2023年网络安全体系展望和安全体系标准

本文涉及的产品
密钥管理服务KMS,1000个密钥,100个凭据,1个月
简介: 2023年网络安全体系展望和安全体系标准

2023年网络安全威胁的展望


  1. 威胁国家/产业安全的全球黑客组织的攻击数量增加
  • 国家网络安全策略之外的网络攻击增加
  • 非国家非组织的黑客网络攻击增加
  • 针对虚拟资产和针对庞大收益的网络攻击增加


  1. 灾难,障碍等敏感的社会安全隐患信息被恶意使用的事例持续存在
  • 按照现在的发展趋势,2023年度威胁社会安全的钓鱼、诈骗、诱捕邮件和智能持续攻击(APT)将仍会持续
  • 将会有更多的虚假新闻和影响社会信赖度的虚假信息
  • 应用邮件,自媒体等个人信息渠道的攻击将会增加


  1. 随着勒索软件进化而展开的智能攻击和多重威胁持续增长
  • APT攻击可能出进化到单纯犯罪(无利益驱动的攻击)
  • 将会出现针对企业内网的备份装置的遍历和毁损攻击
  • 攻击方式将多样化进化。例如加密文件复原,公开隐私数据,DOS攻击,威胁用户等多重威胁形态


  1. 随着数字化的发展,云安全威胁增加
  • 普通企业从个人服务到云服务升级时,由于一些安全设计和应对战略的不足而导致的漏洞将会引起更多的黑客注意,进而产生更多网络攻击
  • 账户权限的过渡赋予以及账户管理体系的不完善将会导致数据泄露等网络事故发生
  • 混合云,多媒体云等运营形态相对应的网络安全对策当前阶段不够完善


  1. 随着产业链的持续发展,对产业链中软件服务和供应网络的网络威胁持续增加
  • 开源软件、软件开发公开教程等渠道引入的供给网而产生的网络攻击将增加
  • 第三方提供的代码,开源代码的漏洞攻击、恶意代码感染的情况将会增多
  • 服务器升级,伪造源代码,认证书盗窃等攻击将会增加


随着网络攻击的进化,网络安全体系(密码体系)也在不断进化。现在即将进入第四世代密码体系。

89bcf93ebe983691b13b3392a55996d2_4ea82024a2d04f1591d8ac30d728762a.png


上图是密码学的基本构造体系,密码学可以分为密码分析(如何破解密码)和密码设计。密码设计中包括对称和非对称两种密码设计方式,其中对称密码还包含分组密码和流密码。

d7877898ff3f8248a4298354d4cafc8d_56f64f8ae062466fbd7c3dd64350f9a4.png

5a4e3a88b27f2bfc3f436f1777dd5451_4cb3760bbb8649e789dadb20892a1a9d.png

8039fdef372f60b14bf4d404ddfde269_b2b587e572b640f59257e03942b4568f.png

而上图表达了从经典密码学到下一个时代的密码学体系的发展趋势。


网络攻击可以是

– 消极的

• 尝试从系统学习或利用资料,但不会影响系统资源

• 例如:窃听讯息内容、流量分析

• 难以察觉,应加以预防。

– 积极的

• 企图更改系统资源或影响其运作

• 例如:伪装(spoofiing)、重放(Reply)、篡改(替换、插入、销毁),拒绝提供服务(DOS)

• 难以预防的,应予部署探测机制主动去发现


网络安全的设计目标


• 保密性

– 保护资料免受未经授权的访问或泄露

– 通常基于加密技术

• 完整性

– 旨在检测篡改和重放

– 确保接收的数据与发送者发送的数据完全一致

• 可用性

– 电脑系统在需要时可供授权用户使用

• 认证

– 目的是发现伪装用户

– 提供保证,确保一个通讯实体是它声称的通讯实体

• 不可抵赖性

– 提供保护,防止参与通信的一个实体拒绝提供信息,如否认通信的全部或部分内容

– 两种基本类型:不承认自己是信息源和不承认发送信息的事实

• 出入管制(Access Control)

– 防止未经授权而获取资源


恶意模型


e3e4df83ee7d867f7c9900326c6bac74_1b0e62fbbac6423cbfcb1d8addb6f849.png

在恶意模型中,需要确定的前提条件的假设是攻击者除了对应密文的密钥之外,知道所有其他信息(包括加密算法,算法的构造和动作原理,也就说攻击者只要能得到密钥就能得到所有想要的信息)。其中攻击方式如上图所示,大体上可以分为四类。


