网络空间安全技术-期末复习

CH1 网络空间安全概述

什么是信息安全

1. 确保信息不被非授权使用和泄露
2. 防止非法修改和破坏
3. 确保能够方便快捷地使用信息

信息安全基本目标

1. 机密性
   确保信息没有非授权的泄漏，不被非授权的个人、组织和计算机程序使用
2. 完整性
   确保信息没有遭到篡改和破坏
3. 可用性
   确保拥有授权的用户或程序可以及时、正常使用信息

什么是网络空间安全

《国家网络空间安全战略》

1. 时间：2016年
2. 机构：国家互联网信息办公室
3. 重要内容
   “伴随信息革命的飞速发展，【设施：互联网、通信网、计算机系统、自动化控制系统、数字设备】及其承载的【服务：应用、服务】和【数据：数据】等组成的网络空间，正在全面改变【用户：人们】的生产生活方式，深刻影响人类社会历史发展进程。”

网络空间四要素

1. 网络空间载体（设施）：信息通信技术系统的集合
2. 网络空间资源（数据）：表达人类所能理解的意图的信号状态
3. 网络活动主体（用户）：网络活动的主体要素，属于人的代理
4. 网络活动形式（操作）：对数据的加工、存储、传输、展示等服务形式

网络空间的一般性定义

网络空间是一种人造的电磁空间，其以互联网、各种通信系统与电信网、各种传播系统与广电网、各种计算机系统、各类关键工业设施中的嵌入式处理器和控制器等信息通信技术基础设施为载体，用户通过在其上对数据进行创造、存储、改变、传输、使用、展示等操作，以实现特定的信息通信技术活动。

网络空间安全四层次模型

任何信息系统都会涉及四个层面：电磁设备、电子信息系统、运行数据、系统应用

1. 应用层安全
   应对在信息应用的过程中所形成的安全问题，包括内容安全、应用安全等
2. 数据层安全
   应对在网络空间中处理数据的同时所带来的安全问题，包括数据安全、身份安全、隐私保护等
3. 系统层安全
   应对在网络空间中信息系统自身所面对的安全问题，包括网络安全、软件安全等
4. 设备层安全
   应对在网络空间中信息系统设备所面对的安全问题，包括物理安全、环境安全、设备安全等

