网络空间安全导论

复习自用，内容较为杂乱~

网络空间安全概述

信息时代与信息安全

• 没有网络安全就没有国家安全, 没有信息化就没有现代化
• 信息时代与信息安全: 信息技术与产业空前繁荣, 信息安全形势严峻
  • 特征: 信息成为重要战略资源, 量子信息技术高速发展
    • 新摩尔定律: 芯片集成度/CPU处理能力每18个月翻一倍; Internet网络发展速度每6个月翻一倍; IT行业人才每18个月更新一批
    • 吉尔德定律: 干网通信带宽每6个月翻一倍
    • 千倍定律: 高性能计算能力每10年提高1000倍
  • 现状: 战略规划不足, 信息安全立法缺失, 安全忧患意识有待增强, 专业教育比较落后
    网络空间能力反映国家在未来网络空间的整体竞争力, 维护网络空间的繁荣与安全将是每个国家的基本使命
    2021年8月《个人信息保护法》; 2021年7月《网络安全产业高质量发展卅年行动计划（2021-2023年）（征求意见稿）》; "十四五"规划 我国将加强国家安全体系和能力建设, 全面加强网络安全保障体系和能力建设
  • 信息安全形势严峻: 敌对势力破坏, 黑客攻击, 病毒入侵, 利用计算机进行经济犯罪, 网络上的有害内容泛滥, 隐私保护问题严重, 信息战网络战, 科学技术进步产生的新挑战, 信息领域核心技术差距加剧了严峻性
  • 国家相关政策及措施
    • 5月28日两院院士大会/中国科协第十次全国代表大会: 高端芯片和集成电路关键核心领域和前沿领域
    • 3月1日工信部: 加大集成电路企业减税力度, 进一步加强和提升芯片产业基础, 为集成电路产业提供良好生态环境
    • 十六大: 信息安全是国家安全的重要组成部分
    • 十八大: 高度关注海洋, 太空, 网络空间安全
    • 2014年2月27日, 中央网络安全和信息化领导小组宣告成立
    • 2015年12月31日, 战略支援部队成立
    • 2016年11月7日, 《网络安全法》通过, 2017年6月1日起实施
    • 2016年12月, 中央网信办《国家网络空间安全战略》
    • 2017年3月1日, 外交部和国家互联网信息办公室《国家网络空间国际合作战略》
    • 2017年10月18日, 十九大, 加快建设创新型国家和网络强国, 确保我国的网络空间安全
    • 2018年3月21日, 中央网络安全与信息化领导小组改组为中央网络安全与信息化委员会
    • 2019年10月26日, 《密码法》通过

网络空间安全学科浅谈

• 网络空间: 1982年首次提出, 计算机创造的虚拟信息空间
  2008年, 美国: 赛博空间是信息环境中的全球域
  我国: 网络空间是信息时代人们赖以生存的信息环境, 是所有信息系统的集合
• 信息安全: 信息对其生存环境的基本需求; 系统是载体, 信息是内涵, 信息不能脱离系统而存在; 信息只有存储, 传输, 处理三种状态
  • 设备安全: 信息系统的物质基础, 信息系统安全的首要问题; 稳定性, 可靠性, 可用性
  • 数据安全: 避免未授权的泄漏, 篡改, 破坏; 秘密性, 完整性, 可用性
  • 行为安全: 从主体行为的过程和结果考察; 秘密性, 完整性, 可控性
  • 内容安全: 在政治法律道德层次上的要求, 是语义层次的安全; 政治上健康, 内容上合法, 内容上符合道德规范
  • 安全措施: 系统工程, 硬件系统和操作系统安全是基础, 密码技术和网络安全技术是关键
  • 三大定律
    • 普遍性: 哪里有信息, 哪里就有信息安全
    • 折中性: 安全与方便是一对矛盾
    • 就低性: 信息系统安全性取决于最薄弱部分的安全性
• 学科: 研究信息获取, 信息存储, 信息传输, 信息处理中的信息安全保障问题
  • 密码学: 编码学(对信息编码以实现信息隐蔽), 分析学(通过密文获取对应明文信息)
    对称密码, 公钥密码, Hash函数, 密码协议, 生物密码, 量子密码, 混沌密码, 密钥管理, 密码应用
  • 网络安全: 在网络的各个层次和范围内采取防护措施, 以便能对各种安全威胁机型检测和发现, 并采取相应的响应措施
    网络安全威胁, 通信安全, 协议安全, 网络防护, 入侵检测和态势感知, 应急响应与灾难恢复, 可信网络, 网络安全管理
  • 系统安全: 从系统整体上考虑安全威胁与防护
    系统安全威胁, 系统设备安全, 硬件子系统安全, 软件子系统安全, 访问控制, 可信计算, 系统安全测评认证, 系统安全等级保护, 应用信息系统安全
  • 信息内容安全: 政治法律道德层次上的要求
    内容安全威胁, 内容获取, 内容分析与识别, 内容管理, 信息隐藏, 隐私保护, 内容安全的法律保障
  • 信息对抗: 实质是斗争双方利用电磁波和信息作用来争夺电磁频谱和信息的有效使用与控制权
    通信对抗, 雷达对抗, 光电对抗, 计算机网络对抗
• 理论基础
  • 数学: 逻辑学是网络协议安全的理论基础; 博弈论
  • 信息论: 密码学和信息隐藏的理论基础
  • 系统论: 整体观念, 木桶原理
  • 控制论: 动态系统在变化的环境下如何保持稳定状态; PDR策略(保护-检测-响应)
  • 计算理论(可计算, 计算复杂度): 密码学和信息系统安全的理论基础
  • 密码学, 访问控制理论
• 方法论基础: 理论分析, 逆向分析, 实验验证, 技术实现
  坚持以人为核心, 强调底层性和系统性, 定性分析与定量分析相结合, 实行综合治理

网络空间安全法律法规

• 信息安全法律法规: 信息安全保障体系的必要环节, 明确了信息安全的基原则和基本制度, 信息安全相关行为规范, 信息安全中各方权力和义务以违反信息安全的行为, 明确对这些行为的相应处罚
  
  
  
  
  
