第九章網(wǎng)絡防御概述2023/2/10網(wǎng)絡攻防技術2本章主要內容9.1網(wǎng)絡安全模型9.2網(wǎng)絡安全管理9.3網(wǎng)絡防御技術的發(fā)展趨勢9.1網(wǎng)絡安全模型網(wǎng)絡安全是一個系統(tǒng)工程，它既不是防火墻、入侵檢測，也不是VPN（VirtualPrivateNetwork，虛擬私有網(wǎng)絡），或者認證和授權。它不是這些東西的簡單疊加，網(wǎng)絡安全更為復雜。網(wǎng)絡安全應該是一個動態(tài)的概念，應當采用網(wǎng)絡動態(tài)安全模型描述，給用戶提供更完整、更合理的安全機制。2023/2/10網(wǎng)絡攻防技術39.1網(wǎng)絡安全模型APPDRR模型就是動態(tài)安全模型的代表，隱含了網(wǎng)絡安全的相對性和動態(tài)螺旋上升的過程。該模型由6個英文單詞的首字符組成：風險評估（Assessment）、安全策略（Policy）、系統(tǒng)防護（Protection）、安全檢測（Detection）、安全響應（Reaction）和災難恢復（Restoration）。2023/2/10網(wǎng)絡攻防技術4APPDRR動態(tài)安全模型2023/2/10網(wǎng)絡攻防技術59.1網(wǎng)絡安全模型APPDRR模型六個部分構成了一個動態(tài)的信息安全周期。通過這六個環(huán)節(jié)的循環(huán)流動，網(wǎng)絡安全逐漸地得以完善和提高，從而達到網(wǎng)絡的安全目標。2023/2/10網(wǎng)絡攻防技術69.1網(wǎng)絡安全模型根據(jù)APPDRR模型，網(wǎng)絡安全的第一個重要環(huán)節(jié)是風險評估。通過風險評估，掌握網(wǎng)絡安全面臨的風險信息，進而采取必要的處置措施，使信息組織的網(wǎng)絡安全水平呈現(xiàn)動態(tài)螺旋上升的趨勢。2023/2/10網(wǎng)絡攻防技術79.1網(wǎng)絡安全模型網(wǎng)絡安全策略是APPDRR模型的第二個重要環(huán)節(jié)，起著承上啟下的作用。一方面，安全策略應當隨著風險評估的結果和安全需求的變化做相應的更新；另一方面，安全策略在整個網(wǎng)絡安全工作中處于原則性的指導地位，其后的監(jiān)測、響應諸環(huán)節(jié)都應在安全策略的基礎上展開。2023/2/10網(wǎng)絡攻防技術89.1網(wǎng)絡安全模型系統(tǒng)防護是安全模型中的第三個環(huán)節(jié)，體現(xiàn)了網(wǎng)絡安全的靜態(tài)防護措施。系統(tǒng)防護是系統(tǒng)安全的第一條防線，根據(jù)系統(tǒng)已知的所有安全問題做出防御措施，如打補丁、訪問控制、數(shù)據(jù)加密等。第二條防線就是實時監(jiān)測，攻擊者即使穿過了第一條防線，我們還可通過監(jiān)測系統(tǒng)檢測出攻擊者的入侵行為，確定其身份，包括攻擊源、系統(tǒng)損失等。2023/2/10網(wǎng)絡攻防技術99.1網(wǎng)絡安全模型一旦檢測出入侵，實時響應系統(tǒng)開始響應包括事件處理等其他業(yè)務。安全模型的最后一條防線是災難恢復。在發(fā)生入侵事件，并確認事故原因后，或把系統(tǒng)恢復到原來的狀態(tài)，或修改安全策略，更新防御系統(tǒng)，確保相同類型的入侵事件不再發(fā)生。2023/2/10網(wǎng)絡攻防技術109.1網(wǎng)絡安全模型在APPDRR模型中，并非各個部分的重要程度都是等同的。在安全策略的指導下，進行必要的系統(tǒng)防護有積極的意義。但是，由于網(wǎng)絡安全動態(tài)性的特點，在攻擊與防御的較量中，安全監(jiān)測應該處于一個核心地位。2023/2/10網(wǎng)絡攻防技術119.1.1風險評估網(wǎng)絡安全評估是信息安全生命周期中的一個重要環(huán)節(jié)，它對網(wǎng)絡拓撲結構、重要服務器的位置、帶寬、協(xié)議、硬件、與Internet的接口、防火墻的配置、安全管理措施及應用流程等進行全面地安全分析，并提出安全風險分析報告和改進建議書。2023/2/10網(wǎng)絡攻防技術129.1.1風險評估網(wǎng)絡安全評估具有如下作用：(1)明確企業(yè)信息系統(tǒng)的安全現(xiàn)狀

進行信息安全評估后，可以讓企業(yè)準確地了解自身的網(wǎng)絡、各種應用系統(tǒng)以及管理制度規(guī)范的安全現(xiàn)狀，從而明晰企業(yè)的安全需求。(2)確定企業(yè)信息系統(tǒng)的主要安全風險

在對網(wǎng)絡和應用系統(tǒng)進行信息安全評估并進行風險分級后，可以確定企業(yè)信息系統(tǒng)的主要安全風險，并讓企業(yè)選擇避免、降低、接受等風險處置措施。2023/2/10網(wǎng)絡攻防技術139.1.1風險評估網(wǎng)絡安全評估具有如下作用：(3)指導企業(yè)信息系統(tǒng)安全技術體系與管理體系的建設

