网络安全理论综合题纲

网络安全理论综合

第一部分网络安全应用技术与工程实践基础
- 1信息的概念及特征
- 2信息系统的概念及构成
- 3网络空间的概念及特点
- 4信息安全发展阶段和属性
第二部分网络安全技术体系
- 1网络安全滑动标尺模型
- 2安全风险三要素
- 3安全能力三要素
- 4P2DR模型
- 5网络安全法
- 6网络安全等级保护
- 7安全策略文件四级体系
第三部分网络基础架构安全技术
- 1物理与环境安全
- 2安全域
- 3网络IP地址
- 4安全边界
- 5密码学发展三阶段
- 6密码系统的定义
- 7对称密码体制、优缺点、典型算法、应用特点
- 8非对称密码体制、优缺点、典型算法、应用特点
- 9摘要算法概念、典型算法及应用
- 10数字签名概念、功能特点、签名方法
- 11PKI（公钥基础设施）和数字证书
- 12国产密码算法
- 13网络协议层次与各层协议
- 14网络协议的安全风险
- 15常用的网络安全协议特点及用途
- 16软件安全工程过程、安全编码原则与安全测试概念
- 17数据备份主要技术和策略
- 18灾难恢复能力指标
第四部分网络安全被动防御技术体系
- 1防火墙的分类、部署及实现技术
- 2脆弱性、漏洞的概念、检测与防范
- 3恶意代码的概念、分类与特征，检测与防范
- 4入侵检测的步骤、架构
- 5入侵检测的功能、实现技术、性能指标
第五部分网络安全主动防御技术体系
- 1主动防御的概念
- 2入侵检测、入侵防御和入侵容忍策略
- 3入侵防御主动响应技术
- 4入侵容忍的内涵和实现技术
- 5蜜罐、蜜网的概念与作用
- 6沙箱的概念、原理与作用
- 7可信计算的概念与信任链
- 8可信平台模块的结构与作用
第八部分信息系统新形态新应用安全技术
- 1云计算主要安全威胁和安全技术
- 2移动终端、移动应用、无线网络安全威胁和风险
- 3物联网安全分区
- 4工控系统与工业物联网的概念
- 5工业现场控制系统的脆弱性
- 6大数据特殊安全威胁与风险
- 7大数据数据安全面临的主要问题
- 8大数据在网络安全领域的应用
- 9应用人工智能带来的安全问题
- 10人工智能在网络安全领域的应用

第一部分网络安全应用技术与工程实践基础

1信息的概念及特征

信息，在不同领域、阶段的定义不同，多达百余种

经典定义1
信息是用来消除随机不确定性的东西(信息论创始人香农)

经典定义2
信息是人们在适应外部世界，并使这种适应反作用于外部世界的过程中同外部世界进行互相交换的内容和名称(控制论创始人维纳)

信息的概念及特征现代科学的定义
信息是对客观世界中各种事物的运动状态和变化的反映，是客观事物之间相互联系和相互作用的表征，表现的是客观事物运动状态和变化的实质内容

广义上的信息
利用文字、符号、声音、图形、图像等形式作为载体，通过各种渠道传播的信号、消息、情报或报道等内容，都可以称之为信息

信息的基本特征
传递性、共享性、依附性、可处理性、价值相对性、时效性、真伪性

2信息系统的概念及构成

信息系统是由计算机硬件、网络和通讯设备、计算机软件、信息资源、信息用户和规章制度组成的以处理信息流为目的的人机一体化系统

概念

获取、存储、传输和处理信息的载体
按一定结构组织、可以获取（收集）、存储、传输、处理和输出信息
实现其目标的相互关联的元素和子系统的集合

信息系统建设目标及构成

信息系统的计算模式
计算模式是信息系统计算要素所呈现的结构模式。即信息系统完成任务的一种运行输入输出以及使用的方式

计算模式的演进：集中计算模式、分布式计算模式、云计算模式

计算架构：单机架构、C/S（客户机/服务器）、B/S（浏览器/服务器）C/S与B/S混合、P2P（对等）架构、多层架构、SOA架构、微服务架构等

3网络空间的概念及特点

为保护网络免受侵害而采取的措施的总和。当正确的采用网络安全措施时，能使网络得到保护，正常运行。

概念

由Cybernetics（控制论）和Space（空间）组合而得名
国际电信联盟（ITU）:由计算机、计算机系统、网络及其软件支持、计算机数据、内容数据、流量数据以及用户等上述全部或部分要素创建或组成的物理或非物理的领域
其概念的形成与发展，体现了从计算机、网络到网络空间技术形态的变化，更反映出人们对网络空间内涵外延认识的逐步深入

特点
机密性，完整性，可用性

网络空间也是人类、自然与社会以及国家的公域空间，具有全球空间的性质，构成了人类全球五大空间的新认知

4信息安全发展阶段和属性

信息安全的历史发展阶段

20世纪初开始的信息保密阶段
20世纪80年代后开始的信息保护阶段
20世纪90年代后期开始的信息保障阶段

信息安全的宗就是安全属性（安全要求、安全目标）

安全属性
基本属性：保密性，完整性，可用性
扩展属性：不可否认性，可认证性，可控性

信息安全的定义：

对信息系统的硬件、软件及其数据信息实施安全防护，
保证在意外事故或恶意攻击情况下系统不会遭到破坏、敏感数据信息不会被篡改和泄漏，
保证信息的保密性、完整性、可用性以及可认证性、不可否认性、可追溯性、可控性等，
并保证系统能够连续可靠地正常运行，信息服务功能不中断

第二部分网络安全技术体系

1网络安全滑动标尺模型

网络安全防御体系的实现，需要借助模型作为参考架构

将安全防御分为逻辑递进的五类，也可以称之为五个阶段: 基础架构安全、被动防御、主动防御、智能分析以及反制攻击。

标尺的含义
表明各类别的某些措施与其相邻类别密切相关
滑动的含义
模型标尺左侧的类别用于奠定相应基础，使其右侧各类别的措施更易实现。在同一类别内，各种安全措施也存在着左右之分
安全防御体系建设
安全防御系统的建设应从滑动标尺由左向右依次实施和完善。
攻击成本与代价
安全防御系统的建设应从滑动标尺由左向右依次实施和完善。安全防御体系建设如果安全防护措施充分，攻击方攻击代价由左向右逐步增大

