网络空间安全技术课程复习。主要涉及风险管理、安全保障、安全运维、安全技术（鉴别技术、访问控制、防火墙、入侵检测……）

概述

信息安全

涉及信息的机密性、完整性、可用性、真实性、可控性
本质：
- 保护系统的硬件软件数据
- 防止系统和数据遭受破坏、更改、泄露
- 保证系统连续可靠正常地运行，服务不中断
技术层面：防止外部用户的非法入侵；管理层面：内部员工的教育和管理
基本目标：CIA
- 机密性：防止未经授权使用信息
- 完整性：防止对信息的非法修改和破坏
- 可用性：确保及时可靠地使用信息
信息安全意识：能够认知可能存在的安全问题，明白安全事故对组织的危害，恪守正确的行为方式，清楚安全事故发生时所应采取的措施。

网络空间

组成要素：
- 网络空间载体：设施，信息通信技术系统的集合
- 网络空间资源/网络操作对象：数据
- 网络活动主体：用户
- 网络活动形式：操作，对数据的加工、存储、传输、展示等服务形式
定义：以各种信息通信技术设施为载体，用户对数据进行……等操作，以实现特定的信息通信技术活动。
网络空间安全的四层次模型：电磁设备、电子信息系统、运行数据、系统应用
- 设备层：物理安全、环境安全、设备安全
- 系统层：网络安全、软件安全
- 数据层：数据安全、身份安全、隐私保护
- 应用层：内容安全、应用安全

风险管理

定义：1.是识别、控制、消除或最小化可能影响系统资源的不确定因素的过程；2.在组织机构内部识别、优化、管理风险，使风险降低到可接受水平的过程

*风险术语

资产：有价值的
脆弱性：与资产有关的弱点或安全隐患，是造成风险的内因（eg.代码缺陷）。脆弱性本身并不对资产构成危害，但是满足一定条件时，脆弱性会被威胁源利用恰当的威胁方式对资产造成不良后果（形成风险？
控制措施：防范威胁，降低风险的措施。eg.部署防火墙
可能性：威胁源利用脆弱性造成不良后果的可能性
影响：威胁源利用脆弱性造成不良后果的程度大小
风险：威胁源可能采用恰当的威胁方式利用脆弱性造成不良后果
残余风险：采取了安全措施后仍然可能存在的风险（综合考虑成本与效益）

*风险评估

风险评估准备：制定风险评估方案、选择评估方法
风险要素识别：资产、威胁、脆弱性、已有安全措施
风险分析：判断风险发生的可能性和影响的程度
- 计算风险值=R(A,T,V)=R( L(T,V), F(IA, VA) )
  a-asset，t-thread
- 定性风险分析——矩阵法
风险处理

Q：风险评估、检查评估和等级保护测评之间的关系

等保测评、安全检查都是在既定安全基线的基础上开展的符合性测评
等保测评：符合国家安全要求；安全检查：符合行业主管安全要求
风险评估：在国家、行业安全要求的基础上，以被评估系统特定安全要求为目标而开展的风险识别、风险分析、风险评价活动。
核心是风险的基本要素（威胁源、威胁行为、脆弱性、资产、影响）。

Q：风险评估vs风险管理

vs	风险管理	风险评估
目标	将风险降低到可接受水平	确定面临的风险并确定其优先级
周期	风险评估、风险决策、风险控制	属于风险管理中的单个阶段
计划	持续：PDCA循环 (Plan, Do, Check, Adjustment)	按需要

风险处理

减低风险：
- 减少威胁源
- 减低威胁能力
- 减少脆弱性
- 防护资产
- 降低负面影响
转移风险
规避风险：不使用资产
接受风险：接收但是仍需要持续监控风险态势变化

国产化替代

替代被垄断的国外产品：

桌面计算机技术体系Wintel
服务器和数据库IOE(IBM, ORACLE, EMC)