對企業(yè)進行信息安全評估后，可以制定企業(yè)網(wǎng)絡和系統(tǒng)的安全策略及安全解決方案，從而指導企業(yè)信息系統(tǒng)安全技術體系（如部署防火墻、入侵檢測與漏洞掃描系統(tǒng)、防病毒系統(tǒng)、數(shù)據(jù)備份系統(tǒng)、建立公鑰基礎設施等）與管理體系（安全組織保證、安全管理制度及安全培訓機制等）的建設。2023/2/10網(wǎng)絡攻防技術149.1.1風險評估網(wǎng)絡安全評估標準是網(wǎng)絡安全評估的行動指南。可信計算機系統(tǒng)安全評估標準（TrustedComputerSystemEvaluationCriteria，TCSEC）信息技術安全評估標準（InformationTechnologySecurityEvaluationCriteria，ITSEC）信息技術安全評價的通用標準（CC）2023/2/10網(wǎng)絡攻防技術159.1.1風險評估網(wǎng)絡安全評估標準是網(wǎng)絡安全評估的行動指南。ISO13335標準BS7799AS/NZS4360:1999OCTAVE（OperationallyCriticalThreat,Asset,andVulnerabilityEvaluation）2023/2/10網(wǎng)絡攻防技術169.1.1風險評估網(wǎng)絡安全評估標準是網(wǎng)絡安全評估的行動指南。GB17895-1999《計算機信息系統(tǒng)安全保護等級劃分準則》ISO15408-2：1999《信息技術安全技術信息技術安全性評估準則》2023/2/10網(wǎng)絡攻防技術179.1.1風險評估風險分析的方法有定性分析、半定量分析和定量分析。現(xiàn)有信息安全評估標準主要采用定性分析法對風險進行分析，即通常采取安全事件發(fā)生的概率來計算風險。現(xiàn)有信息安全評估標準尚不能定量分析。各家專業(yè)評估公司大多數(shù)是憑借各自積累的經(jīng)驗來解決，因此，需要一個統(tǒng)一的信息安全評估標準出臺。2023/2/10網(wǎng)絡攻防技術189.1.2安全策略1.什么是安全策略？所有網(wǎng)絡安全都起始于安全策略，這幾乎已經(jīng)成為了工業(yè)標準。RFC2196“站點安全手冊”中對安全策略給出了定義：安全策略是組織的技術人員和信息使用人員必須遵守的一系列規(guī)則的正規(guī)表達。2023/2/10網(wǎng)絡攻防技術199.1.2安全策略按照授權行為可把安全策略分為基于身份的安全策略和基于規(guī)則的安全策略兩種。基于身份的安全策略：其目的是對數(shù)據(jù)或資源的訪問進行篩選，即用戶可訪問他們的資源的一部分（訪問控制表），或由系統(tǒng)授予用戶特權標記或權力。在這兩種情況下，可訪問的數(shù)據(jù)項的多少會有很大變化。2023/2/10網(wǎng)絡攻防技術209.1.2安全策略按照授權行為可把安全策略分為基于身份的安全策略和基于規(guī)則的安全策略兩種。基于規(guī)則的安全策略：基于規(guī)則的安全策略是系統(tǒng)給主體（用戶、進程）和客體（數(shù)據(jù)）分別標注相應的安全標記，規(guī)定出訪問權限，此標記將作為數(shù)據(jù)項的一部分。2023/2/10網(wǎng)絡攻防技術219.1.2安全策略2.合理制定安全策略根據(jù)系統(tǒng)的實際情況和安全要求，合理地確定安全策略是復雜且重要的。因為安全是相對的，安全技術也是不斷發(fā)展的，安全應有一個合理、明確的要求，這主要體現(xiàn)在安全策略中。網(wǎng)絡系統(tǒng)的安全要求主要是完整性、可用性和機密性。每個內部網(wǎng)要根據(jù)自身的要求確定安全策略。2023/2/10網(wǎng)絡攻防技術229.1.2安全策略2.合理制定安全策略目前的問題是：硬件和軟件大多技術先進，功能多樣，而在安全保密方面沒有明確的安全策略，一旦投入使用，安全漏洞很多。如果在總體設計時就按照安全要求制定出網(wǎng)絡的安全策略并逐步實施，則系統(tǒng)的漏洞就會減少、運行效果更好。2023/2/10網(wǎng)絡攻防技術239.1.2安全策略2.合理制定安全策略網(wǎng)絡的安全問題，是一個比較棘手的事情，它既有軟、硬件的問題，也有人的問題。網(wǎng)絡的整體安全十分重要，方方面面應當考慮周全，這包括對設備、數(shù)據(jù)、郵件、Internet等的使用策略。在對網(wǎng)絡的安全策略的規(guī)劃、設計、實施與維護過程中，必須對保護數(shù)據(jù)信息所需的安全級別有一個較透徹的理解；必須對信息的敏感性加以研究與評估，從而制定出一個能夠提供所需保護級別的安全策略。2023/2/10網(wǎng)絡攻防技術249.1.2安全策略3.安全策略的實施方法安全策略是網(wǎng)絡中的安全系統(tǒng)設計和運行的指導方針，安全系統(tǒng)設計人員可利用安全策略作為建立有效的安全系統(tǒng)的基準點。當然，有了安全策略還要使其發(fā)揮作用，就必須確保開發(fā)策略的過程中所涉及的風險承擔者的選擇是正確的，以使組織的安全目標得以實現(xiàn)。實施安全策略的主要手段有以下四種：

