2019-2020-1學期20192431《網絡空間安全導論》第八週學習總結

問題：一、什麼是耦合干擾？
二、什麼是磁盤陣列櫃？
三、什麼是BIOS?
四、什麼是系統鏡像？
五、DES與3DES。各加密之間的不一樣與優劣
六、解決外掛存儲的方式不理解
七、其實不是很明白有些抽象的概念如何應用到實際當中。
問題自查：
一、耦合干擾就是電磁能量經過各類途徑的耦合而造成的干擾，靜電耦合，電磁耦合，經過公共阻抗的耦合
二、有「獨立磁盤冗餘陣列」之意。磁盤陣列是由不少便宜、容量較小、穩定性較高、速度較慢磁盤，組合成一個大型的磁盤組，利用個別磁盤提供數據所產生的加成效果來提高整個磁盤系統的效能。同時，在儲存數據時，利用這項技術，將數據切割成許多區段，分別存放在各個硬盤上。磁盤陣列還能利用同位檢查(Parity Check)的觀念，在數組中任一顆硬盤故障時，仍可讀出數據，在數據重構時，將故障硬盤內的數據，經計算後從新置入新硬盤中。而磁盤陣列櫃就是裝配了衆多硬盤的外置的RAID 。磁盤陣列櫃原理是利用數組方式來做磁盤組，配合數據分散排列的設計，提高數據的安全性。
三、BIOS其實，它是一組固化到計算機內主板上一個ROM芯片上的程序，它保存着計算機最重要的基本輸入輸出的程序、開機後自檢程序和系統自啓動程序，它可從CMOS中讀寫系統設置的具體信息。 其主要功能是爲計算機提供最底層的、最直接的硬件設置和控制。此外，BIOS還向做業系統提供一些系統參數。系統硬件的變化是由BIOS隱藏，程序使用BIOS功能而不是直接控制硬件。現代做業系統會忽略BIOS提供的抽象層並直接控制硬件組件。
4一種文件形式
五、DES使用56位密鑰對64位的數據塊進行加密，並對64位的數據塊進行16輪編碼。與每輪編碼時，一個48位的"每輪"密鑰值由56位的完整密鑰得出來
DES（即Triple DES）是DES向AES過渡的加密算法，它使用3條56位的密鑰對數據進行三次加密。是DES的一個更安全的變形。它以DES爲基本模塊，經過組合分組方法設計出分組加密算法。比起最初的DES，3DES更爲安全。
該方法使用兩個密鑰，執行三次DES算法，加密的過程是加密-解密-加密，解密的過程是解密-加密-解密。
3DES加密過程爲：C=Ek3(Dk2(Ek1(P)))
3DES解密過程爲：P=Dk1(EK2(Dk3(C)))
採用兩個密鑰進行三重加密的好處有：
①兩個密鑰合起來有效密鑰長度有112bit，能夠知足商業應用的須要，若採用總長爲168bit的三個密鑰，會產生沒必要要的開銷。
②加密時採用加密-解密-加密，而不是加密-加密-加密的形式，這樣有效的實現了與現有DES系統的向後兼容問題。由於當K1=K2時，三重DES的效果就和原來的DES同樣，有助於逐漸推廣三重DES。

第一章、網絡空間安全概述
一、 生活中常見的網絡安全問題：
帳號密碼被盜、信用卡被盜刷、
二、 網絡安全：網絡設備面臨的威脅、操做系統面臨的威脅、應用程序面臨的威脅、
三、 網絡安全的定義：
網絡空間是如今與將來全部信息系統的集合，是人類生存的信息環境，人與網絡環境之間的相互做用、相互影響愈發緊密，所以，在網絡空間存在着更加突出的安全問題，一方面是信息技術與產業的空前繁榮，另外一方面是危害信息安全的事件不斷髮生。網絡空間安全是爲維護網絡空間正常秩序，避免信息、言論被濫用，對我的隱私、社會穩定、經濟發展、國家安全形成惡劣影響而須要的措施；是爲確保網絡和信息系統的安全性所創建和採起的一切技術層面和管理層面的安全防禦舉措。
四、 網絡空間安全的技術架構：
