2019-2020-1学期20192401《网络空间安全专业导论》第九周学习总结

第3章 网络安全

3.1.1 网络安全的概念

网络安全是一个涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等的综合性领域。
网络安全包括网络硬件资源和信息资源的安全性。

网络安全包括网络硬件资源和信息资源的安全性。
网络硬件资源包括通信线路、通信设备(路由机、交换机等)、主机等。网络硬件资源包括通信线路、通信设备(路由机、交换机等)、主机等。

3.1.2 网络管理的概念

管理:指监督、组织和控制网络通信服务,以及信息处理所必需的各种活动的总称。
目标:确保计算机网络的持续正常进行,使网络中的资源得到更加有效的利用,并在计算机网络运行出现异常时能及时响应和排除故障。

3.1.3 安全网络的特征

1)可靠性:网络信息系统能够在规定条件下和规定的时间内完成规定功能的特性。 硬件可靠性,软件可靠性,人员可靠性,环境可靠性
2)可用性:网络信息可被授权实体访问并按需求使用的特性 可用性一般用系统正常使用时间和整个工作时间之比来度量
3)保密性:网络信息不被泄露给非授权的用户,实体或过程。
4)完整性:网络信息未经授权不能进行改变的特性。 它要求保持信息的原样,即信息必须被正确生成,存储和传输。
5)可控性:对信息的传播及内容具有控制能力。 6)可审查性:出现安全问题时提供的依据与手段。
可审查性:指出现安全问题时提供的依据与手段。

3.1.4 常见的拓扑

网络拓扑:指网络的结构方式,表示连接在地理位置上分散的各个节点的几何逻辑方式。

总线形拓扑结构:将所有的网络工作站或网络设备连接在同一物理介质上,这时每个设备直接连接在通常所说的主干电缆上。

缺陷:故障诊断困难;故障隔离困难;终端必须是智能的。缺陷:故障诊断困难;故障隔离困难;终端必须是智能的。

星形拓扑结构:由中央节点和通过点到点链路连接到中央节点的各站点组成。

缺陷:对电缆的需求大且安装困难;扩展困难;对中央节点的依赖性太大;容易出现“瓶颈”现象。缺陷:对电缆的需求大且困难;扩展困难;对中央节点的依赖性太大;容易出现“瓶颈”现象。

环形拓扑结构:由一些中继器和连接中继器的点到点链路组成一个闭合环。

缺陷:节点的故障将会引起全网的故障;故障诊断困难;不易重新配置网络;影响访问协议。缺陷:节点的故障将会引起全网的故障;故障诊断困难;不易重新配置网络;影响访问协议。

树形拓扑结构:从总线形拓扑演变而来的,其形状像一颗倒置的树。

缺陷:对根节点的依赖性太大。缺陷:对根节点的依赖性太大。

3.2 网络安全基础

3.2.1 OSI七层模型及安全体系结构3.2.1 OSI七层模型及安全体系结构

OSI是一个旨在推动开源软件发展的非营利组织。
OSI参考模型的目的:为异构计算机互连提供共同的基础和标准框架,并为保持相关标准的一致性和兼容性提供共同的参考。
七层模型的组成:物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。

应用层:访问网络服务的接口。
表示层:提供数据格式转换服务。
会话层:建立端连接并提供访问验证和会话管理。
传输层:提供应用进程之间的逻辑通信。
网络层:为数据在节点之间传输创建逻辑链路,并分组转发数据。
数据链路层:在通信的实体间建立逻辑链路通信。
物理层:为数据端设备提供原始比特流传输的通路。物理层:为数据端设备提供原始比特流传输的通路。

运行原理:在发送端,从高层到低层进行数据封装操作;在接收端,从低层到高层的数据解封装过程。
体系结构:根据OSI七层协议模型建立的,也就是说,OSI安全体系结构是与OSI七层相对应的。

