第一章 网络空间安全概述
-
- 2工作中常见的网络安全问题
- 网络设备面临的威胁
路由器是企业内部网络与外界通信的出口,一旦黑客攻陷路由器,那么就掌握了控制内部网络访问外部网络的权利 操作系统面临的威胁
操作系统本身有漏洞
黑客采取非法手段获取操作系统的权限2网络空间安全的基本认识
网络空间是为了刻画人类生存的信息环境或信息空间而创造的词
网络空间是现在与未来所有信息系统的集合是人类生存的信息环境
网络空间安全是为维护网络空间正常秩序,避免信息、言论被滥用,对个人隐私、社会稳定、经济发展、国家安全造成恶劣影响而需要的措施;是为确保网络和信息系统的安全性所建立和采取的一切技术层面和管理层面的安全防护举措。
1.4我国网络空间安全面临的机遇与挑战
1.4.1我国网络空间安全发展的重大机遇
信息传播的新渠道
生产生活的新空间
经济发展的新引擎
文化繁荣的新载体
社会治理的新平台
交流合作的新纽带
国家主权的新疆域
1.4.2我国网络空间安全面临的严峻挑战
网络渗透危害政治安全
网络攻击威胁经济安全
网络有害信息侵蚀文化安全
网络恐怖和违法犯罪破坏社会安全
网络空间的国际竞争方兴未艾
空落空间机遇和挑战并存
第二章 物理安全
2.1物理安全概述
2.1.1物理安全的定义
物理安全就是要保证信息系统有一个安全的物理环境,对接触信息系统的人员有一套完善的技术控制措施,且充分考虑到自然事件对系统可能造成的威胁并加以规避
2.1.2物理安全的范围
1)环境安全
2)设备安全和介质安全
2.2物理环境安全
1.物理位置安全
机房和办公场地应安置在具有防震、防风和防雨能力的建筑内,且应避免设在建筑物的高层或地下室
2.物理访问控制
指在未授权人员和被保护的信息来源之间设置物理保护的控制
3.防盗窃和防破坏
将主要设备放置在机房内
将设备或主要部件进行固定并设置明显的不易除去的标记
将通信电缆铺设在隐蔽处
对介质分类标识
4.防雷击
接闪
接地
分流
屏蔽
5.防火
消除火灾隐患
设置火灾报警系统
配置灭火设备
加强防火管理和操作规范
2.3物理设备安全
2.3.1安全硬件
1.PC网络物理安全隔离卡
2.网络安全物理隔离器
3.物理隔离网闸
2.3.2芯片安全
安全芯片其实可以描述成一个可信任平台模块,是一个可独立进行秘钥生成、加解密的装置
第六章 数据安全
6.1数据安全概论
导致数泄露的主要原因包括:黑客通过网络空间攻击、木马、病毒窃取,设备丢失或被盗,使用管理不当等
6.2数据安全的范畴
6.2.1数据安全的要素
保密性、完整性、可用性,简称CIA
6.2.2数据安全的组成
1.数据本身的安全
2.数据防护的安全
3.数据处理的安全
4.数据储存的安全
6.3数据保密性
6.3.1数据加密
1)防止不速之客查看机密的数据文件
2)防止机密数据被泄露或篡改
3)防止特权用户查看私人数据文件
4)使入侵者不能轻易的查找到某个系统的文件
加密方式:对称加密、非对称加密、Hash算法
6.3.2DLP
防护的范围主要包括网络防护和终端防护
6.4数据储存技术
6.4 数据存储技术
6.4.1 数据的存储介质
磁性媒体
常见的磁性媒体包括磁带机、软盘、硬盘等。
(1)磁带机
磁带机通常由磁带驱动器和磁带构成,是一种经济、可靠、容量大、速度快的备份设备。它采用具有高纠错能力的编码技术和写后即读通道技术,从而大大提高数据备份的可靠性。
(2)硬盘
常见的硬盘包括固态硬盘、可换硬盘以及混合硬盘三种类型。
固态硬盘是用固态电子存储芯片阵列制成的硬盘,由控制单元和存储单元组成。特点是1)读写速度快。2)低功耗、无噪音、抗震动、低热量、体积小、工作范围大。
可换硬盘应用于移动硬盘内部,一定程度上降低了数据的安全性,但携带不方便,不过在价格和容量方面具有一定的优势。
(3)光学媒体
我们熟悉的光学媒体是CD(DVD)。优点是每MB成本很低,几乎是不可破坏的。其不足在于,很多时候一旦信息写入后,信息就不可改变了。
(4)半导体存储器
半导体存储器的优点是:存储速度快、存储密度高、与逻辑电路接口容易。主要用作高速缓冲存储器、主存储器(内存)、只读存储器、堆栈存储器等,有RAM和ROM两大类。
6.4.2 数据的存储方案
所谓存储方案,就是用单独的软硬件将磁盘/磁盘组管理起来,供主机使用。根据服务器类型,可分为封闭系统的存储和开放系统的存储。
