2020-2021-1 学期 20202413《网络空间安全专业导论》第十周学习总结

2020-2021-1学期 20202413《网络空间安全专业导论》第十周学习总结

第三章：网络安全基础

一、网络安全概述

1、网络安全现状及安全挑战

1、网络安全现状

1. 计算机病毒层出不穷，肆虐全球，并逐渐呈现新的传播态势和特点。

2. 黑客对全球网络的恶意攻击逐年攀升。

3. 由于技术和设计上的不完备，导致系统存在缺陷或安全漏洞。

4. 世界各国军方都在加紧进行信息战的研究。

2、敏感信息对安全的需求

• 现代的信息传递、存储与交换是通过电子和光子完成的。通常将信息的密级分为秘密级、机密级和绝密级。

3、网络应用对安全的需求

2、网络安全威胁与防护措施

1、基本概念

• 安全威胁：某个人、物、事件或概念对某一资源的保密性、完整性、可用性或合法使用造成的危险。攻击就是某个安全威胁的具体实施。

• 防护措施：保护资源免受威胁的一些物理的控制、机制、策略和过程。

• 风险：对某个已知的、可能引发某种成功攻击的脆弱性的代价的测度。

• 安全威胁有时可分为故意和偶然，故意的威胁又分为主动攻击和被动攻击。安全威胁分为1.基本威胁。2、主要的可实现威胁。3.潜在威胁。

2、安全威胁的来源

• 在Internet中，网络蠕虫就是将旁路控制与假冒攻击结合起来的一种威胁。旁路控制就是利用已知的UNIX、windows和Linux等操作系统的安全缺陷，避开系统的访问控制措施，进入系统内部。而假冒攻击则是通过破译或窃取用户口令，冒充合法用户使用网络服务和资源。

3、安全防护措施

• 一个安全系统的强度与其最弱链路的强度相同。为了提供有效的安全性，需要将不同种类的威胁对抗措施联合起来使用。

3、安全攻击的分类及常见形式

1、被动攻击

• 被动攻击由于不涉及对数据的更改，所以很难被察觉。通过采用加密措施，完全有可能阻止这种攻击。处理被动攻击的重点是预防，而不是检测。

2、主动攻击

• 主动攻击虽然易于检测，但却难以阻止。

3、网络攻击的常见形式

• 若同一用户习惯使用同一密码，黑客获取到这些文件后，就会去登录其他机器，这称为字典攻击。

• 缓冲器溢出攻击称为堆栈粉碎攻击，通过向缓冲区内注入大量数据，导致返回地址被覆盖，返回时转入入侵的代码。

• DDoS攻击通常难以恢复，因为攻击可能来自世界各地。它能够使用许多台计算机通过网络同时对某个网络发起攻击。

4、开放系统互连模型与安全体系结构

1、安全服务

• 同等实体认证和数据源认证是两种特殊的认证服务。

2、安全机制

3、安全服务与安全机制的关系

4、在OSI层中的服务配置

5、网络安全模型

• 网络安全模型说明，设计安全服务应包含4个方面内容：1.设计一个算法，它执行与安全相关的变换，该算法应是攻击者无法攻破的。2.产生算法所使用的秘密信息。3.设计分配和共享秘密信息的方法。4.指明通信双方使用的协议，该协议利用安全算法和秘密信息实现安全服务。

二、网络安全防护技术

1、防火墙

1、防火墙概述

• 防火墙是由软件和硬件组成的系统，它处于安全的网络和不安全的网络之间，根据由系统管理员设置的访问控制规则，对数据进行过滤。

• 处理方法有三种：1.允许数据流通过。2.拒绝数据流通过。3.将这些数据流丢弃。

• 所有进出网络的数据流必须经过防火墙。

  只允许经过授权的数据通过防火墙。

  防火墙自身对入侵是免疫的。

• 防火墙不是一台普通的主机，它自身的安全性比普通主机更高。凡是没有明确“允许的”服务，一律都是“禁止的”。必须对内部主机施加适当安全策略，以加强对内部主机的安全防护。外部过滤器用来保护网关免受侵害，而内部过滤器用来防备因网关被攻破而造成的恶果。

2、防火墙分类

• 通常将防火墙分为三类：

1. 包过滤防火墙。

2. 电路级网关防火墙。

3. 应用级防火墙。

• 每种防火墙的特性均有它所控制的协议层决定。防火墙对开放系统互连（OSI）模型中各层协议所产生的信息流进行检查。

3、防火墙原理简介

• 静态包过滤防火墙采用一组过滤规则对每个数据包进行检查，然后根据检查结果确定是转发、拒绝还是丢弃该数据包。这种防火墙对从内网到外网和从外网到内网两个方向的数据包进行过滤，其过滤规则基于IP和TCP/UDP头中的几个字段。