物理安全、網絡安全、系統安全、應用安全、數據安全、大數據背景下的先進計算安全問題，輿情分析、隱私保護、密碼學及應用，網絡安全實戰、網絡空間安全治理
五、網絡空間安全的技術架構
網絡空間安全涉及的領域衆多，內涵豐富，做爲一本導論教材，咱們沒法將全部內容完整呈現。考慮到本書的定位和目標讀者的知識需求，咱們將從產業界的視角出發，重點討論對網絡空間安全中幾個核心內容的認識，包括物理安全、網絡安全、系統安全、應用安全、數據安全、大數據背景下的先進計算安全問題、與情分析、隱私保護密碼學及應用、網絡空間安全實戰和網絡空間安全治理。這幾個層次相互依存、相互交織、相互滲透、相互牽制，構成了網絡空間安全總體的基礎結構。
六、物理安全：主要介紹物理安全的概念、物理環境安全和物理設備安全等內容。
陽絡安全：主要介紹網絡與協議安全、網絡安全與管理、識別和應對網絡安全風險等內容。
系統安全：主要介紹操做系統安全、虛擬化安全和移動終端安全等內容
應用安全：主要介紹惡意代碼、數據庫安全、中間件安全和Web安全等內容。
數據安全：主要介紹數據安全的範時、數據的保密性、數據存儲技術以及數據備份和恢復技術等內容。
大數據背景下的先進計算安全問題：主要介紹大數據安全、雲安全和物聯網安全等內容。
輿情分析：主要介紹輿情的概念、網絡與情的分析方法、兩種輿情分析應用技等內容。
隱私保護：主要介紹我的用戶的隱私保護、數據挖掘領域的隱私保護、雲計算物聯網領域的隱私保護和區塊鏈領域的隱私保護等內容
密碼學及應用：主要介紹密碼算法、公鑰基礎設施、虛擬專網和特權管理基礎施等內容。
七、我國網絡空間安全發展的重大機遇
互聯網、通訊網、計算機系統、自動化控制系統、數字設備及其承載的應用、服務和數據等組成的網絡空間，正在全面改變人們的生產和生活方式，深入影響人類社會歷史發展進程。
信息傳播的新渠道。網絡技術的發展突破了時空限制，拓展了傳播範圍，創新了傳播手段，引起了傳播格局的根本性變革。網絡已成爲人們獲取信息、學習交流的新渠道，成爲人類知識傳播的新載體。
生產生活的新空間。當今世界，網絡深度融入人們的學習、生活、工做的方方面面，網絡教育、創業、醫療、購物、金融等日益普及，愈來愈多的人經過網絡交流思想、成就事業、實現夢想。

經濟發展的新引擎。互聯網日益成爲創新驅動發展的先導力量，信息技術在國民經濟各行業普遍應用，推進傳統產業改造升級，催生了新技術、新業態、新產業新模式，促進了經濟結構調整和經濟發展方式轉變，爲經濟社會發展注入了新動力。
文化繁榮的新載體。網絡促進了文化交流和知識普及，釋放了文化發展活力，動了文化創新創造，豐富了人們精神文化生活，已經成爲傳播文化的新途徑供公共文化服務的新手段。網絡文化已成爲文化建設的重要組成部分。社會治理的新平臺。網絡在推動國家治理體系和治理能力現代化方面的做用E凸顯，電子政務應用走向深人，政府信息公開共享，推進了政府決策科學化主化、法治化，暢通了公民參與社會治理的渠道，成爲保障公民知情權、參表達權、監督權的重要途徑。
交流合做的新紐帶。信息化與全球化交織發展，促進了信息、資金、技術、等要素的全球流動，增進了不一樣文明交流融合。網絡讓世界變成了地球村社會愈來愈成爲你中有我、我中有你的命運共同體。
在網絡空間安全面臨重大機遇的同時，網絡空間安全形勢也日益嚴峻，國家政始經濟、文化、社會、國防安全及公民在網絡空間的合法權益面臨着風險與挑戰。
網潛透危害政治安全。政治穩定是國家發展、人民幸福的基本前提。利用購干涉他國內政、攻擊他國政治制度、煽動社會動亂、顛覆他國政權，以及大規腹網絡監控、網絡竊密等活動嚴重危害國家政治安全和用戶信息安全。
