網絡與信息安全
信息安全要素
- 信息安全四要素沒有“合法性”。
- 網絡信息安全目標:完整性、機密性、可用性、防抵賴性、可控性。
- 網絡信息安全基本功能:防禦、檢測、應急、恢復。
安全協議
郵件
網絡協議
- OSI七層協議:物理層、數據鏈路層、網絡層、傳輸層、會話層、表示層和應用層
- 數據鏈路層:差錯控制、流量監測、數據幀同步
- 網絡層:路由選擇
- 傳輸層:提供用戶和網絡的接口
- 鏈路層:處理信號在介質中的傳輸
法律標準
- 影響國家安全的定級最低位3級,這是軍隊相關位4級
- 國安法和國網安法
物理安全
安全體系結構
- OSI制定的5種安全服務:
- 鑑別服務
- 訪問服務
- 數據完整性
- 抗抵賴性
- 數據保密
密碼
- 56*2=112老弟!
- 無線局域網產品必須使用的密碼算法:
- 對稱:SM4
- 簽名:ECDSA
- 密鑰協商:ECDH
- 雜湊:SHA-256
- Kerberos:對稱密鑰分配,主要用於網絡中的身份鑑別,通識也是密鑰分配中心的核心,進行密鑰分配時使用AES、DES等對稱密鑰加密。
- 算法可以公開,密鑰是祕密的
雜湊算法 | 分組長度 | 輸出長度 |
---|---|---|
SHA1 | 512 | 160 |
MD5 | 512 | 128 |
SM3 | 512 | 256 |
- S盒是非線性計算
- 字節代換:查表(S盒)
- 行移位:循環左移
- 列混淆:矩陣運算
- 輪密鑰加:逐比特異或
- DES初始密鑰64bit,有效密鑰56bit,經過密鑰壓縮置換輸出48bit的字密鑰(輪密鑰)
簽名
- 簽名如果容易被僞造,還要他啥用
- 感覺和盲簽名像
數字證書
- CA的公開密鑰在CA的證書上
網絡安全設備與技術
訪問控制
- 自主訪問控制有:
- jones取予模型(take-grant模型)
- hru模型(harrison、ruzzo、ullman訪問控制矩陣模型)
- 動作實體模型
- 強制訪問控制有:
- 基於角色的訪問控制模型
- bell-lapadula模型(blp模型)
- clark-wilson模型
- bn模型(brew nash chinese wall模型)
信息隱藏
認證
- IPSec協議提供原地址驗證,離身份驗證還有些距離
- 常見的身份認證協議有:S/Key口令協議、kerberos協議、x.509協議等。
- 面向身份信息認證的最常用方式:基於賬戶/口令認證
- 認證身份,得知是否被篡改。
漏洞
網絡
![image-20231017204148431](/Users/hangshao/Library/Application Support/typora-user-images/image-20231017204148431.png)
無線
- 無線安全:加密和認證(https://www.cnblogs.com/alan666/p/8311856.html)
- x.802.11標準定義2種認證方式和1種加密方式:
- 開放系統認證
- 共享密鑰認證
- 有線等保加密(WEP)
- 採用RC4加密,40位或104位密鑰流和24位的初始向量
VPN
- VPN是一個完整的網絡(虛擬),可以實現所有公共網絡的功能。
- VPN提供:機密性、完整性、認證等服務。
防火牆
- 應用代理防火牆:保護網絡中的內部主機和外部網主機的網絡通信連的“中間人”。
- 優勢:
- 不允許外部主機直接訪問內部主機
- 支持多種用戶認證方法
- 可以分析數據包內部應用命令
- 提供詳細的審計記錄
- 安全控制更細化、更靈活
- 缺點:
- 速度比包過濾慢
- 對用戶不透明
- 對特定的應用協議相關聯,並不支持多有的網絡協議
- 優勢:
- 防火牆是用於控制內網和外網的數據訪問和數據傳輸的。
- 防火牆不能阻止來自網絡內部的攻擊和安全問題。
- 防火牆不能防止受病毒感染文件的傳輸。
- 防火牆本身並不具備查殺病毒的功能。
惡意代碼
路由器
交換機
- 交換機分類,按照工作層分:
- 2層交換機:工作在數據鏈路層,根據MAc地址進行交換
- 3層交換機:工作在網絡層,對數據報進行路由,對IP地址進行交換
- 4層交換機:工作在傳輸層,根據傳輸層的端口自主進行數據轉發
入侵
- 入侵檢測放入防火牆可以降低入侵檢測的誤報率。
- IPS(入侵防護系統),是主動防護。
- 採用串聯方式部署在網絡中
- 採用旁路阻斷(旁路檢測)
- 可以實現的功能:
- 屏蔽指定的IP
- 端口
- 域名
防禦和監控
深度流檢測技術:流特徵選擇、劉特徵提供、分類器
- 掃描部署是動態的,不是靜態的。
- 常用代碼靜態分析的方法:
- 模式匹配
- 定理證明
- 模型檢測
- 郵件過濾機制
- STMP:對來自本地網絡以外發信用戶進行認證,即必須提供賬戶名和密碼後纔可以登陸STMP服務器,進行遠程轉發,使用戶避免受到垃圾郵件的侵擾。
- 反向姓名解析:通過DNS查詢判斷髮送者的IP與其聲稱的是否一致。
- 黑名單查詢:基於用戶投訴和採樣積累而成的,由域名或IP組成的數據庫。
- 目前最有效的方法:基於郵件標題或正文的內容過濾,結合內容掃描引擎,根據郵件的常用標題、垃圾郵件受益者名字、電話號碼、Web地址等信息進行過濾,其耗費計算資源是最大的。
漏洞掃描
基礎設置與底層系統安全
攻擊
- 跨站腳本攻擊,簡稱XSS,或者CSS,指攻擊者在Web頁面中過插入惡意代碼,當用戶瀏覽web頁面時,潛入的惡意代碼會執行。
- 造成xss攻擊的原因是,網站程序對用戶的輸入過濾不足,不修改任何數據,屬於被動攻擊。
- 主動攻擊:修改了什麼
- 被動攻擊:沒有修改任何,如流量分析和竊聽
- 目前網絡存在的威脅包含兩類:
- 滲入
- 假冒、旁路、授權侵犯
- 植入
- 木馬、陷阱
- 滲入
- 網絡攻擊模型主要用於分析攻擊活動、評測目標系統的抗攻擊能力。主要分爲三種模型:
- 攻擊樹模型(起源於故障樹分析法)
- MITREATT&&CK模型(攻擊者視角)
- 網絡殺傷鏈模型
- (攻擊)樹不能建模循環事件
操作系統
數字水印
數據庫
網站和電子商務安全
雲和移動安全
基礎設施安全
- COS一般分爲:通信、應用、文件、安全
網絡安全管理
測評
- 風險評估屬於輸出階段的報告。
管理
- 安全框架:審計、完整性、身份認證、保密性、可用性、真實性。
- 服務無法備份啊
- 軟件和配置(文件)是可備份的
- 審計系統:
- 收集過濾
- 記錄查詢
- 分析響應