第1章 网络空间安全概述
1.1工作和生活中的网络安全
1.1.1 生活中常见的网络安全问题
- 账号密码被盗
- 信用卡被盗刷
除此之外还有网络诈骗和钓鱼网站等形形色色的网络空间安全事件
1.1.2 工作中常见的网络安全问题
-
- 网络设备面临的威胁
- 网络设备面临的威胁
- 2.操作系统面临的威胁
- 3.应用程序面临的威胁
计算机上运行着大量的应用程序,应用程序的安全与企业和用户的正常工作息息相关。
1.2 网络空间安全的基本认识
- 我们常说的网络空间,是为了刻画人类生存的信息环境或信息空间而创造的词。
网络空间是现在与未来所有信息系统的集合,是人类生存的信息环境,人与网络环境之间的相互作用、相互影响愈发紧密。
1.3 网络空间安全的技术架构
- 物理安全:物理安全的概念、物理环境安全和物理设备安全等。
- 网络安全:网络与协议安全、网络安全与管理、识别和应对网络安全风险等。
- 系统安全:操作系统安全、虚拟化安全和移动终端安全等。
- 应用安全:恶意代码、数据库安全、中间件安全和Web安全等。
- 数据安全:数据安全的范畴、数据的保密性、数据存储技术以及数据备份和恢复技术等。
- 大数据背景下的先进计算安全问题:大数据安全、云安全和物联网安全等。
- 舆情分析:舆情的概念、网络舆情的分析方法、两种舆情分析应用技术等。
- 隐私保护:个人用户的隐私保护、数据挖掘领域的隐私保护、云计算和物联网领域的隐私保护和区块链领域的隐私保护等。
- 密码学及应用:密码算法、公钥基础设施、虚拟专网和特权管理基础设施等。
- 网络空间安全实战:社会工程学和网络空间安全实战案例等。
网络空间安全治理:信息安全法规和政策、信息安全标准体系和企业安全压力测试及实施方法等。
1.4 我国网络空间安全面临的机遇与挑战
1.4.1 我国网络空间安全发展的重大机遇
- 信息传播的新渠道。
- 生产生活的新空间。
- 经济发展的新引擎。
- 文化繁荣的新载体。
- 社会治理的新平台。
- 交流合作的新纽带。
国家主权的新疆域。
1.4.2 我国网络空间安全面临的严峻挑战
- 网络渗透危害政治安全。
- 网络攻击威胁经济安全。
- 网络有害信息侵蚀文化安全。
- 网络恐怖和违法犯罪破坏社会安全。
- 网络空间的国际竞争方兴未艾。
网络空间机遇和挑战并存,我们必须坚持积极利用、科学发展、依法管理的原则,维护网络空间安全。
第2章 物理安全
2.1 物理安全概述
物理安全的定义
- 保证信息系统有一个安全的物理环境
- 对接触信息系统的人员有一套完善的技术控制措施
充分考虑到自然事件对系统可能造成的威胁并加以规避
物理安全的范围
- 环境安全
设备安全和介质安全
2.2 物理环境安全
1. 物理位置选择
机房和办公场地应安置在具有防震、防风和防雨能力的建筑内
2. 物理访问控制
指在未授权人员和被保护的信息来源之间设置物理保护的控制
3. 防盗窃和防破坏
4.防雷击
接闪 接地 分流 屏蔽
5.防火
- 消除火灾隐患
- 设置火灾报警系统
- 配置灭火设备
加强防火管理和操作规范
6.防水和防潮
7.防静电
8.温湿度控制
9.电力供应
10.电磁防护
2.3 物理设备安全
2.3.1 安全硬件
- PC网络物理安全隔离卡
- 网络安全物理隔离器
物理隔离网闸
2.3.2 芯片安全
安全芯片其实可以描述成一个可信任平台模块(TPM),它是一个可独立进行密钥生成、加解密的装置,内部拥有独立的处理器和存储单元,可存储密钥和特征数据,为计算机提供加密和安全认证服务。
安全芯片配合专用软件可实现以下功能
- 存储、管理密码功能
- 加密
对加密硬盘进行分区
第6章 数据安全
导致数据泄露的主要原因包括:黑客通过网络攻击、木马、病毒窃取,设备丢失或被盗,使用管理不当等。
6.2 数据安全的范畴
6.2.1 数据安全的要素
- 数据安全是指保障数据的合法持有和使用者能够在任何需要该数据时获得保密的、没有被非法更改过的纯原始数据
- 保密性:指具有一定保密程度的数据只能让有权读到或更改的人进行读取和更改
- 完整性:指在存储或传输的过程中,原始的数据不能被随意更改
可用性:在任何时候数据的合法拥有者都能得到数据
6.2.2 数据安全的组成
