网络安全 订阅
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。 [1]  2020年4月27日,国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、国家安全部、财政部、商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、国家保密局、国家密码管理局共12个部门联合发布《网络安全审查办法》,于2020年6月1日起实施 [2]  。 展开全文
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。 [1]  2020年4月27日,国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、国家安全部、财政部、商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、国家保密局、国家密码管理局共12个部门联合发布《网络安全审查办法》,于2020年6月1日起实施 [2]  。
信息
应    用
维护网络系统上的信息安全
外文名
Cyber Security
类    别
网络环境
关    联
计算机、通信、数学、信息安全等
危    机
黑客入侵防不胜防
中文名
网络安全
网络安全概念
网络安全,通常指计算机网络的安全,实际上也可以指计算机通信网络的安全。计算机通信网络是将若干台具有独立功能的计算机通过通信设备及传输媒体互连起来,在通信软件的支持下,实现计算机间的信息传输与交换的系统。而计算机网络是指以共享资源为目的,利用通信手段把地域上相对分散的若干独立的计算机系统、终端设备和数据设备连接起来,并在协议的控制下进行数据交换的系统。计算机网络的根本目的在于资源共享,通信网络是实现网络资源共享的途径,因此,计算机网络是安全的,相应的计算机通信网络也必须是安全的,应该能为网络用户实现信息交换与资源共享。下文中,网络安全既指计算机网络安全,又指计算机通信网络安全。 [3]  安全的基本含义:客观上不存在威胁,主观上不存在恐惧。即客体不担心其正常状态受到影响。可以把网络安全定义为:一个网络系统不受任何威胁与侵害,能正常地实现资源共享功能。要使网络能正常地实现资源共享功能,首先要保证网络的硬件、软件能正常运行,然后要保证数据信息交换的安全。从前面两节可以看到,由于资源共享的滥用,导致了网络的安全问题。因此网络安全的技术途径就是要实行有限制的共享。 [3]  从用户(个人或企业)的角度来讲,其希望: [3]  (1)在网络上传输的个人信息(如银行账号和上网登录口令等)不被他人发现,这就是用户对网络上传输的信息具有保密性的要求。 [3]  (2)在网络上传输的信息没有被他人篡改,这就是用户对网络上传输的信息具有完整性的要求。 [3]  (3)在网络上发送的信息源是真实的,不是假冒的,这就是用户对通信各方提出的身份认证的要求。 [3]  (4)信息发送者对发送过的信息或完成的某种操作是承认的,这就是用户对信息发送者提出的不可否认的要求。 [3]  从网络运行和管理者的角度来讲,其希望本地信息网正常运行,正常提供服务,不受网外攻击,未出现计算机病毒、非法存取、拒绝服务、网络资源非法占用和非法控制等威胁。从安全保密部门的角度来讲,其希望对非法的、有害的、涉及国家安全或商业机密的信息进行过滤和防堵,避免通过网络泄露关于国家安全或商业机密的信息,避免对社会造成危害,对企业造成经济损失。从社会教育和意识形态的角度来讲,应避免不健康内容的传播,正确引导积极向上的网络文化。 [3]  网络安全在不同的应用环境下有不同的解释。针对网络中的一个运行系统而言,网络安全就是指信息处理和传输的安全。它包括硬件系统的安全、可靠运行,操作系统和应用软件的安全,数据库系统的安全,电磁信息泄露的防护等。狭义的网络安全,侧重于网络传输的安全。 [3]  网络传输的安全与传输的信息内容有密切的关系。信息内容的安全即信息安全,包括信息的保密性、真实性和完整性。 [3]  广义的网络安全是指网络系统的硬件、软件及其系统中的信息受到保护。它包括系统连续、可靠、正常地运行,网络服务不中断,系统中的信息不因偶然的或恶意的行为而遭到破坏、更改或泄露。 [3]  其中的信息安全需求,是指通信网络给人们提供信息查询、网络服务时,保证服务对象的信息不受监听、窃取和篡改等威胁,以满足人们最基本的安全需要(如隐秘性、可用性等)的特性。网络安全侧重于网络传输的安全,信息安全侧重于信息自身的安全,可见,这与其所保护的对象有关。 [3]  由于网络是信息传递的载体,因此信息安全与网络安全具有内在的联系,凡是网上的信息必然与网络安全息息相关。信息安全的含义不仅包括网上信息的安全,而且包括网下信息的安全。现在谈论的网络安全,主要是是指面向网络的信息安全,或者是网上信息的安全。 [3] 
收起全文
精华内容
下载资源
问答
  • 网络安全
    万次阅读 多人点赞
    2021-10-04 14:55:35

    逢年过节回家妈妈都会带着我这个好大儿子走亲访友串门炫耀:“这是我家大儿子啊,可出息了,现在在一线城市做黑客啊。”
    “妈!不是黑客,是白帽黑客,网络安全工程师…”

    更多相关内容
  • 网络安全-自学笔记

    万次阅读 多人点赞 2020-06-16 17:29:55
    目录 WEB(应用)安全 前端安全 xss攻击 后端安全 文件上传漏洞 WebShell 解析安全 ...网络安全-sqlmap学习笔记 通信安全 网络-http协议学习笔记(消息结构、请求方法、状态码等) ...

