其他分享
首页 > 其他分享> > 2019-2020-1学期20192409《网络空间安全专业导论》第九周学习总结

2019-2020-1学期20192409《网络空间安全专业导论》第九周学习总结

作者:互联网

第三章 网络安全

3.1 网络安全及管理概述

3.1.1 网络安全的概念

从广义来说,凡是涉及网络信息的保密性、完整性、可用性、真实性、可控性、可审查性的相关技术和理论,都是网络安全的研究领域。网络安全是一个涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等的综合性领域。
网络安全包括网络硬件资源和信息资源的安全性。其中,网络硬件资源包括通信线路、通信设备(路由机、交换机等)、主机等,要实现信息快速安全的交换,必须有一个可靠的物理网络。信息资源包括维持网络服务运行的系统软件和应用软件,以及在网络中存储和传输的用户信息数据等。信息资源的安全也是网络安全的重要组成部分。

3.1.2 网络管理的概念

网络管理是指监督、组织和控制网络通信服务,以及信息处理所必需的各种活动的总称。其目标是确保计算机网络的正常运行,使网络中的资源得到更加有效的利用,并在计算机网络运行出现异常时能及时响应和排除故障。
网络管理技术:

3.1.3 安全网络的特征

1)可靠性:网络信息系统能够在规定条件下和规定时间内完成规定功能的特性。
2)可用性:网络信息可被授权实体访问并按需求使用的特性。
3)保密性:网络信息不被泄露给非授权的用户、实体或过程,或者供其利用的特性。
4)可控性:对信息的传播及内容具有控制能力。
5)可审查性:出现安全问题时提供的依据与手段。

3.1.4 常见的网络拓扑

网络拓扑是指网络的结构方式,表示连接在地理位置上分散的各个节点的几何逻辑方式。
常见的网络拓扑结构有总线形、星形、环形和树形等。在实际应用中,通常采用它们中的全部或部分混合的形式,而非某种单一的拓扑结构。

1.总线形拓扑结构

总线形拓扑结构是将所有的网络工作站或网络设备连接在同一物理介质上,这时每个设备直接连接在通常所说的主干电缆上。
总线形拓扑结构存在如下安全隐患:

1)故障诊断困难
2)故障隔离困难
3)终端必须是智能的

2.星形拓扑结构

星形拓扑结构由中央节点和通过点到点链路连接到中央节点的各站点组成。
星形拓扑结构主要存在以下安全缺陷:

1)对电缆的需求大且安装困难
2)扩展困难
3)对中央节点的依赖性太大
4)容易出现“瓶颈现象”

3.环形拓扑结构

环形拓扑结构的网络由一些中继器和连接中继器的点到点链路组成一个闭合环。
环形拓扑主要存在以下安全缺陷:

1)节点的故障将引起全网的故障
2)故障诊断困难
3)不易重新配置网络
4)影响访问协议

4.树形拓扑结构

树形拓扑结构是从总线拓扑演变而来的,其形状像一颗倒置的树。

3.2 网络安全基础

3.2.1 OSI七层模型及安全体系结构

OSI是一个旨在推动开源软件发展的非盈利组织。
OSI参考模型的全称是开放系统互连参考模型,其目的是为异构计算机互连提供共同的基础和标准框架,并为保持相关标准的一致性和兼容性提供共同的参考。

1.七层模型的组成

OSI参考模型由下至上分别为物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。

2.OSI协议的运行原理

简单来说,在发送端,从高层到低层进行数据封装操作,每一层都在上层数据的基础上加入本层的数据头,然后再传递给下一层处理。因此,这个过程是数据逐层向下的封装过程,俗称“打包”过程。
在接收端,对数据的操作与上述过程相反,数据单元在每一层被去掉头部,根据需要传送给上一层来处理,直到应用层解析后被用户看到内容。这是一个从低层到高层的解封装过程,俗称“拆包”过程。

3.OSI安全体系结构

在上述OSI安全体系结构中,定义了五类相关的安全服务:

1)认证(鉴别)服务:提供通信中对等实体和数据来源的认证(鉴别)。
2)访问控制服务:用于防止未授权用户非法使用系统资源,包括用户身份认证和用户权限确认。
3)数据保密性服务:为防止网络各系统之间交换的数据被截获或被非法存取而泄密,提供机密保护。同时,对有可能通过观察信息就能推导出信息的情况进行防范。
4)数据完整性服务:用于防止非法实体对交换数据的修改、插入、删除以及在数据交换过程中的数据丢失。
5)抗否认性服务(也叫不可否认性服务):用于防止发送方在发送数据后否认发送和接收方在收到数据后否认收到或伪造数据的行为。