網絡攻擊威脅經濟安全。網絡和信息系統已經成爲關鍵基礎設施乃至整個經濟社會的神經中樞，遭受攻擊破壞、發生重大安全事件，將致使能源、交通、通訊、金融等基礎設施癱瘓，形成災難性後果，嚴重危害國家經濟安全和公共利益。
網絡有害信息侵蝕文化安全。網絡上各類思想文化相互激盪、交鋒，優秀傳統文化和主流價值觀面臨衝擊。網絡謠言、頹廢文化和淫穢、暴力、迷信等違背社會主義核心價值觀的有害信息侵蝕青少年身心健康，敗壞社會風氣，誤導價值取向，危害文化安全。網上道德失範、誠信缺失現象頻發，網絡文明程度亟待提升。
網絡恐怖和違法犯罪破壞社會安全。恐怖主義、分裂主義、極端主義等勢力利用網絡煽動、策劃、組織和實施暴力恐怖活動，直接威脅人民生命財產安全、社會秩序。計算機病毒、木馬等在網絡空間傳播蔓延，網絡欺詐、黑客攻擊、侵犯知識產權、濫用我的信息等不法行爲大量存在，一些組織肆意竊取用戶信息、交易數據、位置信息以及企業商業祕密，嚴重損害國家、企業和我的利益，影響社會和諧穩定。
網絡空間的國際競爭方興未艾。國際上爭奪和控制網絡空間戰略資源、搶佔規則制定權和戰略制高點、謀求戰略主動權的競爭日趨激烈。個別國家強化網絡威懾戰略，加重網絡空間軍備競賽，世界和平受到新的挑戰。
網絡空間機遇和挑戰並存，咱們必須堅持積極利用、科學發展、依法管理的原則，維護網絡空間安全。
第一章、 物理安全
一、物理安全的定義
在網絡空間安全體系中 理安全就是要保證信息
系統有一個安全的物理環境對接觸信息系統的人員有一套完善的技術控制措施，且充分考慮到天然事件對系統可能形成的威脅並加以規避。
簡單地說物理安全就是保護信息系統的軟硬件設備、設施以及其餘介質色遭地震、水災、火災、雷擊等天然災害、人爲破壞或操做失誤，以及各類計算機犯罪行爲致使破壞的技術和方法。在信息系統安全中，物理安全是基礎
二、物理安全的範圍
物理安全通常分爲環境安全、設備和介質安全。
1）環境安全：是指對系統所在環境的安全保護，如區域保護和災難保護。
2）設備安全和介質安全：主要包括設備的防盜、防毀、防電磁信息輻射泄露、防止線路截獲、抗電磁干擾及電源保護，以及硬件的安全，包括介質上數據的安全及介質自己的安全。
三、物理環境安全
在許多重要的信息系統中，不少人認爲系統與互聯網進行了物理隔離就能絕對保證安全。這是一個很大的誤區，物理隔離系統其實並不能百分之百地保證安全。除了能夠利用管理制度方面的漏洞，還有不少種方法被攻擊者利用，從一臺沒有聯網的計算機中竊取信息。
要保證信息系統的安全、可靠，必須保證系統實體處於安全的環境中。個全環境就是指機房及其設施，上是保證系統正常工做的基本環境，包括房環境條件、機房安全等級、機房場地的環境選擇、機房的建造、機房的裝修和計算機的安全防禦等
1.物理位置選擇
如上一節所述，機房和辦公場地應安置在具備防震、防風和防雨能力的建築內，且應避免設在建築物的高層或地下室，以及用水設備的下層或隔壁。具體來講，對於重要行業單位的主機房和災備機房，通常要選擇天然災害較少的地區，如北京（亦莊、沙河）上海、深圳、西安等地。在具體實施過程當中，常看到一些客戶將機房設置在建築物頂層或地下；機房防水作得較差，甚至出現空調漏水的現象；還有一些客戶將機房設在食堂、浴室附近，這都是不利於信息系統安全的作法，應該儘可能避免。
2.物理訪問控制
物理訪問控制（ Physical Access Control）是指在未受權人員和被保護的信息來源之間設置物理保護的控制。常見的門禁分級系統就是控制未受權人員訪問不一樣物理空間的，好比普通員工是沒法進入核心機房的。
針對物理訪問控制，咱們有以下建議：出入口應安排專人值守並配置電子門禁系統，控制、鑑別和記錄進人的人員
