第3節網絡空間安全發展態勢第1章目

錄01網絡空間安全發展現狀02網絡攻擊手段的變化03網絡安全防護體系的變化04網絡安全防護技術介紹01網絡安全挑戰和機遇我國網絡空間安全發展成就黨的十八大以來，我國網絡安全頂層設計和總體布局不斷強化，網絡安全“四梁八柱”基本確立。從個人信息保護到關鍵信息基礎設施安全保護，從網絡安全審查到大數據安全管理，一批涵蓋網絡安全各個領域的重要制度相繼建立并不斷完善。主要體現在以下幾個方面：成就綜述12354法治思維貫穿網絡安全工作的始終網絡安全國家標準體系日益完善網絡安全應急能力建設不斷加強進一步健全了網絡安全審查制度進一步健全了云計算服務安全評估制度我國網絡空間安全問題現狀雖然我國在信息安全建設、信息安全監管與保障上取得了矚目的成績，但是目前網絡空間的安全形勢依然較為嚴峻。總體體現在以下幾個方面：網絡安全形勢依然嚴峻12345678緩沖區溢出攻擊威脅日益增長社會工程學攻擊常態化移動互聯網成為攻擊重災區工業控制系統安全威脅凸顯軟硬件協同攻擊普通化現有防御手段難以阻擋新型攻擊網絡安全法律法規體系不完善APT攻擊呈現新的態勢緩沖區溢出攻擊威脅日益增長絕大多數的遠程網絡攻擊均為緩沖區溢出漏洞攻擊，這種攻擊可以使得一個匿名的Internet用戶有機會獲得一臺主機的部分或全部的控制權，緩沖區溢出攻擊成為一類極其嚴重的安全威脅。2014年，“心臟滴血(HeartBleed)”漏洞2017年，NTP緩沖區溢出漏洞(CVE-2017-6458)2021年，Sudo堆緩沖區溢出漏洞(CVE-2021-3156)著名緩沖區溢出漏洞攻擊案例APT攻擊呈現新的態勢2010年，震網病毒StuxnetAPT攻擊2016年，APT28RoskosmosAPT攻擊2018年，蔓靈花APT組織針對多國APT攻擊事件APT攻擊的趨勢什么是APT攻擊？APT攻擊（AdvancedPersistentThreat，高級持續性威脅）是利用先進的攻擊手段對特定目標進行長期持續性網絡攻擊的攻擊形式。APT攻擊，從確定攻擊目標到攻擊成功的時間，可能是數個月或長達數年。1.單次攻擊的目標數量減少2.惡意軟件生命周期縮短3.“持久”比“高級”重要4.最大限度地減少惡意基礎設施的使用常見國內外重大APT攻擊事件社會工程學攻擊常態化人肉搜索、社工定位網絡釣魚、信息詐騙信息套取、假冒身份什么是社會工程學攻擊？社會工程學(SocialEngineering)是一種通過對受害者心理弱點、本能反應、好奇心、信任、貪婪等心理缺陷進行諸如欺騙、傷害等的攻擊手段。社會工程學攻擊是一種利用"社會工程學"來實施的攻擊行為。常見社會工程學應用場景移動互聯網成為攻擊重災區隨著移動互聯網發展應用，針對移動終端的攻擊越來越頻繁。移動終端安全威脅手段分布移動終端惡意程序數量統計因手機隨意安裝來歷不明的惡意軟件，最終被攻擊竊取通話記錄、短信等敏感信息。移動終端入侵攻擊案例通話記錄短信記錄移動互聯網成為攻擊重災區STEP2STEP1注：有關于微信數據分析的詳細操作步驟，請參閱第一章/利用流量分析工具分析微信數據.mp4移動終端微信數據分析案例分析步驟連接無線熱點配置抓包工具并訪問微信公眾號STEP3抓取微信公眾號數據STEP4分析微信公眾號數據移動互聯網成為攻擊重災區工業控制系統安全威脅凸顯2020年4月，以色列供水部門工控設施遭到網絡攻擊；2020年5月，委內瑞拉國家電網工控設施遭到攻擊，造成全國大面積停電。簡單工業控制系統拓撲什么是工業控制系統？工業控制系統是指由計算機與工業過程控制部件組成的自動控制系統。工業控制系統安全威脅系統相關的威脅

