⽹络空间安全概论学习笔记(⼀)第⼀章⽹络空间安全概论
1.1 绪论
⽹络空间安全背景:
⽹络空间影响⼒逐渐扩⼤
我国⽹络空间安全⾯临严峻考验
⽹络空间安全是互联⽹社会发展的前提基础。
“⽹络空间”:
2001年在美国⾸次提出。
第五⼤主权领域,国际战略的演进。
由电磁设备为载体,与⼈互动形成的虚拟空间。
⽹络空间安全:
通过预防、检测和响应攻击,保护信息的过程。
基础设施实体安全和信息数据的安全
1.2 ⽹络空间威胁
⽹络安全框架
设备层安全(威胁):物理设备安全保障(RFID芯⽚,电磁波截获,硬件⽊马)
系统层安全(威胁):系统运⾏相关的安全保障(SQL注⼊,恶意代码)
数据层安全(威胁):数据处理时涉及的信息相关安全保障(钓鱼WIFI,蓝⽛漏洞)
应⽤层安全(威胁):信息应⽤过程中的安全保障(钓鱼⽹站)
1.3 ⽹络空间安全框架
⽹络空间安全框架概念
核⼼仍然是信息安全。
包含多个基础维度,包罗万象。
从信息系统和⽹络空间安全整体的⾓度,全⽅位分析⽹络空间安全。
⽹络空间安全框架
⽹络空间安全框架需求
⽹络空间安全框架问题
⽹络空间安全框架模型
基于闭环控制的动态信息安全理论模型:
动态风险模型:PDR、P2DR
动态安全模型:P2DR2
第四章⽹络安全技术
4.1:防⽕墙概述
计算机⽹络中的防⽕墙:依据事先定好的安全规则,对相应的⽹络数据流监视和控制的⽹络防御系统。
硬件外形:多⽹络接⼝的机架服务器
(防⽕墙的⽹络拓扑图:红墙图标)
主机防⽕墙:安装主机上的软件。监视出⼊主机的所有数据流。
⽹络防⽕墙:专门的装有防⽕墙软件的硬件实现。两个或多个⽹络间数据流的监控。
防⽕墙的定义:在可信任⽹络和不可信任⽹络间设置的⼀套硬件的⽹络安全防御系统,实现⽹络间数据流的检查和控制。
防⽕墙的功能:拦截异常数据流,保护本地⽹络。
防⽕墙的本质:安装并运⾏在⼀台或多台主机上的特殊软件。
防⽕墙的作⽤:
安全域划分和安全域策略部署
根据访问控制列表实现访问控制(定义“报⽂匹配规则”过滤数据包)。
防⽌内部信息外泄。
审计功能。
部署⽹络地址转换。
防⽕墙的局限性
⽆法防范来⾃⽹络内部的恶意攻击。
⽆法防范不经过防⽕墙的攻击。
会带来传输延迟、通信瓶颈和单点失效等问题。
⽆法阻⽌对服务器合法开发端⼝的攻击。
防⽕墙会存在漏洞⽽被攻击。
不处理病毒和⽊马的攻击⾏为。
限制⽤户访问存在安全缺陷的⽹络,影响便利性。
4.2:防⽕墙关键技术
数据包过滤技术:第⼀代防⽕墙,最基本形式的防⽕墙。防⽕墙检查⽹络中每个通过的数据包,根据访问控制列表的通⾏规则,对其放⾏和丢弃。
应⽤层代理技术:防⽕墙在内部⽹络向外部⽹络申请服务时起到中间转接作⽤,代替⽹络客户端连接应⽤。对每个应⽤都必须设计⼀个模块进⾏安全控制。
状态检测技术:防⽕墙建⽴、维护连接状态表。结合规则表动态过滤数据包。
⽹络地址转换技术:将私有ip地址在防⽕墙上转换成公共地址发送到互联⽹上。转换⽅式:多对⼀映射;⼀对⼀映射;多对多映射。
个⼈防⽕墙技术:本地计算机上的系统安全软件,监视⽹卡,保护单台计算机。
4.3:⼊侵检测技术
定义:
王宝强的老婆⼀种主动的安全防护技术,以旁路的⽅式接⼊⽹络,实时监测。
继防⽕墙后的“第⼆道防线”。
不影响⽹络性能,收集分析信息,检查攻击⾏为和痕迹。
作⽤和优势:
快速检测⼊侵⾏为。
形成威慑,防范⼊侵⾏为。
央视跨年晚会2022节目单收集⼊侵信息,增强防御系统。
主要功能:
监控分析⽤户和系统的活动。
发现⼊侵企图和异常现象。
黄毅清被拘留审计系统配置和漏洞。
评估关键系统⽂件完整性。
对异常活动的统计分析。
识别攻击的活动模型。
实时报警,主动响应。
通⽤模型
分类
基于⽹络的⼊侵检测系统:实时监控⽹络节点流量信息,分析⼊侵⾏为和异常现象。
基于主机的⼊侵检测系统:根据主机的审计记录和⽇志分析⼊侵⾏为。
分布式⼊侵检测系统:综合应⽤数据源,分块同时运⽤两种技术。
金晨邓伦一夜未停⼊侵检测的⽅法
特征检测(误⽤检测):特征匹配检测已知的攻击⾏为。王岳伦李湘婚变
异常检测:建⽴活动模型,违反规律则认定为攻击⾏为;易误报、漏报。
4.4:虚拟专⽤⽹
本地IP地址:只在机构内使⽤的IP地址,由本机构⾃⾏分配。
虚拟专⽤⽹(VPN):利⽤公⽤的互联⽹作为本机构各专⽤⽹的通信载体。
所有通过互联⽹传输的数据加密,使⽤隧道加密技术。专⽤⽹内部使⽤本地IP地址通信。
基于防⽕墙的实现⽅式:防⽕墙部署在专⽤⽹边界处,在防⽕墙增加上加密功能就能实现VPN的功能。
因此VPN也是防⽕墙标准配置之⼀。