网络安全必学的基础知识

1.前言

网络安全：从信息保密到系统防护

网络安全是信息时代不可或缺的重要议题，它从最初关注信息保密的范畴，发展成为涵盖系统防护的综合性领域。信息安全作为网络安全的前身，强调对知识、数据和能力的保护，以防止未授权的使用、篡改、泄露或拒绝使用。随着计算机技术的飞速发展，网络安全则扩展到了多台计算机间的自主互联环境下，包括了自主计算机的安全性、设备间互联的安全性（涵盖设备、通信链路、网络软件、协议）、以及网络应用和服务的安全性。

网络安全中的关键问题：

1. 1. IP 安全：涉及攻击方式多种多样，包括被动攻击的网络窃听、主动攻击的 IP 欺骗（报文伪造、篡改）、以及路由攻击（中间人攻击）。

1. 1. DNS 安全：攻击者可修改 DNS 映射表，误导用户的访问流量，从而进行各类恶意操作。

1. 1. DoS 攻击：除了单一攻击源发起的拒绝服务攻击外，分布式拒绝服务攻击（DDoS）逐渐流行，通过多个攻击源同时发起攻击，将目标系统压垮。

网络安全基本属性：

• • 机密性：保护信息不被未授权者获取和使用，主要依靠密码技术。

• • 完整性：确保信息不被篡改或伪造，使用校验和认证技术维护。

• • 可用性：保证网络和系统的正常运行，防止 DoS 攻击等影响。

网络安全的综合措施按照网络模型分层进行：

• • 数据链路层：建立点对点通信，保障数据链路的安全性。

• • 网络层：负责路由寻径，防范攻击。

• • 传输层：建立端到端的通信信道，确保数据传输安全。

• • 应用层：保障各种网络应用和服务的安全。

网络应用的发展也为安全带来了挑战，电子政务、电子商务、电子理财的快速增长需要更加完善的网络安全策略。

密码学在网络安全中起到关键作用，不仅用于保障机密性，还应用于身份认证。对称密码体制如 DES 和非对称密码体制如 RSA 都扮演着重要角色。RSA 保护 DES 密钥，使数据既能安全传输又能高效加解密。

综上所述，网络安全从最初关注信息保密逐渐演化为一个综合性的防护领域，其重要性愈加凸显。面对不断进化的威胁，网络安全需要持续创新和适应，以保障信息的安全和系统的稳定运行。

二、风险分析：保障资产与制定策略

风险分析在网络安全中具有关键作用，它有助于鉴别需要保护的资产及其面临的潜在威胁。以下是风险分析的主要步骤：

1. 1. 资产确定：首先要明确需要保护的资产，这包括物理资源（如工作站、服务器、设备等）、知识资源（如数据库、财务信息等）、时间和信誉资源等。

1. 1. 攻击源分析：分析潜在的攻击源，这可能是内部员工，也可能是外部的敌对者。了解可能的攻击者有助于制定更有针对性的安全策略。

1. 1. 风险评估：风险是指漏洞和威胁的结合，即攻击者利用漏洞实现攻击的可能性。在这一步，需要评估不同风险的可能性和影响程度，以便优先处理高风险问题。

1. 1. 安全策略制定：根据风险评估结果，制定一系列安全策略。这些策略可以涵盖多个方面，例如：
      • • 信息策略：包括识别敏感信息、分类、标记、存储、传输和销毁方法。
      • • 系统和网络安全策略：涉及用户身份识别、访问控制、审计、网络连接、数据加密等。
      • • 计算机用户策略：规定计算机所有权、信息所有权、使用许可等。
      • • Internet 使用策略：针对邮件的内外部区分与过滤，以及用户管理程序。
      • • 系统管理程序：包括软件更新、漏洞扫描、策略检查、登录检查、监控等。
      • • 事故响应程序：规划针对事故的响应流程，包括授权、文档记录和程序测试。
      • • 配置管理程序：管理系统初始状态和变更的控制程序。

风险分析与安全策略制定是网络安全的核心环节，它们有助于识别潜在风险、预防威胁，并制定合适的应对措施，从而确保系统和数据的安全性。随着威胁不断演化，风险分析和安全策略的持续更新和优化至关重要。

三、网络信息安全服务：保障机密、完整性、可用性和审计性

网络信息安全服务旨在保护网络中的机密性、完整性、可用性和审计性等关键属性。根据保护的对象，这些服务可以分为以下几个方面：

1. 1. 机密性：机密性是保护敏感信息不被未授权的个体访问的能力。为实现机密性，常采用密码学技术对文件和数据进行加密。加密可以使信息在传输和存储过程中变得不可读，除非具有正确的解密密钥。这样可以防止潜在攻击者获取敏感信息。

1. 1. 完整性：完整性确保信息在传输和存储过程中不被篡改或损坏。为确保完整性，常使用验证码或哈希技术，通过在数据上计算哈希值并与接收方的预期哈希值进行比较，来检测任何未经授权的更改。

1. 1. 可用性：可用性是确保网络和系统在需要时保持正常运行的能力。攻击者可能试图通过拒绝服务攻击（DoS）或分布式拒绝服务攻击（DDoS）等方式破坏系统的可用性。因此，保障系统免受此类攻击以确保可用性是至关重要的。此外，灾备计划可以确保在系统出现故障时能够迅速恢复。

1. 1. 可审计性：可审计性指的是能够跟踪和记录系统和用户活动，以便在需要时进行审计和调查。这有助于追踪潜在的安全事件，了解谁、何时、何地以及如何访问系统和数据。