  1. Cipertext-only: 攻击者只能通过分析密文来试图破解明文,这种方式对于攻击者而言是极其困难的。因为成熟的密码机制都频率抗性和分析抗性
  2. Known-plaintext:攻击者具有更高的权限,攻击者知道一组对应的密文-明文关系,可以通过已知的信息去推测其他的密文与明文的联系。
  3. 选择明文:攻击者具有更高的权限,可以随意创造明文和对应的密文,通过这种方式来破解未知密文,攻击者有更多的实例可以分析明文与密文的对应关系
  4. 选择密文:攻击者的权限高到可以随意生产密文,并生成随之对应的明文。这种方式与选择明文的最大差距时逆序问题,攻击者生成明文-密文后,再尝试从密文-明文的破解,它们虽然有关联性但是加密和解密的机制会导致更多的计算量和需要考虑的问题。而如果可以直接生成密文-明文项目,则没有逆序的问题,假如能够找到一个函数f来构造密文和明文,则不需要逆序寻找明文到密文。这个模型攻击者具有更高的概率获得自己想要的信息。
  5. 相关密钥: 攻击者可以获得密文或明文密文对,这些密文对由不同的加密密钥生成,这些密钥以已知的方式与特定的加密密钥相关


网络安全标准


安全这个标准基于以下三个理论


  • 信息理论:无条件、完美安全
  • 复杂性理论:将安全问题降低到"棘手"问题
  • 密码分析:防备最先进的密码分析


完美安全/无条件安全:假设攻击者具有无限的算力也无法破解当前安全体系的安全能力,该安全标准是无论攻击者做什么,在技术层面该安全方案永远不会被破坏。代表为OTP。


计算安全(有条件的安全):有条件的(或计算上)安全的密码学使用有限长度的共享秘密密钥,通过使它在计算上不可行地提取密钥或消息,来提供针对计算资源有限对手的安全性。 如果破解密码元的最佳算法需要N个运算,因为N个运算量很大,所以无法进行这么多运算,那么就叫做计算安全。


  • 以目前的计算能力,我们假设280以上的操作是一个不可行的操作数量。
  • 请注意,在这个定义下,没有实际的系统可以被证明是安全的,因为我们永远不知道是否有比已知算法更好的算法。当前的例子有AES,RSA,ElGammal密码。
  • 如果破坏系统的最知名算法需要不合理的大量计算资源,则系统在计算上是安全的。


可证明安全:另一种与计算安全相关的实用方法是减少对系统的破坏,以解决一些经过充分研究的困难问题。例如,如果给定整数N不能因式分解,我们可以尝试表明给定系统是安全的。这种形式的系统通常被称为可证明安全的。然而,我们只有一个相对于某些困难问题的证明,因此这并不能提供一个绝对的证明。


  • 从本质上讲,一个计算安全的方案,或者一个可证明安全的方案,只有当我们考虑一个计算资源有限的对手时才安全。即使对手拥有大量但有限的资源,她仍然不会破坏系统。
  • 在考虑计算安全的方案时,我们需要非常清楚某些问题:•我们需要注意密钥长度等。如果密钥长度很小,那么我们的对手可能有足够的计算资源来破坏系统。•我们需要跟上当前算法的发展和计算机硬件的发展。•在未来的某个时候,我们的系统可能会被打破,要么是通过计算能力的提高,要么是算法的突破。


计算不安全:我们可以用非常有限的计算资源打破它们。如替换密码,移位密码,Vigenere密码。


攻击模型


网络攻击运行时,很多黑客会面临非常规密码,即公司自助开发的适应某些标准的算法,这些算法的行为模式和标准推荐有所不同,此时它们想要破解密码需要先对算法进行了解。针对密码算法的攻击如下所示。


c48876b849860c25ec73504431497638_939ce41a007c4c44b3bf4e2df386733e.png

e7cb4dc04f1c5e3e647e8099c15c4cc4_119b273c09ba48b9b8f6b79aa3e6a1ba.png


ce4249433f24ee4420506c0631002fb4_36ab6942e76745af849568d2466572a7.png

  • 黑盒攻击:攻击者只能掌握输入和输出的信息,不了解具体的算法内部结构模型。
  • 灰盒攻击:除了输入和输出信息之外,攻击者还能对电能消耗,时间,错误,波长等非直接相关的附加信息进行分析。侧信道攻击就是一个代表的例子。但是攻击者仍然不知道算法内部结构。
  • 白盒攻击:攻击者在前者基础上追加拥有算法的模型和结构,并且对算法在内存中的行为模式和动作模式也是了解的,是一种完全了解该算法的模型。


