系统性认知网络安全

前言:本文旨在介绍网络安全相关基础知识体系和框架

目录

一.信息安全概述

信息安全研究内容及关系

 信息安全的基本要求

保密性Confidentiality:

完整性Integrity:

可用性Availability:

二.信息安全的发展

20世纪60年代:

20世纪60-70年代:

20世纪90年代以后:

三.网络安全的攻防研究体系

四.攻击技术

五.防御技术

六.网络安全的层次体系

物理安全

逻辑安全

操作系统安全

联网安全

七.研究网络安全的必要性

物理威胁

系统漏洞威胁

 线缆连接威胁

有害程序威胁 

八.国际评价标准

D级

C级

B级 

A级


一.信息安全概述

网络安全是信息安全学科的重要组成部分,信息安全是一门交叉学科:

  • 广义上,信息安全涉及多方面的理论和应用知识,除了数学、通信、计算机等自然科学外,还涉及法律、心理学等社会科学
  • 狭义上,也就是通常说的信息安全,只是从自然科学的角度介绍信息安全的研究内容

信息安全研究内容及关系

信息安全从总体上可以分成5个层次

  • 安全的密码算法
  • 安全协议
  • 网络安全
  • 系统安全以及应用安全
  • 层次结构

 信息安全的基本要求

信息安全的目标是保护信息的机密性完整性抗否认性可用性

也有的观点认为是机密性完整性可用性,即 CIA(Confidentiality Integrity Availability)

保密性Confidentiality:

保密性是指保证信息不能被非授权访问,即使非授权用户得到信息也无法知晓信息内容,因而不能使用

完整性Integrity:

完整性是指维护信息的一致性,即信息在生成、传输、存储和使用过程中不应发生人为或非人为的非授权篡改。一般通过访问控制阻止篡改行为,同时通过消息摘要算法来检验信息是否被篡改。信息的完整性包括两个方面:

  • 数据完整性:数据没有被未授权篡改或者损坏
  • 系统完整性:系统未被非法操纵,按既定的目标运行

可用性Availability:

可用性是指保障信息资源随时可提供服务的能力特性,即授权用户根据需要可以随时访问所需信息,可用性是信息资源服务功能和性能可靠性的度量,涉及到物理、网络、系统、数据、应用和用户等多方面的因素,是对信息网络总体可靠性的要求

除了这三方面的要求,信息还要求

  • 真实性,即个体身份的认证,适用于用户、进程、系统等
  • 可说明性,即确保个体的活动可被跟踪
  • 可靠性,即行为和结果的可靠性、一致性

二.信息安全的发展

20世纪60年代:

        倡导通信保密措施,主要标志是1949年香农发表的《保密通信的信息理论》,那个时候通信技术还不发达,电脑只是零散地位于不同的地点,信息系统的安全仅限于保证电脑的物理安全,以及通过密码(主要是序列密码)解决通信安全的保密问题。侧重于保证数据在从一地传送到另一地时的安全性。把电脑安置在相对安全的地点,不容许非授权用户接近,就基本可以保证数据的安全性了。这个时期的安全性是指信息的保密性,对安全理论和技术的研究也仅限于密码学。

20世纪60-70年代:

        60年代后,半导体集成电路的飞速发展推动了计算机软、硬件的发展,计算机和网络的广泛应用使数据传输已经可以通过计算机网络来完成。人们对安全的关注已经逐渐扩展为以保密性、完整性和可用性为目标的信息安全阶段,主要保证动态信息在传输过程中不被窃取,即使窃取了也不能读出正确的信息;还要保证数据在传输过程中不被篡改,让读取信息的人能够看到正确无误的信息。1977年美国国家标准局(NBS)公布的国家数据加密标准(DES)和1983年美国国防部公布的可信计算机系统评价准则(TCSEC,俗称橘皮书)标志着解决计算机信息系统保密性问题的研究和应用迈上了历史的新台阶。

20世纪90年代以后:

