網(wǎng)絡(luò)安全發(fā)展與未來講義

1、第12章 網(wǎng)絡(luò)安全發(fā)展與未來張玉清國家計算機網(wǎng)絡(luò)入侵防范中心122022/9/21網(wǎng)絡(luò)攻擊與防范技術(shù)2本章內(nèi)容安排12.1 網(wǎng)絡(luò)安全現(xiàn)狀與挑戰(zhàn)12.2 網(wǎng)絡(luò)安全的發(fā)展趨勢 12.3 網(wǎng)絡(luò)安全與法律法規(guī)12.4 小結(jié) 2022/9/21網(wǎng)絡(luò)攻擊與防范技術(shù)312.1 網(wǎng)絡(luò)安全現(xiàn)狀與挑戰(zhàn)12.1.1 網(wǎng)絡(luò)安全現(xiàn)狀12.1.2 網(wǎng)絡(luò)安全面臨的新挑戰(zhàn) 2022/9/21網(wǎng)絡(luò)攻擊與防范技術(shù)412.1.1 網(wǎng)絡(luò)安全現(xiàn)狀過去的數(shù)年中，互聯(lián)網(wǎng)遭受了一波又一波的攻擊傳播速度超快、影響范圍廣泛、造成損失巨大的惡意攻擊不斷出現(xiàn)。 2022/9/21網(wǎng)絡(luò)攻擊與防范技術(shù)5網(wǎng)絡(luò)安全現(xiàn)狀(2)典型攻擊：Melissa(199

2、9) 和 LoveLetter(2000) 紅色代碼(2001) 尼姆達(2001) 熊貓燒香(2006-2007)分布式拒絕服務(wù)攻擊(2000-2007) 遠程控制特洛伊木馬后門(1998-2007)2022/9/21網(wǎng)絡(luò)攻擊與防范技術(shù)6Melissa和LoveLetter1999年3月爆發(fā)的Melissa 病毒和2000年5月爆發(fā)的LoveLetter 病毒非常相似，都是利用Outlook電子郵件附件迅速傳播。Melissa是MicrosoftWord宏病毒，LoveLetter則是VBScript病毒，其惡意代碼都是利用Microsoft公司開發(fā)的Script語言缺陷進行攻擊，因此二者非

3、常相似。 2022/9/21網(wǎng)絡(luò)攻擊與防范技術(shù)7Melissa和LoveLetter(2)用戶一旦在Microsoft Outlook里打開這個郵件，系統(tǒng)就會自動復制惡意代碼并向地址簿中的所有郵件地址發(fā)送帶有病毒的郵件。很快，由于Outlook用戶數(shù)目眾多，其病毒又可以很容易地被復制，很快許多公司的郵件服務(wù)器就被洪水般的垃圾郵件塞滿而中斷了服務(wù)。 2022/9/21網(wǎng)絡(luò)攻擊與防范技術(shù)8Melissa和LoveLetter(3)Melissa 和 LoveLetter 的爆發(fā)可以說是信息安全的喚醒電話，它引起了當時人們對信息安全現(xiàn)狀的深思，并無形中對信息安全的設(shè)施和人才隊伍的發(fā)展起了很大的刺激作

4、用: Melissa 和 LoveLetter 刺激了企業(yè)和公司對網(wǎng)絡(luò)安全的投資，尤其是對防病毒方面的投入；許多公司對網(wǎng)絡(luò)蠕蟲病毒的應(yīng)急響應(yīng)表現(xiàn)出的無能促使了專業(yè)網(wǎng)絡(luò)安全應(yīng)急響應(yīng)小組的發(fā)展與壯大。 2022/9/21網(wǎng)絡(luò)攻擊與防范技術(shù)9紅色代碼2001年7月的某天，全球的IDS幾乎同時報告遭到未知蠕蟲攻擊。信息安全組織和專業(yè)人士紛紛迅速行動起來，使用蜜罐(honeypots)技術(shù)從因特網(wǎng)上捕獲數(shù)據(jù)包進行分析，最終發(fā)現(xiàn)這是一利用微軟IIS緩沖溢出漏洞進行感染的變種蠕蟲。 2022/9/21網(wǎng)絡(luò)攻擊與防范技術(shù)10紅色代碼(2)其實這一安全漏洞早在一個月以前就已經(jīng)被eEye Digital Secu

5、rity發(fā)現(xiàn)，微軟也發(fā)布了相應(yīng)的補丁程序，但是卻很少有組織和企業(yè)的網(wǎng)絡(luò)引起了足夠的重視，下載并安裝了該補丁。 2022/9/21網(wǎng)絡(luò)攻擊與防范技術(shù)11紅色代碼(3)2022/9/21網(wǎng)絡(luò)攻擊與防范技術(shù)12紅色代碼(4)2022/9/21網(wǎng)絡(luò)攻擊與防范技術(shù)13紅色代碼的啟示只要注意及時更新補丁和修復程序，對于一般的蠕蟲傳播是完全可以避免的。 在網(wǎng)絡(luò)遭到攻擊時，為進行進一步的分析，使用蜜罐是一種非常行之有效的方法。 紅色代碼猛攻白宮之所以被成功扼制，是因為ISP們及時將路由表中所有白宮的IP地址都清空了，在這一蠕蟲代碼企圖阻塞網(wǎng)絡(luò)之前，在因特網(wǎng)邊界就已被丟棄。另外，白宮網(wǎng)站也立即更改了所有服務(wù)器的

6、IP地址。 2022/9/21網(wǎng)絡(luò)攻擊與防范技術(shù)14尼姆達尼姆達（Nidma）是在 9.11 恐怖襲擊后整整一個星期后出現(xiàn)的。地區(qū)之間的沖突和摩擦常會導致雙方黑客互相實施攻擊。當時傳言尼姆達病毒的散布為了試探美國對網(wǎng)絡(luò)恐怖襲擊的快速反應(yīng)能力，一些安全專家甚至喊出了“我們現(xiàn)在急需制定另一個曼哈頓計劃，以隨時應(yīng)對網(wǎng)絡(luò)恐怖主義”的口號，由此可見尼姆達在當時給人們造成的恐慌。 2022/9/21網(wǎng)絡(luò)攻擊與防范技術(shù)15尼姆達(2)尼姆達病毒是在早上9：08發(fā)現(xiàn)的，它明顯地比紅碼病毒更快、更具有摧毀功能，半小時之內(nèi)就傳遍了整個世界。隨后在全球各地侵襲了830萬部電腦，總共造成將近10億美元的經(jīng)濟損失。 2

7、022/9/21網(wǎng)絡(luò)攻擊與防范技術(shù)16尼姆達(3)同“紅色代碼”一樣，“尼姆達”也是通過網(wǎng)絡(luò)對Windows操作系統(tǒng)進行感染的一種蠕蟲型病毒。但是它與以前所有的網(wǎng)絡(luò)蠕蟲的最大不同之處在于，“尼姆達”通過多種不同的途徑進行傳播，而且感染多種Windows操作系統(tǒng)。紅色代碼只能夠利用IIS的漏洞來感染系統(tǒng)，而尼姆達則利用了至少四種微軟產(chǎn)品的漏洞來進行傳播:在 IIS 中的缺陷瀏覽器的JavaScript缺陷利用 Outlook 電子郵件客戶端的一個安全缺陷亂發(fā)郵件利用硬盤共享的一個缺陷，將guest用戶擊活并非法提升為管理員。在一個系統(tǒng)遭到感染后，Nimda又會立即尋找突破口，迅速感染周邊的系統(tǒng)，

8、并占用大部分的網(wǎng)絡(luò)帶寬。2022/9/21網(wǎng)絡(luò)攻擊與防范技術(shù)17尼姆達的啟示對網(wǎng)絡(luò)攻擊事件的緊急響應(yīng)能力以及和安全專家們建立良好的關(guān)系是非常重要的。 為阻斷惡意蠕蟲的傳播，往往需要在和廣域網(wǎng)的接口之間設(shè)置過濾器，或者干脆暫時斷開和廣域網(wǎng)的連接。在電子郵件客戶端和網(wǎng)絡(luò)瀏覽器中禁止任意腳本的執(zhí)行對網(wǎng)絡(luò)安全性來說是很關(guān)鍵的。 2022/9/21網(wǎng)絡(luò)攻擊與防范技術(shù)18熊貓燒香“熊貓燒香”是一個由Delphi工具編寫的蠕蟲，終止大量的反病毒軟件和防火墻軟件進程。病毒會刪除擴展名為gho的文件，使用戶無法使用ghost軟件恢復操作系統(tǒng)。2022/9/21網(wǎng)絡(luò)攻擊與防范技術(shù)19熊貓燒香(2)“熊貓燒香”病毒

