网络安全技术及应用第九章.ppt

第第9章章 网络安全新技术及应用网络安全新技术及应用 n本章学本章学习学学习目目标 随着随着现代信息技代信息技术及通信网及通信网络技技术的迅猛的迅猛发展，近年来出展，近年来出现了可信了可信计算、蜜罐网算、蜜罐网络等安全技等安全技术，从，从崭新的角度来解决网新的角度来解决网络安全安全问题。通。通过本章的学本章的学习使学生了解可信使学生了解可信计算的基本功能算的基本功能和体系和体系结构，构，电子取子取证的概念基本特征以及取的概念基本特征以及取证过程，蜜罐网程，蜜罐网络和基本特征，最后了解安全和基本特征，最后了解安全评估的基本准估的基本准则及步及步骤。n本章本章知知识点点n 可信可信计算体系算体系结构和功能构和功能n 电子取子取证的概念、特征及的概念、特征及计算机取算机取证步步骤n 蜜罐网蜜罐网络的的发展、基本特征和体系架构展、基本特征和体系架构n 安全安全风险评估的基本准估的基本准则及步及步骤2023/1/42第第9章章 网络安全新技术及应用网络安全新技术及应用9.1 可信可信计算算9.2 电子取子取证技技术9.3 蜜罐网蜜罐网络技技术9.4 信息安全信息安全风险评估估2023/1/439.1 可信计算可信计算n9.1.1 可信可信计算算发展展历程程 可信可信计算技算技术的的发展展历程可以分程可以分为以下四个以下四个阶段段:1.20世世纪70年代初期，首次提出可信系年代初期，首次提出可信系统（Trusted System）概念。）概念。2.20世世纪80年代初期，美国国防部提出了可信年代初期，美国国防部提出了可信计算算机系机系统安全的安全的评价准价准则TCSEC，这就是安全就是安全领域著名域著名的橙皮的橙皮书，其中包括可信，其中包括可信计算基的概念。算基的概念。3.本世本世纪初，由初，由Intel、Compaq、HP、IBM等国等国际著名著名IT公司公司联合合组建了建了可信可信计算平台算平台联盟盟”。2002年年初微初微软提出了提出了“可信可信赖的的计算算”4.2003年年4月，月，TCPA被重被重组为“可信可信计算算组织”(简称称TCG）。）。9.1.2 可信计算的概念及本质可信计算的概念及本质n9.1.2 可信可信计算的概念及本算的概念及本质 1.概念概念 目前关于目前关于“可信可信”的概念，并没有一个公的概念，并没有一个公认的定的定义，但在不同文献中所定，但在不同文献中所定义的可信基本的可信基本特征是一致的。代表性的概念解特征是一致的。代表性的概念解释有有4种。种。2.本本质 依据依据TCG的的观点，可信点，可信计算的本算的本质为：通：通过增增强现有的有的终端体系端体系结构的安全性来保构的安全性来保证整整个系个系统的安全，从的安全，从终端安全启端安全启动到关到关键组件件2023/1/449.1.2 可信计算的概念及本质可信计算的概念及本质 运行运行时可信，不断地延伸信任可信，不断地延伸信任链，最后通，最后通过可可信的网信的网络连接将信任域推广到整个网接将信任域推广到整个网络。2023/1/459.1.3 可信计算平台基本属性与功能可信计算平台基本属性与功能n1.基本属性基本属性 （1）用）用户身份的唯一性，用身份的唯一性，用户工作空工作空间的完整的完整性与私有性；性与私有性；（2）硬件）硬件环境配置、境配置、OS内核、服内核、服务及及应用程用程序的完整性；序的完整性；（3）存）存储、处理、理、传输信息的保密性和完整性信息的保密性和完整性n2.