目录
相关文章
|
1月前
|
存储 安全 5G
|
10天前
|
监控 安全 网络安全
企业网络安全:构建高效的信息安全管理体系
企业网络安全:构建高效的信息安全管理体系
36 5
|
18天前
|
编解码 安全 Linux
网络空间安全之一个WH的超前沿全栈技术深入学习之路(10-2):保姆级别教会你如何搭建白帽黑客渗透测试系统环境Kali——Liinux-Debian:就怕你学成黑客啦!)作者——LJS
保姆级别教会你如何搭建白帽黑客渗透测试系统环境Kali以及常见的报错及对应解决方案、常用Kali功能简便化以及详解如何具体实现
|
18天前
|
安全 网络协议 算法
网络空间安全之一个WH的超前沿全栈技术深入学习之路(8-1):主动信息收集之ping、Nmap 就怕你学成黑客啦!
网络空间安全之一个WH的超前沿全栈技术深入学习之路(8-1):主动信息收集之ping、Nmap 就怕你学成黑客啦!
|
18天前
|
网络协议 安全 NoSQL
网络空间安全之一个WH的超前沿全栈技术深入学习之路(8-2):scapy 定制 ARP 协议 、使用 nmap 进行僵尸扫描-实战演练、就怕你学成黑客啦!
scapy 定制 ARP 协议 、使用 nmap 进行僵尸扫描-实战演练等具体操作详解步骤;精典图示举例说明、注意点及常见报错问题所对应的解决方法IKUN和I原们你这要是学不会我直接退出江湖;好吧!!!
网络空间安全之一个WH的超前沿全栈技术深入学习之路(8-2):scapy 定制 ARP 协议 、使用 nmap 进行僵尸扫描-实战演练、就怕你学成黑客啦!
|
18天前
|
网络协议 安全 算法
网络空间安全之一个WH的超前沿全栈技术深入学习之路(9):WireShark 简介和抓包原理及实战过程一条龙全线分析——就怕你学成黑客啦!
实战:WireShark 抓包及快速定位数据包技巧、使用 WireShark 对常用协议抓包并分析原理 、WireShark 抓包解决服务器被黑上不了网等具体操作详解步骤;精典图示举例说明、注意点及常见报错问题所对应的解决方法IKUN和I原们你这要是学不会我直接退出江湖;好吧!!!
网络空间安全之一个WH的超前沿全栈技术深入学习之路(9):WireShark 简介和抓包原理及实战过程一条龙全线分析——就怕你学成黑客啦!
|
23天前
|
SQL 安全 网络安全
网络防线的守护者:深入网络安全与信息安全的世界
【10月更文挑战第20天】在数字时代的海洋中,网络安全和信息安全是保护我们免受信息泄露、数据窃取和隐私侵犯的重要屏障。本文将带领读者探索网络安全漏洞的成因,加密技术如何成为我们的盾牌,以及安全意识在抵御网络攻击中的核心作用。通过深入浅出的解释和生动的案例分析,我们将一起学习如何加强个人和组织的网络防御,确保数字世界的安全。
17 4
|
25天前
|
安全 物联网 网络安全
中小企业提高网络安全的五种方式
【10月更文挑战第18天】中小企业提高网络安全的五种方式:1. 小企业并非免疫;2. 定期更新软件和硬件;3. 持续教育员工;4. 启用并维护安全功能;5. 制定全面的网络安全策略。天下数据IDC提供专业的服务器解决方案及数据中心安全服务,保障企业信息安全。
29 1
|
10天前
|
云安全 安全 网络安全
云计算与网络安全:技术融合下的安全挑战与应对策略
【10月更文挑战第33天】在数字化转型的浪潮中,云计算作为支撑现代企业IT架构的核心,其安全性成为业界关注的焦点。本文从云计算服务的基本概念出发,探讨了云环境下的网络安全风险,并分析了信息安全的关键技术领域。通过对比传统网络环境与云端的差异,指出了云计算特有的安全挑战。文章进一步提出了一系列应对策略,旨在帮助企业和组织构建更为坚固的云安全防护体系。最后,通过一个简化的代码示例,演示了如何在云计算环境中实施基本的安全措施。