9、利用的傳播方式囊括了漏洞攻擊、感染文件、移動存儲介質(zhì)、局域網(wǎng)傳播、網(wǎng)頁瀏覽、社會工程學欺騙等。 它能感染系統(tǒng)的.exe、.com、.pif、.src、.html、.asp文件，添加病毒網(wǎng)址，導致用戶一打開這些網(wǎng)頁文件，IE就會自動連接到指定的病毒網(wǎng)址中下載病毒。在硬盤各個分區(qū)下生成文件autorun.inf和setup.exe，可以通過U盤和移動硬盤等方式進行傳播，并且利用Windows系統(tǒng)的自動播放功能來運行，搜索硬盤中的.exe可執(zhí)行文件并感染，感染后的文件圖標變成“熊貓燒香”圖案。它還能終止大量的反病毒軟件和防火墻軟件進程。病毒會刪除擴展名為.gho的文件，使用戶的系統(tǒng)備份文件丟失。 具

10、有極強的變種能力，僅兩個多月的時間，變種就多達70余種。2022/9/21網(wǎng)絡(luò)攻擊與防范技術(shù)20分布式拒絕服務(wù)攻擊在新千年的到來之季，信息安全領(lǐng)域的人們都以為由于存在千年蟲的問題，在信息網(wǎng)絡(luò)安全領(lǐng)域中應(yīng)該暫時還不會出現(xiàn)什么漣波。然而， 一月之后卻來了一場誰也意想不到的洪潮：在全球知名網(wǎng)站雅虎第一個宣告因為遭受分布式拒絕服務(wù)攻擊而徹底崩潰后， 緊接著A， CNN， ZDNet， B， Excite 和 eBay 等其它七大知名網(wǎng)站也幾乎在同一時間徹底崩潰。這無疑又一次敲響了互聯(lián)網(wǎng)的警鐘。 2022/9/21網(wǎng)絡(luò)攻擊與防范技術(shù)21分布式拒絕服務(wù)攻擊(2)DDoS 的閃擊攻擊使人們認識到互聯(lián)網(wǎng)遠比他

11、們想象得更加脆弱，分布式拒絕服務(wù)攻擊產(chǎn)生的影響也遠比他們原來想象中的要大得多。利用互聯(lián)網(wǎng)上大量的機器進行DDoS ，分布式掃描和分布式口令破解等，一個攻擊者能夠達到意想不到的強大效果。 DDoS攻擊從2000年開始，就一直是互聯(lián)網(wǎng)安全的致命危害，就在2006年，即使是有著上千臺服務(wù)器的百度在遭受DDoS攻擊時也難逃一劫，致命服務(wù)停止半個小時。2022/9/21網(wǎng)絡(luò)攻擊與防范技術(shù)22分布式拒絕服務(wù)攻擊的啟示從雅虎遭到強大的DDoS攻擊中得到的啟示：要阻止這種攻擊關(guān)鍵是網(wǎng)絡(luò)出口反欺騙過濾器的功能是否強大。也就是說如果你的Web服務(wù)器收到的數(shù)據(jù)包的源IP地址是偽造的話，你的邊界路由器或防火墻必須能夠

12、識別出來并將其丟棄。網(wǎng)絡(luò)安全事件響應(yīng)小組們認識到他們必須和他們的ISP共同去阻止數(shù)據(jù)包的flood攻擊。如果失去ISP的支持，即使防火墻功能再強大，網(wǎng)絡(luò)出口的帶寬仍舊可能被全部占用。不幸地，DDoS攻擊即使在目前也仍舊是互聯(lián)網(wǎng)面臨的主要威脅，當然這主要是因為ISP在配合阻斷DDoS攻擊上速度太慢引起的，無疑使事件應(yīng)急響應(yīng)的效果大打折扣。 2022/9/21網(wǎng)絡(luò)攻擊與防范技術(shù)23遠程控制特洛伊木馬后門在1998年7月，黑客 Cult of the Dead Cow（cDc）推出的強大后門制造工具 Back Orifice（或稱BO）使龐大的網(wǎng)絡(luò)系統(tǒng)輕而易舉地陷入了癱瘓之中。安裝BO主要目的是：黑

13、客通過網(wǎng)絡(luò)遠程入侵并控制受攻擊的Win95系統(tǒng)，從而使受侵機器“言聽計從”。 如果僅僅從功能上講，Back Orifice完全可以和市場上最流行的商業(yè)遠程控制軟件相媲美。因此，許多人干脆拿它來當作遠程控制軟件來進行合法的網(wǎng)絡(luò)管理。 2022/9/21網(wǎng)絡(luò)攻擊與防范技術(shù)24遠程控制特洛伊木馬后門(2)BO的成功后來也迅速地帶動和產(chǎn)生了許多類似的遠程控制工具，像 SubSeven， NetBus， Hack-a-Tack 和 Back Orifice 2000 (BO2K)等。木馬技術(shù)不發(fā)展，發(fā)生了眾多功能強大的軟件，灰鴿子就是其典型代表。這些攻擊工具和方法甚至一直保留到現(xiàn)在，作為黑客繼續(xù)開發(fā)新的

14、和更加強大的特洛伊木馬后門，以避開檢測，繞過個人防火墻和偽裝自己的設(shè)計思想基礎(chǔ)。 2022/9/21網(wǎng)絡(luò)攻擊與防范技術(shù)25“敲詐”型木馬木馬從最初的僅僅獲取信息，轉(zhuǎn)變?yōu)閷ｉT以營利為目的。如盜取銀行賬號信息掠奪金錢、盜取網(wǎng)游賬號倒賣等。此外，還出現(xiàn)了一種新型功能的木馬“敲詐”型木馬，它的主要特點是試圖隱藏用戶文檔，讓用戶誤以為文件丟失，木馬乘機以幫助用戶恢復數(shù)據(jù)的名義，要求用戶向指定的銀行賬戶內(nèi)匯入定額款項。國內(nèi)已出現(xiàn)不少這類專門對用戶進行“敲詐勒索”的木馬。2022/9/21網(wǎng)絡(luò)攻擊與防范技術(shù)2612.1.2 網(wǎng)絡(luò)安全面臨的新挑戰(zhàn)針對網(wǎng)絡(luò)安全的挑戰(zhàn)更是層出不窮，下面列出了目前網(wǎng)絡(luò)安全面臨的幾大

15、問題： 更多網(wǎng)絡(luò)犯罪直接以經(jīng)濟利益為目的 拒絕服務(wù)攻擊泛濫 垃圾郵件與反垃圾郵件之間的斗爭愈演愈烈 惡意軟件橫行，web攻擊頻發(fā) 對非PC設(shè)備（例如手機）的威脅增加 2022/9/21網(wǎng)絡(luò)攻擊與防范技術(shù)27更多網(wǎng)絡(luò)犯罪直接以經(jīng)濟利益為目的最吸引國人眼球的應(yīng)該是騰訊，2004年兩次QQ大規(guī)模無法使用，尤其是此后影影綽綽的勒索傳言，有人驚呼：中國網(wǎng)絡(luò)恐怖主義誕生了。傳言畢竟只是傳言，相比之下，一群巴西網(wǎng)絡(luò)銀行駭客的落網(wǎng)或許更能讓你真切感受到網(wǎng)絡(luò)犯罪離你多近，僅僅一年多的時間，他們從銀行中竊取了大約2758萬美元依稀能看見商業(yè)間諜、軍事間諜或者是一群僅僅為了金錢徹夜不眠地進行攻擊攻擊再攻擊的人們勿庸

