标签:信息化 dea 接收 隐私 标识 重要性 地下室 电路 密度
==1.1. 工作和生活中的网络安全==
1.1.1 生活中常见的网络安全问题
1.账号密码被盗
2.信用卡被盗刷
3.除此之外还有网络诈骗和钓鱼网站等形形色色的网络空间安全事件
1.1.2 工作中常见的网络安全问题
1.网络设备面临的威胁
路由器是常用的网络设备,是企业内部网络与外界通信的出口。一旦黑客攻陷路由器,那么就掌握了控制内部网络访问外部网络的权力,将产生严重的后果。
2.操作系统面临的威胁
目前,我们常用操作系统是Windows和Linux,这两种系统也面临着网络空间安全威胁。一方面,操作系统本身有漏洞,黑客有可能利用这些漏洞入侵操作系统;另一方面,黑客有可能采取非法手段获取操作系统权限,非法操作系统或将其破坏。
3.应用程序面临的威胁
计算机上运行着大量的应用程序,应用程序的安全与企业和用户的正常工作息息相关。
==1.2 网络空间安全的基本认识==
我们常说的网络空间,是为了刻画人类生存的信息环境或信息空间而创造的词。
国内尚未有公认的、准确的定义,以下为==ISO/IEC 27032:2012、ITU(国际电联)以及荷兰安全与司法部的文件==中关于网络空间安全的定义。
定义1:ISO/IEC 27032:2012——《Information technology-Security techniques-Guidelines for cybersecurity》:“the Cyberspace”is defined as“the complex environment resulting from the interaction of people,software and services on the Internet by means of technology devices and networks connected to it,which does not exist in any physical form.” Cybersecurity is“preservation of confidentiality,integrity and availability of information in the Cyberspace.”
定义2:ITU(国际电联)——The collection of tools,policies,security concepts,security safeguards,guidelines,risk management approaches,actions,training,best practices,assurance and technologies that can be used to protect the cyber environment and organization and user‘s assets.Organization and user‘s assets include connected computing devices,personnel,infrastructure,applications,services,telecommunications systems,and the totality of transmitted and/or stored information in the cyber environment.Cybersecurity strives to ensure the attainment and maintenance of the security properties of the organization and user‘s assets against relevant security risks in the cyber environment.The general security objectives comprise the following:availability;integrity,which may include authenticity and nonrepudiation;and confidentiality.
定义3:荷兰安全与司法部——Cyber security is freedom from danger or damage due to the disruption,or misuse of ICT.The danger or damage resulting from disruption,breakdown or misuse may consist of limitations to the availability or reliability of ICT,breaches of the confidentiality of information stored on ICT media,or damage to the integrity of that information.
网络空间是现在与未来所有信息系统的集合,是人类生存的信息环境,人与网络环境之间的相互作用、相互影响愈发紧密。
网络空间安全的形势是严峻的。习主席在2014年就指出:“没有网络安全就没有国家安全,没有信息化就没有现代化”“网络安全和信息化是一体之两翼、驱动之双轮,必须统一谋划、统一部署、统一推进、统一实施。”网络空间安全的重要性已经上升到了国家安全的战略新高度。
==1.3 网络空间安全的技术架构==
==1.4 我国网络空间安全面临的机遇与挑战==
1.4.1 我国网络空间安全发展的重大机遇
1.4.2 我国网络空间安全面临的严峻挑战
==小结==
本章从现实生活和工作中所面临的网络空间安全问题入手,使读者意识到网络空间安全就在身边。
在网络空间安全体系中,物理安全就是要保证信息系统有一个安全的物理环境,对接触信息系统的人员有一套完整的技术控制措施,且充分考虑到自然事件对系统可能造成的威胁并加以规避。
简单地说,物理安全就是保护信息系统的软硬件设备、设施以及其它介质免遭地震、水灾、火灾、雷击等自然灾害、人为破坏或操作失误,以及各种计算机犯罪行为导致破坏的技术和方法。
物理安全一般分为环境安全、设备和介质安全:
1)环境安全:是对系统所在环境的安全保护,如区域防护和灾难保护。
2)设备安全和介质安全:主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护,以及硬件的安全,包括介质上数据的安全及介质本身的安全。
==1.物理位置选择==
机房和办公场地应安置在具有防震、防风和防雨能力的建筑内,且应避免设在建筑的高层或地下室,以及用水设备的下层或隔壁。
==2.物理访问控制==
物理访问控制是指在未授权人员和被保护的信息来源之间设置物理保护的控制。
建议:
1)机房出入口应安排专人值守并配置电子门禁系统,控制、鉴别和记录进入的人员。
2)需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围。
3)应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过渡区域;重要区域应配置第二道电子门禁系统,控制、鉴别和记录进入的人员。
4)若机房进出通过双向电子门禁系统进行控制,可通过门禁电子记录或填写出入记录单的形式记录进出人员和时间,有能力的单位应当增设保安人员在门外值守;机房内部和外部应在临近入口区域安装摄像头来监控全部区域;外来人员进入机房应当由专人全程陪同;对于系统较多、机房面积较大的单位,应将机房按系统和设备的重要程度划分为不同的区域进行物理隔离,采用双向电子门禁系统控制,联通各区域的通道空间便形成机房的过度缓冲区。
==3.防盗窃和放破坏==
为防止硬件失窃或损毁,还要进行防盗窃和放破坏方面的设置与要求,内容如下:
此外,应对所有人一视同仁,包括物理安全负责人、机房维护人员、资产管理员等。针对设备、介质、通信线缆、机房设施、介质的使用操作,都应有记录清单及使用记录,通信线路布线文档、运行和报警记录、监控记录、防盗报警系统的安全资质材料、安装测试/验收报告等,进行备案存档。
==4. 防雷击==
雷击是容易导致物理设备、信息丢失的一种自然破坏力,要对抗此类自然力的破坏,应使用一些防毁措施保护计算机信息系统设备和部件,主要包括:
1)接闪:让闪电能量按照人们设计的通道泄放到大地中去。
2)接地:让已经纳入防雷系统的闪电能量泄放到大地中。
3)分流:一切从室外来的导线与接地线之间并联一种适当的避雷器,将闪电电流分流入大地。
4)屏蔽:屏蔽就是用金属网、箔、壳、管等导体把需要保护的对象包围起来,阻隔闪电的脉冲电磁场从空间入侵的通道。
防雷击的要求如下:
1)机房建筑应设置避雷装置。
2)应设置防雷保安器,防止感应雷。
3)机房应设置交流电源地线。
==5.防火==
对于计算机系统而言,防火的重要性不言而喻,引起火灾的因素一般是电气原因(电线破损、电气短路)、人为因素(抽烟、放火、接线错误)或外部火灾蔓延。
对计算机机房而言,主要的防火措施有如下几种:
==6.防水和防潮==
在机房应做好防水和防潮措施,以免被水淹、受潮等影响系统安全。常见的措施包括:在水管安装时,不得穿过屋顶和活动地板下,应对穿过墙壁和楼板的水管增加必要的保护措施,如设置套管;应采取措施防止雨水通过屋顶和墙壁渗透;应采取措施防止室内水蒸气结露和地下积水的转移和渗透。
==7.防静电==
在进行静电防范时,需采用零线接地进行静电的泄露和耗散、静电中和、静电屏蔽与增湿等。防范静电的基本原则是“抑制或减少静电荷的产生,严格控制静电源”。
==8.温湿度控制==
