网络防御概述课件.pptx

1、第九章第九章 网络防御概述网络防御概述第1页，共90页。2022-8-16网络攻防技术2本章主要内容本章主要内容9.1 网络安全模型网络安全模型 9.2 网络安全管理网络安全管理 9.3 网络防御技术的发展趋势网络防御技术的发展趋势 第2页，共90页。9.1 网络安全模型网络安全模型 l网络安全是一个系统工程，它既不是防火网络安全是一个系统工程，它既不是防火墙、入侵检测，也不是墙、入侵检测，也不是VPN（Virtual Private Network，虚拟私有网络），或，虚拟私有网络），或者认证和授权者认证和授权。l它它不是这些东西的简单叠加，网络安全更不是这些东西的简单叠加，网络安全更为复杂

2、。为复杂。l网络安全应该是一个动态的概念，应当采网络安全应该是一个动态的概念，应当采用网络动态安全模型描述，给用户提供更用网络动态安全模型描述，给用户提供更完整、更合理的安全机制。完整、更合理的安全机制。2022-8-16网络攻防技术3第3页，共90页。9.1 网络安全模型网络安全模型 lAPPDRR模型就是动态安全模型的代表模型就是动态安全模型的代表，隐含了网络安全的相对性和动态螺旋上，隐含了网络安全的相对性和动态螺旋上升的过程。升的过程。l该模型由该模型由6个英文个英文单词的首单词的首字符组成：风字符组成：风险评估（险评估（Assessment）、安全策略（）、安全策略（Policy）、系

3、统防护（）、系统防护（Protection）、安）、安全检测（全检测（Detection）、安全响应（）、安全响应（Reaction）和灾难恢复（）和灾难恢复（Restoration）。2022-8-16网络攻防技术4第4页，共90页。APPDRR动态安全模型动态安全模型2022-8-16网络攻防技术5第5页，共90页。9.1 网络安全模型网络安全模型 lAPPDRR模型六个部分构成了一个动态模型六个部分构成了一个动态的信息安全周期。的信息安全周期。l通过这六个环节的循环流动，网络安全逐通过这六个环节的循环流动，网络安全逐渐地得以完善和提高，从而达到网络的安渐地得以完善和提高，从而达到网络的安

4、全目标。全目标。2022-8-16网络攻防技术6第6页，共90页。9.1 网络安全模型网络安全模型 l根据根据APPDRR模型，网络安全的第一个模型，网络安全的第一个重要环节是风险评估。重要环节是风险评估。l通过风险评估，掌握网络安全面临的风险信通过风险评估，掌握网络安全面临的风险信息，进而采取必要的处置措施，使信息组织息，进而采取必要的处置措施，使信息组织的网络安全水平呈现动态螺旋上升的趋势。的网络安全水平呈现动态螺旋上升的趋势。2022-8-16网络攻防技术7第7页，共90页。9.1 网络安全模型网络安全模型 l网络安全策略是网络安全策略是APPDRR模型的第二个模型的第二个重要环节，起着

5、承上启下的作用。重要环节，起着承上启下的作用。l一方面，安全策略应当随着风险评估的结果一方面，安全策略应当随着风险评估的结果和安全需求的变化做相应的更新；和安全需求的变化做相应的更新；l另一方面，安全策略在整个网络安全工作中另一方面，安全策略在整个网络安全工作中处于原则性的指导地位，其后的监测、响应处于原则性的指导地位，其后的监测、响应诸环节都应在安全策略的基础上展开。诸环节都应在安全策略的基础上展开。2022-8-16网络攻防技术8第8页，共90页。9.1 网络安全模型网络安全模型 l系统防护是安全模型中的第三个环节，体系统防护是安全模型中的第三个环节，体现了网络安全的静态防护措施。现了网络

6、安全的静态防护措施。l系统防护是系统安全的第一条防线，根据系系统防护是系统安全的第一条防线，根据系统已知的所有安全问题做出防御措施，如打统已知的所有安全问题做出防御措施，如打补丁、访问控制、数据加密等。补丁、访问控制、数据加密等。l第二条防线就是实时监测，攻击者即使穿过第二条防线就是实时监测，攻击者即使穿过了第一条防线，我们还可通过监测系统检测了第一条防线，我们还可通过监测系统检测出攻击者的入侵行为，确定其身份，包括攻出攻击者的入侵行为，确定其身份，包括攻击源、系统损失等。击源、系统损失等。2022-8-16网络攻防技术9第9页，共90页。9.1 网络安全模型网络安全模型 l一旦检测出入侵，实

