網(wǎng)絡(luò)安全技術(shù)及應(yīng)用課件

第9章網(wǎng)絡(luò)安全新技術(shù)及應(yīng)用本章學習學習目標

隨著現(xiàn)代信息技術(shù)及通信網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展，近年來出現(xiàn)了可信計算、蜜罐網(wǎng)絡(luò)等安全技術(shù)，從嶄新的角度來解決網(wǎng)絡(luò)安全問題。通過本章的學習使學生了解可信計算的基本功能和體系結(jié)構(gòu)，電子取證的概念基本特征以及取證過程，蜜罐網(wǎng)絡(luò)和基本特征，最后了解安全評估的基本準則及步驟。本章知識點可信計算體系結(jié)構(gòu)和功能電子取證的概念、特征及計算機取證步驟蜜罐網(wǎng)絡(luò)的發(fā)展、基本特征和體系架構(gòu)安全風險評估的基本準則及步驟第9章網(wǎng)絡(luò)安全新技術(shù)及應(yīng)用本章學習學習目標2022/11/232第9章網(wǎng)絡(luò)安全新技術(shù)及應(yīng)用9.1可信計算9.2電子取證技術(shù)9.3蜜罐網(wǎng)絡(luò)技術(shù)9.4信息安全風險評估2022/11/222第9章網(wǎng)絡(luò)安全新技術(shù)及應(yīng)用9.12022/11/2339.1可信計算9.1.1可信計算發(fā)展歷程可信計算技術(shù)的發(fā)展歷程可以分為以下四個階段:1.20世紀70年代初期，J.P.Anderson首次提出可信系統(tǒng)（TrustedSystem）概念。2.20世紀80年代初期，美國國防部提出了可信計算機系統(tǒng)安全的評價準則TCSEC，這就是安全領(lǐng)域著名的橙皮書，其中包括可信計算基的概念。3.本世紀初，由Intel、Compaq、HP、IBM等國際著名IT公司聯(lián)合組建了’’可信計算平臺聯(lián)盟”。2002年初微軟提出了“可信賴的計算”

4.2003年4月，TCPA被重組為“可信計算組織”(簡稱TCG）。2022/11/2239.1可信計算9.1.1可信計算發(fā)9.1.2可信計算的概念及本質(zhì)9.1.2可信計算的概念及本質(zhì)1.概念目前關(guān)于“可信”的概念，并沒有一個公認的定義，但在不同文獻中所定義的可信基本特征是一致的。代表性的概念解釋有4種。2.本質(zhì)依據(jù)TCG的觀點，可信計算的本質(zhì)為：通過增強現(xiàn)有的終端體系結(jié)構(gòu)的安全性來保證整個系統(tǒng)的安全，從終端安全啟動到關(guān)鍵組件2022/11/2349.1.2可信計算的概念及本質(zhì)9.1.2可信計算的概念及9.1.2可信計算的概念及本質(zhì)運行時可信，不斷地延伸信任鏈，最后通過可信的網(wǎng)絡(luò)連接將信任域推廣到整個網(wǎng)絡(luò)。

2022/11/2359.1.2可信計算的概念及本質(zhì)運行時可信，不斷地延伸9.1.3可信計算平臺基本屬性與功能1.基本屬性

（1）用戶身份的唯一性，用戶工作空間的完整性與私有性；（2）硬件環(huán)境配置、OS內(nèi)核、服務(wù)及應(yīng)用程序的完整性；（3）存儲、處理、傳輸信息的保密性和完整性2.基本功能

（1）保護能力

2022/11/2369.1.3可信計算平臺基本屬性與功能1.基本屬性20229.1.3可信計算平臺基本屬性與功能

（2）完整性度量

（3）完整性存儲（4）完整性報告9.1.4可信平臺芯片模塊(TPM)9.1.5可信PC軟件體系架構(gòu)9.1.6可信網(wǎng)絡(luò)連接可信網(wǎng)絡(luò)連接（簡稱TNC），本質(zhì)上就是要從終端的完整性開始，建立安全的網(wǎng)絡(luò)連接。

2022/11/2379.1.3可信計算平臺基本屬性與功能（2）完整性度量29.1.3可信計算平臺基本屬性與功能首先，需要創(chuàng)建一套在可信網(wǎng)絡(luò)內(nèi)部系統(tǒng)運行狀況的策略，然后只有遵守網(wǎng)絡(luò)設(shè)定策略終端才能訪問網(wǎng)絡(luò)，網(wǎng)絡(luò)將隔離和定位那些不遵守策略的設(shè)備。TNC框架主要提供如下功能：1.平臺認證2.終端安全策略3.訪問策略

2022/11/2389.1.3可信計算平臺基本屬性與功能首先，需要創(chuàng)建一套在可9.1.3可信計算平臺基本屬性與功能4.評估、隔離及補救TNC的架構(gòu)分為三類實體：請求訪問者、策略執(zhí)行者、策略定義者。TNC體系架構(gòu)在縱向分為三個層次，從下到上為：1.網(wǎng)絡(luò)訪問層2.完整性評估層3.完整性度量層2022/11/2399.1.3可信計算平臺基本屬性與功能4.評估、9.1.7可信計算所面臨的挑戰(zhàn)目前，可信計算技術(shù)正逐步走向成熟，其中所存在的主要問題及面臨的挑戰(zhàn)如下：1.TPM安全性與測評2.信任基礎(chǔ)設(shè)施構(gòu)建研究3.遠程證明中平臺隱私保護研究2022/11/23109.1.7可信計算所面臨的挑戰(zhàn)目前，可信計算技術(shù)正逐步走向9.2電子取證技術(shù)9.2.1電子取證技術(shù)概述在國外打擊計算機犯罪已有二三十年的歷史，對計算機取證的技術(shù)研究、專門工具軟件的開發(fā)以及相關(guān)商業(yè)服務(wù)出現(xiàn)始于90年代中后期，出現(xiàn)了許多專門的計算機取證部門、實驗室和咨詢服務(wù)公司。我國的計算機普及與應(yīng)用起步較晚，有關(guān)計算機取證的研究與實踐工作也僅有10年的歷史，計算機取證相關(guān)行業(yè)卻取得了長足進步，各個省市都建立了專門打擊計算機犯罪的網(wǎng)絡(luò)警察隊伍。根據(jù)電子證據(jù)的來源，電子證據(jù)可以分成兩類：主機電子取證和網(wǎng)絡(luò)電子取證。2022/11/23119.2電子取證技術(shù)9.2.1電子取證技術(shù)概述2022/19.2.1電子證據(jù)特點和取證原則電子證據(jù)具有以下特性：1、高科技性2、易破壞性3、隱蔽性4、表現(xiàn)形式的多樣性5、能被精確復制6、可恢復性2022/11/23129.2.1電子證據(jù)特點和取證原則電子證據(jù)具有以下特性：209.2.2電子證據(jù)特點和取證原則電子證據(jù)的取證原則：1.保持數(shù)據(jù)的原始性2.保持數(shù)據(jù)在分析和傳遞過程中的完整性3.保持證據(jù)連續(xù)性4.取證過程的可認證性5.取證過程和結(jié)論可重現(xiàn)

