章ネットワークセキュリティ
ネットワークセキュリティと管理の3.1の概要
3.1.1ネットワークセキュリティの概念
1.大まかに言えば、すべての関連ネットワーク情報の機密性、完全性、可用性、信頼性、制御性、研究や関連技術の理論的検討は、ネットワークセキュリティです。
2. ネットワークセキュリティネットワークセキュリティハードウェアリソースや情報リソースを含みます。
ネットワーク・ハードウェア資源は、通信回線、通信装置(ルータ、スイッチ、等)、及び他のホストを含みます。
情報資源は、ネットワークサービスを維持すること喜システムソフトウェアおよびアプリケーションソフトウェア、及びデータ記憶および伝送ネットワーク内のユーザ情報を可能含みます。
3.1.2ネットワーク管理の概念
1. ネットワーク管理は教師のさまざまな活動の総称であり、整理し、制御ネットワーク通信サービス、および処理のために必要な情報。
2.ネットワーク管理技術は、ネットワーキング、コンピュータの開発を伴う通信技術と開発され、二人はお互いを補完します。
ネットワーク管理カテゴリから分類3.のために分けることができるネットワーク機器の管理とのための行動管理。
3.1.3ネットワークセキュリティ機能
一般的には、ネットワークのセキュリティと管理技術や手段を保護するために、信頼性、可用性、機密性、完全性、制御性、のレビューネットワークセキュリティの特性を持っているネットワークを。
- 信頼性:ネットワーク情報システムとは、所定の条件下で所定の機能の所定の時間特性内に完了することができます。主にハードウェアの信頼性、ソフトウェアの信頼性、ヒューマンエラー、環境信頼性の点で好ましいです。
- 可用性:ネットワーク情報アクセス機能を使用してプレスに実体のニーズを許可することができます。通常、全体の時間と作業時間よりもシステムの通常の使用では、測定されます。
- 機密性:ネットワーク情報は、ユーザーに不正なエンティティまたはプロセスを開示し、またはその使用の特性にされていません。
- 完全性:ネットワーク情報、すなわち、貯蔵または伝送過程で保持されているネットワーク情報が偶然または故意に削除、改変、鍛造、スクランブル、再生、及び挿入損失特性及び他の損傷はない、認可特性なしに変更することはできません。
- 制御性は:情報とコンテンツの普及を制御する能力を持っています。
- 監査能力:時間とセキュリティ上の問題を提供する手段に基づいています。
3.1.4一般的なネットワークトポロジ
1. ネットワークトポロジー:ネットワーク構成モード、幾何学的な論理的、地理的に分散内の各ノードに接続されていることを示しています。ネットワークトポロジは、伝送方式は、ネットワークとネットワーク情報を作品決定します。
2.ように、共通のネットワークトポロジーバス、スター、リング、ツリー、そこにあります。実際の応用において、通常、それらの全体的または部分的混合の形ではなく、単一のトポロジーを有します。
- バストポロジー:同じ物理的媒体に接続されたすべてのネットワーク・ワークステーションまたはネットワークデバイスは、各デバイスは、直接トランクケーブルに接続されています。
構造安全性の欠陥の有無:困難な故障診断するために、障害分離の難しさは、端末はインテリジェントでなければなりません。 - スタートポロジ:中央ノード及びポイントリンクへのポイントで組成物のそれぞれの部位に接続された中央ノード。多くの場合、中央ノード装置アダプタ、コンセントレータまたはリピータと呼ばれます。
構造安全性の欠陥の有無:ケーブルおよびインストールの困難のための大規模な需要、拡大の難しさは、中央ノードへの依存は、「ボトルネック」現象を起こしやすい、大きすぎます。 - リングトポロジー:リレーの一部とポイントリンクに中継点によって接続されて閉ループを形成します。
構造安全性の欠陥が存在します。障害が発生したノードはありません簡単にアクセスプロトコルに影響を与える、ネットワークを再構成するために、ネットワーク全体の故障診断の失敗が困難である原因になります。 - ツリー・トポロジー:反転ツリーのような形に進化バストポロジ、から。通常伝送媒体として同軸ケーブル、広帯域伝送技術を使用します。
