第1章網(wǎng)絡(luò)安全概述

1、第1章 網(wǎng)絡(luò)安全基礎(chǔ),（第3版）,（第3版）,網(wǎng)絡(luò)安全技術(shù)及應(yīng)用,教學目標、安排及考核,,教學目標、安排及考核教學目標：掌握網(wǎng)絡(luò)安全常用的攻（攻擊）、防（防范）、 測（檢測）、控（控制）、管（管理）、評（評估） 等基本理論、技術(shù)和應(yīng)用，促進深造和就業(yè)。 課程性質(zhì):專業(yè)課 (必修考試課) 學時學分:理論/實驗 (32/16) 共48學時， 學分3+1

2、 (課設(shè)1學分20學時) 考核辦法：     理論與實踐相結(jié)合、課內(nèi)與課外相結(jié)合、知識素質(zhì)和能力考核相結(jié)合、上機實踐與卷面考核相結(jié)合。  期末考核成績占60%, 平時成績和實驗占40%.,,目 錄,,,,,,,,目 錄,,實驗四 黑客攻防與檢測防御實驗（必做）,,4,實驗八 計算機病毒防范實驗（選）,,8,二、網(wǎng)絡(luò)安全課程設(shè)計（大作業(yè)60%）

3、,一、網(wǎng)絡(luò)安全應(yīng)用同步實驗指導(dǎo),,必選7個40%,第1章 網(wǎng)絡(luò)安全基礎(chǔ),,,,,,第1章 目錄,教 學 目 標,,● 理解網(wǎng)絡(luò)空間安全面臨的威脅及發(fā)展態(tài)勢 ● 掌握網(wǎng)絡(luò)安全的相關(guān)概念、目標和內(nèi)容 ● 掌握網(wǎng)絡(luò)安全技術(shù)相關(guān)概念、種類和模型 ● 理解構(gòu)建虛擬局域網(wǎng)VLAN過程及方法,重點,?教學目標,重點,國家十三五重點出版規(guī)劃項目上海高校精品課程/優(yōu)秀教材獎,,1.1.1 網(wǎng)絡(luò)空間安全威脅及現(xiàn)狀分析,1.1 網(wǎng)絡(luò)空間安全威脅及態(tài)

4、勢,2017-02-20 22:16:27　來源: 央視,學習重要性,沒有網(wǎng)絡(luò)安全就沒有國家安全……。2014年2月27日,中央網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組正式成立，習近平擔任組長。在第一次會議上，提出“網(wǎng)絡(luò)強國”戰(zhàn)略.指出:網(wǎng)絡(luò)安全和信息化是事關(guān)國家安全和發(fā)展、事關(guān)廣大人民群眾工作生活重大戰(zhàn)略問題,要從國際國內(nèi)大勢出發(fā),總體布局,統(tǒng)籌各方,創(chuàng)新發(fā)展,努力把我國建成網(wǎng)絡(luò)強國.,,我國網(wǎng)絡(luò)遭受攻擊近況。根據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心CNCER

5、T抽樣監(jiān)測結(jié)果和國家信息安全漏洞共享平臺CNVD發(fā)布的數(shù)據(jù)。2016年12月被篡改網(wǎng)站數(shù)量為4563個,境內(nèi)被植入后門的網(wǎng)站數(shù)量為4319個,針對境內(nèi)網(wǎng)站的仿冒頁面數(shù)量為7904個。境內(nèi)被篡改政府網(wǎng)站數(shù)量為116個；境內(nèi)被植入后門的政府網(wǎng)站數(shù)量為126個。境內(nèi)感染網(wǎng)絡(luò)病毒的主機數(shù)量為281萬個,信息系統(tǒng)漏洞1065個，其中高危漏洞379個，可被利用來實施遠程攻擊的漏洞有899個。,1.1.1 網(wǎng)絡(luò)空間安全威脅及現(xiàn)狀分析,案例1-1,1.

6、1 網(wǎng)絡(luò)空間安全威脅及態(tài)勢,,網(wǎng)絡(luò)空間已逐步發(fā)展成繼陸、海、空、天之后第五大戰(zhàn)略空間,是影響國家安全、社會穩(wěn)定、經(jīng)濟發(fā)展和文化生活的核心 、關(guān)鍵和基礎(chǔ),其安全性至關(guān)重要,存在一些急需解決的重大問題。（1）法律法規(guī)、安全管理和意識欠缺世界各國在網(wǎng)絡(luò)空間安全保護方面，制定的各種法律法規(guī)和管理政策等相對滯后、不完善且更新不及時。很多機構(gòu)和個人用戶對網(wǎng)絡(luò)風險和隱患不重視、重技術(shù)輕管理，網(wǎng)絡(luò)安全意識薄弱、管理措施不到位等，甚至出現(xiàn)監(jiān)守自盜等案

7、件。一些機構(gòu)對網(wǎng)絡(luò)安全的投入不足，其投入經(jīng)費也時常被挪用或擠占。,1.1.1 網(wǎng)絡(luò)空間安全威脅及現(xiàn)狀分析,（2）網(wǎng)絡(luò)安全規(guī)范和標準不統(tǒng)一 網(wǎng)絡(luò)安全是一個系統(tǒng)工程，需要統(tǒng)一規(guī)范和標準。美國等發(fā)達國家網(wǎng)絡(luò)技術(shù)先進且對網(wǎng)絡(luò)安全很重視，也同樣存在著網(wǎng)絡(luò)安全規(guī)范和標準等問題。西歐國家則另有一套安全標準，在原理和結(jié)構(gòu)上也有很多不同之處。國內(nèi)外一直存在著不同規(guī)范和標準等問題。,1.1 網(wǎng)絡(luò)空間安全威脅及態(tài)勢,1.1 網(wǎng)絡(luò)空間安全威脅及態(tài)

8、勢,1.1.1 網(wǎng)絡(luò)空間安全威脅及現(xiàn)狀分析,（3）政府與企業(yè)的側(cè)重點及要求不一致 政府注重信息資源及網(wǎng)絡(luò)安全可管性和可控性，企業(yè)注重其經(jīng)濟效益、可用性和可靠性。事實上的一些政府倡導(dǎo)的網(wǎng)絡(luò)協(xié)議或安全措施，因難以實現(xiàn)不受企業(yè)歡迎無法推廣。,（4）網(wǎng)絡(luò)系統(tǒng)的安全威脅及隱患 進入21世紀現(xiàn)代信息化社會，電子商務(wù)、電子政務(wù)、網(wǎng)絡(luò)銀行、辦公自動化和其他各種業(yè)務(wù)的應(yīng)用對網(wǎng)絡(luò)的依賴程度更大，而且，計算機及手機網(wǎng)絡(luò)的開放性、交互共享和分

9、散性等特點，以及網(wǎng)絡(luò)系統(tǒng)從設(shè)計到實現(xiàn)自身存在的缺陷、安全漏洞和隱患，致使網(wǎng)絡(luò)存在著巨大的威脅和風險，時常受到侵擾和攻擊。各種計算機病毒、垃圾郵件、廣告和惡意軟件等也影響了正常的網(wǎng)絡(luò)應(yīng)用和服務(wù)。,,1.1.1 網(wǎng)絡(luò)空間安全威脅及現(xiàn)狀分析,1.1 網(wǎng)絡(luò)空間安全威脅及態(tài)勢,隨著互聯(lián)網(wǎng)技術(shù)和應(yīng)用的快速發(fā)展，全球互聯(lián)網(wǎng)用戶數(shù)量和隱患急劇增加。據(jù)估計到2020年，全球網(wǎng)絡(luò)用戶將上升至50億戶,移動用戶將上升100億戶。中國大陸地區(qū)互聯(lián)網(wǎng)用戶數(shù)量急劇