    目录

    相关网站推荐

    WEB(应用)安全

    学习路线

    推荐

    书籍

    网站

    在线靶场

    基础

    XSS攻击

    CSRF漏洞

    劫持攻击

    点击劫持

    SSRF漏洞

    文件包含漏洞

    文件上传漏洞

    XXE漏洞

    WebShell

    解析安全

    RCE漏洞

    SQL注入漏洞

    反序列化漏洞

    条件竞争

    通信安全

    应用层

    传输层

    网络层

    身份认证与访问控制

    弱口令爆破

    渗透测试

    学习路线

    基础知识

    推荐

    书籍

    练习靶场

    信息收集

    漏洞扫描

    渗透攻击

    现代密码学

    CTF

    项目推荐

    比赛推荐

    模糊测试

    AFL

    文件模糊测试

    插桩

    java插桩


    ---------------------2021102更新找工作篇---------------------

    秋招结束,面经就放在前面了

    阿里云安全面经,已收到意向书(回馈牛客)https://www.nowcoder.com/discuss/642461icon-default.png?t=M0H8https://www.nowcoder.com/discuss/642461

    渣硕的安全工程师面经(阿里,美团,腾讯,华为,字节)https://www.nowcoder.com/discuss/749954icon-default.png?t=M0H8https://www.nowcoder.com/discuss/749954

    ---------------------20211102更新完毕---------------------

    相关网站推荐

    博主研究方向为安全领域,以后可能更多的在圈子内发表文章,提高文章质量。

    1、FreeBuf

    国内关注度最高的全球互联网安全媒体平台,爱好者们交流与分享安全技术的社区,网络安全行业门户。

    个人账户:ladykiller9

    2、看雪

    看雪论坛是个软件安全技术交流场所,为安全技术爱好者提供一个技术交流平台和资源。

    个人主页:lady_killer9 

    3、吾爱破解

    吾爱破解论坛是致力于软件安全与病毒分析的非营利性技术论坛。

    4、阿里云先知社区

    一个开放型技术平台。

    个人主页:ladykiller9

    5、腾讯玄武安全实验室

    各种CVE,漏洞。

    6、SecWiki

    安全维基,各种安全资讯。

    WEB(应用)安全

    学习路线

    WEB安全学习路线

    想法:分别学习各个模块,搭建靶机进行练习,做CTF中的WEB安全题,然后再看懂后台代码,为什么会有漏洞,接下来复现一些CVE制作成镜像给看雪等CTF比赛官方,最后学习metasploit等软件,以宏观的角度,从情报搜集开始到漏洞利用做整个渗透报告,最后将靶机的漏洞危险程度由low->impossible(感觉并没有那么多时间...慢慢来吧)。和我一起来学习WEB安全吧!!!

    推荐

    书籍

    入门

    • 《白帽子讲Web安全》 2012
    • 《Web安全深度剖析》2015
    • 《Web安全攻防 渗透测试实战指南》2018

    进阶

    • 《WEB之困-现代WEB应用安全指南》 2013
    • 《内网安全攻防渗透测试安全指南》 2020
    • 《Metasploit渗透测试魔鬼训练营》2013
    • 《SQL注入攻击与防御》2010
    • 《黑客攻防技术宝典-Web实战篇(第2版)》

    网站

    Web安全学习笔记

    安全词汇 RFC-4949

    接下来开始学习,理论并非纯理论,也有靶机攻击举例,实战一般使用离线或线上靶机。

    在线靶场

    国钧CTF

    BUUCTF

    bugku

    网络信息安全攻防平台

    基础

    web安全必备:

    网络安全-php安全知识点

    网络安全-WEB中的常见编码

    跨域请求-jsonp和cors

    学xss注入时再看也可:

    网络安全-js安全知识点与XSS常用payloads

    学sql注入时再看也可:

    网络安全-Mysql注入知识点

    漏洞排行:

    OWASP TOP 10

    XSS攻击

    ----------------------------------理论----------------------------------

    网络安全-跨站脚本攻击(XSS)自学笔记

    网络安全-XSStrike中文手册(自学笔记)

    ---------------------------------实战-----------------------------------

    靶机:dvwa

    网络安全-靶机dvwa之XSS注入Low到High详解(含代码分析)

    靶机:pikachu

    网络安全-靶机pikachu之xss注入与代码分析(XSStrike实战)

    靶机:xssplatform

    CSRF漏洞

    ----------------------------------理论与实战----------------------------------

    网络安全-跨站请求伪造(CSRF)的原理、攻击及防御

    劫持攻击

    点击劫持

    ----------------------------------理论----------------------------------

    网络安全-点击劫持(ClickJacking)的原理、攻击及防御

    SSRF漏洞

    -----------------------------理论及实战--------------------------------

    网络安全-SSRF漏洞原理、攻击与防御

    文件包含漏洞

    -----------------------------理论及实战--------------------------------

    网络安全-文件包含漏洞原理、攻击及防御

    文件上传漏洞

    -----------------------------理论及实战--------------------------------

    网络安全-文件上传漏洞的原理、攻击与防御

    XXE漏洞

    -----------------------------理论及实战--------------------------------

    网络安全-XXE(XML外部实体注入)原理、攻击及防御

    WebShell

    网络安全-webshell详解(原理、攻击、检测与防御)

    解析安全

    RCE漏洞

    ----------------------------------理论----------------------------------

    网络安全-RCE(远程命令执行)漏洞原理、攻击与防御

    SQL注入漏洞

    ----------------------------------理论----------------------------------

    网络安全-SQL注入原理及防御SQL注入

    网络安全-sqlmap学习笔记

    网络安全-sqlmap注意项及高级使用

    ---------------------------------实战-----------------------------------

    靶机:dvwa

    网络安全-靶机dvwa之sql注入Low到High详解(含代码分析)

    靶机:sqlilabs

    sqlmap实战之sqlilabs-Less1

    Less2差不多,整型参数错误,sql语句为 SELECT * FROM users WHERE id=$id LIMIT 0,1

    网络安全-sqlmap实战之sqlilabs-Less3

    网络安全-sqlmap实战之sqlilabs-Less4

    网络安全-sqlmap实战之sqlilabs-Less5

    网络安全-sqlmap实战之sqlilabs-Less6

    网络安全-sqlmap实战之sqlilabs-Less8

    网络安全-sqlmap实战之sqlilabs-Less9

    网络安全-sqlmap实战之sqlilabs-Less11

    网络安全-sqlmap实战之sqlilabs-Less12

    网络安全-sqlmap实战之sqlilabs-Less13

    反序列化漏洞

    ----------------------------------理论与实战--------------------------------------

    网络安全-反序列化漏洞简介、攻击与防御

    条件竞争

    网络安全-条件竞争(《CTF特训营》第7章复现)

