网络空间安全导论
网络空间安全导论
看书的时候基本都记每段第一句,让我想起了高中背政治的感觉。
本来以为措施啊机遇啊挑战啊是不会考的,结果还真的考了…更像政治了
零、概述
1. 常见安全问题
1. 网络设备威胁
2. 操作系统威胁
3. 应用程序威胁
2. 数据安全
1. 数据保密性
2. 数据存储技术
3. 数据存储安全
4. 数据备份
5. 数据恢复技术
一、物理安全
物理安全分为环境安全,设备和介质安全
物理环境安全
- 防盗窃和防破坏:物理访问控制(PAC),比如门禁
- 防火
- 防雷:接地、接闪、分流、屏蔽
- 防水防潮
- 防静电
- 电源供应
- 电磁防护
- 温湿度控制
物理设备安全
安全硬件
1. PC网络物理安全隔离卡
2. 网络安全物理隔离器
3. 物理隔离网闸
芯片安全
1. 存储、管理密码
2. 加密:开机、硬盘、系统登陆、软件登陆
3. 加密硬盘分区
二、网络安全
包括硬件资源和信息资源的安全
- 硬件资源:通信线路、通信设备等
- 信息资源:系统软件、应用软件、用户信息等
1. 网络管理
目的
1. 确保计算机正常运行
2. 网络资源有效利用
3. 出现异常及时响应和排除
分类
1. 对网路,即网络通信线路的管理
2. 对接入设备管理
3. 对行为管理
4. 对资产管理
2. 安全网络的特征
- 可靠性:规定条件和规定时间完成特定功能
- 可用性:网络信息被授权实体访问并按需使用
- 保密性:信息不被泄露给非授权用户
- 完整性:未经授权不可改变网络信息
- 可控性:对信息传播及内容的控制
- 可审查性:出现问题时提供依据和手段
3. 拓扑结构
-
总线形:所有设备连接在同一个物理介质。
优点:增加删除结点灵活。
缺点:故障诊断困难、故障隔离困难、终端智能 -
星形:中央节点和各站点组成。各站点通过链路连接到中央节点
优点:结构简单、交换机提高链路利用率、网络性能高、节点故障不会相互影响
缺点:对电缆需求大且安装困难、扩展困难、依赖中央节点、出现“瓶颈”现象 -
环形:一些中继器和连接中继器的链路组合成闭环
SDH采用双环,内环备用 -
树形:由总线演变来。可靠性和星形类似
缺点:对根节点依赖大。
4. 网络模型/协议
重点之一啊
OSI参考模型
OSI是一个组织:开放源代码促进会(Open Source Initiative)
OSI参考模型(OSI/RM),由上至下分为七层:
1. 应用层:访问网络服务的接口
2. 表示层:提供数据格式转换服务
3. 会话层:建立端连结并提供访问验证和会话管理
4. 传输层:进程间逻辑通信
5. 网络层:创建逻辑链路供数据在节点间传输,分组转发数据
6. 数据链路层:通信的实体间建立逻辑链路
7. 物理层:在数据端设备提供通路供原始比特流传输
我亲切地这样记忆:应试(示)会输,网恋(链)物理
数据传输线封装再解封装
传输层加TCP头
网络层加IP头、LLC头和FCS(帧校验序列)
数据链路层加MAC头
IP地址和硬件地址
网络层及以上使用IP地址,数据链路层及以下使用硬件地址
TCP报文: 首部|应用层数据|
IP数据报: 首部| TCP报文 |
MAC帧: 首部| IP数据报 |尾部
两台主机信息交换,中间通过多个路由器
IP数据报中不含路由器IP地址,只有两个主机IP地址
TCP/IP协议
传输控制协议/互联网协议,由OSI的传输层TCP协议和网络层IP协议组成
由上到下分为四层:
-
应用层
HTTP,HTTPS,FTP等协议 -
运输层
TCP协议:三次握手。第一次发送SYN包,第二次回复SYN/ACK包表示应答,第三次发送ACK包应答
假冒攻击:监听SYN/ACK包后发送RST包,再发送SYN包,假冒发起假冒的新连接。再发送ACK包完成假冒链接,破外原连接
UDP:UDP报文可靠性差,数据传输延迟小、效率高 -
网络层
IP协议。IP地址欺骗攻击
ARP协议:地址解析协议。将网络地址转换为物理地址
主机的ARP高速缓存有局域网上主机和路由器的IP地址到硬件地址映射表。发送数据包时线查看有无B的IP地址,有则查出硬件地址写入MAC帧,无则广播发送ARP请求分组,得到ARP相应分组后将其IP写入ARP高速缓存
ARP欺骗:假冒发送ARP响应 -
网络接口层
5. 无线安全
- 验证洪水攻击:Authdos。生成大量mac地址伪装设备,并发送大量身份验证Authenticate请求帧,超出承载能力从而拒绝其他服务
- 取消验证洪水攻击:deauth。生成大量mac地址伪装设备,发送发送Deauthentication解除认证帧,造成设备掉线并拒绝其他服务