10、增加,網(wǎng)民規(guī)模、寬帶網(wǎng)民數(shù)、國家頂級域名注冊量三項指標仍居世界第一。各種操作系統(tǒng)及應(yīng)用程序的漏洞隱患不斷出現(xiàn)，相比發(fā)達國家在網(wǎng)絡(luò)安全技術(shù)、網(wǎng)絡(luò)用戶安全防范能力和意識較為薄弱，極易成為境內(nèi)外攻擊利用的主要目標。,案例1-2,1.1 網(wǎng)絡(luò)空間安全威脅及態(tài)勢,1.1.1 網(wǎng)絡(luò)空間安全威脅及現(xiàn)狀分析,（5）網(wǎng)絡(luò)安全技術(shù)和手段滯后 據(jù)統(tǒng)計，全世界平均不足20秒就發(fā)生一次黑客嚴重入侵事件，全球每年造成的經(jīng)濟損失達幾千億美元。網(wǎng)絡(luò)安全問題已成為

11、世界各國共同關(guān)注的焦點。網(wǎng)絡(luò)安全技術(shù)手段研發(fā)及更新滯后于出現(xiàn)的需要解決的安全問題。網(wǎng)絡(luò)技術(shù)不斷快速發(fā)展，相應(yīng)的網(wǎng)絡(luò)安全技術(shù)手段相對滯后，更新時常不及時不完善。,（6）網(wǎng)絡(luò)安全威脅新變化，黑客利益產(chǎn)業(yè)鏈驚人 移動安全、大數(shù)據(jù)、云安全、社交網(wǎng)絡(luò)、物聯(lián)網(wǎng)等成為新的攻擊點。黑客產(chǎn)業(yè)鏈和針對性攻擊普遍，攻擊力度和數(shù)量也將呈現(xiàn)上升趨勢，且被用于軍事或利益集團。云端數(shù)據(jù)保護壓力增大，攻擊目標向離線設(shè)備延伸，利用終端及網(wǎng)絡(luò)在脫網(wǎng)狀態(tài)下的遠程控制等

12、。,,1.1.1 網(wǎng)絡(luò)空間安全威脅及現(xiàn)狀分析,1.1 網(wǎng)絡(luò)空間安全威脅及態(tài)勢,中國黑客利益產(chǎn)業(yè)鏈嚴重.根據(jù)2014年數(shù)據(jù)調(diào)查顯示,中國的木馬產(chǎn)業(yè)鏈一年的收入已達上百億元。湖北麻城市警方就破獲了一個制造傳播木馬的網(wǎng)絡(luò)犯罪團伙。這也是國內(nèi)破獲的第一個上下游產(chǎn)業(yè)鏈完整的木馬犯罪案件。犯罪嫌疑人楊某年僅20歲，編寫販賣木馬程序。犯罪嫌疑人韓某年僅22歲，木馬編寫者的總代理。原本互不相識的幾位犯罪嫌疑人，從2008年10月開始，在不到半年的時間就

13、非法獲利近200萬元。,案例1-3,黑客木馬程序灰鴿子產(chǎn)業(yè)鏈，如圖1-1所示。,圖1-1黑客木馬程序灰鴿子產(chǎn)業(yè)鏈,1.1 網(wǎng)絡(luò)空間安全威脅及態(tài)勢,1.1.1 網(wǎng)絡(luò)空間安全威脅及現(xiàn)狀分析,1.1 網(wǎng)絡(luò)空間安全威脅及態(tài)勢,,美國網(wǎng)絡(luò)間諜活動公諸于世。2013年曾參加美國安全局網(wǎng)絡(luò)監(jiān)控項目的斯諾登曝光“棱鏡事件”，公開美國多次秘密利用超級軟件監(jiān)控包括其盟友政要在內(nèi)的網(wǎng)絡(luò)用戶和電話。谷歌、雅虎、微軟、蘋果、Facebook、美國在線、PalTa

14、lk、Skype、YouTube等公司還幫助提供漏洞參數(shù)、開放服務(wù)器等，使其輕易監(jiān)控有關(guān)國家機構(gòu)或上百萬網(wǎng)民的郵件、即時通話及相關(guān)數(shù)據(jù)。據(jù)稱，思科參與了中國很多大型網(wǎng)絡(luò)項目建設(shè)，涉及政府、軍警、金融、海關(guān)、郵政、鐵路、民航、醫(yī)療等要害部門，以及中國電信、聯(lián)通等電信運營商的網(wǎng)絡(luò)基礎(chǔ)建設(shè)。,1.1.2 網(wǎng)絡(luò)安全威脅的種類及途徑,案例1-4,1. 網(wǎng)絡(luò)安全主要威脅的種類 網(wǎng)絡(luò)安全面臨的主要威脅受人為因素、系統(tǒng)和運行環(huán)境的影響，包括

15、網(wǎng)絡(luò)系統(tǒng)問題和網(wǎng)絡(luò)數(shù)據(jù)（信息）的威脅和隱患。網(wǎng)絡(luò)安全威脅主要表現(xiàn)為：非法授權(quán)訪問、竊聽、黑客入侵、假冒合法用戶、病毒破壞、干擾系統(tǒng)正常運行、篡改或破壞數(shù)據(jù)等。威脅性攻擊大致可分為主動攻擊和被動攻擊兩大類。,網(wǎng)絡(luò)安全面臨主要威脅的種類，如表1-1所示。 表1-1 網(wǎng)絡(luò)安全的主要威脅種類,1.1 網(wǎng)絡(luò)空間安全威脅及態(tài)勢,2.網(wǎng)絡(luò)安全威脅的主要途徑,,,,1.1 網(wǎng)絡(luò)空間安全威脅及態(tài)勢,世界各種網(wǎng)絡(luò)被入侵攻

16、擊的事件頻發(fā)，其途徑種類各異且變化多端。目前，大量網(wǎng)絡(luò)系統(tǒng)的功能、網(wǎng)絡(luò)資源和應(yīng)用服務(wù)等已經(jīng)成為黑客攻擊的主要目標。網(wǎng)絡(luò)的主要應(yīng)用包括：電子商務(wù)、網(wǎng)上銀行、股票、證券、即時通信、郵件、網(wǎng)游、下載文件等都存在大量安全隱患。,中國已成為被監(jiān)控重要目標,脫網(wǎng)也會被攻擊. 《紐約時報》2014年1月曝光了美國國家安全局NSA“量子”項目, 將一種秘密技術(shù)植入脫網(wǎng)的電腦,并對其數(shù)據(jù)進行更改。2008年以來一直使用安裝在電腦內(nèi)微電路板和USB連線發(fā)送

17、秘密無線電波實現(xiàn)監(jiān)視,已在全球10萬臺電腦上植入其軟件，最重要的監(jiān)控對象包括中國軍方。美國專家以“肆無忌憚”評價NSA的行為,稱“白宮曾義正詞嚴地批評中國黑客盜取我們的軍事、商業(yè)機密,原來我們一直在對中國做同樣事情”。,案例1-5,網(wǎng)絡(luò)安全威脅的主要途徑，可以很直觀地用圖示的方式進行表示，如圖1-2所示。,1.1 網(wǎng)絡(luò)空間安全威脅及態(tài)勢,,圖1-2 網(wǎng)絡(luò)安全主要威脅及途徑,U,網(wǎng)絡(luò)安全的風險及脆弱性涉及網(wǎng)絡(luò)設(shè)計、結(jié)構(gòu)、層次、范疇和管理機