安全保障

安全保障目标：

保障和促进信息化发展
维护企业与公民的合法权益
构建安全可信的网络信息传播秩序
保护互联网知识产权

信息系统安全测评标准：GB/T20274《信息系统安全保障评估框架》，它从建设者的角度为信息系统安全测评提供了思路框架和操作规范

信息系统安全保障要素：
- 技术：密码、访问控制、网络安全、漏洞、恶意代码防护
- 工程：信息系统安全工程、安全工程能力成熟度模型
- 管理：安全管理体系、风险管理、应急响应、灾难恢复
- 人员：普通员工+专业人员
安全特征：CIA

信息系统安全保障的具体需求由信息系统保护轮廓ISPP确定。

信息系统安全目标ISST：根据ISPP编制的信息系统安全保障方案。

PDRR PPDR

网络空间安全模型

PDR：protect+detect+response

PDRR：protect+detect+react+restore，强调自动故障恢复能力

protect：加密、鉴别、访问控制、防火墙以及防病毒……
detect：入侵检测、漏洞检测、网络扫描……
react：应急响应

PPDR：protect+policy+detect+response。在整体的安全策略的控制和指导下，综合运用防护工具（如防火墙、身份鉴别、加密等）的同时，利用检测工具（如漏洞评估、入侵检测系统）了解和评估系统的安全状态，通过适当的响应将系统调整到一个比较安全的状态。保护、检测和响应组成了一个完整的、动态的安全循环。

policy：策略，模型的核心。如访问控制策略、加密通信策略、身份认证策略、备份恢复策略……
detect：利用检测工具，监视、分析、审计网络活动，了解判断网络系统的安全状态。如实时监控、报警……
response：在检测到安全漏洞和安全事件时，通过及时的响应措施将网络系统的安全性调整到风险最低的状态。如：关闭服务、跟踪、反击……
Pt >Dt + Rt；Et = (Dt+Rt) - Pt。（防护时间、检测时间、反应时间、暴露时间）

IATF

信息保障技术框架 Information Assurance Technical Framework

IATF论述了系统工程、系统采购、风险管理、鉴别和鉴定以及生命周期支持等过程，指出了一条较为清晰的建设信息保障体系的路子。

深度防御：三要素+四领域

三要素：

人：核心
技术：实现信息保障的重要手段，动态的技术体系PDRR
操作：构成安全保障的主动防御体系

四领域：

本地计算环境
区域边界
网络和基础设施
支撑性基础设施

应急响应

应急响应目标：

积极预防：在事件显露趋势时就要有计划有准备地采取针对性防范措施
及时发现：准确判断，尽可能了解全局的情况
快速响应：及时处理并采取相应措施
确保恢复：事后处理中的两个根本目标：确保回复+追究责任

应急流程：

准备阶段：调研分析、组建团队、制定方案
检测阶段：判断安全事件
抑制阶段：限制影响的范围和程度
根除阶段
恢复阶段：重建系统
跟进阶段：吸取经验教训，改善和调整安全策略

*实例

Webshell本地查找-河马Linux（hema）

准备分析工具；
现场了解实际情况；
使用相关命令或工具进行排查；
得出结论，记录攻击证据，清除攻击；
总结报告

DDOS攻击处理

SYN Flood：使用抗DDOS设备或其他专用防护设备
ACK Flood：
- 发送ACK，回复RST
- 发送ACK+PSH，目标主机直接丢弃，导致目标主机性能严重下降
- 处理：将防护目标纳入被保护的范围，然后调节黑洞的ACK-Flood专业数据同时使用：1)SYN-Flood的防护算法；2)DynaCheck.而且要注意，在流量较大的情况下，防火墙必须在抗DDOS后面，否则未经净化的流量有可能会使防火墙的负载大大增高。
UDP Flood
- 向目标主机未开放端口发送大量udp数据包，目标主机直接丢弃，并回复icmp不可达，消耗目标主机资源
- 向目标主机的开放端口发送大量畸形udp数据包，目标主机直接丢弃，消耗目标主机资源。
- 处理：尽量将这些垃圾数据限定在一定流量以下
DNS Flood
- 发送大量的标准dns请求，是的目标主机DNS服务缓慢
- 处理：使用专用防护设备对DNS服务进行防护