  
  
  
  

信息安全标准

• 信息安全标准: 确保信息安全产品和系统在设计, 研发, 生产, 建设, 使用, 测评中保证其一致性, 可靠性, 可控性的技术规范和技术依据
• 主要标准化组织: IEC国际电工委员会, ISO国际标准化组织, SC27(JTC1, 第一联合技术委员会); TC260全国信息安全标准化技术委员会, CSTC密码行业标准化技术委员会
• 《涉及国家秘密的信息系统分级保护管理办法》分为秘密级, 机密级, 绝密级; 国家保密局是涉密信息系统分级保护工作的主管部门
• 《信息系统安全等级保护基本要求》核心是分级保护; 内容可分为系统定级, 系统备案, 建设整改, 等级评测, 监督检查
• 商用密码标准
  • ZUC: 2011年9月 3GPP LTE采纳, 即第4代移动通信加密标准; 2012年3月国家密码行业标准; 2016年10月国家标准
  • SM2椭圆曲线公钥密码算法, SM9标识密码算法: 2017年11月数字签名部分 ISO国际标准

密码学基础

密码学概述

古典密码	类型	问题
凯撒密码	单表代换	穷举法破解
维吉尼亚密码	多表代换	相同字母间隔公因子推测出密钥长度
普莱费尔密码	多字母代换	双频率法破解
栅格换位/矩形换位	置换	完全保留字符统计信息
费纳姆密码	一次一密	工作量巨大, 密钥分发困难

• 代换 $\to$ 混淆; 置换 $\to$ 扩散
• 机械密码: Enigma密码机, 紫色密码机, Sigaba密码机
• 现代密码学理论基础: 1949年香农"保密系统的通信理论", 信息论研究密码学新方向, 奠定现代密码理论基础
  • 保密通信系统的数学模型
  • 区分了信息保密(加密处理)和信息隐藏(隐藏信息存在形式)
  • 密码系统与通信系统的对偶性
  • 组合(简单密码系统组合构造复杂系统); 扩散(每一位明文和密钥影响尽可能多位的密文, 隐蔽统计特征); 混淆(统计相关性极小化)
• 现代密码学
  • 单钥密码(对称加密): 流密码(序列密码), 分组密码
    • DES: 56位密钥长度较短被暴力破译
  • Diffie-Hellman协议: 无法抵抗中间人攻击
  • 公钥密码(非对称加密)

密码学基本概念

• 密码体制语法定义: 明文消息空间, 密文消息空间, 加密密钥空间, 解密密钥空间, 密钥生成算法, 加密算法, 解密算法, 加密过程, 解密过程
• 密码安全性: 理论安全, 可证明安全, 计算/实际安全
• 密码攻击类型: 唯密文攻击, 已知明文攻击, 选择明文攻击, 选择密文攻击
• 密码分析: 分析, 假设, 推断, 证实
  • 穷举法
  • 数学法: 差分分析, 分析破译
  • 物理法: 侧信道攻击
• 密码学理论基础: 大整数分解, 模运算, 有限域, (扩展)欧几里得算法, CRT(中国剩余定理), 椭圆曲线
• 密码算法
  • 序列密码: 有限状态自动机生成伪随机序列; 加解密过程相同且互逆; 安全性取决于随机序列强度
  • 分组密码: 分组等长输出, 符合香农的秘密设计思想(扩散, 混淆)
    分组长度足够大, 密钥长度足够大, 算法足够复杂, 加解密算法简单, 软/硬件易于实现, 数据无扩展, 差错传播尽可能小
  • 公钥密码: 解决了密钥发布和管理问题; 安全性依赖于数学难题, 加解密速度较慢; 用于对称加密密钥交换, 消息加密, 数字签名
    • RSA: 大整数分解难题
    • Rabin: 模和数平方根难题
    • ElGamal: 离散对数难题(DLP)
    • ECC: 椭圆曲线上离散对数难题(ECDLP)
  • 我国密码: SM1分组对称, SM2椭圆曲线, SM3Hash函数, SM4分组对称, SM7分组对称, SM9双线性对标识, ZUC序列对称

密码学新进展

• 身份基公钥密钥: 用户私钥通过可信第三方(PKG)生成; 较好解决PKI证书管理复杂问题; 广泛用于安全电子邮件和Ad Hoc网络密钥管理
  优点: 无需公钥证书, 无需证书机构
  缺点: 密钥托管存在安全问题
• 属性基公钥密码: 加密, 属性权威(AA); 签名, 由模糊身份签名发展而来, 具备匿名性; 有效实现非交互式的细粒度访问控制
• 同态密码: 安全云计算与委托计算, 远程文件存储
  优点: 无密钥方的计算处理
  缺点: 只能实现单比特加密(效率较低), 困难性假设未论证, 需要额外消除噪音算法(非自然同态)
• 抗量子密码: 基于拉你工资物理学, 生物DNA, 数学困难问题
• 轻量级密码: 为资源受限的设备定制专属的密码解决方案; 要求存储计算开销小, 能耗低, 一定程度的安全性

密码学主要研究方向

• 密码基础理论, 对称密码设计与分析, 公钥密码设计与分析. 密码协议设计与分析, 新型密码设计与分析
• 密码芯片设计, 密码模块设计, 密码技术应用
• 密码系统安全防护, 抗攻击安全防护, 密码系统测评
• 量子计算, 量子密钥分配, 量子密码协议
• 密码管理理论与方法, 密码管理工程与技术, 密码管理政策与法规