    CTF-【NSCTF 2015】WEB11 条件竞争

    通信安全

    ----------------------------------理论与实战--------------------------------------

    应用层

    网络-http协议学习笔记(消息结构、请求方法、状态码等)

    网络-https协议学习笔记(SSL、TLS、CA、抓包与修改)

    网络-Telnet协议与SSH协议(命令、免密登录)及其安全性

    网络-DNS域名系统详解与DNS攻击

    传输层

    网络-UDP协议详解(代码、实战)

    网络-TCP协议详解自学笔记(例题、代码、实战)

    网络层

    网络-IP协议详解(报文格式、分类、NAT、子网、CIDR、抓包分析)

    网络-ICMP协议、Ping命令实现与ICMP攻击

    网络-ARP协议详解与ARP欺骗(中毒)攻击实战

    -----------------------------------实战-------------------------------------

    网络安全-scapy学习笔记

    网络安全-python脚本资源整理

    身份认证与访问控制

    弱口令爆破

    ----------------------------------理论----------------------------------

    github 字典整理

    渗透测试

    学习路线

    学习路线

    时间关系,仅关注渗透测试基础与WEB渗透相关的内容。

    基础知识

    kali

    渗透测试-Kali Linux学习(Linux基础、Shell编程、渗透测试软件)

    推荐

    书籍

    《Metasploit渗透测试魔鬼训练营》

    《Metasploit渗透测试指南》

    《KALI渗透测试技术实战》

    练习靶场

    hackthebox

    vulnhub

    信息收集

      网络安全-信息收集

    《MetaSploit渗透测试魔鬼训练营》之环境搭建

    《MetaSploit渗透测试魔鬼训练营》之信息搜集

    漏洞扫描

    OpenVAS的安装、使用及实战(GVM,Metasploit使用)

    渗透攻击

    《MetaSploit渗透测试魔鬼训练营》之WEB应用渗透技术

    现代密码学

    没想到半年了,文章更新到这么长了,思维导图就不放在这个里面了,放在下面概论里面了

    基本知识

    现代密码学-密码学概论与基本知识

    传统密码

    对称密码

    非对称密码

    哈希函数与消息认证

    数字签名

    公钥管理

    数字帧数

    CTF

    项目推荐

    CTF入门

    CTF工具

    CTF工具2

    比赛推荐

    全国大学生信息安全竞赛

    DDCTF

    "强网杯"全国网络安全挑战赛

    网鼎杯网络安全大赛

    XCTF

    WCTF

    TCTF

    NSCTF

    KCTF

    模糊测试

    Fuzzing大合集
    -包含fuzz书籍、课程、开源软件等

    AFL

    模糊测试-AFL学习笔记之C/C++

    模糊测试-AFL学习笔记之Java

    文件模糊测试

    模糊测试-radamsa学习笔记

    插桩

    java插桩

    java插桩-javaassist

    java插桩-Jacoco java代码覆盖率可视化

    本人b站账号:lady_killer9

    喜欢本文的请动动小手点个赞,收藏一下,有问题请下方评论,转载请注明出处,并附有原文链接,谢谢!如有侵权,请及时联系。如果您感觉有所收获,自愿打赏,可选择支付宝18833895206(小于),您的支持是我不断更新的动力。

    展开全文
  • 第4章 网络安全体系与网络安全模型

    千次阅读 2021-09-05 19:58:24
    第4章 网络安全体系与网络安全模型第4章 网络安全体系与网络安全模型1. 网络安全体系概述1.1 概念1.2 特征1.3 用途2. 网络安全体系相关模型[2.1 BLP机密性模型]...

    第4章 网络安全体系与网络安全模型

    1. 网络安全体系概述

    1.1 概念

    • 网络安全体系是网络安全保障系统的最高层概念抽象,由各种网络安全单元(安全策略、安全技术、安全管理等)按照一定规则组成,共同实现网络安全目标

    1.2 特征

    • 整体性

      • 全局、长远角度实现安全保障,各单元相互作用、约束、依赖,形成人机物一体化
    • 全面性

      • 基于多维度、多层面对安全威胁进行管控,构建防护、检测、响应、恢复等网络安全功能
    • 协同性

      • 各种安全机制相互作用,构建系统性的网络安保方案
    • 过程性

      • 针对保护对象,提供一种过程式网络安保机制,覆盖保护对象全生命周期
    • 适应性

      • 动态演变,适应网络安全威胁的变化和需求

    1.3 用途

    • 有利于系统性化解网络安全风险,确保业务持续开展并将损失降到最低限度
    • 有利于强化工作人员的网络安全意识,规范组织、个人的网络安全行为
    • 有利于对组织的网络资产进行全面系统的保护,维持竞争优势
    • 有利于组织的商业合作
    • 有利于组织的网络安全管理体系认证,证明组织有能力保障重要信息,提高组织的知名度与信任度

    2. 网络安全体系相关模型

    2.1 BLP机密性模型

    • 强制访问控制MAC模型

    • 下读、上写;信息自下而上流动;侧重于保护数据的机密性和对客体的受控访问

    • 两个特性

      • 简单安全特性

        • 下读:主体对客体进行读访问的必要条件是主体的安全级别不低于客体的安全级别,主体的范畴集合包含客体的全部范畴集合
      • *特性

        • 上写:一个主体对客体进行写访问的必要条件是客体的安全级支配主体的安全级,即客体的保密级别不低于主体的保密级别,客体的范畴集合包含主体的全部范畴
    • 为实现军事安全策略,计算机系统的用户和信息都分配一个访问类,由两部分组成

      • 安全级:公开<秘密<机密<绝密
      • Security Rating:Unclassified<Confidential<Secret<Top Secret
      • 范畴集
      • 文件F访问类:{机密:人事处、财务处}

    2.2BiBa完整性模型

    • 强制访问控制MAC模型;侧重于保护数据完整性

    • 上读、下写;信息自上而下流动

    • 三个安全特性

      • 简单安全特性

        • 上读:主体不能从较低完整性级别读取数据
      • *特性

        • 下写:主体不能修改较高完整性级别的数据
      • 调用特性

        • 主体不能调用较高完整性级别的主体

    2.3 信息流模型

    • 访问控制模型的一种变形,不检查主体对客体的读取,而是根据两个客体的安全属性控制从一个客体向另一个客体的信息传输
    • 用于分析系统的隐蔽通道,防止敏感信息通过隐蔽通道泄露

