电子商城

网络通信与信息安全 安全通信与网络安全

小编 2024-11-24 电子商城 23 0

安全通信与网络安全

现在这年头,静下来看书越来越难来,相反去搞事情,做实验,却津津乐道。毕业后的2年里,勤勤恳恳,在知乎上发表了400篇文章,38场知乎live。在2018年初,完成了美国雪城大学的15项信息安全实验。在2018年里,发力Web应用防火墙,设计并完成了AI-Security引擎。在2019年里,发力态势感知,设计并完成了UEBA规则、行为基线、攻击图深度分析、AI安全检测、专家知识库等。在2020年初,完成了CTF 6个科目的入门刷题,依然没有任何掌声。这让我意识到企业工作和学校学习的差别,少了很多彩虹屁,多了很多无形的阻力,绩效考核不光看能力,还看关系,美其名曰,综合打分。

ailx10

网络安全优秀回答者

网络安全硕士

一、网络与协议安全机制

安全通信协议

IPSec 互联网协议安全Kerberos 单一登陆认证SSH 安全ShellSignal Protocol 信令协议S-RPC 安全远程过程调用SSL 安全套接层TLS 传输层安全

身份验证协议

CHAP 征询握手身份验证协议PAP 密码身份验证协议EAP 可扩展身份验证协议PEAP 受保护的可扩展身份验证协议LEAP 轻量级可扩展身份验证协议

二、语音通信的安全

VoIP网络电话

由于通信存在拦截和窃听,所以里面有一个加密协议SRTP(安全实时传输协议)。

社会工程

社会工程学就是黑客心理学,普通黑客利用计算机漏洞,社会工程学的黑客利用人性的弱点,比如对他人的信任、爱在网上装逼、容易走神发呆、服从现实安排等等。如果你在网上和人有矛盾了,被恶意追踪了,想知道是谁在暗中调查你,那么学习社会工程学就对了,读完瞬间逆向追踪能力提高100倍

陌生人的电话,不要接通超过5秒反复三次,确认对方身份,机密信息,线下交流不要告诉对方,你的个人信息,防止被社工

欺骗与滥用

20年前,最流行的黑客技术就是电话飞客,黑客企图逃避电话费用或者隐藏自己的身份,攻击电话系统,电话飞客可能会未授权访问语音信箱、重定向消息、阻塞访问等。

DISA直接拨入系统访问,通过为用户分配访问码,来管理电话专用交换机PBX的外部访问和控制。但是电话飞客还是能够破译,他们使用的工具有4个盒子。

黑盒:通过改变电话线电压来偷取长途电话服务红盒:模拟硬币投入付费电话的声音,通常是一个小录音机蓝盒:通过模拟2600Hz的声调,直接与电话网主干系统进行交互白盒:控制电话系统,是一种双音调多频发生器,电话维修人员的工具

三、多媒体合作

远程会议

远程会议包括:数字合作、虚拟会议、视频会议、共享白板等。

IM即时通信

大多数通信服务具备安全特性,常采用多因素身份验证、加密传输,所以抓QQ的包,是看不到通信内容的,因为数据都被加密了。

四、管理邮件安全

邮件安全目标

邮件的基本功能是进行有效的消息传递,但是数据传输的过程是不安全的,因为邮件安全就是要解决:

提供不可否认性,相当于签名画押隐私和保密性,抓包的都是弟弟消息的完整性,发啥就能收到啥身份验证和验证消息源,感觉和第一条有点重复了对消息的敏感信息就行分级,比如反恐

邮件的安全策略关注点:

可接受的使用策略:规定哪些活动ok,哪些活动不ok,比如你不能发大群组邮件访问控制措施:限制每个人只能查看自己的收件箱邮件管理:用户不必知道邮件管理规则的细节

理解邮件安全问题

第一、邮件的脆弱性。很早以前很多学校都是HTTP传输,本地没有加密,通过SMTP、POP、IMAP标准邮件协议通信,导致邮件内容容易被拦截和窃听。

第二、恶意软件传播。邮件也是计算机病毒、蠕虫、特洛伊木马、文档宏病毒的传输途径,另外邮件内容中也会携带的恶意超链接。

第三、源验证。假冒邮件地址对萌新黑客都是很简单的,邮件头部在发送源头和传输过程的任何位置都可以被修改。通过连接邮件服务器的SMTP端口,能将邮件直接发送到用户的收件箱中。