構造安全性の欠陥の有無:ルートノードに過度の依存。
3.2ネットワーク・セキュリティ・インフラストラクチャ
3.2.1 OSI 7層モデルとセキュリティアーキテクチャ
国際標準化機構(ISO)と共同開発し国際電信電話諮問委員会(CCITT)であるOSI参照モデルと呼ばれる1.OSI参照モデル、。
2.組成物7層モデル
上から下へOSI参照モデルは、物理層、データリンク層、ネットワーク層、トランスポート層、セッション層、プレゼンテーション層およびアプリケーション層です。
プロトコルの原理動作3.OSI
パッケージ:下層パッケージに送信側、上位レイヤからの操作データは、この層のすべての層は、上部層と渡される前に処理する下位層のデータベース内のデータヘッダに付加されます。
開梱:受信端では、各レイヤのヘッダにおけるデータユニットは、ユーザがアプリケーション・コンテンツ・レイヤ解析を見た後になるまで処理される上層必要に移し、除去されます。
七層モデルは、異種ネットワーク相互接続遭遇した互換性の問題を解決するために、主に設立しました。その最大の利点は明らかにシェア責任に異なるネットワークからこれらの3つの概念が、また、異なる機能モジュールを区別サービス、インターフェイスやプロトコルを区別することです。
4.OSIセキュリティアーキテクチャは、
OSIのセキュリティアーキテクチャがあるOSI 7層のプロトコル・モデルに従って構築された、OSIセキュリティアーキテクチャは、例えば、対応するOSI 7層です。
- 物理層は:接続パスワードを設定します。
- データリンク層:PPPの認証設定、スイッチポートの優先順位、MACアドレスセキュリティ、BPDUガード、高速なポート。
- ネットワーク層:プロトコル検証セット、拡張アクセスリスト、ファイアウォールや上のように、ルーティング。
- トランスポート層:FTPパスワードが提供され、送信キーなど。
- セッション層とプレゼンテーション層:公開鍵暗号、秘密鍵暗号は2層に設定する必要があります。
- アプリケーション層:NBAR、アプリケーション層のファイアウォールを設定します。
5セキュリティ関連サービス:認証(識別)サービス、サービスアクセス制御、データの機密性サービス、データ整合性サービスと抗否認サービス。
3.2.2 TCP / IPプロトコル
OSIでは、IPネットワーク層とトランスポート層のTCPプロトコルコンポーネントをモデル化します。
1.ネットワーク層プロトコル
- IPプロトコル
- ARPプロトコル:物理アドレス(MACアドレス48)にコンピュータ・ネットワーク・アドレス(IPアドレス32)。
2.トランスポートプロトコル
- TCP:接続を確立するために使用スリーウェイハンドシェイク、接続が切断されています。
- UDP
3.アプリケーション層プロトコル
HTTP、HTTPS、FTP、SMTP、のtelnet、DNS、POP3 アプリケーションプロキシを使用するように、これらのプロトコルの実際の適用において、等。
4.カプセル化セキュリティプロトコル
- IPSecの:そのセキュリティを実装するためのAH(認証ヘッダ)を使用して、IPv4とIPv6プロトコルのセキュリティを提供する暗号化ベースのプロトコルおよびESP(カプセル化セキュリティペイロード)プロトコル、ISAKMP / Oakleyのは、SKIPキー交換と管理、及びセキュリティネゴシエーションです。
- SSLプロトコル(セキュアソケットレイヤ):ネットワークを保護するための送信情報
- S-HTTP:情報セキュリティ通信プロトコルは、HTTPバインディングに設計ハイパーテキスト転送プロトコルであります
- S / MIME:セキュア多目的インターネットメール拡張のフルネーム
3.2.3ワイヤレスネットワークのセキュリティ
1. WLANセキュリティ:盗聴、傍受や送信データ、サービス拒否を修正します。
2.無線LANのセキュリティプロトコル:
- WEP(有線同等プライバシー)
- WPA(のWi-Fiネットワークセキュリティアクセス)
- WPA2
- WAPI(WLANセキュリティソリューション中国は独立した知的財産権を持っています)
3.WPIのカプセル化解除のプロセス:
- データパケットのシーケンス番号が有効で分析し、無効なデータが破棄されます
- 復号鍵とシーケンス番号を使用して、データパケット。MICデータパケットのMDSUとMSDUの平文データを回復するために仕事を通じてOFBモードの暗号文の復号化アルゴリズムを復号化し、MIC
- 完全性チェックコードMICは、パケットをもたらす異なる値を算出した場合、完全性チェックキーとデータパケットのシーケンス番号、ローカルワークのCBC-MACモードによって計算されたチェックデータ整合性チェックアルゴリズムを使用してデータは破棄されます
- 封入後、溶液MSDUは、組換えプロセスを平文と上位層に配信します
3.3は、ネットワーク・セキュリティ・リスクを特定します
3.3.1脅威
一般的な外部からの脅威:セキュリティ上の懸念へのシステムやアプリケーションソフトウェアのセキュリティ上の脆弱性、セキュリティポリシー、およびバックドア型トロイの木馬、ウイルス、および悪意のあるWebサイトトラップ、ハッカー、安全意識、ネットワークのスタッフ内部ユーザの悪い行動。
3.3.2脆弱性
1.オペレーティングシステムの脆弱性:ダイナミックリンクは、プロセス、空のパスワードとRPC、スーパーユーザを作成します。
2.コンピュータシステム自体の脆弱性:ハードウェアとソフトウェアの障害。
3.電磁漏れ
4.データアクセシビリティ
弱通信システム及び通信プロトコル
の脆弱性データベースシステム6
脆弱なネットワークストレージ媒体7。
ネットワークセキュリティのリスクと3.4の契約
国家戦略レベルから3.4.1応答
1.ネットワークセキュリティ戦略の導入、トップレベルのデザインを向上させます。
ネットワークアイデンティティシステムの構築2。は、信頼できるネットワーク・スペースを作成します。
3.コアテクノロジーR&D機能、ネットワークセキュリティ業界のエコシステムの自己制御の形成を促進します。
4.ネットワーク攻撃と守備能力、ビルド攻撃と守備のセキュリティ防衛システムを強化します。
徐々に発言サイバースペースへの国際的な権利を高め、国際的な協力を深め5。
セキュリティの技術的な側面に対処する3.4.2
1.認証技術
- バイオメトリクス
- パスワード認証
- トークン認証
2.アクセス制御技術
- アクセス制御(Access Controlは)ユーザーIDとポリシーグループが事前定義された使用データリソース容量に属していることをシステム制限手段を指します。
- 三つの要素:ホスト、オブジェクトおよび制御戦略
- 認証、ポリシー制御、セキュリティ監査:アクセス制御の機能と原則
- タイプ:任意アクセス制御、強制アクセス制御、ポリシーベースのアクセス制御と統合アクセス制御およびその他の役割。
- 包括的なアクセス制御ポリシー:ネットワークアクセス制御、ネットワークアクセス制御、ディレクトリレベルのセキュリティコントロール、プロパティのセキュリティ制御、セキュリティ管理、ネットワークサーバ、ネットワーク監視および制御をロック、セキュリティ管理ネットワークポートとノード
- アプリケーションのアクセス制御
3.侵入検知技術
- 侵入検知システムは、リアルタイムのネットワーク監視、検出、不審なデータやネットワーク機器のタイムリーなイニシアチブを取ることです。
- 使用侵入検知技術:異常検出、特徴検出、ファイルの整合性チェック。
4.監視監査技術
- ネットワークセキュリティ監査アプローチ:監査ログ、ホスト監査、ネットワーク監査
ハニーポット
アプリケーションプラットフォームによっては、ハニーポットハニーポットシステムは、実際、擬似ハニーポットシステムに分割されています。
展開の目的によると、ハニーポットは、製品や研究ハニーポットハニーポットに分かれています。
