網絡安全技術及應用第九章.ppt

第9章 網絡安全新技術及應用,本章學習學習目標 隨著現代信息技術及通信網絡技術的迅猛發(fā)展，近年來出現了可信計算、蜜罐網絡等安全技術，從嶄新的角度來解決網絡安全問題。通過本章的學習使學生了解可信計算的基本功能和體系結構，電子取證的概念基本特征以及取證過程，蜜罐網絡和基本特征，最后了解安全評估的基本準則及步驟。 本章知識點 可信計算體系結構和功能 電子取證的概念、特征及計算機取證步驟 蜜罐網絡的發(fā)展、基本特征和體系架構 安全風險評估的基本準則及步驟,2019/7/15,2,第9章 網絡安全新技術及應用,9.1 可信計算 9.2 電子取證技術 9.3 蜜罐網絡技術 9.4 信息安全風險評估,2019/7/15,3,9.1 可信計算,9.1.1 可信計算發(fā)展歷程 可信計算技術的發(fā)展歷程可以分為以下四個階段: 1. 20世紀70年代初期，J.P.Anderson首次提出可信系統（Trusted System）概念。 2. 20世紀80年代初期，美國國防部提出了可信計算機系統安全的評價準則TCSEC ，這就是安全領域著名的橙皮書，其中包括可信計算基的概念。 3. 本世紀初，由Intel、Compaq、HP、IBM等國際著名IT公司聯合組建了可信計算平臺聯盟”。2002年初微軟提出了“可信賴的計算” 4. 2003年4月，TCPA被重組為“可信計算組織”(簡稱TCG）。,9.1.2 可信計算的概念及本質,9.1.2 可信計算的概念及本質 1.概念 目前關于“可信”的概念，并沒有一個公認的定義，但在不同文獻中所定義的可信基本特征是一致的。代表性的概念解釋有4種。 2.本質 依據TCG的觀點，可信計算的本質為：通過增強現有的終端體系結構的安全性來保證整個系統的安全，從終端安全啟動到關鍵組件,2019/7/15,4,9.1.2 可信計算的概念及本質,運行時可信，不斷地延伸信任鏈，最后通過可信的網絡連接將信任域推廣到整個網絡。,2019/7/15,5,9.1.3 可信計算平臺基本屬性與功能,1. 基本屬性 （1）用戶身份的唯一性，用戶工作空間的完整性與私有性； （2）硬件環(huán)境配置、OS內核、服務及應用程序的完整性； （3）存儲、處理、傳輸信息的保密性和完整性 2. 基本功能 （1）保護能力,2019/7/15,6,9.1.3 可信計算平臺基本屬性與功能,（2）完整性度量 （3）完整性存儲 （4）完整性報告 9.1.4可信平臺芯片模塊(TPM) 9.1.5可信PC軟件體系架構 9.1.6可信網絡連接 可信網絡連接（簡稱TNC），本質上就是要從終端的完整性開始，建立安全的網絡連接。,2019/7/15,7,9.1.3 可信計算平臺基本屬性與功能,首先，需要創(chuàng)建一套在可信網絡內部系統運行狀況的策略，然后只有遵守網絡設定策略終端才能訪問網絡，網絡將隔離和定位那些不遵守策略的設備。 TNC框架主要提供如下功能： 1. 平臺認證 2. 終端安全策略 3. 訪問策略,2019/7/15,8,9.1.3 可信計算平臺基本屬性與功能,4. 評估、隔離及補救 TNC的架構分為三類實體：請求訪問者、策略執(zhí)行者、策略定義者。 TNC體系架構在縱向分為三個層次，從下到上為： 1. 網絡訪問層 2. 完整性評估層 3. 完整性度量層,2019/7/15,9,9.1.7 可信計算所面臨的挑戰(zhàn),目前，可信計算技術正逐步走向成熟，其中所存在的主要問題及面臨的挑戰(zhàn)如下： 1.TPM安全性與測評 2.信任基礎設施構建研究 3.