2安全风险三要素

资产： 信息系统软硬件及数据的价值
脆弱性： 信息系统存在的、易导致系统不安全的所有内在因素
威胁： 来自信息系统自身及环境的威胁

3安全能力三要素

降低风险，即提升了安全能力和水平

保密性，完整性，可获得性

4P2DR模型

响应、防护、检测

5网络安全法

明确了国家网络空间主权原则制度—提出网络空间主权概念；他国或国外组织在网络空间领域内的破坏行为，均被视为对我国主权的侵犯。
明确了网络安全等级保护制度—信息系统实行网络安全等级保护，分为五个等级。配套制定网络安全等级保护系列标准与规范
明确了信息系统的安全建设原则—明确规定关键信息基础设施与网络安全三同步：同步规划、同步建设、同步使用
明确了各方的责任义务及法律责任—政府、组织机构、信息系统的所有者、运营商及个人的等网络安全攸关各方的责任、义务及相应法律责任

6网络安全等级保护

国际标准：

SO/IEC（国际标准化组织/国际电工委员会）标准：ISO/IEC 27000系列
ITU（国际电信联盟）：ITU-T X.1205等
NIST（美国国家标准技术研究院）：SP800系列

中国标准：

全国信息安全标准化技术委员会（国家标准GB）：网络安全等级保护系列标准、信息安全系列标准
部颁/行业标准：公安部颁标准等
特殊信息系统标准：涉密信息系统分级保护标准、国家军用标准等

发展

从等保1.0过渡到等保2.0，包括技术体系和管理体系
从传统信息系统扩展到新形态新应用
涵盖网络安全建设全生命周期
等级保护分为五级

等级保护对象

工作流程：

定级、备案、建设整改、等级测评、监督检查

等级保护要求：

技术要求与管理要求：

7安全策略文件四级体系

按照可操作程度，策略文件体系分为四级

总体安全策略：网络安全保障工作总纲，规定了该系统网络安全的总方针和主策略，主要阐述管理层承诺、网络安全方针以及网络安全原则，适用于整个组织层面。

四级文件体系：总体安全策略（一级）；规范、流程与管理办法（二级）；指南、手册及细则（三级）；记录、表单（四级）

第三部分网络基础架构安全技术

1物理与环境安全

基本安全控制点：

物理位置的选择
物理访问控制
防盗窃和防破坏
防雷击
防火
防水和防潮
防静电
温湿度控制
电力供应
电磁防护

安全控制点及安全措施概念：在通用要求的基础上，针对网络空间信息系统新形态新应用的特点提出的特殊保护要求。

对象：云计算安全、移动互联安全、物联网安全、工业控制系统安全

2安全域

按照不同区域的不同功能和安全要求，将网络划分为不同的安全域。实施不同的安全策略。

3网络IP地址

制定网络IP地址分配策略，
指定网络设备的路由和交换策略，
可根据情况采取静态分配地址、动态分配地址、设计NAT措施等

4安全边界

明确网络安全防护策略，
规划设备具体部署位置和控制措施，
部署网络安全审计系统

5密码学发展三阶段

密码学分为：密码编码学、密码分析学

近现代密码阶段：采用计算机等先进计算手段作为加密运算工具
古典密码阶段：纯机械或电子机械方式加密(单表代替密码、多表代替密码及转轮密码)
古代加密方法阶段：人工方式加密

6密码系统的定义

定义为一个五元组{M,C,K,E,D}

7对称密码体制、优缺点、典型算法、应用特点

对称：加密密钥与解密密钥相同或可以相互简单推算导出。

加密解密双方需要事先商定一个密钥供加解密使用
密钥的保密程度决定了对称加密体制的安全性
密钥的高保密要求又在很大程度上决定了密钥管理的高难度和复杂性

典型算法

1.序列密码（流密码）

原理： 对明文逐字符（或逐位）加密加密变换随时间而变
算法要素： 明文、密文、密钥（含种子密钥与密钥流）、密钥流字母表、加密算法、解密算法
核心步骤

密钥生成利用少量种子密钥（扰乱元素），借助密钥生成器，生成大量密钥流（即由密钥生成的伪随机位流）
加密将密钥、明文表示为二进制或连续的字符，加密时一次处理明文中的一个或数个比特位，实现明文位流的加密
解密一次处理密文中的一个或数个比特位，解密密文位流

记序列密码为一六元组（m，c，k，L，E，D）和函数g
g ：密钥流生成函数
m：明文
c：密文
k：密钥（含种子密钥与密钥流）
L：密钥流字母表
E：加密算法
D：解密算法

RC4算法与A5算法

RC4（同步流）算法每次生成的是密钥流字节（byte），以字节流方式逐字节依次加密、解密
A5算法则是每次生成密钥流位（bit），将明文划分为每帧228位的多帧加密

序列密码的优缺点
优点：处理速度快、误差传播少
缺点：扩散（混淆及扰乱）不足、对插入及修改不敏感

2.分组密码（块密码）

加密原理： 一次加密明文中的一个组，分组长度，通常是64或128加密输出的每一位数字是与一组长为m的明文数字有关

算法要素： 明文密文密钥加密算法解密算法

核心步骤

明文分组对明文消息编码，得到数字序列，划分成长为m的分组
加密每组明文消息经密钥控制加密变换成长为n的等长密文分组
解密密文分组经使用加密的逆向变换和同一密钥来实现解密后恢复为明文分组

DES（数据加密标准）算法、3DES（三重数据加密）算法与AES（高级加密标准）算法

DES算法（1977年公布）使用传统的换位和置换方法，操作数至多为64位。3DES是为了提升安全性而进行的扩展应用，但其效率较低。
AES算法（2000年公布）使用代换和混淆方法，安全强度高、计算效率高、可实现性好、灵活性强。是目前常用的对称加密算法

