[网络空间安全导论][沈昌祥,左晓栋][电子教案 (5)[20页]
网络空间安全概论 教学大纲(课程思政版本)
《网络空间安全概论》课程大纲一、课程名称:网络空间安全概论二、课程性质:选修/必修、理论课三、学时与学分:32学时,2学分四、课程先导课:C语言程序设计、计算机网络、操作系统、计算机组成原理、数据库管理系统等五、课程简介网络空间已经成为人类社会全新的生存空间和国家疆域,国家政治、经济、文化、社会、国防安全及公民在网络空间的合法权益面临严峻风险与挑战,维护和保障网络空间安全,培养网络空间安全人才,这两项工作已经上升到国家战略层面。
而网络空间安全人才缺口大,仅仅依靠网络空间安全专业以及信息安全专业的人才培养远远满足不了社会需求。
在计算机学院相关专业开设《网络空间安全概论》课程,对于培养具备网络空间安全知识的复合型计算机学科人才、改善我国网络空间安全专业人才极度匮乏的现状具有积极的促进作用。
《网络空间安全概论》涉及多学科交叉、知识结构和体系宽广,应用场景复杂,同时相关知识更新速度快。
它是一门理论性、工程性、技术性和实践性都很强的专业选修课程。
在课程内容的组织上,力求全面把握网络空间安全的技术脉络和基础知识体系,与计算机相关专业的特点相结合,突出安全编程思维和安全防范意识的培养。
教学内容包括10章,第1章网络空间安全概述,第2章物理安全,第3章系统安全,第4章网络安全,第5章数据安全,第6章软件安全,第7章社会工程,第8章网络空间安全管理与教育,第9章网络空间安全法规与标准,第10 章新环境安全主要介绍云计算、大数据和物联网方面的安全问题。
六、课程目标通过相关教学活动,帮助学生网络空间、网络空间主权、网络空间安全的概念和内涵,掌握网络空间安全知识体系结构,了解物理安全、网络安全、系统安全、数据安全、软件安全、社会工程方面的防范措施。
建立网络空间整体安全概念,增强学生安全编程思维和安全意识,掌握网络攻防基本技能,提升学生在软件安全设计方面的综合能力。
课程的具体目标包括:目标1:深刻理解网络空间、网络空间主权、网络空间安全的概念和内涵,掌握网络空间安全知识体系结构;建立全局安全的系统观,能利用上述知识和相关技术对网络空间安全系统方案进行设计和分析;目标2:深刻理解物理安全、系统安全、网络安全、数据安全相关防范技术和标准,对实施安全的物理环境、安全的系统环境、安全的网络环境、安全的数据存储环境设计方案进行对比并选择科学合理的技术方案;目标3:了解应用软件安全各种影响因素,掌握规避应用软件安全风险的技术手段,能运用安全软件开发生命周期组织和实施应用软件研发;针对软件开发过程中遇到的复杂工程问题,能够提出科学的解决方法,并能将安全编程思维和安全防范意识较好地融入到整个应用软件开发过程之中;目标4:使学生熟悉和了解社会工程攻击的手段以及相应的防范措施;掌握网络空间相关法律和技术标准,并自觉遵守网络空间安全的法律法规;在网络空间相应应用系统开发过程中,自觉遵照相关技术标准,具备安全应用系统的开发能力。
[网络空间安全导论][沈昌祥,左晓栋][电子教案 (1)[9页]
![[网络空间安全导论][沈昌祥,左晓栋][电子教案 (1)[9页]](https://img.taocdn.com/s3/m/b494814814791711cc7917e1.png)
网络安全是整体的而不是割裂的 网络安全是动态的而不是静态的 网络安全是开放的而不是封闭的 网络安全是相对的而不是绝对的 网络安全是共同的而不是孤立的
1.2 网络强国战略
三、正确处理安全和发展的关系
