网络安全技术及应用(第九章)PPT课件.ppt

第9章网络安全新技术及应用 本章学习学习目标随着现代信息技术及通信网络技术的迅猛发展 近年来出现了可信计算 蜜罐网络等安全技术 从崭新的角度来解决网络安全问题 通过本章的学习使学生了解可信计算的基本功能和体系结构 电子取证的概念基本特征以及取证过程 蜜罐网络和基本特征 最后了解安全评估的基本准则及步骤 本章知识点可信计算体系结构和功能电子取证的概念 特征及计算机取证步骤蜜罐网络的发展 基本特征和体系架构安全风险评估的基本准则及步骤 2020 3 18 1 2020 3 18 2 第9章网络安全新技术及应用 9 1可信计算9 2电子取证技术9 3蜜罐网络技术9 4信息安全风险评估 近二十年来伴随着信息技术的迅猛发展 涌现出大量面向各种通信网络环境的应用 如E Commence E Business E Government 移动计算 普适计算 PervasiveComputing 网格计算 GridComputing 以及基于业务企事业Intranet构建等 使得通信网络得到了空前广泛的应用 由此所产生的计算环境的安全问题也面临着严峻考验 嗅探 窃听 身份冒充 分布式拒绝服务等攻击手段 以及木马 蠕虫病毒 恶意程序的入侵 致使敏感数据信息被窃取 篡改和滥用 系统安全遭受到严重威胁 可信计算 TrustedComputing 技术作为全新的安全解决方案在访问控制 资源共享与交换 数字权益管理 DigitalRightsManagement 等方面 在无线移动网络和对等网络 Peer to Peer 等领域得到了广泛的应用 2020 3 18 3 2020 3 18 4 9 1可信计算 9 1 1可信计算发展历程可信计算技术的发展历程可以分为以下四个阶段 1 20世纪70年代初期 J P Anderson首次提出可信系统 TrustedSystem 概念 2 20世纪80年代初期 美国国防部提出了可信计算机系统安全的评价准则TCSEC 这就是安全领域著名的橙皮书 其中包括可信计算基的概念 3 本世纪初 由Intel Compaq HP IBM等国际著名IT公司联合组建了 可信计算平台联盟 2002年初微软提出了 可信赖的计算 4 2003年4月 TCPA被重组为 可信计算组织 简称TCG 9 1 2可信计算的概念及本质 9 1 2可信计算的概念及本质1 概念目前关于 可信 的概念 并没有一个公认的定义 但在不同文献中所定义的可信基本特征是一致的 代表性的概念解释有4种 2 本质依据TCG的观点 可信计算的本质为 通过增强现有的终端体系结构的安全性来保证整个系统的安全 从终端安全启动到关键组件运行时可信 不断地延伸信任链 最后通过可信的网络连接将信任域推广到整个网络 2020 3 18 5 图9 1可信PC终端框架 2020 3 18 6 可信计算的实现是在各种终端 包含PC 手机以及其它移动智能终端等 硬件平台上引入可信架构 包括可信芯片模块 TrustedPlatformModuleTPM 可信软件体系架构 可信终端平台等所提供的安全特性来提高整个终端系统的安全性 2020 3 18 7 9 1 3可信计算平台基本属性与功能 1 基本属性 1 用户身份的唯一性 用户工作空间的完整性与私有性 4 2 硬件环境配置 OS内核 服务及应用程序的完整性 3 存储 处理 传输信息的保密性和完整性2 基本功能 1 保护能力保护能力是指唯一能够被许可访问保护区域的一组命令 而保护区域是指能够安全操作敏感数据的地方 比如内存 寄存器等 TPM通过实现保护能力和被保护区域来保护和报告终端平台的可信 完整性 度量 使得系统的状态任何时候都处于可知 2020 3 18 8 9 1 3可信计算平台基本属性与功能 2 完整性度量完整性度量是一个获得关于影响平台可信度的完整性度量特征值的过程 每个度量事件由两类数据组成 1 平台安全启动过程与运行时软硬件组件的可信特征值 2 这些特征值的哈希 散列 结果 即完整性度量值 3 完整性存储完整性存储包括将完整性度量值存放于PCR 位于TPM内部关键的平台配置寄存器PCR 之中 并向存储度量日志SML StoredMeasurementLog 