系統軟件漏洞的攻擊威脅。過程相關的威脅

工業控制系統在生產過程遭受的攻擊。國內外重大工控系統網絡攻擊事件軟硬件協同攻擊普通化隨著大規模集成電路的發展，百億級晶體管時代已經到來，在這些集成電路中很容易布設陷阱且難以發現，物理域的解析或辨識目前幾乎毫無辦法，這種軟硬件協同的網絡攻擊方式將會越來越常見。在設備生產時創建隱藏的超級管理員賬號，而且此賬號其余用戶不可見。后續在硬件部署后，可通過網絡操控服務器中的內容。一些網絡設備或服務器設備生產商，會在設備生產時，加入惡意攻擊代碼或“后門”。例如現有防御手段難以阻擋新型攻擊現有防御手段現有防御手段主要以防病毒、防火墻、入侵檢測系統的傳統“老三樣”來抵擋外來攻擊，但這類防御方式難以應對人為攻擊，且容易被攻擊者所利用。安裝了防火墻，但是無法避免垃圾郵件、病毒傳播以及拒絕服務等攻擊。例如網絡安全法律法規體系不完善我國法律法規建設情況我國建立法律法規標準規范的多維體系根基：《網絡安全法》。建立與《網絡安全法》相配套的網絡安全國家的標準體系：《密碼法》、《數據安全法》、《個人信息保護法》、《關鍵信息基礎設施安全保護條例》、《網絡安全等級保護制度》等。目前存在的問題法律法規之間有內容重復交叉，同一行為有多個行政處罰主體，處罰幅度不一致；法律法規建設跟不上信息技術發展的需要。案例一

2018年韓國平昌冬奧會的非關鍵計算機系統，遭到名為OlympicDestroyer惡意軟件的攻擊，導致奧運會的網站服務器宕機和網絡中斷，用戶無法正常在線打印門票。卡巴斯基將該事件背后的攻擊組織命名為Hades。案例二

2018年5月，Cisco的網絡安全研究部門Talos披露了一起針對IOT設備的攻擊事件，該事件影響了至少全球54個國家和地區的50萬臺設備，包括常用的小型路由器型號、NAS設備等。安全員分析為一段叫VPNFilter的惡意代碼被制作成包含復雜而豐富的功能模塊，實現多階段的攻擊利用。1、上述兩則案例屬于什么攻擊類型？2、為什么會出現這種類型的攻擊？案例分析02網絡攻擊手段的變化傳統的網絡攻擊手段踩點：搜索引擎、域名查詢、whois掃描：IP/端口掃描、OS/應用系統探測提權：破解密碼、各種注入、漏洞利用破壞：上傳病毒木馬、修改網頁、竊取信息后門：創建賬號、安裝監控、銷毀痕跡STEP1STEP2STEP3STEP4STEP5傳統網絡攻擊流程：“黑客攻擊五部曲”傳統網絡攻擊手段的特點直接獲取口令進入系統

網絡監聽、暴力破解利用系統自身安全漏洞MS08-067、MS17-010特洛伊木馬

偽裝成工具程序或游戲等誘導用戶打開或下載WWW欺騙

欺騙用戶訪問篡改過的網頁電子郵件攻擊

郵件炸彈、郵件欺騙旁站攻擊

通過一個節點來攻擊其他節點流量攻擊

拒絕服務攻擊傳統網絡攻擊手段的特點新型網絡攻擊手段的特點網絡攻擊手段變化一自動化01掃描階段攻擊者采用各種新出現的掃描技術來推動掃描工具的發展，研究新型掃描技術，加快掃描速度。020304滲透控制階段由于殺毒軟件和防火墻的存在，傳統的植入方式已經不再有效，隨之出現的先進的隱藏遠程植入方式，能夠成功地躲避防病毒軟件并植入到目標計算機中。傳播攻擊階段以前需要依靠人工啟動工具發起的攻擊，現在發展到由攻擊工具本身主動發起新的攻擊。攻擊工具協調管理階段隨著分布式攻擊工具的出現，攻擊者可以很容易地控制和協調分布在Internet上的大量已經部署的攻擊工具。網絡攻擊手段變化二智能化智能漏洞檢測及利用工具01.智能化工具越來越多普通技術的攻擊者都有可能在較短的時間內向脆弱的計算機網絡系統發起攻擊。02.多數攻擊工具具備了反偵破（隱蔽性）、智能動態行為（智能決策）、攻擊工具變異（多種形態）等特點。攻擊工具越來越先進新型網絡攻擊手段的特點網絡攻擊手段變化三快速化漏洞的發現和利用新發現的各種操作系統與網絡安全漏洞每年都要增加一倍，網絡安全管理員需要不斷用最近的補丁修補相應的漏洞。攻擊者經常能夠搶在廠商發布漏洞補丁之前，發現這些未修補的漏洞同時發起攻擊。什么是0day/1day/Nday漏洞公布很久，流傳很廣的漏洞，一般是用戶缺少安全意識，從漏洞公開發布后很久都沒

