网络安全技术及应用--网络安全基础(第一章)

网络安全技术及应用–网络安全基础(第一章)

一:网络空间安全威胁及现状

1.网络安全威胁的种类及途径

  • 网络安全主要威胁的种类

    网络安全面临的主要威胁受人为因素、系统和运行环境的影响,包括网络系统问题和网络数据(信息)的威胁和隐患。

    网络安全威胁主要表现为:非法授权访问、窃听、黑客入侵、假冒合法用户、病毒破坏、干扰系统正常运行、篡改或破坏数据等。

    威胁性攻击大致可分为主动攻击和被动攻击两大类。

  • 网络安全威胁的主要途径

    大量网络系统的功能、网络资源和应用服务等已经成为黑客攻击的主要目标。

2.网络安全的威胁及风险分析

1.网络系统安全威胁及风险

  • 网络系统面临的威胁和风险

  • 网络服务协议的安全威胁

    常用的互联网服务安全包括:Web浏览服务安全、文件传输(FTP)服务安全、Email服务安全、远程登陆(Telnet)安全、DNS域名安全和设备实体安全。

2.操作系统的漏洞及隐患

操作系统安全是指操作系统本身及运行的安全,通过其对系统软硬件资源的整体有效控制,并对所管理的资源提供安全保护.操作系统是网络系统中最基本、最重要的系统软件,在设计与开发时难以避免疏忽留下漏洞和隐患。

  • 体系结构和研发漏洞。网络系统的威胁主要来自操作系统的漏洞
  • 创建进程的隐患。支持进程的远程创建与激活、新进程继承原进程的权限,其机制也时常给黑客提供远端服务器安装“间谍软件”的可乘之机。
  • 服务及设置的风险。操作系统的部分服务程序可能绕过防火墙、查杀病毒软件等。
  • 配置和初始化错误。网络系统一旦出现严重故障,必须关掉某台服务器维护其某个子系统,之后再重启动服妥器时,可能会发现个别文件丢失或被篡改的现象
  1. 防火墙的局限性及风险
  • 防火墙能够较好地阻止外网基于IP包头的攻击和非信任地址的访问,却无法阻止基于数据内容的黑客攻击和病毒入侵,也无法控制内网之间的攻击行为。其安全局限性还需要入侵检测系统、入侵防御系统、统一威胁管(Unified Threat Mana-gement,UTM)等技术进行弥补,应对各种网络攻击,以扩展系统管理员的防范能力(包括安全审计、监视、进攻识别和响应)。
  1. 网络数据库的安全风险

    数据库安全不仅包括数据库系统本身的安全,还包括最核心和关键的数据(信息)安全,需要确保数据的安全可靠和正确有效,确保数据的安全性、完整性和并发控制。数据库存在的风险因素包括:非法用户窃取信息资源,授权用户超出权限进行数据访问、更改和破坏等

  2. 网络安全管理及其他问题

    网络安全是一项系统工程,需要各方面协同管理。

    • 网络安全相关法律法规和管理政策问题
    • 管理漏洞和操作人员问题。
    • 实体管理、运行环境及传输安全是网络安全的重要

二:网络安全相关概念、目标和特征

1.相关概念

  • 信息安全:指系统硬件、软件及其信息受到保护,并持续正常运行和服务.信息安全的实质是保护信息系统和信息资源免受各种威胁、干扰和破坏,即保证信息的安全性。
  • 网络安全:指利用网络技术、管理和控制等措施,保证网络系统和信息的保密性、完整性、可用性、可控性和可审查性受到保护。即保证网络系统的硬件、软件及系统中的数据资源得到完整、准确、连续运行与服务不受干扰破坏和非授权使用
  • 网络空间安全:针对网络空间中的信息在产生、传输、存储、处理等环节中所面临的威胁和防御措施,以及网络和系统本身的安全和防护机制。

2.网络安全的目标及特征

  • 目标:网络安全的目标是指在网络的信息传输、存储与处理的整个过程中,提高物理上逻辑上的防护、监控、反应恢复和对抗的要求。

    网络安全包括两大方面,一是网络系统的安全,二是网络信息(数据)的安全,网络安全的最终目标和关键是保护网络信息的安全

  • 网络信息安全5大特征

    • 保密性:也称机密性,是不将有用信息泄漏给非授权用户的特性,主要强调有用信息只被授权对象使用的特征
    • 完整性:是指信息在传输、交换、存储和处理过程中,保持信息不被破坏或随意删改、不丢失和信息未经授权不能改变的特性,也是最基本的安全特征。
    • 可用性:指信息资源可被授权实体按要求访问、正常使用或在非正常情况下可恢复使用的特性(系统面向用户服务的安全特性)。
    • 可控性:指系统对信息内容和传输具有控制能力的特性,指网络系统中的信息在一定传输范围和存放空间内可控程度
    • 可审查性:拒绝否认性、抗抵赖性或不可否认性,指网络通信双方在信息交互过程中,确信参与者本身和所提供的信息真实同一性,即所有参与者不可否认或抵赖本人的真实身份,以及提供信息的原样性和完成的操作与承诺。

