《第9章网络安全新技术及应用》由会员分享,可在线阅读,更多相关《第9章网络安全新技术及应用(40页珍藏版)》请在金锄头文库上搜索。
1、第第9章章 网络安全新技术及应用网络安全新技术及应用 n本章学习学习目标本章学习学习目标 随着现代信息技术及通信网络技术的迅猛发展,近年来出随着现代信息技术及通信网络技术的迅猛发展,近年来出现了可信计算、蜜罐网络等安全技术,从崭新的角度来解决网现了可信计算、蜜罐网络等安全技术,从崭新的角度来解决网络安全问题。通过本章的学习使学生了解可信计算的基本功能络安全问题。通过本章的学习使学生了解可信计算的基本功能和体系结构,电子取证的概念基本特征以及取证过程,蜜罐网和体系结构,电子取证的概念基本特征以及取证过程,蜜罐网络和基本特征,最后了解安全评估的基本准则及步骤。络和基本特征,最后了解安全评估的基本准
2、则及步骤。n本章本章知识点知识点n 可信计算体系结构和功能可信计算体系结构和功能n 电子取证的概念、特征及计算机取证步骤电子取证的概念、特征及计算机取证步骤n 蜜罐网络的发展、基本特征和体系架构蜜罐网络的发展、基本特征和体系架构n 安全风险评估的基本准则及步骤安全风险评估的基本准则及步骤日窄鄂糊涉究阮虑嗣炬值榷沪红睫迅讳鬃褒技普薛解峭裁惯稗灯帚勋人升第9章网络安全新技术及应用第9章网络安全新技术及应用7/21/20242第第9章章 网络安全新技术及应用网络安全新技术及应用9.1 可信计算可信计算9.2 电子取证技术电子取证技术9.3 蜜罐网络技术蜜罐网络技术9.4 信息安全风险评估信息安全风险
3、评估蔚悬彤艘臃凰玛粒努台湘蠢垫桐赖六磁额贮蚂镣块精澈挨薄浇钉刺瑶磊催第9章网络安全新技术及应用第9章网络安全新技术及应用7/21/202439.1 可信计算可信计算n9.1.1 可信计算发展历程可信计算发展历程 可信计算技术的发展历程可以分为以下四个阶段可信计算技术的发展历程可以分为以下四个阶段: 1. 20世纪世纪70年代初期,年代初期,J.P.Anderson首次提出可信首次提出可信系统(系统(Trusted System)概念。)概念。 2. 20世纪世纪80年代初期,美国国防部提出了可信计算年代初期,美国国防部提出了可信计算机系统安全的评价准则机系统安全的评价准则TCSEC ,这就是安
4、全领域著名,这就是安全领域著名的橙皮书,其中包括可信计算基的概念。的橙皮书,其中包括可信计算基的概念。 3. 本世纪初,由本世纪初,由Intel、Compaq、HP、IBM等国际等国际著名著名IT公司联合组建了公司联合组建了可信计算平台联盟可信计算平台联盟”。2002年初微软提出了年初微软提出了“可信赖的计算可信赖的计算” 4. 2003年年4月,月,TCPA被重组为被重组为“可信计算组织可信计算组织”(简简称称TCG)。)。侠涧融仓述士娇郑赏才妒软脯滔低宽惧驻危汕滞救绅岁渺进佩寐鸵研又辣第9章网络安全新技术及应用第9章网络安全新技术及应用9.1.2 可信计算的概念及本质可信计算的概念及本质n
5、9.1.2 可信计算的概念及本质可信计算的概念及本质 1.概念概念 目前关于目前关于“可信可信”的概念,并没有一个公的概念,并没有一个公认的定义,但在不同文献中所定义的可信基本认的定义,但在不同文献中所定义的可信基本特征是一致的。代表性的概念解释有特征是一致的。代表性的概念解释有4种。种。 2.本质本质 依据依据TCG的观点,可信计算的本质为:通的观点,可信计算的本质为:通过增强现有的终端体系结构的安全性来保证整过增强现有的终端体系结构的安全性来保证整个系统的安全,从终端安全启动到关键组件个系统的安全,从终端安全启动到关键组件7/21/20244娘众进痕艳棱吵赌柳卓堤狠管几樊钠脖禹缨林配歹检阂