2022/11/23139.2.2電子證據(jù)特點和取證原則電子證據(jù)的取證原則：2029.2.3靜態(tài)取證技術(shù)9.2.3靜態(tài)取證技術(shù)1.靜態(tài)取證步驟

共分為5個步驟2.靜態(tài)取證系統(tǒng)結(jié)構(gòu)3.靜態(tài)取證的關(guān)鍵技術(shù)

（1）磁盤映像拷貝技術(shù)

（2）數(shù)據(jù)恢復技術(shù)

（3）證據(jù)分析技術(shù)

（4）加密解密技術(shù)2022/11/23149.2.3靜態(tài)取證技術(shù)9.2.3靜態(tài)取證技術(shù)2022/119.2.4動態(tài)取證技術(shù)網(wǎng)絡(luò)動態(tài)電子取證技術(shù)，在是取證人員取得授權(quán)的情況下，將取證設(shè)施部署于犯罪者最可能經(jīng)過的網(wǎng)絡(luò)，利用已掌握的犯罪特征，從網(wǎng)絡(luò)中過濾出正在實施的犯罪，因此基于網(wǎng)絡(luò)的動態(tài)取證屬于犯罪過程中取證，更有利于及時抓捕犯罪分子，降低其社會危害。動態(tài)取證的證據(jù)主要包括兩部分，其一是實施犯罪的原始網(wǎng)絡(luò)數(shù)據(jù)，另一則是實施犯罪的網(wǎng)絡(luò)數(shù)據(jù)在經(jīng)過的網(wǎng)絡(luò)設(shè)備和目標系統(tǒng)中留下的檢測信息、各種日志等。網(wǎng)絡(luò)動態(tài)電子取證的過程2022/11/23159.2.4動態(tài)取證技術(shù)網(wǎng)絡(luò)動態(tài)電子取證技術(shù)，在是取證人員9.2.5電子取證相關(guān)工具9.2.5電子取證相關(guān)工具

1.EnCase軟件Encase軟件由美國SoftwareGuidance公司研發(fā)，是一個基于Windows操作系統(tǒng)的取證應(yīng)用程序，為目前使用最為廣泛的計算機取證工具。2.ForensicToolkitForensicToolkit由美國AccessData公司研發(fā)，是一系列基于命令行的工具包，是美國警方標準配備。3.TCT為了協(xié)助計算機取證而設(shè)計的軟件包。

2022/11/23169.2.5電子取證相關(guān)工具9.2.5電子取證相關(guān)工具202022/11/23179.3蜜罐網(wǎng)絡(luò)技術(shù)9.3.1蜜網(wǎng)的概念與發(fā)展歷程9.3.2蜜網(wǎng)技術(shù)的特點9.3.3蜜網(wǎng)的局限性9.3.4蜜網(wǎng)體系的核心機制9.3.5第一代蜜網(wǎng)技術(shù)9.3.6第二代蜜網(wǎng)技術(shù)9.3.7虛擬蜜網(wǎng)技術(shù)9.3.8第三代蜜網(wǎng)技術(shù)9.3.9蜜網(wǎng)應(yīng)用實例9.3.10蜜網(wǎng)技術(shù)展望2022/11/22179.3蜜罐網(wǎng)絡(luò)技術(shù)9.3.1蜜網(wǎng)9.3.1蜜網(wǎng)的概念與發(fā)展歷程9.3.1蜜網(wǎng)的概念與發(fā)展歷程

1.蜜網(wǎng)概念2.發(fā)展歷程蜜網(wǎng)技術(shù)的發(fā)展主要經(jīng)歷三個階段:

（1）第一代蜜網(wǎng)技術(shù)(1999-2001年)：蜜網(wǎng)早期研究關(guān)注于驗證蜜網(wǎng)理論，試驗蜜網(wǎng)模型。

