常見網(wǎng)絡(luò)安全威脅及防范隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，網(wǎng)絡(luò)攻擊類型與頻率也不斷增長。信息及信息系統(tǒng)由于具備脆弱性、敏感性和機密性等多種特性，易遭受到來自不同手段的威脅或攻擊，比如DDoS攻擊、網(wǎng)絡(luò)入侵、數(shù)據(jù)泄露和中間人攻擊等。只有了解各種威脅來源及其應(yīng)對方式，才能更好地保障信息系統(tǒng)的安全。企業(yè)網(wǎng)絡(luò)實現(xiàn)了企業(yè)內(nèi)部的數(shù)據(jù)傳輸及企業(yè)內(nèi)部與外部的數(shù)據(jù)交互。企業(yè)網(wǎng)絡(luò)的安全性對保證企業(yè)的安全生產(chǎn)至關(guān)重要。本章將以企業(yè)網(wǎng)絡(luò)為場景介紹常見的網(wǎng)絡(luò)安全威脅及應(yīng)對方式。學(xué)完本課程后，您將能夠：描述企業(yè)網(wǎng)絡(luò)受到的常見網(wǎng)絡(luò)安全威脅描述常見網(wǎng)絡(luò)安全威脅的應(yīng)對方式企業(yè)網(wǎng)絡(luò)安全威脅概覽通信網(wǎng)絡(luò)安全需求與方案區(qū)域邊界安全威脅與防護計算環(huán)境安全威脅與防護管理中心安全需求與方案企業(yè)網(wǎng)絡(luò)安全威脅概覽(1)企業(yè)存在來自內(nèi)部和外部的安全威脅，下圖是一張典型的企業(yè)網(wǎng)絡(luò)架構(gòu)圖：員工區(qū)2員工區(qū)1運營商邊界區(qū)域計算環(huán)境（辦公區(qū)）計算環(huán)境（服務(wù)器區(qū)）管理中心AntiDDoSATIC防火墻IPS路由器核心交換機接入交換機郵件服務(wù)器Web服務(wù)器UMA堡壘機iMaster-NCEDDoS攻擊病毒企業(yè)網(wǎng)絡(luò)安全威脅概覽(2)企業(yè)通常采取管理和技術(shù)兩方面的措施規(guī)避安全風險，在管理上，通常制定各類安全制度、運維要求或應(yīng)急流程，以提升員工的安全意識。安全意識是一切防御手段的基礎(chǔ)，針對全體員工定期展開安全意識培訓(xùn)，明確安全制度與規(guī)則，可以幫助企業(yè)避免大部分由于誤操作引起的信息泄露或其他信息安全事件。為了有針對性地防范企業(yè)網(wǎng)絡(luò)安全威脅，企業(yè)工程師會根據(jù)威脅來源將網(wǎng)絡(luò)劃分為不同區(qū)域：通信網(wǎng)絡(luò)架構(gòu)邊界區(qū)域管理中心計算環(huán)境企業(yè)網(wǎng)絡(luò)區(qū)域企業(yè)網(wǎng)絡(luò)安全威脅概覽通信網(wǎng)絡(luò)安全需求與方案區(qū)域邊界安全威脅與防護計算環(huán)境安全威脅與防護管理中心安全需求與方案需求1-網(wǎng)絡(luò)架構(gòu)可靠性從第三級等級保護（監(jiān)督保護級）開始，安全通信網(wǎng)絡(luò)部分中網(wǎng)絡(luò)架構(gòu)要求：應(yīng)提供通信線路、關(guān)鍵網(wǎng)絡(luò)設(shè)備和關(guān)鍵計算設(shè)備的硬件冗余，保證系統(tǒng)的可用性。防火墻作為企業(yè)出口區(qū)域的關(guān)鍵設(shè)備，應(yīng)該具備高可靠性，不僅是線路的高可靠性，也需要保障設(shè)備的高可靠性。