2019-2020-1学期 20192413 《网络空间安全专业导论》第九周学习总结
第三章 网络安全
网络安全作为网络空间安全的主要部分之一,聚焦在保证网络传输系统中的硬件、软件以及数据资源得到完整、准确、连续的运行,且服务不受到干扰破坏以及非授权使用。
3.1网络安全及管理概述
3.1.1网络安全的概念
凡是涉及网络信息的保密性、完整性、可用性、真实性、可控性、可审查性的相关技术和理论,都是网络空间安全的研究领域。
网络安全包括网络硬件资源和信息资源的安全性
3.1.2网络管理的概念
网络管理是指监督组织和控制网络通信服务,以及信息处理所必需的各种活动的总称。
从网络管理范畴来分类,可分为对网络设备的管理、对接入的内部计算机、服务器等进行的管理、对行为的管理、对网络设备硬件资产进行管理等。
3.1.3安全网络的特征
1)可靠性:网络信息系统能够在规定条件下和规定的时间内完成规定功能的特性。
2)可用性:指网络信息可被授权实体访问并按需求使用的特性。
3)保密性:保密性是指网络信息不被泄露给非授权用户、实体或过程,或者供其利用的特性。
4)完整性:完整性是指网络信息未经授权不能进行改变的特性。完整性是一种面向信息的安全性。
5)可控性:可控性是指对信息的传播及内容具有控制能力。
6)可审查性:可审查性是指出现安全问题时提供的依据和手段
3.1.4常见的网络拓扑
网络拓扑决定了网络的工作原理及网络信息的传输方法
1.总线形拓扑结构
总线型拓扑结构是将所有的网络工作站或网络设备连接在同一物理介质上
优点:连接简单,增加和删除节点较为灵活
缺陷:
1)故障诊断困难
2)故障隔离困难
3)终端必须是智能的
2.星形拓扑结构
星形拓扑结构由中央节点和通过点到点链路连接到中央节点的各站点组成
缺陷:
1)对电缆的需求大且安装困难
2)拓展困难
3)对中央节点的依赖性太大
4)容易出现“瓶颈”现象
3.环形拓扑结构
环形拓扑结构的网络由一些中继器和连接中继器的点到点链路组成一个闭合环
缺陷:
1)节点的故障将会引起全网的故障
2)故障诊断困难
3)不易重新配置网络
4)影响访问协议
3.2网络安全基础
3.2.1 OSI七层模型及安全体系结构
1、七层模型的组成
由下至上分别为物理层、数据链路层、网络层、传输层、会话层、表示层、应用层
2、OSI协议的运行原理
在发送端从高层到底层进行数据封装操作,每一层都在上层数据的基础上加入本层的数据头,然后再传递给下一层处理,俗称“打包”过程。
接收端对数据的操作与上述过程相反,俗称“拆包”过程。
3、OSI安全体系结构
它最大的优点是将服务、接口和协议三个概念明显的区分开来。
OSI安全体系结构是根据OSI七层协议模型建立的,与OSI七层相对应
在上述的OSI安全体系结构中,定义了五类相关的安全服务,包括认证(鉴别)服务,访问控制服务,数据保密性服务,数据完整性服务和抗否认性服务。
3.2.2 TCP/IP协议及安全
TCP/IP是Internet的基本协议,由OSI七层模型中的网络层IP协议和传输层TCP协议组成。TCP/IP定义了电子设备如何连入因特网,以及数据如何在他们之间传输的标准。
1.网络层协议
(1)IP协议
(2)ARP
2.传输层协议
(1)TCP
(2)UDP
3.应用层协议
HTTP、HTTPS、EYP、SMTP、Telent、DNS、POP3等
4.安全封装协议
(1)IPSec
(2)SSL协议
(3)S-HTTP
(4)S/MIME
3.2.3无线网络安全
1.无线局域网的安全问题
WLAN中存在的安全威胁因素主要是窃听、截取或者修改传输数据、拒绝服务等。
2.无线局域网的安全协议
(1)WEP
它使用共享秘钥串流加密技术进行加密,并使用循环校验以确保文件的准确性
(2)WPA
WPA是从密码强度和用户认证两方面入手来强化无线网络安全的。它采用两种方式:共享秘钥认证和IEEE802.1x认证。
(3)WPA2
为了支持更高的安全加密标准AES,WPA2应运而生。WPA2实现了IEEE802.11i的强制性元素,RC4被AES取代。
(4)WAPI
无线局域网鉴别和保密基础结构是中国针对IEEE802.11协议中的安全问题而提出的拥有自主知识产权的WLAN安全解决方案。
WAPI由无线局域网鉴别基础结构(WAI)和无线局域网保密基础结构(WPI)组成
类似于802.1x,WAI采用的三元结构和对等鉴别访问控制方法也是一种基于端口认证方法。
3.3识别网络安全风险
影响网络的外部因素一般称为威胁,而影响网络的内部因素一般称为脆弱性。
3.3.1威胁
(1)应用系统和软件安全漏洞
(2)安全策略
(3)后门和木马程序
(4)病毒及恶意网站陷阱
(5)黑客
(6)安全意识淡薄
(7)用户网络内部工作人员的不良行为引起的安全问题
3.3.2脆弱性
1.操作系统的脆弱性
(1)动态链接
(2)创建进程
(3)空口令和RPC
(4)超级用户
2.计算机系统本身的脆弱性
3.电磁泄露
4.数据的可访问性
5.通信系统和通信协议的弱点
6.数据库系统的脆弱性
7.网络存储介质的脆弱
3.4应对网络安全风险
3.4.1从国家战略层面应对
1.出台网络安全战略,完善顶层设计
2.建设网络身份体系,创建可信网络空间
3.提升核心技术自主研发能力,形成自主可控的网络安全产业生态体系
4.加强网络攻防能力,构建攻防兼备的安全防御体系
5.深化国际合作,逐步提升网络空间国际话语权
3.4.2从安全技术层面应对
1.身份认证技术
(1)生物认证技术
(2)口令认证
(3)令牌认证
2.访问控制技术
(1)访问控制的三要素:主体、客体和控制策略
(2)访问控制的功能及原理
保证合法用户访问受保护的网络资源,防止非法的主体进入受保护的网络资源,或防止合法用户对受保护的网络资源进行非授权的访问。
(3)访问控制类型
1)自主访问控制
2)强制访问控制
3)基于角色的访问控制
(4)综合性访问控制策略
1)入网访问控制
2)网络的权限控制
3)目录级安全控制
4)属性安全控制
5)网络服务器安全控制
6)网络监控和锁定控制
7)网络端口和节点的安全控制
(5)访问控制应用
3.入侵检测技术
4.监控审计技术
5.蜜罐技术
3.4.3网络管理的常用技术
1.日常运维巡检
2.漏洞扫描
3.应用代码审核
4.系统安全加固
5.等级安全测评
6.安全监督检查
7.应急响应处置
8.安全配置管理