维护网络空间安全是促进国家发展的前提和条件。要坚持科学的发展观和安全观, 正确看待和处理安全与发展的关系。安全是发展的前提, 发展是安全的保障, 安全和发展要同步推进, 以安全保发展、以发展促安全, 努力建久安之势、成长治之业。
建设网络强国的中期目标是: 建设网络强国的战略部署与“两个一百年” 奋斗目标同步推进, 向着网络基础设施基本普及、自主创新能力显著增强、信息经济 全面发展、网络安全保障有力的目标不断前进。
建设网络强国的远期目标是: 战略清晰, 技术先进, 产业领先, 制网权尽在掌握, 网络安全坚不可摧。
1.2 网络强国战略
1.2 网络强国战略
一、网络强国目标
建设网络强国的近期目标是: 技术强, 即要有自己的技术, 有过硬的技术; 基础强, 即要有良好的信息基础设施, 形成实力雄厚的信息经济; 内容强, 即 要有丰富全面的信息服务, 繁荣发展的网络文化; 人才强, 即要有高素质的网络安全和信息化人才队伍; 国际话语权强, 即要积极开展双边、多边的互联网 国际Hale Waihona Puke 流合作。第1章绪论
本章要点
● 信息技术革命带来国家发展机遇 ● 网络空间安全威胁 ● 网络强国战略 ● 网络空间国际博弈
1.1 没有网络安全就没有国家安全
一、 网络空间成为人类生活新空间 二、网络空间安全威胁
网络安全事关政治安全 网络安全事关经济安全 网络安全事关文化安全 网络安全事关社会安全 网络安全事关国防安全
令公桃李满天下,何用堂前更种花——记沈昌祥院士“三做”
EDUCATOR24令公桃李满天下,何用堂前更种花——记沈昌祥院士“三做”左晓栋 / 中国信息安全研究院副院长我始终认为,自己足够“三生有幸”:求学时攻读自己最喜欢的专业,之后从事的工作与所学完全一致,而自己所学所做又紧扣时代的脉搏,可以作为一生的事业。
最终,学习成为乐趣,工作也成为乐趣,人生何其幸也!而这一切,始于20世纪90年代末的某一天,我在报纸上读到的一句话:“沈昌祥院士建议,要像重视‘两弹一星’那样去重视信息安全。
”正是在那一刻,我对这个领域心向往之。
但当时尚在读本科的我,无论如何不敢奢望有朝一日能够拜于沈院士门下。
至于后来机缘巧合,我不但师从院士,更有赖“沈院士弟子”的标签,以全日制博士生的身份借调到国家信息安全协调机构,很早便参与了我国第一部信息安全国家战略的起草工作,从此在这条路上一直前行至今,这则更是预料不到了。
在直接关系国家安全的这个工作领域,我在任何时候都得到了组织上的极大信任,这种信任的源头,除了组织程序外,也与我是“沈院士弟子”不无关系。
可以说,这么多年以来,老师以其赫赫之光、深厚学识,一直在给予我勉励和扶持。
而我,只是老师培养的100多名博士中的普通一名。
对所有学生,老师都倾其所有,给予我们了太多。
其中最宝贵的,是老师倡导的“三做”——做人,做事,做学问。
读博士时,我们都已年过弱冠,人生观、世界观早已形成,但“三做”无疑为我们重塑了正确的人生观、价值观,使我们在人生道路上能够走得更加稳健。
亦余心之所善兮,虽九死其犹未悔——做人“做人”被老师排在首位。
一些弟子对于同老师讨论学术问题感到“发怵”,认为老师严厉,总是毫不留情指出技术上的错误。
但实际上,老师很宽容,即使是简单如ABC的问题,老师也会不厌其烦地反复讲解。
这么多年来,我只见过老师在一件事情上对弟子动怒,即有关人品问题。
在老师看来,弟子们基础不同,天赋各异,老师都会因材施教,但人品是红线,老师也为此痛心开除过个别弟子。
网络空间安全培训教材
网络空间安全培训教材第一章网络空间安全概述1.1 什么是网络空间安全?网络空间安全是指保护信息系统、网络和数据免受未经授权访问、破坏或篡改的一系列技术、政策措施及管理方法的综合体。