18、制等方面。 1. 網(wǎng)絡(luò)系統(tǒng)安全威脅及風險（1）網(wǎng)絡(luò)系統(tǒng)面臨的威脅和風險 互聯(lián)網(wǎng)創(chuàng)建初期只用于計算和科學研究，其設(shè)計及技術(shù)基礎(chǔ)并不安全。現(xiàn)代互聯(lián)網(wǎng)的快速發(fā)展和廣泛應(yīng)用，使其具有開放性、國際性和自由性等特點，主要因素包括7個方面： 1) 網(wǎng)絡(luò)開放隱患多。通過電腦和手機網(wǎng)絡(luò)的開放端口，都可登陸瀏覽互聯(lián)網(wǎng)的各種信息資源，其開放端口及網(wǎng)絡(luò)協(xié)議等增加了網(wǎng)絡(luò)系統(tǒng)的風險和隱患，極易受到網(wǎng)絡(luò)侵入和攻擊，且站點主機數(shù)量劇增，致使網(wǎng)絡(luò)監(jiān)控難以準確及時

19、有效。2) 網(wǎng)絡(luò)共享風險大。網(wǎng)絡(luò)資源共享增加開放端口，為系統(tǒng)安全帶來更大風險，并為黑客借機破壞提供了極大便利。相關(guān)法律法規(guī)、分布式管理、運行及技術(shù)等很難及時有效地解決各類問題。,1.1.3 網(wǎng)絡(luò)安全的威脅及風險分析,1.1 網(wǎng)絡(luò)空間安全威脅及態(tài)勢,3) 系統(tǒng)結(jié)構(gòu)復(fù)雜有漏洞。主機系統(tǒng)和網(wǎng)絡(luò)協(xié)議的結(jié)構(gòu)復(fù)雜，以及一些軟件設(shè)計和實現(xiàn)過程中難以避免的疏忽及漏洞隱患，致使網(wǎng)絡(luò)系統(tǒng)安全與防范非常繁雜困難、難以有效徹底解決。 4) 身份認證難。實際

20、上，網(wǎng)絡(luò)系統(tǒng)的身份認證環(huán)節(jié)、技術(shù)、機制、方式和方法等比較薄弱，常用的靜態(tài)口令極易被破譯，此外通過越權(quán)訪問可借用管理員的網(wǎng)絡(luò)檢測信道，竊取用戶密碼等。 5) 邊界難確定受威脅。網(wǎng)絡(luò)升級與維護的可擴展性致使其邊界難以確定，網(wǎng)絡(luò)資源共享訪問也使其安全邊界容易被破壞，導(dǎo)致網(wǎng)絡(luò)安全受到嚴重威脅。 6) 傳輸路徑與結(jié)點隱患多。網(wǎng)絡(luò)用戶通過網(wǎng)絡(luò)互相傳輸?shù)穆窂胶芏啵粋€報文從發(fā)送端到目的端需要經(jīng)過多個中間結(jié)點，所以，起止端的安全保密性根本無法解決

21、中間結(jié)點的安全問題。 7) 信息高度聚集易受攻擊。當信息量少且分散時，其價值往往并不被注意。當大量相關(guān)信息聚集以后，顯示出其重要價值。網(wǎng)絡(luò)聚集大量敏感信息后，很容易受到分析性等方式的攻擊。,1.1.3 網(wǎng)絡(luò)安全的威脅及風險分析,1.1 網(wǎng)絡(luò)空間安全威脅及態(tài)勢,1.1.3 網(wǎng)絡(luò)安全的威脅及風險分析,1.1 網(wǎng)絡(luò)空間安全威脅及態(tài)勢,（2）網(wǎng)絡(luò)服務(wù)協(xié)議的安全威脅常用的互聯(lián)網(wǎng)服務(wù)安全包括：Web瀏覽服務(wù)安全、文件傳輸（FTP）服務(wù)安全、Em

22、ail服務(wù)安全、遠程登陸（Telnet）安全、DNS域名安全和設(shè)備實體安全。網(wǎng)絡(luò)的運行機制依賴網(wǎng)絡(luò)協(xié)議，不同結(jié)點間信息交換以約定機制通過協(xié)議數(shù)據(jù)單元實現(xiàn)。TCP/IP 協(xié)議在設(shè)計初期只注重異構(gòu)網(wǎng)的互聯(lián)，并沒考慮安全問題，Internet的廣泛應(yīng)用使其安全威脅對系統(tǒng)安全產(chǎn)生極大風險?；ヂ?lián)網(wǎng)基礎(chǔ)協(xié)議TCP /IP、FTP、E-mail、RPC(遠程進程調(diào)用)和NFS(網(wǎng)絡(luò)文件系統(tǒng))等不僅公開，且存在安全漏洞。此外，網(wǎng)絡(luò)管理人員難有足夠時間和

23、精力專注于全程網(wǎng)絡(luò)安全監(jiān)控，而且操作系統(tǒng)的復(fù)雜性，難以檢測并解決所有的安全漏洞和隱患，致使連接網(wǎng)絡(luò)的終端受到入侵威脅。,1.1.3 網(wǎng)絡(luò)安全的威脅及風險分析,2. 操作系統(tǒng)的漏洞及隱患 操作系統(tǒng)安全(Operation System Secure)是指操作系統(tǒng)本身及運行的安全,通過其對系統(tǒng)軟硬件資源的整體有效控制,并對所管理的資源提供安全保護.操作系統(tǒng)是網(wǎng)絡(luò)系統(tǒng)中最基本、最重要的系統(tǒng)軟件,在設(shè)計與開發(fā)時難以避免疏忽留下漏洞

24、和隱患。 （1）體系結(jié)構(gòu)和研發(fā)漏洞,1.1 網(wǎng)絡(luò)空間安全威脅及態(tài)勢,網(wǎng)絡(luò)系統(tǒng)威脅主要來自操作系統(tǒng)的漏洞.操作系統(tǒng)的程序不僅有研發(fā)疏忽漏洞,其I/O驅(qū)動程序和系統(tǒng)服務(wù),可通過打“補丁”方式動態(tài)鏈接，如操作系統(tǒng)版本升級。其動態(tài)鏈接方法容易被黑客利用，成為計算機病毒侵入的環(huán)境。另外，操作系統(tǒng)的一些功能也具有不安全因素，如支持在網(wǎng)絡(luò)上傳輸可以執(zhí)行的文件映像、網(wǎng)絡(luò)加載程序等。系統(tǒng)漏洞造成的威脅包括：初始化錯誤、不安全服務(wù)及配置、從漏

25、洞乘虛而入。,案例1-6,1.1.3 網(wǎng)絡(luò)安全的威脅及風險分析,1.1 網(wǎng)絡(luò)空間安全威脅及態(tài)勢,（2）創(chuàng)建進程的隱患 支持進程的遠程創(chuàng)建與激活、新進程繼承原進程的權(quán)限，其機制也時常給黑客提供遠端服務(wù)器安裝“間諜軟件”的可乘之機。如將木馬病毒以打補丁方式“補”在一個合法用戶或特權(quán)用戶上，就可使系統(tǒng)進程與作業(yè)的監(jiān)視程序失效。此外，為設(shè)計編程和維護人員而設(shè)置的網(wǎng)絡(luò)系統(tǒng)隱秘通道，容易成為黑客入侵的通道。 （3）服務(wù)及設(shè)置的風險,