6、咎阐千宝凭夸娶玲第9章网络安全新技术及应用第9章网络安全新技术及应用9.1.2 可信计算的概念及本质可信计算的概念及本质 运行时可信,不断地延伸信任链,最后通过可运行时可信,不断地延伸信任链,最后通过可信的网络连接将信任域推广到整个网络。信的网络连接将信任域推广到整个网络。 7/21/20245耽肾涣拿蒙星灸缴鹃愉吃旋叼拐虽找蝗渭睹耿帚卯很瞬柞攫典茸忿嗡躇碎第9章网络安全新技术及应用第9章网络安全新技术及应用9.1.3 可信计算平台基本属性与功能可信计算平台基本属性与功能n1. 基本属性基本属性 (1)用户身份的唯一性,用户工作空间的完整)用户身份的唯一性,用户工作空间的完整性与私有性;性与私
7、有性; (2)硬件环境配置、)硬件环境配置、OS内核、服务及应用程内核、服务及应用程序的完整性;序的完整性; (3)存储、处理、传输信息的保密性和完整性)存储、处理、传输信息的保密性和完整性n2. 基本功能基本功能 (1)保护能力)保护能力 7/21/20246煤跌去湖膨文侧绦郸清京恐斜承顷裕便漱蔫蛆嗣脊侄囊蘸激均琅诱瓷珠黎第9章网络安全新技术及应用第9章网络安全新技术及应用9.1.3 可信计算平台基本属性与功能可信计算平台基本属性与功能 (2)完整性度量)完整性度量 (3)完整性存储)完整性存储 (4)完整性报告)完整性报告n9.1.4可信平台芯片模块(TPM)n9.1.5可信PC软件体系架
8、构n9.1.6可信网络连接 可信网络连接(简称可信网络连接(简称TNC),本质上就是要从),本质上就是要从终端的完整性开始,建立安全的网络连接。终端的完整性开始,建立安全的网络连接。 7/21/20247宙矫般酌密猖檄蓉手凭皿狮还代僧昨衷嫉赢亩击棋尤孺找闻俯花补崇钎屠第9章网络安全新技术及应用第9章网络安全新技术及应用9.1.3 可信计算平台基本属性与功能可信计算平台基本属性与功能n首先,需要创建一套在可信网络内部系统运行首先,需要创建一套在可信网络内部系统运行状况的策略,然后只有遵守网络设定策略终端状况的策略,然后只有遵守网络设定策略终端才能访问网络,网络将隔离和定位那些不遵守才能访问网络,
9、网络将隔离和定位那些不遵守策略的设备。策略的设备。nTNC框架主要提供如下功能:框架主要提供如下功能: 1. 平台认证平台认证 2. 终端安全策略终端安全策略 3. 访问策略访问策略 7/21/20248僧狈哑桃怖闭践否誓艾抠舔憾帝茶煞范崇棵杂蟹襟插苇捕炒臂证帘字憨陆第9章网络安全新技术及应用第9章网络安全新技术及应用9.1.3 可信计算平台基本属性与功能可信计算平台基本属性与功能 4. 评估、隔离及补救评估、隔离及补救nTNC的架构分为三类实体:请求访问者、策略的架构分为三类实体:请求访问者、策略执行者、策略定义者。执行者、策略定义者。nTNC体系架构在纵向分为三个层次,从下到上体系架构在纵
10、向分为三个层次,从下到上为:为: 1. 网络访问层网络访问层 2. 完整性评估层完整性评估层 3. 完整性度量层完整性度量层7/21/20249遂咯沂录峦划伙杏垄骑噬刚亥即烤诲危饭洁痕戊驼柬钨臼捣跑晒琼许倒园第9章网络安全新技术及应用第9章网络安全新技术及应用9.1.7 可信计算所面临的挑战可信计算所面临的挑战n目前,可信计算技术正逐步走向成熟,其中所存在的目前,可信计算技术正逐步走向成熟,其中所存在的主要问题及面临的挑战如下:主要问题及面临的挑战如下:n1.TPM安全性与测评安全性与测评n2.信任基础设施构建研究信任基础设施构建研究n3.远程证明中平台隐私保护研究远程证明中平台隐私保护研究7
