第三章
3.1
3.1.1
凡是涉及信息的保密性,完整性,可用性,真实性,可控性,可审查性的相关技术和理论,都是网络安全的研究领域
网络安全是一个涉及计算机课徐,网络技术,通信技术,密码技术,信息安全技术,应用数学,数论,信息论等综合性领域
网络安全包括网络硬件安全和信息资源安全
3.1.2
网络管理:监督,组织和控制网络通信的服务,以及信息处理所必需的的各种活动的总称。
网络管理技术是伴随着计算机,网络和通信技术的发展而发展的
从网络管理范畴分类,可分为对网络设备的管理,对接入内部计算机,服务器等进行管理;对行为的管理;对网络设备硬件资源的管理
3.1.3
网络安全的特性
- 可靠性:硬件可靠性,软件可靠性,人员可靠性,环境可靠性
- 可用性:网络信息可被授权实体访问并按需求使用的特性
- 保密性:网络信息不被泄露给非授权的用户和实体或过程,或者供其利用
- 完整性:网络信息未经授权不能进行改变的特性
- 可控性:信息的传播及内容具有控制能力
- 可审查性:出现安全问题是提供的依据与手段
3.1.4
网络拓扑是指网络的结构方式
- 总线型拓扑结构:连接简单,增加和删除节点较为灵活/诊断故障困难,故障隔离困难,终端必须是智能的
- 星型拓扑结构:对电缆的需求大且安装困难;扩展困难;对中央结点的依赖性大;容易出现“瓶颈”现象
- 环形拓扑结构:节点的故障将会引起全网的故障;故障诊断困难;不宜重新配置网络;影响访问协议
- 树形拓扑结构:对根结点的依赖性太大
3.2
3.2.1
OSI参考模型(开放系统互连参考模型),其目的是为异构计算机相互连接提供共同的基础和标准框架,并为保持相关标准的一致性和兼容性提供共同的参考。优点:将服务,接口和协议这三个概念明确的区分开,也是网络模块分担起不同的职责
- 七层模型的组成:应用层(访问网络服务的接口),表示层(提供数据格式转换服务),会话层(建立端连接并提供访问验证和会话管理),传输层(提供应用进程之间的逻辑通信),网络层(为数据在节点之间传输创建逻辑链路,并分组转发数据),数据链路层(在通信的实体间建立逻辑链路通信),物理层(为数据段设备提供原始比特流传输的通路)
- OSI协议的运行原理:发送端:从高层到底层每一层都在上层数据的基础上加入本层的数据头,然后传递给下一层处理;接收端:与发送端过程相反
- OSI安全结构体系与七层相对应:物理层(设置连接密码);数据链路层(设置ppp验证,交换机端口优先级,MAC地址安全,BPDU守卫,快速端口);网络层(设置路由协议验证,扩展访问列表,防火墙);传输层(设置FTP密码,传输密钥等);会话层/表示层(公钥密码,私钥密码应该在这两层设置);应用层(设置NBRA,应用层防火墙)。
物类相关的安全服务:认证(鉴别)服务;访问控制服务;数据保密性服务;数据完整性服务;抗否认性服务
3.2.2
TCP/IP定义了电子设备如何连入因特网,以及数据如何在她们之间传输的标准;许多网络攻击都因为网络协议的固有漏洞引起
在基础网络协议上的安全协议:IPSec;SSL;S-HTTP;S/MIME
网络层协议:IP协议;ARP
传输层协议:TCP;UDP
应用层协议:HTTP;HTTPS;FTP;SMTP
安全封装协议:IPSec;SSL;S-HTTP;S/MIME
3.2.3
1.无线局域网的安全问题:窃听,截取或修改传输数据,拒绝服务
2.无线局域网安全协议:WEP;WPA;WPA2;WAPI
3.3
影响网络安全的外部因素称为威胁,内部因素称为脆弱性
3.3.1
几类威胁:应用系统和软件安全漏洞;安全策略;后门和木马程序;病毒及恶意网站陷阱;黑客;安全意识淡薄;用户网络内部工作人员的不良行为引起的安全问题
3.3.2
脆弱性
- 操作系统的脆弱性:动态链接;创建进程;空口令和RPC;超级用户;
- 计算机系统本身的脆弱性
- 电磁泄漏
- 数据的可访问性
- 通信系统和通信协议的弱点