分组密码的优缺点

优点：扩散性好、对插入敏感
缺点：处理速度慢、错误易传播

8非对称密码体制、优缺点、典型算法、应用特点

非对称：一对加密密钥与解密密钥，其中之一应公开（公钥），而另一个则需要保密（私钥）。

起源：1976年，迪菲和赫尔曼发表的《密码学的新方向》
如果使用公钥来加密数据，只有使用对应的私钥方可解密；反之亦然
如果某个信息系统中有n个用户需要采用公钥加密体制进行两两通信，密钥管理系统仅需管理2n个（即n对）密钥，大大方便了密钥管理

基本原理

通过一类正向易于计算、反向难于计算的函数来实现公钥密码的构造

两类重要函数：单向函数单向陷门函数
单向函数：难以根据输出推算出输入的一类函数，即正向计算容易、求逆计算不可行
单向陷门函数：若给定某些额外数据（即陷门）时容易计算单向函数的逆函数。陷门即为解密密钥

常用算法：构造公钥密码体制的核心问题是寻找到合适的单向陷门函数

大整数分解类：RSA等大整数分解问题类算法
离散对数问题类：Diffie-Hellman等离散对数问题类算法
椭圆曲线类：ElGamal等椭圆曲线类算法

对称密码与非对称密码对比

对称密码与非对称密码的组合应用

目的：实现加密强度、运算效率与密钥分配管理之间的平衡
采用对称密码体制进行数据加密，采用公钥密码体制对“对称密码的加密密钥”加密
核心、关键的机密数据仍使用公钥密码体制来完成

9摘要算法概念、典型算法及应用

概念：将任意长的输入消息串变换成唯一的固定长的输出，以实现其唯一认证标识。

摘要算法，又称为无密钥加密算法
Hash函数的实现：MD系列、SHA系列算法均属此类
常与对称密码、非对称密码组合使用，构成完整的加密认证应用体系

Hash函数（单向杂凑函数、单向散列函数）的性质
1.唯一性同一个输入的Hash操作，只能得到唯一的输出
2.压缩性通常输出h（x）的长度要小于x自身的长度
3.高效性每一个输入，均易于计算其输出值
4.单向性完全不可逆，无法通过输出串来直接恢复源数据
5.不可预见性输出值与源数据大小无关，直观上也无明显关系
6.抗碰撞性无法找到两个不同的输入产出同一个输出值

摘要算法的实现

M D x系列算法

MD5概要：输入信息长度任意输出哈希值长度为128位
MD5安全性：2004年王小云找出了碰撞；网上存在MD5密文与明文的对应数据库；MD5几乎已遭淘汰

SHA系列算法：
SHA概要：安全哈希算法，逐步替代了MD5算法
SHA安全性：2004年王小云找出SHA-1碰撞；建议安全要求级别高的优先选用SHA-2

10数字签名概念、功能特点、签名方法

非对称密码技术与摘要算法的应用

数字签名：附加在数据单元上的一些数据，或是对数据单元所作的密码变换
采用电子形式实现鉴别，用于鉴定签名人的身份及数据内容的认可，防止源点或终点抵赖或欺骗
数字签名为广义“加密”过程，数字签名验证为广义“解密”过程

主要功能：

1.防冒充(伪造)私有密钥只有签名者自己知道
2.可鉴别身份接收方必须能够鉴别发送方所宣称的身份
3.防篡改签名可与原有文件形成一个混合的整体数据
4.防重放对签名报文添加流水号、时间戳等技术
5.防抵赖要求接收者返回一个自己签名的表示收到的报文
6.提供保密性数字签名可以加密要签名的消息。也可不要

核心步骤

系统初始化
生成签名要用到的各种参数
签名生成
采用特定的签名算法对待签名消息生成签名
签名验证
采用公开验证方法对消息的签名进行验证，证实其有效性

常用算法

哈希算法：先计算发送文件的哈希值（消息摘要）；再用私钥对消该摘要进行签名，形成发送方的数字签名。
非对称加密：先将原文用自己的私钥加密得到数字签名；再将基于非对称密码的数字签名与验证原文和数字签名一起发送给接收方

密钥管理

现代密码体制：一切秘密寓于密钥。密钥管理至关重要，涵盖密钥产生到密钥销毁的全生命周期。

11PKI（公钥基础设施）和数字证书

采用公钥技术来实施和提供安全服务的普适性安全基础设施

管理密钥和证书的系统或平台
在开放环境中为开放性业务提供公钥加密和数字签名服务
组成部分包括：公钥密码系统、数字证书、认证中心（CA）以及相关公钥的安全策略等

P K I数字证书认证系统架构示意图

认证中心（CA） PKI的核心执行机构，是PKI的主要组成部分
注册中心（RA） PKI的核心执行机构，是PKI的主要组成部分
密钥管理中心（KMC） 管理CA区域内的密钥，通常每个CA中心需要配备一个KMC
在线证书状态查询服务（OCSP） 发布用户的证书和黑名单信息

数字证书：P K I的核心元素

功能：公钥真实性和有效性问题的保证与证明

经CA数字签名的包含公钥拥有者信息以及公钥的权威性电子文档
包含了证书所有者公钥在内的标志各方身份信息的一系列数据
由权威公正的第三方机构CA来签发，具有一定的有效期，用来证明某实体的身份及其公钥的匹配绑定关系及合法性

核心步骤

证书持有者生成密钥对
用户产生自己的密钥对，并将公钥及部分身份信息传送给CA
CA签发数字证书
CA经验证后，向该用户签发数字证书，内含用户身份及其公钥信息，随附CA签名信息
数字证书的使用
用户可使用自己的数字证书进行各种活动，而证书的可信性由CA签名来保证

12国产密码算法

核密、普密和商密

商用密码算法（商密）：不涉及国家秘密内容的敏感信息加密

对称密码算法，非对称密码算法，摘要算法

13网络协议层次与各层协议

网络层面的安全形势日渐严峻

根本原因
网络自身的缺陷（尤其是TCP/IP协议的安全缺陷）
网络空间及网络信息系统的开放性
黑客攻击和入侵

提出与发展

原理：基于密码学的通信协议
作用：利用网络安全协议保障信息安全
对象：TCP/IP架构下的安全协议（或协议套件）

网络安全协议是基于密码体制、保障信息安全的交互通信协议

基本方法
以OSI网络层次及TCP/IP协议族为基础
通过加密、认证及相关协议进行密码学安全加固

网络安全协议层次与网络协议层次相对应

各层协议

L2TP（链路层扩展）第二层隧道协议
IPsec（IP层安全）互联网安全协议
SSL/TLS（传输层安全）安全套接层及其继任者传输层安全
SSH（会话安全）安全外壳协议
Socks（代理安全）防火墙安全会话转换协议
Kerberos（认证协议）网络认证协议
PGP（应用安全）优良保密协议
HTTPS（应用安全）安全超文本传输协议