第四、拒绝服务。当海量邮件发送到用户的收件箱,或经过SMTP服务器时,就会产生拒绝服务,这种攻击称为邮件炸弹,产生的结果都是无法传送合法的邮件。

邮件安全解决方案

通过采用多种协议、服务以及方案来提高邮件安全,能减小邮件系统的大量脆弱性,数字签名有助于消除身份假冒,消息加密可减少窃听事件的发生,邮件过滤可以减少垃圾邮件。

S/MIME 安全/多用途互联网邮件扩展,是一种邮件安全标准,提供身份认证和保密性等MOSS MIME对象安全服务,提供身份验证、保密性、完整性、不可否认性等PEM 隐私增强邮件,提供身份验证、保密性、完整性、不可否认性等DKIM 域名关键字标识邮件,验证域名标识,确定来自组织的邮件是否有效PGP 良好隐私,是一种对称密钥系统。SPF 发件人策略框架,检查发送消息的主机是否获得SMTP域名拥有者的授权

五、远程访问安全管理

小朋友,你是不是有很多问好?网课上的还好吗,远程办公感觉如何?远程访问也越来越火了,里面的安全问题,还是比较重要的。

远程访问安全计划

远程连接技术:蜂窝移动通信、调制解调器、数字用户线路DSL、综合业务数字网ISDN、无线网络、卫星通信等,长期一般用宽带,短期一般用流量卡。

广告

电信流量卡不限速手机卡 纯上网无限流量卡

京东

¥39.00

去购买

传输保护:加密协议要记住,VPN、SSL、TLS、SSH、IPsec,这些都是比较常见的协议,不用介绍了吧。身份验证保护:验证身份的协议要记住,PAP 密码身份验证协议、CHAP 征询握手身份验证协议、EAP 可扩展身份验证协议,这个也比较好记忆,都是*AP身份验证协议,还有一个我总是记错了,叫远程身份验证拨入服务 RADIUS,有一次驻场跟我提这个暴力破解,我以为他单词拼错了,还给他改成REDIS数据库,一度很尴尬。最后一个是TAC ACS+ 终端访问控制器访问控制系统,记着有个小加号就行了。

拨号上网协议

记住2个主要的拨号协议,PPP和SLIP。

PPP 点对点协议:非常重要,我实习的时候就是靠这个协议进的H3C,是链路层协议,应用在调制解调器、ISDN、VPN、帧中继,其中的身份验证保护协议一般是CHAP和PAP。SLIP 串行线路互联网协议:比PPP还古老的技术,已经被PPP干掉了,一般用在调制解调器中,只支持IP协议。

中心化远程身份验证服务

上面介绍的,令我曾经尴尬的RADIUS和TCACAS+就是中心化远程身份验证服务。

RADIUS 用于远程拨号连接提供中心化的身份验证服务,端口是UDP 1812和TCP 2083TACACS+ 整合身份验证和授权过程,加入了双因素身份验证,端口是TCP 49

六、虚拟专用网

什么是隧道技术?

隧道技术:一种网络通讯过程,通过将协议数据包封装在另一种协议报文中,对协议数据内容进行保护。这种封装可以看成是在不可信的网络中创立的通信隧道。

隧道技术能突破防火墙对协议的阻挡,因为协议数据被包裹在允许的协议的身体里,而且还是加密的,就算是B超,也看出来里面是啥,让监管人员头疼。

常用的虚拟专用网协议

四种必须知道的协议:

PPTP 点对点隧道协议,链路层,过时了,不支持RADUIS和TACACS+L2F 第二层转发协议,链路层,过时了,不提供加密L2TP 第二层隧道协议,链路层,是L2TP和PPTP的结合,采用IPsec加密,支持RADIUS和TACACS+IPsec IP安全协议,是最常用的VPN协议,只能工作在IP网络层。其中的重要组件为AH 身份验证头、ESP 封装安全载荷。