网络安全基础

网络安全概述

• 安全威胁: 对保密性, 完整性, 可用性, 合法使用的威胁
  • 基本威胁: 信息泄漏, 完整性破坏, 拒绝服务, 非法使用
  • 可实现威胁: 渗入(假冒, 旁路控制, 授权侵犯), 植入(特洛伊木马, 陷门)
  • 潜在威胁: 窃听, 流量分析, 操作人员不慎导致信息泄漏, 媒体废弃物导致信息泄漏
• 防护措施: 物理安全, 人员安全, 管理安全, 媒体安全, 辐射安全, 生命周期控制
• 安全攻击: 被动攻击(信息泄漏, 流量分析), 主动攻击(伪装攻击, 重放冲击, 消息篡改, 拒绝服务)
• 网络攻击
  • 口令窃取
    猜测攻击: 利用已知或假定口令尝试登录, 依据窃取的口令文件进行猜测, 窃听某次合法终端间的会话并记录使用的口令
    抵御方法: 阻止选择低级口令, 对口令文件严格保护
    弊端解决: 基于令牌机制, 如OTP(One-Time Password)
  • 欺骗攻击: 钓鱼邮件
  • 缺陷和后门攻击
    网络蠕虫传播: 向守护程序发送新代码, 向读缓冲区注入大量数据
    缓冲器溢出攻击(堆栈粉碎): 扰乱程序, 再堆栈上执行代码时出现指针紊乱
    缺陷: 程序中某些代码无法满足特定需求, 采取相应步骤降低发生可能性
  • 认证失效: 使系统对访问者采取的身份认证措施无效, 服务器被攻击者欺骗
  • 协议缺陷: TCP序列号攻击, DNS和RPC协议序列号攻击, IEEE802.11 WEP协议缺陷
  • 信息泄漏: Finger协议, DNS
  • 指数攻击: 使用程序快速复制并传播, 蠕虫(程序自行传播), 病毒(依附于其他程序传播)
  • 拒绝服务: 过度使用服务, 使软件或硬件资源耗尽, 使网络连接超出容量, 造成关机或系统瘫痪或降低服务质量
    DDoS(Ditributed Denial-of-Service): 在网络上很多不设防主机植入木马, 按指令同时发起攻击
• 安全服务: 认证(同等实体认证, 数据源点认证), 访问控制, 数据保密性(连接保密性, 无连接保密性, 选择域保密性, 流量保密性), 数据完整性(具有恢复功能的连接完整性, 不具有恢复功能的连接完整性, 选择域连接完整性, 无连接完整性), 不可否认性(源点的不可否认, 信宿的不可否认)
• 安全机制
  普遍: 可信功能度, 安全标志, 事件检测, 安全审计跟踪, 安全恢复
  特定(可嵌入合适的OSI层): 加密, 数字签名, 访问控制, 数据完整性, 认证交换, 流量填充, 路由控制, 公证
  
  
  ISO模型: 物理层(1), 数据链路层(2), 网络层(3), 传输层(4), 会话层(5), 表示层(6), 应用层(7)
  

网络安全防护技术

• 防火墙: 根据访问控制规则, 对进出网络边界的数据流进行过滤
  安全策略要求: 所有进出网络数据流必须经过防火墙, 只允许授权数据流通过防火墙, 防火墙自身对入侵免疫
  发展: 第一代包过滤, 第二代电路级网关, 第三代应用级网关, 第四代动态包过滤, 第五代内核代理或自适应代理, 第六代统一威胁管理(UTM: 杀毒, 防火墙, IDS)
  分类: 包过滤, 电路级网关, 应用级网关
  
  
• 防火墙设计结构
  • 静态包过滤: 接收数据包, 采用过滤规则对IP头和传输字段内容进行检查(数据源地址, 目的地址, 应用或协议, 源端口号, 目的端口号), 没有规则匹配则施加默认规则
  • 动态包过滤: 对已建连接和规则表进行动态维护, 对数据包进行身份记录, 能够察觉新建连接和已建连接间的差别
    实时改变普通包过滤器规则集, 或采用类似电路级网关方式转发数据包
  • 电路级网关: 通常为应用代理服务器的一部分记录和缓存数据, 采用C/S结构过滤和转发数据包, 工作于会话层IP数据包不会实现端到端的流动
  • 应用级网关: 代理服务器作用在应用层, 对数据包进行逐个检查和过滤, 针对每个服务运行一个代理, 目前最安全的防火墙结构之一
  • 状态检查包过滤: 理解并学习各种协议和应用, 从应用进程中收集状态信息存入状态表, 检测模块位于系统内核在数据包到达网关之前进行分析
  • 切换代理: 建立连接时起到电路级代理作用以验证RFC建议的三次握手, 切换到动态包过滤开始数据传输
  • 空气隙(物理隔离): 切断直接连接, 交换数据通过读写SCSI接口的高速硬盘实现
    
• 入侵: 非法取得系统控制权, 利用系统漏洞收集信息, 破坏信息系统
  入侵检测: 检测对系统的非授权访问, 监控系统运行状态保证资源的保密性完整性可用性, 识别针对系统的非法攻击
  检测发展: 入侵检测概念, 入侵检测专家系统, 新型IDES, 网络安全监视器
• 入侵检测系统任务
  • 信息收集: 系统和网络的日志文件, 目录和文件中的异常改变, 程序执行中的异常行为, 物理形式的入侵信息
  • 信息分析: 模式匹配, 统计分析(操作模型, 方差, 多元模型, 马尔可夫过程模型, 时间序列分析), 完整性分析
  • 安全相应: 主动响应, 被动响应
• 入侵检测系统原理: 事件提取, 入侵分析, 入侵响应, 远程管理
• 入侵检测系统分类
  • 数据来源
    • NIDS(基于网络): 截获数据包, 提取特征并与知识库中已知的攻击签名比较
    • HIDS(基于主机): 对日志和审计记录的监控分析发现攻击后的误操作
    • DIDS(分布式): NIDS+HIDS
  • 检测策略
    • 误用检测: 收集信息与数据库相比较
    • 异常检测: 测量属性平均值与系统行为相比较
    • 完整性分析: 是否被篡改
• 异常检测原理: 假设攻击与正常合法行为有明显差异
  方法: 统计, 特征选择, 贝叶斯推理, 贝叶斯网络, 模式预测
• NIDS: 运行在随机模式下的网络适配器来监视并分析通过网络的所有通信业务
  技术: 攻击模式/表达式/字节匹配, 低级事件的相关性, 频率或穿越阈值, 统计学意义上非常规现象
  优点: 拥有成本低, 能够检测未成功的攻击企图, 攻击者转移证据困难, 实时检测和响应, 操作系统独立
  原理: 检测数据头部信息和有效数据内容
• VPN: 物理上分布在不同地点的网络通过公用网络连接构成逻辑上的虚拟子网
  特点: 费用低, 安全保障, 服务质量保证(QoS), 可扩充性和灵活性, 可管理性
  分类: 网关到网关, 远程访问
  关键技术: 隧道技术, 加解密技术, 密钥管理技术, 身份认证技术, 访问控制
• IPSec: 保证上传数据的安全保密性能的三层隧道加密协议
  原理: 网关通过查询SPD(安全策略数据库), 决定对接收到的IP数据包进行转发/丢弃/IPSec处理
  工作模式: AH认证, ESP封装; 传输模式, 隧道模式(产生新的IP头部)
  