    2.4 信息保障模型

    • PDRR模型

      • 保护Protection

        • 加密、签名、访问控制、认证、信息隐藏、防火墙
      • 检测Detection

        • 入侵检测、系统脆弱性检测、数据完整性检测、攻击性检测
      • 恢复Recovery

        • 数据备份、恢复、系统恢复
      • 响应Response

        • 应急策略、应急机制、应急手段、入侵过程分析、安全状态评估
      • [单选] 我国提出了信息系统安全保障体系PDRR模型,该模型中的响应是指(A)。
        A . 对危及安全的事件做出处理,杜绝危害的进一步扩大 Response
        B . 保障信息的保密性、完整性、可用性 Protection
        C . 系统遭到破坏后,可尽快恢复系统功能Recovery
        D . 检测系统存在的安全漏洞,阻止网络攻击Detection

    • P2DR模型

      • 安全策略Policy

        • 安全策略描述系统的安全需求,以及如何组织各种安全机制实现系统的安全需求
      • 防护Protection

      • 检测Detection

      • 响应Response

      • 进一步演变 P2DR2 增加了“恢复Recovery”

    • WPDRRC模型

      • 预警warning、防护Protection、检测Detection、响应Response、恢复Recovery、反击Crack

    2.5 能力成熟度模型

    • SSE-CMM

      • 系统安全能力成熟度模型SSE-CMM Systems Security Engineering-Capability Maturity Model

      • 五个级别

        • 1级-非正式执行

          • 具备随机、无序、被动的过程;混乱
        • 2级-计划跟踪

          • 具备主动、非体系化过程;项目层面
        • 3级-充分定义

          • 具备正式的、规范的过程;组织机构层面、标准规范、定性
        • 4级-量化控制

          • 具备可量化的过程;定量
        • 5级-持续优化

          • 具备可持续优化的过程
      • 包括三个过程类型

        • 工程过程类Engineering

          • 工程过程Engineering:产品或服务
          • 风险过程Risk:风险信息
          • 保证过程Assurance:保证论据
        • 项目过程类Project

        • 组织过程类Organization

      • SSE-CMM的工程质量来自于保证过程

    • 数据安全能力成熟度模型

      • 数据生命周期

        • 采集
        • 存储
        • 传输
        • 处理
        • 交换
        • 销毁
      • 安全能力维度

        • 组织建设

          • 数据安全组织机构的架构建立、职责分配和沟通合作
        • 制度流程

          • 组织机构关键数据安全领域的制度规范和流程落地建设
        • 技术工具

          • 通过技术手段和产品工具固化安全要求或自动化实现安全工作
        • 人员能力

          • 执行数据安全工作的人员的意识及专业能力
      • 能力成熟度

        • 1级-非正式执行
        • 2级-计划跟踪
        • 3级-充分定义
        • 4级-量化控制
        • 5级-持续优化
    • 软件安全能力成熟度模型

      • CMM1级-补丁修补
      • CMM2级-渗透测试、安全代码评审
      • CMM3级-漏洞评估、代码分析、安全编码标准
      • CMM4级-软件安全风险识别、SDLD实施不同安全检查点
      • CMM5-改进软件安全风险覆盖率、评估安全差距

    2.6 纵深防护模型

    • 4道防护线

      • 安全保护

        • 阻止对网络的入侵和危害
      • 安全监测

        • 及时发现入侵和破坏
      • 实时响应

        • 当攻击发生时维持网络“打不垮”
      • 安全恢复

        • 网络在遭受攻击后以最快速度“恢复”,最大限度降低损失

    2.7 分层防护模型

    • 针对单独保护节点,以OSI 7层模型为参考,对保护对象进行层次化保护

    • 典型分层

      • 物理层、网络层、系统层、应用层、用户层

    2.8 等级保护模型

    2.9 网络生存模型

    • 网络生存性是指网络信息系统遭受入侵情形下,仍能提供持续必要服务的能力

    • 3R建立方法

      • 抵抗Resistance
      • 识别Recognition
      • 恢复Recovery

    3. 网络安全体系建设原则与安全策略

    建设原则

    • 系统性和动态性原则

      • 木桶原理;系统整体安全性;安全防范动态性,不断调整安全措施
    • 纵深防护和协作性原则

      • 安全评估机制

        • 识别网络系统风险,分析网络风险,制定风险控制策略
      • 安全防护机制

      • 安全监测机制

      • 安全应急响应机制

    • 网络安全风险和分级保护原则

      • 正确处理需求、风险与代价关系,做到安全性与可用性相容
      • 根据网络资产安全级别采取合适等级保护做到适度防护
    • 标准化和一致性原则

    • 技术和管理相结合原则

    • 安全第一,预防为主原则

    • 安全与发展同步,业务与安全等同

      • 三同:同步规划、同步建设、同步运行
      • 四统一:统一谋划、统一部署、统一推进、统一实施
    • 人机物融合和产业发展融合

      • 网络安全体系建设要依托网络信息产业发展,做到自主可控、安全可信,建立持续稳定发展的网络安全生态,支撑网络安全体系的关键要素可控

    安全策略

    • 安全策略文件具备以下内容

      • 涉及范围、有效期、所有者、责任、参考文件、策略主体内容、复查、违规处理

    4. 网络安全体系框架主要组成和建设内容

    网络安全组织的建立是网络安全管理工作开展的前提

    网络安全组织机构

    • 领导层
    • 管理层
    • 执行层
    • 外部协作层

    网络安全管理体系涉及5个方面内容

    • 管理目标
    • 管理手段
    • 管理主体
    • 管理依据
    • 管理资源

    在人员安全的工作安排方面,应该遵守以下三个原则

    • 多人负责原则

      • 每一项与安全有关的活动,至少两人在场
    • 任期有限原则

    • 职责分离原则

    5. 网络安全体系建设参考案例

    网络安全等级保护体系应用

    • 网络安全等保工作

      • 定级

        • 定级工作

          • 业务信息安全等级

            • 确定遭受破坏时侵犯的客体
            • 综合评定对客体侵害程度
            • 业务信息安全等级
          • 系统服务安全定级