（1）主動實時監(jiān)控（2）被動技術檢查

（3）安全行政檢查（4）契約依從檢查2023/2/10網(wǎng)絡攻防技術259.1.2安全策略3.安全策略的實施方法（1）主動實時監(jiān)控實時監(jiān)控技術是確保安全策略實施最容易、最全面的方法。利用此方法，在沒有操作人員干涉的情況下，用技術手段來確保特定策略的實施。如在防火墻中阻塞入站ICMP，以防止外部對防火墻后面網(wǎng)絡的探測。（2）被動技術檢查可以定期或不定期進行技術檢查，逐個或隨機進行策略依從度檢查。技術作為一種支持，輔助安全人員實施安全策略，而無需操作人員進行干預。如利用一些檢查工具，在操作人員的主機上，檢查操作人員的口令設置、上網(wǎng)記錄、操作日志、處理的秘密信息等。2023/2/10網(wǎng)絡攻防技術269.1.2安全策略3.安全策略的實施方法（3）安全行政檢查與網(wǎng)絡技術人員利用網(wǎng)絡技術進行檢查相比，行政管理人員更多地通過行政手段檢查操作人員使用網(wǎng)絡的情況。比如是否在玩游戲、看電影、聊天或從事與業(yè)務無關的工作等。（4）契約依從檢查契約依從檢查建立在每個用戶都知道自己在網(wǎng)絡安全系統(tǒng)中的職責，而且承諾通過契約形式遵守規(guī)則的基礎之上。這和2、3的檢查結果有密切關聯(lián)，實際上就是在每條策略后面添加說明，將違反策略的后果告知用戶，任何被發(fā)現(xiàn)違反此策略的員工都會受到處罰。這是安全管理的根本，每個操作人員都必須受此類策略的約束。2023/2/10網(wǎng)絡攻防技術279.1.3系統(tǒng)防護目前，網(wǎng)絡安全威脅層出不窮、攻擊手段日趨多樣化，僅僅利用某一種或幾種防御技術已經(jīng)很難抵御威脅，我們需要的是縱深化的、全面的防御，只有構建了綜合的、多點的防御，才能使網(wǎng)絡信息安全得到充分的保障。縱深防御體系被認為是一種最佳的安全做法。這種方法就是在網(wǎng)絡基礎結構中的多個點使用多種安全技術，從而總體上減少攻擊者利用關鍵業(yè)務將資源或信息泄露到外部的可能性。在消息傳遞和協(xié)作環(huán)境中，縱深防御體系還可以幫助管理員及時阻斷惡意行為及惡意代碼的傳播，從而降低威脅進入內部網(wǎng)絡的可能性。2023/2/10網(wǎng)絡攻防技術289.1.3系統(tǒng)防護縱深防御的特點主要有：①多點防御和多層防御；②根據(jù)所保護的對象和應用中所存在的威脅確定安全強度；③所采用的密鑰管理機制和公鑰基礎設施必須能夠支持所有集成的信息保障技術并具有高度的抗攻擊性能；④所采用網(wǎng)絡防御措施必須能檢測入侵行為并可根據(jù)對檢測結果的分析做出相應反應。2023/2/10網(wǎng)絡攻防技術299.1.3系統(tǒng)防護縱深防御并非依賴于單一技術來防御攻擊，從而消除整個網(wǎng)絡安全體系結構中的單點故障。一般在網(wǎng)絡基礎結構內四個點采取保護措施，即網(wǎng)絡邊界、服務器、客戶端以及信息本身。(1)訪問控制網(wǎng)絡防御必須防止未經(jīng)授權訪問網(wǎng)絡、應用程序和網(wǎng)絡數(shù)據(jù)的情況。這需要在網(wǎng)關或非軍事區(qū)提供防火墻保護。這層保護可以使內部服務器免受惡意訪問的影響，包括利用系統(tǒng)和應用程序的網(wǎng)絡攻擊。訪問控制的一般策略主要有自主訪問控制、強制訪問控制和基于角色的訪問控制，常見的控制方法有口令、訪問控制表、訪問能力表和授權關系表等。2023/2/10網(wǎng)絡攻防技術309.1.3系統(tǒng)防護(2)邊界防護網(wǎng)絡的安全威脅來自內部與邊界兩個方面：內部安全是指網(wǎng)絡的合法用戶在使用網(wǎng)絡資源的時候，發(fā)生的不合規(guī)則的行為、誤操作及惡意破壞等，也包括系統(tǒng)自身的健康問題，如軟、硬件的穩(wěn)定性帶來的系統(tǒng)中斷。邊界安全是指網(wǎng)絡與外界互通引起的安全問題，跨邊界的攻擊種類繁多、破壞力強，主要有病毒攻擊。由此，網(wǎng)絡邊界既要能夠保護網(wǎng)絡及訪問免受內部的破壞，還要能夠防止網(wǎng)絡遭受外部的攻擊。一般情況下，可以同時在網(wǎng)絡邊界或網(wǎng)關位置采用防火墻、安全代理、網(wǎng)閘等措施防止外部攻擊，同時采用防病毒和反垃圾郵件保護，阻止通過郵件將攻擊帶入內部網(wǎng)絡。更細一步講，邊界防護的目的有四點，分別是網(wǎng)絡隔離、防范攻擊、優(yōu)化網(wǎng)絡與用戶管理。2023/2/10網(wǎng)絡攻防技術319.1.3系統(tǒng)防護(3)客戶端防護病毒是一段計算機可執(zhí)行的惡意代碼，用戶通過拷貝文件、訪問網(wǎng)站、接收郵件等操作，都可能導致系統(tǒng)被其感染，有些病毒甚至能夠利用系統(tǒng)的漏洞，自動尋找目標進行傳播。一旦計算機被感染上病毒，這些可執(zhí)行代碼可以自動執(zhí)行，破壞計算機系統(tǒng)。防病毒軟件根據(jù)病毒的特征，檢查并清除用戶系統(tǒng)上的病毒。安裝并經(jīng)常更新防病毒軟件會對系統(tǒng)安全起防護作用。除了防病毒，客戶端還需要提供個人防火墻的保護，還可以根據(jù)需要在客戶端部署防止用戶轉發(fā)、打印或共享機密材料的信息控制技術。2023/2/10網(wǎng)絡攻防技術329.1.3系統(tǒng)防護(4)服務器防護安全威脅可能來自網(wǎng)絡外部也可能來自網(wǎng)絡內部，可能是通過授權的計算機發(fā)起的攻擊。例如，一個粗心的內部人員可能無意中將一個受病毒感染的文件從優(yōu)盤復制到一臺安全計算機中，從而造成內網(wǎng)的安全威脅。在服務器中安裝防病毒軟件則可以提供額外的防線，并遏制內部安全事件的威脅，讓它們永遠不能到達網(wǎng)關。2023/2/10網(wǎng)絡攻防技術339.1.3系統(tǒng)防護(5)信息保護數(shù)字信息的保護是信息化帶來的新挑戰(zhàn)。一般情況下使用基于周邊的安全方法來保護數(shù)字信息。防火墻可以限制對于網(wǎng)絡的訪問，而訪問控制列表可以限制對于特定數(shù)據(jù)的訪問。此外，還可以使用加密技術保護數(shù)據(jù)在存儲和傳輸中的安全。2023/2/10網(wǎng)絡攻防技術349.1.4安全檢測檢測有兩種含義：一是自己對系統(tǒng)進行安全檢查，發(fā)現(xiàn)漏洞；二是在網(wǎng)絡內部檢測所有的網(wǎng)絡數(shù)據(jù)，從中發(fā)現(xiàn)入侵行為。上面提到防護系統(tǒng)可以阻止大多數(shù)的入侵事件的發(fā)生，但是它不能阻止所有的入侵，特別是那些利用未公開的系統(tǒng)缺陷、新的攻擊手段的入侵，而對內部違規(guī)操作更是力不從心。1.漏洞掃描2.入侵檢測2023/2/10網(wǎng)絡攻防技術359.1.4安全檢測1.漏洞掃描主要目的是發(fā)現(xiàn)系統(tǒng)漏洞，修補系統(tǒng)和網(wǎng)絡漏洞，提高系統(tǒng)安全性能，從而消除入侵和攻擊的條件。漏洞掃描主要通過以下兩種方法來檢查目標主機是否存在漏洞：①在端口掃描后得知目標主機開啟的端口號以及端口上的網(wǎng)絡服務，將這些相關信息與網(wǎng)絡漏洞掃描系統(tǒng)提供的漏洞庫進行匹配，查看是否有滿足匹配條件的漏洞存在；②通過模擬攻擊者的攻擊手法，對目標主機系統(tǒng)進行攻擊性的安全漏洞掃描，如測試弱口令等。若模擬攻擊成功，則表明目標主機系統(tǒng)存在安全漏洞。2023/2/10網(wǎng)絡攻防技術369.1.4安全檢測2.入侵檢測入侵檢測是防火墻的合理補充，幫助系統(tǒng)對付網(wǎng)絡攻擊，擴展了系統(tǒng)管理員的安全管理能力（包括安全審計、監(jiān)視、進攻識別和響應），提高了信息安全基礎結構的完整性。它從計算機網(wǎng)絡系統(tǒng)中的若干關鍵點收集信息，并分析這些信息，查看網(wǎng)絡中是否有違反安全策略的行為和遭到襲擊的跡象。2023/2/10網(wǎng)絡攻防技術379.1.4安全檢測2.入侵檢測在不影響網(wǎng)絡性能的情況下能對網(wǎng)絡進行監(jiān)測，從而提供對內部攻擊、外部攻擊和誤操作的實時監(jiān)測，被認為是防火墻之后的第二道安全閘門。這些都通過它執(zhí)行以下任務來實現(xiàn)：監(jiān)視、分析用戶及系統(tǒng)活動；系統(tǒng)構造和弱點的審計；識別反映已知進攻的活動模式并向相關人士報警；異常行為模式的統(tǒng)計分析；評估重要系統(tǒng)和數(shù)據(jù)文件的完整性；操作系統(tǒng)審計跟蹤管理，并識別用戶違反安全策略行為。2023/2/10網(wǎng)絡攻防技術389.1.5安全響應響應就是發(fā)現(xiàn)一個攻擊事件之后，對其進行處理。入侵事件的報警可以是入侵檢測系統(tǒng)的報警，也可以是通過其他方式的匯報。響應的主要工作也可以分為兩種：應急響應：當安全事件發(fā)生時采取應對措施，包括進行審計跟蹤、查找事故發(fā)生原因、確定攻擊的來源、定位攻擊損失、落實下一步的防范措施等。其他事件處理：主要包括咨詢、培訓和技術支持。2023/2/10網(wǎng)絡攻防技術399.1.5安全響應安全響應的基本流程如下：(1)密切關注安全事件報告

很多單位在購買和應用安全設備之后，就再也沒有關注過這些設備，根本不知道那里發(fā)生了什么，甚至連防火墻被穿透或攻破都未察覺。實際上，大多數(shù)安全設備都具有報警功能，并會產(chǎn)生詳細的安全事件報告，它能及時提醒用戶可能正在受到攻擊，因此，用戶應該將安全設備的報警與電子郵件等聯(lián)系，密切關注系統(tǒng)信息和日志，以便能在第一時間獲知可疑行為和事件。2023/2/10網(wǎng)絡攻防技術409.1.5安全響應安全響應的基本流程如下：(2)評估可疑的行為

一方面，在安全技術還不夠完善的情況下，例如入侵檢測系統(tǒng)的誤報率就相對較高，嚴格地說報警只是一種提示，安全管理員應該根據(jù)實際情況進行判斷，以確定是否為真實攻擊行為。另一方面，對于確定的多處攻擊或非授權行為，單位還要根據(jù)重要資產(chǎn)優(yōu)先的原則，根據(jù)受影響系統(tǒng)的優(yōu)先級順序和事故嚴重度，分析和評估安全事件等級。2023/2/10網(wǎng)絡攻防技術419.1.5安全響應安全響應的基本流程如下：(3)及時做出正確的響應

單位應該針對不同類型的攻擊制定明細的安全響應步驟，以免在面對攻擊時不知所措。例如調整包括防火墻在內的安全設備所配置的安全策略，甚至斷開網(wǎng)絡連接，以防止攻擊的進一步進行；修補系統(tǒng)漏洞，關閉不必要的服務，避免類似攻擊發(fā)生；如果有數(shù)據(jù)被破壞，注意及時恢復數(shù)據(jù)，同時還要注意保留證據(jù)，甚至進行追蹤溯源，以便在需要時追究其法律責任。2023/2/10網(wǎng)絡攻防技術429.1.5安全響應安全響應的基本流程如下：(4)最后，還要對安全事件進行調查和研究，并吸取經(jīng)驗教訓

在每一次的攻擊事件中，用戶不僅能了解到攻擊者的攻擊途徑和手段，還能從中發(fā)現(xiàn)攻擊的針對點和信息系統(tǒng)的薄弱點，如果事后能借助經(jīng)驗豐富的信息安全專家進行仔細分析，找出攻擊技術的要點以及安全系統(tǒng)的弱點和管理的漏洞，進一步完善網(wǎng)絡的防御系統(tǒng)和響應機制，就能減少以后受攻擊的威脅。2023/2/10網(wǎng)絡攻防技術439.1.6災難恢復災難恢復是APPDRR模型中的最后一個環(huán)節(jié)。災難恢復是事件發(fā)生后，把系統(tǒng)恢復到原來的狀態(tài)，或者比原來更安全的狀態(tài)。災難恢復分為兩個方面：1.系統(tǒng)恢復2.信息恢復2023/2/10網(wǎng)絡攻防技術449.1.6災難恢復1.系統(tǒng)恢復

系統(tǒng)恢復指的是修補該事件所利用的系統(tǒng)缺陷，杜絕攻擊者再次利用這樣的漏洞入侵。一般系統(tǒng)恢復包括系統(tǒng)升級、軟件升級和打補丁等。系統(tǒng)恢復的另一個重要工作是去除后門。一般來說，攻擊者在第一次入侵的時候都是利用系統(tǒng)的缺陷。在第一次入侵成功之后，攻擊者就在系統(tǒng)打開一些后門，如安裝一個木馬程序。所以，盡管系統(tǒng)缺陷已經(jīng)打補丁，攻擊者下一次還是可以通過后門進入系統(tǒng)。系統(tǒng)恢復都是根據(jù)檢測和響應環(huán)節(jié)提供有關事件的資料進行的。2023/2/10網(wǎng)絡攻防技術459.1.6災難恢復2.信息恢復

