入侵和攻擊的關系有以下幾種:
入侵與攻擊是直接相關的,入侵是目的,攻擊是手段,攻擊存在于整個入侵過程之中。在現實生活中,要進行入侵的人可能是攻擊者本人,也可能是幕后操縱者。入侵者的目的就是搶奪和占有別人的資源,但他不一定具有攻擊能力,他可以雇用攻擊者來達到入侵的目的。顯而易見,攻擊是由入侵者發起并由攻擊者實現的一種“非法”行為。無論是入侵,還是攻擊,僅僅是在形式上和概念描述上有所區別而已。
對計算機系統和網絡而言,入侵與攻擊沒有什么本質區別,入侵伴隨著攻擊,攻擊的結果就是入侵。例如,在入侵者沒有侵入目標網絡之前,他想方設法利用各種手段對目標網絡進行攻擊(這是在目標網絡外的主動攻擊行為)。當攻擊得手而侵入目標網絡之后,入侵者利用各種手段掠奪和破壞別人的資源(這是在目標網絡內的主動攻擊行為)。
從網絡安全角度看,入侵和攻擊的結果都是一樣的。一般情況下,入侵者或攻擊者可能是黑客、破壞者、間諜、內部人員、被雇用者、計算機犯罪者或恐怖主義者。攻擊時,所使用的工具(或方法)可能是電磁泄漏、搭線竊聽、程序或腳本、軟件工具包、自治主體(能獨立工作的小軟件)、分布式工具、用戶命令或特殊操作等。
網絡安全法以下企業需要做等級保護:
政府機關:各大部委、各省級政府機關、各地市級政府機關、各事業單位等。
金融行業:金融監管機構、各大銀行、證券、保險公司等。
電信行業:各大電信運營商、各省電信公司、各地市電信公司、各類電信服務商等。
能源行業:電力公司、石油公司、煙草公司。
企業單位:大中型企業、央企、上市公司等。
其它有信息系統定級需求的行業與單位。
如果網站存在WAF可以繞過WAF來繼續進行滲透測試,如果客戶不允許進行繞過WAF,可以讓客戶把你滲透測試所用的設備加入白名單從而可以繼續進行滲透測試。一般如果網站存在waf會通過技術手段進行繞過,這樣即可以檢測waf的安全防護能力又能對網站進行滲透測試,但是在繞過waf時不能使用暴力手段影響服務器的正常運行,繞過waf時需要和服務器管理員聯系。
常見的waf繞過技巧有以下這些:
pipline繞過:pipline繞過利用了HTTP的管道化技術,HTTP遵循請求響應模型,發起A請求,目標返回A請求的響應,當然,WAF也是如此。利用這個原理使用管道化連接可以在發起請求的同時發送多個HTTP請求,如果WAF只判斷第一個請求,那么就能成功繞過WAF。
分塊傳輸繞過:分塊傳輸編碼是超文本傳輸協議(HTTP)中的一種數據傳輸機制,允許HTTP由網頁服務器發送給客戶端應用(通常是網頁瀏覽器)的數據分成多個部分。分塊傳輸編碼只在HTTP協議1.1版本(HTTP/1.1)中提供。分塊傳輸繞過利用了HTTP分塊傳輸編碼的特性,將傳輸的查詢語句分塊,從而繞過WAF的檢查。
HTTP協議覆蓋繞過:HTTP協議覆蓋繞過通過更換Content-Type的類型來繞過WAF的檢測,目前很多WAF對Content-type的類型進行首要的檢測,WAF在對Content-type進行檢查時,對“multipart/form-data”協議的檢測比較少或者把它當作文件上傳進行檢查,所以我們利用這一特性對WAF進行繞過。
通用操作系統基本安全功能有以下幾種:
自主訪問控制:自主訪問控制是由系統TCB定義和控制的系統內命名用戶對命名客體的訪問形式。TCB通過建立訪問控制規則(如訪問控制表)來允許命名用戶以用戶或用戶組的身份有限訪問客體,阻止非授權用戶讀取敏感信息,并控制訪問權限擴散。自主訪問控制機制根據用戶指定的方式或默認方式,阻止非授權用戶和用戶組訪問客體。訪問控制可以為每個命名客體指定命名用戶和用戶組,并規定他們對客體的訪問模式。沒有存取權限的用戶和用戶組可由已被授權用戶指定其對客體的訪問權限。