7、时响应系统开始响应一旦检测出入侵，实时响应系统开始响应包括事件处理等其他业务。包括事件处理等其他业务。l安全模型的最后一条防线是灾难恢复。安全模型的最后一条防线是灾难恢复。l在发生入侵事件，并确认事故原因后，或把在发生入侵事件，并确认事故原因后，或把系统恢复到原来的状态，或修改安全策略，系统恢复到原来的状态，或修改安全策略，更新防御系统，确保相同类型的入侵事件不更新防御系统，确保相同类型的入侵事件不再发生。再发生。2022-8-16网络攻防技术10第10页，共90页。9.1 网络安全模型网络安全模型 l在在APPDRR模型中，并非各个部分的重模型中，并非各个部分的重要程度都是等同的。要程度都是

8、等同的。l在安全策略的指导下，进行必要的系统防在安全策略的指导下，进行必要的系统防护有积极的意义。护有积极的意义。l但是，由于网络安全动态性的特点，在攻但是，由于网络安全动态性的特点，在攻击与防御的较量中，安全监测应该处于一击与防御的较量中，安全监测应该处于一个核心地位。个核心地位。2022-8-16网络攻防技术11第11页，共90页。9.1.1 风险评估风险评估 l网络安全评估是信息安全生命周期中的一网络安全评估是信息安全生命周期中的一个重要环节，它对网络拓扑结构、重要服个重要环节，它对网络拓扑结构、重要服务器的位置、带宽、协议、硬件、与务器的位置、带宽、协议、硬件、与Internet的接口

9、、防火墙的配置、安全管的接口、防火墙的配置、安全管理措施及应用流程等进行全面地安全分析理措施及应用流程等进行全面地安全分析，并提出安全风险分析报告和改进建议书，并提出安全风险分析报告和改进建议书。2022-8-16网络攻防技术12第12页，共90页。9.1.1 风险评估风险评估 l网络安全评估具有如下作用：网络安全评估具有如下作用：l(1)明确企业信息系统的安全明确企业信息系统的安全现状现状 l进行进行信息安全评估后，可以让企业准确地了解自信息安全评估后，可以让企业准确地了解自身的网络、各种应用系统以及管理制度规范的安身的网络、各种应用系统以及管理制度规范的安全现状，从而明晰企业的安全需求。全

10、现状，从而明晰企业的安全需求。l(2)确定企业信息系统的主要安全确定企业信息系统的主要安全风险风险 l在在对网络和应用系统进行信息安全评估并进行风对网络和应用系统进行信息安全评估并进行风险分级后，可以确定企业信息系统的主要安全风险分级后，可以确定企业信息系统的主要安全风险，并让企业选择避免、降低、接受等风险处置险，并让企业选择避免、降低、接受等风险处置措施。措施。2022-8-16网络攻防技术13第13页，共90页。9.1.1 风险评估风险评估 l网络安全评估具有如下作用：网络安全评估具有如下作用：l(3)指导企业信息系统安全技术体系与管理体指导企业信息系统安全技术体系与管理体系的系的建设建设

11、 l对对企业进行信息安全评估后，可以制定企业网络企业进行信息安全评估后，可以制定企业网络和系统的安全策略及安全解决方案，从而指导企和系统的安全策略及安全解决方案，从而指导企业信息系统安全技术体系（如部署防火墙、入侵业信息系统安全技术体系（如部署防火墙、入侵检测与漏洞扫描系统、防病毒系统、数据备份系检测与漏洞扫描系统、防病毒系统、数据备份系统、建立公钥基础设施等）与管理体系（安全组统、建立公钥基础设施等）与管理体系（安全组织保证、安全管理制度及安全培训机制等）的建织保证、安全管理制度及安全培训机制等）的建设。设。2022-8-16网络攻防技术14第14页，共90页。9.1.1 风险评估风险评估

12、l网络安全评估标准是网络安全评估的行动网络安全评估标准是网络安全评估的行动指南。指南。l可信计算机系统安全评估标准（可信计算机系统安全评估标准（Trusted Computer System Evaluation Criteria，TCSEC）l信息技术安全评估标准（信息技术安全评估标准（Information Technology Security Evaluation Criteria，ITSEC）l信息技术安全评价的通用标准（信息技术安全评价的通用标准（CC）2022-8-16网络攻防技术15第15页，共90页。9.1.1 风险评估风险评估 l网络安全评估标准是网络安全评估的行动网络安全

13、评估标准是网络安全评估的行动指南。指南。lISO13335标准标准lBS7799lAS/NZS4360:1999lOCTAVE（Operationally Critical Threat,Asset,and Vulnerability Evaluation）2022-8-16网络攻防技术16第16页，共90页。9.1.1 风险评估风险评估 l网络安全评估标准是网络安全评估的行动网络安全评估标准是网络安全评估的行动指南。指南。lGB17895-1999计算机信息系统安全保护计算机信息系统安全保护等级划分准则等级划分准则lISO 15408-2：1999信息技术信息技术 安全技术安全技术 信信息技