  
  
  
• 计算机病毒: 《计算机信息系统安全保护条例》 第28条 编制或在计算机程序中插入的破坏计算机功能或销毁数据, 影响计算机使用, 并能自我复制的一组计算机指令或程序代码
  特点: 破坏性, 传染性, 隐蔽性
  分类: 木马型, 感染型, 蠕虫型, 后门型, 恶意软件
  检测发展: 简单特征码查杀的单一专杀工具, 光谱特征码查杀主动防御拦截的综合杀毒软件, 云/人工智能/大数据技术的互联网查杀
  检测原理: 采样, 匹配, 基准
• 病毒检测技术
  • 特征码: 采样固定位置, 精准匹配方式; 技术简单, 易于实现, 查杀精准; 速度慢, 无法查杀未知病毒
  • 行为: 针对隐蔽性强的病毒有更好检测能力, 可以查杀未知病毒
  • 云技术: 匹配和基准在云端进行; 反应速度快, 终端资源占用减少
  • 大数据与人工智能: 匹配和基准在云端进行; 可以根据模型匹配已知与未知病毒
• 漏洞扫描: 识别安全风险, 实施针对性防护或修补
  分类: 1day(被发现并公开的最新漏洞), Nday(被公开的历史漏洞), 0day(未被公开的漏洞)
  漏洞管理标准: MITRE CVE, CWE, NIST NVD, Symantec BUGTRAQ; CNNVD, CNCVE, CNVD
• 扫描效果依赖因素
  • 漏洞POC是否公开: 通用漏洞存在的原理证明
  • 系统指纹信息采集准确度: 原则上识别出目标系统就可以判断相应漏洞是否存在
  • 漏洞EXP是否存在: 按照通用漏洞缺陷原理, 针对相应实例加以利用
• 扫描技术分类
  • 系统扫描: POC原理(EXP)验证, 版本检测; 操作系统, 网络设备, 协议/端口, 服务应用
  • 应用扫描: 缺陷原理检测; 内容管理系统, 服务器, 框架
• 扫描原理
  • 存活判断: 探测目标系统是否存活
  • 端口扫描: 探测主机启用的端口情况
  • 系统和服务识别: 黑盒测试, 对各种探测的响应形式识别指纹判断系统
  • 漏洞检测: 根据识别的系统与服务信息调用内置或用户外挂的口令字典进行口令猜测, 同时启动远程非登录漏洞扫描
  • 原理检测: 对目标机相关端口发送请求构造特殊数据包, 根据返回结果判断
  • 版本检测: 系统扫描依照漏洞标准库实施, 漏洞与系统版本存在关联关系

网络安全工程与管理

• 安全等级保护: 《网络安全法》 第21条 网络分为五个安全保护等级

级别	相关公民, 法人, 其他组织合法权益	社会秩序和公共利益	国家安全	网络等级
第一级	损害	不危害	不危害	一般网络
第二级	严重损害	危害	不危害	一般网络
第三级	特别严重损害	严重危害	危害	重要网络
第四级	-	特别严重危害	严重危害	特别重要网络
第五级	-	-	特别严重危害	极其重要网络

• 安全定级流程: 确定定级对象 $\to$ 确定业务信息(系统服务)受到破坏时所侵害的客体 $\to$ 综合评定对客体的侵害程度 $\to$ 业务信息(系统服务)安全等级 $\to$ 确定定级保护对象的安全保护等级
• 网络安全管理: 把分散的网络安全技术因素和人为因素, 通过策略规则协调整合为一体, 服务于网络啊安全的目标
• 《保守国家秘密法》 国家秘密是国家安全和利益的一种信息表现形式, 也是国家的重要战略资源; 泄漏讲直接危害国家安全, 直接损害广大人民群众的根本利益; 保守国家秘密是国家行为, 国家责任; 保密能力是国家能力的重要体现和保障
• ISMS(网络安全管理体系): ISO/IEC 2007X标准
  ISO/IEC 20072标准14个方面管理控制策略: 网络安全策略, 网络安全组织, 人力资源安全, 资产管理, 访问控制, 密码, 物理和环境安全, 运行安全, 通信安全, 系统获取开发和维护, 供应商关系, 网络安全事件管理, 业务连续性管理的网络安全方面, 符合性
• 网络安全事件分类(GB/Z 20986-2007《信息安全技术 信息安全事件分类分级指南》): 有害程序事件, 网络攻击事件, 信息破坏事件, 信息内容安全事件, 设备设施故障, 灾难性事件, 其他网络安全事件
• 网络安全事件分级(《国家网络安全事件应急预案》): 特别重大事件(Ⅰ级), 重大事件(Ⅱ级), 较大事件(Ⅲ级), 一般事件(Ⅳ级)
• 网络安全应急处理过程: 准备阶段, 检测阶段, 抑制阶段, 根除阶段, 恢复阶段, 总结阶段
• 信息系统灾难恢复: 信息系统从灾难造成的故障或瘫痪状态恢复到正常可用状态
  关键过程: 需求确定, 策略制定, 策略实现, 预案制定和落实管理

新兴网络及安全技术

• 工业互联网: 开放式全球化工业网络平台紧密融合各方
  安全挑战: 安全防护措施相对滞后传统攻击方式危害性更大, 集成多类不同系统攻击入口更多
  安全防护: 安全人员培训, 安全需求制定和实施计划, 安全硬件和软件设计, 安全方案部署, 信息反馈测试和升级
• 移动互联网: 基于移动通讯技术
  组成部分: 终端技术, 通信网络, 应用, 相关技术
  
