企业官网建设流程全解析

网站建设工作量评估,wordpress子主题制作,帝国cms如何做电影网站,广州市住建局官网第二章 信息安全概述 什么是信息#xff1f;----信息是通过施加于数据上的某些约定而赋予这些数据的特殊含义。 什么是信息安全? ----保护对象–信息系统以及其中的数据。ISO — 为数据处理系统建立和采取技术、管理的安全保护#xff0c;从而保护计算机硬件、软件、数据…第二章 信息安全概述什么是信息----信息是通过施加于数据上的某些约定而赋予这些数据的特殊含义。什么是信息安全? ----保护对象–信息系统以及其中的数据。ISO— 为数据处理系统建立和采取技术、管理的安全保护从而保护计算机硬件、软件、数据不因偶然或者恶意的原因遭受破坏、更改或者泄露。美国— 防止未经授权的访问、使用、中断、修改、破坏信息等做法。欧盟需要确保数据的可用性、真实性、完整性和机密性。 -- 中华人民共和国网络安全法。例子可用性你在双 11 零点准备下单抢购商品结果电商 App 因为访问量过大直接崩溃你根本进不去页面。真实性你收到一封 “银行” 发来的邮件说你的账户有风险让你点击链接修改密码。但实际上这是钓鱼邮件发件人是骗子冒充的。这就是真实性被破坏。完整性你给朋友发了一条转账 100 元的微信结果黑客攻击了通信链路把金额改成了 1000 元。这就破坏了信息的完整性。机密性你的手机被偷了小偷解锁后看到了你存在相册里的身份证、银行卡照片。这就是机密性被破坏。信息安全保障信息安全的根源:内因系统自身的问题外因环境因素、人为因素信息安全特征系统性动态性无边界非传统信息安全是无法避免且没有参考的新的安全问题。信息安全发展1.通信安全阶段 — 传输过程中的数据保护安全威胁窃听、密码学分析核心思维加密2.计算机安全阶段 — 数据处理和存储时的数据保护安全威胁非法访问、弱口令核心思维利用系统的访问控制技术3.信息系统安全阶段 — 信息系统的整体安全安全威胁网络入侵、病毒破坏、信息对抗。核心思想保护比 “数据” 更重要的信息防火墙、防毒墙、漏扫、入侵检测、PKI 证书等等各种手段。4.信息安全保障阶段 — 综合性的防护不仅仅是传统网络防护还包含工业安全、物联网安全、大数据安全、云计算安全、移动互联网安全。信息安全实施方式信息安全标准化组织国际 — ISO、IEC国内 — CCSA、CITS其他 — ITU、IETF常见标准国家 — 等保GBISO27001/27002 — 属于 ISO27000 家族等级保护制度第一级— 对信息系统破坏后对公民、法人或其他组织的合法权益造成损害但不损害国家安全、社会秩序和公共利益。第二级— 对信息系统破坏后对公民、法人或其他组织的合法权益造成严重损害或对社会秩序和公共利益造成损害但不损害国家安全。第三级— 对信息系统破坏后对社会秩序和公共利益造成严重损害或者对国家安全造成损害。第四级— 对信息系统破坏后对社会秩序和公共利益造成特别严重损害或者对国家安全造成严重损害。第五级— 对信息系统破坏后对国家安全造成特别严重损害。每一个保护级别都有其对应的技术要求以三级为例物理安全、数据安全、网络安全、主机安全。