)的漏洞。
本機共享(域內共享在很多時候是相同的):本機共享列表/訪問權限,本機訪問的域共享/訪問權限。
本地用戶習慣分析:歷史記錄、收藏夾、文檔等,特別是遠程終端、PUTTY、FTP及SSH等。有些用戶喜歡在本地保存登錄密碼,通過客戶端可以直接登錄。
計算機網絡安全重要的主要原因在于:
存儲和處理重要信息的政府部門的計算機,往往直接關系到國家政治穩定、經濟興衰、軍事國防等領域,而這些重要機密信息往往成為不法分子、敵對勢力熱衷的攻擊目標。
隨著計算機系統功能的不斷擴展,系統組成越來越復雜、系統規模越來越大,特別是Internet的迅猛發展,存取控制、邏輯連接數量不斷增加,軟件規模空前膨脹,任何隱含的漏洞都可能造成巨大的損失。
人們對計算機系統的依賴性越來越強,甚至在有些領域這種依賴已經無法替代。
計算機應用人員技術水平有限,教育和培訓卻往往跟不上知識更新的需要,操作人員、編程人員和系統分析人員的失誤和缺乏經驗,都會造成系統的安全功能不足。
計算機網絡安全問題涉及許多學科領域,如自然科學、社會科學、密碼學等。就計算機系統的應用而言,安全技術涉及計算機技術、通信技術、存取控制技術、檢驗認證技術、容錯技術、加密技術、防病毒技術、抗干擾技術、防泄漏技術等。因此,它是一個非常復雜的綜合問題,并且其技術、方法和措施都要隨著系統應用環境的變化而不斷變化。
對網絡安全問題重視程度不夠,廣泛存在著重應用輕安全、質量法律意識淡薄、計算機素養不高的問題。計算機系統的安全是相對不安全而言的,許多危險、隱患和攻擊都是隱藏的、潛在的、難以明確卻又是廣泛存在的。
社會工程學常被黑客用于以下攻擊:
結合實際環境滲透:對特定的環境實施滲透,是黑客社會工程學攻擊為了獲取所需要的敏感信息經常采用的手段之一。黑客通過觀察被攻擊者對電子郵件的響應速度、重視程度以及與被攻擊者相關的資料,如個人姓名、生日、電話號碼、電子郵箱地址等,通過對這些搜集的信息進行綜合利用,進而判斷被攻擊的賬號密碼等大致內容,從而獲取敏感信息。
偽裝欺騙被攻擊者:偽裝欺騙被攻擊者也是黑客社會工程學攻擊的主要手段之一。電子郵件偽造攻擊、網絡釣魚攻擊等攻擊手法均可以實現偽造欺騙被攻擊者,可以實現誘惑被攻擊者進入指定頁面下載并運行惡意程序,或者是要求被攻擊者輸入敏感賬號密碼等信息進行“驗證”等,黑客利用被攻擊者疏于防范的心理引誘用戶進而實現偽裝欺騙的目的。據網絡上的調查結果顯示,在所有的網絡偽裝欺騙的用戶中,有高達5%的人會對黑客設好的騙局做出響應。
說服被攻擊者:說服是對互聯網信息安全危害較大的一種黑客社會工程學攻擊方法,它要求被攻擊者與攻擊者達成某種一致,進而為黑客攻擊過程提供各種便利條件,當被攻擊者的利益與黑客的利益沒有沖突時,甚至與黑客的利益一致時,該種手段就會非常有效。
恐嚇被攻擊者:黑客在實施社會工程學攻擊過程中,常常會利用被攻擊目標管理人員對安全、漏洞、病毒等內容的敏感性,以權威機構的身份出現,散布安全警告、系統風險之類的消息,使用危言聳聽的伎倆恐嚇、欺騙被攻擊者,并聲稱不按照他們的方式去處理問題就會造成非常嚴重的危害和損失,進而借此方式實現對被攻擊者敏感信息的獲取。
恭維被攻擊者:社會工程學攻擊手段高明的黑客需要精通心理學、人際關系學、行為學等知識和技能,善于利用人們的本能反應、好奇心、盲目信任、貪婪等人性弱點設置攻擊陷阱,實施欺騙,并控制他人意志為己服務。他們通常十分友善,講究說話的藝術,知道如何借助機會去恭維他人,投其所好,使多數人友善地做出回應。
反向社會工程學攻擊:反向社會工程學是指黑客通過技術或者非技術手段給網絡或者計算機制造故障,使被攻擊者深信問題的存在,誘使工作人員或者網絡管理人員透漏或者泄露攻擊者需要獲取的信息。這種方法比較隱蔽,危害也特別大,不容易防范。
社會工程學常被黑客攻擊的防范措施:
注重保護個人隱私:在網絡信息發達的今天,很多社交網站、電子郵箱等都包含了大量的私人信息,其中生日、年齡、郵件地址、手機號等都對社工攻擊都是有用的主要信息,攻擊者會根據這些信息能再次進行信息挖掘,提高入侵成功的概率。因此,在注冊時盡量不要使用個人真實信息。網絡上五花八門的社交網站,它無疑是無意識泄露信息最多的地方,也是黑客們最喜歡光顧的地方。在網絡上注冊時,如果需要提供真實信息,就要查看這些網站是否提供了對個人隱私信息的保護,是否采取了一些安全措施。對于提供論壇等需要用戶注冊服務的公司,就要從保護個人隱私的角度出發,從程序上采取一些安全措施保護個人信息資料不被泄露。
時刻提高警惕:利用社會工程學進行攻擊的手段千變萬化,比如電子郵件,發件人地址很容易被偽造;公司座機上看到的來電顯示也能被偽造;手機上收到不認識人發來的短信,對方號碼也可以偽造。所以,要時刻提高警惕,不要輕易相信所看到的。
保持理性:很多攻擊者在利用社工進行攻擊時,采用的手段不外乎利用人性的弱點,施加影響。所以,遇到事情應盡量保持理性的思維,特別是在和陌生人溝通時保持理性才不會被對方套話欺騙,這樣有助于減少被社工攻擊的概率。
生活垃圾不要隨意丟棄:看起來毫無用處的生活垃圾可能會被隨意丟掉,但這些生活垃圾一樣也會被有心的黑客利用。因為這些垃圾中可能包含快遞單、賬單、發票、取款機憑條等,在丟棄時并沒有徹底銷毀它們,而是隨意丟棄在垃圾桶。如果被不懷好意的人撿到,就會造成個人信息的泄露。
防止冒充熟人:社工攻擊者常利用身份竊取這種手段對目標進行攻擊,那么該怎么避免這種情況發生?身份竊取是指通過冒充成另外一個人而進行欺詐、竊取等,并獲取非法利益的活動。社交網絡的信息可透露一些頗有價值的內容,如受害者姓名和出生日期。攻擊者會用這些信息猜測或模仿這些用戶,并最終竊取起身份。
等級保護的技術層面對象指以下這些:
機房:對信息系統運營使用單位重要信息系統的機房、配電間、消防間等相關物理環境進行測評,分析其中的問題以及不符合要求的地方;
業務應用軟件:對信息系統運營使用單位重要信息系統進行測評,從應用軟件的安全機制方向,分析應用系統中存在的安全隱患與問題;
主機操作系統:對信息系統運營使用單位重要信息系統相關的服務器的操作系統進行測評,從訪問控制、安全審計、剩余信息保護、入侵防范、惡意代碼防范、資源控制等方向分析其中的安全隱患與問題;
數據庫系統:對信息系統運營使用單位重要信息系統所使用的數據庫進行測評,從身份鑒別、訪問控制、安全審計、資源控制方向分析其中的安全隱患和問題;
網絡設備:對信息系統運營使用單位重要信息系統所使用的網絡設備進行測評,從訪問控制、安全審計、網絡設備防護等方向分析其中的安全隱患與問題。
Python中運算符優先級,括號的優先級是最高的,無論任何時候優先計算括號里面的內容,邏輯運算符的優先級最低。算術運算符可以分為四種,冪運算最高,其次是正負號,然后是 “* / // %”,最后才是加減“+ -”。以下運算符按從上到下,優先級從高到低排列,同行為相同優先級,相同優先級需要考慮結合性:
括號:()
冪運算:**
按位取反:~
正號、負號:+、-
乘、除、取模、取整除:* 、/、 %、 //
加、減:+ 、-
右移、左移:>> 、<<
按位“與”:&
按位“異或”,按位“或”:^ 、|
比較運算符:<= 、< 、>、 >=
等于、不等于:==、!=
賦值運算符:=、%=、/=、//=、-=、+=、*=、**=
身份運算符:is、is not
成員運算符:in、not in
邏輯運算符:and or not
雖然Python運算符存在優先級的關系,但寫程序時不建議寫很長的表達式,建議寫程序時,遵守以下兩點原則:
盡量不要把一個表達式寫的過長過于復雜,如果計算過程的確需要,可以嘗試將它拆分幾部分來寫。
盡量多使用()來控制運算符的執行順序,使用()可以讓運算的先后順序變得十分清楚。
