网络安全

随着斯诺登事件爆发一年以来，我们从未关注过的互联网世界顿时危机四伏，那些被掩盖的危险一个个的暴露在了我们的面前，让千万网民们开始怀疑，互联网世界有安全吗？对于本世纪初才开始进入我国的“互联网”，我们是不是过分乐观了呢？ 终于，在斯诺登事件爆发，在互联网界造成了严重的后果之后，中国也做出了回应。2013年11月12日，中国共产党中央国家安全委员会正式成立；2014年2月27日，中央网络安全信息化领导小组成立；2014年5月22日，来自国家互联网信息办公室的消息披露，为维护国家网络安全、保障中国用户合法利益，我国即将推出网络安全审查制度。这种种的动作无不是在告诉我们，中国已经开始重视网络安全的威胁，将互联网安全上升到了国家的高度，对于那些潜在的危险，我们开始主动出击。 激起千层浪的网络安全审查制度 互联网安全审查这样的制度其实并不是第一次进入人们的视野，早在2000年,美国就率先在国家安全系统中对采购的产品进行安全审查,随后陆续针对联邦政府云计算服务、国防供应链等出台了安全审查政策,实现了对国家安全系统、国防系统、联邦政府系统的全面覆盖，将全方位、综合性的供应链安全审查对策上升至国家战略高度。但是由于美国网络安全审查标准和过程是不公开的，所以我们都没有机会一窥其中的奥秘。 中国即将推出的网络安全审查制度中，规定对进入我国市场的重要信息技术产品及其提供者进行网络安全审查

　　 结束了网络协议的介绍后，本周要介绍的是网络安全。 Security Introduction 　　网络安全其实离我们并不遥远，这里有个简单的例子。假设有两个人叫做爱丽丝（Alice）和鲍勃(Bob)，也许是因为异地的原因，他们希望在网络上交流一些比较私密的信息，但这时候，可能会存在着一个心怀不轨的人，我们把他称之为C。爱丽丝和鲍勃希望自己发送的一些信息不会被打扰，然而C就在那里偷听，又或是有别的不轨的企图。如何让A与B安全的交流？这就是网络安全要做的事。 　　这个简单的例子应该可以让你明白安全的重要性，而在我们的日常生活中，我们也会面临信用卡信息被盗的风险，毕竟金钱才是最具有诱惑力的东西，不过如果你是一个政客，那么就会有一堆人试图窃取你的电子邮箱，因为这里面存放的信息价值大于金钱。因为意识到了安全的重要性，很多公司会把越来越多的钱花在安全上，但这样又是一种错误，因为安全也只是一种成本效益的分析，它并不存在完美解答。 　　对于安全性，这里要提到两个术语，一是Confidentii，保密性，指信息的泄露，如果我想把一个信用卡号码发送给某人查看，除了这个我想看到它的人之外，没有人能得到它，那就说明是保密的；另一个问题是可靠性（Integrity）,也就是说，在某种意义上，你知道A，你得到的信息来自于你认为它来自的人，它没有在路上被修改过，所以像数字签名这样的东西就属于这一类

ESAM（Embedded Secure Access Module）即嵌入式安全控制模块。ESAM硬件具有传感器（电压，时钟，温度，光照、过滤器（防止尖峰/毛刺）、独立的内部时钟（独立CLK） 、（SFI）的检测机制、被动和主动盾牌、胶合逻辑（难以逆转工程师电路）、握手电路 、高密度多层技术、具有金属屏蔽防护层、探测到外部***后内部数据自毁、总线和内存加密 、虚拟地址、芯片防篡改设计、唯一序列号、硬件错误检测 、随机数发生器 、预硅功率分析等安全结构，具有防检测、抗***、自毁等硬件安全特性。ESAM芯片操作系统具有安全的文件密钥存储、完善的安全机制、标准的加密算法等特点。 ESAM安全模块的应用是和各种专用或通用智能设备相关的，对于所有需要身份认证、数据加/解密、安全存储、通讯保密等较高数据安全要求的产品和应用系统，ESAM嵌入式安全控制模块都可以发挥其独到的安全控制作用。拥有身份双向认证、数据加解密、分散密钥导出、内部分散密钥、数字签名、电子钱包、传输线路保护、数据安全存储等功能特点。 ESAM安全模块的应用领域包括： 1）智能卡表：智能卡电表、水表、燃气表、热力表等； 2）通信设备：加密Modem、加密传真机、加密多路复用器； 3）金融设备：加密密码键盘、金融POS机、支付密码器、银行密码箱； 4）税控设备：税控出租车计价器、税控加油机、税控收款机； 5）交通收费