安全机制

五种安全服务：

鉴别服务
访问控制服务
机密性服务
完整性服务
抗抵赖服务

八种安全机制：

加密：为数据、通信业务流提供机密性，还为其他机制提供补充
数字签名机制：签名+验证，不可伪造+不可抵赖
访问控制机制：访问权限，报警或审计跟踪
数据完整性机制：与数据相关的附加码，验证。eg.hash
鉴别交换机制：可以使用密码技术。通过特定的握手协议防止鉴别重放
通信业务填充机制：业务分析
路由选择控制机制
公证机制：第三方机构，一般通过数字签名、加密等

*安全服务与安全机制的关系：

网络空间安全技术和措施：

核心技术：密码技术、鉴别与认证技术、密钥管理
计算机安全防护技术：操作系统安全、数据库安全、访问控制、安全审计
计算机网络安全措施：网络隔离、防火墙、漏洞扫描、入侵检测、病毒防治
物理安全：防辐射、抗电磁干扰、备份与恢复技术、物理隔离
信息安全管理的重要举措：风险评估、等级保护、测评认证、应急响应

加密

对称加密通信，eg.DES，3DES，AES，IDEA，RC5.模型:

RSA：

功能：数字签名；密钥管理；加密
私钥：签名+解密
公钥：签名检验+加密

ECC：

基于有限域上椭圆曲线有理点群的密码系统
更快的具有更小密码长度的公开密码系统
功能同RSA

消息鉴别

证明消息来自声称的发送方，且没有被修改过

Message encryption：用整个消息的密文作为鉴别标识

Hash Function：一个公开函数将任意长度的消息映射到一个固定长度的散列值，作为鉴别标识

MAC：一个公开函数加上一个密钥，产生一个固定长度的值作为鉴定标识

对称加密，共享密钥
加密与鉴别分离

数字签名

作用：（前提都是私钥只有自己知道）

身份鉴别：私钥签名，公钥验证
防假冒
抗抵赖
防消息篡改
数字签名在现代Web商务中具有重要意义：数字签名已经具有法律效力

基于RSA的数字签名

初始化：消息m, 私钥d, 公钥(e,n)
签名：$s=(H(m))^dmodn$
验证：判断等式是否成立$s^emodn==H(m)$

数据完整性

定义：数据完整性是防止非法实体对交换数据的修改、插入、替换和删除，或者如果被修改。插入、替换和删除时可以被检测出来。数据完整性可以通过消息认证模式来保证

根据实现手段维度对完整性机制分类：

密码学：对称密码、非对称密码、数字签名
上下文：数据重复、预共识上下文
探测和确认：正馈等幂运算
阻止：阻止对数据存储或传输媒体的物理访问，通过访问控制提供

*基于错误检测码与对称密钥加密的完整性验证机制

FCS0/1/2表示错误检测码
加解密时错误检测码与明文合在一起作为输入，防止了攻击者同时把原信息和错误检测码替换并保持它们之间的正确匹配关系的攻击
前提是需要双方共享对称密钥k，存在密钥的发布问题。如果改成非对称加密，速度太慢，可以二者结合，用非对称加密技术加密共享密钥实现密钥的安全分发。

鉴别技术

对身份鉴别系统的要求：

验证者正确识别合法申请者的概率极大化
不具有可传递性
攻击者伪装成申请者欺骗验证者成功的概率要小到可以忽略的程度
计算有效性
通信有效性
秘密参数能安全存储

鉴别机制：

非密码的鉴别机制
- 所知：口令、密码……
- 所有：身份证、令牌……
- 个人特征：指纹、虹膜……
- 双因素、多因素认证
基于密码算法的鉴别：对称密码、公开密码、密码校验函数
零知识证明协议