- 关联洪水攻击:asso。针对空密码或已破解密码的无线信号,伪造大量设备淹没关联表,使其无法给正常用户建立关联
- 射频干扰攻击:RF jammingAttack。物理干扰层次。用噪声信号淹没射频信号导致系统失效
6. 威胁和脆弱性
威胁
1. 应用系统和软件安全漏洞
2. 安全策略
3. 后门和木马程序
4. 病毒及恶意网站陷阱
5. 黑客
6. 安全意识淡薄
7. 内部工作人员的不良行为
脆弱性
1. 操作系统脆弱性:动态联接、创建进程、空口令和RPC、超级用户
2. 计算机系统本身脆弱性
3. 电磁泄漏
4. 数据的可访问性
5. 通信系统和通信协议的弱碱
6. 数据库系统的脆弱性
7. 网络存储介质的脆弱
7. 应对
这让我想起了政治课,每段背第一句的那种
国家层面
1. 出台网络安全战略
2. 建设网络身份体系
3. 提升核心技术自主研发能力
4. 加强网络攻防能力
5. 深化国际合作
技术层面
1. 身份认证技术
2. 访问控制技术
3. 入侵检测技术
4. 监控审计技术
5. 蜜罐技术
网络管理
1. 日常运维巡检
2. 漏洞扫描
3. 应用代码审核
4. 系统安全加固
5. 等级安全评测
6. 安全监督检查
7. 应急响应处置
三、系统安全
1. 操作系统安全
威胁
1. 非法用户或假冒用户进入程序
2. 数据丢失或被非法破坏
3. 病毒破坏和黑客入侵
4. 计算机系统运行不正常
脆弱性
1. 操作系统的远程调用和系统漏洞
2. 进程管理体系存在问题
保护机制
1. 进程隔离和内存保护
2. 运行模式:内核模式和用户模式
3. 用户权限控制
4. 内存访问控制
2. Windows系统内置用户和组
内置用户:
Administrator,系统管理员账户,拥有完全控制权限。
Guest,来宾账户,供访问共享资源的网络用户使用,仅具有最基本权限,默认被禁用。
内置用户组:
Administrators,管理员组。
Users组,新建用户默认所属的组。
Guests组,权限最低。
net user命令
net user administrator 显示administrator用户的信息
net user test 123 /add 添加一个名为test、密码为123的用户帐户(密码可省略)
net user test abc 将test用户的密码更改为abc
net user test /del 将test用户删除
net user test /active:no 将test用户禁用
net localgroup命令
net localgroup administrators 显示管理员组中的所有成员
net localgroup administrators test /add 将test用户加入到管理员组中
net localgroup administrators test /del 将test用户从管理员组中删除
3. TCSEC安全级别
| 级别 | 安全性 |
|---|---|
| D | 没有安全防护 |
| C1 | 自主存取控制 |
| C2 | 较完善的自主存取控制、审计 |
| B1 | 强制存取控制 |
| B2 | 良好的结构化设计、形式化安全模型 |
| B3 | 全面访问控制、可信回复 |
| A1 | 形式化认证 |
4. Windows安全性
1. Windows安全子系统:位于核心层,是其系统安全基础
a. 系统登陆控制流程(Winlogon):接受本地或远程登录请求
b. 安全账号管理器(SAM):包含用户和组的账号信息
c. 本地安全认账(LSA):核心组件。通过 SAM中的数据信息处理用户登录请求
d. 安全引用监控器(SRM):内核模式运行,奸杀系统存取合法性
2. NTFS文件系统:引入访问权限管理机制和文件访问日志记录机制
特点:
a. 支持分区达2TB
b. 可恢复文件系统
c. 支持分区、文件、文件夹的压缩和加密
e. 更小簇,更有效管理磁盘空间
f. 为文件设置访问权限
g. 磁盘配额管理
h. 访问权限是累积的
i. 文件权限超远文件夹权限
j. 拒绝权限超越其他权限
k. 权限具有继承性
3. Windows服务包和补丁包
4. Windows系统日志
四、数据安全
1. 数据本身安全
主要通过数据加密技术实现
EFS加密:是Windows操作系统中基于NTFS(New Technology File System,新技术文件系统)实现对文件进行加密与解密服务的一项技术
2. 数据存储安全
1. 独立冗余磁盘阵列技术(RAID技术):多个独立的高性能磁盘驱动器组成的磁盘子系统
主要部件:RAID控制器、磁盘阵列
2. 双机热备:一台设备发生故障后,另一台设备立即能够接替工作