3.网络安全的内容及侧重点

(1)网络安全涉及的内容

网络安全的内容包括:操作系统安全、数据库安全、网络站点安全、病毒与防护、访问控制、加密与鉴别等方面

  • 实体安全
  • 系统安全
  • 运行安全
  • 应用安全
  • 管理安全

(2)网络安全内容的侧重点

1)网络安全工程人员。从实际应用角度出发,更注重成熟的网络安全解决方案和新型产品,注重网络安全工程建设开发与管理、安全防范工具、操作系统防护技术和安全应急处理措施等。
2)网络安全研究人员。注重从理论上采用数学等方法精确描述安全问题的特征,之后通过安全模型等解决具体网络安全问题。
3)网络安全评估人员。主要关注网络安全评价标准与准则、安全等级划分、安全产品测评方法与工具、网络信息采集、网络攻击及防御技术和采取的有效措施等

4)网络管理员或安全管理员。主要侧重网络安全管理策略、身份认证、访问控制、入侵检测、防御与加固、网络安全审计、应急响应和计算机病毒防治等安全技术和措施。主要职责是配置与维护网络,在保护授权用户方便快捷地访问网络资源的同时,必须防范非法访问、病毒感染、黑客攻击、服务中断和垃圾邮件等各种威胁,一旦系统遭到破坏,致使数据或文件造成损失,可以采取相应的应急响应和恢复等措施。
5)国家安全保密人员。注重网络信息泄露、窃听和过滤的各种技术手段,以避免涉及国家政治、军事、经济等重要机密信息的无意或有意泄露;抑制和过滤威胁国家安全的暴力与邪教等信息传播,以免给国家的稳定带来不利的影响,甚至危害国家安全。
6)国防军事相关人员。更关心信息对抗、信息加密、安全通信协议、无线网络安全、入侵攻击、应急处理和网络病毒传播等网络安全综合技术,以此夺取网络信息优势、扰乱敌方指挥系统、摧毁敌方网络基础设施,打赢未来信息战争。

三: 网络安全主要常用技术

1. 网络安全技术发概念和通用技术

(1)网络安全技术相关概念

网络安全技术是指为解决网络安全问题进行有效监控和管理,保障数据及系统安全的技术手段

(2)通用的网络安全技术

通用的网络安全技术主要可以归纳为三大类

  • 预防保护类。主要包括身份认证、访问管理、加密、防恶意代码、入侵防御和加固等。
  • 检测跟踪类。对网络客体访问行为需要监控、检测和审计跟踪,防止在访问过程中可能产生的安全事故的各种举措。
  • 响应恢复类。一旦发生重大安全故障,采取应急预案呵有效措施,确保在最短时间内对其事件应急响应和备份恢复,尽快将其损失和影响降至最低。

主要的通用网络安全技术有8种

1)身份认证。通过网络身份的一致性确认,保护网络授权用户的正确存储、同步、使用、管理和控制,防止别人冒用或盗用的技术手段。
2)访问管理。保障授权用户在其权限内对授权资源进行正当使用,防止非授权使用的措施。
3)加密.加密技术是最基本的网络安全手段.包括:加密算法、密钥长度确定、密钥生命周期(生成、分发、存储、输入输出、更新、恢复、销毁等)安全措施和管理等。
4)防恶意代码。建立健全恶意代码(计算机病毒及流氓软件)的预防、检测、隔离和清除机制,预防恶意代码入侵,迅速隔离查杀已感染病毒,识别并清除网内恶意代码。

5)加固。对系统漏洞及隐患,采取一定必要的安全防范措施,主要包括:安全性配置、关闭不必要的服务端口、系统漏洞扫描、渗透性测试、安装或更新安全补丁及增设防御功能和对特定攻击预防手段等,提高系统自身的安全。
6)监控。通过监控用户主体的各种访问行为,确保对网络等客体的访问过程中安全的技术手段。
7)审核跟踪。对网络系统异常访问、探测及操作等事件及时核查、记录和追踪。利用多项审核跟踪不同活动。
8)备份恢复。为了在网络系统出现异常、故障或入侵等意外情况时,及时恢复系统和数据而进行的预先备份等技术方法。备份恢复技术主要包括四个方面:备份技术、容错技术、冗余技术和不间断电源保护