温度和湿度也会影响计算机系统的运转,进而影响安全。因此,应设置恒温恒湿系统,使机房温、湿度的变化在设备运行所允许的范围之内。应做好防尘和有害气体控制;机房中应无爆炸、导电、导磁性及腐蚀性尘埃;机房中应无破坏绝缘的气体。
==9.电力供应==
电力供应对计算机系统的工作影响巨大。因此,机房供电应与其他市电供电分开;应设置稳压器和过电压防护设备;应提供短期的备用电力供应(如UPS设备);应建立备用供电系统(如备用发电机),以备常用供电系统停电时启用。
==10.电磁防护==
常见的电磁泄露形式包括:
我们可以采取以下措施来防止电磁干扰:
1)以接地方式防止外界电磁干扰和相关服务器产生耦合干扰;
2)电源线和通信线缆应隔离,避免相互干扰;
3)抑制电磁发射,采取各种措施减小电路电磁发射或者相关干扰,使相关电磁发射泄露即使被接受到也无法识别;
4)屏蔽隔离,在信号源周围利用各种屏蔽材料使敏感信息的信号电磁发射场衰减到足够小,使其不易被接收,甚至接收不到。
==1.PC网络物理安全隔离卡==
PC网络物理安全隔离卡可以把一台普通计算机分成两或三台虚拟计算机,可以连接内部网或外部网,实现安全环境和不安全环境的绝对隔绝,保护用户的机密数据和信息免受黑客的威胁和攻击。
PC网络物理安全隔离卡的工作原理是将用户的硬盘分隔成公共区(外网)和安全区(内网),它们分别拥有独立的操作系统,通过各自的专用接口与网络连接。
==2.网络安全物理隔离器==
网络安全物理隔离器用于实现单机双网(通常称为“内外”和“外网”)物理隔离及数据隔离。
==3.物理隔离网闸==
物理隔离网闸是使用带有多种控制功能的固态开关读写介质连接两个独立的主机系统的安全设备。
安全芯片其实可以描述成一个可信任平台模块(TPM),它是一个可独立进行密钥生成、加解密的装置,内部拥有独立的处理器和存储单元,可存储密钥和特征数据,为计算机提供加密和安全认证服务。
安全芯片配合专用软件可以实现以下功能:
1)存储、管理密码功能
2)加密
3)对加密硬盘进行分区
==6.1 数据安全概述==
导致数据泄露的主要原因包括:黑客通过网络攻击、木马、病毒窃取,设备丢失或被盗,使用管理不当等。
数据从创建、存储、访问、传输、使用到销毁的全生命周期管理过程中都会遇到威胁。
==6.2 数据安全的范畴==
6.2.1 数据安全的要素
数据安全是指保障数据的合法持有和使用者能够在任何需要该数据的时候获得保密的、没有被非法更改过的纯原始数据。我们常用Confidentiality(保密性)、Integrity(完整性)和Availability(可用性)作为数据安全的要素,简称CIA.
数据的保密性:具有一定保密程度的数据只能让有权读到或更改的人进行读取和更改。
数据的完整性:在存储或传输的过程中,原始的数据不能被随意更改。
数据的可获得性:对于该数据的合法拥有和使用者,在他们需要这些数据的任何时候,都应该确保他们能够及时得到所需要的数据。
6.2.2 数据安全的组成
可以从以下几个方面看数据安全的组成:
==6.3数据保密性==
6.3.1 数据加密
加密就是对明文(可读懂的信息)进行翻译,使用不同的算法对明文以代码形式(密码)实施加密。此过程的逆过程称为解密,即将该编码信息转化为明文的过程。
一般我们在保存或传输前,会将数据本身先进行加密。
加密的==基本作用==:
1)防止不速之客查看机密的数据文件。
2)防止机密数据被泄露或篡改。
3)防止特权用户(如系统管理员)查看私人数据文件。
4)使入侵者不能轻易地查找到某个系统的文件。
具体的加密方法包括对称加密、非对称加密、Hash(散列算法)等。
6.3.2 DLP
==DLP(Data Leakage(Loss) Prevention,数据泄露防护)就是通过内容识别达到对数据的防控。== 防护的范围主要包括网络防护和终端防护。网络防护主要以审计、控制为主,终端防护除审计与控制能力外,还应包含传统的主机控制能力、加密和权限控制能力。
DLP其实是一个综合体。最终实现的效果是智能发现、智能加密、智能管控、智能审计,这是一整套数据泄露防护方案,从另一个角度保证数据机密。
==6.4 数据存储技术==
6.4.1 数据的存储介质
存储介质是指存储数据的载体。常见的软盘、光盘、DVD、硬盘、闪存等都是存储介质。目前常用的存储介质是基于闪存(Nand flash)的介质,比如U盘。数据存储介质可以分以下几类:
==1.磁性媒体==
常见的磁性媒体包括磁带机、软盘、硬盘等。
(1)磁带机(Tape Drive)
磁带机通常由磁带驱动器和磁带构成,是一种经济、可靠、容量大、速度快的备份设备。
(2)硬盘
常见的硬盘包括固态硬盘、可换硬盘以及混合硬盘三种类型。
固态硬盘的特点主要有:
1)读写速度快:因为采用闪存作为存储介质,读取速度相对机械硬盘更快。而且因为固态硬盘不适用磁头,寻道时间几乎为0.