14网络协议的安全风险

明文传输
网络窥探
IP地址欺骗
路由攻击
IP隧道攻击
网际控制报文协议攻击
IP层拒绝服务型攻击
IP栈攻击
IP地址鉴别攻击
TCP序列号攻击

15常用的网络安全协议特点及用途

L2TP（链路层扩展）第二层隧道协议

虚拟隧道协议，常用于VPN
支持IP、ATM、帧中继等网络
不提供加密与可靠性验证，常与安全协议搭配使用，实现数据加密传输

IPsec（IP层安全）互联网安全协议

对IP协议的分组进行加密和认证来保护IP协议的网络传输协议族
包括认证头（AH）、封装安全载荷（ESP）、安全关联（SA）
提供不可否认性、数据完整性、不可重放性等

SSL/TLS（传输层安全）安全套接层及其继任者传输层安全

在传输层对网络连接进行加密
SSL协议位于TCP/IP协议与各种应用层协议之间
为高层协议提供数据封装、压缩、加密等基本功能的支持，提供保密性和数据完整性

SSH（会话安全）安全外壳协议

建立在应用层基础上的安全协议
专为远程登录会话和其他网络服务提供安全性
提供两种级别的安全验证（基于口令、基于密钥）

Socks（代理安全）防火墙安全会话转换协议

工作在会话层，使用UDP传输数据
提供一个通用框架使FTP、TELNET、SMTP等协议安全透明地穿过防火墙
与应用层代理、HTTP层代理不同，Socks只是简单地传递数据包，而不关心是何种应用协议

Kerberos（认证协议）网络认证协议

网络认证协议，通过密钥系统为客户机/ 服务器应用程序提供认证服务
基于可信第三方—密钥分配中心（Key Distribution Center，KDC）
由两个独立的逻辑部分组成：Kerberos认证服务器（AS）和票据授权服务器（TGS）

PGP（应用安全）优良保密协议

用于消息加密、验证的应用程序，采用RSA加密、IDEA散列算法验证
由一系列散列、数据压缩、对称密钥加密，以及公钥加密的算法组合而成
常用于电子邮件加密，提供数据加密和数字签名服务

HTTPS（应用安全）安全超文本传输协议

HTTP+加密+认证+完整性保护= HTTPS
HTTPS是HTTP先和SSL协议通信，SSL再和TCP通信
可解决明文传输、认证以及数据完整性问题

16软件安全工程过程、安全编码原则与安全测试概念

软件安全需求工程过程（5个阶段）

安全需求获取：考查软件系统并分析其安全目标，开发、获取和修订软件的安全需求；
安全需求建模：为最终用户所见系统建立安全概念模型，实现安全需求的抽象描述；
形成安全需求规格：生成安全需求模型构件的精确的形式化的描述，由用户和开发者共同认可；
安全需求验证：以需求规格为输入，通过符号执行或快速原型等途径，分析需求规格的正确性和可行性；
安全需求管理：支持安全需求演进，如安全需求变化和可跟踪性问题。

安全编码八大原则

根据安全策略设置软件架构（实施和强化安全策略）
保持代码简洁（降低复杂度及可能故障树的“高度”）
遵循最小特权原则（授予任何粒度的组件完成其工作所需的最小特权
实施深度防御（多层次的安全防护、多种防御策略，阻断缺陷的级联效应）
保证输入数据的安全性（验证来自所有非信任数据源的输入信息，包括环境变量、命令行参数、网络接口、用户控制的文件等）
正确使用加密与认证技术（加密仅提供机密性，但不提供完整性和真实性。而认证仅提供不可否认性和完整性，并不提供机密性）
遵循安全编码的标准和指南（保证代码规范、安全）
使用编译器的安全检查和强化功能（使用编译器的最高警告等级，解决警告问题、修改程序错误；可执行文件编译链接时，禁用调试选项；采用污点分析等功能）

安全测试：
验证软件安全功能，识别安全缺陷

分为安全功能测试和安全漏洞测试。

安全功能测试： 测试软件的安全功能实现与安全需求的符合情况，需求实现是否正确完备（机密性、完整性、可用性、抗抵赖性；身份认证、权限管理、访问控制；审计跟踪、隐私保护以及安全管理等）。
安全漏洞测试： 以攻击者的视角，目的是查找软件自身程序设计中存在的脆弱性等安全隐患，发现软件的安全漏洞，并检查应用程序对非法侵入的防范能力。

安全测试的核心步骤

分析安全性测试集中的所有安全性测试用例，测试是否通过安全性测试准则。
分析测试代码是否遵照相关要求，并达到了相应的测试覆盖率。
分析软件安全性测试结果，验证是否全部满足所提的安全性需求

应用软件安全测试方法：（1）正向测试（2）逆向测试

17数据备份主要技术和策略

数据备份策略

数据备份的备份策略至关重要。
备份策略：指明需要备份的内容、备份时间以及备份方式。
常用备份策略：完全备份（Full Backup）、差异备份（Differential Backup）、增量备份（Incremental Backup）。

数据备份方式

Host-Base备份
LAN-Based备份
SAN LAN-Free备份
SAN Server-Free备份

18灾难恢复能力指标

难恢复能力指标：容灾系统需要达到的能力目标与层次的定量指标常用RPO、RTO、NRO和DOO

恢复点目标（RPO）
表征业务系统所能容忍的数据丢失量：灾难发生后系统和数据必须恢复到的时间点要求
恢复时间目标（RTO）
容忍的业务停止服务的最长时间：灾难发生后信息系统或业务功能从停顿到必须恢复的时间要求
恢复访问目标（NRO ）
灾难发生后，切换到备用网络系统并通过备用网络访问灾备中心所需的时间
降级运行目标（DOO ）
系统灾难恢复后到第二次故障又产生灾难的时间间隔