（2）第二代蜜網(wǎng)技術(shù)(2002-2004年)：從早期的驗證蜜網(wǎng)理論轉(zhuǎn)移到簡化蜜網(wǎng)應(yīng)用。

（3）第三代蜜網(wǎng)技術(shù)（2005年至今）：具有多層次的數(shù)據(jù)控制機制，全面的數(shù)據(jù)捕獲機制，深層次的數(shù)據(jù)分析機制以及高效、靈活的配置和管理機制。2022/11/23189.3.1蜜網(wǎng)的概念與發(fā)展歷程9.3.1蜜網(wǎng)的概念與發(fā)展9.3.2蜜網(wǎng)技術(shù)的特點1.蜜網(wǎng)是一個網(wǎng)絡(luò)系統(tǒng)，而并非單一主機。2.蜜網(wǎng)作為一種主動防御方式，在主動搜集進攻者情報的基礎(chǔ)上，事先做好預警和準備，把進攻者的攻擊扼殺于萌芽狀態(tài)，最少是可以降低攻擊者進攻的有效性。3.蜜網(wǎng)除了主動防御黑客攻擊外，也可以了解自身的安全狀況。4.蜜網(wǎng)是為了了解攻擊者的信息而設(shè)計的。2022/11/23199.3.2蜜網(wǎng)技術(shù)的特點1.蜜網(wǎng)是一個網(wǎng)絡(luò)系統(tǒng)，而并非9.3.3蜜網(wǎng)的局限性9.3.3蜜網(wǎng)的局限性1.蜜網(wǎng)的最大局限性是有限的觀察能力，它僅能監(jiān)聽與分析針對蜜網(wǎng)內(nèi)部蜜罐的攻擊行為。2.蜜網(wǎng)雖然具有觀察、捕獲、學習攻擊的能力，但學習到新的攻擊方法仍及時需要補充到入侵檢測系統(tǒng)的知識庫中，這樣才能提高入侵檢測的性能和整個系統(tǒng)的安全性。3.蜜網(wǎng)是一種有效的主動防御技術(shù)，它的優(yōu)勢是傳統(tǒng)的被動防御手段所無法比擬的，但是我們也不能忽視蜜網(wǎng)的實施給系統(tǒng)安全所帶來的風險。（三類風險）2022/11/23209.3.3蜜網(wǎng)的局限性9.3.3蜜網(wǎng)的局限性2022/19.3.4蜜網(wǎng)體系的核心機制蜜網(wǎng)體系通常具有三種核心機制：數(shù)據(jù)控制、數(shù)據(jù)捕獲和數(shù)據(jù)采集，它們一起協(xié)同工作用來實現(xiàn)蜜網(wǎng)主動防御的核心價值和功能，并有效地降低系統(tǒng)風險。1.數(shù)據(jù)控制：目的是確保蜜網(wǎng)中被攻陷的蜜罐主機不會被利用攻擊蜜網(wǎng)之外的其他主機。2.數(shù)據(jù)捕獲：目的是在黑客無察覺的狀態(tài)下捕獲所有活動與攻擊行為所產(chǎn)生的網(wǎng)絡(luò)通信量，從而才能進一步分析黑客的攻擊目的、所使用的策略與攻擊工具等3、數(shù)據(jù)采集：目的是針對預先部署的具有多個邏輯或物理的蜜網(wǎng)所構(gòu)成的分布式蜜網(wǎng)體系結(jié)構(gòu)，對捕獲的黑客行為信息進行收集。2022/11/23219.3.4蜜網(wǎng)體系的核心機制蜜網(wǎng)體系通常具有三種核心機制9.3.5第一代蜜網(wǎng)技術(shù)第一代蜜網(wǎng)技術(shù)產(chǎn)生于1999年，它是第一個可以實現(xiàn)真正交互性的蜜罐，并且在捕獲大量信息以及未知攻擊方式方面優(yōu)于傳統(tǒng)的蜜罐方案。1.數(shù)據(jù)控制：在第一代蜜網(wǎng)體系結(jié)構(gòu)中，數(shù)據(jù)控制機制是由防火墻、入侵檢測系統(tǒng)和路由器共同聯(lián)動實現(xiàn)2.數(shù)據(jù)捕獲：從多個層次、多個數(shù)據(jù)源中捕獲數(shù)據(jù)，將會掌握更多的黑客攻擊行為。3.第一代蜜網(wǎng)體系架構(gòu)屬于單個部署的蜜網(wǎng)，因此除了在蜜網(wǎng)本身內(nèi)部的數(shù)據(jù)管理之外，數(shù)據(jù)采集機制在這里沒有體現(xiàn)。2022/11/23229.3.5第一代蜜網(wǎng)技術(shù)第一代蜜網(wǎng)技術(shù)產(chǎn)生于1999年，9.3.6第二代蜜網(wǎng)技術(shù)第二代蜜網(wǎng)技術(shù)與第一代蜜網(wǎng)相比，在系統(tǒng)靈活性、可管理性和安全性等方面都有所改進.1.數(shù)據(jù)控制機制的改進2.數(shù)據(jù)捕獲機制的改進2022/11/23239.3.6第二代蜜網(wǎng)技術(shù)第二代蜜網(wǎng)技術(shù)與第一代蜜網(wǎng)相比，9.3.7虛擬蜜網(wǎng)技術(shù)目前可以將虛擬蜜網(wǎng)體系結(jié)構(gòu)細分為兩類：自治型虛擬蜜網(wǎng)和混雜型虛擬蜜網(wǎng)。1.自治型虛擬蜜網(wǎng)它是將整個蜜網(wǎng)系統(tǒng)在一臺物理機器上集中實現(xiàn)，包括用于完成數(shù)據(jù)控制和數(shù)據(jù)捕獲的二層網(wǎng)關(guān)和多個虛擬蜜罐。2.混雜型虛擬蜜網(wǎng)多個蜜罐仍然在另一個機器上基于虛擬機技術(shù)在不同的客戶操作系統(tǒng)上運行。2022/11/23249.3.7虛擬蜜網(wǎng)技術(shù)目前可以將虛擬蜜網(wǎng)體系結(jié)構(gòu)細分為兩類9.3.8第三代蜜網(wǎng)技術(shù)1.數(shù)據(jù)控制機制第三代蜜網(wǎng)體系結(jié)構(gòu)中在蜜網(wǎng)網(wǎng)關(guān)上使用了多層次的數(shù)據(jù)控制機制。2.數(shù)據(jù)捕獲機制第三代蜜網(wǎng)體系結(jié)構(gòu)中主要結(jié)合Argus（流監(jiān)視器）、Snort（入侵檢測系統(tǒng)）、p0f（被動操作系統(tǒng)識別器）、Sebek（數(shù)據(jù)收集器）等關(guān)鍵組件對黑客攻擊行為進行多層次捕獲。3.數(shù)據(jù)集中與分析機制2022/11/23259.3.8第三代蜜網(wǎng)技術(shù)1.數(shù)據(jù)控制機制2022/11/9.3.9蜜網(wǎng)應(yīng)用實例本節(jié)給出一個基于第三代蜜網(wǎng)技術(shù)的應(yīng)用實例，介紹蜜網(wǎng)體系結(jié)構(gòu)在安全局域網(wǎng)的主動防御中的具體應(yīng)用與部署。2022/11/23269.3.9蜜網(wǎng)應(yīng)用實例本節(jié)給出一個基于第三代蜜網(wǎng)技術(shù)的應(yīng)用9.3.10蜜網(wǎng)技術(shù)展望密網(wǎng)技術(shù)經(jīng)過近十年的發(fā)展，具有主動防御的顯著特點，但在核心機制上還不夠完善，有待于進一步的改進。1.有效地提高蜜網(wǎng)的三種關(guān)鍵核心機制.2.增強蜜網(wǎng)體系的跨平臺能力3.需要平衡高交互能力和高風險兩者之間的矛盾4.確保蜜網(wǎng)體系的可生存性值得進一步地探索。