信息恢復指的是恢復丟失的數(shù)據(jù)。數(shù)據(jù)丟失的原因可能是由于攻擊者入侵造成，也可以是由于系統(tǒng)故障、自然災害等原因造成的。信息恢復就是從備份和歸檔的數(shù)據(jù)恢復原來數(shù)據(jù)。信息恢復過程跟數(shù)據(jù)備份過程有很大的關系。數(shù)據(jù)備份做得是否充分對信息恢復有很大的影響。信息恢復過程的一個特點是有優(yōu)先級別。直接影響日常生活和工作的信息必須先恢復，這樣可以提高信息恢復的效率。2023/2/10網(wǎng)絡攻防技術462023/2/10網(wǎng)絡攻防技術47本章主要內容9.1網(wǎng)絡安全模型9.2網(wǎng)絡安全管理9.3網(wǎng)絡防御技術的發(fā)展趨勢9.2網(wǎng)絡安全管理APPDRR模型側重于技術，對管理的因素并沒有過多的強調。網(wǎng)絡安全體系應該是融合了技術和管理在內的一個全面解決安全問題的體系結構。網(wǎng)絡安全管理的內容主要包括：1.制定網(wǎng)絡安全策略2.進行網(wǎng)絡安全風險評估3.網(wǎng)絡安全風險管理4.確定管制目標和選定管理措施2023/2/10網(wǎng)絡攻防技術489.2網(wǎng)絡安全管理1.制定網(wǎng)絡安全策略在定義安全策略時，要使組織的安全策略和自身的性質一致。作為組織網(wǎng)絡安全的最高方針，必須形成書面的文件，并對員工進行信息安全策略的培訓，對網(wǎng)絡安全負有責任的人員要進行特殊的培訓，使網(wǎng)絡安全的策略落實到實際工作中。2023/2/10網(wǎng)絡攻防技術499.2網(wǎng)絡安全管理2.網(wǎng)絡安全風險評估網(wǎng)絡安全風險評估的復雜度取決于風險的復雜程度和受保護資產(chǎn)的敏感程度，所采用的評估措施應與組織對信息資產(chǎn)的保護要求相一致。對網(wǎng)絡進行風險評估時，不能有僥幸心理，必須將直接后果和潛在后果一并考慮，同時對已存在的或已規(guī)劃的安全管理措施進行鑒定。2023/2/10網(wǎng)絡攻防技術509.2網(wǎng)絡安全管理3.網(wǎng)絡安全風險管理網(wǎng)絡安全的風險很多，且不斷發(fā)生變化，在進行風險評估之后，必須對風險進行管理。管理風險有以下四種手段：(1)降低風險。幾乎所有風險都可以被降低，甚至被消滅。(2)避免風險。通過采用不同的技術、更改操作流程等可能避免風險。(3)轉嫁風險。一般用于那些低概率、但一旦風險發(fā)生時會對組織單位有重大影響的風險。(4)接受風險。采取了降低風險和避免風險的措施后，出于實際和經(jīng)濟的原因，只要組織進行運營，就必然存在并必須接受的風險。2023/2/10網(wǎng)絡攻防技術519.2網(wǎng)絡安全管理4.選擇安全管理措施安全管理包括監(jiān)視網(wǎng)絡危險情況，對危險進行隔離，并把危險控制在最小的范圍內；身份認證、權限設置；對資源和用戶的動態(tài)審計；對違規(guī)事件進行全面記錄，及時進行分析和審計；口令管理，對無權操作人員進行控制；密鑰管理，設置密鑰的生命期、密鑰備份等管理功能；冗余備份，提高關鍵數(shù)據(jù)和服務的可靠性。2023/2/10網(wǎng)絡攻防技術522023/2/10網(wǎng)絡攻防技術53本章主要內容9.1網(wǎng)絡安全模型9.2網(wǎng)絡安全管理9.3網(wǎng)絡防御技術的發(fā)展趨勢9.3網(wǎng)絡防御技術的發(fā)展趨勢現(xiàn)有的網(wǎng)絡安全防御體系綜合采用防火墻、入侵檢測、主機監(jiān)控、身份認證、防病毒軟件、漏洞修補等多種手段構筑堡壘式的剛性防御體系，阻擋或隔絕外界入侵。這種靜態(tài)分層的防御體系是基于威脅特征感知的精確防御，在面對己知攻擊時，具有反應迅速、防護有效的優(yōu)點，但在對抗未知攻擊對手時，則力不從心，且存在自身易被攻擊的危險。2023/2/10網(wǎng)絡攻防技術549.3網(wǎng)絡防御技術的發(fā)展趨勢目前網(wǎng)絡安全“易攻難守”的不對稱態(tài)勢也是被動防御理論體系和技術的基因缺陷所致。更為嚴峻的是，網(wǎng)絡空間信息系統(tǒng)架構和防御體系本質上說都是“靜態(tài)的、相似的和確定的”，體系架構透明、處理空間單一，缺乏多樣性。2023/2/10網(wǎng)絡攻防技術559.3網(wǎng)絡防御技術的發(fā)展趨勢軟件的遺產(chǎn)繼承將導致安全鏈難以閉合，系統(tǒng)缺陷和脆弱性持續(xù)暴露且易于攻擊，使之成為了網(wǎng)絡空間最大的安全黑洞。為有效開展網(wǎng)絡防御，學術界和業(yè)界提出主動防御、動態(tài)防御、軟件定義安全（SoftwareDefinedSecurity，SDS）等防御思想和方法。2023/2/10網(wǎng)絡攻防技術569.3.1主動防御《美國國防部2011年網(wǎng)絡空間防御戰(zhàn)略》首先提出主動防御戰(zhàn)略，旨在提高信息系統(tǒng)同步、實時地發(fā)現(xiàn)、檢測、分析和遷移威脅及脆弱性的能力，特別提高防御方的“反擊攻擊能力、中止攻擊能力和主動欺騙能力”，力求在攻擊鏈的網(wǎng)絡結合帶（NetworkEngagementZone，NEZ）發(fā)現(xiàn)并控制攻擊行動。