14、术安全性评估准则息技术安全性评估准则2022-8-16网络攻防技术17第17页，共90页。9.1.1 风险评估风险评估 l风险分析的方法有定性分析、半定量分析风险分析的方法有定性分析、半定量分析和定量分析。和定量分析。l现有信息安全评估标准主要采用定性分析法现有信息安全评估标准主要采用定性分析法对风险进行分析，即通常采取安全事件发生对风险进行分析，即通常采取安全事件发生的概率来计算风险。的概率来计算风险。l现有信息安全评估标准尚不能定量分析。现有信息安全评估标准尚不能定量分析。l各家专业评估公司大多数是凭借各自积累的各家专业评估公司大多数是凭借各自积累的经验来解决，因此，需要一个统一的信息安经

15、验来解决，因此，需要一个统一的信息安全评估标准出台。全评估标准出台。2022-8-16网络攻防技术18第18页，共90页。9.1.2 安全策略安全策略 l1.什么什么是安全策略？是安全策略？l所有网络安全都起始于安全策略，这几乎已所有网络安全都起始于安全策略，这几乎已经成为了工业标准经成为了工业标准。lRFC 2196“站点安全手册站点安全手册”中对安全策略给中对安全策略给出了定义：安全策略是组织的技术人员和信出了定义：安全策略是组织的技术人员和信息使用人员必须遵守的一系列规则的正规表息使用人员必须遵守的一系列规则的正规表达。达。2022-8-16网络攻防技术19第19页，共90页。9.1.2

16、 安全策略安全策略 l按照授权行为可把安全策略分为基于身份按照授权行为可把安全策略分为基于身份的安全策略和基于规则的安全策略两种。的安全策略和基于规则的安全策略两种。l基于身份的安全策略：其目的是对数据或资基于身份的安全策略：其目的是对数据或资源的访问进行筛选，即用户可访问他们的资源的访问进行筛选，即用户可访问他们的资源的一部分（访问控制表），或由系统授予源的一部分（访问控制表），或由系统授予用户特权标记或权力用户特权标记或权力。l在在这两种情况下，可访问的数据项的多少会这两种情况下，可访问的数据项的多少会有很大变化。有很大变化。2022-8-16网络攻防技术20第20页，共90页。9.1.2

17、 安全策略安全策略 l按照授权行为可把安全策略分为基于身份按照授权行为可把安全策略分为基于身份的安全策略和基于规则的安全策略两种。的安全策略和基于规则的安全策略两种。l基于规则的安全策略：基于规则的安全策略基于规则的安全策略：基于规则的安全策略是系统给主体（用户、进程）和客体（数据是系统给主体（用户、进程）和客体（数据）分别标注相应的安全标记，规定出访问权）分别标注相应的安全标记，规定出访问权限，此标记将作为数据项的一部分限，此标记将作为数据项的一部分。2022-8-16网络攻防技术21第21页，共90页。9.1.2 安全策略安全策略 l2.合理合理制定安全策略制定安全策略l根据系统的实际情况

18、和安全要求，合理地确定安全策略是复根据系统的实际情况和安全要求，合理地确定安全策略是复杂且重要的杂且重要的。l因为因为安全是相对的，安全技术也是不断发展的，安全应安全是相对的，安全技术也是不断发展的，安全应有一个合理、明确的要求，这主要体现在安全策略中有一个合理、明确的要求，这主要体现在安全策略中。l网络网络系统的安全要求主要是完整性、可用性和机密性系统的安全要求主要是完整性、可用性和机密性。l每个内部网要根据自身的要求确定每个内部网要根据自身的要求确定安全策略安全策略。2022-8-16网络攻防技术22第22页，共90页。9.1.2 安全策略安全策略 l2.合理合理制定安全策略制定安全策略l

19、目前的问题是目前的问题是：硬件和软件大多技术先进，硬件和软件大多技术先进，功能多样，而在安全保密方面没有明确的安功能多样，而在安全保密方面没有明确的安全策略，一旦投入使用，安全漏洞很多全策略，一旦投入使用，安全漏洞很多。l如果如果在总体设计时就按照安全要求制定出网在总体设计时就按照安全要求制定出网络的安全策略并逐步实施，则系统的漏洞就络的安全策略并逐步实施，则系统的漏洞就会减少、运行效果更好。会减少、运行效果更好。2022-8-16网络攻防技术23第23页，共90页。9.1.2 安全策略安全策略 l2.合理合理制定安全策略制定安全策略l网络的安全问题，是一个比较棘手的事情，它既有软网络的安全问

