2019-2020-1学期20192423《网络空间安全专业导论》第九周学习总结

一、内容总结

第三章

（一）网络安全及管理概述

网络安全的概念

从广义上来说，凡是涉及网络信息的保密性、完整性、可用性、真实性、可控性、可审查性，都是网络安全研究领域。
网络安全是一个涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等的综合领域
网络安全包括网络硬件资源和信息资源的安全性。其中,网络硬件资源包括通信线路、通信设备(路由机、交换机等)、主机等,要实现信息快速安全的交换,必须有一个可靠的物理网络。
信息资源包括维持网络服务运行的系统软件和应用软件,以及在网络中存储和传输的用户信息数据等。

网络管理的概念

网络管理是指监督、组织和控制网络通信服务,以及信息处理所必需的各种活动的总称。其目标是确保计算机网络的持续正常运行,使网络中的资源得到更加有效的利用并在计算机网络运行出现异常时能及时响应和排除故障。

网络管理技术可分为：

对网络设备的管理,即针对交换机、路由器等主干网络进行管理;
对接入的内部计算机、服务器等进行的管理;
对行为的管理,即针对用户使用网络的行为进行管理;
对网络设备硬件资产进行管理等。

安全网络的特征 能够通过网络安全与管理技术或手段保障可靠性、可用性、保密性、完整性、可控性、可审查性的网络即具备了安全网络的特征。

可靠性:网络信息系统能够在规定条件下和规定的时间内完成规定功能的特性。可靠性是所有网络信息系统建设和运行的目标。可靠性主要表现在硬件可靠性、软件可靠性、人员可靠性、环境可靠性等方面。 硬件可靠性相对直观和常见。软件可靠性是指在规定的时间内,程序成功运行的概率。 人员可靠性是指人员成功地完成工作或任务的概率。 环境可靠性是指在规定的坏境内，保证网络成功运行的概率。

可用性:可用性是指网络信息可被授权实体访问并按需求使用的特性。可用性一般用系统正常使用时间和整个工作时间之比来度量。
保密性：保密性是指网络信息不被泄漏给非授权的用户、实体或过程，或者供其利用的特性。保密性是在可靠性和可用性基础之上，保障网络空间安全的重要手段。
完整性：完整性是指网络信息未经授权不能进行改变的特性。
可控性：可控性是指对信息的传播及内容具有控制能力。
可审查性：可审查性是指出现安全问题时提供的依据与手段

常见的网络拓扑

1）总线形拓扑结构

存在缺陷：

故障诊断困难：故障检测很困难。故障检测必须断开再连接以确定故障是否由某一节点引起。
故障隔离困难:如果故障发生在传输介质上，整个总线要被切断。
终端必须是智能的

2）星形拓扑结构

安全缺陷：

对电缆需求大且安装困难
扩展困难：要增加节点，就要增加到中央节点的连接，这需事先设置好大量的冗余电缆。
对中央节点的依赖性太大
容易出现“瓶颈”现象:大量数据靠中央节点来完成，会造成中央节点负荷过重，容易出现“瓶颈”现象。

3）环形拓扑结构

安全缺陷：

节点的故障将会引起全网的故障
故障诊断困难
不易重新配置网络
影响访问协议

4）树形拓扑结构

安全缺陷：

对根节点的依赖性太大

（二）网络安全基础

一、 OSI七层模型及安全体系结构

1）七层模型及安全体系结构

应用层：访问网络服务的接口。
表示层：提供数据格式转换服务。
会话层：建立端连接并提供访问验证和会话管理。
传输层：提供应用进程之间的逻辑通信。
网络层：为数据在节点之间传输创建逻辑链路，并分组转发数据。
数据链路层：在通信的实体间建立逻辑链路通信。
物理层：为数据端设备提供原始比特流传输的通路。

2）OSI协议的运行原理

在发送端，从高层到低层进行数据封装操作。

在接收端，对数据的操作相反，数据单元在每一层被去掉头部，根据需要传送给上一层来处理直到应用层解析后被用户看到内容。

3）OSI安全体系结构

安全技术：

应用层：设置NBAR、应用层防火墙等。
表示层＆会话层：公钥密码、私钥密码应该在这两层进行设置
传输层：设置FTP密码、传输密钥等。
网络层：设置路由协议验证、扩展访问列表、防火墙等。
数据链路层：设置PPP验证、交换机端口优先级、MAC地址安全、BPDU守卫、快速端口等。
物理层：设置连接密码。