(3)网络空间安全新技术

  • 智能移动终端恶意代码检测技术
  • 可穿戴设备安全防护技术
  • 云存储安全技术

2.网络安全常用模型

(1)网络安全PDRR模型

防护、检测、响应和恢复

(2)网络安全通用模型

请添加图片描述

(3)网络访问安全模型

黑客攻击可以形成两类威胁:一是访问威胁,即非授权用户截获或修改数据;二是服务威胁,即服务流激增以禁止合法用户使用。对非授权访问的安全机制可分为两类:一是网闸功能,包括基于口令的登录过程可拒绝所有非授权访问,以及屏蔽逻辑用于检测、拒绝病毒、蠕虫和其他类似攻击;二是内部的安全控制,若非授权用户得到访问权.

请添加图片描述

(4)网络安全防御模型
请添加图片描述

  • 9
    点赞
  • 53
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 3
    评论
第8章 网络安全 数据通信与网络技术-第8章-网络安全全文共53页,当前为第1页。 本章提要 网络安全概述 网络安全标准和等级 防火墙技术(重点) 计算机病毒防范技术(重点) 数据通信与网络技术-第8章-网络安全全文共53页,当前为第2页。 8.1网络安全概述 网络安全概念 网络安全的主要特性交换机 网络安全系统功能 数据通信与网络技术-第8章-网络安全全文共53页,当前为第3页。 1.网络安全概念 网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改泄露,系统连续、可靠、正常地运行,网络服务不中断。 广义上,凡是涉及网络上信息的安全性、完整性、可用性、真实性和可控性的相关理论和技术都是网络信息安全要研究的领域。 狭义的网络信息安全是指网络上信息内容的安全性,即保护信息的秘密性、真实性和完整性,避免攻击者利用系统的安全漏洞进行窃听、冒充、诈骗和盗用等有损合法用户利益的行为,保护合法用户的利益和隐私。 数据通信与网络技术-第8章-网络安全全文共53页,当前为第4页。 2.网络安全的主要特性 1. 保密性 信息不泄露给非授权用户、实体或过程,或供其利用的特性。 2. 完整性 据未经授权不能进行改变的特性。 3. 可用性 可被授权实体访问并按需求使用的特性。 4. 可控性 可控性是指对信息的传播及内容具有控制能力。 5.不可否认性 网络通信双方在信息交互过程种,确信参与者本身以及参与者所提供的信息的真实同一性,及所有参与者都不可能否认或抵赖本人的真实身份,以及提供信息的原样性和完成的操作与承诺。 数据通信与网络技术-第8章-网络安全全文共53页,当前为第5页。 3.网络安全系统功能 身份认证 认证就是识别和证实,是验证通信双方身份的有效手段,它对于开放系统环境中的各种信息安全有重要的作用。用户向系统请求服务时,要出示自己的身份证明,如输入(User ID和 Password)等。而系统应具备查验用户身份证明的能力,对于用户的输入,能够明确判断该用户是否来自合法用户。 访问控制 访问控制是针对越权使用的防御措施,其基本任务是防止非法用户进入系统以及防止合法用户对系统资源的非法使用。在开放系统中,对网络资源的使用应制定一些规则,包括用户可以访问的资源和可以访问用户各自具备的读、写和其他操作的权限。 数据通信与网络技术-第8章-网络安全全文共53页,当前为第6页。 3.网络安全系统功能 数据完整性 数据完整性是针对非法的篡改信息、文件和业务流而设置的防范措施,以保证资源可获得性。数据完整性服务可以保证信息流、单个信息或信息中指定的字段,保证接收方所接收的信息与发送方的信息是一致的,在传送过程中没有被复制、插入、删除等对信息进行破坏的行为。数据完整性服务又可分为恢复和无恢复两类。 数据保密性 数据保密性是针对信息泄露的防御措施,它可分为信息保密、选择数据段保密与业务流保密等。保密性服务是为了防止被攻击而对网络传输的信息进行保护。根据传送的信息的安全要求不同,选择不同的保密级别。最广泛的服务是保护两个用户之间在一段时间内传送的所有用户数据,同时也可以对某个信息中的特定域进行保护。 数据通信与网络技术-第8章-网络安全全文共53页,当前为第7页。 3.