20、题，是一个比较棘手的事情，它既有软、硬件的问题，也有人的问题、硬件的问题，也有人的问题。l网络网络的整体安全十分重要，方方面面应当考虑周全，这的整体安全十分重要，方方面面应当考虑周全，这包括对设备、数据、邮件、包括对设备、数据、邮件、Internet等的使用策略等的使用策略。l在在对网络的安全策略的规划、设计、实施与维护过程中对网络的安全策略的规划、设计、实施与维护过程中，必须对保护数据信息所需的安全级别有一个较透彻的，必须对保护数据信息所需的安全级别有一个较透彻的理解；必须对信息的敏感性加以研究与评估，从而制定理解；必须对信息的敏感性加以研究与评估，从而制定出一个能够提供所需保护级别的安全策

21、略出一个能够提供所需保护级别的安全策略。2022-8-16网络攻防技术24第24页，共90页。9.1.2 安全策略安全策略 l3.安全策略安全策略的实施方法的实施方法l安全策略是网络中的安全系统设计和运行的指导方针，安全安全策略是网络中的安全系统设计和运行的指导方针，安全系统设计人员可利用安全策略作为建立有效的安全系统的基系统设计人员可利用安全策略作为建立有效的安全系统的基准点准点。l当然当然，有了安全策略还要使其发挥作用，就必须确保开发策，有了安全策略还要使其发挥作用，就必须确保开发策略的过程中所涉及的风险承担者的选择是正确的，以使组织略的过程中所涉及的风险承担者的选择是正确的，以使组织的安

22、全目标得以实现。的安全目标得以实现。l实施安全策略的主要手段有以下四种：实施安全策略的主要手段有以下四种：（1）主动实时监控）主动实时监控 （2）被动技术检查）被动技术检查 （3）安全行政检查）安全行政检查 （4）契约依从检查）契约依从检查2022-8-16网络攻防技术25第25页，共90页。9.1.2 安全策略安全策略 l3.安全策略安全策略的实施方法的实施方法l（1）主动实时）主动实时监控监控l实时实时监控技术是确保安全策略实施最容易、最全面的方法。利监控技术是确保安全策略实施最容易、最全面的方法。利用此方法，在没有操作人员干涉的情况下，用技术手段来确保用此方法，在没有操作人员干涉的情况下

23、，用技术手段来确保特定策略的实施。如在防火墙中阻塞入站特定策略的实施。如在防火墙中阻塞入站ICMP，以防止外部，以防止外部对防火墙后面网络的探测。对防火墙后面网络的探测。l（2）被动技术）被动技术检查检查l可以可以定期或不定期进行技术检查，逐个或随机进行策略依从度检定期或不定期进行技术检查，逐个或随机进行策略依从度检查。技术作为一种支持，辅助安全人员实施安全策略，而无需操查。技术作为一种支持，辅助安全人员实施安全策略，而无需操作人员进行干预。如利用一些检查工具，在操作人员的主机上，作人员进行干预。如利用一些检查工具，在操作人员的主机上，检查操作人员的口令设置、上网记录、操作日志、处理的秘密信检

24、查操作人员的口令设置、上网记录、操作日志、处理的秘密信息等。息等。2022-8-16网络攻防技术26第26页，共90页。9.1.2 安全策略安全策略 l3.安全策略安全策略的实施方法的实施方法l（3）安全行政）安全行政检查检查l与与网络技术人员利用网络技术进行检查相比，行政管理人员更多地通过行网络技术人员利用网络技术进行检查相比，行政管理人员更多地通过行政手段检查操作人员使用网络的情况。比如是否在玩游戏、看电影、聊天政手段检查操作人员使用网络的情况。比如是否在玩游戏、看电影、聊天或从事与业务无关的工作等。或从事与业务无关的工作等。l（4）契约依从）契约依从检查检查l契约契约依从检查建立在每个用

25、户都知道自己在网络安全系统中的依从检查建立在每个用户都知道自己在网络安全系统中的职责，而且承诺通过契约形式遵守规则的基础之上。这和职责，而且承诺通过契约形式遵守规则的基础之上。这和2、3的检查结果有密切关联，实际上就是在每条策略后面添加说明，将违的检查结果有密切关联，实际上就是在每条策略后面添加说明，将违反策略的后果告知用户，任何被发现违反此策略的员工都会受到处罚反策略的后果告知用户，任何被发现违反此策略的员工都会受到处罚。这是安全管理的根本，每个操作人员都必须受此类策略的约束。这是安全管理的根本，每个操作人员都必须受此类策略的约束。2022-8-16网络攻防技术27第27页，共90页。9.1

26、.3 系统防护系统防护 l目前，网络安全威胁层出不穷、攻击手段日趋多样化，仅仅利目前，网络安全威胁层出不穷、攻击手段日趋多样化，仅仅利用某一种或几种防御技术已经很难抵御威胁，我们需要的是纵用某一种或几种防御技术已经很难抵御威胁，我们需要的是纵深化的、全面的防御，只有构建了综合的、多点的防御，才能深化的、全面的防御，只有构建了综合的、多点的防御，才能使网络信息安全得到充分的保障。使网络信息安全得到充分的保障。l纵深防御体系被认为是一种最佳的安全做法纵深防御体系被认为是一种最佳的安全做法。l这种这种方法就是在网络基础结构中的多个点使用多种安全技方法就是在网络基础结构中的多个点使用多种安全技术，从而

27、总体上减少攻击者利用关键业务将资源或信息泄术，从而总体上减少攻击者利用关键业务将资源或信息泄露到外部的可能性露到外部的可能性。l在在消息传递和协作环境中，纵深防御体系还可以帮助管理员及时消息传递和协作环境中，纵深防御体系还可以帮助管理员及时阻断恶意行为及恶意代码的传播，从而降低威胁进入内部网络的阻断恶意行为及恶意代码的传播，从而降低威胁进入内部网络的可能性。可能性。2022-8-16网络攻防技术28第28页，共90页。9.1.3 系统防护系统防护 l纵深防御的特点主要有：纵深防御的特点主要有：l多点防御和多层防御；多点防御和多层防御；l根据所保护的对象和应用中所存在的威胁根据所保护的对象和应用

28、中所存在的威胁确定安全强度；确定安全强度；l所采用的密钥管理机制和公钥基础设施必所采用的密钥管理机制和公钥基础设施必须能够支持所有集成的信息保障技术并具有须能够支持所有集成的信息保障技术并具有高度的抗攻击性能；高度的抗攻击性能；l所所采用网络采用网络防御措施必须防御措施必须能检测能检测入侵行为入侵行为并可根据对检测结果的分析做出并可根据对检测结果的分析做出相应反应相应反应。2022-8-16网络攻防技术29第29页，共90页。9.1.3 系统防护系统防护 l纵深防御并非依赖于单一技术来防御攻击，从而纵深防御并非依赖于单一技术来防御攻击，从而消除整个消除整个网络安全体系结构中的单点故障网络安全体

29、系结构中的单点故障。l一般一般在网络基础结构在网络基础结构内四内四个点采取保护措施，即网个点采取保护措施，即网络边界、服务器、客户端以及信息本身。络边界、服务器、客户端以及信息本身。l(1)访问访问控制控制l网络防御必须防止未经授权访问网络、应用程序和网络数据的情况。网络防御必须防止未经授权访问网络、应用程序和网络数据的情况。这需要在网关或非军事区提供防火墙保护这需要在网关或非军事区提供防火墙保护。l这这层保护可以使内部服务器免受恶意访问的影响，包括利用系层保护可以使内部服务器免受恶意访问的影响，包括利用系统和应用程序的网络攻击统和应用程序的网络攻击。l访问访问控制的一般策略主要有自主访问控制

30、、强制访问控制和基于角色控制的一般策略主要有自主访问控制、强制访问控制和基于角色的访问控制，常见的控制方法有口令、访问控制表、访问能力表和授的访问控制，常见的控制方法有口令、访问控制表、访问能力表和授权关系表等。权关系表等。2022-8-16网络攻防技术30第30页，共90页。9.1.3 系统防护系统防护 l(2)边界边界防护防护l网络的安全威胁来自内部与边界两个方面：内部安全是指网络的合法用户网络的安全威胁来自内部与边界两个方面：内部安全是指网络的合法用户在使用网络资源的时候，发生的不合规则的行为、误操作及恶意破坏等，在使用网络资源的时候，发生的不合规则的行为、误操作及恶意破坏等，也包括系统

31、自身的健康问题，如软、硬件的稳定性带来的系统中断。边界也包括系统自身的健康问题，如软、硬件的稳定性带来的系统中断。边界安全是指网络与外界互通引起的安全问题，跨边界的攻击种类繁多、破坏安全是指网络与外界互通引起的安全问题，跨边界的攻击种类繁多、破坏力强，主要有病毒攻击。力强，主要有病毒攻击。l由此，网络边界既要能够保护网络及访问免受内部的破坏，还要由此，网络边界既要能够保护网络及访问免受内部的破坏，还要能够防止网络遭受外部的攻击。一般情况下，可以同时在网络边能够防止网络遭受外部的攻击。一般情况下，可以同时在网络边界或网关位置采用防火墙、安全代理、网闸等措施防止外部攻击界或网关位置采用防火墙、安全

32、代理、网闸等措施防止外部攻击，同时采用防病毒和反垃圾邮件保护，阻止通过邮件将攻击带入，同时采用防病毒和反垃圾邮件保护，阻止通过邮件将攻击带入内部网络。内部网络。l更细一步讲，边界防护的目的有四点，分别更细一步讲，边界防护的目的有四点，分别是网络是网络隔离、防范攻隔离、防范攻击、优化网络与用户击、优化网络与用户管理。管理。2022-8-16网络攻防技术31第31页，共90页。9.1.3 系统防护系统防护 l(3)客户端客户端防护防护l病毒是一段计算机可执行的恶意代码，用户通过拷贝文件、访问网站、接病毒是一段计算机可执行的恶意代码，用户通过拷贝文件、访问网站、接收邮件等操作，都可能导致系统被其感染

33、，有些病毒甚至能够利用系统的收邮件等操作，都可能导致系统被其感染，有些病毒甚至能够利用系统的漏洞，自动寻找目标进行传播。漏洞，自动寻找目标进行传播。l一旦计算机被感染上病毒，这些可执行代码可以自动执行，破坏计算一旦计算机被感染上病毒，这些可执行代码可以自动执行，破坏计算机系统。机系统。l防防病毒软件根据病毒的特征，检查并清除用户系统上的病毒。病毒软件根据病毒的特征，检查并清除用户系统上的病毒。安装并经常更新防病毒软件会对系统安全起防护作用安装并经常更新防病毒软件会对系统安全起防护作用。l除了除了防病毒，客户端还需要提供个人防火墙的保护，还可以根据需要防病毒，客户端还需要提供个人防火墙的保护，还

34、可以根据需要在客户端部署防止用户转发、打印或共享机密材料的信息控制技术。在客户端部署防止用户转发、打印或共享机密材料的信息控制技术。2022-8-16网络攻防技术32第32页，共90页。9.1.3 系统防护系统防护 l(4)服务器服务器防护防护l安全威胁可能来自网络外部也可能来自网络内部，可能是通过授权的安全威胁可能来自网络外部也可能来自网络内部，可能是通过授权的计算机发起的攻击计算机发起的攻击。l例如例如，一个粗心的内部人员可能无意中将一个受病毒感染的文，一个粗心的内部人员可能无意中将一个受病毒感染的文件从优盘复制到一台安全计算机中，从而造成内网的安全威胁件从优盘复制到一台安全计算机中，从而

35、造成内网的安全威胁。l在在服务器中安装防病毒软件则可以提供额外的防线，并遏制内服务器中安装防病毒软件则可以提供额外的防线，并遏制内部安全事件的威胁，让它们永远不能到达网关部安全事件的威胁，让它们永远不能到达网关。2022-8-16网络攻防技术33第33页，共90页。9.1.3 系统防护系统防护 l(5)信息信息保护保护l数字信息的保护是信息化带来的新挑战数字信息的保护是信息化带来的新挑战。l一般一般情况下使用基于周边的安全方法来保护数字信息情况下使用基于周边的安全方法来保护数字信息。l防火墙防火墙可以限制对于网络的访问，而访问控制列表可以限制对于特定数据可以限制对于网络的访问，而访问控制列表可

36、以限制对于特定数据的访问的访问。l此外此外，还可以使用加密技术保护数据在存储和传输中的安全。，还可以使用加密技术保护数据在存储和传输中的安全。2022-8-16网络攻防技术34第34页，共90页。9.1.4 安全检测安全检测 l检测有两种含义：一是自己对系统进行安全检查，发现检测有两种含义：一是自己对系统进行安全检查，发现漏洞；二是在网络内部检测所有的网络数据，从中发现漏洞；二是在网络内部检测所有的网络数据，从中发现入侵行为。入侵行为。l上面提到防护系统可以阻止大多数的入侵事件的上面提到防护系统可以阻止大多数的入侵事件的发生，但是它不能阻止所有的入侵，特别是那些发生，但是它不能阻止所有的入侵，

37、特别是那些利用未公开的系统缺陷、新的攻击手段的入侵，利用未公开的系统缺陷、新的攻击手段的入侵，而对内部违规操作更是力不从心。而对内部违规操作更是力不从心。l1.漏洞漏洞扫描扫描l2.入侵入侵检测检测2022-8-16网络攻防技术35第35页，共90页。9.1.4 安全检测安全检测 l1.漏洞漏洞扫描扫描l主要主要目的是发现系统漏洞，修补系统和网络漏洞，提高系统目的是发现系统漏洞，修补系统和网络漏洞，提高系统安全性能，从而消除入侵和攻击的条件安全性能，从而消除入侵和攻击的条件。l漏洞漏洞扫描主要通过以下两种方法来检查目标主机是否存在扫描主要通过以下两种方法来检查目标主机是否存在漏洞：漏洞：l在端

38、口扫描后得知目标主机开启的端口号以及端口上的网络服在端口扫描后得知目标主机开启的端口号以及端口上的网络服务，将这些相关信息与网络漏洞扫描系统提供的漏洞库进行匹配务，将这些相关信息与网络漏洞扫描系统提供的漏洞库进行匹配，查看是否有满足匹配条件的漏洞存在；，查看是否有满足匹配条件的漏洞存在；l通过模拟攻击者的攻击手法，对目标主机系统进行攻击性的安通过模拟攻击者的攻击手法，对目标主机系统进行攻击性的安全漏洞扫描，如测试弱口令等。若模拟攻击成功，则表明目标主全漏洞扫描，如测试弱口令等。若模拟攻击成功，则表明目标主机系统存在安全漏洞。机系统存在安全漏洞。2022-8-16网络攻防技术36第36页，共90

