第一章网络安全基础

1.1 专业术语定义

资产（Asset）

任何对组织业务具有价值的信息资产，包括计算机硬件、通信设施、IT 环境、数据库、软件、文档资料、信息服务和人员等。

网络安全（Cyber Security）

网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断的状态。从广义上说，网络安全包括网络硬件资源及信息资源的安全性。从用户角度看，网络安全主要是保障个人数据或企业的信息在网络中的机密性、完整性、可用性，防止信息的泄漏和破坏，防止信息资源的非授权访问。对于网络管理者来说，网络安全的主要任务是保障合法用户正常使用网络资源，避免病毒、拒绝服务、远程控制、非授权访问等安全威胁，及时发现安全漏洞，制止攻击行为等。从教育和意识形态方面，网络安全主要是保障信息内容的合法与健康，控制含不良内容的信息在网络中的传播。

网络空间（Cyberspace）是一种包含互联网、通信网、物联网、工控网等信息基础设施, 并由人-机-物相互作用而形成的动态虚拟空间。网络空间安全既涵盖包括人、机、物等实体在内的基础设施安全, 也涉及到其中产生、处理、传输、存储的各种信息数据的安全。随着云计算、大数据、物联网、量子计算等新兴技术的迅猛发展,网络空间安全面临着一系列新的威胁和挑战。例如2018年3月17日，英国《卫报》爆出英国的数据分析公司Cambridge Analytica（剑桥数据分析）在美国大选中为川普服务。网络空间安全问题的影响力不再局限于数据篡改、系统控制和信息泄露等「狭义」网络安全问题，真实世界和社会的行为可以被来自其「数字孪生」世界的特定组织所操控。备受追捧的特斯拉电动汽车自动驾驶功能是另一例真实世界和「数字孪生世界」直连的案例，在这个案例里，特斯拉借助云计算、人工智能技术使得无人驾驶成为一项颇具吸引力的卖点，但该功能自诞生以来屡次被曝光多种类型的网络安全漏洞，这些漏洞一旦被攻击者利用，轻则使车辆迷失路线，重则造成驾驶失控、车毁人亡。我们的真实世界正在经历的各种数字化转型、升级和联网浪潮，不仅仅需要大数据、人工智能、云计算、5G 等这些新技术的持续推动力，更离不开网络安全技术在每一项新技术背后的保护力加持。没有网络安全的基础保障，网络空间安全无从谈起。

安全属性

机密性（Confidentiality）
指网络中的保密信息只能供经过允许的人员，以经过允许的方式使用，信息不泄露给非授权用户、实体或过程，或供其利用，即信息不可见，状态不可知。“不可见”是机密性的基本要求，“不可感知”是机密性的更高要求。除了通信过程，信息存储与处理过程中同样存在机密性要求。
一般来说，典型的机密性保护手段包括：数据加密与信息隐藏、数据隔离、通信流保护等。
完整性（Integrity）
完整性是指信息在存储或传输过程中不因种种不安全因素被偶然或蓄意的删除、修改、伪造、乱序、重放、插入、破坏和丢失而改变信息原有的内容、形式与流向的特性。完整性强调信息“未经授权不能进行更改”，保障信息的全面、精确与有效。
可用性（Availability）
可用性是指信息在需要的时候即可被使用，不因系统故障或误操作等使信息丢失或妨碍对信息的使用，是信息可被授权实体访问并按需使用的特性。
影响信息可用性的典型因素大致分为硬件因素、软件因素、人员因素、环境因素几个方面。硬件因素例如磁盘故障导致数据不可用，服务器掉电导致服务不可用，网线被物理破坏导致的断网事件等直观因素；软件因素主要是指在规定时间内程序无法正常运行影响信息可用性，例如程序出错或崩溃导致服务中断；人员因素主要指人员无法成功完成工作或任务，例如管理员误删数据和服务内容，使用人员误操作导致系统出错；环境因素主要包括自然环境和电磁环境因素，例如停电、断网、地震、洪涝灾害等。

以上所讲的机密性、完整性、可用性是信息安全最基本属性，使用缩写 CIA 表示，也被称为 “信息安全三要素” 。

漏洞（Vulnerability）

漏洞又被称为脆弱性或弱点（Weakness），是指信息资产及其安全措施在安全方面的不足和弱点。漏洞一旦被利用，即会对资产造成影响。通常一个网络的漏洞/弱点可被分为：技术漏洞、配置漏洞和安全策略漏洞。

影响（Impact）

漏洞一旦被利用，会对资产造成影响。

威胁（Threat）

威胁即是一种可能破坏安全基本要素的来源或原因。按照威胁来源的不同，可以把威胁分类为：内部威胁、外部威胁、自然威胁和人为威胁。

风险（Risk）

风险是指由于系统存在的脆弱性，人或自然威胁导致安全事件发生的可能性及其造成的影响。风险是威胁事件发生的可能性与影响综合作用的结果。当风险成为事实后，就会造成具体的影响，例如机密数据被窃、网页被篡改、网站被拒绝服务攻击所瘫痪等。