记录度量事件两个子过程 2020 3 18 9 4 完整性报告完整性报告是指证明 Attestation 完整性存储的过程 展示保护区域中完整性度量值的存储 依靠可信平台的鉴定能力证明存储值的正确性 2020 3 18 10 9 1 4可信平台芯片模块 TPM TPM作为可信计算平台的核心安全控制和运算部件 它的工作要独立于操作系统和BIOS 不可能使用计算机的内存和外存 另外内部必须实现一些公开的安全算法 以便于与其它部件的接口标准化 并且还需要提供一些安全操作中的密码运算 所以 一个TPM产品至少需要内部实现一个基本的密码算法集合 根据TCG的技术规范 这个集合至少应该包括RSA SHA 1 HMAC三种算法 也可以包含更多的算法如DES ECC等 TPM中与密码运算相关的操作有 非对称密码运算 RSA密钥生成 加密解密 HASH运算和随机数生成等 2020 3 18 11 图9 2TPM内主要组件 2020 3 18 12 9 1 5可信PC软件体系架构可信平台是以TPM为核心 但它并不仅仅由一块芯片构成 而是把CPU 操作系统 应用软件 网络基础设备融为一体的完整体系结构 9 1 6可信网络连接可信计算通过引入一个可信根 并利用可信软硬件体系结构中所提供的基本功能 通过验证 执行 再验证 再执行 信任链从可信根 BIOS OSLoader OS内核逐渐扩展到应用程序 有了终端的可信 再通过可信网络连接 将这种信任关系延伸到网络之中 2020 3 18 13 9 1 6可信网络连接 可信网络连接 TrustedNetworkConnection 简称TNC 本质上就是要从终端的完整性开始 建立安全的网络连接 需要创建一套在可信网络内部系统运行状况的策略 策略可以是 安装最新反病毒软件并正确的配置 经常运行全盘扫描 个人防火墙开启并正确配置 操作系统安装最新补丁 不运行未授权软件等 2020 3 18 14 9 1 3可信计算平台基本属性与功能 TNC框架主要提供如下功能 1 平台认证2 终端安全策略3 访问策略 2020 3 18 15 9 1 3可信计算平台基本属性与功能 4 评估 隔离及补救TNC的架构分为三类实体 请求访问者 策略执行者 策略定义者 TNC体系架构在纵向分为三个层次 从下到上为 1 网络访问层2 完整性评估层3 完整性度量层 2020 3 18 16 9 1 7可信计算所面临的挑战 目前 可信计算技术正逐步走向成熟 其中所存在的主要问题及面临的挑战如下 1 TPM安全性与测评2 信任基础设施构建研究3 远程证明中平台隐私保护研究 2020 3 18 17 9 2电子取证技术 计算机犯罪率也以惊人的速度增长 因此司法机关在面对这些犯罪手段时 也需要运用针对计算机犯罪的电子取证技术 在相关的计算机犯罪案件中 计算机及网络系统扮演着黑客入侵的目标 作案工具 犯罪信息存储器这三种不同的角色 无论作为哪种角色 计算机系统中都会留下大量与犯罪有关的数据 所谓计算机取证是指对能够为法庭接受的 足够可靠的 有说服性的 存在于计算机和相关外设中的电子证据的确认 保护 提取和归档过程 2020 3 18 18 9 2电子取证技术 9 2 1电子取证技术概述在国外打击计算机犯罪已有二三十年的历史 对计算机取证的技术研究 专门工具软件的开发以及相关商业服务出现始于90年代中后期 出现了许多专门的计算机取证部门 实验室和咨询服务公司 我国的计算机普及与应用起步较晚 有关计算机取证的研究与实践工作也仅有10年的历史 计算机取证相关行业却取得了长足进步 各个省市都建立了专门打击计算机犯罪的网络警察队伍 2020 3 18 19 9 2 1电子取证技术概述 根据电子证据的来源 电子证据可以分成两类 主机电子取证和网络电子取证 主机电子证据指从计算机主机中获取可以作为电子证据的相关信息 主要来源于计算机的各种存储介质 如磁盘 磁带 光盘 软盘 内存以及计算机I O设备缓存等 通过技术手段和相关的法律程序可以从这些存储介质中提取到有效的电子证据 静态电子证据网络电子证据来源是运行中的计算机网络 只要把进出系统的网络数据以原始数据的形式保存下来 对其进行分析 便不难再现整个攻击过程 动态电子证据 2020 3 18 20 9 2 2电子证据特点和取证原则 电子证据具有以下特性 1 高科技性计算机证据的产生 存储和传输等都必须借助于计算机软硬件技术 存储技术和网络技术等2 易破坏性对电子证据进行的变更 删除 删节 剪接 截收和监听等从技术上难以认定 电子证据可能会因为计算机系统的处理而发生变化或消失 3 隐蔽性电子证据在计算机系统中可存在的范围很广 使得证据容易被隐藏 2020 3 18 21 9 2 2电子证据特点和取证原则 4 表现形式的多样性文本 图形 图像 动画 音频及视频等多种媒体信息5 能被精确复制证据可以重复复制6 可恢复性犯罪嫌疑人完全销毁数字证据是比较困难的 2020 3 18 22 9 2 2电子证据特点和取证原则 电子证据的取证原则 1 保持数据的原始性静态取证是对目标机器上的原始数据进行逐比特复制 动态取证 尽量获取底层最原始的网络数据包 2 保持数据在分析和传递过程中的完整性3 保持证据连续性在证据被正式提交给法庭时 必须能够说明在证据从最初的获取状态到在法庭上出现状态之间的任何变化 4 取证过程的可认证性5 取证过程和结论可重现 2020 3 18 23 9 2 3静态取证技术 9 2 3静态取证技术1 静态取证步骤共分为5个步骤1 保护可疑的电脑需要对可疑的主机进行封存 冻结计算机系统 不给犯罪分子破坏证据提供机会 2 证据收集获取存储在可疑计算机上潜在的数字证据 3 传输证据在运输证物时应该十分谨慎 大多数证物在运输过程中很容易损坏 2020 3 18 24 9 2 3静态取证技术 4 分析证据对所获得证据进行分析的目的是从中找出合法的 有效的数字证据 以供日后呈堂之用 包括对主机数字证据的分析和网络数字证据的分析 5 提交证据在法庭上提交数字证据 使用证据监督链可以说明证物在监管过程中是否被篡改过 2020 3 18 25 9 2 3静态取证技术 2 静态取证系统结构 2020 3 18 26 9 2 3静态取证技术 证据收集应该充分考虑司法的特点和要求 1 不改变原始记录 2 不在作为证据的计算机上执行无关的程序 3 详细记录所有的取证活动 4 妥善保存得到的物证 2020 3 18 27 9 2 3静态取证技术 收集证据时 要确定收集的犯罪证据最可能的来源 其证据可能存在于 1 系统日志文件 2 备份介质 3 入侵者残留物 如程序 脚本 进程 内存映象 4 交换区文件 5 临时文件 6 硬盘未分配的空间 一些刚刚被删除的文件可以在这里找到 7 系统缓冲区 8 打印机及其它设备的内存 2020 3 18 28 9 2 3静态取证技术 取证分析模块是对所收集到的可能存在犯罪证据信息进行分析 提取具体的犯罪证据 计算机证据的分析是取证过程中的核心和关键环节 其目的就是通过关联分析证实数据的存在 数据的来源以及数据的传输方式 从而重构犯罪行为 动机和嫌疑人特征 证据表示模块则是对分析的结论进行具体的描述 以准确的语言或直观的方式对犯罪证据进行合适的表示 2020 3 18 29 9 2 3静态取证技术 3 静态取证的关键技术 1 磁盘映像拷贝技术应使用磁盘映象拷贝的办法 将包含犯罪证据的磁盘原样拷贝多个副本 然后对原始的存储介质进行高级别的安全保护 所有的证据分析工作都应在副本上进行 2 数据恢复技术犯罪分子有可能已经删除了与其犯罪行为有关的一些关键性文件 必须要对被删除的这一部分关键性文件进行恢复 对于用存储数据的磁盘介质 由于磁介质本身的物理特征 使得新的数据在写到介质上时 磁盘上原来的数据会留下一层阴影数据 ShadowData 使用特殊的电子显微镜可以一比特一比特地恢复写过多次的磁盘上的数据 研究表明 借助于适当的设备甚至可以恢复被覆盖过七次以上的数据 2020 3 18 30 3 证据分析技术对恢复和提取的数据文件和信息中相关联的敏感数据进行整理 收集和提炼的过程 需要一些自动取证的文本搜索或过滤技术来帮助发现相关的信息 这方面的技术主要包括如下一些内容 a 数据过滤技术 b 证据的自动分类技术 c 全盘 全文的搜索与查找 d 文件格式的识别与查找 建立类型特征 e 破坏性程序的搜索 f 电子邮件的解读等等 2020 3 