第三章、网络安全
1、网络安全的概念:凡是涉及网络信息的保密性、完整性、可用性、真实性、可控性、可审查性的相关技术和理论,都是网络安全的研究领域。
2、网络安全的涉及范围:计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等的综合性领域。网络安全包括网络硬件资源和信息资源的安全性。
3、网络管理的概念:监督、组织和控制网络通信服务、以及信息处理所必需的各种活动的总称。
4、网络安全的特征:
1)可靠性:表现在硬件可靠性、软件可靠性、人员可靠性、环境可靠性等方面。硬件可靠性相对直观和常见。软件可靠性是指在规定的时间内,程序成功运行的概率。人员可靠性是指人员成功地完成工作或任务的概率。人员可靠性在整个系统可靠性中扮演重要角色。
2)可用性:是指网络信息可被授权实体访问并按需求使用的特性。可用性保证网络信息服务在需要时允许授权用户或实体使用。
3)保密性:保密性是指网络信息不被泄露给非授权的用户、实体或过程,或者供其利用的特性。
4)完整性:完整性是指网络信息未经授权不能进行改变的特性,即网络信息在存储或传输过程中不被偶然或蓄意地删除、修改伪造、等
5)可控性:对信息的传播以及内容有控制能力
6)可审查性
5、常见的网络拓扑:
1)总线型:故障诊断困难、故障隔离困难、终端必须是智能的
2)星形:对电缆的需求大且安装困难、扩展困难、对中央节点的依赖太大、容易出现瓶颈现象
3)环形:节点的故障将会引起全网的故障、故障诊断困难、不易重新配置网络、影响访问协议。
4)树形:对根节点的依赖性太大。
6、OSI七层模型及安全体系结构:
OSI七层模型:1)应用层:访问网络服务的接口、常见的应用层协议有:Telnet、FTP、HTTP、SNMP、DNS。
2)表示层:提供数据格式转换服务,如加密与解密。常见应用:URL加密、口令加密、图片编解码
3)会话层:建立端连接并提供访问验证和会话管理。
4)传输层:提供应用进程之间的逻辑通信,常见应用:TCP/UDP/进程、端口。
5)网络层:为数据在节点之间传输创建逻辑链路、并分组转发数据。。常见应用:路由器、多层交换机、防火墙、IP、IPX等。
6)数据链路层:在通信的实体间建立逻辑链路通信。
7)物理层:为数据端提供原始比特流传输的通路。如:网线、中继器、光纤等。
7、OSI协议运行原理:
简单来说在发送端,从高层到低层进行数据封装操作,每一层都在上层数据的基础上加入本层的数据头,然后在传递给下一层处理。
在接收端,对数据的操作与上述过程相反,数据单元在每一层被去掉头部,根据需要传送给上一层来处理,直到应用层解析后被用户看到内容,低层到高层的解封装过程,称为拆包。
8、OSI安全体系结构:
1)物理层:设置连接密码。
2)数据链路层:设置PPP验证、交换机端口优先级、MAC地质安全、BPDU守卫、快速端口等。
3)网络层:设置路由协议验证、扩展访问列表、防火墙等。
4)传输层:设置FTP密码、传输密钥等。
5)会话层/表示层:公钥密码、私钥密码应该在这两层进行设置。
6)应用层:设置NBAR、应用层防火墙等。
在上述OSI安全体系结构中,定义了五类相关的安全服务,包括认证(鉴别)服务、访问控制服务、数据保密服务和抗否认性服务。
鉴别服务:提供通信中对等实体和数据来源的认证
访问控制:为防止网络各系统之间交换的数据被截获或被非法存取而泄密,提供机密保护。同时对有可能通过观察信息流就能推导出信息的情况进行防范。
数据保密性服务:防范作用
数据完整性服务:用于防止非法实体对交换数据的修改、插入、删除以及在数据交换过程中的数据丢失、
抗否认性服务:用于防止发送方在发送数据后否认发送和接收方在收到数据后否认收到或伪造数据的行为。
9、TCP/IP协议及安全:
由于许多网络攻击都是因网络协议的固有漏洞引起的。
TCP/IP四层模型:1)应用层:又包含应用层,表示层、会话层
2)传输层
3)网络层
4)网络接口层
10、网络层协议:1)IP协议:是核心,也是网络层中的重要协议。
2)APR:用于将计算机的网络地址,(IP地址32位)转化为物理地址(MAC)地址48位)
11、传输层协议:TCP/UDP
12、应用层协议:HTTP/HTTPS
13、安全封装协议:1)IPSec:在网络层,所有的网络通道都是加密的。
2)SSL协议:是在两个点某些应用之间进行的。
3)S-HTTP:支持端对端安全传输。
4)S/MIME:安全多用途网际邮件扩充协议
1.无线局域网的安全问题:窃听,截取或修改传输数据,拒绝服务
无线局域网安全协议:WEP;WPA;WPA2;WAPI
影响网络安全的外部因素称为威胁,内部因素称为脆弱性
几类威胁:应用系统和软件安全漏洞;安全策略;后门和木马程序;病毒及恶意网站陷阱;黑客;安全意识淡薄;用户网络内部工作人员的不良行为引起的安全问题
脆弱性
操作系统的脆弱性:动态链接;创建进程;空口令和RPC;超级用户;
