【网络安全基础】第一章---引言

仅供参考

文章目录


一、计算机安全

(1)对某个自动化信息系统的保护措施

(2)其目的在于实现信息系统资源的完整性机密性、以及可用性

1.1 CIA三元组

C:机密性

数据机密性Data confidentiality------不泄露给未授权的个体;

隐私性Privacy------个人可控制和影响与之相关的信息;

I:完整性

数据完整性Data integrity------只能由某特定的、己授权的方式来更改;

系统完整性System integrity------系统正常实现其预期功能;

A:可用性

真实性Authenticity------验证使用者的身份及信号的信息源;

可计量性Accountability------求每个实体可被唯一地追踪.

1.2 影响等级

安全违规(机密性损失完整性损失 或者可用性损失 )对个人或组织的影响,分成三种等级:
low低级 ------损失有限
Moderate中级 ------严重的负面影响
High高级------巨大和灾难性的负面影响。

1.3 计算机安全的挑战

(1)不简单

(2)必须考虑潜在的攻击potential attacks

(3)使用的处理违反直觉counter-intuitive

(4)确定机制使用的场合

(5)涉及的算法、协议和机密信息

(6)设计者和攻击者之间的一场智力较量

(7)直到灾难发生前其投入是没什么利益可图的

(8)需要经常地监控

(9)通常是事后的考虑

(10)对系统的使用是一种障碍impediment


二、OSI安全体系结构

OSI安全模型关注安全攻击安全机制安全服务

威胁和攻击通常表达同一个意思:

1)威胁:一种可能会造成攻击的潜在危险;

2)攻击:一种故意逃避安全服务(特别是从方法和技术上)并且破坏系统安全策略的智能行为

2.1 安全攻击

任何可能危及机构的信息安全的行为

类型:

(1)被动攻击:容易防范

两种被动攻击类型:消息内容泄露攻击、流量分析攻击

被动攻击难以检测、防范方法是加密

(2)主动攻击:容易检测

四种主动攻击类型:

1)假冒 ------防范方法:身份认证(数据源认证)

2)重放 :消息被重排从而产生非授权效应------防范方法:加时间戳

3)改写消息 ------防范方法:消息认证码、数字签名

4)拒绝服务 ------防范方法:没有有效方法

主动攻击检测容易、防范方法是检测攻击者及时恢复

2.2 安全服务

由系统提供的对系统资源进行特定保护的处理或通信服务。

目的:抵抗安全攻击

有什么服务:

(1)认证 :向接收者保证消息是来自它所要求的源(对等实体认证、数据源认证)

(2)控制访问 :防止对资源的非授权使用

(3)数据机密性 :防止非授权的数据泄露;

(4)数据完整性 :确保被认证实体发送的数据与接收到的数据完全相同;

(5)不可抵赖性 :防止发送者或接收者否认一个已传输的消息;

(6)可用性:资源的可访问/可使用

2.3 安全机制

安全服务是通过安全机制实现的

特定安全机制:加密、数字签名、访问控制、数据完整性、认证交换、流量填充、路由控制、公证

普适的安全机制:可信功能、安全标签、事件检测、安全审计跟踪、安全恢复

三、基本安全设计准则

最小权限
最不常见的机制
心理可接受性
隔离
封装
模块化
分层
最小惊讶准则
机制的经济性
------嵌入硬件和软件的安全措施的设计应尽可能简单和小。
默认的安全失效 ------访问决策应基于许可机制,而不是排除机制。
完全仲裁 ------根据访问控制机制检查;
开放设计 ------安全机制的设计应该公开,不保密;
权限分离------多个权限属性实现对受限资源的访问;

四、攻击面和攻击树(重点)

4.1 攻击面

一个攻击面是由系统中可达到的和可被利用漏洞组成

攻击面分析有助于评估系统威胁的规模和严重程度

攻击面也为测试增强安全措施修改服务和应用等方面提供指导

分类:

(1)网络攻击面---企业网、广域网、因特网的漏洞

(2)软件攻击面---应用、效用或操作系统代码中的漏洞;

(3)人为攻击面---雇员和外人制造的漏洞

4.2 攻击树

一个攻击树是一个带分支 的、分层数据结构,是利用漏洞的潜在技术集合

1)根节点:攻击的目标,它是安全事件

2)分支和子节点:攻击者实现上述目标的方式被交替地、递增 地表示为该树的分支和子节点

3)叶节点:不同的攻击发起方式

使用攻击树的初衷 是能高效地利用攻击模板中的有用信息

攻击树既能对系统设计及其应用 提供指引,也能对对策的强度和选择提供帮助。

五、习题与答案

什么是计算机安全、信息安全和网络安全?

