第1章 网络空间安全概述
信息就像水、电石油一样,与所有行业和所有人都相关,一种基础资源。
1.1 工作和生活中的网络安全
1.1.1 生活中常见的网络安全问题
- 账号密码被盗
- 信用卡被盗刷
1.1.2 工作中常见的网络安全问题
- 网络设备面临的威胁
- 操作系统面临的威胁
- 应用程序面临的威胁
1.2 网络空间安全的基本认识
网络空间安全导论
- 定义一:ISO/IEC 27032:2012——《Information Technology-Securitytechniques-Guidelines for cybersecurity》:“the Cyberspace”is defined as“the complexenvironment rsuting from the interaction of people,software and services on the Internet by means of technology devices and network connectted to it,which does not exist in any physical form.
Cybersecurity is“preservation of confidentiality,integrity and avilability of information in the Cyberspace. - 定义2: mu (国际电联)一-The cleieon。 best paticsasurancesafeguards. guidelines, risk managementapp mnongie bu”poe te oyher ciromen snd ogiain nduser's assets.Organization and user's assets includeconeted computing devics, psronne,ifastnture apitioe, srice. lemanietes sems, and the talty oftransmitted and/or stred information in the cyber environment.Cybersecurity strives toensure the ataiment and maintenance of the security properties of the organization and user'sassets against relevant security risks in the cyber environment. The general security objectivescomprise the following: availability; integrity, which may include authenticity and non-repudiation; and confidentiality.
- 定义3:荷兰安全与司法部一Cyber security is freedom from danger or damage due tothe dsruption, breakdown, or misuse of ICT. The danger or damage resuting from disruption,breakdown or misuse may consist of lmitations to the ailability or rliabilit of ICT, breachesof the cofintiliy of ifrmation sored on ICT media, or damage to the itegrty of that information.
1.3 网络空间安全的技术架构
- 物理安全:主要介绍物理安全的概念、物理环境安全和物理设备安全等内容。
- 网络安全:主要介绍网络与协议安全、网络安全与管理、识别和应对网络安全风险等内容。
- 系统安全:主要介绍操作系统安全、虚拟化安全和移动终端安全等内容。
- 应用安全:主要介绍恶意代码、数据库安全、中间件安全和Web安全等内容。
- 数据安全:主要介绍数据安全的范畴、 数据的保密性、数据存储技术以及数据备份和恢复技术等内容。
- 大数据背景下的先进计算安全问题:主要介绍大数据安全、云安全和物联网安全 等内容。
- 舆情分析:主要介绍舆情的概念、网络舆情的分析方法、两种舆情分析应用技术 等内容。
- 隐私保护:主要介绍个人用户的隐私保护、数据挖掘领域的隐私保护、云计算和物联网领域的隐私保护和区块链领域的隐私保护等内容。
