网络空间安全技术

Johnny2024-01-022024-01-02

网络空间安全技术

信息安全概论

第一部分

解释网络空间安全

网络空间安全是关键信息基础设施保护（Critical Information Infrastructure Protection, CIIP）的必要组成部分，同时，对关键基础设施服务的充分保护也有助于满足基础安全需求（即关键基础设施的安全性、可靠性和可用性），进一步实现网络空间安全的目标。

第二部分

信息安全及其基本目标

信息本身的机密性、完整性和可用性的保持。

机密性：防止未经授权使用信息

完整性：防止对信息的非法修改和破坏

可用性：确保及时可靠地使用信息。

网络安全四大基础板块：

信息安全
应用安全
网络安全
因特网安全

信息安全风险管理

第一部分

S：网络空间安全资产的分类（能判断哪个是资产）

S：风险分析（WannaCry是由哪一个风险引起的）

C：什么是风险

C：风险评估的概念

第二部分

资产以多种形式存在：

物理的、逻辑的
硬件的、软件的
有形的、无形的
静态的、动态的
技术的、管理的

注意资产的定义就行：资产是任何对组织有价值的东西，是要保护的对象。

脆弱性

脆弱性本身并不对资产构成危害，但是在一定条件得到满足时，脆弱性会被威胁源利用恰当的威胁方式对信息资产造成危害。

风险的定义

风险的定义：人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响。（国标）

指威胁源采用恰当的威胁方式利用脆弱性造成不良后果（简略）

风险评估

风险评估：从风险管理角度，运用科学的方法和手段，系统地分析信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和整改措施；为防范和化解网络空间安全风险，将风险控制在可接受的水平，从而为最大限度地保障网络空间安全提供科学依据。

信息系统的安全风险信息是动态变化的

信息系统的安全风险信息是动态变化的，只有动态的信息安全评估才能发现和跟踪最新的安全风险。

网络空间安全风险术语之间的关系

信息与信息安全保障

第一部分

S： PPDR模型核心

S：IATF保护本地计算环境用什么手段

第二部分

PDR和PPDR模型

最开始提出了一个基于时间的PDR模型，主要有三个部分：保护、检测、响应，即采用一切可能的措施来保护网络；同时通过检测来了解和评估网络和系统的安全状态，为响应提供依据；通过应急响应机制依据评估来进行调整。但是PDR模型任何防护措施都是基于时间的，难以适应网络安全环境的快速变化

PDR定义了防护时间Pt(攻击者发起攻击时，保护系统不被攻破的时间)、检测时间Dt(从发起攻击到检测到攻击的时间)和响应时间Rt(从发现攻击到做出有效响应的时间)3个概念，并给出了评定系统安全的计算方式，当Pt>Dt+Rt时，即认为系统是安全的，也就是说，如果在攻击者攻破系统之前发现并阻止了攻击的行为，那么系统就是安全的。[1]（这三个指标很难被定义，所以个人觉得他就是一个理论性的东西，所以才提出一个PPDR模型）

PPDR的核心就是第一个P，即策略。所有的防护、检测、响应都是依据安全策略实施的。

IATF

IATF关注四个信息安全保障领域：

特别注意本地计算环境，推荐使用的基于主机的入侵检测系统的部署

本地计算环境

使用安全的操作系统
使用安全的应用程序
主机入侵检测
防病毒系统
主机脆弱性扫描
文件完整性保护

课件上给出的是这几个，其实除了前两个，后面几个都属于Host-Based Monitoring[2]