右圖所示為防火墻高可靠組網(wǎng)方式。主機A訪問外網(wǎng)流量主機B訪問外網(wǎng)流量內(nèi)網(wǎng)主機A主機B防火墻AMaster防火墻BBackup交換機A交換機B路由器A路由器BInternet需求2–區(qū)域隔離企業(yè)網(wǎng)絡(luò)資源不能直接暴露在公網(wǎng)中，以免遭受來自互聯(lián)網(wǎng)的猛烈攻擊。此外，互聯(lián)網(wǎng)中的不法份子可能通過IP地址掃描或其他方式探測企業(yè)網(wǎng)絡(luò)，便于進行下一步的攻擊。通常在出口處部署防火墻，防火墻通過將所連接的不同網(wǎng)絡(luò)分隔在不同安全區(qū)域隔離內(nèi)外網(wǎng)，而通過在防火墻上部署地址轉(zhuǎn)換技術(shù)，可以在一定程度上隱藏內(nèi)網(wǎng)IP地址，保護內(nèi)部網(wǎng)絡(luò)。NAT映射表PC終端/24Web服務(wù)器防火墻私有地址：端口公有地址：端口：10321：102554TrustUntrust源IP地址目的IP地址源IP地址目的IP地址Internet數(shù)據(jù)包轉(zhuǎn)發(fā)路徑交換機需求3-信息保密性企業(yè)有出差員工，或者大型企業(yè)有多個分支機構(gòu)。出差員工和企業(yè)總部，企業(yè)分支和企業(yè)總部之間在不安全的Internet上進行數(shù)據(jù)傳輸時，可能存在數(shù)據(jù)被竊取或篡改的風險，原因在于：企業(yè)數(shù)據(jù)傳輸本身未加密或加密程度不夠；中間人攻擊（Man-in-the-MiddleAttack）：指攻擊者與通訊的兩端分別創(chuàng)建獨立的聯(lián)系，并交換其所收到的數(shù)據(jù)，使通訊的兩端認為他們正在通過一個私密的連接與對方直接對話，但事實上整個會話都被攻擊者完全控制。在中間人攻擊中，攻擊者可以攔截通訊雙方的通話并插入新的內(nèi)容。企業(yè)總部出差員工企業(yè)分支攻擊者Internet信息保密性安全方案由于Internet的開放性，導(dǎo)致企業(yè)和其分支機構(gòu)在Internet上傳輸數(shù)據(jù)的安全性無法保證，可以使用VPN技術(shù)在Internet上構(gòu)建安全可靠的傳輸隧道。對于有經(jīng)濟實力和有高安全高可靠性要求的企業(yè)，還可以通過向運營商購買專線的方式，滿足總部與分支機構(gòu)之間的互聯(lián)需求。對于出差員工，可以使用L2TPoverIPSec，SSLVPN等方式安全地接入公司網(wǎng)絡(luò)。企業(yè)總部出差員工企業(yè)分支IPSec

VPNIPSecVPN可以對數(shù)據(jù)進行加密，確保傳輸安全。Internet企業(yè)網(wǎng)絡(luò)安全威脅概覽通信網(wǎng)絡(luò)安全需求與方案區(qū)域邊界安全威脅與防護計算環(huán)境安全威脅與防護管理中心安全需求與方案威脅1-DDoS攻擊DDoS攻擊是指攻擊者通過控制大量僵尸主機，向攻擊目標發(fā)送大量攻擊報文，導(dǎo)致被攻擊目標所在網(wǎng)絡(luò)的鏈路擁塞，系統(tǒng)資源耗盡，從而無法向正常用戶提供服務(wù)。有些惡意競爭對手會使用DDoS攻擊，對正常合法企業(yè)造成較大經(jīng)濟損失。如在購物節(jié)期間對網(wǎng)上購物平臺發(fā)動的DDoS攻擊。僵尸主機攻擊目標跳板機攻擊者控制流量攻擊流量路由器DDoS攻擊種類根據(jù)攻擊報文類型的不同，可以分為TCPFlood、UDPFlood、ICMP

