#2020-2021-1学期 20202418于宗源《网络空间安全专业导论》第十周学习总结

2020-2021-1学期 20202418于宗源《网络空间安全专业导论》第十周学习总结

3.1网络安全概述

3.1.1 网络安全现状及安全挑战

一. 网络安全现状

1、计算机病毒层出不穷。

2、黑客对全球网络的恶意攻击势头逐年攀升。

3、由于技术和设计上的缺陷，导致系统存在缺陷或安全漏洞。

4、世界各国都在加紧进行信息战的研究。

5、“制信息权”已经成为衡量一个国家实力的重要标志之一。

二.敏感信息对安全的需求

现代的信息传递、存储与交换是通过电子和光子完成的。所以必须要对网络上传输的信息进行加密。

三.网络应用对安全的需求

各种网络应用如雨后春笋般不断涌现，与人们的生活和工作息息相关，如何保护这些应用的安全是一个巨大的挑战。

3.1.2 网络安全威胁与防护措施

安全威胁的来源分为：

（1）基本威胁

信息泄露、完整性破坏、拒绝服务、非法使用

（2）主要的可实现威胁

包括渗入威胁和植入威胁

渗入威胁：假冒、旁路控制、授权侵犯

植入威胁：特洛伊木马、陷门

如果对任何一种基本威胁或主要的可实现的威胁进行分析，就能够发现某些特定的潜在威胁：

1.窃听

2.流量分析

3.操作人员不慎所导致的信息泄露

4.媒体废弃物所导致的信息泄露

对于各种安全威胁，也存在多种类型的防护措施，除了密码技术的防护措施外，还有：

1.物理安全

2.人员安全

3.管理安全

4.媒体安全

5.辐射安全

6.生命周期控制

3.1.3
1.被动攻击
对所传输的信息进行窃听和监测。目标获得线路上所传输的信息，不会对系统的资源造成破坏。
窃听攻击和流量分析
重点是预防而非检测

2.主动分析
4类：佯装攻击、重放攻击、消息篡改、拒绝服务
试图破坏系统的资源，影响系统的正常工作。
重点是如何检测并发现

3.网络攻击的常见形式
（1）口令窃取
（2）欺骗攻击
（3）缺陷和后门攻击
（4）认证失效
（5）协议缺陷
（6）信息泄露
（7）指数攻击-病毒和蠕虫
（8）拒绝服务攻击

