第9章網(wǎng)絡(luò)安全新技術(shù)及應(yīng)用

1、第第9章章 網(wǎng)絡(luò)安全新技術(shù)及應(yīng)用網(wǎng)絡(luò)安全新技術(shù)及應(yīng)用 n本章學(xué)習(xí)學(xué)習(xí)目標(biāo)本章學(xué)習(xí)學(xué)習(xí)目標(biāo) 隨著現(xiàn)代信息技術(shù)及通信網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展，近年來出隨著現(xiàn)代信息技術(shù)及通信網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展，近年來出現(xiàn)了可信計(jì)算、蜜罐網(wǎng)絡(luò)等安全技術(shù)，從嶄新的角度來解決網(wǎng)現(xiàn)了可信計(jì)算、蜜罐網(wǎng)絡(luò)等安全技術(shù)，從嶄新的角度來解決網(wǎng)絡(luò)安全問題。通過本章的學(xué)習(xí)使學(xué)生了解可信計(jì)算的基本功能絡(luò)安全問題。通過本章的學(xué)習(xí)使學(xué)生了解可信計(jì)算的基本功能和體系結(jié)構(gòu)，電子取證的概念基本特征以及取證過程，蜜罐網(wǎng)和體系結(jié)構(gòu)，電子取證的概念基本特征以及取證過程，蜜罐網(wǎng)絡(luò)和基本特征，最后了解安全評(píng)估的基本準(zhǔn)則及步驟。絡(luò)和基本特征，最后了解安全評(píng)估的基本準(zhǔn)

2、則及步驟。n本章本章知識(shí)點(diǎn)知識(shí)點(diǎn)n 可信計(jì)算體系結(jié)構(gòu)和功能可信計(jì)算體系結(jié)構(gòu)和功能n 電子取證的概念、特征及計(jì)算機(jī)取證步驟電子取證的概念、特征及計(jì)算機(jī)取證步驟n 蜜罐網(wǎng)絡(luò)的發(fā)展、基本特征和體系架構(gòu)蜜罐網(wǎng)絡(luò)的發(fā)展、基本特征和體系架構(gòu)n 安全風(fēng)險(xiǎn)評(píng)估的基本準(zhǔn)則及步驟安全風(fēng)險(xiǎn)評(píng)估的基本準(zhǔn)則及步驟2022-3-72第第9章章 網(wǎng)絡(luò)安全新技術(shù)及應(yīng)用網(wǎng)絡(luò)安全新技術(shù)及應(yīng)用9.1 可信計(jì)算可信計(jì)算9.2 電子取證技術(shù)電子取證技術(shù)9.3 蜜罐網(wǎng)絡(luò)技術(shù)蜜罐網(wǎng)絡(luò)技術(shù)9.4 信息安全風(fēng)險(xiǎn)評(píng)估信息安全風(fēng)險(xiǎn)評(píng)估2022-3-739.1 可信計(jì)算可信計(jì)算n9.1.1 可信計(jì)算發(fā)展歷程可信計(jì)算發(fā)展歷程 可信計(jì)算技術(shù)的發(fā)展歷程可

3、以分為以下四個(gè)階段可信計(jì)算技術(shù)的發(fā)展歷程可以分為以下四個(gè)階段: 1. 20世紀(jì)世紀(jì)70年代初期，年代初期，J.P.Anderson首次提出可信首次提出可信系統(tǒng)（系統(tǒng)（Trusted System）概念。）概念。 2. 20世紀(jì)世紀(jì)80年代初期，美國國防部提出了可信計(jì)算年代初期，美國國防部提出了可信計(jì)算機(jī)系統(tǒng)安全的評(píng)價(jià)準(zhǔn)則機(jī)系統(tǒng)安全的評(píng)價(jià)準(zhǔn)則TCSEC ，這就是安全領(lǐng)域著名，這就是安全領(lǐng)域著名的橙皮書，其中包括可信計(jì)算基的概念。的橙皮書，其中包括可信計(jì)算基的概念。 3. 本世紀(jì)初，由本世紀(jì)初，由Intel、Compaq、HP、IBM等國際等國際著名著名IT公司聯(lián)合組建了公司聯(lián)合組建了可信計(jì)算平臺(tái)

4、聯(lián)盟可信計(jì)算平臺(tái)聯(lián)盟”。2002年年初微軟提出了初微軟提出了“可信賴的計(jì)算可信賴的計(jì)算” 4. 2003年年4月，月，TCPA被重組為被重組為“可信計(jì)算組織可信計(jì)算組織”(簡簡稱稱TCG）。）。9.1.2 可信計(jì)算的概念及本質(zhì)可信計(jì)算的概念及本質(zhì)n9.1.2 可信計(jì)算的概念及本質(zhì)可信計(jì)算的概念及本質(zhì) 1.概念概念 目前關(guān)于目前關(guān)于“可信可信”的概念，并沒有一個(gè)公的概念，并沒有一個(gè)公認(rèn)的定義，但在不同文獻(xiàn)中所定義的可信基本認(rèn)的定義，但在不同文獻(xiàn)中所定義的可信基本特征是一致的。代表性的概念解釋有特征是一致的。代表性的概念解釋有4種。種。 2.本質(zhì)本質(zhì) 依據(jù)依據(jù)TCG的觀點(diǎn)，可信計(jì)算的本質(zhì)為：通的觀

