系统性认知网络安全

news2024/11/20 9:34:20

前言:本文旨在介绍网络安全相关基础知识体系和框架

目录

一.信息安全概述

信息安全研究内容及关系

 信息安全的基本要求

保密性Confidentiality:

完整性Integrity:

可用性Availability:

二.信息安全的发展

20世纪60年代:

20世纪60-70年代:

20世纪90年代以后:

三.网络安全的攻防研究体系

四.攻击技术

五.防御技术

六.网络安全的层次体系

物理安全

逻辑安全

操作系统安全

联网安全

七.研究网络安全的必要性

物理威胁

系统漏洞威胁

 线缆连接威胁

有害程序威胁 

八.国际评价标准

D级

C级

B级 

A级


一.信息安全概述

网络安全是信息安全学科的重要组成部分,信息安全是一门交叉学科:

  • 广义上,信息安全涉及多方面的理论和应用知识,除了数学、通信、计算机等自然科学外,还涉及法律、心理学等社会科学
  • 狭义上,也就是通常说的信息安全,只是从自然科学的角度介绍信息安全的研究内容

信息安全研究内容及关系

信息安全从总体上可以分成5个层次

  • 安全的密码算法
  • 安全协议
  • 网络安全
  • 系统安全以及应用安全
  • 层次结构

 信息安全的基本要求

信息安全的目标是保护信息的机密性完整性抗否认性可用性

也有的观点认为是机密性完整性可用性,即 CIA(Confidentiality Integrity Availability)

保密性Confidentiality:

保密性是指保证信息不能被非授权访问,即使非授权用户得到信息也无法知晓信息内容,因而不能使用

完整性Integrity:

完整性是指维护信息的一致性,即信息在生成、传输、存储和使用过程中不应发生人为或非人为的非授权篡改。一般通过访问控制阻止篡改行为,同时通过消息摘要算法来检验信息是否被篡改。信息的完整性包括两个方面:

  • 数据完整性:数据没有被未授权篡改或者损坏
  • 系统完整性:系统未被非法操纵,按既定的目标运行

可用性Availability:

可用性是指保障信息资源随时可提供服务的能力特性,即授权用户根据需要可以随时访问所需信息,可用性是信息资源服务功能和性能可靠性的度量,涉及到物理、网络、系统、数据、应用和用户等多方面的因素,是对信息网络总体可靠性的要求

除了这三方面的要求,信息还要求

  • 真实性,即个体身份的认证,适用于用户、进程、系统等
  • 可说明性,即确保个体的活动可被跟踪
  • 可靠性,即行为和结果的可靠性、一致性

二.信息安全的发展

20世纪60年代:

        倡导通信保密措施,主要标志是1949年香农发表的《保密通信的信息理论》,那个时候通信技术还不发达,电脑只是零散地位于不同的地点,信息系统的安全仅限于保证电脑的物理安全,以及通过密码(主要是序列密码)解决通信安全的保密问题。侧重于保证数据在从一地传送到另一地时的安全性。把电脑安置在相对安全的地点,不容许非授权用户接近,就基本可以保证数据的安全性了。这个时期的安全性是指信息的保密性,对安全理论和技术的研究也仅限于密码学。

20世纪60-70年代:

        60年代后,半导体集成电路的飞速发展推动了计算机软、硬件的发展,计算机和网络的广泛应用使数据传输已经可以通过计算机网络来完成。人们对安全的关注已经逐渐扩展为以保密性、完整性和可用性为目标的信息安全阶段,主要保证动态信息在传输过程中不被窃取,即使窃取了也不能读出正确的信息;还要保证数据在传输过程中不被篡改,让读取信息的人能够看到正确无误的信息。1977年美国国家标准局(NBS)公布的国家数据加密标准(DES)和1983年美国国防部公布的可信计算机系统评价准则(TCSEC,俗称橘皮书)标志着解决计算机信息系统保密性问题的研究和应用迈上了历史的新台阶。

20世纪90年代以后:

