2021-2022-1学期20212416《网络空间安全专业导论》第十周学习总结

chapter03 网络安全基础

3.1网络安全概述

3.1.1网络安全现状及安全挑战

• 网络安全现状
• 敏感信息对安全的需求
• 网络应用对安全的需求

3.1.2网络安全威胁与防护措施

基本概念

安全威胁的来源

基本威胁

• 信息泄露
• 完整性破坏
• 拒绝服务
• 非法使用

主要的可实现威胁

渗入威胁

• 假冒
• 旁路控制
• 授权侵犯

植入威胁

• 特洛伊木马
• 陷门

潜在威胁

• 窃听
• 流量分析
• 操作人员的不慎所导致的信息泄露
• 媒体废弃物所导致的信息泄露

安全防护措施

• 密码技术
• 物理安全
• 人员安全
• 管理安全
• 媒体安全
• 辐射安全
• 生命周期控制

安全攻击的分类及常见形式

被动攻击

• 窃听攻击
• 流量分析

主动攻击

• 伪装攻击
• 重放攻击
• 消息篡改
• 拒绝服务

网络攻击的常见形式

口令窃取

口令猜测攻击的三种方式

• 利用已知或假定的口令尝试登录
• 根据窃取的口令文件进行猜测
• 窃听某次合法终端之间的会话，并记录所使用的口令

欺骗攻击

缺陷和后门攻击

认证失效

协议缺陷

信息泄露

指数攻击——病毒和蠕虫

拒绝服务攻击

开放系统互联模型与安全体系结构

安全服务

认证

• 同等实体认证
• 数据源认证

访问控制

数据保密性

数据完整性

不可否认性

可用性服务

安全机制

安全服务与安全机制的关系

在OSI层中的服务配置

网络安全模型

保证信息安全的方法的包含的两个方面

• 对被发送信息进行安全相关的变换
• 使通信双方共享某些秘密信息
  设计安全服务应包含以下四个方面
• 设计一个算法，它执行与安全相关的变换，该算法是攻击者无法攻破的
• 产生算法所使用的秘密信息
• 设计分配和共享秘密信息的方法
• 知名通信双方使用的协议

3.2 网络安全防护技术

3.2.1 防火墙

• 防火墙概述：
  • 防火墙是由软件和硬件组成的系统，对数据流进行过滤
  • 处理方式
    • 允许数据流通过
    • 拒绝数据流通过
    • 将这些数据丢弃
  • 虽然防火墙为某些业务提供了一个通道，但这也为潜在的攻击者提供了攻击网络内部的机会。攻击者可能利用此通道对内部网络发起攻击
  • 要求
    • 所有进出网络的数据流都必须经过防火墙
    • 只允许经过授权的数据流通过防火墙
    • 防火墙对入侵时免疫的
  • 在采用防火墙将内部网络与外部网络加以隔离的同时，还应确保内部网络中的关键主机具有足够的安全性
  • 网关所在的网络称为“非军事区”
  • 在实际情况下，不是省略了过滤器就是省略了网关，具体情况因防火墙不同而异。外部过滤器用来保护网关免受侵害，而内部过滤器用来防备因网关而被攻破而造成恶果
  • 通常把暴露在外的主机称为堡垒主机
• 防火请分类
  • 包过滤防火墙
  • 电路级网关防火墙
  • 应用级网关防火墙：在堡垒主机运行代理服务的结构
  • 状态检测防火墙
  • 内核代理结构/自适应代理
  • 防火墙结构：
    • 静态包过滤
    • 动态包过滤
    • 电路级网关
    • 应用层网关
    • 状态检查包过滤
    • 切换代理
    • 空气隙
  • IP数据包：
    • IP头
    • TCP头
    • 应用级头
    • 数据/净荷头
• 防火墙原理简介
  • 静态包过滤防火墙
    • 接受每个到达的数据包
    • 对数据包采用过滤规则，对数据包的IP头和传输字段内容进行检查。如果数据包的头信息与一组规则匹配，则根据该规则确定是转发还是丢弃该数据包
    • 如果没有规则与数据包头信息匹配，则对数据包施加默认规则。默认规则可以丢弃或接收所有的数据包
  • 对于静态包过滤防火墙来说，决定接收还是拒绝一个数据包，取决于对数据包中IP头和协议头等特定域的检查和判定。
  • 特定域：
    • 数据源地址
    • 目的地址
    • 应用或协议
    • 源端口号
    • 目的端口号
  • 在转发某个数据包之前，包过滤器防火墙将IP头和TCP头中的特定域与规则库中的规则逐条进行比较。防火墙按照一定的次序扫描规则库，直到包过滤器发现一个特定域满足包过滤规则的特定要求时，才对数据包做出“接收”或“丢弃”的判决。如果包过滤器没有发现一个规则与该数据包匹配，那么它将对其施加一个默认规则