          • 取二者最高的级别为最终定级

      • 备案

        • 二级及其以上到公安机关备案
      • 建设整改

      • 等级测评

      • 监督检查

    • 网络安全等保5个等级

      • 1级用户自助保护级
      • 2级系统保护审计级
      • 3级安全标记保护级
      • 4级结构化保护级
      • 5级访问验证保护级
    • 等保2.0体系框架

      • 风险管理体系
      • 安全管理体系
      • 安全技术体系
      • 网络信任体系
      • 法律法规体系
      • 政策标准体系
    • 等级保护对象

      • 网络基础设施
      • 信息系统
      • 大数据
      • 互联网
      • 云计算平台
      • 移动互联网和智能设备
    • 网络安全等保2.0的三个变化

      • 扩大保护对象

      • 提出在安全通信网络、安全计算环境、安全区域边界、安全管理中心支持下的三重防护体系

      • 强化可信计算技术使用的要求,各级增加科信验证控制点

        • 一级:设备的引导程序、系统程序进行可信验证
        • 二级:重要参数和应用程序进行可信验证,并将验证结果形成审计记录送至安全管理中心
        • 三级:应用程序关键执行环节进行动态可信验证
        • 四级:应用程序所有环节进行动态可信验证

    智慧城市安全体系应用

    • 智慧城市安全体系框架5要素

      • 安全战略保障

        • 法律法规、政策文件、标准规范
      • 安全技术保障

        • 技术功能要素

          • 防护、检测、响应、恢复
        • 分层安全

          • 应用层安全
          • 数据与服务融合层安全
          • 计算与存储安全
          • 网络通信层安全
          • 物联感知层安全
      • 安全管理保障

        • 决策规划
        • 组织管理
        • 协调监督
        • 评价改进
      • 安全建设与运营保障

        • 工程实施
        • 监测预警
        • 应急处理
        • 灾难恢复
      • 安全基础支撑

        • 密钥与整数、身份管理等基础性支撑
        • 认证、评估、检测、审查、设计等基础支撑服务

    智能交通网络安全体系应用

    • 智能交通网络安全技术体系参考WPDRRC信息安全模型

    • 智能交通网络安全运营体系由三要素组成

      • 运营管理

      • 网络安全事件周期管理

        • 预防(事前)
        • 监控(事中)
        • 响应(事后)
        • 自主有效闭环
      • 工具

    ISO 27000信息安全管理体系应用

    • PDCA循环、戴明环

      • Plan计划
      • Do 执行
      • Check 检查
      • Act处理修正

    NIST网络安全框架体系应用

    • 美国国家标准与技术研究研发布《提升关键基础设施网络安全的框架》

    • 5个核心功能

      • 识别 Identify

        • 对数据、系统、资产和网络所面临的安全风险的认识和确认
        • ID.AM 资产管理;ID.RA风险评估;ID.RM风险管理策略
      • 保护Protect

        • 制定和实施合适安全措施保护关键基础设施
        • PR.AC访问控制;PR.AT意识和培训;PR.DS数据安全
      • 检测Detect

        • 制定和实施恰当行动以发现网络安全时间
        • DE.AE异常事件;DE.CM安全持续监测;DE.DP检测处理
      • 响应Response

        • 对已发现的网络安全时间采取合适行动
        • RS.RP响应计划;RS.CO通信;RS.MI缓解;RS.IM改进Improvements Mitigation Analysis
      • 恢复Recover

        • 以弹性容忍安全事件出现并修复受损功能或服务
        • RC.RP恢复计划;RC.IM改进;RC.CO通信

    6. 思维导图

    思维导图

    展开全文
  • 一、网络安全概述 1.1 网络中的“安全”问题 信息安全经历两大变革: 从物理和管理方法 转变成 自动化工具保护信息安全 终端普遍使用网络传输数据并保证数据安全 网络中的“安全”问题 监听 截获 篡改 假冒 ...

    一、网络安全概述

    1.1 网络中的“安全”问题

    • 信息安全经历两大变革:
      • 从物理和管理方法 转变成 自动化工具保护信息安全
      • 终端普遍使用网络传输数据并保证数据安全
    • 网络中的“安全”问题
      • 监听
      • 截获
      • 篡改
      • 假冒
      • 假冒网点
      • Email截取
      • 否认

    1.2 网络安全定义

    • 网络安全是一个跨多门学科的综合性科学,包括:通信技术、网络技术、软硬件设计技术、密码学等;
      • 在理论上,网络安全是建立在密码学以及协议设计的基础上的;
      • 在技术上,网络安全取决于两个方面:网络设备硬件和软件的安全,以及设备的访问控制;
    • 常见“安全因素”
      • 物理因素:物理设备的不安全,电磁波泄漏、能源消耗泄漏等;
      • 系统因素:系统软、硬件漏洞,病毒感染,入侵;
      • 网络因素:网络协议漏洞,会话劫持,网络拥塞,拒绝服务;
      • 管理因素:安全意识淡漠,误操作,内部人操作;
    • 安全原由
      • 自身的缺陷:系统软硬件缺陷,网络协议的缺陷。
      • 开放性
        • 系统开放:通信系统是根据行业标准规定的接口建立起来的。
        • 标准开放:网络运行的各层协议跟其标准的制定是开放的。
        • 业务开放:用户可以根据需求开展业务。
      • 黑客攻击:基于兴趣的入侵,基于利益的入侵,信息战。
    • 常用攻击手段
      • 社会工程:攻击者可通过各种社交渠道获得有关目标的结构、使用情况、安全防范措施等有用信息从而提高攻击成功率;
      • 口令破解:攻击者可通过获取口令文件,然后运用口令破解工具获得口令,也可通过猜测或窃听等方式获取口令;
      • 地址欺骗:攻击者可通过伪装成被信任的IP 地址,邮件地址等方式来骗取目标的信任;
      • 网络窃听:网络的开放性使攻击者可通过直接或间接窃听获取所需信息;
      • 数据篡改:攻击者可通过截获并修改数据或重放数据等方式破坏数据的完整性;
      • 恶意扫描:攻击者可编制或使用现有扫描工具发现目标的漏洞,进而发起攻击;
      • 基础设施破坏:攻击者可通过破坏DNS或路由信息等基础设施,使目标陷于孤立;
      • 数据驱动攻击:攻击者可通过施放病毒、特洛伊木马、数据炸弹等方式破坏或遥控目标;
      • 拒绝服务:攻击者可直接发动攻击,也可通过控制其它主机发起攻击,使目标瘫痪,如发送大量的数据洪流阻塞目标;
    • 攻击事例
      • 商业机密的泄露(破坏了计算机系统安全的保密性)
      • 网站被篡改 (破坏了计算机系统安全的完整性)
      • 大型网站遭受拒绝服务攻击(破坏了计算机系统安全的可用性)
      • 账户密码被盗
      • 信用卡被盗刷
      • 被别人蹭网
      • 电脑染上病毒
      • 钓鱼网站

