一、网络安全基础
目录
1、网路安全概述
网络空间的定义:2009年美国《网络安全政策评估》中给出Cyberspace定义:信息技术基础设施中相互储存的网络,包括互联网、电信网、计算机系统以及重要工业中的处理器和控制器。常见的用法还指信息及人与人交互构成的虚拟网络。我国官方文件指出:互联网、自动化控制系统、数字设备机器及其承载的应用、服务和数据构成了网络空间,其已成为陆地、海洋、天空、太空、同等重要的人类活动的新领域。
网络空间安全威胁:政治安全、经济安全、文化安全、社会安全、国防安全。
网络强国战略目标:
- 近期目标:技术强、基础强、内容强、人才强、国际话语强;
- 中期目标:建设网络强国的战略部署与“两个一百年”奋斗目标同步推进,向着网络安全基础设施基本普及、自主创新能力显著增强、信息经济全面发展、网络安全保障有力的目标不断前进;
- 远期目标:战略清晰、技术先进、产业依靠、制网权尽在掌握,网络安全坚不可摧。
战略原则:尊重维护网络空间主权、和平利用网络空间、依法治理网络空间、统筹网络安全与发展。
战略任务:坚定捍卫网络空间主权、坚决维护国家安全、保护关键信息基础设施、加强网络文化建设、打击网络恐怖和违法犯罪、完善网络治理体系、夯实网络安全基础、提升网络安全防护能力、强化网络空间国际合作。
正确的网络安全观:网络安全是整体的、动态的、开放的、相对的、共同的。
2、网络安全要素
网络安全的基本属性:
- 保密性:又称“机密性”不仅包含对信息内容的保密,还包括信息状态的保密。
- 完整性:指信息未经授权不能进行更改的特性。及信息2在存储或传输过程中保持不被偶然或蓄意的删除、修改、伪造、乱序、重放、插入等破坏和丢失的特性。
- 可用性:指信息可被授权实体访问并按需求使用的特性。
网络安全的演变史:
- 通信保密阶段:现代通信保密阶段普遍认为是从1949年香农Shannon发表的《保密系统的信息理论》,将密码学的研究纳入了科学的轨道上,主要安全问题是窃听和分析。
- 计算机安全阶段:20世纪70年代,美国国家标准局公布了数据加密标准(DES)、美国国防部(DoD)公布了《可信计算机系统评估准则》(TCSEC),互联网出现后,早期互联网发展的思维方式遵守Postel法则:严于律己,宽以待人。但蠕虫病毒(Morris)的出现极大改变了互联网的开放性。
- 信息系统安全阶段:20世纪90年代后,信息系统安全成为网络安全的核心内容。通信和计算机技术相互依存,安全的需求不断向社会的各个领域扩展,人们的关注对象从计算机转向更具本质性的信息本身,进而关注信息系统的安全。这一阶段除了强调保密性、可用性,人们还关注“不可否认性”。1993年6月,美国政府同加拿大及欧共体共同起草单一的通用准则(CC标准)并推广到国际标准,制定该标准的目的是:建立一个各国都能接受的通用的信息安全产品和系统的安全性评估准则。
- 网络安全空间阶段:进入21世纪,网络逐渐成为既海陆空天之后的第五大人类生存空间。网络空间安全引起各国的高度关注,将其视为国家安全基础。仅从传统的保密性、完整性、可用性来理解已经太够,更需要关注国层面的政治、经济、文化、军事等影响。
3、网络安全体系结构
网络安全体系概述:参照开放系统互联安全体系结构 ISO 7498-2 标准,其核心内容是:为了保证异构计算机进程之间远距离交换信息的安全,定义了系统应当提供的5种安全服务和8种安全机制,确定了安全服务与安全机制之间的关系,以及OSI参考模型中安全服务和安全机制的配置。
OSI参考模型:物理层、数据链路层、网络层、传输层、会话层、表示层、应用层。
安全服务:鉴别、访问控制、数据完整性、数据保密性、抗抵赖。
- 鉴别:鉴别服务是对通信中的对等实体和数据来源的鉴别。
- 访问控制:访问控制决定了什么实体可以访问什么资源,以防止未授权的实体访问系统内的资源。
- 数据完整性:数据完整性服务可以防止或检测信息资源收到篡改等破坏。
