1. 被动威胁:数据流分析
什么是被动威胁?
被动威胁是指攻击者通过监视或截获数据流窃取信息,而不直接修改数据内容。这种攻击隐秘性强,难以察觉。
数据流分析是典型的被动威胁方式。攻击者通过分析网络流量(如使用工具 Wireshark),提取敏感信息,例如用户凭证或业务数据。
案例:在公共 Wi-Fi 上,攻击者可捕获未加密的 HTTP 数据包,窃取登录信息。
防御建议:使用 HTTPS 或 VPN 加密流量,确保数据不可读。
2. 主动威胁:数据篡改与破坏
什么是主动威胁?
与被动威胁相反,主动威胁涉及直接修改、篡改或破坏数据,目的是干扰系统正常运行或窃取控制权。
常见形式:包括病毒感染、SQL 注入和 DDoS 攻击。例如,攻击者可能篡改数据库记录,导致业务中断。
案例:2017 年 WannaCry 勒索软件通过主动感染全球系统,加密用户文件勒索赎金。
防御建议:定期备份数据,使用入侵检测系统(IDS)监控异常行为。
3. 系统引导型病毒与 CPU 误解
系统引导型病毒的真相
错误观念:有人认为系统引导型病毒寄生在 CPU 中。
正确解释:这类病毒通常感染引导扇区或主引导记录(MBR),在系统启动时加载,控制系统或破坏数据。例如,早期病毒如 CIH 会覆盖 BIOS。
传播方式:通过可移动存储(如 U 盘)或恶意下载传播,感染后在内存中复制。
防御措施:启用安全引导(Secure Boot),定期更新固件,检查可疑设备。
4. 端到端加密:全程数据保护
什么是端到端加密?
端到端加密(End-to-End Encryption)确保数据从发送端到接收端全程处于加密状态,中间节点(如服务器)无法解密。这保护了数据的机密性和完整性。
应用实例:WhatsApp 和 Signal 使用端到端加密,确保消息仅限通信双方读取。
工作原理:发送端生成公钥加密数据,接收端用私钥解密,防止窃听或篡改。
优势:即使数据被截获,也无法读取,适合敏感通信。
注意事项:密钥管理至关重要,避免泄露。
5. ACL:访问控制列表
ACL 的作用
访问控制列表(ACL)是防火墙或网络设备中的规则集,用于控制流量。它根据 IP 地址、端口号或协议类型允许或拒绝访问。
示例:在 Cisco 路由器上,ACL 配置如下:
text自动换行复制
access-list 101 permit tcp 192.168.1.0 0.0.0.255 any eq 80 access-list 101 deny ip any any这允许 192.168.1.0/24 网段访问 HTTP(端口 80),其他流量被拒绝。
用途:保护内部网络,限制外部访问。
优化建议:定期审查 ACL 规则,避免冗余或漏洞。
6. 入侵检测:异常检测与滥用检测
入侵检测概述
入侵检测系统(IDS)监控网络活动,发现潜在威胁。分为两种主要方法:
- 异常检测:建立基线(如正常流量模式),检测偏离常规的行为。例如,突然的高流量可能表明 DDoS 攻击。
- 滥用检测:基于已知攻击签名,匹配威胁特征,如检测 WannaCry 的特定数据包。
工具对比:
- Snort:轻量级,适合滥用检测。
- Suricata:支持异常检测,性能更强。 建议:结合两者使用,提升检测率。
7. VPN 业务类型:Intranet、Access、Extranet
VPN 类型详解
虚拟专用网络(VPN)通过加密隧道连接网络,根据用途分为三类:
- Intranet VPN:连接企业内部不同分支,如北京和上海办公室共享资源。
- Access VPN:为远程用户提供安全访问,如员工在家访问公司服务器。
- Extranet VPN:连接企业与外部伙伴,如供应商共享订单系统。
对比表:
| 类型 | 用途 | 示例场景 |
|---|---|---|
| Intranet VPN | 内部网络连接 | 分支办公室互联 |
| Access VPN | 远程用户访问 | 居家办公 |
| Extranet VPN | 外部合作伙伴连接 | 供应商访问订单系统 |
推荐工具:OpenVPN(灵活)、IPsec(企业级)。
安全建议:启用强认证(如双因素认证)。
8. 数据保密性:防止截获与读取
保密性定义
数据保密性确保传输数据不被未授权方截获或读取,是网络安全的核心目标。
威胁情景:若未加密的数据被拦截(如明文 HTTP),攻击者可直接读取内容。
案例:2013 年某零售商因未加密支付数据,泄露数百万信用卡信息。
保护方法:
- 使用 TLS/SSL 加密(如 HTTPS)。
- 部署端到端加密。
- 定期审计网络流量。