    1.3 常用攻击总结

    • 正常通路
      在这里插入图片描述

    • 中断(Interruption)〈-〉可用性(Availability)
      在这里插入图片描述

    • 窃听(Interception)〈-〉机密性(Confidentiality )
      在这里插入图片描述

    • 篡改(Modification) 〈-〉完整性(Integrity)
      在这里插入图片描述

    • 伪造(Fabrication) 〈-〉真实性(Authenticity)
      在这里插入图片描述

    二、计算机安全

    2.1 定义(CIA三元组)

    计算机安全是指:对某个自动化信息系统的保护措施,其目的在于实现信息系统资源的完整性、可用性以及机密性(包括硬件、软件、固件、数据)

    核心安全概念:CIA 三元组

    一定要理解这三个概念!!

    • 机密性(Confidentiality)
      • 数据机密性:保证私有的或机密的信息不会被泄露给未经授权的个体
      • 隐私性:保证个人可以控制和影响之与相关的信息
    • 完整性(Integrity)
      • 数据完整性:保证只能通过某种特定的、授权的方式来更改信息;
      • 系统完整性:保证系统正常实现其预期功能;
    • 可用性(Availability)
      • 保证系统及时运转,其服务不会拒绝已授权的用户。
    • 两个额外的概念
      1. 真实性:可以被验证和信任的属性;
      2. 可计量性:要求每个实体的行为可以被唯一地追踪到;

    2.2 影响等级

    安全事件发生后,按照影响,可分为三个等级:

    • 低级: 对于组织的运转、资产或者个人带来负面影响损失有限;(保密性 – 学生成绩 )
    • 中级:给组织的运转、资产或者个人带来严重的负面影响;
    • 高级: 给组织的运转、资产或者个人带来灾难性的负面影响;(可用性 – 认证服务,完整性 – 病人信息)

    2.3 例子

    • 攻击案例(理解CIA三元组)
    1. 某离职IT人员了解前公司的管理员账户和密码规则,想获得目前公司的一些核心代码做为求职筹码,于是他生成了67GB的暴力密码字典,再找来一台四核服务器,以每秒破解22,000,000组密码的速度疯狂的拆解密码,几天之后密码终于告破,拿到了公司的核心代码。这是攻击CIA那一个属性?(保密性)
    2. 某制造型企业最近一段时间网络运转十分异常,服务器经常性的假死机,但死机时间并不固定。通过日志和其他分析软件得知,系统死机时待处理任务中存在大量的TCP连接任务,很明显这就是分布式拒绝服务攻击。这是攻击CIA那一个属性?(可用性)
    3. 2017年5月12日,一个称为“想哭”(WannaCry)的蠕虫式勒索病毒在全球大范围爆发并蔓延,100多个国家的数十万名用户中招,其中包括医疗、教育等公用事业单位和有名声的大公司。这款病毒对计算机内的文档、图片、程序等实施高强度加密锁定,并向用户索取以比特币支付的赎金。这是攻击CIA那一个属性?(完整性、可用性)
    • 假设某公司需要开发一套桌面打印软件,那么:
    1. 如果这个软件用于打印公司尚未公开、敏感的信息,那么它必须确定高级别的 A

    2. 如果这个软件用于打印公司的一些规章制度,那么它必须确定高级别的 B

    3. 如果这个软件用于打印每天公司的考勤情况,那么它必须确定高级别的 C

      A.机密性 B. 完整性 C. 可用性

    • 理解CIA三元组(保密性、完整性、可用性)的安全等级,讨论以下系统所需的安全等级(低中高)并说明理由。
    1. 一个在网络上发布每日最新新闻的网站。(完整性、可用性;)
    2. 一个存储公司重要财务信息、核心代码的系统。(保密性、完整性、可用性)
    3. 一个控制并显示公司电力供应的系统,其中电力供应非常重要,不能中断,否则会引起数据丢失。(完整性、可用性)

    2.4 计算机安全面临的挑战

    1. 保障安全不容易做到的
    2. 必须考虑潜在攻击
    3. 保障方法可能和直觉相违背
    4. 需要算法和秘密信息
    5. 需要确定在哪里部署安全机制
    6. 需要在攻击者、系统设计者之间反复研究
    7. 难于引起人们的重视,直到安全事件发生
    8. 需要例行监测
    9. 通常设计后才会思考系统的安全性
    10. 人们通常认为:安全性和易用性存在冲突

    三、OSI安全体系结构

    ITU-T X.800 “Security Architecture for OSI”提供了安全的系统性定义,为我们提供了一种抽象的安全概念,有助理解系统的安全性,信息安全需要考虑的三个因素:

    1. 安全攻击:任何可能会危及机构的信息安全行为;
    2. 安全机制:用来检测、防范安全攻击并从中恢复系统的机制;
    3. 安全服务:用来增强系统安全性和信息传输安全性的服务;