5.

拓展蜜網(wǎng)技術(shù)的應(yīng)用背景，使其能夠面向多種通信網(wǎng)絡(luò)環(huán)境，發(fā)揮其主動防御的能力。

2022/11/23279.3.10蜜網(wǎng)技術(shù)展望密網(wǎng)技術(shù)經(jīng)過近十年的發(fā)展，具有主動9.4信息安全風險評估人們對信息安全內(nèi)涵的認識不斷深入，從最初的信息保密性發(fā)展到了信息的完整性、可用性、可控性和不可否認性，進而又提出和發(fā)展了“攻（攻擊）、防（防范）、測（檢測）、控（控制）、管（管理）、評（評估）”眾多方面基礎(chǔ)理論和專業(yè)技術(shù)，其中信息安全風險評估逐漸成為安全管理領(lǐng)域的一個重要手段和工具。

信息安全是一個動態(tài)的復雜過程，貫穿信息資產(chǎn)和信息系統(tǒng)的整個生命周期，是信息安全管理的基礎(chǔ)和關(guān)鍵環(huán)節(jié)，必須按照風險管理思想，對可能的威脅、脆弱性和需要保護的信息資產(chǎn)進行分析，依據(jù)風險評估結(jié)果對信息系統(tǒng)選擇適當?shù)陌踩胧?，以妥善?yīng)對可能面對的威脅和可能發(fā)生的風險，有針對性進行管理。9.4信息安全風險評估人們對信息安全9.4.1信息安全風險評估的概念1、信息安全風險評估的定義信息安全風險評估是從風險管理角度，運用定性、定量的科學分析方法和手段，系統(tǒng)地分析信息和信息系統(tǒng)等資產(chǎn)所面臨的人為的和自然的威脅，以及威脅事件一旦發(fā)生系統(tǒng)可能遭受的危害程度，有針對性地提出抵御威脅的安全等級防護對策和整改措施，從而最大限度地減少經(jīng)濟損失和負面影響。9.4.1信息安全風險評估的概念1、信息安全風險評估的定義9.4.1信息安全風險評估的概念2、相關(guān)概念資產(chǎn)(Asset)資產(chǎn)價值（AssetValue）信息安全風險（InformationSecurityRisk）信息安全風險評估（InformationSecurityRiskAssessment）威脅（Threat）脆弱性（Vulnerability）安全事件（SecurityEvent）

安全措施（SecurityMeasure）安全需求（SecurityRequirement）殘余風險（ResidualRisk）

9.4.1信息安全風險評估的概念2、相關(guān)概念9.4.1信息安全風險評估的概念3、風險評估的基本要素及關(guān)系9.4.1信息安全風險評估的概念9.4.2信息安全風險評估的發(fā)展歷程第一個階段（20世紀60~70年代），以計算機為對象的信息保密階段。第二個階段（20世紀80~90年代），以計算機和網(wǎng)絡(luò)為對象信息安全保護階段。第三個階段（20世紀90年代末至今），以信息系統(tǒng)關(guān)鍵基礎(chǔ)設(shè)施為對象的信息保障階段。

9.4.2信息安全風險評估的發(fā)展歷程第一個階段（20世紀69.4.3我國在信息安全風險評估方面的政策和工作

進入21世紀，我國的風險評估工作取得了較快的發(fā)展，中辦發(fā)[2003]27號文件“國家信息化領(lǐng)導小組關(guān)于加強信息安全保障工作的意見”明確提出“要重視信息安全風險評估工作，對網(wǎng)絡(luò)與信息系統(tǒng)安全的潛在威脅、薄弱環(huán)節(jié)、防范措施等進行分析評估，綜合考慮網(wǎng)絡(luò)與信息系統(tǒng)的重要性、涉密程度和面臨的信息安全風險等因素，進行相應(yīng)等級的安全建設(shè)和管理”。

2004年1月首次全國信息安全保障工作會議要求“抓緊研究制定基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)風險評估的管理規(guī)范，并組織力量提供技術(shù)支持。

9.4.3我國在信息安全風險評估方面的政策和工作9.4.3我國在信息安全風險評估方面的政策和工作

2003年7月委托國家信息中心組建成立了“信息安全風險評估課題組”

2004年9月，“信息安全風險評估規(guī)范”和“信息安全風險管理指南”兩個標準的初稿完成

2005年，有國務(wù)院信息辦組織，在北京、上海、黑龍江、云南、人民銀行、國家稅務(wù)總局、國家電力總公司和國家信息中心開展風險評估的試點工作

2006年1月國務(wù)院信息化辦公室下發(fā)了“關(guān)于開展信息安全風險評估工作的意見”，明確了信息安全風險評估工作的基本內(nèi)容和原則，對風險評估工作提出了要求