- 数据库系统的脆弱性
- 网络存储介质的脆弱
3.4
3.4.1从国家战略层面应对网络安全风险
1.出台网络安全战略,完善顶层设计
2.建设网络身份体系,创建可信的网络空间
3.提升核心技术自主研发能力,形成资助可控的网络安全按产业生态体系
4.加强网络攻防能力,构建攻防兼备的安全防御体系
5.深化国际合作,逐步提升网络空间国际话语权
3.4.2从安全技术层面应对
1.身份认证技术:生物认证技术;口令认证;令牌认证
2.访问控制技术
1.访问控制三要素:主体,客体,控制策略
2.访问控制的功能及原理:功能:保证合法用户访问受保护的网络资源,防止非法的主体进入受保护的网络资源///访问控制的内容:认证,控制策略,安全审计
3.访问控制类型:自主访问控制;强制访问控制;基于角色的访问控制
4.综合性访问控制策略:入网访问控制;网络的权限控制;目录及安全控制;属性安全控制;网络服务器安全控制;网络监控和锁定控制;网络端口和节点的安全控制
3.入侵检测技术
1.入侵检测系统是一种对网络实时监控,检测,发现可疑数据并及时采取主动措施的网络设备
2.常用的入侵检测技术:异常检测;特征检测;文件完整性检测
4.监控审计技术
1.网络安全审计就是在一个特定的网络环境下,为了保障网络和数据不受外网和内网用户入侵和破坏,而运用各种技术手段实时收集和监控网络环境中没一个组成部分的系统状态,安全事件,以便集中报警分析,处理的一种技术手段
2.网络安全审计的方法:日志审计,主机审计,网络审计
5.蜜罐技术
1.蜜罐技术有两层含义:首先,要引诱攻击者,让其能够发现网络漏洞;其次,蜜罐不修补攻击所造成的损伤,从而最大可能地获取攻击者的信息
2.蜜罐系统分类:按应用平台:实系统蜜罐;伪系统蜜罐
按部署目的:产品性蜜罐;研究型蜜罐
按交互度的等级:低交互蜜罐;高交互蜜罐
3.4.3
网络管理的常用技术:日常运维巡检;漏洞扫描;应用代码审核;系统安全加固;等级安全感评测;安全监督检查;应急响应处置;安全配置管理
问题:3.2.2和3.2.3基本没怎么看明白
7.3物联网安全
7.3.1
1.物联网的概念
物联网的目标是帮助我们实现物理世界和网络世界互联互通
2. 物联网的层次架构和特征
1.物联网大致分为三个部分:数据感知部分:实现对“物”的识别
网络传输部分:实现数据的传输
智能处理部分:实现对“物”的自动控制与智能管理
2.物联网体系被划分为三层
感知层:解决人类世界和物理世界的数据获取问题(核心层)
传输层(网络层):接二觉感知层所获得的数据的长距离传输问题
应用层(处理层):解决的是信息处理和人机界面的问题
3.在各层之间,信息不是单向传递的
4.物联网应具备三种能力:全面感知;可靠传递;智能处理
3.物联网的典型应用领域:具备物理世界认知能力的应用;在网络融合基础上的泛在化应用;基于应用目的的综合信息服务应用
7.3.2
物联网面临的安全挑战:标准与指标;规章;共同的责任;成本与安全的权衡;陈旧设备的处置;可升级性;数据的机密性,身份认证和控制访问
7.3.3工控系统及其安全
工业控制系统:几种类型控制系统的总称,包括监控和数据从采集系统,分部署控制系统,过程控制系统,可编程逻辑控制器
工控系统的主要组件:控制器;组态编程组件;数据采集与监视控制组件;人机界面;分布式过程控制系统
工控系统所涉及的网络部分:企业资源网络;过程控制和监控网络;控制系统网络
工控系统安全问题:系统漏洞难以及时处理给工控系统带来的安全隐患;工控系统通信协议在设计之初缺乏足够的安全性考虑;没有足够的安全政策及管理制度;工控系统直接暴露在互联网上,面对全新的攻击措施,缺乏应对措施;系统对外联结缺乏风险评估和安全保障措施
工控系统的安全防护:
工控系统基础防护方法:失泄密防护;主机安全管理;数据安全管理
基于主控系统安全基线的防护方法:基线建立;运行监控;实施防御
问题:物联网的典型应用领域,在网络融合基础上的泛在化应用不理解