- 密码学及应用:主要介绍密码算法、公钥基础设施、虚拟专网和特权管理基础设施等内容。
- 网络空间安全实战:介绍社会工程学和网络空间安全实战案列等内容。
- 网络空间安全治理:介绍信息安全法规和政策、信息安全标准体系和企业安全压力测试及实施方法等内容。
1.4 我国网络空间安全面临的机遇和挑战
1.4.1 我国网络空间安全发展的重大机遇
- 信息传播的新渠道
- 生产生活的新空间
- 经济发展的新引擎
- 文化繁荣的新载体
- 社会治理的新平台
- 交流合作的新纽带
- 国家主权的新疆域
1。4.2 我国网络空间安全面临的严峻挑战
- 网络渗透危害政治安全
- 网络攻击威胁经济安全
- 网络有害信息侵蚀文化安全
- 网络恐怖和违法犯罪破坏社会安全
- 网络空间的国际竞争方兴未艾
- 网络空间机遇和挑战并存
第2章 物理安全
2.1 物理安全概述
2.1.1 物理安全的定义
在网络空间安全体系中,物理安全就是要保证信息系统有一个安全的物理环境,对接触信息系统的人员有一套完善的技术控制措施,且充分考虑到自燃事件对系统可能造成的威胁并加以规避。
2.1.2 物理安全的范围
- 环境安全:是指对系统所在环境的安全保护,如区域保护和灾难保护。
- 设备安全和介质安全:主要包括设备的防盗、防毁、防电磁信息辐射泄露、防止线路截获、抗电磁干扰及电源保护,以及硬件的安全,包括介质上数据的安全及介质本身的安全。
2.2 物理环境安全
- 物理位置选择
- 物理访问控制
- 防盗窃和防破坏
- 防雷击
- 防火
- 防水和防潮
- 防静电
- 温湿度控制
- 电力供应
- 电磁防护
2.3 物理设备安全
2.3.1 安全硬件
- PC网络物理安全隔离卡
- 网络安全物理隔离器
- 物理隔离网闸
2.3.2 芯片安全
安全芯片其实可以描述成一个可信任平台模块 ( TPM),它是一个可独立进行密钥生成、加解密的装置,内部拥有独立的处理器和存储单元,可存储密钥和特征数据,为计算机提供加密和安全认证服务。用安全芯片进行加密,密钥被存储在硬件中,被窃的数据无法解密,从而保护用户隐私和数据安全。
安全芯片配合专用软件可以实现以下功能:
- 存储、管理密码功能
- 加密
- 对加密硬盘进行分区
第6章 数据安全
6.1 数据安全概述
导致数据泄露的主要原因包括:黑客通过网络攻击、木马、病毒窃取,设备丢失或被盗,使用管理不当等。也就是说,数据从创建、存储、访问、传输、使用到销毁的全生命周期管理过程中都会遇到威胁。
6.2 数据安全的范畴
6.2.1 数据安全的要素
- 数据的保密性(confidentiality)
- 数据的完整性(integri)
- 数据的可获得性(availability)
6.2.2 数据安全的组成
- 数据本身的安全
- 数据防护的安全
- 数据处理的安全
- 数据存储的安全
6.3 数据保密性
6.3.1 数据加密
加密的基本作用包括:
- 防止不速之客查看机密的数据文件。
- 防止机密数据被泄露或篡改。
- 防止特权用户(如系统管理员)查看私人数据文件。
-
使入侵者不能轻易地查找到某个系统的文件。 具体的加密方式:
-
对称加密
- 非对称加密
- Hash(散列)算法
6.3.2 DLP
DLP (Data Leakage(Los) Prevention,数据泄露防护)就是通过内容识别达到对数据的防控。防护的范围主要包括网络防护和终端防护。网络防护主要以审计、控制为主,终端防护除审计与控制能力外,还应包含传统的主机控制能力、加密和权限控制能力。
基本来说,DLP其实是一个综合体。最终实现的效果是智能发现、智能加密、智能管控、智能审计,这是一整套数据泄露防护方案,从另一个角度保证数据机密。
6.4 数据存储技术
6.4.1 数据的存储介质
1.磁性媒体
- 磁带机(Tape Driver)
-
硬盘
- 固态硬盘(Solid State Disk、IDE Flash Disk)
1)读写速度快
2)低功耗、无噪音、抗震动、低热量、体积小、工作温度范围大。因为内部不存在机械活动部件,因此不会发生机械故障,也不拍碰撞、冲击、振动。 - 可换硬盘
- 混合硬盘
- 固态硬盘(Solid State Disk、IDE Flash Disk)
- 光学媒体
- 半导体存储器
6.4.2 数据的存储方案
1.DAS 适用于以下环境:
- 小型网络
- 地理位置分散的网络
- 特殊应用服务器
弱点:
低效率、不方便进行数据保护。
2.NAS
采用独立于服务器、单独为网络数据存储而开发的一种文件服务器来连接存储设备,自形成一个网络。这样,数据存储就不再是服务器的附属,而是作为独立网络节点存在于网络之中,可由所有的网络用户共享。