        开始倡导信息保障(IA,Information Assurance)。信息保障的核心思想是对系统或者数据的4个方面的要求:保护(Protect)检测(Detect)反应(React)恢复(Restore),结构如图:

利用4个单词首字母表示为:PDRR,称之为 PDRR保障体系,其中:

  • 保护(Protect)指采用可能采取的手段保障信息的保密性、完整性、可用性、可控性和不可否认性。
  • 检测(Detect)指提供工具检查系统可能存在的黑客攻击、白领犯罪和病毒泛滥等脆弱性。
  • 反应(React)指对危及安全的事件、行为、过程及时做出响应处理,杜绝危害的进一步蔓延扩大,力求系统尚能提供正常服务。
  • 恢复(Restore)指一旦系统遭到破坏,尽快恢复系统功能,尽早提供正常的服务。 

三.网络安全的攻防研究体系

随着时代发展和人们的需求,网络安全被正式的提出并且应用:网络安全(Network Security)是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性科学


四.攻击技术

攻击和防御总是相对的,防御是为了抵御攻击的,如果不知道如何攻击,再好的防守也是经不住考验的,攻击技术主要包括五个方面:

  1. 网络监听:自己不主动去攻击别人,在计算机上设置一个程序去监听目标计算机与其他计算机通信的数据。
  2. 网络扫描:利用程序去扫描目标计算机开放的端口等,目的是发现漏洞,为入侵该计算机做准备。
  3. 网络入侵:当探测发现对方存在漏洞以后,入侵到目标计算机获取信息。
  4. 网络后门:成功入侵目标计算机后,为了对“战利品”的长期控制,在目标计算机中种植木马等后门。
  5. 网络隐身:入侵完毕退出目标计算机后,将自己入侵的痕迹清除,从而防止被对方管理员发现。

五.防御技术

我们不应该去主动攻击别人,但是对于别人的攻击,我们需要使用防御技术,合法的保证我们的合法权利不被侵犯,防御技术包括四大方面:

  1. 操作系统的安全配置:操作系统的安全是整个网络安全的关键。
  2. 加密技术:为了防止被监听和盗取数据,将所有的数据进行加密。
  3. 防火墙技术:利用防火墙,对传输的数据进行限制,从而防止被入侵。
  4. 入侵检测:如果网络防线最终被攻破了,需要及时发出被入侵的警报。

六.网络安全的层次体系

从层次体系上,可以将网络安全分成四个层次上的安全:

物理安全逻辑安全操作系统安全联网安全

物理安全

物理安全主要包括五个方面:

  1. 防盗:像其他的物体一样,计算机也是偷窃者的目标,例如盗走软盘、主板等。计算机偷窃行为所造成的损失可能远远超过计算机本身的价值,因此必须采取严格的防范措施,以确保计算机设备不会丢失。
  2. 防火:计算机机房发生火灾一般是由于电气原因、人为事故或外部火灾蔓延引起的。电气设备和线路因为短路、过载、接触不良、绝缘层破坏或静电等原因引起电打火而导致火灾。人为事故是指由于操作人员不慎,吸烟、乱扔烟头等,使存在易燃物质(如纸片、磁带、胶片等)的机房起火,当然也不排除人为故意放火。外部火灾蔓延是因外部房间或其他建筑物起火而蔓延到机房而引起火灾。
  3. 防静电:静电是由物体间的相互摩擦、接触而产生的,计算机显示器也会产生很强的静电。 静电产生后,由于未能释放而保留在物体内,会有很高的电位(能量不大),从而产生静电放电火花,造成火灾。 还可能使大规模集成电器损坏,这种损坏可能是不知不觉造成的。
  4. 防雷击:利用引雷机理的传统避雷针防雷,不但增加雷击概率,而且产生感应雷,而感应雷是电子信息设备被损坏的主要杀手,也是易燃易爆品被引燃起爆的主要原因。 雷击防范的主要措施是,根据电气、微电子设备的不同功能及不同受保护程序和所属保护层确定防护要点作分类保护; 根据雷电和操作瞬间过电压危害的可能通道从电源线到数据通信线路都应做多层保护。
  5. 防电磁泄漏:电子计算机和其他电子设备一样,工作时要产生电磁发射。 电磁发射包括辐射发射和传导发射。 这两种电磁发射可被高灵敏度的接收设备接收并进行分析、还原,造成计算机的信息泄露。 屏蔽是防电磁泄漏的有效措施,屏蔽主要有电屏蔽、磁屏蔽和电磁屏蔽三种类型。

