網(wǎng)絡(luò)空間安全導(dǎo)論——結(jié)課論文

一、移動互聯(lián)網(wǎng)安全概述

信息安全概述：定義1：維基百科中，信息安全是指為保護信息及信息系統(tǒng)免受未經(jīng)授權(quán)的進入、使用、披露、破壞、修改、檢視、記錄及銷毀；

定義2：美國國家安全電信和信息系統(tǒng)安全委員會（NSTISSC）定義信息安全是對信息、系統(tǒng)以及使用、存儲和傳輸信息的硬件的保護，是所采取的相關(guān)政策、認識、培訓(xùn)和教育以及技術(shù)等必要手段；

定義3：這種定義將信息安全所涉及的內(nèi)容具體化，認為信息安全是確保存儲或傳送中的數(shù)據(jù)不被他人有意或無意地竊取和破壞，這種定義將信息安全分解為四個方面，分別是信息設(shè)施及環(huán)境安全、數(shù)據(jù)安全、程序安全以及系統(tǒng)安全。

網(wǎng)絡(luò)安全模型是動態(tài)網(wǎng)絡(luò)安全過程的抽象描述。為了達到安全防范的目標(biāo)，需要建立合理的網(wǎng)絡(luò)安全模型。

網(wǎng)絡(luò)安全防護體系：通過對網(wǎng)絡(luò)安全模型的了解，可以發(fā)現(xiàn)網(wǎng)絡(luò)安全是一項系統(tǒng)工程，它不是一些網(wǎng)絡(luò)安全產(chǎn)品的簡單堆疊，網(wǎng)絡(luò)安全包括了硬件、軟件、網(wǎng)絡(luò)、人以及之間相互關(guān)系和接口等多個組成部分。

網(wǎng)絡(luò)安全的社會意義：網(wǎng)絡(luò)安全已經(jīng)成為一個關(guān)系國家安全和主權(quán)、社會的穩(wěn)定、民族文化的繼承和發(fā)揚的重要問題。其重要性，正隨著全球信息化步伐的加快而變到越來越重要。

在現(xiàn)代社會，談及網(wǎng)絡(luò)安全，距離我們已經(jīng)不是遙不可及的，還是必須了解，必須知道。切身關(guān)于自身利益的必修課程。在信息社會高度發(fā)展的現(xiàn)代網(wǎng)絡(luò)信息安全，已經(jīng)和人們生活息息相關(guān)?，F(xiàn)在的互聯(lián)網(wǎng)信息安全技術(shù)，已經(jīng)關(guān)系到每個人的生活，生產(chǎn)。以及家庭生活中的大事小情之中?，F(xiàn)代社會信息技術(shù)進入高速發(fā)展階段。由固定終端現(xiàn)已發(fā)展到以移動終端為主的，互聯(lián)網(wǎng)時代。而隨著移動終端占據(jù)互聯(lián)網(wǎng)信息發(fā)展的主體市場包括移動支付等一系列需要高度加密高度保護信息安全的，硬性配套措施也隨之而來。誰的移動支付等。經(jīng)濟交易便民性的推出，則需要更多的網(wǎng)絡(luò)安全防護措施。這也是當(dāng)今社會需要網(wǎng)絡(luò)安全維護方面，更加重要和側(cè)重的，以及新的發(fā)展努力方向。對于網(wǎng)絡(luò)安全工作者來說，更是一個新的挑戰(zhàn)，與網(wǎng)絡(luò)安全從業(yè)者只是一個新興的向好性發(fā)展的，具有無限發(fā)展?jié)摿Φ男戮蜆I(yè)方向。隨著社會各方面與現(xiàn)代信息技術(shù)，網(wǎng)絡(luò)通信等技術(shù)的融入，網(wǎng)絡(luò)安全手段。保證人民生活，生產(chǎn)切身利益的重要組成部分，也是維護社會，國家經(jīng)濟正常運轉(zhuǎn)，經(jīng)濟發(fā)展迅速提升。科技力量得到迅猛發(fā)展的強勁推動力。和強大的輔助作用。

這也使得從事計算機專業(yè)的當(dāng)代大學(xué)生對于網(wǎng)絡(luò)安全記住了掌握提出了更高，更嚴格，以及更高品質(zhì)的技術(shù)要求掌握程度。

