课程目标:
系统而全面的了解网络空间安全方面的基础知识、认识安全隐患、掌握相应的防范方法、提高大家的安全意识。
课程重点:
勾勒网络空间安全的框架。
课程内容安排:
安全法律法规
物理设备安全
网络攻防技术
恶意代码及防护
操作系统安全
无线网络安全
数据安全
信息隐藏
隐私保护
区块链
物联网安全
密码学基础
网络空间安全概念由来
欧洲信息安全局:网络空间安全和信息安全概念存在重叠,后者主要关注信息的安全,而网络空间安全则侧重于保护基础设施所构成的网络。
美国国家标准技术研究所:网络空间安全是“通过预防、检测和响应攻击,保护信息的过程”。
网络空间安全框架:
设备层安全:物理、环境、设备安全
系统层安全:网络、计算机、软件、操作系统、数据库安全
数据层安全:数据、身份、隐私安全
应用层安全:内容、支付、控制、物联网安全
网络空间安全事件:
设备层安全:
皮下植入RFID芯片–触碰手机即能盗取数据
以色列研究员用过时的GSM手机截获计算机辐射的电磁波盗取数据–并非不联网就安全
2012年伊朗布什尔核电站在信息系统物理隔绝的情况下仍然遭到了病毒攻击。
海湾战争硬件木马(恶意电路)的使用
叙利亚预警雷达的通用处理器后门被激活而使整个预计雷达系统失效。
系统层安全:
SQL注入(传统而有效)–机锋论坛用户信息泄露、广东人寿保单泄露、大麦网和网易邮箱用户信息泄露
恶意代码–特洛伊木马、计算机病毒(熊猫烧香、彩虹猫病毒、WannaCry勒索病毒、CIH病毒、Stuxnet蠕虫病毒)
数据层安全:
钓鱼WiFi
英国禁售儿童智能手表
基于蓝牙协议的BlueBorne攻击
应用层安全:
群发含钓鱼网站链接的虚假短信
利用充电桩打开USB调试模式窃取用户信息
信息安全:
强调信息(数据)本身的安全属性,没能考虑信息系统载体对网络空间安全的影响。
网络安全:
是在网络各个层次和范围内采取防护措施,以便检测和发现各种网络安全威胁并采取相应响应措施,确保网络环境信息安全。
网络空间安全:
研究在信息处理等领域中信息安全保障问题的理论与技术,其核心仍然是信息安全问题。
基础维度:设备安全、 网络安全、应用安全、大数据安全、舆情分析、隐私保护、密码学及应用、网络空间安全实战、网络空间安全治理等。
网络空间安全需求:
网络空间安全问题:
网络空间安全模型:
动态风险模型:PDR,P2DR
动态安全模型:P2DR2(Policy,Protection,Detection,Response,Recovery)
信息安全技术、法律法规和信息安全标准是保障信息安全的三大支柱。
信息安全涉及三种法律关系:
行政法律关系
民事法律关系
刑事法律关系
中国的网络信息安全立法包括:
国际公约
《国际电信联盟组织法》
《世界贸易组织总协定》
宪法
法律
人大常委会《关于维护互联网安全的决定》
《中华人民共和国刑法》
《中华人民共和国警察法》
行政法规
《互联网信息服务管理办法》
《中华人民共和国电信管理条例》
《商用密码管理条例》
《计算机信息系统国际联网安全保护管理办法》
《中华人民共和国信息网络国际联网管理暂行规定》
《中华人民共和国计算机信息系统安全保护条例》
司法解释
《最高人民法院关于审理扰乱电信市场管理秩序案件具体应用法律若干问题的解释》
关于著作权法“网络传播权”的司法解释
部门规章
公安部
信息产业部
国家保密局
国务院新闻办
国家出版署
教育部
国家药品质量监督管理局等国家部门所发布的有关信息安全方面的规章制度。
地方性法规
规定了相关部门,单位和个人的责任与义务
对于不同的违法行为加分类,并说明所需承担的法律责任
界定违法犯罪行为
给出了维护互联网安全的行动指南
制定单位与个人的行为规范
规定计算机信息系统的使用单位在计算机病毒防治工作中应旅行的责任