虚拟局域网

VLAN是一种在交换机上通过硬件实现的网络分段技术。VLAN管理经常用来区分用户流量和管理流量。同一个VLAN中的成员间自由通信,不同VLAN之间的通信需要经过路由。VLAN类似与子网,但又不是子网。VLAN是交换机创建的,子网是通过IP地址和子网掩码配置的。

VLAN的目的是保证必要的通信,阻断不必要的通信,对网络逻辑进行分段,而不必更改物理网络的拓扑。此外,VLAN可以防止广播风暴,减少流量嗅探的风险。

七、虚拟化

我们分析恶意程序的时候,都是在虚拟机中进行滴,这个虚拟机就是虚拟化软件的代表。另一种虚拟化技术是SDN虚拟化网络,将硬件、软件的网络化组件,组合到单一的完整实体中。形成的系统能够通过软件来控制所有网络功能:管理、流量整形、地址分配等。最后,SAN虚拟化存储,将多台存储设备整合为单一的共享存储系统。

八、网络地址转换

NAT网络地址转换可以隐藏内部用户的身份、屏蔽私有网络的设计、降低公网IP地址的租用。

NAT使得局域网里所有电脑共享一个公网IP内网用户使用RFC1918的私有IP地址与互联网通信向外部隐藏了内部IP地址的划分和网络拓扑只有内部受保护的连接的流量才允许放行

私有IP地址

10.0.0.0-10.255.255.255(全A类地址)172.16.0.0-172.31.255.255(16个B类地址)192.168.0.0-192.168.255.255(256个C类地址)

有状态NAT

NAT维护了一张内部用户请求、内部用户IP地址到互联网服务IP地址的映射表。下面的这个过程,叫做有状态NAT。

当收到一个来自内部用户的请求报文时,NAT会将该报文的源地址修改为NAT的服务器地址,记录在NAT数据库映射表中。当从互联网服务器上接收到回复信息后,NAT将回复信息中的源地址,与映射表中的地址进行比对,确定用户地址,再将回复信息转发给用户。

现在的NAT都加入了多路复用技术,使用端口号为对个用户提供共享一个公网IP地址的方法。这种多路复用的方法,成为PAT端口地址转换或者NAT重载。

自动私有IP分配

APIPA动态私有IP地址,是在DHCP动态主机配置协议分配失败的情况下,继续为系统分配IP地址。IP地址段为169.254.0.1-169.254.255.254,同一个广播域的APIPA地址间可以通信,但是不能与正常IP地址通信。

九、交换技术

电路交换

20年前远古电话技术POTS、PSTN,在电路交换中,两个通信实体之间需要建立专门的物理通道,一旦电话接通,两个实体间的链路一直保持到通话结束。

分组交换

分组交换将信息分为很小的片段,并通过中间网络将这些片段传送到目的地,每一个数据片段都有头部,其中包含源地址和目的地址信息。中间网络读取头部信息,再选择合适的路由,将数据片段发送给接收者。

虚电路

虚电路是一条逻辑电路,在分组交换网络中两个固定端点间建立,相当于融合了电路交换和分组交换,有两种需要记住的虚电路。

PVC 永久虚电路,相当于专用的租用链路,逻辑电路一直保持并等待用户发送数据SVC 交换式虚电路,相当于一条拨号连接,在需要时使用,会话结束后,链路就拆除

十、WAN技术

WAN 广域网,将远距离网络、节点连接起来,WAN链路分为两大类:专线和非专线。

专线:一直保留给特定用户使用的线路非专线:只在传输数据时才临时建立连接,调制解调器、DSL数字用户线路、ISDN综合业务数字网。

WAN连接技术

下面这几个都是过时的连接技术:

X.25 WAN 连接是帧中继技术的前身,是一直古老的分组交换技术帧中继连接 也是分组交换技术,数据链路层技术,使用PVCATM异步传输模式 也是分组交换技术,可以使用PVC和SVCSMDS交换多兆位数据服务 是无连接分组交换技术,前面都是有连接的

下面这几个是当下热门的连接技术:

SDH 同步数字系列,是高速光纤的国际标准SONET 同步光纤网络,也是高速光纤的国际标准SDLC 同步数据链路控制,是一种面向比特的同步协议HDLC 高级数据链路控制,SDLC的改进版

拨号封装协议

还是PPP,它是一种封装协议,用于在拨号或点对点链路上支持IP流量的传输,覆盖广泛的通信设备,支持IP地址的分配与管理、同步通信的管理、标准化封装、多路复用、链路配置、链路质量测试、错误检测等。PPP代替了SLIP串行线路互联网协议。

十一、多种安全控制特征

透明性

安全机制越透明,用户察觉不到,就没法绕过安全验证。

验证完整性

验证传输数据的完整性,可以使用hash值校验技术,传输前计算一个消息摘要,接收后再计算一个消息摘要,两个相同就说明传输数据是完整的。另一个需要注意的是,验证报文或消息完整性的方案是记录序号ID。TCP的头部既有校验和,又有序号就是这个道理。

十二、安全边界

不论是网络还是物理世界,能够准确识别安全边界非常重要,只要存在安全边界,就需要部署安全机制来控制信息的跨界流动。例如学校的围墙就是安全边界,阻挡和学校无关的事物。

十三、防止或减轻网络攻击

DoS拒绝服务

利用漏洞,比如泪滴攻击垃圾流量,比如洪泛攻击

窃听

sniffer嗅探,比如Cain&Abel、ZAP、T-Sight中间人攻击,对嗅探内容进行更改和注入的行为

假冒/伪装/欺骗

假扮称其他人,获得对系统的非法访问的行为。比如利用捡到的,伪造的身份验证凭据获得系统的访问权限。假冒不同于欺骗,欺骗是使用虚假身份,没有任何凭据,比如伪造的IP地址1.2.3.4就属于欺骗。

重放攻击/修改攻击

重放攻击就是一种假冒手法,通过窃听获取网络流量,然后重放抓到的流量,和目标系统建立会话。使用一次性身份验证机制和顺序会话标识,就可以阻挡这种攻击。于是又衍生出来了修改攻击,为了绕过身份验证机制和会话序列的限制。道高一尺,魔高一丈。应对修改攻击的措施是,使用数字签名验证,比如对某些字段进行hash计算,对报文进行合法性验证。

地址解析协议欺骗

ARP地址解析协议,从IP地址到MAC地址。首先路由器广播携带目标IP地址的请求报文,具备该IP地址的主机收到报文后,会回复MAC地址,其他主机则忽略。于是,路由器就知道了IP和MAC的地址对,缓存起来。ARP欺骗就是应答虚假的MAC地址,毒化ARP缓存表,将流量重定向到黑客主机上,实现中间人攻击。

DNS毒化、欺骗与劫持

DNS毒化:黑客更改了DNS系统中的域名、IP地址对的映射关系,将流量重定向到黑客主机DNS欺骗:黑客屏蔽了正常的DNS应答报文,而将虚假的信息回复给受害者

解决DNS投毒的方案是,升级DNS服务器到DNS-SEC 域名系统安全扩展。

超链接欺骗

这个和DNS欺骗差不多,攻击者将流量重定向到假冒的系统上,比如骗密码的低价游戏点卷购买的钓鱼网站,很多人的QQ密码就是被钓走的。要当心邮件、PDF、任何URL或超链接,要使用可信的搜索引擎来搜索网站,而不要通过超链接直接访问。

征稿启事丨《信息通信技术与政策》2024年第8期“网络安全”专题

《信息通信技术与政策》 是工业和信息化部主管、中国信息通信研究院主办的专业学术期刊。本刊定位于“信息通信技术前沿的风向标,信息社会政策探究的思想库 ”,聚焦信息通信领域技术趋势、公共政策、 国家/产业/企业战略,发布前沿研究成果、焦点问题分析、热点政策解读等,推动5G、工业互联网、数字经济、人工智能、大数据、云计算等技术产业的创新与发展,引导国家技术战略选择与产业政策制定,搭建产、学、研、用 的高端学术交流平台。

本刊2024年第8期以“网络安全 ”为主题进行征文,聚焦网络安全、数据安全、融合及新兴领域安全等方向的科研进展、政策解读、应用创新和产业动态等内容。

本期专题主题:网络安全

本期组稿专家:

谢玮(中国信息通信研究院安全研究所所长)

中国信息通信研究院安全研究所所长,正高级工程师,长期从事网络和数据安全、工业互联网安全、车联网安全等领域研究工作,牵头建设多个国家级和部级重要支撑平台、支撑信息通信领域网络安全政策文件的制定及重大任务的落实,承担科学技术部、国家发展和改革委员会、工业和信息化部等一系列重大课题,主持并负责了大量网络安全国际标准、国家标准和行业标准的制定工作,相关科研成果和标准荣获省部级以上奖励20余项。

计划刊期:2024年8月

征稿范围

包括但不限于以下方面:

(1)网络和数据安全技术、产品及解决方案研究

(2)网络和数据安全政策及治理研究

(3)新型工业化、工业互联网、车联网等融合领域安全研究

(4)人工智能、卫星互联网等新兴领域安全研究

(5)安全产业研究

(6)安全国际合作研究

征稿要求

1、文稿应属于作者的原创性科研成果,数据真实可靠,具有重要的学术价值与推广应用价值;应未在国内外公开发行的刊物或会议上发表或宣读过,也不在其他刊物或会议的审稿过程中,不存在一稿多投问题。

2、文稿应包括中英文题名、作者信息、摘要、关键词、基金项目名、参考文献,中文正文和作者简介,文稿一律采用word文档提交。

3、投稿时请注明作者联系方式(电子邮件、电话、邮寄地址等)。

4、投稿方式:登录期刊官网(网址:http://ictp.caict.ac.cn),通过“作者登录”入口在线投稿。

5、联系方式:

田慧蓉

tianhuirong@caict.ac.cn

13683667739

王 哲

wangzhe@caict.ac.cn

15901125218

吴 辉

wuhui@caict.ac.cn

010-62300195

重要日期

征稿截止日期:2024年6月30日

审稿完成日期:2024年7月10日

计划刊出日期:2024年8月25日

相关问答

软件工程 通信工程 信息安全 的区别和就业前景..._安全工程师_...

以下是关于软件工程、通信工程和信息安全三个领域的区别及就业前景的详细介绍:1.软件工程:-定义:软件工程是研究软件开发、维护和应用的学科,旨...

数据 通信 网络安全 区别?

数据通信和网络安全是两个相关但不同的概念,它们在信息技术领域扮演着重要的角色。以下是它们之间的主要区别:1.定义:-数据通信:指的是数据在计算机...数...

信息安全 三个层面内涵?

1、网络信息安全是一个关系国家安全和主权、社会稳定、民族文化继承和发扬的重要问题。其重要性,正随着全球信息化步伐的加快越来越重要。2、网络信息安全是...

网络安全 工程师 与信息安全 工程师区别?

网络工程师:对当代数字通信系统有一定的了解,理论上要求精通网络二、三层通信原理与方式,实际操作中偏重路由和交换的实施,另外还需要对综合布线(一层)有一...

信息安全 名词解释?

信息安全主要包括以下五方面的内容,即需保证信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性。信息安全本身包括的范围很大,其中包括如何防范...

请问下 通信工程 和电子 信息 工程有什么区别?读哪个..._ 通信 工...

通信工程和电子信息工程都属于电子工程的范畴,但是它们的重点和研究方向有所不同。通信工程主要研究信息的传输、处理和交换,包括无线通信、光纤通...

广西警察学院 信息与网络安全 系怎么样?设有哪些专业? 申请方

[回答]~接下来我为大家简单介绍一下我们广西警察学院的信息与网络安全系开设的专业以及研究情况专业设置:本科专业:刑事科学技术专科专业:计算机应用技术...

信息安全与 人工智能哪个好就业?

信息安全好就业。主要学习通信、编码、信息网络与系统、信息与安全保密、信息对抗等基本理论、基本原理和技术,学习在信息、信息过程和信息系统等方面进行信息...

信息安全 算电子信息工程吗?

信息安全算电子信息工程。根据工作性质的不同和侧重点的不同,电子信息大类分为信息安全、电子信息工程、电子科学与技术、通信工程、微电子科学与工程、光电信...

计算机专业 与信息安全 专业有什么不同?-ZOL问答

本专业是计算机、通信、数学、物理、法律、管理等学科的交叉学科,主要研究确保信息安全的科学与技术。培养能够从事计算机、通信、电子商务、电子政务、电子金...

猜你喜欢