    术语:威胁和攻击通常用来表达同一个意思,定义如下

    1. 威胁: 一种潜在的安全破环;
    2. 攻击: 一种对系统安全的攻击,试图绕过系统的安全机制;

    3.1安全攻击

    1. 被动攻击:对传输进行窃听与监视,获得传输信息,难以检测。有窃听攻击、流量分析两种形式。只是监听,较难检测到。
      在这里插入图片描述
    2. 主动攻击:更改数据流或者发送假数据流。可以划分为4类:假冒、重放、篡改、拒绝服务。
      在这里插入图片描述
    • 攻击分类讨论(要会区分主动攻击和被动攻击!)
    1. 以下那一种攻击方式更难以检测?
      A. 被动攻击 B. 主动攻击
    2. 以下那一种攻击方式更难以防范?
      A.被动攻击 B. 主动攻击
    3. 以下那种攻击方式属于被动攻击?
      A.假冒 B.窃听 C. 重放 D. 中断

    3.2 安全服务

    使用了一种或多种安全机制,用于抵抗安全攻击,保障数据处理与传输的安全性。通常和现实世界的方法类似,例如,使用签名、时间戳、公证等方法(需要能抵抗数据泄漏、损坏等攻击)。

    常见的安全服务(需要安全机制实现)

    1. 认证:提供某个实体的身份保证(对等实体认证、数据源认证)
    2. 访问控制:保护资源,防止对它的非法使用和操纵
    3. 数据机密性:保护信息不被泄露(连接保密性、无连接保密性、流量保密性)
    4. 数据完整性:保护信息以防止非法篡改
    5. 不可否认性:防止参与通信的一方事后否认(源点的不可否认性、信宿的不可否认性)

    3.3 安全机制

    安全机制一种方法,用于检测、阻止安全攻击,并从攻击中恢复。注意:不存在单一的安全机制,可以用于所有的安全服务。不同安全机制都使用了密码学技术

    常见的安全机制:

    1. 加密:用加密算法对信息加密,保护信息的机密性。
    2. 数字签名:用签名算法对信息进行计算,计算结果附加于信息单元。用于身份认证、数据完整性和非否认服务。
    3. 访问控制:用于实施资源访问权限的机制。
    4. 数据完整性:用于确保信息的完整性。
    5. 认证交换:确保信息交换的实体是所声称的实体,通过信息交换以确保实体身份,包括密码、特征、位置信息等。
    6. 流量填充:填充信息,防止流量分析。
    7. 路由控制:能够为特定数据选择特定路由。
    8. 公证:采用可信任的第三方以确保一些信息交换的性质。
    9. 还包括:可信功能、安全标签、事件检测、安全审计跟踪、安全恢复。

    安全服务与安全机制关系(重要)
    在这里插入图片描述

    四、网络安全模型(重要)

    在这里插入图片描述

    • 所有用于提供安全性的技术都包含以下两个主要部分
      1. 发送信息的安全转换
      2. 两个主体共享秘密信息
    • 这个通用模型表明,设计特定的安全服务时有如下 4 个基本的任务
      1. 安全转换算法
      2. 生成秘密信息
      3. 共享秘密信息方法(第三方进行秘密分发)
      4. 主体通讯协议
    • 为保障网络通信安全,我们需要:
      1. 设计算法,保障安全变换(security transformation)
      2. 生成算法的秘密信息
      3. 分发该秘密信息,使得通信双方共享
      4. 设计协议,使得通信双方可以进行安全通信

    我们的重点在于介绍符合图 1.2 所示模型的安全机制和服务类型。然而,还有一些其他的与安全相关的情形,它们不能完全适合该模型,对于这些其他情形的通用模型在图 1.3 中示出,该图反映了对于保护信息系统免遭有害访问所做的考虑。
    在这里插入图片描述

    • 安全机制的两大范畴:
      1. 看门人功能(基于口令的登录过程)
      2. 屏蔽逻辑,检测和拒绝蠕虫、病毒以及其它类似的攻击
    • 为保障网络访问安全,我们需要:
      1. 设计访问控制功能单元,对用户鉴别身份
      2. 实施安全控制,仅允许授权用户访问
    展开全文
  • 小白怎么入门网络安全?看这篇就够啦!

    万次阅读 多人点赞 2020-09-04 14:09:56
    由于我之前写了不少网络安全技术相关的故事文章,不少读者朋友知道我是从事网络安全相关的工作,于是经常有人在微信里问我: 我刚入门网络安全,该怎么学?要学哪些东西?有哪些方向?怎么选? 不同于Java、C/...
  • 网络安全法学习整理笔记

    千次阅读 2022-04-08 01:06:21
    网络安全法 一、背景 概念 网络:是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。 网络安全:是指通过采取必要措施,防范对网络的攻击、侵入、...
  • 网络安全解决方案

    千次阅读 2022-01-19 14:28:50
    一,网络安全体系结构 网络安全体系结构是对网络信息安全基本问题的应对措施的集合,通常由保护,检测,响应和恢复等手段构成。 1,网络信息安全的基本问题 研究信息安全的困难在于: 边界模糊 数据安全与平台...
  • 计算机网络安全(一)

    千次阅读 多人点赞 2021-09-25 23:07:52
    随着计算机技术和信息技术的不断发展,互联网、通信网、计算机...在计算机网络发展面临重大机遇的同时,网络安全形式也日益严峻,国家政治、经济、文化、社会、国防安全及公民在网络空间的合法权益面临着风险和挑战。
  • 计算机网络-网络安全

    万次阅读 2022-03-13 10:26:28
    网络安全 本文主要描述计算机网络的安全问题,不涉及主机安全 网络安全问题 计算机网络通信面临的两大类威胁,即被动攻击和主动攻击。 被动攻击指攻击者从网络上窃听他人的通信内容,也被称为截获。包含: 流量分析...
  • 网络安全教程(一)