9.4.3我國在信息安全風險評估方面的政策和工作9.4.4信息安全風險評估的參考流程

圖9-12信息安全風險評估的參考流程圖9.4.4信息安全風險評估的參考流程圖9-12信息安全風9.4.5威脅識別

威脅是一種對組織及其資產(chǎn)構(gòu)成潛在破壞的可能性因素，是客觀存在的。

1、威脅識別

2、威脅分類

3、威脅賦值

9.4.5威脅識別9.4.6脆弱性識別脆弱性是指資產(chǎn)中可能被威脅所利用的弱點。

1、脆弱性識別

問卷調(diào)查 工具檢測 人工檢查文檔查閱

滲透性測試

2、脆弱性賦值9.4.6脆弱性識別脆弱性是指資產(chǎn)中可能被威脅所利用的弱點通用弱點評價體系（CVSS）

目前業(yè)界對脆弱性沒有通用統(tǒng)一的評價體系標準，因此不同的評價方法對統(tǒng)一脆弱性進行評估的差異也比較大通用弱點評價體系（CVSS）是由NIAC開發(fā)、FIRST維護的一個開放并且能夠被產(chǎn)品廠商免費采用的標準。CVSS最早于2005年2月23日被公開發(fā)布于美國國土安全部的網(wǎng)站上，可以參考該標準對脆弱性進行評分。

通用弱點評價體系（CVSS）目前業(yè)界對脆弱性9.4.7風險分析計算完成了資產(chǎn)識別、威脅識別、脆弱性識別以及對已有安全措施的識別和確認之后，應(yīng)進入風險分析階段，該階段的主要任務(wù)就是完成風險的分析和計算。

風險計算方法分為:

定量計算定性計算

9.4.7風險分析計算完成了資產(chǎn)識別、威脅識別、脆弱性識9.4.7風險分析計算考慮已有控制措施因素后的當前資產(chǎn)風險（Risk），可以按照以下公式進行定性計算：

其中，A：資產(chǎn)價值（AssetValue），Tx：綜合威脅來源和影響程度后的最終威脅值（Threat），V：脆弱性值（Vulnerability），Px：為已有控制措施針對資產(chǎn)所面臨每一特定威脅進行保護的有效性，是一個從0到100%之間的一個數(shù)值，x：為單個資產(chǎn)面對的某一個威脅。9.4.7風險分析計算考慮已有控制措施因素后的當前第9章網(wǎng)絡(luò)安全新技術(shù)及應(yīng)用本章學習學習目標

隨著現(xiàn)代信息技術(shù)及通信網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展，近年來出現(xiàn)了可信計算、蜜罐網(wǎng)絡(luò)等安全技術(shù)，從嶄新的角度來解決網(wǎng)絡(luò)安全問題。通過本章的學習使學生了解可信計算的基本功能和體系結(jié)構(gòu)，電子取證的概念基本特征以及取證過程，蜜罐網(wǎng)絡(luò)和基本特征，最后了解安全評估的基本準則及步驟。本章知識點可信計算體系結(jié)構(gòu)和功能電子取證的概念、特征及計算機取證步驟蜜罐網(wǎng)絡(luò)的發(fā)展、基本特征和體系架構(gòu)安全風險評估的基本準則及步驟第9章網(wǎng)絡(luò)安全新技術(shù)及應(yīng)用本章學習學習目標2022/11/2342第9章網(wǎng)絡(luò)安全新技術(shù)及應(yīng)用9.1可信計算9.2電子取證技術(shù)9.3蜜罐網(wǎng)絡(luò)技術(shù)9.4信息安全風險評估2022/11/222第9章網(wǎng)絡(luò)安全新技術(shù)及應(yīng)用9.12022/11/23439.1可信計算9.1.1可信計算發(fā)展歷程可信計算技術(shù)的發(fā)展歷程可以分為以下四個階段:1.20世紀70年代初期，J.P.Anderson首次提出可信系統(tǒng)（TrustedSystem）概念。2.20世紀80年代初期，美國國防部提出了可信計算機系統(tǒng)安全的評價準則TCSEC，這就是安全領(lǐng)域著名的橙皮書，其中包括可信計算基的概念。3.本世紀初，由Intel、Compaq、HP、IBM等國際著名IT公司聯(lián)合組建了’’可信計算平臺聯(lián)盟”。2002年初微軟提出了“可信賴的計算”

4.2003年4月，TCPA被重組為“可信計算組織”(簡稱TCG）。2022/11/2239.1可信計算9.1.1可信計算發(fā)9.1.2可信計算的概念及本質(zhì)9.1.2可信計算的概念及本質(zhì)1.概念目前關(guān)于“可信”的概念，并沒有一個公認的定義，但在不同文獻中所定義的可信基本特征是一致的。代表性的概念解釋有4種。2.本質(zhì)依據(jù)TCG的觀點，可信計算的本質(zhì)為：通過增強現(xiàn)有的終端體系結(jié)構(gòu)的安全性來保證整個系統(tǒng)的安全，從終端安全啟動到關(guān)鍵組件2022/11/23449.1.2可信計算的概念及本質(zhì)9.1.2可信計算的概念及9.1.2可信計算的概念及本質(zhì)運行時可信，不斷地延伸信任鏈，最后通過可信的網(wǎng)絡(luò)連接將信任域推廣到整個網(wǎng)絡(luò)。

2022/11/23459.1.2可信計算的概念及本質(zhì)運行時可信，不斷地延伸9.1.3可信計算平臺基本屬性與功能1.基本屬性

（1）用戶身份的唯一性，用戶工作空間的完整性與私有性；（2）硬件環(huán)境配置、OS內(nèi)核、服務(wù)及應(yīng)用程序的完整性；（3）存儲、處理、傳輸信息的保密性和完整性2.基本功能

（1）保護能力

2022/11/23469.1.3可信計算平臺基本屬性與功能1.基本屬性20229.1.3可信計算平臺基本屬性與功能

（2）完整性度量

（3）完整性存儲（4）完整性報告9.1.4可信平臺芯片模塊(TPM)9.1.5可信PC軟件體系架構(gòu)9.1.6可信網(wǎng)絡(luò)連接可信網(wǎng)絡(luò)連接（簡稱TNC），本質(zhì)上就是要從終端的完整性開始，建立安全的網(wǎng)絡(luò)連接。

