1. 说明
  • 1.随着信息交换的激增,安全威胁所造成的危害越来越被受到重视,因此对信息保密的需求也从军事、政治和外交等领域扩展到民用和商用领域。
  • 2.安全威胁是指某个人、物、事件对某一资源的机密性完整性可用性合法性所造成的危害。
  • 3.某种攻击就是威胁的具体实现。
  • 4.安全威胁分为两类:故意(如黑客渗透)和偶然(如信息发往错误的地址)。
2. 典型的安全威胁
2.1 授权侵犯
  • 1.为某一特权使用一个系统的人却将该系统用作其他未授权的目的。
2.2 拒绝服务
  • 1.对信息或其他资源的合法访问被无条件地拒绝,或推迟与时间密切相关的操作。
2.3 窃听
  • 1.信息从被监视的通信过程中泄漏出去。
2.3 信息泄露
  • 1.信息被泄漏或暴露给某个未授权的实体。
2.4 截获/修改
  • 1.某一通信数据项在传输过程中被改变、删除或替代。
2.5 假冒
  • 1.一个实体(人或系统)假装成另一个实体。
2.6 否认
  • 1.参与某次通信交换的一方否认曾发生过此次交换。
2.7 非法使用
  • 1.资源被某个未授权的人或者未授权的方式使用。
2.8 人员疏忽
  • 1.个授权的人为了金钱或利益,或由于粗心将信息泄露给未授权的人。
2.9 完整性破坏
  • 1.通过对数据进行未授权的创建、修改或破坏,使数据的一致性受到损坏。
2.10 媒体清理
  • 1.信息被从废弃的或打印过的媒体中获得。
2.11 物理入侵
  • 1.一个入侵者通过绕过物理控制而获得对系统的访问。
2.12 资源耗尽
  • 1.某一资源(如访问端口)被故意超负荷地使用,导致其他用户的服务被中断。
3. 例题
3.1 例题1
  • 1.题目
1.下列攻击类型中,(B)是以被攻击对象不能继续提供服务为首要目标。
A.跨站脚本
B.拒绝服务
C.信息篡改
D.口令猜测
  • 2.解析
1.跨站脚本(cross-site scripting,XSS),一种安全攻击,其中,攻击者在
看上去来源可靠的链接中恶意嵌入译码。它允许恶意用户将代码注入到
网页上,其他用户在观看网页时就会受到影响。不影响服务的提供。
2.拒绝服务,对信息或其它资源的合法访问被无条件地阻止,会让服务
器拒绝提供服务。
3.信息篡改,指主动攻击者将窃听到的信息进行修改(如删除或替代部分
或者全部信息)之后再将信息传送给原本的接受者。与提供服务无关。
4.口令猜测,攻击者攻击目标时常常把破译用户的口令作为攻击的开始。
只要攻击者能猜测或者确定用户的口令,他就能获得机器或者网络的
访问权,并能访问到用户能访问到的任何资源。与提供服务无关。

点赞(0) 打赏

评论列表 共有 0 条评论

暂无评论

微信公众账号

微信扫一扫加关注

发表
评论
返回
顶部