客體重用:在TCB的空閑存儲客體空間中,對客體初始指定、分配或再分配一個主體之前,撤銷客體所含信息的所有授權。當新的主體獲得對一個已被釋放的客體的訪問權時,這個新的主體不能獲得原主體活動所產生的任何信息。在對資源進行動態管理的系統中,客體資源中的剩余信息不應引起信息泄露。這些客體資源包括內存緩沖區、磁盤空間、進程空間、其他記錄介質、寄存器和外部設備等內容。對剩余信息保護分為子集信息保護、完全信息保護和特殊信息保護三種情況。
審計:TCB能夠創建和維護受保護客體的訪問審計和跟蹤記錄,并能阻止非授權的用戶對它進行訪問或破壞。TCB包含能夠監控可審計安全事件發生與積累的機制,當超過閾值時,能夠立即向安全管理員發出報警。并且,如果這些與安全相關的事件繼續發生或積累,系統應以最小的代價中止它們。
身份鑒別:TCB初始執行時,首先要求用戶標識自己的身份,并使用保護機制(例如,口令)來鑒別用戶的身份,阻止非授權用戶訪問用戶身份鑒別數據。然后,通過為用戶提供一個唯一標識,限制用戶的操作行為,并使用戶對自己的各種行為負責。TCB不僅具備將用戶身份標識與該用戶所有可審計行為相關聯的能力,還具有維護用戶身份識別數據、確定用戶的訪問權限及所授權數據的能力。身份鑒別主要包括鑒別客體(數據鑒別)、鑒別主體(用戶鑒別)及鑒別主體對客體操作的合法性等內容。在系統中,鑒別主體和客體的方法主要是通過為主體和客體附加特定標識來實現的,有用戶標識(如用戶名、口令、IC卡)和數據標識(如數據摘要、屬性)。
數據完整性:系統中的數據主要包括三種形式。一是存儲在存儲介質中的數據;二是從源發地到目的地的傳輸數據;三是正在被處理的數據。系統TCB應能保證這三種數據的完整性。
IaaS供應商需提供如下功能:
資源抽象:使用資源抽象的方法能更好地調度和管理物理資源。
資源監控:通過對資源的監控,能夠保證基礎設施高效運行。
負載管理:通過負載管理,不僅能使部署在基礎設施上的應用更好地應對突發情況,而且還能更好地利用系統資源。
數據管理:數據的完整性、可用性和可管理性是對IaaS的基本要求。
資源部署:將整個資源從創建到使用的流程自動化。
安全管理:保證基礎設施和其提供的資源能被合法地訪問和使用。
計費管理:通過細致的計費管理能使用戶更靈活地使用資源。
訪客對網站進行訪問時,通常都是根據域名來進行訪問,因而通常都需要經過DNS服務器進行域名的解析。如果DNS服務器因DDoS攻擊而無法正常運轉時,也就意味著你的網站通過域名是不能正常訪問的。而高防DNS能夠保證域名解析免受DDoS攻擊影響。
一個網站打開速度的快慢除了跟網站服務器的訪問速度,網站響應請求等因素之外,DNS域名解析的快慢也是一個重要的影響。高防DNS服務器在帶寬上比較充足,在進行域名解析會比普通DNS解析快,這也意味著能加快你網站所訪問的時間。
DNS服務器其實也可以看做一個網站的緩存器,例如一個美國服務器的網站訪問會比較慢,但是如果之前有人訪問過時,網頁的信息就會緩存在DNS服務器中,這樣能夠加速網站的打開速度,DNS服務器通常是通過TTL來控制,對于站長來說,DNS服務器的緩存就是一個雙刃劍,如果網站的域名ip更換需要重新解析,如果解析的時間沒有超過TTL的時,這就以為這網站同樣不能正常打開。
工業互聯網平臺安全威脅中邊緣計算層存在以下缺陷:
邊緣計算層設備普遍缺乏安全設計:邊緣計算層設備地理位置分散、暴露,多通過物理隔離的方式進行保障,普遍缺乏身份認證與數據加密傳輸能力,自身安全防護水平不足。攻擊者容易對設備進行物理控制和偽造,并以此為跳板向其他設備與系統發動攻擊。
邊緣計算層設備可部署的安全防護措施有限:邊緣計算層設備和軟件存在低功耗、低時延等性能需求,資源受限,開發時往往只重視功能需求,導致可部署的安全防護措施有限。由于邊緣設備數量龐大,當遭到APT惡意攻擊時,感染面更大、傳播性更強,很容易蔓延到大量現場設備和其他邊緣節點中。
邊緣計算層設備缺乏安全更新:出于穩定性和可靠性考慮,邊緣計算層設備和軟件部署后一般不升級,大量固件和軟件開發較早,存在長期不更新、產品服務商不提供維護服務甚至已停止服務的情況,不可避免地存在安全漏洞,加劇網絡攻擊風險。
接入技術多樣化增加安全防護難度:連接工業互聯網平臺進行維護、管理的邊緣計算層設備呈指數級增長,在眾多接入場景和需求的驅動下,接入技術不斷更新,給平臺邊緣計算層接入安全防護帶來新的挑戰。
通信協議多樣化成為安全防護新難點:邊緣節點與海量、異構、資源受限的工業現場設備大多采用短距離無線通信技術,邊緣節點與云平臺采用的多是消息中間件或網絡虛擬化技術,多樣化的通信協議為保障邊緣計算層消息的機密性、完整性、真實性和不可否認性等帶來了很大的挑戰。
《密碼法》第二十九條規定,國家密碼管理部門對采用商用密碼技術從事電子政務電子認證服務的機構進行認定,會同有關部門負責政務活動中使用電子簽名、數據電文的管理。
商用密碼:
商用密碼是指對不涉及國家秘密內容的信息進行加密保護或者安全認證所使用的密碼技術和密碼產品。商用密碼技術是商用密碼的核心,是信息化時代社會團體、組織、企事業單位和個人用于保護自身權益的重要工具。國家將商用密碼技術列入國家秘密,任何單位和個人都有責任和義務保護商用密碼技術的秘密。
網絡安全評估:包括對網絡交換設備、安全設備、網絡結構、安全防護措施等安全性的全面評估。
系統安全評估:包括對操作系統安全性的全面評估。
應用安全評估:包括對數據庫管理系統、WEB服務器、中間件和應用軟件的安全性進行全面評估。
管理安全評估:對安全組織機構、安全管理制度、安全運行維護、安全人員培訓等方面進行全面評估。
滲透性測試:對網絡、數據庫和應用系統中存在的安全漏洞和隱患實施本地或遠程的滲透性檢測和驗證,識別系統中存在的各種威脅途徑,并且提出規避措施。
windows系統安全加固包括以下這些方面:
端口和進程:網絡操作系統使用進程向外提供服務,減少無用軟件及服務的任務就是要在所有系統進程中找出多余進程。由于進程通過打開網絡端口向外提供服務,所以找出多余進程的最快方法是觀察進程及端口對應表。Netstat命令顯示協議統計和當前的TCP/IP網絡連接,該命令只有在安裝了TCP/IP協議后才可以使用。通過使用該命令可以列出一個系統上所有打開的TCP/IP網絡監聽端口。這些打開著的端口正是入侵者所要攻擊的,因為它們通向系統平臺內部。因此,作為平臺加固的一部分,用戶使用Netstat命令來識別出無關端口,并由此找到需要刪除或禁用的服務。
安裝系統補丁:所有軟件都有缺陷。為了修復這些錯誤,供應商會發布軟件補丁。如果沒有這些補丁,組織很容易遭受攻擊。在有很嚴格的更改控制策略的組織中,及時安裝補丁會是一個問題。對補丁的徹底測試是這個過程的關鍵部分,因為供應商在解決舊問題時,有可能會引入新的問題。而對于和安全缺陷無關的補丁來說沒有問題。但是,入侵者搜索和利用安全弱點的速度很快,所以要求有更快的安全補丁修正過程。企業必須注意安全補丁的發布,并隨時準備快速地使用它們。