26、操作系統(tǒng)的部分服務(wù)程序有可能繞過防火墻、查殺病毒等安全系統(tǒng)，互聯(lián)網(wǎng)蠕蟲就可用UNIX系統(tǒng)中三個可繞過的機制。網(wǎng)上瀏覽IE、文件傳送、E-mail、遠程登錄和即時通信QQ等網(wǎng)絡(luò)服務(wù)，如果不注意安全選項設(shè)置與安全防范，很容易出現(xiàn)信息資源被竊取、網(wǎng)絡(luò)攻擊和感染病毒等問題。,案例1-7,1.1 網(wǎng)絡(luò)空間安全威脅及態(tài)勢,1.1.3 網(wǎng)絡(luò)安全的威脅及風險分析,（4）配置和初始化錯誤網(wǎng)絡(luò)系統(tǒng)一旦出現(xiàn)嚴重故障，必須關(guān)掉某臺服務(wù)器維護其某個子系統(tǒng)，之后

27、再重啟動服務(wù)器時，可能會發(fā)現(xiàn)個別文件丟失或被篡改的現(xiàn)象。這可能就是在系統(tǒng)進行重新初始化時，安全系統(tǒng)沒有正確初始化，從而留下了安全漏洞被黑客所利用，類似地在木馬程序修改系統(tǒng)的安全配置文件時也可能會出現(xiàn)。,1.1.3 網(wǎng)絡(luò)安全的威脅及風險分析,1.1 網(wǎng)絡(luò)空間安全威脅及態(tài)勢,3.防火墻的局限性及風險 防火墻能夠較好地阻止外網(wǎng)基于IP包頭的攻擊和非信任地址的訪問，卻無法阻止基于數(shù)據(jù)內(nèi)容的黑客攻擊和病毒入侵，也無法控制內(nèi)網(wǎng)之間的攻擊行為。其安

28、全局限性還需要入侵檢測系統(tǒng)、入侵防御系統(tǒng)、統(tǒng)一威脅管理（Unified Threat Mana- gement, UTM）等技術(shù)進行彌補，應(yīng)對各種網(wǎng)絡(luò)攻擊，以擴展系統(tǒng)管理員的防范能力（包括安全審計、監(jiān)視、進攻識別和響應(yīng)）。從網(wǎng)絡(luò)系統(tǒng)中的一些關(guān)鍵點收集并分析有關(guān)信息，可檢查出違反安全策略的異常行為或遭到攻擊的跡象。入侵防御和檢測系統(tǒng)被認為是防火墻后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下，需要及時對網(wǎng)絡(luò)進行異常行為

29、的防御和監(jiān)測，提供對網(wǎng)絡(luò)內(nèi)部攻擊、外部攻擊和誤操作的實時保護。防火墻具體內(nèi)容將在第8章進行介紹。,1.1 網(wǎng)絡(luò)空間安全威脅及態(tài)勢,1.1.3 網(wǎng)絡(luò)安全的威脅及風險分析,4. 網(wǎng)絡(luò)數(shù)據(jù)庫的安全風險數(shù)據(jù)庫技術(shù)是信息資源管理和數(shù)據(jù)處理的核心技術(shù)，也是各種應(yīng)用系統(tǒng)處理業(yè)務(wù)數(shù)據(jù)的關(guān)鍵，是信息化建設(shè)的重要組成部分。網(wǎng)絡(luò)系統(tǒng)需要在數(shù)據(jù)庫中存取調(diào)用大量重要數(shù)據(jù)共享，數(shù)據(jù)庫技術(shù)的核心是數(shù)據(jù)庫管理系統(tǒng)（DBMS），主要用于集中管理數(shù)據(jù)資源信息，解決數(shù)據(jù)

30、資源共享、減少數(shù)據(jù)冗余，確保系統(tǒng)數(shù)據(jù)的保密性、完整性和可靠性，各類應(yīng)用系統(tǒng)都以其為支撐平臺。數(shù)據(jù)庫安全不僅包括數(shù)據(jù)庫系統(tǒng)本身的安全，還包括最核心和關(guān)鍵的數(shù)據(jù)（信息）安全，需要確保數(shù)據(jù)的安全可靠和正確有效，確保數(shù)據(jù)的安全性、完整性和并發(fā)控制。數(shù)據(jù)庫存在的風險因素包括：非法用戶竊取信息資源，授權(quán)用戶超出權(quán)限進行數(shù)據(jù)訪問、更改和破壞等。數(shù)據(jù)庫安全技術(shù)和應(yīng)用，具體將在第10章介紹。,1.1.3 網(wǎng)絡(luò)安全的威脅及風險分析,1.1 網(wǎng)絡(luò)空間安全威

31、脅及態(tài)勢,5.網(wǎng)絡(luò)安全管理及其他問題 網(wǎng)絡(luò)安全是一項系統(tǒng)工程，需要各方面協(xié)同管理。安全管理產(chǎn)生的漏洞和疏忽屬于人為因素，如果缺乏完善的相關(guān)法律法規(guī)、管理技術(shù)規(guī)范和安全管理組織及人員，缺少安全檢查、測試和實時有效地安全監(jiān)控，將是網(wǎng)絡(luò)安全的最大問題。,中國是網(wǎng)絡(luò)安全最大受害國。國家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT) 監(jiān)測的數(shù)據(jù)顯示,中國遭受境外網(wǎng)絡(luò)攻擊的情況日趨嚴重。CNCERT抽樣監(jiān)測發(fā)現(xiàn)，2013年1月1日至2月28日，境外6

32、747臺木馬或僵尸網(wǎng)絡(luò)服務(wù)器控制了中國境內(nèi)190萬余臺主機(“肉雞”)；其中位于美國的2194臺控制服務(wù)器控制了中國境內(nèi)128.7萬臺主機，無論是按照控制服務(wù)器數(shù)量還是按照控制中國主機數(shù)量排名,美國都名列第一。,案例1-8,1.1 網(wǎng)絡(luò)空間安全威脅及態(tài)勢,1.1.3 網(wǎng)絡(luò)安全的威脅及風險分析,1）網(wǎng)絡(luò)安全相關(guān)法律法規(guī)和管理政策問題。網(wǎng)絡(luò)安全相關(guān)的法律法規(guī)不健全，管理體制、保障體系、機制、方式方法、權(quán)限、監(jiān)控、管理策略、措施和審計等不夠科

33、學完善及時有效等。2）管理漏洞和操作人員問題。主要是管理疏忽、失誤、誤操作及水平能力等。如安全配置不當所造成的安全漏洞，用戶安全意識不強與疏忽，密碼選擇不慎等都會對網(wǎng)絡(luò)安全構(gòu)成威脅。疏于管理與防范，甚至個別內(nèi)部人員貪心邪念成為最大威脅。3）實體管理、運行環(huán)境及傳輸安全是網(wǎng)絡(luò)安全的重要基礎(chǔ)。在光纜、同軸電纜、微波、衛(wèi)星通信中竊聽指定的信息很難，但是，沒有絕對安全的通信線路，如電磁干擾泄漏等安全問題。,?討論思考： 1）為什么說網(wǎng)絡(luò)存