有進行修復的漏洞。0day漏洞1day漏洞

Nday漏洞

只有漏洞發現者知曉的漏洞，一般為未公開的漏洞；剛公布后的漏洞，或者公布后還未出現攻擊程序的漏洞或者指剛公布一天的漏洞；新型網絡攻擊手段的特點新型的網絡攻擊手段新型網絡攻擊手段一DRDoS攻擊DRDoS(DistributedReflectionDenialofService)，中文是分布式反射拒絕服務，該方式靠的是發送大量帶有被害者IP地址的數據包給攻擊主機，然后攻擊主機對IP地址源做出大量回應，從而形成拒絕服務攻擊。DRDoS攻擊是基于DDoS攻擊演變出來的新型攻擊。新型網絡攻擊手段二HTTP慢速攻擊HTTP慢速攻擊（SlowHTTP

Attack）是一種DoS攻擊的方式。在發送請求的時候采用慢速發送HTTP請求，就會導致占用一個HTTP連接會話。若發送大量慢速的HTTP請求就會導致拒絕服務攻擊。意大利多個政府網站遭新型DDoS攻擊致癱瘓新型網絡攻擊事件案例2022年5月11日，據意大利安莎通訊社報道稱，意大利多個官方網站遭到黑客大規模DDoS攻擊致服務器癱瘓，包括意大利參議院、意大利機動車協會、意大利國防部、意大利國家衛生所、B2B平臺及意大利著名期刊協會等7家重要機構官網臨時宕機，整整4個小時的時間內，用戶無法訪問。5月12日，意大利某網絡安全實驗室研究發現，該黑客組織是通過智能化的攻擊工具，結合HTTP慢速攻擊發起的DDoS攻擊。意大利CSIRT稱："慢速HTTP"是一種比較少見的DDoS攻擊類型，并警告如果系統管理員不做出針對性處置，那么現有防御措施恐怕將無能為力。03網絡安全防護體系的變化傳統安全防護體系InternetDMZ區Web應用防火墻下一代防火墻辦公區服務器區核心交換機常見網絡安全防護體系邊界防護常見邊界防護產品安全網關、網閘、Web應用防火墻(WAF)、下一代防火墻（NGFW）優點缺點部署簡單，只需在網絡邊界部署相關產品即可。內部脆弱，一旦邊界被黑客突破，即可以長驅直入。新型安全防護體系新型安全防護體系的發展趨勢信息保障技術框架（IATF）美國國家安全局（NSA）制定并發布，為保護美國政府和工業界的信息與信息技術設施提供技術指南，提出了信息保障時代信息基礎設施的全套安全需求。新型安全防護體系的主要特征核心思想三個要素四個焦點領域“深度防御”人技術操作保護網絡和基礎設施保護區域邊界保護計算環境支持性基礎設施支持性基礎設施保護網絡和基礎設施保護計算環境保護區域邊界強調整體全局性的防御！網絡邊界網絡層服務器端數據庫端縱深防御體系