        开始倡导信息保障(IA,Information Assurance)。信息保障的核心思想是对系统或者数据的4个方面的要求:保护(Protect)检测(Detect)反应(React)恢复(Restore),结构如图:

利用4个单词首字母表示为:PDRR,称之为 PDRR保障体系,其中:

  • 保护(Protect)指采用可能采取的手段保障信息的保密性、完整性、可用性、可控性和不可否认性。
  • 检测(Detect)指提供工具检查系统可能存在的黑客攻击、白领犯罪和病毒泛滥等脆弱性。
  • 反应(React)指对危及安全的事件、行为、过程及时做出响应处理,杜绝危害的进一步蔓延扩大,力求系统尚能提供正常服务。
  • 恢复(Restore)指一旦系统遭到破坏,尽快恢复系统功能,尽早提供正常的服务。 

三.网络安全的攻防研究体系

随着时代发展和人们的需求,网络安全被正式的提出并且应用:网络安全(Network Security)是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性科学


四.攻击技术

攻击和防御总是相对的,防御是为了抵御攻击的,如果不知道如何攻击,再好的防守也是经不住考验的,攻击技术主要包括五个方面:

  1. 网络监听:自己不主动去攻击别人,在计算机上设置一个程序去监听目标计算机与其他计算机通信的数据。
  2. 网络扫描:利用程序去扫描目标计算机开放的端口等,目的是发现漏洞,为入侵该计算机做准备。
  3. 网络入侵:当探测发现对方存在漏洞以后,入侵到目标计算机获取信息。
  4. 网络后门:成功入侵目标计算机后,为了对“战利品”的长期控制,在目标计算机中种植木马等后门。
  5. 网络隐身:入侵完毕退出目标计算机后,将自己入侵的痕迹清除,从而防止被对方管理员发现。

五.防御技术

我们不应该去主动攻击别人,但是对于别人的攻击,我们需要使用防御技术,合法的保证我们的合法权利不被侵犯,防御技术包括四大方面:

  1. 操作系统的安全配置:操作系统的安全是整个网络安全的关键。
  2. 加密技术:为了防止被监听和盗取数据,将所有的数据进行加密。
  3. 防火墙技术:利用防火墙,对传输的数据进行限制,从而防止被入侵。
  4. 入侵检测:如果网络防线最终被攻破了,需要及时发出被入侵的警报。

六.网络安全的层次体系

从层次体系上,可以将网络安全分成四个层次上的安全:

物理安全逻辑安全操作系统安全联网安全

物理安全

物理安全主要包括五个方面:

  1. 防盗:像其他的物体一样,计算机也是偷窃者的目标,例如盗走软盘、主板等。计算机偷窃行为所造成的损失可能远远超过计算机本身的价值,因此必须采取严格的防范措施,以确保计算机设备不会丢失。
  2. 防火:计算机机房发生火灾一般是由于电气原因、人为事故或外部火灾蔓延引起的。电气设备和线路因为短路、过载、接触不良、绝缘层破坏或静电等原因引起电打火而导致火灾。人为事故是指由于操作人员不慎,吸烟、乱扔烟头等,使存在易燃物质(如纸片、磁带、胶片等)的机房起火,当然也不排除人为故意放火。外部火灾蔓延是因外部房间或其他建筑物起火而蔓延到机房而引起火灾。
  3. 防静电:静电是由物体间的相互摩擦、接触而产生的,计算机显示器也会产生很强的静电。 静电产生后,由于未能释放而保留在物体内,会有很高的电位(能量不大),从而产生静电放电火花,造成火灾。 还可能使大规模集成电器损坏,这种损坏可能是不知不觉造成的。
  4. 防雷击:利用引雷机理的传统避雷针防雷,不但增加雷击概率,而且产生感应雷,而感应雷是电子信息设备被损坏的主要杀手,也是易燃易爆品被引燃起爆的主要原因。 雷击防范的主要措施是,根据电气、微电子设备的不同功能及不同受保护程序和所属保护层确定防护要点作分类保护; 根据雷电和操作瞬间过电压危害的可能通道从电源线到数据通信线路都应做多层保护。
  5. 防电磁泄漏:电子计算机和其他电子设备一样,工作时要产生电磁发射。 电磁发射包括辐射发射和传导发射。 这两种电磁发射可被高灵敏度的接收设备接收并进行分析、还原,造成计算机的信息泄露。 屏蔽是防电磁泄漏的有效措施,屏蔽主要有电屏蔽、磁屏蔽和电磁屏蔽三种类型。