(1)计算机安全:是指对某个自动化信息系统的保护措施,其目的在于实现信息系统资源的完整性、可用性以及机密性(包括硬件、软件、固件、信息/数据、电信)。

(2)信息安全:是指防止任何对数据 进行未授权访问 的措施或者防止造成信息有意无意泄露、破坏、丢失等问题的发生,让数据处于远离危险、免于威胁的状态或特性。

(3)网络安全:是指计算机网络环境 下的信息安全

PDRR安全模型包含哪些阶段?

四个阶段:
保护(Protection)
检测(Detection)
响应(reaction)
恢复(restore)。

说明攻击面和攻击树的区别。

(1) 攻击面 :系统中一系列可访问且可利用的 漏洞组成。

(2)攻击树 :攻击树是采用分支化、层次化 表示来利用安全漏洞的可能技术集合的数据结构 。换句话说,攻击树根据不同的攻击提供了一种正式的、系统的方法来描述系统的安全性(在树结构中表示对系统的攻击, 目标是根节点 , 实现目标的不同方法是叶节点 ),攻击树是对已定义系统执行威胁和风险分析的正式方法

攻击方法通常可分为被动攻击和主动攻击,这两类攻击各有什么特点?它们各自包含哪些攻击形式?

(1)被动攻击:难以检测,容易防范,防范方法是加密;攻击形式分为消息内容泄露攻击流量分析攻击

(2)主动攻击:容易检测,防范方法是检测攻击者、及时恢复;攻击形式分为冒充重放改写信息拒绝服务

六、补充:网络攻击

网络攻击是指网络中用户未经授权的访问尝试 或者未经授权的使用尝试

网络攻击模型将将攻击过程划分为8个阶段

(1)攻击身份和位置隐藏:隐藏网络攻击者的身份及主机位置。

(2)目标系统信息收集: 确定攻击目标并收集目标系统的有关信息

(3)弱点信息挖掘分析:从收集到的目标信息中提取可使用的漏洞信息。

(4)目标使用权限获取:获取目标系统的普通或特权账户权限。

(5)攻击行为隐藏:隐藏在目标系统中的操作,防止攻击行为被发现。

(6)攻击实施:实施攻击或者以目标系统为跳板向其他系统发起新的攻击。

(7)开辟后门:在目标系统中开辟后门,方便以后入侵。

(8)攻击痕迹清除: 清除攻击痕迹,逃避攻击取证。

相关推荐
怦然星动_1 小时前
DHCP中继及动态分配
网络安全
深圳安锐科技有限公司2 小时前
深圳安锐科技发布国内首款4G 索力仪!让斜拉桥索力自动化监测更精准高效
运维·安全·自动化·自动化监测·人工监测·桥梁监测·索力监测
潘锦2 小时前
海量「免费」的 OPENAI KEY,你敢用吗?
安全·openai
冰橙子id3 小时前
linux系统安全
linux·安全·系统安全
Johny_Zhao3 小时前
Ubuntu系统安装部署Pandawiki智能知识库
linux·mysql·网络安全·信息安全·云计算·shell·yum源·系统运维·itsm·pandawiki
游戏开发爱好者83 小时前
iOS App首次启动请求异常调试:一次冷启动链路抓包与初始化流程修复
websocket·网络协议·tcp/ip·http·网络安全·https·udp
2501_915106323 小时前
频繁迭代下完成iOS App应用上架App Store:一次快速交付项目的完整回顾
websocket·网络协议·tcp/ip·http·网络安全·https·udp
上海锝秉工控4 小时前
防爆拉线位移传感器:工业安全的“隐形守护者”
大数据·人工智能·安全
你不知道我是谁?6 小时前
AI 应用于进攻性安全
人工智能·安全