11、/21/202410分竟稍逢网瞅溯固汇漾顶樊盔视宜孟幼捐料诸姑泌崎弃屏湃砾篆径毅愚约第9章网络安全新技术及应用第9章网络安全新技术及应用9.2 电子取证技术电子取证技术n9.2.1 电子取证技术概述电子取证技术概述n在国外打击计算机犯罪已有二三十年的历史,对计算在国外打击计算机犯罪已有二三十年的历史,对计算机取证的技术研究、专门工具软件的开发以及相关商机取证的技术研究、专门工具软件的开发以及相关商业服务出现始于业服务出现始于90年代中后期,出现了许多专门的计年代中后期,出现了许多专门的计算机取证部门、实验室和咨询服务公司。算机取证部门、实验室和咨询服务公司。n我国的计算机普及与应用起步较晚,有
12、关计算机取证我国的计算机普及与应用起步较晚,有关计算机取证的研究与实践工作也仅有的研究与实践工作也仅有10年的历史,计算机取证相年的历史,计算机取证相关行业却取得了长足进步,各个省市都建立了专门打关行业却取得了长足进步,各个省市都建立了专门打击计算机犯罪的网络警察队伍。击计算机犯罪的网络警察队伍。n根据电子证据的来源,电子证据可以分成两类:主机根据电子证据的来源,电子证据可以分成两类:主机电子取证和网络电子取证。电子取证和网络电子取证。7/21/202411霖肢何半危天曝芹俱盅炸产欠看筛肇脸符纤施芥势钩顷筛奖饲韭蘑扭稠缎第9章网络安全新技术及应用第9章网络安全新技术及应用9.2.1 电子证据特
13、点和取证原则电子证据特点和取证原则n电子证据具有以下特性:电子证据具有以下特性: 1、高科技性、高科技性 2、易破坏性、易破坏性 3、隐蔽性、隐蔽性 4、表现形式的多样性、表现形式的多样性 5、能被精确复制、能被精确复制 6、可恢复性、可恢复性7/21/202412超久累痒斌凡类膛授婆早婴秧陵攒孜前棘汛劲郎淀覆震籍课归壤缚咆伐着第9章网络安全新技术及应用第9章网络安全新技术及应用9.2.2 电子证据特点和取证原则电子证据特点和取证原则n电子证据的取证原则:电子证据的取证原则: 1. 保持数据的原始性保持数据的原始性 2. 保持数据在分析和传递过程中的完整性保持数据在分析和传递过程中的完整性 3
14、. 保持证据连续性保持证据连续性 4. 取证过程的可认证性取证过程的可认证性 5. 取证过程和结论可重现取证过程和结论可重现 7/21/202413余雀举扑乖滞醛休屹藐盒喉汽匝书衙铃栽氢勉区光协铜聂套频赌狸似摔翁第9章网络安全新技术及应用第9章网络安全新技术及应用9.2.3 静态取证技术静态取证技术n9.2.3静态取证技术静态取证技术n1. 静态取证步骤静态取证步骤 共分为共分为5个步骤个步骤n2. 静态取证系统结构静态取证系统结构n3. 静态取证的关键技术静态取证的关键技术 (1)磁盘映像拷贝技术)磁盘映像拷贝技术 (2)数据恢复技术)数据恢复技术 (3)证据分析技术)证据分析技术 (4)加
15、密解密技术)加密解密技术7/21/202414藤斌逗脖撮肪褐吧归瓣补系窃惦皑罢堕壮仇址性蚂憋达喂恩剥浪项价春叮第9章网络安全新技术及应用第9章网络安全新技术及应用9.2.4 动态取证技术动态取证技术n网络动态电子取证技术,在是取证人员取得授权的情网络动态电子取证技术,在是取证人员取得授权的情况下,将取证设施部署于犯罪者最可能经过的网络,况下,将取证设施部署于犯罪者最可能经过的网络,利用已掌握的犯罪特征,从网络中过滤出正在实施的利用已掌握的犯罪特征,从网络中过滤出正在实施的犯罪,因此基于网络的动态取证属于犯罪过程中取证,犯罪,因此基于网络的动态取证属于犯罪过程中取证,更有利于及时抓捕犯罪分子,降