    千次阅读 多人点赞 2022-03-12 12:54:42
    1-网络安全概述 1-1基础概念 1-1-1计算机网络安全的定义 国际标准化组织ISO将计算机网络安全定义为:“为数据处理系统建立和采取的技术与管理的安全保护,保护网络系统的硬件,软件及其系统中的数据不因偶然的...
  • 网络安全知识点(全)

    千次阅读 2022-04-18 10:41:18
    漏洞类型–分为操作系统漏洞、网络协议漏洞、数据库...网络安全机制–OSI网络安全体系 书本P9 八项 加密机制 数据加密是提供信息保密的主要方法,可以保护数据存储和传输的保密性 数字签名机制 数字签名可解决传统手
  • 4 中英文最全的网络安全术语表 按字母 A-Z 顺序排列,用简单的中英文解释,让你了解到最全的网络安全术语。 4.1 A 4.1.1 高级持久威胁(APT) 一种网络攻击,使用复杂的技术持续对目标政府和公司进行网络间谍活动或...
  • 网络安全新技术

    千次阅读 2021-09-26 17:47:05
    一、云计算安全 1. 云计算定义 2. 云计算特征 3. 云计算服务形式 4. 云计算平台安全威胁 5. 云计算安全技术体系框架 6. 可信云计算 二、大数据安全 1. 大数据的定义 2. 大数据的特征 3. 大数据安全威胁 4...
  • 网络安全--安全攻防概述

    千次阅读 2021-08-18 18:27:21
    1.2网络安全概述 1.3网络攻击: 1.4安全防御 二、信息安全发展历程 2.1信息安全发展简介 2.2信息安全发展历程 三、信息安全职业发展方向 3.1信息安全职业前景 3.2信息安全职业发展方向 课程目标:这节课...
  • 4.1、网络安全体系 4.1.1、网络安全体系特征: 整体性:人机物一体化 协同性:各安全机制相互协作 过程性:覆盖保护对象全生命周期 全面性:基于多个维度 适应性:动态演变机制 4.2、网络安全模型: BLP机密...
  • 网络安全招聘要点

    千次阅读 2022-03-18 07:41:41
    网络安全 信息安全 1.能力要求: (1)1-3年以上相关行业工作经验; (2)熟悉网络安全法、等级保护、ISO27001、GDPR、CCPA等要求; (3)有做过等级保护、ISO 27001、ISO 27701、ISO 22301认证经验,懂得具体建设方法论;...
  • 网络安全技术概论知识点

    千次阅读 2021-09-27 08:41:56
    本文为《网络安全技术及应用》中重点知识点的提炼,以便于记忆。
  • ISO/SAE21434网络安全标准解析

    万次阅读 2022-03-16 14:51:50
    ISO/SAE 21434 《道路车辆 网络安全工程》是SAE和ISO共同制定的一项针对道路车辆的网络安全标准,它是一个面向汽车行业全供应链(OEM及各级供应商)的车辆网络安全管理指导文件,其目的是指导行业内相关组织: ...
  • 网络安全 Python 编程指南

    千次阅读 2022-02-21 17:30:14
    网络安全是保护网络、系统和程序免受数字攻击的做法。据估计, 2019 年该行业价值 1120 亿美元,到2021 年估计有 350 万个职位空缺。 许多编程语言用于执行与网络安全相关的日常任务,但其中一种已成为行业标准:...
  • 计算机网络安全 第一章绪论

    万次阅读 多人点赞 2021-11-21 17:52:15
    1,典型的网络安全威胁 威胁 描述 窃听 网络中传输的敏感信息被窃听 重传 攻击者事先获得部分或全部信息,以后将此信息发送给接收者 伪造 攻击者将伪造的信息发送给接收者 篡改 攻击者对合法用户之间...
  • 要建立防御体系应从通信网络网络边界、局域网络内部、各种业务应用平台等各个层次落实各种安全措施,形成纵深防御体系。单靠一种或几种安全设备就想保护整个网络是不可能的事情。因此,为了满足不同防护需求的安全...
  • 不一定全,不一定正确,根据网络查询自用整理。 英文 简称 中文 定义 Access Control Decision Function ADF 访问控制判决功能 Access Control Decision Information ADI 访问控制判决信息 Access ...
  • 网络安全面试必问

    千次阅读 2022-03-29 22:45:12
    项目经历 ... 大家底子应该都各不相同,在面试中可能会问到你们不懂的知识点,不要慌 可以迂回战术 ,大部分问题应该会围绕 应急 溯源 渗透(近一年比较火的漏洞)来问,也可能会问网络基础的一些东...
  • 中国网络安全行业发展前景及投资战略研究报告(2022-2027年) 【报告编号】: BG417566 【出版时间】: 2022年2月 【出版机构】: 中智正业研究院 内容简介: 第一章 网络安全基本概述 1.1 网络安全概念界定 ...
  • 工业控制网络安全

    千次阅读 2021-09-09 16:56:08
    1.1 工业控制系统与工业控制网络概述 工业控制系统(Industrial Control System, ICS)是指由计算机与工业过程控制部件组成的自动控制系统,它由控制器、传感器、传送器、执行器和输入/输出接口等部分组成。这些...
  • 教育行业网络安全等级保护法律法规参考,国家法律、公安部文件、教育行业文件
  • 网络安全基础介绍

    千次阅读 2022-04-12 16:10:16
    二、什么是网络安全 1.定义 2.实现 3.网络安全的三个基本属性 三、面临的威胁和来源 1.互联网因素 在互联网的大背景下网络数据和基础架构面临的常见威胁包括黑客攻击、恶意软件和病毒,这些威胁都有可能企图...
  • 网络安全基础知识

    千次阅读 2022-04-04 13:22:46
    网络安全基础知识
  • 计算机网络——网络安全基础笔记

    千次阅读 2022-01-17 12:16:23
    计算机网络——网络安全基础笔记
  • 首先网络安全保障体系架构包括五个部分: (1) 网络安全策略。以风险管理为核心理念,从长远发展规划和战略角度通盘考虑网络建设安全。此项处于整个体系架构的上层,起到总体的战略性和方向性指导的作用。 (2) 网络...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 1,786,558
精华内容 714,623
关键字:

网络安全