遠程證明中平臺隱私保護研究,2019/7/15,10,9.2 電子取證技術,9.2.1 電子取證技術概述 在國外打擊計算機犯罪已有二三十年的歷史，對計算機取證的技術研究、專門工具軟件的開發(fā)以及相關商業(yè)服務出現始于90年代中后期，出現了許多專門的計算機取證部門、實驗室和咨詢服務公司。 我國的計算機普及與應用起步較晚，有關計算機取證的研究與實踐工作也僅有10年的歷史，計算機取證相關行業(yè)卻取得了長足進步，各個省市都建立了專門打擊計算機犯罪的網絡警察隊伍。 根據電子證據的來源，電子證據可以分成兩類：主機電子取證和網絡電子取證。,2019/7/15,11,9.2.1 電子證據特點和取證原則,電子證據具有以下特性： 1、高科技性 2、易破壞性 3、隱蔽性 4、表現形式的多樣性 5、能被精確復制 6、可恢復性,2019/7/15,12,9.2.2 電子證據特點和取證原則,電子證據的取證原則： 1. 保持數據的原始性 2. 保持數據在分析和傳遞過程中的完整性 3. 保持證據連續(xù)性 4. 取證過程的可認證性 5. 取證過程和結論可重現,2019/7/15,13,9.2.3 靜態(tài)取證技術,9.2.3靜態(tài)取證技術 1. 靜態(tài)取證步驟 共分為5個步驟 2. 靜態(tài)取證系統結構 3. 靜態(tài)取證的關鍵技術 （1）磁盤映像拷貝技術 （2）數據恢復技術 （3）證據分析技術 （4）加密解密技術,2019/7/15,14,9.2.4 動態(tài)取證技術,網絡動態(tài)電子取證技術，在是取證人員取得授權的情況下，將取證設施部署于犯罪者最可能經過的網絡，利用已掌握的犯罪特征，從網絡中過濾出正在實施的犯罪，因此基于網絡的動態(tài)取證屬于犯罪過程中取證，更有利于及時抓捕犯罪分子，降低其社會危害。 動態(tài)取證的證據主要包括兩部分，其一是實施犯罪的原始網絡數據，另一則是實施犯罪的網絡數據在經過的網絡設備和目標系統中留下的檢測信息、各種日志等。 網絡動態(tài)電子取證的過程,2019/7/15,15,9.2.5 電子取證相關工具,9.2.5 電子取證相關工具 1. EnCase軟件 Encase 軟件由美國Software Guidance 公司研發(fā)，是一個基于Windows 操作系統的取證應用程序，為目前使用最為廣泛的計算機取證工具。 2. Forensic Toolkit Forensic Toolkit由美國Access Data 公司研發(fā)，是一系列基于命令行的工具包，是美國警方標準配備。 3. TCT 為了協助計算機取證而設計的軟件包。,2019/7/15,16,2019/7/15,17,9.3 蜜罐網絡技術,9.3.1 蜜網的概念與發(fā)展歷程 9.3.2 蜜網技術的特點 9.3.3 蜜網的局限性 9.3.4 蜜網體系的核心機制 9.3.5 第一代蜜網技術 9.3.6 第二代蜜網技術 9.3.7 虛擬蜜網技術 9.3.8 第三代蜜網技術 9.3.9 蜜網應用實例 9.3.10 蜜網技術展望,9.3.1 蜜網的概念與發(fā)展歷程,9.3.1 蜜網的概念與發(fā)展歷程 1. 蜜網概念 2. 發(fā)展歷程 蜜網技術的發(fā)展主要經歷三個階段: （1）第一代蜜網技術(1999-2001年)：蜜網早期研究關注于驗證蜜網理論，試驗蜜網模型。 （2）第二代蜜網技術(2002-2004年)：從早期的驗證蜜網理論轉移到簡化蜜網應用。 （3）第三代蜜網技術（2005年至今）：具有多層次的數據控制機制，全面的數據捕獲機制，深層次的數據分析機制以及高效、靈活的配置和管理機制。,2019/7/15,18,9.3.2 蜜網技術的特點,1. 