3.1.4 开放系统互连模型与安全体系结构

定义了必需的安全服务、安全机制和技术管理，以及它们在系统上的合理部署和关系配置。

1.安全服务

（1）认证

同等实体认证、数据源认证

（2）访问控制

对那些通过通信连接或主机和应用的访问进行限制和控制。

（3）数据保密性

（4）数据完整性

（5）不可否认性

（6）可用性服务

2.安全机制

3.安全服务与安全机制的关系

4.在OSI层中的服务配置

3.1.5 网络安全模型

设计安全服务应包含：

① 设计一个算法，它执行与安全相关的变换，该算法是攻击者无法攻破的。

② 产生算法所使用的秘密信息。

③ 设计分配和共享秘密信息的方法。

④ 指明通信双方使用的协议，该协议利用安全算法和秘密信息实现安全服务。

3.2 网络安全防护技术

3.2.1 放火墙

1.防火墙概述
防火墙是由软件和硬件组成的系统，它处于安全的网络和不安全的网络之间，根据由系统管理员设置的访问控制规则，对数据流进行过滤。

2.防火墙分类
根据在网络协议栈中的过滤层次不同，分为3种：包过滤防火墙、电路级网关防火墙和应用级网关防火墙。

3.防火墙原理介绍
静态包过滤防火墙采用一组过滤规则对每个数据包进行检查，然后根据检查结果确定是转发、拒绝还是丢弃该数据包。

包过滤器的工作原理非常简单，根据数据包的源地址、目的地址或端口号确定是否丢弃数据包。

3.2.2 入侵检测系统

1.入侵检测系统概述

基于网络或者主机

主要功能：

网络流量的跟踪与分析功能。

已知攻击特征的识别功能。

异常行为的分析、统计与响应功能。

特征库的在线和离线升级功能。

数据文件的完整性检查功能。

自定义的响应功能。

系统漏洞的预报警功能。

IDS探测器集中管理功能。

组成部分：

数据收集器（又称探测器）

探测器（又称分析器或检测引擎）

知识库

控制器

2.入侵检测系统分类

根据数据来源的不同

基于网络的入侵检测系统

基于主机的入侵检测系统

分布式入侵检测系统

根据入侵检测的策略

滥用检测

异常检测

完整性分析

3.入侵检测系统原理简介

基于网络的入侵检测系统优点：

拥有成本低

攻击者转移证据困难

实时检测和响应

能够检测未成功的攻击企图

操作系统独立

3.2.3 虚拟专网

1 VPN概述

是指将物理上分布在不同地点的网络通过公钥网络链接而构成逻辑上的虚拟子网。其具有以下几个特点：
（1）费用低 （2）安全保障 （3）服务质量保证 （4）可扩充性和灵活性 （5）可管理性

2.VPN分类

可以按协议分类，协议工作在OSI7层模型的不同层上分类，访问方式分类。

3，IPSec

VPN原理简介 IPSec的工作原理类似于包过滤防火墙，可以把它看作包过滤防火墙的一种扩展。 IPSec通过查询安全策略数据库决定如何对接收到的IP数据包进行处理。但是其与包过滤防火墙不同，它对IP数据包的处理方法除了丢弃和直接转发外，还可以对数据包进行IPSec处理。

4.TLS

VPN和IPSec VPN的比较

3.2.4 计算机病毒防护技术

1.计算机病毒防护概述

（1）计算机病毒的定义和特点：破坏性，传染性，隐蔽性
（2）计算机反病毒技术与发展历史：基于简单特征码查杀的单一专杀工具阶段，基于广谱特征码查杀、主动防御拦截的综合杀毒软件阶段，基于云、人工智能和大数据技术的互联网查杀阶段。

2.计算机病毒分类

（1）木马型病毒
（2）感染型病毒
（3）蠕虫型病毒
（4）后门型病毒
（5）恶意软件

3.计算机病毒检测原理简介

（1）计算机病毒检测的基本原理：采样，匹配，基准
（2）计算机病毒的主流检测技术：基于特征码的传统检测技术，基于行为的动态检测技术，基于云技术的云查杀技术，基于大数据处理于人工智能学习算法的智能查杀技术