34、在著安全漏洞和隱患？ 2）網(wǎng)絡(luò)安全面臨的主要威脅類型和途徑有哪些？ 3）網(wǎng)絡(luò)安全的隱患及風險具體有哪些？ 4）網(wǎng)絡(luò)安全威脅的發(fā)展態(tài)勢是什么？,1.1.4 網(wǎng)絡(luò)空間安全威脅的發(fā)展態(tài)勢,1.1 網(wǎng)絡(luò)空間安全威脅及態(tài)勢,我國監(jiān)管機構(gòu)對網(wǎng)絡(luò)安全威脅和新網(wǎng)絡(luò)攻擊手段等進行深入分析和研究,發(fā)現(xiàn)網(wǎng)絡(luò)攻擊工具更加簡單化,智能化、自動化.攻擊手段更加復(fù)雜多變,攻擊直指網(wǎng)絡(luò)基礎(chǔ)協(xié)議和操作系統(tǒng),黑客培訓(xùn)廣泛. 提出新課題與挑戰(zhàn)。中國電子信息產(chǎn)業(yè)發(fā)展研

35、究院，在對國內(nèi)外網(wǎng)絡(luò)安全問題進行認真分析研究的基礎(chǔ)上提出未來網(wǎng)絡(luò)安全威脅趨勢主要包括： 1）網(wǎng)絡(luò)空間國際軍備競賽加劇。 2）網(wǎng)絡(luò)空間國際話語權(quán)爭奪更激烈。 3）可能發(fā)生有組織的大規(guī)模網(wǎng)絡(luò)攻擊。 4）移動互聯(lián)網(wǎng)安全事件增加。 5）智能互聯(lián)設(shè)備成為網(wǎng)絡(luò)攻擊的新目標。 6）工業(yè)控制系統(tǒng)的安全風險加大。 7）可能發(fā)生大規(guī)模信息泄露事件。 8）網(wǎng)絡(luò)安全事件將造成更大損失。 9）我國信息安全產(chǎn)業(yè)將快速發(fā)展。,著名未來學家阿爾文.托

36、夫勒：誰掌握了信息，誰控制了網(wǎng)絡(luò)，誰就將擁有整個世界。,,1.2.1 網(wǎng)絡(luò)安全相關(guān)概念、目標和特征,1.2 網(wǎng)絡(luò)安全的概念和內(nèi)容,2015年全國電信網(wǎng)絡(luò)詐騙案59萬余起，被騙222億元，其中100多億元被卷入臺灣。2016年6月，加拿大移民陳先生回杭州探親，接到快遞員電話稱有包裹被A地公安局查扣。陳按提供的“公安局電話”詢問，“民警”核對個人信息后告知已涉嫌特大洗錢案，快遞件就是證據(jù)并發(fā)去電子“拘捕令”(木馬病毒)。陳查看后按要求籌

37、集資金驗證并擔保，并將籌借款991萬元存入銀行卡。隨后“警方遠程驗資”讓提供銀行卡號、密碼并插上網(wǎng)銀U盾，錢款很快被轉(zhuǎn)走。杭州公安局接到報警后，很快在山東抓獲來自臺灣的涉案人員。,案例1-9,清華大學一教師遭電信詐騙1760萬元引發(fā)廣泛關(guān)注。北青報記者8月報，這名教師遭遇典型的“冒充公檢法”電信詐騙，詐騙團伙冒充政府部門工作人員通過“話術(shù)”引導(dǎo)被騙者將錢款打入“安全賬號”.另有多名大學新生被騙自殺.,?,（1）信息安全的有關(guān)概念

38、 信息安全(Information Security)指系統(tǒng)硬件、軟件及其信息受到保護,并持續(xù)正常運行和服務(wù).信息安全的實質(zhì)是保護信息系統(tǒng)和信息資源免受各種威脅、干擾和破壞,即保證信息的安全性。主要目標是防止信息被非授權(quán)泄露、更改、破壞或被非法的系統(tǒng)辨識與控制,確保信息的保密性、完整性、可用性、可控性和可審查性(信息安全5大特征)。在《計算機信息系統(tǒng)安全保護條例》中指出，計算機信息系統(tǒng)的安全保護，應(yīng)當保障計算機及其相關(guān)的配套設(shè)備、

39、設(shè)施（含網(wǎng)絡(luò)）的安全，運行環(huán)境的安全，保障信息的安全，保障計算機功能的正常發(fā)揮，以維護計算機信息系統(tǒng)安全運行。 國際標準化組織（ISO）提出信息安全給出的定義是：為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)及管理防護，保護計算機硬件、軟件、數(shù)據(jù)不因偶然及惡意的原因而遭到破壞、更改和泄漏。,1.2.1 網(wǎng)絡(luò)安全相關(guān)概念、目標和特征 1.網(wǎng)絡(luò)安全與網(wǎng)絡(luò)空間安全相關(guān)概念,1.2 網(wǎng)絡(luò)安全的概念和內(nèi)容,（2）網(wǎng)絡(luò)安全與網(wǎng)絡(luò)空間安全的概念

40、 網(wǎng)絡(luò)安全（Network Security）指利用網(wǎng)絡(luò)技術(shù)、管理和控制等措施，保證網(wǎng)絡(luò)系統(tǒng)和信息的保密性、完整性、可用性、可控性和可審查性受到保護。即保證網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及系統(tǒng)中的數(shù)據(jù)資源得到完整、準確、連續(xù)運行與服務(wù)不受干擾破壞和非授權(quán)使用。ISO/IEC27032的網(wǎng)絡(luò)安全定義則是指對網(wǎng)絡(luò)的設(shè)計、實施和運營等過程中的信息及其相關(guān)系統(tǒng)的安全保護。 ?注意：網(wǎng)絡(luò)安全不僅限于計算機網(wǎng)絡(luò)安全，還包括手機網(wǎng)絡(luò)

41、安全等。實際上，網(wǎng)絡(luò)安全是一個相對性的概念。世界上不存在絕對的安全，過分提高網(wǎng)絡(luò)的安全性可能降低網(wǎng)絡(luò)傳輸速度等方面的性能，而且浪費資源和成本代價。 網(wǎng)絡(luò)空間安全（Cyberspace Security）是針對網(wǎng)絡(luò)空間中的信息在產(chǎn)生、傳輸、存儲、處理等環(huán)節(jié)中所面臨的威脅和防御措施,以及網(wǎng)絡(luò)和系統(tǒng)本身的安全和防護機制。不僅包括傳統(tǒng)信息安全所研究的信息的保密性、完整性和可用性，還包括構(gòu)成網(wǎng)絡(luò)空間基礎(chǔ)設(shè)施的安全和可信。需要明確信息安

42、全、網(wǎng)絡(luò)安全、網(wǎng)絡(luò)空間安全概念之異同，三者均屬于非傳統(tǒng)安全，均聚焦于信息安全問題。網(wǎng)絡(luò)安全及網(wǎng)絡(luò)空間的核心是信息安全。只是出發(fā)點和側(cè)重點有所差別。,1.2.1 網(wǎng)絡(luò)安全相關(guān)概念、目標和特征,1.2 網(wǎng)絡(luò)安全的概念和內(nèi)容,廣義網(wǎng)絡(luò)安全,2.網(wǎng)絡(luò)安全的目標及特征,網(wǎng)絡(luò)安全的目標是指在網(wǎng)絡(luò)的信息傳輸、存儲與處理的整個過程中，提高物理上邏輯上的防護、監(jiān)控、反應(yīng)恢復(fù)和對抗的要求。網(wǎng)絡(luò)安全的主要目標是通過各種技術(shù)與管理等手段，實現(xiàn)網(wǎng)絡(luò)信息的保密性、