Flood、HTTPFlood和GREFlood等。攻擊類型描述TCPFlood利用TCP協(xié)議發(fā)起的DDoS攻擊，常見的攻擊有SYNFlood，SYN+ACKFlood，ACKFlood，F(xiàn)IN/RSTFlood等。UDPFlood使用UDP協(xié)議發(fā)起的攻擊，常見攻擊有UDPFlood，UDP分片攻擊等。ICMPFlood利用ICMP協(xié)議在短時間內(nèi)發(fā)送大量的ICMP報文導(dǎo)致網(wǎng)絡(luò)癱瘓，或采用超大報文攻擊導(dǎo)致網(wǎng)絡(luò)鏈路擁塞。HTTPFlood利用HTTP協(xié)議交互，發(fā)動HTTPFlood，或者HTTP慢速攻擊等。GREFlood利用GRE報文發(fā)動的DDoS攻擊，利用GRE報文的解封裝消耗攻擊目標的計算資源。2021Q2攻擊類型分布圖源自《kasperskysecurelist-DDoSattacksinQ22021》DDoS攻擊安全防范對于不同類型的DDoS攻擊，AntiDDoS設(shè)備有源認證、限流等不同的防御方式，右圖描述SYNFlood源認證防御的工作原理。SYNFlood攻擊是通過偽造一個源地址的SYN報文，發(fā)送給受害主機，受害主機回復(fù)SYN+ACK報文給這些地址后，不會收到ACK報文，導(dǎo)致受害主機保持了大量的半連接，直到超時。這些半連接可以耗盡主機資源，使受害主機無法建立正常TCP連接，從而達到攻擊的目的。攻擊者目標服務(wù)器SYNSYN+ACK連續(xù)一段時間內(nèi)到同一目的地址的SYN報文超過閾值就啟動源認證SYNSYN+ACK：回應(yīng)一個正確確認號的報文源IP在白名單中，信任此源……防火墻SYN+ACKSYN真實主機SYN+ACKACKRSTSYNACK：認證通過，加白名單SYNSYN+ACKSYN+ACK：回應(yīng)一個正確確認號的報文SYNFlood攻擊防御–源認證（虛假源）威脅2-單包攻擊單包攻擊不像DDoS攻擊通過使網(wǎng)絡(luò)擁塞，或消耗系統(tǒng)資源的方式進行攻擊，而是通過發(fā)送有缺陷的報文，使主機或服務(wù)器在處理這類報文時系統(tǒng)崩潰，或發(fā)送特殊控制報文、掃描類報文探測網(wǎng)絡(luò)結(jié)構(gòu)，為真正的攻擊做準備。掃描型攻擊畸形報文攻擊特殊報文控制類攻擊攻擊者運用ICMP報文探測目標地址，以確定哪些目標系統(tǒng)確實存活著并且連接在目標網(wǎng)絡(luò)上；或攻擊者對端口進行掃描探測，探尋被攻擊對象目前開放的端口，從而確定攻擊方式。攻擊者通過發(fā)送大量有缺陷的報文，從而造成主機或服務(wù)器在處理這類報文時系統(tǒng)崩潰。典型的有Teardrop攻擊，Smurf攻擊，Land攻擊等。一種潛在的攻擊行為，不具備直接的破壞行為，攻擊者通過發(fā)送特殊控制報文探測網(wǎng)絡(luò)結(jié)構(gòu)，為后續(xù)發(fā)起真正的攻擊做準備。典型的有超大ICMP報文控制攻擊，IP報文控制攻擊等。