按保护等级分类：

无保护
抗泄露保护
抗泄露和对不同验证者重放的保护
抗泄露和对同一验证者重放的保护
抗泄露和对相同+不同验证者重放的保护

重放

简单重放：复制消息再重新发送
可被日志记录的复制品：攻击者可以在一个合法有效的时间窗内重放一个带时间戳的消息
不能被检测到的复制品：原始信息被拦截，只有重放的消息到达目的地
反向重放：当采用对称加密时，向消息发送者重放
- 针对同一验证者的重放：非重复值
- 针对不同验证者的重放：验证者的标识符

*口令鉴别机制

特点：易记、难猜、抗分析能力强
用户二元组信息：用户身份信息+口令（明文或简单加密/变换）
口令鉴别协议PAP：一般在通信连接建立阶段，不在数据传输阶段
对付线路窃听：
- 引入散列函数。脆弱性：彩虹表攻击/字典攻击
- 加盐机制。h=salt||H(salt||m)。缺陷：只能保护在多台计算机上使用相同口令的同一用户或在同一计算机上使用同一口令的不同用户。（？不同口令的不同用户呢）因为一个用户在数据库中只能有一个记录(ID唯一)，不支持对同一用户不同口令的保护。但是不同用户使用同一口令可以保护，因为ID不同，salt不同。

访问控制

一般实现机制：

基于访问控制属性：访问控制表/矩阵
基于用户和资源分级(安全标签)：多级访问控制

三元组(Subject, Access, Object)

实现方法：

访问控制表ACL，权限分配围绕object
访问能力表CL，权限分配围绕subject
访问控制矩阵
授权关系表
访问控制安全标签

自主访问控制DAC

自主访问控制：

允许客体的属主决定主体对该客体的访问权限
是一种分布式授权管理的模式。

实现机制：访问控制表/矩阵

实现方法：访问控制表、访问能力表

优点：

根据主体的身份和访问权限进行决策
具有某种访问能力的主体能够自主地将访问权的某个子集授予其他主体
灵活性高，被大量采用（常用于商业系统）
具有较好的易用性和可扩展性

缺点：

信息在传递过程中其访问权限关系会被改变
安全性不高

强制访问控制MAC

强制访问控制：

主体对客体的所有访问请求按照强制访问控制策略进行控制，客体的属主无权控制客体的访问权限，以防止对信息的非法或越权访问。
每个主体和客体分配一个固定的安全级别，只有系统管理员可以修改（普密<秘密<机密<绝密）
只有在主体和客体的安全级别满足一定规则时，才允许访问

特点：

将主体和客体分级，根据主体和客体的级别标志来决定访问模式
访问控制关系分为
- 上读/下写：实现数据完整性
- 下读/上写：实现数据机密性

Biba模型

不下读-不上写

eg.Web服务器，保障Web数据完整性：网上的用户只能读取服务器上的数据而不能更改它

DAC vs MAC

cmp	DAC	MAC
控制粒度	细粒度	粒度大
灵活性	高	不高
安全与效率	配置效率低	安全性强

基于角色的访问控制RBAC

基于角色的访问控制：

根据用户所担任的角色来决定用户在系统中的访问权限
一个用户必须扮演某种角色，而且还必须激活这一角色，才能对一个对象进行访问或执行某种操作

RBAC96模型：

防火墙技术

数据流：

bit-物理层
frame-网络接口层/数据链路层
packet-网络层
segment-传输层
会话层
表示层
data-应用层

检测与过滤技术

包过滤：工作在网络层，根据packet中的IP、port、协议类型等标志确定是否允许通过
应用代理：工作在应用层，通过编写不同的应用代理程序，实现对应用层数据的检测和分析
状态检测：工作在2~4层，处理整个连接，通过规则表和连接状态表综合判断
完全内容检测：工作在2~7层，不仅分析数据包头信息、状态信息、而且对应用层协议进行还原和内容分分析，有效防范混合型安全威胁