16、低其社会危害。更有利于及时抓捕犯罪分子,降低其社会危害。n动态取证的证据主要包括两部分,其一是实施犯罪的动态取证的证据主要包括两部分,其一是实施犯罪的原始网络数据,另一则是实施犯罪的网络数据在经过原始网络数据,另一则是实施犯罪的网络数据在经过的网络设备和目标系统中留下的检测信息、各种日志的网络设备和目标系统中留下的检测信息、各种日志等。等。n网络动态电子取证的过程网络动态电子取证的过程7/21/202415诬段琼脚虚中晓锋谰辩冤疟居拦帕丛渴迸塑胡蚤锤滨熟烧讽骨脆待搐括阉第9章网络安全新技术及应用第9章网络安全新技术及应用9.2.5 电子取证相关工具电子取证相关工具n9.2.5 电子取证相关工具
17、电子取证相关工具 1. EnCase软件软件 Encase 软件由美国软件由美国Software Guidance 公司研发,公司研发,是一个基于是一个基于Windows 操作系统的取证应用程序,为操作系统的取证应用程序,为目前使用最为广泛的计算机取证工具。目前使用最为广泛的计算机取证工具。 2. Forensic Toolkit Forensic Toolkit由美国由美国Access Data 公司研发,是公司研发,是一系列基于命令行的工具包,是美国警方标准配备。一系列基于命令行的工具包,是美国警方标准配备。 3. TCT 为了协助计算机取证而设计的软件包。为了协助计算机取证而设计的软件包
18、。 7/21/202416是盗朱搽钵询只堤淤升督见矫汇拇棚脏芹尉杨那捅弃填堰鹅榴宦窗柏牧火第9章网络安全新技术及应用第9章网络安全新技术及应用7/21/2024179.3 蜜罐网络技术蜜罐网络技术n9.3.1 蜜网的概念与发展历程蜜网的概念与发展历程n9.3.2 蜜网技术的特点蜜网技术的特点n9.3.3 蜜网的局限性蜜网的局限性n9.3.4 蜜网体系的核心机制蜜网体系的核心机制n9.3.5 第一代蜜网技术第一代蜜网技术n9.3.6 第二代蜜网技术第二代蜜网技术n9.3.7 虚拟蜜网技术虚拟蜜网技术n9.3.8 第三代蜜网技术第三代蜜网技术n9.3.9 蜜网应用实例蜜网应用实例n9.3.10 蜜
19、网技术展望蜜网技术展望摹辜艘酥戊苗骗磕侍茵辩咖痉内桓及歹手倘淳仲陛吭宵宪咋蒙虚劝蕴皑貉第9章网络安全新技术及应用第9章网络安全新技术及应用9.3.1 蜜网的概念与发展历程蜜网的概念与发展历程n9.3.1 蜜网的概念与发展历程蜜网的概念与发展历程 1. 蜜网概念蜜网概念 2. 发展历程发展历程 蜜网技术的发展主要经历三个阶段蜜网技术的发展主要经历三个阶段: (1)第一代蜜网技术)第一代蜜网技术(1999-2001年年):蜜网早期研:蜜网早期研究关注于验证蜜网理论,试验蜜网模型。究关注于验证蜜网理论,试验蜜网模型。 (2)第二代蜜网技术)第二代蜜网技术(2002-2004年年):从早期的验:从早期
20、的验证蜜网理论转移到简化蜜网应用。证蜜网理论转移到简化蜜网应用。 (3)第三代蜜网技术()第三代蜜网技术(2005年至今):具有多层次年至今):具有多层次的数据控制机制,全面的数据捕获机制,深层次的数的数据控制机制,全面的数据捕获机制,深层次的数据分析机制以及高效、灵活的配置和管理机制。据分析机制以及高效、灵活的配置和管理机制。7/21/202418木冗骂史皆宜嚏祟劣堰挤蒜臭赵霓减窖掸宅您帚跳坡豺锚巴冠腹渗曝椰歪第9章网络安全新技术及应用第9章网络安全新技术及应用9.3.2 蜜网技术的特点蜜网技术的特点n1. 蜜网是一个网络系统,而并非单一主机。蜜网是一个网络系统,而并非单一主机。n2. 蜜网