开放系统的存储又分为内置存储和外挂存储。
1)直连式存储(DAS)
2)网络接入存储(NAS)
3)存储区域网络(SAN)
DAS
主要适用于以下环境:
1)小型网络
2)地理位置分散的网络
3)特殊应用服务器
在服务器与存储的各种连接方式中,DAS是一种低效率的结构,不方便进行数据保护。由于直连存储无法共享,因此经常出现某台服务器的存储空间不足,但其他服务器却有大量存储空间闲置的情况。
NAS
它采用独立服务器、单独为网络数据存储而开发的一种文件服务器来连接存储设备,自形成一个网络。NAS存储系统与应用服务器之间交换的是文件,而SAN或DAS架构下,服务器与存储设备交换的是数据块,所有NAS存储系统产品适合于文件存储,而不适合数据库应用。
NAS的优点如下:
1)真正的即插即用
2)存储部署简单
3)存储设备位置非常灵活
4)管理容易且成本低
不足之处:存储性能较低以及可靠度不高。
SAN
它是基于光纤介质,最大传输速率达到17MB/s的服务器访问存储器的一种连接方式。SAN的支撑技术是光纤通道技术,它是ANSI为网络和通道I/O接口建立的一个标准集成。其优点是将网络和设备的通信协议与传输物理介质隔离开,这样多种协议可在同一个物理连接上同时传送。
由三个部分组成:
1)存储和设备备份
2)光纤通道网络连接部件
3)应用和管理软件
优点如下:
1)网络部署容易
2)高速存储性能
3)良好的扩展能力
RAID是指由独立磁盘构成的具有冗余能力的阵列。磁盘阵列是由很多价格较便宜的磁盘组合而成的一个容量巨大的磁盘组,利用个别磁盘提供数据所产生的加成效果提升整个磁盘系统效能。
磁盘阵列还能利用同位检查的观念,在组中任意一个磁盘故障时,仍可读出数据;在数据重构时,将数据经计算后重新置入新硬盘中。
磁盘阵列有三种样式:一是外接式磁盘阵列柜,二是内接式磁盘阵列卡,三是利用软件仿真。
6.5 数据存储安全
6.5.1 数据存储安全的定义
数据存储安全是指数据库在系统运行之外的可读性。
6.52 数据存储安全的措施
首先,要确定问题所在。这里郑重提示:事件日志是很重要的安全信息资源。其次,全年全天候对用户的行为进行检测。然后,应根据实际应用需求,严格进行访问控制。各种数据库也可以设置不同级别权限的用户访问方式。在交换机、路由器和硬件防火墙等设备上可以采用ACL、VPN等方式过滤和保护访问数据流。
所以,先主动检测企业网络网络中这些设备的使用是降低数据泄露风险和或者不满员工的恶意行为的关键因素。应该仅限于真正需要使用移动设备的人使用移动设备。
存储安全保障的最终目标是确保数据信息的完整、不受损坏、不被窃取。
6.6 数据备份
6.6.1 数据备份额概念
数据备份是指为防止系统出现操作失误或系统故障导致数据丢失,而全部或部分数据集合从应用主机的硬盘或阵列复制到其他存储介质的过程。
6.6.2数据备份的方式
定期进行磁带备份
数据库备份
网络数据
远程镜像
正常备份
差异备份
增量备份
6.63 主要的备份技术
大致分为三种:
LAN备份
LAN-Free备份
Server-Less备份
数据恢复包括双机热备、磁盘镜像或容错、备份磁带异地存放、关键部件冗余等多种灾难预防措施。
6.7 数据恢复技术
6.7.1数据恢复的原理
硬盘文件删除时,并非把所有内容全部清零,而是在文件分配表里把保存该文件位置的簇标记为未使用的,以后就可以将文件直接写入这些被标记为未使用的簇。
6.7.2数据恢复的种类
逻辑故障数据恢复
硬件故障数据恢复
1)电路故障
2)固件损坏
3)磁头和电机故障
4)盘片损伤
磁盘阵列RAID数据恢复
磁盘阵列的恢复过程是先排除硬件及软故障,然后分析阵列顺序、块大小等参数,用阵列卡或阵列软件重组或者使用专用软件虚拟重组RAID,重组后便可按常规方法恢复数据。
6.7.3 常见设备的数据恢复方法
硬盘数据恢复
U盘数据恢复
第7章 大数据背景下的先进计算安全问题
大数据安全
麦肯锡对Big Data的定义:一种规模大到在获取、存储、管理、分析方面大大超出传统数据库软件工具能力范围的数据集合,具有海量的数据规模、快速的数据流转、多样的数据类型和价值密度低四大特征。
Gartner对Big Data的定义:大数据是需要新处理模式才能具有更强的决策力、洞察发现力和流程优化能力来适应海量、高增长率和多样化的信息资产。
大数据的特点:大容量、多样性、快速度以及真实性。