單包攻擊安全防范防火墻具有單包攻擊防范功能，可以對掃描類攻擊、畸形報文攻擊和特殊報文控制類攻擊進行有效防范。不同單包攻擊的原理不同，防火墻采用的防范原理也不同。以下對地址掃描攻擊原理和其防范原理進行介紹。攻擊者ICMP報文企業(yè)內(nèi)網(wǎng)源地址目的地址……通過應(yīng)答報文判斷目標網(wǎng)絡(luò)上存在的設(shè)備節(jié)點。在防火墻中，設(shè)置同一源IP每秒發(fā)往不同目的地址的ICMP報文數(shù)量的最大閾值Threshold。若Rate<Threshold，放行報文；若Rate>Threshold，將源IP加入黑名單，并丟包報文。威脅3–用戶行為不受控70%的信息安全事件是由于內(nèi)部員工誤操作或安全意識不夠引起的。在加強員工安全意識的同時，企業(yè)也需要在技術(shù)層面管控員工訪問外網(wǎng)的行為，不僅可以通過iMaster-NCE管控用戶的訪問權(quán)限，還可以通過防火墻的內(nèi)容過濾功能管控用戶的上網(wǎng)行為。郵件服務(wù)器文件服務(wù)器DMZUntrustTrustWeb服務(wù)器文件服務(wù)器Internet研發(fā)部銷售部機密限制附件大小郵件收發(fā)控制55信息泄露HTTP、FTP行為控制病毒游戲暴力23146防火墻URL過濾DNS過濾文件過濾內(nèi)容過濾郵件過濾應(yīng)用行為控制123456公司內(nèi)網(wǎng)公司外網(wǎng)學(xué)習(xí)、合法域名威脅4-外部網(wǎng)絡(luò)入侵行為只要企業(yè)內(nèi)網(wǎng)與外部網(wǎng)絡(luò)有連接就有可能受到外部攻擊者的入侵，如病毒、SQL注入和DDoS攻擊等。入侵類型描述病毒一種可感染或附著在應(yīng)用程序或文件中的惡意代碼，一般通過郵件或文件共享等協(xié)議進行傳播，威脅用戶主機和網(wǎng)絡(luò)的安全。病毒能夠自我復(fù)制，但需要通過打開受感染的文件，啟用宏等手動操作才能激活。SQL注入SQL注入攻擊指的是通過構(gòu)建特殊的輸入作為參數(shù)傳入Web應(yīng)用程序，而這些輸入大都是SQL語法里的一些組合，通過破壞SQL語句的原始邏輯，進而執(zhí)行攻擊者所希望的操作。SQL注入漏洞屬于高危型Web漏洞。DDoS攻擊DDoS攻擊通過發(fā)出海量數(shù)據(jù)包，造成目標設(shè)備負載過高，最終導(dǎo)致網(wǎng)絡(luò)帶寬或是設(shè)備資源耗盡。攻擊者企業(yè)內(nèi)網(wǎng)Internet病毒入侵入侵防御安全防范防火墻的入侵防御功能對所有通過的報文進行檢測分析，并實時決定允許通過或阻斷。也可使用IPS設(shè)備對網(wǎng)絡(luò)入侵行為進行防御。防火墻/IPS設(shè)備通常部署在網(wǎng)絡(luò)出口處，抵擋來自互聯(lián)網(wǎng)的威脅。防火墻/IPS設(shè)備上具備入侵防御功能模塊，該模塊通過將流經(jīng)防火墻/IPS設(shè)備的流量與加載的簽名庫做對比并根據(jù)危險程度進行相應(yīng)處理，簽名庫是簽名的集合。簽名：用來描述網(wǎng)絡(luò)中存在的該入侵行為的特征，及設(shè)備需要對其采取的動作。