逻辑安全

计算机的逻辑安全需要用口令、文件许可等方法来实现。 可以限制登录的次数或对试探操作加上时间限制;可以用软件来保护存储在计算机文件中的信息; 限制存取的另一种方式是通过硬件完成,在接收到存取要求后,先询问并校核口令,然后访问列于目录中的授权用户标志号。 此外,有一些安全软件包也可以跟踪可疑的、未授权的存取企图,例如,多次登录或请求别人的文件。

操作系统安全

操作系统是计算机中最基本、最重要的软件。 同一计算机可以安装几种不同的操作系统。 如果计算机系统可提供给许多人使用,操作系统必须能区分用户,以便于防止相互干扰。 一些安全性较高、功能较强的操作系统可以为计算机的每一位用户分配账户。 通常,一个用户一个账户。操作系统不允许一个用户修改由另一个账户产生的数据。

联网安全

联网的安全性通过两方面的安全服务来达到:

  • 访问控制服务:用来保护计算机和联网资源不被非授权使用。
  • 通信安全服务:用来认证数据机要性与完整性,以及各通信的可信赖性。

七.研究网络安全的必要性

网络需要与外界联系,受到许多方面的威胁:

  • 物理威胁
  • 系统漏洞造成的威胁
  • 身份鉴别威胁
  • 线缆连接威胁
  • 有害程序等方面威胁

物理威胁

物理威胁包括四个方面:偷窃、废物搜寻、间谍行为和身份识别错误

  • 偷窃: 网络安全中的偷窃包括偷窃设备、偷窃信息和偷窃服务等内容。如果他们想偷的信息在计算机里,那他们一方面可以将整台计算机偷走,另一方面通过监视器读取计算机中的信息。
  • 废物搜寻: 就是在废物(如一些打印出来的材料或废弃的软盘)中搜寻所需要的信息。在微机上,废物搜寻可能包括从未抹掉有用东西的软盘或硬盘上获得有用资料。
  • 间谍行为: 是一种为了省钱或获取有价值的机密、采用不道德的手段获取信息。
  • 身份识别错误: 非法建立文件或记录,企图把他们作为有效的、正式生产的文件或记录,如对具有身份鉴别特征物品如护照、执照、出生证明或加密的安全卡进行伪造,属于身份识别发生错误的范畴。这种行为对网络数据构成了巨大的威胁。

系统漏洞威胁

系统漏洞造成的威胁包括三个方面:乘虚而入、不安全服务、配置和初始化错误

  • 乘虚而入: 例如,用户A停止了与某个系统的通信,但由于某种原因仍使该系统上的一个端口处于激活状态,这时,用户B通过这个端口开始与这个系统通信,这样就不必通过任何申请使用端口的安全检查了。
  • 不安全服务: 有时操作系统的一些服务程序可以绕过机器的安全系统,互联网蠕虫就利用了UNIX系统中三个可绕过的机制。
  • 配置和初始化错误: 如果不得不关掉一台服务器以维修它的某个子系统,几天后当重启动服务器时,可能会招致用户的抱怨,说他们的文件丢失了或被篡改了,这就有可能是在系统重新初始化时,安全系统没有正确的初始化,从而留下了安全漏洞让人利用,类似的问题在木马程序修改了系统的安全配置文件时也会发生。