相互作用ハニーポットのレベルに応じて、低相互作用ハニーポット、高相互作用ハニーポットに分割されます。
一般的なネットワーク管理技術3.4.3
1.日常の操作や保守点検
2.脆弱性スキャン
3.アプリケーションコードレビュー
4.システムのセキュリティ強化
5.レベルのセキュリティ評価
6.安全性の監督と検査
- 情報セキュリティ管理の場合
- 技術的な保護ケース
- 緊急作業
- 安全教育訓練状況
- 安全整流
7.緊急対応処分
8.セキュリティ構成管理
- アセットマネジメント
- リソース管理
- サーバーのディレクトリ管理
- サービスリクエスト
- 監視と管理
概要
OSIモデルとプロトコルの内容と組み合わせた一般的なネットワークトポロジを、分析することにより、脅威およびネットワークシステムの潜在的な脆弱性を紹介し、ネットワーク技術とネットワーク管理レベルから前方に対策を置きます。特に、彼は詳細なアカウントの認証技術、アクセス制御、侵入検知、監視、および監査技術のハニーポット技術を与えました。
ビッグデータの背景の第VII章の下で高度なコンピューティングのセキュリティ問題
物事セキュリティ7.3
物事の7.3.1概要
1.物事の目標は、人類は「完全な意識、徹底した分析能力と処理能力の知恵」物理的な世界のを持って、私たちは物理的な世界の相互運用性とオンラインの世界を実現するために支援することです。
2.アーキテクチャのレベルや物事の機能
- データセンシング部、ネットワーク、インテリジェント処理部の送信部:物事は、大きく3つの部分に分かれ。
- 物事システムは知覚層、ネットワーク層、アプリケーション層の三層構造に分割されています。
- 物事が持っている必要があります:包括的な認識を、信頼性の高い配信は、3つだけの能力を扱うことができます。
3.物事典型的な応用分野:
- 世界の応用物理学の認知能力を持っています
- に基づいてアプリケーション内のユビキタスネットワークコンバージェンス
- ベースの統合情報アプリケーション・サービスは、アプリケーションをターゲットに
7.3.2セキュリティ機能とモノのインターネットのアーキテクチャ
1.セキュリティは、物事の特徴
ネットワークが直面する2.物理的なセキュリティ上の課題:
- 基準と指標
- 規制
- 共同責任
- コストとセキュリティのトレードオフ
- 廃止された機器の処分
- スケーラビリティ
- データの機密性、認証およびアクセス制御
3.物事セキュリティアーキテクチャ
- セキュリティ攻撃に直面して物事
- 物事のセキュリティ制御
7.3.3産業用制御システムとそのセキュリティ
工業用制御システム(ICS)は、監視制御およびデータ収集(SCADA)システム、分散制御システム(DCS)を含む制御システム、プロセス制御システム(PCS)、プログラマブル・ロジック・コントローラのいくつかのタイプの総称です。
前記工業用制御システム1
2産業用制御システムアーキテクチャ
- コントローラ設定プログラムコンポーネント、データ取得および監視制御アセンブリマンマシンインターフェースと分散型プロセス制御システム:を含む工業用制御システムの主要コンポーネント。
- エンタープライズ・リソース・ネットワーク、プロセス制御及びネットワーク監視と制御系ネットワークを:工業用制御システムのネットワーク部分は、被覆されました。
3.産業用制御システムセキュリティ
- 工業用制御ネットワークのセキュリティ状況やセキュリティ上の問題
- システムの抜け穴は、産業用制御システムのセキュリティ上のリスクをタイムリーに処理することは困難です
- 工業用制御システムの通信プロトコルは、設計の初期段階で十分なセキュリティ上の配慮が欠けています
- 十分なセキュリティポリシーと管理システムがありません
- 産業用制御システムが直接インターネット上で公開します
- 基本的なセキュリティのシステムアーキテクチャの不足
- 産業用制御システムのセキュリティ
- リーク保護の喪失
- ホストセキュリティの管理
- データセキュリティの管理
- ベースラインを確立
- 操作監視
- 防衛の実装