hth华体会体育全站app:誉天安全技术专栏:常见的网络安全威胁及防范

发布日期:2022-08-16 | 来源:华体会登陆入口 作者:华体会官方登录

  企业存在来自内部和外部的安全威胁,企业网络的安全威胁来源大致可以分为以下几部分:

  为了有针对性地防范企业网络安全威胁,企业工程师会根据威胁来源将网络划分为不同区域,企业网络不同区域的安全威胁及防范措施:

  通信网络架构:具备高可靠性保障业务的正常运行;部署VPN等措施保障数据传输的机密性与完整性;

  边界区域:部署AntiDDoS方案应对DoS攻击;部署防火墙设备起到网络隔离及流量控制的目的;IPS设备则用于防范外网的病毒、入侵等威胁;

  计算环境:对终端进行安全加固,防范漏洞带来的威胁;部署IPS设备应对外网的入侵行为;部署终端IPS或杀毒软件应对病毒入侵;

  管理中心:通过堡垒机管控管理员的权限,降低恶意操作带来的影响,监控运维操作,做到运维过程可回溯;iMaster-NCE管控员工权限,降低信息泄露的风险,同时防范非法接入。

  通常在出口处部署防火墙,防火墙通过将所连接的不同网络分隔在不同安全区域隔离内外网,而通过在防火墙上部署地址转换技术,可以在一定程度上隐藏内网IP地址,保护内部网络。

  企业有出差员工,或者大型企业有多个分支机构。出差员工和企业总部,企业分支和企业总部之间在不安全的Internet上进行数据传输时,可能存在数据被窃取或篡改的风险,原因在于:

  由于Internet的开放性,导致企业和其分支机构在Internet上传输数据的安全性无法保证,可以使用VPN技术在Internet上构建安全可靠的传输隧道或者专线、区域边界安全威胁与防护

  DDoS攻击是指攻击者通过控制大量僵尸主机,向攻击目标发送大量攻击报文,导致被攻击目标所在网络的链路拥塞,系统资源耗尽,从而无法向正常用户提供服务。

  通过在企业网络出口部署防火墙或者专业AntiDDoS设备,阻断来自外部的DDoS攻击。对于需要防范大流量DDoS攻击的场景,也可以选择专业的AntiDDoS设备。

  SYN Flood攻击是通过伪造一个源地址的SYN报文,发送给受害主机,受害主机回复SYN+ACK报文给这些地址后,不会收到ACK报文,导致受害主机保持了大量的半连接,直到超时。这些半连接可以耗尽主机资源,使受害主机无法建立正常TCP连接,从而达到攻击的目的。

  单包攻击不像DDoS攻击通过使网络拥塞,或消耗系统资源的方式进行攻击,而是通过发送有缺陷的报文,使主机或服务器在处理这类报文时系统崩溃,或发送特殊控制报文、扫描类报文探测网络结构,为真正的攻击做准备。单包攻击常见有:

  IP Scan:利用IP地址扫描工具探测目标地址,确定目标系统是否存活。

  Smurf攻击:发送ICMP请求,该请求包的目标地址设置为受害网络的广播地址,源地址为服务器地址。该网络的所有主机都回应此ICMP请求,回应报文全部发往服务器,导致服务器不能正常提供服务。

  Tracert报文攻击:攻击者利用TTL为0时返回的ICMP超时报文,和到达目的地址时返回的ICMP端口不可达报文来发现报文到达目的地所经过的路径,它可以窥探网络的结构。

  防火墙具有单包攻击防范功能,可以对扫描类攻击、畸形报文攻击和特殊报文控制类攻击进行有效防范。

  不同单包攻击的原理不同,防火墙采用的防范原理也不同。以下对地址扫描攻击原理和其防范原理进行介绍。

  DNS过滤在域名解析阶段进行控制,防止员工随意访问非法或恶意的网站,带来病毒、木马和蠕虫等威胁攻击;

  文件过滤通过阻断特定类型的文件传输,可以降低内部网络执行恶意代码和感染病毒的风险,还可以防止员工将公司泄漏到互联网;

  内容过滤包括文件内容过滤和应用内容过滤。文件内容过滤是对用户上传和下载的文件内容中包含的关键字进行过滤。管理员可以控制对哪些应用传输的文件以及哪种类型的文件进行文件内容过滤。应用内容过滤是对应用协议中包含的关键字进行过滤。针对不同应用,设备过滤的内容不同;

  邮件过滤:通过检查发件人和收件人的邮箱地址、附件大小和附件个数来实现过滤;

  应用行为控制功能用来对用户的HTTP行为和FTP行为(如上传、下载)进行精确的控制。

  SQL注入:SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过破坏SQL语句的原始逻辑,进而执行攻击者所希望的操作。SQL注入漏洞属于高危型Web漏洞。

  DDoS攻击:DDoS攻击通过发出海量数据包,造成目标设备负载过高,最终导致网络带宽或是设备资源耗尽。

  防火墙的入侵防御功能对所有通过的报文进行检测分析,并实时决定允许通过或阻断。也可使用IPS设备对网络入侵行为进行防御。

  防火墙/IPS设备上具备入侵防御功能模块,该模块通过将流经防火墙/IPS设备的流量与加载的签名库做对比并根据危险程度进行相应处理,签名库是签名的集合。

  企业内网终端软件存在漏洞,往往给攻击者可乘之机,不管是从外网或是内网进行的网络攻击,内网终端感染病毒后,借助内网设备之间的信任关系,病毒通过横向扩散,最终往往造成内网大量终端设备感染。CVE(Common Vulnerabilities and Exposures)是一个披露漏洞的平台,它会提供编号作为漏洞对应的字符串式特征。

  使用NAC(Network Admission Control)方案,对企业网络自有的终端和外来接入的终端进行安全性检查,阻止不符合要求的终端接入网络。

  使用漏洞扫描工具扫描企业网络,对信息安全进行风险评估。检测网络中的设备存在的漏洞并及时进行修复。

  进行渗透测试,使用专业人士对企业网络系统安全性进行评估,并给出针对性的改进措施。

  某些情况下,企业员工因为利益或不满,会实施危害企业信息安全的行为。比如盗取企业机密数据,破坏企业网络基础实施等。管理员权限管控安全方案

  对于可能发生的企业员工的信息安全风险行为,可以从技术和管理两方面进行应对。

  除了从企业外部网络带来的安全风险,企业内网安全隐患也日益增加。企业内可能会有外来人员,如果出现非法接入和非授权访问时,也会存在导致业务系统遭受破坏、关键信息资产泄露的风险。

  对于非法接入的应对措施,华为提供NAC方案,可以对接入用户进行安全控制,实现只有合法的用户、安全的终端才可以接入网络。NAC具有以下功能: