第一章：网络空间安全概述

1.1绪论

网络空间安全不但包括人、机、物等实体在内的基础设施安全，还包含其中产生、处理、传输、存储的各种信息数据的安全。

1.2网络空间安全威胁

网络空间安全框架：

a) 设备层安全：物理、环境、设备安全

b) 系统层安全：网络、软件安全

c) 数据层安全：数据、身份、隐私安全

d) 应用层安全：内容、应用安全

1.3网络空间安全框架

概念：

a) 信息安全：信息网络的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠运行，信息服务不中断。强调信息（数据）本身的安全属性，没能考虑信息系统载体对网络空间安全的影响。

b) 网络安全：广义上来说，凡是涉及网络信息的保密性、完整性、可用性、真实性、可控性 、可审查性的相关技术和理论，都是网络安全的研究领域。网络安全是在网络各个层次和范围内采取防护措施，以便检测和发现各种网络安全威胁并采取相应响应措施，确保网络环境信息安全。

c) 网络空间安全：研究在信息处理等领域中信息安全保障问题的理论与技术，其核心仍然是信息安全问题。具体如下图：

安全模型：

a) 动态风险模型：PDR,P2DR

b) 动态安全模型：P2DR2(Policy,Protection,Detection,Response,Recovery)

第四章：网络安全技术

4.1防火墙概述

防火墙：

c) 概念：防火墙是一套的网络安全防御系统，依据事先制定好的安全规则，对相应的网络数据流进行监视和控制。硬件外形是多网络接口的机架服务器，在网络拓扑图中使用红墙的图标来表示。可分为网络防火墙和主机防火墙。

d) 定义：在可信任网络和不可信任网络之间设置的一套硬件的网络安全防御系统，实现网络间数据流的检查和控制。

e) 本质：安装并运行在一台或多台主机上的特殊软件。

作用：

a) 安全域划分与安全域策略部署。

b) 根据访问控制列表实现访问控制

c) 防止内部信息外泄

d) 审计功能

e) 部署网络地址转换

局限性：

a) 无法防范来自网络内部的恶意攻击

b) 无法防范不经过防火墙的攻击

c) 防火墙会带来传输延迟、通信瓶颈和单点失效等问题

d) 防火墙对服务器合法开放的端口的攻击无法阻止

e) 防火墙本身也会存在漏洞而遭受攻击

f) 防火墙不处理病毒和木马攻击的行为

g) 限制了存在安全缺陷的网络服务，影响了用户使用服务的便利性

4.2防火墙关键技术

a) 数据包过滤技术：检查每个数据包的基本信息，包括IP地址、数据包协议类型、端口号、进出的网络接口。

优点：对用户透明、通过路由器实现、处理速度快。

缺点：规则表的制定复杂、核查简单、以单个数据包为处理单位。

b) 应用层代理技术：每种应用程序都要不同的代理程序。

优点：不允许外部主机直接访问内部主机，将内部网完全隔离，比较安全；提供多种用户认证方案；可以分析数据包内部的应用命令；可以提供详细的审计记录。

缺点：对于每一种应用服务都必须为其设计一个代理软件模块来进行安全控制，而每种网络应用服务的安全问题各不相同，分析困难，因此实现也困难。对于新开发的应用，无法通过相应的应用代理；由于检查整个应用层报文内容，存在延迟问题。

c) 状态检测技术：采用基于链接的状态检测机制，将属于同一个链接的数据包作为一个整体的数据流来看待，建立状态连接表，且对连接表进行维护。通过规则表和状态表的共同配合，动态地决定数据包是否被允许进入防火墙内部网络。

优点：具备较快的处理速度和灵活性；具备理解应用程序状态的能力和高度安全性；减小了伪造数据包通过防火墙的可能性。

缺点：记录状态信息，会导致网络迟滞；跟踪各类协议，技术实现较为复杂。

d) 网络地址转换技术：三种转换方式，分别是多对一映射，一对一映射和多对多映射。

优点：对外隐藏内部网络主机地址；实现网络负载均衡；缓解了互联网IP地址不足问题。

e) 个人防火墙技术：

优点：增加了保护级别，不需要额外的硬件资源。通常是免费软件资源。

缺点：个人防火墙自身收到攻击后，可能会失效，而将主机暴露在网络上。

4.3入侵检测技术

概念：

a) 一种主动的安全防护技术，以旁路方式接入网络，通过实时监测计算机网络和系统，来发现违反安全策略访问的过程。

b) 网络安全技术中继防火墙之后的第二道防线。

c) 部署在计算机网络的枢纽节点上，在不影响网络性能的前提条件下，通过实时地收集和分析计算机网络或系统的审计信息，来检查是否出现违反安全策略的行为和攻击的痕迹，达到防止攻击和预防攻击的目的。

作用：

a) 能够快速检测到入侵行为。

b) 形成网络入侵的威慑力，防护入侵者的作用。

c) 收集入侵信息，增强入侵防护系统的防护能力。

主要功能：

a) 监控、分析用户和系统的活动

b) 发现入侵企图和异常现象

c) 审计系统的配置和漏洞

d) 评估关键系统和数据文件的完整性

e) 对异常活动的统计与分析

f) 识别攻击的活动模型

g) 实时报警和主动响应

分类：

a) 基于网络的入侵检测系统：以网络数据包为数据源，实时分析。

b) 基于主机的入侵检测系统：以主机系统的审计记录和日志信息为数据源。

c) 分布式入侵检测系统：综合运用以上两种系统。

检测方法分类：

a) 特征检测——检测已知攻击:也称误用检测，通过特定的特征匹配来检测入侵和攻击的存在。

若没有添加新规则无法发现新的，或以正常数据流为基础的攻击行为。

b) 异常检测——检测未知攻击:通过机器学习来建立正常用户的活动模型，若当前行为违反模型规律即作为攻击行为。但是易产生误报和漏报

4.4虚拟专用网

VPN技术出现的起因：

a) 为确保机构内部信息安全。

b) 机构的全球IP地址数量不足。

c) 机构内不同部门和主机的分布范围较广。

本地IP地址：

只在机构内部使用的IP地址，可以由本机构自行分配，而不需要向互联网的管理机构申请。

专用网：

采用本地IP地址的网络称专用互联网/本地互联网/专用网，其初衷为本机构的信息不能出现在互联网上。

虚拟专用网：

利用公用互联网作为本机构各专用网之间的通信载体，这样的专用网又称虚拟专用网。是企业专用网建设的最佳方案之一。

优点：

a) 节省企业专用网的建设和运行成本。

b) 网络的可靠性与安全性。

c) 加快了企业网的建设步伐，可以安全、快速、有效地将企业分布在各地的专用网联系起来。