2)低功耗、无噪音、抗震动、低热量、体积小、工作温度范围大。因为内部不存在机械活动不见,因此不会发生机械故障,也不怕碰撞、冲击、震动。
2.5寸硬盘是专门为笔记本设计的,具有良好的抗震性能、尺寸较小、重量较轻,在目前移动硬盘中应用最多。
3.5寸台式机硬盘也是目前市场上广泛应用的硬盘产品。主要应用于台式机系统。
(3)光学媒体
与磁性媒体相比,光学媒体的可靠性极好。
光学媒体的优点是每MB成本很低,几乎是不可破坏的。其不足在于,很多时候一旦信息写入后,信息就不可改变了。
(4)半导体存储器
半导体存储器指的是一种以半导体电路作为存储媒体的存储器。按其制造工艺可分为双极晶体管存储器和MOS晶体管存储器。半导体存储器的优点是:存储速度快、存储密度高、与逻辑电路接口容易。主要用作高速缓冲存储器、主存储器(内存)、只读存储器、堆栈存储器等,有RAM和ROM两大类。++==ROM是只读存储器==++,像主板BIOS、硬件防火墙的引导代码等都保存在其中,一般不可写。++==RAM指随机存储器==++,往往指的是内存条。特点是断电即消失数据。
6.4.2 数据的存储方案
++==所谓存储方案,就是用单独的软硬件将硬盘/磁盘组管理起来,供主机使用==++。根据服务器类型,可分为封闭系统的存储(主要指大型机的存储)和开放系统的存储(主要指基于Windows、UNIX、Linux等操作系统的服务器)。
开放系统的存储又分为内置存储和外挂存储。目前的外挂存储解决方案主要分为三种:
1)直连式存储(Direct Attached Storage,DAS)
2)网络接入存储(Network Attached Storage,NAS)
3)存储区域网络(Storage Area Network,SAN)
++1.DAS++
DAS与普通的PC存储架构一样,外部存储设备直接挂接在服务器内部总线上,数据存储设备是整个服务器架构的一部分。
DAS存储架构主要==适用于以下环境==:
1)小型网络
2)地理位置分散的网络
3)特殊应用服务器
==DAS的弱点==:在服务器与存储的各种连接方式中,DAS是一种低效率的架构,不方便进行数据保护。由于直连存储无法共享,因此经常出现某台服务器的存储空间不足,但其他服务器却有大量存储空间闲置的情况。
++2.NAS++
NAS方式有效克服了DAS低效的弱点。++它采用独立于服务器、单独为网络数据存储而开发的一种文件服务器来连接存储设备,自形成一个网络++。这样,数据存储就不再是服务器的附属,而是作为独立网络节点存在于网络之中,可由所有的网络用户共享。
因为NAS存储系统与应用服务器之间交换的是文件,而SAN或DAS架构下,服务器与存储设备交换的是数据块,所++以NAS存储系统产品适合于文件存储,而不适合数据库应用++。
==NAS的优点==:
1)真正的即插即用
2)存储部署简单
3)存储设备位置非常灵活
4)管理容易且成本低
但NAS依然有其==不足之处==,包括存储性能较低及可靠性不高。
++3.SAN++
SAN(Storage Area Network,存储区域网络)存储方式实现了存储的网络化,顺应了计算机服务器体系结构网格化的趋势。++SAN的支撑技术是光纤通道(Fiber Channel,FC)技术++,它是ANSI为网络和通道I/O接口建立的一个标准集成。++FC技术支持HIPPI、IPI、SCSI、IP、ATM等多种高级协议,其优点是将网络和设备的通信协议与传输物理介质隔离开,这样多种协议可在同一个物理连接上同时传送++。
++SAN硬件基础设施是光纤通道++,用光纤通道构建的SAN由以下三个部分组成:
1)存储和备份设备
2)光纤通道网络连接部件
3)应用和管理软件
==SAN主要用于存储量大的工作环境==
==SAN的优点==:
1)网络部署容易。
2)高速存储性能。
3)良好的扩展能力。
==上述几种方案都用到了RAID技术==