基本功能基本功能 （1）保）保护能力能力 2023/1/469.1.3 可信计算平台基本属性与功能可信计算平台基本属性与功能 （2）完整性度量）完整性度量 （3）完整性存）完整性存储 （4）完整性）完整性报告告n可信平台芯片模块(TPM)n可信PC软件体系架构n可信网络连接 可信网可信网络连接（接（简称称TNC），本），本质上就是要从上就是要从终端的完整性开始，建立安全的网端的完整性开始，建立安全的网络连接。接。2023/1/479.1.3 可信计算平台基本属性与功能可信计算平台基本属性与功能n首先，需要首先，需要创建一套在可信网建一套在可信网络内部系内部系统运行运行状况的策略，然后只有遵守网状况的策略，然后只有遵守网络设定策略定策略终端端才能才能访问网网络，网，网络将隔离和定位那些不遵守将隔离和定位那些不遵守策略的策略的设备。nTNC框架主要提供如下功能：框架主要提供如下功能：1.平台平台认证 2.终端安全策略端安全策略 3.访问策略策略 2023/1/489.1.3 可信计算平台基本属性与功能可信计算平台基本属性与功能 4.评估、隔离及估、隔离及补救救nTNC的架构分的架构分为三三类实体：体：请求求访问者、策略者、策略执行者、策略定行者、策略定义者。者。nTNC体系架构在体系架构在纵向分向分为三个三个层次，从下到上次，从下到上为：1.网网络访问层 2.完整性完整性评估估层 3.完整性度量完整性度量层2023/1/499.1.7 可信计算所面临的挑战可信计算所面临的挑战n目前，可信目前，可信计算技算技术正逐步走向成熟，其中所存在的正逐步走向成熟，其中所存在的主要主要问题及面及面临的挑的挑战如下：如下：n1.TPM安全性与安全性与测评n2.信任基信任基础设施构建研究施构建研究n3.远程程证明中平台明中平台隐私保私保护研究研究2023/1/4109.2 电子取证技术电子取证技术n9.2.1 电子取子取证技技术概述概述n在国外打在国外打击计算机犯罪已有二三十年的算机犯罪已有二三十年的历史，史，对计算算机取机取证的技的技术研究、研究、专门工具工具软件的开件的开发以及相关商以及相关商业服服务出出现始于始于90年代中后期，出年代中后期，出现了了许多多专门的的计算机取算机取证部部门、实验室和咨室和咨询服服务公司。公司。n我国的我国的计算机普及与算机普及与应用起步用起步较晚，有关晚，有关计算机取算机取证的研究与的研究与实践工作也践工作也仅有有10年的年的历史，史，计算机取算机取证相相关行关行业却取得了却取得了长足足进步，各个省市都建立了步，各个省市都建立了专门打打击计算机犯罪的网算机犯罪的网络警察警察队伍。伍。n根据根据电子子证据的来源，据的来源，电子子证据可以分成两据可以分成两类：主机：主机电子取子取证和网和网络电子取子取证。2023/1/4119.2.1 电子证据特点和取证原则电子证据特点和取证原则n电子子证据具有以下特性：据具有以下特性：1、高科技性、高科技性 2、易破坏性、易破坏性 3、隐蔽性蔽性 4、表、表现形式的多形式的多样性性 5、能被精确复制、能被精确复制 6、可恢复性、可恢复性2023/1/4129.2.2 电子证据特点和取证原则电子证据特点和取证原则n电子子证据的取据的取证原原则：1.保持数据的原始性保持数据的原始性 2.保持数据在分析和保持数据在分析和传递过程中的完整性程中的完整性 3.保持保持证据据连续性性 4.取取证过程的可程的可认证性性 5.取取证过程和程和结论可重可重现 2023/1/4139.2.3 静态取证技术静态取证技术n静静态取取证技技术n1.静静态取取证步步骤 共分共分为5个步个步骤n2.静静态取取证系系统结构构n3.