2023/2/10網(wǎng)絡攻防技術579.3.1主動防御2023/2/10網(wǎng)絡攻防技術589.3.1主動防御網(wǎng)絡主動防御技術主要包括：1.可信計算2.主動認證3.沙箱4.蜜罐5.微虛擬機6.主動誘騙等技術2023/2/10網(wǎng)絡攻防技術599.3.1主動防御1.可信計算2023/2/10網(wǎng)絡攻防技術609.3.1主動防御1.可信計算基本思想：1）首先在計算機系統(tǒng)中建立一個信任根。2）再建立一條信任鏈。3）以此類推，從信任根到硬件平臺，到操作系統(tǒng)，再到應用程序，一級測量認證一級，一級信任一級，把這種信任擴展到整個計算機系統(tǒng)，從而確保整個計算機系統(tǒng)的可信。2023/2/10網(wǎng)絡攻防技術619.3.1主動防御2.主動認證主動認證技術是一種新型的認證技術，能夠不依賴于傳統(tǒng)的口令、密碼、令牌等認證方式，實現(xiàn)對用戶或系統(tǒng)的不間斷、實時、可靠的認證。目前，主動認證技術主要研究可大規(guī)模部署、且無需依賴額外硬件的基于生物特征的認證技術，如“認知指紋”、“可計算指紋”等。認知指紋的可計算行為特征包括：按鍵、眼睛掃描、用戶搜索信息方式、用戶選擇信息方式、用戶閱讀材料方式（包括眼睛對頁面的追蹤、閱讀速度等）、交流方式和結構（電子郵件交換）等。2023/2/10網(wǎng)絡攻防技術629.3.1主動防御3.沙箱沙箱是指為一些不可靠的程序提供試驗而不影響系統(tǒng)運行的環(huán)境。以Sandboxie應用層的沙箱為例，它能夠將應用程序限制在一個沙箱中運行，任何操作只影響沙箱，不能對計算機造成永久性的改變。但是類似于Sandboxie這樣的應用層沙箱，以及類似于Adobe或Chrome中的主從式（Master/Salve）沙箱，都無法抵御針對操作系統(tǒng)內核缺陷的攻擊。因為沙箱無法限制與自己權限相等或更高的代碼執(zhí)行，一旦攻擊者利用內核缺陷執(zhí)行任意的代碼，就能繞開沙箱的限制。2023/2/10網(wǎng)絡攻防技術639.3.1主動防御4.蜜罐蜜罐技術是利用虛擬機構造一個虛假的系統(tǒng)運行環(huán)境，提供給攻擊者探測、攻擊和損害，以幫助防御人員識別攻擊的行為模式（包括戰(zhàn)術、技術和過程）。以DataSoft公司的Nova為例，它是一個典型的智能蜜罐系統(tǒng)，能夠自動掃描真實網(wǎng)絡配置（系統(tǒng)及服務）并采用大量Honeyd輕量級蜜罐生成近真實的虛擬網(wǎng)絡；能夠基于包的大小、分布、TCP標志比例等流量統(tǒng)計特性自動識別攻擊威脅，對登錄嘗試報警。2023/2/10網(wǎng)絡攻防技術649.3.1主動防御5.微虛擬機微虛擬機技術是一種超輕量級的虛擬機生成技術，它能夠在毫秒級創(chuàng)建虛擬機，提供基于硬件虛擬化技術（VirtualizationTechnology，VT）支持的、任務級的虛擬隔離。提供實時攻擊檢測和取證分析能力，在任務中創(chuàng)建子進程時，在任務中打開、保存或讀取文件時，直接訪問原始存儲設備時，對剪貼板進行訪問時，對內核內存和重要系統(tǒng)文件進行修改時，甚至當有PDF提交DNS解析申請時，都會觸發(fā)警報信息。在攻擊遏制方面，與檢測后阻塞攻擊、采用沙箱限制攻擊相比，微虛擬機防范攻擊具有隔離攻擊更加徹底、對系統(tǒng)造成的影響最小的鮮明特點。2023/2/10網(wǎng)絡攻防技術659.3.1主動防御6.主動誘騙主動誘騙技術屬于數(shù)據(jù)丟失中止（DataLossPrevention，DLP）或數(shù)據(jù)丟失告警（DataLossAlerting，DLA）技術，包括對敏感文檔嵌入水印，裝配誘騙性文檔并對其訪問行為報警，文檔被非授權訪問時的自銷毀技術等。特別適用于發(fā)現(xiàn)內部人員竊密或身份冒充竊密。2023/2/10網(wǎng)絡攻防技術669.3.1主動防御6.主動誘騙此外，主動誘騙技術的應用還包括：(1)網(wǎng)絡和行為誘騙。通過偽造網(wǎng)絡數(shù)據(jù)流并嵌入用戶登錄憑證的方式，誘騙網(wǎng)絡監(jiān)聽攻擊者使用截獲的憑證登錄取證系統(tǒng)或服務，進而檢測攻擊行為；(2)基于云的誘騙。云端服務一旦發(fā)現(xiàn)攻擊則提供虛假的數(shù)據(jù)或計算資源；(3)移動誘騙。采用與真實App相似的誘騙App，引誘攻擊者下載安裝。2023/2/10網(wǎng)絡攻防技術679.3.2動態(tài)防御動態(tài)防御體現(xiàn)了網(wǎng)絡空間安全游戲規(guī)則的新理念和新技術。這種技術旨在通過部署和運行不確定、隨機動態(tài)的網(wǎng)絡和系統(tǒng)，大幅提高攻擊成本，改變網(wǎng)絡防御的被動態(tài)勢。動態(tài)防御的方向一經(jīng)確立，相關研究迅速展開，美國政府、陸軍、海軍、空軍相繼安排了動態(tài)防御研發(fā)項目，在理論研究和技術實現(xiàn)的兩個方面都取得了初步成果。2023/2/10網(wǎng)絡攻防技術689.3.2動態(tài)防御1.動態(tài)防御主要思想從防御思想上分類，動態(tài)防御主要有：（1）移動目標防御（2）網(wǎng)絡空間擬態(tài)防御（3）動態(tài)賦能網(wǎng)絡空間防御2023/2/10網(wǎng)絡攻防技術699.3.2動態(tài)防御1.動態(tài)防御主要思想（1）移動目標防御

