第七章網(wǎng)絡(luò)安全體系與技術(shù)網(wǎng)絡(luò)安全基礎(chǔ)與實踐FundamentalsandPracticesofNetworkSecurityNetworkSecurity目錄網(wǎng)絡(luò)安全概念安全威脅網(wǎng)絡(luò)安全體系第一節(jié)第二節(jié)第三節(jié)網(wǎng)絡(luò)攻擊技術(shù)第四節(jié)網(wǎng)絡(luò)防御技術(shù)第五節(jié)密碼技術(shù)應(yīng)用第六節(jié)網(wǎng)絡(luò)安全協(xié)議第七節(jié)一、網(wǎng)絡(luò)安全概念2．未來新一代計算機芯片技術(shù)什么是網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全是一項涵蓋廣泛領(lǐng)域的綜合性概念，其主要目標是保護計算機系統(tǒng)、網(wǎng)絡(luò)和數(shù)據(jù)資源免受未經(jīng)授權(quán)的訪問、損害或竊取。信息安全主要分為6個階段：初始階段：物理安全和保密性計算機網(wǎng)絡(luò)和互聯(lián)網(wǎng)時代移動和云計算時代一、網(wǎng)絡(luò)安全概念2．未來新一代計算機芯片技術(shù)什么是網(wǎng)絡(luò)安全信息安全主要分為6個階段：大數(shù)據(jù)和人工智能物聯(lián)網(wǎng)（IoT）時代未來展望：量子計算和新興技術(shù)信息安全的發(fā)展是不斷演進的過程，與技術(shù)、威脅和社會需求緊密相連。需不斷升級安全策略和技術(shù)，以保護其數(shù)據(jù)和資源免受不斷變化的威脅。一、網(wǎng)絡(luò)安全概念2．未來新一代計算機芯片技術(shù)網(wǎng)絡(luò)安全目標網(wǎng)絡(luò)安全的主要目標是確保計算機系統(tǒng)、網(wǎng)絡(luò)和數(shù)據(jù)的機密性、完整性、可用性和合法性。機密性是網(wǎng)絡(luò)安全的核心之一。它確保只有授權(quán)的用戶和系統(tǒng)可以訪問敏感信息未來展望：量子計算和新興技術(shù)信息安全的發(fā)展是不斷演進的過程，與技術(shù)、威脅和社會需求緊密相連。需不斷升級安全策略和技術(shù)，以保護其數(shù)據(jù)和資源免受不斷變化的威脅。目錄安全威脅網(wǎng)絡(luò)安全概念網(wǎng)絡(luò)安全體系第二節(jié)第一節(jié)第三節(jié)網(wǎng)絡(luò)攻擊技術(shù)第四節(jié)網(wǎng)絡(luò)防御技術(shù)第五節(jié)密碼技術(shù)應(yīng)用第六節(jié)網(wǎng)絡(luò)安全協(xié)議第七節(jié)二、安全威脅2．未來新一代計算機芯片技術(shù)安全威脅的種類當(dāng)前網(wǎng)絡(luò)信息安全面臨多重威脅，可導(dǎo)致系統(tǒng)癱瘓、數(shù)據(jù)泄露、合法用戶權(quán)限濫用以及個人隱私侵犯。惡意代碼是一種計算機程序或腳本，被設(shè)計成在未經(jīng)授權(quán)或未經(jīng)明示同意的情況下，旨在在目標計算機系統(tǒng)內(nèi)執(zhí)行具有破壞性、竊取性或欺詐性的操作，而無需用戶明確的授權(quán)。遠程入侵是指黑客或攻擊者通過互聯(lián)網(wǎng)或其他網(wǎng)絡(luò)連接，未經(jīng)授權(quán)進入計算機系統(tǒng)、應(yīng)用程序或網(wǎng)絡(luò)的過程。二、安全威脅2．