第一章

1.1绪论

课程目标：

系统而全面的了解网络空间安全方面的基础知识、认识安全隐患、掌握相应的防范方法、提高大家的安全意识。

课程重点：

勾勒网络空间安全的框架。

课程内容安排：

• 安全法律法规
• 物理设备安全
• 网络攻防技术
• 恶意代码及防护
• 操作系统安全
• 无线网络安全
• 数据安全
• 信息隐藏
• 隐私保护
• 区块链
• 物联网安全
• 密码学基础

网络空间安全概念由来

• 欧洲信息安全局：网络空间安全和信息安全概念存在重叠，后者主要关注信息的安全，而网络空间安全则侧重于保护基础设施所构成的网络。
• 美国国家标准技术研究所：网络空间安全是“通过预防、检测和响应攻击，保护信息的过程”。

1.2网络空间安全威胁

网络空间安全框架：

设备层安全：物理、环境、设备安全
系统层安全：网络、计算机、软件、操作系统、数据库安全
数据层安全：数据、身份、隐私安全
应用层安全：内容、支付、控制、物联网安全

网络空间安全事件：

• 设备层安全：

  • 皮下植入RFID芯片–触碰手机即能盗取数据
  • 以色列研究员用过时的GSM手机截获计算机辐射的电磁波盗取数据–并非不联网就安全
  • 2012年伊朗布什尔核电站在信息系统物理隔绝的情况下仍然遭到了病毒攻击。
  • 海湾战争硬件木马(恶意电路)的使用
  • 叙利亚预警雷达的通用处理器后门被激活而使整个预计雷达系统失效。

• 系统层安全：

  • SQL注入(传统而有效)–机锋论坛用户信息泄露、广东人寿保单泄露、大麦网和网易邮箱用户信息泄露
  • 恶意代码–特洛伊木马、计算机病毒(熊猫烧香、彩虹猫病毒、WannaCry勒索病毒、CIH病毒、Stuxnet蠕虫病毒）

• 数据层安全：

  • 钓鱼WiFi
  • 英国禁售儿童智能手表
  • 基于蓝牙协议的BlueBorne攻击

• 应用层安全：

  • 群发含钓鱼网站链接的虚假短信
  • 利用充电桩打开USB调试模式窃取用户信息

1.3网络空间安全框架

信息安全：

强调信息(数据)本身的安全属性，没能考虑信息系统载体对网络空间安全的影响。

网络安全：

是在网络各个层次和范围内采取防护措施，以便检测和发现各种网络安全威胁并采取相应响应措施，
确保网络环境信息安全。

网络空间安全：

• 研究在信息处理等领域中信息安全保障问题的理论与技术，其核心仍然是信息安全问题。
• 基础维度：设备安全、 网络安全、应用安全、大数据安全、舆情分析、隐私保护、密码学及应用、网络空间安全实战、网络空间安全治理等。

网络空间安全需求：

网络空间安全问题：

网络空间安全模型：

• 动态风险模型：PDR,P2DR
• 动态安全模型：P2DR2(Policy,Protection,Detection,Response,Recovery)
  

第四章

4.1防火墙概述

计算机网络中的防火墙：

防火墙是一套的网络安全防御系统，依据事先制定好的安全规则，对相应的网络数据流进行监视和控制。
硬件外形是多网络接口的机架服务器，在网络拓扑图中使用红墙的图标来表示。可分为网络防火墙和主机防火墙。

防火墙定义：

在可信任网络和不可信任网络之间设置的一套硬件的网络安全防御系统，实现网络间数据流的检查和控制。

防火墙本质：

安装并运行在一台或多台主机上的特殊软件。

防火墙的作用：

1.安全域划分与安全域策略部署。
2.根据访问控制列表实现访问控制
3.防止内部信息外泄
4.审计功能
5.部署网络地址转换

防火墙的局限性：

1.无法防范来自内部的恶意攻击。
2.无法防范不经过防火墙的攻击。
3.防火墙会带来传输延迟、通信瓶颈和单点失效等问题。
4.防火墙对服务器合法开放的端口的攻击无法阻止。
5.防火墙本身也会存在漏洞而遭受攻击。
6.防火墙不处理病毒和木马攻击的行为。
7.限制了存在安全缺陷的网络服务，影响了用户使用服务的便利性。

