本次对第三章和第七章第三节进行了学习,下面是我的总结
网络安全是一个涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等的综合性领域。网络安全包括网络硬件资源和信息资源的安全性。网络硬件资源包括通信线路、通信设备(路由机、交换机等)、主机等。信息资源包括维持网络服务运行的系统软件和应用软件,以及在网络中存储和传输的用户信息数据等。
网络管理:监督、组织和控制网络通信服务,以及信息处理所必需的各种活动的总称。网络管理的目标:确保计算机网络的持续正常进行,使网络中的资源得到更加有效的利用,并在计算机网络运行出现异常时能及时响应和排除故障。网络管理可分为:①对网络设备的管理,即针对交换机、路由器等主干网络进行管理;②对接入的内部计算机、服务器等进行的管理;③对行为的管理,即针对用户使用网络的行为进行管理;④对网络设备硬件资产进行管理等。
网络拓扑:指网络的结构方式,表示连接在地理位置上分散的各个节点的几何逻辑方式。常见的网络拓扑结构有总线形、星形、环形和树形等,在实际应用中,通常采用它们中的全部或部分混合的方式,而非某种单一的拓扑结构。
总线形拓扑结构:将所有的网络工作站或网络设备连接在同一物理介质上,这时每个设备直接连接在通常所说的主干电缆上。总线形拓扑结构存在的安全缺陷:故障诊断困难;故障隔离困难;终端必须是智能的。
星形拓扑结构:由中央节点和通过点到点链路连接到中央节点的各站点组成。星形拓扑结构存在的安全缺陷:对电缆的需求大且安装困难;扩展困难;对中央节点的依赖性太大;容易出现“瓶颈”现象。
环形拓扑结构:由一些中继器和连接中继器的点到点链路组成一个闭合环。环形拓扑结构存在的安全缺陷:节点的故障将会引起全网的故障;故障诊断困难;不易重新配置网络;影响访问协议。
树形拓扑结构:从总线形拓扑演变而来的,其形状像一颗倒置的树。树形拓扑存在的安全缺陷:对根节点的依赖性太大。(节点可靠性与星型结构类似)
应用层:访问网络服务的接口。表示层:提供数据格式转换服务。会话层:建立端连接并提供访问验证和会话管理。传输层:提供应用进程之间的逻辑通信。网络层:为数据在节点之间传输创建逻辑链路,并分组转发数据。数据链路层:在通信的实体间建立逻辑链路通信。物理层:为数据端设备提供原始比特流传输的通路。
TCP/IP:Internet的基本协议,由OSI七层模型中的网络层IP协议和传输层TCP协议组成。该协议定义了电子设备如何连入因特网,以及数据如何在它们之间传输的标准。
IP协议是TCP/IP的核心,也是网络层中的重要协议。IP层的数据包并不可靠,因为它没有任何手段来确认数据包是按顺序发送的或者没有被破坏。IP数据包中含有发送它的主机的地址和接收它的主机的地址。
ARP协议:用于将计算机的网络地址转化为物理地址。如果能通过制作假的ARP应答包进行ARP欺骗或ARP攻击,这就能获取网络通信机密或扰乱网络通信了,ARP病毒即是如此诞生的。
TCP协议:使用三次握手机制来建立一条连接。攻击者可以在最后一次断开时不进行确认,导致被攻击主机保持“半断开”状态,消耗其资源,影响其正常服务。
UDP报文由于没有可靠性保证、顺序保证和流量控制字段等,因此可靠性较差。UDP协议的优点:具有数据传输过程中延迟小、数据传输效率高。传输层安全机制的主要优点:提供基于进程对进程的安全服务。
应用层代理服务器用于支持代理的应用层协议。代理服务对于应用层以下的数据透明。
IPSec:为IPv4和IPv6协议提供基于加密安全的协议,它使用AH和ESP协议来实现其安全,使用ISAKMP/Oakley及SKIP进行密钥交换、管理及安全协商。IPSec安全服务包括访问控制、数据源认证、无连接数据完整性、抗重播、数据机密性和有限的通信流量机密性。安全套接层协议:用来保护网络传输信息的,它工作在传输层之上、应用层之下,其底层是基于传输层可靠的流传输协议。
SSL协议分为记录层协议和高层协议。SSL的工作分为两个阶段:握手阶段和数据传输阶段。