Risk = Probability * Damage Potential

风险管理（Risk Management）

风险管理是指风险管理者采取各种措施和方法，消灭或减少风险事件发生的各种可能性，或者减少风险事件发生时造成的损失。

常见的风险管理措施有风险降低、风险承受、风险规避、风险转移、分散风险、缓释风险和对冲风险等七种。风险降低是指通过实施安全措施，把风险降低到一个可接受的级别；风险承受是指接受潜在的风险并继续运行信息系统；风险规避是指通过消除风险的原因或/和后果（如在发现风险后放弃系统某项功能或关闭系统）来规避风险，即不介入风险；风险转移是指通过使用其他措施来补偿损失，从而转移风险，如购买保险等；分散风险是指在异构化信息系统中，将重要的信息资产分散在多个异构系统中，提升关键数据泄露难度，降低风险。

残余风险（Residual Risk）

安全机制实施之后仍然遗留的风险。

事件（Event）

如果威胁主体能够产生威胁，利用资产及其安全措施的脆弱性，那么实际产生危害的情况称为事件。

安全需求（Security Requirement）

安全需求即信息系统安全建设需求。

攻击（Attack）

攻击是指由威胁源所实施的、导致安全事件发生的行为，它是漏洞利用和实现威胁的过程，一旦攻击得手即会造成影响。

安全策略（Security Policy）

安全策略是指在某个安全区域内，所有与安全活动相关的一套规则，它声明哪些行为是能做的、被允许的，哪些行为是不能做的、被禁止的。这些规则是由此安全区域中所设立的一个安全权利机构建立的，并由安全控制机构来描述、实施或实现的。

安全机制（Security Mechanism）

安全机制是一种用于解决和处理某种安全问题的方法，通常分为预防、检测和恢复三种类型。网络安全中绝大多数安全服务和安全机制都是建立在密码技术的基础之上的，它们通过密码学方法对数据信息进行加密和解密来实现网络安全的目标要求。

安全措施（Security Measure）

安全措施是安全策略和安全机制的统称。

1.2 威胁模型

所谓的网络安全威胁是指可能破坏某一网络资源的机密性、完整性以及可用性等安全基本要素的来源或原因。例如对于数据库中的数据来说， SQL 注入攻击就是一种网络威胁。一旦攻击得手，被攻击者就可能会被窃取机密数据从而导致数据的机密性被破坏。

使用威胁模型分析(Threat Model Analysis, TMA) 可以帮助确定产品、应用程序、网络或环境中存在的风险和可能的攻击路径。TMA 的目标是确定哪些威胁需要缓解以及如何缓解。具体来说，威胁模型对于帮助企业应对安全威胁具有五个方面的具体作用：

评估风险更加有效。传统的风险评估定级方法是按照通用的安全管理框架和标准（如 ISO 27001 ）进行操作，但实际结果存在发布的标准不适应新情况、规定的措施不够深入等问题，威胁模型分析可以弥补照搬安全行业标准进行管理所带来的缺陷。
帮助深入理解企业系统。威胁模型的建立要求对企业内部的信息系统资产进行评估，对各个子系统之间的支持配合方式做深入详细的了解。使用威胁模型进行安全管理有助于深入理解整个企业系统。
提高相关员工安全意识。在建立安全模型过程中，为深入了解系统功能和运行情况，需要与企业中的工作人员进行沟通，在此过程中有助于系统使用者树立起更好的安全意识，以便在以后的运维和管理工作中更加严谨和规范。
安全管理措施次序优化。威胁模型可以帮助企业摒弃通用的、泛泛的管理措施，结合企业自身具体情况，着眼于可能面临的具体风险，选择合理的、有针对性的、有效的安全管理措施并优化其次序。
提高安全管理效率。安全评估在时间上是受限的，因此必须把有限的时间集中在值得关注的点上。威胁模型可以让企业的安全管理人员更加透彻的理解各种攻击方式，从而明白真正具有威胁的攻击路径，避免无意义的时间消耗。

当前普遍采用的威胁模型包括：微软 STRIDE 模型、微软 DREAD 模型、卡耐基梅隆大学的 OCTAVE 模型等。威胁模型是多种多样的，但是建立过程却大致相同，基本上可以分为四个步骤，分别是：明确目标、分解系统、识别威胁、评估威胁。

1.2.1 微软 STRIDE 模型

威胁	安全性属性
假冒 (Spoof)	认证
篡改 (Tamper)	完整性
否认 (Repudiation)	不可抵赖性
信息泄露 (Information Disclosure)	机密性
拒绝服务 (Denial of Service)	可用性
提升权限 (Elevation of Privilege)	授权