静静态取取证的关的关键技技术 （1）磁）磁盘映像拷映像拷贝技技术 （2）数据恢复技）数据恢复技术 （3）证据分析技据分析技术 （4）加密解密技）加密解密技术2023/1/4149.2.4 动态取证技术动态取证技术n网网络动态电子取子取证技技术，在是取，在是取证人人员取得授取得授权的情的情况下，将取况下，将取证设施部署于犯罪者最可能施部署于犯罪者最可能经过的网的网络，利用已掌握的犯罪特征，从网利用已掌握的犯罪特征，从网络中中过滤出正在出正在实施的施的犯罪，因此基于网犯罪，因此基于网络的的动态取取证属于犯罪属于犯罪过程中取程中取证，更有利于及更有利于及时抓捕犯罪分子，降低其社会危害。抓捕犯罪分子，降低其社会危害。n动态取取证的的证据主要包括两部分，其一是据主要包括两部分，其一是实施犯罪的施犯罪的原始网原始网络数据，另一数据，另一则是是实施犯罪的网施犯罪的网络数据在数据在经过的网的网络设备和目和目标系系统中留下的中留下的检测信息、各种日志信息、各种日志等。等。n网网络动态电子取子取证的的过程程2023/1/4159.2.5 电子取证相关工具电子取证相关工具n9.2.5 电子取子取证相关工具相关工具 1.EnCase软件件 Encase 软件由美国件由美国Software Guidance 公司研公司研发，是一个基于是一个基于Windows 操作系操作系统的取的取证应用程序，用程序，为目前使用最目前使用最为广泛的广泛的计算机取算机取证工具。工具。2.Forensic Toolkit Forensic Toolkit由美国由美国Access Data 公司研公司研发，是，是一系列基于命令行的工具包，是美国警方一系列基于命令行的工具包，是美国警方标准配准配备。3.TCT 为了了协助助计算机取算机取证而而设计的的软件包。件包。2023/1/4162023/1/4179.3 蜜罐网络技术蜜罐网络技术n9.3.1 蜜网的概念与蜜网的概念与发展展历程程n9.3.2 蜜网技蜜网技术的特点的特点n9.3.3 蜜网的局限性蜜网的局限性n9.3.4 蜜网体系的核心机制蜜网体系的核心机制n9.3.5 第一代蜜网技第一代蜜网技术n9.3.6 第二代蜜网技第二代蜜网技术n9.3.7 虚虚拟蜜网技蜜网技术n9.3.8 第三代蜜网技第三代蜜网技术n9.3.9 蜜网蜜网应用用实例例n9.3.10 蜜网技蜜网技术展望展望9.3.1 蜜网的概念与发展历程蜜网的概念与发展历程n9.3.1 蜜网的概念与蜜网的概念与发展展历程程 1.蜜网概念蜜网概念 2.发展展历程程 蜜网技蜜网技术的的发展主要展主要经历三个三个阶段段:（1）第一代蜜网技）第一代蜜网技术(1999-2001年年)：蜜网早期研：蜜网早期研究关注于究关注于验证蜜网理蜜网理论，试验蜜网模型。蜜网模型。（2）第二代蜜网技）第二代蜜网技术(2002-2004年年)：从早期的：从早期的验证蜜网理蜜网理论转移到移到简化蜜网化蜜网应用。用。（3）第三代蜜网技）第三代蜜网技术（2005年至今）：具有多年至今）：具有多层次次的数据控制机制，全面的数据捕的数据控制机制，全面的数据捕获机制，深机制，深层次的数次的数据分析机制以及高效、灵活的配置和管理机制。据分析机制以及高效、灵活的配置和管理机制。2023/1/4189.3.2 蜜网技术的特点蜜网技术的特点n1.蜜网是一个网蜜网是一个网络系系统，而并非，而并非单一主机。一主机。n2.蜜网作蜜网作为一种主一种主动防御方式，在主防御方式，在主动搜集搜集进攻者情攻者情报的基的基础上，事先做好上，事先做好预警和准警和准备，把，把进攻者的攻攻者的攻击扼扼杀于萌芽状于萌芽状态，最少是可以降，最少是可以降低攻低攻击者者进攻的有效性。