3.2.2 入侵检测系统

入侵检测系统概述

• 它从计算机网络系统的若干关键点收集信息，并分析这些信息，查看网络中是否有违反安全策略的行为和遭到袭击的迹象
  • 监视、分析用户及系统的活动
  • 系统构造和弱点的审计
  • 识别反应已知进攻的活动模式并向相关人员报警
  • 异常行为模式的统计分析
  • 评估重要系统和数据文件的完整性
  • 操作系统的审计跟踪管理，并识别用户违反安全策略的行为
• IDS的主要功能
  • 网络流量的跟踪与分析功能
  • 已知攻击特征的识别功能
  • 异常行为的分析、统计与响应功能
  • 特征库的在线和离线升级功能
  • 数据文件的完整性检查功能
  • 自定义的响应功能
  • 系统漏洞的预报警功能
  • IDS探测器集中管理功能
    2、入侵检测系统分类

①基于网络的入侵检测系统

②基于主机的入侵检测系统

③分布式入侵检测系统

3、入侵检测系统原理简介

CIDF将一个入侵检测系统分为以下组件：

①事件产生器

②事件分析器

③响应单元

④事件数据库

3.2.3虚拟专网

1、VPN概述

VPN有以下特点：费用低、安全保障、服务质量保证、可扩充性和灵活性、可管理性

2、VPN分类

（1）远程访问VPN

（2）网关-网关VPN

3、IPSec VPN原理简介

3.2.4 计算机病毒防护技术

1、计算机病毒防护概述

病毒的特点：破坏性、传染性、隐蔽性

2、计算机病毒分类

木马型病毒、感染性病毒、蠕虫型病毒、后门型病毒、恶意软件

3.2.5 安全漏洞扫描技术

1、漏洞扫描技术概述

漏洞扫描的具体实施效果一般依赖于：

（1）漏洞PoC是否公开

（2）系统指纹信息采集准确度

（3）漏洞EXP是否存在

2、漏洞扫描技术分类

（1）系统扫描

（2）应用扫描

3、漏洞扫描原理简介

漏洞检测分为原理检测与版本检测。

3.3 网络安全工程与管理

3.3.1 安全等级保护

1、等级保护概述

（1）等级划分

（2）工作机制

（3）相关法规标准

2、等级保护主要要求

（1）定级方法

（2）安全设计技术要求

（3）测评方法

3.3.2 网络安全管理

1、网络安全管理概述

网络安全管理控制措施与网络安全技术控制措施一起构成了网络安全防护措施的全部。

2、网络安全管理体系（ISMS）

（1）国外网络安全管理相关标准

（2）我国网络安全管理相关标准

3、网络安全风险管理

（1）风险管理概述

（2）风险管理实施流程

（3）风险管理

3.3.3 网络安全事件处理与灾难恢复

1、网络安全事件分类与分级

2、网络安全应急处理关键过程

3、信息系统灾难恢复

（1）灾难恢复概述

（2）灾难恢复关键过程

3.4 新兴网络及安全技术

3.4.1 工业互联网安全

1、工业互联网的概念

2、工业互联网面临的新安全挑战

3、工业互联网主要安全防护技术

3.4.2 移动互联网安全

1、移动互联网的概念

2、移动互联网面临的新安全挑战

3、移动互联网主要安全防护

3.4.3 物联网安全

1、物联网的概念

2、物联网面临的新安全挑战

3、物联网主要安全防护技术