CH2 网络空间安全风险及风险管理

什么是网络空间安全风险管理

了解风险 + 控制风险 = 管理风险

定义

1. GB/Z24364《信息安全风险管理指南》
   信息安全风险管理是识别、控制、消除或最小化可能影响系统资源的不确定因素的过程
2. 在组织机构内部识别、优化、管理风险使风险降低到可接受水平的过程

术语辨析

检查评估&等级保护测评

等保测评、安全检查都是在既定安全基线的基础上开展的符合性测评。
等保测评是符合国家安全要求的测评。
安全检查是符合行业主管安全要求的测评。

风险评估

在国家、行业安全要求的基础上，以被评估系统特定安全要求为目标而开展的风险识别、风险分析、风险评价活动。

风险评估工具

风险评估与管理工具

基于标准的工具、基于知识的工具、基于模型的工具

系统基础平台风险评估工具

脆弱性扫描工具、渗透性测试工具

风险评估辅助工具

风险评估四阶段

风险评估准备

制定风险评估方案、选择评估方法

风险要素识别

发现系统存在的威胁、脆弱性和控制措施

1. 资产识别
   1）什么是资产？
   资产是任何对组织有价值的东西，是要保护的对象。
   2）对资产的价值或重要程度进行评估，资产本身的货币价值是资产价值的体现，但更重要的是资产对组织关键业务的顺利开展乃至组织目标实现的重要程度。
   3）多数情况下以定性的形式进行，依据重要程度的不同划分为5个等级：
   非常重要 → 重要 → 比较重要 → 不太重要 → 不重要
   4）资产识别在整个风险评估中起什么作用？
   两点：是整个风险评估工作的起点和终点
   5）资产识别的重点和难点是什么？
   一线：业务战略→信息化战略→系统特征（管理/技术）
   6）资产识别的方法有哪些？
   资产分类（树状法）。
   自然形态分类（勾画资产树：管理、技术.逐步往下细化)
   信息形态分类（信息环境、信息载体、信息)
   7）得到资产价值的方法
   对资产的机密性、完整性、可用性定性赋值后用一定方法进行综合，基本属于最大原则（取多个属性中最大的属性赋值作为综合值）
2. 威胁识别
   1）什么是威胁？
   可能对计算机系统或网络造成负面影响的任何潜在行为或事件。
   2）威胁识别的任务
   对组织资产面临的威胁进行全面的标识
   3）威胁识别与资产识别的关系？
   点和面：重点识别和全面识别
   4）威胁识别的重点和难点？
   三问：“敌人”在哪儿？效果如何？如何取证？
   5）威胁识别的方法有哪些？
   日志分析、历史安全事件、专家经验、互联网信息检索
   6）威胁分类
   人为故意威胁、人为非故意威胁、自然威胁
3. 脆弱性识别
   1）什么是脆弱性？
   与信息资产有关的弱点或安全隐患，是造成风险的内因。
   脆弱性本身不对资产构成危害，但在一定条件下威胁源可以用恰当的威胁方式利用脆弱性，对资产造成危害。
   2）脆弱性识别与威胁识别的关系？
   验证：以资产为对象，对威胁识别进行验证
   3）脆弱性识别的难点是什么？
   三性：隐蔽性、欺骗性、复杂性
   4）脆弱性分类

• 管理脆弱性（如缺少管理制度）：技术管理、组织管理
• 结构脆弱性（如安全域划分不当）：网络结构、系统软件、应用中间件、应用系统
• 操作脆弱性（如安全审计员业务生疏）
• 技术脆弱性（如系统有bug）
• 物理脆弱性（如一层的窗子没有防护栏）
  5）等级化处理
  很低（1）、低、中等、高、很高（5）

风险分析

判断风险发生的可能性和影响的程度.

1. 定性分析
   1）依据经验/业界惯例等非量化资料判断，主观性强。
   2）矩阵法
2. 定量分析
   1）用数量指标评估，采用量化数值描述后果
   2）期望年度损失ALE
3. 半定量分析
   相乘法
4. 综合分析
   1）定量是基础和前提，定性是灵魂和依靠
   2）层次分析法AHP

风险结果判定

综合分析结果判定风险等级

1. 减低风险
   1）风险处置的首选。在安全投入小于负面影响价值的情况下采用。
   2）具体方法
   减少威胁源、减低威胁能力、减少脆弱性、防护资产、降低负面影响。
2. 转移风险
   1）通过将面临风险的资产或其价值转移到更安全的地方来避免或降低风险。通常只有当风险不能被降低或避免、且被第三方（被转嫁方)接受时才被采用。一般用于那些低
   概率、但一旦风险发生时会对组织产生重大影响的风险。
   2）具体方法
   把信息系统技术体系外包给满足安全保障要求的第三方；给设备上保险
3. 规避风险
   通过不使用面临风险的资产来避免风险。
4. 接受风险
   对风险不采取进一步处理措施，接受其后果，但要随时进行风险态势变化监控，一旦发展为无法接受的风险就采取措施。

国产化替代

国产化替代替代的是什么？

替代的是被垄断的外国产品。
在信息技术方面，主要是“国产桌面计算机技术体系对Wintel体系的替代”和“高端服务器和数据库对IOE的替代”。

CH3 信息与网络空间安全保障

什么是信息系统安全保障

在信息系统的整个生命周期中，从技术、管理、工程和人员等方面提出安全保障要求，确保信息系统的保密性、完整性和可用性，降低安全风险到可接受的程度，保障系统实现其使命。

什么是网络空间安全模型

通过建模思想解决网络安全管理问题，有效抵御外部攻击，保障网络安全。
安全模型用于精确和形式地描述信息系统的安全特征，解释系统安全相关行为。

为什么需要安全模型

1. 能准确地描述安全的重要方面与系统行为的关系。
2. 能提高对成功实现关键安全需求的理解层次。
3. 从中开发出一套安全性评估准则，和关键的描述变量。

安全模型

PDRR

PDRR强调自动故障恢复能力。

1. 保护（Protect）
   作为基础，将保护视为活动过程。
2. 检测（Detect）
   用检测手段发现安全漏洞。
3. 反应（React）
   采取应急响应措施对抗入侵。
4. 恢复（Restore）
   系统被入侵后，采取措施将其恢复到正常状态。

