前言:因为手边有一本很不错的书,是韩文版的,所以本博文中很多图片可能是韩文版,我都会标注上中文,多有不便请各位海涵。
信息保护概念
什么是信息保护?
信息采集、加工、储存、检索、发送、接收中防止信息的损坏、伪造、泄露等的管理性、技术性手段所构成的行为。
在各种行业中,经常会面临的一个问题就是开销与性能的权衡,一分钱一分货,消费高的产品往往质量上佳。作为一个个体,选择产品时,不能只考虑一部分,只考虑性能的极限则带来的就是极高的购入与维护费用,并非每一个个体可以负担;而最低的消费往往又会带来产品的瑕疵。情报保护也同理。情报保护的可用性与安全性就是天平上的两端,高可用性意外着操作方便,做工效率高;高安全性不需解释。
举一个简单的例子。我们登录时,使用ID与密码登录,但是每一次的登录会觉得很麻烦,因此现在很多cookie技术能允许各种客户端记住密码,这样我们以后的登录就会省略掉,更加方便——带来的问题也很明显,任何使用这台计算机的人都可以以你的身份进行服务操作。那么如何加强安全性呢?那就是我们下机的时候删掉cookie等记录,但是这个删除操作以及你的下次登录操作都会增加一些格外的动作,比起直接下机就显得麻烦了。因此可用性与安全性是天平上的两端,两者的平衡权衡的越好,作为一个产品或技术就更加成熟。
安全的分类
数据安全:对数据操作权限的控制与限定。维护数据库,保护用户资料不会被非管理员进行数据操作。
应用安全:开发的应用程序或者web网站等程序本身有bug,攻击者就可以利用漏洞获得管理者权限,从而进行数据操作。因此,对于应用程序/服务器站点的程序设计本身也是安全的一环。
操作系统安全:操作系统本身有漏洞,攻击者利用漏洞攻击后,则数据与应用都不再安全,因为攻击者本身将等同于合法管理员。对操作系统的加固也就是对数据与应用的保护,例如只允许管理员登录的方式等。
物理安全:无论系统设计的多么完美无缺,把系统硬盘拆下来,所有的安全就都没意义了。物理安全是其他高位安全的基础,最基本的,安全级高的设备不应该放在谁都可以碰触到的地方。
用户安全:培养用户安全意识,进行用户安全教育。
网络安全:数据传输过程中,可能出现被窃听、截取、置换等风险,而预防风险就是网络安全需要准备的。
上述安全的保障离不开政策的有效调控,企业的运维思路是所有安全的统合。信息保护的对象就是数据、应用、OS、物理设备(硬盘)、网络、用户意识等。
CIA系统
CIA:信息系统的安全等级三个性质。CIA是信息保护的核心,CIA的前提条件基于正当的使用者,即合法用户。
| 简称 | 全称 | 说明 |
|---|---|---|
| C | 机密性 | 信息的传递遵循某种协议进行加密,只有授权的用户可以获得正确的信息。 |
| I | 完整性 | 信息在输入和传输/加密和解密的过程中,不被非法授权修改和破坏,保证数据的一致性 |
| A | 可用性 | 保证合法用户对信息和资源的使用不会被不正当地拒绝,合法用户可以对数据进行变更和删除等一系列操作 |
网络安全的威胁
CAIN:一种局域网黑客工具。可以对局域网进行arp欺骗。
攻击的实现:当PC想要访问其他网段地址时,需要将数据包发给路由器,而装有cain的设备进行arp欺骗,告知PC路由器的MAC地址是自己的M2而不是MR。从而,PC将会把所有流量交给CAIN,自然CAIN就能捕获到所有来自PC的流量,也就可以实现窃听、篡改、中断这三个安全攻击。
篡改:DNS劫持:当域名解析结果返回后,CAIN可以将错误的域名解析结果发送给PC。PC将访问一个假的网站且不自知。
截获/窃听监视端口:如果网络管理员或者攻击者能够接触交换机,并对交换机进行监视端口的配置,则不需要使用arp欺骗也能获取网络中的所有流量,当流量经过交换机,交换机会把数据分成两份,一份交给路由器,一份交给监视端口。 (有些交换机不支持配置监视端口的功能)
伪造:假如一个服务器站点只允许192.168.80.120这一个地址访问,则120的计算机关机后,其他计算机只要更改IP地址就能访问服务器站点。这就是一种最简单最直接的伪造,虽然IP地址是120却不是真正的120主机。
中断:拒绝服务攻击(DOS)和分布式拒绝服务攻击(DDOS)。核心就是占据带宽流量,导致正常访问的计算机因为带宽已满而无法与服务器通信,或者极少数设备能够通信,整体影响了该服务器的服务效率。
目前DDOS攻击没有很好的防范手段,因为这种攻击方式是用于攻击带宽而非服务器,服务器不论是防火墙还是系统本身都武力干预。目前的对策只有使用超高带宽的网络,令规模不大的DDOS攻击无效的预防手段,如果攻击规模足够大,则需要将服务器迁移至其他位置。
计算机面临的威胁——恶意程序
病毒:会隐藏地感染计算机,一般对系统的破坏都是隐秘且不容易发觉的。可以改写本身系统的程序或者应用程序,删除关键文件等。是以破坏系统为主要用途的安全威胁。
蠕虫:与病毒不同的是,目的在于消耗系统资源。蠕虫病毒会慢慢蚕食内存和CPU,随机计算机工作时间增长,占用的资源越来越多,导致计算机速度变慢,慢到一定程度重启计算机,然后反复这个过程。
木马:功能性威胁。功能指向性强,比如盗号木马。木马与蠕虫的区别是需要与外界通信,盗号或者系统控制,需要将信息发给攻击者。所以木马必须与外界联系,不与外界联系的木马就是纸老虎,没有存在意义。木马程序的查找:启动计算机后,立刻使用msconfig查询是否有可疑的服务,以及使用cmd命令的netstat -n来检查可疑对话。
逻辑炸弹:有触发条件的病毒,潜伏性更好,症状表现少。发作有规律,一般发觉时已经对系统造成很大程度的损坏。