攻击欺骗技术 兵者，诡道也。 ——《孙子兵法》 古代战场上就知道使用变幻的攻击方法来迷惑攻击者，攻其不备、出其不意，可见攻击欺骗技术向来就是存在的。然后在网络攻防对抗的战场上，攻击欺骗技术却在近几年才登场的。 攻击欺骗（Deception）是Gartner从2015年起连续四年列为最具有潜力安全技术的新兴安全技术手段。Gartner给出的基本定义是通过使用欺骗或者诱骗手段来挫败或者阻止攻击者的认知过程，从而破坏攻击者的自动化工具，拖延攻击者的活动或者检测出攻击。通过在企业防火墙背后使用欺骗技术，企业就可以更好地检测出已经突破防御的攻击者，对所检测到的事件高度信任。欺骗技术的实施现在已经覆盖堆栈中的多个层，包括端点、网络、应用和数据。 从以下时间线足以看出Gartner对攻击欺骗技术的宠爱，并预言未来5-10年攻击欺骗技术能够进入主流市场、并对现有安全防护体系产生深远影响。 2016年6月份，Gartner安全与风险管理峰会上，Gartner分析师公布了他们关于2016年十大信息安全技术的研究成果，其中“欺骗技术”被提名。 在2017年6月份举办的第23届Gartner安全与风险管理峰会上，Gartner知名分析师Neil McDonald发布了2017年度的11个最新最酷的信息安全技术。其中“欺骗技术”再次被提名。 Gartner十分看重欺骗技术

ESAM（Embedded Secure Access Module） 即 嵌入式安全控制模块 。ESAM硬件 具有 传感器（电压，时钟，温度，光照、过滤器（防止尖峰/毛刺）、独立的内部时钟（独立CLK） 、（SFI）的检测机制、被动和主动盾牌、胶合逻辑（难以逆转工程师电路）、握手电路 、高密度多层技术、具有金属屏蔽防护层、探测到外部攻击后内部数据自毁、总线和内存加密 、虚拟地址、芯片防篡改设计、唯一序列号、硬件错误检测 、随机数发生器 、预硅功率分析 等安全结构，具有防检测、抗攻击、自毁等硬件安全特性。 ESAM芯片操作系统具有安全的文件密钥存储、完善的安全机制、标准的加密算法等特点。 ESAM安全模块的应用是和各种专用或通用智能设备相关的，对于所有需要身份认证、数据加/解密、安全存储、通讯保密等较高数据安全要求的产品和应用系统，ESAM嵌入式安全控制模块都可以发挥其独到的安全控制作用。拥有身份双向认证、数据加解密、分散密钥导出、内部分散密钥、数字签名、电子钱包、传输线路保护、数据安全存储等功能特点。 ESAM安全模块的应用领域包括： 1）智能卡表：智能卡电表、水表、燃气表、热力表等； 2）通信设备：加密Modem、加密传真机、加密多路复用器； 3）金融设备：加密密码键盘、金融POS机、支付密码器、银行密码箱； 4）税控设备：税控出租车计价器、税控加油机、税控收款机； 5

20199111 2019-2020-2 《网络攻防实践》第六周作业 1.实践内容 1.1安全模型 静态安全模型：对网络进行风险分析，制定相应的安全策略，然后采取安全技术作为防护措施，主要针对固定、静态的威胁和环境弱点。 PDR安全模型：基于闭环控制理论的时间动态可适应网络安全模型，以经典的网络安全不等式P>D+R（保护、检测、响应）为本质基础，并提出安全性可量化和可计算的观点。 P2DR安全模型：基于PDR安全模型提出，增加了Policy分析制定安全策略，并以此为核心，所有的防护、检测、响应都是依据安全策略实施的。 1.2防火墙技术 防火墙指的是置于不同的网络安全域之间，对网络流量或访问行为实施访问控制的安全组件或设备，达到保护特定网络安全域免受非法访问和破坏的安全目标 Linux系统中提供了开源的netfilter/iptables解决方案，可以帮助网络管理员在自己的网络中快速实施防火墙边界保护。具体提供： 检查控制进出网络的网络流量 防止脆弱或不安全的协议和服务 防止内部网络信息的外泄 对网络存取和访问进行监控审计 防火墙可以强化网络安全策略并集成其他安全防御机制 netfilter/iptables工作原理： 在nefilter/iptables防火墙系统中，netfilter组件位于Linux的内核空间中，实现了静态包过滤和状态报文检查(即动态包过滤)基本防火墙功能

5月13日，得知四川省汶川县因强震遭受重大损失后，卡巴斯基联合数字星空立即决定通过中国红十字基金会（以下简称中国红基会）向灾区捐款120万元现金，以此用于紧急救援物资采购及受灾民众安置，从而协助灾区群众渡过第一道难关。与此同时，为了抵御今后因自然灾害等突发事件而带来的人道灾难，卡巴斯基与数字星空还将与中国红基会成立了“卡巴斯基专项赈灾基金”。 卡巴斯基公司副总裁许辉在捐赠现场表示，“一方有难，八方支援”是中国民族的传统美德，而作为进驻中国四年时间的卡巴斯基，其现已成为中国信息安全产业的 主要成员，抗震救灾对于卡巴斯基公司而言责无旁贷。因此，在四川地区的灾情发生后，卡巴斯基与数字星空第一时间联系中国红基会商讨援助事宜，双方决定在捐 赠首批120万元救灾资金后，将在今后灾区重建过程中，加大包括网络安全等各方面的援助力度。 面对此次重大灾情，卡巴斯基和数字星空呼吁所有卡巴斯基经销商、合作伙伴以及各地区用户伸出援助之手，通过设置在中国红十字基金会的卡巴斯基专项赈灾基金的募捐账号，为四川灾区的救援与重建工作做出自己的贡献。 中国红十字基金会相关人士透露，卡巴斯基与数字星空捐助的善款已经收到，红十字会对于卡巴斯基长期关注中国社会的发展以及为公益事业所做出的无私奉献表示感谢。 另据了解，卡巴斯基作为国际知名反病毒厂商，其在为推动中国信息安全产业快速发展的同时，也将关注社会民生作为自己的企业使命