未來新一代計算機芯片技術(shù)安全威脅的種類拒絕服務(wù)攻擊（DenialofService，DoS）是一種網(wǎng)絡(luò)攻擊，旨在使目標計算機系統(tǒng)、網(wǎng)絡(luò)或服務(wù)無法正常運行或提供服務(wù)，以致使合法用戶無法訪問這些資源。攻擊者通過消耗目標系統(tǒng)的資源、過載網(wǎng)絡(luò)帶寬或利用系統(tǒng)漏洞來實現(xiàn)這一目標。身份假冒，也被稱為身份盜竊，是一種網(wǎng)絡(luò)安全威脅，攻擊者冒充他人或?qū)嶓w的身份，以獲取未經(jīng)授權(quán)的訪問權(quán)限或執(zhí)行欺騙性行為。二、安全威脅2．未來新一代計算機芯片技術(shù)安全威脅的種類信息竊取作為一種網(wǎng)絡(luò)信息安全威脅，攻擊者通過各種技術(shù)手段，未經(jīng)授權(quán)地獲取、復(fù)制或監(jiān)視受害者的敏感信息、數(shù)據(jù)或通信。這種敏感信息包括個人身份信息、金融數(shù)據(jù)、商業(yè)機密、登錄憑據(jù)和其他敏感資料。為應(yīng)對這些威脅，綜合的網(wǎng)絡(luò)安全措施如入侵檢測、防火墻、加密通信、多因素認證和安全培訓(xùn)至關(guān)重要。目錄網(wǎng)絡(luò)安全體系網(wǎng)絡(luò)安全概念安全威脅第三節(jié)第一節(jié)第二節(jié)網(wǎng)絡(luò)攻擊技術(shù)第四節(jié)網(wǎng)絡(luò)防御技術(shù)第五節(jié)密碼技術(shù)應(yīng)用第六節(jié)網(wǎng)絡(luò)安全協(xié)議第七節(jié)三、網(wǎng)絡(luò)安全體系2．未來新一代計算機芯片技術(shù)網(wǎng)絡(luò)安全體系結(jié)構(gòu)網(wǎng)絡(luò)安全體系結(jié)構(gòu)是一種多層次的安全框架，旨在保護計算機網(wǎng)絡(luò)、系統(tǒng)和數(shù)據(jù)資源免受各種威脅和攻擊，主要分為了物理層安全、系統(tǒng)層安全、網(wǎng)絡(luò)層安全、應(yīng)用層安全和管理層安全。管理層安全應(yīng)用層安全網(wǎng)絡(luò)層安全系統(tǒng)層安全物理層安全三、網(wǎng)絡(luò)安全體系2．未來新一代計算機芯片技術(shù)網(wǎng)絡(luò)安全體系結(jié)構(gòu)物理層安全著眼于確保物理設(shè)備和基礎(chǔ)設(shè)施的完整性、可用性和機密性，防止未經(jīng)授權(quán)的物理訪問、設(shè)備丟失或被盜以及環(huán)境因素的不利影響。系統(tǒng)層安全是網(wǎng)絡(luò)安全的重要組成部分，它關(guān)注的是保護計算機系統(tǒng)、操作系統(tǒng)和應(yīng)用程序免受各種潛在的威脅和攻擊，主要目標是確保系統(tǒng)的可用性、完整性、機密性和可靠性。網(wǎng)絡(luò)層安全涵蓋了網(wǎng)絡(luò)架構(gòu)、協(xié)議、路由和防火墻等關(guān)鍵方面，旨在保護網(wǎng)絡(luò)免受各種潛在的威脅和攻擊，確保數(shù)據(jù)在網(wǎng)絡(luò)中的安全傳輸。三、網(wǎng)絡(luò)安全體系2．未來新一代計算機芯片技術(shù)網(wǎng)絡(luò)安全體系結(jié)構(gòu)應(yīng)用層安全是確保應(yīng)用程序和服務(wù)的安全性和可靠性的關(guān)鍵組成部分，它涵蓋了各種應(yīng)用程序、協(xié)議和服務(wù)，旨在防止惡意攻擊、數(shù)據(jù)泄露和未經(jīng)授權(quán)的訪問。管理層安全是確保整個網(wǎng)絡(luò)安全策略和運營的關(guān)鍵組成部分。