• 物联网: 感知识别层, 网络构建层, 管理服务层, 综合应用层
  安全问题: 通信兼容查, 个人隐私泄漏, 架构僵化, 多主体协同成本高, 设备安全问题
  

系统安全基础

系统安全概述

• 系统: 由相互作用或相互依赖的元素或成分构成的统一整体, 内部为组成元素, 外部为环境
  还原论: 将系统分解为组成部分; 整体论: 将系统视为完整的统一体
  综合特性: 可以分解为组成部分的特性; 涌现性: 不可还原为组成部分的特性
  操作系统: 进程管理, 内存管理, 设备管理, 文件管理, 处理器管理
  系统工程: 涵盖系统生命周期的具有关联活动和任务的技术性(应用分析设计原则建设系统)和非技术性过程(通过工程管理保障系统建设项目顺利实施)的集合
  系统安全工程: 力求总系统生命周期的全过程保障系统的安全性
  系统安全思维: 运用整体论分析安全问题, 在系统的全生命周期中衡量系统的安全性, 通过系统安全工程措施建立和维护系统的安全性

系统安全原理

• 系统安全基本原则
  • 限制性原则: 最小特权原则, 失败-保险默认原则, 完全仲裁原则, 特权分离原则, 信任最小化原则
  • 简单性原则: 机制经济性原则, 公共机制最小化原则, 最小惊讶原则
  • 方法性原则: 公开设计原则, 层次化原则, 抽象化原则, 模块化原则, 完全关联原则, 设计迭代原则
• 威胁建模: 标识潜在安全威胁并审视风险缓解途径的过程
  • 威胁(意图), 威胁(可能性), 安全(避免或抵御)
  • 目的: 明确系统的本质特性, 潜在攻击者的基本情况, 最有可能的被攻击角度, 攻击者最想得到的好处情况下, 为防御者提供系统分析应采取的控制或防御措施的机会
  • 主要问题: 被攻击的最薄弱之处在哪; 最相关的攻击是什么; 为应对这些攻击应该怎么做
  • 基本类型: 以风险为中心, 以资产为中心, 以攻击者为中心, 以软件为中心
  • 经典方法: STRIED, PASTA, Trike, VAST
  • 主要环节: 勾画系统的抽象模型, 对模型进行可视化表示, 标识和列举潜在威胁, 制定风险缓解对策
• 安全控制: $(s,o,p)$ 主体, 客体, 操作; $p=\mathrm{read},\mathrm{copy},\mathrm{modify},\mathrm{execute}$ 读, 写, 修改, 执行
  访问控制矩阵策略(基于身份的自主访问控制): 直接对用户构建访问控制矩阵
  角色分配方案(基于角色的访问控制): 对用户分配角色后构建访问控制矩阵
  主客体等级分配方案(基于标签的强制访问控制): 对主体分配涉密等级, 对客体分配保密等级后, 构建访问控制矩阵
• 安全监测
  • 完整性检差: 从开机引导到应用运行, 各个环节都进行检查, 帮助发现系统中是否有重要组成部分受到篡改或破坏
  • 病毒查杀和恶意软件检测: 对系统中的各种文件进行扫描, 帮助发现或清除进入到系统之中的大多数病毒或恶意软件
  • 入侵检测: 对恶意行为或违反安全策略的现象进行监测, 一旦发现及时报告, 必要时发出告警
• 入侵检测分类
  • 监测对象
    • 主机: 对流入流出单台主机或设备的数据包进行监测
    • 网络: 对网络策略性节点上所有设备的流入流出数据进行监测, 对整个子网进行流量分析
  • 检测方法
    • 基于特征: 从被监测对象中寻找已知入侵中提炼出的特定模式
    • 基于异常: 待检测行为与给定的可信行为模型对比
• 安全管理: 把一个组织的资产标识出来并制定, 说明和实施保护这些资产的策略和流程
  安全风险管理: 把风险管理原则应用到安全威胁管理中; 标识威胁, 评估现有威胁控制措施有效性, 确定风险后果, 基于可能性和影响评级排定风险优先级, 划分风险类型并选择合适的风险策略或风险响应
  日常安全管理工作: 搞清需求, 了解模型, 编写指南, 安全系统, 运用模型, 指导操作, 持续应对, 自动化运作
  运用技术提升管理水平: 数据挖掘帮助发现漏洞, 数据分析感知安全态势, 机器学习帮助进行自动防御

系统安全结构

• 硬件系统安全
  • 基本安全支持: 提供密码计算功能(通用处理器提供密码运算指令, 独立的安全密码处理器/密码加速器); 提供数字指纹(用物理不可克隆函数硬件器件实现)
  • 硬件木马: 对集成电路芯片中的电路系统进行恶意修改
    • 威胁: 绕开或关闭系统的安全防线, 泄漏机密信息, 停止扰乱破坏芯片功能, 使整个芯片无法工作
    • 植入方式: 被预置在集成电路中; 芯片设计企业内部职员插入到芯片中
• 操作系统安全: 在应用与硬件功能间建立可信路径
  • 用户管理与身份认证
    • 注册用户档案: 账户名+账户标识+口令; 用户分组
    • 用户登录过程: 账户名+口令
  • 访问控制
    • 自主访问控制： 文件拥有者可自主确定任何用户(用户组)对该文件的访问权限
    • 强制访问控制: 实现多级安全策略, 访问许可依据信息级别和用户等级
  • 日志功能: 记录系统中发生的重要活动的详细信息
• 数据库系统安全
  • 关系数据库管理系统(RDBMS): 本质是二维表, 基本操作通过SQL语言
  • 访问控制
    • 自主访问控制: 访问授权(GRANT), 撤销授权(REVOKE)
    • 强制访问控制(多级安全): 根据数据敏感程度和用户工作情况确定数据敏感级别及分配用户敏感等级, 基于表/字段/记录建立敏感级别
  • 威胁
    • 推理威胁: 源自统计数据库, 进行非法间接访问, 根据合法非敏感统计数据推导出非法的敏感原始数据
    • SQL注入攻击
• 应用系统安全(Web)
• XSS(跨站脚本)攻击: 篡改显示信息, 获取本机cookie信息
• 生态系统: 把系统的概念拓展到生态系统的范围重新认识安全威胁, 重新构建安全模型
  • 关键支撑技术
    • 自动化: 自动响应速度跟上攻击速度
    • 互操作性: 由策略而非技术约束定义网络共同体, 允许成员在自动化团体防御中无缝动态协作
    • 认证: 为在线决策建立基础, 人员认证扩展到设备认证