信息安全保障階段常用模型有以下這些:
PDR模型:PDR模型是一個最基礎、最經典的安全模型,最初由美國國際互聯網安全系統公司(ISS)提出,是最早體現主動防御思想的一種安全模型。P是Protection的首字母,D是Detection的首字母,R是Response的首字母,也有說是Reaction的首字母。PDR模型的思想是:攻擊需要時間,如果我們能在對方攻擊發起時及時發現攻擊,并在第一時間做出反應,阻止攻擊,就可以達到安全保護的目的。
PPDR模型:PPDR模型是在PDR模型前加上了一個安全策略(Policy),PPDR模型以策略為中心,開展信息安全保護。
PDRR模型:PDRR模型,是在PDR模式的后面加上了恢復(Recovery),PDRR模型是美國國防部提出的安全模型。
MPDRR模型:MPDRR模型,是在PDR模型的前面增加了管理(Management),在后面增加了恢復(Recovery),這是人們逐漸認識到信息安全管理重要性的產物。
WPDRRC模型:WPDRRC模型是我國國家高技術研究發展計劃信息安全專家組在PDR模型、PPDR模型及PDRR模型的基礎上提出的適合我國國情的動態安全模型。WPDRRC模型在PDRR模型四個環節的基礎上增加了預警(Warning)和反擊(Counterattack)兩個組件,共計六個環節,形成了具有動態反饋關系的整體。預警環節根據已經掌握的系統脆弱性,以及威脅的發展趨勢,預測未來可能受到的攻擊或危害;反擊則是采用必要的技術手段,獲取威脅行為的線索或證據,形成依法打擊的能力。
提前做以下這些可以降低惡意代碼帶來的風險:
安裝和維護防病毒軟件:防病毒軟件可識別惡意軟件并保護我們的計算機免受惡意軟件侵害。安裝來自信譽良好的供應商的防病毒軟件是預防和檢測感染的重要步驟。始終直接訪問供應商網站,而不是點擊廣告或電子郵件鏈接。由于攻擊者不斷地制造新病毒和其他形式的惡意代碼,因此保持我們使用的防病毒軟件保持最新非常重要。
謹慎使用鏈接和附件:在使用電子郵件和網絡瀏覽器時采取適當的預防措施以降低感染風險。警惕未經請求的電子郵件附件,并在單擊電子郵件鏈接時小心謹慎,即使它們貌似來自我們認識的人。
阻止彈出廣告:彈出窗口阻止程序禁用可能包含惡意代碼的窗口。大多數瀏覽器都有一個免費功能,可以啟用它來阻止彈出廣告。
使用權限有限的帳戶:瀏覽網頁時,使用權限有限的賬戶是一種很好的安全做法。如果我們確實受到感染,受限權限可防止惡意代碼傳播并升級到管理賬戶。
禁用外部媒體自動運行和自動播放功能:禁用自動運行和自動播放功能可防止感染惡意代碼的外部媒體在我們的計算機上自動運行。
更改密碼:如果我們認為我們的計算機受到感染,應該及時更改我們的密碼(口令)。這包括可能已緩存在我們的網絡瀏覽器中的任何網站密碼。創建和使用強密碼,使攻擊者難以猜測。
保持軟件更新:在我們的計算機上安裝軟件補丁,這樣攻擊者就不會利用已知漏洞。如果可用,請考慮啟用自動更新。
資料備份:定期將我們的文檔、照片和重要電子郵件備份到云或外部硬盤驅動器。如果發生感染,我們的信息不會丟失。
安裝或啟用防火墻:防火墻可以通過在惡意流量進入我們的計算機之前阻止它來防止某些類型的感染。一些操作系統包括防火墻;如果我們使用的操作系統包含一個防火墻,請啟用它。
使用反間諜軟件工具:間諜軟件是一種常見的病毒源,但可以通過使用識別和刪除間諜軟件的程序來最大程度地減少感染。大多數防病毒軟件都包含反間諜軟件選項,確保啟用。
監控賬戶:尋找任何未經授權的使用或異常活動,尤其是銀行賬戶。如果我們發現未經授權或異常的活動,請立即聯系我們的賬戶提供商。
避免使用公共Wi-Fi:不安全的公共 Wi-Fi 可能允許攻擊者攔截我們設備的網絡流量并訪問我們的個人信息。
郵件外發準則可以一定程度上保證郵件安全,良好的郵件外發準則包括:
通過郵件網關進行發送速率管控
可針對不同部門設置不同外發管理;
針對全部帳戶,限制郵件發送數量;
針對特定群組或自建用戶群組或自定義郵箱地址;
弱密碼賬戶大量發送垃圾郵件及時攔截,避免影響郵件出口信譽,從而引發正常用戶發送失敗。
通過郵件審計外發,建立適當敏感內容管理
通過網關報表
通過管理限制發送
大數據典型隱私保護技術手段包括以下這些:
抑制:抑制是最常見的數據匿名措施,通過將數據置空的方式限制數據發布。
泛化:泛化是指通過降低數據精度來提供匿名的方法。屬性泛化即通過制定屬性泛化路徑,將一個或多個屬性的不同取值按照既定泛化路徑進行不同深度的泛化,使得多個元組的屬性值相同。最深的屬性泛化效果通常等同于抑制。社交關系數據的泛化則是將某些節點以及這些節點間的連接進行泛化。位置軌跡數據可進行時間、空間泛化。
置換:置換方法不對數據內容作更改,但是改變數據的屬主。例如,將不同的個人用戶的屬性值互相交換,將用戶a與b之間的邊置換為a與c之間的邊。
擾動:擾動是在數據發布時添加一定的噪聲,包括數據增刪、變換等,使攻擊者無法區分真實數據和噪聲數據,從而對攻擊者造成干擾。
裁剪:裁剪技術的基本思想是將數據分開發布。例如,對于表結構數據,首先將用戶劃分為不同的組,賦予同一組的記錄相同的組標識符(group id),對應記錄的敏感數據也賦予相同的組標識符,然后將準標識符(如地域、性別等)和敏感數據分別添加組標識符作為兩張新表發布。惡意攻擊者即使可以確定攻擊目標的組標識符,但是無法有效地從具有相同組標識符的敏感數據中判定攻擊目標對應的敏感數據。
密碼學:密碼學手段利用數據加密技術阻止非法用戶對數據的未授權訪問和濫用。
LTE安全架構中有以下安全特性組:
網絡訪問安全:為用戶提供安全訪問服務的一組安全功能,特別是防止(無線電)訪問鏈路受到攻擊。
網絡域安全:使節點能夠安全地在接入網(Access Network,AN)和服務網絡(Serving Network,SN)之間、以及AN內交換信令數據、用戶數據以及防止對有線網絡的攻擊的一組安全功能。
用戶域安全:一組安全功能,用于保護對終端的訪問。
SBA域安全:使SBA體系結構的網絡功能能夠在服務網絡域內以及與其他網絡域進行安全通信。這些特性包括網絡功能注冊、發現和授權安全方面,以及對基于服務的接口的保護。
應用程序域安全性:使用戶域和提供程序域中的應用程序能夠安全地交換消息的一組安全功能。
安全性的可見性和可配置性:一組功能,使用戶能夠通知自己某個安全功能是否在運行,以及服務的使用和提供是否應取決于該安全功能。
漏洞掃描是指基于漏洞數據庫,通過掃描等手段對指定的遠程或者本地計算機系統的安全脆弱性進行檢測,發現可利用漏洞的一種安全檢測(滲透攻擊)行為。根據掃描的執行方式不同,目前漏洞掃描主要掃以下三種類型:
針對web應用:主要掃描的是網站的一些漏洞,分為兩類,一類是常規通用型漏洞(通用型漏洞主要包括:SQL注入、跨站攻擊、XSS注入等);另一類是根據owasp10的標準進行掃描的漏洞;
針對主機系統:主要針對的是一些cve暴露的漏洞、中間件、數據庫、端口等;
APP應用:主要針對APP應用可能存在的反編譯、逆向、反盜等安全問題進行掃描,主要從應用安全、源碼安全、數據安全、惡意行為、應用漏洞、敏感行為、應用URL等方面對APP進行全方位自動化的掃描。
對資產進行識別,并對資產的重要性進行賦值;
對威脅進行識別,描述威脅的屬性,并對威脅出現的頻率賦值;
對資產的脆弱性進行識別,并對具體資產脆弱性的嚴重程度賦值;
根據威脅和脆弱性的識別結果判斷安全事件發生的可能性;
根據脆弱性的嚴重程度及安全事件所作用資產的重要性計算安全事件的損失;
根據安全事件發生的可能性以及安全事件的損失,計算安全事件一旦發生對組織的影響,即風險值。