18 31 4 加密解密技术由于越来越多的计算机犯罪者使用加密技术保存关键文件 为了取得最终的证据 需要取证人员将文件中的内容进行解密 方法主要有 密码分析技术 密码破解技术 口令搜索 口令提取等 2020 3 18 32 静态取证技术具有优势 静态取证技术具有如下一些优势 1 可以取证并对海量数据进行分析 2 不会破坏数据的原始性 3 可以人为干预证据的分析 2020 3 18 33 9 2 4动态取证技术 网络动态电子取证技术 在是取证人员取得授权的情况下 将取证设施部署于犯罪者最可能经过的网络 利用已掌握的犯罪特征 从网络中过滤出正在实施的犯罪 因此基于网络的动态取证属于犯罪过程中取证 更有利于及时抓捕犯罪分子 降低其社会危害 动态取证的证据主要包括两部分 其一是实施犯罪的原始网络数据 另一则是实施犯罪的网络数据在经过的网络设备和目标系统中留下的检测信息 各种日志等 2020 3 18 34 9 2 4动态取证技术 网络动态电子取证的过程1 尽量及时收集犯罪分子留下的所有证据应该及时地在犯罪分子毁灭其证据之前保存电子证据 尽量多地记录网络事件的日志和信息 2 对收集数据的加密和认证保存基于网络的原始证据由于是不断变化的 存在易逝性的特点 需要有专门的工具把原始数据保存下来 2020 3 18 35 9 2 4动态取证技术 3 证据的分析需要多个日志文件综合分析4 证据回放动态取证中是对原始网络数据的回放 重现犯罪过程 2020 3 18 36 9 2 5电子取证相关工具 9 2 5电子取证相关工具1 EnCase软件Encase软件由美国SoftwareGuidance公司研发 是一个基于Windows操作系统的取证应用程序 为目前使用最为广泛的计算机取证工具 Encase能调查DOS Windows Linux Unix Macintosh 苹果机 等操作系统所支持的文件系统 Encase软件的主要功能有 1 获取证据功能 能够获取目标存储介质数据 包括被删除的证据 2 分析功能 它提供多样化的分析手段 3 生成报告 可以方便地将分析结果整理并形成报告 2020 3 18 37 9 2 5电子取证相关工具 2 ForensicToolkitForensicToolkit由美国AccessData公司研发 是一系列基于命令行的工具包 是美国警方标准配备 3 TCT为了协助计算机取证而设计的软件包 主要用来调查被攻击的Unix主机 2020 3 18 38 2020 3 18 39 9 3蜜罐网络技术 9 3 1蜜网的概念与发展历程9 3 2蜜网技术的特点9 3 3蜜网的局限性9 3 4蜜网体系的核心机制9 3 5第一代蜜网技术9 3 6第二代蜜网技术9 3 7虚拟蜜网技术9 3 8第三代蜜网技术9 3 9蜜网应用实例9 3 10蜜网技术展望 9 3 1蜜网的概念与发展历程 9 3 1蜜网的概念与发展历程1 蜜网概念蜜罐 HoneyPot 技术是一种通过捕获和分析恶意代码及黑客攻击活动 从而达到了解对手目的的技术 蜜罐本身是一种能够被监听 攻击或入侵的安全资源 其目的在于通过诱骗黑客的入侵 来捕获 记录和分析攻击者的行为 从而掌握黑客的攻击方式和重要特征 蜜罐网络 HoneyNet 简称蜜网 是在蜜罐技术基础上发展起来的一种具有高交互特征的研究型蜜罐技术 它也基于主动诱骗的原理 试图构建一个吸引攻击行为的环境 让攻击者在其中活动 从而记录他们的行为 并通过分析所记录的信息 了解攻击者的动机 攻击模式 攻击工具等知识 2020 3 18 40 9 3 1蜜网的概念与发展历程 2 发展历程蜜网技术的发展主要经历三个阶段 1 第一代蜜网技术 1999 2001年 蜜网早期研究关注于验证蜜网理论 试验蜜网模型 2 第二代蜜网技术 2002 2004年 从早期的验证蜜网理论转移到简化蜜网应用 3 第三代蜜网技术 2005年至今 具有多层次的数据控制机制 全面的数据捕获机制 深层次的数据分析机制以及高效 灵活的配置和管理机制 2020 3 18 41 9 3 2蜜网技术的特点 1 蜜网是一个网络系统 而并非单一主机 这一网络系统是隐藏在防火墙后面的 所有进出的数据都受到关注 捕获及控制 2 