16、置疑，這些事實僅僅是冰山一角。技術(shù)進步加上道德感的缺失，黑客們開始看清自己要的東西。 2022/9/21網(wǎng)絡(luò)攻擊與防范技術(shù)28更多網(wǎng)絡(luò)犯罪直接以經(jīng)濟利益為目的經(jīng)濟利益毫無疑問已經(jīng)成為病毒和木馬制造者最大的驅(qū)動力。病毒制造者已經(jīng)不再是以炫耀自己的技術(shù)為目的，也不再是單打獨斗，而是結(jié)成了團伙，制造、傳播、盜竊信息、第三方平臺銷贓、洗錢，分工明確，形成了一整條黑色產(chǎn)業(yè)鏈。2022/9/21網(wǎng)絡(luò)攻擊與防范技術(shù)29令全國網(wǎng)民聞“貓”色變的熊貓燒香病毒 2022/9/21網(wǎng)絡(luò)攻擊與防范技術(shù)30熊貓燒香背后的巨大利潤據(jù)湖北省公安廳介紹，李俊以自己出售和由他人代賣的方式，每次要價5001000元不等，將該病毒

17、銷售給120余人，非法獲利10萬余元。經(jīng)病毒購買者進一步傳播，該病毒的各種變種在網(wǎng)上大面積傳播，通過入侵可盜取證券、銀行、信用卡的賬號，其非法所得通過購買網(wǎng)絡(luò)貨幣，完成“漂白”的洗錢過程；而通過病毒盜取的游戲賬號、虛擬錢幣，則通過中間批發(fā)商直接變現(xiàn)，再進入傳統(tǒng)銷售渠道。另一部分非法收入則是通過入侵網(wǎng)站，勒索網(wǎng)站收取傭金。據(jù)湖北省公安廳估算，被“熊貓燒香”病毒控制的“網(wǎng)絡(luò)僵尸”數(shù)以百萬計，按其訪問流量付費的網(wǎng)站，一年下來可為整個“燒香”入侵之后一整套“推廣”網(wǎng)絡(luò)累計獲利數(shù)千萬元。2022/9/21網(wǎng)絡(luò)攻擊與防范技術(shù)31職業(yè)黑客的網(wǎng)絡(luò)時代“300元，兩天之內(nèi)破解一個電子郵箱；1000元，攻擊一次或

18、一個服務(wù)器” 這個價錢是一個職業(yè)黑客開出的價錢。隨著網(wǎng)絡(luò)技術(shù)不斷進步、網(wǎng)絡(luò)經(jīng)濟的繁榮，黑客這一概念，已開始從原先的對于不斷追求網(wǎng)絡(luò)技術(shù)的人群轉(zhuǎn)變成了以提供相應(yīng)服務(wù)，獲得經(jīng)濟利益的職業(yè)人群。2022/9/21網(wǎng)絡(luò)攻擊與防范技術(shù)32拒絕服務(wù)攻擊泛濫我們所看到的拒絕服務(wù)已經(jīng)不僅僅是一臺或幾臺機器發(fā)起的了，攻擊者們控制成百上千的僵尸電腦(Zombie)，甚至由蠕蟲來進行傳播和攻擊。DoS憑借它的便捷有效，吸引了大量熱衷者，互聯(lián)網(wǎng)上因此充斥這類垃圾流量。除了常規(guī)的拒絕服務(wù)攻擊、DoS訛詐之外，我們面臨的各種有意無意的DoS越來越多，例如，郵件蠕蟲發(fā)送郵件，產(chǎn)生的大量DNS查詢報文，對DNS服務(wù)器產(chǎn)生事實

19、上的DoS等等，事件日漸頻發(fā)。 2022/9/21網(wǎng)絡(luò)攻擊與防范技術(shù)33垃圾郵件與反垃圾郵件之間的斗爭愈演愈烈網(wǎng)絡(luò)服務(wù)商和郵件運營商們紛紛提出了自己的技術(shù)方案：雅虎的“DomainKeys”，它利用公/私鑰加密技術(shù)為每個電子郵件地址生成一個唯一的簽名，實現(xiàn)對郵件發(fā)送者的身份驗證；微軟的“電子郵票”有償發(fā)送郵件方案；而AOL正在試驗一種名為“Sender permitted From”（SPF）的新電子郵件協(xié)議，禁止通過修改域名系統(tǒng)（DNS）偽造電子郵件地址；等等但垃圾郵件發(fā)送者并不是坐以待斃，而是主動出擊，繼續(xù)他們沒完沒了的“發(fā)送事業(yè)”。2022/9/21網(wǎng)絡(luò)攻擊與防范技術(shù)34垃圾郵件與反垃圾

20、郵件之間的斗爭愈演愈烈(2)道高一尺，魔高一丈，世界永遠在此消彼長中發(fā)展。2008年，垃圾郵件事件依然在以驚人的速度增長，垃圾郵件廠商與反垃圾郵件廠商究竟是一起賺錢，或者能拼出個高下，尚無從得知，斗爭依然熱鬧非凡。 2022/9/21網(wǎng)絡(luò)攻擊與防范技術(shù)35惡意代碼橫行，web攻擊頻發(fā)MYDOOM/Netsky/Bagle/震蕩波/SCO炸彈/QQ尾巴/MSN射手等一系列新病毒和蠕蟲的出現(xiàn)，造成了巨大的經(jīng)濟損失。而且病毒和蠕蟲的多樣化明顯，甚至蠕蟲編寫組織開始相互對抗，頻繁推出新版本。根據(jù)調(diào)查，平均每臺家用PC有28個間諜軟件，它們已經(jīng)被更多的公司及個人利用，其目的也從初期簡單收戶信息演化為可能

21、收集密碼、帳號等資料。至于web攻擊，各大政府的門戶網(wǎng)站成為別有用心的攻擊者的首選目標，2008年政府網(wǎng)站被篡改的事件比例大幅增加。而網(wǎng)絡(luò)釣魚方面，且不談多年受其困擾的ebay，只看網(wǎng)絡(luò)釣客以“假網(wǎng)站”試釣中國銀行、中國工商銀行的用戶，就可以想像其猖獗程度了。2022/9/21網(wǎng)絡(luò)攻擊與防范技術(shù)36對非PC設(shè)備（如手機）的威脅增加手機的PC化為手機病毒的制造和傳播準備了基礎(chǔ)，智能手機的加速普及又將降低手機病毒在傳播過程中因為手機制式的不同而形成的障礙，3G的到來終將引爆無線互聯(lián)網(wǎng)，包括手機病毒在內(nèi)的手機安全問題將日益凸現(xiàn)。目前，手機病毒已經(jīng)具有了計算機病毒的許多特點，而通過藍牙等無線技術(shù)，手機

22、病毒可以同時以手機網(wǎng)絡(luò)和計算機網(wǎng)絡(luò)為傳播平臺，其傳播范圍大大增加。手機漏洞挖掘技術(shù)的發(fā)展，也將促進這一領(lǐng)域內(nèi)手機病毒的大量滋生。顯然，手機等這類移動終端的安全問題，正面臨著嚴峻的考驗。2022/9/21網(wǎng)絡(luò)攻擊與防范技術(shù)37對非PC設(shè)備（如手機）的威脅增加自2000年西班牙出現(xiàn)第一例手機病毒以來，到目前為止，總共超過200種手機病毒，并以每周新出現(xiàn)2-3款手機病毒的速度增長。2007年3月出現(xiàn)了一款運行為Symbian S60平臺的“熊貓燒香”手機版病毒。流氓軟件也轉(zhuǎn)戰(zhàn)手機平臺，一條基于以流氓軟件為載體，基于智能手機平臺服務(wù)的黑色產(chǎn)業(yè)鏈正在形成。2002年，xfocus研究人員對手機的漏洞進行

23、過研究，但手機病毒從沒有這兩年距離我們這樣近過，手機蠕蟲的大規(guī)模傳播又成為了我們的心腹之患。 2022/9/21網(wǎng)絡(luò)攻擊與防范技術(shù)3812.2 網(wǎng)絡(luò)安全的發(fā)展趨勢12.2.1 網(wǎng)絡(luò)攻擊的發(fā)展趨勢12.2.2 防御技術(shù)的發(fā)展趨勢12.2.3 動態(tài)安全防御體系12.2.4 加強安全意識與技能培訓12.2.5 標準化進程2022/9/21網(wǎng)絡(luò)攻擊與防范技術(shù)3912.2.1 網(wǎng)絡(luò)攻擊的發(fā)展通過對大量網(wǎng)絡(luò)攻擊事件的分析和歸納得出，網(wǎng)絡(luò)攻擊技術(shù)正在朝以下幾個方面迅速發(fā)展：趨勢1：網(wǎng)絡(luò)攻擊階段自動化趨勢2：網(wǎng)絡(luò)攻擊工具智能化趨勢3：漏洞發(fā)現(xiàn)、利用速度愈來愈快趨勢4：防火墻等的滲透率愈來愈高趨勢5：安全威脅的

