第三章 网络空间安全
一.网络安全及管理概述
1.网络安全的概念
网络安全包括网络硬件资源和信息资源的安全性。
2.网络管理的概念
网络管理是指监督、组织和控制网络通信服务,以及信息处理所必需的各种活动的总称。
3.安全网络的特征
- 可靠性:在规定条件下和规定时间内完成规定功能的特性。
- 可用性:指网络信息可被授权实体访问并按需求使用的特性。
- 保密性:指网络信息不被泄漏给非授权用户、实体或过程,或者供其利用的特性。
- 完整性:指网络信息未经授权不能进行改变的特性。
- 可控性:对信息的传播及内容具有控制能力。
- 可审查性:指出现安全问题时提供依据与手段。
4.常见的网路拓扑
- 总线型拓扑结构
- 故障诊断困难
- 故障隔离困难
- 终端必须是智能的
- 星形拓扑结构
- 对电缆的需求大且安装困难
- 扩展困难
- 对中央节点的依赖性太大
- 容易出现“瓶颈”现象
- 环形拓扑结构
- 节点故障将会引起全网的故障
- 故障诊断困难
- 不重新配置网络
- 影响访问协议
- 树形拓扑结构
二.网络安全基础
1.OIS七层模型及安全体系结构
- 七层模型的组成:分别为物理层、数据链接层、网络层、传输层、会话层、表示层和应用层。
- OSI协议的运行原理:从发送端,从高层到低层进行数据封装操作,然后传递给下一层处理。
- OSI安全体系结构
- 物理层:设置链接密码
- 数据链接层:设置PPP验证、交换机端口优先级、MAC地址安全、BPDU守卫、快速端口等。
- 网络层:设置路由协议验证、扩展访问列表、防火墙等。
- 传输层:设置FTP密码、传输密钥等
- 会话层、表示层:公钥密码应该在这两层进行设置
- 应用层:设置NBAR、应用层防火墙等
- 五类安全服务
- 认证服务
- 访问控制服务
- 数据保密性服务
- 数据完整性服务
- 抗否认性服务
2.TCP/IP协议安全
- 网络层协议
- IP协议
- ARP(地址解析协议)
- 传输层协议
- TCP
- UDP
- 应用层协议:如HTTP,HTTPS,FTP,SMTP,Telent,DNS,POP3等
- 安全封装协议
- IPSec:为IPv4和IPv6协议提供基于加密安全的协议
- SSL协议(安全套接层):用于保护网络传输信息
- S-HTTP:超文本传输协议是结合HTTP而设计的一种信息安全通信协议
- S/MIME:全称安全多用途网际邮件扩充协议
3.无线网络安全
- 无线网络安全问题
- 无线局域网安全协议
- WEP(有线等效保密)
- WPA(Wi-Fi网络安全接入)
- WPA-2
- WAPI(无线局域网鉴别和保密基础结构)
- WPI的解封装过程:
- 判断数据分组序号是否有效,无效则丢弃该数据
- 利用解密密钥与数据分组序号。通过工作在OFB模式的解密算法对分组中的MDSU数据及MIC密文进行解密,恢复出MSDU数据以及MIC明文
- 利用完整性校验密钥与数据分组序号,通过工作在CBC-MAC模式的校验算法对完整性校验数据进行本地计算,若计算得到的值与分组中的完整性校验码MIC不同,则丢弃该数据
- 解封装后将MSDU明文进行重组处理并递交至上层
三.识别网络安全风险
1.威胁
- 应用系统和软件安全漏洞
- 安全策略
- 后门和木马程序
- 病毒及恶意网站陷阱
- 黑客
- 安全意识淡薄
- 用户网络内部工作人员的不良行为引起的安全问题
2.脆弱性
- 操作系统的脆弱性
- 计算机系统本身的脆弱性
- 电磁泄漏
- 数据的可访问性
- 通信系统和通信协议的弱点
- 数据库系统的脆弱性
- 网络存储媒介的脆弱
四.应对网络安全风险
1.从国家战略层面应对
- 出台网络安全战略,完善顶层设计
- 建设网络身份体系,创建可信网络空间
- 提升核心技术自主研发能力,形成自主可控的网路安全产业生态体系
- 加强网路攻防能力,构建攻防的安全防御体系
- 深化国国际合作,逐步提升网络空间安全国际话语权
2.从安全技术层面应对
- 身份认证技术
- 生物认证技术
- 口令认证
- 令牌认证
- 访问控制技术
- 访问控制的三要素:即主机、客体和控制策略
- 访问控制的功能及原理:认证、控制策略、安全审计
- 访问控制器类型:自主访问控制、强制访问控制、基于角色访问控制
- 综合性访问控制策略:入网访问控制、网络的权限控制、目录级安全控制、属性安全控制、网络服务器安全控制、网络监控和锁定控制、网络端口和节点的安全控制
- 访问控制的应用
- 入侵检测技术
- 入侵检测系统的定义
- 常用的入侵检测技术:异常检测、特征检测、文件完整性检测
- 监控审计技术
- 网络安全审计的概念
- 网络安全审计方法;日志审计、主机审计、网络审计
- 蜜罐技术
- 实系统蜜罐
- 伪系统蜜罐
3.网络管理的常用技术
- 日常运维检修
- 漏洞扫描
- 应用代码审核
- 系统安全加固
- 等价安全测评
- 安全监督检查
- 信息安全管理情况
- 技术防护情况
- 应急工作情况
- 安全教育培训情况
- 安全问题整改情况
- 应急响应处置
- 安全配置管理
- 资产管理
- 资源管理
- 服务器目录管理
- 服务请求
- 监控管理
第七章 大数据背景下的先进计算安全问题
三.物联网安全
1.物联网概述
- 物联网的概念
- 物联网的层次结构与特征
- 数据感知部分
- 网络传输部分
- 智能处理部分
- 物联网的能力
- 全面感知
- 可靠传递
- 智能处理
- 物联网的典型应用领域
- 具备物理世界认知能力的应用
- 在网络融合基础上的泛在化应用
- 基于应用目标的综合信息服务应用
2.物联网的安全特征与架构
- 物联网安全问题与特征
- 物联网设备
- 物联网设备能够与其他设备以不可预测的、动态的方式建立连接
- 物联网面临的安全挑战
- 标准和指标
- 规章
- 共同的责任
- 成本与安全的权衡
- 陈旧设备的处置
- 可升级性
- 数据机密性、身份验证和访问控制
- 物联网的安全架构
- 物联网面临的安全攻击
- 物联网的安全控制措施
3.工控系统及其安全
- 工控系统的特征
- 工控系统的架构
- 控制器
- 组态编程组件
- 数据采集与监视控制组件
- 人机界面
- 分布式过程控制系统
- 企业资源网络
- 过程控制和监控网络
- 控制系统网络
- 工控系统安全
- 工控网络安全态势及安全问题
- 系统漏洞难以及时处理给工控系统带来安全隐患
- 工业控制系统通信协议在设计之初缺乏足够的安全性考虑
- 没有足够安全政策及管理制度
- 工控系统直接暴露在互联网上
- 系统体系架构缺乏基本的安全保障
- 工控系统的安全防护
- 失泄密防护
- 主机安全管理
- 数据安全管理
- 基线建立
- 运行监控
- 实施防御