分布式动态主动模型PPDR

1. 强调控制和对抗（系统安全的动态性）。以安全检测、漏洞监测和自适应填充“安全间隙”为循环，特别考虑人为的管理因素。
2. 数学法则：Pt > Dt + Rt
   Pt是防护时间（有效防御攻击的时间）
   Dt是检测时间（发起攻击到检测到的时间）
   Rt是反应时间（检测出攻击到处理完成时间）
   Et是暴露时间
   如果Pt＞Dt＋Rt，那么系统是安全的。
   如果Pt＜Dt＋Rt，那么Et＝(Dt＋Rt)－Pt。

深度防御保障模型IATF

1. 代表理论：深度防御
2. 三个核心要素。
   1）人(People)
   信息保障体系的核心，是第一位的要素，同时也是最脆弱的。
   2）技术（Technology）
   实现信息保障的重要手段。
   动态的技术体系：防护、检测、响应、恢复
   3）操作(Operation)
   是将各方面技术紧密结合的主动过程，构成安全保障的主动防御体系。
3. 四个信息安全保障领域（三保护一支撑）
   1）本地计算环境
   2）区域边界
   3）网络和基础设施
   4）支撑性基础设施

木马病毒分类

勒索病毒、挖矿木马、远控木马、普通木马

CH4 网络空间安全技术体系与技术

开放系统互连安全体系结构

安全机制

用来保护或保障信息系统安全的一种或一类技术的总称。
八种：加密、数字签名机制、访问控制机制、数据完整性机制、鉴别交换机制、通信业务流填充机制、路由选择控制机制、公证机制

1. 加密机制
   对称、非对称、消息鉴别码
2. 数字签名机制
   1）基本要求
   能与所签文件“绑定”、签名者不能否认自己的签名、签名不能被伪造、容易被验证
   2）特性
   不可伪造性、抗抵赖性、保证消息完整性
3. 访问控制机制
   1）访问控制
   合法的主体访问合法的客体
   2）最小特权原则
   不给用户分配超过执行任务所需特权以外的特权。
   3）访问控制模型
   自主访问控制DAC、强制访问控制MAC、基于角色访问控制RBAC
4. 数据完整性机制
   1）定义
   防止非法实体对交换数据的修改，插入，替换和删除，或可以检测出修改，插入，替换和删除。
   2）分类

• 通过密码学提供完整性
• 通过上下文提供完整性
• 通过探测和确认提供完整性
• 通过阻止提供完整性

5. 鉴别交换机制
   1）定义
   以交换信息方式验证实体合法性。用于对抗假冒。
   2）鉴别交换机制几乎是所有安全服务的基础
6. 抗抵赖机制
   抗抵赖机制旨在生成、收集、维护有关已声明的事件或动作的证据，并使该证据可得并且确认该证据，以此来解决关于此事件或动作发生或未发生而引起的争议。

安全服务

加强数据处理系统和信息传输的安全性的一类服务。
其目的在于利用一种或多种安全机制保障信息系统安全或信息系统安全可靠运行。
五种：鉴别服务、访问控制服务、数据机密性服务、数据完整性服务、抗抵赖性服务。

信息系统安全体系框架

信息系统安全的

物理安全、网络安全、信息内容安全、应用系统安全和安全管理的总和

安全的最终目标

确保信息的机密性、完整性、可用性、可控性和抗抵赖性，以及信息系统主体(包括用户、团体、社会和国家)对信息资源的控制。

完整的信息系统安全体系框架

由技术体系、组织机构体系和管理体系共同构建。

1. 技术体系
   物理安全技术、系统安全技术
2. 组织机构体系
   机构、岗位、人事三个模块
3. 管理体系
   法律管理、制度管理、培训管理
   三分技术，七分管理；管理与技术并重。