5、點(diǎn)，可信計(jì)算的本質(zhì)為：通過增強(qiáng)現(xiàn)有的終端體系結(jié)構(gòu)的安全性來保證整過增強(qiáng)現(xiàn)有的終端體系結(jié)構(gòu)的安全性來保證整個(gè)系統(tǒng)的安全，從終端安全啟動(dòng)到關(guān)鍵組件個(gè)系統(tǒng)的安全，從終端安全啟動(dòng)到關(guān)鍵組件2022-3-749.1.2 可信計(jì)算的概念及本質(zhì)可信計(jì)算的概念及本質(zhì) 運(yùn)行時(shí)可信，不斷地延伸信任鏈，最后通過可運(yùn)行時(shí)可信，不斷地延伸信任鏈，最后通過可信的網(wǎng)絡(luò)連接將信任域推廣到整個(gè)網(wǎng)絡(luò)。信的網(wǎng)絡(luò)連接將信任域推廣到整個(gè)網(wǎng)絡(luò)。 2022-3-759.1.3 可信計(jì)算平臺(tái)基本屬性與功能可信計(jì)算平臺(tái)基本屬性與功能n1. 基本屬性基本屬性 （1）用戶身份的唯一性，用戶工作空間的完整）用戶身份的唯一性，用戶工作空間的完整性與私

6、有性；性與私有性； （2）硬件環(huán)境配置、）硬件環(huán)境配置、OS內(nèi)核、服務(wù)及應(yīng)用程內(nèi)核、服務(wù)及應(yīng)用程序的完整性；序的完整性； （3）存儲(chǔ)、處理、傳輸信息的保密性和完整性）存儲(chǔ)、處理、傳輸信息的保密性和完整性n2. 基本功能基本功能 （1）保護(hù)能力）保護(hù)能力 2022-3-769.1.3 可信計(jì)算平臺(tái)基本屬性與功能可信計(jì)算平臺(tái)基本屬性與功能 （2）完整性度量）完整性度量 （3）完整性存儲(chǔ)）完整性存儲(chǔ) （4）完整性報(bào)告）完整性報(bào)告n9.1.4可信平臺(tái)芯片模塊(TPM)n9.1.5可信PC軟件體系架構(gòu)n9.1.6可信網(wǎng)絡(luò)連接 可信網(wǎng)絡(luò)連接（簡稱可信網(wǎng)絡(luò)連接（簡稱TNC），本質(zhì)上就是要從），本質(zhì)上就是要從

7、終端的完整性開始，建立安全的網(wǎng)絡(luò)連接。終端的完整性開始，建立安全的網(wǎng)絡(luò)連接。 2022-3-779.1.3 可信計(jì)算平臺(tái)基本屬性與功能可信計(jì)算平臺(tái)基本屬性與功能n首先，需要?jiǎng)?chuàng)建一套在可信網(wǎng)絡(luò)內(nèi)部系統(tǒng)運(yùn)行首先，需要?jiǎng)?chuàng)建一套在可信網(wǎng)絡(luò)內(nèi)部系統(tǒng)運(yùn)行狀況的策略，然后只有遵守網(wǎng)絡(luò)設(shè)定策略終端狀況的策略，然后只有遵守網(wǎng)絡(luò)設(shè)定策略終端才能訪問網(wǎng)絡(luò)，網(wǎng)絡(luò)將隔離和定位那些不遵守才能訪問網(wǎng)絡(luò)，網(wǎng)絡(luò)將隔離和定位那些不遵守策略的設(shè)備。策略的設(shè)備。nTNC框架主要提供如下功能：框架主要提供如下功能： 1. 平臺(tái)認(rèn)證平臺(tái)認(rèn)證 2. 終端安全策略終端安全策略 3. 訪問策略訪問策略 2022-3-789.1.3 可信計(jì)算平

8、臺(tái)基本屬性與功能可信計(jì)算平臺(tái)基本屬性與功能 4. 評(píng)估、隔離及補(bǔ)救評(píng)估、隔離及補(bǔ)救nTNC的架構(gòu)分為三類實(shí)體：請(qǐng)求訪問者、策略的架構(gòu)分為三類實(shí)體：請(qǐng)求訪問者、策略執(zhí)行者、策略定義者。執(zhí)行者、策略定義者。nTNC體系架構(gòu)在縱向分為三個(gè)層次，從下到上體系架構(gòu)在縱向分為三個(gè)層次，從下到上為：為： 1. 網(wǎng)絡(luò)訪問層網(wǎng)絡(luò)訪問層 2. 完整性評(píng)估層完整性評(píng)估層 3. 完整性度量層完整性度量層2022-3-799.1.7 可信計(jì)算所面臨的挑戰(zhàn)可信計(jì)算所面臨的挑戰(zhàn)n目前，可信計(jì)算技術(shù)正逐步走向成熟，其中所存在的目前，可信計(jì)算技術(shù)正逐步走向成熟，其中所存在的主要問題及面臨的挑戰(zhàn)如下：主要問題及面臨的挑戰(zhàn)如下：n

