2019-2020-1學期20192412《網絡空間安全專業導論》第九周學習總結

第三章 網絡安全
網絡安全聚焦在保證網絡傳輸系統中的硬件，軟件以及數據資源獲得完整，準確，連續的運行
3.1 網絡安全及管理概述
3.1.1 網絡安全的概念
網絡安全包括網絡硬件資源和信息資源的安全性。
3.1.2 網絡管理的概念
目的：確保計算機網絡的持續正常運行。
從網絡管理範疇來分類：對網絡設備的管理，對接入的內部計算機，服務器等進行的管理，對行爲的管理，對網絡設備硬件資產進行管理。
3.1.3 安全網絡的特徵
1）可靠性：網絡信息系統可以在規定條件下和規定的時間內完成規定功能的特性。
硬件可靠性，軟件可靠性，人員可靠性，環境可靠性
2）可用性：網絡信息可被受權實體訪問並按需求使用的特性
可用性通常用系統正常使用時間和整個工做時間之比來度量
3）保密性：網絡信息不被泄露給非受權的用戶，實體或過程。
4）完整性：網絡信息未經受權不能進行改變的特性。
它要求保持信息的原樣，即信息必須被正確生成，存儲和傳輸。
5）可控性：對信息的傳播及內容具備控制能力。
6）可審查性：出現安全問題時提供的依據與手段。
3.1.4 常見的網絡拓撲
總線形，星形，環形和樹形。一般採用它們中的所有或部分混合的形式，而非某種單一的拓撲結構。
1.總線形
結構鏈接簡單，增長和刪除節點較爲靈活。
故障診斷難，故障隔離難，終端必須是智能的
2.星形
中央節點：轉接器，集中器，中繼器
對電纜要求大，安裝困難，拓展困難，對中央節點的依賴性大，容易出現瓶頸現象
3.環形
每一箇中繼器與兩條鏈路鏈接，每一個站點都經過一箇中繼器鏈接到網絡上。
節點的故障將會引發全網的故障，故障診斷困難，不易從新配置網絡，影響訪問協議
4.樹形
採用同軸電纜做爲傳輸介質 ，且使用寬帶傳輸技術。
3.2 網絡安全基礎
3.2.1 OSI七層模型及安全體系結構
目的：異構計算機互連提供共同的基礎和標準框架，併爲保持相關標準的一致性和兼容性提供共同的參考。
1.七層模型的組成
2.OSI協議的運行原理
3.OSI安全體系結構
3.2.2 TCP/IP協議及安全
由OSI七層模型中的網絡層IP協議和傳輸層TCP協議組成。
1.網絡層協議
1）IP協議
2）ARP
2.傳輸層協議
1）TCP
2）UDP
3.應用層協議
HTTP,HTTPS,FTP,Telnet
4.安全封裝協議
1）IPSec
IPSec安全協議工做在網絡層，運行在它上面的全部網絡通道都是加密的。
2）SSL協議
傳輸層之上，應用層之下，底層是基於傳輸層可靠的流傳輸協議
SSL協議分爲記錄層協議和高層協議
SSL工做的兩個階段：握手階段，數據傳輸階段
3）S-HTTP
S-HTTP協議處於應用層
可提供通訊保密，身份識別，可信賴的信息傳輸服務及數字簽名
4）S/MIME
MIME中的數據類型通常是複合型的，也稱爲複合數據。
3.2.3 無線網絡徹底
1.無線局域網的安全問題
無線電波
竊聽，截取，修改傳輸數據，拒絕服務
2.無線局域網安全協議
1）WEP（有線等效保密）
2）WPA（Wi-Fi網絡安全接入）
WPA從密碼強度和用戶認證兩方面入手
TKIP確保經過密鑰混合達到每一個包的TKIP密鑰都不一樣的目的
3）WPA2
WPA2實現了IEEE802.1li的強制性元素
4）WAPI
無線局域網鑑別和保密基礎結構
這是我國在這一領域向ISO/IEC提出並得到批准的惟一的以太類型號
WAI的原理
WPI的原理
3.3 識別網絡安全風險
外部因素：威脅性
內部因素：脆弱性
3.3.1 威脅
1）應用系統和軟件安全漏洞
2）安全策略
3）後門和木馬程序
4）黑客
5）安全意識淡薄
6）用戶網絡內部工做人員的不良行爲引發的安全問題
3.3.2 脆弱性
1.操做系統的脆弱性
1）動態連接
2)建立進程
3）空口令和RPC
4）超級用戶
2. 計算機系統自己的脆弱性
3.電磁泄漏
4.數據的可訪問性
5.通訊系統和通訊協議的弱點
6.數據庫系統的脆弱性
7。網絡存儲介質的脆弱
保密的困難性，介質的剩磁效應和信息的聚生性
3.4 應對網絡安全風險
3.4.1 從國家戰略層面應對
1.出臺網絡安全戰略，完善頂層設計
2.建設網絡身份體系，建立可信網絡空間
3.提高核心技術自主研發能力，造成自主可控的網絡安全產業生態體系
4.增強網絡攻防能力，構建攻防兼備的安全防護體系
5.深化國際合做
3.4.2 從安全技術層面應對
1.身份認證技術
1）生物認證技術
2）口令認證
3）令牌認證
2.訪問控制技術
1）主體
2）客體
3）控制策略
訪問控制的功能及原理
1）認證
2）控制策略
3）安全審計
訪問控制類型
1）自主訪問控制
2）強制訪問控制
3）基於角色的訪問控制
4）綜合性訪問控制策略
入網訪問控制
網絡的權限控制
目錄級安全控制
屬性安全控制
網絡服務器安全控制
網絡監控和鎖定控制
網絡端口和節點的安全控制
5）訪問控制應用
3.入侵檢測技術
1）入侵檢測系統的定義
2)經常使用的入侵檢測技術
異常檢測
特徵檢測
文件完整性檢查
4.監控審計技術
1）網絡安全審計的基本概念
2）網絡安全審計發方法
日誌審計
主機審計
網絡審計
5.蜜罐技術
1）實系統蜜罐
2）僞系統蜜罐
3.4.3 網絡管理的經常使用技術
1.平常運維巡檢
2.漏洞掃描
3.應用代碼審覈
4系統安全加固
5.等級安全測評
6.安全監督檢查
信息安全管理狀況
技術防禦狀況
應急工做狀況
安全教育培訓狀況
安全問題整改狀況
7.應急響應處置
8.安全配置管理
資產管理
資源管理
服務目錄管理
服務請求，服務變動，工做流
監控管理
7.3 物聯網安全
7.3.1 物聯網概述
1.物聯網的概念
2.物聯網的層次架構與特徵
感知層
網絡層
應用層
3.物聯網的典型應用領域
7.3.2 物聯網的安全特徵與架構
1.物聯網安全問題與特徵
2.物聯網面臨的安全挑戰
3.物聯網的安全架構
1）物聯網面臨的安全攻擊
2）物聯網的安全控制措施
7.3.3 工控系統及其安全
1.工控系統的特徵
2.工控系統的架構
1）工業控制系統的關鍵組件
2）工業控制系統所涉及的網絡部分
3.工控系統安全
1）工控網絡安全態勢及安全問題
工控系統安全問題中，自身脆弱性主要表現
工控系統安全問題中面臨的外部威脅
2）工控系統的安全防禦
工控系統基礎防禦辦法
基於主控系統安全基線的防禦方法