4.2防火墙关键技术

防火墙关键技术：

• 数据包过滤技术：
  • 检查每个数据包的基本信息，包括IP地址、数据包协议类型、端口号、进出的网络接口
  • 优点：对用户透明、通过路由器实现、处理速度快
  • 缺点：规则表的制定复杂、核查简单、 以单个数据包为处理单位
• 应用层代理技术
  • 每种应用程序都要不同的代理程序
  • 优点：
    1.不允许外部主机直接访问内部主机，将内外网完全隔离，比较安全；
    2.提供多种用户认证方案
    3.可以分析数据包内部的应用命令
    4.可以提供详细的审计记录
  • 缺点：
    1.每一种应用服务都要设计一个代理软件模块，而每一种网络应用服务安全问题各不相同，分析困难，因此实现也困难。对于新开发的应用，无法通过相应的应用代理。
    2.由于检查整个应用层报文内容，存在延迟问题。
• 状态检测技术
  • 采用基于链接的状态检测机制，将属于同一个链接的数据包作为一个整体的数据流来看待，建立状态连接表，且对连接表进行维护。通过规则表和状态表的共同配合，动态地决定数据包是否被允许进入防火墙内部网络。
  • 优点：
    1.具备较快的处理速度和灵活性
    2.具备理解应用程序状态的能力和高度安全性
    3.减小了伪造数据包通过防火墙的可能性。
  • 缺点：
    1.记录状态信息，会导致网络迟滞
    2.跟踪各类协议，技术实现较为复杂。
• 网络地址转换技术
  • 转换方式：
  1. 多对一映射：多个内部网络地址翻译到一个IP地址，来自内部不同的连接请求可以用不同的端口号来区分。普通家庭使用。
     2.一对一映射：网关将内部网络上的每台计算机映射到NAT的合法地址集中唯一的一个IP地址。常用于Web服务器。
     3.多对多映射：将大量的不可路由的内部IP地址转换为少数合法IP地址，即全球合法的IP地址，可用于隐藏内部IP地址。分为静态翻译和动态翻译。
  • 优点：
    

个人防火墙：

4.3入侵检测技术（IDS）

防火墙技术的缺陷：

入侵检测技术定义：

对比：防火墙是一种被动的安全防护技术，以串接方式接入网络，部署在内外网络的连接处，通过规则匹配对数据包进行过滤。它是一种静态的、被动的防护手段。

入侵检测技术作用和优势：

入侵检测系统定义：

入侵检测系统主要功能：

入侵检测通用模型：

入侵检测系统分类：

• 基于网络的入侵检测系统：以网络数据包为数据源，实时分析
• 基于主机的入侵检测系统：以主机系统的审计记录和日志信息为数据源
• 分布式入侵检测系统：综合运用以上两种系统

入侵检测方法分类：

1.特征检测——检测已知攻击

• 也称误用检测，通过特定的特征匹配来检测入侵和攻击的存在。
• 若没有添加新规则无法发现新的，或以正常数据流为基础的攻击行为。
  2.异常检测——检测未知攻击
• 通过机器学习来建立正常用户的活动模型，若当前行为违反模型规律即作为攻击行为。
• 易产生误报和漏报

入侵检测系统急需解决的问题：

高误报率和高漏报率

入侵检测系统发展方向：

IPS（入侵防御系统）和IMS（入侵管理系统）

4.4虚拟专用网技术（VPN）

VPN技术的出现起因：

• 为确保机构内部信息安全
• 机构的全球IP地址数量不足
• 机构内不同部门和主机的分布范围较广

本地IP地址：

• 只在机构内部使用的IP地址，可以由本机构自行分配，不需要向互联网的管理机构申请。
• 采用本地IP地址的网络称专用互联网/本地互联网/专用网
• 专用网初衷：本机构的信息不能出现在互联网上

虚拟专用网：

• 利用公用互联网作为本机构各专用网之间的通信载体，这样的专用网又称虚拟专用网。
• 虚拟：没有真正使用通信专线，但跟真正的专用网效果一样。
• 专用网：在机构内部使用
  

R1和R2两个路由器通过公共互联网连接，传输过程通过加密隧道

VPN的一种特例——远程接入VPN：

• 为了满足外部流动员工访问公司内部网络的需求，外部员工可通过VPN软件和公司路由器之间建立通信隧道，通信内容保密。
• VPN是防火墙的标准配置之一

虚拟专用网技术