网络安全系统功能 防抵赖 防抵赖是针对对方进行抵赖的访问措施,用来保证收发双方不能对已发送或已接收的信息子以否认,一旦出现发送方对发送信息的过程予以否认,或接收方对已接收的信息予以否认时,防抵赖服务提供记录,说明否认方是错误的。防抵赖服务对电子商务活动是非常有用的。 密钥管理 密钥管理是以密文方式在相对安全的信道上传递信息,可以让用户比较放心地使用网络,如果密钥泄露或居心不良者通过积累大量密文而增加密文的破译机会,就会对通信安全造成威胁。为对密钥的产生、存储、传递和定期更换进行有效的控制而引入密钥管理机制,对增加网络的安全性和抗攻击性非常重要。 数据通信与网络技术-第8章-网络安全全文共53页,当前为第8页。 3.网络安全系统功能 攻击监控 通过对特定网段、服务建立的攻击监控体系,可实时检测出绝大多数攻击,并采取相应的行动(如断开网络连接、记录攻击过程、跟踪攻击源等)。 检查安全漏洞 通过对安全漏洞的周期检查,即使攻击可到达攻击目标,也可使绝大多数攻击无效。 数据通信与网络技术-第8章-网络安全全文共53页,当前为第9页。 8.2网络安全标准和等级 应用计算机信息系统安全等级划分主要有两种 一种是依据美国国防部发布的评估计算机系统安全等级的桔皮书,将计算机安全等级划分为4类8级,即A2、A1、B3、B2、 B1、C2、C1、D; 另一种是依据我国颁布的《计算机信息系统安全保护等级划分准则》(GB 17859—1999),将计算机安全等级划分为5级。
第一章 网络安全概论 网络安全技术原理与实践--第一章-网络安全概论全文共20页,当前为第1页。 1.1 网络安全的定义 物理安全 逻辑安全 操作系统安全 网络数据传输安全 网络安全技术原理与实践--第一章-网络安全概论全文共20页,当前为第2页。 物理安全 指用来保护计算机硬件和存储介质的装置和工作程序。物理安全包括防盗、防火、防静电、防雷击和防电磁泄漏等内容。 网络安全技术原理与实践--第一章-网络安全概论全文共20页,当前为第3页。 逻辑安全 计算机的逻辑安全需要用口令字、文件许可、加密、检查日志等方法来实现。防止黑客入侵主要依赖于计算机的逻辑安全。可以通过以下措施来加强计算机的逻辑安全: (1)限制登录的次数,对试探操作加上时间限制; (2)把重要的文档、程序和文件加密; (3)限制存取非本用户自己的文件,除非得到明确的授权; (4)跟踪可疑的、未授权的存取企图等等。 网络安全技术原理与实践--第一章-网络安全概论全文共20页,当前为第4页。 操作系统安全 操作系统是计算机中最基本、最重要的软件。同一计算机可以安装几种不同的操作系统。如果计算机系统需要提供给许多人使用,操作系统必须能区分用户,防止他们相互干扰。一些安全性高、功能较强的操作系统可以为计算机的每个用户分配账户。不同账户有不同的权限。操作系统不允许一个用户修改由另一个账户产生的数据。 网络安全技术原理与实践--第一章-网络安全概论全文共20页,当前为第5页。 网络数据传输安全 主要是保护数据在网络信息系统中传输、交换和存储的保密性、完整性、真实性、可靠性、可用性和不可抵赖性等。而加密技术则是数据传输安全的核心。它通过加密算法将数据从明文加密为密文并进行通信,密文即使被黑客截取也很难被破译,然后通过对应解密技术解密密文还原明文。 网络安全技术原理与实践--第一章-网络安全概论全文共20页,当前为第6页。 1.2 网络常见的安全威胁 恶意代码攻击 网络协议攻击 拒绝服务攻击 Web攻击 网络安全技术原理与实践--第一章-网络安全概论全文共20页,当前为第7页。 恶意代码攻击 恶意代码是计算机按照攻击者意图执行以达到恶意目标的指令集。 木马(Trojan) 指通过特定的程序木马程序来控制另一台计算机。木马通常有两个可执行程序,一个是控制端,另一个是被控制端。 僵尸网络(Botnet) 僵尸网络是可被攻击者远程控制的被攻陷主机所组成的网络。 计算机病毒(Computer Virus) 计算机病毒是能够自我复制的一组计算机指令或者程序代码,通过编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用。 蠕虫(Worm) 蠕虫是一种通过网络传播的恶性病毒,它是一类自主运行的恶意代码。 