作者声明:
1.本文整合了Web安全课程中ppt要点、课堂笔记以及网上的部分内容,原则上禁止转载;
2. 本文仅作为个人笔记,以方便查阅,复习,并没有盈利目的;
3. 本文中大多数概念解释直接摘自网上或者上课的ppt,并不是原创。
1.CERT/CC 和 CNCERT/CC
CERT/CC
Computer Emergency Response Team/Coordination Center
美国计算机紧急事件响应小组协调中心
CNCERT/CC
- 中国国家计算机网络应急技术处理协调中心(中国国家互联网应急中心
2. Definition of Information Security
What about Security?
- Security: The quality or state of being secure—to be free from danger.
What are the layers of security?
Physical security
Personal security
Operations security
Communications security
Network security
Information security
Next, the Information Security means:
protecting information and information systems from unauthorized access, use, disclosure, disruption, modification, perusal, inspection, recording or destruction.
信息安全指保护信息和信息系统免受未经授权的访问、 使用、披露、破坏、修改、审阅、检查/探测、记录或销毁。
一般认为,信息安全主要包括以下五方面的内容:信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性。
信息安全的根本目的是使内部信息不受外部威胁,因此信息通 常要加密;为保障信息安全,要求有信息源认证和访问控制; 还要排除非法软件驻留和非法操作的可能性。
Then, We can see the threat to the Information Security:
窃取:非法用户通过数据窃听的手段获得敏感信息。
截取:非法用户首先获得信息,再将此信息发送给接收者。
伪造:将伪造的信息发送给接收者。
篡改:非法用户对合法用户之间的通讯信息进行修改,再发送 给接收者。
拒绝服务攻击:攻击服务系统,造成系统瘫痪,阻止合法用户 获得服务。
行为否认:合法用户否认已经发生的行为。
非授权访问:未经系统授权而使用网络或计算机资源。
传播病毒:通过网络传播计算机病毒。
In addition,
信息安全覆盖范围广泛,从国家事务的机密安全,到防 范商业企业机密泄露、防范青少年对不良信息的浏览、 防止个人信息泄露等。
网络环境下的信息安全体系是保证信息安全的关键,其 中包括了计算机安全操作系统、安全协议、安全机制 (如 数字签名、信息认证、数据加密) 等,其中任何一个安全 漏洞都可能对全局安全造成威胁。
信息安全服务至少应该包括支持信息网络安全服务的基 本理论,以及基于新一代信息网络体系结构的网络安全 服务体系结构。
Information Security, Computer Security and Information Assurance
Similarities
- Protecting the Confidentiality, Integrity and Availabilityof information
Differences(注:我觉得第一点和第二点表达的是同一个意思)
The approach to the subject
The methodologies used
The areas of concentration
3. Key Concepts of Information Security
The value of information comes from the characteristics it possesses :
- Availability, Accuracy, Authenticity, Confidentiality, Integrity, Utility, Possession
CIA triad
confidentiality, integrity and availability
to be the core principles of information security.
Confidentiality
Data confidentiality: Assures that confidential information is not disclosed to unauthorized individuals
Privacy: Assures that individual control or influence what information may be collected and stored(注:没搞懂这句话的意思,先做个记号)
Integrity
Data integrity: assures that information and programs are changed only in a specified and authorized manner.
System integrity: assures that a system performs its operations in unimpaired (未受损害) manner .
Availability
- Assure that systems works promptly(迅速的) and service is not denied to authorized users
Authenticity
- The property of being genuine and being able to be verified and trusted; confident in the validity of a transmission, or a message, or its originator
Accountability
- Generates the requirement for actions of an entity to be traced uniquely to that individual to support nonrepudiation, deference, fault isolation, etc. (注:没搞懂这句话的意思,先做个记号)
确保信息系统的安全和可靠, 包括:
真实性:判断信息的来源,能对伪造来源的信息予以鉴别
保密性:保证机密信息不被窃听,或机密信息的真实含义不被 窃听者了解
完整性:保证数据的一致性,防止数据被非法用户篡改
可用性:保证合法用户对信息和资源的使用不会被不正当地拒绝
不可抵赖性:建立有效的责任机制,防止用户否认其行为
可控制性:对信息的传播及内容具有控制能力
可审查性:对出现的网络安全问题提供调查的依据和手段
Levels of security breach impact (安全事件的影响级别)
Low
Moderate
High
3. 信息资产
信息资产由两部分组成:
信息资产的载体
附加价值
信息资产的载体
网络资源
硬件
数据和程序
为什么要保护信息资产?
保护其信息价值;
保护其价值转移合法性。
- eg. A 拿了B的钱存入自己的账号,B的钱转移了,但自己的账号存款并没有增加,故这是一个非法的价值转移。(可用这个例子类比到信息资产价值转移合法性)
4. 挂马(Hang Horse)
所谓的挂马,就是黑客通过各种手段,包括SQL注入,网站敏感文件扫描,服务器漏洞,网站程序0day, 等各种方法获得网站管理员账号,然后登陆网站后台,通过数据库“备份/恢复”或者上传漏洞获得一个webshell。利用获得的webshell修改网站页面的内容,向页面中加入恶意转向代码。也可以直接通过弱口令获得服务器或者网站FTP,然后直接对网站页面直接进行修改。当你访问被加入恶意代码的页面时,你就会自动的访问被转向的地址或者下载木马病毒 。
5. 拖库
拖库本来是数据库领域的术语,指从数据库中导出数据。到了黑客攻击泛滥的今天,它被用来指网站遭到入侵后,黑客窃取其数据库。
6. 漏洞(System Hole)
漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。
利用漏洞攻击的三要素
出现漏洞
被攻击者接触
攻击者有能力利用漏洞
安全漏洞产生的可能原因:
恶意:程序员留后门(暗号泄露、叛变,后门响应程序给予最高权限)
能力:开发人员能力局限性
硬件 (注:待补充)
7. AAA服务器
AAA是验证、授权和记账(Authentication、Authorization、Accounting )三个英文单词的简称,是一个能够处理用户访问请求的服务器程序,提供验证授权以及帐户服务,主要目的是管理用户访问网络服务器,对具有访问权的用户提供服务。
验证(Authentication): 验证用户是否可以获得访问权限。
授权(Authorization) : 授权用户可以使用哪些服务。
记账(Accounting) : 记录用户使用网络资源的情况。
AAA服务器管住了数据库的入口。
8. User Application Security
User Application Security
终端安全
开发商目标代码安全
平台安全
apk安全