网络安全的脆弱性及常见的安全攻击脆弱性1、协议栈2、服务器3、终端协议栈的脆弱性TCP/IP 的缺陷缺乏加密保障机制缺乏完整性验证机制缺乏数据源验证机制TCP/IP 五层模型及对应攻击手段应用层最顶层漏洞、缓冲区溢出攻击WEB 应用的攻击、病毒及木马 ……传输层TCP 欺骗、TCP 拒绝服务、UDP 拒绝服务端口扫描 ……网络层IP 欺骗、Smurf 攻击、ICMP 攻击地址扫描 ……链路层MAC 欺骗、MAC 泛洪、ARP 欺骗 …物理层最底层设备破坏、线路侦听网络的基本攻击模式被动威胁截获机密性嗅探sniffing监听eavesdropping主动威胁篡改完整性数据包篡改tampering中断可用性拒绝服务dosing伪造真实性欺骗spoofing操作系统的脆弱性服务器人为原因在程序编写过程中为实现不可告人的目的在程序代码的隐藏处保留后门。客观原因受编程人员的能力经验和当时安全技术所限在程序中难免会有不足之处轻则影响程序效率重则导致非授权用户的权限提升。硬件原因由于硬件原因使编程人员无法弥补硬件的漏洞从而使硬件的问题通过软件表现。终端脆弱性恶意程序包括流氓软件和间谍软件特征1. 非法性2. 隐蔽性3. 潜伏性4. 可触发性5. 表现性6. 破坏性7. 传染性8. 针对性9. 变异性10. 不可预见性。病毒分类按照病毒攻击的系统分类攻击 DOS 系统的病毒攻击 Windows 系统的病毒攻击 UNIX 系统的病毒攻击 OS/2 系统的病毒。按照病毒的攻击机型分类攻击微型计算机的病毒攻击小型机的计算机病毒攻击工作站的计算机病毒。按照病毒的链接方式分类源码型病毒嵌入型病毒外壳型病毒操作系统型病毒。按照病毒的破坏情况分类良性计算机病毒恶性计算机病毒。按照病毒的寄生方式分类引导型病毒文件型病毒复合型病毒。按照病毒的传播媒介分类单机病毒网络病毒。普通病毒、木马病毒、蠕虫病毒、勒索病毒。挖矿指黑客通过控制他人设备电脑、手机、服务器等在用户不知情的情况下利用其算力运行加密货币挖矿程序赚取虚拟货币的行为。会导致设备卡顿、功耗飙升、硬件老化加速。特洛伊病毒是一种典型的挖矿病毒主要攻击服务器和物联网设备通过漏洞入侵后植入挖矿程序占用目标设备算力挖矿同时还会开启后门导致设备被长期控制。拖库指黑客入侵网站或系统后将数据库中的用户数据账号、密码、手机号等整体下载窃取的行为是后续撞库、洗库的前提。删库指黑客入侵系统后恶意删除数据库中的关键数据或整个数据库的行为目的通常是破坏业务运行、勒索钱财对企业造成毁灭性打击。洗库指黑客对拖库获取的海量用户数据进行筛选、整理、去重提取有价值信息如高等级账号、绑定银行卡的账号的过程便于后续售卖或诈骗。撞库指黑客将拖库得到的账号密码批量尝试登录其他网站或平台利用用户重复使用账号密码的习惯窃取更多平台的用户权限。宏病毒一种寄生在文档或表格的宏代码中的计算机病毒主要感染 Word、Excel 等 Office 文件。传播方式通过带宏的文件邮件附件、共享文档等传播打开文件并启用宏后病毒就会执行恶意代码。危害篡改文档内容、窃取数据、自动传播到其他文件甚至破坏系统文件。特点跨平台性强容易制作和变种普通杀毒软件有时难以识别新型宏病毒。僵尸网络由黑客控制的一群被感染的设备电脑、手机、服务器、物联网设备等组成的网络这些被感染的设备被称为“僵尸机”或“肉鸡”。核心特点隐蔽性强设备被感染后通常无明显异常用户难以察觉。集中控制黑客通过命令与控制CC服务器向所有僵尸机下发统一指令。规模庞大可由成百上千甚至数百万台设备组成。主要危害发起大规模 DDoS 攻击瘫痪目标网站或服务器。批量发送垃圾邮件、钓鱼邮件。窃取设备中的敏感数据或利用僵尸机进行挖矿、撞库等操作。社会工程学攻击简称社工攻击是一种不依赖技术漏洞而是利用人性弱点、心理诱导、信息欺骗等手段诱导目标人员主动泄露敏感信息或执行特定操作的攻击方式。核心原理攻击方通过收集目标的个人信息如姓名、职务、兴趣、人际关系等构建可信的伪装身份或场景降低目标的警惕性从而达到攻击目的。