43、完整性、可用性、可控性和可審查性（網(wǎng)絡(luò)信息安全5大特征）。其中保密性、完整性、可用性是網(wǎng)絡(luò)安全的基本要求。網(wǎng)絡(luò)安全包括兩大方面，一是網(wǎng)絡(luò)系統(tǒng)的安全，二是網(wǎng)絡(luò)信息（數(shù)據(jù)）的安全，網(wǎng)絡(luò)安全的最終目標和關(guān)鍵是保護網(wǎng)絡(luò)信息的安全。網(wǎng)絡(luò)信息安全的特征反映了網(wǎng)絡(luò)安全的具體目標要求 。,1.2 網(wǎng)絡(luò)安全的概念和內(nèi)容,,網(wǎng)絡(luò)信息安全5大特征：(1) 保密性（Confidentiality）。也稱機密性，是不將有用信息泄漏給非授權(quán)用戶的特性，主要強調(diào)

44、有用信息只被授權(quán)對象使用的特征?？梢酝ㄟ^信息加密、身份認證、訪問控制、安全通信協(xié)議等技術(shù)實現(xiàn)，信息加密是防止信息非法泄露的最基本手段。(2) 完整性（Integrity）。是指信息在傳輸、交換、存儲和處理過程中，保持信息不被破壞或隨意刪改、不丟失和信息未經(jīng)授權(quán)不能改變的特性，也是最基本的安全特征。(3) 可用性。也稱有效性（Availability），指信息資源可被授權(quán)實體按要求訪問、正常使用或在非正常情況下可恢復(fù)使用的特性（系統(tǒng)面

45、向用戶服務(wù)的安全特性）。在系統(tǒng)運行時正確存取所需信息，當系統(tǒng)遭受意外攻擊或破壞時，可以迅速恢復(fù)并能投入使用。是衡量網(wǎng)絡(luò)信息系統(tǒng)面向用戶的一種安全性能，以保障為用戶提供服務(wù)。(4) 可控性（Controllability）.指系統(tǒng)對信息內(nèi)容和傳輸具有控制能力的特性,指網(wǎng)絡(luò)系統(tǒng)中的信息在一定傳輸范圍和存放空間內(nèi)可控程度。(5) 可審查性。又稱拒絕否認性（No-repudiation）、抗抵賴性或不可否認性，指網(wǎng)絡(luò)通信雙方在信息交互過程中

46、，確信參與者本身和所提供的信息真實同一性，即所有參與者不可否認或抵賴本人的真實身份，以及提供信息的原樣性和完成的操作與承諾。,1.2 網(wǎng)絡(luò)安全的概念和內(nèi)容,1.2.2 網(wǎng)絡(luò)安全的內(nèi)容及側(cè)重點 從不同角度可劃分網(wǎng)絡(luò)安全內(nèi)容、保護范疇及側(cè)重點。 1．網(wǎng)絡(luò)安全涉及的內(nèi)容 通常，網(wǎng)絡(luò)安全的內(nèi)容包括：操作系統(tǒng)安全、數(shù)據(jù)庫安全、網(wǎng)絡(luò)站點安全、病毒與防護、訪問控制、加密與鑒別等方面，具體內(nèi)容將在以后章節(jié)中分別進行詳細介紹。從層

47、次結(jié)構(gòu)上，也可將網(wǎng)絡(luò)安全所涉及的內(nèi)容概括為以下五個方面。網(wǎng)絡(luò)空間安全內(nèi)容及體系見3.1.2。,(1) 實體安全。也稱物理安全，指保護網(wǎng)絡(luò)設(shè)備、設(shè)施及其他媒介免遭地震、水災(zāi)、火災(zāi)、有害氣體和其他環(huán)境事故破壞的措施及過程。具體參見1.5介紹。,1.2 網(wǎng)絡(luò)安全的概念和內(nèi)容,主要安全防護（簡稱5防）：防盜、防火、防靜電、防雷擊、防電磁泄漏。,(2) 系統(tǒng)安全。系統(tǒng)安全包括網(wǎng)絡(luò)系統(tǒng)安全、操作系統(tǒng)安全和數(shù)據(jù)庫系統(tǒng)安全。主要以網(wǎng)絡(luò)系統(tǒng)的特點、條件和

48、管理要求為依據(jù)，通過有針對性地為系統(tǒng)提供安全策略機制、保障措施、應(yīng)急修復(fù)方法、安全建議和安全管理規(guī)范等，確保整個網(wǎng)絡(luò)系統(tǒng)的安全運行。 (3) 運行安全。包括網(wǎng)絡(luò)運行和網(wǎng)絡(luò)訪問控制的安全,如用防火墻實現(xiàn)內(nèi)外網(wǎng)的隔離、訪問控制、系統(tǒng)恢復(fù)。運行安全包括：內(nèi)外網(wǎng)隔離機制、應(yīng)急處置機制和配套服務(wù)、網(wǎng)絡(luò)系統(tǒng)安全性監(jiān)測、網(wǎng)絡(luò)安全產(chǎn)品運行監(jiān)測、定期檢查和評估、系統(tǒng)升級和補丁處理、跟蹤最新安全漏洞、災(zāi)難恢復(fù)機制與預(yù)防、安全審計、系統(tǒng)改造、網(wǎng)絡(luò)安全咨詢等

49、。,1.2 網(wǎng)絡(luò)安全的概念和內(nèi)容,,(4) 應(yīng)用安全。由應(yīng)用軟件平臺安全和應(yīng)用數(shù)據(jù)安全兩部分組成。應(yīng)用安全包括：業(yè)務(wù)應(yīng)用軟件的程序安全性測試分析、業(yè)務(wù)數(shù)據(jù)的安全檢測與審計、數(shù)據(jù)資源訪問控制驗證測試、實體身份鑒別檢測、業(yè)務(wù)數(shù)據(jù)備份與恢復(fù)機制檢查、數(shù)據(jù)唯一性或一致性、防沖突檢測、數(shù)據(jù)保密性測試、系統(tǒng)可靠性測試和系統(tǒng)可用性測試等。（5) 管理安全。也稱安全管理，主要指對人員、網(wǎng)絡(luò)系統(tǒng)和應(yīng)用與服務(wù)等要素的安全管理，涉及的各種法律、法規(guī)、政策、

50、策略、機制、規(guī)范、標準、技術(shù)手段和措施等內(nèi)容。主要包括：法律法規(guī)管理、政策策略管理、規(guī)范標準管理、人員管理、應(yīng)用系統(tǒng)管理、軟件管理、設(shè)備管理、文檔管理、數(shù)據(jù)管理、操作管理、運營管理、機房管理、安全培訓(xùn)管理等。廣義的網(wǎng)絡(luò)安全主要內(nèi)容如圖1-3所示。依據(jù)網(wǎng)絡(luò)信息安全法律法規(guī)，以實體安全為基礎(chǔ)，以管理和運行安全保障操作系統(tǒng)安全、網(wǎng)絡(luò)安全（狹義）和應(yīng)用安全及正常運行與服務(wù)。,圖1-3 網(wǎng)絡(luò)安全主要內(nèi)容,1.2 網(wǎng)絡(luò)安全的概念和內(nèi)容,網(wǎng)絡(luò)