2022/11/23479.1.3可信計算平臺基本屬性與功能（2）完整性度量29.1.3可信計算平臺基本屬性與功能首先，需要創(chuàng)建一套在可信網(wǎng)絡(luò)內(nèi)部系統(tǒng)運行狀況的策略，然后只有遵守網(wǎng)絡(luò)設(shè)定策略終端才能訪問網(wǎng)絡(luò)，網(wǎng)絡(luò)將隔離和定位那些不遵守策略的設(shè)備。TNC框架主要提供如下功能：1.平臺認證2.終端安全策略3.訪問策略

2022/11/23489.1.3可信計算平臺基本屬性與功能首先，需要創(chuàng)建一套在可9.1.3可信計算平臺基本屬性與功能4.評估、隔離及補救TNC的架構(gòu)分為三類實體：請求訪問者、策略執(zhí)行者、策略定義者。TNC體系架構(gòu)在縱向分為三個層次，從下到上為：1.網(wǎng)絡(luò)訪問層2.完整性評估層3.完整性度量層2022/11/23499.1.3可信計算平臺基本屬性與功能4.評估、9.1.7可信計算所面臨的挑戰(zhàn)目前，可信計算技術(shù)正逐步走向成熟，其中所存在的主要問題及面臨的挑戰(zhàn)如下：1.TPM安全性與測評2.信任基礎(chǔ)設(shè)施構(gòu)建研究3.遠程證明中平臺隱私保護研究2022/11/23509.1.7可信計算所面臨的挑戰(zhàn)目前，可信計算技術(shù)正逐步走向9.2電子取證技術(shù)9.2.1電子取證技術(shù)概述在國外打擊計算機犯罪已有二三十年的歷史，對計算機取證的技術(shù)研究、專門工具軟件的開發(fā)以及相關(guān)商業(yè)服務(wù)出現(xiàn)始于90年代中后期，出現(xiàn)了許多專門的計算機取證部門、實驗室和咨詢服務(wù)公司。我國的計算機普及與應(yīng)用起步較晚，有關(guān)計算機取證的研究與實踐工作也僅有10年的歷史，計算機取證相關(guān)行業(yè)卻取得了長足進步，各個省市都建立了專門打擊計算機犯罪的網(wǎng)絡(luò)警察隊伍。根據(jù)電子證據(jù)的來源，電子證據(jù)可以分成兩類：主機電子取證和網(wǎng)絡(luò)電子取證。2022/11/23519.2電子取證技術(shù)9.2.1電子取證技術(shù)概述2022/19.2.1電子證據(jù)特點和取證原則電子證據(jù)具有以下特性：1、高科技性2、易破壞性3、隱蔽性4、表現(xiàn)形式的多樣性5、能被精確復制6、可恢復性2022/11/23529.2.1電子證據(jù)特點和取證原則電子證據(jù)具有以下特性：209.2.2電子證據(jù)特點和取證原則電子證據(jù)的取證原則：1.保持數(shù)據(jù)的原始性2.保持數(shù)據(jù)在分析和傳遞過程中的完整性3.保持證據(jù)連續(xù)性4.取證過程的可認證性5.取證過程和結(jié)論可重現(xiàn)

2022/11/23539.2.2電子證據(jù)特點和取證原則電子證據(jù)的取證原則：2029.2.3靜態(tài)取證技術(shù)9.2.3靜態(tài)取證技術(shù)1.靜態(tài)取證步驟

共分為5個步驟2.靜態(tài)取證系統(tǒng)結(jié)構(gòu)3.靜態(tài)取證的關(guān)鍵技術(shù)

（1）磁盤映像拷貝技術(shù)

（2）數(shù)據(jù)恢復技術(shù)

（3）證據(jù)分析技術(shù)

（4）加密解密技術(shù)2022/11/23549.2.3靜態(tài)取證技術(shù)9.2.3靜態(tài)取證技術(shù)2022/119.2.4動態(tài)取證技術(shù)網(wǎng)絡(luò)動態(tài)電子取證技術(shù)，在是取證人員取得授權(quán)的情況下，將取證設(shè)施部署于犯罪者最可能經(jīng)過的網(wǎng)絡(luò)，利用已掌握的犯罪特征，從網(wǎng)絡(luò)中過濾出正在實施的犯罪，因此基于網(wǎng)絡(luò)的動態(tài)取證屬于犯罪過程中取證，更有利于及時抓捕犯罪分子，降低其社會危害。動態(tài)取證的證據(jù)主要包括兩部分，其一是實施犯罪的原始網(wǎng)絡(luò)數(shù)據(jù)，另一則是實施犯罪的網(wǎng)絡(luò)數(shù)據(jù)在經(jīng)過的網(wǎng)絡(luò)設(shè)備和目標系統(tǒng)中留下的檢測信息、各種日志等。網(wǎng)絡(luò)動態(tài)電子取證的過程2022/11/23559.2.4動態(tài)取證技術(shù)網(wǎng)絡(luò)動態(tài)電子取證技術(shù)，在是取證人員9.2.5電子取證相關(guān)工具9.2.5電子取證相關(guān)工具

1.EnCase軟件Encase軟件由美國SoftwareGuidance公司研發(fā)，是一個基于Windows操作系統(tǒng)的取證應(yīng)用程序，為目前使用最為廣泛的計算機取證工具。2.ForensicToolkitForensicToolkit由美國AccessData公司研發(fā)，是一系列基于命令行的工具包，是美國警方標準配備。3.TCT為了協(xié)助計算機取證而設(shè)計的軟件包。