二、移動互聯(lián)網(wǎng)安全現(xiàn)狀

國外網(wǎng)絡(luò)安全標(biāo)準與政策現(xiàn)狀：國際性的標(biāo)準化組織主要包括：國際標(biāo)準化組織（ISO）、國際電器技術(shù)委員會（IEC）和國際電信聯(lián)盟（ITU）所屬的電信標(biāo)準化組（ITU-TS）。

美國TCSEC桔皮書：A1：可驗證安全設(shè)計。提供B3級保護，同時給出系統(tǒng)的形式化隱秘通道分析，非形式化代碼一致性驗證；

B3：安全域。該級的TCB必須滿足訪問監(jiān)控器的要求，提供系統(tǒng)恢復(fù)過程；

B2：結(jié)構(gòu)化安全保護。建立形式化的安全策略模型，并對系統(tǒng)內(nèi)的所有主體和客體實施自主訪問和強制訪問控制；

B1：標(biāo)記安全保護。對系統(tǒng)的數(shù)據(jù)加以標(biāo)記，并對標(biāo)記的主體和客體實施強制存取控制；

C2：受控訪問控制。實際上是安全產(chǎn)品的最低檔次，提供受控的存取保護，存取控制以用戶為單位；

C1：只提供了非常初級的自主安全保護，能實現(xiàn)對用戶和數(shù)據(jù)的分離，進行自主存取控制，數(shù)據(jù)的保護以用戶組為單位；

D：最低級別，保護措施很小，沒有安全功能。

歐洲ITSEC：ITSEC定義了從E0級（不滿足品質(zhì)）到E6級（形式化驗證）七個安全等級，對于每個系統(tǒng)，安全功能可分別定義。ITSEC預(yù)定義了十種功能，其中前五種與桔皮書中的C1～B3級非常相似。

加拿大CTCPEC：該標(biāo)準將安全需求分為四個層次：機密性、完整性、可靠性和可說明性。

美國聯(lián)邦準則：該標(biāo)準參照CTCPEC和TCSEC，其目的是提供TCSEC的升級版本，同時保護已有投資，但FC有很多缺陷，它只是一個過渡標(biāo)準，后來結(jié)合ITSEC發(fā)展為聯(lián)合公共準則。

聯(lián)合公共準則：CC的目的是想把已有的安全準則結(jié)合成統(tǒng)一的標(biāo)準。CC結(jié)合了FC及ITSEC的主要特征，它強調(diào)將安全的功能與保障分離，并將功能需求分為9類63族，將保障分為7類29族。

ISO安全體系結(jié)構(gòu)標(biāo)準：在安全體系結(jié)構(gòu)方面，ISO制定了國際標(biāo)準ISO7498-2-1989《信息處理系統(tǒng)-開放系統(tǒng)互聯(lián)-基本模型第2部分：安全體系結(jié)構(gòu)》。

國內(nèi)安全標(biāo)準、政策制定和實施情況：我國一直高度關(guān)注網(wǎng)絡(luò)與信息安全標(biāo)準化工作，從20世紀80年代就開始網(wǎng)絡(luò)與信息安全標(biāo)準的研究，現(xiàn)在已正式發(fā)布相關(guān)國家標(biāo)準60 多個。2012年12月28日，全國人大審議通過了《關(guān)于加強網(wǎng)絡(luò)信息保護的決定》，首次專門為網(wǎng)絡(luò)信息保護立法，明確規(guī)定國家保護能夠識別公民個人身份和涉及公民個人隱私的電子信息，為互聯(lián)網(wǎng)用戶的個人信息保護奠定了重要基石。

制定良好的法律法規(guī)，以及嚴格的規(guī)劃標(biāo)準和權(quán)威機構(gòu)的高級認證。以及個人，自我防護意識和自主辨別網(wǎng)絡(luò)安全性的一定的能力。是維護網(wǎng)絡(luò)安全。保證社會，國家及個人生命財產(chǎn)安全的。有效措施和根本保障。是維護網(wǎng)絡(luò)安全，引導(dǎo)網(wǎng)絡(luò)健康，綠色發(fā)展的堅強基石。

三、影響移動網(wǎng)絡(luò)安全的要素

操作系統(tǒng)安全配置：操作系統(tǒng)是計算機系統(tǒng)的核心，操作系統(tǒng)的安全是整個計算機系統(tǒng)安全的基礎(chǔ)。目前針對操作系統(tǒng)的弱點進行攻擊和入侵的花樣在不斷的翻新，這給使用操作系統(tǒng)的個人和企業(yè)帶來了很大的麻煩。

