[网络安全一]--网络安全概论

1. 信息安全概念：防止任何对数据进行未授权访问的措施，或者防止造成信息有意无意泄漏、破坏、丢失等问题的发生，让数据处于远离危险、免于威胁的状态或特性。

网络安全概念：计算机网络环境下的信息安全。

 

2. 对信息的安全需求

（1）保密性：对信息资源开放范围的控制。（数据加密、访问控制、防计算机电磁泄漏等安全措施）

（2）完整性：保证计算机系统中的信息处于“保持完整或一种未受损的状态”。（任何对系统信息应有特性或状态的中断、窃取、篡改、伪造都是破坏系统信息完整性的行为。）

（3）可用性：合法用户在需要的时候，可以正确使用所需的信息而不遭服务拒绝。（系统的可用性与保密性之间存在一定的矛盾。）

 

3. 造成网络不安全的主要原因：自身缺陷（TCP/IP）＋开放性（网络）＋黑客攻击（外在原因）

 

4. 信息安全所经历的阶段，每一阶段的研究成果

（1）单机系统的信息保密阶段。研究成果：各种密码算法及其应用（DES、RSA、ECC）；安全评价准则（TCSEC、ITSEC）

（2）网络信息安全阶段。研究成果：被动防御技术[—与事先准备的入侵模式库进行匹配来检测攻击]（安全漏洞扫描技术、安全路由器、防火墙技术、入侵检测技术、网络攻防技术、网络监控与审计技术等）；CC通用评估准则

（3）信息保障阶段

●信息保障（IA）的定义：通过确保信息和信息系统的可用性、完整性、可控性、保密性和不可否认性来保护信息系统的信息作战行动，包括综合利用保护、探测和反应能力以恢复系统的功能。

●信息保障技术框架（IATF）--PDRR模型

 

5. PDRR模型：保护（Protection）、检测（Detection）、响应（Reaction）和恢复（Restore）的有机结合。信息保障阶段不仅包含安全防护的概念，更重要的是增加了主动和积极的防御观念。

（1）保护：采用一切手段（主要指静态防护手段）保护信息系统的五大特性。

（2）检测：检测本地网络的安全漏洞和存在的非法信息流，从而有效阻止网络攻击。

（3）响应：对危及网络安全的事件和行为做出反应，阻止对信息系统的进一步破坏并使损失降到最低。

（4）恢复：及时恢复系统，使其尽快正常对外提供服务，是降低网络攻击造成损失的有效途径。

6. 信息安全管理的地位（WPDRRC安全体系模型）

**人—核心；政策—桥梁；技术—落实在WPDRRC六个环节的各个方面。

（1）预警：根据以前掌握系统的脆弱性和了解当前的犯罪趋势，预测未来可能受到的攻击和危害。

（2）保护：采用一切手段保护信息系统的保密性、完整性、可用性、可控性和不可否认性。

（3）检测：利用高技术提供的工具来检查系统存在的，可能提供黑客攻击、病毒泛滥等等的脆弱性。

（4）响应：对于危及安全的事件、行为、过程，及时做出响应的处理（封堵、隔离、报告），杜绝危害进一步扩大，使得系统力求提供正常的服务。

（5）恢复：对所有数据进行备份，并采用容错、冗余、替换、修复和一致性保证等相应技术迅速恢复系统运转。

（6）反击：利用高技术工具，提供犯罪分子犯罪的线索、犯罪依据，依法侦查犯罪分子处理犯罪案件，要求形成取证能力和打击手段，依法打击犯罪和网络恐怖主义分子。

 

7. 网络攻击：网络攻击者利用目前网络通信协议（如TCP/IP协议）[利用脆弱性（3点）]①自身存在的或因配置不当而产生的安全漏洞、②用户使用的操作系统内在缺陷③或者用户使用的程序语言本身所具有的安全隐患等，[使用工具]通过使用网络命令、从Internet上下载的专用软件或者攻击者自己编写的软件，非法进入本地或远程用户主机系统，非法获得、修改、删除用户系统的信息以及在用户系统上添加垃圾、色情或者有害信息（如特洛伊木马）等一系列过程的总称。

 

8. 常见的网络攻击手段的种类，含义，典型攻击举例

（1）阻塞类攻击：企图通过强制占有信道资源、网络连接资源、存储空间资源，使服务器崩溃或资源耗尽无法对外继续提供服务。

如：拒绝服务攻击（DoS）--TCP SYN洪泛攻击、Land攻击、Smurf攻击、电子邮件炸弹等

（2）控制类攻击：试图获得对目标机器控制权的攻击。最常见的三种：口令攻击、特洛伊木马、缓冲区溢出攻击。

（3）探测类攻击：

●网络安全扫描技术：网络安全防御中的一项重要技术，其原理是采用模拟攻击的形式对目标可能存在的已知安全漏洞进行逐项检查。它既可用于对本地网络进行安全增强（正面），也可被网络攻击者用来进行网络攻击（反面）。

（4）欺骗类攻击：包括IP欺骗和假消息攻击，前一种通过冒充合法网络主机骗取敏感信息；后一种攻击主要是通过配制或设置一些假信息来实施欺骗攻击。

（5）漏洞类攻击：

●漏洞（Hole）：系统硬件或者软件存在某种形式的安全方面的脆弱性，这种脆弱性存在的直接后果是允许非法用户未经授权获得访问权或提高其访问权限。

（6）破坏类攻击：对目标机器的各种数据与软件实施破坏的一类攻击，包括计算机病毒、逻辑炸弹等攻击手段。逻辑炸弹与计算机病毒的主要区别：逻辑炸弹没有感染能力，它不会自动传播到其他软件内。

 

9. 两种安全防护模型

（1）响应式安全防护模型：基于特定威胁的特征，目前绝大多数安全产品均基于这种模型。（通过名字识别攻击；根据需要进行响应；减轻损失；事后恢复。）

（2）主动式安全防护模型：以识别和阻挡未知威胁为主导思想。（早期预警技术；有效的补丁管理；主动识别和阻挡技术。）

 

--本资料由heki总结整理