管理層安全涵蓋了策略、規(guī)程、風(fēng)險管理、合規(guī)性和安全文化等方面，旨在確保網(wǎng)絡(luò)安全的全面性和長期可持續(xù)性。目錄網(wǎng)絡(luò)攻擊技術(shù)網(wǎng)絡(luò)安全概念安全威脅第四節(jié)第一節(jié)第二節(jié)網(wǎng)絡(luò)安全體系第三節(jié)網(wǎng)絡(luò)防御技術(shù)第五節(jié)密碼技術(shù)應(yīng)用第六節(jié)網(wǎng)絡(luò)安全協(xié)議第七節(jié)四、網(wǎng)絡(luò)攻擊技術(shù)2．未來新一代計算機芯片技術(shù)網(wǎng)絡(luò)攻擊技術(shù)網(wǎng)絡(luò)攻擊(CyberAttacks，也稱賽博攻擊)是指針對計算機信息系統(tǒng)、基礎(chǔ)設(shè)施、計算機網(wǎng)絡(luò)或個人計算機設(shè)備的，任何類型的進攻動作。對于計算機和計算機網(wǎng)絡(luò)來說，破壞、揭露、修改、使軟件或服務(wù)失去功能、在沒有得到授權(quán)的情況下偷取或訪問任何一計算機的數(shù)據(jù)，都會被視為于計算機和計算機網(wǎng)絡(luò)中的攻擊。網(wǎng)絡(luò)攻擊技術(shù)包括主動攻擊和被動攻擊兩種類型四、網(wǎng)絡(luò)攻擊技術(shù)2．未來新一代計算機芯片技術(shù)網(wǎng)絡(luò)攻擊手段網(wǎng)絡(luò)攻擊手段是攻擊者發(fā)動各類網(wǎng)絡(luò)攻擊的必備知識和思想武器。常見的攻擊手段有：網(wǎng)絡(luò)監(jiān)聽篡改數(shù)據(jù)拒絕服務(wù)漏洞破解網(wǎng)絡(luò)欺騙弱口令攻擊木馬攻擊四、網(wǎng)絡(luò)攻擊技術(shù)2．未來新一代計算機芯片技術(shù)網(wǎng)絡(luò)攻擊流程網(wǎng)絡(luò)攻擊會對網(wǎng)絡(luò)安全目標長生危害行為，導(dǎo)致信息泄漏、信息完整性破壞、拒絕服務(wù)和非法訪問等一些列問題。基本特征是使用一定的攻擊工具對目標網(wǎng)絡(luò)系統(tǒng)進行攻擊訪問，呈現(xiàn)一定的攻擊效果來實現(xiàn)攻擊者的攻擊意圖。預(yù)攻擊探測發(fā)現(xiàn)漏洞獲取攻擊目標控制權(quán)系統(tǒng)安裝系統(tǒng)后門采取行動滲透網(wǎng)絡(luò)獲取數(shù)據(jù)消滅蹤跡目錄網(wǎng)絡(luò)防御技術(shù)網(wǎng)絡(luò)安全概念安全威脅第五節(jié)第一節(jié)第二節(jié)網(wǎng)絡(luò)安全體系第三節(jié)網(wǎng)絡(luò)攻擊技術(shù)第四節(jié)密碼技術(shù)應(yīng)用第六節(jié)網(wǎng)絡(luò)安全協(xié)議第七節(jié)五、網(wǎng)絡(luò)防御技術(shù)2．未來新一代計算機芯片技術(shù)網(wǎng)絡(luò)防御技術(shù)網(wǎng)絡(luò)防御技術(shù)旨在保護計算機網(wǎng)絡(luò)和系統(tǒng)免受惡意攻擊和未經(jīng)授權(quán)的訪問。它通?？梢苑譃閮蓚€主要方面：主動防御和被動防御。主動防御側(cè)重于主動干預(yù)和阻止威脅，被動防御則側(cè)重于監(jiān)視和響應(yīng)事件。成功的網(wǎng)絡(luò)防御策略通常結(jié)合了這兩種方法，以最大程度地減少網(wǎng)絡(luò)威脅的風(fēng)險，并確保網(wǎng)絡(luò)和系統(tǒng)的安全性和可用性。網(wǎng)絡(luò)防御技術(shù)包括主動防御和被動防御兩種類型五、網(wǎng)絡(luò)防御技術(shù)2．