3. 数据迁移:(分级存储管理)很少使用或一段时间不用的数据,从本地存储设备迁移到辅助设备的过程
4. 异地容灾:在相隔较远的不同地点,分别建立两套或多套功能相同的信息系统。其中一处系统因意外停止工作时,整个应用系统自动切换到另一套
3. 数据处理安全
1. 数据备份
2. 权限管理
3. 数据加密
五、密码学及应用
包括两部分:
- 密码编码学:研究编码、构建算法及协议
- 密码分析学:破译密码获得消息、对消息进行伪造
1. 密码算法
常见三种:对称密码算法、非对称密码算法、哈希函数
对称密码算法
也称单密钥算法。
常分为分组密码算法和流密码算法
用于加密和解密的密钥相同,或者相对容易推导
DES:数据加密标准。属于对称密钥密码体制,是一种分组密码。
常见算法:DES、IDEA、AES、Twofish、MARS
非对称密码算法
加密密钥和解密密钥不同,分为公钥和私钥
公钥算法特点:
1. 公钥公开,私钥保留
2. 公钥加密, 私钥解密
3. 加密解密运算可以对调,两者互逆
保密:公钥加密,私钥解密
数字签名:私钥加密,公钥解密
常见算法:RSA、Rabin
哈希函数
进行消息认证的基本方法,主要用于消息完整性检测和数字签名
哈希函数接受一个消息作为输入,产生一个称为哈希值的输出,也可称为散列值、消息摘要
常见算法:MD2、MD4、MD5 和 SHA-1
2. 公钥基础设施(PKI)
是一个包括硬件、软件、人员、策略和规程的集合,用来实现基于公钥密码体制的密钥和证书的产生、管理、存储、分发和撤销等功能(ITUX.509标准)
简单地说,PKI是一种遵循标准、利用公钥加密技术提供安全基础平台的技术和规范,能够为网络应用提供密码服务的一种基本解决方案
体系构架
引入数字证书概念,通过可信第三方——认证权威机构(Certification Authority,CA),把用户公钥和用户的真实身份绑定在一起,产生数字证书。用户能方便安全地获取对方公钥,可以离线验证公钥的真实性
PKI体系一般由CA、注册权威机构(Registration Authority,RA)、数字证书、证书/CRL库和终端实体等部分组成
六、舆情分析
感觉比较水,看过有印象就好
1. 目的和意义
目的:及时把握社会成员舆情趋势和动态,传递正确价值观
意义:对政府和企业管理均具有重要的意义。
a. 及时的了解事件及舆论动态,对某些错误、失实的舆论进行正确的引导,避免影响政府形象
b. 掌握社会民意,了解社会各阶层社会成员的情绪、态度、看法、意见以及行为倾向,利于正确决策
c. 及时地处理企业关负面信息
2. 特点
1. 表达的直接性
2. 舆情信息在数量上具有海量性
3. 舆情信息在内容上具有随意性和交互性
4. 传播的迅速性
5. 产生的突发性
6. 舆情信息在时间上具有实时性和继承性
7. 情绪的非理性
8. 舆情信息在发展上具有偏差性
3. 分析方法
检索方法
1. 人工检索
2. 机器检索
研判方法
1. 定量研判分析:在区域、时间、年龄、性别、行业以及密度分布上的统计分析
2. 定性研判分析:指出真伪、可信度、价值度、严重等级、紧急程度等级
典型舆情分析方法
1. 双层分析法
2. 语义统计分析方法
3. 情感倾向分析方法
4. 基于Web文本挖掘技术的分析方法
3. 分析应用
网络舆情分析系统
1. 热点话题、敏感话题识别
2. 倾向性分析
3. 主题跟踪
4. 趋势分析
5. 突发事件分析
6. 报警系统
7. 统计报告
网络舆情监测系统
1. 信息采集模块
2. 正文提取模块
3. 文本聚类模块
4. 文本分类模块
5. 情感分析模块
七、大数据背景下安全问题
一样挺水的,有个印象就好
1.大数据特点
1. Volume:大容量
2. Variety:多样性
3. Velocity:快速度
4. Veracity:真实性
2. 安全挑战
1. 大数据增加了隐私泄露的风险
2. 大数据为高级持续性威胁(APT)提供了便利
3. 大数据下访问控制难度加大
4. 大数据下审计工作难度加大
3. 云定义
1. 云计算:将按需提供的服务汇聚成高效资源池,以服务的形式交付给用户使用
2. 云服务:在云环境上产生的交付模式
3. 云主机:云计算在基础设施应用上的重要组成部分
4. 云安全:云及其承载的服务,可以高效、安全的持续运行
4. 安全保障
1. 云安全标准:CSA、ENISA、NIST、OWASP、CPNI、SANS、PCI-DSS
2. 云安全建设:
a.物理安全;
b.网络安全——Firewall、VPN、DDos;
c.主机安全;虚拟化安全;
d.应用安全;数据安全
八、SQL注入漏洞
重点来啦!
