网络空间安全与风险管理 - 提纲
目录
第一章 - 概述
第二章 - 网络空间安全体系结构
第三章 - 网络空间安全技术
第四章 - 网络空间安全风险分析与评估
第五章 - 网络空间安全标准与防护
第六章 - 网络空间安全等级保护
第七章 - 网络空间安全研究热点及新安全威胁
第八章 - 课程设计
第一章 - 概述
概述没有啥特别具体知识点,快速浏览即可
信息化
信息化以现代通信、网络、数据库技术为基础,对所研究对象各要素汇总至数据库,供特定人群生活、工作、学习、辅助决策等和人类息息相关的各种行为相结合的一种技术,使用该技术后,可以极大的提高各种行为的效率,并且降低成本,为推动人类社会进步提供极大的技术支持。
数字化
-
狭义:
数字化,即是将许多复杂多变的信息转变为可以度量的数字、数据,再以这些数字、数据建立起适当的数字化模型,把它们转变为一系列二进制代码,引入计算机内部,进行统一处理,这就是数字化的基本过程。40年代,香农证明了采样定理,即在一定条件下,用离散的序列可以完全代表一个连续函数。就实质而言,采样定理为数字化技术奠定了重要基础。 -
广义:
数字化,是指大数据、人工智能、移动互联网、物联网、云计算、区块链等一系列数字化技术组成的“数字综合体”。
网络空间安全(Cybersecurity)的基本属性:
-
保密性(confidentiality):信息不被泄漏给非授权的用户、实体或过程,或被其利用的特性。
-
完整性(integrity):是指信息未经授权不能进行更改的特性。
-
可用性(availability):是信息可被授权实体访问并按需要使用的特性。
-
不可抵赖性(non-repudiation):信息的发送者和接收者都不能否认发送和接收的行为。
第二章 - 网络安全体系结构
网络安全能力模型
- 网络安全滑动标尺模型
- 网络安全动态模型
网络安全保护的实质是风险管理(包括识别、分析与管控),直接目的是控制安全风险。“风险”及其相关概念构成了影响网络安全的主要因素,他们不但揭示了网络安全问题产生的原因,也因此导出了网络安全问题的解决方案。
网络风险评估的三要素包括主要包括:资产、威胁、脆弱性。
网络安全体系结构概述
开放系统互联安全体系结构
- 安全服务(5种):安全需求的一种表示
- 安全机制(8类):是能够提供一种或多种安全服务的,与具体实现方式无关且一般不能再细分的安全技术的抽象表示
- 安全产品:是一种或多种安全机制的具体实现
安全需求→安全服务→安全机制→安全产品
安全机制为实现安全服务提供了技术手段
涉及到的安全产品
- 防火墙
- 入侵检测系统
- 恶意代码防护
防火墙
特征:
- 设置在两个网络的边界处
- 所有进出网络的通信流都应该通过防火墙
- 所有穿过防火墙的通信流都必须有安全策略和计划的确认和授权
- 理论上说,防火墙本身不能影响信息的流通,同时防火墙又不能被穿透。
入侵检测系统
恶意代码防护
- 定义:执行特定功能的计算机程序或一段代码,具有恶意目的并起着破坏性的作用。
- 分类:病毒、蠕虫、木马、逻辑炸弹。
- 检测、响应、恢复。
第三章 - 网络空间安全技术
技术细节比较多
主要内容:
物理安全、网络安全、系统安全、应用安全、数据安全。
物理安全
-
定义:物理安全就是保护信息系统的软硬件设备、设施以及其他介质免遭地震、水灾、火灾、雷击等自然灾害、人为破坏或操作失误。
-
范围:
- 机房和设施安全
- 人员安全
- 环境安全
- 电磁泄漏
-
两个强制标准:
- 等级保护:GB/T 22239一2019《网络安全等级保护基本要求》
- 分级保护:BMB17《涉及国家秘密的信息系统分级保护技术要求》
等级保护
-
定义:信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和储存、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
-
现行标准:目前正在实行的是等级保护2.0版本(GB/T 22239一2019),是公安部第三研究所(公安部信息安全等级保护评估中心)牵头编写并落实主管工作,用来替代等级保护1.0版本(GB/T 22239-2008),该标准在2019年5月10日发布,具体实施日期是2019年12月1日,也是全行业目前都要去满足的标准。
-
主管部门:公安机关、国家保密工作部门、国家网信办及地方信息化领导小组办事机构。
-
保护谁:除了个人搭建的系统以外,其余只要有业务系统在用,像高校、金融、能源、运营商等等都要去做等级保护。(《网络安全法》2016;《数据安全法》2021;《个人信息保护法》2021。存储个人信息5000条以上的信息系统就要按照3级等保进行保护)
-
分级:等保分五级:
-
一级(自主保护)
-
二级(指导保护)
-
三级(监督保护)
-
四级(强制保护)
-
五级(专控保护)
依次升高,其中二级三级为最常见的定级区间。
-
等保的要求
以第二级基本要求为例
- 技术要求
- 物理安全
- 物理位置的选择
机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。 - 物理访问控制
本项要求包括:- 机房出入口应安排专人值守,控制、鉴别和记录进入的人员。
- 需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围。
- 防盗窃和防破坏
本项要求包括:- 应将主要设备放置在机房内。
- 应将设备或主要部件进行固定,并设置明显的不易除去的标记。
- 应将通信线缆铺设在隐蔽处,可铺设在地下或管道中。
- 应对介质分类标识,存储在介质库或档案室中。
- 主机房应安装必要的防盗报警设施。
- 防雷击
本项要求包括:- 机房建筑应设置避雷装置。
- 机房应设置交流电源地线。
- 防火
机房应设置灭火设备和火灾自动报警系统。 - 防水和防潮
本项要求包括:- 水管安装,不得穿过机房屋顶和活动地板下。
- 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透。
- 应釆取措施防止机房内水蒸气结露和地下积水的转移与渗透。
- 防静电
关键设备应采用必要的接地防静电措施。 - 温湿度控制
机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。 - 电力供应
本项要求包括:- 应在机房供电线路上配置稳压器和过电压防护设备。
- 应提供短期的备用电力供应,至少满足关键设备在断电情况下的正常运行要求。
- 电磁防护
电源线和通信线缆应隔离铺设,避免互相干扰。
- 物理位置的选择
- 物理安全
分级保护
- 定义:涉密信息系统分级保护是指涉密信息系统的建设使用单位根据分级保护管理办法和有关标准,对涉密信息系统分等级实施保护,各级保密工作部门根据涉密信息系统的保护等级实施监督管理,确保系统和信息安全。
- 现行标准:目前在用的是BMB17《涉及国家秘密的信息系统分级保护技术要求》规范,是由国家保密局牵头编写并发布。属于强制执行。
- 主管部门:国家保密局及地方各级保密局。
- 保护谁:只要是涉及国家秘密的都需要去做分级保护。
- 分级:分级保护分3个级别,涉密信息系统应根据所处理信息的最高密级,由低到高划分为:
- 秘密
- 机密
- 绝密
分保的要求
以涉密网络物理安全为例
- 从物理安全需求来分析,物理环境的安全是整个涉密网络安全得以保障的前提。
- 要保护网络设备、设施、介质和信息免受自然灾害、环境事故以及人为物理操作失误或错误及各种物理手段进行违法犯罪行为导致的破坏、丢失。
- 涉密网络必须要具备环境安全、设备安全和介质安全等物理支撑环境,切实保障实体的安全。
- 确保系统内的环境安全,设备的物理安全,机房和配线间的环境安全,防止设备被盗、被破坏。
- 保证涉密网络与非涉密网络的物理隔离。
- 防止设备产生的电磁信息通过空间辐射和传导泄漏。
- 保障涉密介质在使用、保存、维护方面的安全。
网络安全
协议层的安全漏洞
- 网络层(IP层)协议漏洞
- 传输层(TCP层)协议漏洞
- 应用层协议漏洞
网络层(IP层)协议漏洞
IP协议在当初设计时并没有过多地考虑安全问题,而只是为了能够使网络方便地进行互联互通,因此IP协议从本质上就是不安全的。
仅仅依靠IP头部的校验和字段无法保证IP包的安全(修改IP包并重新正确计算校验和是很容易的)。
如果不采取安全措施,IP通信会暴露在多种威胁之下。
面临的威胁: 窃听、 篡改、 IP地址欺骗、 重放攻击法。
-
IP地址欺骗:由1和2 推导出一个结论:IP地址可以被伪造。
- IP数据包本身不能保证自身没有被破坏。
- IP数据包非顺序传递。
-
重放攻击(以网站登陆为例)
- 用户输入:账号、密码,点击登录。
- 请求前的动作:web端首先通过客户端脚本如javascript对密码原文进行md5加密。提交账号+md5之后的密码
- 请求后的动作:后端验证账号密码(是/否)数据库中存储的账号密码,若一致则认为登录成功,反之失败。
- 监听者无需解密出密码明文即可登录!监听者只需将监听到的url(如:http://****/login.do?method=login&password=md5之后的密码&userid=登录账号)重放一下,即可冒充你的身份登录系统。
-
ARP协议漏洞
- ARP协议及其实现中缺少检查ARP包被伪造包的处理。
- 对ARP高速缓存的更新不严密。
问题:- ARP欺骗:如果攻击者暂时使用不工作的主机的IP地址,就可以伪造IP-物理地址对应关系对,把自己伪装成象那个暂时不使用的主机一样。
- ARP攻击:攻击者可以发送大量的ARP请求包,阻塞正常网络宽带,使局域网中有限的网络资源被无用的广播信息所占用,造成网络拥堵。
传输层(TCP层)协议漏洞
- TCP握手机制及其漏洞
- 不应答
- 伪源
关于TCP/IP 协议脆弱性的小结
- IP层的主要缺陷是缺乏有效的安全认证和保密机制,其中最主要的因素就是IP地址问题。
- 缺乏对IP地址的保护,缺乏对IP包中源IP地址真实性的认证机制与保密措施。这也就是引起整个TCP/IP协议不安全的根本所在。
应用层协议漏洞
网络安全封装协议
- 网络层安全协议 - IPSec
- 传输层安全协议 - SSL
- 应用层安全协议 - SSH
网络层安全协议 - IPSec
- 前提:IP协议之所以如此不安全,就是因为IP协议没有采取任何安全措施,既没有对数据包的内容进行完整性验证,又没有进行加密。
- 定义:IPSec(IP Security)是一种由IETF设计的端到端的确保IP层通信安全的机制。
- IPSec不是一个单独的协议,而是一组协议,这一点对于我们认识IPSec是很重要的。
- 1995年8月发布IPSec 1.0,1998年11月发布了IPSec 2.0,同时支持IPv4和IPv6,它规定了:
- IPSec的整体结构(RFC4301,2411)
- IPSec协议(认证与加密)(RFC2403,4302,4303,4305)
- 密钥管理协议(RFC4304, 4306,2412)
- IPSec的功能
- 保证数据来源可靠(身份鉴别)
- 保证数据完整性
- 保证数据机密性
- 作为一个隧道协议实了VPN通信
IPSec协议体系:
- 认证头AH,Authentication Header
- 封装安全载荷ESP,Encapsulating Security Payload
- 密钥交换协议IKE,Internet Key Exchange
注意这些协议的使用均可独立于具体的加密算法
认证头AH
Authentication Header
-
AH(Authentication Header)为IP数据包提供如下3种服务:
- AH协议提供完整性验证
- 数据源认证
- 抗重放保护服务
-
不提供保密性服务
-
AH使用消息认证码(MAC)对IP进行认证。
序列号
Sequence Number Field
单调增加的32位无符号整数,利用该域抵抗重发攻击(Replay Attack)
安全参数索引SPI
Security Parameters Index
此32比特和目的IP地址、IPSec协议(AH或ESP)组合即可确定SA,以确定采用的IPSec协议、操作模式、密码算法、密钥等。
认证数据
Authentication Data Variable
是一个长度可变的域,长度为32比特的整数倍。
具体格式因认证算法而异 。该认证数据也被称为数据报的完整性校验值(ICV)。
- AH协议使用消息认证码(采用MAC算法)对IP数据进行认证;(消息认证码 MAC (Message Authentication Code)是一种消息认证技术)
ESP 3+2服务
Encryption Service Payload
3+2服务(除了为IP数据包提供AH已有的3种服务外+提供另外两种加密服务),加密是ESP的基本功能。
-
数据包加密,是指对一个IP包进行加密,可以是对整个IP包,也可以只加密IP包的载荷部分,一般用于客户端计算机。
-
数据流加密,一般用于支持IPSec的路由器,源端路由器并不关心IP包的内容,对整个IP包进行加密后传输,目的端路由器将该包解密后将原始包继续转发。
安全参数索引(SPI)
-
此32比特和目的IP地址、IPSec协议(AH或ESP)组合即可确定SA,以确定采用的IPSec协议、操作模式、密码算法、密钥等。
-
SPI是为了唯一标识SA而生成的一个32位整数。包含在AH头标和ESP头标中,其值1~255被IANA (The Internet Assigned Numbers Authority,互联网数字分配机构) 留作将来使用,0被保留。
有了SPI,相同源、目的节点的数据流可以建立多个SA。
IPSec中的安全组合(SA)
- 需求:认证、加密算法及其参数、密钥需要在通信双方间进行协商。
- SA:为使通信双方的认证/加密算法及其参数、密钥的一致,相互间建立的联系被称为安全组合或安全关联(Security Association)。
- SA由一个三元组唯一地标识,该三元组为安全索引参数SPI、一个用于输出处理的目的IP地址和协议(如AH或ESP)。
- SA是两个IPSec实体(主机、安全网关)之间经过协商建立起来的一种协定,内容包括采用何种IPSec协议(AH还是ESP)、运行模式(传输模式还是隧道模式)、验证算法、加密算法、加密密钥、密钥生存期、抗重放窗口、计数器等,从而决定了保护什么、如何保护以及谁来保护。可以说SA是构成IPSec的基础。
- 理解SA这一概念对于理解IPSec是至关重要的。AH和ESP两个协议都使用SA来保护通信,而IKE的主要功能就是在通信双方协商SA。
- SA是单向的,进入(inbound)SA负责处理接收到的数据包,外出(outbound)SA负责处理要发送的数据包。因此每个通信方必须要有两种SA,一个进入SA,一个外出SA,这两个SA构成了一个SA束(SA Bundle)。
安全关联数据库(SAD)
Security Association Database
并不是通常意义上的“数据库”,而是将所有的SA以三元组的数据结构集中存储的一个列表。对于外出的流量,如果需要使用IPSec处理,若相应的SA不存在,则IPSec将启动IKE来协商出一个SA,并存储到SAD中。对于进入的流量,如果需要进行IPSec处理,IPSec将从IP包中得到三元组,并利用这个三元组在SAD中查找一个SA。
-
SAD包含现行的SA条目+下面域:
- 序列号计数器:32位整数,用于生成AH或ESP头中的序列号
- 序列号溢出:是一个标志,标识是否对序列号计数器的溢出进行审核。
- 抗重放窗口:使用一个32位计数器和位图确定一个输入的AH或ESP数据包是否是重放包
- AH的认证算法和所需密钥
- ESP的认证算法和所需密钥
- ESP加密算法,密钥,初始向量(IV)和IV模式
- IPSec操作模式
- 路径最大传输单元(PMTU)
- SA生存期
IKE负责密钥管理
Internet Key Exchange协议:负责密钥管理。
- 定义了通信实体间进行身份认证、协商加密算法以及生成共享的会话密钥的方法。
- IKE将密钥协商的结果保留在安全联盟(SA)中,供AH和ESP以后通信时使用。
DOI解释域
Domain of Interpretation 解释域
为使用IKE进行协商SA的协议统一分配标识符。
共享一个DOI的协议从一个共同的命名空间中选择安全协议和变换、共享密码以及交换协议的标识符等,DOI将IPSec的这些RFC文档联系到一起。
安全策略数据库(SPD)
Security Policy Database
安全策略用于定义对数据包的处理方式,存储在SPD中;SPD中包含的实际上是一个策略条目的有序表,包括:
- 策略(是否需要IPSec处理):丢弃,绕过,加载IPSEC
- SA规范
- IPSec协议(AH or ESP)
- 操作模式
- 算法
- 对外出处理,应在SPD中查找指向SAD中SA的指针
IPSec运行模式
- 传输模式(Transport Mode): 在传输模式中,AH和ESP头标被插在IP头标及其他选项(或扩展头标)之后,但在传输层协议之前。
它保护净荷的完整性和机密性。 - 隧道模式(Tunnel Mode):在隧道模式下,AH或ESP头标插在IP头标之前,另外生成一个新的IP头放在前面,隧道的起点和终点的网关地址就是新IP头的源/目的IP地址。
保护整个IP分组
传输层安全协议-SSL
-
SSL协议是一种国际标准的加密及身份认证通信协议
-
SSL为TCP提供一个可靠的端到端安全服务,为两个通讯个体之间提供保密性和完整性(身份鉴别)。
-
SSL/TLS协议的发展(略)
SSL协议提供的服务
- SSL通过加密(DES, Triple DES, IDEA, RC2, RC4, )传输来确保数据的机密性。
- 通过消息验证码(Message Authentication Codes,MAC)机制来保护信息的完整性。
- 通过数字证书(X.509v3 )来对发送和接收者的身份进行认证。
SSL协议是一个分层的协议,共有两层组成。
- SSL协议的底层的是SSL记录层协议(SSL Record Protocol),它位于可靠的传输层协议(如TCP)之上,用于封装高层协议的数据。
- SSL握手协议(SSL Handshake Protocol)允许服务方和客户方互相认证,并在应用层协议传送数据之前协商出一个加密算法和会话密钥。
SSL协议的主要特点
- SSL协议可用于保护正常运行于TCP之上的任何应用协议,如HTTP、FTP、SMTP或Telnet的通信,最常见的是用SSL来保护HTTP的通信。
- SSL协议的优点在于它是与应用层协议无关的。高层的应用协议(如HTTP、FTP、Telnet等)能透明地建立于SSL协议之上。
- SSL协议在应用层协议之前就已经完成加密算法、通信密钥的协商以及服务器的认证工作。在此之后应用层协议所传送的数据都会被加密,从而保证通信的安全性。
- SSL协议使用通信双方的客户证书以及CA根证书,允许客户/服务器应用以一种不能被偷听的方式通信,在通信双方间建立起了一条安全的、可信任的通信通道。
- 该协议使用密钥对传送数据加密,公钥加密体制
SSL协议的会话和连接
SSL协议定义了两个通信主体: 客户(client)和服务器(server)。其中,客户是协议的发起者。
- SSL连接(connection)
- 一个连接是一个提供一种合适类型服务的传输(OSI分层的定义)。
- SSL的连接是点对点的关系。
- 连接是暂时的,每一个连接和一个会话关联。
- SSL会话(session)
- 一个SSL会话是在客户与服务器之间的一个关联。会话由Handshake Protocol创建。会话定义了一组可供多个连接共享的密码安全参数。
- 会话用以避免为每一个连接提供新的安全参数所需昂贵的协商代价。
IPsec、SSL协议比较
- 相同
两种协议都有密钥协商,加密参数的握手阶段,之后还有加密数据的传输阶段。
传输模式(TCP)下使用的IPSec与SSL行为比较接近,它为通信数据但不包括IP头信息提供认证。
- 不同
SSL用来保护在传输层(TCP)上通信的数据的安全,而IPSec除此之外还用来保护在IP层上的数据包的安全,如UDP包。
对一个已经在使用的系统,SSL不需要改动协议栈但需要改变应用层,与此相反,IPSec不需要改变应用层但需要改变协议栈。
SSL可以单向认证(仅认证服务器),但IPSEC要求双方认证。
当涉及应用层中间节点,IPSEC只能提供链接保护,而SSL提供端到端保护。
IPSec受NAT影响较为严重,而SSL可以穿过NAT而毫无影响。
应用层安全协议
S-HTTP协议
安全超文本传输协议(Secure HyperText Transfer Protocol,S-HTTP)是EIT公司结合HTTP 而设计的一种消息安全通信协议(1999年)。
S-HTTP协议处于应用层,它是HTTP协议的扩展,它仅适用于HTTP联结上,S-HTTP可提供通信保密、身份识别、可信赖的信息传输服务及数字签名等。
S-HTTP 提供了完整且灵活的加密算法及相关参数。选项协商用来确定客户机和服务器在安全事务处理模式、加密算法(如用于签名的非对称算法 RSA 和 DSA等、用于对称加解密的 DES 和RC2 等)及证书选择等方面达成一致。
SSL、S-HTTP比较
-
S -HTTP是应用层的加密协议,它能感知到应用层数据的结构;SSL是传输层协议,完全当作流来处理也就是说,S-HTTP把消息当成对象进行签名或加密 传输,而SSL则主动把数据流分帧处理,而不理会消息的边界。
-
也由于这样,S-HTTP可以提供基于消息的抗抵赖性证明,而SSL不可以。因此,S- HTTP比SSL更灵活,功能更强大。
S/MIME协议
传统电子邮件格式:RFC 5322与RFC 821(Simple Mail Transfer Protocol,SMTP)共同完成电子邮件应用,称为SMTP/5322方案。
- SMTP协议存在的问题
- SMTP无法传输可执行文件或其他类型的二进制文件。
- SMTP只能传输7-bit ASCII数据,无法传输其它编码方式的数据。
- SMTP无法传输超过一定长度的消息。
- MIME概览
- Multiple Internet Mail Extension,多用途网际邮件
扩展。 - MIME是对 RFC 5322 框架的扩展,解决了SMTP方
案的缺陷。 - MIME的新特性:
- 增加了5个新的消息头域(header field)
- MIME-Version MIME版本
- Content-Type 邮件容纳物的类型
- Content-Transfer-Encoding 邮件容纳物的传输编码方式
- Content-ID 邮件容纳物的编号
- Content-Description 邮件容纳物的描述
- 增加了5个新的消息头域(header field)
- Multiple Internet Mail Extension,多用途网际邮件
S/MIME消息
对MIME消息进行安全性加强,得到S/MIME消息。
- MIME实体:MIME消息中除RFC 5322 header之外的其它部分,其中当类型为multipart时,可以是一个或多个子部分。
- S/MIME以MIME实体为对象进行具体的签名、加密、压缩操作。
- 加密:S/MIME是利用单向散列算法(如SHA-1、MD5等)和公钥机制的加密体系。
- S/MIME的证书格式采用X.509标准格式。
SSL、S/MIME的比较
- S/MIME 协议是专门用来保护E-mail安全的,也是一种应用层加密协议。
- SMTP/SSL保护E-mail效果不是很理想,因为SMTP/SSL仅提供使用 SMTP的链路的安全,而从邮件服务器到本地的路径是用POP/MAPI协议,这无法使用SMTP/SSL来保护。
- S/MIME使用加密整个邮件的内容后使用MIME数据发送,这种发送可以是任何一种方式,摆脱了安全链路的限制只需要收发邮件的两个终端支持S/MIME即可。
无线网络安全协议
无线局域网(Wireless Local Area Network ,WLAN ):利用电磁波作为传输介质,网络信号覆盖范围都是接入点。
开放性+共享性=更高的脆弱性
- WLAN 存在的安全威胁包括:窃听、截取/修改传输数据、非授权访问等。
WLAN安全标准与协议的发展历史
-
802.11安全体系:WEP
- 访问认证
- 开放系统认证
- 共享密钥认证
- WEP加密算法:
- 核心部分是RC4流密码加密方法。
初始向量(Initial vector,IV)
- 访问认证
-
WPA安全体系:WPA 和WPA2
- WPA
- 加密: WPA的数据加密采用加强的TKIP协议。
- TKIP是通过改进WEP算法实现,核心还是RC4算法,实质是包裹在WEP加密协议的一层外壳。(意义:平滑过渡)
- 认证:基于802.1x的双向认证机制。
- 完整性: Message Integrity Check,MIC,是802.11i规范的一部分
- WPA2:是WPA的升级版
- 加密:AES算法取代了WPA中的TKIP
- 完整性检查:用CCMP (Counter Mode and Cipher Block Chaining Message Authentication Code Protocol,计数器模式及密码块链消息认证码协议)取代MIC。
- 认证: 基于802.1x的双向认证机制
- WPA
-
单向认证机制
- 因为Wi-Fi采用的是单向认证机制,手机无法辨别路由器(AP)的真伪。这就让假基站、钓鱼AP、中间人攻击有了可乘之机,一旦连上就会窃取用户信息。
-
基于802.1x的双向认证机制
- 企业使用:使用802.1x协议进行认证,安全性能高,但需要一台具有 IEEE 802.1X 功能的第三方认证服务器(RADIUS 远程用户拨号认证系统服务器)来发布不同的密钥给各个用户,随后AP与STA通过四次握手确认双方身份。
-
复习重点:WAPI(WLAN Authentication and Privacy Infrastructure)---中国人自己提出的WLAN安全标准
- WAI(WLAN Authentication Infrastructure)实现对用户身份的鉴别。
- WPI(WLAN Privacy Infrastructure)实现数据加密。
系统安全
- 操作系统安全
- 移动终端安全
- 虚拟化安全
操作系统安全
操作系统安全性的重要性:操作系统的安全是整个计算机系统安全的基础,没有操作系统安全,就不可能真
正解决数据库安全、网络安全和其他应用软件的安全问题。
操作系统面临的安全威胁:
- 恶意用户(恶意破坏系统资源或系统的正常运行,危害计算机系统的可用性);
- 病毒、黑客(破坏系统的正常运行,非授权访问计算机系统和获取系统资源和数据);
- 操作系统运行不正常。
操作系统的安全目标:
- 标识系统中的用户并进行身份鉴别;(身份鉴别);
- 依据系统安全策略对用户的操作进行存取控制,防止用户对计算机资源的非法存取;(访问控制)
- 监督系统运行的安全;(审计)
- 保证系统自身的安全性和完整性。
安全机制:
- 用户认证:确认当前正在试图登录进入系统的用户就是账户数据库中记录的那个用户。
- 访问控制
- 日志审计
- 内存保护
- 隔离控制
访问控制
-
目标:防止非法用户进入系统,防止合法用户对系统资源的非法使用。
-
方法:以用户身份认证为前提,实施各种访问控制策略来控制和规范合法用户在系统中的行为。
-
访问控制三要素:
- 主体(Subject):访问操作的主动发起者,但不一定是动作的执行者。
- 客体(Object):通常是指信息的载体或从其他主体或客体接收信息的实体。
- 安全访问规则:用以确定一个主体是否对某个客体拥有某种访问权力。
-
基本访问控制模型:
- 访问控制矩阵(ACM,Access Control Matrix)
- 访问控制表(ACL,Access Control List)
- 访问能力表(Access Capability List)
内存保护
- 防止对内存的未授权访问。
- 防止对内存的错误读写。
- 防止不当操作破坏内存数据区、程序区或系统区。
- 防止不同用户的内存区域互不影响。
- 将用户与内存隔离,不让用户知道数据或程序在内存中的具体位置。
隔离控制
- 物理隔离
- 时间隔离
- 逻辑隔离
- 加密隔离
移动终端安全(略)
虚拟化安全
虚拟化的核心理念:以透明的方式提供抽象的底层资源。
虚拟化的类型
- 基础设施虚拟化
- 系统虚拟化
- 桌面虚拟化
- 软件虚拟化
虚拟化的目标(为什么要虚拟化)
- 降低运营成本
- 提高应用兼容性
- 加速应用部署
- 提高服务可用性
- 提升资源利用率
- 动态调度资源
- 降低能源消耗
发展方向:虚拟化技术在系统组织,降低系统操作代价,改进硬件资源的效率、利用率以及灵活性方面扮演着主要的角色。
安全问题的叠加:然而,虚拟化技术本身不仅面临着传统网络已有的安全威胁,还面临着自身引入的安全问题。
但是也可以这样说,虚拟化即引入了新的问题,本身也是问题的解决方案:由于虚拟化技术带来的资源分割独立的优势,它也在构建安全策略中扮演着重要的角色。
应用安全
恶意代码
- 恶意代码:泛指所有恶意的程序代码,是一种可造成目标系统信息泄露和资源滥用,破坏系统的完整性及可用性,违背目标系统安全策略的程序代码。包括计算机病毒(Virus)、蠕虫(Worm)、木马程序(Trojan Horse)、后门程序(Backdoor)和逻辑炸弹(Logic Bomb)等。
- 恶意代码的特征包括三个方面:
- 带有恶意的目的。
- 本身是计算机程序。
- 一般通过执行来发挥作用。
- 恶意代码分类
- 后门:进入系统或程序的一个秘密入口。
- 逻辑炸弹:一段具有破坏性的代码,事先预置于较大的程序中,等待某扳机事件发生触发其破坏行为。
- 木马:一段吸引人而不为人警惕的程序,但它们可以执行某些秘密任务。
- 病毒:附着在其他程序上的可以进行自我繁殖的代码。
- 蠕虫:一种具有自我复制和传播能力、可独立自动运行的恶意程序。
- 严格地从概念上讲,计算机病毒只是恶意代码的一种。实际上,目前发现的恶意代码几乎都是混合型的计算机病毒。
- 美国计算机研究专家最早提出了“计算机病毒”的概念:计算机病毒是一段人为编制的计算机程序代码。
- 1994年2月28日,我国出台的《中华人民共和国计算机安全保护条例》对病毒的定义如下:“计算机病毒是指编制或者在计算机程序中插入的、破坏数据、影响计算机使用,并能自我复制的一组计算机指令或者程序代码”。
计算机病毒
计算机病毒的结构:
- 潜伏机制
- 包括初始化、隐藏和捕捉
- 传染机制
- 包括判断和感染。先是判断候选感染目标是否已被感染,可以通过感染标记来判断候选感染目标是否已被感染。
- 表现机制
- 包括判断和表现。表现机制首先对触发条件进行判断,然后根据不同的条件决定什么时候表现、如何表现。
计算机病毒的特点:
- 刻意编写人为破坏
- 自我复制能力
- 夺取系统控制权
- 隐蔽性
- 潜伏性
- 不可预见性
计算机病毒的破坏行为:
-
攻击系统数据区
-
攻击文件
-
攻击内存
-
干扰系统运行,使运行速度下降
-
干扰键盘、喇叭或屏幕等硬件
-
攻击CMOS
-
网络病毒破坏网络系统
计算机病毒的分类和传播:
- 文件病毒
- 引导扇区病毒
- 多裂变病毒
- 秘密病毒
- 异形病毒
- 宏病毒
计算机病毒的传播:
计算机病毒通过某个入侵点进入系统来感染该系统。最明显的也是最常见的入侵点是从工作站传到工作站的软盘。计算机网络系统中的入侵点包括:
- 服务器
- E - mail附加部分
- B B S上下载的文件
- 3 W站点
- FTP文件下载
- 共享网络文件及常规的网络通信
- 盗版软件
- 示范软件
- 电脑实验室和其它共享设备
病毒一旦进入系统以后,通常用以下两种方式传播:
- 通过磁盘的关键区域。
- 在可执行的文件中。
WEB应用安全
Web应用安全的目标:
- 保护Web服务器及其数据的安全
- 保护Web服务器和用户之间传递信息的安全
- 保护终端用户计算机及其他连接入Internet的设备的安全
Web安全技术
-
Web服务器安全技术
-
安全配置(参见配置规范文档范例)
-
网页防篡改技术
网页防篡改软件又称网站恢复软件,是用于保护网页文件,防止黑客篡改网页(篡改后自动恢复)的软件,其使用的防篡改技术归纳列举如下:- 定时循环扫描技术(即“外挂轮询”):使用程序按用户设定的间隔,对网站目录进行定时扫描比对,如果发现篡改,就用备份进行恢复。
- 事件触发技术:使用程序对网站目录进行实时监控,稍有“风吹草动”就进行检查是否是非法篡改。
- 核心内嵌(数字水印)技术:在用户请求访问网页之后,在系统正式提交网页内容给用户之前,对网页进行完整性检查。
- 文件过滤驱动技术:采用系统底层文件过滤驱动技术,拦截与分析IRP(I/O Request Packet)流。
-
反向代理技术
反向代理服务器位于用户与目标服务器之间,但是对于用户而言,反向代理服务器就相当于目标服务器,即用户直接访问反向代理服务器就可以获得目标服务器的资源。- 安全性
- 外部网络用户通过反向代理访向内部服务器,只能看到反向代理服务器的IP地址和端口号,内部服务器对于外部网络来说是完全不可见。
- 反向代理服务器上没有保存任何的信息资源,所有的网页程序都保存在内部服务器上,对反向代理服务器的攻击并不能使真的网页信息系统受到破坏,这样就提高了内部服务器的安全性。
- 提高访问速度
- 节约IP资源
- 安全性
-
蜜罐技术
蜜罐技术,是防御方尝试改变攻防博弈不对称性而提出的一种主动防护技术。蜜罐是一类安全资源,其价值就在于被探测、被攻击及被攻陷。
被动安全防护
- 加密
- VPN
- 防火墙
- IDS
主动安全防护
- 漏扫+补丁分发系统(扫描脚本、补丁延迟)
- 入侵防御系统IPS(已知攻击特征库,傻瓜式)
-
-
Web应用服务安全技术
-
身份认证技术
身份认证作为电子商务、网络银行应用中最重要的安全技术,目前主要有三种形式:简单身份认证(帐号/口令)、强度身份认证(公钥/私钥)、基于生物特征的身份认证。
-
访问控制技术
指通过某种途径,准许或者限制访问能力和范围的一种方法。通过访问控制,可以限制对关键资源和敏感数据的访问,防止非法用户的入侵和合法用户的误操作导致的破坏。
-
数据保护技术
主要采用的是数据加密技术。
-
安全代码技术
指的是在应用服务代码编写过程中引入安全编程的思想,使得编写的代码免受隐藏字段攻击、溢出攻击、参数篡改攻击的技术。
-
-
Web浏览器安全技术
-
浏览器实现升级
用户应该经常使用最新的补丁升级浏览器。
-
Java安全限制Java在最初设计时便考虑了安全。如Java的安全沙盒模型(security sand box model) 可用于限制哪些安全敏感资源可被访问,以及如何被访问。
-
SSL加密(Secure Sockets Layer 安全套接层)
SSL可内置于许多Web浏览器中,从而使能在Web浏览器和服务器之间的安全传输。在SSL 握手阶段,服务器端的证书可被发送给Web 浏览器,用于认证特定服务器的身份。同时,客户端的证书可被发送给Web 服务器,用于认证特定用户的身份。
-
中间件安全
开放系统与互操作性概述
现代应用系统的基本特征:
- 分布
- 异构
- 动态协作
互操作性的定义:在一个由异质实体构成的网络环境中,当应用在网络的结点上运行时,它可以透明地使用网中其他结点上的资源,并借助这些资源与本结点上的资源共同来完成某个或某组任务。
互操作性的本质:从异质环境(异种体系结构、异种操作系统、异种网络等)中获得资源的透明使用能力。
- 面向计算资源的互操作性
- 面向信息资源的互操作性(如数据库)
中间件及其安全问题
中间件(Middleware)是一种软件,处于系统软件(操作系统和网络软件)与应用软件之间,它能使处于应用层中的各应用成分之间实现跨网络的协同工作(也就是互操作),即允许各应用软件之下所涉及的“系统结构、操作系统、通信协议、数据库和其它应用服务”各不相同。
中间件的分类:
-
数据访问中间件(DAM)
-
远程过程调用中间件(RPC)
-
消息中间件(MOM)
-
对象请求代理中间件(ORB)
-
事务处理中间件(交易中间件,TPM)
WEB中间件安全问题
web服务器:IIS、Apache、nginx、tomcat、weblogic、websphere等。
web中间件:apache tomcat、BEA WebLogic、IBM WebSphere等。
web容器:JSP容器、SERVLET容器、ASP容器等。
- JBoss漏洞:JBoss这是一个基于JavaEE的应用服务器,与tomcat类似的是jboss也有远程部署平台,但不需要登陆。除了远程部署漏洞外,jboss还存在反序列化漏洞,这里不再详述。
- WebLogic漏洞与防护:weblogic是一个基于JavaEE构架的中间件,安装完weblogic默认会监听7001端口。
数据安全(少)
数据安全的要素(数据库安全需求和目标):
- 保密性(Confidentiality):保密性要求包括访问控制、用户认证、审计跟踪、数据加密等内容
- 完整性(Integrity):完整性包括数据的正确性、有效性和一致性。
- 可用性(Availability):可用性的表述和上面的内容类似同义反复
数据安全的组成:
- 数据本身安全
- 数据防护安全
- 数据处理的安全
- 数据存储的安全
数据库面临的安全威胁:
- 数据错误
- 软硬件故障与灾害破坏
- 缺乏保护机制
- 管理漏洞
- 黑客攻击
- 不掌握数据库核心技术
- 敏感数据的泄露问题
数据库安全策略:
- 安全策略是安全体系结构中的重要组成部分。安全策略是一组规定如何管理、保护和指派敏感信息的法律、法规和实践经验的集合。
- 安全模型也被称为策略表达模型,是一种对安全需求与安全策略的抽象概念模型。
- 数据库安全模型是系统安全模望在数据库系统中的一种特殊表达形式,是安全策略在数据库系统中的表达模型,它描述了数据库系统中的安全需求与安全策略。
NAS的缺点
- 只适用于较小网络规模或者较低数据流量的网络数据备份。因为NAS仍使用应用网络进行备份和恢复,LAN除了处理正常的最终用户传输流外,还必须处理包括备份的存储磁盘请求。
- 投资成本较高(后期扩容成本高)而可靠度不高, 一般文件服务器没有高可用配置,存在单点故障
第四章 - 网络空间安全风险分析与评估
网络安全的实质
网络安全保护的实质是风险管理(包括识别、分析与管控),直接目的是控制安全风险。“风险”及其相关概念构成了影响网络安全的主要因素,他们不但揭示了网络安全问题产生的原因,也因此导出了网络安全问题的解决方案。
使命:组织任务目标
资产:基于信息系统的能力和价值总和,是被保护的对象。
资产价值:对资产在敏感度、重要度、关键度的衡量和表示。
威胁:组织可能会受到的侵害(主体、能力、资源、动机、途径、可能性、后果)。
脆弱性:资产和安全措施在安全方面的不足和弱点。又称为漏洞。
事件:实际产生的危害的情况称为事件。
风险:安全事件发生的可能性和影响。
残余风险:采取安全措施后,仍然可能存在的风险。
安全需求:为保证组织使命的行使,在安全措施方面提出的要求。
安全措施:实践、规程、机制的总称,目的是对付威胁、减少脆弱性、保护资产。
图中的风险要素及属性之间存在着以下关系:
- 业务战略的实现对资产具有依赖性,依赖程度越高,要求其风险越小;
- 资产是有价值的,组织的业务战略对资产的依赖程度越高,资产价值就越大;
- 风险是由威胁引发的,资产面临的威胁越多则风险越大,并可能演变成为安全事件;
- 资产的脆弱性可能暴露资产的价值,资产具有的脆弱性越多则风险越大;
- 脆弱性是未被满足的安全需求,威胁利用脆弱性危害资产;
- 风险的存在及对风险的认识导出安全需求;
- 安全需求可通过安全措施得以满足,需要结合资产价值考虑实施成本;
- 安全措施可抵御威胁,降低风险;
- 残余风险有些是安全措施不当或无效,需要加强才可控制的风险;而有些则是在综合考虑了安全成本与效益后不去控制的风险;
- 残余风险应受到密切监视,它可能会在将来诱发新的安全事件。
从物理角度对威胁、脆弱性和风险三者之间的相互作用给出进一步解释:
- 通过安全措施来对资产加以保护,对脆弱性加以弥补,从而可降低风险;
- 实施了安全措施后,威胁只能造成残余风险;
- 往往需要多个安全措施共同起作用;
- 在某些情况下,也可能会有多个脆弱性被同时利用;
- 脆弱性与威胁是独立的,威胁要利用脆弱性才能造成安全事件,但有时,某些脆弱性可以没有对应的威胁;
- 采取安全措施的目的是控制风险,将残余风险限制在能够接受的程度上;
风险控制
风险控制就是对网络和信息系统进行安全防护的过程
常见的风险控制措施:
- 风险降低
- 风险承受
- 风险规避
- 风险转移
风险分析与评估
- 风险控制的核心是风险识别。
- 风险的识别是围绕资产、脆弱性和威胁的识别展开的。
风险分析评估的目的意义是建立风险管理体系
- 风险管理是指通过风险评估标识系统中的风险、解释风险 并实施计划以降低风险至可接受程度的一个持续过程。
- 风险评估是风险管理的一个重要环节,是分析评价信息系 统安全状态的重要方法和工具。
风险分析:资产识别
资产识别的过程就是组织的业务工作逐步分解成定性、定量的资产安全性分析,即将组织的业务安全映射成资产的安全,使得我们能够科学地把我组织的业务安全需求及其变化。
-
资产识别的过程:资产分类→资产赋值
-
资产分类的方法:自然形态分类法、信息形态分类法
资产赋值分解为:
- 保密性赋值
- 完整性赋值
- 可用性赋值
之后在此基础上综合分析得出资产的重要性等级。
风险分析:威胁识别
- 威胁(threat),指可能导致对系统或组织危害的事故的潜在起因;
- 威胁识别(threat recognition),指分析事故潜在起因的过程。
- 威胁识别的过程:威胁分类→威胁赋值
- 威胁识别方法形象讲就是“植树”、“剪枝”、“统计”
- “植树”、“剪枝”:(威胁分类)
使用威胁树来逐一细化各种威胁因素。 - “统计”:(威胁赋值)
- 对威胁分类之后,需要对这些威胁进行“定量”刻画,也就是威胁赋值。
- 威胁赋值的依据是对各种威胁发生的频率进行统计。
- 判断威胁出现频率,需要结合以下三个方面:
- 通过被评估对象体的历史故障报告或记录,统计各种发生过的威胁和其发生频率;
- 通过网管或安全管理系统的数据统计和分析;
- 通过整个社会同行业近年来曾发生过的威胁统计数据均值。
- “植树”、“剪枝”:(威胁分类)
风险分析:脆弱性识别
- 脆弱性(vulnerability),指可能被威胁所利用的资产或若干资产的薄弱环节;
- 脆弱性识别(vulnerability recognition),指分析和度量可能被威胁利用的资产薄弱环节的过程。
- 脆弱性识别分为:脆弱性发现→脆弱性分类→脆弱性验证→脆弱性赋值
- 脆弱性发现:根据每一个具体的资产寻找其脆弱性。
- 注意事项
- 谨慎挑选扫描工具
- 多方验证扫描结果
- 不要盲从扫描结论
- 既要树木又要森林
- 注意事项
- 脆弱性分类:
- 技术脆弱性(物理环境、网络结构、系统软件、应用中间件、应用系统)
- 管理脆弱性(技术管理、组织管理)
- 脆弱性验证:在线验证、仿真验证、对脆弱性的客观态度
- 脆弱性赋值:很低(1)~很高(5)
- 脆弱性发现:根据每一个具体的资产寻找其脆弱性。
风险分析评估
风险分析(Risk Analysis),指依据国家有关标准对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行分析和评价的过程,它要分析资产面临的威胁及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。
风险分析的方法是:在资产识别、威胁识别和脆弱性识别的基础上进行风险计算,对风险进行定级,提出相应的风险控制措施(也就是安全解决方案)。
- 风险管理
风险管理是识别信息系统中的漏洞和潜在的威胁,采取适当的措施减少风险,确保信息系统机密性、完整性和可用性。
风险计算
风险计算公式的形式化表示:风险值=R(A,T,V )
R : 风险计算函数
A(Asset):资产
T(Threat):威胁
V(Vulnerability):脆弱性
分析值的常用计算=R(L(T,V),F(Ia,Va))
Ia:安全事件所施加的资产的价值
Va:资产脆弱性的严重程度
L :威胁利用资产脆弱性的可能性
F :被成功利用之后所造成的的损失
L (T,V):安全事件的可能性,T 威胁出现的频率,V 脆弱性
F (Ia,Va):安全事件造成的损失
常用风险值的计算方法—相乘法
矩阵法风险分析大题
第五章 - 我国网络空间安全标准与防护
网络空间安全体系:法律体系、标准体系
法律体系
-
网络安全法律体系是由保障网络安全的法律、行政法规和部门规章等多层次规范相互配合的法律体系。
-
网络安全法律体系重点涵盖网络主权、网络关键基础设施保护、网络运行安全、网络监测预警与应急处置、网络安全审查、网络信息安全以及网络空间各行为主体权益保护等制度
-
网络安全法律在国家治理体系和治理能力现代化以及全球互联网治理体系变革中处于关键地位,既要规制危害网络安全的行为,又要通过促进网络技术的发展以掌控网络的新技术,从而保障我国的网络空间安全,最终目标是维护国家网络空间主权、安全和发展利益。
存在的主要问题:
- 结构不合理,现有法律法规层级低,欠缺上位法和体系化架构设计;
- 政出多门,立法过于分散,部门立法、地方立法缺乏统筹,难以适应网络法治特点和规律
- 针对性和操作性不强,执法能力相对滞后
- 制度落后于技术,立法重管理轻治理,重义务轻权利,缺乏对我国参与互联网国际事务的有效支持;
- 公民个人权益缺乏法律保护
- 网络立法人才极度欠缺,学科支撑基础薄弱。
标准体系
标准是对重复性事物和概念所做的统一规定,它以科学、技术和实践经验的综合成果为基础,经有关方面协商一致,由主管机构批准,以特定形式发布,作为共同遵守的准则和依据。
标准体系分类:
-
国家标准
-
行业标准
-
地方标准
-
团体标准
-
企业标准
我国网络安全标准化
-
网络安全标准化的意义和作用
网络安全标准化是国家网络安全保障体系建设的重要组成部分,在构建安全的网络空间、推动网络治理体系变革方面发挥着基础性、规范性、引领性的作用。 -
组织机构
- “全国信息安全标准化技术委员会”,简称信安标委(TC260),英文名称:China Information Security standardization Technical Committee(英文缩写 CISTC),对口“ISO/IEC JTCI SC27”
信安标委启动了7个工作组和1个特别工作组。- WG1:信息安全标准体系与协调工作组;
- WG2:涉密信息系统安全保密标准工作组;
- WG3:密码技术工作组
- WG4: 鉴别与授权工作组
- WG5:信息安全标准工作组
- WG6:通信安全标准工作组
- WG7:信息安全管理工作组
- SWG-BDS: 大数据安全标准特别工作组
- “全国信息安全标准化技术委员会”,简称信安标委(TC260),英文名称:China Information Security standardization Technical Committee(英文缩写 CISTC),对口“ISO/IEC JTCI SC27”
-
其他组织机构
- 公安部计算机信息系统安全标准化技术委员会
- 中国通信标准化协会网络与信息安全技术工作委员会
- 密码行业标准化技术委员会
-
标准制定流程
-
工作成果
- 数量:至2021年6月,据全国信息安全标准化技术委员会(TC260)官方网站公布的统计结果,目前我国已发布的国家标准共323项,其中,GB(强制)标准1项、GB/Z(指导)标准15项,GB/T(推荐)标准307项。
- 服务:管理服务平台、资源库。
- 作用:技术支撑和重要依据。
-
与我国网络安全标准化工作有关的重要政策
2016年,中央网信办《关于加强国家网络安全标准化工作的若干意见》(中网办发文【2016】5号) -
重要意义:
- 建立统筹协调
- 加强标准体系
- 提升标准质量和基础能力
- 强化标准宣传实施
- 加强国际标准化工作
- 抓好标准化人才队伍建设
- 做好资金保障
国外网络安全标准化组织(略)
ISO/IEC JTCI SC27:网络安全领域最权威和得到国际最广泛认可的标准化组织
网络安全标准化组织:
- 国际标准化组织(ISO)
- 国际电工委员会(IEC)
- 国际电信联盟(ITU)
- Internet工程任务组(IETF)
- 电气和电子工程师学会(IEEE)
- 欧洲计算机制造商协会(ECMA)
- 美国国家标准局(NBS)
- 美国国家标准协会(ANSI)
我国安全评估等级保护标准(GB 17859)
- 我国从上世纪90年代初期开始酝酿计算机信息系统的等级保护,其思想直接来源于当时这些等级保护的事实上或者国际标准。
- 1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》第9条规定“计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。”在该《条例》发布实施之后,公安部就会同有关部门着手开始了计算机信息系统安全等级保护的研究和准备工作。
- 1999年9月13日,《计算机信息系统安全保护等级划分准则》
我国保密标准和涉密信息系统分级保护(《国家保密法》)
《国家保密法》
- 1988年9月5日第七届全国人民代表大会常务委员会第三次会议通过
- 2010年4月29日第十一届全国人民代表大会常务委员会第十四次会议修订
- 2014年3月1日《中华人民共和国保守国家秘密法实施条例》
- 我国保密标准的发展是在《保密法》实施后展开的
保密标准体系框架
第六章 - 等级保护
等级保护是我国网络安全保障的基本制度、基本策略、基本方法,是保护信息化健康发展、维护国家网络空间安全的根本保障。
随着我国《网络安全法》的出台,以及云计算物联网等新技术、新应用的普及,等级保护制度进入了2.0时代,实现了从“信息安全等级保护”到“网络安全等级保护”的变更。
- 第一级用户自主保护级
- 第二级系统审计保护级
- 第三级安全标记保护级
- 第四级结构化保护级
- 第五级访问验证保护级
从自主访问控制、强制访问控制、标记、身份鉴别、客体重用、审计、数据完整性、隐蔽信道分析、可信路径、可信恢复十个方面,采取逐级增强的方式提出了计算机信息系统的安全保护技术要求。
第七章 - 可信计算
可信计算(trusted computing)技术成为信息安全领域的新元素,并在实践中不断探索和发展。(被动→主动)
可信=可靠+安全
- 造成现在计算机安全问题的底层根源
计算机体系结构最初设计时只追求速度,并没有考虑安全因素,所以造成现在的安全思路是从增加防护的角度出发考虑。 - 解决思路
从源头抓安全,即从计算机的体系结构上考虑问题,从根本上解决。
思路(了解):首先建立一个信任根,信任根的可信性由物理安全和管理安全确保,再建立一条信任链,从信任根开始到硬件平台、到操作系统、再到应用,一级认证一级,一级信任一级。从而把这种信任扩展到整个计算机系统。
自主可信平台架构
TPCM(中国方案)对硬件和可信软件栈(TSS: Trusted Software Stack)架构做了较大的改动。TPCM最大的优点是可以做主动度量,但在计算主机上尚未商业化和产品化成熟。
- 沈昌祥院士提出可信3.0的概念
- 自主可信平台架构(TPCM)
我国面临的问题是计算机核心部件不掌握在我们手中,希望利用可信计算芯片成为我们整个安全的一个或者可信的起点,实现对不可信的东西进行监控。
——我们的没有根基
中国可信计算革命性创新
等保2.0将可信提升到一个新的强度。在等保一到四级都有可信的要求,主要在三个领域:
- 计算环境可信
- 网络可信
- 接入可信。
可信计算平台技术规范:可信计算密码支撑平台功能架构(TCP/TPM)
可信计算平台密码方案:
- 密码与可信计算平台的关系(支撑作用)
- 密钥管理
- 证书管理
可信平台控制模块(TPCM):可信计算标准族 :“1+4+4”
- “1”指的是可信密码
- “4”指的是四个主体标准:可信平台控制模块(TPCM)、可信平台主板、可信平台基础支撑软件和可信网络连接
- “4”指的是四个配套标准:可信计算规范体系结构、可信服务器、可信存储和可信计算机可信性测评。
整个标准框架构建了以中国密码为基础、以自主可控可信平台控制模块(TPCM)为信任根的可信计算支撑体系。