21、作为一种主动防御方式,在主动搜集进蜜网作为一种主动防御方式,在主动搜集进攻者情报的基础上,事先做好预警和准备,把攻者情报的基础上,事先做好预警和准备,把进攻者的攻击扼杀于萌芽状态,最少是可以降进攻者的攻击扼杀于萌芽状态,最少是可以降低攻击者进攻的有效性。低攻击者进攻的有效性。n3. 蜜网除了主动防御黑客攻击外,也可以了解蜜网除了主动防御黑客攻击外,也可以了解自身的安全状况。自身的安全状况。n4. 蜜网是为了了解攻击者的信息而设计的。蜜网是为了了解攻击者的信息而设计的。7/21/202419糊闯融泳斌粟逆垫穴睬深射简窿砌绸证俗柜候糕聊再王巷戊部比狡渔肤维第9章网络安全新技术及应用第9章网络安全新
22、技术及应用9.3.3 蜜网的局限性蜜网的局限性n9.3.3 蜜网的局限性蜜网的局限性1.蜜网的最大局限性是有限的观察能力,它仅能监听与蜜网的最大局限性是有限的观察能力,它仅能监听与分析针对蜜网内部蜜罐的攻击行为。分析针对蜜网内部蜜罐的攻击行为。2. 蜜网虽然具有观察、捕获、学习攻击的能力,但学习蜜网虽然具有观察、捕获、学习攻击的能力,但学习到新的攻击方法仍及时需要补充到入侵检测系统的知到新的攻击方法仍及时需要补充到入侵检测系统的知识库中,这样才能提高入侵检测的性能和整个系统的识库中,这样才能提高入侵检测的性能和整个系统的安全性。安全性。3. 蜜网是一种有效的主动防御技术,它的优势是传统的蜜网是
23、一种有效的主动防御技术,它的优势是传统的被动防御手段所无法比拟的,但是我们也不能忽视蜜被动防御手段所无法比拟的,但是我们也不能忽视蜜网的实施给系统安全所带来的风险。(三类风险)网的实施给系统安全所带来的风险。(三类风险)7/21/202420巷赏舱命谐根亢秀涤镐痘陷追桂盅司战迁趾逊诫醉氮宝潜容衰盅炳渺嫁谆第9章网络安全新技术及应用第9章网络安全新技术及应用9.3.4 蜜网体系的核心机制蜜网体系的核心机制n蜜网体系通常具有三种核心机制:数据控制、数据捕蜜网体系通常具有三种核心机制:数据控制、数据捕获和数据采集,它们一起协同工作用来实现蜜网主动获和数据采集,它们一起协同工作用来实现蜜网主动防御的核
24、心价值和功能,并有效地降低系统风险。防御的核心价值和功能,并有效地降低系统风险。n1. 数据控制:目的是确保蜜网中被攻陷的蜜罐主机不数据控制:目的是确保蜜网中被攻陷的蜜罐主机不会被利用攻击蜜网之外的其他主机。会被利用攻击蜜网之外的其他主机。n2.数据捕获:目的是在黑客无察觉的状态下捕获所有数据捕获:目的是在黑客无察觉的状态下捕获所有活动与攻击行为所产生的网络通信量,从而才能进一活动与攻击行为所产生的网络通信量,从而才能进一步分析黑客的攻击目的、所使用的策略与攻击工具等步分析黑客的攻击目的、所使用的策略与攻击工具等n3、数据采集:目的是针对预先部署的具有多个逻辑或、数据采集:目的是针对预先部署的
25、具有多个逻辑或物理的蜜网所构成的分布式蜜网体系结构,对捕获的物理的蜜网所构成的分布式蜜网体系结构,对捕获的黑客行为信息进行收集。黑客行为信息进行收集。7/21/202421聂癌隋婉帖棵基聂共闺预若涧秉希蔗厢痉殆掘羚斟寿釜仑片来客韩污岁赤第9章网络安全新技术及应用第9章网络安全新技术及应用9.3.5 第一代蜜网技术第一代蜜网技术n第一代蜜网技术产生于第一代蜜网技术产生于1999年,它是第一个可以实现年,它是第一个可以实现真正交互性的蜜罐,并且在捕获大量信息以及未知攻真正交互性的蜜罐,并且在捕获大量信息以及未知攻击方式方面优于传统的蜜罐方案。击方式方面优于传统的蜜罐方案。n1.数据控制:在第一代蜜
26、网体系结构中,数据控制机数据控制:在第一代蜜网体系结构中,数据控制机制是由防火墙、入侵检测系统和路由器共同联动实现制是由防火墙、入侵检测系统和路由器共同联动实现n2. 数据捕获:从多个层次、多个数据源中捕获数据,数据捕获:从多个层次、多个数据源中捕获数据,将会掌握更多的黑客攻击行为。将会掌握更多的黑客攻击行为。n3. 第一代蜜网体系架构属于单个部署的蜜网,因此除第一代蜜网体系架构属于单个部署的蜜网,因此除了在蜜网本身内部的数据管理之外,数据采集机制在了在蜜网本身内部的数据管理之外,数据采集机制在这里没有体现。这里没有体现。7/21/202422贬期腔霞心警臭稿淫贸蚂回霍铸锋忿斯听辟某谢迹逊磕裕
27、捂惑沟例尖检揣第9章网络安全新技术及应用第9章网络安全新技术及应用9.3.6 第二代蜜网技术第二代蜜网技术n第二代蜜网技术与第一代蜜网相比,在系统灵活性、第二代蜜网技术与第一代蜜网相比,在系统灵活性、可管理性和安全性等方面都有所改进可管理性和安全性等方面都有所改进.n1.数据控制机制的改进数据控制机制的改进n2.数据捕获机制的改进数据捕获机制的改进7/21/202423枫嘛范坦澜堪霉庭呢嘲质倦蔽扦豁誉贩循卧粪佳箭忙彤购蜂往崇洁镶蛇鬃第9章网络安全新技术及应用第9章网络安全新技术及应用9.3.7 虚拟蜜网技术虚拟蜜网技术n目前可以将虚拟蜜网体系结构细分为两类:自治型虚目前可以将虚拟蜜网体系结构细
28、分为两类:自治型虚拟蜜网和混杂型虚拟蜜网。拟蜜网和混杂型虚拟蜜网。n1. 自治型虚拟蜜网自治型虚拟蜜网 它是将整个蜜网系统在一台物理机器上集中实现,它是将整个蜜网系统在一台物理机器上集中实现,包括用于完成数据控制和数据捕获的二层网关和多个包括用于完成数据控制和数据捕获的二层网关和多个虚拟蜜罐。虚拟蜜罐。n2. 混杂型虚拟蜜网混杂型虚拟蜜网 多个蜜罐仍然在另一个机器上基于虚拟机技术在不多个蜜罐仍然在另一个机器上基于虚拟机技术在不同的客户操作系统上运行。同的客户操作系统上运行。7/21/202424榔追磊畸狼阉茨键紊稀劝悍旦烯拖边配譬餐誊椎季齿牲卷沾尹追电蠢巡个第9章网络安全新技术及应用第9章网络
29、安全新技术及应用9.3.8 第三代蜜网技术第三代蜜网技术n1. 数据控制机制数据控制机制 第三代蜜网体系结构中在蜜网网关上使用了多层次第三代蜜网体系结构中在蜜网网关上使用了多层次的数据控制机制。的数据控制机制。n2. 数据捕获机制数据捕获机制 第三代蜜网体系结构中主要结合第三代蜜网体系结构中主要结合Argus(流监视器)(流监视器)、Snort(入侵检测系统)、(入侵检测系统)、p0f (被动操作系统识别(被动操作系统识别器)、器)、Sebek(数据收集器)等关键组件对黑客攻击(数据收集器)等关键组件对黑客攻击行为进行多层次捕获。行为进行多层次捕获。n3. 数据集中与分析机制数据集中与分析机制
30、7/21/202425坎郧写曰摊捌寅敌马跳祈险徒志颗须捌睁痰弹赞你重辣荣英禄局柯搜关钥第9章网络安全新技术及应用第9章网络安全新技术及应用9.3.9 蜜网应用实例蜜网应用实例n本节给出一个基于第三代蜜网技术的应用实例,介绍本节给出一个基于第三代蜜网技术的应用实例,介绍蜜网体系结构在安全局域网的主动防御中的具体应用蜜网体系结构在安全局域网的主动防御中的具体应用与部署。与部署。7/21/202426降克岸戏收棒绩拳雨岁碾藉泵拿跑跃伪惧耕杜休仅禾航卧忍迎姓愚擂巳踏第9章网络安全新技术及应用第9章网络安全新技术及应用9.3.10 蜜网技术展望蜜网技术展望n密网技术经过近十年的发展,具有主动防御的显著特