逻辑安全

计算机的逻辑安全需要用口令、文件许可等方法来实现。 可以限制登录的次数或对试探操作加上时间限制;可以用软件来保护存储在计算机文件中的信息; 限制存取的另一种方式是通过硬件完成,在接收到存取要求后,先询问并校核口令,然后访问列于目录中的授权用户标志号。 此外,有一些安全软件包也可以跟踪可疑的、未授权的存取企图,例如,多次登录或请求别人的文件。

操作系统安全

操作系统是计算机中最基本、最重要的软件。 同一计算机可以安装几种不同的操作系统。 如果计算机系统可提供给许多人使用,操作系统必须能区分用户,以便于防止相互干扰。 一些安全性较高、功能较强的操作系统可以为计算机的每一位用户分配账户。 通常,一个用户一个账户。操作系统不允许一个用户修改由另一个账户产生的数据。

联网安全

联网的安全性通过两方面的安全服务来达到:

  • 访问控制服务:用来保护计算机和联网资源不被非授权使用。
  • 通信安全服务:用来认证数据机要性与完整性,以及各通信的可信赖性。

七.研究网络安全的必要性

网络需要与外界联系,受到许多方面的威胁:

  • 物理威胁
  • 系统漏洞造成的威胁
  • 身份鉴别威胁
  • 线缆连接威胁
  • 有害程序等方面威胁

物理威胁

物理威胁包括四个方面:偷窃、废物搜寻、间谍行为和身份识别错误

  • 偷窃: 网络安全中的偷窃包括偷窃设备、偷窃信息和偷窃服务等内容。如果他们想偷的信息在计算机里,那他们一方面可以将整台计算机偷走,另一方面通过监视器读取计算机中的信息。
  • 废物搜寻: 就是在废物(如一些打印出来的材料或废弃的软盘)中搜寻所需要的信息。在微机上,废物搜寻可能包括从未抹掉有用东西的软盘或硬盘上获得有用资料。
  • 间谍行为: 是一种为了省钱或获取有价值的机密、采用不道德的手段获取信息。
  • 身份识别错误: 非法建立文件或记录,企图把他们作为有效的、正式生产的文件或记录,如对具有身份鉴别特征物品如护照、执照、出生证明或加密的安全卡进行伪造,属于身份识别发生错误的范畴。这种行为对网络数据构成了巨大的威胁。

系统漏洞威胁

系统漏洞造成的威胁包括三个方面:乘虚而入、不安全服务、配置和初始化错误

  • 乘虚而入: 例如,用户A停止了与某个系统的通信,但由于某种原因仍使该系统上的一个端口处于激活状态,这时,用户B通过这个端口开始与这个系统通信,这样就不必通过任何申请使用端口的安全检查了。
  • 不安全服务: 有时操作系统的一些服务程序可以绕过机器的安全系统,互联网蠕虫就利用了UNIX系统中三个可绕过的机制。
  • 配置和初始化错误: 如果不得不关掉一台服务器以维修它的某个子系统,几天后当重启动服务器时,可能会招致用户的抱怨,说他们的文件丢失了或被篡改了,这就有可能是在系统重新初始化时,安全系统没有正确的初始化,从而留下了安全漏洞让人利用,类似的问题在木马程序修改了系统的安全配置文件时也会发生。