安全服务：

认证服务：提供通信中对等实体和数据来源的认证(鉴别)。
访问控制服务:为防止未授权用户非法使用系统资源，包括用户身份认证额和用户权限确定。
数据保密性服务：用于防止网络各系统之间交换的数据被截获或被非法存取而泄密。
数据完整性服务：用于防止非法实体对交换数据的修改、插入、删除以及在数据交换过程中的数据丢失。
抗否认性服务：用于防止发送方在发送数据后否认发送和接收方在收到数据后否认收到或伪造数据的行为。

二、 TCP/IP协议及安全

网络层协议

1） IP协议

IP协议是TCPIP的核心,也是网络层中的重要协议。IP层封装来自更低层发来的数据包,并把该数据包应用到更高层，同样,IP层也会把来自更高的TCP或UDP层接收来的数据包传送到更低层。
IP数据包是不可靠的,因为IP并没有任何手段来确认数据包是按顺序发送的或者没有被破坏。IP数据包中含有发送它的主机的地址(源地址)和接收它的主机的地址(目的地址)。。

2） ARP

ARP协议用于将计算机的网络地址(IP地址32位)转化为物理地址(MAC地址48位)。为了解释ARP协议的作用,就必须理解数据在网络上的传输过程。这里举一个简单的PING例子。假设计算机的IP地址是192.168.1.200,要执行命令ping 192.168.1250。该命令会通过1CMP协议发送1CMP数据包。该过程需要经过下面的步骤: 1)应用程序构造数据包,该示例是产生ICMP包,被提交给内核(网络驱动程序)。

2)内核检查是否能够将该IP地址转化为MAC地址,也就是在本地的ARP缓存中查看IP-MAC对应表。

3)如果存在该IP-MAC对应关系,则回复;如果不存在该IP-MAC对应关系,那么继续下面的步骤。

4)内核进行ARP广播, 目的地的MAC地址是FF-FFF-P-A ARP命令类型为REQUEST (1),其中包含自己的MAC地址。

5)当192.168 1250主机接收到该ARP请求后,就发送一个ARP的REPLY (2)命令,其中包含自己的MAC地址。

6)本地获得192.168.1.250主机的IP-MAC地址对应关系,并保存到ARP缓存中在这个过程中,请求方是靠广播的方式发送的,应答方是单播回复。此时,若有心破坏,则可以通过制作假的ARP应答包进行ARP欺骗或ARP攻击,这就能获取网络通信机密或扰乱网络通信了, ARP病毒即是如此肆虑的。

传输层协议

ТCР

TCP协议使用三次握手机制来建立一条连接: 握手的第一个报文为SYN包;第二个报文为SYNACK包,表明它应答第一个SYN包,同时维续握手的过程;第三个报文仅仅是一个应答,表示为ACK包。倘若A为连接方, B为响应方,其间可能的威胁如下所示:

1)攻击者监听B方发出的SYNACK报文。

2)攻击者向B方发送RST包,接着发送SYN包,假冒A方发起新的连接。

3）B方响应新连接,并发送连接响应报文SYN/ACK.

4)攻击者再假冒A方对B方发送ACK包。

UDP

UDP报文由于没有可靠性保证，顺序保证和流量控制字段等，因此可靠性较差。

应用层协议

应用层有很多日常传输数据时使用的协议.比如HTTP、 HTTPS、FTPSMTP、Telent、DNS、POP3等,这些协议在实际应用中要用到应用程序代理。
从客户角度来看,代理服务器相当于一台真正的服务
而从服务器来看,代理服务器又是一台真正的客户机。

安全封装协议

(1)IPSec

IPSec是为IPv4和IPv6协议提供基于加密安全的协议,它使用AH和ESP协议来实现其安全,使用ISAKMPOakley及SKIP进行密钥交换、管理及安全协商。
IPSec安全协议工作在网络层,运行在它上面的所有网络通道都是加密的。
IPSec安全服务包括访问控制、数据源认证、无连接数据完整性、抗重播、数据机密性和有限的通信流量机密性
IPSec的抗重播服务是指防止攻击者截取和复制IP包,然后发送到目的地。
IPSec使用ESP隧道模式,对IP包进行封装,可达到一定程度的机密性,即有限的通信流机密性。