物理层:设置连接密码。
数据链路层:设置PPP验证、交换机端口优先级、MAC地址安全、BPDU守卫、快速端口等。
网络层:设置路由协议验证、扩展访问列表、防火墙等。
传输层:设置FTP密码、传输密钥等。
会话层(表示层):公钥密码、私钥密码应该在这两层进行设置。
应用层:设置NBAR、应用层防火墙等。应用层:设置NBAR、应用层防火墙等。

服务种类:

  • 认证服务
  • 访问控制服务
  • 数据保密性服务
  • 数据完整性服务
  • 抗否认性服务

    3.2.2 TCP/IP协议及安全

TCP/IP:Internet的基本协议,由OSI七层模型中的网络层IP协议和传输层TCP协议组成。
该协议定义了电子设备如何连入因特网,以及数据如何在它们之间传输的标准。

IP协议是TCP/IP的核心,也是网络层中的重要协议。
ARP协议:用于将计算机的网络地址转化为物理地址
如果能通过制作假的ARP应答包进行ARP欺骗或ARP攻击,这就能获取网络通信机密或扰乱网络通信了,ARP病毒即是如此诞生的。
TCP协议:使用三次握手机制来建立一条连接。
攻击者可以在最后一次断开时不进行确认,导致被攻击主机保持“半断开”状态,消耗其资源,影响其正常服务。

传输层优点:提供基于进程对进程的安全服务而应用层代理服务器用于支持代理的应用层协议。
代理服务对于应用层以下的数据透明。
IPSec:为IPv4和IPv6协议提供基于加密安全的协议,它使用AH和ESP协议来实现其安全,使用ISAKMP/Oakley及SKIP进行密钥交换、管理及安全协商。
SSL协议分为记录层协议和高层协议。
SSL的工作分为两个阶段:握手阶段和数据传输阶段。

MIME消息可以包含文本、图像、声音、视频及其他应用程序的特定数据,采用单向散列算法和公钥机制的加密体系。

3.2.3 无线网络安全

无线局域网:相当便利的数据传输系统,它利用电磁波作为传输介质,在一定范围内取代物理线缆所构成的网络。
WLAN中存在的安全威胁因素:窃听、截取或者修改传输数据、拒绝服务等。
WEP:美国电气和电子工程师协会制定的IEEE 802.11标准的一部分。
上述手段使用共享密钥串流加密技术进行加密,并使用循环校验以确保文件的正确性。

弱点:安全数据雷同的可能性和改造的封包。
缺点:WPA所使用的RC4算法还是存在一定的安全隐患,有可能被破解。缺点:WPA所使用的RC4算法还是存在一定的安全隐患,有可能被破解。

封装过程:利用完整性校验密钥与数据分组序号,通过算法对完整性校验数据进行计算然后得到完整性校验码利用加密密钥和数据分组序号,通过工作在OFB模式的加密算法对MSDU及MIC进行加密得到MSDU数据以及MIC密文;然后封装后组成帧发送。

3.3 识别网络安全风险

3.3.1 威胁

常见的外部威胁:应用系统和软件安全漏洞;安全策略;后门和木马程序;病毒及恶意网站陷阱;黑客;安全意识淡薄;用户网络内部工作人员的不良行为引起的安全问题。

3.3.2 脆弱性

脆弱性:指计算机或网络系统在硬件、软件、协议设计和安全策略方面的缺陷,它的直接后果是使非法或非授权用户获取访问权限,从而破坏网络系统。
脆弱性可分为以下几个方面:操作系统的脆弱性、计算机系统本身的脆弱性、电磁泄露、数据的可访问性、通信系统和通信协议的弱点、数据库系统的脆弱性、网络存储介质的脆弱。

3.4 应对网络安全风险

3.4.1 从国家战略层面应对

出台网络安全策略,完善顶层设计
建设网络身份体系,创建可信网络空间
提升核心技术自主研发能力,形成自主可控的网络安全产业生态体系
加强网络攻防能力,构建攻防兼备的安全防御体系
深化国际合作,逐步提升网络空间国际话语权