31、密网技术经过近十年的发展,具有主动防御的显著特点,但在核心机制上还不够完善,有待于进一步的改点,但在核心机制上还不够完善,有待于进一步的改进。进。 1.有效地提高蜜网的三种关键核心机制有效地提高蜜网的三种关键核心机制. 2.增强蜜网体系的跨平台能力增强蜜网体系的跨平台能力 3.需要平衡高交互能力和高风险两者之间的矛盾需要平衡高交互能力和高风险两者之间的矛盾 4.确保蜜网体系的可生存性值得进一步地探索。确保蜜网体系的可生存性值得进一步地探索。 5. 拓展蜜网技术的应用背景,使其能够面向多种通信拓展蜜网技术的应用背景,使其能够面向多种通信网络环境,发挥其主动防御的能力。网络环境,发挥其主动防御的能
32、力。 7/21/202427抒淡腕赠冉烛寥伦吹叁八累眷颜蒲似站赫棘求柔奄耳赐奉盼秀背谎削泵揩第9章网络安全新技术及应用第9章网络安全新技术及应用9.4 信息安全风险评估信息安全风险评估 人们对信息安全内涵的认识不断深入,从最初的信息保密性发展到了信息的完整性、可用性、可控性和不可否认性,进而又提出和发展了“攻(攻击)、防(防范)、测(检测)、控(控制)、管(管理)、评(评估)”众多方面基础理论和专业技术,其中信息安全风险评估逐渐成为安全管理领域的一个重要手段和工具。 信息安全是一个动态的复杂过程,贯穿信息资产和信息系统的整个生命周期,是信息安全管理的基础和关键环节,必须按照风险管理思想,对可能
33、的威胁、脆弱性和需要保护的信息资产进行分析,依据风险评估结果对信息系统选择适当的安全措施,以妥善应对可能面对的威胁和可能发生的风险,有针对性进行管理。 荧濒佯库钵肚坑迂蚂忘啦狠曝示党诗责抖梳傻籽区面叭懈身踢沏夷挤法膨第9章网络安全新技术及应用第9章网络安全新技术及应用9.4.1 信息安全风险评估的概念1、信息安全风险评估的定义 信息安全风险评估是从风险管理角度,运用定性、定量的科学分析方法和手段,系统地分析信息和信息系统等资产所面临的人为的和自然的威胁,以及威胁事件一旦发生系统可能遭受的危害程度,有针对性地提出抵御威胁的安全等级防护对策和整改措施,从而最大限度地减少经济损失和负面影响。喀靡具贞
34、堆绑蔷讹品悯岂拦惶净九滨揍湃合悲捡刹殊丛肝戍禽加识乎驾狸第9章网络安全新技术及应用第9章网络安全新技术及应用9.4.1 信息安全风险评估的概念2、相关概念n资产(Asset)n资产价值(Asset Value)n信息安全风险(Information Security Risk) n信息安全风险评估(Information Security Risk Assessment) n威胁(Threat) n脆弱性(Vulnerability) n安全事件(Security Event) n安全措施(Security Measure) n安全需求(Security Requirement) n残余风险(
35、Residual Risk) 锚域乡迁防倾傅亲巾掺泰剂馈危巩亦硫陶懈翁载胃操绞舌葡蒲才嫌麻滓靴第9章网络安全新技术及应用第9章网络安全新技术及应用9.4.1 信息安全风险评估的概念3、风险评估的基本要素及关系悯毫膜为壁赚溅豁士空锹戴芯渭晓昧豌伟烬召蕴蔓砒辨狠崔痘卢侠懦禾讥第9章网络安全新技术及应用第9章网络安全新技术及应用9.4.2 信息安全风险评估的发展历程信息安全风险评估的发展历程n第一个阶段(20世纪6070年代),以计算机为对象的信息保密阶段。 n第二个阶段(20世纪8090年代),以计算机和网络为对象信息安全保护阶段。 n第三个阶段(20世纪90年代末至今),以信息系统关键基础设施为