為解決易攻難守這一當前網(wǎng)絡安全面臨的核心問題，移動目標防御提出“允許系統(tǒng)漏洞存在，但不允許對方利用”的全新安全思路，其核心思想是通過增加系統(tǒng)的隨機性（不確定性）或者是減少系統(tǒng)的可預見性，來對抗攻擊者利用網(wǎng)絡系統(tǒng)相對靜止的屬性發(fā)動的進攻。2023/2/10網(wǎng)絡攻防技術709.3.2動態(tài)防御1.動態(tài)防御主要思想（2）網(wǎng)絡空間擬態(tài)防御

擬態(tài)現(xiàn)象（MP）是指一種生物在色彩、紋理和形狀等特征上模擬另一種生物或環(huán)境，從而使一方或雙方受益的生態(tài)適應現(xiàn)象。按防御行為分類可將其列入基于內生機理的主動防御范疇，又可稱之為擬態(tài)偽裝（MG）。如果這種偽裝不僅限于色彩、紋理和形狀上，而且在行為和形態(tài)上也能模擬另一種生物或環(huán)境，稱之為“擬態(tài)防御”（MD）。2023/2/10網(wǎng)絡攻防技術719.3.2動態(tài)防御1.動態(tài)防御主要思想（2）網(wǎng)絡空間擬態(tài)防御

