入侵阻断技术与应用
入侵阻断:网络安全主动防御的技术方法
基本原理:对目标网络攻击行为进行阻断
入侵防御系统(IPS)
基本原理:根据网络包特性及上下文进行攻击行为判断老控制包转发
工作机制:类似路由器或者防火墙,但能够检测攻击行为,并能阻断入侵行为
缺点:IPS具有防火墙和入侵检测等多种功能,且受限于网络中所处位置,需要解决网络通信瓶颈和高可用性问题
IPS实现方式:
基于ASIC实现:为专门目的而设计的集成电路芯片
基于旁路阻断:以旁路方式监测网络流量,然后通过旁路注入报文,实现对攻击流量阻断。一般的网络延迟影响不大
IPS/SPS作用:过滤掉有害网络信息流,阻断入侵者对目标的攻击行为
主要安全功能:屏蔽指定IP地址、屏蔽指定网络端口、屏蔽指定网络端口、屏蔽指定域名、封锁指定URL、阻断特定攻击类型、为零日漏洞提供热补丁
软件白名单技术与应用
软件白名单技术原理
技术方法:设置可新人软件名单列表,阻止恶意软件在相关网络信息系统运行
实现过程:利用软件对应进程名称、软件文件名、软件发行商名称、软件二进制程序等相关信息经过密码技术处理后,形成软件白名单身份标识,如软件数字签名或软件Hash值。然后进行软件白名单身份检查确认,最后依据软件白名单身份检查结果来控制软件运行
软件白名单应用:
构建安全、可信的移动互联网安全生态环境
恶意代码防护
“白环境”保护
网络流量清洗技术与应用
技术原理:通过异常流量监测,将原本发送给目标设备系统的流量牵引到流量清洗中心,当异常流量清洗完毕后,再把清洗后留存的正常流量转送到目标设备系统
网络流量清洗技术:用于清除目标对象的恶意网络流量,保障正常网络服务通信
可信计算技术与应用
技术思想:确保计算平台可信以保障网络安全
可信计算是网络信息安全核心关键技术
可信计算组织(Trust Computing Group,TCG)
可信计算系统构成技术原理:首先构建一个信任根(TPM),再建立一条信任链,从信任根开始到硬件平台,到操作系统,再到应用,一级认证一级,一级信任一级,把这种信任扩展到整个计算机系统,从而确保整个计算机系统可信
可信计算密码支撑平台以密码技术为技术,实现平台自身完整性、身份可信性和数据安全性等安全功能
平台构成:可信密码模块(TCM)+TCM服务模块(TSM)
TCM是可信计算密码支撑平台必备关键基础部件,提供独立密码算法支撑,TCM是硬件和固件集合,采用独立封装形式,或IP核方式和其他类型芯片集成方式
可信网络连接(TNC)
TNC通过读网络访问设备进行完整性度量,防止非授权设备接入网络中,从而确保网络连接的可信
数字水印技术与应用
Digital Watermark
通过数字信号处理方法,在数字化媒体文中嵌入特定标记
分类:可感知,不易感知的
数字水印技术:水印嵌入和水印提取
嵌入方法:空间域方法和变换域方法
网络攻击陷阱技术与应用
网络攻击陷阱技术拟通过改变保护目标对象信息,欺骗网络攻击者,从而改变网络安全放手方被动性,提升网络安全防护能力
网络攻击陷阱技术是一种主动性网络安全技术
入侵容忍及系统生存技术与应用
入侵容忍及系统生存技术是网络安全防御思想的重大变化
技术目标:实现网络安全弹性,确保系统具有容侵能力、可恢复能力,保护业务持续 运营
思想:假定在遭受入侵情况下,保障网络信息系统仍能按用户要求完成任务
生存性3R方法:假定基本服务不可攻破,入侵模式是有限集,维持攻防的动态平衡是生存性的前提
弹性CA系统
区块链
隐私保护技术与应用
目标:通过对隐私数据安全修改处理, 使修改后数据可共开发布而不会遭受隐私攻击。修改后数要在保护隐私前提下,最大限度保留原数据使用价值。
隐私保护方法
数据可用性和隐私性平衡
标识符:唯一标识 准标识符:不唯一 敏感数据:隐私
15、网络安全主动防御技术原理与应用(4)_哔哩哔哩_bilibili
