网安基础01

网安概述

  • 网安的三种基本需求 [ CIA ]
    • 保密性 (Confidentiality)
    • 完整性 (Integrity)
    • 可用性 (Availability)

网安体系结构

  • 安全服务:可理解为安全需求的一种表示
  • 安全机制:能够提供一种或多种安全服务的、与具体的实现方式无关的切一半不能再细分的安全技术的抽象表示。[ 安全机制一般是”原子“级,很少交叉 ]
  • 安全产品则是一种或者多种安全机制的具体实现

安全服务

ISO7498-2共列举了5类安全服务
鉴别

  • 鉴别服务是对通信中对等实体和数据来源的鉴别。

  • 对待实体鉴别是对通信中的对等实体是所需要的实体,这种服务建立连接时或在数据传送阶段提供使用,以真实连接实体的身份,此类服务确保一个实体没有试图冒充其他实体

访问控制
  • 访问控制决定了什么实体可以访问什么资源,以防止未授权的实体访问系统内的资源。
数据完整性
  • 数据完整性服务用来对付试图破坏/篡改信息资源的主动威胁,从而能够防止或检测信息资源受到篡改等破坏。
  • 从技术手段而言,有的完整性服务可在数据被短发后予以恢复,有些则只能检测到被自发的情况
抗抵赖
  • 又称不可否认性,主要表现以下两种形式:
    • 原发抗抵赖,即数据发送者无法否认其发送数据的事实。
    • 接受抗抵赖,数据接收者事后无法否认其接收数据的事实。
加密机制
  • 加密即能为数据提供保密必一,也能为通信业务流信息提供保密性
数字签名机制
  • 数字签名机制分为两个流程,一是签名过程,二是验证签名过程
  • 签名过程是使用签名者所私有的信息,以保证签名的唯一性
  • 验证签名过程所用的程序与信息是公之于众的,以便每个人都可以验证该签名,但无法从签名中推断出签名者的私有信息

安全控制机制

访问控制机制
  • 访问控制即是一种服务,也是一种具体的机制。为了判断一个实体是否具有访问权,访问控制机制可以使用该实体已经鉴别过的身份( 如登录系统后的身份、或实体属于某个一直具有权限的组织 ) 进行访问控制
  • 如果该实体试图访问非授权的资源,那么访问控制功能回拒绝其企图,还会产生日志等警告
  • 访问控制建立在一下集中手段之上:
    1. 访问控制列表[ACL]
    2. 鉴别信息
    3. 试图访问的时间
    4. 试图访问的持续时间
    5. 试图访问的地址[IP]
数据完整性机制
  • 数据完整性分两个方面:一是数据单元的完整性吗,二是数据流的完整性
    • 数据单元的完整性涉及两个过程,一是发送实体,另一个是接受实体。发送实体给数据单元附加上一个量(通常是哈希值),并且这个量本身可以被加密;接受实体根据数据单元产生一个相应的量,且与发送方的量进行比较,以此确定发送的数据是否受到篡改
    • 数据流完整新可以采取顺序号、时间标记或密码链等手段
鉴别交换机制
  • 鉴别交换是通信过程中一方鉴别另一方身份的过程。常见的实现方式有:口令鉴别、数据加密确认、通信中的“握手”协议、数字签名和公证机构辨认,以及通过利用该实体特征鉴别(如语音或指纹识别)
通信业务填充机制
  • 通信业务填充机制是指在正常通信流中增加冗余信息,能抵抗通信业务分析。这种机制往往提供通信业务的保密性业务
路由选择控制机制
  • 路由能动态的设定,以便物理上安全的子网络、中继站或链路使用。在使用时可基于安全属性,禁止某些属性的数据通过某自网络、中继站或链路,以确保这些通信网络的安全
公证机制
  • 公证机制是由于第一方和第二方互不相信,于是寻找一个双方都信任的第三方通过第三方背书在第一方和第二方之间建立信任。在网络中,数据完整性,发送方、时间和目的方身份都能通过公证机制得到确保

安全产品

防火墙

  • 所有进入内部的通信必须经过防火墙;所有经过防火墙的通信,必须经过安全策略,防火墙自身是安全可靠的,不易攻破

  • 功能

    • 访问控制功能,防火墙最基本的功能
    • 内容控制功能(如过滤垃圾邮件)
    • 安全日志功能,可以记录网络通信情况,包括什么用户在什么时间进行了什么操作
    • 集中管理功能,在一个组织中可能有多台防火墙需要集中统一管理,避免出现配置上的漏洞
    • 其他功能:如VPN(虚拟专用网络)、NAT(网络地址转换)
入侵检测系统(Intrusion Detection System,IDS)[ NIDS(监查网络数据) HIDS(监察主机数据)]
  • IDS 通过监视受保护系统或网络的状态,可发现正进行或已发生的网络攻击
  • IDS 功能
    • 监视用户和系统的活动,IDS 通过获取进出某台主的数据、网段的数据或某主机的如照顾等来监视用户和系统的活动
    • 发现入侵行为,包含两方面
      1. 通过分析用户和系统的活动,判断是否存在对系统的入侵行为
      2. 评估系统关键资源和数据文件的完整性,判断是否遭到入侵
    • 记录和报警,IDS 在检测到入侵行为后,记录乳清行为的基本情况,并采取相应的措施发出警报,甚至实现防火墙的联动
  • 入侵检测系统分类
    • 基于主机的 IDS,基于主机的 IDS 用于保护运行关键应用的主机。他通过监视与分析主机的审计记录和日志文件来检测入侵。日志中包含发生在系统上的不寻常和不期望的活动证据
    • 基于主机的 IDS 的优点:能确定攻击是否成功、监视力度更精细、配置灵活、适用于加网络、不需要额外硬件
    • 基于网络的IDS,基于网络的 IDS 主要用于实时监测网络关键路径的信息,通过侦听网络上的所有分组来分析入侵行为
    • 基于网络的IDS的优点:实时提供网络保护、可检测面向网络的攻击、不会影响现有网络的性能、更全面的监视企业网络、操作维护相对简单
    • 基于网络 IDS 的缺点:无法在加密环境中使用
恶意代码防护
  • 恶意代码就是一个计算机程序或一段程序代码,执行后完成特定的功能,但这些功能是恶意的,有破坏作用的,如计算机病毒
  • 恶意代码分类:
    • 病毒:一种靠修改其他程序来插入或进行自身复制,从而感染其他程序的一段程序,具有传染性、隐蔽性、潜伏性、多态性和破坏性等特征
    • 蠕虫,是利用操作系统漏洞进行传播,可算为病毒的一种发展
    • 特洛伊木马,指一个隐藏在合法程序中的非法程序。该非法程序被用户在不知情的情况下执行。隐藏的木马程序能实现一些功能,如删除文件、发送消息
    • 逻辑炸弹,可理解为特定逻辑条件满足时实施破坏的计算机程序,不具有类似病毒的传播性
posted @ 2022-05-01 23:15  seveN1foR  阅读(256)  评论(0编辑  收藏  举报