第四部分网络安全被动防御技术体系

1防火墙的分类、部署及实现技术

原理：访问控制机制在网络隔离领域的一种具体体现
部署：在不同网络或不同安全域之间
作用：实现不同信任域之间的安全隔离
实现技术：
防火墙的过滤机制实现技术：包过滤机制实现、应用代理过滤机制实现、状态检测过滤机制实现
防火墙软硬件实现技术：软件防火墙实现、软硬件结合防火墙实现、硬件防火墙实现、虚拟防火墙实现

基于不同标准的防火墙分类

2脆弱性、漏洞的概念、检测与防范

脆弱性概念：信息系统客观存在的某种固有特性或威胁，攻击者可利用其，通过授权或自行提升权限，对网络资源进行访问或对系统实施危害
漏洞概念：漏洞是存在于信息系统之中的，作用于一定环境的、可能被利用且会对系统中的组成。运行和数据造成损害的一切因素。

3恶意代码的概念、分类与特征，检测与防范

故意编制或设置的
经由存储介质和网络传播
安装或运行于信息系统之中
在信息系统所有者不知情的情况下，对网络或系统会产生现实威胁或潜在威胁
通过各种手段达到目标系统信息泄露、资源滥用、系统完整性及可用性等遭到破坏等目的

分类与特征

病毒（Virus）具有传染性、非授权可执行性、隐蔽性、潜伏性、可触发性以及破坏性等本质特征
蠕虫（Worm）具有自我复制、独立自动运行、消耗系统资源等特征
木马（Trojan）具备破坏和删除文件、发送密码、记录键盘和攻击操作系统等特殊功能的后门程序
间谍软件（Spyware）在用户不知情或未经用户准许的情况下搜集、使用、并散播用户的个人数据或敏感信息
僵尸程序（Bot）恶意控制功能的程序代码，能够自动执行预定义的功能、可以被预定义的命令控制。具有较强的隐蔽性和危害性
恶意脚本（Malicious Script）一切以制造危害或者损害系统功能为目的而从软件系统中增加、改变或删除的任何脚本
流氓软件（Badware）在未明确提示用户或未经用户许可的情况下，在用户终端上强行安装运行，侵犯用户合法权益的软件（计算机病毒除外），介于正常软件和恶意软件之间
逻辑炸弹（Logic Bomb）在特定逻辑条件满足时，实施破坏的计算机程序，被触发后造成数据丢失、计算机不能从硬盘或者软盘引导，甚至会使整个系统瘫痪，并出现物理损坏的虚假现象
后门（Backdoor）绕过安全控制而获取对程序或系统访问权的方法，便于再次秘密进入或控制系统
网络钓鱼工具（Phishing）利用欺骗性的电子邮件和伪造的Web 站点来进行网络诈骗活动的软件工具

恶意代码的检测： 依据其特有的特征

恶意代码的特征包括两种：

恶意代码的特征码（提取自恶意代码的结构自身）
恶意代码的特征行为（需要动态运行）

基于特征码校验的恶意代码检测为静态检测，而基于特征行为的恶意代码检测则为动态检测。

基于特征码匹配的恶意代码静态检测技术

从恶意代码内不同位置提取的一系列字节（一小段程序或感染标记），这些字节组合即为特征码。
以病毒为例，需要分析其样本，提取其特征码内容和位置等信息。
为提高检测的准确度，通常会提取病毒的多处特征（2个以上的代码段）以组合成特征码。
特征码字符串多为恶意代码文件里对应代码或汇编指令的地址，也可以直接采用入口点的代码段来生成特征码。

特征码提取步骤：

根据恶意代码长度，将其分为若干份，通常是3到5份。
每份中提取16或32个字节长的特征串。令大量的恶意代码样本的相同部分为拟选特征串。
若拟选特征串为通用信息（即正常代码相应位置的信息均相同）或全零字节，则应将该拟选特征码舍弃，调整（预设或随机确定的）偏移量后重新选取。
将最终选出的若干段特征码（即内容）、偏移量（即位置）及恶意代码名称存入恶意代码特征库。

特征代码库的构建与匹配检测

检测代码特征库
将各类恶意软件的特征码写入特征代码库；特征代码库应根据新发现恶意代码的特征进行及时更新。
特征代码库的描述和存储结构
特征起始地址、特征长度、具体特征值
检测匹配
将被检测代码与特征代码库中的所有特征进行匹配，如匹配成功，则可判定该代码为相应特征的恶意代码。

优缺点

优点简单快捷、准确度高、误报率很低。
缺点恶意代码特征的提取必然滞后于其出现，只有首先得到恶意代码样本才能实现其特征提取。

多态型恶意代码（Chameleon，Casper）的检测

多态型恶意代码每次复制时都能够更改其自身。
变形方式
采用不固定密钥或随机数来加密病毒程序代码；
病毒运行过程中改变病毒代码；
通过一系列模糊变换、等价指令替换、加壳、花指令、混淆等变换来实现多态。
特点
每次传播或感染时植入宿主程序的代码都各不相同，同一种恶意代码的多个实例样本的代码都不同，无法提取该类恶意代码的稳定特征代码。由此导致检测难度增大。

基于特征行为的恶意代码动态检测技术

恶意行为指恶意代码运行时会执行若干互不重复的内置恶意动作以及一系列扩展的时序恶意动作。
恶意行为的特征
一个孤立行为往往难以成为恶意行为特征；
厘清需要关注的重点行为，比如，修改注册表启动项、操作关键文件（如，PE文件等）、控制进程（如，启动进程等）、访问网络资源（如，创建Socket等）、修改系统服务（如，关闭服务等）、控制窗口（如，隐藏窗口等）等；
恶意代码的特征行为模型采用动态污点跟踪或状态机模型方法。

基于校验和的恶意代码检测技术（程序完整性检测）

检验和
用MD5、SHA1、CRC（循环冗余校验）等散列函数生成，为16进制表示的简短固定位数值
校验和的生成和比对
在恶意代码检测工具中加入校验和计算算法
在应用程序代码中加入校验和法自我检测功能（如PE文件的Checksum字段）；
将校验和检查程序常驻内存进行内存映像校验。