1.2 网络空间安全的重要性网络空间安全对于个人、组织和国家的安全至关重要。
在信息化时代,网络空间安全已经成为国家战略的重要组成部分。
第二章网络攻击与威胁2.1 不同类型的网络攻击2.1.1 黑客攻击2.1.2 病毒与木马攻击2.1.3 网络钓鱼2.1.4 DoS/DDoS攻击2.1.5 数据泄露与盗窃2.2 威胁情报与风险评估2.2.1 威胁情报的意义2.2.2 风险评估的方法2.2.3 威胁情报与风险评估的关系第三章网络安全基础知识3.1 密码学与加密算法3.1.1 对称加密与非对称加密3.1.2 哈希函数与数字签名3.1.3 公钥基础设施(PKI)与证书3.2 认证与访问控制3.2.1 用户认证技术3.2.2 访问控制模型与策略第四章网络安全防御技术4.1 防火墙与网络隔离4.1.1 防火墙的原理与分类4.1.2 基于角色的访问控制(RBAC)4.2 入侵检测与防御4.2.1 入侵检测系统(IDS)与入侵防御系统(IPS)4.2.2 异常行为检测与特征检测4.3 网络安全监控与日志管理4.3.1 安全信息与事件管理(SIEM)4.3.2 网络流量监控与日志分析第五章网络安全策略与管理5.1 安全策略的制定5.1.1 安全目标与需求分析5.1.2 安全策略的设计与实施5.1.3 安全审核与改进5.2 安全意识教育与培训5.2.1 安全意识的重要性5.2.2 安全教育与培训的内容与形式5.3 紧急响应与应急预案5.3.1 紧急响应的流程与组织5.3.2 应急预案的编制与演练第六章法律法规与网络安全6.1 国内外网络安全相关法律法规6.1.1 中国的网络安全法律法规6.1.2 国际网络安全相关法律法规6.2 网络安全责任与合规要求6.2.1 企业网络安全责任6.2.2 网络安全合规要求的落地与实施结语网络空间安全已经成为人们在数字化时代中必须重视的问题,只有通过系统的培训和教育,提高人们的网络安全意识和技能,才能够更好地应对各种网络威胁和攻击。
网络空间安全战略思考与启示_沈昌祥
沈昌祥:2014年2月,美国国家标准与技术研究所提出了《美国增强关键基础设施网络安全框架》(V1.0)
应积极加快建设我国网络安全保障体系,捍卫我国网络安全国家主权。
联的世界如何建立繁荣、增进安全和保护开放”
文件称为美国在21世纪的“历史性政策文件”
件称,美国希望打造“开放、可共同使用、安全、可信赖”的国际网络空间,并将综合利用外交、防务和发展手段来实现此目标。
7月14日,美国国防部发布的《网络空间行动战略》
>>图2 以可信服务替代补丁服务
(3)利用自主创新的可信计算加固XP系统
XP停止服务需要用自主创新的可信计算平台产品(例如:“白细胞”操作系统免疫平台)对2亿台XP终端进行安全加固,并以可信服务替代补丁服务,有效抵御新的病毒、黑客的攻击,还为加快自主操作系统产品研发和替代做好技术支持。
可信加固产品硬件上有3种形态:主板配接USB可信密码模块、主板配插PCI可信密码模块和专用主板上嵌入。
第一讲 网络安全管理导论
安全是一项服务,安全服务是安 全团队提供给用户和客户的一种 服务类别
网络安全问题产生的根源:内在因素和外在因素
PAGE
— 17 —
从理论上来看,在程序和数据上存在 “不确定性”;
从设计的角度看,在设计时所考虑的优 先级中,安全性往往被放在次要位置;
在实现上来说,软件本身总存在Bug; 使用上,操作失误同样会导致安全问题。
标志是1977年美国
国家标准局(NBS)
公布的《数据加密标
准》(DES)和
1985年美国国防部
(DoD)公布的
《可信计算机系统评
估准则》(TCSEC)
保证动态信息不被窃取、
解密或篡改,从而让读 取信息的人能够看
