网络空间安全导论 课件 第2章 网络空间安全概述

网络空间安全导论第二章

网络空间安全概述目录CONTENTS01网络空间安全的基本概念02网络空间安全环境及现状03网络空间安全体系结构04网络空间安全保障体系05网络空间安全系统的设计原则06本章小结01网络空间安全的基本概念PRAT01网络空间安全既是传统通信保密的延续和发展，又是网络互联时代出现的新概念。网络空间安全是一个包括网络空间安全行为主体、保护对象、防护手段、任务目的等内容的综合性概念。概念演变：从通信保密，扩展到信息系统安全，再到网络空间的全面保护。内涵深化：保护目标从机密性，增加到完整性、真实性、可控性、可用性和不可否认性。国情差异：各国对网络空间安全的定义因国情和信息化水平而异。中国内涵：是政府社会共同参与，运用综合手段应对威胁，以保护国家发展、社会稳定和公众权益的活动。网络空间安全的基本概念01网络空间安全的内涵：网络空间安全的重要性：网络空间安全的基本概念01对网络空间安全重要性的认识可分为三个递进层面：运行安全层面：这是最基础的层面，关注网络空间各组成部分受到的直接威胁，例如内容被篡改、系统被入侵、网络被中断、基础设施被破坏等具体安全事件。战略威慑层面：这是更高的认识层面，将网络攻击武器比作大规模杀伤性武器。其破坏力体现在能瘫痪一国关键系统（如金融），导致经济停滞和社会混乱，其破坏范围、深度和持久性甚至可能超过传统武器，是实现战略威慑的有效手段。国家主权层面：这是最高层面，将网络空间视为继领陆、领海、领空、太空之