- 数据保密性:数据保密性服务是对数据提供保护、使之不被非授权的泄露。
- 抵赖性:抵赖性也称不可否认性,主要变现为原发抗抵赖和接受抗抵赖。即数据发送者无法否认发送数据的事实,数据接收者无法否认其接收过这些数据。
安全机制:加密、数字签名、访问控制、数据完整性、鉴别交换、通信业务填充、路由选择控制、公证。
- 加密:加密机制能为数据和通信业务流信息提供保密性。
- 数字签名:数字签名机制分为两个过程,一是签名过程,而是签名验证。签名过程是使用签名者所私有的信息,以保证签名的唯一性,验证签名过程所用的程序和信息是公之于众的,以便每个人都可以验证改签名,但无法从中推断签名着的私有信息。
- 访问控制:为了判断一个实体是否具有访问权,访问控制机制可以使用该实体已经鉴别过的身份(如登陆系统后的身份)进行访问控制。如果该实体试图访问非授权的资源,那么访问控制功能会拒绝其访问,并产生日志等警告。
- 数据完整性:分两个方面,一是数据单元完整性,二是数据流的完整性。数据单元完整性又涉及两个过程,分别是发送实体和接受实体。发送实验给数据单元附加上一个量(通常为哈希值),且这个量本身可以被加密,接受实体根据数据单元产生一个相应的量,并与发送方的量进行比较,以此确定发送的数据单元是否被篡改;数据流完整性可以采用顺序号、时间标记或密码链等手段。
- 鉴别交换:鉴别交换机制是通信过程中一方鉴别另一方身份的过程。
- 通信业务填充:指在正常通信流中增加冗余信息,能抵抗通信业务分析。
- 路由选择控制:路由能动态地设定,以便物理上安全的子网络、中继站或者链路使用。
- 公正:由于第一方和第二方相互不信任,故寻找双方都信任的第三方,通过第三方背书在前两方之间建立信任。
安全服务于安全机制关系:
安全产品:防火墙、入侵检测系统、恶意代码防护。
- 防火墙:在内部网络与不安全网络之间存在的类似防护栏的保护机制,阻断来自外部的网络入侵,保护内部的网络安全。
- 防火墙功能:访问控制、内容控制、安全日志、集中管理、VPN(虚拟专用网络)、NAT(网络地址转换)等。
- 入侵检测系统(IDS):通过监视受保护系统或网络的状态,可发现正在进行或已经发生的网络攻击。
- IDS功能:监视用户和系统的活、发现入侵行为、记录和警报。
- IDS分类:
- 基于主机的IDS:基于主机的IDS用于保护运行关键应用的主机。通过监视和分析主机的审计记录和日志文件来检测入侵。
- 优点是能确定攻击是否成功、监视粒度更精细、配置灵活、适用于加密网络、不需要额外硬件。
- 基于网络的IDS:基于网络的IDS主要用于实时监测网络关键路径的信息,通过侦听网络上的所有分组来分析入侵行为。
- 优点是实施提供网络保护、可检测面向网络的攻击、不会影响现有的网络的性能、更全面的监视企业网络、操纵维护相对简单。
- 缺点是无法在加密的环境中使用。
- 恶意代码防护:恶意代码是一个计算机程序或一段程序代码,执行后完成特定的功能,但这些功能是恶意的,,有破坏作用的,如计算机病毒。
- 恶意代码分类:
- 病毒:一种通过修改其他程序或进行自身复制,从而感染其他程序的一段程序,具有传染性、隐蔽性、潜伏性、多态性和破坏性等特征。
- 蠕虫:利用操作系统漏洞进行传播,属于病毒的一种发展。
- 特洛伊木马:指一个隐藏在合法程序中的非法程序。该非法程序在用户不知情的情况下执行。隐身的木马程序能实现如删除信息、发送消息等功能。
- 逻辑炸弹:可以理解为满足特定逻辑条件时就试试破坏的计算机程序,不具备病毒的传播性。
4、网络安全事件
APT攻击特性:潜伏性、持续性、单点隐蔽性、攻击渠道多样性、针对特定目标。
安全事件:
- 震网病毒:世界上第一例针对工控系统的病毒。该病毒不经过互联网传播,而是凭借用户U盘从一台计算机传播到另一台计算机,或者通过局域网传播。利用的漏洞是软件开发者和反病毒公司还未发现的漏洞。内部设置有行动截止日期,当病毒进入一台新的计算机是会检查日期,若晚于规定的时间则停止感染。