- 数据本身的安全:主要是指采用现代密码算法对数据进行主动保护,如数据保密、数据完整性、双向强身份认证等
- 数据防护的安全:主要是指采用现代信息存储手段对数据进行主动防护
- 数据处理的安全:是指如何有效地防止数据在录入、处理、统计或打印中由于硬件故障等导致的数据库苏怒爱或数据丢失现象
数据存储的安全
6.3 数据保密性
6.3.1 数据加密
具体的加密方式
- 对称加密:指加密和解密用同一个密钥,速度快,但要格外注意密钥保存。常用的有DES、3DES、AES、IDEA等
- 非对称加密:有公钥和私钥 RSA和DSA
Hash算法:单向散列算法,只能由一种状态变为另一种状态而不可逆
6.3.2 DLP
- 数据泄露防护,就是通过内容识别达到对数据的防控。
- 防控的范围主要包括网络防护和终端防护
- 网络防护主要以审计、控制为主,终端防护除审计与控制能力外,还应包含传统的主机控制能力、加密和权限控制能力
最终实现的结果是智能发现、智能加密、智能管控、智能审计
6.4 数据存储技术
6.4.1 数据的存储介质
磁性媒体
- 磁带机
硬盘
固态硬盘
- 是用固态电子存储芯片阵列制成的硬盘,由控制单元和存储单元组成
特点有:1. 读写速度快 2.低功耗、无噪音、抗震动、低热量、体积小、工作温度范围大
可换硬盘
包括2.5寸硬盘和3.5寸台式机硬盘
混合硬盘
- 把磁性硬盘和闪存集成到一起的一种硬盘,就像是固态硬盘+机械硬盘
- 光学媒体
半导体存储器
6.4.2 数据的存储方案
- 所谓存储方案,就是用单独的软硬件将磁盘/磁盘组管理起来,供主机使用
- 根据服务器类型,可分为封闭系统的存储(主要指大型机的存储)和开放系统的存储
- 开放系统的存储又分为内置存储和外挂存储 目前的外挂存储解决方案主要分为三种:
- 直连式存储
- 网络接入存储
存储区域网络
DAS
主要适用于以下环境:- 小型网络
- 地理位置分散的网络
- 特殊应用服务器
弱点是低效率,不方便进行数据保护
NAS
- 采用独立于服务器、单独为网络数据存储而开发的一种文件服务器来连接存储设备,自行成一个网络
- 适合于文件存储,而不适合数据库应用
- 优点如下:
- 1、真正的即插即用
- 2.存储部署简单
- 3.存储设备位置非常灵活
- 4.管理容易且成本低
缺点:存储性能较低以及可靠度不高
SAN
- SAN的硬件基础设施是光纤通道 由以下三个部分组成
- 1.存储和备份设备 包括磁带、硬盘和光盘库等
- 2.光纤通道网络连接部件
- 3.应用和管理软件
- 优点如下:
- 网络部署容易
- 高速存储性能
良好的扩展能力
RAID技术
- 是指由独立磁盘构成的具有冗余能力的阵列
- 同位检查
- 外接式磁盘阵列柜
- 内接式磁盘阵列卡
利用软件来仿真定义
6.5 数据存储安全
6.5.1 定义
- 数据存储安全是指数据库在系统运行之外的可读性
安全的本质是要达到几方面的平衡:安全措施的成本、安全缺口的影响以及入侵者要突破安全措施的资源多少
6.5.2 数据存储安全的措施
- 确定问题所在
- 全年全天候对用户的行为进行检测
应根据实际应用需求,严格进行访问控制
6.6 数据备份
6.6.1 数据备份的概念
- 数据备份是指为防止系统出现操作失误或系统故障导致数据丢失,而将全部或部分数据集合从应用主机的硬盘或阵列复制到其他存储介质的过程
网络备份一般通过专业的数据存储管理软件结合相应的硬件和存储设备来实现。
6.6.2 数据备份的方式
- 定期进行磁带备份
- 数据库备份
- 网络数据
- 远程镜像
- 正常备份
- 差异备份
增量备份
6.6.3 主要的备份技术
- LAN备份
- LAN-Free备份
Serber-Less备份
6.7 数据恢复技术
数据恢复是指通过技术手段,将保存在电脑硬盘、服务器硬盘、存储磁带库、移动硬盘、U盘等设备上丢失的数据进行抢救和还原的技术
6.7.2 数据恢复的种类
- 逻辑故障数据恢复
- 硬件故障数据恢复
磁盘阵列RAIO数据恢复
6.7.3 常见设备的数据恢复方法
- 硬盘数据恢复
U盘数据恢复
第9章 隐私保护
9.1 网络空间安全领域隐私的定义
- 个人身份数据
- 网络活动数据