区域边界

病毒、恶意代码防御
防火墙
人侵检测
远程访问
多级别安全

网络和基础设施

1
2
3

骨干网可用性
无线网络安全框架
系统高度互联和虚拟专用网

支撑性基础设施

密钥管理
优先权管理
证书管理
审计、配置
信息调查、收集

信息安全技术

第一部分

五个安全服务八个机制

第二部分

网络空间安全的总需求

物理安全、网络安全、信息内容安全、应用系统安全、安全管理的总和

网络空间安全的最终目标

确保信息的机密性、完整性、可用性、可控性、抗抵赖性，以及信息系统主体对信息资源的控制

管理与技术并重

管理是信息系统安全的灵魂。信息系统安全的管理体系由法律管理、制度管理和培训管理三个部分组成。

管理与技术是并重关系，而不是三分技术、七分管理

数字签名的特性

不可伪造
抗抵赖
保证消息完整（使用哈希函数）

基于RSA数字签名流程

抗抵赖面临的威胁

密钥泄露
泄露证据
伪造证据

鉴别技术

第一部分

S：质询-应答机制属于第几级

S：在给出的鉴别方案中，哪些方案较为安全

C：对身份鉴别的要求（*）+四个扩展要求

第二部分

鉴别需求和目的

需求：证明某一个成员声称的主体就是他自己。

目的：使别的成员（验证者）获得对声称者所声称的事实的信任。

对身份鉴别系统的要求

验证者正确识别合法申请者的概率极大化
不具有可传递性
攻击者伪装成申请者欺骗验证者成功的概率要小到可以忽略的程度
计算有效性
通信有效性
秘密参数能安全存储

四个拓展要求：

交互识别
第三方的实时参与
第三方的可信赖性
可证明的安全性

鉴别技术分类

0级鉴别（无保护）
1级鉴别（抗泄露保护）
2级鉴别（抗泄露和对不同验证者重放的保护）
3级鉴别（抗泄露和对同一验证者重放的保护）
4级鉴别（抗泄露和对相同/不同验证者重放的保护）

对抗重放

非重复值的使用：

序列号

双方记住使用过的随机数，如果报文中有以前使用过的随机数，认为是重放攻击。缺点显而易见，需要很大的存储空间来存储使用过的随机数

时间戳

缺点就是需要同步时间

验证者发送随机值

客户端请求服务器

服务器先成一个随机数，发给客户端，每次随机数都有变化

客户端带上这个随机数，访问服务器

服务器验证如果随机数相同，不是重放攻击

对付线路窃听的措施

验证者持有q，声称者持有p'，而p‘进行一种单向运算时得到的q’与q相同，此时就将发送的信息,即图中的id，加上hash过的认证标识一起传到验证者；验证者取出id，加上自己所持有的q，与原始消息进行比较从而防止窃听。

其实这就是最简单的登录功能的验证方式，其脆弱性体现在可能造成撞库攻击。解决办法就是在声称者这一侧加盐

对付危及验证者的措施

在验证者这一侧加盐

对付窃听及危及验证者的措施

在两侧都加盐

质询—应答

可以理解为声称者向验证者要一个盐值，然后将得到的盐和自己的ID混合进行hash，再把值传给验证者，验证者就可以验证自己手里的信息是否与声称者一样

质询—响应的身份鉴别，其安全性取决于散列函数的安全性，但由于是单向鉴别，还存在着验证者的假冒和重放攻击。这可以通过双向鉴别或时间戳来解决。

访问控制

第一部分

S：DAC MAC定义关系

S：在MAC保护数据

S：RDAC的关键

C：什么是授权访问？什么是非授权访问？

C：RBAC

第二部分

访问控制的作用

防止未授权地访问。

很简单的一句话，这里面还涉及水平越权和垂直越权，具体可以先参考OWASP TOP10[3]，就不展开了

作用: 保护CIA

访问控制表ACL

也就是对每个客体（也就是资源），维护一张包含主体信息的链表，这个主体信息包含主体对这个客体的访问权限

所以得到一个客体所有的访问权限很容易。但是获得一个主体的所有访问权限很困难，因为这个表是分散的

能力表

也就是和ACL对立的，每个用户都有一个链表，每个节点就是一个客体资源，包含对它的访问权限

自主访问控制DAC

允许客体的所有者决定各个主体对这个客体的访问权限(可以参考Linux)