9、1.TPM安全性與測評(píng)安全性與測評(píng)n2.信任基礎(chǔ)設(shè)施構(gòu)建研究信任基礎(chǔ)設(shè)施構(gòu)建研究n3.遠(yuǎn)程證明中平臺(tái)隱私保護(hù)研究遠(yuǎn)程證明中平臺(tái)隱私保護(hù)研究2022-3-7109.2 電子取證技術(shù)電子取證技術(shù)n9.2.1 電子取證技術(shù)概述電子取證技術(shù)概述n在國外打擊計(jì)算機(jī)犯罪已有二三十年的歷史，對(duì)計(jì)算在國外打擊計(jì)算機(jī)犯罪已有二三十年的歷史，對(duì)計(jì)算機(jī)取證的技術(shù)研究、專門工具軟件的開發(fā)以及相關(guān)商機(jī)取證的技術(shù)研究、專門工具軟件的開發(fā)以及相關(guān)商業(yè)服務(wù)出現(xiàn)始于業(yè)服務(wù)出現(xiàn)始于90年代中后期，出現(xiàn)了許多專門的計(jì)年代中后期，出現(xiàn)了許多專門的計(jì)算機(jī)取證部門、實(shí)驗(yàn)室和咨詢服務(wù)公司。算機(jī)取證部門、實(shí)驗(yàn)室和咨詢服務(wù)公司。n我國的計(jì)算機(jī)

10、普及與應(yīng)用起步較晚，有關(guān)計(jì)算機(jī)取證我國的計(jì)算機(jī)普及與應(yīng)用起步較晚，有關(guān)計(jì)算機(jī)取證的研究與實(shí)踐工作也僅有的研究與實(shí)踐工作也僅有10年的歷史，計(jì)算機(jī)取證相年的歷史，計(jì)算機(jī)取證相關(guān)行業(yè)卻取得了長足進(jìn)步，各個(gè)省市都建立了專門打關(guān)行業(yè)卻取得了長足進(jìn)步，各個(gè)省市都建立了專門打擊計(jì)算機(jī)犯罪的網(wǎng)絡(luò)警察隊(duì)伍。擊計(jì)算機(jī)犯罪的網(wǎng)絡(luò)警察隊(duì)伍。n根據(jù)電子證據(jù)的來源，電子證據(jù)可以分成兩類：主機(jī)根據(jù)電子證據(jù)的來源，電子證據(jù)可以分成兩類：主機(jī)電子取證和網(wǎng)絡(luò)電子取證。電子取證和網(wǎng)絡(luò)電子取證。2022-3-7119.2.1 電子證據(jù)特點(diǎn)和取證原則電子證據(jù)特點(diǎn)和取證原則n電子證據(jù)具有以下特性：電子證據(jù)具有以下特性： 1、高科技性、

11、高科技性 2、易破壞性、易破壞性 3、隱蔽性、隱蔽性 4、表現(xiàn)形式的多樣性、表現(xiàn)形式的多樣性 5、能被精確復(fù)制、能被精確復(fù)制 6、可恢復(fù)性、可恢復(fù)性2022-3-7129.2.2 電子證據(jù)特點(diǎn)和取證原則電子證據(jù)特點(diǎn)和取證原則n電子證據(jù)的取證原則：電子證據(jù)的取證原則： 1. 保持?jǐn)?shù)據(jù)的原始性保持?jǐn)?shù)據(jù)的原始性 2. 保持?jǐn)?shù)據(jù)在分析和傳遞過程中的完整性保持?jǐn)?shù)據(jù)在分析和傳遞過程中的完整性 3. 保持證據(jù)連續(xù)性保持證據(jù)連續(xù)性 4. 取證過程的可認(rèn)證性取證過程的可認(rèn)證性 5. 取證過程和結(jié)論可重現(xiàn)取證過程和結(jié)論可重現(xiàn) 2022-3-7139.2.3 靜態(tài)取證技術(shù)靜態(tài)取證技術(shù)n9.2.3靜態(tài)取證技術(shù)靜態(tài)取證

12、技術(shù)n1. 靜態(tài)取證步驟靜態(tài)取證步驟 共分為共分為5個(gè)步驟個(gè)步驟n2. 靜態(tài)取證系統(tǒng)結(jié)構(gòu)靜態(tài)取證系統(tǒng)結(jié)構(gòu)n3. 靜態(tài)取證的關(guān)鍵技術(shù)靜態(tài)取證的關(guān)鍵技術(shù) （1）磁盤映像拷貝技術(shù)）磁盤映像拷貝技術(shù) （2）數(shù)據(jù)恢復(fù)技術(shù)）數(shù)據(jù)恢復(fù)技術(shù) （3）證據(jù)分析技術(shù)）證據(jù)分析技術(shù) （4）加密解密技術(shù)）加密解密技術(shù)2022-3-7149.2.4 動(dòng)態(tài)取證技術(shù)動(dòng)態(tài)取證技術(shù)n網(wǎng)絡(luò)動(dòng)態(tài)電子取證技術(shù)，在是取證人員取得授權(quán)的情網(wǎng)絡(luò)動(dòng)態(tài)電子取證技術(shù)，在是取證人員取得授權(quán)的情況下，將取證設(shè)施部署于犯罪者最可能經(jīng)過的網(wǎng)絡(luò)，況下，將取證設(shè)施部署于犯罪者最可能經(jīng)過的網(wǎng)絡(luò)，利用已掌握的犯罪特征，從網(wǎng)絡(luò)中過濾出正在實(shí)施的利用已掌握的犯罪特征