操作系統(tǒng)對用戶賬號的管理很大程度決定了網(wǎng)絡(luò)系統(tǒng)的安全。Windows Server 2008通過建立賬戶（包括用戶賬戶和組賬戶）并賦予賬戶恰當(dāng)?shù)臋?quán)限來保障網(wǎng)絡(luò)和計算機資源的合法性。確保數(shù)據(jù)訪問、存儲和交換符合安全需求。

NTFS權(quán)限及使用原則：在計算機的安全中最重要的就是權(quán)限，計算機管理員首先要解決的問題就是對用戶授予何種權(quán)限的問題。權(quán)限定義了授予用戶或組對某個對象或?qū)ο髮傩缘脑L問類型。

NTFS的權(quán)限可以決定用戶對文件和文件夾的能夠進行什么樣的操作。NTFS權(quán)限只適用于采用NTFS文件系統(tǒng)的磁盤分區(qū)，不能夠運用到采用FAT文件系統(tǒng)的磁盤分區(qū)中。

文件的加密和解密：加密文件系統(tǒng)(EFS)是 Windows的NTFS文件系統(tǒng)下的一項功能，用于將信息以加密格式存儲在硬盤上。加密是 Windows 所提供的保護信息安全的最強的保護措施。Windows Server 2008操作系統(tǒng)中包含的加密文件系統(tǒng)（EFS）是以公鑰加密為基礎(chǔ)的，每個文件都是使用隨機生成的文件加密密鑰進行加密的，此密鑰獨立于用戶的公鑰/私鑰對該私鑰是基于用戶的。

密碼，密碼學(xué)是一門既古老又新興的學(xué)科，它研究計算機信息加密、解密及其變換，通過各種手段將可識別的信息轉(zhuǎn)變?yōu)闊o法識別的信息，它是數(shù)學(xué)和計算機的交叉學(xué)科。隨著計算機網(wǎng)絡(luò)和計算機通信技術(shù)的發(fā)展，密碼學(xué)得到前所未有的重視并迅速普及和發(fā)展起來。

防火墻，計算機網(wǎng)絡(luò)的特點是資源共享，這是計算機網(wǎng)絡(luò)不斷向前發(fā)展的原動，但這也是引發(fā)網(wǎng)絡(luò)安全最主要的因素。當(dāng)一個內(nèi)部網(wǎng)絡(luò)接入到Internet后，如果沒有相應(yīng)的安全防范措施，相當(dāng)于直接將內(nèi)部的數(shù)據(jù)和資源暴露給外部的入侵者。所以網(wǎng)絡(luò)管理員需要一種能夠有選擇性的允許或拒絕進出網(wǎng)絡(luò)的數(shù)據(jù)的技術(shù)。防火墻無疑一種發(fā)展成熟，且運用廣泛的安全保護技術(shù)。

影響網(wǎng)絡(luò)安全的因素有很多，網(wǎng)絡(luò)安全的主要針對對象是數(shù)據(jù)的安全，對數(shù)據(jù)安全的威脅就是對數(shù)據(jù)的破壞與攻擊。這是網(wǎng)絡(luò)的不安全因素的一方面。而網(wǎng)絡(luò)安全的因素主要取決于網(wǎng)絡(luò)操作系統(tǒng)數(shù)據(jù)文件的密碼技術(shù)，以及網(wǎng)絡(luò)安全病毒的防護。對于數(shù)據(jù)進行安全防護主要采用防火墻技術(shù)而根據(jù)防火墻技術(shù)的分類，又會有想用類型的防火墻。對應(yīng)于相應(yīng)的類型的數(shù)據(jù)，進行匹配。這也要求我們要對網(wǎng)絡(luò)安全的性質(zhì)，防護級別等各方面的因素，進行綜合評估，最后進行最合理的搭配運用。

四、移動互聯(lián)網(wǎng)安全架構(gòu)

三層網(wǎng)絡(luò)結(jié)構(gòu)是采用層次化架構(gòu)的三層網(wǎng)絡(luò)。三層網(wǎng)絡(luò)架構(gòu)采用層次化模型設(shè)計，即將復(fù)雜的網(wǎng)絡(luò)設(shè)計分成幾個層次，每個層次著重于某些特定的功能，這樣就能夠使一個復(fù)雜的大問題變成許多簡單的小問題。三層網(wǎng)絡(luò)架構(gòu)設(shè)計的網(wǎng)絡(luò)有三個層次：核心層（網(wǎng)絡(luò)的高速交換主干）、匯聚層（提供基于策略的連接）、接入層（將工作站接入網(wǎng)絡(luò)）。