36、对象的信息保障阶段。 递寇滑箩狸森援矿海悲宇短狠尽洛剿肚阳徘镰啡号煽皋辙辗廉毒闽枯翁惯第9章网络安全新技术及应用第9章网络安全新技术及应用9.4.3 我国在信息安全风险评估方面的政策和工作n 进入21世纪,我国的风险评估工作取得了较快的发展,中办发200327号文件“国家信息化领导小组关于加强信息安全保障工作的意见”明确提出“要重视信息安全风险评估工作,对网络与信息系统安全的潜在威胁、薄弱环节、防范措施等进行分析评估,综合考虑网络与信息系统的重要性、涉密程度和面临的信息安全风险等因素,进行相应等级的安全建设和管理”。 n 2004年1月首次全国信息安全保障工作会议要求“抓紧研究制定基础信息网络
37、和重要信息系统风险评估的管理规范,并组织力量提供技术支持。 虏中夹今泅姿脐养零搽些薄挂儡膘俱坟账姐臼建室夺外呈甫郎衣尔宏斥须第9章网络安全新技术及应用第9章网络安全新技术及应用9.4.3 我国在信息安全风险评估方面的政策和工作n 2003年7月委托国家信息中心组建成立了“信息安全风险评估课题组” n 2004年9月,“信息安全风险评估规范”和“信息安全风险管理指南”两个标准的初稿完成n 2005年,有国务院信息办组织,在北京、上海、黑龙江、云南、人民银行、国家税务总局、国家电力总公司和国家信息中心开展风险评估的试点工作 n 2006年1月国务院信息化办公室下发了“关于开展信息安全风险评估工作的
38、意见”,明确了信息安全风险评估工作的基本内容和原则,对风险评估工作提出了要求 殴积衙卿沮落列阎香曝蔷荤套寄轮拒候遵胯忆蚁天之赞滇澳刀傅钟汗泊宏第9章网络安全新技术及应用第9章网络安全新技术及应用9.4.4 信息安全风险评估的参考流程 图9-12 信息安全风险评估的参考流程图猴伦镍盯绎桐认现瘦鸿泣盲书振呢赊各怒死党凝沤毛翘吴侨中讣饺枣捉墓第9章网络安全新技术及应用第9章网络安全新技术及应用9.4.5 威胁识别 威胁是一种对组织及其资产构成潜在破坏的可能性因素,是客观存在的。 1、威胁识别2、威胁分类3、威胁赋值 法意洲永磨鹤敛庞锻挫椎虽谈瞎榔赋潞慈乎末泻增狠询幽菩搞蝴慨走亿垣第9章网络安全新技术
39、及应用第9章网络安全新技术及应用9.4.6 脆弱性识别脆弱性是指资产中可能被威胁所利用的弱点。 1、脆弱性识别 问卷调查 工具检测 人工检查 文档查阅 渗透性测试 2、脆弱性赋值靴幢铂缓症揍缄娄累浚雁卒隘豹造复届吵培宠臣懦逃寿所环刽含擦饿巢警第9章网络安全新技术及应用第9章网络安全新技术及应用通用弱点评价体系(CVSS) 目前业界对脆弱性没有通用统一的评价体系标准,因此不同的评价方法对统一脆弱性进行评估的差异也比较大 通用弱点评价体系(CVSS)是由NIAC开发、FIRST维护的一个开放并且能够被产品厂商免费采用的标准。CVSS最早于2005年2月23日被公开发布于美国国土安全部的网站上,可以
40、参考该标准对脆弱性进行评分。 详啃毯沛袍沼峨碧娜咙狞痔批挡貌术张砾懂忧勒腾皱止笺类纹身绪足道沽第9章网络安全新技术及应用第9章网络安全新技术及应用9.4.7 风险分析计算完成了资产识别、威胁识别、脆弱性识别以及对已有安全措施的识别和确认之后,应进入风险分析阶段,该阶段的主要任务就是完成风险的分析和计算。 风险计算方法分为: 定量计算定性计算 证汝开济模弃郝撵绑与晓狄拓锤动户济述幢掖坤跺砚盘辣透滤汽莹膘抓访第9章网络安全新技术及应用第9章网络安全新技术及应用9.4.7 风险分析计算考虑已有控制措施因素后的当前资产风险(Risk),可以按照以下公式进行定性计算:其中,A:资产价值(Asset Value),Tx:综合威胁来源和影响程度后的最终威胁值(Threat),V:脆弱性值(Vulnerability),Px:为已有控制措施针对资产所面临每一特定威胁进行保护的有效性,是一个从0到100%之间的一个数值,x:为单个资产面对的某一个威胁。臀弱素孙班跨亚摔边瑶溃润秀保揣嘎殃桌齿雾闽洪岔赐竣尉赋咒溢楚妻跳第9章网络安全新技术及应用第9章网络安全新技术及应用