 线缆连接威胁

线缆连接造成的威胁包括三个方面:窃听、拨号进入和冒名顶替

  • 窃听:对通信过程进行窃听可达到收集信息的目的,这种电子窃听不一定需要窃听设备一定安装在电缆上,可以通过检测从连线上发射出来的电磁辐射就能拾取所要的信号,为了使机构内部的通信有一定的保密性,可以使用加密手段来防止信息被解密。
  • 拨号进入:拥有一个调制解调器和一个电话号码,每个人都可以试图通过远程拨号访问网络,尤其是拥有所期望攻击的网络的用户账户时,就会对网络造成很大的威胁。
  • 冒名顶替:通过使用别人的密码和账号时,获得对网络及其数据、程序的使用能力。这种办法实现起来并不容易,而且一般需要有机构内部的、了解网络和操作过程的人参与。 

有害程序威胁 

有害程序造成的威胁包括三个方面:病毒、代码炸弹和特洛伊木马

  • 病毒是一种把自己的拷贝附着于机器中的另一程序上的一段代码。通过这种方式病毒可以进行自我复制,并随着它所附着的程序在机器之间传播。
  • 代码炸弹是一种具有杀伤力的代码,其原理是一旦到达设定的日期或钟点,或在机器中发生了某种操作,代码炸弹就被触发并开始产生破坏性操作。代码炸弹不必像病毒那样四处传播,程序员将代码炸弹写入软件中,使其产生了一个不能轻易地找到的安全漏洞,一旦该代码炸弹被触发后,这个程序员便会被请回来修正这个错误,并赚一笔钱,这种高技术的敲诈的受害者甚至不知道他们被敲诈了,即便他们有疑心也无法证实自己的猜测。
  • 特洛伊木马程序一旦被安装到机器上,便可按编制者的意图行事。特洛伊木马能够摧毁数据,有时伪装成系统上已有的程序,有时创建新的用户名和口令。 

八.国际评价标准

根据美国国防部开发的计算机安全标准——可信任计算机标准评价准则(Trusted Computer Standards Evaluation Criteria:TCSEC),也就是网络安全橙皮书,一些计算机安全级别被用来评价一个计算机系统的安全性。自从1985年橙皮书成为美国国防部的标准以来,就一直没有改变过,多年以来一直是评估多用户主机和小型操作系统的主要方法。 其他子系统(如数据库和网络)也一直用橙皮书来解释评估。

橙皮书把安全的级别从低到高分成4个类别:D类、C类、B类和A类,每类又分几个级别

D级

D级是最低的安全级别,拥有这个级别的操作系统就像一个门户大开的房子,任何人都可以自由进出,是完全不可信任的。 对于硬件来说,是没有任何保护措施的,操作系统容易受到损害,没有系统访问限制和数据访问限制,任何人不需任何账户都可以进入系统,不受任何限制可以访问他人的数据文件。 属于这个级别的操作系统有: DOS和Windows98等。

C级

C1是C类的一个安全子级。C1又称选择性安全保护(Discretionary Security Protection)系统,它描述了一个典型的用在Unix系统上安全级别。这种级别的系统对硬件又有某种程度的保护,如用户拥有注册账号和口令,系统通过账号和口令来识别用户是否合法,并决定用户对程序和信息拥有什么样的访问权,但硬件受到损害的可能性仍然存在。 用户拥有的访问权是指对文件和目标的访问权。文件的拥有者和超级用户可以改变文件的访问属性,从而对不同的用户授予不通的访问权限。

使用附加身份验证就可以让一个C2级系统用户在不是超级用户的情况下有权执行系统管理任务。授权分级使系统管理员能够给用户分组,授予他们访问某些程序的权限或访问特定的目录。 能够达到C2级别的常见操作系统有:

  • Unix系统
  • Novell 3.X或者更高版本
  • Windows NT、Windows 2000和Windows 2003

B级 

B级中有三个级别

B1级,即标志安全保护(Labeled Security Protection),是支持多级安全(例如:秘密和绝密)的第一个级别,这个级别说明处于强制性访问控制之下的对象,系统不允许文件的拥有者改变其许可权限。安全级别存在保密、绝密级别,这种安全级别的计算机系统一般在政府机构中,比如国防部和国家安全局的计算机系统。