攻的有效性。n3.蜜网除了主蜜网除了主动防御黑客攻防御黑客攻击外，也可以了解外，也可以了解自身的安全状况。自身的安全状况。n4.蜜网是蜜网是为了了解攻了了解攻击者的信息而者的信息而设计的。的。2023/1/4199.3.3 蜜网的局限性蜜网的局限性n9.3.3 蜜网的局限性蜜网的局限性1.蜜网的最大局限性是有限的蜜网的最大局限性是有限的观察能力，它察能力，它仅能能监听与听与分析分析针对蜜网内部蜜罐的攻蜜网内部蜜罐的攻击行行为。2.蜜网蜜网虽然具有然具有观察、捕察、捕获、学、学习攻攻击的能力，但学的能力，但学习到新的攻到新的攻击方法仍及方法仍及时需要需要补充到入侵充到入侵检测系系统的知的知识库中，中，这样才能提高入侵才能提高入侵检测的性能和整个系的性能和整个系统的的安全性。安全性。3.蜜网是一种有效的主蜜网是一种有效的主动防御技防御技术，它的，它的优势是是传统的的被被动防御手段所无法比防御手段所无法比拟的，但是我的，但是我们也不能忽也不能忽视蜜蜜网的网的实施施给系系统安全所安全所带来的来的风险。（三。（三类风险）2023/1/4209.3.4 蜜网体系的核心机制蜜网体系的核心机制n蜜网体系通常具有三种核心机制：数据控制、数据捕蜜网体系通常具有三种核心机制：数据控制、数据捕获和数据采集，它和数据采集，它们一起一起协同工作用来同工作用来实现蜜网主蜜网主动防御的核心价防御的核心价值和功能，并有效地降低系和功能，并有效地降低系统风险。n1.数据控制：目的是确保蜜网中被攻陷的蜜罐主机不数据控制：目的是确保蜜网中被攻陷的蜜罐主机不会被利用攻会被利用攻击蜜网之外的其他主机。蜜网之外的其他主机。n2.数据捕数据捕获：目的是在黑客无察：目的是在黑客无察觉的状的状态下捕下捕获所有所有活活动与攻与攻击行行为所所产生的网生的网络通信量，从而才能通信量，从而才能进一一步分析黑客的攻步分析黑客的攻击目的、所使用的策略与攻目的、所使用的策略与攻击工具等工具等n3、数据采集：目的是、数据采集：目的是针对预先部署的具有多个先部署的具有多个逻辑或或物理的蜜网所构成的分布式蜜网体系物理的蜜网所构成的分布式蜜网体系结构，构，对捕捕获的的黑客行黑客行为信息信息进行收集。行收集。2023/1/4219.3.5 第一代蜜网技术第一代蜜网技术n第一代蜜网技第一代蜜网技术产生于生于1999年，它是第一个可以年，它是第一个可以实现真正交互性的蜜罐，并且在捕真正交互性的蜜罐，并且在捕获大量信息以及未知攻大量信息以及未知攻击方式方面方式方面优于于传统的蜜罐方案。的蜜罐方案。n1.数据控制：在第一代蜜网体系数据控制：在第一代蜜网体系结构中，数据控制机构中，数据控制机制是由防火制是由防火墙、入侵、入侵检测系系统和路由器共同和路由器共同联动实现n2.数据捕数据捕获：从多个：从多个层次、多个数据源中捕次、多个数据源中捕获数据，数据，将会掌握更多的黑客攻将会掌握更多的黑客攻击行行为。n3.第一代蜜网体系架构属于第一代蜜网体系架构属于单个部署的蜜网，因此除个部署的蜜网，因此除了在蜜网本身内部的数据管理之外，数据采集机制在了在蜜网本身内部的数据管理之外，数据采集机制在这里没有体里没有体现。2023/1/4229.3.6 第二代蜜网技术第二代蜜网技术n第二代蜜网技第二代蜜网技术与第一代蜜网相比，在系与第一代蜜网相比，在系统灵活性、灵活性、可管理性和安全性等方面都有所改可管理性和安全性等方面都有所改进.n1.数据控制机制的改数据控制机制的改进n2.数据捕数据捕获机制的改机制的改进2023/1/4239.3.7 虚拟蜜网技术虚拟蜜网技术n目前可以将虚目前可以将虚拟蜜网体系蜜网体系结构构细分分为两两类：自治型虚：自治型虚拟蜜网和混蜜网和混杂型虚型虚拟蜜网。蜜网。n1.自治型虚自治型虚拟蜜网蜜网 它是将整个蜜网系它是将整个蜜网系统在一台物理机器上集中在一台物理机器上集中实现，包括用于完成数据控制和数据捕包括用于完成数据控制和数据捕获的二的二层网关和多个网关和多个虚虚拟蜜罐。蜜罐。n2.混混杂型虚型虚拟蜜网蜜网 多个蜜罐仍然在另一个机器上基于虚多个蜜罐仍然在另一个机器上基于虚拟机技机技术在不在不同的客同的客户操作系操作系统上运行。上运行。2023/1/4249.3.8 第三代蜜网技术第三代蜜网技术n1.数据控制机制数据控制机制 第三代蜜网体系第三代蜜网体系结构中在蜜网网关上使用了多构中在蜜网网关上使用了多层次次的数据控制机制。的数据控制机制。n2.数据捕数据捕获机制机制 第三代蜜网体系第三代蜜网体系结构中主要构中主要结合合Argus（流（流监视器）器）、Snort（入侵（入侵检测系系统）、）、p0f（被（被动操作系操作系统识别器）、器）、Sebek（数据收集器）等关（数据收集器）等关键组件件对黑客攻黑客攻击行行为进行多行多层次捕次捕获。n3.数据集中与分析机制数据集中与分析机制2023/1/425 蜜网应用实例蜜网应用实例n本本节给出一个基于第三代蜜网技出一个基于第三代蜜网技术的的应用用实例，介例，介绍蜜网体系蜜网体系结构在安全局域网的主构在安全局域网的主动防御中的具体防御中的具体应用用与部署。与部署。2023/1/4269.3.10 蜜网技术展望蜜网技术展望n密网技密网技术经过近十年的近十年的发展，具有主展，具有主动防御的防御的显著特著特点，但在核心机制上点，但在核心机制上还不不够完善，有待于完善，有待于进一步的改一步的改进。1.有效地提高蜜网的三种关有效地提高蜜网的三种关键核心机制核心机制.2.增增强蜜网体系的跨平台能力蜜网体系的跨平台能力 3.需要平衡高交互能力和高需要平衡高交互能力和高风险两者之两者之间的矛盾的矛盾 4.确保蜜网体系的可生存性确保蜜网体系的可生存性值得得进一步地探索。一步地探索。5.拓展蜜网技拓展蜜网技术的的应用背景，使其能用背景，使其能够面向多种通信面向多种通信网网络环境，境，发挥其主其主动防御的能力。防御的能力。2023/1/4279.4 信息安全风险评估信息安全风险评估 人们对信息安全内涵的认识不断深入，从最初的信息保密性发展到了信息的完整性、可用性、可控性和不可否认性，进而又提出和发展了“攻（攻击）、防（防范）、测（检测）、控（控制）、管（管理）、评（评估）”众多方面基础理论和专业技术，其中信息安全风险评估逐渐成为安全管理领域的一个重要手段和工具。信息安全是一个动态的复杂过程，贯穿信息资产和信息系统的整个生命周期，是信息安全管理的基础和关键环节，必须按照风险管理思想，对可能的威胁、脆弱性和需要保护的信息资产进行分析，依据风险评估结果对信息系统选择适当的安全措施，以妥善应对可能面对的威胁和可能发生的风险，有针对性进行管理。9.4.1 信息安全风险评估的概念1、信息安全风险评估的定义 信息安全风险评估是从风险管理角度，运用定性、定量的科学分析方法和手段，系统地分析信息和信息系统等资产所面临的人为的和自然的威胁，以及威胁事件一旦发生系统可能遭受的危害程度，有针对性地提出抵御威胁的安全等级防护对策和整改措施，从而最大限度地减少经济损失和负面影响。