理论学习
1. 安全模型
安全信息金三角CIA:机密性、完整性、可用性(可控性,不可否认性);
传统的安全评估和防范方法是通过对网络进行风险分析,制定相应的安全策略,然后采取一种或多种安全技术作为防护措施的,这种安全模型与流程在主要针对固定,静态的威胁和环境弱点,但忽略了网络安全的重要特性,对网络安全所面临的威胁和系统脆弱性没有做充分的估计,新的安全问题的出现需要新的安全技术和手段来解决,因此没有绝对,一成不变的安全,安全是一个相对的,动态的,不断完善的过程,需要适应变化的环境并能做出相应的调整以确保安全防护。基于这种考虑,信息安全领域进一步提出了一系列动态可适应网络安全模型。
动态可适应网络安全模型基于闭环控制理论,典型模型是PDR(Protection、Detection、Response)模型以及在其基础上提出的P2DR(Ploicy、protection、detection、Response)模型等
PDR安全模型本质基础:P>D+R,提出安全性可量化和可计算,如果信息系统的防御机制能够抵御入侵事件P,能够超过检测机制发现入侵的时间D和响应机制有效应对入侵时间R之和,那么这个信息系统就是安全的。
PDR安全模型与安全不等式:
P2DR安全模型:
主要的检测技术:入侵检测和漏洞评估。
响应措施主要包括:应急处理、备份处理、灾难恢复(灾备。。可用性保证?)
2. 网络安全防范技术与系统
2.1 防火墙
防火墙属于一种网络上的访问控制机制,通过在不同的网络安全域之间建立起安全控制点,对通过的网络传输数据进行检查,根据具体的安全需求和策略设置决定是否允许网络访问通过防火墙,达到保护特定网络安全域免受非法访问和破坏的安全目标。
防火墙技术(依据工作的网络协议栈层次)可以分为包过滤、电路级网关和应用层代理技术。
防火墙功能:控制在计算机网络中不同信任程度网络域之间传送的数据流。
-
(1)检查控制进出网络的网络流量;
-
(2)防止脆弱或不安全的协议和服务;
-
(3)防止内部网络信息的外泄;
-
(4)对网络存取和访问进行监控审计;
-
(5)防火墙可以强化网络安全策略并集成其他安全防御机制;
防火墙缺点:对流经它的网络数据进行检查和控制,故部署成不同网络安全域的唯一通道;不具备主动检测区分网络攻击数据与合法数据的能力;
-
(1)来自网络内部的安全威胁;
-
(2)通过非法外联的网络攻击;
-
(3)计算机病毒传播;
-
(4)由于技术瓶颈问题目前还无法有效防范的安全威胁:针对开放服务安全漏洞的渗透攻击;针对网络客户端程序的渗透攻击;基于隐蔽通道进行通信的特洛伊木马或僵尸网络。
2.2 防火墙技术
包过滤技术:在路由功能基础上进行扩展,通过对网络层和传输层包头信息的检查,根据用户定义的安全策略规则集,确定是否应该转发该数据包,将一些不符合安全策略的数据包阻挡在网络的边界处。
优缺点:
-
(1)实现简单;无需维护网络连接状态因而非常高效;
-
(2)检测内容少,只能对单个数据包进行检查,不能根据上下文环境进行综合的评判;
基于状态监测的包过滤技术(动态包过滤技术):维护所有通过防火墙的网络连接记录,并依此确定数据包是否属于一个新建的连接,或是已建连接的一部分,或是一个非法数据包。
更进:具有更强大的安全功能,规格设置更为简单,保留包过滤对用户透明的特性。可依据上下文环境进行相关的检查和过滤,但跟踪与维护对网络传输性能影响较大;
包过滤技术(应用层)
代理技术功能:代理技术是一种重要的计算机安全防护功能,允许客户端通过它与另一个网络服务进行非直接的连接。
-
(1)网络内部用户不直接与外部服务器通信,隐藏内部网络信息的功能;
-
(2)客户与服务器之间的所有通信技术必须通过代理进行中转,可理解应用层数据内容格式,因此可以对应用层数据进行严格的检查;
-
(3)采用存储转发机制,容易实现在线审计;
-
(4)提供用户级身份认证机制;
代理技术缺点:
-
(1)不同应用层服务,都需要相应的代理服务,对用户不透明,需自己配置;
-
(2)应用代理的解析和处理内容多,速度慢;
-
(3)单设代理服务器,代价高;
-
(4)通常无法支持非公开协议。
电路级代理技术(传输层)
NAT代理技术(网络层)--网络地址转换:方便与安全
2.3 Linux开源防火墙:netfilter/iptables
netfilter:内核
iptables:应用态
2.4 其他网络防御技术
- (1)VPN,虚拟专用网,主要采用隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术;
IPsec协议是互联层安全协议,是为保障IP通信而提供的一系列协议族,针对数据在通过公共网络时的数据完整性、安全性和合法性等问题设计了一整套隧道、加密、认证方案。
SSL是套接层协议,工作在传输层之上,保障在互联网上基于Web通信的安全而提供的协议
-
(2)内网安全管理;
-
(3)内容安全管理SCN;
-
(4)同意威胁管理UTM。
3. 网络检测技术与系统
入侵者分类:
围绕误用检测和异常检测分类,评估入侵检测技术和系统的两个重要参数是检测率和误报率。
入侵检测可分为基于主机的HIDS和基于网络的NIDS。HIDS一般用来监视主机信息,NIDS以其监听到的网络数据包作为分析数据源
-入侵检测系统的部署分类如下图
入侵防御系统IPS是在入侵检测系统基础上发展出来的。与入侵检测普遍采用旁路监听方式只对入侵行为进行检测与报警不同,入侵防御采用直接在网络边界位置内联连接的方式,并在检测到入侵行为后,直接对所关联的攻击网络连接进行阻断处理。
4. 网络安全事件响应技术
网络安全事件响应技术是P2DR模型中相应环节的关键技术手段。
网络安全事件响应技术关键技术:计算机取证、攻击溯源和归因、备份恢复与灾难恢复。