未來新一代計算機芯片技術(shù)網(wǎng)絡(luò)防御技術(shù)網(wǎng)絡(luò)防御技術(shù)中的被動防御是一種關(guān)鍵的安全策略，著重于監(jiān)視、檢測和響應(yīng)網(wǎng)絡(luò)威脅，以及在事件發(fā)生后進行分析和改進。在網(wǎng)絡(luò)防御技術(shù)中，主動防御是一種關(guān)鍵的安全策略，旨在主動識別、干預(yù)和阻止網(wǎng)絡(luò)威脅，以確保網(wǎng)絡(luò)和系統(tǒng)的安全性。這一方法強調(diào)采取主動措施來預(yù)防和應(yīng)對潛在的攻擊，而不僅僅是被動地監(jiān)視和響應(yīng)威脅。目錄密碼技術(shù)應(yīng)用網(wǎng)絡(luò)安全概念安全威脅第六節(jié)第一節(jié)第二節(jié)網(wǎng)絡(luò)安全體系第三節(jié)網(wǎng)絡(luò)攻擊技術(shù)第四節(jié)網(wǎng)絡(luò)防御技術(shù)第五節(jié)網(wǎng)絡(luò)安全協(xié)議第七節(jié)六、密碼技術(shù)應(yīng)用2．未來新一代計算機芯片技術(shù)密碼技術(shù)密碼技術(shù)是網(wǎng)絡(luò)安全的核心組成部分，它旨在保護數(shù)據(jù)的機密性、完整性和可用性，以抵御潛在的威脅和攻擊。密碼技術(shù)的作用是確保數(shù)據(jù)在傳輸和存儲過程中的安全性，以防止未經(jīng)授權(quán)的訪問、數(shù)據(jù)泄露和篡改。數(shù)據(jù)保護：密碼技術(shù)用于保護數(shù)據(jù)的機密性。如數(shù)據(jù)傳輸過程中，使用傳輸層安全性協(xié)議（TLS/SSL）加密數(shù)據(jù)，以防止竊聽者獲取敏感信息。身份驗證：密碼技術(shù)用于用戶身份驗證，確保只有授權(quán)用戶能夠訪問系統(tǒng)或數(shù)據(jù)。這包括密碼、生物特征識別、智能卡等多種身份驗證方法。六、密碼技術(shù)應(yīng)用2．未來新一代計算機芯片技術(shù)密碼技術(shù)數(shù)字簽名：數(shù)字簽名利用密碼技術(shù)確保數(shù)據(jù)的完整性和真實性。發(fā)送者使用私鑰對數(shù)據(jù)簽名，接收者使用公鑰驗證簽名，以確保數(shù)據(jù)未被篡改。虛擬專用網(wǎng)絡(luò)（VPN）：VPN使用密碼技術(shù)創(chuàng)建安全的通信通道，允許遠程用戶安全地連接到企業(yè)網(wǎng)絡(luò)，保護數(shù)據(jù)在傳輸過程中的隱私和安全。文件和磁盤加密：數(shù)據(jù)存儲在本地設(shè)備上時，可以使用文件和磁盤加密技術(shù)來保護數(shù)據(jù)。這確保即使設(shè)備丟失或被盜，數(shù)據(jù)也不會泄露。六、密碼技術(shù)應(yīng)用2．未來新一代計算機芯片技術(shù)密碼學(xué)與密碼體制密碼學(xué)是一門研究密碼與密碼活動本質(zhì)和規(guī)律，以及指導(dǎo)密碼實踐的學(xué)科，主要探索密碼編碼和密碼分析的一般規(guī)律，它是一門結(jié)合了數(shù)學(xué)、計算機科學(xué)與技術(shù)、信息與通信工程等多門學(xué)科的綜合性學(xué)科。它不僅具有信息通信加密和解密功能，還具有身份認證、消息認證、數(shù)字簽名等功能，是網(wǎng)絡(luò)空間安全的核心技術(shù)。六、密碼技術(shù)應(yīng)用2．未來新一代計算機芯片技術(shù)通信系統(tǒng)模型在一般的通信系統(tǒng)中，從信源發(fā)出的信號經(jīng)過編碼器的編碼調(diào)制處理之后，經(jīng)公開的信道傳至解碼器進行譯碼、解碼操作，最終傳至信宿。