CH5 鉴别机制与技术

鉴别

1. 鉴别就是确认实体是它所声明的。
2. 鉴别是最重要的安全服务之一，提供了关于某个实体身份的保证，其它所有安全服务都依赖它。
3. 鉴别可以对抗假冒攻击

身份鉴别系统

要求

1. 正确识别合法申请者的概率极大化
2. 不具有可传递性(Transferability)
3. 攻击者伪装成功的概率要小到可以忽略的程度
4. 计算有效性
5. 通信有效性
6. 秘密参数能安全存储
7. 交互识别
8. 第三方实时参与
9. 第三方的可信赖性
10. 可证明的安全性

设计依据

安全水平、系统通过率、用户可接受性、成本 等

分类

1. 基于你所知道的(What you know）
   知识、口令、密码
2. 基于你所拥有的(What you have)
   身份证、信用卡、钥匙、智能卡、令牌 等
3. 基于你的个人特征(What you are).
   指纹、笔迹、声音、手型、脸型、视网膜、虹膜
4. 双因素/多因素认证

主动攻击与被动攻击

1. 主动攻击：阻断、伪造、重放
2. 被动攻击：窃听，不对消息做任何修改，不影响原有业务流，难以检测

基于质询-应答的身份鉴别技术

其安全性取决于：

1. 散列函数安全性
2. 这是单向鉴别，存在验证者假冒和重放攻击（可以通过双向鉴别或时间戳解决）

CH6 访问控制机制与技术

访问控制

概念

针对越权使用资源的防御措施。

目标

防止对任何资源进行未授权的访问，使资源在授权范围内使用，决定用户和代表一定用户利益的程序能做什么。

未授权访问

包括非法用户对系统资源的使用和合法用户对系统资源的非法使用

核心目的

保障资源的机密性、可用性、完整性。

主体与客体

1. 主体(Subject)
   发起者，是一个主动的实体，可以操作被动实体的相关信息或数据。
2. 客体(Object)
   被操作的对象，一种被动实体，需要保护的资源。
3. 访问(Access)
   对资源的使用，读、写、修改、删除 等操作。
   访问可以被描述为一个三元组(S, A, O)

访问控制模型

自主访问控制DAC

1. 允许客体的创建者决定主体对该客体的访问权限
2. 实现方法：访问控制表、访问能力表
3. 实现机制：访问控制矩阵
   行是主体（用户），列是客体（文件），矩阵元素规定用户对文件的访问许可
   1）按列：访问控制表
   使用用户组来解决主体客体数量大导致的访问效率低的问题。
   2）按行：访问能力表
4. 访问许可
   描述主体对客体所具有的控制权
   分为等级型、有主型、自由型
5. 优点
   1）根据主体身份和访问权限决策
   2）具有某种访问能力的主体能够自主地将访问权的某个子集授予其它主体
   3）灵活性高
6. 缺点
   信息传递过程中访问权限关系可以被改变

强制访问控制MAC

1. 主体对客体的所有访问请求按照强制访问控制策略进行控制，客体的属主无权控制客体的访问权限。每个主体和客体分配固定的安全级别，只有系统管理员能修改。
2. 分类
   1）保密性模型
   上读下写
   信息流只能从低级别流向高级别，保证数据机密性
   Bell-Lapudula模型（应用于防火墙）
   2）完整性模型
   下读上写
   保证数据完整性
   Biba模型（应用于web服务器）、Clark-Wi lson模型
   3）混合策略模型
   Chinese Wall模型
3. 特点
   控制粒度大；灵活性不高；安全性强

基于角色的访问控制RBAC

1. 基本思想
   根据用户所担任的角色来决定用户在系统中的访问权限。
   用户必须扮演并激活某种角色，才能访问对象或执行某种操作。
2. 特点
   1）便于授权管理
   2）便于处理工作分级
   3）利于安全约束
   4）便于任务分担