將擬態(tài)防御引入到網(wǎng)絡空間，能夠幫助解決網(wǎng)絡空間安全問題，尤其是面對當前最大的安全威脅——未知漏洞后門，病毒木馬等不確定威脅時，具有顯著效果，克服了傳統(tǒng)安全方法的諸多問題，網(wǎng)絡空間擬態(tài)防御（CyberspaceMimicDefense，CMD）理論應運而生。2023/2/10網(wǎng)絡攻防技術729.3.2動態(tài)防御1.動態(tài)防御主要思想（2）網(wǎng)絡空間擬態(tài)防御

CMD在技術上以融合多種主動防御要素為宗旨：以異構性、多樣或多元性改變目標系統(tǒng)的相似性、單一性；以動態(tài)性、隨機性改變目標系統(tǒng)的靜態(tài)性、確定性；以異構冗余多模裁決機制識別和屏蔽未知缺陷與未明威脅；以高可靠性架構增強目標系統(tǒng)服務功能的柔韌性或彈性；以系統(tǒng)的視在不確定屬性防御或拒止針對目標系統(tǒng)的不確定性威脅。用基于動態(tài)異構冗余（DHR）的一體化技術架構集約化地實現(xiàn)上述目標。2023/2/10網(wǎng)絡攻防技術739.3.2動態(tài)防御1.動態(tài)防御主要思想（2）網(wǎng)絡空間擬態(tài)防御

CMD的基本概念可以簡單歸納為“五個一”：一個公理，“人人都存在這樣或那樣的缺點，但極少出現(xiàn)在獨立完成同樣任務時，多數(shù)人在同一個地方、同一時間、犯完全一樣錯誤的情形”；一種架構，動態(tài)異構冗余架構；一種運行機制，“去協(xié)同化”條件下的多模裁決和多維動態(tài)重構機制；一個思想，“移動攻擊表面”（MAS）思想；一種非線性安全增益，純粹通過架構內生機理獲得的擬態(tài)防御增益（MDG）。2023/2/10網(wǎng)絡攻防技術749.3.2動態(tài)防御1.動態(tài)防御主要思想（3）動態(tài)賦能網(wǎng)絡空間防御

動態(tài)賦能網(wǎng)絡空間防御將“變”的思想應用于網(wǎng)絡空間防御體系中，提出動態(tài)賦能理念，在不可預測性的基礎上，將“變”的思想進行系統(tǒng)化、體系化的應用，通過動態(tài)變化的技術機理和體系，制造網(wǎng)絡空間的“迷霧”，使攻擊者找不到攻擊目標、接入路徑和系統(tǒng)漏洞，以期徹底改變安全防護工作長期以來的被動局面。2023/2/10網(wǎng)絡攻防技術759.3.2動態(tài)防御1.動態(tài)防御主要思想（3）動態(tài)賦能網(wǎng)絡空間防御

使得攻擊者在攻擊信息系統(tǒng)時達到以下效果的一部分或者全部：①難以發(fā)現(xiàn)目標；②發(fā)現(xiàn)錯誤目標；③發(fā)現(xiàn)目標而不可實施攻擊；④實施攻擊而不可持續(xù)；⑤實施攻擊但很快被檢測到。任何適應以上范疇的技術都可以隸屬到動態(tài)賦能網(wǎng)絡安全防御技術的范疇。2023/2/10網(wǎng)絡攻防技術769.3.2動態(tài)防御2.動態(tài)防御主要技術動態(tài)防御的每一種技術都是以保護信息系統(tǒng)中的某種實體為目的。一般來說，信息系統(tǒng)中的實體主要包括軟件、網(wǎng)絡節(jié)點、計算平臺、數(shù)據(jù)等。為此，動態(tài)防御技術也可主要分為軟件動態(tài)防御技術、網(wǎng)絡動態(tài)防御技術、平臺動態(tài)防御技術和數(shù)據(jù)動態(tài)防御技術四種。2023/2/10網(wǎng)絡攻防技術779.3.2動態(tài)防御2.動態(tài)防御主要技術2023/2/10網(wǎng)絡攻防技術789.3.2動態(tài)防御2.動態(tài)防御主要技術（1）軟件動態(tài)防御技術

軟件動態(tài)防御技術指動態(tài)更改應用程序自身及其執(zhí)行環(huán)境的技術，包括更改指令集、內存空間分布以及更改程序指令或其執(zhí)行順序、分組或格式等。相關技術主要有地址空間布局隨機化技術、指令集隨機化技術、就地代碼隨機化技術、軟件多態(tài)化技術和多變體執(zhí)行技術等。2023/2/10網(wǎng)絡攻防技術799.3.2動態(tài)防御2.動態(tài)防御主要技術（2）網(wǎng)絡動態(tài)防御技術

網(wǎng)絡動態(tài)防御技術指在網(wǎng)絡層面實施動態(tài)防御，具體是指在網(wǎng)絡拓撲、網(wǎng)絡配置、網(wǎng)絡資源、網(wǎng)絡節(jié)點、網(wǎng)絡業(yè)務等網(wǎng)絡要素方面，通過動態(tài)化、虛擬化和隨機化方法，打破網(wǎng)絡各要素靜態(tài)性、確定性和相似性的缺陷，抵御針對目標網(wǎng)絡的惡意攻擊，提升攻擊者網(wǎng)絡探測和內網(wǎng)節(jié)點滲透的攻擊難度。2023/2/10網(wǎng)絡攻防技術809.3.2動態(tài)防御2.動態(tài)防御主要技術（2）網(wǎng)絡動態(tài)防御技術

相關技術主要有動態(tài)網(wǎng)絡地址轉換技術、網(wǎng)絡地址空間隨機化分配技術、端口跳變技術、地址跳變技術、路徑跳變技術、端信息跳變防護技術及基于覆蓋網(wǎng)絡的相關動態(tài)防護技術等。2023/2/