内容安全基础

信息内容安全概述

• 信息内容安全: 从包含海量信息并迅速变化的网络中对特定安全主题信息进行自动获取, 识别, 分析
  分类: 政治信息安全, 军事信息安全, 商业信息安全
  重要性: 数据量爆炸增长(数据内容成为中心关注点, 大数据技术成为重要生产力, 数据内容价值不断提高), 网络情报获取受到各国重视, 互联网由传统媒体向新型媒体转变(不良信息大量传播)

信息内容安全威胁

• 信息内容安全威胁: 泄漏, 欺骗, 破坏, 篡夺, 恶意内容传播
  
• 以内容为中心的未来互联网: 将内容名称而非IP地址作为传输内容标识符, 实现信息路由
  • 意义: 实施更多优化表示来增强网络性能, 提高未来互联网的智能水平
  • 攻击分类
    • 命名: 攻击者可以审查和过滤内容
    • 路由: 攻击者可以发布或订阅无效内容或路由
    • 缓存: 污染或破坏缓存系统, 侵犯中心网络隐私
    • 其他: 传输过程中未经授权访问或更改内容

网络信息内容获取

• 网络信息内容获取: 工作范围为整个国际互联网, 实质为采用网络交互过程的编程重构机制实现媒体信息获取
• 基于浏览器模拟实现信息内容获取
  利用JSSh客户端向内嵌JSSh服务器的网络浏览器发送JavaScript指令
  指示网络浏览器实现网络身份认证交互, 网页发布信息浏览
  
• 网络爬虫: 实施信息内容获取的典型工具, 自动抓取互联网信息的程序或脚本
  • 搜索类应用: 尽可能覆盖更多互联网网站, 单一网站内搜索深度不高
  • 针对性信息收集应用: 具备高搜索深度和一定的主题选择能力
• 典型技术
  基于自然语言理解和文本挖掘的事件及元素抽取
  基于知识图谱的文本信息与行为特征表示学习
  基于图神经网络推理信念网络的社交网络用户认知模型构建技术
  基于自然语言理解和深度学习模型的语义文本信息生成技术
• 信息内容特征抽取与选择: 数据挖掘信息检索的基本问题, 从信息中抽取的特征词进行量化表示文本信息
  • 文本信息内容: 映射变换, 原始挑选, 专家挑选, 模型挑选
    • 特征选取方式: 向量空间模型描述文本向量, 通过特征选择降维找到代表性特征
    • 特征选取过程: 特征评估函数计算特征评分值并排序, 选取若干评分值最高的作为特征词
  • 音频信息内容
    • 基于帧的特征分类
      • MFCC: 人耳听觉感知特征和语音产生机制结合, 基于Mel频率的倒谱系数
      • 频域能量: 区分音乐和语音的有效特征, 语音频域能量更大
      • 子带能量比: 采用非均匀方式划分频带
      • 过零率: 音频信号通过零值次数, 反映频谱的粗糙估计
      • 基带频率: 基频存在周期或准周期的音频信号中, 反映音调高低
    • 基于片段的特征分类
      • 静音帧率: 一帧的能量和过零率小于给定阈值, 认为是静音帧
      • 高过零帧率: 清音浊音交替构成, 语音过零率更高
      • 低能量帧率: 能量低于阈值的比例, 语音低能量帧率更高
      • 谱通量: 相邻帧间谱变化的平均值
      • 和谐度: 基音频率不等于0的比例
  • 图像信息内容
    • 颜色特征提取
      • 颜色直方图: 反映色级和颜色频率关系
      • 颜色聚合矢量: 区分颜色分布类似而空间分布不同的图像
      • 颜色矩: 颜色分布特点
    • 纹理特征提取
      • 灰度共生矩阵: 灰度分布和变化幅度
      • Gabor小波特征: 符合人眼对图像的响应
      • Tamura纹理特征: 更加切合人类视觉感知系统
    • 其他图像提取: 边缘特征, 轮廓特征

信息内容分析与处理

• 信息内容分析基本处理环节: 分类, 过滤
  信息检索和文本编辑应用中最常见需求: 快速对用户定义的模式或短语进行分类
  高效的分类和过滤算法能使信息处理变得迅速准确
• 线性分类器: 线性判别函数, 输出为正的归为一类
• 费舍尔线性判别: 所有样本投影到一维空间, 投影后两类相隔尽可能远, 同类样本尽可能聚集
• 最邻近分类法: 不需要复杂学习优化过程但有一定计算量, 分界面可以是曲线, 一定程度解决图像特征分布多样问题
• 支持向量机(SVM): 监督学习方法, 同时最小化经验误差并最大化几何边缘区, 对线性可分数据而言是线性分类器
  
• 信息过滤: 将符合用户需求的信息保留, 不符合的过滤
  • 主动性: 主动过滤, 被动过滤
  • 过滤器位置: 源头过滤, 服务器过滤, 客户端过滤
  • 过滤方法: 基于内容, 基于用户兴趣, 协同
  • 知识获取方法: 显式过滤, 隐式过滤
  • 过滤目的: 用户兴趣过滤, 安全过滤
  • 实例: 搜索结果过滤，垃圾邮件过滤, 服务器/新闻组过滤, 浏览器过滤, 未成年过滤