CH7 防火墙技术及其发展

基本概念

防火墙定义

网络间提供安全连接的设备
用于实现和执行网络间通信的安全策略

检测与过滤技术

1. 包过滤
   1）工作在网络层
   2）检查IP、端口、TCP/UDP协议类型，不检查数据区
   3）前后报文无关，应用层控制弱
   4）优点
   规则简单，处理速度快；易配置；用户透明
   5）缺点
   只在网络层检查和过滤；安全性差；静态策略可能被利用
2. 应用代理
   1）工作在应用层
   2）不检查IP头和TCP头，只查数据区，网络层保护弱
   3）优点
   检查应用层、传输层和网络层协议特征，检测能力强；安全性强
   4）缺点
   支持的应用数有限，无法支持新应用/技术/协议；用户不透明；性能差
   可以通过自适应代理技术解决
3. 状态检测
   1）工作在2~4层
   2）不查数据区；会建立连接状态表，检查每个连接的合法性（用其内置的TCP/IP协议状态机检测会话是否符合TCP/IP通信原理和特征）；前后报文相关，应用层控制弱
   2）特点
   性能高；支持大量应用；内核级实现检测过滤；支持应用层协议检查
4. 完全内容检测
   1）工作在2~7层
   2）检查包头、状态、应用层协议，上下文相关，前后报文相关
   3）网络层、应用层、会话保护都很强，能防范混合型安全威胁

接入方式

1. 路由接入
   实现不同网段的连接
2. 透明接入
   防火墙出入口都不用配置IP，内部网络结构不用改变
3. 混合接入
   以上两种不能同时使用，但可以同时保留，让用户自行选择

五项指标

吞吐量、时延、丢包率、背靠背、并发连接数

CH8 入侵检测

定义

入侵

在非法或未经授权的情况下，试图存取或处理系统或网络中的信息，或破坏系统或网络正常运行，致使系统或网络的机密性、完整性和可用性受到破坏的故意行为。

入侵检测

对入侵的发觉

入侵检测系统IDS

实现入侵检测功能的软件和硬件集合

入侵检测模型

入侵检测系统的通用模型（CIDF）

1. 组成
   1）事件生成器：采集和监视数据
   2）事件分析器：分析事件生成器收集的数据；对事件数据库定期分析
   3）事件数据库：记录事件及其分析结果
   4）事件响应器：处理分析器发现的异常事件
2. 通用入侵说明语言CISL
   系统事件、分析结果和响应指示的通用表示

IDS分类

按检测分析技术

1. 异常检测（基于行为的检测）
   1）实现
   先建立知识库，然后标识出不符合正常模式的行为活动
   2）知识库难以建立；难以划分正常和异常
2. 特征检测（误用检测）
   1）实现
   针对已知（类似）的攻击行为和间接的违背系统安全策略行为的检测，攻击和系统漏洞库是特征检测的基础。
   先建立入侵行为模型(攻击特征库)，然后判别当前行为是否符合已知攻击模式。
   2）优点
   准确；简单
   3）缺点
   攻击库必须足够完备并不断更新；无法检测未知攻击
   4）检测方法
   基于专家系统、基于简单规则模式匹配、基于攻击签名分析、基于统计模式匹配、基于状态转换分析

按检测范围

1. 主机
   以代理软件形式安装在每台主机上
   按检测对象可分为网络连接检测和主机文件检测
2. 网络
   混杂模式接入网络关键位置
   用原始的网络分组数据包作为攻击分析的数据源
3. 网络节点

IDS指标

1. 漏报率
2. 误报率：误报率与检出率成正比

CH9 其他网络安全技术与设备

安全隔离与信息交换系统（网闸）

传统

物理隔离
核心思想是不连接

什么是网闸

用于在两个隔离程度较高的网络之间进行安全的数据交换。
至少需要两套主机和一个隔离部件。

组成

内端机、外端机、隔离系统

网闸与防火墙

防火墙：保证互联互通，尽量安全
网闸：保证安全，尽量互联互通

网络准入控制NAC

主要功能

认证与授权、扫描与评估、隔离与实施、更新与修复

用户流程

用户尝试访问某网页或客户端，NAC先对用户进行检查

• 未登录：重定向到登录界面
• 设备不符合安全策略或登录失败：拒绝接入，分配一个隔离角色，使其访问在线修复资源
• 通过检查：获得接入许可

入侵防御系统IPS

什么是IPS

集入侵检测和防御于一体，使得IDS和防火墙走向统一。

主要功能

识别并阻断恶意攻击；向管理控制台发送日志；病毒过滤、带宽管理、URL过滤

IPS与IDS

IPS	IDS
部署方式
在线（流量必须通过IPS）	旁路（通过镜像获得数据）
必须实时（时延必须很小）	准实时（可以接受秒级时延）
立刻影响报文	对网络和业务无直接影响
作用范围有限制	范围广
设计出发点
无误报	无漏报
满足峰值流量	满足平均流量
以业务可用性为重	只关注自身功能