防火墙功能

过滤进出网络的数据
管理进出网络的访问行为
封堵某些禁止的业务
记录通过防火墙的信息内容和活动
对网络攻击的检测和告警
其他：
- 控制进出网络的信息流向和数据包，过滤不安全的服务
- 隐藏内部IP地址及网络结构的细节
- 提供使用流量的日志和审计功能
- 部署NAT（网络地址转换）
- 逻辑隔离内部网段，对外提供web和FTP
- 实现集中的安全管理
- 提供VPN功能

工作接入方式

路由接入：需要提供MAP或NAT功能

透明接入：

混合接入：同时保留透明接入模式和路由接入模式，在使用时用户可以自行选择（？看不明白

高可用性-双机热备功能：

入侵检测

IDS：入侵检测系统Intrusion Detection System

IDS两个指标：

漏报率：攻击事件没有被IDS检测到
误报率：把正常识别为异常并报警，与检出率成正比

IDS面临的问题：

误警率高：(漏报率+误报率)，已成为制约其发展的关键技术问题
缺少统一的构建方法学：IDS缺少结构化的方法学以及有效的信息共享和协同机制，限制了对攻击的检测能力
自学习能力差：添加检测规则常依赖于手工方式且更新缓慢，限制了可用性
自身易受攻击：IDS本身是存在漏洞的软件程序

入侵检测模型

通用入侵检测模型Denning
层次化入侵检测模型IDM
管理式入侵检测模型SNMP-IDSM

Denning

基于规则的模式匹配系统，前提是异常使用系统的入侵行为可以通过检查系统的审计记录来识别。

未包含已知系统漏洞或攻击方法方面的知识

IDM

IDM将IDS由低至高分为六个层次：

数据层-data
事件层-event
主体层-subject
上下文层-context
威胁层-thread
安全状态层-security state

IDM通过把收集到的分散数据进行加工抽象和数据关联操作，简化了对跨越单机的入侵行为的识别

CIDF架构

入侵检测系统的通用模型Common Intrusion Detection Framework

CIDF将入侵检测系统需要分析的数据统称为事件(Event),事件可以是网络中的数据包，也可以是从系统日志等其他途径得到的信息。

CDF讨论关于入侵检测系统协同的问题，主要介绍一种通用入侵说明语言(CISL),即系统事件、分析结果及响应指示的通用表示。把入侵检测系统从逻辑上分为面向任务的组件。CIDF试图规范一种通用的语法格式和编码方式以表示在组件边界传递的数据

IDS分类

按检测分析技术方法：

异常检测：通过采集和统计来发现网络或系统中可能出现的异常行为，向管理员提出警告
- 建立用户的正常使用模式，即知识库
- 标识出不符合正常模式的行为活动
- 假设所有的入侵行为是异常的
- 实现难度大：1.正常模式的知识库难建立；2.正常与异常的界限划分
特征检测：通过对采集的信息按已知的知识进行分析，来发现正在发生和已经发生的入侵行为

按检测范围：

基于主机
基于网络
基于网络节点

典型部署

以旁路的方式接入到网络中，且部署到需要的关键位置

HIDS：基于主机的IDS
NIDS：基于网络或网络节点的IDS

入侵防御

IPS：入侵防御系统，集入侵检测和防御于一体（IDS+Firewall）。不但能检测入侵的发生，而且能通过一定的响应方式，实时地终止入侵行为地发生和发展，实时地保护信息系统不受实质性地攻击。

基础理念：深层防御，需要深层分析和在线部署

主要功能：

识别对网络和主机的恶意攻击，并实时进行阻断
向管理控制台发送日志信息
集成病毒过滤、带宽管理和URL过滤等功能

IPS vs IDS

IPS	IDS
部署方式对比
在线，流量必须通过IPS	旁路，通过镜像获得数据
实时，其时延必须满足业务要求	准实时，可接受秒级时延
立刻影响网络报文	对网络及业务无直接影响
作用范围有限制	监控范围广
设计出发点对比
无误报	无漏报
满足峰值流量和时延要求	满足平时流量，可接受秒级时延
不能影响业务系统可用性	只需关注自身功能实现

网络准入控制

网络准入控制NAC：使用网络准入安全策略，确保进入网络的设备符合策略