B2级,又叫结构保护级别(Structured Protection),它要求计算机系统中所有的对象都要加上标签,而且给设备(磁盘、磁带和终端)分配单个或者多个安全级别。

B3级,又叫做安全域级别(Security Domain),使用安装硬件的方式来加强域的安全,例如,内存管理硬件用于保护安全域免遭无授权访问或更改其他安全域的对象。该级别也要求用户通过一条可信任途径连接到系统上。

A级

A级,又称验证设计级别(Verified Design),是当前橙皮书的最高级别,它包含了一个严格的设计、控制和验证过程。该级别包含了较低级别的所有的安全特性 设计必须从数学角度上进行验证,而且必须进行秘密通道和可信任分布分析。可信任分布(Trusted Distribution)的含义是:硬件和软件在物理传输过程中已经受到保护,以防止破坏安全系统。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1124273.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

java--逻辑运算符

1.逻辑运算符 把多个条件放在一起运算,最终返回布尔类型的值:true、false。 &:全true才true,否则为false |:全false才false,否则为true !:结果相反 ^:结果相同则…

TRICONEX 3000520-390C1R 9662-610 FC-TSAI-1620M

TRICONEX 3000520-390C1R 9662-610 FC-TSAI-1620M ADLINK Technology与英特尔合作推出了Vizi-AI,为工业机器视觉人工智能(AI)提供开发入门套件(devkit)。 Vizi-AI starter devkit包括一个基于英特尔凌动处理器的SMARC计算机模块,其中包含英特尔分发的…

PowerCLI 实现企业微信机器人推送消息

前言企业微信机器人 在ARMS告警管理中创建企业微信机器人后,您可以在通知策略中指定对应的企业微信群用于接收告警。当通知策略的匹配规则被触发时,系统会自动向您指定的企业微信群发送告警通知。企业微信群收到通知后,您可以在企业微信群中对告警进行管理。 通过接口实现…

nvm安装(非C盘安装)

1. 下载nvm.exe文件2. 解压文件有一个.exe的文件,双击开始安装。3. 选择nvm安装路径4. 在上一步的nvm目录下新建一个文件夹--nodejs,并选择为nodejs安装路径5. 开始配置--修改setting.txt ,设置下载源6. 查看nvm环境变量是否配置7. nvm使用&a…

用Flask快速生成报表

一、前言 《用Python快速生成报表之一》 我们介绍了用html-table快速生成表格数据报表,今天我们再介绍一下用Python Flask 快速开发报表,使用的是最古老的套页面方式。 二、Flask快速生成报表 Python有N多Web框架,最强大最出名的是Django&…

Mingw下载---运行vscodeC++文件

下载 下载网址: https://sourceforge.net/projects/mingw-w64/files/mingw-w64/mingw-w64-release/ 翻到最下面,选择win64的安装: 下载完,解压到没有空格和中文字符的路径。不然在vscode中运行不了C代码。

不同类型的RFID标签及其应用场景浅析

RFID技术是一种利用无线电信号进行数据传输和识别的技术,根据标签的不同特点和应用场景,RFID标签可以分为多种类型,下面将详细介绍不同类型的RFID标签及其应用场景。 一、有无电源电池 1.1 有源RFID标签 有源RFID标签内置电池,…

Navicat 与清华大学校企合作交流会圆满落幕

2023 年 10 月 17 日,Navicat 中国与清华大学召开了校企合作交流会。2021 年年底,清华大学正式加入 Navicat 学术伙伴计划。本次会议旨在进一步促进学校信息化发展与服务能力,加强计算机以及相关学科的教学、专业实践与学术研究的综合能力。 …

Zoho Mail荣登福布斯小型企业企业邮箱排行榜

在过去的数十载里,电子邮件已成为电子通信领域中不可或缺的一环,而在未来的岁月里,它有望继续在全球范围内普及应用。尽管如今市场上有许多免费的企业邮箱供用户和企业选用,但其中许多产品在特定场景下的专业化功能尚显不足&#…

激发创意的10个国内外设计网站

国内设计网站:即时设计 即时设计 - 可实时协作的专业 UI 设计工具即时设计是一款支持在线协作的专业级 UI 设计工具,支持 Sketch、Figma、XD 格式导入,海量优质设计资源即拿即用。支持创建交互原型、获取设计标注,为产设研团队提…

工业4.0时代下的制造业数字化转型,应如何借由低代码焕发创新力?