企業(yè)內(nèi)網(wǎng)Web服務(wù)器郵件服務(wù)器正常流量，放行異常流量，控制簽名庫更新/自定義檢測Internet防火墻企業(yè)網(wǎng)絡(luò)安全威脅概覽通信網(wǎng)絡(luò)安全需求與方案區(qū)域邊界安全威脅與防護計算環(huán)境安全威脅與防護管理中心安全需求與方案終端軟件漏洞企業(yè)內(nèi)網(wǎng)終端軟件存在漏洞，往往給攻擊者可乘之機，不管是從外網(wǎng)或是內(nèi)網(wǎng)進行的網(wǎng)絡(luò)攻擊，內(nèi)網(wǎng)終端感染病毒后，借助內(nèi)網(wǎng)設(shè)備之間的信任關(guān)系，病毒通過橫向擴散，最終往往造成內(nèi)網(wǎng)大量終端設(shè)備感染。CVE（CommonVulnerabilitiesandExposures）是一個披露漏洞的平臺，它會提供編號作為漏洞對應(yīng)的字符串式特征。著名的WannaCry勒索病毒，就是利用Windows操作系統(tǒng)漏洞永恒之藍發(fā)起攻擊。由于很多受害者沒有及時安裝補丁，導(dǎo)致被病毒攻擊，計算機中的文件被加密。MSHTML的一個已知漏洞被某勒索軟件團伙利用，與惡意廣告一起感染受害者，并加密他們的設(shè)備。也有攻擊者利用該漏洞，向Windows用戶發(fā)送惡意的WinWord附件。近期披露的某虛擬機軟件漏洞可能被用于破壞虛擬機管理程序并處罰拒絕服務(wù)掉件。該漏洞很容易被高權(quán)限攻擊者利用，一旦奪取了權(quán)限，可能導(dǎo)致虛擬機環(huán)境掛起或頻繁崩潰。終端軟件漏洞應(yīng)對方式對企業(yè)網(wǎng)絡(luò)終端設(shè)備的系統(tǒng)軟件和應(yīng)用軟件及時打補丁，并且安裝防病毒軟件。使用NAC（NetworkAdmissionControl）方案，對企業(yè)網(wǎng)絡(luò)自有的終端和外來接入的終端進行安全性檢查，阻止不符合要求的終端接入網(wǎng)絡(luò)。使用漏洞掃描工具掃描企業(yè)網(wǎng)絡(luò)，對信息安全進行風險評估。檢測網(wǎng)絡(luò)中的設(shè)備存在的漏洞并及時進行修復(fù)。進行滲透測試，使用專業(yè)人士對企業(yè)網(wǎng)絡(luò)系統(tǒng)安全性進行評估，并給出針對性的改進措施。滲透測試一般流程確定目標信息收集漏洞探測漏洞利用內(nèi)網(wǎng)轉(zhuǎn)發(fā)內(nèi)網(wǎng)滲透痕跡清除撰寫測試報告開始結(jié)束企業(yè)網(wǎng)絡(luò)安全威脅概覽通信網(wǎng)絡(luò)安全需求與方案區(qū)域邊界安全威脅與防護計算環(huán)境安全威脅與防護管理中心安全需求與方案需求1–管理員權(quán)限管控某些情況下，企業(yè)員工因為利益或不滿，會實施危害企業(yè)信息安全的行為。比如盜取企業(yè)機密數(shù)據(jù)，破壞企業(yè)網(wǎng)絡(luò)基礎(chǔ)實施等。某公司員工受虛擬貨幣利益驅(qū)使，偷偷使用公司服務(wù)器計算資源進行挖礦活動，獲利數(shù)十萬元，最后行為敗露，受到法律制裁。但期間公司的服務(wù)器資源遭到侵占，影響正常業(yè)務(wù)的運行。某公司員工因個人精神、生活等原因?qū)揪€上生產(chǎn)環(huán)境進行了惡意的破壞。導(dǎo)致生產(chǎn)環(huán)境和數(shù)據(jù)遭受嚴重破壞，公司和客戶利益收到嚴重損害。最終該員工也受到法律制裁。某公司員工受利益驅(qū)使，離職前通過拍照、郵件外發(fā)等方式，盜竊公司機密信息。事發(fā)后受到法律制裁。管理員權(quán)限管控安全方案對于可能發(fā)生的企業(yè)員工的信息安全風險行為，可以從技術(shù)和管理兩方面進行應(yīng)對。