用戶賬戶:用戶賬戶標識了需要訪問平臺資源的實體(無論是應用程序進程還是人)。操作系統通過權限和優先權將用戶賬戶與其訪問控制系統相關聯。因為用戶賬戶是合法進入系統的機制,所以入侵者常常試圖利用用戶賬戶管理和訪問控制中的缺陷。如果可以作為合法用戶輕松地登錄系統,那么為什么還要浪費時間去做自定義緩沖器溢出攻擊呢?用戶賬戶管理的弱點有5個方面:弱密碼、制造商默認的賬戶、基于角色的賬戶、公司默認賬戶,以及廢棄賬戶。在任何情況下,平臺加固的目標是將用戶賬戶數目減少到所需的絕對最小值。
用戶特權:為每一個用戶指派通常只能作為超級用戶運行的特定的應用程序和功能,而不是真正地使用超級用戶賬戶。也可以啟用詳細的日志記錄,使得可以根據任何運行于超級用戶功能追蹤到某個特定的用戶。在特定的應用中,意味著沒有人使用過超級用戶賬戶。
文件系統安全:通過在程序文件上設置SUID標志,某一個進程可以臨時提升其特權用以完成某項任務(例如,訪問文件passwd)。當程序執行時,可以暫時得到這些額外的特權而不用被全授予如此高的特權。這個SUID標志常常過度使用,當它與被黑客修改過的軟件包結合時,被修改的程序執行后會使某個用戶得到全時提升的系統權利。UNIX系統可能有很多帶有這個標志的組件,但是通常只需要它們中的一小部分。建議使用命令從整個系統中刪除不需要SUID標志程序的SUID標志。
遠程訪問的安全:Telnet和rlogin是UNIX系統上最常用的遠程訪問方式。這些系統都不采用加密技術來保護遠程訪問會話。一種被動的網絡監聽攻擊可以看到用戶在進入Telnet或者rlogin會話中按下的每一個鍵。安全Shell(SSH)是一種在UNIX及Window系統上使用的軟件包,它提供與Telnet和rlogin相同功能,但增加了加密會話功能。這個軟件包已經成為用加密和訪問控制的各種可配置級別進行安全遠程訪問的行業標準。
工業互聯網平臺安全對象從防護對象視角分為以下這些:
邊緣計算層:邊緣計算層通過現場設備、系統和產品采集海量工業數據,依托協議轉換,通過邊緣計算設備實現多源異構底層數據的歸一化和匯聚處理,并向云端平臺集成。邊緣計算層安全防護對象主要包括通信協議、數據采集與匯聚、設備接入。
工業云基礎設施層:工業云基礎設施層主要通過虛擬化技術將計算、網絡、存儲等資源虛擬化為資源池,支撐上層平臺服務和工業應用的運行,其安全是保障工業互聯網平臺安全的基礎。工業云基礎設施層安全防護對象可進一步細化,包括虛擬化管理軟件、虛擬化應用軟件、服務器、存儲設備、云端網絡等。
工業云平臺服務層:工業云平臺服務層利用通用PaaS調度底層軟硬件資源,通過容器技術、微服務組件等提供工業領域業務系統和具體應用服務,為工業應用的設計、測試和部署提供開發環境。工業云平臺服務層的安全與工業應用的安全具有強相關性,是保障工業互聯網平臺安全的關鍵要點。工業云平臺服務層安全防護對象可進一步細化,包括工業微服務組件、工業應用開發環境、大數據分析系統、工業數據建模和分析、通用PaaS資源部署、容器鏡像等。
工業應用層:工業應用層涉及專業工業知識、特定工業場景,集成封裝多個低耦合的工業微服務組件,功能復雜,缺乏安全設計規范,容易存在安全漏洞和缺陷。工業應用層是工業互聯網平臺安全的重要防護對象,其安全水平是平臺各層安全防護能力的“外在表現”。工業應用層安全防護對象可進一步細化,包括工業知識庫、應用配置、第三方依賴庫、工業應用接口等。