縱深防御特點：基于邊界防御體系的改進版，強調任何防御都不是萬能的，存在被攻破的可能性。即每一個訪問流量都要經過多層安全檢測，一定程度上增加安全檢測能力和被攻破的成本。新型安全防護體系一核心思想：多層防御新型安全防護體系Internet下一代防火墻NGFW網絡邊界區域核心交換機IDS威脅感知網絡層數據庫端服務器端DMZWEB服務器縱深防御體系的實現在Web領域至少會包含幾層:數據庫端、服務器端、網絡層、網絡邊界。優點：缺點：每個產品功能定位清晰、允許不同品牌產品混用、攻擊成本較高、安全性較好各個產品之間缺乏協同機制檢測手段多是基于規則和黑白名單縱深防御拓撲新型安全防護體系新型安全防護體系二河防體系河防體系特點由騰訊lake2提出，通過把對手控制在一個可控范圍，再用豐富的資源將其打敗。核心思想:“控”，即隔離在可控范圍內在具體的應用中，需要在隔離的基礎上，嚴格控制辦公網對生產網絡的訪問，同時在對生產網內部進行隔離的基礎上進行邊界防護及檢測。河防體系適合具有一定安全對抗能力的企業。新型安全防護體系新型安全防護體系三塔防體系塔防體系特點塔防體系本質上也是縱深防御，不過優于縱深防御的是強調了終端要納入安全防御網絡中，具有自我防御能力，并且有了云的管控能力和威脅情報數據。塔防體系也是當前網絡安全行業各種態勢感知產品所參考的防御體系。新型安全防護體系下一代縱深防御特點：從傳統邊界防護過渡到新一代的基于預測、檢測、協同、防御、響應、溯源理念的Web縱深防御。Web應用防火墻（WAF）服務器安全防護（WAG）Web縱深防御系統-云端大腦Web高級威脅態勢感知（WAD）DDoS攻擊防護（ADS）惡意域名信息惡意攻擊設備惡意攻擊IP黑客組織新型安全防護體系四下一代縱深防御體系新型安全防護體系新型安全防護體系五零信任體系什么是零信任？零信任（ZeroTrust，ZT）提供了一系列概念和思想，在假定網絡環境已經被攻陷的前提下，當執行信息系統和服務中的每次訪問請求時，降低其決策準確度的不確定性。零信任體系特點打破默認的“信任”，即“持續驗證，永不信任”。默認不信任企業網絡內外的任何人、設備和系統，基于身份認證和授權重新構建訪問控制的信任基礎，從而確保身份可信、設備可信、應用可信和鏈路可信。新型安全防護體系04網絡安全防護技術介紹常見網絡安全防護技術網絡安全防護技術是指針對目標系統開展網絡安全建設、實施網絡安全保障的所有安全技術的總稱。其技術應用一般以軟硬件的形態來具體實現。網絡安全防護技術傳統防護技術常見的傳統防護技術包括：邊界安全防護技術、應用安全防護技術、數據安全防護技術、安全管理技術、安全檢測技術、終端安全防護技術等。網絡安全防護技術可以分類如下兩大類新型防護技術常見的新型防護技術包括：云安全防護技術、工業互聯網安全防護技術、物聯網安全防護技術、車聯網安全防護技術等。網絡安全防護技術發展現狀我國各行業網絡安全防護技術現狀目前的主流防護模式仍然是以部署安全設備為主的傳統邊界防護。現狀一現狀二現狀三大多數企業缺乏縱深防御機制、未能構建起以多層防護、多級保護為重要支撐的全方位安全保障體系，越來越難以應對當前不斷變化的安全攻防態勢。基于被動的安全防御，缺乏靈活性，無自適應與自發現的能力，難以應對新型的網絡攻擊。零信任將成為數字時代主流的網絡安全架構網絡安全防護技術發展方向未來網絡安全防護技術發展方向01.數字時代下，云計算、大數據、物聯網、人工智能等新興技術的融合與發展使得傳統邊界安全防護理念逐漸失效，而零信任安全建立以身份為中心進行動態訪問控制，必將成為數字時代下主流的網絡安全架構。零信任是面向數字時代的新型安全防護理念，是一種以資源保護為核心的網絡安全范式。02.人工智能賦能網絡攻擊催生新型網絡空間安全威脅隨著人工智能技術的發展，攻擊者傾向于針對惡意代碼攻擊鏈的各個攻擊環節進行賦能，增強攻擊的精準性，提升攻擊的效率與成功率，有效突破網絡安全防護體系，對防御方造成重大損失。在惡意代碼生成構建方面，深度學習賦能惡意代碼生成相較傳統的惡意代碼生成具有明顯優勢，可大幅提升惡意代碼的免殺和生存能力。在惡意代碼攻擊釋放過程中，攻擊者可將深度學習模型作為實施攻擊的核心組件之一，利用深度學習中神經網絡分類器的分類功能，對攻擊目標進行精準識別與打擊。網絡安全防護技術發展方向03.量子技術為網絡空間安全技術的發展注入新動力隨著量子技術的研究與發展，世界將會迎來巨大改變，但只要是新的技術出現，隨之而來的就是其安全問題，量子威脅就是其中一個。目前應對量子威脅的方法主要集中在發展量子密碼和后量子密碼這兩方面，由于量子比特在傳輸過程中無法被準確復制，并且對發送量子態和接收量子態的比較，可以發現傳輸過程中是否存在的截取―測量等竊聽行為，進而