网络空间安全概论第一、四章

第一章：网络空间安全概论

1.1 绪论

略

1.2网络空间安全威胁

网络空间安全框架：

1. 设备层安全：物理、环境、设备安全（生物黑客皮下植入RFID芯片、硬件木马）
2. 系统层安全：网络、软件安全（SQL注入、恶意代码）
3. 数据层安全：数据、身份、隐私安全（伪装免费公共WiFi、蓝牙协议漏洞）
4. 应用层安全：内容、应用安全（虚假短信、钓鱼网站）

1.3网络空间安全框架

安全问题

安全模型

动态风险模型：PDR、P2DR

动态安全模型：P2DR2

第四章：网络安全技术

4.1防火墙概述

略

4.2防火墙关键技术

1.数据包过滤技术：检查每个数据包的基本信息，包括IP地址、数据包协议类型、端口号、进出的网络接口。

优点：对用户透明、通过路由器实现、处理速度快。

缺点：规则表的制定复杂、核查简单、以单个数据包为处理单位。

2.应用层代理技术：每种应用程序都要不同的代理程序。

优点：不允许外部主机直接访问内部主机，将内部网完全隔离，比较安全；提供多种用户认证方案；可以分析数据包内部的应用命令；可以提供详细的审计记录。

缺点：对于每一种应用服务都必须为其设计一个代理软件模块来进行安全控制，而每种网络应用服务的安全问题各不相同，分析困难，因此实现也困难。对于新开发的应用，无法通过相应的应用代理；由于检查整个应用层报文内容，存在延迟问题。

3.状态检测技术：采用基于链接的状态检测机制，将属于同一个链接的数据包作为一个整体的数据流来看待，建立状态连接表，且对连接表进行维护。通过规则表和状态表的共同配合，动态地决定数据包是否被允许进入防火墙内部网络。

优点：具备较快的处理速度和灵活性；具备理解应用程序状态的能力和高度安全性；减小了伪造数据包通过防火墙的可能性。

缺点：记录状态信息，会导致网络迟滞；跟踪各类协议，技术实现较为复杂。

4.网络地址转换技术：三种转换方式，分别是多对一映射，一对一映射和多对多映射。

优点：对外隐藏内部网络主机地址；实现网络负载均衡；缓解了互联网IP地址不足问题。

5.个人防火墙技术：

优点：增加了保护级别，不需要额外的硬件资源。通常是免费软件资源。
缺点：个人防火墙自身收到攻击后，可能会失效，而将主机暴露在网络上。

4.3入侵检测技术

概念：

1. 一种主动的安全防护技术，以旁路方式接入网络，通过实时监测计算机网络和系统，来发现违反安全策略访问的过程。
2. 网络安全技术中继防火墙之后的第二道防线。
3. 部署在计算机网络的枢纽节点上，在不影响网络性能的前提条件下，通过实时地收集和分析计算机网络或系统的审计信息，来检查是否出现违反安全策略的行为和攻击的痕迹，达到防止攻击和预防攻击的目的。

作用：

1. 能够快速检测到入侵行为。
2. 形成网络入侵的威慑力，防护入侵者的作用。
3. 收集入侵信息，增强入侵防护系统的防护能力。

主要功能：

1. 监控、分析用户和系统的活动
2. 发现入侵企图和异常现象
3. 审计系统的配置和漏洞
4. 评估关键系统和数据文件的完整性
5. 对异常活动的统计与分析
6. 识别攻击的活动模型
7. 实时报警和主动响应

分类：

1. 基于网络的入侵检测系统：以网络数据包为数据源，实时分析。
2. 基于主机的入侵检测系统：以主机系统的审计记录和日志信息为数据源。
3. 分布式入侵检测系统：综合运用以上两种系统。

检测方法：

1. 特征检测——检测已知攻击:也称误用检测，通过特定的特征匹配来检测入侵和攻击的存在。
   若没有添加新规则无法发现新的，或以正常数据流为基础的攻击行为。
2. 异常检测——检测未知攻击:通过机器学习来建立正常用户的活动模型，若当前行为违反模型规律即作为攻击行为。但是易产生误报和漏报

4.4虚拟专用网

内部专用网

A类地址：10.0.0.0/8 24位地址块

B类地址：172.16.0.0/16 20位地址块

C类地址：192.168.0.0/16 16位地址块

虚拟专用网：利用公共的互联网作为本机构各专用网之间的通信载体

专用网：在机构内部使用

虚拟：并没有真正使用通信专线，但跟真正的专用网效果一样

远程VPN接入技术：外地员工与公司内部通信