13、，從網(wǎng)絡(luò)中過濾出正在實(shí)施的犯罪，因此基于網(wǎng)絡(luò)的動(dòng)態(tài)取證屬于犯罪過程中取證犯罪，因此基于網(wǎng)絡(luò)的動(dòng)態(tài)取證屬于犯罪過程中取證，更有利于及時(shí)抓捕犯罪分子，降低其社會(huì)危害。，更有利于及時(shí)抓捕犯罪分子，降低其社會(huì)危害。n動(dòng)態(tài)取證的證據(jù)主要包括兩部分，其一是實(shí)施犯罪的動(dòng)態(tài)取證的證據(jù)主要包括兩部分，其一是實(shí)施犯罪的原始網(wǎng)絡(luò)數(shù)據(jù)，另一則是實(shí)施犯罪的網(wǎng)絡(luò)數(shù)據(jù)在經(jīng)過原始網(wǎng)絡(luò)數(shù)據(jù)，另一則是實(shí)施犯罪的網(wǎng)絡(luò)數(shù)據(jù)在經(jīng)過的網(wǎng)絡(luò)設(shè)備和目標(biāo)系統(tǒng)中留下的檢測信息、各種日志的網(wǎng)絡(luò)設(shè)備和目標(biāo)系統(tǒng)中留下的檢測信息、各種日志等。等。n網(wǎng)絡(luò)動(dòng)態(tài)電子取證的過程網(wǎng)絡(luò)動(dòng)態(tài)電子取證的過程2022-3-7159.2.5 電子取證相關(guān)工具電子取證相關(guān)工

14、具n9.2.5 電子取證相關(guān)工具電子取證相關(guān)工具 1. EnCase軟件軟件 Encase 軟件由美國軟件由美國Software Guidance 公司研發(fā)公司研發(fā)，是一個(gè)基于，是一個(gè)基于Windows 操作系統(tǒng)的取證應(yīng)用程序，操作系統(tǒng)的取證應(yīng)用程序，為目前使用最為廣泛的計(jì)算機(jī)取證工具。為目前使用最為廣泛的計(jì)算機(jī)取證工具。 2. Forensic Toolkit Forensic Toolkit由美國由美國Access Data 公司研發(fā)，是公司研發(fā)，是一系列基于命令行的工具包，是美國警方標(biāo)準(zhǔn)配備。一系列基于命令行的工具包，是美國警方標(biāo)準(zhǔn)配備。 3. TCT 為了協(xié)助計(jì)算機(jī)取證而設(shè)計(jì)的軟件包。

15、為了協(xié)助計(jì)算機(jī)取證而設(shè)計(jì)的軟件包。 2022-3-7162022-3-7179.3 蜜罐網(wǎng)絡(luò)技術(shù)蜜罐網(wǎng)絡(luò)技術(shù)n9.3.1 蜜網(wǎng)的概念與發(fā)展歷程蜜網(wǎng)的概念與發(fā)展歷程n9.3.2 蜜網(wǎng)技術(shù)的特點(diǎn)蜜網(wǎng)技術(shù)的特點(diǎn)n9.3.3 蜜網(wǎng)的局限性蜜網(wǎng)的局限性n9.3.4 蜜網(wǎng)體系的核心機(jī)制蜜網(wǎng)體系的核心機(jī)制n9.3.5 第一代蜜網(wǎng)技術(shù)第一代蜜網(wǎng)技術(shù)n9.3.6 第二代蜜網(wǎng)技術(shù)第二代蜜網(wǎng)技術(shù)n9.3.7 虛擬蜜網(wǎng)技術(shù)虛擬蜜網(wǎng)技術(shù)n9.3.8 第三代蜜網(wǎng)技術(shù)第三代蜜網(wǎng)技術(shù)n9.3.9 蜜網(wǎng)應(yīng)用實(shí)例蜜網(wǎng)應(yīng)用實(shí)例n9.3.10 蜜網(wǎng)技術(shù)展望蜜網(wǎng)技術(shù)展望9.3.1 蜜網(wǎng)的概念與發(fā)展歷程蜜網(wǎng)的概念與發(fā)展歷程n9.3.1

16、蜜網(wǎng)的概念與發(fā)展歷程蜜網(wǎng)的概念與發(fā)展歷程 1. 蜜網(wǎng)概念蜜網(wǎng)概念 2. 發(fā)展歷程發(fā)展歷程 蜜網(wǎng)技術(shù)的發(fā)展主要經(jīng)歷三個(gè)階段蜜網(wǎng)技術(shù)的發(fā)展主要經(jīng)歷三個(gè)階段: （1）第一代蜜網(wǎng)技術(shù)）第一代蜜網(wǎng)技術(shù)(1999-2001年年)：蜜網(wǎng)早期研：蜜網(wǎng)早期研究關(guān)注于驗(yàn)證蜜網(wǎng)理論，試驗(yàn)蜜網(wǎng)模型。究關(guān)注于驗(yàn)證蜜網(wǎng)理論，試驗(yàn)蜜網(wǎng)模型。 （2）第二代蜜網(wǎng)技術(shù)）第二代蜜網(wǎng)技術(shù)(2002-2004年年)：從早期的驗(yàn)：從早期的驗(yàn)證蜜網(wǎng)理論轉(zhuǎn)移到簡化蜜網(wǎng)應(yīng)用。證蜜網(wǎng)理論轉(zhuǎn)移到簡化蜜網(wǎng)應(yīng)用。 （3）第三代蜜網(wǎng)技術(shù)（）第三代蜜網(wǎng)技術(shù)（2005年至今）：具有多層次年至今）：具有多層次的數(shù)據(jù)控制機(jī)制，全面的數(shù)據(jù)捕獲機(jī)制，深層次的數(shù)的數(shù)

17、據(jù)控制機(jī)制，全面的數(shù)據(jù)捕獲機(jī)制，深層次的數(shù)據(jù)分析機(jī)制以及高效、靈活的配置和管理機(jī)制。據(jù)分析機(jī)制以及高效、靈活的配置和管理機(jī)制。2022-3-7189.3.2 蜜網(wǎng)技術(shù)的特點(diǎn)蜜網(wǎng)技術(shù)的特點(diǎn)n1. 蜜網(wǎng)是一個(gè)網(wǎng)絡(luò)系統(tǒng)，而并非單一主機(jī)。蜜網(wǎng)是一個(gè)網(wǎng)絡(luò)系統(tǒng)，而并非單一主機(jī)。n2. 蜜網(wǎng)作為一種主動(dòng)防御方式，在主動(dòng)搜集進(jìn)蜜網(wǎng)作為一種主動(dòng)防御方式，在主動(dòng)搜集進(jìn)攻者情報(bào)的基礎(chǔ)上，事先做好預(yù)警和準(zhǔn)備，把攻者情報(bào)的基礎(chǔ)上，事先做好預(yù)警和準(zhǔn)備，把進(jìn)攻者的攻擊扼殺于萌芽狀態(tài)，最少是可以降進(jìn)攻者的攻擊扼殺于萌芽狀態(tài)，最少是可以降低攻擊者進(jìn)攻的有效性。低攻擊者進(jìn)攻的有效性。n3. 蜜網(wǎng)除了主動(dòng)防御黑客攻擊外，也可以了解

18、蜜網(wǎng)除了主動(dòng)防御黑客攻擊外，也可以了解自身的安全狀況。自身的安全狀況。n4. 蜜網(wǎng)是為了了解攻擊者的信息而設(shè)計(jì)的。蜜網(wǎng)是為了了解攻擊者的信息而設(shè)計(jì)的。2022-3-7199.3.3 蜜網(wǎng)的局限性蜜網(wǎng)的局限性n9.3.3 蜜網(wǎng)的局限性蜜網(wǎng)的局限性1.蜜網(wǎng)的最大局限性是有限的觀察能力，它僅能監(jiān)聽與蜜網(wǎng)的最大局限性是有限的觀察能力，它僅能監(jiān)聽與分析針對(duì)蜜網(wǎng)內(nèi)部蜜罐的攻擊行為。分析針對(duì)蜜網(wǎng)內(nèi)部蜜罐的攻擊行為。2. 蜜網(wǎng)雖然具有觀察、捕獲、學(xué)習(xí)攻擊的能力，但學(xué)習(xí)蜜網(wǎng)雖然具有觀察、捕獲、學(xué)習(xí)攻擊的能力，但學(xué)習(xí)到新的攻擊方法仍及時(shí)需要補(bǔ)充到入侵檢測系統(tǒng)的知到新的攻擊方法仍及時(shí)需要補(bǔ)充到入侵檢測系統(tǒng)的知識(shí)庫中

19、，這樣才能提高入侵檢測的性能和整個(gè)系統(tǒng)的識(shí)庫中，這樣才能提高入侵檢測的性能和整個(gè)系統(tǒng)的安全性。安全性。3. 蜜網(wǎng)是一種有效的主動(dòng)防御技術(shù)，它的優(yōu)勢是傳統(tǒng)的蜜網(wǎng)是一種有效的主動(dòng)防御技術(shù)，它的優(yōu)勢是傳統(tǒng)的被動(dòng)防御手段所無法比擬的，但是我們也不能忽視蜜被動(dòng)防御手段所無法比擬的，但是我們也不能忽視蜜網(wǎng)的實(shí)施給系統(tǒng)安全所帶來的風(fēng)險(xiǎn)。（三類風(fēng)險(xiǎn)）網(wǎng)的實(shí)施給系統(tǒng)安全所帶來的風(fēng)險(xiǎn)。（三類風(fēng)險(xiǎn)）2022-3-7209.3.4 蜜網(wǎng)體系的核心機(jī)制蜜網(wǎng)體系的核心機(jī)制n蜜網(wǎng)體系通常具有三種核心機(jī)制：數(shù)據(jù)控制、數(shù)據(jù)捕蜜網(wǎng)體系通常具有三種核心機(jī)制：數(shù)據(jù)控制、數(shù)據(jù)捕獲和數(shù)據(jù)采集，它們一起協(xié)同工作用來實(shí)現(xiàn)蜜網(wǎng)主動(dòng)獲和數(shù)據(jù)采集

20、，它們一起協(xié)同工作用來實(shí)現(xiàn)蜜網(wǎng)主動(dòng)防御的核心價(jià)值和功能，并有效地降低系統(tǒng)風(fēng)險(xiǎn)。防御的核心價(jià)值和功能，并有效地降低系統(tǒng)風(fēng)險(xiǎn)。n1. 數(shù)據(jù)控制：目的是確保蜜網(wǎng)中被攻陷的蜜罐主機(jī)不數(shù)據(jù)控制：目的是確保蜜網(wǎng)中被攻陷的蜜罐主機(jī)不會(huì)被利用攻擊蜜網(wǎng)之外的其他主機(jī)。會(huì)被利用攻擊蜜網(wǎng)之外的其他主機(jī)。n2.數(shù)據(jù)捕獲：目的是在黑客無察覺的狀態(tài)下捕獲所有數(shù)據(jù)捕獲：目的是在黑客無察覺的狀態(tài)下捕獲所有活動(dòng)與攻擊行為所產(chǎn)生的網(wǎng)絡(luò)通信量，從而才能進(jìn)一活動(dòng)與攻擊行為所產(chǎn)生的網(wǎng)絡(luò)通信量，從而才能進(jìn)一步分析黑客的攻擊目的、所使用的策略與攻擊工具等步分析黑客的攻擊目的、所使用的策略與攻擊工具等n3、數(shù)據(jù)采集：目的是針對(duì)預(yù)先部署的具有

21、多個(gè)邏輯或、數(shù)據(jù)采集：目的是針對(duì)預(yù)先部署的具有多個(gè)邏輯或物理的蜜網(wǎng)所構(gòu)成的分布式蜜網(wǎng)體系結(jié)構(gòu)，對(duì)捕獲的物理的蜜網(wǎng)所構(gòu)成的分布式蜜網(wǎng)體系結(jié)構(gòu)，對(duì)捕獲的黑客行為信息進(jìn)行收集。黑客行為信息進(jìn)行收集。2022-3-7219.3.5 第一代蜜網(wǎng)技術(shù)第一代蜜網(wǎng)技術(shù)n第一代蜜網(wǎng)技術(shù)產(chǎn)生于第一代蜜網(wǎng)技術(shù)產(chǎn)生于1999年，它是第一個(gè)可以實(shí)現(xiàn)年，它是第一個(gè)可以實(shí)現(xiàn)真正交互性的蜜罐，并且在捕獲大量信息以及未知攻真正交互性的蜜罐，并且在捕獲大量信息以及未知攻擊方式方面優(yōu)于傳統(tǒng)的蜜罐方案。擊方式方面優(yōu)于傳統(tǒng)的蜜罐方案。n1.數(shù)據(jù)控制：在第一代蜜網(wǎng)體系結(jié)構(gòu)中，數(shù)據(jù)控制機(jī)數(shù)據(jù)控制：在第一代蜜網(wǎng)體系結(jié)構(gòu)中，數(shù)據(jù)控制機(jī)制是由防

22、火墻、入侵檢測系統(tǒng)和路由器共同聯(lián)動(dòng)實(shí)現(xiàn)制是由防火墻、入侵檢測系統(tǒng)和路由器共同聯(lián)動(dòng)實(shí)現(xiàn)n2. 數(shù)據(jù)捕獲：從多個(gè)層次、多個(gè)數(shù)據(jù)源中捕獲數(shù)據(jù)，數(shù)據(jù)捕獲：從多個(gè)層次、多個(gè)數(shù)據(jù)源中捕獲數(shù)據(jù)，將會(huì)掌握更多的黑客攻擊行為。將會(huì)掌握更多的黑客攻擊行為。n3. 第一代蜜網(wǎng)體系架構(gòu)屬于單個(gè)部署的蜜網(wǎng)，因此除第一代蜜網(wǎng)體系架構(gòu)屬于單個(gè)部署的蜜網(wǎng)，因此除了在蜜網(wǎng)本身內(nèi)部的數(shù)據(jù)管理之外，數(shù)據(jù)采集機(jī)制在了在蜜網(wǎng)本身內(nèi)部的數(shù)據(jù)管理之外，數(shù)據(jù)采集機(jī)制在這里沒有體現(xiàn)。這里沒有體現(xiàn)。2022-3-7229.3.6 第二代蜜網(wǎng)技術(shù)第二代蜜網(wǎng)技術(shù)n第二代蜜網(wǎng)技術(shù)與第一代蜜網(wǎng)相比，在系統(tǒng)靈活性、第二代蜜網(wǎng)技術(shù)與第一代蜜網(wǎng)相比，在系統(tǒng)靈