优点：灵活性高

缺点：信息在传递过程中其访问权限关系会被改变

解释一下信息在传递过程中其访问权限关系会被改变：

假如B对C有访问权限，而A对C没有访问权限但对B有访问权限，此时A就可以通过B来访问C。可以类比为SSRF

强制访问控制MAC

主体对客体的所有访问请求按照强制访问控制策略进行控制，客体的属主无权控制客体的访问权限，以防止对信息的非法和越权访问

也就是主体和客体被分配一个安全属性，如绝密、秘密·····

MAC中有两个定义：下读/上写、上读/下写，但是只给了定义不太好理解。

这里我就解释一下，参考知乎的一篇文章[4]：

这里的两个定义其实就是两个模型，即Bell-LaPadula模型和Biba模型。这两个模型一个是保护机密性但是不保护完整性，另一个保护完整性、不保护完整性。

下读/上写（保护机密性）：我们先站在高密级向下看。首先我的数据是高密级为了保证机密性肯定不能向低密级的用户泄露，所以不能下写。但是我可以读取低密级的信息，因为我的咖位足够高，我不会泄露秘密（下读）；然后站在低密级向上看。我的级别不够高，所以肯定不能得到上面的信息，就不能上读。但是我的秘密肯定不能向下写，但可以向上去写来保证我的秘密的机密性（上写）。

上读/下写(保护完整性)：完整性1，2，3，4级， 1级是最高完整性，也就是说我是最高指令，比如是董事会最高决议，它并不需要保密，谁都能看（上读），但任何人不得破坏我的完整性，不能修改我的决议，只有我1级的人才能修改。所以2级的人不可以写我1级的内容。但2级可以读我1级的内容，来生成2级的信息**(下写)**。此时，数据只能由高向低流，而禁止从低向高流。

RBAC模型[5]

RBAC的基本思想是根据用户所担任的角色来决定用户在系统中的访问权限。

注意的是许可=操作+客体，角色对应这许可，这是一个细粒度的划分

RBAC模型的特点：

便于授权管理，如系统管理员需要修改系统设置等内容时，必须有几个不同角色的用户到场方能操作，增强了安全
便于处理工作分级，如文件等资源分级管理
利用安全约束，容易实现各种安全策略，如最小特权、职责分离等
便于任务分担，不同角色完成不同的任务

防火墙

第一部分

S：在两个网段之间的保护措施，对于边界保护

S：防火墙的基本功能是

D：如何构建基于企业级保护的防火墙的部署方式，包括防火墙的功能。

第二部分

防火墙定义

一种高级访问控制设备，置于不同网络安全域之间，它通过相关的安全策略来控制（允许、拒绝、监视、记录）进出网络的访问行为。

包过滤防火墙

在网络层检查数据包

简单的拒绝接收模型

无法识别更高层协议

优点：只对IP地址、TCP/UDP协议和端口进行分析，规则简单，处理速度较快，易于配置、对用户透明

缺点：检查和过滤器只在网络层、安全性薄弱、静态策略可能成为漏洞

完全内容检测防火墙

完全内容检测技术防火墙综合状态检测与应用代理技术，并在此基础上进一步基于多层检测架构，把防病毒、内容过滤、应用识别等功能整合到防火墙里，其中还包括IPS功能，多单元融为一体，在网络界面对应用层扫描，把防病毒、内容过滤与防火墙结合起来，这体现了网络与信息安全的新思路，(因此也被称为“下一代防火墙技术”)。它在网络边界实施OSI第七层的内容扫描，实现了实时在网络边缘布署病毒防护、内容过滤等应用层服务措施。完全内容检测技术防火墙可以检查整个数据包内容，根据需要建立连接状态表，网络层保护强，应用层控制细等优点，但由于功能集成度高，对产品硬件的要求比较高。[6]

被屏蔽子网（DMZ）

使用两台防火墙分别作为外部防火墙和内部防火墙，在两台防火墙之间形成了一个非军事区网段。

外部流量允许进入DMZ网段
内部流量允许进入DMZ网络并通过DMZ网段流出至外部网络
外部网络的流量不允许进入直接进入内部网络

NAT

就是提供一个类似路由器里面NAT的功能来隐藏内部的网络结构

通过IP的转换表来更改IP包头中的目的IP地址

MAP(地址/端口映射)