对从事计算机病毒防治产品生产的单位的要求
对计算机病毒的认定和疫情发布进行了规范
明确了计算机病毒相关违法的处罚
物理安全:又叫实体安全,是保护计算机设备、设施免遭地震、水灾、有害气体和其他环境事故破坏的措施和过程。
安全威胁
设备损毁
电磁泄露
电子干扰
环境安全
芯片安全
安全防护
防损毁措施:
严格按照规范操作
管理人员和操作人员定期维护、包养设备
计算机系统应制定或者设计病毒防范程序
要求特别保护的设备应与其它设备进行隔离
防电磁泄露信息:
电子隐蔽技术:主要用于干扰、调频等技术来掩饰计算机的工作状态和保护信息。
物理抑制技术:抑制一切有用信息的外泄
防电子干扰:
“蓝牙无线干扰”解决对策
“同频干扰”解决对策
环境安全防护:
防火
防潮及防雷
防震动和噪声
防自然灾害
安全设备
PC网络物理安全隔离卡
内外网绝对隔离
阻塞信息泄露通道
应用广泛
物理安全隔离网闸
物理安全隔离器
物理安全管理:
设备访问控制:所有硬件、软件、组织管理策略或程序,他们对访问进行授权或限制,监控和记录访问的企图、标识用户的访问企图,并且确定访问是否经过了授权。
物理访问控制:主要是指对进出办公室、实验室、服务器机房、数据中心等关键资产运营相关场所的人员进行严格的访问控制。
加固更多的围墙和门
采用专业摄像器材监控
设置警报装置和警报系统
设置专门的ID卡或其他辨明身份的证件
工控设备简介
工业自动化控制系统
特点:层次化、网络化
核心组件:网络设备、主机设备和控制设备等
典型控制设备包括:
分布式控制系统(DCS)
可编程控制器(PLC)
紧急停车系统(ESD)
总线控制系统(FCS)
智能电子设备(IED)
远程终端单元(RTU)
工控安全态势
我国工控安全起步晚,底子薄弱
工控安全问题
身份认证和安全鉴别能力不够,甚至有些设备完全没有该功能。
缺乏数据保密性和完整性保护。
缺乏足够的访问控制能力。
无安全审计功能。
安全漏洞严重且难以修补。
容易受到拒绝服务攻击,对系统实时性有严重影响。
普遍存在一些不必要的端口和服务,显著增加了受攻击面。
工控威胁来源
信息安全意识不足“重Safety轻Security”
工业控制技术的标准化与通用化
工业控制网与企业网甚至是互联网的连接
智能化技术
工业环境的独特性
工控安全防护
建立纵深防御安全体系,提高工控系统安全性
针对核心部件加强安全管理,进行严格的访问控制
加强网络脆弱性的防护、采用安全的相关应用软件、严格控制NCU服务
加强对工业控制系统的安全运维管理;
建立有效的安全应急体系
从设备采购、使用、维修、报废全生命周期关注其信息安全,定期开展风险评估
芯片制造过程
设计
版图生成
制造
封装
测试
芯片安全事件
以色列空袭叙利亚可以核设施
芯片面临的安全威胁
赝品IC:主要指外观上与正规IC相同,但不符合标准的IC。
逆向工程:主要指逆向IC制造过程,通过物理电路来获取IP设计或者存储器中的敏感信息。
硬件木马(hardware Trojan):通常指在原始电路中植入具有恶心功能的冗余电路,它可以篡改数据、修改或者破坏电路功能、修改电路参数、泄露信息和拒绝服务等。
硬件木马的分类及防护
可信计算的出现
可信计算的概念
1990年国际标准化组织与国际电子技术委员会:如果第二个实体完全按照第一个实体的预期行动时,则第一个实体认为是第二个实体是可信的。
1999年国际标准化组织与国际电子技术委员会:参与计算的组件、操作或过程在任意的条件下是可预测的,并能够抵御病毒和一定程度的物理干扰。
2002年TCG非盈利组织:如果实体的行为总是以预期的方式,达到预期的目标,则该实体的可信的。
IEEE Computer society Technical Committee on Dependable Computing:可信是指计算机系统所提供的服务是可以论证其是可信赖的。
武汉大学张焕国教授:可信计算是能够提供系统的可靠性、可用性、安全性的计算机系统。
可信计算的基本思想
在计算机系统中:首先构建一个信任根,再建立一条信任链,从信任根开始到硬件平台、到操作系统、再到应用,一级度量认证一级,一级信任一级,把这种信任扩展到整个计算机系统,从而确保整个计算机系统的可信。
可信计算的信任根
信任根(TRUST ROOT):是可信计算机系统可信的基点。
TCG认为一个可信计算平台必须包含三个信任根:
可信度量根(Root of Trust for Measurement, RTM)
可信存储跟(Root of Trust for Storge, RTS)
可信报告跟(Root of Trust for Report, RTR)
可信计算的信任链
信任链是信任度量模型的实施技术方案,通过信任链把信任关系从信任根扩展到整个计算机系统。
可信计算的关键技术
签注秘钥:签注秘钥是一个2048位的RSA公共和私有密钥对,该秘钥对在芯片出厂时随机生成并且不能改变。
安全输入输出:安全输入输出是指电脑用户和他们认为与之交互的软件间受保护的路径。
存储器屏蔽,存储器屏蔽拓展了一个存储保护技术,提供了完全独立的存储区域,即使操作系统自身也没有被屏蔽储存区域的完全访问权限。
密封存储,密封存储通过把私有信息和使用的软硬件平台配置信息捆绑在一起来保护私有信息。
远程认证,远程认证准许用户电脑上的改变被授权方感知。
可信计算的应用
计算机网络中的防火墙:
防火墙是一套的网络安全防御系统,依据事先制定好的安全规则,对相应的网络数据流进行监视和控制。硬件外形是多网络接口的机架服务器,在网络拓扑图中使用红墙的图标来表示。可分为网络防火墙和主机防火墙。
防火墙定义:
在可信任网络和不可信任网络之间设置的一套硬件的网络安全防御系统,实现网络间数据流的检查和控制。
防火墙本质:
安装并运行在一台或多台主机上的特殊软件。
防火墙的作用:
安全域划分与安全域策略部署。
根据访问控制列表实现访问控制
防止内部信息外泄
审计功能
部署网络地址转换
防火墙的局限性:
无法防范来自内部的恶意攻击。
无法防范不经过防火墙的攻击。
防火墙会带来传输延迟、通信瓶颈和单点失效等问题。
防火墙对服务器合法开放的端口的攻击无法阻止。
防火墙本身也会存在漏洞而遭受攻击。
防火墙不处理病毒和木马攻击的行为。
限制了存在安全缺陷的网络服务,影响了用户使用服务的便利性。
数据包过滤技术
检查每个数据包的基本信息,包括IP地址、数据包协议类型、端口号、进出的网络接口
优点:对用户透明、通过路由器实现、处理速度快
缺点:规则表的制定复杂、核查简单、 以单个数据包为处理单位
应用层代理技术
每种应用程序都要不同的代理程序
优点:
不允许外部主机直接访问内部主机,将内外网完全隔离,比较安全;
提供多种用户认证方案
可以分析数据包内部的应用命令
可以提供详细的审计记录
缺点:
每一种应用服务都要设计一个代理软件模块,而每一种网络应用服务安全问题各不相同,分析困难,因此实现也困难。对于新开发的应用,无法通过相应的应用代理。
由于检查整个应用层报文内容,存在延迟问题。
状态检测技术
采用基于链接的状态检测机制,将属于同一个链接的数据包作为一个整体的数据流来看待,建立状态连接表,且对连接表进行维护。通过规则表和状态表的共同配合,动态地决定数据包是否被允许进入防火墙内部网络。
优点:
具备较快的处理速度和灵活性
具备理解应用程序状态的能力和高度安全性
减小了伪造数据包通过防火墙的可能性。
缺点:
记录状态信息,会导致网络迟滞
跟踪各类协议,技术实现较为复杂。
网络地址转换技术
转换方式:
多对一映射:多个内部网络地址翻译到一个IP地址,来自内部不同的连接请求可以用不同的端口号来区分。普通家庭使用。
一对一映射:网关将内部网络上的每台计算机映射到NAT的合法地址集中唯一的一个IP地址。常用于Web服务器。
多对多映射:将大量的不可路由的内部IP地址转换为少数合法IP地址,即全球合法的IP地址,可用于隐藏内部IP地址。分为静态翻译和动态翻译。
优点:
对外隐藏内部网络主机地址
实现网络负载均衡
缓解了互联网IP地址不足问题
个人防火墙
安装在本地计算机上的系统安全软件,可以见识传入传出网卡的所用网络通信,使用状态检测技术,保护一台计算机。
优点:增加了保护级别,不需要额外的硬件资源。通常是免费软件资源。
缺点:个人防火墙自身受到攻击后,可能会失效,而将主机暴露在网络上。
防火墙技术的缺陷
只能防止外网用户的攻击,对内部网络的攻击与防范无能为力。
无法发现绕开防火墙的入侵和攻击行为。
不能主动检测与跟踪入侵行为
无法对网络病毒进行防范
入侵检测技术(Intrusion Detection System,IDS):
一种主动的安全防护技术,一旁路方式接入网络,通过实时监测计算机网络和系统,来发现违反安全策略访问的过程。
网络安全技术中继防火墙之后的第二道防线。
部署在计算机网络的枢纽节点上,在不影响网络性能的前提下,通过实时地收集和分析计算机网络或系统的审计信息,来检查是否出现违反安全策略的行为和攻击的痕迹,达到防止攻击和预防攻击的目的。
作用和优势:
能够快速检测到入侵行为。
形成网络入侵的威慑力,防护入侵者的作用。
收集入侵信息,增强入侵防护系统的防护能力
入侵检测系统::
通过对网络及其上的系统进行监视,可以识别恶意的使用行为,
文章浏览阅读3.2k次。本文研究全球与中国市场分布式光纤传感器的发展现状及未来发展趋势,分别从生产和消费的角度分析分布式光纤传感器的主要生产地区、主要消费地区以及主要的生产商。重点分析全球与中国市场的主要厂商产品特点、产品规格、不同规格产品的价格、产量、产值及全球和中国市场主要生产商的市场份额。主要生产商包括:FISO TechnologiesBrugg KabelSensor HighwayOmnisensAFL GlobalQinetiQ GroupLockheed MartinOSENSA Innovati_预计2026年中国分布式传感器市场规模有多大
文章浏览阅读1.1k次,点赞2次,收藏12次。常用组合逻辑电路结构——为IC设计的延时估计铺垫学习目的:估计模块间的delay,确保写的代码的timing 综合能给到多少HZ,以满足需求!_基4布斯算法代码
文章浏览阅读3.3k次,点赞3次,收藏5次。OpenAI Manager助手(基于SpringBoot和Vue)_chatgpt网页版
文章浏览阅读2.2k次。USACO自1992年举办,到目前为止已经举办了27届,目的是为了帮助美国信息学国家队选拔IOI的队员,目前逐渐发展为全球热门的线上赛事,成为美国大学申请条件下,含金量相当高的官方竞赛。USACO的比赛成绩可以助力计算机专业留学,越来越多的学生进入了康奈尔,麻省理工,普林斯顿,哈佛和耶鲁等大学,这些同学的共同点是他们都参加了美国计算机科学竞赛(USACO),并且取得过非常好的成绩。适合参赛人群USACO适合国内在读学生有意向申请美国大学的或者想锻炼自己编程能力的同学,高三学生也可以参加12月的第_usaco可以多次提交吗