恶意代码的防治工作，主要分为防范和治理两大部分。

防范技术
涉及恶意代码预防、免疫、防范策略、备份及恢复等环节。
治理技术
涉及恶意代码检测与处理

综合防范之道

从恶意代码的全生命周期出发，制定相应的恶意代码防范策略；
采用入侵检测、防入侵可信系统、防病毒、虚拟技术、诱骗系统等各种工具和手段；
实施恶意代码预防、检测、分析、响应；
尽量在生命周期早期切断其生命链，从而达到抑制、遏制的目的。

治理技术

恶意代码清除
恶意代码删除
恶意代码隔离

4入侵检测的步骤、架构

定义
用于检测网络空间信息系统中可能存在的、影响其资产的行为的软件、硬件或其组合。
被认为是防火墙之后的又一道防线。

简要步骤

采集网络或主机若干关键节点的信息。
按照预先设定的分析策略和安全知识进行分析比较，判断其中是否有违反安全策略的行为和被攻击的迹象。
施行告警等适当的响应措施。

通用架构
通用架构应独立于特定的操作系统平台、应用环境、系统脆弱性以及具体的入侵类型。

基础架构释义

组件：逻辑实体而非物理实体。
组件通信标准化：固定格式，如统一入侵检测对象（GIDO）格式、入侵检测消息交换格式（IDMEF）。
事件：待分析安全数据，记录系统、服务或网络的状态及其变化信息，是进行入侵检测的数据基础。

目录服务组件的作用

实现组件定位
数据传输控制及认证
密钥发布和管理

入侵检测技术分类

5入侵检测的功能、实现技术、性能指标

核心功能模块包括：

安全数据采集
入侵分析
入侵响应

入侵分析（检测）技术：异常检测

基本假设假设入侵行为与网络正常行为存在较大差异。
具体步骤
预先定义表征正常主体行为的一组属性特征；
采集主体的大量正常活动信息，通过统计方法来构建主体正常活动的“行为轮廓（Profile）”；
一旦网络行为超出给定的轮廓阈值，即判定为“入侵”行为。

异常检测具体技术：统计分析

基于概率统计理论，选择统计参数。
构建统计模型，并确定统计参数阈值。

优点
1）无需对规则库进行不断地更新和维护；
2）可以根据异常现象发现未知攻击方式的入侵行为。
缺点
1）批处理导致检测实时性不强；
2）统计分析无法反映攻击事件时间相关性特征；
3）难以确定具体的攻击方式。

入侵分析（检测）技术：误用检测

基本假设假设已知攻击行为可采用特定模型或规则来表示。
具体步骤
将各入侵事件的模式定义为一个违背安全策略事件的独立特征，构建攻击特征集；
如果网络行为与上述特征集中的已知攻击特征相匹配，就判定为“入侵”行为。

误用检测具体技术：协议解析

利用网络协议的高度规则性，实现入侵行为的快速检测。
可处理数据包、帧和链接等元素。

优点
1）检测速度快、准确率高、资源消耗少；
2）可具体针对IPv4、IPv6以及工控协议等。
缺点
1）协议树动态构建困难；
2）高速网络下的协议识别性能受限。

误用检测具体技术：模式匹配

将入侵场景（含网络行为）抽象为特征组合。
与已知的攻击方法抽象得到的模式知识库进行匹配。

优点
1）检测速度快、准确率高；
2）可具体针对IPv4、IPv6以及工控协议等。
缺点
1）攻击模式抽取、枚举与更新工作量大；
2）检测准确度依赖于知识库；
3）难以检测已知攻击变种及未知攻击。

误用检测具体技术：关联分析

基于探测到的数据信息构建数据规则集并进行分类匹配。
通过相似度对比来搜索关联规则库，采用该规则库进行规则匹配。

优点
可分析隐含性、未知性、异常性的特征；
能够实现时间、事件等关联。
缺点
关联相似度的定义及匹配判定较为困难；
智能化要求较高。

第五部分网络安全主动防御技术体系

1主动防御的概念

被动防御是主动防御的基础，主动防御是被动防御的延伸

作用基础 构建具有弹性的安全防御体系
主动功能
攻击或者安全性破坏发生之前，实现及时、准确识别和预警
主动规避、转移、降低或消除网络空间所面临的安全风险

2入侵检测、入侵防御和入侵容忍策略

针对入侵采取不同应对策略
入侵检测：实现入侵行为的检测采用告警等被动响应
入侵防御：对入侵行为进行检测采用智能分析、阻断等主动响应
入侵容忍：属于信息系统可生存性保障范畴

3入侵防御主动响应技术

入侵检测的局限性

对异常的可疑入侵行为的数据进行检测和报警，侧重于风险预警
难以适应物联网、云计算、移动互联网络、工业互联网等新型应用环境的复杂攻防对抗形势
被动响应无法满足主动防御和深度防护的需求

入侵检测发展的高级阶段
有效检测、主动阻断和干预、减轻/避免入侵危害
入侵防御系统（Intrusion Prevention System，IPS）：
基于入侵检测的深度防御安全机制，通过主动响应方式，实时阻断入侵行为，降低或减缓网络异常状况处理的资源消耗，以保护网络空间信息系统免受更多侵害

入侵检测是入侵防御的基础，入侵防御是入侵检测的升级

入侵防御的技术特征主要体现在

智能检测 高效检测和联动

作用基础
相对完备的恶意代码特征知识库和入侵攻击特征知识库
智能赋能
基于特征的检测与基于统计的检测方法的智能化结合
智能检测的安全数据、算法和算力条件具备。可实现智能协议识别与解析、数据报文的深层检测等

深层防御 多层、深度防护

作用对象
僵木蠕等恶意代码和应用层数据解析
具体特征
应对多种安全威胁：恶意代码、通用网关接口、跨站脚本攻击、注入攻击、信息泄露等
应用层攻击载荷防护：需要检测报文应用层内容和数据流重组分析和检测等