CH10 虚拟专用网技术

VPN

概念

一种通过对网络数据的封包和加密传输，在公网上传输私有数据、达到私有网络的安全级别，从而利用公网构筑企业专用网的组网技术。
兼备公众网的便捷和专用网的安全，是介于公众网与专用网之间的一种网。

基本功能

加密；信息认证（完整性）；身份认证；访问控制

VPN主要协议

IPsec

1. 鉴别头部AH
   1）AH能为IP包提供

• 无连接完整性（利用消息鉴别码产生的校验值）
• 数据起源鉴别（利用数据包包含的将验证的共享秘密或密钥）
• 抗重放（利用AH中的序列号）
  2）工作模式
  按AH插入IP包的位置分
• 传输模式
  AH头插入原IP头后面
• 隧道模式
  AH头插入原IP头前面，并在AH头前面放一个协议字段是51的新IP头

2. 负载安全封装ESP
   1）把整个IP分组或传输层协议部分封装到ESP载荷中，进行安全处理，实现机密性和完整性保护。ESP具备AH的全部功能，还能保证机密性。
   2）ESP只鉴别ESP头之后的信息，AH还要对外部IP头各部分进行鉴别。
   3）两套算法：负责保护机密性的加密算法和负责进行身份验证的鉴别算法
   4）工作模式
   按ESP封装的载荷内容分

• 传输模式
  在原IP头后面插入ESP头，封装后面的TCP/UDP头和数据。原IP头的协议字段会变成50.
• 隧道模式
  封装原IP头、TCP/UDP头和数据，在原IP头前面插入ESP头，最前面是协议字段为50的新IP头。相当于先把包括IP头在内的整个IP包加密封装到新IP包中。
  特点：对被保护子网中的用户透明；子网内不需要用公网IP；子网内部拓扑结构被保护。

3. 密钥协商
   采用IKE两阶段协商完成SA的建立。
   1）第一阶段
   IKE交换的发起方发起一个主模式交换，结果是建立一个名为ISAKMP SA的安全关联。作用是保护后续通信。
   2）第二阶段
   通信任意一方发起一个快捷模式的消息交换序列，完成协商。

SSL

1. 提供的服务
   认证用户和服务器身份；加密数据；防止数据被篡改
2. 第一层：SSL握手协议
   1）数据传输开始前，进行双向身份认证、协商加密和MAC算法、交换密钥等
   2）是SSL中最复杂的部分
   3）四个阶段

• 建立安全能力（互发协议版本、会话ID、密码组、压缩方法和随机数字）
• 服务器身份验证和密钥交换（服务器发证书、密钥交换、请求证书，以hello消息段结束）
• 客户机验证和密钥交换（客户端发证书、密钥交换、证书验证）
• 完成（更新密码组）

3. 第二层：SSL记录协议
   1）两种服务

• 机密性：为SSL有效载荷的常规密码定义共享秘密密钥
• 消息完整性：为生成MAC定义共享秘密密钥
  2）发送消息：把数据分段、压缩，加入MAC，加密，附加SSL记录报头，在TCP段中传输。
  接收消息：解密、身份验证、解压、重组，然后交付

4. TLS与SSLv3的区别
   1）TLS利用的MAC算法是HMAC
   2）TLS计算MAC时在SSLv3覆盖的字段基础上增加了TLSCompressed.version

VPN通道建立方式

Host对Host

1. 两边主机都必须支持IPsec
2. 不要求VPN网关支持IPsec

Host对VPN网关

1. host方主机必须支持IPsec
2. VPN网关VPN一侧必须支持IPsec

VPN网关对VPN网关

1. 不要求主机支持IPsec
2. 两边的VPN网关必须支持IPsec

Remote User对VPN网关

不要求网关内主机支持IPsec