位置数据
9.2 隐私泄露的危害
- 给个人生活带来困扰
- 升级为针对个人的违法侵害,例如恶意广告和诈骗活动
- 会导致更加严重的犯罪活动 例如洗钱
泄露的隐私数据也会成为黑客攻击的素材
9.3 个人用户的隐私保护
9.3.1 隐私信息面临的威胁
- 通过用户账号窃取隐私
- 通过诱导输入搜集隐私
- 通过终端设备提取隐私
通过黑客攻击获得隐私
9.3.2 隐私保护方法
- 加强隐私保护意识
- 提高账户信息保护能力
- 了解常见的隐私窃取手段,掌握防御方法
- (1)搜集目标用户的个人信息
- (2)对于密码难以猜测的案例,黑客可以利用网上公开的社工库信息查询账户密码
(3)找到用户密码以后,黑客即可登录相关网站
9.4 数据挖掘领域的隐私保护
在数据挖掘领域,隐私信息被分为两类
- (1)原始记录中含有私密信息
(2)原始记录中含有敏感知识
基于数据处理算法的不同,数据挖掘中的隐私保护有不同的实现方式,可以分为三类
- (1)基于数据失真的技术
- (2)基于数据加密的技术
(3)基于限制发布的技术
2.基于数据加密的技术
多用于分布式应用环境,采用两种模式存储数据:垂直划分的数据模式和水平划分的数据模式
3.基于限制发布的技术
指为了实现隐私保护,有选择地发布部分原始数据、不发布数据或者发布精度较低的数据。- 去标识
- 数据泛化
- 数据抑制
- 子抽样
- 插入噪声
分解
9.5.云计算领域中的隐私保护
数据生成阶段:需处理数据的所有者信息
数据传输阶段:在云计算环境中,包括在企业内部服务器之间的传输和不同企业服务器之间的传输
- 数据使用阶段
- 数据共享阶段
- 数据存储阶段
- 数据归档阶段
数据销毁阶段
9.6.物联网领域中的隐私保护
- 基于位置的隐私威胁
- 基于数据的隐私威胁
1.物联网位置隐私保护方法
- 基于启发式隐私度量的位置服务器保护技术
- 基于概率推测的位置服务隐私保护技术
- 基于隐私信息检索的位置服务隐私保护技术
2.物联网数据隐私保护方法
- 匿名化方法
- 加密方法
- 路由协议方法
9.7.区块链领域中的隐私保护
1.区块链隐私保护需求
- 不允许非信任节点获得区块链交易信息
- 允许非信任节点获得交易信息,但是不能将交易和用户身份联系起来
- 允许非信任节点获得交易信息,并参与验证工作,但是不知道交易细节
2.区块链隐私保护技术
第一种需求中,区块链的验证和维护工作不需要外部节点参与,完全由企业内部可信任的服务器承担相应工作。
第二种需求的核心是保证交易和用户身份不被关联。
第三种需求既要求非信任节点完成交易验证工作,又要确保非信任节点不能获得交易细节。
第7章 大数据背景下的先进计算安全问题
7.1 大数据安全
7.1.1 大数据的概念
1.大数据的定义
一种规模大到在获取、存储、管理、分析方面大大超出传统数据库软件工具能力范围的数据集合,具有海量的数据规模、快速的数据流转、多样的数据类型和价值密度低四大特征。
2.大数据的特点
- 大容量
- 多样性
- 快速度
真实性
3.大数据的分类
- 个人大数据
- 企业大数据
政府大数据
7.1.2 大数据的使用价值和思维方式
- 大数据的预测价值
- 网络连接带来数据实时交换促使分析海量数据找出关联性,支持判断,获得洞察力
- 大数据的社会价值
- 大数据的思维方式
- 采集数据的方式和路径越来越多,内容和类型日益丰富多元
- 数据分析不仅仅靠微观采样,更可以全面获得宏观整体的数据
从追求事物的简单线性因果关系转向发展丰富联系的相关关系
7.1.3 大数据背景下的安全挑战
-
- 大数据增加了隐私泄露的风险
- 2.大数据为高级持续性威胁(APT)提供了便利
- APT是利用先进的攻击手段对特定目标进行长期、持续性网络攻击的一种攻击形式
- (1).大数据使APT攻击者收集目标信息和漏洞信息更加便利
- (2).大数据使攻击者可以更容易地发起攻击
- (3).大数据下访问控制难度加大
- a.难以预设角色,实现角色划分
- b.难以预知每个角色的实际权限
- 4.大数据下审计工作难度加大
- 从大数据本身带来的风险来说,当前主要考虑两个方面
- (1)大数据基础设施的安全性
(2)数据自身的安全性