主动响应 主动响应安全策略

作用基础
安全策略给出入侵事件的响应时机和方式等具体要求
具体特征
主动响应技术：自动执行或用户驱动来阻断、延缓入侵进程或改变受攻击信息系统环境配置
安全联动：融合恶意代码检测、脆弱性评估、防火墙等联动功能，完成体系结构层面的安全机制有效联动

4入侵容忍的内涵和实现技术

入侵检测与入侵防御的局限性

IDS和IPS无法准确、及时地检测出所有的入侵行为
仅靠传统的“堵”和“防”，难以保障网络空间中信息系统的保密性、完整性、可用性和不可否认性
无法提升信息系统的“自身免疫力”

入侵容忍

作用基础
着眼于信息系统的
可生存性可生存技术
网络空间的信息系统如果出现攻击入侵、故障和偶然事故，可在限定时间内完成既定的业务功能和使命。
可生存技术与容错技术关联密切

技术内涵
前提假设：无法实现系统的入侵行为的完全、正确检测。
一旦入侵和意外故障发生，可通过容侵手段来“容忍”该入侵和故障，以保障其保密性、完整性、真实性等安全属性不被破坏。
不仅可以容错，更可以容侵，可保证系统关键功能继续执行，关键系统能够持续提供服务，即使得系统具有可生存性。

入侵容忍的技术实现（攻击响应与攻击遮蔽）

实现系统权限的分立以及单点失效（特别是因攻击而失效）的技术防范，确保任何少数设备、局部网络及单一场点均不可能拥有特权或对系统整体运行构成威胁。

攻击响应 重新分配资源，实现系统重构。
在检测到入侵时，IDS系统是发出报警，IPS是采取阻断措施，而ITS则是另辟蹊径，重新构建系统
一旦检测到入侵行为或局部失效，通过响应及时调整系统结构，重新分配资源，使得系统保障水平达到在攻击发生时系统仍可继续工作
实现有效的系统资源调整是ITS的核心所在用以限制被破坏对象的影响范围

系统资源调整方式

限制性措施：通过防火墙来限制可疑攻击IP的带宽范围，为其他用户的正常通信提供最大保证
隔离性措施：将可疑操作行为重定向至指定的隔离区，以保护系统正常运行
修补性措施：明确判断被破坏系统的范围，然后再通过回滚等操作实现相关设备或数据的正确修复，从而使得用户的大部分工作得以保留

攻击遮蔽 通过适度的冗余措施，实现系统的高生存性
攻击“遮蔽”：源自容错，通过适度冗余，实现高生存性系统，使其遭受攻击或局部失效时，对系统造成的影响有限，系统仍可正常运行，就像攻击并未发生一样
并非是简单的容错冗余，而是综合考虑并保证各冗余组件间具有较为复杂的关系和异构特征
采用攻击遮蔽技术，无需在系统遭受入侵或局部失效时重构，系统操作及连接可保持不变。

5蜜罐、蜜网的概念与作用

蜜罐概念的由来：“甜蜜的诱惑”

网络欺骗：1989年由普渡大学斯帕福德提出。
蜜罐本意：盛蜜的小罐，用来诱捕喜欢蜜的昆虫，对于昆虫来说，这个蜜罐就是“甜蜜的致命陷阱”。
网络安全中的蜜罐：诱使攻击者窃取重要数据或进一步探测目标网络的单个主机（狭义）；欺骗攻击者以达到采集其攻击方法、保护真实主机目标的诱骗技术（广义）。

部署具有脆弱性或漏洞相应主机、网络服务或者信息作为诱饵
通过真实或模拟的漏洞或系统配置弱点（比如弱密码），引诱攻击者发起攻击
为防御者提供安全威胁提示，最后通过技术和管理手段来提升真实系统的安全防御能力

蜜罐构建原则：不进行传统目的的网络活动，即不运行其他的进程、服务和后台程序。因此，蜜罐系统中的所有交互行为，均可视为恶意活动的嫌疑对象，有利于攻击活动的检测与识别。

五大作用

发现常见脆弱性
捕获攻击行为
发现新漏洞或攻击
延缓攻击或减轻危害
综合提升主动防御能力

6沙箱的概念、原理与作用

沙箱概念的由来：将软件安装并运行于一个封闭环境

沙箱测试：上世纪70年代测试软件时，将其安装于一个封闭环境中，以观测其运行行为，识别潜在风险、开发应对措施
安全沙箱：受其启发，在信息系统中创建出一个类似的独立作业环境，测试不受信任的网络访问行为或应用程序
虚拟化沙箱：出于更安全的目的考虑，采用专用虚拟机来运行沙箱，在与网络隔离的主机上采用多种操作系统，来实现恶意软件的安全测试和检测

原理

设计封闭环境构建隔离空间，人为设定的独立虚拟环境
隔离运行软件令来源不可信、具有破坏力或无法判定意图的程序在该空间内运行
访问控制可读但不可写，所有操作均不致对系统造成任何损失，避免永久性破坏

7可信计算的概念与信任链

概念

计算运算与安全防护同步进行的计算新模式
计算过程可测可控、不受干扰，具有身份识别、状态度量、保密存储等功能
使得计算结果总是符合预期

信任根
可信计算系统的可信基点

假定其可被无条件信任
信任根的可信并不是绝对“可信赖（Trustworthy）”，而是“被信任（Trusted）”。
工程实践中，信任根的可信性通常由物理安全、技术安全以及管理安全等综合措施来共同保证

可信计算体系的信任根组成

可信系统采用可信度量存储报告机制来确保自身可信，并向外界提供可信服务。

可信度量根：负责完整性度量的软件模块，对计算平台进行度量
可信存储根：对度量的可信性进行存储
可信报告根：当访问客体询问时提供报告

信任链

可信根之外的所有模块或组件，在未经度量前均不可信
只有实施可信度量并与预期相符的模块或组件，才可纳入可信边界
逐步扩大信任边界，直至信任边界扩大整个信息系统

8可信平台模块的结构与作用

可信计算平台的启动与信任链构建流程

信任根->BIOS-> OSLoader-> OS->Applications

组成结构

可信计算平台中，可信平台模块和可信软件协议栈最为重要

可信平台模块（TPM）： 含有密码运算部件和存储部件的小型片上系统，作为密钥生成器和密钥管理装置，完成计算平台的可靠性认证、用户身份认证和数字签名等功能

可信软件栈（TSS） 处在TPM之上、应用程序之下的一种用以支撑可信计算平台的软件中间件
为操作系统和应用软件提供使用TPM的接口
实现TPM的管理

常用的TSS架构：分为内核层、系统服务层、用户程序层。

第八部分信息系统新形态新应用安全技术

1云计算主要安全威胁和安全技术

安全威胁

数据泄露
配置错误和变更控制不足
缺乏云安全架构和策略
身份、访问和密钥管理不力
帐户劫持
内部威胁
不安全的接口和API
控制平台薄弱
元结构和应用程序结构故障
云计算使用情况有限可见性
滥用和恶意使用云计算服务