蜜网作为一种主动防御方式 在主动搜集进攻者情报的基础上 事先做好预警和准备 把进攻者的攻击扼杀于萌芽状态 最少是可以降低攻击者进攻的有效性 3 蜜网除了主动防御黑客攻击外 也可以了解自身的安全状况 4 蜜网是为了了解攻击者的信息而设计的 类似一个透明玻璃鱼缸 2020 3 18 42 9 3 3蜜网的局限性 9 3 3蜜网的局限性1 蜜网的最大局限性是有限的观察能力 它仅能监听与分析针对蜜网内部蜜罐的攻击行为 2 蜜网虽然具有观察 捕获 学习攻击的能力 但学习到新的攻击方法仍及时需要补充到入侵检测系统的知识库中 这样才能提高入侵检测的性能和整个系统的安全性 3 蜜网是一种有效的主动防御技术 它的优势是传统的被动防御手段所无法比拟的 但是我们也不能忽视蜜网的实施给系统安全所带来的风险 三类风险 2020 3 18 43 9 3 4蜜网体系的核心机制 蜜网体系通常具有三种核心机制 数据控制 数据捕获和数据采集 它们一起协同工作用来实现蜜网主动防御的核心价值和功能 并有效地降低系统风险 1 数据控制 目的是确保蜜网中被攻陷的蜜罐主机不会被利用攻击蜜网之外的其他主机 通常数据控制是必须在不被黑客察觉的情形下对流入流出蜜网的通信量进行监听与控制 蜜网体系需要有效地捕获更多的黑客攻击信息 并且不被黑客所察觉 因此必须给入侵者提供足够的空间 包括授予特权命令 开启必要的服务等 这样的蜜网部属将更隐秘 更具有伪装性 又可以获取更多的攻击信息 2020 3 18 44 9 3 4蜜网体系的核心机制 2 数据捕获 目的是在黑客无察觉的状态下捕获所有活动与攻击行为所产生的网络通信量 包括击键序列及其发送的数据包 从而才能进一步分析黑客的攻击目的 所使用的策略与攻击工具等 从多个层次 多个数据源中捕获数据 将会掌握更多的黑客攻击行为 3 数据采集 目的是针对预先部署的具有多个逻辑或物理的蜜网所构成的分布式蜜网体系结构 对捕获的黑客行为信息进行收集 并转移后集中存储在一个数据中心 以便做进一步集中分析和存档 从而提高整体数据的研究价值 2020 3 18 45 9 3 5第一代蜜网技术 第一代蜜网技术产生于1999年 它是第一个可以实现真正交互性的蜜罐 并且在捕获大量信息以及未知攻击方式方面优于传统的蜜罐方案 2020 3 18 46 9 3 5第一代蜜网技术 1 数据控制 在第一代蜜网体系结构中 数据控制机制是由防火墙 入侵检测系统和路由器共同联动实现 首先 防火墙允许任何流入的网络连接 但严格控制流出的连接 当蜜罐主机试图向外界进行连接时 防火墙将记录连接次数并实时进行跟踪 当对外连接次数超出了预先设置的阈值时 防火墙将阻塞与这个蜜罐主机的任何网络通信 从而有效地防止黑客的攻击行为 路由器的引入是为了对流出的数据包进行过滤 可以阻挡常见的拒绝服务攻击和扫描端口等攻击行为 当某个蜜罐主机被攻陷后 预警服务器将对所有违反数据控制策略的网络连接实现实时 自动地报警 2020 3 18 47 9 3 5第一代蜜网技术 2 数据捕获 从多个层次 多个数据源中捕获数据 将会掌握更多的黑客攻击行为 第一代蜜网体系中 主要从三个层次捕获数据 第一个层次是从防火墙捕获数据 第二个层次从IDS服务器中捕获数据 第三个层次是从蜜罐主机系统捕获数据 3 第一代蜜网体系架构属于单个部署的蜜网 因此除了在蜜网本身内部的数据管理之外 数据采集机制在这里没有体现 2020 3 18 48 9 3 6第二代蜜网技术 第二代蜜网技术与第一代蜜网相比 在系统灵活性 可管理性和安全性等方面都有所改进 它在一台二层网关上实现了蜜网体系的核心机制 即数据控制 数据捕获和数据集中等 这样便于蜜网的配置管理 所有出入蜜网的网络通信都必须通过该网关 这样易于实现对全部出入通信量的数据控制和数据捕获 1 数据控制机制的改进首先 第二代蜜网在检测黑客攻击行为方式上进行了改进 其次 第二代蜜网也增强了第二层数据控制的能力 2020 3 18 49 2020 3 18 50 9 3 6第二代蜜网技术 2 数据捕获机制的改进首先 第二代蜜网通过采用系统内核空间捕获数据的方法 进一步改进了数据捕获方式 提高了数据捕获能力 其次 在远程日志备份方面 