常见类型钓鱼攻击伪装成银行、公司、亲友等身份通过邮件、短信、聊天工具发送含恶意链接 / 附件的消息诱导点击或下载。pretexting pretext 欺骗编造合理借口如 “IT 运维人员排查系统故障”“客服核实账号信息”骗取目标的账号密码、验证码等敏感数据。尾随攻击冒充员工、访客等身份跟随授权人员进入公司、机房等受限区域。诱饵攻击在目标区域投放带恶意程序的 U 盘、移动硬盘标注 “员工薪资表”“内部机密” 等诱惑性名称诱导他人插入设备。典型危害突破技术防护如防火墙、密码的最后一道防线导致账号被盗、数据泄露、内网入侵等严重后果且攻击成本低、难以通过技术手段完全防御。跳板攻击是黑客为了隐藏自身真实 IP 地址、规避溯源追踪通过控制多台中间设备跳板机间接对目标系统发起攻击的方式。核心原理黑客先入侵并控制第一台设备可以是普通用户电脑、服务器、物联网设备将其作为一级跳板。再通过这台跳板机入侵控制第二台、第三台设备构建多层跳板链路。最终从最外层跳板机向目标发起攻击让目标系统只能追踪到跳板机的 IP无法定位黑客的真实位置。典型特点隐蔽性高多层跳板转发能有效掩盖攻击源溯源难度极大。链路灵活跳板机可以是不同地域、不同类型的设备甚至会结合代理服务器、VPN 等工具增强匿名性。用途广泛常被用于端口扫描、漏洞利用、数据窃取、DDoS 攻击等各类恶意行为。常见跳板机类型被入侵的普通个人电脑肉鸡存在漏洞的服务器、路由器匿名代理服务器、TOR 节点钓鱼攻击一种针对性的社工攻击手段攻击者伪装成银行、平台客服、亲友等可信身份通过邮件、短信、链接、弹窗等方式诱导目标点击恶意链接、下载病毒文件或主动输入账号、密码、验证码等敏感信息最终窃取数据或控制设备。典型例子收到 “银行账户异常” 的短信点击链接后跳转到高仿银行登录页输入密码后信息被窃取。水坑攻击一种精准的定向攻击手段攻击者先摸清目标人群如某企业员工、某行业从业者的常用网站再攻击这些网站并植入恶意代码相当于在目标的 “必经之路” 挖坑。当目标访问该网站时恶意代码会自动执行从而感染设备或窃取数据。典型例子某科技公司员工常访问的行业论坛被黑客植入木马员工浏览论坛时电脑被静默感染进而导致内网数据泄露。信息安全要素保密性、完整性、可用性、可控性和不可否认性保密性含义信息仅对授权用户可见不泄露给无关人员。例子公司的核心技术文档设置访问权限只有研发部门员工能查看其他部门无法打开你的银行卡密码只有自己知道银行系统通过加密手段确保密码不会被他人获取。完整性含义信息在传输、存储过程中不被篡改、不被破坏、不被伪造保持原始状态。例子你给客户发送一份合同 PDF通过数字签名验证确保客户收到的合同和你发送的完全一致没有被修改过关键条款网购时支付金额是 100 元黑客无法在传输过程中将金额改成 1000 元。可用性含义授权用户在需要时能正常访问和使用信息或系统不被中断。例子医院的电子病历系统 7×24 小时稳定运行医生查房时能随时调取患者病历不会出现系统崩溃无法访问的情况你在抢票软件上购票时平台服务器能承受高并发访问不会因为流量过大而瘫痪。可控性含义对信息的生成、传输、存储、使用全过程能进行有效管控防止非法操作。例子企业的内网防火墙可以管控员工的上网行为禁止访问非法网站限制敏感数据的外发手机的权限管理功能你可以控制 APP 是否能访问你的通讯录、定位信息。不可否认性含义信息的发送方和接收方无法否认自己的操作行为提供操作的可追溯性。例子你通过电子签名发送了一份采购合同之后不能否认自己签过这份合同网购时你确认收货的操作会被平台记录商家无法否认你已经签收的事实。