网络安全技术原理与实践--第一章-网络安全概论全文共20页,当前为第8页。 网络协议攻击 TCP/IP协议由网间层的IP协议和传输层的TCP协议组成,它定义了网络设备接入Internet的方式及网络设备间传输数据的标准 网络接口层 主要负责定义网络介质的物理特性,包括机械特性、电子特性、功能特性和规程特性等。 网间层 负责网络设备之间的通信,即点到点通信。并提供基本的数据包封装等功能。 传输层 负责提供应用程序间的数据传送服务,也称为端到端的通信。 应用层 负责应用程序间的沟通。 网络安全技术原理与实践--第一章-网络安全概论全文共20页,当前为第9页。 拒绝服务攻击攻击 拒绝服务(Denial of Service,DOS)就是故意的攻击网络协议缺陷或直接通过野蛮手段耗尽被攻击对象的资源,使受害主机或网络不能及时接收处理外界请求,或无法及时回应外界请求的能力,甚至导致系统崩溃、网络瘫痪。 网络安全技术原理与实践--第一章-网络安全概论全文共20页,当前为第10页。 Web攻击 当前,Web普遍采用三级层次的体系结构。客户端和服务器端程序通过TCP/IP协议层之上的超文本传输(HTTP)协议来进行信息传输和事物处理。 根据Web应用程序的特点,Web相关的安全问题通常分为客户端安全和服务器端安全。客户端安全的关键问题主要是客户端的web浏览器和主机操作系统的漏洞存在,导致网站挂马攻击等。服务器端的安全主要在于要实施攻击,攻击者首先必须获得对目标主机的控制权。 网络安全技术原理与实践--第一章-网络安全概论全文共20页,当前为第11页。 1.3 网络攻击技术 网络扫描技术 网络嗅探技术 伪装技术 网络安全技术原理与实践--第一章-网络安全概论全文共20页,当前为第12页。 网络扫描技术 网络扫描技术是一种通常使用TCP或者UDP来尝试建立到目标的连接,通过目标的响应来搜集有用信息的一种对远程主机或本地主机安全性脆弱点探测的技术。 网络扫描的技术类型主要包括:主机扫描、端口扫描、
非常感谢您的提问。根据您的要求,我可以回答您的第一个问题。以下是我对园区网络规划的设计书的回答: 1、项目需求分析 园区网络规划的设计书需要考虑以下几个方面的需求: - 用户数量:园区内可能有大量的用户,需要根据实际情况估算出用户数量,确保网络设计能够承载所有用户的需求。 - 网络带宽:在设计园区网络的同时,需要考虑到员工日常工作、客户访问、数据传输等需要大量网络带宽的场景。 - 网络可靠性:园区内的企业可能有较高的网络运行要求,需要为其提供高可靠性的网络服务,确保网络不会因故障或其他原因宕机。 - 网络扩展性:园区网络规划需要为未来业务的扩展和升级留出足够的空间。 2、网络设计整体模型 设计整体模型可以采用三层结构,包括核心层、汇聚层和接入层。核心层专门处理园区网络核心数据交换,汇聚层主要是各种上联交换机的聚集地,接入层则是连接终端设备的。 3、物理网络方案 物理网络方案采用大规模分层的技术,核心层设备部署在数据中心,向上连接园区外部网络和互联网入口;汇聚层设备部署在园区服务器室,分别连接各个业务专线和接入层设备;接入层设备则部署在各个楼宇的机房内,连接用户所使用的设备。 4、IP地址与路由规划 IP地址规划方案是将园区内每个网络分配给一个独一无二的特定地址。路由规划决定了如何将IP流量从一个网络传输到另一个网络。在有些情况下,可以使用静态路由,而在其他情况下,可能需要使用动态路由。 5、网络安全规划 网络安全规划是在园区网络规划过程中必不可少的一部分,包括网络访问控制、威胁防御和数据加密等措施。网络防火墙和入侵检测系统可以保障网络的安全。在将数据存储在网络中时,也应使用加密技术确保数据的安全性。 6、网络管理及网络应用设计 园区网络规划应考虑网络管理和网络应用。网络管理系统包括网络监控、设备管理、配置和系统更新等功能,可以大大提高网络管理的效率。在网络应用设计方面,常常会涉及到协同办公、远程访问、视频会议等应用

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

h1dm

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值