RAID(Redundant Arrays of Independent Disks)是指由独立磁盘构成的具有冗余能力的阵列。++磁盘阵列是由很多价格便宜的磁盘组合而成的一个容量巨大的磁盘组,利用个别磁盘提供数据所产生的加成效果提升整个磁盘系统效能++。
磁盘阵列有三种样式:
1)外接式磁盘阵列柜:常用于大型服务器上,具可热交换(Hot Swap)的特性,这类产品的价格较高。
2)内接式磁盘阵列卡:价格便宜,但需要熟练的安装技术,适合技术人员使用。这种硬件阵列能够提供在线扩容、动态修改阵列级别、自动数据修复、驱动器漫游、超高速缓冲等功能。是使用阵列卡专用的处理单元来进行操作的。
3)利用软件仿真的方式:是指通过网络操作系统自身提供的磁盘管理功能将连接的普通接口卡上的多块硬盘配置成逻辑盘,组成阵列。
==6.5 数据存储安全==
6.5.1 数据存储安全的定义
数据存储安全是指数据库在系统运行之外的可读性。
6.5.2 数据存储安全的措施
==6.6 数据备份==
6.6.1 数据备份的概念
数据被纷纷是指为防止系统出现操作失误或系统故障导致数据丢失,而将全部或部分数据集合从应用主机的硬盘或阵列复制到其他存储介质的过程。
6.6.2 数据备份的方式
6.6.3 主要的备份技术
==6.7 数据恢复技术==
6.7.1 数据恢复的原理
硬盘保存文件时是按簇保存在硬盘中的,而保存在哪些簇中则记录在文件分配表里。硬盘文件删除时,并非把所有内容全部清零,而是在文件分配表里把保存该文件位置的簇标记为未使用,以后就可以将文件直接写入这些被标记为未使用的簇。在重新写入之前,上次删除文件的内容实际上依然在该簇中,所以,只要找到该簇,就可以恢复文件内容。
6.7.2 数据恢复的种类
++1.逻辑故障数据恢复++
逻辑故障是指与文件系统有关的故障。
++2.硬件故障数据恢复++
1)电路故障(PCB burned)
2)固件损坏(Firm corrupt)
3)磁头和电机故障(Head & motor failed)
4)盘片损伤(Platter scratch)
++3.磁盘阵列RAID数据恢复++
6.7.3 常见设备的数据恢复方法
++1.硬盘数据恢复++
++2.U盘数据恢复++
==小结==
本章介绍了数据安全的概念和三大安全要素,简称CIA。之后介绍了数据保密的相关知识及数据存储安全的定义、保证措施和核心内容,对数据存储的常见方式进行了讲解,详细阐述了数据备份技术、数据恢复技术和RAID技术,使读者较为完整的学习了数据存储和备份技术。
==1.大数据安全的概念==
大数据的定义:一种规模大到在获取、存储、管理、分析方面大大超过传统数据库软件工具能力范围的数据集合。
大数据的特点:
大数据的分类:
==2.大数据的使用价值和思维方式==
大数据的预测价值:激发数据未被挖掘时的潜在价值
大数据的社会价值:催生以数据资产为核心的多种商业模式
大数据的思维方式:打破常规
==3.大数据背景下的安全挑战==
即个人、机构等实体不愿意被外部世界知晓的信息
通过扰动原始数据来实现隐私保护,它要使扰动后的数据同时满足:
多用于分布式应用环境,采用两种模式存储数据:垂直划分的数据模式和水平划分的数据模式
指为了实现隐私保护,有选择地发布部分原始数据、不发布数据或者发布精度较低的数据。
数据生成阶段:需处理数据的所有者信息
数据传输阶段:在云计算环境中,包括在企业内部服务器之间的传输和不同企业服务器之间的传输
第一种需求中,区块链的验证和维护工作不需要外部节点参与,完全由企业内部可信任的服务器承担相应工作。
第二种需求的核心是保证交易和用户身份不被关联。
第三种需求既要求非信任节点完成交易验证工作,又要确保非信任节点不能获得交易细节。
2019-2020-1学期 20192411 《网络空间安全导论》第八周学习总结
标签:信息化 dea 接收 隐私 标识 重要性 地下室 电路 密度
原文地址:https://www.cnblogs.com/hzr2411/p/11939308.html
