信息安全第7章 网络安全
第7章 网络安全
网络安全威胁与控制
7.1.1 网络安全威胁
分类
- 人为的无意失误
- 人为的恶意攻击
- 网络软件系统的漏洞和“后门”
对网络本身的威胁(网络自身可能遭受的攻击)
协议的缺陷
网站漏洞 (web安全)
拒绝服务 (破坏网络服务可用性)
分布式拒绝服务 (破坏网络服务可用性)
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ekU8GqpF-1636730904815)(https://i.loli.net/2021/11/12/XkwZxt7IDJiScLm.png)]
来自活动或者移动代码的威胁 (web安全)
对网络中信息的威胁(网络中传输的信息可能遭受的攻击)
- 传输中的威胁:偷听和窃听
- 假冒
- 欺骗
- 消息机密性面临的威胁
- 消息完整性面临的威胁
7.1.2 网络安全控制
1**.数据加密**
链路加密(典型应用:加密网卡)
- 系统在将数据放入物理通信链路之前对其加密
- 解密发生在到达并进入接收计算机时
端到端加密
加密都是在OSI模型的最高层(第7层,应用层;也可能是第6层,表示层)上完成的
2.虚拟专有网VPN (1,2基于密码学构建保密的网络环境—VPN还需认证机制)
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-RFAmtb2U-1636730904816)(https://i.loli.net/2021/11/12/4XKzr6HN7yaodvs.png)]
3.PKI和证书
公钥基础设施(Public Key Infrastructure,PKI)为用户提供身份鉴别和访问控制相关的服务
- 使用(公开的)加密密钥建立与用户身份相关的证书
- 从数据库中分发证书
- 对证书签名
- 验证证书
- 撤销无效证书
4.身份鉴别 (3,4基于密码学构建可认证的网络环境—无线保密认证机制)
- 一次性口令
- 质询-响应系统
- Digital分布式鉴别
5.访问控制 (类似操作系统中的访问控制—防火墙,入侵检测)
访问控制解决安全策略中如何实施访问及允许访问什么内容的问题
防火墙
7.2.1 防火墙概述
定义
防火墙是位于两个信任程度不同的网络之间的软件或硬件设备的组合,对两个网络之间的通信进行控制,通过强制实施统一的安全策略,防止对重要信息资源的非法存取和访问,以达到保护系统安全的目的。
防火墙的设计要求
防火墙的作用
防火墙主要通过以下四种手段(四个方面)来执行安全策略和实现网络访问控制
- 用户控制 控制访问服务的人员
- 行为控制 控制服务的使用方式,如e-mail过滤等。
- 服务控制 确定可以访问的网络服务类型,可基于IP地址和TCP端口过滤通信。
- 方向控制 确定允许通过防火墙的特定服务请求发起的方向
防火墙的局限性
- 限制有用的网络服务
- 无法防范来自内部的攻击(由入侵检测解决)
- 无法防范数据驱动型(向某个主机发送数据,以产生非预期结果的攻击,如缓冲区攻击等)的攻击
- 无法防范新的网络安全问题(被动的网络防护手段,无法防范APT)
7.2.2 防火墙的类型
1.包过滤防火墙
2.状态检测防火墙
几种类型防火墙的比较
| 包过滤防火墙 | 状态检测防火墙 | 应用层代理防火墙 | 个人防火墙 |
|---|---|---|---|
| 最简单 | 较复杂 | 更复杂 | 与包过滤器防火墙相似 |
| 只看见地址和服务协议类型 | 能看见地址和数据 | 看见包的全部数据部分 | 看见包的全部数据部分 |
| 审计困难 | 可能审计 | 能审计活动 | 能审计活动,并通常实现了审计活动 |
| 基于连接规则的过滤 | 基于通过包的信息过滤——头部或数据段 | 基于代理的行为过滤 | 基于单个包中的信息(使用头部或数据)过滤 |
| 复杂的寻址规则使得配置困难 | 通常预先配置以检测攻击信号 | 简单的代理可以代替复杂的寻址规则 | 通常以**“拒绝所有入站”**模式开始,当它们出现时,可添加信任地址 |
7.2.3 防火墙体系结构
7.2.4 防火墙配置举例
入侵检测系统IDS
入侵检测系统IDS (通常是一台独立的计算机)通过监视内部的活动来识别恶意的或是可疑的事件。
IDS的功能有
- 监视用户和系统活动
- 审计系统配置中存在的弱点和错误配置
- 评估关键系统和数据文件的完整性
- 识别系统活动中存在的已知攻击模式
IDS的功能与模型
- 事件产生器:这是入侵检测系统中负责原始数据采集的部分,它对数据流、日志文件等进行追踪,转换原始数据为事件,并向系统的其他部分提供此事件。
- 事件分析器:判断是否是入侵行为或异常现象,最后将判断的结果转变为警告信息。
- 事件数据库:存放各种中间和最终数据的地方。从事件产生器或事件分析器接收数据,较长时间的保存数据。
- 响应单元:根据警告信息作出反应,它可以做出切断连接、改变文件属性等强烈反应,也可以只是简单的报警,它是入侵检测系统中的主动武器。
虚拟专用网VPN
7.4.2 VPN的类型
1.Host-to-Host VPN