NAS存储系统为那些访问和共享大量文件系统数据的企业环境提供了一个高效、性能价格比优异的解决方案。数据的整合减少了管理需求和开销,而集中化的网络文件服务器和存储环境,包括硬件和软件都确保了可靠的数据访问和数据的高可用性。
因为NAS存储系统与应用服务器之间交换的是文件,而SAN或DAS架构下,服务器与存储设备交换的是数据块,所以NAS存储系统产品适合于文件存储,而不适合数据库应用。办公自动化系统、税务行业、广告设计行业、教育行业都经常采用此方案。
NAS的优点如下:
1)真正的即插即用
2)存储部署简单
3)存储设备位置非常灵活。
4)管理容易且成本低。
3. SAN
19年,1BM公司在S390服务器中推出了ESCON Enteprie System Comctio)术它是基于光纤介质,最大传输速率达17MHBS 的服务器访问存储器的一种连接方式。 在此基础上,进一步推出了功能更强的ESCON Direter (FC SWitch),构建了一套最原始的SAN系统。SAN (Storage Area Network,存储区域网络)存储方式实现了存储的网络化,P应了计算机服务器体系结构网络化的趋势。SAN的支撑技术是光纤通道(Fiber Chamel.FC技术。它是ANSI为网络和通道I/O接口建立的一个标准集成。FC技术支持HIPPI、IPISCSI、IP、ATM等多种高级协议,其优点是将网络和设备的通信协议与传输物理介质隔离开,这样多种协议可在同一个物理连接上同时传送。
SAN的硬件基础设施是光纤通道,用光纤通道构建的SAN由以下三个部分组成:
1)存储和备份设备:包括磁带、磁盘和光盘库等。
2)光纤通道阿络连接部件:包括主机总线适配卡、驱动程序、光缆、集线器、交换机、光纤通道和SCSI间的桥接器。
3)应用和管理软件:包括备份软件、存储资源管理软件和存储设备管理软件。
当前,大多数企业在存储方案方面遇到的困难主要源自数据与应用系统紧密结合所产生的结构性限制,以及目前小型计算机系统接口(SCSI)标准的限制。由于SAN便于集成,能改善数据可用性及网络性能、减轻管理作业,因此被认为是未来企业级的存储方案。可以看出,SAN主要用于存储量大的工作环境,如ISP、银行等,并有着广泛的应用前景。
基于上述介绍,我们可以总结SAN的优点如下:
1)网络部署容易。
2)高速存储性能。因为SAN采用了光纤通道技术,所以它具有更高的存储带宽,存储性能明显提高。SAN的光纤通道使用全双工串行通信原理传输数据,传输速率高达1062.5Mb/s。
3)良好的扩展能力。由于SAN采用了网络结构,扩展能力更强。光纤接口提供了10m的连接距离,这使得实现物理上分离、不在本地机房的存储变得非常容易。
在现实环境中,上述这三种存储方式共存,互相补充,从而很好地满足企业信息化应用。
需要说明的是,在上述几种方案中,都用到了RAID技术。因此,接下来我详细介绍一下RAID。
RAID ( Redundant Arrays of Independent Disks)是指由独立磁盘构成的具有冗余能力的阵列。磁盘阵列是由很多价格较便宜的磁盘组合而成的一一个容量巨大的磁盘组,利用个别磁盘提供数据所产生的加成效果提升整个磁盘系统效能。利用这项技术,就可以将数据切割成许多区段,分别存放在各个硬盘上。
磁盘阵列还能利用同位检查(Parity Check)的观念,在组中任意一个硬盘故障时,仍可读出数据;在数据重构时,将数据经计算后重新置入新硬盘中。
磁盘阵列有三种样式:一是外接式磁盘阵列柜,二是内接式磁盘阵列卡,三是利用软件来仿真。
1)外接式磁盘阵列柜:常用于大型服务器上,具可热交换( Hot Swap)的特性,这类产品的价格较高。
2)内接式磁盘阵列卡:价格便宜,但需要熟练的安装技术,适合技术人员使用。这种硬件阵列能够提供在线扩容、动态修改阵列级别、自动数据恢复、驱动器漫游、超高速缓冲等功能。是使用阵列卡专用的处理单元来进行操作的。
3)利用软件仿真的方式:是指通过网络操作系统自身提供的磁盘管理功能将连接的普通接口卡上的多块硬盘配置成逻辑盘,组成阵列。例如,Windows 系统或Linux 系统、UNIX系统都可以实现系统管理下的RAID,俗称软RAID。这种RAID也可以提供数据冗余功能,但是磁盘子系统的性能会有所降低,有的降低幅度还比较大(达30%左右),因此会减慢机器的速度,不适合大数据流量的服务器。
6.5 数据存储安全
6.5.1 数据存储安全的定义
数据存储安全是指数据库在系统运行之外的可读性。
6.5.2 数据存储安全的措施
- 确定问题所在。
- 全年全天候对用户的行为进行检测。
- 应根据实际应用需求,严格进行访问控制。
- 要保护所有企业信息。