云计算安全体系涉及技术和管理两个层面，以标准为支撑

安全技术涉及六大方面

云计算基础设施安全
云应用安全
云数据安全
云密钥管理
云身份管理与访问控制
云安全服务与评估

2移动终端、移动应用、无线网络安全威胁和风险

移动互联安全威胁与风险（两大方面、三大层次）
两方面威胁：传统威胁和特有威胁
三层次威胁：移动终端、移动应用和无线网络威胁
移动终端安全威胁与风险
网络窃听物理访问恶意应用网络攻击
移动应用（A P P）安全威胁与风险
安全漏洞恶意应用仿冒威胁
无线网络安全威胁与风险
消息拦截和篡改被动窃听和流量分析伪装欺诈钓鱼攻击拒绝服务攻击

3物联网安全分区

感控安全区
功能
满足感知终端（包括感知对象、控制对象）及相应感知控制系统的信息安全需求。

特殊性
与传统互联网差异较大，原因在于：

感知对象计算资源的有限性
组网方式的多样性
物理终端实体的易接触性

网络安全区
功能
满足物联网网关、资源交换域及服务提供域的信息安全需求。

特殊性
不低于一般通信网络的安全要求，主要保障：

数据汇集和预处理的真实性及有效性
网络传输的机密性及可靠性
信息交换共享的隐私性及可认证性

应用安全区

功能
满足用户域的信息安全需求。

特点
主要是满足：

系统用户的身份认证
访问权限控制
必要的运维管理
一定的主动防攻击能力

运维安全区
功能
满足运维管控域的信息安全需求。

特点
主要是满足：

基本运行维护所必要的安全管理保障
符合法律法规监管所要求的安全保障功能

4工控系统与工业物联网的概念

工控系统：数据采集与监视控制系统(SCADA)、分布式控制系统(DCS)、可编程逻辑控制器(PLC)等工业场景的控制系统总称。

工业互联网：将工业领域人、机器、物体全面互联的新型网络基础设施。

5工业现场控制系统的脆弱性

以三类对象为例
工业现场控制系统 涉及现场控制层及工业现场设备
工业控制网络 纵向集成：工厂内部网络各层级；横向集成：工厂内网和外网
工业云平台 工业互联网平台架构基于工业云平台

以工业现场控制系统的脆弱性为例
功能安全隐患------功能安全是工控系统的核心安全问题
缺乏准入、鉴别及认证机制------工控协议的设计对安全性考虑不足
数据机密性和完整性保护强度弱------为保证实时性和可用性，牺牲了其他安全属性
漏洞普遍存在且修复困难-------工控漏洞修复受多方面综合制约
感知节点隐患严重------现场感知节点计算存储能力弱，安全保护差
安全管理薄弱------管理不善，缺乏相应机构、人员、制度与规范

6大数据特殊安全威胁与风险

1、异常流量攻击威胁与风险
2、信息和隐私泄露威胁与风险
3、数据传输安全威胁与风险
4、数据存储管理威胁与风险

7大数据数据安全面临的主要问题

重点是大数据的特殊安全问题

分类分级：据属性分类，据重要性分级
数据隔离：强化隔离和访问控制，实现数据“可用不可见”
追踪溯源：重要数据的非授权扩散有效控制和监管
质量管理：尤其是采集阶段，需保证数据的完整性、一致性、准确性、及时性
数据加密：同态加密、密文与密钥分离等

8大数据在网络安全领域的应用

攻防对抗、态势感知和舆情监控

攻防对抗
破解传统安全防御难题

漏洞、脆弱性难以发现
安全事件难以捕获
攻击预警难以实现
协同作战难以实施

以OODA攻防对抗模型为例
OODA循环（包以德循环）

OODA循环最早用于空战，后引入信息战领域，可用于网络空间安全攻防对抗
循环流程：观察(Observe)-调整(Orient)-决策(Decide)-行动(Act)
要义在于先敌行动：先敌观察、先敌调整、先敌决策、先敌行动

OODA攻防对抗循环：动态、联动、循环
观察---------观察自己、观察环境、观察敌人
调整---------事前防御、威胁情报、实时优化
决策---------安全调查分析、安全处置建议
行动---------安全设备联动、预警通报、协同作战

网络安全态势感知及其可视化展现

态势获取、理解与预测
可视化（柱状图、饼图等）
超越“地图炮”

网络舆情监控

全网覆盖、智能抓取：实时抓取新间、微信、微博、博客、论坛、问答、视频等互联网数据
舆情监测、挖掘、服务：数据存储、智能分析，以及敏感事件的预感和预警

9应用人工智能带来的安全问题

1、技术滥用（提升攻击者能力，3个例子）

筛选钓鱼目标
构造可规避杀毒引擎的恶意代码
信息操纵和深度伪造，比如绕过验证码
2、侵犯隐私
数据采集中的隐私侵犯
云计算中的隐私风险
知识抽取中的隐私问题

10人工智能在网络安全领域的应用

辩证思维：有优势，有不足

无“智”难“安”

人工智能在网络安全领域应用的技术优势

大数据分析识别威胁
关联性安全态势分析
自学习应急响应防御

人工智能在网络安全领域应用的丰富场景

网络入侵检测
恶意软件检测
用户/机器行为分析
网络欺诈检测
网络评分风险

本质是人工智能的工程应用无法达到其“理想”状态

算法实现欠缺
数据过度依赖
算力要求较高