(2) SSL协议

安全套接层协议是用来保护网络传输信息的,它工作在传输层之上、应用层之下,其底层是基于传输层可靠的流传输协议(如TCP)
SSL采用TCP作为传输协议保证数据的可靠传送和接收。
SSL工作在Socket层上,因此独立于更高层应用,可为更高层协议(如Telnet, FTP和HTTP)提供安全服务。
SSL协议分为记录层协议和高层协议。记录层协议为高层协议服务,限定了所有发送和接收数据的打包,它提供了通信、身份认证功能,是一个面向连接的可靠传输协议,如为TCP/IP提供安全保护。握手协议的报文与之后的数据传输都需要经过记录层协议打包处理。
SSL的工作分为两个阶段:握手阶段和数据传输阶段。若通信期间检测到不安全因素,比如握手时发现另一端无法支持选择的协议或加密算法,或者发现数据被篡改,通信一方会发送警告消息,不安全因素影响比较大的两端之间的通信就会终止,必须重新协商建立连接。

(3) S-HTTP

安全超文本传输协议是EIT公司结合HTTP而设计的一种消息安全通信协议。
S-HTTP协议处于应用层,它是HTTP协议的扩展,仅适用于HTTP连接。 S-HTTP可提供通信保密、身份识别、可信赖的信息传输服务及数字签名等。
S-HTTP提供了完整且灵活的加密算法及相关参数。
S-HTTP支持端对端安全传输,客户机可能“首先”启动安全传输(使用报头的信息).

（4）SMIME

SMIME的全称是安全多用途网际邮件扩充协议( Sccure Multipurpose Internet MailExtensions, RFC 2311)。
SMIME对安全方面的功能也进行了扩展,可以把MIME的实体(比如加密信息和数字签名等)封装成安全对象。它定义了增强的安全服务,例如具有接收方确认签收的功能,这样就可以确保接收者不能否认已经收到过的邮件。
SMIME增加了新的MIME数据类型,用于提供数据保密、完整性保护、认证和鉴定服务等。

三、无线网络安全

无线局域网的安全问题

在网络覆盖范围内都可以成为WILAN的接入点,人侵者因而有机可乘,甚至可以在控制范围以外访问WLAN,窃听网络中的数据,并且应用各种攻击手段对无线网络进行攻击。
由于WLAN是符合所有网络协议的计算机网络,因此计算机病毒这样的网络威卧同样也对WLAN内的所有计算机造成威胁,甚至会产生比普通网络更加严重的后果。
WLAN中存在的安全威胁因素主要是窃听、截取或者修改传输数据、拒绝服务等。

无线局域网安全协议

(1)WEP (有线等效保密)

有线等效保密使用共享密钥串流加密技术进行加密,并使用循环校验以确保文件的正确性。
WEP还有其他的弱点,包括安全数据雷同的可能性和改造的封包,这些风险无法用长一点的密钥来避免。

(2) WPA (Wi-Fi网络安全接入)

WPA是继承了WEP基本原理而又解决了WEP缺点的一种新技术。

(3) WPA2

WPA2两种规格：WPA2个人版和WPA2企业版。

(4)WAPI

WAPI原理：当鉴别器的受控端口处于未鉴别状态时,鉴别器系统拒绝提供服务,鉴别器实体利用非受控端口和鉴别请求者通信。受控与非受控端口可以是连接到同一物理端口的两个逻辑端口,所有通过物理端口的数据都可以到达受控端口和非受控端口,并根据鉴别状态决定数据的实际流向。
WPI的原理:

WPI的封装过程为:

利用完整性校验密钥与数据分组序号(PN),通过校验算法对完整性校验数据进行计算,得到完整性校验码(MIC);再利用加密密钥和数据分组序号(PN),通过工作在OFB模式的加密算法对MSDU数据及MIC进行加密,得到MSDU数据以及MIC密文;然后封装后组成帧发送。

WPI的解封装过程为:

1)判断数据分组序号(PN)是否有效,若无效,则丢弃该数据。

2)利用解密密钥与数据分组序号(PN),通过工作在OFB模式的解密算法对分组中的MSDU数据及MIC密文进行解密,恢复出MSDU数据以及MIC明文。

3)利用完整性校验密钥与数据分组序号(PN),通过工作在CBC-MAC模式的校验算法对完整性校验数据进行本地计算,若计算得到的值与分组中的完整性校验码MIC不同,则丢弃该数据。

4)解封装后将MSDU明文进行重组处理并逆交至上层。

（三）识别网络安全风险

一、威胁 常见的外部威胁包括如下几类:

1)应用系统和软件安全漏洞:随着软件系统规模的不断增大,新的软件产品不断开发出来,系统中的安全漏洞或“后门”也不可避免地存在。

2)安全策略:安全配置不当也会造成安全漏洞。

3)后门和未马程序:在计算机系统中,后门是指软、硬件制作者为了进行非授权访问l在程序中故意设置的访问口令。后门对处于网络中的计算机系统构成潜在的严重威胁。

4)病毒及恶意网站陷阱: 目前数据安全的头号大散是计算机病毒,它是编制者在计距机程序中插入的破坏计算机功能成数据,影响硬件的正常运行并且能够自我复制的一组计算机指令或程序代码。

5)黑客: 黑客通常掌握着有关操作系统和编程语言的高级知识,并利用系统中的安全漏洞非法进入他人计算机系统,其危害性非常大。

6)安全意识淡薄:目前,在网络安全问题上还存在不少认知盲区和制约因素。许多人主要将网络用于学习、工作和娱乐等,对网络信息的安全性无暇顾及,安全意识相当淡薄,对网络信息不安全的事实认识不足。

7)用户网络内部工作人员的不良行为引起的安全问题:网络内部用户的误操作、资源滥用和恶意行为也有可能对网络的安全造成巨大的威胁。各行业、各单位都建设了局域网,计算机使用颗繁,但是如果单位管理制度不严,不能严格遵守行业内部关于信息安全的相关规定,很容易引起安全问题。

二、脆弱性

脆弱性是指计算机或网络系统在硬件、软件、协议设计和安全策略方面的缺陷,它的直接后果是使非法或非授权用户获取访问权限,从而破坏网络系统。

操作系统的脆弱性

体现在以下几方面:

1)动态链接:为了系统集成和系统扩充的需要,操作系统采用动态链接结构,系统的服务和10操作都可以以补丁方式进行升级和动态链接。

2)创建进程:操作系统可以创建进程,而且这些进程可在远程节点上被创建与激活更加严重的是被创建的进程又可以继续创建其他进程。

3)空口令和RPC:操作系统为维护方便而预留的无口令入口和提供的远程过程调用(RPC)服务都是黑客进入系统的通道,严重威胁到系统的安全。

4)超级用户:操作系统的另一个安全漏洞就是存在超级用户,如果人侵者得到了超级用户口令，整个系统将完全受控于入侵者。

计算机系统本身的脆弱性
电磁泄漏
数据的可访问性
通信系统和通信协议的弱点
数据库系统的脆弱性
网络存储介质的脆弱性

（四）应对网络安全风险

一、从国家战略层面应对

出台网络安全战略，完善顶层设计。
建设网络身份体系，创建可信网络空间
提升核心技术自主研发能力，形成自主可控的网络安全产业生态体系。
加强网络攻防能力，构建攻防兼备的安全防御体系。
深化国际合作，逐步提升网络空间话语权。

二、从安全技术层面应对

身份认证技术

生物认证技术
口令认证
令牌认证

访问控制技术

访问控制指系统对用户身份及其所属的预先定义的策略组限制其使用数据资源能力的手段。通常被系统管理员用来控制用户对服务器、目录、文件等网络资原的访问。
访向控制是保证系统保密性、完整性、可用性和合法使用性的重要基础,是网络安全防范和资源保护的关键策略之一。
访问控制的主要目的是限制访问主体对客体的访问,从而保障数据资源在合法范围内得到有效使用和管理。为了达到上述目的,访问控制需要完成两个任务:识别和确认访问系统的用户、决定该用户可以对某一系统资源进行何种类型的访问。