技術(shù)方面更嚴密的權(quán)限管理：對不同級別的企業(yè)員工設(shè)置不同權(quán)限的賬號，特別是對運維的權(quán)限要遵循最小授權(quán)的原則，比如使用UMA統(tǒng)一運維審計對管理員的運維權(quán)限進行管控，并監(jiān)控管理員行為；更可靠的備份機制：對于已經(jīng)造成生產(chǎn)環(huán)境和數(shù)據(jù)破壞的情況，可以快速恢復(fù)，盡量減少損失。管理方面在企業(yè)內(nèi)部經(jīng)常進行信息安全案例宣傳，提高員工安全意識；對于高安全需求的區(qū)域，可以使用門禁系統(tǒng)；關(guān)注員工工作生活狀態(tài)，及時進行心理輔導(dǎo)，防止員工因心理問題造成的信息安全風險行為。需求2-上網(wǎng)權(quán)限管控除了從企業(yè)外部網(wǎng)絡(luò)帶來的安全風險，企業(yè)內(nèi)網(wǎng)安全隱患也日益增加。企業(yè)內(nèi)可能會有外來人員，如果出現(xiàn)非法接入和非授權(quán)訪問時，也會存在導(dǎo)致業(yè)務(wù)系統(tǒng)遭受破壞、關(guān)鍵信息資產(chǎn)泄露的風險。惡意人員接入網(wǎng)絡(luò)之后，會進行破壞，或盜取信息的活動；接入網(wǎng)絡(luò)的終端，如果攜帶有病毒，有可能導(dǎo)致病毒在企業(yè)內(nèi)網(wǎng)傳播。應(yīng)對非法接入，可以從技術(shù)和管理兩方面入手：使用網(wǎng)絡(luò)準入控制方案；對于出入企業(yè)的人員進行嚴格的行政管理。上網(wǎng)權(quán)限管控方案(1)對于非法接入的應(yīng)對措施，華為提供NAC方案，可以對接入用戶進行安全控制，實現(xiàn)只有合法的用戶、安全的終端才可以接入網(wǎng)絡(luò)。NAC具有以下功能：身份認證：對接入網(wǎng)絡(luò)的用戶身份進行合法性認證，只有合法的用戶才能接入企業(yè)網(wǎng)絡(luò)；訪問控制：根據(jù)用戶身份、接入時間、接入地點、終端類型、接入方式精細匹配用戶，控制用戶能夠訪問的資源；對終端進行安全性檢查，只有“健康的、安全的”用戶終端才可以接入網(wǎng)絡(luò)。無線終端啞終端有線終端企業(yè)網(wǎng)絡(luò)終端802.1X/PortalMAC802.1X/Portal網(wǎng)絡(luò)準入設(shè)備準入控制服務(wù)器補丁/病毒庫/軟件服務(wù)器業(yè)務(wù)服務(wù)器服務(wù)器系統(tǒng)上網(wǎng)權(quán)限管控方案(2)可以通過管理手段，規(guī)范員工進入企業(yè)內(nèi)部，嚴格控制外來人員的進入。外來訪問人員必須要提前登記，并出示有效證件才能進入；使用安保人員和設(shè)備控制外來人員及車輛的進入；對企業(yè)內(nèi)部重要區(qū)域，可使用門禁系統(tǒng)，限制不符合權(quán)限的人員進入；禁止在計算機等設(shè)備上私自插入U盤等存儲設(shè)備。創(chuàng)建訪客網(wǎng)絡(luò)供外來訪問人員進行接入，與企業(yè)辦公網(wǎng)絡(luò)隔離，消除安全風險。訪客Wi-FiGuest-XX辦公Wi-FiEmployee-XX訪客網(wǎng)絡(luò)與辦公網(wǎng)絡(luò)隔離企業(yè)員工訪客Internet路由器無線接入點（單選題）以下哪一內(nèi)容過濾功能可防止員工將