蜜網是一個網絡系統，而并非單一主機。 2. 蜜網作為一種主動防御方式，在主動搜集進攻者情報的基礎上，事先做好預警和準備，把進攻者的攻擊扼殺于萌芽狀態(tài)，最少是可以降低攻擊者進攻的有效性。 3. 蜜網除了主動防御黑客攻擊外，也可以了解自身的安全狀況。 4. 蜜網是為了了解攻擊者的信息而設計的。,2019/7/15,19,9.3.3 蜜網的局限性,9.3.3 蜜網的局限性 1.蜜網的最大局限性是有限的觀察能力，它僅能監(jiān)聽與分析針對蜜網內部蜜罐的攻擊行為。 2. 蜜網雖然具有觀察、捕獲、學習攻擊的能力，但學習到新的攻擊方法仍及時需要補充到入侵檢測系統的知識庫中，這樣才能提高入侵檢測的性能和整個系統的安全性。 3. 蜜網是一種有效的主動防御技術，它的優(yōu)勢是傳統的被動防御手段所無法比擬的，但是我們也不能忽視蜜網的實施給系統安全所帶來的風險。（三類風險）,2019/7/15,20,9.3.4 蜜網體系的核心機制,蜜網體系通常具有三種核心機制：數據控制、數據捕獲和數據采集，它們一起協同工作用來實現蜜網主動防御的核心價值和功能，并有效地降低系統風險。 1. 數據控制：目的是確保蜜網中被攻陷的蜜罐主機不會被利用攻擊蜜網之外的其他主機。 2.數據捕獲：目的是在黑客無察覺的狀態(tài)下捕獲所有活動與攻擊行為所產生的網絡通信量，從而才能進一步分析黑客的攻擊目的、所使用的策略與攻擊工具等 3、數據采集：目的是針對預先部署的具有多個邏輯或物理的蜜網所構成的分布式蜜網體系結構，對捕獲的黑客行為信息進行收集。,2019/7/15,21,9.3.5 第一代蜜網技術,第一代蜜網技術產生于1999年，它是第一個可以實現真正交互性的蜜罐，并且在捕獲大量信息以及未知攻擊方式方面優(yōu)于傳統的蜜罐方案。 1.數據控制：在第一代蜜網體系結構中，數據控制機制是由防火墻、入侵檢測系統和路由器共同聯動實現 2. 數據捕獲：從多個層次、多個數據源中捕獲數據，將會掌握更多的黑客攻擊行為。 3. 第一代蜜網體系架構屬于單個部署的蜜網，因此除了在蜜網本身內部的數據管理之外，數據采集機制在這里沒有體現。,2019/7/15,22,9.3.6 第二代蜜網技術,第二代蜜網技術與第一代蜜網相比，在系統靈活性、可管理性和安全性等方面都有所改進. 1.數據控制機制的改進 2.數據捕獲機制的改進,2019/7/15,23,9.3.7 虛擬蜜網技術,目前可以將虛擬蜜網體系結構細分為兩類：自治型虛擬蜜網和混雜型虛擬蜜網。 1. 自治型虛擬蜜網 它是將整個蜜網系統在一臺物理機器上集中實現，包括用于完成數據控制和數據捕獲的二層網關和多個虛擬蜜罐。 2. 混雜型虛擬蜜網 多個蜜罐仍然在另一個機器上基于虛擬機技術在不同的客戶操作系統上運行。,2019/7/15,24,9.3.8 第三代蜜網技術,1. 數據控制機制 第三代蜜網體系結構中在蜜網網關上使用了多層次的數據控制機制。 2. 數據捕獲機制 第三代蜜網體系結構中主要結合Argus（流監(jiān)視器）、Snort（入侵檢測系統）、p0f （被動操作系統識別器）、Sebek（數據收集器）等關鍵組件對黑客攻擊行為進行多層次捕獲。 3. 數據集中與分析機制,2019/7/15,25,9.3.9 蜜網應用實例,本節(jié)給出一個基于第三代蜜網技術的應用實例，介紹蜜網體系結構在安全局域網的主動防御中的具體應用與部署。,2019/7/15,26,9.3.10 蜜網技術展望,密網技術經過近十年的發(fā)展，具有主動防御的顯著特點，但在核心機制上還不夠完善，有待于進一步的改進。 1.有效地提高蜜網的三種關鍵核心機制. 2.增強蜜網體系的跨平臺能力 3.