1. 互联网应用结构
C/S结构
B/S结构的基础
优点:
1. 交互性强
2. 较强的数据操作与事务处理能力
3. 有效保护数据安全性
缺点:
1. 可扩展性差
2. 应用规模受限
B/S结构
前端的浏览器(Browser)和后端的服务器(Server)组成
三层体系结构:表示层、业务逻辑层、数据层
优点:
1. 统一客户端应用软件
2. 易于部署维护
3. 可扩展性好
4. 信息共享度高
缺点:
1. 功能受限
2. 难构造复杂应用
3. 安全隐患大
2. SQL注入
SQL(Structured Query Language,结构化查询语言)是一种最常使用的用于访问Web数据以及进行Web数据查询、更新和管理的数据库查询和程序设计语言
原理
利用Web应用程序数据层存在的输入验证漏洞,将SQL代码插入或添加到输入参数中,再将这些参数传递给后台的SQL服务器加以解析并执行的攻击方式
危害
1. 数据库信息泄漏
2. 网页篡改
3. 网站挂马
4. 数据库被恶意操作
5. 服务器被远程控制等
实现过程
1. 寻找注入点
2. 探测后台数据库类型
3. 获得管理员账户信息
防范方法
1. 实施最小权限原则
2. 使用参数化语句
3. 输入验证(黑/白名单验证)
4. 使用存储过程
5. 加强服务器安全配置
九、应用安全
这里也是重点哇!
1. 文件上传漏洞
原理
文件上传功能没有严格限制文件后缀以及文件类型,导致允许攻击者向某个可通过Web访问的目录上传任意脚本程序,并能够将这些文件传递给脚本解释器,从而可以在远程服务器上执行任意的脚本程序。
实现方法
1. 病毒木马
2. WebShell
3. 其他恶意脚本
4. 恶意图片
5. 伪装成正常后缀的恶意脚本
防范方法
1. 开发阶段防御:对文件名和文件路径等项目分别进行严格的检查
2. 系统运行阶段防御:具对系统进行安全扫描,定时查看系统日志
3. 安全设备防御:对漏洞的上传利用行为和恶意文件的上传过程进行检测
2. XSS跨站脚本攻击
原理
指攻者利用网站程序对用户输入过滤不足,输入可以显示在页面上对其他用户造成影响的HTML代码,从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式
危害:盗取用户cookie,XSS蠕虫,挂马
分类
1. 反射型:简单地将用户输入直接或未经过完善过滤就输出,导致输出数据中存在可被浏览器执行的代码数据
2. 存储型:将用户输入的数据信息保存在服务端的数据库或其他文件中,进行数据查询时,从数据库获取数据内容,并在网页中输出展示
3. 基于DOM的XSS攻击
防范方法
1. 过滤特殊字符
2. 使用实体化编码
3. HTML编码
3. 指跨站请求伪造(CSRF)
Cross-Site Request Forgery
原理
用户浏览并登录信任网站A,网站A验证通过,在用户处产生A的Cookie,用户在没有登出A网站的情况下访问了危险网站B,网站B要求访问第三方站点A,发出一个请求,根据B的请求,浏览器带着之前产生的A的Cookie访问A,发出请求,A不知道该请求是用户发出的还是B发出的,且浏览器会自动带上用户的Cookie,所以A会根据用户的权限处理该请求,这样网站B就达到了模拟用户操作的目的
- 登录受信任网站A,并在本地生成Cookie。
- 在不登出A的情况下,访问危险网站B。
防范方法
1. 添加验证码
2. 验证referer
3. 利用token
十、恶意代码
也挺重要的,重点是几个概念的辨析
病毒、蠕虫、木马