3.2.2 TCP/IP协议及安全

TCP/IP是Internet的基本协议,由OSI七层模型中的网络层IP协议和传输层TCP协议组成。TCP/IP定义了电子设备如何接入互联网,以及数据如何在它们之间传输的标准。

1.网络层协议

(1)IP协议
IP协议是TCP/IP协议的核心,也是网络层中的重要协议。从前面的介绍可知,IP层封装来自更低层(网络接口层,如以太网设备驱动程序)发来的数据包,并把数据包应用到更高层————TCP或UDP层;同样,IP层也会把来自更高层的TCP或UDP层接收来的数据包传送到更低层。
(2)ARP
ARP协议用于将计算机的网络地址转化为物理地址。

2.传输层协议

(1)TCP
TCP协议使用三次握手机制来建立一条连接:握手的第一个报文为SYN/ACK包,表明它应答第一个SYN包,同时继续握手的过程;第三个报文仅仅是一个应答,表示为ACK包。
(2)UDP
UDP报文由于没有可靠性保证、顺序保证和流量控制字段等,因此可靠性较差。当然,正因为UDP协议的控制选项较少,使其具有数据传输过程中延迟小、数据传输效率高的优点,所以适用于对可靠性要求不高的应用程序,或者可以保障可靠性的应用程序,如DNS、TFTP、SNMP等。

3.应用层协议

应用层有很多日常传输数据时使用的耳熟能详的协议,比如HTTP、HTTPS、FTP、SMTP、Telent、DNS、POP3等,这些协议在实际应用中要用到应用程序代理。  

4.安全封装协议

下面介绍针对上述各层协议的安全隐患而采取的安全措施。
(1)IPSec
(2)SSL协议
(3)S-HTTP
(4)S/MIME

3.2.3 无线网络安全

无线局域网是相当便利的数据传输系统,它利用电磁波作为传输介质,在一定范围内取代物理线缆所构成的网络。

1.无线局域网的安全问题

由于WLAN是以无线电波作为上网的传输媒介,因此难以限制网络资源的物理访问,而且无线网络信号可以传播到预期的方位以外的地域。

2.无线局域网安全协议

(1)WEP(有线等效保密)
有线等效保密是美国电气和电子工程师协会制定的IEEE 802.11标准的一部分。它使用共享密钥流加密技术进行加密,并使用循环校验以确保文件的正确性。
(2)WPA(Wi-Fi网络安全接入)
前面介绍过,由于WEP是用IV+WEP密码的方式来保护明文的,属于弱加密方式,不能全面保证无线网络数据传输的安全。  
(3)WPA2
(4)WPAI(无线局域网鉴别和保密基础结构)

WPI的解封装过程为:
1)判断数据分组序号(PN)是否有效,若无效,则丢弃数据
2)利用解密密钥与数据分组序号(PN)是否有效,若无效,则丢弃该数据。
3)利用完整性校验密钥与数据分组序号(PN),通过工作在CBC-MAC模式的校验算法对完整性校验数据进行本地计算,若计算得到的值与分组中的完整校验码MIC不同,则丢弃该数据。 4)解封装后将MSDU明文进行重组处理并递交至上层。

3.3 识别网络安全风险

3.3.1 威胁

常见的外部威胁:
1)应用系统和软件安全漏洞:随着软件系统规模的不断扩大,新的软件产品不断开发出来,系统中的安全漏洞或“后门”也不可避免地存在。
2)安全策略:安全配置不当也会造成安全漏洞。
3)后门和木马程序:在计算机系统中,后门是指软、硬件制造者为了进行非授权访问而在程序中故意设置的访问口令。
4)病毒及恶意网站陷阱:目前数据安全的头号大敌是计算机病毒,它是编制者在计算机程序中插入的破坏计算机功能或数据,影响硬件的正常运行并且能够自我复制的一组计算机指令或程序代码。
5)黑客:黑客是一群利用自己的技术专长攻击网站和计算机而不暴露身份的计算机用户。
6)安全意识淡薄:目前,在网络安全问题上还存在不少认知盲区和制约因素。
7)用户网络内部工作人员的不良行为引起的安全问题:网络内部用户的误操作、资源滥用和恶意行为也有可能对网络的安全造成巨大的威胁。