23、活性、可管理性和安全性等方面都有所改進(jìn)可管理性和安全性等方面都有所改進(jìn).n1.數(shù)據(jù)控制機(jī)制的改進(jìn)數(shù)據(jù)控制機(jī)制的改進(jìn)n2.數(shù)據(jù)捕獲機(jī)制的改進(jìn)數(shù)據(jù)捕獲機(jī)制的改進(jìn)2022-3-7239.3.7 虛擬蜜網(wǎng)技術(shù)虛擬蜜網(wǎng)技術(shù)n目前可以將虛擬蜜網(wǎng)體系結(jié)構(gòu)細(xì)分為兩類：自治型虛目前可以將虛擬蜜網(wǎng)體系結(jié)構(gòu)細(xì)分為兩類：自治型虛擬蜜網(wǎng)和混雜型虛擬蜜網(wǎng)。擬蜜網(wǎng)和混雜型虛擬蜜網(wǎng)。n1. 自治型虛擬蜜網(wǎng)自治型虛擬蜜網(wǎng) 它是將整個(gè)蜜網(wǎng)系統(tǒng)在一臺(tái)物理機(jī)器上集中實(shí)現(xiàn)，它是將整個(gè)蜜網(wǎng)系統(tǒng)在一臺(tái)物理機(jī)器上集中實(shí)現(xiàn)，包括用于完成數(shù)據(jù)控制和數(shù)據(jù)捕獲的二層網(wǎng)關(guān)和多個(gè)包括用于完成數(shù)據(jù)控制和數(shù)據(jù)捕獲的二層網(wǎng)關(guān)和多個(gè)虛擬蜜罐。虛擬蜜罐。n2.

24、混雜型虛擬蜜網(wǎng)混雜型虛擬蜜網(wǎng) 多個(gè)蜜罐仍然在另一個(gè)機(jī)器上基于虛擬機(jī)技術(shù)在不多個(gè)蜜罐仍然在另一個(gè)機(jī)器上基于虛擬機(jī)技術(shù)在不同的客戶操作系統(tǒng)上運(yùn)行。同的客戶操作系統(tǒng)上運(yùn)行。2022-3-7249.3.8 第三代蜜網(wǎng)技術(shù)第三代蜜網(wǎng)技術(shù)n1. 數(shù)據(jù)控制機(jī)制數(shù)據(jù)控制機(jī)制 第三代蜜網(wǎng)體系結(jié)構(gòu)中在蜜網(wǎng)網(wǎng)關(guān)上使用了多層次第三代蜜網(wǎng)體系結(jié)構(gòu)中在蜜網(wǎng)網(wǎng)關(guān)上使用了多層次的數(shù)據(jù)控制機(jī)制。的數(shù)據(jù)控制機(jī)制。n2. 數(shù)據(jù)捕獲機(jī)制數(shù)據(jù)捕獲機(jī)制 第三代蜜網(wǎng)體系結(jié)構(gòu)中主要結(jié)合第三代蜜網(wǎng)體系結(jié)構(gòu)中主要結(jié)合Argus（流監(jiān)視器（流監(jiān)視器）、）、Snort（入侵檢測系統(tǒng)）、（入侵檢測系統(tǒng)）、p0f （被動(dòng)操作系統(tǒng)識(shí)（被動(dòng)操作系統(tǒng)識(shí)別器）

25、、別器）、Sebek（數(shù)據(jù)收集器）等關(guān)鍵組件對(duì)黑客攻（數(shù)據(jù)收集器）等關(guān)鍵組件對(duì)黑客攻擊行為進(jìn)行多層次捕獲。擊行為進(jìn)行多層次捕獲。n3. 數(shù)據(jù)集中與分析機(jī)制數(shù)據(jù)集中與分析機(jī)制2022-3-7259.3.9 蜜網(wǎng)應(yīng)用實(shí)例蜜網(wǎng)應(yīng)用實(shí)例n本節(jié)給出一個(gè)基于第三代蜜網(wǎng)技術(shù)的應(yīng)用實(shí)例，介紹本節(jié)給出一個(gè)基于第三代蜜網(wǎng)技術(shù)的應(yīng)用實(shí)例，介紹蜜網(wǎng)體系結(jié)構(gòu)在安全局域網(wǎng)的主動(dòng)防御中的具體應(yīng)用蜜網(wǎng)體系結(jié)構(gòu)在安全局域網(wǎng)的主動(dòng)防御中的具體應(yīng)用與部署。與部署。2022-3-7269.3.10 蜜網(wǎng)技術(shù)展望蜜網(wǎng)技術(shù)展望n密網(wǎng)技術(shù)經(jīng)過近十年的發(fā)展，具有主動(dòng)防御的顯著特密網(wǎng)技術(shù)經(jīng)過近十年的發(fā)展，具有主動(dòng)防御的顯著特點(diǎn)，但在核心機(jī)制上