24、不對稱性在增加趨勢6：對網(wǎng)絡(luò)基礎(chǔ)設(shè)施產(chǎn)生的破壞力越來越強 2022/9/21網(wǎng)絡(luò)攻擊與防范技術(shù)40趨勢1：網(wǎng)絡(luò)攻擊階段自動化自動化攻擊一般涉及四個階段：掃描階段：攻擊者采用各種新出現(xiàn)的掃描技術(shù)（隱蔽掃描、智能掃描、指紋識別等），使得攻擊者能夠利用更先進的掃描模式來改善掃描效果，提高掃描速度。滲透控制階段：先進的隱蔽遠程植入方式，如基于數(shù)字水印遠程植入方式、基于DLL和遠程線程插入的植入技術(shù)，能夠成功的躲避防病毒軟件的檢測將受控端程序植入到目的主機中。傳播攻擊階段：以前依靠人工啟動攻擊軟件工具發(fā)起的攻擊，現(xiàn)在發(fā)展到由攻擊工具本身只能發(fā)起新的攻擊。攻擊工具協(xié)調(diào)管理階段：隨著分布式攻擊工具的出現(xiàn)，攻

25、擊者可以容易地控制和協(xié)調(diào)分布在Internet上的大量已部署的攻擊工具。2022/9/21網(wǎng)絡(luò)攻擊與防范技術(shù)41趨勢2：網(wǎng)絡(luò)攻擊工具智能化目前攻擊工具的開發(fā)者正在利用更先進的思想和技術(shù)來武裝攻擊工具，攻擊工具的特征比以前更難發(fā)現(xiàn)。相當?shù)墓ぞ咭呀?jīng)具備了反偵破、智能動態(tài)行為、攻擊工具變異等特點。反偵破是指攻擊者越來越多地采用具有隱蔽攻擊工具特性的技術(shù)，使得網(wǎng)絡(luò)管理人員和網(wǎng)絡(luò)安全專家需要耗費更多的時間分析新出現(xiàn)的攻擊工具和了解新的攻擊行為；智能動態(tài)行為是指現(xiàn)在的攻擊工具能根據(jù)環(huán)境自適應(yīng)地選擇或預(yù)先定義決定策略路徑來變化對它們的模式和行為。并不像早期的攻擊工具那樣，僅僅以單一確定的順序執(zhí)行攻擊步驟；攻

26、擊工具變異是指攻擊工具已經(jīng)發(fā)展到可以通過升級或更換工具的一部分迅速變化自身，進而發(fā)動迅速變化的攻擊，且在每一次攻擊中會出現(xiàn)多種不同形態(tài)的攻擊工具。2022/9/21網(wǎng)絡(luò)攻擊與防范技術(shù)42趨勢3：漏洞發(fā)現(xiàn)、利用速度愈來愈快安全漏洞是危害網(wǎng)絡(luò)安全的最主要因素，安全漏洞在所有的操作系統(tǒng)和應(yīng)用軟件都是普遍存在的，特別是軟件系統(tǒng)的各種漏洞。安全漏洞并沒有廠商和操作系統(tǒng)平臺的區(qū)別，即并非人們印象中那樣：UNIX系統(tǒng)更安全一些。新發(fā)現(xiàn)的各種系統(tǒng)與網(wǎng)絡(luò)安全漏洞每年都要增加一倍，每年都會發(fā)現(xiàn)安全漏洞的新類型，這些漏洞在補丁未開發(fā)出來之前很難防御攻擊者的破壞。網(wǎng)絡(luò)安全管理員需要不斷用最新的補丁修補相應(yīng)漏洞。攻擊者

27、經(jīng)常能夠搶在廠商修補漏洞前，發(fā)現(xiàn)這些未修補漏洞同時發(fā)起攻擊。 2022/9/21網(wǎng)絡(luò)攻擊與防范技術(shù)43趨勢4：防火墻等的滲透率愈來愈高配置防火墻目前仍然是企業(yè)和個人防范網(wǎng)絡(luò)入侵者的主要防護措施。但是，一直以來，黑客都在研究攻擊防火墻的技術(shù)和手段。攻擊的手法和技術(shù)越來越只能化和多樣化。從黑客攻擊防火墻的過程看，大概可以分為兩類：第一類攻擊防火墻的方法是探測在目標網(wǎng)絡(luò)上安全的是何種防火墻系統(tǒng)，并且找出此防火墻系統(tǒng)允許哪些服務(wù)開放防火墻的探測攻擊；第二類攻擊防火墻的方法是采取地址欺騙，TCP序列號攻擊等手法繞過防火墻的認證機制，達到攻擊防火墻和內(nèi)部網(wǎng)絡(luò)的目的。 2022/9/21網(wǎng)絡(luò)攻擊與防范技術(shù)4

28、4趨勢5：安全威脅的不對稱性在增加Internet上的安全是相互依賴的。每個Internet系統(tǒng)遭受攻擊的可能性取決于連接到全球Internet上其他系統(tǒng)的安全狀態(tài)。由于攻擊技術(shù)水平的進步，一個攻擊者可以比較容易地利用那些不安全系統(tǒng)，對一個受害者發(fā)動破壞性的攻擊。隨著部署自動化程度和攻擊工具管理技巧的提高，威脅的不對稱性將繼續(xù)增加。 2022/9/21網(wǎng)絡(luò)攻擊與防范技術(shù)45趨勢6：對網(wǎng)絡(luò)基礎(chǔ)設(shè)施的破壞力越來越大 由于用戶越來越多地依賴計算機網(wǎng)絡(luò)提供各種服務(wù)，完成日常相關(guān)業(yè)務(wù)，黑客攻擊網(wǎng)絡(luò)基礎(chǔ)設(shè)施造成的破壞影響越來越大。黑客對網(wǎng)絡(luò)基礎(chǔ)設(shè)施的攻擊，主要手段有分布式拒絕服務(wù)攻擊、蠕蟲病毒攻擊、對In

29、ternet域名系統(tǒng)DNS的攻擊和對路由器的攻擊。2022/9/21網(wǎng)絡(luò)攻擊與防范技術(shù)4612.2.2 防御技術(shù)的發(fā)展趨勢病毒防御技術(shù)發(fā)展趨勢反垃圾郵件發(fā)展趨勢 防火墻技術(shù)發(fā)展趨勢 反間諜技術(shù)的應(yīng)用嘗試與發(fā)展 IDS技術(shù)的發(fā)展趨勢 2022/9/21網(wǎng)絡(luò)攻擊與防范技術(shù)47病毒防御技術(shù)發(fā)展趨勢對于企業(yè)來說，面臨的最大問題是基于簽名的識別技術(shù)不能有效防御新病毒。企業(yè)要想有效地制止攻擊，行為識別是首選的解決方案。 2022/9/21網(wǎng)絡(luò)攻擊與防范技術(shù)48病毒防御技術(shù)發(fā)展趨勢(2)綜合采用行為識別和特征識別技術(shù)，可非常高效的實現(xiàn)對計算機病毒、蠕蟲、木馬等惡意攻擊行為的主動防御，能較好地解決現(xiàn)有產(chǎn)品或系

30、統(tǒng)以被動防御為主、識別未知攻擊行為能力弱的缺陷。基于行為的反防毒保護并不依靠一對一的簽名校對來實現(xiàn)惡性代碼的識別，而是通過檢查病毒及蠕蟲的共有特征發(fā)現(xiàn)可能的惡性軟件。2022/9/21網(wǎng)絡(luò)攻擊與防范技術(shù)49病毒防御技術(shù)發(fā)展趨勢(3)采用這一技術(shù)的優(yōu)勢在于：該技術(shù)可識別未知的病毒，以抵御“零日”攻擊?？梢哉f由簽名識別技術(shù)轉(zhuǎn)移到行為識別技術(shù)，是大勢所趨。但是，目前的事實是，行為識別技術(shù)暫時還沒有走向商業(yè)化。2022/9/21網(wǎng)絡(luò)攻擊與防范技術(shù)50反垃圾郵件發(fā)展趨勢國內(nèi)外主要的反垃圾郵件系統(tǒng)，普遍采用的是關(guān)鍵字內(nèi)容過濾技術(shù)，采取“截獲樣本，解析特征，生成規(guī)則，規(guī)則下發(fā)，內(nèi)容過濾” 這種類似傳統(tǒng)殺病毒