39、页。9.1.4 安全检测安全检测 l2.入侵入侵检测检测l入侵检测是防火墙的合理补充，帮助系统对入侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。应），提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信它从计算机网络系统中的若干关键点收集信息，并分析这些信息，查看网络中是否有违息，并分析这些信息，查看网络中是否有违反安全策略的行为和遭到袭击的迹象。反安全策略的行为和遭到袭击的迹象。2022-8-16

40、网络攻防技术37第37页，共90页。9.1.4 安全检测安全检测 l2.入侵入侵检测检测l在在不影响网络性能的情况下能对网络进行监测，从而不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时监测，被提供对内部攻击、外部攻击和误操作的实时监测，被认为是防火墙之后的第二道安全闸门认为是防火墙之后的第二道安全闸门。l这些这些都通过它执行以下任务来实现：都通过它执行以下任务来实现：监视、分析用户及系统活动；监视、分析用户及系统活动；系统构造和弱点的审计；系统构造和弱点的审计；识别反映已知进攻的活动模式并向相关人士报警；识别反映已知进攻的活动模式并向相关人士报警；异常行为模

41、式的统计分析；异常行为模式的统计分析；评估重要系统和数据文件的完整性；评估重要系统和数据文件的完整性；操作系统审计操作系统审计跟踪管理，并识别用户违反跟踪管理，并识别用户违反安全策略行为安全策略行为。2022-8-16网络攻防技术38第38页，共90页。9.1.5 安全响应安全响应 l响应就是发现一个攻击事件之后，对其进响应就是发现一个攻击事件之后，对其进行处理。入侵事件的报警可以是入侵检测行处理。入侵事件的报警可以是入侵检测系统的报警，也可以是通过其他方式的汇系统的报警，也可以是通过其他方式的汇报。报。l响应的主要工作也可以分为两种：响应的主要工作也可以分为两种：l应急响应：当安全事件发生时

42、采取应对措施，包括进应急响应：当安全事件发生时采取应对措施，包括进行审计跟踪、查找事故发生原因、确定攻击的来源、行审计跟踪、查找事故发生原因、确定攻击的来源、定位攻击损失、落实下一步的防范措施等。定位攻击损失、落实下一步的防范措施等。l其他事件处理：主要包括咨询、培训和技术支持。其他事件处理：主要包括咨询、培训和技术支持。2022-8-16网络攻防技术39第39页，共90页。9.1.5 安全响应安全响应 l安全响应的基本流程如下：安全响应的基本流程如下：l(1)密切关注安全事件密切关注安全事件报告报告 l很多很多单位在购买和应用安全设备之后，就再也没单位在购买和应用安全设备之后，就再也没有关注

43、过这些设备，根本不知道那里发生了什么有关注过这些设备，根本不知道那里发生了什么，甚至连防火墙被穿透或攻破都未察觉，甚至连防火墙被穿透或攻破都未察觉。l实际上实际上，大多数安全设备都具有报警功能，并会，大多数安全设备都具有报警功能，并会产生详细的安全事件报告，它能及时提醒用户可产生详细的安全事件报告，它能及时提醒用户可能正在受到攻击，因此，用户应该将安全设备的能正在受到攻击，因此，用户应该将安全设备的报警与电子邮件等联系，密切关注系统信息和日报警与电子邮件等联系，密切关注系统信息和日志，以便能在第一时间获知可疑行为和事件。志，以便能在第一时间获知可疑行为和事件。2022-8-16网络攻防技术40

44、第40页，共90页。9.1.5 安全响应安全响应 l安全响应的基本流程如下：安全响应的基本流程如下：l(2)评估可疑的评估可疑的行为行为 l一方面一方面，在安全技术还不够完善的情况下，例如，在安全技术还不够完善的情况下，例如入侵检测系统的误报率就相对较高，严格地说报入侵检测系统的误报率就相对较高，严格地说报警只是一种提示，安全管理员应该根据实际情况警只是一种提示，安全管理员应该根据实际情况进行判断，以确定是否为真实攻击行为进行判断，以确定是否为真实攻击行为。l另一方面另一方面，对于确定的多处攻击或非授权行为，对于确定的多处攻击或非授权行为，单位还要根据重要资产优先的原则，根据受影响单位还要根据