3.3.2 脆弱性

1.操作系统的脆弱性

操作系统的脆弱性主要来自于其体系结构上的不足,体现在以下几个方面:
1)动态系统:为了系统集成和系统扩充的需要,操作系统采用动态链接结构,系统的服务和I/O操作都可以以补丁方式进行升级和动态链接。
2)创建进程:操作系统可以创建进程,而且这些进程可在远程节点上被创建与激活,更加严重的是被创建的进程又可以继续创建其他进程。
3)空口令和RPC:操作系统为维护方便而预留的无口令入口和提供的远程过程调用(RPC)服务都是黑客进入系统的通道,严重威胁到系统的安全。
4)超级用户:操作系统的另一个安全漏洞就是存在超级用户,如果入侵者得到了超级用户口令,整个系统将完全受控于入侵者。

2.计算机系统本身的脆弱性

计算机系统的硬件和软件故障都会影响系统的正常运行,严重时系统会停止运行。

3.电磁泄露

计算机网络中的网络端口、传输线路和各种处理器都有可能因屏蔽不严或未屏蔽而造成电磁信息辐射,从而造成有用信息甚至机密信息泄露。

6.数据的可访问性

进入系统的用户可方便地复制系统数据而不留下任何痕迹,网络用户在一定的条件下,可以访问系统中的所有数据,并可将其复制、删除或对其造成破坏。

5.通信系统和通信协议的弱点

网络系统的通信线路面对各种威胁时显得非常脆弱,非法用户可对通信线路进行物理破坏、搭线窃听、通过未保护的外部线路访问系统内部信息等。

6.数据库系统的脆弱性

由于服务器/浏览器(B/S)结构中的应用程序直接对数据库进行操作,因此使用的B/S结构的网络应用程序的某些缺陷可能威胁数据库的安全。

7.网络存储介质的脆弱

各种存储器中存储着大量的信息,这些存储介质很容易被盗窃或损坏嘛,造成信息的丢失;存储器中的信息也很容易被复制而不留痕迹。
此外,网络系统的脆弱性还表现为保密的困难性、介质的剩磁效应和信息的聚生性等。

3.4 应对网络安全风险

3.4.1 从国家战略层面应对

1.出台网络安全战略,完善顶层设计
2.建设网络身份体系,创建可信网络空间
3.提升核心技术自主研发能力,形成自主可控的网络安全产业生态体系
4.加强网络攻防能力,构建攻防兼备的安全防御体系
5.深化国际合作,逐步提升网络空间国际话语权

3.4.2 从安全技术层面应对

1.身份认证技术

(1)生物认证技术
生物特征指的是人体自带的生理特征和行为特征。每个人的生物特征(如指纹、虹膜和DNA等)都具有唯一性,因此可以利用这样的特性来对用户的身份进行验证,通过生物特征与已有的数据记录进行匹配,从而判定用户的身份。
(2)口令认证
口令认证是一种相对传统的身份认证方法。与通过该用户的特征直接判断是否为合法用户的生物认证方法相比,口令认证通过用户所知道的口令的内容来进行认证。
(3)令牌认证
令牌认证是通过使用存储有可信任信息或信息生成算法的载体进行身份验证的方法。

2.访问控制技术

(1)访问控制的三要素:

(2)访问控制的功能及原理
访问控制的主要功能包括:保证合法用户访问受保护的网络资源,防止非法的主体进入受保护的网络资源,或防止合法用户对受保护的网络资源进行非授权的访问。
访问控制的内容包括:

(3)访问控制类型
访问控制类型有自主访问控制、强制访问控制、基于角色的访问控制以及综合访问控制策略等类型。
1)自主访问控制
自主访问控制是由客体的属主对自己的客体进行管理,由属主决定是否将自己的客体访问权或部分访问权授予其他主体。
2)强制访问控制
强制访问控制是系统强制主题服从的访问控制策略,是由系统对用户所创建的对象,按照规定的规则控制用户权限及操作对象的访问。
3)基于角色的访问控制
角色是指完成一项任务必须访问的资源及相应操作权限的集合。
基于角色的访问控制是通过对角色的访问进行的控制。
4)综合访问控制策略
综合性访问控制策略主要包括:

5)访问控制应用

3.入侵检测技术

(1)入侵检测系统的定义
入侵检测系统是一种对网络实时监控、检测,发现可疑数据并及时采取主动措施的网络设备。
(2)常用的入侵技术

1)异常检测
异常检测又称基于行为的检测。它的基本假设是,入侵者的活动异常于正常主体的活动,而且可以区分这种差异。
2)特征检测
特征检测又称为基于知识的检测和违规检测。这一检测的基本假设是,具有能够精确地按某种方式编码的攻击,并可以通过捕获攻击及重新整理,确认入侵活动是基于同一弱点进行攻击的入侵方式的变种。
3)文件完整性检查

4.监控审计技术

(1)网络安全审计的基本概念
通俗的说,网络安全审计就是在一个特定的网络环境下(如企业网络),为了保障网络和数据不受来自外网和内网用户的入侵和破坏。
(2)网络安全审计方法
目前常用的安全审计方法由以下几类:
1)日志审计
2)主机审计
3)网络审计

5.蜜罐技术

按应用平台,蜜罐技术可分为实系统蜜罐和伪系统蜜罐。
(1)实系统蜜罐
实系统蜜罐是利用一个真实的主机或操作系统来诱骗攻击者,它其实是用主机本身的系统漏洞来做诱饵,让攻击者入侵。
(2)伪系统蜜罐
所谓的伪系统蜜罐技术并不是指假的系统,其实它也是建立在一个真实的系统之上,但它最大的特点就是“平台与漏洞的非对称性”。
按照部署目的,蜜罐技术可分为产品型蜜罐和研究型蜜罐。
按照交互度的等级,蜜罐可分为低交互蜜罐和高交互蜜罐。

3.4.3 网络管理的常用技术

1.日常运维巡检
2.漏洞扫描
3.应用代码审核
4.系统安全加固
5.等级安全测评
6.安全监督检查

检查内容如下:
1)信息安全管理情况
2)技术防护情况
3)应急工作情况
4)安全教育培训情况
5)安全问题整改情况

7.应急响应处置
8.安全配置处置

1)资产管理
2)资源管理
3)服务目录管理
4)服务请求,服务变更,工作流
5)监控管理

第七章 大数据背景下的先进计算安全问题

7.3 物联网安全

物联网是下一代网络的代表,网络安全是保障物联网应用服务的基础。

7.3.1 物联网概述

1.物联网的概念
物联网的大规模实施将改变我们生活的许多方面。
关于物联网,不同的群体描述了不同的定义,不同的定义共同形成物联网的含义和物联网属性的基本视图:

从上述对物联网的描述可以看出,物联网的目标是帮助我们实现物理世界和网络世界吃的互连互通,使人类对物理世界具有“全面的感知能力、透彻的认知能力和智慧的处理能力”。
2.物联网的参差架构与特征
物联网的价值在于让物体拥有“智慧”,从而实现人与物、物与物之间的沟通,物联网的特征在于感知、互联和智能的叠加。
物联网大致分为三个部分:

因此,一般将物联网体系划分成三层结构,即感知层、网络层、应用层:

在各层之间,信息不是单向传递的,同时具有交互、控制等方式,所传递的信息多种多样,包括在特定应用系统范围内能唯一标识物体的识别码和物体的静态与动态信息。
物联网具备如下三种能力:

3.物联网的典型应用领域
从体系架构角度可以将物联网支持的应用分为三类:

7.3.2 物联网的安全特征与架构

*1.物联网安全问题与特征
物联网的安全区别于传统计算机和计算设备安全,通常存在以下特征:

2.物联网面临的安全挑战
物联网安全问题引发了物联网面临的安全挑战:

3.物联网的安全架构
(1)物联网面临的安全攻击

(2)物联网的安全控制措施

7.3.3 工控系统及其安全

工业控制系统(ICS)是几种类型的控制系统的总称,包括监控和数据采集(SCADA)系统、分布式控制系统(DCS)、过程控制系统(PCS)、可编程逻辑控制器等。
1.工控系统的特征
2.工控系统的架构
1)工控系统系统的关键组件包括:

2)工业控制系统所涉及的网络部分包括:

3.工控系统安全
(1)工控网络安全态势及安全问题

1)工控系统安全中,自身脆弱性主要表现在以下几个方面:

2)工控系统安全问题中面临的外部威胁主要表现为:

(2)工控系统的安全防护

1)工控系统基础防护方法

2)基于主控系统安全基线的防护方法

标签:网络安全,20192409,用户,访问控制,网络,联网,安全,2020,网络空间
来源: https://www.cnblogs.com/20001009fxy/p/12005408.html