• 防火墙首先默认丢弃所有数据包，然后再逐个执行过滤规则，以加强对数据包的过滤。对于静态包过滤防火墙来说，决定接受还是拒绝一个数据包，取决于对数据包中的IP头和协议头等特定区域的检查和判定。判决仅依赖于当前数据包的内容。

• 网络安全监视器第一次直接将网络流作为审计数据来源，因而可以在不讲审计数据转换成统一格式的情况下监视一种主机。

2、入侵检测系统

1、入侵检测系统概述

• 入侵检测系统模型：

  1. 数据收集器

  2. 检测器。

  3. 知识库。

  4. 控制器。

2、入侵检测系统分类

3、入侵检测系统原理简介

• 大部分入侵检测产品都基于网络。

3、虚拟专网

1、VPN 概述

• VPN：将物理上分布在不同地点的网络通过公用网络连接而构成逻辑上的虚拟子网。

• VPN根据数据使用者的身份和权限，直接将其接入VPN，非法的用户不能接入和使用其服务。

2、VPN分类

3、IPSec VPN原理简介

• 其精髓在于对数据包进行重新封装。对数据包进行IPSec处理使VPN提供了比包过滤防火墙更高的安全性。
• IPSec的两种工作模式：传输模式和隧道模式。

4、TLS VPN与IPSec VPN的比较

4、计算机病毒防护技术

1、计算机病毒防护概述

• 计算机病毒：能够引起计算机故障、破坏计算机数据、影响计算机正常运行的指令或代码。

• 特点：1.破坏性。2.传染性。3.隐蔽性。

• 反病毒技术的根本目的是为了防御病毒的攻击，保护计算机与数据的安全。

2、计算机病毒分类

1. 木马型病毒

2. 感染性病毒

3. 蠕虫型病毒

4. 后门型病毒

5. 恶意软件

3、计算机病毒检测原理简介

5、安全漏洞扫描技术

1、漏洞扫描技术概述

• 漏洞扫描的具体实施效果一般依赖于几方面因素：

  1. 漏洞PoC是否公开。

  2. 系统指纹信息采集准确度。

  3. 漏洞EXP是否存在。

2、漏洞扫描技术分类

3、漏洞扫描技术原理简介

• 漏洞扫描分为如下步骤：

1. 存活判断
2. 端口扫描
3. 系统和服务识别
4. 漏洞检测

三、网络安全工程与管理

1、安全等级保护

1、等级保护概述

• 网络分为五个安全保护等级

2、等级保护主要要求

• 从第一级开始，每一级在继承其第一级别所有安全要求的基础上，增补一些安全要求，或对上一级别的特定安全要求有所加强。

• 第一级系统为用户自主保护级，核心技术为自主访问控制。

  第二级关键为审计。

  第三级通过实现基于安全策略模型和标记的强访问控制以及增强系统的审计机制，使系统具有在统一安全策略管控下，保护敏感资源的能力。

  第四级是结构化保护级。

  第五级安全设计要求很高，目前暂无安全设计办法。

2、网络安全管理

1、网络安全管理概述

• 传统的网络安全管理基本上还处在一种静态的、局部的、少数人负责的、突击式、事后纠正式的管理模式。

2、网络安全管理体系（ISMS)

3、网络安全风险管理

• 风险管理：一种在风险评估的基础上对风险进行处理的工程，网络安全风险管理的实质是基于网络安全管理。其核心是网络安全风险评估。风险管理的核心部分是风险分析，主要涉及资产、威胁、脆弱性三个要素。

• 人们追求的所谓安全的网络和信息系统，实际上是指网络和信息系统在实施了风险评估并做出风险控制后，仍然讯在的残余风险可被接受的网络和信息系统，不存在绝对安全的网络和信息系统，也不必要追求绝对安全的网络和信息系统。

3、网络安全事件处置与灾难恢复

1、网络安全事件分类与分级

2、网络安全应急处理关键过程

3、信息系统灾难恢复

• 灾难恢复的四个关键过程：灾难恢复需求的确定、灾难恢复策略的制定，灾难恢复策略的实现，以及灾难恢复预案的制定、落实和管理。

四、新兴网络及安全技术

1、工业互联网安全

1、工业互联网的概念

2、工业互联网面临的新安全挑战

3、工业互联网主要安全防护技术

2、移动互联网安全

1、移动互联网的概念

• 移动互联网：利用互联网的技术、平台、应用以及商业模式与移动通信技术相结合相结合并实践的活动统称。

2、移动互联网面临的新安全挑战

3、移动互联网主要安全防护技术

3、物联网安全

1、物联网的概念

2、物联网面临的新安全挑战

3、物联网主要安全防护技术

---