 线缆连接威胁

线缆连接造成的威胁包括三个方面:窃听、拨号进入和冒名顶替

  • 窃听:对通信过程进行窃听可达到收集信息的目的,这种电子窃听不一定需要窃听设备一定安装在电缆上,可以通过检测从连线上发射出来的电磁辐射就能拾取所要的信号,为了使机构内部的通信有一定的保密性,可以使用加密手段来防止信息被解密。
  • 拨号进入:拥有一个调制解调器和一个电话号码,每个人都可以试图通过远程拨号访问网络,尤其是拥有所期望攻击的网络的用户账户时,就会对网络造成很大的威胁。
  • 冒名顶替:通过使用别人的密码和账号时,获得对网络及其数据、程序的使用能力。这种办法实现起来并不容易,而且一般需要有机构内部的、了解网络和操作过程的人参与。 

有害程序威胁 

有害程序造成的威胁包括三个方面:病毒、代码炸弹和特洛伊木马

  • 病毒是一种把自己的拷贝附着于机器中的另一程序上的一段代码。通过这种方式病毒可以进行自我复制,并随着它所附着的程序在机器之间传播。
  • 代码炸弹是一种具有杀伤力的代码,其原理是一旦到达设定的日期或钟点,或在机器中发生了某种操作,代码炸弹就被触发并开始产生破坏性操作。代码炸弹不必像病毒那样四处传播,程序员将代码炸弹写入软件中,使其产生了一个不能轻易地找到的安全漏洞,一旦该代码炸弹被触发后,这个程序员便会被请回来修正这个错误,并赚一笔钱,这种高技术的敲诈的受害者甚至不知道他们被敲诈了,即便他们有疑心也无法证实自己的猜测。
  • 特洛伊木马程序一旦被安装到机器上,便可按编制者的意图行事。特洛伊木马能够摧毁数据,有时伪装成系统上已有的程序,有时创建新的用户名和口令。 

八.国际评价标准

根据美国国防部开发的计算机安全标准——可信任计算机标准评价准则(Trusted Computer Standards Evaluation Criteria:TCSEC),也就是网络安全橙皮书,一些计算机安全级别被用来评价一个计算机系统的安全性。自从1985年橙皮书成为美国国防部的标准以来,就一直没有改变过,多年以来一直是评估多用户主机和小型操作系统的主要方法。 其他子系统(如数据库和网络)也一直用橙皮书来解释评估。

橙皮书把安全的级别从低到高分成4个类别:D类、C类、B类和A类,每类又分几个级别

D级

D级是最低的安全级别,拥有这个级别的操作系统就像一个门户大开的房子,任何人都可以自由进出,是完全不可信任的。 对于硬件来说,是没有任何保护措施的,操作系统容易受到损害,没有系统访问限制和数据访问限制,任何人不需任何账户都可以进入系统,不受任何限制可以访问他人的数据文件。 属于这个级别的操作系统有: DOS和Windows98等。

C级

C1是C类的一个安全子级。C1又称选择性安全保护(Discretionary Security Protection)系统,它描述了一个典型的用在Unix系统上安全级别。这种级别的系统对硬件又有某种程度的保护,如用户拥有注册账号和口令,系统通过账号和口令来识别用户是否合法,并决定用户对程序和信息拥有什么样的访问权,但硬件受到损害的可能性仍然存在。 用户拥有的访问权是指对文件和目标的访问权。文件的拥有者和超级用户可以改变文件的访问属性,从而对不同的用户授予不通的访问权限。

使用附加身份验证就可以让一个C2级系统用户在不是超级用户的情况下有权执行系统管理任务。授权分级使系统管理员能够给用户分组,授予他们访问某些程序的权限或访问特定的目录。 能够达到C2级别的常见操作系统有:

  • Unix系统
  • Novell 3.X或者更高版本
  • Windows NT、Windows 2000和Windows 2003

B级 

B级中有三个级别

B1级,即标志安全保护(Labeled Security Protection),是支持多级安全(例如:秘密和绝密)的第一个级别,这个级别说明处于强制性访问控制之下的对象,系统不允许文件的拥有者改变其许可权限。安全级别存在保密、绝密级别,这种安全级别的计算机系统一般在政府机构中,比如国防部和国家安全局的计算机系统。

B2级,又叫结构保护级别(Structured Protection),它要求计算机系统中所有的对象都要加上标签,而且给设备(磁盘、磁带和终端)分配单个或者多个安全级别。

B3级,又叫做安全域级别(Security Domain),使用安装硬件的方式来加强域的安全,例如,内存管理硬件用于保护安全域免遭无授权访问或更改其他安全域的对象。该级别也要求用户通过一条可信任途径连接到系统上。

A级

A级,又称验证设计级别(Verified Design),是当前橙皮书的最高级别,它包含了一个严格的设计、控制和验证过程。该级别包含了较低级别的所有的安全特性 设计必须从数学角度上进行验证,而且必须进行秘密通道和可信任分布分析。可信任分布(Trusted Distribution)的含义是:硬件和软件在物理传输过程中已经受到保护,以防止破坏安全系统。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/115521.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

学生成绩管理神器

老师们是否还在为繁琐的成绩查询而烦恼?是否希望有一个简便易用的成绩查询系统,让同学们可以自助查询成绩?那么,这篇文章就是你的救星! 让我们一起来认识一下这个成绩查询系统。它是一个基于网页或微信小程序的应用程序…

Spring底层原理(一)

Spring底层原理(一) ApplitionContext与BeanFactory BeanFactory是ApplicationContext的父接口BeanFactory才是Spring的核心容器,ApplicationContext对其功能进行了组合 类图 内部方法调用 BeanFactory的功能 获取bean检查是否包含bean获取bean别名 …

220V降压5V用什么方案比较好?

对于将220V降压到5V的方案,根据输出电流大小,有两种选择:AH8652和AH8699B。 AH8652是一个sot23-3封装的芯片,固定输出5V,峰值电流为200mA,并内置了MOS管。这个芯片适合需要固定输出电压的应用场景&#xf…

设计模式:模板模式(C#、JAVA、JavaScript、C++、Python、Go、PHP)

简介: 模板模式,它是一种行为型设计模式,它定义了一个操作中的算法的框架,将一些步骤延迟到子类中实现,使得子类可以不改变一个算法的结构即可重定义该算法的某些特定步骤。 通俗地说,模板模式就是将某一行…

✔ ★【备战实习(面经+项目+算法)】 10.22学习时间表(算法刷题:4道)

✔ ★【备战实习(面经项目算法)】 坚持完成每天必做如何找到好工作1. 科学的学习方法(专注!效率!记忆!心流!)2. 每天认真完成必做项,踏实学习技术 认真完成每天必做&…

简单易用的操作界面,让你轻松制作电子期刊

随着互联网的发展,电子期刊已经成为了越来越多人的选择。FLBOOK在线制作电子杂志平台作为一款简单易用的操作界面,为用户提供了制作电子期刊的便利。 但是你知道如何使用FLBOOK在线制作电子杂志平台制作一本电子期刊吗? 1.点击开始创作&#…

Spring boot 集成 xxl-job

文章目录 xxl-job 简介引入xxl-job依赖配置xxl-job config添加properties文件配置BEAN模式(方法形式)步骤一:执行器项目中,开发Job方法:步骤二:调度中心,新建调度任务 xxl-job 简介 官网:https:…

k8s----11、service

services 1、概述2、存在的意义2.1 服务发现2.2 负载均衡 3、pod与service的关系4、service 三种类型4.1 、 ClusterIP4.2 、NodePort4.3 、LoadBalancer 1、概述 Service 是 Kubernetes 最核心概念,通过创建 Service,可以为一组具有相同功能的容器应 用提供一个统…