- WannaCry勒索病毒:该病毒利用NSA泄露的“永恒之蓝”黑客武器攻击Windows系统445端口。过去通过邮件、挂马传播。
- 永恒之蓝:是美国国家安全局(NSA)研发的网络武器,用于攻击特定的政府企业目标。
- 丰收行动:通过鱼叉式钓鱼从而实现信息窃取。
- 摩诃草事件:境外APT组织,主要针对中国、巴基斯坦等亚洲国家进行网络间谍活动。
- 鱼叉攻击:针对特定组织的网络欺诈行为,目的是不通过授权来访问机密数据。常见的方法是将木马程序当做电子邮件发给特定目标,诱使其打开附件。
二、网络安全法律法规
1、网络安全法背景概述
网安法的背景:
- 国际背景:主要围绕国际间的合作与共赢、冲突和对抗
- 国内背景:
- 大量的网络安全时间的出现以及所造成的经济损失
- 地下黑产的扩大、网络攻击越来越多
- 新型技术的持续发展与应用
- 我国信息化建设的突飞猛进
- 网络安全人才建设的滞后
- 法律法规条文的分散和监管的滞后
各国网络安全法的重点制度:
- 机构职责和管理制度
- 监测预警和应急
- 关键信息基础设施保护
- 数据安全保护
- 信技术新业务安全
我国网络安全法发展历程:
- 2014.2:中央安全和信息化领导小组成立,标志着我国把网络安全提升到了国建安全的高度,并开始酝酿网络安全法编写工作
- 2015.6.26:十二届全国人大常委会第一次审议了《网络安全法(草案)》
- 2016.6.28:十二届全国人大常委会第二次审议了《网络安全法(草案)》
- 2016.10.31:十二届全国人大常委会第三次审议了《网络安全法(草案)》
- 2016.11.7:《中户人民共和国网络安全法》最终审议通过
- 2017.6.1:《中户人民共和国网络安全法》正式实施
三次审议:
- 第一次审议(2015年6月26日):
- 明确网络空间主权原则
- 对关键基础设施安全实施重点保护
- 加强网络安全监测预警和应急制度建设
- 第二次审议(2016年6月28日):
- 明确重要数据境内存储,建立数据跨境安全评估制度
- 鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系
- 第三次审议(2016年10月31日):
- 进一步界定关键信息基础设施范围
- 增加惩治攻击破坏我国关键信息基础设施的境外组织和个人的规定
- 增加惩治网络诈骗等新型网络违法犯罪活动的规定
- 加强网络安全人才培养、未成年人上网安全
网络安全法建设发展历程:
- 通信保密安全:保守国家秘密法(1989)(2010年修订)、计算机信息系统安全保护条例
- 计算机安全:计算机信息系统安全保护(1994)、计算机信息系统安全专用产品检测和销售许可证管理办法-97
- 网络信息系统安全:关于维护互联网安全的决定(2000)、互联网信息服务管理办法、计算机病毒防治管理办法、计算机信息系统国际联网保密管理规定-00
- 网络空间安全:网络安全法(2016)、国家安全法(2015)、刑法修正案(七)、刑法修正案(九)
网络安全法特点:
- 网络安全法是我国的第一部网络安全领域的法律,是保障网络安全的基本法
- 网络安全法不是网络安全立法的重点,而是起点
- 《网络安全法》与《国际安全法》、《保密法》、《反恐怖主义法》、《反间谍法》、《刑法修正案(九)》、《治安管理处罚法》、《电子签名法》等法律同属同一法律阶位
- 网络安全法是我国网络安全的基本法律,与其他相关法律在相关条款和规定上互相衔接,互相呼应,共同构成了我国网络安全管理的综合法律体系
- 网络安全法也是在现行的一些制度的基础上,上升和完善的成果。
2、网络安全法解读
3065
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