从上表可以看出，STRIDE 模型正好是对应着安全属性而设计建模的，将威胁与提供威胁防护的特性相对照。

假冒

当一个恶意用户假扮成一个信任实体进入系统，而计算机又不能区分时，这类安全威胁属于假冒，又称为身份欺诈；

篡改

用户获得对一台计算机或某个系统的未经授权的访问权限，然后修改计算机或系统的操作、配置或数据，这种情况属于篡改。篡改可能是恶意的，也可能是无意的；

否认

系统管理员或者安全代理不能证实一个用户（恶意用户或者其他用户）是否已经执行了某种操作，这种情况属于否认，也称为抵赖；

信息泄露

未经授权的用户可以查看私有或保密数据；

拒绝服务

拒绝服务威胁包括任何能够导致系统关闭或者组织访问计算机资源的攻击。拒绝服务攻击可能引起计算机应用程序或者操作系统停止运行、 CPU 忙于长时间无意义的计算、系统内存被消耗以至应用程序和造作系统的功能被削弱、网络带宽降低或者完全被扼杀等后果；

提升权限

提升权限是指用户获得的访问权限超过系统管理员赋予他们的权限。权限提升给恶意用户发起其他任何类型安全威胁的攻击创造了机会。

1.2.1.1 小提示

有一个经常被和【提升权限】混淆的威胁场景是【水平权限跨越】。例如，在电商的订单系统设计中，每个用户只能查看自己下的订单，禁止查看非本人订单详情。但在实际的订单系统实现时，往往会由于后台授权检查程序的 bug 导致订单详情信息被已登录用户任意查看。从权限级别的视角来看，每个用户的权限水平都是相同的，导致这个威胁的漏洞也并没有赋予攻击者更高权限，但对于系统的权限控制策略来说，攻击者确实提升了自己的查看权限等级，从效果上来说攻击者已经不是一个普通用户权限了，可能获得的是一个产品售后运营人员的权限子集。所以，水平权限跨越是一种漏洞类型的表现形式，但漏洞被利用之后的攻击效果确实属于提升权限，

1.2.2 DREAD 模型

DREAD 模型是由微软提出的，即潜在损失 Damage Potential 、可复现性 Reproducibility 、可利用性 Exploitability 、受影响的用户 Affected users 、可发现性 Discoverability 。由于简单的评价系统通常存在小组成员对评价结果意见不统一的问题，为帮助解决这个问题， DREAD模型通过询问下列问题得到给定威胁的风险评价结果：

潜在损失：如果缺陷被利用，损失有多大？
可复现性：重复产生攻击的难度有多大？
可利用性：发起攻击的难度有多大？
受影响的用户：用粗略的百分数表示，有多少用户受到影响？
可发现性：缺陷容易发现吗？

在 DREAD 模型里，每一个因素都可以分为高、中、低三个等级，通过赋予不同的权值，我们可以具体计算出某一个威胁的风险值。

评价	高	中	低
潜在损失（Damage potential）	获取完整验证权限；执行管理员操作；非法上传文件；	泄漏敏感信息；	泄漏其他信息；
可复现性（Reproducibility）	攻击者可以随意再次攻击；	攻击者可以重复攻击，但是有时间限制；	攻击者很难重复攻击过程；
可利用性（Exploitability）	初学者可以在短期内掌握攻击方法；	熟练的攻击者才能实现完整攻击；	漏洞利用条件非常苛刻；
受影响的用户（Affected users）	所有用户，默认配置，关键用户；	部分用户，非默认配置；	极少数用户，匿名用户；
可发现性（Discoverability）	漏洞很明显，攻击条件很容易获得；	私有区域且仅部分人能够看见，需要深入挖掘漏洞；	发现该漏洞极其困难；

使用 DREAD 评估模型存在几点不足：1）不支持面向对象设计方法；2）不利于捕捉控制流中存在的威胁；3）DREAD 方法不能反应不同攻击路径的成本效益差异。

1.2.3 OCTAVE 模型

可操作的关键威胁、资产和薄弱点评估（Operationally Critical Treat, and Vulnerability Evaluation）是由美国卡耐基·梅隆大学软件工程研究所下属的 CERT 协调中心于 1999 年开发的用以定义一种系统的、组织范围内的评估信息安全风险的方法，是一种自主型信息安全风险评估方法。OCTAVE 方法是 Alberts 和 Dorofee 共同研究的成果，它是一种从系统的、组织的角度开发的新型信息安全保护方法，主要针对大型组织，中小型组织也可以对其适当剪裁，以满足自身需要。

OCTAVE 实施分为三个阶段：