第二代蜜网注重以黑客不易觉察的方式完成日志数据远程集中备份的功能 这里主要有两种方式 一是为蜜网中的每个蜜罐主机配置串行电缆 通过它来实现远程日志备份 二是基于蜜网自身来备份数据 2020 3 18 51 9 3 7虚拟蜜网技术 蜜网与单机蜜罐相比更加复杂高效 极大地提高了蜜罐系统在检测 响应 恢复与分析方面的能力 但值得注意的是 无论是配置低交互的还是高交互的蜜网体系都需要较高的软硬件代价和管理代价 因此虚拟蜜网技术应运而生 基于近年来广泛应用的虚拟机技术 在单个机器上运行传统蜜网的所有组成部分 但对外是透明的 即外界看来蜜网体系的基本功能分别运行于多台主机 而不是一台单机上 目前可以将虚拟蜜网体系结构细分为两类 自治型虚拟蜜网和混杂型虚拟蜜网 2020 3 18 52 9 3 7虚拟蜜网技术 目前可以将虚拟蜜网体系结构细分为两类 自治型虚拟蜜网和混杂型虚拟蜜网 2020 3 18 53 9 3 7虚拟蜜网技术 1 自治型虚拟蜜网它是将整个蜜网系统在一台物理机器上集中实现 包括用于完成数据控制和数据捕获的二层网关和多个虚拟蜜罐 自治型虚拟蜜网具有以下显著的优点 1 由于整个蜜网体系在一台机器上实现 因此具有便携性 2 基于虚拟机技术的实现 使得成本降低 开销较少 3 多个虚拟蜜罐位于一台主机 便于配置 管理和维护 自治型虚拟蜜网也存在一些缺点 1 由于二层网关及多个虚拟蜜罐位于一台机器 因此存在单点故障的瓶颈 2 主机需要高性能硬件配置 3 系统安全性不高 由于多个虚拟蜜罐共享物理硬件 因此存在安全性隐患 2020 3 18 54 9 3 7虚拟蜜网技术 2 混杂型虚拟蜜网数据控制 数据捕获和日志系统位于一个单独隔离的系统之上 如蜜网网关设备 多个蜜罐仍然在另一个机器上基于虚拟机技术在不同的客户操作系统上运行 2020 3 18 55 9 3 7虚拟蜜网技术 混杂型虚拟蜜网具有以下主要优点 1 它的安全性与自治型体系结构相比有所提高可以采用多种软硬件产品来实现基本功能 因此在产品选择上具有较强的灵活性 混杂型虚拟蜜网也存在以下缺点 1 便携性低于自治型结构 2 系统开销高于自治型结构 2020 3 18 56 9 3 8第三代蜜网技术 1 数据控制机制第三代蜜网体系结构中在蜜网网关上使用了多层次的数据控制机制 2 数据捕获机制第三代蜜网体系结构中主要结合Argus 流监视器 Snort 入侵检测系统 p0f 被动操作系统识别器 Sebek 数据收集器 等关键组件对黑客攻击行为进行多层次捕获 3 数据集中与分析机制蜜网的最终目的是对所捕获的黑客攻击信息进行集中处理与细致分析 完善了数据辅助分析功能 2020 3 18 57 9 3 9蜜网应用实例 本节给出一个基于第三代蜜网技术的应用实例 介绍蜜网体系结构在安全局域网的主动防御中的具体应用与部署 2020 3 18 58 9 3 10蜜网技术展望 密网技术经过近十年的发展 具有主动防御的显著特点 但在核心机制上还不够完善 有待于进一步的改进 1 有效地提高蜜网的三种关键核心机制 2 增强蜜网体系的跨平台能力3 需要平衡高交互能力和高风险两者之间的矛盾4 确保蜜网体系的可生存性值得进一步地探索 5 拓展蜜网技术的应用背景 使其能够面向多种通信网络环境 发挥其主动防御的能力 2020 3 18 59 9 4信息安全风险评估 人们对信息安全内涵的认识不断深入 从最初的信息保密性发展到了信息的完整性 可用性 可控性和不可否认性 进而又提出和发展了 攻 攻击 防 防范 测 检测 控 控制 管 管理 评 评估 众多方面基础理论和专业技术 其中信息安全风险评估逐渐成为安全管理领域的一个重要手段和工具 信息安全是一个动态的复杂过程 贯穿信息资产和信息系统的整个生命周期 是信息安全管理的基础和关键环节 必须按照风险管理思想 对可能的威胁 脆弱性和需要保护的信息资产进行分析 依据风险评估结果对信息系统选择适当的安全措施 以妥善应对可能面对的威胁和可能发生的风险 有针对性进行管理 2020 3 18 60 9 4 1信息安全风险评估的概念 1 信息安全风险评估的定义信息安全风险评估是从风险管理角度 运用定性 定量的科学分析方法和手段 系统地分析信息和信息系统等资产所面临的人为的和自然的威胁 