按结构类型,通常将大数据分为结构化数据、半结构化数据和非结构化数据。
快速度中“快”的定义:数据产生快;处理速度快。
大数据的分类:个人大数据、企业大数据、政府大数据。
个人大数据以互联网大数据为主,互联网大数据是近年来大数据的主要来源。
企业大数据种类繁杂,企业可能通过物联网收集大量的感知数据,增长及其迅猛。
政府大数据主要是政府运转过程中产生的大量与社会、与国计民生息息相关的数据。
大数据是智慧城市的核心。
1.大数据的使用价值和思维方式
大数据的预测价值
大数据的社会价值
大数据时代下具有的新的特点:采集数据的方式和路径越来越多,内容和类型日益丰富多元;数据分析不仅仅靠微观采样,更可以全面获得宏观整体的数据;从追求事务的简单线性因果关系转向发现丰富联系的相关关系。
2.大数据背景下的安全挑战
大数据带来的信息安全问题,比较明显的影响主要体现在几个方面:加大了个人隐私泄露的风险;给高级持续性威胁提供了便利;大数据下访问难度加大;大数据下审计工作难度加大。
应对大数据带来的隐私问题的重要手段是加快对当前互联网中隐私信息保护的相关法律法规的制定,对广大互联网用户的隐私数据的所有权和使用权进行严格界定。
APT:利用先进的攻击手段对特定目标进行长期、持续性网络攻击的一种攻击方式。
大数据为APT提供便利主要有以下几方面:大数据使APT攻击者收集目标信息和漏洞信息更加便利;大数据使攻击者可以更容易地发起攻击;大数据下访问控制难度加大。
大数据访问控制的难点:难以预设角色,实现角色划分;难以预知每个角色的实际权限;大数据下审计工作难度加大。
大数据本身带来的风险来说,当前主要考虑两个层面:大数据基础设施的安全性;数据自身的安全性。
第九章 隐私的保护
9.1网络空间安全领域隐私的定义
==在网络空间安全领域,隐私的种类扩展到多个方面,通常可分为三类==
1)个人身份数据
2)网络活动数据
3)位置数据
9.2隐私泄露的危害
9.2 隐私泄露的危害
1.给个人生活带来困扰。
2.容易升级为针对个人的违法侵害,例如恶意广告和诈骗活动。
3.泄露的隐私数据还会导致更加严重的犯罪活动
4.泄露的隐私也会成为黑客攻击的素材。
9.3 个人用户的隐私保护
9.3.1 隐私信息面临的威胁
1.通过用户账号窃取隐私
2.通过诱导输入搜集隐私
3.通过终端设备提取隐私
4.通过黑客攻击获得隐私
9.3.2 隐私保护方法
1.加强隐私保护意识
2.提高账户信息保护能力
3.常见的隐私窃取手段
•搜集目标用户的个人信息,然后猜测账户和密码 。
•利用网上公开的社工库信息查询账户密码
•找到用户密码后,黑客登陆相关网站,获取隐私信息。
9.4 数据挖掘领域的隐私保护
1.数据挖掘又称为数据据库中的知识发现。
2.在数据挖掘领域,隐私信息被分为:原始记录中含有私密信息,原始记录中含有敏感知识。
3.三种隐私保护实现方式:基于数据失真的技术
、基于数据加密的技术、基于限制发布的技术
9.5 云计算领域中的隐私保护
数据生命周期指数据从产生到销毁的整个过程,分为七个阶段:
数据生成阶段:需处理数据的所有者信息
数据传输阶段:在云计算环境中,包括在企业内部服务器之间的传输和不同企业服务器之间的传输
数据使用阶段
数据共享阶段
数据存储阶段
数据归档阶段
数据销毁阶段
9.6 物联网领域中的隐私保护
物联网的隐私威胁:基于位置的隐私威胁、基于数据的隐私威胁
9.6.1 物联网位置隐私保护方法
1.基于启发式隐私度量的位置服务器保护技术
2.基于概率推测的位置服务隐私保护技术
3.基于隐私信息检索的位置服务隐私保护技术
9.6.2 物联网数据隐私保护方法
1.匿名化方法
2.加密方法
3.路由协议方法
9.7区块链领域中的隐私保护
区块链是由所有结点共同参与维护的分布式数据库系统。
9.7.1 区块链隐私保护需求
1.不允许非信任节点获得区块链交易信息
2.允许非信任节点获得交易信息,但是不能将交易和用户身份联系起来
3.允许非信任节点获得交易信息,并参与验证工作,但是不知道交易细节
9.7.2 区块链隐私保护技术
1.第一种需求中,区块链的验证和维护工作不需要外部节点参与,完全由企业内部可信任的服务器承担相应工作。
2.第二种需求的核心是保证交易和用户身份不被关联。
3.第三种需求既要求非信任节点完成交易验证工作,又要确保非信任节点不能获得交易细节。