31、系統(tǒng)的原理。這種技術(shù)存在著許多難以克服的問題。2022/9/21網(wǎng)絡(luò)攻擊與防范技術(shù)51傳統(tǒng)反垃圾郵件難以克服的問題垃圾郵件內(nèi)容變化快，數(shù)量遠遠大于病毒，任何一家安全公司都很難保證樣本采集的數(shù)量和及時性，也就很難保證反垃圾郵件的使用效果和效果的持久性;必須比對完所有的關(guān)鍵字規(guī)則，一封信才能被確信不是垃圾郵件，導致效率低下、資源消耗大、網(wǎng)關(guān)系統(tǒng)不穩(wěn)定，尤其是在遭受巨量郵件攻擊時，可能導致系統(tǒng)崩潰;依賴關(guān)鍵字規(guī)則判別垃圾郵件，導致誤判率較高，垃圾郵件識別準確性低，效果差;2022/9/21網(wǎng)絡(luò)攻擊與防范技術(shù)52傳統(tǒng)反垃圾郵件難以克服的問題(2)系統(tǒng)自維護能力差，管理員維護大量規(guī)則庫，工作量大；信件必

32、須接收完整才能進行內(nèi)容過濾，導致國際網(wǎng)絡(luò)流量費用高；通過拆信檢查內(nèi)容的方式進行反垃圾郵件，侵犯了公民電子郵件通信自由權(quán)和隱私權(quán)，這種內(nèi)容過濾技術(shù)將受到廣泛的法律質(zhì)疑。2022/9/21網(wǎng)絡(luò)攻擊與防范技術(shù)53反垃圾郵件發(fā)展趨勢(cont.)傳統(tǒng)反垃圾郵件技術(shù)，只能提升信噪比，以免垃圾郵件淹沒正常郵件，但垃圾郵件與病毒郵件仍然占用了大量帶寬與存儲資源，垃圾郵件的發(fā)送仍處于非受控狀態(tài)。要想從根本上解決反垃圾郵件的技術(shù)難題，就要采用主動型垃圾郵件行為模式識別的技術(shù)，這樣才能做到主動的郵件攻擊行為防御、主動的垃圾郵件阻斷，從而最大程度地提高垃圾郵件識別率、攔截率，降低資源消耗，真正達到電信級的網(wǎng)關(guān)處理速

33、度。 2022/9/21網(wǎng)絡(luò)攻擊與防范技術(shù)54反垃圾郵件發(fā)展趨勢(cont.)行為模式識別模型包含了郵件發(fā)送過程中的各類行為要素，例如：時間、頻度、發(fā)送IP、協(xié)議聲明特征、發(fā)送指紋等。在統(tǒng)計分析中，可以發(fā)現(xiàn)在行為特征上，垃圾郵件與正常郵件具有極高的區(qū)分度，且不論內(nèi)容如何均相對為固有特征，特別是對大量的采用動態(tài)IP發(fā)送的郵件更是如此。 2022/9/21網(wǎng)絡(luò)攻擊與防范技術(shù)55反垃圾郵件發(fā)展趨勢(cont.)采用垃圾郵件行為模式識別模型不僅大大提高了垃圾郵件辨別的準確率，而且不需要對信件的全部內(nèi)容進行掃描，所以又可以大大提高計算處理能力，為電信級的郵件過濾打下了堅實的基礎(chǔ)。此外，采用垃圾郵件行為模

34、式識別模型識別垃圾郵件，也可以從另一方面給垃圾郵件攻擊者以壓力，迫使發(fā)送者必須按照一定的規(guī)范發(fā)送郵件。也就是說迫使郵件發(fā)送者只能從正常渠道，以正常方式發(fā)送郵件，從而使得郵件的發(fā)送處于受控狀態(tài)。 2022/9/21網(wǎng)絡(luò)攻擊與防范技術(shù)56防火墻技術(shù)發(fā)展趨勢目前的防火墻已經(jīng)不僅僅只是進行狀態(tài)檢測，還需提供更多的安全功能，從各個方面對網(wǎng)絡(luò)安全威脅進行防護，主動擴大戰(zhàn)線。新一代NP技術(shù) 防火墻深度檢測 應(yīng)用狀態(tài)檢測 安全技術(shù)融合 VPN功能集成 2022/9/21網(wǎng)絡(luò)攻擊與防范技術(shù)57新一代NP技術(shù)NP是網(wǎng)絡(luò)處理器（Net Processor）的簡稱，顧名思義，NP是專門設(shè)計用于網(wǎng)絡(luò)封包處理的一種處理器

35、，作為被業(yè)內(nèi)普遍推崇的一種革命性技術(shù)，NP至今尚未能達到人們預(yù)期的應(yīng)用水平。作為NP技術(shù)的主要目標客戶群，通信廠商們的態(tài)度正由熱捧回歸冷靜，而在網(wǎng)絡(luò)安全設(shè)備特別是硬件防火墻市場上，NP的應(yīng)用卻正呈現(xiàn)出一片欣欣向榮的景象。國內(nèi)的大部分重量級防火墻廠商紛紛推出了自己的NP架構(gòu)防火墻產(chǎn)品。2022/9/21網(wǎng)絡(luò)攻擊與防范技術(shù)58新一代NP技術(shù)(2)用CPU、ASIC還是NP，一直是大家不斷爭論的一個問題，其實這個問題非常簡單。在能達到同樣性能的情況下，優(yōu)選CPU，其次是NP，然后是ASIC。目前很多廠商使用CPU+特定業(yè)務(wù)ASIC來實現(xiàn)高速處理，這是比較常見的方式。在性能不能解決的情況下，選擇NP是

36、必然的做法。但不管是IBM，還是Intel的NP，一個主要問題是開發(fā)成本太高，代碼的開發(fā)難度和進度都不是普通公司能夠短期搞定的，而帶來的維護成本和對客戶的響應(yīng)速度都是很大的問題。2022/9/21網(wǎng)絡(luò)攻擊與防范技術(shù)59新一代NP技術(shù)(3)這兩年推出的新一代網(wǎng)絡(luò)業(yè)務(wù)NP，通過直接集成多個通用CPU在一個處理器中，既可以保證高性能，又能借助軟件的靈活性處理高層業(yè)務(wù)數(shù)據(jù)。新一代NP直接支持C語言和標準協(xié)議棧，性能高達10G，是期望中的業(yè)務(wù)網(wǎng)關(guān)處理芯片。使用新一代NP技術(shù)的防火墻將會獲得性能和功能上兩全的保障。2022/9/21網(wǎng)絡(luò)攻擊與防范技術(shù)60防火墻深度檢測防火墻最初的功能就是進行訪問控制、狀態(tài)

37、檢測，以及地址轉(zhuǎn)換功能。通過對報文網(wǎng)絡(luò)層信息的檢測，來實現(xiàn)在網(wǎng)絡(luò)層上對報文的控制。隨著網(wǎng)絡(luò)應(yīng)用的發(fā)展，高層協(xié)議得到越來越多的應(yīng)用，互聯(lián)網(wǎng)也從多種協(xié)議并駕齊驅(qū)發(fā)展成少數(shù)應(yīng)用協(xié)議成為主流。而針對這些協(xié)議，用戶需要進行控制。比如，需要控制用戶不能訪問非法網(wǎng)址，帶有惡意信息的報文不能進入內(nèi)網(wǎng)。而這些功能，僅僅依靠傳統(tǒng)防火墻技術(shù)實現(xiàn)的對網(wǎng)絡(luò)層信息進行檢查和判斷，是不能實現(xiàn)的，需要檢查報文中的更深層次的內(nèi)容，于是發(fā)展出了深度檢測技術(shù)。2022/9/21網(wǎng)絡(luò)攻擊與防范技術(shù)61防火墻深度檢測(2)深度檢測可以檢測報文中的內(nèi)容信息，從而實現(xiàn)URL過濾、FTP命令過濾、網(wǎng)頁中ActiveX控件過濾等功能，達到控制

38、應(yīng)用內(nèi)容的目的。集成深包檢測的防火墻將會越來越多。通過深包檢測對內(nèi)容進行控制，而不僅僅是對網(wǎng)絡(luò)層信息進行控制，使防火墻對智能攻擊有了主動防護能力。 2022/9/21網(wǎng)絡(luò)攻擊與防范技術(shù)62應(yīng)用狀態(tài)檢測安全領(lǐng)域中長期依賴、發(fā)揮最大作用的無非是狀態(tài)防火墻，通過協(xié)議狀態(tài)檢測技術(shù)實現(xiàn)數(shù)據(jù)訪問單向流動，從而有效的保護內(nèi)部網(wǎng)絡(luò)不受攻擊。而對服務(wù)器，采取暴露端口的形式。隨著應(yīng)用的增多和對安全性要求的提高，對這種開放端口的服務(wù)器同樣需要保護，在網(wǎng)絡(luò)層狀態(tài)檢查的基礎(chǔ)上需要擴展到應(yīng)用層的狀態(tài)檢查，從而對暴露在網(wǎng)絡(luò)中的服務(wù)器進行保護。這種趨勢會產(chǎn)生一系列的應(yīng)用層安全網(wǎng)關(guān)，比如Web安全網(wǎng)關(guān)、語音安全網(wǎng)關(guān)等專用協(xié)議網(wǎng)

39、關(guān)。2022/9/21網(wǎng)絡(luò)攻擊與防范技術(shù)63安全技術(shù)融合傳統(tǒng)的網(wǎng)絡(luò)層安全技術(shù)，如NAT、狀態(tài)防火墻、VPN將不再作為專有設(shè)備，網(wǎng)絡(luò)中路由器、交換機性能的提升和硬件構(gòu)架的換代將直接提供網(wǎng)絡(luò)層的安全功能，傳統(tǒng)意義上的防火墻功能可以集成在路由器中。而另一方面，隨著協(xié)議和接口的統(tǒng)一，防火墻也可以取代路由器或者交換機的位置。安全廠商或許會變化成網(wǎng)絡(luò)設(shè)備廠商，網(wǎng)絡(luò)設(shè)備廠商也能變?yōu)榘踩珡S商，而由于積累的不同，網(wǎng)絡(luò)設(shè)備廠商具有更大的優(yōu)勢。2022/9/21網(wǎng)絡(luò)攻擊與防范技術(shù)64安全技術(shù)融合(2)比如，現(xiàn)在的交換機成本和以前的Hub一樣，但是拋棄了原來的交換芯片，使用新的硬件，不但提供交換，而且提供安全和業(yè)務(wù)特

40、性，將來會直接把安全延伸到整個內(nèi)部網(wǎng)絡(luò)，徹底解決目前的內(nèi)網(wǎng)安全問題。那么，傳統(tǒng)的安全廠商如何發(fā)展？把自己融合進網(wǎng)絡(luò)設(shè)備廠商。向安全的新領(lǐng)域業(yè)務(wù)安全(而不是網(wǎng)絡(luò)安全)進軍。組建安全聯(lián)盟，形成一個大的安全體系，自己成為其中一個基石。2022/9/21網(wǎng)絡(luò)攻擊與防范技術(shù)65VPN功能集成從廠商的角度來說，希望一個環(huán)境中既使用VPN設(shè)備，又使用防火墻。但是，由于VPN設(shè)備對數(shù)據(jù)的隧道封裝會導致防火墻設(shè)備上對VPN數(shù)據(jù)檢測出現(xiàn)失準的現(xiàn)象，而同時維護兩套配置策略也是沒有必要的。為了減少重復處理，降低維護工作，提高防火墻的防護范圍，直接在防火墻上集成VPN功能是非常有效的方法。如IPSec VPN、SSL

41、VPN、L2TP VPN直接通過防火墻來支持，應(yīng)用效果提高，而且降低了用戶的投入成本。2022/9/21網(wǎng)絡(luò)攻擊與防范技術(shù)66VPN功能集成(2)防火墻技術(shù)在新的挑戰(zhàn)下會繼續(xù)向前發(fā)展，提供越來越多的智能和主動防御功能。防火墻中各個功能的協(xié)調(diào)工作，以及和網(wǎng)絡(luò)中其他硬件、軟件組件的配合聯(lián)動，才能達到真正意義上的智能安全和主動防御。2022/9/21網(wǎng)絡(luò)攻擊與防范技術(shù)67反間諜技術(shù)的應(yīng)用嘗試與發(fā)展與其他網(wǎng)絡(luò)安全產(chǎn)品相比，反間諜軟件可謂后起之秀。應(yīng)對間諜軟件的首要任務(wù)就是要有一個清晰的標準來定義什么是間諜軟件，然后以此為準繩進行判斷和查殺。但難點恰巧是這個標準很難定義。通常的定義：任何在計算機用戶不知

42、不覺的情況下，秘密搜集使用者的相關(guān)信息，并將其發(fā)給幕后操縱者的軟件都可以稱之為間諜軟件。但是，很多合法的廣告軟件實現(xiàn)的也是類似的功能。有人認為，可以通過傳送信息的最終結(jié)果是否帶有惡意來進行判定，但實際上，是否具有“惡意”，人類能夠通過智力和直覺來判斷，但要沒有意識的計算機軟件來進行區(qū)分，卻難以實現(xiàn)。 2022/9/21網(wǎng)絡(luò)攻擊與防范技術(shù)68反間諜技術(shù)的應(yīng)用嘗試與發(fā)展(2)反間諜軟件和防病毒類似，都需要一種可靠的解決方案和專門的研究及響應(yīng)機制，來跟蹤新的間諜軟件風險，并及時提供隨威脅變化而變化的升級版本。雖然惡意軟件與傳統(tǒng)病毒存在區(qū)別，但是防范它們的目標是相同的，即保護客戶電腦不受有害軟件的侵擾

43、。 2022/9/21網(wǎng)絡(luò)攻擊與防范技術(shù)69反間諜技術(shù)的應(yīng)用嘗試與發(fā)展(3)一款好的反間諜軟件工具，要給用戶提供實時的保護。不僅應(yīng)該能夠檢測盡可能多的間諜軟件，毫無殘留地消除“間諜”在系統(tǒng)每一個角落中留下的殘渣余孽，避免死灰復燃，還應(yīng)該安裝和部署簡便，可以方便地升級間諜軟件特征表。好的反間諜工具應(yīng)該提供迅捷明了的狀態(tài)顯示報告，可以讓用戶及時了解間諜軟件給公司造成多大的損害，最大的風險和威脅在哪里。2022/9/21網(wǎng)絡(luò)攻擊與防范技術(shù)70反間諜技術(shù)的應(yīng)用嘗試與發(fā)展(3)目前，“從什么位置阻擋間諜軟件是最有效的”這個問題還有爭論。有的廠商認為應(yīng)當從桌面阻止，保證每一個“內(nèi)部成員”的可靠性。因為移動

44、技術(shù)在企業(yè)內(nèi)的大量應(yīng)用，使得越來越多的計算設(shè)備脫離了由網(wǎng)關(guān)所劃定的安全疆域，如果用戶在網(wǎng)關(guān)的保護之外感染了間諜軟件，然后又再次接入網(wǎng)絡(luò)，這臺機器本身就成了協(xié)助“間諜”潛入的跳板。而另外一部分廠商則認為，桌面工具始終是被動防線，“更好的”間諜軟件總會突破這道防線。因此，應(yīng)該在網(wǎng)關(guān)處采取防護措施。如果資金足夠，企業(yè)應(yīng)該采取多層次的防護措施來阻止間諜軟件，這樣才能收到理想的效果 2022/9/21網(wǎng)絡(luò)攻擊與防范技術(shù)71IDS技術(shù)的發(fā)展趨勢 長期以來，IDS的“漏報”和“誤報”問題一直困擾著用戶。加強攻擊檢測是減少“漏報”和“誤報”現(xiàn)象的首要手段。過去，攻擊檢測是IDS的全部。而今天，它只是IDS的一