(1)访问控制有三个要素,即主机、客体和控制策略

1)主体:是指提出访问资源具体请求,是某一操作动作的发起者,但不一定是动作的执行者,可能是某一用户,也可以是用户启动的进程、服务和设备等。

2)客体:是指被访问资源的实体。所有可以被操作的信息、资源、对象都可以是客体。客体可以是信息、文件、记录等集合体,也可以是网络上硬件设施、无限通信中的终端,甚至可以包含另外一个客体。

3)控制策略是主体对各体的相关访问规则的集合,即属性集合。访问策略体现了一种授权行为,也是客体对主体某些操作行为的默认。

(2)访问控制的功能及原理

访问控制的主要功能包括:

保证合法用户访问受保护的网络资源。
防止非法的主体进入受保护的网络资源。
防止合法用户对受保护的网络资源进行非授权的访问。
访问控制的内容包括认证、控制策略实现和安全审计。

1)认证:包括主体对客体的识别及客体对主体的检验确认。

2)控制策略:通过合理地设定控制规则集合,确保用户对信息资源在授权范围内的合法使用。既要确保授权用户的合理使用,又要防止非法用户侵权进入系统,泄露重要信息资源,同时,合法用户也不能越权使用权限以外的功能及访问范围。

3)安全审计:系统可以自动根据用户的访问权限,对计算机网络环境下的有关活动或行为进行系统的、独立的检查验证,并做出相应评价与审计。

(3)访问控制类型

1)自主访问控制

自主访同控制(Discretionary Access Control, DAC)是由客体的属主对自己的客体进行管理,由属主决定是否将自己的客体访问权或部分访问权授予其他主体。这种控制方式是自主的。
DAC提供的安全性相对较低,无法对系统资源提供严格保护。

2)强制访问控制

强制访问控制(MAC)是系统强制主体服从的访问控制策路,是由系统对用户所创建的对象,按照规定的规则控制用户权限及操作对象的访问。
MAC可通过使用敏感标签对所有用户和资源强制执行安全策略,一般采用3种方法:限制访问控制、过程控制和系统限制。
MAC的安全级别有多种定义方式,常用的级别分为4级:绝密级(Top Secret)、秘密级( Secret)、机密级(Confidential)和无级别级(Undlssifie),其安全级别依次降低。

3)基于角色的访问控制

角色( Role)是指完成一项任务必须访问的资源及相应操作权限的集合。
基于角色的访问控制( Role-Based Access Control, RBAC)是通过对角色的访问所进行的控制。通过使权限与角色相关联,用户成为适当角色的成员后即可得到其角色的权限。
RBAC支持三个著名的安全原则:最小权限原则、责任分离原则和数据抽象原则。
最小权限原则可将其角色配置成完成任务所需要的最小权限集。
责任分离原则可通过调用相互独立互斥的角色共同完成特殊任务。
数据抽象原则可通过权限的抽象控制一些操作。

(4)综合性访问控制策略

综合访问控制策略(HAC)继承和吸取了多种主流访问控制技术的优点。
HAC具有良好的灵活性、可维护性、可管理性、更细粒度的访问控制性和更高的安全性。

综合访问控制策略主要包括：

1)入网访问控制 人网访问控制是网络的第一层访问控制。可对用户规定所能登入的服务器及获取的网络资源,控制准许用户的时间和签入的工作站点。

2)网络的权限控制 网络的权限控制是有效防止网络1法操作的一种安全保护精施。用户对网络资源的访问权限通常用一个访问控制列表来描述。从用宁的角度,网络的权限控制按以下3考进行配置:

①特殊用户:具有系统管理权限的系统管理员等。

②一般用户:系统管理员根据实际需要为其分配一定操作权限的用户。

③审计用户:专门负责审计网络的安全控制与资源使川情况的人员。

3)目录级安全控制

目录级安全控制主要是为了控制用户对目录、文件和设备的访间,或指定对目录下的子目录和文件的使用权限。 4)属性安全控制

属性安全控制可将特定的属性与网络服务器的文件及目录网络设备相关联。
属性配置的权限包括:向某个文件写数据、复制一个文件,删除目录或文件、查看目录和文件、执行文件、隐含文件、共享、系统属性等。安全属性可以保护重要的目录和文件,防止用户越权对目录和文件进行查看、删除和修改等。