公开服务器可以使用私有地址

隐藏内部网络的结构

外网通过访问某个公网IP的地址和端口，防火墙MAP到特定的IP和端口

企业防火墙的典型部署

这是最为普通的企业环境防火墙部署案例。利用防火墙将网络分为三个安全区域，企业内部网络，外部网络和服务器专网(DMZ区)。

衡量防火墙性能的五大指标

吞吐量：该指标直接影响网络的性能，吞吐量
时延：入口处输入帧最后1个比特到达至出口处输出帧的第1个比特输出所用的时间间隔
丢包率：在稳态负载下，应由网络设备传输，但由于资源缺乏而被丢弃的帧的百分比
背靠背：从空闲状态开始，以达到传输介质最小合法间隔极限的传输速率发送相当数量的固定长度的帧，当出现第一个帧丢失时，发送的帧数
并发连结数：并发连接数是指穿越防火墙的主机之间或主机与防火墙之间能同时建立的最大连接数

WAF

对Web特有入侵方式的加强防护，如DDOS防护、SQL注入、XML注入、XSS等。由于重点是防SQL注入，也有人称为SQL防火墙。

由于是应用层而非网络层的入侵，从技术角度都应该称为Web IPS，而不是Web防火墙。

入侵检测技术

第一部分

S：入侵检测的基本功能

S：对主机上的软件进行异常检测是NIDS？HIDS?

C：什么是入侵，什么是入侵检测，什么是入侵检测系统

C：IDS考察指标

D：入侵检测系统典型的部署方案

第二部分

什么是入侵，什么是入侵检测，什么是入侵检测系统

入侵：是指在非法或未经授权的情况下，试图存取或处理系统或网络中的信息，或破坏系统或网络正常运行，致使系统或网络的机密性、完整行和可用性受到破坏的故意行为。

入侵检测：是对入侵行为的发觉。它通过计算机网络或计算机系统的关键点采集信息并进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。

入侵检测系统：是指实现入侵检测功能的软件和硬件的集合

入侵检测系统的功能

自动检测入侵行为
监视网络流量(NIDS)和主机中的操作(HIDS)
分析入侵行为: 基于特征或者基于异常
按预定的规则做出响应

通用入侵检测模型（Denning模型）

Denning模型实际上是一个基于规则的模式匹配系统,未包含已知系统漏洞或攻击方法方面的知识

主机入侵检测系统

基于主机的入侵检测系统是以代理软件的形式安装在每台主机或服务器上，以监测主机上的各种活动(最近的深信服的那个新闻就可能就是因为公司部署了这个）

按照检测对象的不同，基于主机的入侵检测系统可以分为两类：

网络连接检测
主机文件检测

网络入侵检测系统

以混杂模式接入网络
感应器可部署在网络的关键位置
将日志/告警信息发送至位于企业防火墙内部的服务器

缺点：无法分析加密的数据、从网络流量可以推断发生了什么，但不能判断结果、对全交换网络需要配置交换机端口镜像、对于带宽的要求较高

入侵检测系统的典型部署及问题

以旁路的方式接入到网络中，且部署在需要的关键位置

IDS的两个指标

漏报率(false negative)：指攻击事件没有被IDS检测到

误报率：把正常时间识别为攻击并报警

误报率与检出率成正比关系

其他安全技术：GAP IPS NAC

第一部分

S：IDS和IPS的差异

S：四个图哪个是国家保密局强制要求部署网闸的环境

D：NAC的工作流程、主要功能

第二部分

什么是IPS

一言蔽之就是IDS+防火墙。具体说就是可以检测入侵行为的发送，并通过一定的响应方式终止入侵行为的发生和发展

IPS主要功能

识别对网络和主机的恶意攻击，并实时进行阻断
向管理控制台发送日志信息
集成病毒过滤、带宽管理和URL过滤等功能

IPS能够解决的安全问题

阻拦已知攻击
为已知漏洞提供虚拟补丁（补丁点前移）

虚拟补丁通过实施多层安全策略和规则来防止和拦截攻击者通过网络利用漏洞，从而在网络层面，而不是主机层面，提供针对该漏洞的安全覆盖。[7]