工業數據:工業數據的實時利用是工業互聯網平臺最核心的價值之一,通過大數據分析系統解決控制和業務問題,能減少人工決策帶來的不確定性。根據《工業數據分類分級指南(試行)》,工業數據包括研發、生產、運維、管理等數據域,是工業互聯網平臺安全的重要防護對象。工業數據安全防護對象可進一步細化為數據生命周期的各個環節,包括銷毀、遷移、共享、使用、分析、存儲、傳輸、采集等。
堡壘機的作用如下:
健全的用戶管理機制和靈活的認證方式。為解決企業T系統中普遍存在的因交叉運維而存在的無法定責的問題,堡壘機提出了采用“集中賬號管理“的解決辦法:集中帳號管理可以完成對帳號整個生命周期的監控和管理,而且還降低了企業管理大量用戶帳號的難度和工作量。同時,通過統的管理還能夠發現帳號中存在的安全隱患,并且制定統的、標準的用戶帳號安全策略。針對平臺中創建的運維用戶可以支持靜態口令、動態口令、數字證書等多種認證方式;支持密碼強度、密碼有效期口令嘗試死鎖、用戶激活等安全管理功能;支持用戶分組管理:支持用戶信息導入導出,方便批量處理。
細粒度、靈活的授權。系統提供基于用戶、運維協議、目標主機、運維時間段(年、月、日、周、時間)等組合的授權功能,實現細粒度授權功能,滿足用戶實際授權的需求。授權可基于:用戶到資源、用戶組到資源、用戶到資源組、用戶組到資源組。
單點登錄功能是運維人員通過堡壘機認證和授權后,堡壘機根據配置策略實現后臺資源的自動登錄。保證運維人員到后臺資源帳號的一種可控對應,同時實現了對后臺資源帳號的口令統一保護與管理。系統提供運維用戶自動登錄后臺資源的功能。堡壘機能夠自動獲取后臺資源帳號信息并根據口令安全策略,定期自動修改后臺資源帳號口令:根據管理員配置,實現運維用戶與后臺資源帳號相對應,限制帳號的越權使用:運維用戶通過堡壘機認證和授權后,SSA根據分配的帳號實現自動登錄后臺資源。
實時監控。監控正在運維的會話,信息包括運維用戶、運維客戶端地址、資源地址、協議、開始時間等:監控后臺資源被訪問情況,提供在線運維操作的實時監控功能。針對命令交互性協議,可以實時監控正在運維的各種操作,其信息與運維客戶端所見完全致。
違規操作實時告警與阻斷。針對運維過程中可能存在的潛在操作風險,SSA根據用戶配置的安全策略實施運維過程中的違規操作檢測,對違規操作提供實時告警和阻斷,從而達到降低操作風險及提高安全管理與控制的能力。對于非字符型協議的操作能夠實時阻斷;
字符型協議的操作可以通過用戶配置的命令行規則進行規則匹配,實現告警與阻斷。告警動作支持權限提升、會話阻斷、郵件告警、短信告警等。
對常見協議能夠記錄完整的會話過程。堡壘機能夠對日常所見到的運維協議如SSH/FTP/Telnet/STHTttptttps/RDPX11/NC等會話過程進行完整的記錄,以滿足日后審計的需求;審計結果可以錄像和日志方式呈現,錄像信息包括運維用戶名稱目標資源名稱客戶端IP、客戶端計算機名稱協議名、運維開始時間、結束時間、運維時長等信息詳盡的會話審計與回放。運維人員操作錄像以會話為單位,能夠對用戶名、日期和內容進行單項查詢和組合式查詢定位。組合式查詢則按運維用戶、運維地址、后臺資源地址、協議、起始時間、結束時間和操作內容中關鍵字等組合方式進行:針對命令字符串方式的協議,提供逐條命令及相關操作結果的顯示:提供圖像形式的回放,真實、直觀、可視地重現當時的操作過程:回放提供快放、慢放、拖拉等方式,針對檢素的鍵盤輸入的關鍵字能夠直接定位定位回放;針對RDP、X11、 VNC協議,提供按時間進行定位回放的功能