5)网络服务器安全控制

网络服务器安全控制允许通过服务器控制台执行以下安全控制操作:用户利用控制台装载和卸载操作模块、安装和删除软件等。
操作网络服务器的安全控制还包括设置口锁定服务器控制台,防止非法用户修改、删除重要信息。

6)网络监控和锁定控制

在网络系统中,服务器通常会自动记录用户对网络资源的访问，对试图登入网络者,网络服务器将自动记录企图卷人网络的次数,当非法访问的次数达到设定值时,就会将该用户的账户自动锁定并进行记录。

7)网络端口和节点的安全控制

网络中服务器的端口常用自动回复器、静默调制解调器等安全设施进行保护,并以加密的形式来识别节点的身份。

(5)访问控制应用

网络访问控制的典型应用是“防火墙”, 目前市场上主流的“统一认证系统”、用于内部网络管理的“上网行为管理/流控”、用于网络隔离的"网闸”、可在公用网络上建立专用网络的VPN等都属于防火墙产品。

入侵检测技术

(1)人侵检测系统的定义

人侵检测系统(Intrusion Detention System, IDS)是一种对网络实时监控、检测,发现可题数据并及时采取主动措施的网络设备。 (2)常用的入侵检测技术

1)异常检测(Anomaly detection)

异常检测又称为基于行为的检测。它的基本假设是,人侵者的活动异常于正常主体的活动,而且可以区外这种差异。根据这一理念建立主体正常活动的档案,将当前主体的活动状况与活动档案相比较,当违反其统计规律时,认为该活动可能是入侵行为。

2)特征检测(sgntrebased detectin)

特征检测又称为基于知识的检测和违规检测( Misues Deteciton)。这一检测的基本假设是,具有能够精确地按某种方式编码的攻击,并可以通过捕获攻击及重新整理,确认人侵活动是基于同一弱点进行攻击的人侵方法的变种。人侵者活动通过人侵模式来表示,人侵模式说明了那些导致安全风险或其他违规事件中的特征、条件、排列和事件间的关系。

文件完整性检查

系统检查计算机中自上次检查后文件变化情况。文件完整性检在系统保存每个文件的数字文摘数据库,每次检查时,它重新计算文件的数字文摘并将它与数据库中的值相比较,如不同,则文件己被修改,若相同,则文件未发生变化。
文件的数字文摘通过Hash函数计算得到,不管文件长度如何,它的Hash函数计算结果是一个固定长度的数字。与加密算法不同,Hash算法是一个不可逆的单向函数。采用安全性高的Hash算法

人侵检测系统和防火墙是两种完全独立的安全网关设备。

从两个产品关注的安全范围来看：防火墙更多的是进行细粒度的访问控制,同时提供网络地址转换、应用服务代理和身份准入控制等功能。
人侵检测系统则重点关注网络攻击行为,尤其是对应用层协议进行分析,并主动阻断攻击行为。
防火墙是实施访问控制策略的系统,对流经的网络流量进行检查,拦截不符合安全策略的数据包。
而入侵防护系统(IPS)则倾向于提供主动防护,预先对入侵活动和攻击性网络流量进行拦截,避免其造成损失,而不是简单地在恶意流量传送时或传送后才发出警报。

监控审计技术

监控审计技术通过监视网络活动,审计系统的配置和安全漏洞,分析网络用户和系统的行为,并定期进行统计和分析,进而评估网络的安全性和敏感数据的完整性,发现潜在的安全威胁,识别攻击行为,并对异常行为进行统计,对违反安全法规的行为进行报警,使系统管理员可以有效地管理和评估自己的系统。

(1)网络安全审计的基本概念 通俗地说,网络安全审计就是在一个特定的网络环境下(如企业网络),为了保账网络和数据不受来自外网和内网用户的人侵和破坏,而运用各种技术手段实时收集和监控网络环境中每一个组成部分的系统状态、安全事件,以便集中报繁、分析、处理的一种技术手段。

(2)网络安全审计方法 目前常用的安全审计技术有以下几类:

1)日志审计:目的是收集日志,通过SNMP, SYSLOG, OPSEC或者其他的日志接口从各种网络设备、服务器、用户电脑、数据库、应用系统和网络安全设备中收集日志进行统一管理、分析和报警。