2）需進入機房的來訪人員應通過申請和審批流程，並限制和監控其活動範圍。3）應對機房劃分區域進行管理，區域和區域之間設置物理隔離裝置，在重要設置交付或安裝等過渡區域；重要區域應配置第二道電子門禁系統，控制、鑑）人的人員。
4）若機房進出經過雙向電子門禁系統進行控制，可經過門禁電子記錄或填馬出）說錄單的形式記錄進出人員和時間，有能力的單位應當增設保安人員在門外值守；機房內和外部應在臨近入口區域安裝攝像頭來監控所有區域；外來人員進入機房應當由專）全陪同；對於系統較多、機房面積較大的單位，應將機房按系統和設備的重要程度劃分爲同的區域進行物理隔離，採用雙向電子門禁系統控制，聯通各區域間的通道空間便造成房的過渡緩衝區。
3.防盜竊和防破壞
爲防止硬件失竊或損毀，還要進行防盜竊和防破壞方面的設置與要求，內容以下：應將主要設備放置在機房內。
應將設備或主要部件進行固定，並設置明顯的不易除去的標記。應將通訊線纜鋪設在隱蔽處，如鋪設在地下或管道中。應對介質分類標識，存儲在介質庫或檔案室中。應利用光、電等技術設置機房防盜報警系統。應對機房設置監控報警系統。
此外，應對全部人一視同仁，包括物理安全負責人、機房維護人員、資產管理員等。針對設備、介質、通訊線纜、機房設施、介質的使用操控，都應有記錄清單及使用記錄、通訊線路佈線文檔、運行和報警記錄、監控記錄、防盜報警系統和監控報警系統的安全資質材料、安裝測試/驗收報告等，進行備案存檔。
4.防雷擊
雷擊是容易致使物理設備、信息丟失的一種天然破壞力，要對抗此類天然力的破壞，應使用必定的防毀措施保護過算機信息系統設備和部件，主要包括
1）接閃：閃電能量按照人們設計的通道泄放到大地中去。
2）接地：讓已經納人防雷系統的閃電能量泄放到大地中。3）一切從籤外來的導線與接流人大地。 地線之間並聯一種適當的避雷器，將閃電流分
閃電的脈衝電磁場從空間入侵的通道。 4）影藯：屏蔽就是用金屬網、箔、殼、管等導體把須要保護的對象包圍起來，屈隔
防雷擊的要求以下
1）機房建築應設置避雷裝置。2）應設置防雷保安器，防止感應雷。3）機房應設置交流電源地線。
5.防火
對計算機系統而言，防火的重要性不言而喻，引發火災的因素通常是電氣緣由（電線破損、電氣短路）人爲因素（抽菸、放火、接線錯誤）或外部火災蔓延。
對計算機機房而言，主要的防火措施有以下幾種：
在機房應作好防水和防潮措施，以避免因水淹、受潮等影響系統安全。常見的措施括：在水管安裝時，不得穿過屋頂和活動地板下，應對穿過牆壁和樓板的水管增長必要的保護措施，如設置套管；應採起措施防止雨水經過屋頂和牆壁滲透；應採起措施防止室內水蒸氣結露和地下積水的轉移與滲透。
7.防靜電
從安全角度，機房的靜電防禦也是很是重要的。靜電的產生通常是由接觸→電荷轉移一偶電層造成→電荷分離引發的。、靜電是一種電能，具備高電位、低電量 流做用時間短的特色。靜電放電的火花會形成火災、大規模集成電路的損壞，並且這種損壞多是在不知不覺中形成的。
在進右靜電防時、用受線接地進行出的到任放電中和、電增溼。防範靜電的基本原則是「護制或減小靜電荷的產生，嚴整控制養電源」
8.溫溼度控制
溫度和溼度也會影響計算機系統的運轉，進而影響安全。所以，應設置恆溫恆溼系統，使機房溫、溼度的變化在設備運行所容許的範圍以內。應作好防塵和有害氣體制機房中應無爆炸、導電、導磁性及腐蝕性塵埃；機房中應無腐蝕金屬的氣體；機房中應無破壞絕緣的氣體。
9.電力供應
電力供應對計算機系統的工做影響巨大。所以，機房供電應與其餘市電供電分開；應設置穩壓器和過電壓防禦設備；應提供短時間的備用電力供應（如UPS設備）；應創建備用供電系統（如備用發電機），以備經常使用供電系統停電時啓用。