典型场景:某员工特定的网络资源(某台数据库/服务器)
2.远程访问Host-to-Site VPN
远程访问VPN可以为远程办公或在家办公的员工,建立安全的通信链路,访问企业内部网络的资源(PPTP/L2TP)
3.Site-to-Site VPN
典型场景:企业内部各分支机构,企业的合作者之间 (IPSEC)
点对点隧道协议(Point-to-Point Tunneling Protocol,PPTP)和
第二层隧道协议(Layer 2 Tunneling Protocol,L2TP)
无线网络安全
常见安全属性
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-lSD7oi0Q-1636730904819)(https://i.loli.net/2021/11/12/aXr2FzjqBngvc8i.png)]
STRIDE映射到每个安全属性上
Stride模型的6个特性和对应的6个威胁
威胁建模的过程
(1)发现已知的对系统的威胁
(2)将威胁以风险从高到低排序
(3)确定减少威胁的技术
(4)选择合适的技术
本章小结
信息安全第7章 网络安全相关推荐
- 网络安全技术及应用第3版 主编贾铁军等——教材习题 期末重点 复习题 知识提炼(第1章 网络安全基础)
参考教材:网络安全技术及应用 第3版 主编贾铁军等 写此文是为了便于集中式 有重点 突击复习,可以打印出来,便于识记背诵. 第1章 网络安全基础 填空题 简答题 论述题 填空题 网络安全的目标 是在计 ...
- 《网络安全原理与实践》一第1章 网络安全介绍
本节书摘来自异步社区<网络安全原理与实践>一书中的第1章,作者 [美]Saadat Malik, CCIE #4955,更多章节内容可以访问云栖社区"异步社区"公众号查 ...
- 信安精品课:第4章网络安全体系与网络安全模型精讲笔记
第4章网络安全体系与网络安全模型精讲笔记 一.本章知识框架 二.本章大纲要求 4.1 网络安全体系概述 •网络安全体系概念 •网络安全体系特征 •网络安全体系用途 4.2 网络安全体系相关安全模型 • ...
- 信安教程第二版-第18章网络安全测评技术与标准
第18章网络安全测评技术与标准 18.1 网络安全测评概况 379 18.1.1 网络安全测评概念 379 18.1.2 网络安全测评发展 379 18.2 网络安全测评类型 380 18.2.1 基 ...
- 信安教程第二版-第17章网络安全应急响应技术原理与应用
第17章 网络安全应急响应技术原理与应用 17.1 网络安全应急响应概述 353 17.1.1 网络安全应急响应概念 353 17.1.2 网络安全应急响应发展 353 17.1.3 网络安全应急响应 ...
- 信安教程第二版-第16章网络安全风险评估技术原理与应用
第16章 网络安全风险评估技术原理与应用 16.1 网络安全风险评估概述 321 16.1.1 网络安全风险评估概念 321 16.1.2 网络安全风险评估要素 322 16.1.3 网络安全风险评估 ...
- 信安教程第二版-第15章网络安全主动防御技术与应用
第15章 网络安全主动防御技术与应用 15.1 入侵阻断技术与应用 296 15.1.1 入侵阻断技术原理 296 15.1.2 入侵阻断技术应用 297 15.2 软件白名单技术与应用 297 15 ...
- 信安教程第二版-第13章网络安全漏洞防护技术原理与应用
第13章 网络安全漏洞防护技术原理与应用 13.1 网络安全漏洞概述 243 13.1.1 网络安全漏洞概念 243 13.1.2 网络安全漏洞威胁 243 13.1.3 网络安全漏洞问题现状 244 ...
- 第三章网络安全基础考试要点及真题分布
第三章网络安全基础 1.计算机网络基本知识 2.网络安全的基本概念 3.网络安全威胁 4.网络安全防御 5.无线网络安全
最新文章
- python-oracle,python与oracle(一)基本配置
- Python Module_sys/random
- 正则在开发过程中的妙用
- 使用Pandas进行变量衍生
- python处理文本数据
- json 反射java 实体_java反射实现javabean转json
- 攻防世界web题ics-06(爆破id值)
- java集合框架的实现
- php设置加载动画,如何用CSS3制作页面圆圈加载动画(附代码)
- 面向对象编程引入“人狗大战”小游戏
- BMC之ipmitool 命令收集
- EBS系统请求表定时清除
- 钩子编程(HOOK) 安装进程内键盘钩子 (1)
- 秒杀或游戏让电脑时间与阿里淘宝时间同步的完整方法
- mysql规格单位转化_存储单位的换算(KB, MB, GB)
- 北大光华女的超强面经! 感动之余,真的受益匪浅。
- 【JAVA面试题-阿辉】try catch finally , try 里有 return , finally 还执行么?
- 小程序后台持续定位功能
- Linux误删数据恢复实验
- 一次性永远激活7290自带浏览器上网和彩信收发功能