文章浏览阅读394次。1.1 存储程序1.2 创建存储过程1.3 创建自定义函数1.3.1 示例1.4 自定义函数和存储过程的区别1.5 变量的使用1.6 定义条件和处理程序1.6.1 定义条件1.6.1.1 示例1.6.2 定义处理程序1.6.2.1 示例1.7 光标的使用1.7.1 声明光标1.7.2 打开光标1.7.3 使用光标1.7.4 关闭光标1.8 流程控制的使用1.8.1 IF语句1.8.2 CASE语句1.8.3 LOOP语句1.8.4 LEAVE语句1.8.5 ITERATE语句1.8.6 REPEAT语句。_mysql自定义函数和存储过程
文章浏览阅读188次。半导体二极管——集成电路最小组成单元。_本征半导体电流为0
文章浏览阅读2.8k次,点赞3次,收藏18次。游戏水面特效实现方式太多。咱们这边介绍的是一最简单的UV动画(无顶点位移),整个mesh由4个顶点构成。实现了水面效果(左图),不动代码稍微修改下参数和贴图可以实现岩浆效果(右图)。有要思路是1,uv按时间去做正弦波移动2,在1的基础上加个凹凸图混合uv3,在1、2的基础上加个水流方向4,加上对雾效的支持,如没必要请自行删除雾效代码(把包含fog的几行代码删除)S..._unity 岩浆shader
文章浏览阅读5k次。广义线性模型是线性模型的扩展,它通过连接函数建立响应变量的数学期望值与线性组合的预测变量之间的关系。广义线性模型拟合的形式为:其中g(μY)是条件均值的函数(称为连接函数)。另外,你可放松Y为正态分布的假设,改为Y 服从指数分布族中的一种分布即可。设定好连接函数和概率分布后,便可以通过最大似然估计的多次迭代推导出各参数值。在大部分情况下,线性模型就可以通过一系列连续型或类别型预测变量来预测正态分布的响应变量的工作。但是,有时候我们要进行非正态因变量的分析,例如:(1)类别型.._广义线性回归模型
文章浏览阅读69次。环境保护、 保护地球、 校园环保、垃圾分类、绿色家园、等网站的设计与制作。 总结了一些学生网页制作的经验:一般的网页需要融入以下知识点:div+css布局、浮动、定位、高级css、表格、表单及验证、js轮播图、音频 视频 Flash的应用、ul li、下拉导航栏、鼠标划过效果等知识点,网页的风格主题也很全面:如爱好、风景、校园、美食、动漫、游戏、咖啡、音乐、家乡、电影、名人、商城以及个人主页等主题,学生、新手可参考下方页面的布局和设计和HTML源码(有用点赞△) 一套A+的网_垃圾分类网页设计目标怎么写
文章浏览阅读614次,点赞7次,收藏11次。之前找到一个修改 exe 中 DLL地址 的方法, 不太好使,虽然能正确启动, 但无法改变 exe 的工作目录,这就影响了.Net 中很多获取 exe 执行目录来拼接的地址 ( 相对路径 ),比如 wwwroot 和 代码中相对目录还有一些复制到目录的普通文件 等等,它们的地址都会指向原来 exe 的目录, 而不是自定义的 “lib” 目录,根本原因就是没有修改 exe 的工作目录这次来搞一个启动程序,把 .net 的所有东西都放在一个文件夹,在文件夹同级的目录制作一个 exe._.net dll 全局目录
文章浏览阅读1.5k次。本文为转载,原博客地址:http://blog.csdn.net/hujingshuang/article/details/46910259简介 BRIEF是2010年的一篇名为《BRIEF:Binary Robust Independent Elementary Features》的文章中提出,BRIEF是对已检测到的特征点进行描述,它是一种二进制编码的描述子,摈弃了利用区域灰度..._breif description calculation 特征点
文章浏览阅读4.1k次,点赞21次,收藏79次。本文是《基于SpringBoot的房屋租赁管理系统》的配套原创说明文档,可以给应届毕业生提供格式撰写参考,也可以给开发类似系统的朋友们提供功能业务设计思路。_基于spring boot的房屋租赁系统论文