26、還不夠完善，有待于進(jìn)一步的改點(diǎn)，但在核心機(jī)制上還不夠完善，有待于進(jìn)一步的改進(jìn)。進(jìn)。 1.有效地提高蜜網(wǎng)的三種關(guān)鍵核心機(jī)制有效地提高蜜網(wǎng)的三種關(guān)鍵核心機(jī)制. 2.增強(qiáng)蜜網(wǎng)體系的跨平臺(tái)能力增強(qiáng)蜜網(wǎng)體系的跨平臺(tái)能力 3.需要平衡高交互能力和高風(fēng)險(xiǎn)兩者之間的矛盾需要平衡高交互能力和高風(fēng)險(xiǎn)兩者之間的矛盾 4.確保蜜網(wǎng)體系的可生存性值得進(jìn)一步地探索。確保蜜網(wǎng)體系的可生存性值得進(jìn)一步地探索。 5. 拓展蜜網(wǎng)技術(shù)的應(yīng)用背景，使其能夠面向多種通信拓展蜜網(wǎng)技術(shù)的應(yīng)用背景，使其能夠面向多種通信網(wǎng)絡(luò)環(huán)境，發(fā)揮其主動(dòng)防御的能力。網(wǎng)絡(luò)環(huán)境，發(fā)揮其主動(dòng)防御的能力。 2022-3-7279.4 信息安全風(fēng)險(xiǎn)評(píng)估信息安全風(fēng)險(xiǎn)評(píng)

27、估 人們對(duì)信息安全內(nèi)涵的認(rèn)識(shí)不斷深入，從最初的信息保密性發(fā)展到了信息的完整性、可用性、可控性和不可否認(rèn)性，進(jìn)而又提出和發(fā)展了“攻（攻擊）、防（防范）、測（檢測）、控（控制）、管（管理）、評(píng)（評(píng)估）”眾多方面基礎(chǔ)理論和專業(yè)技術(shù)，其中信息安全風(fēng)險(xiǎn)評(píng)估逐漸成為安全管理領(lǐng)域的一個(gè)重要手段和工具。 信息安全是一個(gè)動(dòng)態(tài)的復(fù)雜過程，貫穿信息資產(chǎn)和信息系統(tǒng)的整個(gè)生命周期，是信息安全管理的基礎(chǔ)和關(guān)鍵環(huán)節(jié)，必須按照風(fēng)險(xiǎn)管理思想，對(duì)可能的威脅、脆弱性和需要保護(hù)的信息資產(chǎn)進(jìn)行分析，依據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果對(duì)信息系統(tǒng)選擇適當(dāng)?shù)陌踩胧?，以妥善?yīng)對(duì)可能面對(duì)的威脅和可能發(fā)生的風(fēng)險(xiǎn)，有針對(duì)性進(jìn)行管理。 9.4.1 信息安全風(fēng)險(xiǎn)評(píng)估的

28、概念1、信息安全風(fēng)險(xiǎn)評(píng)估的定義 信息安全風(fēng)險(xiǎn)評(píng)估是從風(fēng)險(xiǎn)管理角度，運(yùn)用定性、定量的科學(xué)分析方法和手段，系統(tǒng)地分析信息和信息系統(tǒng)等資產(chǎn)所面臨的人為的和自然的威脅，以及威脅事件一旦發(fā)生系統(tǒng)可能遭受的危害程度，有針對(duì)性地提出抵御威脅的安全等級(jí)防護(hù)對(duì)策和整改措施，從而最大限度地減少經(jīng)濟(jì)損失和負(fù)面影響。9.4.1 信息安全風(fēng)險(xiǎn)評(píng)估的概念2、相關(guān)概念n資產(chǎn)(Asset)n資產(chǎn)價(jià)值（Asset Value）n信息安全風(fēng)險(xiǎn)（Information Security Risk） n信息安全風(fēng)險(xiǎn)評(píng)估（Information Security Risk Assessment） n威脅（Threat） n脆弱性（Vu

29、lnerability） n安全事件（Security Event） n安全措施（Security Measure） n安全需求（Security Requirement） n殘余風(fēng)險(xiǎn)（Residual Risk） 9.4.1 信息安全風(fēng)險(xiǎn)評(píng)估的概念3、風(fēng)險(xiǎn)評(píng)估的基本要素及關(guān)系9.4.2 信息安全風(fēng)險(xiǎn)評(píng)估的發(fā)展歷程信息安全風(fēng)險(xiǎn)評(píng)估的發(fā)展歷程n第一個(gè)階段（20世紀(jì)6070年代），以計(jì)算機(jī)為對(duì)象的信息保密階段。 n第二個(gè)階段（20世紀(jì)8090年代），以計(jì)算機(jī)和網(wǎng)絡(luò)為對(duì)象信息安全保護(hù)階段。 n第三個(gè)階段（20世紀(jì)90年代末至今），以信息系統(tǒng)關(guān)鍵基礎(chǔ)設(shè)施為對(duì)象的信息保障階段。 9.4.3 我國在信息安全風(fēng)險(xiǎn)評(píng)估方面的政策和工作n 進(jìn)入21世紀(jì)，我國的風(fēng)險(xiǎn)評(píng)估工作取得了較快的發(fā)展，中辦發(fā)200327號(hào)文件“國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見”明確提出“要重視信息安全風(fēng)險(xiǎn)評(píng)估工作，對(duì)網(wǎng)絡(luò)與信息系統(tǒng)安全的潛在威脅、薄弱環(huán)節(jié)、防范措施等進(jìn)行分析評(píng)估，綜合考慮網(wǎng)絡(luò)與信息系統(tǒng)的重要性、涉密程度和面臨