在网络环境下，身份鉴别也是关键，确保只有合法用户能够访问受保护的资源。除了口令技术外，还可以使用物理形式的鉴别，如身份卡等。为了提高安全性，通常会实施多因子身份认证，确保在多个层面验证用户身份。

此外，数字签名在网络安全领域也扮演重要角色，用于保证信息的完整性和来源可信性。通过使用加密和签名技术，数字签名可以防止信息被篡改，并验证信息的发送者。

Kerberos是一种常用的认证服务，基于对称密码算法，通过可信的第三方密钥分发中心来实现身份认证，已被广泛应用于网络中，成为了工业界的标准之一。

四、安全体系结构：构建可信计算基础、实施安全机制

设计一个稳健的安全体系结构需要考虑多个关键问题，以确保系统的整体安全性和可信度。以下是一些关键问题：

1. 1. 主体与客体：安全体系中的“主体”是指实体，如用户或应用程序，而“客体”是指受到保护的资源或数据。确保主体只能访问其具有权限的客体是关键。

1. 1. 可信计算基础（TCB）：可信计算基础是安全体系的核心，包括执行关键的安全功能。确保TCB的完整性和安全性至关重要，以防止恶意行为和攻击。

1. 1. 安全边界：安全边界是指隔离系统内外的边界，确保系统内部的敏感数据和操作不受外部的干扰和攻击。

1. 1. 基准监控器与安全内核：这些组件负责监控系统的状态和行为，及时检测异常和攻击。安全内核是操作系统的核心部分，负责执行关键的安全功能。

1. 1. 安全域：将系统划分为不同的安全域，每个安全域具有独立的权限和访问控制，以最小化潜在的损害。

1. 1. 最小特权：确保主体只具有完成任务所需的最低权限，避免权限滥用和潜在攻击。

1. 1. 资源隔离与分层：将系统资源和功能分层，确保不同层次之间的隔离，防止攻击者通过一层的漏洞进入更深层次。

1. 1. 数据隐蔽与抽象：对敏感数据进行抽象和隐蔽，使攻击者无法轻易获得真实数据，从而保护数据的机密性。

在网络体系中，OSI模型为构建安全体系提供了框架。它提供了以下5类安全服务：

1. 1. 鉴别：确保通信双方的身份鉴别，以及数据的原始来源鉴别。

1. 1. 访问控制：管理谁可以访问特定资源，以及在何种条件下可以访问。

1. 1. 数据机密性：保护数据在传输和存储过程中的机密性，防止未经授权的访问。

1. 1. 数据完整性：确保数据在传输和存储过程中不受篡改，保证数据的完整性和准确性。

1. 1. 抗否认：防止通信双方否认自己的行为，确保发送方和接收方都无法否认已经发送或接收的数据。

OSI安全体系结构实施了多种安全机制来满足这些安全服务的需求：

1. 1. 特定的安全机制：如加密机制用于保护数据的机密性，数字签名机制用于验证数据的来源，访问控制机制限制访问权限等。

1. 1. 普遍性安全机制：包括可信功能度用于评估系统的可信程度，安全标记用于标识资源的安全属性，事件检测和安全审计用于监控和记录系统活动，安全恢复用于系统出现故障时的恢复等。

综合这些安全机制和服务，构建一个安全的体系结构可以有效地保护系统免受各种威胁和攻击。

五、扩展资料

1、上网前可以做哪些事情来确保上网安全?

首先，你需要安装个人防火墙，利用隐私控制特性，你可以选择哪些信息需要保密，而不会不慎把这些信息发送到不安全的网站。这样，还可以防止网站服务器在你不察觉的情况下跟踪你的电子邮件地址和其他个人信息。

其次，请及时安装系统和其它软件的补丁和更新。基本上越早更新，风险越小。防火墙的数据也要记得及时更新。

2、如何防止黑客攻击?

首先，使用个人防火墙防病毒程序以防黑客攻击和检查黑客程序(—个连接外部服务器并将你的信息传递出去的软件)。个人防火墙能够保护你的计算机和个人数据免受黑客入侵，防止应用程序自动连接到网站并向网站发送信息。

其次，在不需要文件和打印共享时，关闭这些功能。文件和打印共享有时是非常有用的功能，但是这个特性也会将你的计算机暴露给寻找安全漏洞的黑客。一旦进入你的计算机，黑客就能够窃取你的个人信息。

3、如何防止电脑中毒?

首先，不要打开来自陌生人的电子邮件附件或打开及时通讯软件传来的文件。这些文件可能包含一个特洛伊木马程序，该程序使得黑客能够访问你的文档，甚至控制你的外设，你还应当安装一个防病毒程序保护你免受病毒、特洛伊木马程序和蠕虫侵害。

4、浏览网页时时如何确保信息安全?

采用匿名方式浏览，你在登录网站时会产生一种叫cookie(即临时文件，可以保存你浏览网页的痕迹)的信息存储器，许多网站会利用cookie跟踪你在互联网上的活动。

你可以在使用浏览器的时候在参数选项中选择关闭计算机接收cookie的选项。(打开E浏览器，点击“工具”—“Internet选项”，在打开的选项中，选择“隐私”，保持“Cookies”该复选框为未选中状态，点击按钮”确定”)

5、网上购物时如何确保你的信息安全?

网上购物时，确定你采用的是安全的连接方式。你可以通过查看浏览器窗口角上的闭锁图标是否关闭来确定一个连接是否安全。在进行任何的交易或发送信息之前阅读网站的隐私保护政策。因为有些网站会将你的个人信息出售给第三方。在线时不要向任何人透露个人信息和密码。