45、個重要方面。IDS要實現(xiàn)全面關(guān)注網(wǎng)絡(luò)健康，還應(yīng)該能夠做到幫助用戶對檢測內(nèi)容進行深層次的分析，主動防御，最終提交給用戶一份有意義的報告。 2022/9/21網(wǎng)絡(luò)攻擊與防范技術(shù)72IDS技術(shù)的發(fā)展趨勢(2) 在某些IDS產(chǎn)品中已經(jīng)新增加了內(nèi)容恢復和應(yīng)用審計功能，能針對常用的多種應(yīng)用協(xié)議，比如HTTP、FTP、SMTP、POP3、Telnet、NNTP、IMAP、DNS、Rlogin、MSN等進行內(nèi)容恢復，能完全真實地記錄通信的全部過程與內(nèi)容，并將其進行回放。此功能對于了解攻擊者的攻擊過程、監(jiān)控內(nèi)部網(wǎng)絡(luò)中的用戶是否濫用網(wǎng)絡(luò)資源、發(fā)現(xiàn)未知的攻擊具有重要和積極的作用。例如，在恢復HTTP的通信內(nèi)容時，可

46、恢復出其中的文本與圖形等信息;而應(yīng)用內(nèi)容的審計則可發(fā)現(xiàn)內(nèi)部的攻擊，了解哪些人員查看了不該查看的內(nèi)容。 2022/9/21網(wǎng)絡(luò)攻擊與防范技術(shù)73IDS技術(shù)的發(fā)展趨勢(3) 此外，實時監(jiān)測網(wǎng)絡(luò)流量并及時發(fā)現(xiàn)攻擊行為，亦是IDS的一項基本特征?，F(xiàn)在的IDS產(chǎn)品增加了對網(wǎng)絡(luò)實時監(jiān)控和診斷功能，尤其是增加了掃描器，能對全網(wǎng)絡(luò)進行主動掃描，實時發(fā)現(xiàn)網(wǎng)絡(luò)中的異常，并給出詳細的檢測報告。這種在審計和監(jiān)控等多項功能上得到加強的IDS已經(jīng)超越了傳統(tǒng)意義上的IDS，是適用于用戶需求、保護用戶網(wǎng)絡(luò)健康的新型IDS。 2022/9/21網(wǎng)絡(luò)攻擊與防范技術(shù)7412.2.3 動態(tài)安全防御體系動態(tài)安全過程 動態(tài)安全防御體系2

47、022/9/21網(wǎng)絡(luò)攻擊與防范技術(shù)75動態(tài)安全過程由于黑客攻擊手法層出不窮、千奇百怪、日新月異，迫使安全防御技術(shù)必須同步跟進，否則有時前期的安全投資不再有效，造成巨額的浪費。因此在準備實施一個安全項目工程，構(gòu)筑自身的防御體系機制時，網(wǎng)絡(luò)安全不能僅僅依賴于眾多安全產(chǎn)品的作用，也不能僅僅只停留在“三分技術(shù)，七分管理”的概念上，安全不應(yīng)該作為一個目標去看待，而應(yīng)該作為一個過程去考慮、設(shè)計、實現(xiàn)、執(zhí)行。通過不斷完善的管理行為，形成一個動態(tài)的安全過程。 2022/9/21網(wǎng)絡(luò)攻擊與防范技術(shù)76動態(tài)安全防御體系 2022/9/21網(wǎng)絡(luò)攻擊與防范技術(shù)77動態(tài)安全防御體系(2)靜態(tài)的安全產(chǎn)品不可能解決動態(tài)的安

48、全問題，應(yīng)該使之可定制、可定義、可管理。無論靜態(tài)或動態(tài)（可管理）安全產(chǎn)品，簡單的疊加并不是有效的防御措施，應(yīng)該要求安全產(chǎn)品構(gòu)件之間能夠相互聯(lián)動，以便實現(xiàn)安全資源的集中管理、統(tǒng)一審計、信息共享。2022/9/21網(wǎng)絡(luò)攻擊與防范技術(shù)78動態(tài)安全防御體系(3)目前黑客攻擊的方式具有高技巧性、分散性、隨機性和局部持續(xù)性的特點，因此即使是多層面的安全防御體系，如果是靜態(tài)的，也無法抵御來自外部和內(nèi)部的攻擊。只有將眾多的攻擊手法進行搜集、歸類、分析、消化、綜合，將其體系化，才有可能使防御系統(tǒng)與之相匹配、相耦合，以自動適應(yīng)攻擊的變化，從而形成動態(tài)的安全防御體系。 2022/9/21網(wǎng)絡(luò)攻擊與防范技術(shù)7912.

49、2.4 加強安全意識與技能培訓網(wǎng)絡(luò)安全保護的對象由人創(chuàng)建、由人在用、由人在管。而網(wǎng)絡(luò)攻擊的發(fā)起者也是人，攻擊目的來源于他的思想意識。所以網(wǎng)絡(luò)安全的核心必然是人。對攻擊者進行安全法律法規(guī)教育，對執(zhí)行者進行安全技能培訓，這項工作應(yīng)貫穿整個安全過程。2022/9/21網(wǎng)絡(luò)攻擊與防范技術(shù)80加強安全意識與技能培訓(2)與安全技術(shù)相比，涉及人的安全管理非常重要，應(yīng)包括安全策略管理、安全組織規(guī)范、資產(chǎn)分類與控制、人員安全管理措施、物理與環(huán)境安全保障、通訊與操作管理程序、訪問控制要求、系統(tǒng)開發(fā)與維護規(guī)程、業(yè)務(wù)連續(xù)性管理辦法和法律法規(guī)一致性規(guī)定等內(nèi)容。2022/9/21網(wǎng)絡(luò)攻擊與防范技術(shù)81加強安全意識與技能

50、培訓(3)安全意識和相關(guān)技能的教育是組織安全管理中重要的內(nèi)容，其實施力度將直接關(guān)系到組織安全策略被理解的程度和被執(zhí)行的效果。為了保證安全的成功和有效，高級管理部門應(yīng)當對組織各級管理人員、用戶、技術(shù)人員進行安全培訓。所有的組織人員必須了解并嚴格執(zhí)行組織安全策略。 2022/9/21網(wǎng)絡(luò)攻擊與防范技術(shù)82加強安全意識與技能培訓(4)在安全教育具體實施過程中應(yīng)該有一定的層次性：主管網(wǎng)絡(luò)安全工作的高級負責人或各級管理人員。重點是了解、掌握組織網(wǎng)絡(luò)安全的整體策略及目標、網(wǎng)絡(luò)安全體系的構(gòu)成、安全管理部門的建立和管理制度的制定等。負責網(wǎng)絡(luò)安全運行管理及維護的技術(shù)人員。重點是充分理解網(wǎng)絡(luò)安全管理策略，掌握安全

51、評估的基本方法，對安全操作和維護技術(shù)的合理運用等。用戶。重點是學習各種安全操作流程，了解和掌握與其相關(guān)的安全策略，包括自身應(yīng)該承擔的安全職責等。對于特定的人員要進行特定的安全培訓。安全教育應(yīng)當定期的、持續(xù)的進行。在組織中建立安全文化并容納到整個組織文化體系中才是最根本的解決辦法。 2022/9/21網(wǎng)絡(luò)攻擊與防范技術(shù)8312.2.5 標準化進程國際信息安全標準化工作的情況 我國信息安全標準化的現(xiàn)狀 信息安全標準化工作的發(fā)展趨勢 現(xiàn)有標準 2022/9/21網(wǎng)絡(luò)攻擊與防范技術(shù)84國際信息安全標準化工作的情況國際上的信息安全標準化工作，興起于20世紀70年代中期，在80年代有了較快的發(fā)展，于90年

52、代引起了世界各國的普遍關(guān)注。目前世界上約有近300個國際和區(qū)域性組織，制定標準或技術(shù)規(guī)則，與信息安全標準化有關(guān)的主要的組織有：國際標準化組織(ISO)國際電工委員會（IEC）國際電信聯(lián)盟（ITU）Internet工程任務(wù)組（IETF）2022/9/21網(wǎng)絡(luò)攻擊與防范技術(shù)85國際標準化組織(ISO)國際標準化組織(ISO) 于1947年2月23日正式開始工作，ISO/IEC JTC1（信息技術(shù)標準化委員會）所屬SC 27（安全技術(shù)分委員會）其前身是SC20（數(shù)據(jù)加密分技術(shù)委員會），主要從事信息技術(shù)安全的一般方法和技術(shù)的標準化工作。而ISO/TC68負責銀行業(yè)務(wù)應(yīng)用范圍內(nèi)有關(guān)信息安全標準的制定，它