3.2.5 安全漏洞扫描技术

1.漏洞是扫描技术概述

漏洞扫描的具体实施效果一般依赖于如下几方面因素：
（1）漏洞是否公开
（2）系统指纹信息采集准确度
（3）漏洞EXP是否存在

2.漏洞扫描技术分类

（1）系统扫描：原理检测，版本检测
（2）应用扫描

3.漏洞扫描原理简介 漏洞扫描分为如下步骤：

（1）存活判断
（2）端口扫描
（3）系统和服务识别
（4）漏洞检测 漏洞检测可分为两类：
原理检测 版本检测

3.3 网络安全工程与管理

3.3.1 安全等级保护

一.等级保护概述

1.等级划分

①第一级:一旦受到破坏会对相关公民、法人和其他组织的合法权益造成损害,但不危害国家安全、社会秩序和公共利益的一般网络。

②第二级:一旦受到破坏会对相关公民、法人和其他组织的合法权益造成严重损害，或者对社会秩序和公共利益造成危害,但不危害国家安全的一般网络。

③第三级:一旦受到破坏会对相关公民、法人和其他组织的合法权益造成特别严重损害，或者会对社会秩序和社会公共利益造成严重危害,或者对国家安全造成危害的重要网络。

④第四级:一旦受到破坏会对社会秩序和公共利益造成特别严重危害,或者对国家安全造成严重危害的特别重要网络。

⑤第五级:一旦受到破坏后会对国家安全造成特别严重危害的极其重要网络。

等级保护分为以下5个基本步骤：

1.定级

2.备案

3.建设整改

4.等级测评

5.监督检查

二. 等级保护要求

1.定级方法

①第一级：等级保护对象受到破坏后、会对公民法人和其他组织的合法权经造成般损害，但不危害国家安全、社会秩序和公，，会对公民、法人和其他组织的合法权益造成

②第二级：等级保护对象受到破坏后对社会村失序和公共利益造成危害,但不危害国家安全。

③第三级：等级保护对象受到破坏后，会对社会秩序和公共利益造成严重危害，或

④第四级：等级保护对象受到破坏后，会对社会秩序和公共利益造成特别严重危

⑤第五级：等级保护对象受到破坏后，会对国家安全造成特别严重危害。

3.3.2 网络安全管理

网络安全管理是网络安全工作中的概念，网络安全管理控制措施与网络安全技术控制措施一起构成了网络安全防护措施的全部。

国内外也指定了各类标准管理网络安全。

网路安全风险管理

风险管理是一种在风险评估的基础上对风险进行处理的T程.网络安全风险管理的实质是基于风险的网络安全管理。其核心是网络安全风险评估。

风险管理主要包括资产识别、威胁识别、脆弱性级别、已有安全措施的确认、风险计算、风险处理等过程

风险处理也称风险控制，是在综合考虑成本与效益的前提下,通过安全措施来控制风险,使残余风险降低到可接受的程度,这是网络安全保护的实质。

3.3.3 网络安全事件处置与灾难恢复

网络安全事件分级：

①特别重大事件(I级)，指能够导致特别严重影响或破坏的网络安全事件，包括以下情况:会使特别重要信息系统遭受特别重大的系统损失;会产生特别重大的社会影响。

②重大事件(I级)，指能够致严重影响或破坏的网络安全事件，包括以下情况:会使特别重要信息系统遭受重大的系统损失，或使重要信息系统遭受特别重大的系统损失;产生重大的社会影响。

③较大事件(Ⅲ级)，指能够导致较严重会使特别重要信息系统遭受较大的系统损失，影响或破坏的网络安全事件，包括以下情况:一般信息信息系统遭受特别大的系统损失;产生心，或使重要信息系统遭受重大的系统损失;产生较大的社会影响。

④一般事件(Ⅳ级)，指能够导致较小影响或破坏的网络安全事件，包括以下情况:会使特别重要信息系统遭受较小的系统损失或使重重要信息系统遭受较大的系统损失,一般信息系统遭受严重或严重以下级别的系统损失;产生般的社会影响。

网络安全应急处理关键过程：

1.准备阶段

2.检测阶段

3.抑制阶段

4.根除阶段

5.恢复阶段

6.总结阶段

灾难恢复的关键过程：

1.恢复需求的确定

2.恢复策略的确定

3.恢复策略的实现

4.恢复预案的制定、落实和管理

3.4 新兴网络安全及技术

3.4.1 工业互联网安全

一.工业互联网的概念

工业互联网是全球工业系统与高级计算、分析、感应技术以及互联网深度融合所形成的全新网络互联模式。

二.工业互联网面临的新安全挑战

（1）传统攻击方式的危害性更大

（2）网络攻击的入口更多

三.工业互联网主要安全防护技术

（1）安全人员培训

（2）安全需求制定和实施计划

（3）安全硬件和软件设计、实现和评估

（4）安全方案部署

（5）信息反馈、测试和升级

3.4.2 移动互联网安全

1.移动互联网的概念

移动互联网是指利用互联网的技术、平台、应用以及商业模式与移动通信技术相结合并实践的活动的统称。

2.移动互联网面临的新安全挑战

3.移动互联网主要安全防护技术

（1）移动互联网终端安全

（2）移动互联网网络安全

（3）移动互联网应用安全

（4）移动互联网安全管理和规范

3.4.3 物联网安全

1.物联网的概念

2.物联网面临的新安全挑战

（1）感知识别层面临的主要安全挑战

（2）网络构建层面临的主要安全挑战

（3）管理服务层面临的主要安全挑战

（4）综合应用层面临的主要安全挑战

3.物联网主要安全防护技术

（1）感知识别层安全

（2）网络构建层安全

（3）管理服务层安全

（4）综合应用层安全