51、安全相關(guān)內(nèi)容及其相互關(guān)系,如圖1-4所示。,圖1-4 網(wǎng)絡(luò)安全相關(guān)內(nèi)容及其相互關(guān)系,1.2 網(wǎng)絡(luò)安全的概念和內(nèi)容,,2．網(wǎng)絡(luò)安全保護范疇及側(cè)重點網(wǎng)絡(luò)安全涉及的內(nèi)容包括技術(shù)和管理等多個方面，需要相互補充、綜合協(xié)同防范。技術(shù)方面主要側(cè)重于防范外部非法攻擊，管理方面則側(cè)重于內(nèi)部人為因素的管理。更有效地保護重要數(shù)據(jù)、提高網(wǎng)絡(luò)系統(tǒng)的安全性，已成為必須解決的一個重要問題。網(wǎng)絡(luò)安全的關(guān)鍵及核心是確保網(wǎng)絡(luò)系統(tǒng)中的信息安全，凡涉及網(wǎng)絡(luò)信息的可靠性、保

52、密性、完整性、有效性、可控性和可審查性的理論、技術(shù)與管理都屬于網(wǎng)絡(luò)安全的研究范疇，不同人員或部門對網(wǎng)絡(luò)安全內(nèi)容的側(cè)重點有所不同。1）網(wǎng)絡(luò)安全工程人員。從實際應(yīng)用角度出發(fā)，更注重成熟的網(wǎng)絡(luò)安全解決方案和新型產(chǎn)品，注重網(wǎng)絡(luò)安全工程建設(shè)開發(fā)與管理、安全防范工具、操作系統(tǒng)防護技術(shù)和安全應(yīng)急處理措施等。2）網(wǎng)絡(luò)安全研究人員。注重從理論上采用數(shù)學等方法精確描述安全問題的特征，之后通過安全模型等解決具體網(wǎng)絡(luò)安全問題。3）網(wǎng)絡(luò)安全評估人員。主要關(guān)

53、注網(wǎng)絡(luò)安全評價標準與準則、安全等級劃分、安全產(chǎn)品測評方法與工具、網(wǎng)絡(luò)信息采集、網(wǎng)絡(luò)攻擊及防御技術(shù)和采取的有效措施等。,1.2 網(wǎng)絡(luò)安全的概念和內(nèi)容,1.2 網(wǎng)絡(luò)安全的概念和內(nèi)容,4）網(wǎng)絡(luò)管理員或安全管理員。主要側(cè)重網(wǎng)絡(luò)安全管理策略、身份認證、訪問控制、入侵檢測、防御與加固、網(wǎng)絡(luò)安全審計、應(yīng)急響應(yīng)和計算機病毒防治等安全技術(shù)和措施。主要職責是配置與維護網(wǎng)絡(luò)，在保護授權(quán)用戶方便快捷地訪問網(wǎng)絡(luò)資源的同時，必須防范非法訪問、病毒感染、黑客攻擊、服

54、務(wù)中斷和垃圾郵件等各種威脅，一旦系統(tǒng)遭到破壞，致使數(shù)據(jù)或文件造成損失，可以采取相應(yīng)的應(yīng)急響應(yīng)和恢復(fù)等措施。5）國家安全保密人員。注重網(wǎng)絡(luò)信息泄露、竊聽和過濾的各種技術(shù)手段，以避免涉及國家政治、軍事、經(jīng)濟等重要機密信息的無意或有意泄露；抑制和過濾威脅國家安全的暴力與邪教等信息傳播，以免給國家的穩(wěn)定帶來不利的影響，甚至危害國家安全。6）國防軍事相關(guān)人員。更關(guān)心信息對抗、信息加密、安全通信協(xié)議、無線網(wǎng)絡(luò)安全、入侵攻擊、應(yīng)急處理和網(wǎng)絡(luò)病毒傳

55、播等網(wǎng)絡(luò)安全綜合技術(shù)，以此奪取網(wǎng)絡(luò)信息優(yōu)勢、擾亂敵方指揮系統(tǒng)、摧毀敵方網(wǎng)絡(luò)基礎(chǔ)設(shè)施，打贏未來信息戰(zhàn)爭。?注意：所有網(wǎng)絡(luò)用戶都應(yīng)關(guān)心網(wǎng)絡(luò)安全問題，注意保護個人隱私和商業(yè)信息不被竊取、篡改、破壞和非法存取，確保網(wǎng)絡(luò)信息的保密性、完整性、有效性和可審查性。,?討論思考： 1）什么是信息安全？什么是網(wǎng)絡(luò)安全？ 2）網(wǎng)絡(luò)安全的目標和具體特征有哪些？ 3）網(wǎng)絡(luò)安全涉及的內(nèi)容和側(cè)重點是什么？,1.2 網(wǎng)絡(luò)安全的概念和內(nèi)容,1.3.1 通

56、用網(wǎng)絡(luò)空間安全技術(shù),1.3 網(wǎng)絡(luò)安全技術(shù)概述,1. 網(wǎng)絡(luò)安全技術(shù)相關(guān)概念網(wǎng)絡(luò)安全技術(shù)(Network Security Technology)是指為解決網(wǎng)絡(luò)安全問題進行有效監(jiān)控和管理,保障數(shù)據(jù)及系統(tǒng)安全的技術(shù)手段.包括實體安全技術(shù)、網(wǎng)絡(luò)系統(tǒng)安全、數(shù)據(jù)安全、密碼及加密技術(shù)、身份認證、訪問控制、防惡意代碼、檢測防御、管理與運行安全技術(shù)等，以及確保安全服務(wù)和安全機制的策略等。2．通用的網(wǎng)絡(luò)安全技術(shù)通用的網(wǎng)絡(luò)安全技術(shù)主要可以歸納為三大類：

57、1）預(yù)防保護類。主要包括身份認證、訪問管理、加密、防惡意代碼、入侵防御和加固等。2）檢測跟蹤類。對網(wǎng)絡(luò)客體訪問行為需要監(jiān)控、檢測和審計跟蹤，防止在訪問過程中可能產(chǎn)生的安全事故的各種舉措。3）響應(yīng)恢復(fù)類。一旦發(fā)生重大安全故障，采取應(yīng)急預(yù)案呵有效措施，確保在最短時間內(nèi)對其事件應(yīng)急響應(yīng)和備份恢復(fù),盡快將其損失和影響降至最低。,1.3 網(wǎng)絡(luò)安全技術(shù)概述,某銀行以網(wǎng)絡(luò)安全業(yè)務(wù)價值鏈的概念，將網(wǎng)絡(luò)安全的技術(shù)手段分為預(yù)防保護類、檢測跟蹤類和響應(yīng)

58、恢復(fù)類等三大類，如圖1-5所示：,1.3.1 通用網(wǎng)絡(luò)空間安全技術(shù),案例1-10,圖1-5 常用的網(wǎng)絡(luò)安全技術(shù),1.3 網(wǎng)絡(luò)安全技術(shù)概述,主要的通用網(wǎng)絡(luò)安全技術(shù)有8種，包括：1）身份認證（Identity and Authentication）。通過網(wǎng)絡(luò)身份的一致性確認，保護網(wǎng)絡(luò)授權(quán)用戶的正確存儲、同步、使用、管理和控制，防止別人冒用或盜用的技術(shù)手段。2）訪問管理（Access Management）。保障授權(quán)用戶在其權(quán)限內(nèi)對授權(quán)資

59、源進行正當使用，防止非授權(quán)使用的措施。3）加密（Cryptograghy）。加密技術(shù)是最基本的網(wǎng)絡(luò)安全手段。包括：加密算法、密鑰長度確定、密鑰生命周期（生成、分發(fā)、存儲、輸入輸出、更新、恢復(fù)、銷毀等）安全措施和管理等。4）防惡意代碼（Anti-Malicode）。建立健全惡意代碼（計算機病毒及流氓軟件）的預(yù)防、檢測、隔離和清除機制，預(yù)防惡意代碼入侵，迅速隔離查殺已感染病毒，識別并清除網(wǎng)內(nèi)惡意代碼。,1.3.1 通用網(wǎng)絡(luò)空間安全技術(shù),