2)主机审计:通过在服务器、用户电脑或其他审计对象中安装客户端的方式来进行审计,可达到审计安全漏洞、审计合法和非法或入侵操作、监控上网行为和内容以及向外拷贝文件行为、监控用户非工作行为等目的。事实上,主机审计已经包括了主机日志审计、主机漏洞扫描、主机防火墙和主机IDSAPS的安全审计功能、主机上网和上机行为监控等功能。

3)网络审计:通过旁路和串接的方式实现对网络数据包的捕获,而且进行协议分析和还原,可达到审计服务器、用户电脑、数据库、应用系统的审计安全漏洞、合法和非法或入侵操作、监控上网行为和内容、监控用户非工作行为等目的。根据该定义,网络审计包括网络漏洞扫描、防火墙和IDS/PS中的安全审计功能、互联网行为监控等功能。

5．蜜罐技术 蜜罐技术也是保障网络安全的重要手段。蜜罐包括两层含义:首先,要引诱攻击者让其能够容易地找到网络漏洞,一个不易被攻击的“蜜罐”是没有意义的。其次, "蜜雄"不修补攻击所造成的损伤,从而最大可能地获得攻击者的信息。

按应用平台,蜜罐技术可分为实系统蜜罐和伪系统蜜罐。

(1)实系统蜜罐 实系统蜜罐技术是利用一个真实的主机或操作系统来诱骗攻击者,它其实是用主机本身的系统漏洞来做诱诉,让攻击者入侵。

(2)伪系统蜜罐 所谓的伪系统蜜罐技术并不是指假的系统,其实它也建立在一个真实的系统之上,但它最大的特点就是“平台与漏洞的非对称性”

按照部署目的,蜜罐分为产品型蜜罐和研究型蜜罐两类

（1）产品型蜜罐 产品型蜜罐的目的是为一个组织的网络提供安全保护,包括检测攻击、防止攻击造成破坏,同时帮助管理员对攻击做出及时、正确的响应等。产品型蜜罐容易部署,且能节省管理员的工作量。

（2）研究型蜜罐 研究型蜜罐专门用于对黑客攻击的捕获和分析。部署研究型蜜罐,可以对黑客攻击进行追踪和分析,还可以捕获黑客的键击记录,了解黑客所使用的攻击工具及攻击方法。与产品型蜜罐不同的是,研究型蜜罐需要研究人员投入大量的时间和精力进行攻击监视和分析工作。

按照交互度的等级,蜜罐分为低交互蜜罐和高交互蜜罐。

（1）低交互蜜罐 低交互蜜罐一般只模拟操作系统和网络服务,容易部署且风险较小,但黑客在低交互密罐中能够进行的攻击活动有限,因此通过低交互蜜罐能够收集的信息也很有限,另外,低交互蜜罐属于模拟的虚拟蜜罐,存在着一些容易被黑客所识别的指纹( FingerPrinting)信息。产品型蜜罐一般属于低交互蜜罐。

（2）高交互蜜罐 高交互蜜罐则完全提供真实的操作系统和网络服务,没有任何的模拟。在高交互密罐中,我们能够获得许多黑客攻击的信息。高交互蜜罐在提升黑客活动自由度的同时,也使部署和维护的复杂度及风险的扩大。研究型蜜罐一般都属于高交互蜜罐,也有部分产品蜜罐(如Man Trap)属于高交互蜜罐。

三、网络管理的常用技术

日常运维巡检
漏洞扫描
应用代码审核
系统安全加固
等级安全测评
安全监督检查
应急响应处理
安全配置管理

第七章

（二）云安全

Ⅰ.云的相关概念

云
云计算
云服务
云主机
云安全

Ⅱ.云面临的安全挑战

新技术
集中化
合规性
运维管理

Ⅲ. 云环境下的安全保障

云安全标准
云安全建设

（三）物联网安全

Ⅰ.物联网概述

物联网的概念
物联网的层次架构与特征
物联网的典型应用领域

Ⅱ.物联网的安全特征与架构

物联网安全问题与特征
物联网面临的安全挑战
物联网的安全架构

Ⅲ.工控系统及其安全

工控系统的特征
工控系统的架构
工控系统安全

三、解决问题

1.“瓶颈”现象是什么

2.hash函数