45、重要资产优先的原则，根据受影响系统的优先级顺序和事故严重度，分析和评估安系统的优先级顺序和事故严重度，分析和评估安全事件等级。全事件等级。2022-8-16网络攻防技术41第41页，共90页。9.1.5 安全响应安全响应 l安全响应的基本流程如下：安全响应的基本流程如下：l(3)及时做出正确的及时做出正确的响应响应 l单位单位应该针对不同类型的攻击制定明细的安全响应该针对不同类型的攻击制定明细的安全响应步骤，以免在面对攻击时不知所措应步骤，以免在面对攻击时不知所措。l例如例如调整包括防火墙在内的安全设备所配置的安调整包括防火墙在内的安全设备所配置的安全策略，甚至断开网络连接，以防止攻击的进一全

46、策略，甚至断开网络连接，以防止攻击的进一步进行；修补系统漏洞，关闭不必要的服务，避步进行；修补系统漏洞，关闭不必要的服务，避免类似攻击发生；如果有数据被破坏，注意及时免类似攻击发生；如果有数据被破坏，注意及时恢复数据，同时还要注意保留证据，甚至进行追恢复数据，同时还要注意保留证据，甚至进行追踪溯源，以便在需要时追究其法律责任。踪溯源，以便在需要时追究其法律责任。2022-8-16网络攻防技术42第42页，共90页。9.1.5 安全响应安全响应 l安全响应的基本流程如下：安全响应的基本流程如下：l(4)最后，还要对安全事件进行调查和研究，最后，还要对安全事件进行调查和研究，并吸取经验并吸取经验教

47、训教训 l在在每一次的攻击事件中，用户不仅能了解到攻击每一次的攻击事件中，用户不仅能了解到攻击者的攻击途径和手段，还能从中发现攻击的针对者的攻击途径和手段，还能从中发现攻击的针对点和信息系统的薄弱点，如果事后能借助经验丰点和信息系统的薄弱点，如果事后能借助经验丰富的信息安全专家进行仔细分析，找出攻击技术富的信息安全专家进行仔细分析，找出攻击技术的要点以及安全系统的弱点和管理的漏洞，进一的要点以及安全系统的弱点和管理的漏洞，进一步完善网络的防御系统和响应机制，就能减少以步完善网络的防御系统和响应机制，就能减少以后受攻击的威胁。后受攻击的威胁。2022-8-16网络攻防技术43第43页，共90页。

48、9.1.6 灾难恢复灾难恢复 l灾难恢复是灾难恢复是APPDRR模型中的最后一个环节模型中的最后一个环节。l灾难灾难恢复是事件发生后，把系统恢复到原来的状恢复是事件发生后，把系统恢复到原来的状态，或者比原来更安全的状态。态，或者比原来更安全的状态。l灾难恢复分为两个方面：灾难恢复分为两个方面：l1.系统恢复系统恢复l2.信息信息恢复恢复2022-8-16网络攻防技术44第44页，共90页。9.1.6 灾难恢复灾难恢复 l1.系统恢复系统恢复 l系统恢复指的是修补该事件所利用的系统缺陷，杜绝攻击者再系统恢复指的是修补该事件所利用的系统缺陷，杜绝攻击者再次利用这样的漏洞入侵次利用这样的漏洞入侵。l

49、一般一般系统恢复包括系统升级、软件升级和打补丁等。系系统恢复包括系统升级、软件升级和打补丁等。系统恢复的另一个重要工作是去除后门统恢复的另一个重要工作是去除后门。l一般来说一般来说，攻击者在第一次入侵的时候都是利用系统的缺陷，攻击者在第一次入侵的时候都是利用系统的缺陷。在。在第一次第一次入侵成功之后，攻击者就在系统打开一些后门，如安装一个木入侵成功之后，攻击者就在系统打开一些后门，如安装一个木马程序马程序。所以。所以，尽管系统缺陷已经打补丁，攻击者下一次还是可以通过，尽管系统缺陷已经打补丁，攻击者下一次还是可以通过后门进入系统后门进入系统。l系统恢复系统恢复都是根据检测和响应环节提供有关事件的

50、资都是根据检测和响应环节提供有关事件的资料进行的。料进行的。2022-8-16网络攻防技术45第45页，共90页。9.1.6 灾难恢复灾难恢复 l2.信息信息恢复恢复 l信息恢复指的是恢复丢失的数据。数据丢失的原因可信息恢复指的是恢复丢失的数据。数据丢失的原因可能是由于攻击者入侵造成，也可以是由于系统故障、能是由于攻击者入侵造成，也可以是由于系统故障、自然灾害等原因造成的自然灾害等原因造成的。l信息信息恢复就是从备份和归档的数据恢复原来数据。信息恢复恢复就是从备份和归档的数据恢复原来数据。信息恢复过程跟数据备份过程有很大的关系过程跟数据备份过程有很大的关系。l数据数据备份做得是否充分对信息恢复