60、1.3 網(wǎng)絡(luò)安全技術(shù)概述,1.3.1 通用網(wǎng)絡(luò)空間安全技術(shù),5）加固（Hardening）。對系統(tǒng)漏洞及隱患，采取一定必要的安全防范措施，主要包括：安全性配置、關(guān)閉不必要的服務(wù)端口、系統(tǒng)漏洞掃描、滲透性測試、安裝或更新安全補丁及增設(shè)防御功能和對特定攻擊預(yù)防手段等，提高系統(tǒng)自身的安全。6）監(jiān)控（Monitoring）。通過監(jiān)控用戶主體的各種訪問行為，確保對網(wǎng)絡(luò)等客體的訪問過程中安全的技術(shù)手段。7）審核跟蹤（Audit Trail）。對

61、網(wǎng)絡(luò)系統(tǒng)異常訪問、探測及操作等事件及時核查、記錄和追蹤。利用多項審核跟蹤不同活動。8）備份恢復(fù)（Backup and Recovery）。為了在網(wǎng)絡(luò)系統(tǒng)出現(xiàn)異常、故障或入侵等意外情況時，及時恢復(fù)系統(tǒng)和數(shù)據(jù)而進行的預(yù)先備份等技術(shù)方法。備份恢復(fù)技術(shù)主要包括四個方面：備份技術(shù)、容錯技術(shù)、冗余技術(shù)和不間斷電源保護。,1.3.1 通用網(wǎng)絡(luò)空間安全技術(shù) 3．網(wǎng)絡(luò)空間安全新技術(shù),1.3 網(wǎng)絡(luò)安全技術(shù)概述,（1）智能移動終端惡意代碼檢測技術(shù)針

62、對智能移動終端惡意代碼研發(fā)的新型惡意代碼檢測技術(shù)，是在原有PC 機已有的惡意代碼檢測技術(shù)的基礎(chǔ)上，結(jié)合智能移動終端的特點引入的新技術(shù)。（2）可穿戴設(shè)備安全防護技術(shù)1）生物特征識別技術(shù)。用生物體本身特征對用戶進行身份驗證，如指紋識別技術(shù)。2）入侵檢測與病毒防御工具。在設(shè)備中引入異常檢測及病毒防護模塊。由于可穿戴設(shè)備中本身的計算能力有限，因此，嵌入在可穿戴設(shè)備中的入侵檢測或病毒防護模塊只能以數(shù)據(jù)收集為主。,1.3 網(wǎng)絡(luò)安全技術(shù)概述,1

63、.3.1 通用網(wǎng)絡(luò)空間安全技術(shù) 3．網(wǎng)絡(luò)空間安全新技術(shù),（3）云存儲安全技術(shù)1）云容災(zāi)技術(shù)。用物理隔離設(shè)備和特殊算法，實現(xiàn)資源的異地分配。當設(shè)備意外損毀，可利用儲存在其他設(shè)備上的冗余信息恢復(fù)出原數(shù)據(jù)。2）可搜索加密與數(shù)據(jù)完整性校驗技術(shù)。可通過關(guān)鍵字搜索云端密文數(shù)據(jù)。新可搜索加密技術(shù)應(yīng)注重關(guān)鍵詞保護,持模糊搜索,允許用戶搜索時誤輸入,并支持多關(guān)鍵詞檢索，對服務(wù)器返回結(jié)果進行有效性驗證。3）基于屬性的加密技術(shù)。支持一對多加密模式

64、，在基于屬性的加密系統(tǒng)中，用戶向?qū)傩灾行奶峁傩粤斜硇畔⒒蛟L問結(jié)構(gòu)，中心返回給用戶私鑰。數(shù)據(jù)擁有者選擇屬性列表或訪問結(jié)構(gòu)對數(shù)據(jù)加密，將密文外包給云服務(wù)器存儲。（4）量子密碼量子計算機的高度并行計算能力，可將計算難題化解為可求解問題。以量子計算復(fù)雜度為基礎(chǔ)設(shè)計的密碼系統(tǒng)具有抗量子計算優(yōu)點，可有效地提高現(xiàn)代密碼體制的安全。,常用描述網(wǎng)絡(luò)安全整個過程和環(huán)節(jié)的網(wǎng)絡(luò)安全模型為PDRR模型：防護(Protection)、檢測(Detection

65、)、響應(yīng)(Reaction)和恢復(fù)(Recovery)如圖1-6.在上述模型的基礎(chǔ)上,以“檢查準備、防護加固、檢測發(fā)現(xiàn)、快速反映、確?；謴?fù)、反省改進”的原則,經(jīng)過改進得到另一個網(wǎng)絡(luò)系統(tǒng)安全生命周期模型 —IPDRRR(Inspection, Protection, Detection, Reaction, Recovery, Reflection)模型,如圖1-7所示。,1.3.2 網(wǎng)絡(luò)安全常用模型 借助網(wǎng)絡(luò)安全模型可構(gòu)建

66、網(wǎng)絡(luò)安全體系和結(jié)構(gòu),進行網(wǎng)絡(luò)安全解決方案制定、規(guī)劃、設(shè)計和實施等，也可用于實際應(yīng)用網(wǎng)絡(luò)安全實施過程的描述和研究。,1.3 網(wǎng)絡(luò)安全技術(shù)概述,圖1-6 網(wǎng)絡(luò)安全PDRR模型,圖1-7系統(tǒng)安全生命周期模型,,1．網(wǎng)絡(luò)安全PDRR模型,1.3 網(wǎng)絡(luò)安全技術(shù)概述,1）檢查準備（Inspection）。需要注重三個方面的工作：明確資源清單， 搞好安全分類；進行風險分析、威脅評估，識別系統(tǒng)安全脆弱性；做好安全需求分析，制定安全策略。 2）

67、防護加固（Protection）。主要包括實施原則、策略、過程與實現(xiàn)等方面的全方位的安全防護。構(gòu)建系統(tǒng)安全體系結(jié)構(gòu)，利用合適的安全技術(shù)、機制、設(shè)備和運行環(huán)境等，實現(xiàn)安全方案。3）檢測發(fā)現(xiàn)(Detection).為及時發(fā)現(xiàn)并解決安全問題,需要實時監(jiān)控與入侵檢測,定期進行系統(tǒng)漏洞掃描,收集與分類入侵類型、入侵方式、檢測方式等。 4）快速響應(yīng)（Reaction）。對突發(fā)的異常事件，根據(jù)應(yīng)急預(yù)案進行快速響應(yīng)，如斷開網(wǎng)絡(luò)連接、服務(wù)降級使用、記

68、錄攻擊過程、分析與跟蹤攻擊源等，及時采取補救措施，將損失或風險降低到最小，并保留和處理有關(guān)記錄及證據(jù)。5）確?；謴?fù)（Recovery）。當系統(tǒng)出現(xiàn)故障或遭到嚴重破壞或中斷時，及時查找原因并盡快修復(fù)，及時用數(shù)據(jù)及系統(tǒng)備份進行恢復(fù)。6）反饋改進（Reflection）。在整個網(wǎng)絡(luò)系統(tǒng)運行過程中，對出現(xiàn)的各種安全事故，應(yīng)及時進行處理，同時做好采用的技術(shù)與響應(yīng)恢復(fù)手段、系統(tǒng)安全改進建議等反饋。7）安全管理（Management）。為了保障