【软考网工-理论篇】第六章 网络安全
一、网络安全基础
1、网络攻击类型
- 窃听,如搭线窃听
- 假冒,如假冒帽子叔叔的电信诈骗
- 流量分析,推断出有用信息
- 重放攻击,重复发送报文以产生被授权效果。防御手段:加随机数、加时间戳
- 数据完整性破坏,如篡改期末成绩
- DDOS,分布式拒绝服务攻击,黑客控制海量终端发起请求,使正常终端得不到服务。如MAC-Flooding、
ARP-Flooding、
SYN-Flood(攻击的是计算资源,如CPU)、
UDP-Flooding(攻击的是网络带宽)
HTTP-Flooding(又叫CC攻击,攻击的是web的并发量)、
DDOS防御手段:服务器限制总用户连接数、防火墙限制单个用户连接数 - 恶意软件,如木马病毒、勒索病毒。
勒索软件防御方法:
①隔离感染设备,
②定期打补丁,
③封端口(135 | 139 | 445)
④定期备份重要数据,
⑤安装EDR(终端检测与响应)软件 - Web攻击,如跨站脚本(XSS)攻击、SQL注入攻击
- APT攻击,Advanced Persistence Threat,高级长期威胁,
被动攻击:不向网络注入流量
主动攻击:向网络中注入流量
2、安全防范技术
- 数据加密
- 数字签名
- 身份认证
- 防火墙,是位于两个网络之间的屏障,进行访问控制
- 入侵检测和阻断
- 访问控制
- 行为审计,常见设备:数据库审计系统、堡垒机、上网行为管理系统
3、等级保护
根据系统的重要程度和系统遭破坏后对客体的侵害程度,将网络安全等级分为5级,数字越大等级越高,如表1。
| 受侵害的客体 | 对客体的侵害程度 | ||
| 一般损害 | 严重损害 | 特别严重损害 | |
| 公民、法人和其它组织的合法权益 | 1级 | 2级 | 3级 |
| 社会秩序、公共利益 | 2级 | 3级 | 4级 |
| 国家安全 | 3级 | 4级 | 5级 |
不同级别的等级保护对象,应具备的基本安全保护能力如下:
- 第一级安全保护能力:能够恢复部分功能
- 第二级安全保护能力:能够在一段时间内恢复部分功能
- 第三级安全保护能力:能够较快恢复绝大部分功能
- 第四级安全保护能力:能够迅速恢复所有功能
4、等保2.0的建设要求
| 技术要求 | 管理要求 |
|---|---|
| 安全物理环境 安全通信网络 安全区域边界 安全计算环境 安全管理中心 | 安全管理制度 安全管理机构 安全管理人员 安全建设管理 安全运维管理 |
5、等级保护的5个规定动作
- 定级,2级及以上网络需组织专家评审,并上报主管部门核准
- 备案,2级及以上网络定级后,需在10个工作日内到县级及以上公安部门备案
- 安全建设整改,
- 等级测评,3级网络每年一次等级测评,4级网络每半年一次等级测评
- 监督检查,由公安机关主导
6、网络安全法律与政策
《网络安全法》核心要求:
- 确定网络安全责任人,
- 日志保存至少6个月,
- 3级每年测评,4级每半年测评,
- 网信办统筹网络安全工作(网络信息化办公室)
《网络安全等级保护2.0》于2019年12月1日正式实施
《中华人民共和国密码法》于2020年1月1日起实施
《中华人民共和国数据安全法》于2021年9月1日正式实施
二、信息加密技术
1、三种经典加密技术
- 替换加密(Substitutkm),如凯撒密码(Caesar,D替换a,E替换b)
- 换位加密(Transposition),按一定规律重新排序字母
- 一次性填充(One-TimePad),用等长随机位串作为秘钥,与明文按位异或得到密文。明文长度不够时发生填充。
2、 现代加密技术
依然用替换和换位,但采用更复杂的算法和简单的秘钥,且加入了随机冗余信息和时间戳。
替换和换位可以用简单的电路来实现
3、 密码种类
(1)对称密码
- 特点:加解密使用相同的秘钥
- 优点:加解密速度快、密文紧凑、使用长秘钥时难破解
- 缺点:秘钥分配问题、秘钥管理问题、无法认证源
| 算法 | 解释 | 特点 | |
| 分组加密 | DES | Data Encryption Standard,数据加密标准。 | 分组64位, 秘钥56位 |
| 3DES | 三重DES(TDES)。K1和K3相同 加密:加—解—加(K1-K2-K3) 解密:解—加—解(K3-K2-K1) | 因K1和K3相同,故秘钥56 * 2 = 112位 | |
| IDEA | International Data Encryption Algorithm,国际数据加密算法。 | 分组64位, 秘钥128位 | |
| AES | Advanced Encryption Standard,高级加密标准。应用的比较多。 | 分组128位, 秘钥128/192/256位三种可选 | |
| 流加密 | RC4/5 | Rivest Cipher,罗纳德·李维斯特 设计的密码。 | 逐位或逐字节操作数据 |
(2)非对称密码
- 特点:加解密使用的秘钥不同。
公钥加密,私钥解密,可实现保密通信。(公钥由接收方提供给发送方,接收方保留私钥)
私钥加密,公钥解密,可实现数字签名 - 优点:秘钥分发方便、秘钥保管量少、支持数字签名
- 缺点:加密速度慢(计算量大,不适合加密大数据)、数据膨胀率高
| 算法 | 解释 | 特点 | |
| 基于离散对数困难性 | DH | ||
| ECC | 椭圆曲线密码 | ||
| Elgamal | |||
| Rabin | |||
| 背包算法 | |||
| 基于大整数因子分解困难性 | RSA | 三个人的名字首字母缩写 | 512位或1024位秘钥 |
(3)Hash 哈希算法
对于给定的Hash函数h,有如下特性:
- h 的输入长度是任意的,(任意大如10T文件,任意小如1bit)
- h 的输出长度是固定的
- 给定输入M,计算h(M)是容易的,但计算不可逆(不可逆性)
- 对于不同输入M1和M2,使h(M1) = h(M2) 是计算上不可行的(无碰撞性)
- 输入M改变1比特,输出的改变巨大(雪崩效应)
| Hash算法 | 算法特点 |
|---|---|
| MD5算法 | 以512位数据块为单位处理,最终得到128位哈希值 |
| SHA算法 | 以512位数据块为单位处理,最终得到160位信息摘要 |
| SM3国产商密算法 | 以512位数据块为单位处理,最终得到256位摘要 |
文件完整性校验
账号密码存储(哈希+盐,防内鬼)
用户身份认证
(4)国产加密算法
- 《中华人民共和国密码法》将密码分为:
核心密码、(用于保护国家秘密)
普通密码、(用于保护国家秘密)
商用密码,(公民、法人、个人、公司可用)
| 算法名称 | 算法特征描述 |
|---|---|
| SM1 | 对称加密,分组加密和秘钥长度均128比特 |
| SM2 | 非对称加密,(椭圆曲线/离散对数,使用ECC),秘钥长度256位 |
| SM3 | 哈希/杂凑/摘要 算法,分组512位,输出杂凑长度为256位 |
| SM4 | 对称加密,分组加密和秘钥长度均128比特 |
| SM9 | 非对称加密, |
三、数字签名和认证
四、虚拟专用网(Virtual Private Network)
一种建立在公网上的,由某一组织或某一群用户专用的通信网络。
实现虚拟专用网的关键技术:
- 隧道技术(Tuneling)
- 加解密技术(Encryption&Decryption)
- 秘钥管理技术(Key Management)
- 身份认证技术(Authentication)
VPN的分类:
根据应用场景分类
Client-to-Site VPN,或称Remote VPN、Easy VPN。客户端与企业内网之间通过VPN隧道建立连接。此场景的VPN实现技术:SSL。
Site-toSite VPN,站点到站点,两个局域网之间通过VPN隧道建立连,一般用于总分机构之间、总分校之间。部署的设备通常为路由器或防火墙。接此场景的VPN实现技术:IPSec、GRE over IPSec。
根据实现层侧分类
| 传输层 | SSL VPN |
| 网络层 | GRE(无加密、组播) IPSec(加密、无组播) |
| 数据链路层 | PPTP、L2TP |
二层隧道协议有PPTP和L2TP,均基于PPP协议,但存在如下差异
| PPTP | L2TP |
|---|---|
| 只支持TCP/IP体系,必须封装在IP包中 | 封装TCP/IP体系的UDP包中,还可以直接封装在帧中继帧中或ATM信元中 |
| 只能在两端点间建立单一隧道 | 支持在两端点间建立多个隧道 |
| 系统开销6字节 | 系统开销4字节 |
| 不支持隧道验证 | 支持隧道验证 |
| 加密的 | 不加密的 |
PPP协议包含链路开工至协议LCP(对下)和网络控制协议NCP(对上)。
IPSec基础
IP Security 是IETF定义的一组协议,用于增强IP网络的安全性。工作在网络层,3层
IPSec协议集提供如下安全服务:
- 数据完整性(Data Integrity)
- 认证(Authentication)
- 保密性(Confidentiality)
- 应用透明安全性(Application-transparent Security)
IPSec功能分类(共3类) IPSec协议 全称 功能 所用算法 AH Authentication Header
认证头提供数据完整性和数据源认证 MD5、SHA ESP Encapsulating Security Payload
封装安全载荷提供数据加密功能 3DES、AES IKE Internet Key Exchange
Internet秘钥交换协议生成和分发ESP和AH中的秘钥 DH 
IPSec的两种封装模式 传输模式效率高,隧道模式更安全
加
GRE虚拟专网