以及威胁事件一旦发生系统可能遭受的危害程度 有针对性地提出抵御威胁的安全等级防护对策和整改措施 从而最大限度地减少经济损失和负面影响 2020 3 18 61 9 4 1信息安全风险评估的概念 2 相关概念资产 Asset 资产价值 AssetValue 信息安全风险 InformationSecurityRisk 信息安全风险评估 InformationSecurityRiskAssessment 威胁 Threat 脆弱性 Vulnerability 安全事件 SecurityEvent 安全措施 SecurityMeasure 安全需求 SecurityRequirement 残余风险 ResidualRisk 2020 3 18 62 9 4 1信息安全风险评估的概念 3 风险评估的基本要素及关系 2020 3 18 63 9 4 2信息安全风险评估的发展历程 第一个阶段 20世纪60 70年代 以计算机为对象的信息保密阶段 第二个阶段 20世纪80 90年代 以计算机和网络为对象信息安全保护阶段 第三个阶段 20世纪90年代末至今 以信息系统关键基础设施为对象的信息保障阶段 2020 3 18 64 9 4 3我国在信息安全风险评估方面的政策和工作 进入21世纪 我国的风险评估工作取得了较快的发展 中办发 2003 27号文件 国家信息化领导小组关于加强信息安全保障工作的意见 明确提出 要重视信息安全风险评估工作 对网络与信息系统安全的潜在威胁 薄弱环节 防范措施等进行分析评估 综合考虑网络与信息系统的重要性 涉密程度和面临的信息安全风险等因素 进行相应等级的安全建设和管理 2004年1月首次全国信息安全保障工作会议要求 抓紧研究制定基础信息网络和重要信息系统风险评估的管理规范 并组织力量提供技术支持 2020 3 18 65 9 4 3我国在信息安全风险评估方面的政策和工作 2003年7月委托国家信息中心组建成立了 信息安全风险评估课题组 2004年9月 信息安全风险评估规范 和 信息安全风险管理指南 两个标准的初稿完成2005年 有国务院信息办组织 在北京 上海 黑龙江 云南 人民银行 国家税务总局 国家电力总公司和国家信息中心开展风险评估的试点工作2006年1月国务院信息化办公室下发了 关于开展信息安全风险评估工作的意见 明确了信息安全风险评估工作的基本内容和原则 对风险评估工作提出了要求 2020 3 18 66 9 4 4信息安全风险评估的参考流程 图9 12信息安全风险评估的参考流程图 2020 3 18 67 9 4 5威胁识别 威胁是一种对组织及其资产构成潜在破坏的可能性因素 是客观存在的 1 威胁识别2 威胁分类3 威胁赋值 2020 3 18 68 9 4 6脆弱性识别 脆弱性是指资产中可能被威胁所利用的弱点 1 脆弱性识别问卷调查工具检测人工检查文档查阅渗透性测试2 脆弱性赋值 2020 3 18 69 通用弱点评价体系 CVSS 目前业界对脆弱性没有通用统一的评价体系标准 因此不同的评价方法对统一脆弱性进行评估的差异也比较大通用弱点评价体系 CVSS 是由NIAC开发 FIRST维护的一个开放并且能够被产品厂商免费采用的标准 CVSS最早于2005年2月23日被公开发布于美国国土安全部的网站上 可以参考该标准对脆弱性进行评分 2020 3 18 70 9 4 7风险分析计算 完成了资产识别 威胁识别 脆弱性识别以及对已有安全措施的识别和确认之后 应进入风险分析阶段 该阶段的主要任务就是完成风险的分析和计算 风险计算方法分为 定量计算定性计算 2020 3 18 71 9 4 7风险分析计算 考虑已有控制措施因素后的当前资产风险 Risk 可以按照以下公式进行定性计算 其中 A 资产价值 AssetValue Tx 综合威胁来源和影响程度后的最终威胁值 Threat V 脆弱性值 Vulnerability Px 为已有控制措施针对资产所面临每一特定威胁进行保护的有效性 是一个从0到100 之间的一个数值 x 为单个资产面对的某一个威胁 2020 3 18 72 容灾 容灾系统是指在相隔较远的异地 建立两套或多套功能相同的IT系统 