第六章、數據安全

致使數據泄露的主要緣由包括：黑客經過網絡攻擊，木馬，病毒竊取，設備丟失或被盜，使用管理不當
數據安全是指保障數據的合法持有者和使用者可以在任何須要改數據的時候得到保密的，沒有被非法更改過的純原始的數據
數據安全的要素：保密性，完整性，可用性（CIA）
數據安全的組成：數據自己安全，數據防禦的安全，數據處理的安全
數據加密的方式：對稱加密，非對稱加密，Hash（散列）算法
DLP（數據泄露保護）：經過內容識別達到對數據的防控。防禦範圍主要包括網絡防禦和終端防禦
數據的存儲介質：磁帶機，硬盤（固態硬盤，可換硬盤，混合硬盤）光學媒體，半導體存儲器
數據的存儲方案：用單獨的軟硬件將磁盤/磁盤組管理起來，供主機使用
根據服務器類型，分爲：封閉系統的存儲和開放系統的存儲開放系統的存儲分爲內和外掛存儲

解決外掛存儲的三種主要方案（直連式存儲DAS，網絡接入存儲NAS，存儲區域網絡SAN）
數據存儲安全：數據庫在系統運行以外的可讀性
數據存儲安全的目標：保證數據的機密性，完整性，防止數據被破環或丟失
數據存儲安全的措施：肯定問題所在，全天候對用戶的行爲進行檢測，嚴格進行訪問控制，根據明確的政策來使用設備，有數據處理的政策
數據備份：繁殖系統弧線操做失誤或系統故障致使數據丟失，而將所有或部分數據集合從應用主機的硬盤或陣列複製到其餘存儲介質的過程
數據備份的方式：按期進行磁帶備份，數據庫備份，網絡數據，遠程鏡像，正常備份，差別備份，增量輩份
主要備份方式：LAN備份，LAN-Free備份，Server-Less備份
第九章、隱私保護
隱私就是我的，機構等實體不肯意被外部世界知曉信息
在網絡空間安全領域，隱私的種類擴展到多個方面：我的身份數據，網絡活動數據，位置數據
隱私信息面臨的威脅：經過用戶賬號竊取隱私，經過誘導輸入蒐集隱私，經過終端設備提取隱私，經過黑客攻擊得到隱私
隱私保護的方法：增強隱私保護意識，提升帳戶隱私保護能力，瞭解常見的隱私竊取手段，掌握防護方法
數據挖掘又稱數據庫中的值時發現
在數據挖掘領域，隱私信息被分爲兩類：原始記錄中含有私密信息，原始記錄中含有敏感知識
隱私保護：基於數據是真的技術（隨機化，阻塞與凝聚，交換），基於數據加密的技術，基於限制肺部的技術
數據生命週期：數據生成階段，數據傳輸階段，數據使用階段，數據共享階段，數據存儲階段，數據歸檔階段，數據銷燬階段
物聯網隱私威脅：基於位置的隱私危脅，基於數據的隱私威脅
位置信息隱私保護：基於齊發隱私度量的位置服務隱私保護技術，基於機率推測的位置服務隱私保護技術，基於信息檢索的位置服務隱私保護技術
隱私保護方法：匿名化方法，加密方法，路由協議方法
區塊鏈隱私保護需求：不容許非信任節點得到區塊鏈交易信息，容許非信任節點得到交易信息，可是不能講交易和用戶身份聯繫起來，容許非信任節點得到交易信息，並參與驗證工做，可是不知道交易細節
第七章、第一節
一、大數據的概念：大數據是須要新處理模式才能具備更強的決策力。
二、大數據的特色：大容量、多樣性、快速度、真實性
三、大數據的分類：我的大數據、企業大數據、政府大數據
四、大數據的使用價值和思惟方式：大數據的預測價值、大數據的社會價值、大數據的思惟方式、
五、大數據背景下安全挑戰：大數據增長了隱私泄露的風險、大數據爲高級持續性威脅提供了便利「
（1）、大數據使APT攻擊者收集目標和漏洞信息更加便利，
（2）、大數據使攻擊者能夠更容易地發動攻擊
（3）、大數據下訪問控制難度加大：難以預測角色，實現角色劃分、難以預知每一個角色的實際權限。
（4）、大數據下審計工做難度加大」