速率或流量控制
行为管理

什么是网闸

网闸是在两个不同安全域之间，通过协议转换的手段，以信息摆渡的方式实现数据交换，且只有被系统明确要求传输的信息才可以通过。其信息流一般为通用应用服务。

通过网闸时，会切断两端的协议连接，将数据包分解为静态数据，然后对数据进行审查等操作，然后通过私有协议再流入内部单元

国家保密局限定的安全隔离网闸使用环境

什么是网络准入控制NAC

NAC网络安全解决方案从用户角度考虑内部网络安全，通过对接入用户进行安全控制，提供“端到端”的安全保证。借助于NAC方案，实现“只有合法的用户、安全的终端才可以接入网络”，隔离非法、不安全的用户和终端，或者仅允许他们访问受限的资源。以此来提升整个网络的安全防护能力。

NAC主要功能

认证与授权

扫描与评估

隔离与实施

更新与修复

网络准入控制基本流程

用户终端接入网络，认证前都具有认证前域网络权限，包括访问准入控制服务器、DHCP、DNS等。
对用户终端进行身份认证，认证通过后，准入服务器下发网络权限到网络准入设备，允许该用户访问认证后域网络。
对于一些合法但是不安全的用户，身份认证后，准入服务器下发隔离域网络权限到网络准入设备，仅允许该用户访问隔离域网络，用户安全修复后，重新下发认证后域网络权限
在隔离域时，用户可以根据需要进行终端代理软件安装，补丁安装，杀毒软件安装、升级等操作
非法用户及未认证用户仅允许访问认证前域或隔离域网络资源

VPN IPSec SSL

第一部分

S：VPN在什么场合下的VPN比较多

S：IPSEC使用的协议

C：安全隔离（外端机、内端机，中间的隔离系统采用私有协议（规定必须是单向的））

D：VPN的建立方式，在哪些设备上需要同步支持

第二部分

IPSec协议

IPSec协议实际上是一个协议包而不是一个单个的协议，主要是下面三个协议

认证头(Authentication Header, AH) :用于数据完整性认证和数据源认证。
封装安全负荷( Encapsulating Security Payload, ESP) :提供数据保密性和数据完整性认证，ESP 也包括了防止重放攻击的顺序号。
Internet密钥交换协议( Internet Key Exchange, IKE) :用于生成和分发在ESP和AH中使用的密钥，IKE也对远程系统进行初始认证。

AH协议

提供了数据完整性和数据源认证，即用来保证传输的IP报文的来源可信和数据不被篡改，但它并不提供加密功能。

ESP协议

IPSec封装安全负荷提供了数据加密功能。ESP利用对称密钥对IP数据(例如TCP包)进行加密

由于ESP除具备AH的全部功能外还用于确保数据包的机密性，因此每个ESP的SA都必须同时定义两套算法：负责保护机密性的加密算法和负责进行身份验证的鉴别算法

IPSec封装模式

传输模式

传输模式下，与AH协议相比，ESP协议的完整性验证范围不包括IP头，无法保证IP头的安全

隧道模式

隧道模式下，与AH协议相比，ESP协议的完整性验证范围不包括新IP头，无法保证新IP头的安全

VPN通道的建立方式

Host 对 Host
- 该模式要求两边主机都支持IPSec
- VPN网关可支持也可不支持IPSec
Host 对 VPN 网关
- 非安全通道一侧的主机可以不支持IPsec但是其VPN网关必须支持
- 安全通道一侧的主机支持IPsec但是其VPN网关可以不支持
VPN 对 VPN 网关
- 该模式不要求主机支持IPSec
- 两边的VPN网关必须支持IPSec
Remote User 对 VPN 网关
- 该模式不要求同关内主机支持IPSec