雜七雜八的網絡安全知識
博客鏈接:
一、信息安全概述 1.信息與信息安全
信息與信息技術
信息奠基人:香農:信息是用來消除隨機不確定性的東西
信息的定義:信息是有意義的數據,是一種要適當保護的資產。數據經過加工處理之后,就成為信息。而信息需要經過數字化處理轉變成數據才能存儲和傳輸。
信息的功能:反應事物內部屬性、狀態、結構、相互聯系以及與外部環境的互動關系
信息與消息:消息是信息的外殼,信息是消息的內核。消息是信息的籠統概念。
信息與數據:數據是信息的符號表示。信息是數據的內涵,是數據的語義解釋。數據可以用不同的形式表示,而信息不會隨數據不同的形式而改變。
信息技術:IT,是用于管理和處理信息所采用的各種技術的總稱。信息處理事獲取信息并對他進行變換,使之成為有用信息并發布出去的過程。
發展階段:
電訊技術的發明:電話電報的出現計算機技術的發展:電子管計算機、晶體管計算機、集成電路和大規模集成電路計算機互聯網的使用:(美國軍用計算機網絡) -> 網絡社會:云計算、物聯網、大數據
信息安全
信息安全一般指信息系統受到保護,不受偶然的或者惡意的原因的影響而遭到破壞
信息安全的目標:保證信息安全屬性的到保持
信息安全的任務:保護信息資產免經未經授權的訪問等
信息安全的屬性
2.信息安全威脅
我國面臨的信息安全威脅
信息安全問題產生的根源
3.信息安全發展階段與形式
通信安全
通過密碼技術解決通信保密,保證數據的保密性和完整性
安全威脅:搭線竊聽,密碼學分析
安全措施:加密
計算機安全
確保信息系統的保密性、完整性、可用性
安全威脅:非法訪問、惡意代碼、弱口令
安全措施:安全操作系統設計技術
信息系統安全
確保信息在存儲、傳輸過程中免受偶然或惡意的泄密、非法訪問或破壞
安全威脅:網絡入侵、病毒破壞、信息對抗
安全措施:防火墻、防病毒、漏洞掃描、入侵檢測、PKI、VPN
信息安全保障
動態安全、綜合技術、管理、過程、人員
安全威脅:黑客、信息戰
安全措施:計算安全保障體系、安全管理體系
我國信息安全形勢
2013年,棱鏡門事件
4.信息安全保障
含義
采用技術管理等綜合手段,保護信息系統安全運行的防護行為
綜合的保護手段,是一個動態的過程
防止信息泄露、監測入侵攻擊、修復信息系統受到的破壞
攻擊后的修復不在傳統信息安全概念之內
保障模型
信息安全保障模型能準確描述安全的重要方面與系統行為的關系,提高對成功實現關鍵安全需求的理解層次
防護-檢測-響應:PDR模型:承認信息系統中存在的漏洞,正式系統面臨的威脅。該模型認為,任何安全防護措施都是基于時間的,超過該時間段,這種防護措施就可能被攻破。
策略-防護-檢測-響應:P2DR:信息系統所有防護、檢測、響應都是依據安全策略實施的。強調動態。
作用
開放性、跨界性、及時性、交互性
5.信息系統安全保障
信息系統
信息系統是具有集成性的系統
信息系統安全保障的含義
信息系統安全保障是在信息系統的整個生命周期中,從技術、管理、工程、人員等方面提出安全保障要求。
信息系統安全保障模型
二、信息安全基礎技術 1.密碼學
密碼學發展
加密與解密
明文:原始消息
密文:經過加密
加密員:對明文進行加密的人
**對稱密碼算法:**加密密鑰和解密密鑰相同,或實質上相同
**非對稱密鑰算法:**加密密鑰與解密密鑰不同。其中一個是公鑰(對外公開的密鑰),另一個是私鑰(必須保密的密鑰)
混合加密
hash函數
對稱密鑰和非對稱密鑰加密主要解決信息的機密性問題,而實際系統和網絡還可能受到消息篡改等攻擊。hash函數可以保證消息的完整性。輸出的hash值可稱為散列值、消息摘要(MD)
數字簽名
對hash值進行簽名
2.數字證書與公鑰基礎設施 數字證書
綁定用戶身份和公鑰
包含相關信息:所有者的公鑰
擁有者擁有證書公鑰對應的私鑰
由可信的頒發結構頒發
頒發機構對證書進行簽名
PKI
公鑰基礎設施
CA
認證權威機構:公安局
負責數字證書的產生、發放、管理,保證數字證書的真實可靠。
管理數字證書 驗證數字證書 RA的設立、審查、管理 RA
證書注冊結構:派出所
LDAP
目錄服務
證書的存儲庫,提供了證書的保存、修改、刪除、獲取的能力
CA采用LDAP的標準的目錄服務存放證書,效率高。
CRL
List:證書撤銷列表,證書黑名單
在證書的有效期內,因某種原因,導致相應數字證書內容不再是真實可信的,進行證書撤銷