2022/11/23569.2.5電子取證相關(guān)工具9.2.5電子取證相關(guān)工具202022/11/23579.3蜜罐網(wǎng)絡(luò)技術(shù)9.3.1蜜網(wǎng)的概念與發(fā)展歷程9.3.2蜜網(wǎng)技術(shù)的特點9.3.3蜜網(wǎng)的局限性9.3.4蜜網(wǎng)體系的核心機制9.3.5第一代蜜網(wǎng)技術(shù)9.3.6第二代蜜網(wǎng)技術(shù)9.3.7虛擬蜜網(wǎng)技術(shù)9.3.8第三代蜜網(wǎng)技術(shù)9.3.9蜜網(wǎng)應(yīng)用實例9.3.10蜜網(wǎng)技術(shù)展望2022/11/22179.3蜜罐網(wǎng)絡(luò)技術(shù)9.3.1蜜網(wǎng)9.3.1蜜網(wǎng)的概念與發(fā)展歷程9.3.1蜜網(wǎng)的概念與發(fā)展歷程

1.蜜網(wǎng)概念2.發(fā)展歷程蜜網(wǎng)技術(shù)的發(fā)展主要經(jīng)歷三個階段:

（1）第一代蜜網(wǎng)技術(shù)(1999-2001年)：蜜網(wǎng)早期研究關(guān)注于驗證蜜網(wǎng)理論，試驗蜜網(wǎng)模型。

（2）第二代蜜網(wǎng)技術(shù)(2002-2004年)：從早期的驗證蜜網(wǎng)理論轉(zhuǎn)移到簡化蜜網(wǎng)應(yīng)用。

（3）第三代蜜網(wǎng)技術(shù)（2005年至今）：具有多層次的數(shù)據(jù)控制機制，全面的數(shù)據(jù)捕獲機制，深層次的數(shù)據(jù)分析機制以及高效、靈活的配置和管理機制。2022/11/23589.3.1蜜網(wǎng)的概念與發(fā)展歷程9.3.1蜜網(wǎng)的概念與發(fā)展9.3.2蜜網(wǎng)技術(shù)的特點1.蜜網(wǎng)是一個網(wǎng)絡(luò)系統(tǒng)，而并非單一主機。2.蜜網(wǎng)作為一種主動防御方式，在主動搜集進攻者情報的基礎(chǔ)上，事先做好預警和準備，把進攻者的攻擊扼殺于萌芽狀態(tài)，最少是可以降低攻擊者進攻的有效性。3.蜜網(wǎng)除了主動防御黑客攻擊外，也可以了解自身的安全狀況。4.蜜網(wǎng)是為了了解攻擊者的信息而設(shè)計的。2022/11/23599.3.2蜜網(wǎng)技術(shù)的特點1.蜜網(wǎng)是一個網(wǎng)絡(luò)系統(tǒng)，而并非9.3.3蜜網(wǎng)的局限性9.3.3蜜網(wǎng)的局限性1.蜜網(wǎng)的最大局限性是有限的觀察能力，它僅能監(jiān)聽與分析針對蜜網(wǎng)內(nèi)部蜜罐的攻擊行為。2.蜜網(wǎng)雖然具有觀察、捕獲、學習攻擊的能力，但學習到新的攻擊方法仍及時需要補充到入侵檢測系統(tǒng)的知識庫中，這樣才能提高入侵檢測的性能和整個系統(tǒng)的安全性。3.蜜網(wǎng)是一種有效的主動防御技術(shù)，它的優(yōu)勢是傳統(tǒng)的被動防御手段所無法比擬的，但是我們也不能忽視蜜網(wǎng)的實施給系統(tǒng)安全所帶來的風險。（三類風險）2022/11/23609.3.3蜜網(wǎng)的局限性9.3.3蜜網(wǎng)的局限性2022/19.3.4蜜網(wǎng)體系的核心機制蜜網(wǎng)體系通常具有三種核心機制：數(shù)據(jù)控制、數(shù)據(jù)捕獲和數(shù)據(jù)采集，它們一起協(xié)同工作用來實現(xiàn)蜜網(wǎng)主動防御的核心價值和功能，并有效地降低系統(tǒng)風險。1.數(shù)據(jù)控制：目的是確保蜜網(wǎng)中被攻陷的蜜罐主機不會被利用攻擊蜜網(wǎng)之外的其他主機。2.數(shù)據(jù)捕獲：目的是在黑客無察覺的狀態(tài)下捕獲所有活動與攻擊行為所產(chǎn)生的網(wǎng)絡(luò)通信量，從而才能進一步分析黑客的攻擊目的、所使用的策略與攻擊工具等3、數(shù)據(jù)采集：目的是針對預先部署的具有多個邏輯或物理的蜜網(wǎng)所構(gòu)成的分布式蜜網(wǎng)體系結(jié)構(gòu)，對捕獲的黑客行為信息進行收集。2022/11/23619.3.4蜜網(wǎng)體系的核心機制蜜網(wǎng)體系通常具有三種核心機制9.3.5第一代蜜網(wǎng)技術(shù)第一代蜜網(wǎng)技術(shù)產(chǎn)生于1999年，它是第一個可以實現(xiàn)真正交互性的蜜罐，并且在捕獲大量信息以及未知攻擊方式方面優(yōu)于傳統(tǒng)的蜜罐方案。1.數(shù)據(jù)控制：在第一代蜜網(wǎng)體系結(jié)構(gòu)中，數(shù)據(jù)控制機制是由防火墻、入侵檢測系統(tǒng)和路由器共同聯(lián)動實現(xiàn)2.數(shù)據(jù)捕獲：從多個層次、多個數(shù)據(jù)源中捕獲數(shù)據(jù)，將會掌握更多的黑客攻擊行為。3.第一代蜜網(wǎng)體系架構(gòu)屬于單個部署的蜜網(wǎng)，因此除了在蜜網(wǎng)本身內(nèi)部的數(shù)據(jù)管理之外，數(shù)據(jù)采集機制在這里沒有體現(xiàn)。2022/11/23629.3.5第一代蜜網(wǎng)技術(shù)第一代蜜網(wǎng)技術(shù)產(chǎn)生于1999年，9.3.6第二代蜜網(wǎng)技術(shù)第二代蜜網(wǎng)技術(shù)與第一代蜜網(wǎng)相比，在系統(tǒng)靈活性、可管理性和安全性等方面都有所改進.1.數(shù)據(jù)控制機制的改進2.數(shù)據(jù)捕獲機制的改進2022/11/23639.3.6第二代蜜網(wǎng)技術(shù)第二代蜜網(wǎng)技術(shù)與第一代蜜網(wǎng)相比，9.3.7虛擬蜜網(wǎng)技術(shù)目前可以將虛擬蜜網(wǎng)體系結(jié)構(gòu)細分為兩類：自治型虛擬蜜網(wǎng)和混雜型虛擬蜜網(wǎng)。1.自治型虛擬蜜網(wǎng)它是將整個蜜網(wǎng)系統(tǒng)在一臺物理機器上集中實現(xiàn)，包括用于完成數(shù)據(jù)控制和數(shù)據(jù)捕獲的二層網(wǎng)關(guān)和多個虛擬蜜罐。2.混雜型虛擬蜜網(wǎng)多個蜜罐仍然在另一個機器上基于虛擬機技術(shù)在不同的客戶操作系統(tǒng)上運行。2022/11/23649.3.7虛擬蜜網(wǎng)技術(shù)目前可以將虛擬蜜網(wǎng)體系結(jié)構(gòu)細分為兩類9.3.8第三代蜜網(wǎng)技術(shù)1.數(shù)據(jù)控制機制第三代蜜網(wǎng)體系結(jié)構(gòu)中在蜜網(wǎng)網(wǎng)關(guān)上使用了多層次的數(shù)據(jù)控制機制。2.數(shù)據(jù)捕獲機制第三代蜜網(wǎng)體系結(jié)構(gòu)中主要結(jié)合Argus（流監(jiān)視器）、Snort（入侵檢測系統(tǒng)）、p0f（被動操作系統(tǒng)識別器）、Sebek（數(shù)據(jù)收集器）等關(guān)鍵組件對黑客攻擊行為進行多層次捕獲。3.數(shù)據(jù)集中與分析機制2022/11/23659.3.8第三代蜜網(wǎng)技術(shù)1.數(shù)據(jù)控制機制2022/11/9.3.9蜜網(wǎng)應(yīng)用實例本節(jié)給出一個基于第三代蜜網(wǎng)技術(shù)的應(yīng)用實例，介紹蜜網(wǎng)體系結(jié)構(gòu)在安全局域網(wǎng)的主動防御中的具體應(yīng)用與部署。2022/11/23669.3.9蜜網(wǎng)應(yīng)用實例本節(jié)給出一個基于第三代蜜網(wǎng)技術(shù)的應(yīng)用9.3.10蜜網(wǎng)技術(shù)展望密網(wǎng)技術(shù)經(jīng)過近十年的發(fā)展，具有主動防御的顯著特點，但在核心機制上還不夠完善，有待于進一步的改進。1.有效地提高蜜網(wǎng)的三種關(guān)鍵核心機制.2.增強蜜網(wǎng)體系的跨平臺能力3.需要平衡高交互能力和高風險兩者之間的矛盾4.確保蜜網(wǎng)體系的可生存性值得進一步地探索。