网络舆情内容监测与预警

• 网络舆情内容监测与预警: 对海量非结构化信息挖掘分析, 实现对网络舆情的热点焦点演变信息的掌握, 为网络舆情监测与引导部分决策提供科学依据
  • 针对信息源的深入信息采集: 传统搜索引擎采用广度优先策略遍历并下载文档, 而顶点信息源信息的提取率过低
  • 异构信息融合分析: 互联网信息在编码/数据格式/结构组成差异巨大, 重要前提是同一表达或标准下进行有机结合
  • 非结构信息的结构化表达: 非结构化信息容易人类理解, 但对于计算机信息处理系统相当困难
  • 应用: 地区风险预测, 事件演化规律与发展趋势预测, 网络舆情事件引导, 大数据分析可视化与辅助决策
• 网络舆情系统功能分解
  • 高仿真信息(论坛, 聊天室)深度提取: 建设的基础核心内容
  • 基于语义的海量媒体内容特征快速提取与分类: 实现信息特征提取和结构化转变功能, 完成信息转化
  • 非结构信息自组织聚合表达: 基础设施与典型应用的实际需求
• 网络舆情内容分析: 深度挖掘, 利用定向搜索手段完成针对指定信息源的全面深入内容提取操作, 以面向结构迥异风格多样的数据发布源实施互联网媒体信息监控工作
  关键技术: 异构信息归一化, 网络热点自动发现, 网络协商与人际对话模拟, 热点数据报告定制

内容中心网络及安全

• 内容中心网络模型(CCN): 采用以内容名称而非IP地址为中心的传输架构; 具备快速高效的数据传输能力和增强的可靠性; 物联网与5G网络中极具竞争力
  • 内容信息对象: 存储并可访问的所有类型对象
  • 命名: 信息对象的标识, 具有全局性和唯一性, 地位与TCP/IP架构中的IP地址相当; 分层命名方案, 扁平命名方案
  • 路由: 发送方提供消息摘要, 接收方提供订阅兴趣
  • 缓存: 每个CCN节点维护缓存表, 缓存接收的内容消息对象, 以便响应后续接收到相同请求
  • 应用程序接口: 根据请求和交付内容信息对象定义, 用于内容信息对象的发布和获取
• 面向内容中心网络的攻击: 包括影响网络流量的旧式攻击
  • 命名相关攻击: 监视列表攻击, 嗅探攻击
  • 路由相关攻击: DDos攻击, 欺骗攻击
  • 缓存相关攻击: 驱逐流行内容攻击
  • 其他攻击: 假冒攻击, 重放攻击
• 基于雾计算的智能防火墙模型: 网络边缘隔离防御系统, 基于已有安全策略, 实现对兴趣包洪范攻击的智能感知和动态防御
  

应用安全基础

应用安全概述

• 应用安全: 为保障各种应用系统在信息获取, 存储, 传输, 处理各个环节安全
• 云计算: 造成了数据所有权和管理权的分离; 云计算基础设施的可信性, 云数据安全保障
• 工业互联网: 形成跨设备/跨系统/跨厂区/跨地区的互联互通, 推动整个制造服务体系智能化; 保证信息来源的可信与真实
• 大数据: 5V(巨量, 高速产生, 多样性, 低价值密度, 真实性); 规模大到在获取, 存储, 管理, 分析大大超出传统数据库工具能力范围; 保证数据来源真实, 促进多源数据共享, 有效挖掘数据价值, 保障数据所有者权益
  本质上为方法论, 组合分析多源异构的数据来进行更好的决策
• 人工智能: 图像识别, 自然语言理解, 知识发现, 数据挖掘, 博弈, 网络安全防护, 密码设计分析; 智慧城市, 自动驾驶, 医疗诊断, 在线教育, 芯片设计
  2017年我国《新一代人工智能发展规划》; 2019年7月美国《国家人工智能研究发展战略计划》
• 区块链: 数字加密货币的基础支撑技术, 构建价值互联网和建立新型信任体系; 本身存在安全问题和隐私保护问题, 对互联网信息服务和金融安全带来风险

身份认证与信任管理

• 认证: 证实客户端/服务器的真实身份与其所称身份相符
  • 基本途径: 所知, 所有, 个人特征
  • 主要方法
    • 用户名-口令认证(所知): 简单易用, 不需要任何硬件设备; 口令泄露问题, 弱口令易受字典攻击和暴力攻击, 复杂强安全口令难于记忆
    • 动态口令/一次性口令(OTP)(所有): 双运算因子, 有效期较长的共享密钥和随机因子; 基于时间同步, 基于事件同步, 短信验证码
    • 挑战-应答认证(所有): 一次性随机数实现防重放攻击; 基于hash函数, 基于数字签名算法
    • 基于生物特征认证: 生物统计学方法成为个人身份认证最简单而安全的方法; 可信度高, 难以伪造, 随时携带; 不够稳定(辨别失败率高), 无法挂失
    • 图灵测试: 验证人类或自动化执行程序, 利用人类能快速回答而机器回答困难的问题, 目的防范利用程序对系统进行暴力破解
    • 多因子认证
• PKI(公钥基础设施): 遵循标准的利用公钥理论和技术建立的提供安全服务的基础设施
  目的: 解决网上身份认证, 电子信息的完整性和不可抵赖性问题, 为网络应用提供可靠的安全服务
  任务: 确立可信任的数字身份
  数字证书: 主体名, 主体公钥, 证书序号, 证书有效期, 可信任的签发机构(CA)
  信任体系: X/509标准采用树型信任体系, CA自签发证书是整个体系锚点; 上级CA为下级CA或用户颁发证书; 双方沿信任路径可到达相同证书节点, 则可建立信任关系
• 身份认证主流标准
  • RADIUS: 远程拨入业务协议, 用于接入认证和计费服务, RFC2658 RFC2865
  • FIDO: 在线快速身份认证, 基于生物特征识别解锁设备上的加密密钥, 通过公钥密码或对称密码方案与服务器进行身份认证, 从而完全通过本地身份认证实现无口令登录
    • UAF通用身份认证框架
    • U2F通用第二因子认证协议
  • FIM: 联盟身份管理, 支持用户身份跨安全域链接
    • Oauth: 定义了资源所有者, 资源服务器, 客户, 授权服务器四个角色
• 访问控制模式
  • DAC自主访问控制模式: 资源拥有者按照自己意愿决定权限授予, 策略灵活但安全性较差
  • MAC强制访问控制模式: 为用户和数据划分安全等级, 实现信息单向流动, 但权限管理效率偏低缺乏灵活性
  • RBAC基于角色访问控制模式: 角色引入实现用户与权限之间的分离, 简化授权管理
• 零信任模型(ZTM): 网络边界内外任何实体, 未验证前均不予以信任
  内网应用程序和服务对公网不可见, 企业内网边界消失, 基于身份/设备/环境认证的精准访问控制, 提供网络通信的端到端加密