六、密碼技術(shù)應(yīng)用2．未來新一代計算機芯片技術(shù)保密通信系統(tǒng)模型保密通信系統(tǒng)是在一般通信系統(tǒng)中加入加密器與解密器，保證信息在傳輸過程中無法被其他人解讀，從而有效解決信息傳輸過程中存在的安全問題。六、密碼技術(shù)應(yīng)用2．未來新一代計算機芯片技術(shù)密碼技術(shù)應(yīng)用應(yīng)用密碼技術(shù)是保障網(wǎng)絡(luò)與信息安全最有效、最可靠、最經(jīng)濟的手段，可以實現(xiàn)信息的機密性、信息的真實性、數(shù)據(jù)的完整性和行為的不可否認性。信息的機密性是指保證信息不被泄露給非授權(quán)者等實體的性質(zhì)。采用密碼技術(shù)中的加密保護技術(shù)，可以方便地實現(xiàn)信息的機密性。信息的真實性是指保證信息來源可靠、沒有被偽造和篡改的性質(zhì)。密碼中的安全認證技術(shù)可以保證信息的真實性，包括數(shù)字簽名、消息認證碼、身份認證協(xié)議等。六、密碼技術(shù)應(yīng)用2．未來新一代計算機芯片技術(shù)密碼技術(shù)應(yīng)用數(shù)據(jù)的完整性是指數(shù)據(jù)沒有受到非授權(quán)者的篡改或破壞的性質(zhì)。密碼雜湊算法可以方便地實現(xiàn)數(shù)據(jù)的完整性。。行為的不可否認性也稱抗抵賴性，是指一個已經(jīng)發(fā)生的操作行為無法否認的性質(zhì)。基于公鑰密碼算法的數(shù)字簽名技術(shù),可以有效解決行為的不可否認性問題。用戶一旦簽署了數(shù)字簽名，就不能抵賴、不可否認。六、密碼技術(shù)應(yīng)用2．未來新一代計算機芯片技術(shù)對稱密碼體制對稱密碼體制又稱單鑰體制，是加密和解密使用相同密鑰的密碼算法。采用單鑰體制的系統(tǒng)的保密性主要取決于密鑰的保密性，與算法的保密性無關(guān)，即由密文和加解密算法不可能得到明文。六、密碼技術(shù)應(yīng)用2．未來新一代計算機芯片技術(shù)非對稱密碼體制非對稱密碼體制也稱公鑰密碼體制，在加密和解密過程中使用兩個不同的密鑰。其中，個密鑰可以公開，稱為公鑰;另一個密鑰必須保密，稱為私鑰，由公鑰求解私鑰的計算是不可行的。六、密碼技術(shù)應(yīng)用2．未來新一代計算機芯片技術(shù)加密算法加密前的原始信息稱為明文，加密后的信息稱為密文，加密過程就是明文至密文的轉(zhuǎn)換過程。為了保障信息的保密性，不能通過密文了解明文的內(nèi)容。明文至密文的轉(zhuǎn)換過程必須是可逆的，解密過程就是加密過程的逆過程，是密文至明文的轉(zhuǎn)換過程。六、密碼技術(shù)應(yīng)用2．未來新一代計算機芯片技術(shù)加密算法對稱加密算法用來對敏感數(shù)據(jù)等信息進行加密，常用的算法包括：DES：數(shù)據(jù)加密標準，速度較快，適用于加密大量數(shù)據(jù)的場合。3DES：是基于DES，用三個不同的密鑰進行三次加密,強度更高。AES：高級加密標準，是下一代的加密算法標準,速度快,安全級別高。常見的非對稱加密算法包括：：RSA：支持變長密鑰的公共密鑰算法，需加密的文件塊長度也可變。ECC：橢圓曲線密碼編碼學(xué)。目錄網(wǎng)絡(luò)安全協(xié)議網(wǎng)絡(luò)安全概念安全威脅第七節(jié)第一節(jié)第二節(jié)網(wǎng)絡(luò)安全體系第三節(jié)網(wǎng)絡(luò)攻擊技術(shù)第四節(jié)網(wǎng)絡(luò)防御技術(shù)第五節(jié)密碼技術(shù)應(yīng)用第六節(jié)七、網(wǎng)絡(luò)安全協(xié)議2．