到准确无误的信息
主要手段是通过访问
控制,防止对计算机
中信息的非授权访问,
通信和计算机技术已经相互
信息基础设施
用于信息获取、存储、传输、交互 的信息基础设施及其配套设施
PAGE
6 — —
活动
用户借助信息,以信息通信技术手段, 达到产生数据、传送信号、展示信息、
修改状态等表达人类意志的行为
网络角色
主要指产生、传输信息的主体, 反映的是人类的意志
通信技术系统
包括各类互联网、电信网、无线网、广电网、 物联网、传感网、工控网、数字物理系统、在 线社交网络、计算系统、通信系统、控制系统
构建良好秩序原则
网络空间同现实社会一样,既 要提倡自由,也要保持秩序。 自由是秩序的目的,秩序是自 由的保障。网络空间不是‘法 外之地’。网络空间是虚拟的, 但运用网络空间的主体是现实 的,大家都应该遵守法律,明 确各方权利义务
全球互联网治理五点主张
网络空间安全培训教材-2024鲜版
网络空间安全定义
网络空间安全是指通过技术、管理、法律等手段,保护计算 机网络系统及其中的信息不受未经授权的访问、攻击、破坏 或篡改,确保网络系统的机密性、完整性、可用性等安全属 性。
要点二
背景介绍
随着互联网技术的迅猛发展和广泛应用,网络空间已经成为 国家安全、经济发展和社会稳定的重要领域。然而,网络空 间安全问题也日益突出,网络攻击、数据泄露、恶意软件等 安全威胁层出不穷,给个人、企业和国家带来了巨大损失。 因此,加强网络空间安全培训,提高人们的安全意识和技能 水平,对于维护网络空间安全具有重要意义。
网络空间安全培训教 材
2024/3/28
1
目录
2024/3/28
• 网络空间安全概述 • 网络安全基础知识 • 网络安全威胁与攻击手段 • 网络安全防御技术体系构建 • 密码学在网络安全中应用实践 • 法律法规、伦理道德和意识形态在
网络空间安全中作用
2
01
网络空间安全概述
2024/3/28
3
定义与背景
电信行业组织制定的自律规范,包括网 络安全保障、用户信息保护、垃圾短信 治理等方面的要求,维护了电信市场的 公平竞争和用户的合法权益。
金融行业组织制定的自律规范,包括网 络安全保障、金融数据安全、反洗钱和 反恐怖融资等方面的要求,保障了金融 市场的稳定和金融消费者的权益。
2024/3/28
29
提高网络素养,树立正确的网络价值观
数据加密标准与协议
介绍国际和国内的数据加密标准和协 议,如AES、RSA、ECC等,以及这 些标准和协议在实际应用中的优缺点 和适用场景。
2024/3/28
10
身份认证与访问控制
2024/3/28
南昌大学网络空间安全导论
南昌大学网络空间安全导论计算机网络的广泛应用,促进了我们社会的发展,因此管理网络并保障网络安全也成为了网络空间安全的首要问题。
网络安全的概念网络安全研究领域涉及很多,但凡涉及网络信息的保密性、完整性、可用性、真实性、可控性、可审查性的技术和理论,就与网络安全有相关联之处。
而网络安全包括了网络硬件资源和信息资源的安全性:网络硬件资源:包括了通信线路、通信设备(路由机、交换机等等)、主机等。
网络信息资源:包括维持网络服务运行的系统软件和应用软件,以及在网络中存储和传输的用户信息数据等网络管理的概念网络管理是指监督、组织和控制网络通信服务,以及信息处理所必需的各种活动的总称。
对网络管理的分类(从网络管理范畴):对网络设备的管理(针对交换机、路由器等主干网络进行管理。
)对接入的内部计算机、服务器等进行的管理。
对行为的管理(针对用户使用网络的行为进行管理。
)对网络设备硬件资产进行管理。
安全网络的特征可靠性:网络信息系统能够在规定条件下和规定时间内完成规定功能的特性。
可用性:网络信息可被授权实体访问并按需求使用的特性。
保密性:网络信息不被泄露给非授权的用户、实体或过程,或者供其利用的特性。
完整性:网络信息未经授权不能进行改变的特性,即网络信息在存储或传输过程中保持不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏和丢失的特性。
可控性:对信息的传播及内容具有控制能力。
可审查性:出现安全问题时提供的依据和手段。
常见的网络拓扑总线形拓扑结构总线形拓扑结构是将所有的网络工作站或网络设备连接在同一物理介质上,这时每个设备直接连接在通常所说的主干电缆上。
安全缺陷:(1)故障诊断困难(2)故障隔离困难(3)终端必须是智能的星形拓朴结构星型拓扑结构由中央节点和通过点到点链路连接到中央节点的各站点组成。
安全缺陷:(1)对电缆的需求大且安装困难(2)扩展困难(3)对中央节点的依赖性太大(4)容易出现“瓶颈”现象环形拓扑结构:环形拓扑结构的网络由一些中继器和连接中继器的点到点链路组成一个闭合环。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
5.1可信计算概述
三、安全可信的系统架构
在可信计算支撑下, 将信息系统安全防护体系划分为安全计算环境、安全边界、安全通信网络三部分, 从技术和管理两个方面进行安全设计, 建立可信安 全管理中心支持下的主动免疫三重防护框架。实现了国家等级保护标准要求(见第6 章), 做到可信、可控、可管, 如图所示。
产生安全事故的技术原因在于, 现在的计算机体系结构在最初设计时只追求计算速度, 并没有考虑安全因素, 如系统任务难以隔离、内存无越界保护等。 这直接导致网络化环境下的计算服务存在大量安全问题, 如源配置可被篡改、恶意程序可被植入执行、缓冲区(栈) 溢出可被利用、系统管理员权限被非 法接管等。网络安全防护需要构建主动免疫防御系统, 就像是人体免疫一样, 能及时识别“自己” 和“非己” 成分,从而破坏与排斥进入机体的有害物质, 使 系统缺陷和漏洞不被攻击者利用, 进而为网络与信息系统提供积极主动的保护措施。可信计算技术就是这样一种具有积极防御特性的主动免疫技术。
四、可信软件基
1. 体系结构 TSB 由基本信任基、主动监控机制和支撑机制等主要部件组成, 其组成架构如图所示。
5.4 可信计算平台技术规范
2. 工作原理 TSB 以度量机制为核心, 为度量机制自身及控制机制、判定机制和可信基准库分别配置度量策略、控制策略、判定规则和基准策略等可信策略。 在系统启动开始, TSB 对系统实施主动控制, 并对系统度量点处的受度量对象进行主动度量。TSB 依据可信基准库中的基准信息对度量结果进 行综合判定, 以确认系统是否可信。 3. 主要功能及流程 (1) 系统启动过程中的工作流程 (2) 系统运行过程中的工作流程
5.3 中国可信计算革命性创新
二、跨越了国际可信计算组织(TCG) 可信计算的局限性
密码体制的局限性; 体系结构的不合理。
三、创新可信密码体系 四、创建主动免疫体系结构
5.3 中国可信计算革命性创新
五、开创可信计算3.0新时代
可信计算1.0 以世界容错组织为代表, 主要特征是主机可靠性, 通过容错算法、故障诊查实现计算机部件的冗余备份。可信计算2.0 以TCG 为代表, 主要特征是节点安全性, 通过外部挂接的TPM 芯片实现被动度量。中国的可信计算3.0 的主要特征是系统免疫性, 其保护对象为节点虚拟动态链, 通 过“宿主+可信” 双节点可信免疫架构实现对信息系统的主动免疫防护, 如图所示。
5.4 可信计算平台技术规范
一、可信计算平台密码方案