核心層安全分析：核心層：核心層是網(wǎng)絡(luò)的高速交換主干，對整個網(wǎng)絡(luò)的連通起到至關(guān)重要的作用。核心層應(yīng)該具有如下幾個特性：可靠性、高效性、冗余性、容錯性、可管理性、適應(yīng)性、低延時性等。在核心層中，應(yīng)該采用高帶寬的千兆以上交換機。因為核心層是網(wǎng)絡(luò)的樞紐中心，重要性突出。核心層設(shè)備采用雙機冗余熱備份是非常必要的，也可以使用負載均衡功能，來改善網(wǎng)絡(luò)性能。網(wǎng)絡(luò)的控制功能最好盡量少在骨干層上實施。核心層一直被認為是所有流量的最終承受者和匯聚者，所以對核心層的設(shè)計以及網(wǎng)絡(luò)設(shè)備的要求十分嚴格。核心層設(shè)備將占投資的主要部分。

匯聚層：匯聚層是網(wǎng)絡(luò)接入層和核心層的“中介”，就是在工作站接入核心層前先做匯聚，以減輕核心層設(shè)備的負荷。匯聚層必須能夠處理來自接入層設(shè)備的所有通信量，并提供到核心層的上行鏈路，因此匯聚層交換機與接入層交換機比較，需要更高的性能，更少的接口和更高的交換速率。匯聚層具有實施策略、安全、工作組接入、虛擬局域網(wǎng)（VLAN）之間的路由、源地址或目的地址過濾等多種功能。在匯聚層中，應(yīng)該采用支持三層交換技術(shù)和VLAN的交換機，以達到網(wǎng)絡(luò)隔離和分段的目的。

接入層：通常將網(wǎng)絡(luò)中直接面向用戶連接或訪問網(wǎng)絡(luò)的部分稱為接入層，接入層目的是允許終端用戶連接到網(wǎng)絡(luò)，因此接入層交換機具有低成本和高端口密度特性。我們在接入層設(shè)計上主張使用性能價格比高的設(shè)備。接入層是最終用戶與網(wǎng)絡(luò)的接口，它應(yīng)該提供即插即用的特性，同時應(yīng)該非常易于使用和維護，同時要考慮端口密度的問題。

接入層為用戶提供了在本地網(wǎng)段訪問應(yīng)用系統(tǒng)的能力，主要解決相鄰用戶之間的互訪需求，并且為這些訪問提供足夠的帶寬，接入層還應(yīng)當(dāng)適當(dāng)負責(zé)一些用戶管理功能（如地址認證、用戶認證、計費管理等），以及用戶信息收集工作（如用戶的IP地址、MAC地址、訪問日志等）。

為了方便管理、提高網(wǎng)絡(luò)性能，大中型網(wǎng)絡(luò)應(yīng)按照標(biāo)準的三層結(jié)構(gòu)設(shè)計。但是，對于網(wǎng)絡(luò)規(guī)模小，聯(lián)網(wǎng)距離較短的環(huán)境，可以采用“收縮核心”設(shè)計。忽略匯聚層，核心層設(shè)備可以直接連接接入層，這樣一定程度上可以省去部分匯聚層費用，還可以減輕維護負擔(dān)，更容易監(jiān)控網(wǎng)絡(luò)狀況。

網(wǎng)絡(luò)安全防護等級以及防護手段，和防護級別的針對性提升，是根據(jù)當(dāng)前互聯(lián)網(wǎng)安全形式嚴峻發(fā)展形勢，做出針對性較強的有力的分級別病毒防護，已達到資源合理分配資源最大化利用和資源充分利用的效果。提高網(wǎng)絡(luò)安全防護效率。這是王安全防護技術(shù)，采用分成制的根本原因及目的，并已初步實現(xiàn)顯著的效果。