摘要： 0x00 索引说明 6.30在OWASP的分享，关于业务安全的漏洞检测模型。进一步的延伸科普。 0x01 身份认证安全 1 暴力破解 在没有验证码限制或者一次验证码可以多次使用的地方，使用已知用户对密码进行暴力破解或者用一个通用密码对用户进行暴力破解。 简单的验证码爆破。URL: http:/... 0x00 索引说明 6.30在OWASP的分享，关于业务安全的漏洞检测模型。进一步的延伸科普。 0x01 身份认证安全 1 暴力破解 在没有验证码限制或者一次验证码可以多次使用的地方，使用已知用户对密码进行暴力破解或者用一个通用密码对用户进行暴力破解。 简单的验证码爆破。URL: http://zone.wooyun.org/content/20839 一些工具及脚本 Burpsuite htpwdScan 撞库爆破必备 URL: https://github.com/lijiejie/htpwdScan hydra 源码安装xhydra支持更多的协议去爆破 (可破WEB，其他协议不属于业务安全的范畴) 2 session & cookie类 会话固定攻击：利用服务器的session不变机制，借他人之手获得认证和授权，冒充他人。案例： WooYun: 新浪广东美食后台验证逻辑漏洞，直接登录后台，566764名用户资料暴露！ Cookie仿冒

如果说你的资产有可能被国内外的攻击者盯上并没有把你吓得半死，那就不必读这篇文章。如果你与我们大家一样也要面对现实，那么通过一名真正的专业人士在渗透测试方面给出的一些靠谱的预防性建议，试着采取一些挽救措施。 我们采访了渗透测试工具设计师/编程员/爱好者Evan Saez，他是纽约数字取证和网络安全情报公司LIFARS的网络威胁情报分析师，请他谈一谈最新最好的渗透测试工具，以及如何使用这类工具。 市面上现有的渗透测试工具 本文介绍的渗透测试工具包括：Metasploit、Nessus安全漏洞扫描器、Nmap、Burp Suite、OWASP ZAP、SQLmap、Kali Linux和Jawfish(Evan Saez是Jawfish项目的开发者之一)。这些工具为保护贵企业安全起到了关键作用，因为这些也正是攻击者使用的同一种工具。要是你没找到自己的漏洞并及时堵上，攻击者就会钻空子。 Metasploit是一种框架，拥有庞大的编程员爱好者群体，广大编程员添加了自定义模块，测试工具可以测试众多操作系统和应用程序中存在的安全漏洞。人们在GitHub和Bitbucket上发布这些自定义模块。与GitHub一样，Bitbucket也是面向编程项目的在线软件库。Saez说：“Metasploit是最流行的渗透测试工具。” 相关链接：http://www.metasploit.com

网络安全是当前一个非常热门的话题，网络泄密、系统瘫痪、斯诺登事件......都在不断挑战所有人互联网人的神经。大家都在担忧自己的隐私会不会被泄露出去，公司的敏感信息怎么来保护。当然，这也是一个非常好的现象，说明现在大家的安全意识已经越来越高了！ 但是，也有一些不好的现象，比如很多公司的管理层认为，网络安全是大公司才需要考虑的事情，小型的创业公司并没有什么价值吸引黑客来攻击。在笔者看来，这种想法是非常危险的，任何一点点疏漏都可能给企业带来「灭顶之灾」 。但是，很多小公司受限于技术水平，又很难应对网络攻击。本文就来介绍中小企业该如何准备和应对网络攻击，避免自己的信息泄露和财产损失： 为什么黑客要攻击中小企业呢？ 诚然，对黑客来说攻克大公司的网络绝对是名利双收的事情：拿到非常多有价值的东西，能够上新闻头条。但是大公司的安全防范和追踪能力都是非常高的，对黑客而已，成本和风险也都随之提高。对于中小企业，安全防范比大公司要低多了，同时有价值的东西也绝对比个人要高非常多。 所以中小企业绝对是黑客最理想的目标和「点心」。 另外一点，就是中小企业安全防范意识比较差，黑客也非常清楚这一点，研究证明：97%的中小企业在将来的业务发展中不重视网络安全，82%的中小企业认为他们没有什么有价值的东西值得黑客来攻击，只有23%的中小企业人他们担心自己的信息被偷窃。 数据还是有点「触目惊心」的，对于特别小的企业