计算机系统本身的脆弱性
电磁泄漏
数据的可访问性
通信系统和通信协议的弱点
数据库系统的脆弱性
网络存储介质的脆弱从国家战略层面应对网络安全风险
1.出台网络安全战略,完善顶层设计
2.建设网络身份体系,创建可信的网络空间
3.提升核心技术自主研发能力,形成资助可控的网络安全按产业生态体系
4.加强网络攻防能力,构建攻防兼备的安全防御体系
5.深化国际合作,逐步提升网络空间国际话语权
从安全技术层面应对
1.身份认证技术:生物认证技术;口令认证;令牌认证
2.访问控制技术
1.访问控制三要素:主体,客体,控制策略
2.访问控制的功能及原理:功能:保证合法用户访问受保护的网络资源,防止非法的主体进入受保护的网络资源///访问控制的内容:认证,控制策略,安全审计
3.访问控制类型:自主访问控制;强制访问控制;基于角色的访问控制
4.综合性访问控制策略:入网访问控制;网络的权限控制;目录及安全控制;属性安全控制;网络服务器安全控制;网络监控和锁定控制;网络端口和节点的安全控制
3.入侵检测技术
1.入侵检测系统是一种对网络实时监控,检测,发现可疑数据并及时采取主动措施的网络设备
2.常用的入侵检测技术:异常检测;特征检测;文件完整性检测
4.监控审计技术
1.网络安全审计就是在一个特定的网络环境下,为了保障网络和数据不受外网和内网用户入侵和破坏,而运用各种技术手段实时收集和监控网络环境中没一个组成部分的系统状态,安全事件,以便集中报警分析,处理的一种技术手段
2.网络安全审计的方法:日志审计,主机审计,网络审计
5.蜜罐技术
1.蜜罐技术有两层含义:首先,要引诱攻击者,让其能够发现网络漏洞;其次,蜜罐不修补攻击所造成的损伤,从而最大可能地获取攻击者的信息
2.蜜罐系统分类:按应用平台:实系统蜜罐;伪系统蜜罐
按部署目的:产品性蜜罐;研究型蜜罐
按交互度的等级:低交互蜜罐;高交互蜜罐
网络管理的常用技术:日常运维巡检;漏洞扫描;应用代码审核;系统安全加固;等级安全感评测;安全监督检查;应急响应处置;安全配置管理
第七章(2、3节)
1、云安全:
云的定义:是一个计算资源池,通常为一些大型服务器集群。云分类从技术架构可以分为三层:服务软件即服务、平台即服务和基础设施即服务。从云面向的对象可以分为:公有云、私有云和混合云。
2、云计算:是一种计算方法,即将按需提供的服务汇聚成高效资源池。
云计算是分布式计算、并行计算、效用计算、网络存储、虚拟化、负载均衡、热备份冗余等传统计算机和网络技术发展融合的产物。
3、云服务:基础构架即服务、平台即服务、软件即服务。
4、云主机
5、云安全
6、云安全安全挑战:
如何解决新技术带来的新风险,如何规划资源、数据等带来的风险。如何落实政策、法规方面的各项要求制表的风险,如何去运维管理云及其资源的风险。
1)、新技术:可控性、动态性、虚拟机逃逸
2、集中化:
1)、云数据中心安全防护方面存在网络结构的规划与设计,系统的识别与迂移,权限集中等问题。
2、云平台管理员存在权限滥用风险
3)用户的安全隔离
4)资源池内用户抢夺资源和恶意攻击等
3、合规性
4、运维管理
7、云环境下的安全保障:
云安全标准:CSA, ENISA , NIST, OWASP, CPNI , SANA , PCI-DSS
云安全建设:1)物理安全方面需要考虑门禁、消防、温湿度控制、电磁屏蔽、
2)网络安全的安全的建设通过FW、IDS/IPS、DDoS、VPN 等方式去实现。
3)主机安全需要考虑终端安全
4)虚拟化安全建设可以通过虑虚拟化平台加固、虚拟机加固与隔离、虚拟网络监控、恶意VM预防
5)应用安全建设可以考虑通过多因素接入认证
6)、数据安全可以从数据访问控制等方面进行信息安全建设防护。
8、物联网安全:
物联网的定义
物联网的层次架构与特征:数据感知部分、网络传输部分、只能处理部分
感知层:解决的是人类世界和物理世界的数据获取问题
传输层:也叫网络层,解决的是感知层所获得的数据的长距离传输问题,主要完成接入和传输功能,是进行信息交换、传递的数据通路。
应用层也可称为处理层:解决的是信息处理和人机界面的问题
在各层之间,信息不是单向传递的,同时具有交互、控制等方式。
10、物联网具备的三个功能:
1)全面感知
2)可靠传递
3)只能处理
11、物联网的安全问题与特征:
物联网设备,如传感器和消费物体
物联网设备能够与其他设备以不可预测的、动态的方式建立连接。
物联网的部署包括相同或相近的设备集合
物联网设备利用高科技装置配置得到比一般设备更长的使用寿命
物联网设备在设计时没有任何升级能力,或升级过程繁琐、不切实际
物联网设备以一定的方式运转
像环境传感器这样的互联网设备,虽然被嵌到环境中,但用户很难注意到装置和检测仪的运行状态。
12、物联网面临的安全挑战:
标准和指标、规章、共同的责任、成本与安全的权衡、陈旧设备的处置、可升级性、数据机密性、身份验证和访问控制技术、
13、物联网的安全架构
14、工程控制及其安全