S-HTTP:是EIT公司结合HTTP而设计的一种消息安全通信协议。
MIME消息可以包含文本、图像、声音、视频及其他应用程序的特定数据,采用单向散列算法和公钥机制的加密体系。
无线局域网:目前广泛采用的便利的数据传输系统,它利用电磁波作为传输介质,在一定范围内取代物理线缆所构成的网络。
WLAN中存在的安全威胁因素:窃听、截取或者修改传输数据、拒绝服务等。
WEP:美国电气和电子工程师协会制定的IEEE802.11标准的一部分。上述手段使用共享密钥串流加密技术进行加密,并使用循环校验以确保文件的正确性。WEP的弱点:安全数据雷同的可能性和改造的封包。
WPA采用IEEE802.1x和密钥完整性协议实现无线局域网的访问控制、密钥管理和数据加密。WPA的缺点:WPA所使用的RC4算法还是存在一定的安全隐患,有可能被破解。3)WPA2WPA2实现了EAP的支持,并有一个更安全的认证系统以及使用802.1x的能力。4)WAPIWPI的封装过程为:利用完整性校验密钥与数据分组序号,通过校验算法对完整性校验数据进行计算,得到完整性校验码;再利用加密密钥和数据分组序号,通过工作在OFB模式的加密算法对MSDU及MIC进行加密得到MSDU数据以及MIC密文;然后封装后组成帧发送。
常见的外部威胁:应用系统和软件安全漏洞;安全策略;后门和木马程序;病毒及恶意网站陷阱;黑客;安全意识淡薄;用户网络内部工作人员的不良行为引起的安全问题。
出台网络安全策略,完善顶层设计建设网络身份体系,创建可信网络空间提升核心技术自主研发能力,形成自主可控的网络安全产业生态体系加强网络攻防能力,构建攻防兼备的安全防御体系深化国际合作,逐步提升网络空间国际话语权
网络管理:指网络管理员通过网络管理程序对网络上的资源进行集中化管理的操作,包括配置管理、性能和记账管理、问题管理、操作管理和变化管理等。网络管理技术的分类:日常运维巡检、漏洞扫描、应用代码审核、系统安全加固、等级安全测评、安全监督检查、应急响应处置、安全配置管理。安全检查内容:信息安全管理情况、技术防护情况、应急工作情况、安全教育培训情况和安全问题整改情况。安全配置管理的内容:资产管理、资源管理、服务目录管理、服务请求、监控管理。
物联网改变我们的生活:具有互联功能的家电、家庭自动化组件和电子产品以及能源管理设备等,让我们能够享受智能家居,使生活更便捷、能源使用效率更高;车联网、智能交通系统、嵌入式道路和桥梁传感器等使我们的城市更“智慧”,从而极大减少拥堵和能源消耗。物联网的目标:帮助我们实现物理世界和网络世界的互连互通,使人类对物理世界具有“全面的感知能力、透彻的认知能力和智慧的处理能力”。物联网大致分为三类:数据感知部分、网络传输部分和智能处理部分。物联网体系的三个结构:感知层、网络层和应用层。物联网应该具备的三种能力:全面感知、可靠传递和智能处理。从体系架构角度可以将物联网支持的应用分为:具备物理环境认知能力的应用、在网络融合基础上的泛在化应用和基于应用目标的综合信息服务应用。
物联网面对的安全挑战:标准和指标、规章、共同的责任、成本与安全的权衡、陈旧设备的处置、可升级性、数据机密性、身份验证和访问控制。
工控系统包括:监控和数据采集系统、分布式控制系统、过程控制系统、可编程逻辑控制器等。工控系统的关键组件包括:控制器、组态编程组件、数据采集与监视控制组件、人机界面。工控系统所涉及的网络部分:企业资源网络、过程控制和监控网络和控制系统网络。在工控系统安全问题中,自身脆弱性的表现方面:系统漏洞难以及时处理给工控系统带来的安全隐患、工控系统通信协议在设计之初缺乏足够的安全性考虑、没有足够的安全政策及管理制度、工控系统直接暴露在互联网上、系统体系架构缺乏基本的安全保障。工控系统安全问题中面临的外部威胁主要表现为:通过拨号连接访问RTU、利用供应商内部资源实施攻击、利用部门控制的通信组件、利用企业VPN、获取数据库访问权限。工控系统基础方法包括:失泄密防护、主机安全管理、数据安全管理等。基于主控系统基线的防护方法主要包括:基线建立、运行监控、实施防御。