后的“第五疆域”。因此，维护网络空间安全就是捍卫不容侵犯的“网络主权”，是国家主权在数字时代的新延伸。网络空间安全的作用和地位：网络空间安全的基本概念01信息化程度越高，网络空间安全的基础性、战略性地位就越突出。它已深度融入国家发展的各个层面，其重要性具体体现在四个关键领域：经济发展：金融、能源、交通等关键行业高度依赖信息系统，网络安全是防止经济命脉遭受破坏、避免国民经济运行陷入停滞或崩溃的重要保障。社会稳定：网络已成为意识形态交锋和犯罪活动的新场域，必须打击网络犯罪、抵御有害信息传播，以维护社会公共秩序和政权的稳定。国家安全：网络空间是国家主权新疆域，网络安全是应对境外网络攻击、政治渗透和文化入侵，确保政治、国防和文化安全的核心支柱。公众权益：随着社会生活深度融入网络，保障个人信息安全与合法权益已成为满足社会公众基本需求、维护社会公平正义的必然要求。02网络空间安全环境及现状PRAT02网络空间安全威胁是指某些元素（比如人、物、事件、方法等）对信息系统的安全使用可能构成的危害。网络空间安全环境及现状02网络空间安全环境及现状02威胁类型4大类攻击类型安全属性信息泄露暴露被动攻击机密性篡改欺骗主动攻击真实性、完整性重放欺骗主动攻击真实性、可控性假冒欺骗主动攻击真实性、可控性否认欺骗主动攻击非否认性非授权使用占用主动攻击真实性、可控性网络与系统攻击打扰主动攻击可用性恶意代码暴露、欺骗、打扰、占用主动攻击可用性、机密性、可控性、网络空间安全环境及现状02系统后门：开发者有意设置的隐蔽入口，若被黑客利用，会导致严重的信息泄露。安全漏洞：软硬件中的固有缺陷，可被攻击者利用来未授权访问系统，例如曾引发广泛关注的英特尔CPU“熔断”与“幽灵”漏洞。协议缺陷：以TCP/IP协议为代表的网络协议因其开放性设计，存在先天安全缺陷，常引发DDoS攻击、数据篡改与拦截等风险。人为因素：内部失误：用户因安全意识不足或操作不当（如弱口令、共享账户）引入风险。外部攻击：黑客主动扫描并利用漏洞植入木马，以夺取系统控制权。网络空间不安全的原因：网络空间安全环境及现状02一、核心安全三要素（CIA）这是网络空间安全最基本、最经典的目标，旨在确保信息本身的安全：机密性：信息只能被授权用户访问，防止未授权者（如黑客）获取并理解信息内容。完整性：信息在传输和存储过程中不被未授权用户篡改或破坏，确保其真实、准确。可用性：授权用户可以随时、顺利地访问信息和使用服务。保障网络空间安全的目标：网络空间安全环境及现状02网络空间安全技术正朝着多元化、深度化和实用化的方向演进，主要呈现出以下六大发展趋势：后量子密码：研发能抵御量子计算攻击的新一代密码算法，已成为全球标准化工作重点。新技术架构：涌现出可信计算、智能安全等新型安全思想和架构。集成化工具：防火墙与入侵检测等技术的融合，形成功能更强的综合解决方案。专业化防护：针对DDoS、身份认证等特定威胁开发专用防护工具。集中化管理：通过安全管理平台等工具实现统一威胁管理和日志分析。专业化服务：安全外包服务模式日益普及，为企业提供风险评估、系统加固等专业服务。网络空间安全技术的发展趋势：03网络空间安全体系结构PRAT03OSI安全体系结构3.1OSI模型将网络通信划分为7层，并在各层中提供不同的安全服务。OSI安全体系结构明确了安全服务类型、实现机制及适用层次，对后续网络安全技术发展具有积极影响。主要安全服务包括认证、访问控制、机密性、完整性、不可否认性等。不同安全服务可在多个网络层次中实现，但原则上优先在较低层次实现以降低成本和提升通用性。OSI安全体系结构3.1安全服务实现机制所处的网络层次对等实体认证认证、数字签名、加密网络层、传输层、应用层数据起源认证数字签名、加密网络层、传输层、应用层访问控制认证授权与访问控制网络层、传输层、应用层连接机密性路由控制、加密物理层、数据链路层、网络层、传输层、表示层、应用层无连接机密性路由控制、加密数据链路层、网络层、传输层、表示层、应用层选择字段机密性加密表示层、应用层连接完整性完整性验证、加密传输层、应用层无连接完整性完整性验证、数字签名、加密网络层、传输层、应用层选择字段连接完整性完整性验证、加密应用层选择字段无连接完整性完整性验证、数字签名、加密应用层数据源非否认第三方公正、完整性验证、数字签名应用层传递过程非否认第三方公正、完整性验证、数字签名应用层OSI安全体系结构中的安全服务OSI安全体系结构3.1OSI安全体系结构提供四类不同层次的安全性OSI安全体系结构中的安全性OSI安全体系结构3.1OSI安全体系结构提供四类不同层次的安全性：应用级安全：基于应用语义和中继机制实现，适用于仅保护部分数据或需在应用层保障安全的场景。端系统级安全：满足端系统之间的通信安全需求，适用于网络不可信、不便改造或内部存在威胁的场景。网络级安全：保障不同子网之间的通信安全，部署范围广、成本低，适用于内部网络安全可信条件下。链路级安全：在数据链路层透明保护高层协议通信，适用于点到点通信，但在因特网中难以部署。TCP/IP安全体系结构3.2为弥补TCP/IP协议族设计时缺乏安全考虑的问题，IETF制定了多种安全通信协议，为不同层次提供安全保障：数据链路层：PPTP、L2TP，效率高但通用性差。网络层：IPSec，透明于高层协议，难以提供不可否认服务。传输层：SSL、TLS，实现端到端安全传输，但需修改应用程序。应用层：S/MIME、PGP、SET、SNMP、HTTPS，可提供针对应用的个性化安全服务，但适用范围受限。网络空间安全保障体系3.3网络空间安全保障体系包含四个动态子过程，即PDRR，四个子过程共同构成动态保障体系，对应攻击不同阶段提供防护TCP/IP安全体系结构网络空间安全保障体系3.3保护（Protect）：通过预先防范手段阻止攻击条件形成，属于被动防御。技术包括加密、物理安全、访问控制、病毒防护等。检测（Detect）：依据安全策略实时检查系统脆弱部分，形成检测报告。技术包括入侵检测、恶意代码检测、脆弱性扫描等。反应（React）：对攻击行为进行响应，降低损害。措施包括报警、跟踪、阻断、隔离、反击（含取证与打击）。恢复（Restore）：将系统恢复到原状态或更安全状态。技术包括异常恢复、应急处理、漏洞修补、备份、入侵容忍。网络空间安全系统的设计原则3.3木桶原则：安全性取决于最薄弱环节，需均衡保障。整体性原则：包括防护、检测、恢复机制，确保完整安全体系。安全性评价与平衡原则：处理用户需求、网络风险、成本之间的关系，兼顾可用性。标准化与一致性原则：遵循统一标准，保障互联互通和信息共享。技术与管理相结合原则：涉及人员、制度、培训等多要素共同构成安全。统筹规划、分步实施原则：制定长远规划，随网络发展逐步完善建设。等级性原则：根据保密程度、权限级别等划分安全等级，匹配相应机制。动态发展原则：安全措施需持续升级以适应不断变化的威胁环境。易操作性原则：系统设计应简洁，避免误操作并不影响正