豐富的審計報表功能。保壘機系統平臺能夠對運維人員的日常操作、會話以及管理員對審計平臺進行的操作配或者是報警次數等做各種報表統計分析。報表包括:日常報表、會話報表、自審計操作報表、告警報表、綜合統計報表,并可根據個性需求設計和展現自定義報表。以上報表可以EXCEL格式輸出,并且可以以折線、柱狀、圓餅圖等圖形方式展現出來。
應用發布。針對用戶獨特的運維需求,傻壘機推出了業界虛擬桌面主機安全操作系統設備,通過其配合便壘機進行審計能夠完全達到審計、控制、授權的要求,配合此產品可實現對數據庫維護工具、pcAnywhere. DameWare等不同工具的運維操作進行監控和審計。
根據實現方式WAF有以下種類:
單機WAF:這種單機類型的WAF,比較適合個人站長使用(服務器數量少),不太適合大中型企業的規模化部署(試想,服務器數十萬或數百萬,如何進行管理和維護)。
中小型企業自建的擴展WAF:這類WAF要單獨安裝和配置擴展包。在規則的維護上,這種方案比單機模式簡化很多,管理員使用瀏覽器進行管理維護,在不新增Web服務器的情況下,還是比較方便的。此外,這種部署模式,流量的解密在每一臺Web服務器進行,不便作為大型企業執行流量審計的輸入。
云WAF:使用云服務商或第三方WAF服務,工作在反向代理模式,通常和CDN一起使用。云WAF為了解密HTTPS流量,通常需要采用keyless方案,這種方案不需要租戶交出自己網站的私鑰,而是在用戶和云WAF之間啟用另外一張證書,在云WAF到真實服務器之間使用原來的證書。
硬件WAF網關:工作在網絡層的硬件WAF,一般串行或旁路接入網絡,直接對網絡層IP包進行解包,默認不支持HTTPS。隨著HTTPS的普及,工作在網絡層的硬件WAF網關用處已不是太大,通常只能支持明文的HTTP協議。
軟件實現的WAF應用網關:應用網關(Application Gateway),或稱為反向代理服務器,早期只有統一接入、反向代理、負載均衡等功能,但隨著安全形勢的嚴峻,應用網關也開始加入安全特性。最典型的安全特性,就是WAF以及CC攻擊防御。加入安全特性的應用網關,充分利用了各個模塊的優勢,消除了傳統WAF的缺點,通常整合證書管理、HTTPS統一接入、WAF等功能。與硬件WAF網關相比,軟件實現的WAF網關除了可在自有機房部署,也可適用于云計算等場景下的部署。
預防手機詐騙方法如下:
涉及到匯款、借錢等短信和微信的時候需要格外謹慎,哪怕是當事人發的也要打電話像當事人確認;
保管好自己的手機,避免他人盜用相關信息,不要相信陌生的不明短信;
不是熟人發的鏈接不要點擊,是熟人發送的也要慎重;
不要隨意回撥陌生來電。如果有些來電是陌生人打來的話,不要隨意回復;
最好弄個附屬手機號,把公事和私事分開;
要有自我安全意識,避免在公共場合泄露 自己的個人信息如果是在正規場所使用到的話,也要想辦法保護好自己的隱私;
切記不要貪圖便宜,騙子會讓你填一些表來換取優惠券,這樣會導致被騙。
常見的被動攻擊有以下這些方式:
嗅探:嗅探是監視通過計算機網絡鏈路流動的數據。通過允許捕獲并查看網絡上的數據包級別數據,嗅探器工具可幫助定位網絡問題。
越權訪問:這類漏洞是指應用在檢查授權時存在紕漏,使得攻擊者在獲得低權限用戶賬號后,可以利用一些方式繞過權限檢查,訪問或者操作到原本無權訪問的高權限功能。
重放攻擊:也被叫做是重播攻擊、回放攻擊或者是新鮮性攻擊,具體是指攻擊者發送一個目的主機已經接收過的包來達到欺騙系統的目的。重放攻擊主要是在身份認證的過程時使用,它可以把認證的正確性破壞掉。
偽裝:攻擊者假冒用戶身份獲取系統訪問權限。