未來新一代計算機芯片技術(shù)網(wǎng)絡(luò)安全協(xié)議網(wǎng)絡(luò)安全協(xié)議指實現(xiàn)計算機網(wǎng)絡(luò)的安全信息傳輸所共同遵守的技術(shù)和操作規(guī)則,也就是網(wǎng)絡(luò)中使用的具有安全功能的通信協(xié)議,是構(gòu)建安全網(wǎng)絡(luò)的關(guān)鍵技術(shù)。由于存在一些安全隱患，所以需要安全協(xié)議。IP協(xié)議缺少IP地址的身份認證，IP數(shù)據(jù)報的源地址容易被假冒，易遭受IP地址欺騙攻擊。傳輸層的兩個協(xié)議TCP和UDP都存在安全隱患。應(yīng)用層有很多協(xié)議，也存在很多漏洞，例如Telnet的漏洞。七、網(wǎng)絡(luò)安全協(xié)議2．未來新一代計算機芯片技術(shù)（1）公鑰基礎(chǔ)設(shè)施(PKI)鑰基礎(chǔ)設(shè)施（PKI）提供了一種使用數(shù)字證書驗證遠程站點身份的方法。PKI使用證書頒發(fā)機構(gòu)（CA）來驗證您的信息，并使用數(shù)字簽名進行簽名，這樣您的信息和簽名都無法修改。簽名后，這些信息將成為數(shù)字證書。接收數(shù)字證書的設(shè)備可以使用公鑰加密來驗證簽名，從而驗證證書中的信息。公鑰基礎(chǔ)設(shè)施（PKI）的具體形式有多種，但是目的就是一個：構(gòu)建信任。所謂信任，就是讓通信的一方相信對方是他聲稱的那個人。七、網(wǎng)絡(luò)安全協(xié)議2．未來新一代計算機芯片技術(shù)（2）802.1X802.1X認證，又稱為EAPOE（ExtensibleAuthenticationProtocolOverEthernet）認證，主要目的是為了解決局域網(wǎng)用戶接入認證問題。802.1X認證時采用了RADIUS協(xié)議的一種認證方式，典型的C/S結(jié)構(gòu)，包括終端、RADIUS客戶端和RADIUS服務(wù)器。802.1X協(xié)議是通過控制接入端口，實現(xiàn)用戶級的接入控制。在802.1X協(xié)議中，物理接入端口被劃分為“受控端口”和“非受控端口”這兩個邏輯端口，用于實現(xiàn)業(yè)務(wù)與認證的分離。七、網(wǎng)絡(luò)安全協(xié)議2．未來新一代計算機芯片技術(shù)（2）802.1X802.1X認證具有以下優(yōu)點：

對接入設(shè)備的性能要求不高。802.1X協(xié)議為二層協(xié)議，不需要到達三層，可以有效降低建網(wǎng)成本。在未授權(quán)狀態(tài)下，不允許與客戶端交互業(yè)務(wù)報文，因此保證業(yè)務(wù)安全。七、網(wǎng)絡(luò)安全協(xié)議2．未來新一代計算機芯片技術(shù)（2）802.1X以客戶端發(fā)送EAPoL-Start報文觸發(fā)認證為例，EAP中繼方式的802.1X認證流程。七、網(wǎng)絡(luò)安全協(xié)議2．未來新一代計算機芯片技術(shù)（3）虛擬專用網(wǎng)VPN虛擬專用網(wǎng)（VirtualPrivateNetwork，VPN）是一種“基于公共數(shù)據(jù)網(wǎng)，給用戶一種直接連接到私人局域網(wǎng)感覺的服務(wù)”。使用VPN能夠極大地降低了用戶的費用，而且提供了比傳統(tǒng)方法更強的安全性和可靠性。VPN可分為三大類：企業(yè)各部門與遠程分支之間的IntranetVPN；企業(yè)網(wǎng)與遠程（移動）雇員之間的遠程訪問（RemoteAccess）VPN；企業(yè)與合作伙伴、客戶、供應(yīng)商之間的ExtranetV