CRL列出了被撤銷證書的序列號
證書載體
內存
ic卡
usb-key
3.身份認證
身份認證是用戶登錄系統或網站面對的第一道安全防線
用戶所知
靜態口令
缺點:
短信口令認證
動態口令
隨機生成,動態變化
用戶所有
u盾(usb key)
usb接口的硬件設備,內置單片機和智能卡芯片
生物特征 其他身份認證技術
單點登錄(SSO, sign-on)
遠程用戶撥號認證系統
4.訪問控制
針對越權使用資源的防御措施
控制策略:主體對客體相關訪問規則的集合
訪問控制:主體依據某些控制策略或訪問權限,對客體本身或其他資源賦予不同訪問權限的能力
訪問控制安全策略遵循最小特權原則
自主訪問控制
:DAC
資源的所有者可以規定誰有權訪問他們的資源
優點:
缺點:信息在傳遞過程中其訪問權限關系會被改變
強制訪問控制
:MAC
主體和客體都有一個固定的安全屬性,系統用該安全屬性來決定一個主體是否可以訪問某個客體
應用與軍事等安全要求較高的系統
基于角色的訪問控制
RBAC
根據用戶所擔任的角色來決定用戶在系統中訪問的權限
5.安全審計
即便采用了很多方法保障網絡安全,仍不可避免的感染病毒或者受到威脅。受到威脅后,如何從安全事故中恢復過來,需要采取一些措施。安全審計是提高安全性的工具。能夠再現問題,幫助事后責任追查和數據恢復
安全審計可以追蹤和監測系統中的異常事件,也可以監視系統中其他安全機制運行的情況
日志是安全審計系統的主要組成部分,記錄日常事件或者誤操作警報
被動式審計:簡單記錄,不作處理
主動式審計:結束一個登錄會話、拒絕一些主機的訪問
三、網絡安全防護技術 1.網絡基礎知識
TCP/IP協議
通信地址:將數據從一段傳送到另一端
MAC地址:物理地址:48bit
Ip地址:邏輯地址:32bit
IPv6是IETF(互聯網工程任務組)設計下的下一代IP協議
封裝::高層進城進行數據傳輸時,會將數據從高層向底層傳送
解封裝:
tcp
面向連接的、可靠的字節流服務
udp
提供面向事務的簡單不可靠信息傳送服務
2.網絡安全威脅
網絡安全威脅主要來自攻擊者對網絡及信息系統的攻擊
攻擊者可以通過網絡嗅探、網絡釣魚、dos、遠程控制、社會工程學等網絡攻擊手段,獲取目標計算機的控制權
網絡嗅探
通過截獲、分析網絡中傳輸的數據而獲取有用信息的行為
網絡釣魚
攻擊者利用偽造的網站或欺騙性的電子郵件進行的網絡詐騙活動
拒絕服務攻擊
DoS:拒絕服務攻擊
DDoS:分布式拒絕服務攻擊
SYN :同步洪泛攻擊
遠程控制
通過非法手段成功入侵目標主機后,以實現對目標主機的遠程控制
社會工程學
綜合運用信息收集、語言技巧等手段
3.網絡安全防護與實踐
虛擬專用網絡:VPN
常用協議:
應用:
防火墻
設置在不同網絡之間的一系列包括軟硬件在內的部件組合。在內網與外網之間構建一道保護屏障,網絡內部和外部之間的所有數據流必須經過防火墻
4.無線局域網安全防護
無線局域網(WLAN, Local Area )
以無線的方式連接網絡設備
增強無線網絡安全性的措施
四、操作系統安全防護技術 1.操作系統概述
操作系統是計算機系統軟硬件資源的控制中心
操作系統的特征:
管理資源:
操作系統分類:
2.操作系統的安全威脅 系統漏洞防范 提升防火墻病毒防范漏洞掃描強化端口解析,數據備份 惡意代碼
故意編制、對網絡或系統會產生威脅和潛在威脅的計算機代碼
病毒
破壞os的cpu、文件、存儲、硬件資源
寄生、傳染、潛伏、隱蔽、破壞、可觸發性
木馬
特洛伊木馬
利用計算機程序漏洞入侵后竊取他人文件
木馬是一種后門程序,常被黑客用作控制遠程計算機的工具
該程序長期潛伏于被攻擊者主機內,以實現攻擊者對其長時間的破壞
完整的木馬系統:
木馬傳播途徑:
蠕蟲
具備病毒的破壞能力,還可以實現自我復制和傳播
基本結構
端口掃描威脅
對目標計算機所有打開端口發送同一信息,根據返回端口狀態分析目標計算機的端口是否打開或者可用。
3.操作系統安全防護 五、應用與數據安全 1.瀏覽器安全
C/S架構
B/S架構
2.網絡金融交易安全
網絡金融交易是用戶通過完成各種網絡金融服務和網絡電子商務支付
網絡金融交易安全措施
3.電子郵件安全
電子郵件是用電子手段提供信息交換的服務
電子郵件安全威脅:
電子郵件安全防護技術
4.數據安全
數據備份
容災
數據恢復
數據加密
磁盤加密工具:
數據刪除
硬銷毀
物理破壞
軟銷毀
邏輯銷毀,通過軟件編程對數據及相關信息反復覆蓋擦除
5.賬戶口令安全 六、移動智能終端安全防護 1.移動智能終端
具有獨立操作系統、可安裝應用程序、使用無線局域網或移動通信網訪問因特網的設備
功能:
2.移動智能終端安全威脅
安全形勢:
安全威脅:
3.移動智能終端的安全使用
注意隱私權限訪問請求
慎重掃描二維碼
七、信息安全管理 1.信息安全管理概述
信息安全管理( , ISM),是管理者為實現信息安全目標而進行計劃、組織、指揮、協調和控制的一系列活動。成功實施信息安全管理的關鍵因素通常包括以下內容:
組織的活動能夠反映組織的業務目標。組織所有級別的管理者能夠給予信息安全實質性的、可見的支持和承諾。組織的管理者對信息安全要求、信息安全風險、風險評估及風險管理有
正確深入的理解。向所有管理者、員工和其它相關方提供有效的信息安全宣傳以提升信息
安全意識。 2.信息安全風險管理
風險是一種潛在的、負面的東西,處于未發生的狀態,它是指遭受損害或損失的可能性。因此,風險一方面客觀存在,另一方面其發生的時間具有不確定性,風險一旦發生,將會產生損失。風險強調的是損害的潛在可能性,而不是事實上的損害,風險是不能消除殆盡的。
威脅脆弱性影響資產:任何對組織有意義的信息
風險管理
背景建立風險評估風險處理批準監督
風險管理師一個動態、不斷循環的過程,一次風險管理完成后,因為新的變化引起新的風險,都需要進入新一輪風險管理周期
3.信息安全事件與應急響應
信息安全事件基本分類:
有害程序事件網絡攻擊事件信息破壞事件信息內容安全事件設備設施故障災害性事件和其他信息安全事件
考慮因素
信息系統重要程度系統損失社會影響
信息安全應急響應
國家計算機網絡應急技術處理協調中心
國家計算機應急處理中心
國家計算機網絡入侵防范中心
信息安全應急響應管理過程
準備:事件發生前,做好應急預案、配置好人力、物力、政策和規程等各種資源。檢測:該階段要做好系統各種信息的收集,以及初步動作和響應。遏制:遏制的目的是限制安全事件的影響范圍,降低潛在的損失。根除:事件被抑制后,需要查找問題根源,徹底解決安全事件。恢復:恢復的目的是把所有受到事件影響的系統和網絡環境還原到正常工作狀態。跟蹤總結:目標是回顧整理發生事件的相關信息,包括安全事件的操作方法和步驟、時間文檔與證據的管理記錄等內容,總結經驗教訓. 4.災難備份
利用技術、管理手段以及相關資源,對關緊數據、信息系統、業務進行備份的過程
災難備份
方法:
備份策略:
八、信息安全法律法規 1.信息保護相關法律法規
國家密級
危害國家秘密安全的行為
危害國家秘密安全的犯罪行為
保護國家秘密相關法律
侵犯商業秘密的行為
保護商業秘密相關法律法規
2.打擊網絡違法犯罪相關法律法規
網絡違法犯罪行為
破壞國家安全和社會穩定的行為
破壞市場經濟秩序和社會管理秩序的行為
侵犯個人、法人和其他組織的人身、財產等合法權利的行為
相關法律
3.信息安全管理相關法律法規
相關法律
4.網絡安全法
2017年6月1日,《中華人民共和國網絡安全法》(以下簡稱《網絡安全法》)正式實施。
這是我國第一部全面規范網絡空間安全管理方面問題的基礎性法律,是互聯網在法制軌道上安全、健康運行的重要保障。
《網絡安全法》提出網絡主權原則、網絡安全與信息化發展并重原則、共同治理原則。
《網絡安全法》第三章“網絡運行安全”規范了網絡運行安全電腦提示證書有風險,特別強調了要保障關鍵信息基礎設施的運行安全,并通過明確關鍵信息基礎設施運營者義務、國家審查、重要數據強制本地存儲等法律措施,來確保信息基礎設施的安全。
《網絡安全法》完善了網絡安全義務與責任,加大法律違法懲處力度將原來散見于各種法規、規章中的規定上升到法律層面。第四章“網絡信息安全”對網絡運營者等主體的法律義務和責任做了全面規定,并在第六章“法律責任”中提高了違法行為的處罰標準,加大了罰力度。
《網絡安全法》第五章“監測預警與應急措施”將監測預警與應急處置工作制度化、法制化,明確國家建立網絡安全監測預警和信息通報制度,建立網絡安全風險評估和應急工作機制電腦提示證書有風險,制定網絡安全事件應急預案并定期演練。為建立統一高效的網絡安全風險報告機制情報共享機制、研判處置機制提供了法律依據,為深化網絡安全防護體系實現全天候全方位感知網絡安全態勢提供了法律保障。