3.4.2 从安全技术层面应对

身份认证:对通信双方进行真实身份鉴别,也是网络信息资源的第一道安全屏障,目的就是验证、辨识使用网络信息的用户的身份是否具有真实性和合法性。
身份认证技术的发展方向归纳为生物认证技术、口令认证、令牌认证等。
访问控制:指系统对用户身份及其所属的预先定义的策略组限制其使用数据资源能力的手段。
访问控制的三要素:
1.主机
2.客体
3.控制策略

综合访问控制策略包括:入网访问控制、网络的权限控制、目录级安全控制、属性安全控制、网络服务器安全控制、网络监控和锁定控制、网络端口和节点的安全控制和访问控制应用。
入侵检测系统:一种对网络实时监控、检测,发现可疑数据并及时采取主动措施的网络设备。

常用的入侵检测技术:异常检测、特征检测、文件完整性检查。
监控审计技术:通过监视网络活动,审计系统的配置和安全漏洞,分析网络用户和系统的行为,并定期进行统计和分析,进而评估网络的安全性和敏感数据的完整性,发现潜在的安全威胁,识别攻击行为,并对异常行为进行统计,对违反安全法规的行为进行报警,是系统管理员可以有效地管理和评估自己的系统。

网络安全审计:在一个特定的网络环境下,为了保障网络和数据不受来自外网和内网用户的入侵和破坏,而运用各种技术手段实时收集和监控网络环境中每一个组成部分的系统状态、安全事件,以便集中报警、分析、处理的一种技术手段。
网络安全审计技术的分类:日志审计、主机审计和网络审计。
蜜罐技术的分类:
按照平台:实系统蜜罐和伪系统蜜罐。
按部署目的:产品型蜜罐和研究型蜜罐。
按交互度的等级:低交互蜜罐和高交互蜜罐。

3.4.3 网络管理的常用技术

网络管理:指网络管理员通过网络管理程序对网络上的资源进行集中化管理的操作,包括配置管理、性能和记账管理、问题管理、操作管理和变化管理等。
网络管理技术的分类:日常运维巡检、漏洞扫描、应用代码审核、系统安全加固、等级安全测评、安全监督检查、应急响应处置、安全配置管理。
安全检查内容:信息安全管理情况、技术防护情况、应急工作情况、安全教育培训情况和安全问题整改情况。
安全配置管理的内容:资产管理、资源管理、服务目录管理、服务请求、监控管理。

第七章 大数据背景下的先进计算安全问题

7.3 物联网安全

7.3.1 物联网概述

  • 物联网改变我们的生活:具有互联功能的家电、家庭自动化组件和电子产品以及能源管理设备等,让我们能够享受智能家居,使生活更便捷、能源使用效率更高;车联网、智能交通系统、嵌入式道路和桥梁传感器等使我们的城市更“智慧”,从而极大减少拥堵和能源消耗。

物联网的目标:帮助我们实现物理世界和网络世界的互连互通,使人类对物理世界具有“全面的感知能力、透彻的认知能力和智慧的处理能力”。
物联网大致分为三类:
1数据感知部分
2.网络传输部分
3.智能处理部分
物联网体系的三个结构:感知层、网络层和应用层。
物联网应该具备的三种能力:全面感知、可靠传递和智能处理。
从体系架构角度可以将物联网支持的应用分为:具备物理环境认知能力的应用、在网络融合基础上的泛在化应用和基于应用目标的综合信息服务应用。

7.3.2 物联网的安全特征与架构

7.3.3 工控系统及其安全

工控系统包括:监控和数据采集系统、分布式控制系统、过程控制系统、可编程逻辑控制器等。
工控系统的关键组件包括:控制器、组态编程组件、数据采集与监视控制组件、人机界面。
工控系统所涉及的网络部分:企业资源网络、过程控制和监控网络和控制系统网络。

相关推荐