需要平衡高交互能力和高風險兩者之間的矛盾 4.確保蜜網體系的可生存性值得進一步地探索。 5. 拓展蜜網技術的應用背景，使其能夠面向多種通信網絡環(huán)境，發(fā)揮其主動防御的能力。,2019/7/15,27,9.4 信息安全風險評估,人們對信息安全內涵的認識不斷深入，從最初的信息保密性發(fā)展到了信息的完整性、可用性、可控性和不可否認性，進而又提出和發(fā)展了“攻（攻擊）、防（防范）、測（檢測）、控（控制）、管（管理）、評（評估）”眾多方面基礎理論和專業(yè)技術，其中信息安全風險評估逐漸成為安全管理領域的一個重要手段和工具。 信息安全是一個動態(tài)的復雜過程，貫穿信息資產和信息系統的整個生命周期，是信息安全管理的基礎和關鍵環(huán)節(jié)，必須按照風險管理思想，對可能的威脅、脆弱性和需要保護的信息資產進行分析，依據風險評估結果對信息系統選擇適當的安全措施，以妥善應對可能面對的威脅和可能發(fā)生的風險，有針對性進行管理。,9.4.1 信息安全風險評估的概念,1、信息安全風險評估的定義 信息安全風險評估是從風險管理角度，運用定性、定量的科學分析方法和手段，系統地分析信息和信息系統等資產所面臨的人為的和自然的威脅，以及威脅事件一旦發(fā)生系統可能遭受的危害程度，有針對性地提出抵御威脅的安全等級防護對策和整改措施，從而最大限度地減少經濟損失和負面影響。,9.4.1 信息安全風險評估的概念,2、相關概念 資產(Asset) 資產價值（Asset Value） 信息安全風險（Information Security Risk） 信息安全風險評估（Information Security Risk Assessment） 威脅（Threat） 脆弱性（Vulnerability） 安全事件（Security Event） 安全措施（Security Measure） 安全需求（Security Requirement） 殘余風險（Residual Risk）,9.4.1 信息安全風險評估的概念,3、風險評估的基本要素及關系,9.4.2 信息安全風險評估的發(fā)展歷程,第一個階段（20世紀6070年代），以計算機為對象的信息保密階段。 第二個階段（20世紀8090年代），以計算機和網絡為對象信息安全保護階段。 第三個階段（20世紀90年代末至今），以信息系統關鍵基礎設施為對象的信息保障階段。,9.4.3 我國在信息安全風險評估方面的政策和工作,進入21世紀，我國的風險評估工作取得了較快的發(fā)展，中辦發(fā)200327號文件“國家信息化領導小組關于加強信息安全保障工作的意見”明確提出“要重視信息安全風險評估工作，對網絡與信息系統安全的潛在威脅、薄弱環(huán)節(jié)、防范措施等進行分析評估，綜合考慮網絡與信息系統的重要性、涉密程度和面臨的信息安全風險等因素，進行相應等級的安全建設和管理”。 2004年1月首次全國信息安全保障工作會議要求“抓緊研究制定基礎信息網絡和重要信息系統風險評估的管理規(guī)范，并組織力量提供技術支持。,9.4.3 我國在信息安全風險評估方面的政策和工作,2003年7月委托國家信息中心組建成立了“信息安全風險評估課題組” 2004年9月，“信息安全風險評估規(guī)范”和“信息安全風險管理指南”兩個標準的初稿完成 2005年，有國務院信息辦組織，在北京、上海、黑龍江、云南、人民銀行、國家稅務總局、國家電力總公司和國家信息中心開展風險評估的試點工作 2006年1月國務院信息化辦公室下發(fā)了“關于開展信息安全風險評估工作的意見”，明確了信息安全風險評估工作的基本內容和原則，