4、信息系统威胁与防护策略

信息系统威胁与防护策略

1. 计算机欺诈形式与网络勒索

计算机欺诈形式多样，主要包括身份盗窃、勒索和银行欺诈等。其中，网络勒索是指攻击者通过电子手段对组织进行反复攻击，并要求支付金钱以停止攻击。网络勒索的形式有拒绝服务攻击和勒索软件攻击。

2. 攻击者利用漏洞的方法

攻击者会利用漏洞来获取信息系统的未授权访问权。他们通过实施自定义软件、操作系统命令和开源工具，利用信息系统中的漏洞。Open Web Application Security Project（OWASP）整理并定义了最普遍和具破坏性的Web应用程序漏洞。其维护的“十大漏洞”列表，为开发者提供了理解Web应用程序漏洞的工具和修复问题的必要信息。以下是2017年OWASP十大漏洞：
| 漏洞名称 | 描述 |
| — | — |
| 注入（Injection） | 当不可信数据作为命令或查询的一部分发送到解释器时，会发生注入漏洞，如SQL、OS、XXE和LDAP注入。攻击者的恶意数据可诱使解释器执行意外命令或在未获授权的情况下访问数据。 |
| 身份验证和会话管理失效（Broken authentication and session management） | 与身份验证和会话管理相关的应用程序功能常实现错误，使攻击者能破解密码、密钥或会话令牌，或利用其他实现缺陷冒充其他用户身份。 |
| 跨站脚本攻击（Cross - site scripting，XSS） | 当应用程序在未进行适当验证或转义的情况下，将不可信数据包含在新网页中，或使用可创建JavaScript的浏览器API用用户提供的数据更新现有网页时，会出现XSS漏洞。攻击者可利用此漏洞在受害者浏览器中执行脚