5.

拓展蜜網(wǎng)技術(shù)的應(yīng)用背景，使其能夠面向多種通信網(wǎng)絡(luò)環(huán)境，發(fā)揮其主動防御的能力。

2022/11/23679.3.10蜜網(wǎng)技術(shù)展望密網(wǎng)技術(shù)經(jīng)過近十年的發(fā)展，具有主動9.4信息安全風險評估人們對信息安全內(nèi)涵的認識不斷深入，從最初的信息保密性發(fā)展到了信息的完整性、可用性、可控性和不可否認性，進而又提出和發(fā)展了“攻（攻擊）、防（防范）、測（檢測）、控（控制）、管（管理）、評（評估）”眾多方面基礎(chǔ)理論和專業(yè)技術(shù)，其中信息安全風險評估逐漸成為安全管理領(lǐng)域的一個重要手段和工具。

信息安全是一個動態(tài)的復雜過程，貫穿信息資產(chǎn)和信息系統(tǒng)的整個生命周期，是信息安全管理的基礎(chǔ)和關(guān)鍵環(huán)節(jié)，必須按照風險管理思想，對可能的威脅、脆弱性和需要保護的信息資產(chǎn)進行分析，依據(jù)風險評估結(jié)果對信息系統(tǒng)選擇適當?shù)陌踩胧?，以妥善?yīng)對可能面對的威脅和可能發(fā)生的風險，有針對性進行管理。9.4信息安全風險評估人們對信息安全9.4.1信息安全風險評估的概念1、信息安全風險評估的定義信息安全風險評估是從風險管理角度，運用定性、定量的科學分析方法和手段，系統(tǒng)地分析信息和信息系統(tǒng)等資產(chǎn)所面臨的人為的和自然的威脅，以及威脅事件一旦發(fā)生系統(tǒng)可能遭受的危害程度，有針對性地提出抵御威脅的安全等級防護對策和整改措施，從而最大限度地減少經(jīng)濟損失和負面影響。9.4.1信息安全風險評估的概念1、信息安全風險評估的定義9.4.1信息安全風險評估的概念2、相關(guān)概念資產(chǎn)(Asset)資產(chǎn)價值（AssetValue）信息安全風險（InformationSecurityRisk）信息安全風險評估（InformationSecurityRiskAssessment）威脅（Threat）脆弱性（Vulnerability）安全事件（SecurityEvent）

安全措施（SecurityMeasure）安全需求（SecurityRequirement）殘余風險（ResidualRisk）

9.4.1信息安全風險評估的概念2、相關(guān)概念9.4.1信息安全風險評估的概念3、風險評估的基本要素及關(guān)系9.4.1信息安全風險評估的概念9.4.2信息安全風險評估的發(fā)展歷程第一個階段（20世紀60~70年代），以計算機為對象的信息保密階段。第二個階段（20世紀80~90年代），以計算機和網(wǎng)絡(luò)為對象信息安全保護