木马不具有传染性,不易感染程序为目的
病毒只能在本机传染
蠕虫可透过网络传染
1. 概念
是指未经授权认证,攻击者从其他计算机系统经存储介质或网络传播,以破坏计算机系统完整性为目标的一组指令集
计算机病毒
最早出现。
一种自我复制程序,通过修改其他程序,从而感染其他程序
生命周期:
1. 新病毒的产生
2. 病毒传播及潜伏
3. 病毒触发运行破坏
4. 病毒被查杀
基本特征:
1. 破坏性:破坏文件
2. 传染性:最重要特征。感染其他程序、机器。
3. 潜伏性(隐蔽性):一段时间不发作
4. 可触发性:满足一定条件被激活
5. 衍生型:被修改衍生
传播途径:
1. 介质传播
2. 电子邮件传播
3. 共享文件夹传播
防范方法
1. 正版软件
2. 反病毒软件
3. 备份数据
4. 加强文件传输的安全管理
5. 不打开可疑链接
分类:
-
可执行文件病毒:插入可执行文件头部、中间位置、尾部(优先于程序运行)
-
引导扇区病毒:攻击目标就是主引导区和分区引导区,通过感染引导区上的引导记录,计算机病毒就可以在系统启动时优先于操作系统取得系统的控制权,实现对系统的控制
-
宏病毒:寄存在数据文件中的计算机病毒,它感染数据文件的方式为将自身以宏指令的方式复制到数据文件中,当被感染了宏病毒的数据文件在应用软件打开时便自动执行宏指令,完成病毒的引导
蠕虫
扫描和攻击网络上存在系统漏洞的节点主机,通过局域网或者国际互联网从一个节点传播到另外一个节点
特征:智能化、自动化、高技术化。强调自身的主动性和独立性,具有主动攻击、行踪隐蔽、利用漏洞、造成网络拥塞、降低系统性能、产生安全隐患、反复性和破坏性等特征
防范方法:
1. 基于蜜罐技术的蠕虫检测和防御
2. 用良性蠕虫抑制恶意蠕虫
3. 切断高连接用户
木马
或利用自身植入功能,或依附病毒,或入侵后植入,进驻目标主机,向指定的地址发回所搜集到的各种敏感信息。同时接受植入者的指令,完成其他各种操作,如修改指定文件、格式化硬盘等
隐藏技术:
1. 文件隐藏
2. 进程隐藏
3. 网络连接隐藏
4. 内核模块隐藏
5. 原始分发隐藏
分类:
1. 主机木马
2. 硬件木马
3. 网页木马
4. 挖矿木马
5. 传统木马等
传统木马防范方法:
1. 关闭不用端口
2. 使用专杀木马软件
3. 查看进程
导记录,计算机病毒就可以在系统启动时优先于操作系统取得系统的控制权,实现对系统的控制
- 宏病毒:寄存在数据文件中的计算机病毒,它感染数据文件的方式为将自身以宏指令的方式复制到数据文件中,当被感染了宏病毒的数据文件在应用软件打开时便自动执行宏指令,完成病毒的引导
蠕虫
扫描和攻击网络上存在系统漏洞的节点主机,通过局域网或者国际互联网从一个节点传播到另外一个节点
特征:智能化、自动化、高技术化。强调自身的主动性和独立性,具有主动攻击、行踪隐蔽、利用漏洞、造成网络拥塞、降低系统性能、产生安全隐患、反复性和破坏性等特征
防范方法:
1. 基于蜜罐技术的蠕虫检测和防御
2. 用良性蠕虫抑制恶意蠕虫
3. 切断高连接用户
木马
或利用自身植入功能,或依附病毒,或入侵后植入,进驻目标主机,向指定的地址发回所搜集到的各种敏感信息。同时接受植入者的指令,完成其他各种操作,如修改指定文件、格式化硬盘等
隐藏技术:
1. 文件隐藏
2. 进程隐藏
3. 网络连接隐藏
4. 内核模块隐藏
5. 原始分发隐藏
分类:
1. 主机木马
2. 硬件木马
3. 网页木马
4. 挖矿木马
5. 传统木马等
传统木马防范方法:
1. 关闭不用端口
2. 使用专杀木马软件
3. 查看进程