作者聲明:
1.本文整合了Web安全課程中ppt要點、課堂筆記以及網上的部分內容,原則上禁止轉載;
2. 本文僅作爲個人筆記,以方便查閱,複習,並沒有盈利目的;
3. 本文中大多數概念解釋直接摘自網上或者上課的ppt,並不是原創。
1.CERT/CC 和 CNCERT/CC
CERT/CC
Computer Emergency Response Team/Coordination Center
美國計算機緊急事件響應小組協調中心
CNCERT/CC
- 中國國家計算機網絡應急技術處理協調中心(中國國家互聯網應急中心
2. Definition of Information Security
What about Security?
- Security: The quality or state of being secure—to be free from danger.
What are the layers of security?
Physical security
Personal security
Operations security
Communications security
Network security
Information security
Next, the Information Security means:
protecting information and information systems from unauthorized access, use, disclosure, disruption, modification, perusal, inspection, recording or destruction.
信息安全指保護信息和信息系統免受未經授權的訪問、 使用、披露、破壞、修改、審閱、檢查/探測、記錄或銷燬。
一般認爲,信息安全主要包括以下五方面的內容:信息的保密性、真實性、完整性、未授權拷貝和所寄生系統的安全性。
信息安全的根本目的是使內部信息不受外部威脅,因此信息通 常要加密;爲保障信息安全,要求有信息源認證和訪問控制; 還要排除非法軟件駐留和非法操作的可能性。
Then, We can see the threat to the Information Security:
竊取:非法用戶通過數據竊聽的手段獲得敏感信息。
截取:非法用戶首先獲得信息,再將此信息發送給接收者。
僞造:將僞造的信息發送給接收者。
篡改:非法用戶對合法用戶之間的通訊信息進行修改,再發送 給接收者。
拒絕服務攻擊:攻擊服務系統,造成系統癱瘓,阻止合法用戶 獲得服務。
行爲否認:合法用戶否認已經發生的行爲。
非授權訪問:未經系統授權而使用網絡或計算機資源。
傳播病毒:通過網絡傳播計算機病毒。
In addition,
信息安全覆蓋範圍廣泛,從國家事務的機密安全,到防 範商業企業機密泄露、防範青少年對不良信息的瀏覽、 防止個人信息泄露等。
網絡環境下的信息安全體系是保證信息安全的關鍵,其 中包括了計算機安全操作系統、安全協議、安全機制 (如 數字簽名、信息認證、數據加密) 等,其中任何一個安全 漏洞都可能對全局安全造成威脅。
信息安全服務至少應該包括支持信息網絡安全服務的基 本理論,以及基於新一代信息網絡體系結構的網絡安全 服務體系結構。
Information Security, Computer Security and Information Assurance
Similarities
- Protecting the Confidentiality, Integrity and Availabilityof information
Differences(注:我覺得第一點和第二點表達的是同一個意思)
The approach to the subject
The methodologies used
The areas of concentration
3. Key Concepts of Information Security
The value of information comes from the characteristics it possesses :
- Availability, Accuracy, Authenticity, Confidentiality, Integrity, Utility, Possession
CIA triad
confidentiality, integrity and availability
to be the core principles of information security.
Confidentiality
Data confidentiality: Assures that confidential information is not disclosed to unauthorized individuals
Privacy: Assures that individual control or influence what information may be collected and stored(注:沒搞懂這句話的意思,先做個記號)
Integrity
Data integrity: assures that information and programs are changed only in a specified and authorized manner.
System integrity: assures that a system performs its operations in unimpaired (未受損害) manner .
Availability
- Assure that systems works promptly(迅速的) and service is not denied to authorized users
Authenticity
- The property of being genuine and being able to be verified and trusted; confident in the validity of a transmission, or a message, or its originator
Accountability
- Generates the requirement for actions of an entity to be traced uniquely to that individual to support nonrepudiation, deference, fault isolation, etc. (注:沒搞懂這句話的意思,先做個記號)
確保信息系統的安全和可靠, 包括:
真實性:判斷信息的來源,能對僞造來源的信息予以鑑別
保密性:保證機密信息不被竊聽,或機密信息的真實含義不被 竊聽者瞭解
完整性:保證數據的一致性,防止數據被非法用戶篡改
可用性:保證合法用戶對信息和資源的使用不會被不正當地拒絕
不可抵賴性:建立有效的責任機制,防止用戶否認其行爲
可控制性:對信息的傳播及內容具有控制能力
可審查性:對出現的網絡安全問題提供調查的依據和手段
Levels of security breach impact (安全事件的影響級別)
Low
Moderate
High
3. 信息資產
信息資產由兩部分組成:
信息資產的載體
附加價值
信息資產的載體
網絡資源
硬件
數據和程序
爲什麼要保護信息資產?
保護其信息價值;
保護其價值轉移合法性。
- eg. A 拿了B的錢存入自己的賬號,B的錢轉移了,但自己的賬號存款並沒有增加,故這是一個非法的價值轉移。(可用這個例子類比到信息資產價值轉移合法性)
4. 掛馬(Hang Horse)
所謂的掛馬,就是黑客通過各種手段,包括SQL注入,網站敏感文件掃描,服務器漏洞,網站程序0day, 等各種方法獲得網站管理員賬號,然後登陸網站後臺,通過數據庫“備份/恢復”或者上傳漏洞獲得一個webshell。利用獲得的webshell修改網站頁面的內容,向頁面中加入惡意轉向代碼。也可以直接通過弱口令獲得服務器或者網站FTP,然後直接對網站頁面直接進行修改。當你訪問被加入惡意代碼的頁面時,你就會自動的訪問被轉向的地址或者下載木馬病毒 。
5. 拖庫
拖庫本來是數據庫領域的術語,指從數據庫中導出數據。到了黑客攻擊氾濫的今天,它被用來指網站遭到入侵後,黑客竊取其數據庫。
6. 漏洞(System Hole)
漏洞是在硬件、軟件、協議的具體實現或系統安全策略上存在的缺陷,從而可以使攻擊者能夠在未授權的情況下訪問或破壞系統。
利用漏洞攻擊的三要素
出現漏洞
被攻擊者接觸
攻擊者有能力利用漏洞
安全漏洞產生的可能原因:
惡意:程序員留後門(暗號泄露、叛變,後門響應程序給予最高權限)
能力:開發人員能力侷限性
硬件 (注:待補充)
7. AAA服務器
AAA是驗證、授權和記賬(Authentication、Authorization、Accounting )三個英文單詞的簡稱,是一個能夠處理用戶訪問請求的服務器程序,提供驗證授權以及帳戶服務,主要目的是管理用戶訪問網絡服務器,對具有訪問權的用戶提供服務。
驗證(Authentication): 驗證用戶是否可以獲得訪問權限。
授權(Authorization) : 授權用戶可以使用哪些服務。
記賬(Accounting) : 記錄用戶使用網絡資源的情況。
AAA服務器管住了數據庫的入口。
8. User Application Security
User Application Security
終端安全
開發商目標代碼安全
平臺安全
apk安全