- 因此,企业要制定相关技术政策,根据明确的政策来使用设备。
- 还要用数据处理政策。
6.6 数据备份
6.6.1 数据备份的概念
数据备份是指为防止系统出现操作失误或系统故障导致数据丢失,而将全部或部分数据集合从应用主机的硬盘或阵列复制到其他存储介质的过程。
6.6.2 数据备份的方式
- 定期进行磁带备份
- 数据库备份
- 网络数据
- 远程镜像
- 正常备份
- 差异备份
- 增量备份
6.6.3 主要的备份技术
- LAN备份
- LAN-Free备份
- Server-Less备份
6.7 数据恢复技术
数据恢复(Data recovery)是指通过技术手段,将保存在电脑硬盘、服务器硬盘、存储磁带库、移动硬盘、U盘等设备上丢失的数据进行抢救和还原的技术。
6.7.1 数据恢复的原理
硬盘保存文件时是按簇保存的,保存在哪些簇中记录在文件分配表里。硬盘文件删除时,是把簇标记为未使用,在重新写入之前,上次删除的内容实际上依然在簇中,所以只要找到该簇,就可以恢复文件内容。
从物理角度看,保存数据时,盘片会变得凹凸不平。删除文件时,并没有把所有的凹凸不平的介质抹平,而是把它的地址抹去,让操作系统找不到这个文件。后续在这个地方写数据,把原来的凹凸不平的数据信息覆盖掉。所以,数据恢复的原理是:如果数据没有被覆盖,我们就可以用软件,通过操作系统的寻址和编址方式,重新找到那些没被覆盖的数据并把它们组成一个文件。如果几个小地方被覆盖,可以用差错校验位来纠正。如果已经全部覆盖,那就无法再进行恢复。
6.7.2 数据恢复的种类
- 逻辑故障数据恢复
- 硬件故障数据恢复
- 磁盘阵列RAID数据恢复
6.7.3 常见设备的数据恢复方法
- 硬盘数据恢复
- U盘数据恢复
第9章 隐私保护
9.1 网络空间安全领域隐私的定义
- 个人身份数据
- 网络活动数据
- 位置数据
9.2 隐私泄露的危害
- 隐私泄露会给个人生活带来困扰。
- 也很容易升级为针对个人的违法侵害。
- 还会导致更加严重的犯罪活动。
- 泄露的隐私数据也会成为黑客攻击的素材。
9.3 个人用户的隐私保护
9.3.1 隐私信息面临的威胁
- 通过用户账号窃取隐私
- 通过诱导输入搜集隐私
- 通过终端设备提取隐私
- 通过黑客攻击获得隐私
9.3.2 隐私保护方法
- 加强隐私保护意识
- 提高账号信息保护能力
- 了解常见的隐私窃取手段,掌握防御方法
9.4 数据挖掘领域的隐私保护
数据挖掘领域中隐私保护的重点是在保证数据挖掘任务正常进行的前提下防止原始记录中私密信息被泄露。在数据挖掘领域,隐私信息被分为两类:
- 原始记录中含有私密信息
- 原始记录中含有敏感知识
数据挖掘中的隐私保护有不同的实现方式,可以分为三类:
- 基于数据失真的技术
- 基于数据加密的技术
- 基于限制发布的技术
9.5 云计算领域中的隐私保护
- 数据生成阶段
- 数据传输阶段
- 数据使用阶段
- 数据共享阶段
- 数据存储阶段
- 数据归档阶段
- 数据销毁阶段
9.6 物联网领域中的隐私保护
- 基于位置的隐私威胁
- 基于数据的隐私威胁
9.6.1 物联网位置隐私保护方法
- 基于启发式隐私度量的位置服务隐私保护技术
- 基于概率推测的位置服务隐私保护技术
- 基于隐私信息检索的位置服务隐私保护技术
9.6.2 物联网数据隐私保护方法
- 匿名化方法
- 加密方法
- 路由协议方法
9.7 区块链领域中的隐私保护方法
- 去中心化
- 健壮性
- 透明性
-
区块链隐私保护需求
- 不允许非信任节点获得区块链交易信息
- 允许非新任节点获得交易信息,但是不能将交易和用户身份联系起来。
- 允许非信任节点获得交易信息,并参与验证工作,但是不知道交易细节。
- 区块链隐私保护技术
第7章 大数据背景下的先进计算安全问题
7.1 大数据安全
7.1.1 大数据的概念
- 大数据的定义
一种规模大到在获取、存储、管理、分析方面大大超出传统数据库软件工具能力范围的数据集合,具有海量的数据规模、快速的数据流转、多样的数据类型和价值密度低四大特征。 -
大数据的特点
- Volume:大容量
- Variety:多样性
- Velocity:快速度
- Veracity:真实性
-
大数据的分类
- 个人大数据
- 企业大数据
- 政府大数据
7.1.2 大数据的使用价值和思维方式
- 大数据的预测价值
- 大数据的社会价值
- 大数据的思维方式
7.1.3 大数据背景下的安全挑战
- 大数据增加了隐私泄露的风险
-
大数据为高级持续性威胁(APT)提供了便利
- 大数据使APT攻击者收集目标信息和漏洞信息更加便利
- 大数据使攻击者可以更容易地发起攻击
- 大数据下访问控制难度加大
问题
三种数据存储方案的原理以及其中的一些专业名词
