目录
2.2.6.1 保密性 Confidentiality(看不懂)
一、网络安全导论
- 我国第一部全面规范网络空间安全的基础性法律“中华人民共和国网络安全法”正式实施时间是2017年6月1日。
- 国家网络安全宣传周在我国开展的第一届是:2014年
二、网络安全概述
2.1 网络安全问题起因
唯物辩证法告诉我们,事物的发展必然有内因和外因两个方面。其中,内因是根据,外因是条件,外因通过内因起作用。
2.1.1 内因
- 网络的开放性:任何人都可以接入网络,导致端用户无法控制;
- OS与应用软件:代码编写留下的 bug;
- 网络协议:只考虑连通性和效率,忽略了安全性,存在安全缺陷
TCP / IP 体系结构 攻击手段 OSI 模型 应用层 入侵(用户认证识别、授权)
病妻、DDOS
应用层 - 7
表示层 - 6
运输层(报文) 破解会话密钥
篡改
会话层 - 5
传输层 - 4
网络层(寻址、路由) 伪造、欺骗(攻击包头) 网络层 - 3 数据链路层(帧) 链路加密 / 破译 、ARP 数据链路层 - 2 物理层(比特流) 干扰,注入,窃听辐射 物理层 - 1 通信介质 破坏,窃听 电缆无线(电波)
2. 漏洞应用的类型:
- 安全产品漏洞
- 网络设备漏洞
- 数据库漏洞
- 操作系统漏同
- WEB应用漏洞
- 应用程序漏同
漏洞存在的客观性成为安全事件的技术基础。
2.1.2 外因
1. 非人为
不可抗因素:包括如雷击等自然灾害硬件故障、电磁泄漏。
2. 人为
非故意:
- 误操作:如光纤被挖断;
- 配置缺乏安全考虑:如出厂设置弱口令初始密码;
- 用户缺乏安全意识:如传播未经证实的消息、钓鱼 / 木马诈骗。
故意:利益驱动成为网络安全事件频发的主要诱因。
编写恶意代码 散发恶意代码 垃圾邮件、网站挂马、聊天工具 回收 / 控制受害主机 僵尸网络、木马网络 利用受害主机赚钱 DDOS 、散发垃圾邮件、构建钓鱼网站;
虚假流量、盗取账号密码、盗取隐私秘密
地下交易平台 上面所有事情都可以“谈”
2.2 网络安全发展
2.2.1 阶段一:通信安全
20世纪,40年代-70年代,主要关注传输过程中的数据保护。
- 安全威胁:搭线窃听、密码学分析;
- 核心思想:通过密码技术解决通信保密,保证数据的保密性和完整性;
- 安全措施:加密。
2.2.2 阶段二:计算机安全
在20世纪,70-90年代,主要关注于数据处理和存储时的数据保护。
- 安全威胁:非法访问、恶意代码、脆弱口今等;
- 核心思想:预防、检测和减小计算机系统用户执行的未授权活动所造成的后果;
- 安全措施:通过操作系统的访问控制技术来防止非授权用户的访问。
2.2.3 阶段三:网络安全
20世纪,90年代后,主要关注信息系统整体安全。
- 安全威胁:网络入侵、病毒破坏、信息对抗等;
- 核心思想:重点在于保护比“数据”更精炼的“信息”;
- 安全措施:防火墙、防病毒、漏洞扫描、入侵检测、PKI、VPN 等。
2.2.4 阶段四:网络空间安全
万物互联时代,新技术领域融合带来新的安全风险。
- 工业控制系统“云大移物智”:云计算、大数据、移动互联网、物联网、智慧城市;
- 核心思想:强调防御、威慑和利用结合的三位一体。
2.2.5 网络安全主要威胁
- 钓鱼欺诈成为网络安全首害;
- 网站拖库成为黑客主流盗号手段;
- 超七成网站存在高危漏洞;
- APT攻击日渐增多,并呈现诸多新特点;
- 移动互联网恶意程序。
2.2.6 网络安全要素(CIA)
2.2.6.1 保密性 Confidentiality(看不懂)
- 数据保密性:对于未授权的个体而言信息不可用。
- 隐私性:确保个人能控制或确定自身那些信息可以被收集、保存,这些信息可以被谁公开及向谁公开。
2.2.6.2 完整性 Integrity(改不了)
信息的完整性、一致性:
- 数据完整性,未被未授权篡改或者损坏;
- 系统完整性,系统未被非法操按既定的目标运行。
2.2.6.3 可用性 Availability
服务连续性,对授权用户不能拒绝服务。
2.2.6.4 可控性(进不来)
控制授权范围内的信息的流向及行为方式。
2.2.6.5 不可否认性(跑不了)
是攻击者、破坏者、抵赖者“逃不脱”。
2225
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