53、主要制定行業(yè)應(yīng)用標準，在組織上和標準之間與SC27有著密切的聯(lián)系。ISO/IEC JTC1負責制定標準主要是開放系統(tǒng)互連、密鑰管理、數(shù)字簽名、安全的評估等方面的內(nèi)容。 2022/9/21網(wǎng)絡(luò)攻擊與防范技術(shù)86國際電工委員會（IEC）國際電工委員會（IEC）正式成立于1906年十月，是世界上成立最早的專門國際標準化機構(gòu)。在信息安全標準化方面，主要與ISO聯(lián)合成立了JTC1下分委員會外，還在電信、電子系統(tǒng)、信息技術(shù)和電磁兼容等方面成立技術(shù)委員會，如TC56可靠性、TC74 IT設(shè)備安全和功效、TC77 電磁兼容、TC 108音頻/視頻、信息技術(shù)和通訊技術(shù)電子設(shè)備的安全等，并制定相關(guān)國際標準，如信息

54、技術(shù)設(shè)備安全（IEC 60950）等。 2022/9/21網(wǎng)絡(luò)攻擊與防范技術(shù)87國際電信聯(lián)盟（ITU）國際電信聯(lián)盟（ITU）成立于1865年5月17日，所屬的SG17組，主要負責研究通信系統(tǒng)安全標準。SG17組主要研究的有：通信安全項目、安全架構(gòu)和框架、計算安全、安全管理、用于安全的生物測定、安全通信服務(wù)。此外SG16和下一代網(wǎng)絡(luò)核心組也在通信安全、H323網(wǎng)絡(luò)安全、下一代網(wǎng)絡(luò)安全等標準方面進行了研究。目前ITU-T建議書中大約有40多個都是與通信安全有關(guān)的標準。 2022/9/21網(wǎng)絡(luò)攻擊與防范技術(shù)88Internet工程任務(wù)組（IETF）Internet工程任務(wù)組（IETF）史創(chuàng)于1986

55、年，其主要任務(wù)是負責互聯(lián)網(wǎng)相關(guān)技術(shù)規(guī)范的研發(fā)和制定。目前，IETF已成為全球互聯(lián)網(wǎng)界最具權(quán)威的大型技術(shù)研究組織。IETF標準制定的具體工作由各個工作組承擔，工作組分成八個領(lǐng)域，分別是Internet路由、傳輸、應(yīng)用領(lǐng)域等等，著名的IKE和IPsec都在RFC系列之中，還有電子郵件，網(wǎng)絡(luò)認證和密碼標準，也包括了TLS標準和其它的安全協(xié)議標準。 2022/9/21網(wǎng)絡(luò)攻擊與防范技術(shù)89我國信息安全標準化的現(xiàn)狀目前，我國按照國務(wù)院授權(quán)，在國家質(zhì)量監(jiān)督撿驗撿疫總局管理下，由國家標準化管理委員會統(tǒng)一管理全國標準化工作，下設(shè)有255個專業(yè)技術(shù)委員會。中國標準化工作實行統(tǒng)一管理與分工負責相結(jié)合的管理體制，有

56、88個國務(wù)院有關(guān)行政主管部門和國務(wù)院授權(quán)的有關(guān)行業(yè)協(xié)會分工管理本部門、本行業(yè)的標準化工作，有31個省、自治區(qū)、直轄市政府有關(guān)行政主管部門分工管理本行政區(qū)域內(nèi)、本部門、本行業(yè)的標準化工作。 2022/9/21網(wǎng)絡(luò)攻擊與防范技術(shù)90我國信息安全標準化的現(xiàn)狀(2)成立于1984年的全國信息技術(shù)安全標準化技術(shù)委員會（CITS），在國家標準化管理委員會和信息產(chǎn)業(yè)部的共同領(lǐng)導下負責全國信息技術(shù)領(lǐng)域以及與ISO/IEC JTC1相對應(yīng)的標準化工作，目前下設(shè)24個分技術(shù)委員會和特別工作組，是目前國內(nèi)最大的標準化技術(shù)委員會。這是一個具有廣泛代表性、權(quán)威性和軍民結(jié)合的信息安全標準化組織，它的工作范圍主要是負責信息

57、和通信安全的通用框架、方法、技術(shù)和機制的標準化，在安全技術(shù)方面包括定義開放式安全體系結(jié)構(gòu)、各種安全信息交換的語義規(guī)則、有關(guān)的應(yīng)用程序接口和協(xié)議引用安全功能的接口等。2022/9/21網(wǎng)絡(luò)攻擊與防范技術(shù)91我國信息安全標準化的現(xiàn)狀(3)我國信息安全標準化工作，雖然起步較晚，但是近年來發(fā)展較快，標準化工作在公開性、透明度等方面更加取得實質(zhì)性進展。從20世紀80年代開始，本著積極采用國際標準的原則，轉(zhuǎn)化了一批國際信息安全基礎(chǔ)技術(shù)標準，制定了一批符合中國國情的信息安全標準，同時一些重點行業(yè)還頒布了一批信息安全的行業(yè)標準，為我國信息安全技術(shù)的發(fā)展做出了很大的貢獻。據(jù)統(tǒng)計，我國從1985年發(fā)布了第一個有關(guān)

58、信息安全方面的標準以來到2004年底共制定、報批和發(fā)布有關(guān)信息安全技術(shù)、產(chǎn)品、測評和管理的國家標準76個，正在制定中的標準51個，為信息安全的開展奠定了基礎(chǔ)。 2022/9/21網(wǎng)絡(luò)攻擊與防范技術(shù)92信息安全標準化工作的發(fā)展趨勢國際化合作 商業(yè)化驅(qū)動 明確安全標準化研究方向 2022/9/21網(wǎng)絡(luò)攻擊與防范技術(shù)93國際化合作信息安全的國際標準大多數(shù)是在歐洲、美國等工業(yè)發(fā)達國家標準的基礎(chǔ)上協(xié)調(diào)產(chǎn)生的，基本上代表了當今世界現(xiàn)代信息技術(shù)的發(fā)展水平。信息安全標準化工作是一個國際性的工作，共性的問題多于個性，本著積極采用國際標準的原則，適時地轉(zhuǎn)化了一些國際信息安全基礎(chǔ)技術(shù)標準為我國信息化建設(shè)服務(wù)，會對中

59、國的信息安全技術(shù)起到一個快速發(fā)展的作用。 2022/9/21網(wǎng)絡(luò)攻擊與防范技術(shù)94國際化合作我們不僅主動地采用國際標準，轉(zhuǎn)化國際標準，更重要的是我們還有計劃、有重點地參與國際標準的起草，主動承擔國際標準的起草工作，包括標準試驗驗證和討論的全過程。我們應(yīng)該采取積極的態(tài)度，對國際標準要花大力氣，認真分析、研究，逐步使我國的信息安全標準化工作與國際標準化工作的計劃、速度以及試驗驗證工作接軌。2022/9/21網(wǎng)絡(luò)攻擊與防范技術(shù)95商業(yè)化驅(qū)動多年來，國家標準的制修訂經(jīng)費主要來源于政府財政撥款，經(jīng)費的不足部分由項目承擔單位自行解決。隨著改革開放的深入和信息化工作的開展，對信息安全標準化工作的要求越來越高

60、。今后可以考慮采用國家加大投入，爭取企業(yè)支持，標準出版物在發(fā)行工作中的改革，提高標準文本的出售價格等方法，使信息安全標準化工作逐步進入商業(yè)化運作模式，進入到一個良性發(fā)展的新局面。 2022/9/21網(wǎng)絡(luò)攻擊與防范技術(shù)96明確安全標準化研究方向 扎扎實實地抓好基礎(chǔ)性工作和基礎(chǔ)設(shè)施建設(shè)，繼續(xù)推進信息安全等級保護、信息安全風險評估、信息安全產(chǎn)品認證認可等基礎(chǔ)性工作。繼續(xù)加快以密碼技術(shù)為基礎(chǔ)的信息保護和網(wǎng)絡(luò)信任體系建設(shè)，進一步完善應(yīng)急協(xié)調(diào)機制與災(zāi)難備份工作。進一步加強互聯(lián)網(wǎng)管理，創(chuàng)建安全、健康、有序的網(wǎng)絡(luò)環(huán)境。進一步創(chuàng)建產(chǎn)業(yè)發(fā)展環(huán)境支持信息安全產(chǎn)業(yè)發(fā)展，加快信息安全學科建設(shè)和人才培養(yǎng)，加強國際合作與交