隐私保护

• 隐私保护: 发布或共享数据中不能识别出具体个人的数据
  • 个人信息: 自然人的相关数据; 隐私: 个人敏感信息
  • K-匿名: 仅在数据集中去除名字不能起到匿名效果, 准标识符与其他信息组合时可以重新标识身份; 敏感属性不能泄漏泛化序列的信息
  • I-多样性: 同质性攻击, 背景知识攻击
  • t-邻近: 隐私是观测到的信息增益(先验信息与后验信息的差额), 即 $I(X:y)=H(X)-H(x|y)$
  • 差分隐私: 数据集进行统计查询计算时, 不能通过多次不同的查询方式推断出某个特定个体数据, 即 $\forall \epsilon >0$, $\forall T\subset \mathrm{Range}(A):\frac{\mathrm{Pr}[A(D)\in T]}{\mathrm{Pr}[A(D^{\prime })\in T]}\le e^{\epsilon }$; 实现 $M((f(D)))=f(D)+\sigma$, 拉普拉斯机制 $\mathrm{Laplace}(x|\mu ,b)=\frac{1}{2b}\exp (-\frac{|x-\mu |}{b})$.
• 隐私计算: 面向隐私信息全生命周期保护的计算理论和方法; 对涉及的隐私信息进行描述, 度量, 评价, 融合; 在网络空间隐私信息保护的重要理论基础
  • 环节: 隐私信息抽取, 场景描述, 隐私操作, 方案设计, 效果评估
  • 全生命周期: 隐私感知, 保护, 交换传播中的延伸控制, 侵犯行为判定, 销毁
• 隐私保护法律法规
  • HIPAA: 美国健康保险信息, 保护个人医疗记录隐私
  • Regulation P: 美联储, 保护金融业用户隐私
  • FACT: 美国信用卡个人隐私保护所
  • GDPR: 欧盟, 寄予个人更强的隐私保护, 寄予信息技术企业和机构更多限制
  • 网络安全法: 我国, 2017年6月1日正式生效, 个人信息保护

云计算及其安全

• 云计算: 基于网络访问, 以按需分配, 共享使用的方式对物理计算资源进行供应和管理
  云部署方式: 私有云, 公有云, 混合云
  服务模型: SaaS软件即服务, PaaS平台即服务, IaaS基础设施即服务
• 虚拟化技术: 云计算基础
  • 架构: 裸金属架构(硬件上虚拟化监控器), 寄居架构(操作系统上虚拟机), 容器(操作系统虚拟化)
• 云基础设施安全
  • 虚拟机逃逸: 控制虚拟机管理系统或在宿主机上运行恶意软件, 获得其他虚拟机的完全控制权限
  • 边信道攻击: 与目标虚拟机使用相同物理层硬件, 交替执行过程中推断出目标虚拟机行为, 导致目标虚拟机内的用户数据泄漏
  • 网络隔离: 数据包在虚拟网络中移动, 无法使用物理网络上的监控和过滤工具
  • 镜像和快照安全: 通过特定镜像创建虚拟机或服务实例, 攻击者感染镜像会大幅提升攻击效率和影响范围, 攻击者非法恢复快照会使得历史数据清除, 攻击行为被彻底隐藏
• 云数据安全: 存储安全(云加密数据库, 密文搜索), 计算安全(基于SGC的保密计算)

区块链及其安全

• 区块链: 比特币的底层技术, 公开透明的分布式账本, 用hash串联信息实现完整性, 防止篡改, 可公开验证
  类型: 公有链(自由加入和退出), 联盟链(授权加入和退出), 私有链(私有机构中心网络)
• 比特币: 数据以文件形式被永久记录称为区块, 时间戳记录特定的数据生成时间, 默克尔树存储当前区块的所有交易信息, 难度系数用于控制区块生成速度(每10分钟产生一个区块)
  • 共识机制: 网络存在故障或不可信节点下, 交易依旧能按照预期的正确方式执行, 确保各节点最终结果一致性
    PoW算力证明机制/工作量证明, PoS权益证明机制, DPoS股份授权证明机制, RBFT实用拜占庭容错算法
  • 智能合约: 对区块链数据库进行读写操作的代码, 可自动执行参与方指定的数字契约
    • 去中心化, 无须中介, 满足合约条件即可自动执行与验证协议
    • 较低的人为干预风险, 最小意外或恶意情况发生
    • 最小信任中介智能
    • 可观察性和可验证性, 降低仲裁以及强制执行的成本
    • 低成本, 降低违约带来的损失
    • 高效性与实时性
• 区块链安全问题
  • 51%算力攻击: 攻击者掌握超过全网50%算力, 可容易阻止其他节点交易确认, 逆转当前区块已经完成的交易
  • 攻击交易所
  • 软件漏洞: 需要完备的代码审计, 渗透测试, 智能合约监控
  • 隐私泄漏: 公有链数据可公开数据, 大数据关联分析可对特定用户去标识化

人工智能及其安全

• 人工智能: 自然语言处理, 计算机视觉, 深度学习, 数据挖掘
• 人工智能安全问题
  • 对抗样本: 对待预测样本添加特定微小扰动或细微修改, 使得模型对于该样本判断出错
  • 模型萃取: 取得目标模型参数或构造出与目标模型功能相似的可替代模型
  • 训练数据窃取: 获得训练数据集的具体样本及统计分布, 或判断某条数据是否在训练数据集中
  • 投毒攻击: 修改训练数据集或投放精心构造的恶意样例, 干扰训练过程, 降低最终模型的判断准确性
• 人工智能的安全影响: 复杂性挑战, 网络犯罪, 隐私保护侵犯, 不确定性风险, 智能网络攻防, 人工智能伦理