9.4.1 信息安全风险评估的概念2、相关概念n资产(Asset)n资产价值（Asset Value）n信息安全风险（Information Security Risk）n信息安全风险评估（Information Security Risk Assessment）n威胁（Threat）n脆弱性（Vulnerability）n安全事件（Security Event）n安全措施（Security Measure）n安全需求（Security Requirement）n残余风险（Residual Risk）9.4.1 信息安全风险评估的概念3、风险评估的基本要素及关系9.4.2 信息安全风险评估的发展历程信息安全风险评估的发展历程n第一个阶段（20世纪6070年代），以计算机为对象的信息保密阶段。n第二个阶段（20世纪8090年代），以计算机和网络为对象信息安全保护阶段。n第三个阶段（20世纪90年代末至今），以信息系统关键基础设施为对象的信息保障阶段。9.4.3 我国在信息安全风险评估方面的政策和工作n 进入21世纪，我国的风险评估工作取得了较快的发展，中办发200327号文件“国家信息化领导小组关于加强信息安全保障工作的意见”明确提出“要重视信息安全风险评估工作，对网络与信息系统安全的潜在威胁、薄弱环节、防范措施等进行分析评估，综合考虑网络与信息系统的重要性、涉密程度和面临的信息安全风险等因素，进行相应等级的安全建设和管理”。n 2004年1月首次全国信息安全保障工作会议要求“抓紧研究制定基础信息网络和重要信息系统风险评估的管理规范，并组织力量提供技术支持。9.4.3 我国在信息安全风险评估方面的政策和工作n 2003年7月委托国家信息中心组建成立了“信息安全风险评估课题组”n 2004年9月，“信息安全风险评估规范”和“信息安全风险管理指南”两个标准的初稿完成n 2005年，有国务院信息办组织，在北京、上海、黑龙江、云南、人民银行、国家税务总局、国家电力总公司和国家信息中心开展风险评估的试点工作 n 2006年1月国务院信息化办公室下发了“关于开展信息安全风险评估工作的意见”，明确了信息安全风险评估工作的基本内容和原则，对风险评估工作提出了要求 9.4.4 信息安全风险评估的参考流程 图9-12 信息安全风险评估的参考流程图9.4.5 威胁识别 威胁是一种对组织及其资产构成潜在破坏的可能性因素，是客观存在的。1、威胁识别2、威胁分类3、威胁赋值 9.4.6 脆弱性识别脆弱性是指资产中可能被威胁所利用的弱点。1、脆弱性识别 问卷调查 工具检测 人工检查 文档查阅 渗透性测试 2、脆弱性赋值通用弱点评价体系（CVSS）目前业界对脆弱性没有通用统一的评价体系标准，因此不同的评价方法对统一脆弱性进行评估的差异也比较大 通用弱点评价体系（CVSS）是由NIAC开发、FIRST维护的一个开放并且能够被产品厂商免费采用的标准。CVSS最早于2005年2月23日被公开发布于美国国土安全部的网站上，可以参考该标准对脆弱性进行评分。9.4.7 风险分析计算完成了资产识别、威胁识别、脆弱性识别以及对已有安全措施的识别和确认之后，应进入风险分析阶段，该阶段的主要任务就是完成风险的分析和计算。风险计算方法分为:定量计算定性计算 9.4.7 风险分析计算考虑已有控制措施因素后的当前资产风险（Risk），可以按照以下公式进行定性计算：其中，A：资产价值（Asset Value），Tx：综合威胁来源和影响程度后的最终威胁值（Threat），V：脆弱性值（Vulnerability），Px：为已有控制措施针对资产所面临每一特定威胁进行保护的有效性，是一个从0到100%之间的一个数值，x：为单个资产面对的某一个威胁。