1. 密码与可信计算平台功能的关系 密码技术是可信计算平台的基础, 为可信计算平台实现其安全功能提供密码支持。可信计算平台实现了如下三大功能。 (1) 平台完整性度量与报告 (2) 平台身份可信 (3) 平台数据安全保护 密码与平台功能关系如图所示。
5.2 可信计算的发展与现状
一、国际可信计算发展与现状 二、国内可信计算发展与现状
5.3 中国可信计算革命性创新
一、全新的可信计算体系构架
相对于国外可信计算被动调用的外挂式体系结构, 中国可信计算革命性地开创了以自主密码为基础、控制芯片为支柱、双融主板为平台、可信软件为核心、 可信连接为纽带、策略管控成体系、安全可信保应用的可信计算体系构架。
5.4 可信计算平台技术规范
三、可信计算平台主板
1. 体系结构 可信计算平台主板是由TPCM 和其他通用部件组成, 以TPCM 自主可信根(RT) 为核心部件实现完整性度量和存储机制, 并实现平台可信引 导功能。 2. 主要功能及流程 (1) 信任链建立 (2) 完整性度量
5.4 可信计算平台技术规范
5.4 可信计算平台技术规范
2. 密钥管理 (1) 种类和用途 根据密钥的使用范围, 平台中的密钥可以分为以下三类: 平台身份类密钥, 如密码模块密钥(Endorsement Key, EK)、平台身份密钥(PlatformIdentity Key, PIK)、平台加 密密钥(Platform Encryption Key, PEK); 平台存储类密钥, 如存储主密钥(Storage Master Key, SMK); 用 户类密钥(User Key, UK)。 (2) 密钥存储保护 ( 3) 密钥的生命周期 在平台的生命周期中, 各种密钥的生成、使用和销毁过程如表所示。
5.1可信计算概述
二、可信免疫的计算模式与结构
可信计算是指在计算运算的同时进行安全防护, 计算全程可测可控, 不被干扰, 只有这样方能使计算结果总是与预期一样, 从而改变只讲求计算效率, 而不讲安全防护的片面计算模式。
如图所示的双体系结构中, 采用了一种运算和防护并存的主动免疫的新计算模式, 以密码为基因实施身份识别、状态度量、保密存储等功能, 及时识别 “自己” 和“非己” 成分, 从而破坏与排斥进入机体的有害物质, 相当于为计算机信息系统培育了免疫能力。
第5章
可信计算技术
本章要点
● 国内外可信计算发展现状 ● 主动免疫的可信计算体系结构 ● 可信计算平台密码方案 ● 可信平台控制模块 ● 可信软件基 ● 可信网络连接
5.1可信计算
随着时间的发展, 以防火墙、入侵检测、病毒防范这“老三样”为主要手段的网络安全保护思路已经越来越显示出被动性, 迫切需要标本兼治的新型的网络 安全保护框架。
5.4 可信计算平台技术规范
3. 证书管理 (1)密码模块证书
5.4 可信计算平台技术规范
(2) 平台证书
5.4 可信计算平台技术规范
二、可信平台控制模块
1. 硬件体系结构 TPCM 硬件结构图如下。
5.4 可信计算平台技术规范
2. 主要功能及流程 ① 由待机电源为TPCM 提供电能。 ② TPCM 执行状态检查。 ③ 如果TPCM 处于使能状态, 则TPCM 为启动代码芯片上电, 对启动代码进行度量。 ④ 如果启动代码度量结果正确, 则TPCM 发出平台上电信号, 平台上电, 启动代码开始执行。 ⑤ 启动代码根据用户预设策略对平台信息进行度量确认。 ⑥ 如果平台信息可信, 则对操作系统加载代码进行度量。 ⑦ 如果操作系统加载代码度量成功, 则操作系统内核加载。 ⑧ 系统进入可信工作模式。 ⑨ 启动之后, 系统运行过程中, TPCM 实施动态主动可信功能。