科技的飞速发展引领我们进入了一个崭新的工业时代——工业4.0。 这一革命性的变革不仅重塑了制造业的面貌,还将为整个世界的生产方式带来前所未有的改变。 制造业作为中国经济发展的重要支柱,当前正处于产业智能化变革的浪潮之中。面对多重政策机遇和挑…

盛元广通实验物资采购管理系统

实验物资采购管理系统是一种用于有效管理实验室或研究机构的物资采购的软件系统。该系统采用精细化条码化管理、自动化审批采购流程管理、利用RFID射频技术扫码领用、扫码归还,防止手工记录时错误的发生。同时还可以在手机上完成试剂申领、申购的审批,采…

无处不在的PDCA

PDCA是被大家所熟悉的一个管理模型,让我们一起再复习下有关PDCA的知识,希望通过使用这个神奇的循环模式解决我们在工作、生活中的小课题。 什么是PDCA PDCA循环,PDCA循环是美国质量管理专家沃特阿曼德休哈特(Walter A. Shewhart&…

cocos creator 小游戏允许他人访问本地项目

需求背景: 发版成微信小游戏前,需要策划介入体验。不上传微信体验版本 实现: 1.发布平台选择web桌面端 2.构建完成后点击运行从浏览器上获取本地的运行地址 3.winR ——》 cmd 控制台 输入 ipconfig 找到IPv4地址,替换本地部分 …

ES6中的Set集合与Map映射

文章目录 一、Set集合1.Set的基本使用2.Set的常见方法3.WeakSet使用4.WeakSet的应用 二、Map映射1.Map的基本使用2.Map的常见方法3.WeakMap使用4.WeakMap的应用 三、ES6的其它知识点说明 一、Set集合 1.Set的基本使用 在ES6之前,我们存储数据的结构主要有两种&…

修炼k8s+flink+hdfs+dlink(六:学习k8s-pod)

一:增(创建)。 直接进行创建。 kubectl run nginx --imagenginx使用yaml清单方式进行创建。 直接创建方式,并建立pod。 kubectl create deployment my-nginx-deployment --imagenginx:latest 先创建employment,不…

word怎么生成目录?3个技巧,教你快速生成目录

在撰写长篇文档或报告时,一个清晰的目录是必不可少的。微软word提供了多种方法来自动生成目录,从而帮助您的读者更轻松地导航和理解文档的结构。本文将介绍word怎么生成目录的3种方法,以详细解释如何在word文档中创建目录。 方法1&#xff1a…

Shell动态条进度

代码: #!/bin/bashfunction dongtai(){ i0 bar index0 arr( "|" "/" "-" "\\" )while [ $i -le 100 ] dolet indexindex%4printf "[]准备开始:[%-100s][%d%%][\e[43;46;1m%c\e[0m]\r" "$bar" "$…

GaussDB SQL基本语法示例-CASE表达式

目录 一、前言 二、CASE Expression(CASE表达式)介绍 三、GaussDB数据库中的简单CASE表达式 1、基本概念 2、基本语法 3、示例 四、GaussDB数据库中的搜索CASE表达式 1、基本概念 2、基本语法 3、示例 五、小结 一、前言 SQL是用于访问和处理…

谷歌年薪100万+的测试猿怎么写 python 代码?

谷歌员工怎么写 python 代码? 谷歌内部的 python 代码规范 熟悉 python 一般都会努力遵循 pep8 规范,也会有一些公司制定内部的代码规范。大公司制定规范的目的不是说你一定要怎样去使用编程语言,而是让大家遵守同一套规则,节省…