五、4G網(wǎng)絡(luò)的安全性分析

隨著移動終端和移動互聯(lián)網(wǎng)的興起，隨著對現(xiàn)代通信技術(shù)要求演變的不斷適應(yīng)和技術(shù)推動性的相應(yīng)提高，在此背景影響下，為適應(yīng)移動互聯(lián)網(wǎng)發(fā)展，催生出適合移動互聯(lián)網(wǎng)通信快速數(shù)據(jù)傳輸移動斷點數(shù)據(jù)傳輸。數(shù)據(jù)通信哥，數(shù)據(jù)通訊保障。無線，變地址定位等一系列新興網(wǎng)絡(luò)通信技術(shù)要求得興起。在我們現(xiàn)有接觸到的，移動互聯(lián)網(wǎng)通訊技術(shù)中。由2G發(fā)展至4G隨著對技術(shù)要求網(wǎng)絡(luò)傳入速度，網(wǎng)絡(luò)傳輸穩(wěn)定性等各方面因素要求的不斷提高。催生出更快、更準確、更便捷和功能更強大的。4G網(wǎng)絡(luò)通訊技術(shù)，而隨著技術(shù)復(fù)雜性技術(shù)技能不斷提升。和難度的提高，對于4G網(wǎng)絡(luò)通信安全技術(shù)防范也提出了更高的要求。對于網(wǎng)絡(luò)現(xiàn)有的防范技術(shù)，也提出了更嚴峻的挑戰(zhàn)。

安全威脅：EPC核心網(wǎng)中的基本缺陷可引起的漏洞包括，基于Diameter協(xié)議的漏洞允許斷開一個或多個訂戶的連接，基于核心網(wǎng)的設(shè)備安全漏洞實現(xiàn)攔截Internet流量和文本消息，導(dǎo)致操作員設(shè)備故障以及執(zhí)行其他非法操作。要利用4G網(wǎng)絡(luò)中的漏洞，攻擊者不需要難以獲得的工具或相當(dāng)技能。

4G核心網(wǎng)組成和協(xié)議：對于4G網(wǎng)絡(luò)，3GGP為網(wǎng)絡(luò)核心開發(fā)了一種新架構(gòu)，即系統(tǒng)架構(gòu)演進（SAE），該架構(gòu)是圍繞演進分組核心（EPC）設(shè)計的。與上一代網(wǎng)絡(luò)相比，EPC的結(jié)構(gòu)更簡單（圖1），在用戶數(shù)據(jù)和服務(wù)信息的傳輸中增加了帶寬并減少了信號延遲。上一代的重要組成部分，即電路交換網(wǎng)絡(luò)已完全消失。取而代之的是，將4G網(wǎng)絡(luò)構(gòu)建為全IP網(wǎng)絡(luò)，其中數(shù)據(jù)和語音呼叫在分組環(huán)境中傳輸。但是，并非所有運營商都已實現(xiàn)了必要的技術(shù)（例如VoIP的IMS），用于通過4G進行語音傳輸。在這種情況下，撥打電話時，用戶的連接會降級為2G / 3G，但是基于2/3G的網(wǎng)絡(luò)安全威脅更是嚴重，在后續(xù)的文檔中會討論，畢竟國內(nèi)的三大運營商都在進行2/3G的退網(wǎng)，4G還是會與5G網(wǎng)絡(luò)并存很長一段時間。

攻擊場景：攻擊者特別感興趣的是用于在EPC組件之間交換信息的特殊接口。這些接口擁有豐富的信令流量，包括服務(wù)和用戶信息。這些接口都沒有內(nèi)置的數(shù)據(jù)加密機制，因此攻擊者可以進行以下攻擊：

攔截用戶MSISDN和IMSI；位置發(fā)現(xiàn)；針對未加密流量的中間人攻擊（攔截對未加密流量的訪問郵件，瀏覽歷史記錄等）；短信攔截；通過數(shù)據(jù)包攔截竊聽VoLTE呼叫；出于欺詐目的的身份欺騙；對訂戶的拒絕服務(wù)攻擊導(dǎo)致在傳輸過程中丟失用戶數(shù)據(jù)，以及VoLTE網(wǎng)絡(luò)上的通話中斷；對設(shè)備的拒絕服務(wù)攻擊導(dǎo)致網(wǎng)絡(luò)中斷。

網(wǎng)絡(luò)破壞者對網(wǎng)絡(luò)攻擊方式，攻擊手段復(fù)雜多樣，除需要加強技術(shù)手段方面的有力防護外還需要個人，以健康、積極、綠色、正義的上網(wǎng)態(tài)度，維護網(wǎng)絡(luò)空間安全。