互相之间可以进行健康状态监视和功能切换 当一处系统因意外 如火灾 地震等 停止工作时 整个应用系统可以切换到另一处 使得该系统功能可以继续正常工作 容灾技术是系统的高可用性技术的一个组成部分 容灾系统更加强调处理外界环境对系统的影响 特别是灾难性事件对整个IT节点的影响 提供节点级别的系统恢复功能 从其对系统的保护程度来分 可以将容灾系统分为 数据容灾和应用容灾 2020 3 18 73 容灾 数据容灾就是指建立一个异地的数据系统 该系统是本地关键应用数据的一个实时复制 应用容灾是在数据容灾的基础上 在异地建立一套完整的与本地生产系统相当的备份应用系统 可以是互为备份 在灾难情况下 远程系统迅速接管业务运行 数据容灾是抗御灾难的保障 而应用容灾则是容灾系统建设的目标 2020 3 18 74 数据容灾 所谓数据容灾 就是指建立一个异地的数据系统 该系统是本地关键应用数据的一个可用复制 在本地数据及整个应用系统出现灾难时 系统至少在异地保存有一份可用的关键业务的数据 该数据可以是与本地生产数据的完全实时复制 也可以比本地数据略微落后 但一定是可用的 采用的主要技术是数据备份和数据复制技术 数据容灾技术 又称为异地数据复制技术 按照其实现的技术方式来说 主要可以分为同步传输方式和异步异步传输方式 各厂商在技术用语上可能有所不同 而根据容灾的距离 数据容灾又可以分成远程数据容灾和近程数据容灾方式 下面 我们将主要按同步传输方式和异步异步传输方式对数据容灾展开讨论 其中也会涉及到远程容灾和近程容灾的概念 并作相应的分析 2020 3 18 75 应用容灾 所谓应用容灾 是在数据容灾的基础上 在异地建立一套完整的与本地生产系统相当的备份应用系统 可以是互为备份 建立这样一个系统是相对比较复杂的 不仅需要一份可用的数据复制 还要有包括网络 主机 应用 甚至IP等资源 以及各资源之间的良好协调 主要的技术包括负载均衡 集群技术 数据容灾是应用容灾的技术 应用容灾是数据容灾的目标 在选择容灾系统的构造时 还要建立多层次的广域网络故障切换机制 本地的高可用系统指在多个服务器运行一个或多种应用的情况下 应确保任意服务器出现任何故障时 其运行的应用不能中断 应用程序和系统应能迅速切换到其它服务器上运行 即本地系统集群和热备份 2020 3 18 76 应用容灾 在远程的容灾系统中 要实现完整的应用容灾 既要包含本地系统的安全机制 远程的数据复制机制 还应具有广域网范围的远程故障切换能力和故障诊断能力 也就是说 一旦故障发生 系统要有强大的故障诊断和切换策略制订机制 确保快速的反应和迅速的业务接管 实际上 广域网范围的高可用能力与本地系统的高可用能力应形成一个整体 实现多级的故障切换和恢复机制 确保系统在各个范围的可靠和安全 数据容灾系统 对于IT而言 就是为计算机信息系统提供的一个能应付各种灾难的环境 当计算机系统在遭受如火灾 水灾 地震 战争等不可抗拒的自然灾难以及计算机犯罪 计算机病毒 掉电 网络 通信失败 硬件 软件错误和人为操作错误等人为灾难时 容灾系统将保证用户数据的安全性 数据容灾 甚至 一个更加完善的容灾系统 还能提供不间断的应用服务 应用容灾 可以说 容灾系统是数据存储备份的最高层次 2020 3 18 77 数据容灾备份的等级 容灾备份是通过在异地建立和维护一个备份存储系统 利用地理上的分离来保证系统和数据对灾难性事件的抵御能力 第0级 没有备援中心这一级容灾备份 实际上没有灾难恢复能力 它只在本地进行数据备份 并且被备份的数据只在本地保存 没有送往异地 第1级 本地磁带备份 异地保存在本地将关键数据备份 然后送到异地保存 灾难发生后 按预定数据恢复程序恢复系统和数据 这种方案成本低 易于配置 但当数据量增大时 存在存储介质难管理的问题 并且当灾难发生时存在大量数据难以及时恢复的问题 为了解决此问题 灾难发生时 先恢复关键数据 后恢复非关键数据 2020 3 18 78 数据容灾备份的等级 第2级 热备份站点备份在异地建立一个热备份点 通过网络进行数据备份 也就是通过网络以同步或异步方式 把主站点的数据备份到备份站点 备份站点一般只备份数据 不承担业务 当出现灾难时 备份站点接替主站点的业务 从而维护业务运行的