YOLOV8目标检测——最全最完整模型训练过程记录

文章目录 前言1 下载yolov8([网址](https://github.com/ultralytics/ultralytics))2 配置conda环境3 用pycharm打开文件3 训练自己的YOLOV8数据集4 run下运行完了之后没有best.pt文件5 导出为onnx文件6 yolov8应用完整案例(免费且包含源代码、…

iOS上架App Store的全攻略

​ 第一步:申请开发者账号 在开始将应用上架到App Store之前,你需要申请一个开发者账号。 1.1 打开苹果开发者中心网站:Apple Developer 1.2 使用Apple ID和密码登录(如果没有账号则需要注册),要确保使用…

基于Python实现的快速的仿手写文字的图片生成器项目源码

Quick Hand 📝 介绍 快速的仿手写文字的图片生成器。 完整代码下载地址:基于Python实现的快速的仿手写文字的图片生成器 界面预览: 🔮 使用说明 原理:首先,在水平位置、竖直位置和字体大小三个自由度上…

uniapp开发微信小程序,webview内嵌h5,h5打开pdf地址,解决方案

根据公司要求,让我写一个h5,后续会嵌入到合作公司的微信小程序的webview中,如果是自己公司微信小程序,可以采取先下载下来pdf,然后通过wx.openDocument,进行单纯的预览操作,这个可以根据这个老哥…

C语言里的static变量其他语言是看不上还是学不去?

C语言里的static变量其他语言是看不上还是学不去? static变量在C语言中被用于具有静态存储期的局部变量或全局变量。它有以下几个特点: 1. 静态存储期:static变量在程序执行时分配内存,直到程序结束才会释放,其生命周期与程序的…

aarch64 rpmbuild openstack wallaby neutron 打包rpm笔记

基本信息 源码地址: openstack-neutron: Neutron is an OpenStack project to provide "network connectivity as a service" between interface devices (e.g., vNICs) managed by other OpenStack services - Gitee.com git clone -b Multi-Version_O…

【JS的设计模式一】

本文参考书籍 《JavaScript设计模式与开发实践》 在 JavaScript 编程中,this 关键字总是让人感到迷惑,Function.prototype.call 和 Function.prototype.apply 这两个方法也有着广泛的运用。我们有必要在学习设计模式之前先理解 这几个概念。 this Java…

Windows 95 的辉煌诞生历史

1992 年 2 月,Windows 3.1 的研发即将结束,而 Windows 团队正忙得不亦乐乎地计划他们的下一盘大棋。到了 3 月 5 日,他们终于悠哉悠哉地敲定了战略大计:横扫桌面、笔记本、移动设备以及时髦的触控笔设备。至于那些高大上的服务器和…

测吧(北京)科技有限公司项目总监王雪冬一行访问计算机学院探讨合作

3月15日,测吧(北京)科技有限公司(以下简称测吧)项目总监王雪冬来到计算机学院对校企合作、学生就业、学生竞赛等一系列工作进行了深入研讨,并向计算机学院颁发了优秀组织单位和优秀指导老师奖。会议由黄曼绮…

当年很流行,现在已经淘汰的前端技术有哪些?

近几年,前端技术真可谓是飞速发展,不断有新的技术涌现,爆火的前端框架 Astro,前端运行时 Bun,构建工具 Vite 等都给前端提供了强大动力。当然,也有很多前端技术随着技术的发展不再需要使用,有了…

【产品运营】产品需求应该如何管理

产品项目在进行时经常会有一些需求需要实现,需求是产品更新迭代的动力,需求也是从用户诉求转化而来;在做需求管理时,我们需要判断一个需求的优先级等方面,对产品进行优化; 目录: 一、 为什么要…

FFT64点傅里叶变换verilog蝶形运算,代码和视频

名称:FFT64点verilog傅里叶变换 软件:Quartus 语言:Verilog 代码功能: 使用verilog代码实现64点FFT变换,使用蝶形运算实现傅里叶变换 演示视频:http://www.hdlcode.com/index.php?mhome&cView&…